Artigo: 903220 - �ltima revis�o: sexta-feira, 14 de Setembro de 2007 - Revis�o: 8.6

Descri��o das altera��es �s defini��es de seguran�a do DCOM ap�s a instala��o do Windows Server 2003 Service Pack 1

Ver produtos para os quais este artigo se aplica.

Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que est� a utilizar. Foi desactivado o conte�do do artigo, que pode n�o ser relevante para si.

O Microsoft Windows Server 2003 Service Pack 1 (SP1) apresenta algumas defini��es de seguran�a predefinidas melhoradas para o protocolo DCOM. Especificamente, o Windows Server 2003 SP1 inclui direitos que concedem a um administrador um controlo independente das permiss�es locais e remotas para o in�cio de servidores COM, activa��o de defini��es de servidor COM e acesso a servidores COM. Este artigo descreve as altera��es �s defini��es de seguran�a do DCOM.

Voltar ao topo

Mais Informa��o

Os servi�os de certificados do Windows Server 2003 utilizam um protocolo DCOM que fornece servi�os de inscri��o e administra��o. Os servi�os de certificados fornecem v�rias interfaces do DCOM para disponibilizar servi�os de inscri��o e administra��o. Para o acesso e utiliza��o destes servi�os de forma correcta, os servi�os de certificados pressup�em que as interfaces do DCOM estejam definidas para autorizarem permiss�es de acesso e de activa��o remota. No entanto, uma vez que as defini��es de seguran�a predefinidas do DCOM s�o aplicadas quando actualiza para o Windows Server 2003 SP1, poder� ser necess�rio actualizar estas defini��es de seguran�a para garantir que os servi�os de inscri��o e administra��o est�o dispon�veis.

Por predefini��o, todas as interfaces do DCOM no Windows Server 2003 SP1 est�o configuradas para concederem permiss�es de acesso remoto, permiss�es de arranque remoto e permiss�es de activa��o remota aos administradores. No entanto, quando actualiza para o Windows Server 2003 SP1, as altera��es de configura��o de seguran�a s�o efectuadas na interface do DCOM global e na interface do DCOM de pedido de CertSrv. Estas altera��es s�o efectuadas para que os servi�os de certificados funcionem correctamente.

Nota: quaisquer altera��es efectuadas �s defini��es de seguran�a da interface do DCOM de pedido de CertSrv antes de instalar o Windows Server 2003 SP1 s�o perdidas. O programa de configura��o do Windows Server 2003 SP1 rep�e todas as predefini��es de seguran�a na interface do DCOM de pedido de CertSrv.

Durante o programa de configura��o do Windows Server 2003 SP1, os servi�os de certificados actualizam automaticamente as defini��es de seguran�a do DCOM do seguinte modo:

Interface do DCOM de pedido de CertSrv

S�o concedidas permiss�es de acesso remoto e local ao grupo de seguran�a Todos (Everyone).
S�o concedidas permiss�es de activa��o remota e local ao grupo de seguran�a Todos (Everyone).
N�o s�o concedidas permiss�es de arranque remoto ou local ao grupo de seguran�a Todos (Everyone).

Defini��es de restri��o do computador DCOM
- � criado automaticamente um novo grupo de seguran�a, CERTSVC_DCOM_ACCESS.
  
  Se a autoridade de certifica��o estiver instalada num servidor membro, o grupo CERTSVC_DCOM_ACCESS � criado como um grupo local do computador. O grupo de seguran�a Todos (Everyone) � adicionado ao CERTSVC_DCOM_ACCESS.
  
  Se a autoridade de certifica��o estiver instalada num controlador de dom�nio, o grupo CERTSVC_DCOM_ACCESS � criado como um grupo local do dom�nio. O grupo de seguran�a Utilizadores do dom�nio (Domain Users) e o grupo de seguran�a Computadores do dom�nio (Domain Computers) do dom�nio de autoridade de certifica��o s�o adicionados ao CERTSVC_DCOM_ACCESS. Se os controladores de dom�nio necessitarem de ter acesso a esta interface para pedir certificados � autoridade de certifica��o, ter� de adicionar o grupo de seguran�a Controladores de dom�nio (Domain Controllers). Este procedimento � necess�rio porque os controladores de dom�nio n�o fazem parte do grupo de seguran�a Computadores do dom�nio (Domain Computers).
- S�o concedidas permiss�es de acesso remoto e local ao grupo de seguran�a CERTSVC_DCOM_ACCESS.
- S�o concedidas permiss�es de activa��o remota e local ao grupo de seguran�a CERTSVC_DCOM_ACCESS.
- N�o s�o concedidas permiss�es de arranque remoto ou local ao grupo de seguran�a CERTSVC_DCOM_ACCESS.
Nota: se a autoridade de certifica��o estiver instalada num controlador de dom�nio e se existir mais do que um dom�nio na empresa, os servi�os de certificados n�o conseguir�o actualizar automaticamente as defini��es de seguran�a do DCOM de inscritos que n�o se encontrem no dom�nio da autoridade de certifica��o. Por conseguinte, o acesso � autoridade de certifica��o para inscri��o ser� negado a estes inscritos.

Para resolver este problema, tem de adicionar manualmente os utilizadores ao grupo de seguran�a CERTSVC_DCOM_ACCESS. Uma vez que o grupo de seguran�a CERTSVC_DCOM_ACCESS � um grupo local de dom�nio, s� poder� adicionar grupos de dom�nio ao mesmo. Por exemplo, se existirem utilizadores e computadores de outro dom�nio, o dom�nio Contoso, que necessitem de ser inscritos atrav�s da autoridade de certifica��o, ter� de adicionar manualmente o grupo Contoso\Utilizadores do dom�nio e o grupo Contoso\Computadores do dom�nio ao grupo de seguran�a CERTSVC_DCOM_ACCESS.

Se n�o for concedida autoriza��o pela autoridade de certifica��o a inscritos que deveriam ter autoriza��o ap�s a instala��o do Windows Server 2003 SP1, poder� permitir que os servi�os de certificados actualizem as defini��es de seguran�a do DCOM novamente. Para o fazer, escreva os seguintes comandos na linha de comandos e prima ENTER ap�s cada comando.
certutil ?setreg SetupStatus ?SETUP_DCOM_SECURITY_UPDATED_FLAG
net stop certsvc
net start certsvc
O DCOM_SECURITY_UPDATED_FLAG � um sinalizador de registo interno dos servi�os de certificados que indica que as defini��es de seguran�a do DCOM foram actualizadas com �xito. Os servi�os de certificados verificam este sinalizador sempre que os servi�os de certificados s�o iniciados. Os comandos anteriores rep�em o sinalizador e, em seguida, param e iniciam os servi�os de certificados. Este comportamento faz com que os servi�os de certificados actualizem novamente as defini��es de seguran�a do DCOM.

Os seguintes eventos poder�o ser registados depois de instalar o Windows Server 2003 SP1.

Mensagem de evento 1

Tipo de evento: Erro (Error)
Origem do evento: AutoEnrollment
Categoria do evento: Nenhuma (None)
ID do evento: 13
Data: data
Hora: hora
Utilizador: N/D (N/A)
Computador: nome_computador
Descri��o: A inscri��o autom�tica para certificados para sistema local falhou ao inscrever um certificado de replica��o de correio electr�nico do direct�rio (0x80070005). Acesso negado. Para mais informa��es, consulte o 'Centro de ajuda e suporte' em http://support.microsoft.com.

- ou -

Automatic certificate enrollment for local system failed to enroll for one Directory Email Replication certificate (0x80070005). Access is denied. For more information, see Help and Support Center at http://support.microsoft.com.

Mensagem de evento 2

Tipo de evento: Erro (Error)
Origem do evento: AutoEnrollment
Categoria do evento: Nenhuma (None)
ID do evento: 13
Data: data
Hora: hora
Utilizador: N/D (N/A)
Computador: nome_computador
Descri��o: A inscri��o autom�tica para certificados para sistema local falhou ao inscrever um certificado de autentica��o da esta��o de trabalho (0x80070005). Acesso negado. Para mais informa��es, consulte o 'Centro de ajuda e suporte' em http://support.microsoft.com.

- ou -

Automatic certificate enrollment for local system failed to enroll for one Workstation Authentication certificate (0x80070005). Access is denied. For more information, see Help and Support Center at http://support.microsoft.com.

Quando pede um certificado manualmente, utilizando o snap-in Certificados (Certificate), poder� receber a seguinte mensagem de erro:

O pedido de certificado falhou devido a uma das seguintes condi��es: -O pedido de certificado foi submetido a uma autoridade de certifica��o (AC) que n�o foi iniciada. -N�o tem permiss�o para pedir certificados �s AC dispon�veis.

- ou -

The certificate request failed because of one of the following conditions: -The certificate request was submitted to a Certification Authority (CA) that is not started. -You do not have the permissions to request certificates from the available CAs.

Nota: caso estes erros ocorram num controlador de dom�nio, adicione o grupo Controladores de dom�nio (Domain Controllers) ao grupo CERTSVC_DCOM_ACCESS. Os controladores de dom�nio n�o s�o membros do grupo global Computadores do dom�nio (Domain Computers) e, por predefini��o, n�o t�m permiss�es DCOM suficientes.

Se alterar a associa��o a grupos para incluir o grupo Controladores de dom�nio (Domain Controllers), ter� de reiniciar o controlador de dom�nio para que a altera��o seja aplicada.

Voltar ao topo

Suporte t�cnico para vers�es baseadas em x64 do Microsoft Windows

Se o seu hardware tiver uma edi��o x64 do Microsoft Windows instalada, o fabricante de hardware fornece suporte e assist�ncia t�cnica para a edi��o x64 do Windows. Neste caso, o seu fabricante de hardware fornece suporte porque foi inclu�da uma edi��o x64 do Windows no hardware. O fabricante de hardware pode ter personalizado a instala��o da edi��o x64 do Windows utilizando componentes exclusivos. Estes componentes exclusivos podem incluir controladores de dispositivo espec�ficos ou defini��es opcionais para maximizar o desempenho do hardware. A Microsoft fornecer� assist�ncia razo�vel se necessitar de ajuda t�cnica para uma edi��o x64 do Windows. No entanto, poder� ter de contactar o fabricante directamente. O fabricante est� melhor qualificado para oferecer suporte em rela��o ao software que instalou no hardware. Se tiver adquirido uma edi��o x64 do Windows, como uma edi��o x64 do Microsoft Windows Server 2003, separadamente, contacte a Microsoft para obter suporte t�cnico.

Para obter informa��es sobre o Microsoft Windows XP Professional x64 Edition, visite o seguinte Web site da Microsoft:

http://www.microsoft.com/windowsxp/64bit/default.mspx (http://www.microsoft.com/windowsxp/64bit/default.mspx)

Para obter informa��es sobre vers�es baseadas em x64 do Microsoft Windows Server 2003, visite o seguinte Web site da Microsoft:

http://www.microsoft.com/portugal/windowsserver2003/64bit/x64/default.mspx (http://www.microsoft.com/portugal/windowsserver2003/64bit/x64/default.mspx)

Para obter mais informa��es sobre os melhoramentos de seguran�a do DCOM introduzidos pelo Windows Server 2003 SP1, visite o seguinte Web site da Microsoft:

http://www.microsoft.com/downloads/details.aspx?amp;displaylang=pt-pt&familyid=C3C26254-8CE3-46E2-B1B6-3659B92B2CDE&displaylang=pt-pt (http://www.microsoft.com/downloads/details.aspx?amp;displaylang=pt-pt&familyid=C3C26254-8CE3-46E2-B1B6-3659B92B2CDE&displaylang=pt-pt)

Voltar ao topo

A informa��o contida neste artigo aplica-se a:

Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows Server 2003, Enterprise x64 Edition
Microsoft Windows Server 2003, Standard x64 Edition

Voltar ao topo

kbhowto kbinfo KB903220

Voltar ao topo

Outros Recursos

Outros Sites de Suporte

Comunidades

This site in other countries/regions:

Descri��o das altera��es �s defini��es de seguran�a do DCOM ap�s a instala��o do Windows Server 2003 Service Pack 1

Nesta p�gina

INTRODU��O

Mais Informa��o

Suporte t�cnico para vers�es baseadas em x64 do Microsoft Windows

A informa��o contida neste artigo aplica-se a:

Palavras-chave:�

Outros Sites de Suporte

Comunidades

Obtenha Ajuda Agora

Tradu��es de Artigos

Centros de suporte relacionados