Artigo: 823659 - Última revisão: sexta-feira, 13 de Maio de 2011 - Revisão: 20.0
Incompatibilidades com clientes, serviços e programas que poderão ocorrer quando modifica definições de segurança e atribuições de direitos de utilizadores
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.
Este artigo descreve incompatibilidades que podem ocorrer em computadores cliente com Microsoft Windows 95, Microsoft Windows 98, Microsoft Windows NT 4.0, Microsoft Windows 2000, Microsoft Windows XP Professional ou Microsoft Windows Server 2003 quando são alteradas definições de segurança específicas e atribuições de direitos de utilizadores em domínios do Windows NT 4.0, do Windows 2000 e do Windows Server 2003.
Ao configurar estas definições e atribuições em políticas locais e de grupo, estará a contribuir para reforçar a segurança em controladores de domínio e em computadores membros. A desvantagem de uma segurança reforçada consiste na introdução de incompatibilidades com clientes, serviços e programas.
Para que esteja mais consciente de definições de segurança incorrectas, utilize a ferramenta Editor de objecto de política de grupo para modificar definições de segurança. Quando utiliza o Editor de objecto de política de grupo, as atribuições de direitos de utilizador são reforçadas nos seguintes sistemas operativos:
Microsoft Windows XP Professional Service Pack 2 (SP2)
Microsoft Windows Server 2003 Service Pack 1 (SP1)
Entre os avanços destaca-se uma caixa de diálogo que contém uma ligação para este artigo e que surge sempre que converte uma definição de segurança ou uma atribuição de direitos de utilizador numa definição que ofereça menos compatibilidade e seja mais restritiva. Se modificar directamente a mesma definição de segurança ou atribuição de direitos de utilizador através da utilização do registo ou de modelos de segurança, o efeito é o mesmo que modificar a definição no Editor do objecto de política de grupo; contudo, a caixa de diálogo que contém a ligação para este artigo não aparece.
Este artigo contém exemplos de clientes, programas e operações que são afectados por definições de segurança específicas ou atribuições de direitos de utilizador. Contudo, os exemplos não são representativos de todos os sistemas operativos Microsoft, todos os sistemas operativos de outros fornecedores ou todas as versões de programas que sejam afectados. Nem todas as definições de segurança e atribuições de direitos de utilizador estão incluídas neste artigo.
A Microsoft recomenda que valide a compatibilidade de todas as alterações de configuração relacionadas com a segurança numa floresta de teste antes de as introduzir num ambiente de produção. A floresta de teste deve reflectir a floresta de produção no que se refere aos seguintes elementos:
Versões de sistema operativo de cliente e servidor, programas de cliente e servidor, versões de service pack, correcções, alterações do esquema, grupos de segurança, associações de grupo, permissões de objectos no sistema de ficheiros, pastas partilhadas, registo, serviço de directório Active Directory, definições de política local e de grupo, tipo e localização do número de objectos
Tarefas administrativas que são desempenhadas, ferramentas administrativas que são utilizadas e sistemas operativos que são utilizados para desempenhar tarefas administrativas
Operações que são desempenhadas, incluindo autenticação de computador e de início de sessão do utilizador; reposições de palavra-passe pelos utilizadores, computadores e administradores; navegação; estabelecimento de permissões para o sistema de ficheiros, para pastas partilhadas, para o registo e recursos do Active Directory através da utilização do Editor de ACL em todos os sistemas operativos cliente de todos os domínios de conta ou recurso de todos os sistemas operativos cliente de todos os domínios de conta ou de recurso; e impressão a partir de contas administrativas e não administrativas
Para ajudar a alertar os clientes de que estão a editar um direito de utilizador ou opção de segurança que poderá ter efeitos adversos na rede, foram adicionados dois mecanismos de aviso ao gpedit.msc. Quando os administradores editam um direito de utilizador que pode afectar negativamente toda a empresa, verão um novo ícone semelhante a um sinal de prioridade. Receberão também uma mensagem de aviso com uma ligação para o artigo 823659 da Base de Dados de Conhecimento da Microsoft. O texto desta mensagem é o seguinte:
A alteração desta definição pode afectar a compatibilidade com clientes, serviços e aplicações. Para mais informações, consulte <direito de utilizador ou opção de segurança alterada> (Q823659)
Se foi encaminhado para esta KB a partir de uma ligação no GPEDIT.MSC, certifique-se de que lê e compreende a explicação fornecida e o possível efeito de modificar esta definição. Segue-se uma lista de Direitos de Utilizador que contêm o novo texto de aviso:
Aceder a este computador a partir da rede
Iniciar sessão localmente
Ignorar verificação transversal
Permitir que computadores e utilizadores sejam fidedignos para delegação
Segue-se uma lista de Opções de segurança que contêm o aviso e uma janela de pop-up:
Membro de domínio: Encriptar ou assinar digitalmente dados de canal seguro (sempre)
Membro de domínio: Exigir chave de sessão segura (Windows 2000 ou posterior)
Controlador de domínio: Requisitos de assinatura de servidor LDAP
Servidor de rede da Microsoft: Assinar digitalmente comunicações (sempre)
Acesso à rede: Permitir conversão de SID/Nome anónimo
Acesso à rede: Não permitir enumeração anónima de contas e partilhas SAM
Segurança de rede: Nível de autenticação LAN Manager
Auditoria: Encerrar o sistema imediatamente se não for possível registar auditorias de segurança
Acesso à rede: Requisitos de assinatura de cliente LDAP
As secções que se seguem descrevem incompatibilidades que poderão ocorrer quando modifica definições específicas nos domínios do Windows NT 4.0, nos domínios do Windows 2000 e nos domínios do Windows Server 2003.
A capacidade de interagir com computadores Windows remotos exige o direito de utilizador Aceder a este computador a partir da rede. Exemplos de operações de rede deste tipo incluem a replicação do Active Directory entre controladores de domínio num domínio ou floresta comum, pedidos de autenticação a controladores de domínio por parte de utilizadores e computadores, bem como acesso a pastas partilhadas, impressoras e outros serviços do sistema que se encontram localizados em computadores remotos na rede.
Os utilizadores, computadores e contas de serviço ganham ou perdem o direito de utilizador Aceder a este computador a partir da rede através da introdução ou remoção, explícita ou implícita, de um grupo de segurança ao qual tenha sido atribuído este direito de utilizador. Por exemplo, uma conta de utilizador ou uma conta de computador pode ser explicitamente adicionada por um administrador a um grupo de segurança personalizado ou integrado, ou pode ser implicitamente adicionada pelo sistema operativo a um grupo de segurança calculado, como Utilizadores de domínio, Utilizadores autenticados ou Controladores de domínio empresarial.
Por predefinição, as contas de utilizador e de computador beneficiam do direito de utilizador Aceder a este computador a partir da rede quando tiverem sido definidos grupos calculados, como Todos ou, de preferência, Utilizadores autenticados, e, para controladores de domínio, o grupo de Controladores de domínio empresarial, no objecto de Política de Grupo (GPO) predefinido dos controladores de domínio.
Configurações de risco
Seguem-se definições de configuração prejudiciais:
Remover o grupo de segurança Controladores de domínio empresarial deste direito de utilizador
Remover o grupo de Utilizadores autenticados ou um grupo explícito que concede a utilizadores, computadores e contas de serviço o direito de utilizador para estabelecer ligação com computadores da rede
Remover todos os utilizadores e computadores deste direito de utilizador
Razões para atribuir este direito de utilizador
A atribuição do direito de utilizador Aceder a este computador a partir da rede ao grupo de Controladores de domínio empresarial satisfaz os requisitos de autenticação que a replicação do Active Directory deve possuir para que a replicação ocorra entre controladores de domínio da mesma floresta.
Este direito de utilizador permite que utilizadores e computadores acedam a ficheiros, impressoras e serviços de sistema partilhados, incluindo o Active Directory.
Este direito de utilizador é necessário para que os utilizadores acedam ao correio através da utilização de versões anteriores do Microsoft Outlook Web Access (OWA).
Razões para remover este direito de utilizador
Os utilizadores com capacidade de ligar os seus computadores à rede podem aceder a recursos em computadores remotos para os quais detêm permissões. Por exemplo, este direito de utilizador é necessário para que um utilizador estabeleça ligação com impressoras e pastas partilhadas. Se este direito de utilizador for atribuído ao grupo Todos, e se algumas pastas partilhadas possuírem tanto permissões de partilha como do sistema de ficheiros NTFS configuradas para que o mesmo grupo tenha acesso de leitura, qualquer pessoa pode ver os ficheiros naquelas pastas partilhadas. Contudo, esta é uma situação improvável para instalações recentes do Windows Server 2003, porque a partilha predefinida e as permissões de NTFS no Windows Server 2003 não incluem o grupo Todos. Para sistemas actualizados a partir do Microsoft Windows NT 4.0 ou Windows 2000, esta vulnerabilidade pode comportar um nível superior de risco, porque a partilha predefinida e as permissões do sistema de ficheiros destes sistemas operativos não são tão restritivas como as permissões predefinidas do Windows Server 2003.
Não existe qualquer razão válida para remover o grupo de Controladores de domínio empresarial deste direito de utilizador.
Geralmente, o grupo Todos é removido a favor do grupo de Utilizadores autenticados. Se o grupo Todos for removido, este direito de utilizador deve ser atribuído ao grupo de Utilizadores autenticados.
Os domínios do Windows NT 4.0 que são actualizados para o Windows 2000 não atribuem explicitamente o direito de utilizador Aceder a este computador a partir da rede ao grupo Todos, Utilizadores autenticados ou Controladores de domínio empresarial. Consequentemente, se remover o grupo Todos da política de domínio do Windows NT 4.0, a replicação do Active Directory falhará e surgirá uma mensagem de erro de "Acesso negado" depois de concluída a actualização para o Windows 2000. O Winnt32.exe no Windows Server 2003 evita esta configuração incorrecta através da atribuição deste direito de utilizador ao grupo de Controladores de domínio empresarial quando actualiza os controladores de domínio principais (PDC) do Windows NT 4.0. Atribua este direito de utilizador ao grupo de Controladores de domínio empresarial se não estiver presente no Editor de objecto de política de grupo.
Exemplos de problemas de compatibilidade
Windows 2000 e Windows Server 2003: A replicação do Esquema do Active Directory, de Configuração, de Domínio, de catálogo global ou de Partições da aplicação falhará e surgirão erros de "Acesso negado", tal como relatado por ferramentas de monitorização como REPLMON e REPADMIN ou eventos de replicação no registo de eventos.
Todos os sistemas operativos de rede Microsoft: A autenticação da Conta de utilizador a partir de computadores cliente de rede remotos falhará, a menos que este direito de utilizador tenha sido atribuído ao utilizador ou a um grupo de segurança a que o utilizador pertença.
Todos os sistemas operativos de rede Microsoft: A autenticação da conta a partir de clientes de rede remotos falhará, a menos que este direito de utilizador tenha sido atribuído à conta ou a um grupo de segurança a que a conta pertença. Este cenário aplica-se a contas de utilizador, contas de computador e contas de serviço.
Todos os sistemas operativos de rede Microsoft: A remoção de todas as contas deste direito de utilizador impedirá que qualquer conta inicie sessão no domínio ou aceda a recursos de rede. Se forem removidos grupos calculados, como Controladores de domínio empresarial, Todos ou Utilizadores autenticados, deve atribuir explicitamente este direito de utilizador a contas ou a grupos de segurança a que a conta pertença para que possam aceder a computadores remotos da rede. Este cenário aplica-se a todas as contas de utilizador, a todas as contas de computador e a todas as contas de serviço.
Todos os sistemas operativos de rede Microsoft: A conta de administrador local utiliza uma palavra-passe "em branco". A conectividade de rede com palavras-passe em branco não é permitida para contas de administrador num ambiente de domínio. Com esta configuração, é previsível que receba uma mensagem de erro de "Acesso negado".
Permitir início de sessão local
Informações adicionais
Os utilizadores que tentam iniciar sessão na consola de um computador baseado em Microsoft Windows (utilizando a sequência de teclas de início de sessão CTRL+ALT+DELETE) e as contas que tentam iniciar um serviço devem deter privilégios de início de sessão local no computador anfitrião. Exemplos de operações de início de sessão local incluem administradores que iniciam sessão nas consolas de computadores membros ou controladores de domínio em toda a empresa e utilizadores de domínio que iniciam sessão em computadores membros para aceder aos seus ambientes de trabalho através da utilização de contas sem privilégios. Os utilizadores que usam uma ligação ao Ambiente de trabalho remoto ou Serviços de terminal devem deter o direito de utilizador Permitir início de sessão local nos computadores de destino com Windows 2000 ou Windows XP, porque estes modos de início de sessão são considerados locais para o computador anfitrião. Os utilizadores que iniciam sessão num servidor com o Terminal Server activado e que não detêm este direito de utilizador podem ainda iniciar uma sessão interactiva remota nos domínios do Windows Server 2003 caso possuam o direito de utilizador Permitir início de sessão através de Serviços de terminal.
Configurações de risco
Seguem-se definições de configuração prejudiciais:
Remover grupos de segurança administrativa, incluindo Operadores de contas, Operadores de cópia de segurança, Operadores de impressão ou Operadores de servidor, e o grupo de Administradores integrado da política de controladores de domínio predefinidos.
Remover contas de serviço utilizadas por componentes e por programas em computadores membros e em controladores de domínio da política de controladores de domínio predefinidos.
Remover utilizadores ou grupos de segurança que iniciam sessão na consola de computadores membros no domínio.
Remover contas de serviço que estão definidas na base de dados local do Gestor de Contas de Segurança (SAM) de computadores membros ou de computadores de grupo de trabalho.
Remover contas administrativas não integradas que são autenticadas através dos Serviços de Terminal executados num controlador de domínio.
Adicionar todas as contas de utilizador no domínio, explícita ou implicitamente, através do grupo Todos ao direito de início de sessão Recusar início de sessão local. Esta configuração impedirá que os utilizadores iniciem sessão em qualquer computador membro ou controlador de domínio no domínio.
Razões para atribuir este direito de utilizador
Os utilizadores devem possuir o direito de utilizador Permitir início de sessão local para aceder à consola ou ambiente de trabalho de um computador de grupo de trabalho, um computador membro ou um controlador de domínio.
Os utilizadores devem possuir este direito de utilizador para iniciar sessão através de uma sessão de Serviços de terminal executada num controlador de domínio ou num computador membro baseado em Windows 2000.
Razões para remover este direito de utilizador
A não restrição do acesso à consola a contas de utilizador legítimas poderá resultar na transferência e execução, por parte de utilizadores não autorizados, de código malicioso com o objectivo de alterar os seus direitos de utilizador.
A remoção do direito de utilizador Permitir início de sessão local impede inícios de sessão não autorizados nas consolas de computadores, como controladores de domínio ou servidores de aplicações.
A remoção deste direito de início de sessão impede que contas não integradas no domínio iniciem sessão na consola de computadores membros no domínio.
Exemplos de problemas de compatibilidade
Servidores de terminais Windows 2000: O direito de utilizador Permitir início de sessão local é necessário para que os utilizadores iniciem sessão nos servidores de terminais do Windows 2000.
Windows NT 4.0, Windows 2000, Windows XP ou Windows Server 2003: As contas de utilizador devem possuir este direito de utilizador para iniciar sessão na consola de computadores com Windows NT 4.0, Windows 2000, Windows XP ou Windows Server 2003.
Windows NT 4.0 e versões posteriores: Em computadores com o Windows NT 4.0 e versões posteriores, se adicionar o direito de utilizador Permitir início de sessão local, mas atribuir também, implícita ou explicitamente, o direito de início de sessão Recusar início de sessão local, as contas não poderão iniciar sessão na consola dos controladores de domínio.
Ignorar verificação transversal
Informações adicionais
O direito de utilizador Ignorar verificação transversal permite que o utilizador navegue através de pastas no sistema de ficheiros NTFS ou no registo sem ter de definir a permissão de acesso especial Percorrer pasta. O direito de utilizador Ignorar verificação transversal não permite que o utilizador apresente uma lista dos conteúdos de uma pasta; permite apenas que o utilizador percorra as suas pastas.
Configurações de risco
Seguem-se definições de configuração prejudiciais:
Remover contas não administrativas que iniciam sessão em computadores baseados no Windows 2000 ou no Windows Server 2003 com serviços de terminal sem permissões para aceder a ficheiros e pastas no sistema de ficheiros.
Remover o grupo Todos da lista de principais de segurança que, por predefinição, possuem este direito de utilizador. Os sistemas operativos Windows, e também muitos outros programas, foram concebidos na expectativa de que qualquer pessoa que possa aceder legitimamente ao computador possua o direito de utilizador Ignorar verificação transversal. Consequentemente, a remoção do grupo Todos da lista de principais de segurança que, por predefinição, possuem este direito de utilizador poderá provocar instabilidade no sistema operativo ou falha do programa. É preferível manter esta predefinição.
Razões para atribuir este direito de utilizador
Por predefinição, o direito de utilizador Ignorar verificação transversal permite que qualquer pessoa ignore a verificação transversal. Para administradores de sistemas Windows experientes, este é o comportamento esperado, pelo que configuram listas de controlo de acesso a ficheiros de sistema (SACL, System Access Control Lists) em conformidade. O único cenário em que a configuração predefinida pode conduzir a um percalço é no caso de o administrador que configura permissões não compreender o comportamento e esperar que os utilizadores que não conseguem aceder a uma pasta principal não consigam aceder aos conteúdos de quaisquer pastas secundárias.
Razões para remover este direito de utilizador
As organizações com preocupações de segurança elevadas podem ser tentadas a remover o grupo Todos ou mesmo, talvez, a remover o grupo Utilizadores, da lista de grupos com o direito de utilizador Ignorar verificação transversal a fim de impedir o acesso aos ficheiros ou pastas do sistema de ficheiros.
Exemplos de problemas de compatibilidade
Windows 2000, Windows Server 2003: Se o direito de utilizador Ignorar verificação transversal for removido ou estiver mal configurado em computadores com o Windows 2000 ou Windows Server 2003, as definições de Política de Grupo na pasta SYSVOL não serão replicadas entre controladores no domínio.
Windows 2000, Windows XP Professional, Windows Server 2003: Os computadores com Windows 2000, Windows XP Professional ou Windows Server 2003 registarão os eventos 1000 e 1202 e não conseguirão aplicar a política de computador e a política de utilizador quando as necessárias permissões do sistema de ficheiros forem removidas da árvore SYSVOL se o direito de utilizador Ignorar verificação transversal for removido ou estiver mal configurado.
Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
290647
(http://support.microsoft.com/kb/290647/
)
O ID de evento 1000, 1001 é registado de 5 em 5 minutos no registo de eventos de aplicações
Windows 2000, Windows Server 2003: Em computadores com o Windows 2000 ou Windows Server 2003, o separador Quota do Explorador do Windows desaparecerá quando visualizar as propriedades de um volume.
Windows 2000: Os não administradores que iniciem sessão num terminal Windows 2000 poderão receber a seguinte mensagem de erro:
Erro de aplicação Userinit.exe. A aplicação falhou a inicialização correcta 0xc0000142. Clique em OK para terminar a aplicação.
Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
272142
(http://support.microsoft.com/kb/272142/
)
Os utilizadores terminam automaticamente sessão quanto tentam iniciar sessão nos serviços de terminal.
Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Os utilizadores cujos computadores possuem o Windows NT 4.0, Windows 2000, Windows XP ou Windows Server 2003 poderão não conseguir aceder a pastas partilhadas ou a ficheiros em pastas partilhadas e poderão receber mensagens de erro de "Acesso negado" se não detiverem o direito de utilizador Ignorar verificação transversal.
Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
277644
(http://support.microsoft.com/kb/277644/
)
Mensagem de erro de "Acesso Negado" quando os utilizadores tentam aceder a pastas partilhadas
Windows NT 4.0: Em computadores baseados em Windows NT 4.0, a remoção do direito de utilizador Ignorar verificação transversal provocará uma interrupção das sequências de ficheiros durante uma cópia de ficheiros. Se remover este direito de utilizador, quando um ficheiro for copiado de um cliente Windows ou de um cliente Macintosh para um controlador de domínio do Windows NT 4.0 com Serviços para Macintosh, a sequência de ficheiros de destino perde-se e o ficheiro é apresentado como um ficheiro de texto.
Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
172930
(http://support.microsoft.com/kb/172930/
)
A remoção de "Ignorar verificação transversal" provoca a interrupção de sequências durante a cópia de ficheiros
Microsoft Windows 95, Microsoft Windows 98: Num computador cliente com o Windows 95 ou Windows 98, o comando net use * /home falhará com uma mensagem de erro de "Acesso Negado" se o grupo de Utilizadores autenticados não detiver o direito de utilizador Ignorar verificação transversal.
Outlook Web Access: Os não administradores não conseguirão iniciar sessão no Microsoft Outlook Web Access e receberão uma mensagem de erro de "Acesso Negado" se não detiverem o direito de utilizador Ignorar verificação transversal.
Definições de segurança
Auditoria: Encerrar o sistema imediatamente se não for possível registar auditorias de segurança
Informações adicionais
A definição Auditoria: Encerrar o sistema imediatamente se não for possível registar auditorias de segurança determina se o sistema deve encerrar no caso de o utilizador não conseguir registar eventos de segurança. Esta definição é necessária para a avaliação C2 do programa de Critérios de Avaliação da Segurança de Sistemas Informáticos (TCSEC) e para os Critérios Comuns de Avaliação da Segurança das Tecnologias da Informação, para impedir a auditoria de eventos no caso de o sistema de auditoria não conseguir registar aqueles eventos. Se o sistema de auditoria falhar, o sistema é encerrado e é apresentada uma mensagem de erro de paragem.
Se o computador não conseguir registar eventos no registo de segurança, provas críticas ou informações importantes de resolução de problemas poderão não estar disponíveis para análise após um incidente de segurança.
Configuração de risco
A seguinte definição de configuração é prejudicial: A definição Auditoria: Encerrar o sistema imediatamente se não for possível registar auditorias de segurança está activada e o tamanho do registo de eventos de segurança está limitado pela opção Não substituir eventos (limpar registo manualmente), pela opção Substituir eventos conforme necessário ou pela opção Substituir eventos mais antigos que número de dias no Visualizador de Eventos. Consulte a secção "Exemplos de problemas de compatibilidade" para obter mais informações sobre riscos específicos para computadores com a versão original do Windows 2000, Windows 2000 Service Pack 1 (SP1), Windows 2000 SP2 ou Windows 2000 SP3.
Razões para activar esta definição
Se o computador não conseguir registar eventos no registo de segurança, provas críticas ou informações importantes de resolução de problemas poderão não estar disponíveis para análise após um incidente de segurança.
Razões para desactivar esta definição
A activação da definição Auditoria: Encerrar o sistema imediatamente se não for possível registar auditorias de segurança pára o sistema se, por qualquer motivo, não for possível registar uma auditoria de segurança. Normalmente, não é possível registar um evento quando o registo de auditoria de segurança está cheio e quando o método de retenção especificado é a opção Não substituir eventos (limpar registo manualmente) ou a opção Substituir eventos mais antigos que número de dias.
A carga administrativa de activar a definição Auditoria: Encerrar o sistema imediatamente se não for possível registar auditorias de segurança pode ser extremamente elevada, especialmente se activar também a opção Não substituir eventos (limpar registo manualmente) do registo de segurança. Esta definição acautela a responsabilização individual das acções do operador. Por exemplo, um administrador pode repor as permissões para todos os utilizadores, computadores e grupos de uma unidade organizacional (UO) onde a auditoria tenha sido activada através da utilização da conta de administrador integrada ou de outra conta partilhada e depois negar-lhes a reposição de tais permissões. Contudo, a activação da definição não diminui a robustez do sistema, porque um servidor pode ser forçado a encerrar devido ao excesso de eventos de início de sessão e de outros eventos de segurança escritos no registo de segurança. Por outro lado, o facto de o encerramento ser inesperado pode originar danos irreparáveis para o sistema operativo, programas ou dados. Embora o NTFS garanta a manutenção da integridade do sistema de ficheiros durante um encerramento inesperado do sistema, não pode garantir que todos os ficheiros de dados de todos os programas ainda estejam aptos a ser utilizados quando o sistema é reiniciado.
Windows 2000: Devido a um erro, os computadores com a versão original do Windows 2000, Windows 2000 SP1, Windows 2000 SP2 ou Windows Server SP3 poderão deixar de registar eventos antes de atingir o tamanho especificado na opção Tamanho máximo do registo relativa ao registo de eventos de segurança. Este erro foi corrigido no Windows 2000 Service Pack 4 (SP4). Certifique-se de que os seus controladores de domínio do Windows 2000 têm o Windows 2000 Service Pack 4 instalado antes de pensar em activar esta definição.
Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
312571
(http://support.microsoft.com/kb/312571/
)
O registo de eventos deixa de registar eventos antes de alcançar o tamanho máximo do registo
Windows 2000, Windows Server 2003: Os computadores com o Windows 2000 ou Windows Server 2003 podem deixar de responder e reiniciar espontaneamente se a opção Auditoria: Encerrar o sistema imediatamente se não for possível registar auditorias de segurança estiver activada, se o registo de segurança estiver cheio e se uma entrada existente no registo de eventos não puder ser substituída. Quando o computador é reiniciado, surge a seguinte mensagem de erro de paragem:
STOP: C0000244 {Falha na auditoria} Falha na tentativa de gerar uma auditoria de segurança.
Para recuperar, um administrador deve iniciar sessão, arquivar o registo de segurança (opcional), limpar o registo de segurança e repor esta opção (opcional e conforme necessário).
Microsoft Network Client para MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Os não administradores que tentem iniciar sessão num domínio receberão a seguinte mensagem de erro:
A sua conta está configurada de modo a impedi-lo de utilizar este computador. Tente outro computador.
Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
160783
(http://support.microsoft.com/kb/160783/
)
Mensagem de erro: Os utilizadores não conseguem iniciar sessão numa estação de trabalho
Windows 2000: Nos computadores baseados no Windows 2000, os não administradores não conseguirão iniciar sessão em servidores de acesso remoto e receberão uma mensagem de erro semelhante à seguinte:
Utilizador desconhecido ou palavra-passe incorrecta
Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
285665
(http://support.microsoft.com/kb/285665/
)
Mensagem de erro: A sua conta está configurada de modo a impedi-lo de utilizar este computador
Windows 2000: Nos controladores de domínio do Windows 2000, o serviço Intersite Messaging (Ismserv.exe) parará e não será possível reiniciá-lo. O DCDIAG comunicará o erro como "serviços de teste falhados ISMserv" e o evento ID 1083 será registado no registo de eventos.
Windows 2000: Nos controladores de domínio do Windows 2000, a replicação do Active Directory falhará e, se o registo de eventos estiver cheio, será apresentada uma mensagem de "Acesso negado".
Microsoft Exchange 2000: Os servidores com o Exchange 2000 não conseguirão montar a base de dados do arquivo de informações e o evento 2102 será registado no registo de eventos.
Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
314294
(http://support.microsoft.com/kb/314294/
)
As mensagens de erro do Exchange 2000 são geradas devido a problemas do SeSecurityPrivilege Right e do Policytest (em inglês)
Outlook, Outlook Web Access: Os não administradores não conseguirão aceder ao correio através do Microsoft Outlook ou do Microsoft Outlook Web Access e receberão um erro 503.
Controlador de domínio: Requisitos de assinatura do servidor LDAP
Informações adicionais
A definição de segurança Controlador de domínio: requisitos de assinatura do servidor LDAP determina se o servidor LDAP (Lightweight Directory Access Protocol) exige que os clientes LDAP negoceiem a assinatura de dados. Os valores possíveis para esta definição de política são:
Nenhum: A assinatura de dados não é necessária para a ligação ao servidor. Se o cliente pedir assinatura de dados, o servidor suportá-lo-á.
Exigir assinatura: A opção de assinatura de dados LDAP deve ser negociada, a menos que estejam a ser utilizados os protocolos TLS/SSL (Transport Layer Security/Secure Socket Layer).
não definido: Esta definição não está activada ou está desactivada.
Configurações de risco
Seguem-se definições de configuração prejudiciais:
Activar Exigir assinatura em ambientes onde os clientes não suportam a assinatura LDAP ou onde a assinatura LDAP do lado do cliente não está activada no cliente
Aplicar o modelo de segurança Hisecdc.inf do Windows 2000 ou do Windows Server 2003 em ambientes onde os clientes não suportam a assinatura LDAP ou onde a assinatura LDAP do lado do cliente não está activada
Aplicar o modelo de segurança Hisecws.inf do Windows 2000 ou do Windows Server 2003 em ambientes onde os clientes não suportam a assinatura LDAP ou onde a assinatura LDAP do lado do cliente não está activada
Razões para activar esta definição
O tráfego de rede não assinado é susceptível a ataques de intermediário (man-in-the-middle), mediante os quais um intruso captura pacotes entre o cliente e o servidor, modifica os pacotes e depois encaminha-os para o servidor. Quando este comportamento se verifica num servidor LDAP, um atacante poderá fazer com que um servidor tome decisões baseadas em consultas falsas do cliente LDAP. Pode reduzir este risco numa rede empresarial através da implementação de fortes medidas de segurança física para ajudar a proteger a infra-estrutura de rede. O modo de cabeçalho de autenticação de segurança do Protocolo Internet (IPSec) pode dificultar bastante os ataques de intermediário. O modo de cabeçalho de autenticação realiza autenticação mútua e integridade do pacote para o tráfego IP.
Razões para desactivar esta definição
Os clientes que não suportam a assinatura LDAP não conseguirão realizar consultas LDAP em controladores de domínio e em catálogos globais se a autenticação NTLM for negociada e se não estiverem instalados os service packs correctos nos controladores de domínio do Windows 2000.
Os rastreios de tráfego LDAP na rede entre clientes e servidores estarão encriptados, o que torna difícil examinar conversas LDAP.
Os servidores baseados em Windows 2000 devem ter instalado o Windows 2000 Service Pack 3 (SP3) ou versão posterior quando são administrados com programas que suportam a assinatura LDAP executados a partir de computadores cliente com Windows 2000 SP4, Windows XP ou Windows Server 2003.
Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
325465
(http://support.microsoft.com/kb/325465/
)
Os controladores de domínio do Windows 2000 necessitam do Service Pack 3 ou versão posterior quando utilizam as ferramentas de administração do Windows Server 2003
Os enlaces simples falharão e receberá a seguinte mensagem de erro:
Ldap_simple_bind_s() falhou: Autenticação forte necessária.
Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Nos clientes com Windows 2000 SP4, Windows XP ou Windows Server 2003, algumas ferramentas de administração do Active Directory não funcionarão correctamente em controladores de domínio com versões do Windows 2000 anteriores ao SP3 quando a autenticação NTLM é negociada.
Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
325465
(http://support.microsoft.com/kb/325465/
)
Os controladores de domínio do Windows 2000 necessitam do Service Pack 3 ou versão posterior quando utilizam as ferramentas de administração do Windows Server 2003
Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Nos clientes com o Windows 2000 SP4, Windows XP ou o Windows Server 2003, algumas ferramentas administrativas do Active Directory para controladores de domínio com versões do Windows 2000 anteriores ao SP3 não funcionarão correctamente se estes estiverem a utilizar endereços IP (por exemplo, "dsa.msc /server=x.x.x.x" em que x.x.x.x corresponde a um endereço IP).
Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
325465
(http://support.microsoft.com/kb/325465/
)
Os controladores de domínio do Windows 2000 necessitam do Service Pack 3 ou versão posterior quando utilizam as ferramentas de administração do Windows Server 2003
Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Nos clientes com o Windows 2000 SP4, Windows XP ou Windows Server 2003, algumas ferramentas de administração do Active Directory para controladores de domínio com versões do Windows 2000 anteriores ao SP3 não funcionarão correctamente.
Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
325465
(http://support.microsoft.com/kb/325465/
)
Os controladores de domínio do Windows 2000 necessitam do Service Pack 3 ou versão posterior quando utilizam as ferramentas de administração do Windows Server 2003
Membro de domínio: Exigir chave de sessão segura (Windows 2000 ou posterior)
Informações adicionais
A definição Membro de domínio: Exigir chave de sessão segura (Windows 2000 ou versão posterior) determina se é possível estabelecer um canal seguro com um controlador de domínio que não consegue encriptar tráfego por canal seguro com uma chave de sessão segura de 128 bits. A activação desta definição impede o estabelecimento de um canal seguro com qualquer controlador de domínio que não consiga encriptar dados de canal seguro com uma chave segura. A desactivação desta definição permite chaves de sessão de 64 bits.
Antes de poder activar esta definição numa estação de trabalho membro ou num servidor, todos os controladores do domínio a que o membro pertence devem estar aptos a encriptar dados de canal seguro com uma chave segura de 128 bits. Isto significa que todos esses controladores de domínio devem ter o Windows 2000 ou versão posterior.
Configuração de risco
A activação da definição Membro de domínio: A definição Exigir chave de sessão segura (Windows 2000 ou posterior) é prejudicial.
Razões para activar esta definição
As chaves de sessão utilizadas para estabelecer comunicações de canal seguras entre computadores membros e controladores de domínio são muito mais seguras no Windows 2000 do que nas versões anteriores de sistemas operativos Microsoft.
Sempre que possível, é conveniente recorrer a estas chaves de sessão mais seguras para ajudar a proteger as comunicações por canal seguro contra visualização de dados confidenciais (eavesdropping) e ataques de controlo não autorizado de sessões. A Visualização de dados confidenciais (Eavesdropping) é uma forma de ataque malicioso através da qual os dados da rede são lidos ou alterados em trânsito. Os dados podem ser modificados para ocultar ou alterar o remetente ou para o redireccionar.
Importante: um computador que esteja a executar o Windows Server 2008 R2 ou o Windows 7 só suporta chaves seguras se estiverem a ser utilizados canais seguros. Esta restrição evita a criação de uma relação de fidedignidade entre domínios baseados em Windows NT 4.0 e domínios baseados em Windows Server 2008 R2. Além disso, esta restrição bloqueia a associação de domínios baseados em Windows NT 4.0 a computadores que estejam a executar o Windows 7 ou o Windows Server 2008 R2, e vice-versa.
Razões para desactivar esta definição
O domínio contém computadores membros com sistemas operativos que não o Windows 2000, Windows XP ou Windows Server 2003.
Windows NT 4.0: Em computadores baseados em Windows NT 4.0, a reposição de canais seguros de relações de fidedignidade entre domínios do Windows NT 4.0 e do Windows 2000 com o NLTEST falha com a mensagem de erro de "Acesso negado":
A relação de fidedignidade entre o domínio primário e o domínio fidedigno falhou.
Membro de domínio: Encriptar ou assinar digitalmente dados de canais protegidos (sempre)
Informações adicionais
A activação de Membro de domínio: Encriptar ou assinar digitalmente dados de canais protegidos (sempre) impede o estabelecimento de um canal seguro com qualquer controlador de domínio inapto a assinar ou encriptar todos os dados de canais protegidos. Para ajudar a proteger o tráfego de autenticação contra ataques de intermediário (man-in-the-middle), ataques de repetição e outras formas de ataque à rede, os computadores baseados em Windows criam um canal de comunicação conhecido como um canal seguro ao longo do serviço Início de sessão de rede para autenticar as contas de computador. Os canais seguros são também utilizados quando um utilizador de um domínio estabelece ligação com um recurso de rede num domínio remoto. Esta autenticação multidomínio, ou autenticação "pass-through", permite que um computador baseado em Windows que se tenha associado a um domínio aceda à base de dados de contas de utilizador no seu domínio e em quaisquer domínios fidedignos.
Para activar a definição Membro de domínio: Encriptar ou assinar digitalmente dados de canais protegidos (sempre) num computador membro, todos os controladores de domínio existentes no domínio a que o membro pertence devem estar aptos a assinar ou encriptar todos os dados de canais protegidos. Isto significa que todos esses controladores de domínio devem ter o Windows NT 4.0 com Service Pack 6a (SP6a) ou posterior.
A activação da definição Membro de domínio: Encriptar ou assinar digitalmente dados de canais protegidos (sempre) activa automaticamente a definição Membro de domínio: Encriptar ou assinar digitalmente dados de canais protegidos (quando possível).
Configuração de risco
A activação da definição Membro de domínio: Encriptar ou assinar digitalmente dados de canais protegidos (sempre) em domínios onde nem todos os controladores de domínio estão aptos a assinar ou encriptar dados de canais protegidos constitui uma definição de configuração prejudicial.
Razões para activar esta definição
O tráfego de rede não assinado é susceptível a ataques de intermediário (man-in-the-middle), mediante os quais um intruso captura pacotes entre o servidor e o cliente e modifica os pacotes antes de os encaminhar para o cliente. Quando este comportamento ocorre num servidor LDAP (Lightweight Directory Access Protocol), o intruso poderá fazer com que um cliente tome decisões baseadas em registos falsos do directório LDAP. Pode reduzir o risco de ocorrência de um ataque deste tipo numa rede empresarial através da implementação de fortes medidas de segurança física para ajudar a proteger a infra-estrutura de rede. Por outro lado, a implementação do modo de cabeçalho de autenticação de segurança do Protocolo Internet (IPSec) pode dificultar bastante todas as formas de ataque de intermediário. Este modo realiza autenticação mútua e integridade do pacote para o tráfego IP.
Razões para desactivar esta definição
Os computadores em domínios locais ou externos suportam canais de encriptação seguros.
Nem todos os controladores no domínio possuem os níveis de revisão do service pack adequados para suportarem canais de encriptação seguros.
Windows NT 4.0: Os computadores membros baseados em Windows 2000 não conseguirão associar-se a domínios do Windows NT 4.0 e receberão a seguinte mensagem de erro:
A conta não está autorizada a iniciar sessão a partir desta estação.
Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
281648
(http://support.microsoft.com/kb/281648/
)
Mensagem de erro: A conta não está autorizada a iniciar sessão a partir desta estação
Windows NT 4.0: Os domínios do Windows NT 4.0 não conseguirão estabelecer um nível inferior de fidedignidade num domínio do Windows 2000 e receberão a seguinte mensagem de erro:
A conta não está autorizada a iniciar sessão a partir desta estação.
Os níveis inferiores de fidedignidade existentes poderão também não autenticar utilizadores a partir do domínio fidedigno. Alguns utilizadores poderão deparar-se com dificuldades em iniciar sessão no domínio e poderão receber uma mensagem de erro que indica que o cliente não consegue encontrar o domínio.
Windows XP: Os clientes do Windows XP associados a domínios do Windows NT 4.0 não estarão aptos a autenticar tentativas de início de sessão e poderão receber a seguinte mensagem de erro ou os seguintes eventos poderão ser registados no registo de eventos:
O Windows não consegue estabelecer ligação ao domínio porque o controlador de domínio está de algum modo indisponível ou porque a conta do computador não foi encontrada
Evento 5723: A configuração de sessão do computador Nome_Computador falhou a autenticação. O nome da conta referido na base de dados de segurança é Nome_Computador. Ocorreu o seguinte erro: O acesso é negado.
Evento 3227: A configuração de sessão do controlador de domínio Nome do Servidor do Windows NT ou do Windows 2000 do domínio Nome do Domínio falhou porque Nome do Servidor não suporta a assinatura ou selagem da sessão de Netlogon. Actualize o controlador de domínio ou defina a entrada de registo RequireSignOrSeal neste computador para 0.
Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
318266
(http://support.microsoft.com/kb/318266/
)
Um cliente Windows XP não consegue iniciar sessão num domínio do Windows NT 4.0
Rede Microsoft: Os clientes da Rede Microsoft receberão uma das seguintes mensagens de erro:
Erro de início de sessão: nome de utilizador desconhecido ou palavra-passe incorrecta
Não existe nenhuma chave de sessão do utilizador para a sessão de início de sessão especificada.
Cliente de rede da Microsoft: Assinar digitalmente comunicações (sempre)
Informações adicionais
O bloco de mensagens de servidor (SMB) é o protocolo de partilha de recursos suportado por muitos sistemas operativos Microsoft; constitui a base do sistema básico de entrada/saída de rede (NetBIOS) e de muitos outros protocolos. A assinatura SMB autentica quer o utilizador, quer o servidor que aloja os dados. Se qualquer um dos lados falhar o processo de autenticação, os dados não serão transmitidos.
Ao activar a assinatura SMB esta é iniciada durante a negociação do protocolo SMB. As políticas de assinatura SMB determinam se o computador assina sempre digitalmente comunicações de clientes.
O protocolo de autenticação SMB do Windows 2000 suporta autenticação mútua. A autenticação mútua termina uma sessão de ataque "man-in-the-middle". O protocolo de autenticação SMB do Windows 2000 também suporta autenticação de mensagens. A autenticação de mensagens ajuda a impedir ataques de mensagens activas. Para obter esta autenticação, a assinatura SMB coloca uma assinatura digital em cada SMB. O cliente e o servidor verificam a assinatura digital.
Para utilizar a assinatura SMB, tem de activar a assinatura SMB ou requerer a assinatura SMB no cliente SMB e no servidor SMB. Se a assinatura SMB estiver activada num servidor, os clientes que também têm a assinatura SMB activada utilizarão o protocolo de assinatura de pacotes durante todas as sessões subsequentes. Se a assinatura SMB for necessária num servidor, um cliente não conseguirá estabelecer uma sessão a menos que tenha a assinatura SMB activada ou que a mesma seja solicitada.
A activação da assinatura digital em redes de alta segurança contribui para impedir a representação de clientes e de servidores. Este tipo de representação é conhecido como controlo não autorizado de sessões. Um atacante que tenha acesso à mesma rede do cliente ou do servidor utiliza ferramentas de controlo não autorizado de sessões para interromper, terminar ou roubar uma sessão em progresso. Um atacante pode interceptar e modificar pacotes SMB não assinados, modificar o tráfego e encaminhá-los de forma a que o servidor execute acções indesejadas. Em alternativa, o atacante pode fazer-se passar pelo servidor ou pelo cliente após uma autenticação legítima e obter acesso não autorizado aos dados.
O protocolo SMB utilizado para a partilha de ficheiros e de impressoras em computadores com o Windows 2000 Server, Windows 2000 Professional, Windows XP Professional ou Windows Server 2003 suporta autenticação mútua. A autenticação mútua termina os ataques de controlo não autorizado de sessões e suporta autenticação de mensagens. Consequentemente, impede ataques de intermediários (man-in-the-middle). A assinatura SMB proporciona esta autenticação através da atribuição de uma assinatura digital a cada SMB. A assinatura é depois verificada tanto pelo cliente como pelo servidor.
Notas
Uma contramedida alternativa que pode ajudar a proteger todo o tráfego de rede reside na activação de assinaturas digitais com o IPSec. Existem aceleradores baseados em hardware para encriptação e assinatura IPSec que podem ser utilizados para minimizar o impacto da CPU do servidor no desempenho. Não existem aceleradores deste tipo disponíveis para a assinatura SMB.
Para mais informações, consulte o capítulo "Assinar digitalmente comunicações do servidor" no seguinte Web site da MSDN (Microsoft Developer Network):
Configure a assinatura SMB através do Editor de objecto de política de grupo, porque uma alteração num valor de registo local não produz qualquer efeito se houver uma política de domínio prevalecente.
No Windows 95, Windows 98 e Windows 98 Second Edition, o cliente de serviços de directório utiliza a assinatura SMB quando autentica com servidores Windows Server 2003 utilizando a autenticação NTLM. No entanto, estes clientes não utilizam a assinatura SMB quando autenticam com estes servidores utilizando a autenticação NTLMv2. Por outro lado, os servidores com o Windows 2000 não respondem a pedidos de assinatura SMB destes clientes. Consulte o item 10: "Segurança de rede: Nível de autenticação LAN Manager".
Configuração de risco
A seguinte definição de configuração é prejudicial: Manter ambas as definições Cliente de rede da Microsoft: Assinar digitalmente comunicações (sempre) e Cliente de rede da Microsoft: Assinar digitalmente comunicações (se o servidor concordar) configuradas para "Não definido" ou desactivadas. Estas definições permitem que o redireccionador envie palavras-passe em texto simples para servidores SMB que não sejam da Microsoft e que não suportam a encriptação de palavras-passe durante a autenticação.
Razões para activar esta definição
A activação de Cliente de rede da Microsoft: Assinar digitalmente comunicações (sempre) exige que os clientes assinem o tráfego SMB quando contactam servidores que não exigem assinatura SMB, reduzindo a vulnerabilidade dos clientes a ataques de controlo não autorizado de sessões.
Razões para desactivar esta definição
A activação de Cliente de rede da Microsoft: Assinar digitalmente comunicações (sempre) impede os clientes de comunicarem com servidores de destino que não suportam a assinatura SMB
Configurar os computadores de forma a ignorarem todas as comunicações SMB não assinadas impede a ligação de programas e sistemas operativos de versões anteriores.
Windows NT 4.0: Não será possível repor o canal seguro de uma fidedignidade entre um domínio Windows Server 2003 e um domínio Windows NT 4.0 através da utilização do NLTEST ou do NETDOM e receberá uma mensagem de erro de "Acesso negado".
Windows XP: Copiar ficheiros de clientes Windows XP para servidores baseados em Windows 2000 e Windows Server 2003 poderá demorar mais tempo.
Não será possível mapear uma unidade de rede de um cliente com esta definição activada e receberá a seguinte mensagem de erro:
A conta não está autorizada a iniciar sessão a partir desta estação.
Necessidades de reinício
Reinicie o computador ou reinicie o serviço Estação de trabalho. Para o fazer, escreva os seguintes comandos numa linha de comandos. Prima ENTER depois de escrever cada comando.
net stop workstation net start workstation
Servidor de rede da Microsoft: Assinar digitalmente comunicações (sempre)
Informações adicionais
O bloco de mensagens de servidor (SMB, Server Messenger Block) é o protocolo de partilha de recursos suportado por muitos sistemas operativos Microsoft; constitui a base do sistema básico de entrada/saída de rede (NetBIOS) e de muitos outros protocolos. A assinatura SMB autentica quer o utilizador, quer o servidor que aloja os dados. Se qualquer um dos lados falhar o processo de autenticação, os dados não serão transmitidos.
Ao activar a assinatura SMB esta é iniciada durante a negociação do protocolo SMB. As políticas de assinatura SMB determinam se o computador assina sempre digitalmente comunicações de clientes.
O protocolo de autenticação SMB do Windows 2000 suporta autenticação mútua. A autenticação mútua termina uma sessão de ataque "man-in-the-middle". O protocolo de autenticação SMB do Windows 2000 também suporta autenticação de mensagens. A autenticação de mensagens ajuda a impedir ataques de mensagens activas. Para obter esta autenticação, a assinatura SMB coloca uma assinatura digital em cada SMB. O cliente e o servidor verificam a assinatura digital.
Para utilizar a assinatura SMB, tem de activar a assinatura SMB ou requerer a assinatura SMB no cliente SMB e no servidor SMB. Se a assinatura SMB estiver activada num servidor, os clientes que também têm a assinatura SMB activada utilizarão o protocolo de assinatura de pacotes durante todas as sessões subsequentes. Se a assinatura SMB for necessária num servidor, um cliente não conseguirá estabelecer uma sessão a menos que tenha a assinatura SMB activada ou que a mesma seja solicitada.
A activação da assinatura digital em redes de alta segurança contribui para impedir a representação de clientes e de servidores. Este tipo de representação é conhecido como controlo não autorizado de sessões. Um atacante que tenha acesso à mesma rede do cliente ou do servidor utiliza ferramentas de controlo não autorizado de sessões para interromper, terminar ou roubar uma sessão em progresso. Um atacante pode interceptar e modificar pacotes de SBM (Subnet Bandwidth Manager) não assinados, modificar o tráfego e encaminhá-los de forma a que o servidor execute acções indesejadas. Em alternativa, o atacante pode fazer-se passar pelo servidor ou pelo cliente após uma autenticação legítima e obter acesso não autorizado aos dados.
O protocolo SMB utilizado para a partilha de ficheiros e de impressoras em computadores com o Windows 2000 Server, Windows 2000 Professional, Windows XP Professional ou Windows Server 2003 suporta autenticação mútua. A autenticação mútua termina os ataques de controlo não autorizado de sessões e suporta autenticação de mensagens. Consequentemente, impede ataques de intermediários (man-in-the-middle). A assinatura SMB proporciona esta autenticação através da atribuição de uma assinatura digital a cada SMB. A assinatura é depois verificada tanto pelo cliente como pelo servidor.
Uma contramedida alternativa que pode ajudar a proteger todo o tráfego de rede reside na activação de assinaturas digitais com o IPSec. Existem aceleradores baseados em hardware para encriptação e assinatura IPSec que podem ser utilizados para minimizar o impacto da CPU do servidor no desempenho. Não existem aceleradores deste tipo disponíveis para a assinatura SMB.
No Windows 95, Windows 98 e Windows 98 Second Edition, o cliente de serviços de directório utiliza a assinatura SMB quando autentica com servidores Windows Server 2003 utilizando a autenticação NTLM. No entanto, estes clientes não utilizam a assinatura SMB quando autenticam com estes servidores utilizando a autenticação NTLMv2. Por outro lado, os servidores com o Windows 2000 não respondem a pedidos de assinatura SMB destes clientes. Consulte o item 10: "Segurança de rede: Nível de autenticação LAN Manager".
Configuração de risco
A seguinte definição de configuração é prejudicial: Activar a definição Servidor de rede da Microsoft: Assinar digitalmente comunicações (sempre) em servidores e controladores de domínio que são acedidos por computadores cliente incompatíveis baseados em Windows e baseados em sistemas operativos de outros fornecedores em domínios locais ou externos.
Razões para activar esta definição
Todos os computadores cliente que activam esta definição directamente através do registo ou através da definição de Política de grupo suportam assinatura SMB. Por outras palavras, todos os computadores cliente com esta definição activada funcionam em Windows 95 com o cliente DS instalado, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional ou Windows Server 2003.
Se a definição Servidor de rede da Microsoft: Assinar digitalmente comunicações (sempre) estiver desactivada, a assinatura SMB fica completamente desactivada. A desactivação completa de todas as assinaturas SMB aumenta a vulnerabilidade dos computadores a ataques de controlo não autorizado de sessões.
Razões para desactivar esta definição
A activação desta função pode tornar mais lento o desempenho da rede e a cópia de ficheiros em computadores cliente.
A activação desta função impedirá que clientes sem possibilidade de negociar a assinatura SMB comuniquem com servidores e controladores de domínio. O resultado é a falha de operações como adesões a domínios, autenticação do utilizador e do computador ou o acesso de programas à rede.
Windows 95: A autenticação do início de sessão dos clientes Windows 95 que não têm instalado o cliente de serviços de directório (DS) falhará e será apresentada a seguinte mensagem de erro:
A palavra-passe de domínio que forneceu não está correcta ou o acesso ao servidor de início de sessão foi negado.
Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
811497
(http://support.microsoft.com/kb/811497/
)
Mensagem de erro quando um cliente Windows 95 ou Windows NT 4.0 inicia sessão num domínio Windows Server 2003
Windows NT 4.0: A autenticação do início de sessão em computadores cliente com versões do Windows NT 4.0 anteriores ao Service Pack 3 (SP3) falhará e será apresentada a seguinte mensagem de erro:
O sistema não conseguiu iniciar a sua sessão. Certifique-se de que o seu nome de utilizador e domínio estão correctos e escreva novamente a sua palavra-passe.
Alguns servidores SMB não Microsoft suportam apenas trocas de palavra-passe não encriptadas durante a autenticação. (Estas trocas são também conhecidas como trocas de "texto simples".) A começar pelo Windows NT 4.0 SP3, o redireccionador SMB não envia uma palavra-passe não encriptada durante a autenticação para um servidor SMB a menos que o utilizador adicione uma entrada de registo específica. Para permitir o envio de palavras-passe não encriptadas ao cliente SMB em sistemas Windows NT 4.0 SP 3 e mais recentes, modifique o registo da seguinte forma: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
Nome do Valor: EnablePlainTextPassword
Tipo de dados: REG_DWORD
Dados: 1
Para obter mais informações sobre tópicos relacionados, clique nos números de artigo que se seguem para visualizar os artigos na Base de Dados de Conhecimento da Microsoft:
224287
(http://support.microsoft.com/kb/224287/
)
Mensagem de erro: Ocorreu o erro de sistema 1240. A conta não está autorizada a iniciar sessão a partir desta estação.
166730
(http://support.microsoft.com/kb/166730/
)
Palavras-passe não encriptadas podem provocar a falha da ligação do Service Pack 3 a servidores SMB
Windows Server 2003: Por predefinição, são configuradas as definições de segurança nos controladores de domínio a executar o Windows Server 2003 para evitar que as comunicações entre controladores de domínio possam ser interceptadas ou manipuladas por utilizadores mal intencionados. Para que os utilizadores comuniquem com sucesso com um controlador de domínio a executar o Windows Server 2003, os computadores cliente devem utilizar a assinatura e encriptação SMB ou a assinatura de tráfego por canal seguro. Por predefinição, os clientes que executam o Windows NT 4.0 com Service Pack 2 (SP2) ou versão anterior instalada e os clientes que executam o Windows 95 não têm a assinatura de pacotes SMB activada. Por conseguinte, estes clientes poderão não conseguir efectuar a autenticação num controlador de domínio baseado em Windows Server 2003.
Definições de política Windows 2000 e Windows Server 2003: Dependendo das suas necessidades específicas de instalação e configuração, recomendamos que configure as seguintes definições de política para a entidade mais baixa de alcance necessário na hierarquia snap-in do Editor de política de grupo da Consola de Gestão da Microsoft:
Configuração do computador\Definições de segurança do Windows\Opções de segurança
Enviar palavra-passe não encriptada para ligar a servidores SMB de terceiros (Esta definição é para o Windows 2000.)
Cliente de rede da Microsoft: Enviar palavra-passe não encriptada para servidores SMB de terceiros (Esta definição é para o Windows 2003.)
Nota: em alguns servidores CIFS de terceiros, como versões mais antigas do Samba, não é possível utilizar palavras-passe encriptadas.
Os seguintes clientes são incompatíveis com a definição Servidor de rede da Microsoft: Assinar digitalmente comunicações (sempre):
Clientes Apple Computer, Inc., Mac OS X
Clientes de rede Microsoft MS-DOS (por exemplo, Microsoft LAN Manager)
Clientes Microsoft Windows for Workgroups
Clientes Microsoft Windows 95 sem Cliente DS instalado
Computadores baseados em Microsoft Windows NT 4.0 sem SP3 ou posterior instalado
Clientes Novell Netware 6 CIFS
Clientes SAMBA SMB sem suporte para assinatura SMB
Necessidades de reinício
Reinicie o computador ou reinicie o serviço de Servidor. Para o fazer, escreva os seguintes comandos numa linha de comandos. Prima ENTER depois de escrever cada comando.
net stop server net start server
Acesso à rede: Permitir conversão de SID/Nome anónimo
Informações adicionais
A definição de segurança Acesso à rede: Permitir conversão de SID/Nome anónimo determina se um utilizador anónimo pode solicitar atributos de número de identificação de segurança (SID) para outro utilizador.
Configuração de risco
A activação da definição Acesso à rede: Permitir conversão de SID/Nome anónimo é uma definição de configuração prejudicial.
Razões para activar esta definição
Se a definição Acesso à rede: Permitir conversão de SID/Nome anónimo estiver desactivada, sistemas operativos ou aplicações anteriores poderão não conseguir comunicar com domínios do Windows Server 2003. Por exemplo, os seguintes sistemas operativos, serviços ou aplicações poderão não funcionar:
Servidores de Serviço de Acesso Remoto baseados em Windows NT 4.0
Microsoft SQL Server executado em computadores baseados em Windows NT 3.x ou em Windows NT 4.0
Serviço de Acesso Remoto executado em computadores baseados em Windows 2000 localizados em domínios do Windows NT 3.x ou do Windows NT 4.0
SQL Server executado em computadores baseados em Windows 2000 localizados em domínios do Windows NT 3.x ou do Windows NT 4.0
Utilizadores no domínio de recursos do Windows NT 4.0 que pretendem atribuir permissões de acesso a ficheiros, pastas partilhadas e objectos do registo a contas de utilizador a partir de domínios de conta que contêm controladores de domínio do Windows Server 2003
Razões para desactivar esta definição
Se esta definição estiver activada, um utilizador mal intencionado poderá utilizar o conhecido SID dos Administradores para obter o nome real da conta de Administrador integrada, mesmo que o nome da conta tenha sido mudado. Esta pessoa poderá então utilizar o nome de conta para iniciar um ataque de detecção de palavras-passe.
Nome simbólico: N/D
Caminho especificado no registo: Nenhum. O caminho está especificado no código da IU.
Exemplos de problemas de compatibilidade
Windows NT 4.0: Os computadores em domínios de recursos do Windows NT 4.0 apresentarão a mensagem de erro "Conta desconhecida" no Editor de ACL se os recursos, incluindo pastas e ficheiros partilhados e objectos do registo, estiverem protegidos por principais de segurança que residem em domínios de conta contendo controladores de domínio do Windows Server 2003.
Acesso à rede: Não permitir enumeração anónima de contas SAM
Informações adicionais
A definição Acesso à rede: Não permitir enumeração anónima de contas SAM determina que permissões adicionais serão atribuídas para ligações anónimas ao computador. O Windows permite que utilizadores anónimos realizem determinadas actividades, como enumerar os nomes de contas de estações de trabalho e de servidores do gestor de contas de segurança (SAM) e de partilhas de rede. Por exemplo, um administrador pode utilizar esta definição para conceder acesso a utilizadores num domínio fidedigno que não mantém uma relação de fidedignidade recíproca. Assim que for estabelecida uma sessão, um utilizador anónimo pode ter o mesmo acesso que é concedido ao grupo Todos, com base na definição Acesso à rede: Permitir que as permissões de Todos sejam aplicadas a utilizadores anónimos ou na lista de controlo de acesso discricionário (DACL) do objecto.
Geralmente, as ligações anónimas são solicitadas por clientes de versões anteriores (clientes de nível inferior) durante a configuração da sessão de SMB. Neste tipo de casos, um rastreio de rede mostra que a ID de processo (PID) do SMB é o redireccionador de clientes, como o 0xFEFF no Windows 2000 ou o 0xCAFE no Windows NT. As RPC poderão também tentar efectuar ligações anónimas.
Importante: esta definição não tem qualquer impacto nos controladores de domínio. Nos controladores de domínio, este comportamento é controlado pela presença de "NT AUTHORITY\ANONYMOUS LOGON" em "Acesso compatível com versões anteriores ao Windows 2000".
No Windows 2000, uma definição semelhante, Restrições adicionais para ligações anónimas, gere o valor de registo
Para obter mais informações sobre o valor do registo RestrictAnonymous, clique nos números de artigo que se seguem para visualizar os artigos na Base de Dados de Conhecimento da Microsoft:
246261
(http://support.microsoft.com/kb/246261/
)
Como utilizar o valor do registo RestrictAnonymous no Windows 2000
143474
(http://support.microsoft.com/kb/143474/
)
Restringir informações disponíveis a utilizadores com início de sessão anónimo
Configurações de risco:
A activação da definição Acesso à rede: Não permitir enumeração anónima de contas SAM constitui uma definição de configuração prejudicial na perspectiva da compatibilidade; a sua desactivação constitui uma definição de configuração prejudicial na perspectiva da segurança.
Razões para activar esta definição
Um utilizador não autorizado poderá produzir anonimamente uma lista de nomes de conta e depois utilizar a informação para tentar detectar palavras-passe ou executar ataques de engenharia social. Engenharia social significa, na gíria, enganar as pessoas levando-as a revelar as suas palavras-passe ou algum tipo de informação de segurança.
Razões para desactivar esta definição
Se esta definição estiver activada, será impossível estabelecer relações fidedignas com domínios do Windows NT 4.0. Esta definição causará também problemas no que se refere a clientes de nível inferior, como clientes do Windows NT 3.51 e do Windows 95 que tentam utilizar recursos no servidor.
A Detecção de Rede de SMS não conseguirá obter informações do sistema operativo e escreverá "Desconhecido" na propriedade OperatingSystemNameandVersion.
Windows 95, Windows 98: Os clientes do Windows 95 e Windows 98 não conseguirão alterar as suas palavras-passe.
Windows NT 4.0: Os computadores membros baseados em Windows NT 4.0 não poderão ser autenticados.
Windows 95, Windows 98: Os computadores baseados em Windows 95 e Windows 98 não poderão ser autenticados por controladores de domínio da Microsoft.
Windows 95, Windows 98: Os utilizadores de computadores baseados em Windows 95 e Windows 98 não conseguirão alterar as palavras-passe das suas contas de utilizador.
Acesso à rede: Não permitir enumeração anónima de contas e partilhas SAM
Informações adicionais
A definição Acesso à rede: Não permitir enumeração anónima de contas e partilhas SAM (também conhecida como RestrictAnonymous) determina se a enumeração anónima de contas e partilhas do Gestor de Contas de Segurança (SAM, Security Accounts Manager) é permitida. O Windows permite que utilizadores anónimos realizem determinadas actividades, como enumerar os nomes de contas de domínio (utilizadores, computadores e grupos) e de partilhas de rede. Trata-se de uma opção conveniente quando um administrador pretende, por exemplo, atribuir acesso a utilizadores num domínio fidedigno que não mantém uma relação de fidedignidade recíproca. Se não pretende permitir a enumeração anónima de contas e partilhas SAM, active esta definição.
No Windows 2000, uma definição semelhante, Restrições adicionais para ligações anónimas, gere o valor de registo
A activação da definição Acesso à rede: Não permitir enumeração anónima de contas e partilhas SAM constitui uma definição de configuração prejudicial.
Razões para activar esta definição
A activação da definição Acesso à rede: Não permitir enumeração anónima de contas e partilhas SAM impede a enumeração de contas e partilhas SAM por parte de utilizadores e computadores que utilizam contas anónimas.
Razões para desactivar esta definição
Se esta definição estiver activada, um utilizador não autorizado poderá produzir anonimamente uma lista de nomes de conta e depois utilizar a informação para tentar detectar palavras-passe ou executar ataques de engenharia social. Engenharia social significa, na gíria, enganar as pessoas levando-as a revelar as suas palavras-passe ou algum tipo de informação de segurança.
Se esta definição estiver activada, será impossível estabelecer relações fidedignas com domínios do Windows NT 4.0. Esta definição causará também problemas no que se refere a clientes de nível inferior, como clientes do Windows NT 3.51 e do Windows 95 que tentam utilizar recursos no servidor.
Será impossível atribuir acesso a utilizadores de domínios de recursos, porque os administradores no domínio fidedigno não conseguirão enumerar listas de contas no outro domínio. Os utilizadores que acedem anonimamente a servidores de ficheiros e impressoras não conseguirão produzir uma lista dos recursos de rede partilhados naqueles servidores; os utilizadores têm de efectuar a autenticação antes de poderem ver as listas de pastas e impressoras partilhadas.
Windows NT 4.0: Os utilizadores não conseguirão alterar as suas palavras-passe a partir de estações de trabalho do Windows NT 4.0 quando a definição RestrictAnonymous estiver activada em controladores de domínio no domínio dos utilizadores.
Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
198941
(http://support.microsoft.com/kb/198941/
)
Os utilizadores não conseguem alterar a palavra-passe quando iniciam sessão
Windows NT 4.0: A operação de adicionar utilizadores ou grupos globais de domínios fidedignos do Windows 2000 a grupos locais do Windows NT 4.0 no Gestor de utilizadores falhará com a seguinte mensagem de erro:
Não existem actualmente servidores de início de sessão disponíveis para assistirem o pedido de início de sessão.
Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
296405
(http://support.microsoft.com/kb/296405/
)
O valor de registo 'RestrictAnonymous' pode anular as relações fidedignas com um domínio Windows 2000
Windows NT 4.0: Os computadores baseados em Windows NT 4.0 não conseguirão associar-se a domínios durante a configuração ou através da utilização da interface de utilizador de adesão ao domínio.
Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
184538
(http://support.microsoft.com/kb/184538/
)
Mensagem de erro: não foi possível encontrar um controlador para este domínio
Windows NT 4.0: Windows NT 4.0: O estabelecimento de uma relação de fidedignidade de nível inferior com domínios de recursos do Windows NT 4.0 falha com a seguinte mensagem de erro quando a definição RestrictAnonymous está activada no domínio fidedigno:
Não foi possível encontrar um controlador de domínio para este domínio.
Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
178640
(http://support.microsoft.com/kb/178640/
)
Não foi possível encontrar um controlador de domínio aquando do estabelecimento de uma relação de fidedignidade
Windows NT 4.0: Os utilizadores que iniciam sessão em computadores baseados em Windows NT 4.0 Terminal Server efectuarão o mapeamento para o directório raiz predefinido em vez de o fazer para o directório raiz que está definido no Gestor de utilizador para domínios.
Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
236185
(http://support.microsoft.com/kb/236185/
)
Os caminhos de pasta raiz e perfis de utilizador do Terminal Server são ignorados após a aplicação do SP4 ou versão posterior
Windows NT 4.0: Os controladores de domínio de reserva (BDC, Backup Domain Controllers) do Windows NT 4.0 não conseguirão iniciar o serviço Início de sessão de rede, para obter uma lista de browsers secundários ou sincronizar a base de dados SAM a partir de controladores de domínio Windows 2000 ou Windows Server 2003 no mesmo domínio.
Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
293127
(http://support.microsoft.com/kb/293127/
)
O serviço Início de sessão de rede de um BDC do Windows NT 4.0 não funciona num domínio do Windows 2000
Windows 2000: Os computadores membros baseados em Windows 2000 em domínios do Windows NT 4.0 não conseguirão ver impressoras em domínios externos se a definição Impedir o acesso sem permissões anónimas explícitas estiver activada na política de segurança local do computador cliente.
Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
280329
(http://support.microsoft.com/kb/280329/
)
O utilizador não consegue gerir ou ver propriedades da impressora
Windows 2000: Os utilizadores de domínio do Windows 2000 não conseguirão adicionar impressoras de rede a partir do Active Directory; contudo, conseguirão adicionar impressoras depois de as terem seleccionado na vista de árvore.
Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
318866
(http://support.microsoft.com/kb/318866/
)
Os clientes do Outlook não conseguem ver a lista de endereços global após a instalação do Security Rollup Package 1 (SRP1) no servidor de catálogo global
Windows 2000: Em computadores baseados em Windows 2000, o Editor ACL não conseguirá adicionar utilizadores ou grupos globais a partir de domínios fidedignos do Windows NT 4.0.
Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
296403
(http://support.microsoft.com/kb/296403/
)
O valor RestrictAnonymous anula as relações de fidedignidade num ambiente de domínio misto
ADMT versão 2: A migração de palavras-passe para contas de utilizador migradas entre florestas com a versão 2 da ferramenta de migração do Active Directory (ADMT, Active Directory Migration Tool) falhará.
Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
322981
(http://support.microsoft.com/kb/322981/
)
Como resolver problemas de migração de palavras-passe entre florestas com a ADMTv2
Clientes do Outlook: A lista de endereços global aparecerá vazia aos clientes do Microsoft Exchange Outlook.
Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
318866
(http://support.microsoft.com/kb/318866/
)
Os clientes do Outlook não conseguem ver a lista de endereços global após a instalação do Security Rollup Package 1 (SR) no servidor de catálogo global
321169
(http://support.microsoft.com/kb/321169/
)
Desempenho lento do SMB quando copia ficheiros do Windows XP para um controlador de domínio do Windows 2000
SMS: A detecção de rede do Microsoft Systems Management Server (SMS) não conseguirá obter informações do sistema operativo. Consequentemente, escreverá "Desconhecido" na propriedade OperatingSystemNameandVersion da propriedade SMS DDR do registo de dados descobertos (DDR, Discovery Data Record).
Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
229769
(http://support.microsoft.com/kb/229769/
)
Como o Gestor de Dados Descobertos determina quando gerar um pedido de configuração de cliente
SMS: Quando utiliza o Assistente de Utilizador do Administrador do SMS para procurar utilizadores e grupos, a lista não apresenta nenhum utilizador ou grupo. Por outro lado, os clientes avançados não conseguem comunicar com o Ponto de gestão. É necessário acesso anónimo ao Ponto de gestão.
Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
302413
(http://support.microsoft.com/kb/302413/
)
A lista do Assistente de Utilizador do Administrador não apresenta nenhum utilizador ou grupo
SMS: Quando utiliza a funcionalidade de Detecção de rede no SMS 2.0 e na Instalação remota de clientes com a opção de detecção de rede Topologia, cliente e sistemas operativos do cliente activada, os computadores podem ser detectados, mas não instalados.
Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
311257
(http://support.microsoft.com/kb/311257/
)
Os recursos não são detectados se as ligações anónimas estiverem desactivadas
Segurança de rede: Nível de autenticação LAN Manager
Informações adicionais
A autenticação LAN Manager (LM) é o protocolo utilizado para autenticar clientes do Windows para operações de rede, incluindo adesões de domínios, acesso a recursos de rede e autenticação do utilizador ou do computador. O nível de autenticação LM determina que protocolo de autenticação de desafio/resposta é negociado entre os computadores cliente e servidor. Mais especificamente, o nível de autenticação LM determina quais os protocolos de autenticação que o cliente tentará negociar ou que o servidor aceitará. O valor definido para LmCompatibilityLevel determina que protocolo de autenticação de desafio/resposta é utilizado para inícios de sessão na rede. Este valor afecta o nível de protocolo de autenticação que os clientes utilizam, o nível de segurança de sessão negociado e o nível de autenticação aceite pelos servidores, de acordo com a seguinte tabela.
As definições possíveis incluem as seguintes:
Reduzir esta tabelaExpandir esta tabela
Valor
Definição
Descrição
0
Enviar respostas de LM e NTLM
Os clientes utilizam autenticação LM e NTLM e nunca utilizam segurança de sessão NTLMv2; os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2.
1
Enviar LM e NTLM - usar segurança de sessão NTLMv2 se negociada
Os clientes utilizam autenticação LM e NTLM e utilizam segurança de sessão NTLMv2 caso seja suportada pelo servidor; os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2.
2
Enviar apenas resposta NTLM
Os clientes utilizam apenas autenticação NTLM e utilizam segurança de sessão NTLMv2 caso seja suportada pelo servidor; os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2.
3
Enviar apenas resposta NTLMv2
Os clientes utilizam apenas autenticação NTLMv2 e utilizam segurança de sessão NTLMv2 caso seja suportada pelo servidor; os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2.
4
Enviar apenas resposta NTLMv2/recusar LM
Os clientes utilizam apenas autenticação NTLMv2 e utilizam segurança de sessão NTLMv2 caso seja suportada pelo servidor. Os controladores de domínio recusam LM e aceitam apenas autenticação NTLM e NTLMv2.
5
Enviar apenas resposta NTLMv2/recusar LM e NTLM
Os clientes utilizam apenas autenticação NTLMv2 e utilizam segurança de sessão NTLMv2 caso seja suportada pelo servidor; os controladores de domínio recusam LM e NTLM (aceitam apenas autenticação NTLMv2).
Nota: no Windows 95, Windows 98 e Windows 98 Second Edition, o cliente de serviços de directório utiliza a assinatura SMB quando autentica com servidores Windows Server 2003 utilizando a autenticação NTLM. No entanto, estes clientes não utilizam a assinatura SMB quando autenticam com estes servidores utilizando a autenticação NTLMv2. Por outro lado, os servidores com o Windows 2000 não respondem a pedidos de assinatura SMB efectuados por estes clientes.
Verifique o nível de autenticação LM Deve alterar a política no servidor para permitir NTLM ou configurar o computador cliente para que passe a suportar NTLMv2.
Se a política estiver definida como (5) Enviar apenas resposta NTLMv2\Recusar LM e NTLM no computador de destino ao qual pretende ligar, tem de diminuir a definição nesse computador ou configurar a segurança com a mesma definição do computador de origem a partir do qual está a estabelecer a ligação.
Descubra a localização correcta onde poderá alterar o nível de autenticação LAN Manager para definir o cliente e o servidor para o mesmo nível. Quando souber qual a política que está a definir o nível de autenticação LAN Manager, se pretender estabelecer ligação entre computadores com versões anteriores do Windows, diminua o valor para, no mínimo, (1) Enviar LM e NTLM - usar segurança de sessão NTLM versão 2 se negociada. Um efeito de definições incompatíveis é que se o servidor necessitar de NTLMv2 (valor 5), mas o cliente estiver configurado para utilizar apenas LM e NTLMv1 (valor 0), o utilizador que tentar a autenticação receberá um erro de início de sessão de palavra-passe incorrecta e que incrementa a contagem de palavras-passe incorrectas. Se o bloqueio de conta estiver configurado, o utilizador poderá eventualmente ser bloqueado.
Por exemplo, poderá ter de procurar no controlador de domínio ou poderá ter de procurar nas políticas do controlador de domínio.
Procurar no controlador de domínio Nota: poderá ter de repetir o seguinte procedimento em todos os controladores de domínio.
Clique em Iniciar, aponte para Programas e clique em Ferramentas administrativas.
Em Definições da segurança local, expanda Políticas locais.
Clique em Opções de segurança.
Faça duplo clique em Segurança de rede: nível de autenticação LAN Manager e clique num valor apropriado da lista.
Se a Definição efectiva e a Definição local forem iguais, a política terá sido alterada a este nível. Se as definições forem diferentes, deve verificar a política do controlador de domínio para detectar se a definição Segurança de rede: nível de autenticação LAN manager está configurada. Se não estiver configurada, verifique as políticas do controlador de domínio.
Verifique as políticas do controlador de domínio
Clique em Iniciar, aponte para Programas e clique em Ferramentas administrativas.
Na política Segurança do controlador de domínio, expanda Definições de segurança e depois expanda Políticas locais.
Clique em Opções de segurança.
Faça duplo clique em Segurança de rede: nível de autenticação LAN Manager e clique num valor apropriado da lista.
Nota:
poderá também ter de verificar políticas que se encontram associadas ao nível do Web site, ao nível do domínio ou ao nível da unidade organizacional (UO) para determinar se deve configurar o nível de autenticação LAN Manager.
Se implementar uma definição de Política de grupo como política de domínio predefinida, a política será aplicada a todos os computadores do domínio.
Se implementar uma definição de Política de grupo como política predefinida do controlador de domínio, a política aplicar-se-á apenas aos servidores da UO do controlador de domínio.
É conveniente definir o nível de autenticação LAN Manager para a entidade mais baixa de alcance necessário na hierarquia de aplicação de políticas.
Actualize a política depois de efectuar quaisquer alterações. (Se a alteração for efectuada ao nível das definições de segurança local, entrará imediatamente em vigor. No entanto, deve reiniciar os clientes antes de efectuar os testes.)
Por predefinição, as definições de Política de grupo são actualizadas nos controladores de domínio de cinco em cinco minutos. Para forçar de imediato a actualização das definições de política no Windows 2000 ou versões posteriores, utilize o comando gpupdate.
O comando gpupdate /force actualiza as definições locais de Política de grupo e as definições de Politica de grupo baseadas no serviço de directório Active Directory, incluindo definições de segurança. Este comando substitui a agora obsoleta opção /refreshpolicy do comando secedit.
O comando gpupdate utiliza a seguinte sintaxe: gpupdate [/target:{computador|utilizador}] [/force] [/wait:valor] [/logoff] [/boot]
Aplique o novo objecto de Política de Grupo (GPO, Group Policy object) utilizando o comando gpupdate para reaplicar manualmente todas as definições de política. Para o fazer, escreva o seguinte na linha de comandos e prima ENTER:
GPUpdate /Force
Verifique o registo de eventos de aplicações para se certificar de que a definição de política foi aplicada com sucesso.
No Windows XP e Windows Server 2003, pode utilizar o snap-in Conjunto de Políticas Resultante (RSoP, Resultant Set of Policy) para ver a definição efectiva. Para tal, clique em Iniciar, clique em Executar, escreva rsop.msc e clique em OK.
Se o problema persistir depois de ter alterado a política, reinicie o servidor baseado em Windows e verifique se o problema foi resolvido.
Nota: se tiver múltiplos controladores de domínio baseados em Windows 2000, controladores de domínio baseados em Windows Server 2003 ou em ambos, poderá ter de replicar o Active Directory para se certificar de que estes controladores de domínio possuem imediatamente as alterações actualizadas.
Em alternativa, a definição poderá parecer ter sido configurada para a definição mais baixa da política de segurança local. Se puder impor a definição através de uma base de dados de segurança, poderá, como alternativa, definir o nível de autenticação LAN Manager no registo editando a entrada LmCompatibilityLevel na seguinte subchave de registo:
O Windows Server 2003 tem uma nova predefinição para usar apenas NTLMv2. Por predefinição, os controladores de domínio baseados em Windows Server 2003 e Windows 2000 Server SP3 têm activada a política "Servidor de rede da Microsoft: Assinar digitalmente comunicações (sempre)". Esta definição exige que o servidor de SMB efectue a assinatura de pacotes SMB.
Foram efectuadas alterações no Windows Server 2003 porque os controladores de domínio, servidores de ficheiros, servidores de infra-estrutura de rede e servidores Web em qualquer organização exigem diferentes definições para maximizar a sua segurança.
Se pretende implementar a autenticação NTLMv2 na sua rede, deve certificar-se de que todos os computadores no domínio estão configurados para utilizar este nível de autenticação. Se aplicar as extensões de cliente do Active Directory para o Windows 95 ou Windows 98 e Windows NT 4.0, as extensões de cliente utilizarão as funcionalidades de autenticação optimizadas que estão disponíveis no NTLMv2.
Devido ao facto de os computadores cliente com qualquer um dos seguintes sistemas operativos não serem afectados pelos objectos de Política de Grupo do Windows 2000, poderá ter de configurar manualmente estes clientes:
Microsoft Windows NT 4.0
Microsoft Windows Millennium Edition
Microsoft Windows 98
Microsoft Windows 95
Nota: Se activar a política Segurança de rede: Não armazenar o valor hash do LAN Manager na alteração seguinte da palavra-passe ou definir a chave de registo NoLMHash, os clientes baseados em Windows 95 e Windows 98 sem o cliente de serviços de directório instalado não conseguirão iniciar sessão no domínio depois de uma alteração da palavra-passe.
Muitos servidores CIFS de terceiros, como o Novell Netware 6, não têm conhecimento do NTLMv2 e utilizam apenas o NTLM. Consequentemente, níveis superiores a 2 não permitem conectividade.
Para obter informações adicionais sobre como configurar manualmente o nível de autenticação LAN Manager, clique nos números de artigo que se seguem para visualizar os artigos na Base de Dados de Conhecimento da Microsoft:
147706
(http://support.microsoft.com/kb/147706/
)
Como desactivar a autenticação LM no Windows NT
175641
(http://support.microsoft.com/kb/175641/
)
LMCompatibilityLevel e seus efeitos
299656
(http://support.microsoft.com/kb/299656/
)
Como impedir o Windows de armazenar um valor hash do LAN Manager da sua palavra-passe no Active Directory e em bases de dados locais do SAM
312630
(http://support.microsoft.com/kb/312630/
)
O Outlook continua a solicitar-lhe credenciais de início de sessão
Para mais informações sobre níveis de autenticação LM, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
239869
(http://support.microsoft.com/kb/239869/
)
Como activar a autenticação NTLM 2
Configurações de risco
Seguem-se definições de configuração prejudiciais:
Definições não restritivas que enviam palavras-passe em texto simples e que recusam negociação NTLMv2
Definições restritivas que impedem que clientes ou controladores de domínio incompatíveis negoceiem um protocolo de autenticação comum
Exigir autenticação NTLMv2 em computadores membros e controladores de domínio com versões do Windows NT 4.0 anteriores ao Service Pack 4 (SP4)
Exigir autenticação NTLMv2 em clientes Windows 95 ou Windows 98 sem o cliente de serviços de directório do Windows instalado.
Se clicar para seleccionar a caixa de verificação Exigir segurança de sessão NTLMv2 no snap-in do Editor de política de grupo da Consola de Gestão da Microsoft num computador baseado em Windows Server 2003 ou Windows 2000 Service Pack 3 e reduzir o nível de autenticação LAN Manager para 0, as duas definições entrarão em conflito e poderá receber a seguinte mensagem de erro no ficheiro Secpol.msc ou no ficheiro GPEdit.msc:
O Windows não consegue abrir a base de dados da política local. Ocorreu um erro desconhecido ao tentar abrir a base de dados.
Para mais informações sobre a ferramenta de Análise e configuração da segurança, consulte os ficheiros de Ajuda do Windows 2000 ou do Windows Server 2003.
Para mais informações sobre como analisar os níveis de segurança no Windows 2000 e Windows Server 2003, clique nos números de artigo que se seguem para visualizar os artigos na Base de Dados de Conhecimento da Microsoft:
313203
(http://support.microsoft.com/kb/313203/
)
COMO: Analisar a segurança do sistema no Windows 2000
816580
(http://support.microsoft.com/kb/816580/
)
Como analisar a segurança do sistema no Windows Server 2003
Razões para modificar esta definição
Pretende aumentar o protocolo de autenticação comum mais baixo que é suportado por clientes e controladores de domínio na sua organização.
Em circunstâncias em que a autenticação segura é um requisito empresarial, pretende retirar a autorização de negociação dos protocolos LM e NTLM.
Razões para desactivar esta definição
Os requisitos de autenticação de cliente ou de servidor, ou ambos, foram aumentados a ponto de não ser possível a autenticação com base num protocolo comum.
Windows Server 2003: Por predefinição, a definição das respostas Windows Server 2003 NTLMv2 Send NTLM está activada. Consequentemente, o Windows Server 2003 recebe a mensagem de erro "Acesso negado" após a instalação inicial quando o utilizador tenta estabelecer ligação com um cluster baseado em Windows NT 4.0 ou servidores baseados em LanManager V2.1, como o OS/2 Lanserver. Este problema ocorre também se tentar estabelecer ligação com um servidor baseado em Windows Server 2003 a partir de um cliente de versão anterior.
Instalou o Windows 2000 Security Rollup Package 1 (SRP1). O SRP1 força o NTLM versão 2 (NTLMv2). Este pacote de agregação foi disponibilizado depois do lançamento do Windows 2000 Service Pack 2 (SP2). Para mais informações sobre o SRP1, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
311401
(http://support.microsoft.com/kb/311401/
)
Windows 2000 Security Rollup Package 1 (SRP1), Janeiro de 2002
Os clientes do Microsoft Outlook podem ser solicitados a apresentar credenciais apesar de já terem sessão iniciada no domínio. Quando os utilizadores submetem as suas credenciais, recebem a seguinte mensagem de erro:
As credenciais de início de sessão fornecidas estavam incorrectas. Certifique-se de que o nome de utilizador e o domínio estão correctos e, em seguida, insira novamente a palavra-passe.
Quando inicia o Outlook, poderá ser solicitado a submeter as suas credenciais mesmo que a sua definição de Segurança de rede de início de sessão esteja definida para Passagem ou para Autenticação por palavra-passe. Depois de introduzir as suas credenciais correctas, poderá receber a seguinte mensagem de erro:
As credenciais de início de sessão fornecidas estavam incorrectas.
Um rastreio do Monitor de rede pode indicar que o catálogo global emitiu um erro de chamada de procedimento remoto (RPC, Remote Procedure Call) com o estado de 0x5. Um estado de 0x5 significa "Acesso negado".
Windows 2000: Uma captura do Monitor de rede pode mostrar os seguintes erros na sessão do bloco de mensagens de servidor (SMB) do NetBIOS sobre TCP/IP (NetBT):
SMB R Search Directory Dos error, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Invalid user identifier
Windows 2000: Se um domínio do Windows 2000 com NTLMv2 de Nível 2 ou posterior for considerado fidedigno por um domínio do Windows NT 4.0, os computadores membros baseados no Windows 2000 no domínio de recursos poderão deparar-se com erros de autenticação.
Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
305379
(http://support.microsoft.com/kb/305379/
)
Problemas de autenticação no Windows 2000 com níveis de NTLM 2 superiores a 2 num domínio do Windows NT 4.0
Windows 2000 e Windows XP: Por predefinição, o Windows 2000 e o Windows XP definem a opção Política de Segurança Local do Nível de Autenticação LAN Manager para 0. Uma definição de 0 significa "Enviar respostas de LM e NTLM".
Nota: os clusters baseados em Windows NT 4.0 devem utilizar LM para administração.
Windows 2000: O clustering do Windows 2000 não autentica um nó a unir se ambos os nós pertencerem a um domínio do Windows NT 4.0 Service Pack 6a (SP6a).
Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
305379
(http://support.microsoft.com/kb/305379/
)
Problemas de autenticação no Windows 2000 com níveis de NTLM 2 superiores a 2 num domínio do Windows NT 4.0
A ferramenta de bloqueio do IIS (HiSecWeb) define o valor de LMCompatibilityLevel para 5 e o valor de RestrictAnonymous para 2.
Serviços para Macintosh
Módulo de Autenticação de Utilizador (UAM): O Módulo de Autenticação de Utilizador (UAM) da Microsoft fornece um método para encriptar as palavras-passe utilizadas para iniciar sessão nos servidores Windows AFP (AppleTalk Filing Protocol). O Módulo de Autenticação de Utilizador (UAM) da Apple fornece apenas encriptação mínima ou nenhuma. Consequentemente, a sua palavra-passe poderia ser facilmente interceptada na LAN ou na Internet. Embora o UAM não seja necessário, na realidade fornece autenticação encriptada a servidores Windows 2000 que executam serviços para Macintosh. Esta versão inclui suporte para autenticação encriptada NTLMv2 de 128 bits e uma edição compatível com MacOS X 10.1.
Por predefinição, os Serviços do Windows Server 2003 para Macintosh permitem apenas Autenticação da Microsoft.
Para obter mais informações, clique nos números de artigo que se seguem para visualizar os artigos na Base de Dados de Conhecimento da Microsoft:
834498
(http://support.microsoft.com/kb/834498/
)
O cliente Macintosh não consegue estabelecer ligação com os Serviços para Mac no Windows Server 2003
838331
(http://support.microsoft.com/kb/838331/
)
Os utilizadores de Mac OS X não conseguem abrir pastas partilhadas Macintosh num servidor baseado em Windows Server 2003
Windows Server 2008, Windows Server 2003, Windows XP e Windows 2000: Se configurar o valor de LMCompatibilityLevel para 0 ou 1 e depois configurar o valor de NoLMHash para 1, as aplicações e componentes poderão ver recusado o seu acesso através do NTLM. Este problema ocorre porque o computador está configurado para activar LM mas não para utilizar palavras-passe armazenadas no LM.
Se configurar o valor de NoLMHash para 1, deve configurar o valor de LMCompatibilityLevel para 2 ou superior.
Segurança de rede: Requisitos de assinatura de cliente LDAP
Informações adicionais
A definição Segurança de rede: Requisitos de assinatura de cliente LDAP determina o nível de assinatura de dados que é solicitado em nome de clientes que emitem pedidos de ligação através do protocolo simples de acesso a directórios (LDAP, Lightweight Directory Access Protocol), como segue:
Nenhum: O pedido de ligação LDAP é emitido com as opções especificadas pelo autor da chamada.
Negociar assinatura: Se os protocolos SSL/TLS (Secure Sockets Layer/Transport Layer Security) não tiverem sido iniciados, o pedido de ligação LDAP é iniciado com a opção de assinatura de dados LDAP definida, para além das opções especificadas pelo autor da chamada. Se o SSL/TLS foi iniciado, o pedido de ligação LDAP é iniciado com as opções especificadas pelo autor da chamada.
Exigir assinatura: É o mesmo que Negociar assinatura. Contudo, se a resposta intermédia saslBindInProgress do servidor LDAP não indicar que a assinatura de tráfego LDAP é exigida, é comunicado ao autor da chamada que o pedido do comando LDAP Bind falhou.
Configuração de risco
A activação da definição Segurança de rede: Requisitos de assinatura de cliente LDAP constitui uma definição de configuração prejudicial. Se definir o servidor para exigir assinaturas LDAP, deve também configurar a assinatura LDAP no cliente. A não configuração do cliente para utilizar assinaturas LDAP impedirá a comunicação com o servidor; desta forma, a autenticação do utilizador, as definições de Política de Grupo, os scripts de início de sessão e outras funcionalidades falharão.
Razões para modificar esta definição
O tráfego de rede não assinado é susceptível a ataques de intermediário (man-in-the-middle), mediante os quais um intruso captura pacotes entre o cliente e os servidores, modifica-os e depois encaminha-os para o servidor. Quando tal se verifica num servidor LDAP, um atacante poderá fazer com que um servidor responda com base em consultas falsas do cliente LDAP. Pode reduzir este risco numa rede empresarial através da implementação de fortes medidas de segurança física para ajudar a proteger a infra-estrutura de rede. Por outro lado, todas as formas de ataque de intermediário (man-in-the-middle) podem deparar-se com grandes dificuldades se forem exigidas assinaturas digitais em todos os pacotes de rede mediante cabeçalhos de autenticação IPSec.
Registo de eventos: Tamanho máximo do registo de segurança
Informações adicionais
A definição de segurança Registo de eventos: Tamanho máximo do registo de segurança especifica o tamanho máximo de um registo de eventos da segurança. Este registo tem um tamanho máximo de 4 GB. Para localizar esta definição, expanda Definições do Windows e depois expanda Definições de segurança.
Configurações de risco
Seguem-se definições de configuração prejudiciais:
Restringir o tamanho do registo de segurança e o método de retenção do registo de segurança quando a definição Auditoria: Encerrar o sistema imediatamente se não for possível registar auditorias de segurança está activada. Consulte a secção "Auditoria: Encerrar o sistema imediatamente se não for possível registar auditorias de segurança" neste artigo para obter mais informações.
Restringir o tamanho do registo de segurança para que sejam substituídos eventos de segurança de interesse.
Razões para aumentar esta definição
Os requisitos empresariais e de segurança podem ditar o aumento do tamanho do registo de segurança como forma de lidar com detalhes do registo de segurança adicionais ou de reter registos de segurança durante mais tempo.
Razões para reduzir esta definição
Os registos do Visualizador de eventos são ficheiros mapeados para a memória. O tamanho máximo de um registo de eventos é limitado pelo volume de memória física no computador local e pela memória virtual que está disponível para o processo do registo de eventos. Aumentar o tamanho do registo para além do volume de memória virtual que está disponível para o Visualizador de eventos não aumenta o número de entradas do registo que são mantidas.
Exemplos de problemas de compatibilidade
Windows 2000: Os computadores com versões do Windows 2000 anteriores ao Service Pack 4 (SP4) podem parar de registar eventos no registo de eventos antes de atingir o tamanho que é especificado na definição Tamanho máximo do registo no Visualizador de eventos se a opção Não substituir eventos (limpar registo manualmente) estiver activada.
Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
312571
(http://support.microsoft.com/kb/312571/
)
O registo de eventos deixa de registar eventos antes de alcançar o tamanho máximo do registo
Registo de eventos: Reter registo de segurança
Informações adicionais
A definição de segurança Registo de eventos: Reter registo de segurança determina o método de "moldagem" para o registo de segurança. Para localizar esta definição, expanda Definições do Windows e depois expanda Definições de segurança.
Configurações de risco
Seguem-se definições de configuração prejudiciais:
Não reter todos os eventos de segurança registados antes que sejam substituídos
Configurar a definição Tamanho máximo do registo de segurança para um nível demasiado baixo, permitindo a substituição de eventos de segurança
Restringir o tamanho do registo de segurança e o método de retenção enquanto a definição de segurança Auditoria: Encerrar o sistema imediatamente se não for possível registar auditorias de segurança está activada.
Razões para activar esta definição
Active esta definição apenas se seleccionar o método de retenção Substituir eventos por dias. Se utilizar um sistema de correlação de eventos que efectua consultas por eventos, certifique-se de que o número de dias é, pelo menos, três vezes superior à frequência das consultas. Desta forma compensará ciclos de consulta falhados.
Acesso à rede: Permitir que as permissões Todos sejam aplicadas a utilizadores anónimos
Informações adicionais
Por predefinição, a definição Acesso à rede: Permitir que as permissões Todos sejam aplicadas a utilizadores anónimos está configurada para Não definido no Windows Server 2003. Por predefinição, o Windows Server 2003 não inclui o token de Acesso anónimo no grupo Todos.
[REG_DWORD]=0x0 quebra a criação de fidedignidade entre o Windows Server 2003 e o Windows NT 4.0, quando o domínio do Windows Server 2003 é o domínio de contas e o domínio do Windows NT 4.0 é o domínio de recursos. Isto significa que o domínio de contas é considerado fidedigno no Windows NT 4.0 e que o domínio de recursos considera fidedigno no lado do Windows Server 2003. Este comportamento ocorre porque o processo de início da relação de fidedignidade após a ligação anónima inicial é inserido na ACL com o token Todos que inclui o SID anónimo no Windows NT 4.0.
Razões para modificar esta definição
O valor deve ser definido para 0x1 ou definido através da utilização de um GPO na UO do controlador de domínio para que seja activada a definição: Acesso à rede: Permitir que as permissões Todos sejam aplicadas a utilizadores anónimos, tornando possíveis as criações de fidedignidade.
Nota: a maioria das outras definições de segurança aumentam em valor em vez de baixarem para 0x0 no seu estado mais seguro. Uma prática mais segura seria a de alterar o registo no emulador do controlador de domínio principal e não em todos os controladores de domínio. Se a função do emulador do controlador de domínio principal for removida por qualquer razão, o registo deve ser actualizado no novo servidor.
É necessário reiniciar após a definição deste valor.
A segurança de sessão determina as normas mínimas de segurança para sessões de cliente e de servidor. É conveniente verificar as seguintes definições de política de segurança no snap-in Editor de Política de Grupo da Consola de Gestão da Microsoft:
Definições do computador\Definições do Windows\Definições de segurança\Políticas Locais\Opções de Segurança
Segurança de rede: segurança de sessão mínima para servidores baseados em NTLM SSP (incluindo servidores RPC protegidos)
Segurança de rede: segurança de sessão mínima para clientes baseados em NTLM SSP (incluindo clientes RPC protegidos)
As opções para estas definições são:
Exigir integridade das mensagens
Exigir confidencialidade das mensagens
Exigir segurança de sessão NTLM versão 2
Exigir encriptação de 128 bits
A predefinição é Sem requisitos.
Estas políticas determinam os padrões de segurança mínimos para uma sessão de comunicação de aplicação para aplicação num servidor para um cliente.
Historicamente, o Windows NT tem suportado as duas seguintes variantes de autenticação desafio/resposta para inícios de sessão na rede:
desafio/resposta LM
desafio/resposta NTLM versão 1
O LM permite a interoperabilidade com a base instalada de clientes e servidores. O NTLM fornece segurança melhorada para ligações entre clientes e servidores.
As chaves de registo correspondentes são as seguintes:
A sincronização de hora falhou. A hora tem uma diferença superior a 30 minutos num computador afectado. Certifique-se de que o relógio do computador cliente está sincronizado com o relógio do controlador de domínio.
Recomendamos que instale o Service Pack 6a (SP6a) em clientes do Windows NT 4.0 que interoperam num domínio baseado no Windows Server 2003. Clientes baseados no Windows 98 Second Edition, Windows 98 e Windows 95 devem executar o cliente de serviços de directório para realizar NTLMv2. Se clientes baseados no Windows NT 4.0 não tiverem instalado o Windows NT 4.0 SP6 ou se clientes baseados em Windows 95, Windows 98 e Windows 98SE não tiverem instalado o cliente de serviços de directório, desactive a assinatura SMB na política predefinida do controlador de domínio na UO do controlador de domínio e depois associe esta política a todas as UO que alojam controladores de domínio.
O cliente de serviços de directório para o Windows 98 Second Edition, Windows 98 e Windows 95 realizará a assinatura SMB com servidores Windows 2003 sob autenticação NTLM, mas não sob autenticação NTLMv2. Por outro lado, os servidores com o Windows 2000 não responderão a pedidos de assinatura SMB efectuados por estes clientes.
Embora a Microsoft não o recomende, pode impedir que a assinatura SMB seja solicitada em todos os controladores de domínio que executam o Windows Server 2003 num domínio. Para configurar esta definição de segurança, siga estes passos:
Abra a política predefinida do controlador de domínio.
Abra a pasta Configuração de computador\Definições do Windows\Definições de segurança\Políticas locais\Opções de segurança.
Localize e clique na definição de política Servidor de rede da Microsoft: Assinar digitalmente comunicações (sempre) e, em seguida, clique em Desactivada.
Importante: esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Assim, certifique-se de que segue estes passos cuidadosamente. Para uma maior segurança, efectue uma cópia de segurança do registo antes de o modificar. Deste modo, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
322756
(http://support.microsoft.com/kb/322756/
)
Como efectuar cópias de segurança e restaurar o registo no Windows
Em alternativa, desactive a assinatura SMB no servidor modificando o registo. Para o fazer, siga estes passos:
Clique em Iniciar, clique em Executar, escreva regedit e clique em OK.
Localize e, em seguida, clique na seguinte subchave:
Na caixa Dados do valor, escreva 0 e clique em OK.
Saia do Editor de Registo.
Reinicie o computador, ou pare, e depois reinicie o serviço de Servidor. Para o fazer, escreva os seguintes comandos numa linha de comandos e prima ENTER depois de escrever cada comando: net stop server net start server
Nota: a chave correspondente no computador cliente encontra-se na seguinte subchave do registo:
Segue-se uma lista com os números de código de erro convertidos em códigos de estado e em texto de mensagens de erro integral mencionados anteriormente:
erro 5 ERROR_ACCESS_DENIED
O acesso é negado.
erro 1326
ERROR_LOGON_FAILURE
Erro de início de sessão: nome de utilizador desconhecido ou palavra-passe incorrecta.
erro 1788
ERROR_TRUSTED_DOMAIN_FAILURE
A relação de fidedignidade entre o domínio primário e o domínio fidedigno falhou.
erro 1789
ERROR_TRUSTED_RELATIONSHIP_FAILURE
A relação de fidedignidade entre esta estação de trabalho e o domínio primário falhou.
Para obter mais informações, clique nos números de artigo que se seguem para visualizar os artigos na Base de Dados de Conhecimento da Microsoft:
324802
(http://support.microsoft.com/kb/324802/
)
Como configurar Políticas de grupo para definir a segurança para serviços de sistema no Windows Server 2003
306771
(http://support.microsoft.com/kb/306771/
)
Mensagem de erro de "Acesso negado" depois de configurar um cluster do Windows Server 2003
101747
(http://support.microsoft.com/kb/101747/
)
Como instalar autenticação Microsoft num Macintosh
161372
(http://support.microsoft.com/kb/161372/
)
Como activar assinaturas SMB no Windows NT
236414
(http://support.microsoft.com/kb/236414/
)
Não é possível utilizar partilhas com o LMCompatibilityLevel definido para autenticação NTLM 2 apenas
241338
(http://support.microsoft.com/kb/241338/
)
O cliente do Windows NT LAN Manager versão 3 com primeiro início de sessão impede actividades de início de sessão subsequentes
262890
(http://support.microsoft.com/kb/262890/
)
Não é possível obter a ligação à unidade do directório raiz num ambiente misto
308580
(http://support.microsoft.com/kb/308580/
)
Os mapeamentos da pasta raiz para servidores de nível inferior podem não funcionar durante o início de sessão
285901
(http://support.microsoft.com/kb/285901/
)
Os clientes de acesso remoto, VPN e RIS não conseguem estabelecer sessões com um servidor configurado para aceitar apenas autenticação NTLM versão 2
816585
(http://support.microsoft.com/kb/816585/
)
Como aplicar modelos de segurança predefinidos no Windows Server 2003
820281
(http://support.microsoft.com/kb/820281/
)
Tem de fornecer as credenciais da conta do Windows quando liga ao Exchange Server 2003 através de HTTP com o Outlook
Quanto esforço foi necessário para seguir os procedimentos deste artigo?
Muito baixo
Baixo
Moderado
Alto
Muito alto
O que podemos fazer para melhor estas informações?
Para proteger a sua privacidade, não inclua as informações de contacto nos comentários.
Obrigado! Os seus comentários serão utilizados para nos ajudar a melhorar o conteúdo do suporte. Para obter mais opções de assistência, visite a Home Page da Ajuda e Suporte.
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
Voltar ao topo
