Seguran�a, servi�os e ambiente de trabalho interactivo no Windows

Artigo: 327618 - Ver produtos para os quais este artigo se aplica.

Ver isen��o de responsabilidades para tradu��o autom�tica

Clique aqui para exibir o artigo traduzido e o artigo original em ingl�s, lado a lado.

Expandir tudo | Reduzir tudo

Introdu��o

Servi�os no Microsoft Windows s�o geralmente aplica��es da consola que foram concebidas para ser executada automaticamente. Por conseguinte, o servi�os n�o tem normalmente uma interface de utilizador. No entanto, o servi�o poder� necessitar de interac��o com o utilizador em alguns casos.

Mais Informa��o

importante Recomendamos vivamente que servi�os n�o executados como servi�os interactivos se os servi�os executarem num contexto seguran�a elevados, tais como SYSTEM.

Para a interface de utilizador do Windows, o ambiente de trabalho � o limite de seguran�a. Qualquer aplica��o que est� em execu��o no ambiente de trabalho interactivo pode interagir com qualquer janela que est� no ambiente de trabalho interactivo, mesmo se a janela n�o for apresentada no ambiente de trabalho. Este comportamento � verdadeiro para todas as aplica��es, independentemente do contexto de seguran�a da aplica��o que cria a janela e independentemente do contexto de seguran�a da aplica��o que est� a ser executada no ambiente de trabalho. O sistema de mensagens do Windows n�o permite que uma aplica��o para determinar a origem de uma mensagem de janela.

Por estas funcionalidades de estrutura, qualquer servi�o que abre uma janela no ambiente de trabalho interactivo est� a expor pr�prio para aplica��es que s�o executadas pelo utilizador com sess�o iniciada. Se o servi�o tenta utilizar mensagens de janela para controlar a funcionalidade, o utilizador com sess�o iniciada pode interromper essa funcionalidade utilizando mensagens mal intencionadas.

Recomendamos que avalie relativamente a problemas de seguran�a qualquer servi�o que � executado como SYSTEM, que suporta o ambiente de trabalho interactivo utilizando chamadas � fun��o OpenWindowStation e para a fun��o GetThreadDesktop e que cria uma interface de utilizador.

No Microsoft Windows NT 4.0 e no Microsoft Windows 2000, restri��es de seguran�a n�o s�o impostas totalmente para aceder ao ambiente de trabalho predefinido de uma esta��o interactivo. Quando uma aplica��o tenta desenhar uma interface de utilizador, a seguran�a a esta��o n�o � consultada para o direito de acesso WINSTA_READSCREEN . Se o identificador de seguran�a de in�cio de sess�o (SID) n�o tiver este acesso para a esta��o, um processo que est� a ser executado nesse SID n�o dever� conseguir aceder o conte�do do ecr�.

No Microsoft Windows XP, esta restri��o � imposta correctamente. Quando um processo que est� a ser executado um in�cio de sess�o que SID tenta desenhar no ecr�, o subsistema GDI verifica se o token de in�cio de sess�o tem o direito de acesso WINSTA_READSCREEN . Se o token de in�cio de sess�o n�o tem acesso, a opera��o de desenho n�o est� conclu�da. Este comportamento provoca falhas de desenho. Pode ver estas falhas quando executa aplica��es GUI, graphical user interface utilizando um token que obteve a propriedade LogonUser . A propriedade LogonUser � o nome de utilizador para o utilizador actualmente com sess�o iniciado.

Recomendamos que a utiliza��o de escritor do servi�o de uma tecnologia de cliente/servidor, tais como chamada de procedimento remoto (RPC), de sockets, denominado encaminhamentos (pipes) ou COM para interagir com o utilizador com sess�o iniciada a partir de um servi�o. Al�m disso, recomendamos que utilize a fun��o MessageBox em conjunto com o sinalizador MB_SERVICE_NOTIFICATION para apresentar mensagens de estado simples.

Propriedades

Artigo: 327618 - �ltima revis�o: quinta-feira, 3 de Novembro de 2005 - Revis�o: 2.1

A informa��o contida neste artigo aplica-se a:

Microsoft Platform Software Development Kit-January 2000 Edition

kbmt kbdevsecurity kbshell kbui kbgdi kbinfo KB327618 KbMtpt

Tradu��o autom�tica

IMPORTANTE: Este artigo foi traduzido por um sistema de tradu��o autom�tica (tamb�m designado por Machine translation ou MT), n�o tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplica��es (MT) e artigos traduzidos por tradutores profissionais. O objectivo � simples: oferecer em Portugu�s a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradu��o autom�tica n�o � sempre perfeita. Esta pode conter erros de vocabul�rio, sintaxe ou gram�tica? erros semelhantes aos que um estrangeiro realiza ao falar em Portugu�s. A Microsoft n�o � respons�vel por incoer�ncias, erros ou estragos realizados na sequ�ncia da utiliza��o dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualiza��es frequentes ao software de tradu��o autom�tica (MT). Obrigado.

Clique aqui para ver a vers�o em Ingl�s deste artigo: 327618

(http://support.microsoft.com/kb/327618/en-us/ )