Descrição das alterações às definições de segurança do DCOM após a instalação do Windows Server 2003 Service Pack 1

Traduções de Artigos Traduções de Artigos
Artigo: 903220 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

INTRODUÇÃO

O Microsoft Windows Server 2003 Service Pack 1 (SP1) apresenta algumas definições de segurança predefinidas melhoradas para o protocolo DCOM. Especificamente, o Windows Server 2003 SP1 inclui direitos que concedem a um administrador um controlo independente das permissões locais e remotas para o início de servidores COM, activação de definições de servidor COM e acesso a servidores COM. Este artigo descreve as alterações às definições de segurança do DCOM.

Mais Informação

Os serviços de certificados do Windows Server 2003 utilizam um protocolo DCOM que fornece serviços de inscrição e administração. Os serviços de certificados fornecem várias interfaces do DCOM para disponibilizar serviços de inscrição e administração. Para o acesso e utilização destes serviços de forma correcta, os serviços de certificados pressupõem que as interfaces do DCOM estejam definidas para autorizarem permissões de acesso e de activação remota. No entanto, uma vez que as definições de segurança predefinidas do DCOM são aplicadas quando actualiza para o Windows Server 2003 SP1, poderá ser necessário actualizar estas definições de segurança para garantir que os serviços de inscrição e administração estão disponíveis.

Por predefinição, todas as interfaces do DCOM no Windows Server 2003 SP1 estão configuradas para concederem permissões de acesso remoto, permissões de arranque remoto e permissões de activação remota aos administradores. No entanto, quando actualiza para o Windows Server 2003 SP1, as alterações de configuração de segurança são efectuadas na interface do DCOM global e na interface do DCOM de pedido de CertSrv. Estas alterações são efectuadas para que os serviços de certificados funcionem correctamente.

Nota: quaisquer alterações efectuadas às definições de segurança da interface do DCOM de pedido de CertSrv antes de instalar o Windows Server 2003 SP1 são perdidas. O programa de configuração do Windows Server 2003 SP1 repõe todas as predefinições de segurança na interface do DCOM de pedido de CertSrv.

Durante o programa de configuração do Windows Server 2003 SP1, os serviços de certificados actualizam automaticamente as definições de segurança do DCOM do seguinte modo:
    Interface do DCOM de pedido de CertSrv
    • São concedidas permissões de acesso remoto e local ao grupo de segurança Todos (Everyone).
    • São concedidas permissões de activação remota e local ao grupo de segurança Todos (Everyone).
    • Não são concedidas permissões de arranque remoto ou local ao grupo de segurança Todos (Everyone).

  • Definições de restrição do computador DCOM
    • É criado automaticamente um novo grupo de segurança, CERTSVC_DCOM_ACCESS.

      Se a autoridade de certificação estiver instalada num servidor membro, o grupo CERTSVC_DCOM_ACCESS é criado como um grupo local do computador. O grupo de segurança Todos (Everyone) é adicionado ao CERTSVC_DCOM_ACCESS.

      Se a autoridade de certificação estiver instalada num controlador de domínio, o grupo CERTSVC_DCOM_ACCESS é criado como um grupo local do domínio. O grupo de segurança Utilizadores do domínio (Domain Users) e o grupo de segurança Computadores do domínio (Domain Computers) do domínio de autoridade de certificação são adicionados ao CERTSVC_DCOM_ACCESS. Se os controladores de domínio necessitarem de ter acesso a esta interface para pedir certificados à autoridade de certificação, terá de adicionar o grupo de segurança Controladores de domínio (Domain Controllers). Este procedimento é necessário porque os controladores de domínio não fazem parte do grupo de segurança Computadores do domínio (Domain Computers).
    • São concedidas permissões de acesso remoto e local ao grupo de segurança CERTSVC_DCOM_ACCESS.
    • São concedidas permissões de activação remota e local ao grupo de segurança CERTSVC_DCOM_ACCESS.
    • Não são concedidas permissões de arranque remoto ou local ao grupo de segurança CERTSVC_DCOM_ACCESS.
    Nota: se a autoridade de certificação estiver instalada num controlador de domínio e se existir mais do que um domínio na empresa, os serviços de certificados não conseguirão actualizar automaticamente as definições de segurança do DCOM de inscritos que não se encontrem no domínio da autoridade de certificação. Por conseguinte, o acesso à autoridade de certificação para inscrição será negado a estes inscritos.

    Para resolver este problema, tem de adicionar manualmente os utilizadores ao grupo de segurança CERTSVC_DCOM_ACCESS. Uma vez que o grupo de segurança CERTSVC_DCOM_ACCESS é um grupo local de domínio, só poderá adicionar grupos de domínio ao mesmo. Por exemplo, se existirem utilizadores e computadores de outro domínio, o domínio Contoso, que necessitem de ser inscritos através da autoridade de certificação, terá de adicionar manualmente o grupo Contoso\Utilizadores do domínio e o grupo Contoso\Computadores do domínio ao grupo de segurança CERTSVC_DCOM_ACCESS.

    Se não for concedida autorização pela autoridade de certificação a inscritos que deveriam ter autorização após a instalação do Windows Server 2003 SP1, poderá permitir que os serviços de certificados actualizem as definições de segurança do DCOM novamente. Para o fazer, escreva os seguintes comandos na linha de comandos e prima ENTER após cada comando.
    certutil ?setreg SetupStatus ?SETUP_DCOM_SECURITY_UPDATED_FLAG
    net stop certsvc
    net start certsvc
    O DCOM_SECURITY_UPDATED_FLAG é um sinalizador de registo interno dos serviços de certificados que indica que as definições de segurança do DCOM foram actualizadas com êxito. Os serviços de certificados verificam este sinalizador sempre que os serviços de certificados são iniciados. Os comandos anteriores repõem o sinalizador e, em seguida, param e iniciam os serviços de certificados. Este comportamento faz com que os serviços de certificados actualizem novamente as definições de segurança do DCOM.
Os seguintes eventos poderão ser registados depois de instalar o Windows Server 2003 SP1.

Mensagem de evento 1
Tipo de evento: Erro (Error)
Origem do evento: AutoEnrollment
Categoria do evento: Nenhuma (None)
ID do evento: 13
Data: data
Hora: hora
Utilizador: N/D (N/A)
Computador: nome_computador
Descrição: A inscrição automática para certificados para sistema local falhou ao inscrever um certificado de replicação de correio electrónico do directório (0x80070005). Acesso negado. Para mais informações, consulte o 'Centro de ajuda e suporte' em http://support.microsoft.com.

- ou -

Automatic certificate enrollment for local system failed to enroll for one Directory Email Replication certificate (0x80070005). Access is denied. For more information, see Help and Support Center at http://support.microsoft.com.
Mensagem de evento 2
Tipo de evento: Erro (Error)
Origem do evento: AutoEnrollment
Categoria do evento: Nenhuma (None)
ID do evento: 13
Data: data
Hora: hora
Utilizador: N/D (N/A)
Computador: nome_computador
Descrição: A inscrição automática para certificados para sistema local falhou ao inscrever um certificado de autenticação da estação de trabalho (0x80070005). Acesso negado. Para mais informações, consulte o 'Centro de ajuda e suporte' em http://support.microsoft.com.

- ou -

Automatic certificate enrollment for local system failed to enroll for one Workstation Authentication certificate (0x80070005). Access is denied. For more information, see Help and Support Center at http://support.microsoft.com.
Quando pede um certificado manualmente, utilizando o snap-in Certificados (Certificate), poderá receber a seguinte mensagem de erro:
O pedido de certificado falhou devido a uma das seguintes condições: -O pedido de certificado foi submetido a uma autoridade de certificação (AC) que não foi iniciada. -Não tem permissão para pedir certificados às AC disponíveis.

- ou -

The certificate request failed because of one of the following conditions: -The certificate request was submitted to a Certification Authority (CA) that is not started. -You do not have the permissions to request certificates from the available CAs.
Nota: caso estes erros ocorram num controlador de domínio, adicione o grupo Controladores de domínio (Domain Controllers) ao grupo CERTSVC_DCOM_ACCESS. Os controladores de domínio não são membros do grupo global Computadores do domínio (Domain Computers) e, por predefinição, não têm permissões DCOM suficientes.

Se alterar a associação a grupos para incluir o grupo Controladores de domínio (Domain Controllers), terá de reiniciar o controlador de domínio para que a alteração seja aplicada.

Suporte técnico para versões baseadas em x64 do Microsoft Windows

Se o seu hardware tiver uma edição x64 do Microsoft Windows instalada, o fabricante de hardware fornece suporte e assistência técnica para a edição x64 do Windows. Neste caso, o seu fabricante de hardware fornece suporte porque foi incluída uma edição x64 do Windows no hardware. O fabricante de hardware pode ter personalizado a instalação da edição x64 do Windows utilizando componentes exclusivos. Estes componentes exclusivos podem incluir controladores de dispositivo específicos ou definições opcionais para maximizar o desempenho do hardware. A Microsoft fornecerá assistência razoável se necessitar de ajuda técnica para uma edição x64 do Windows. No entanto, poderá ter de contactar o fabricante directamente. O fabricante está melhor qualificado para oferecer suporte em relação ao software que instalou no hardware. Se tiver adquirido uma edição x64 do Windows, como uma edição x64 do Microsoft Windows Server 2003, separadamente, contacte a Microsoft para obter suporte técnico.

Para obter informações sobre o Microsoft Windows XP Professional x64 Edition, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/windowsxp/64bit/default.mspx
Para obter informações sobre versões baseadas em x64 do Microsoft Windows Server 2003, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/portugal/windowsserver2003/64bit/x64/default.mspx
Para obter mais informações sobre os melhoramentos de segurança do DCOM introduzidos pelo Windows Server 2003 SP1, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/downloads/details.aspx?amp;displaylang=pt-pt&familyid=C3C26254-8CE3-46E2-B1B6-3659B92B2CDE&displaylang=pt-pt

Propriedades

Artigo: 903220 - Última revisão: 14 de setembro de 2007 - Revisão: 8.6
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Palavras-chave: 
kbhowto kbinfo KB903220

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com