Descrição das alterações nas configurações de segurança DCOM após instalar o Windows Server 2003 Service Pack 1

Traduções deste artigo Traduções deste artigo
ID do artigo: 903220 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

INTRODUÇÃO

O Microsoft Windows Server 2003 Service Pack 1 (SP1) introduz algumas configurações de segurança aprimorada padrão para o protocolo DCOM. Mais especificamente, o Windows Server 2003 SP1 introduz direitos que concedem ao administrador controle independente sobre permissões locais e remotas para iniciar servidores COM, ativando configurações de servidor COM e acessando servidores COM. Este artigo descreve as alterações nas configurações de segurança DCOM.

Mais Informações

Os serviço de certificação do Windows Server 2003 usam o protocolo DCOM para fornecer serviços de inscrição e administração. Serviços de certificação fornecem diversas interfaces DCOM para tornar os serviços de inscrição e administração disponíveis. Para acesso e uso corretos desses serviços, os serviços de certificação pressupõem que as interfaces DCOM estão definidas para habilitar permissões de ativação e acesso remotos. Entretanto, como as configurações de segurança padrão para DCOM são aplicadas ao atualizar para o Windows Server 2003 SP1, pode ser necessário atualizar essas configurações de segurança para verificar se os serviços do ambiente e de administração estão disponíveis.

Por padrão, todas as interfaces DCOM no Windows Server 2003 SP1 são configuradas para conceder permissões de acesso remoto, permissões de início remoto e permissões de ativação remota para administradores. Contudo, ao atualizar para o Windows Server 2003 SP1, são feitas alterações de configuração de segurança na interface global DCOM e na interface CertSrv Request DCOM. Essas alterações são feitas para habilitar o funcionamento correto dos serviços de certificação.

Observação Todas as alterações feitas na configuração de segurança da interface CertSrv Request DCOM antes da instalação do Windows Server 2003 SP1 serão perdidas. Instalação do Windows Server 2003 SP1 redefine todas as configurações de segurança originais na interface CertSrv Request DCOM para as configurações padrão.

Durante a Instalação do Windows Server 2003 SP1, os serviços de certificação atualizam automaticamente as configurações de segurança DCOM, conforme a seguir:
    Interface CertSrv Request DCOM
    • São concedidas permissões de acesso local e remoto ao grupo de segurança Todos.
    • São concedidas permissões de ativação local e remota ao grupo de segurança Todos.
    • Não são concedidas permissões de início local ou remoto ao grupo de segurança Todos.

  • Configurações de restrição de computador DCOM
    • Um novo grupo de segurança, CERTSVC_DCOM_ACCESS, é criado automaticamente.

      Se a autoridade de certificação estiver instalada no servidor membro, CERTSVC_DCOM_ACCESS é criado em um grupo de computador local. O grupo de segurança Todos é adicionado a CERTSVC_DCOM_ACCESS.

      Se a autoridade de certificação estiver instalada no controlador de domínio, CERTSVC_DCOM_ACCESS é criado em um grupo de domínio local. Os grupos de segurança Usuários do Domínio e Computadores do Domínio do domínio da autoridade de certificação, são adicionados a CERTSVC_DCOM_ACCESS. Se controladores de domínio precisarem acessar essa interface para exigir certificados da autoridade de certificação, será necessário adicionar o grupo de segurança Controladores do Domínio. Isso é necessário porque controladores de domínio não fazem parte do grupo de segurança Computadores do domínio.
    • São concedidas permissões de acesso local e remoto ao grupo de segurança CERTSVC_DCOM_ACCESS.
    • São concedidas permissões de ativação local e remota ao grupo de segurança CERTSVC_DCOM_ACCESS.
    • Não são concedidas permissões de início local ou remoto ao grupo de segurança CERTSVC_DCOM_ACCESS.
    Observação Se a autoridade de certificação estiver instalada em um controlador de domínio e a empresa consistir de mais de um domínio, os serviços de certificação não poderão atualizar automaticamente as configurações de segurança DCOM para inscritos de fora do domínio da autoridade de certificação. Portanto, não será concedido acesso de inscrição para a autoridade de certificação a esses inscritos.

    Para resolver esse problema, é necessário adicionar manualmente os usuários ao grupo de segurança CERTSVC_DCOM_ACCESS. Como o grupo de segurança CERTSVC_DCOM_ACCESS é um grupo de domínio local, é possível adicionar somente grupos de domínios a ele. Por exemplo, se for necessário que usuários e computadores de outro domínio, o domínio Contoso, se inscrevam com a autoridade de certificação, será necessário adicionar manualmente o grupo Computadores do domínio\Contoso ao grupo de segurança CERTSVC_DCOM_ACCESS.

    Se quaisquer inscritos que devem ser autorizados pela autoridade de certificação tiverem a autorização rejeitada após a instalação do Windows Server 2003 SP1, é possível fazer com que os serviços de certificação atualizem as configurações de segurança DCOM novamente. Para fazer isto, digite os seguintes comandos no prompt de comando e pressione ENTER após cada comando.
    certutil ?setreg SetupStatus ?SETUP_DCOM_SECURITY_UPDATED_FLAG
    net stop certsvc
    net start certsvc
    DCOM_SECURITY_UPDATED_FLAG é um sinalizador do Registro de serviços de certificação interna que indica que as configurações de segurança DCOM foram atualizadas com êxito. Os serviços de certificação verificam esse sinalizador sempre que os serviços de certificação são iniciados. O comando anterior redefine o sinalizador e interrompe e inicia os serviços de certificação. Esse comportamento faz com que os serviços de certificação atualizem as configurações de segurança DCOM novamente.
Os seguintes eventos podem ser registrados após a instalação do Windows Server 2003 SP1.

Mensagem de evento 1
Tipo de evento: Erro
Origem do evento: AutoRegistro
Categoria: Nenhuma
Identificação do evento: 13
Data: data
Hora: hora
Usuário: N/A
Computador: nome_do_computador
Descrição: A inscrição de certificação automática do sistema local falhou em inscrever uma pasta de Duplicação de email de pasta (0x80070005). Acesso negado. Para obter mais informações, consulte o Centro de Ajuda e Suporte em http://support.microsoft.com.
Mensagem de evento 2
Tipo de evento: Erro
Origem do evento: AutoRegistro
Categoria: Nenhuma
Identificação do evento: 13
Data: data
Hora: hora
Usuário: N/A
Computador: nome_do_computador
Descrição: A inscrição de certificação automática do sistema local falhou em inscrever um certificado de Autenticação de rede (0x80070005). Acesso negado. Para obter mais informações, consulte o Centro de Ajuda e Suporte em http://support.microsoft.com.
Ao solicitar manualmente um certificado usando o snap-in Certificado, a seguinte mensagem de erro pode ser exibida:
Falha da solicitação de certificado devido a uma das seguintes condições: - A solicitação de certificado foi enviada a uma Autoridade de certificação (CA) que não foi iniciada. - Você não tem permissão para solicitar certificados de CAs disponíveis.
Observação Na ocorrência desses erros em um controlador de domínio, adicione o grupo Controladores de Domínio ao grupo CERTSVC_DCOM_ACCESS. Controladores de domínio não são membros do grupo global Computadores do Domínio e não terão permissões DCOM suficientes, por padrão.

Se alterar a inscrição do grupo para incluir o grupo Controladores de Domínio, será necessário reiniciar o controlador de domínio para que a alteração seja refletida.

Suporte técnico para as versões com base em x64 do Microsoft Windows

Se o hardware veio com uma edição de x64 do Microsoft Windows instalada, o fabricante do hardware fornecerá suporte técnico e assistência para a edição do Windows x64. Nesse caso, o fabricante do hardware oferece suporte porque uma edição do Windows com base em x64 foi incluída no hardware. O fabricante também pode ter personalizado a instalação da edição Windows x64, usando componentes exclusivos. O fabricante pode incluir drivers de dispositivos específicos ou configurações opcionais para maximizar o desempenho do hardware. A Microsoft fornecerá assistência razoável se você precisar de ajuda técnica com a edição do Windows x64. No entanto, pode ser necessário contatar diretamente o fabricante. O fabricante é o mais qualificado para dar suporte ao software instalado no hardware. Se você comprou um Windows x64 Edition, como um Microsoft Windows Server 2003 x64 Edition, separadamente, contate a Microsoft para obter suporte técnico.

Para obter informações sobre o produto Microsoft Windows XP Professional x64 Editem, visite o seguinte site da Microsoft (em inglês):
http://www.microsoft.com/brasil/windowsxp/64bit/default.mspx
Para obter informações sobre versões do Microsoft Windows Server 2003 com base em x64, visite o seguinte site da Microsoft (em inglês):
http://www.microsoft.com/brasil/windowsserver2003/64bit/x64/default.mspx
Para obter mais informações sobre os aprimoramentos de segurança DCOM introduzidos pelo Windows Server 2003 SP1, visite o seguinte site da Microsoft (em inglês):
http://www.microsoft.com/downloads/details.aspx?familyid=C3C26254-8CE3-46E2-B1B6-3659B92B2CDE&displaylang=en

Propriedades

ID do artigo: 903220 - Última revisão: sexta-feira, 13 de abril de 2007 - Revisão: 8.3
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Palavras-chave: 
kbhowto kbinfo KB903220

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com