Iniciar Sess�o

Select the product you need help with

MS09-012: Descri��o da actualiza��o de seguran�a para o isolamento de servi�o do Windows: Abril de 2009

Artigo: 956572 - Ver produtos para os quais este artigo se aplica.

INTRODU��O

A Microsoft publicou o boletim de seguran�a MS09-012. Para ver o boletim de seguran�a completo, visite um dos seguintes Web sites da Microsoft:

Utilizadores dom�sticos:
http://www.microsoft.com/portugal/protect/computer/updates/bulletins/200904.mspx
(http://www.microsoft.com/portugal/protect/computer/updates/bulletins/200904.mspx)
Ignorar os detalhes: Transfira as actualiza��es para o computador dom�stico ou port�til a partir do Web site Microsoft Update agora:
http://update.microsoft.com/microsoftupdate/
(http://update.microsoft.com/microsoftupdate/)
Profissionais de TI:
http://www.microsoft.com/portugal/technet/seguranca/boletins/ms09-012.mspx
(http://www.microsoft.com/portugal/technet/seguranca/boletins/ms09-012.mspx)

Como obter ajuda e suporte para esta actualiza��o de seguran�a

Os utilizadores dom�sticos disp�em de suporte gratuito atrav�s do n�mero 1-866-PCSAFETY nos EUA e no Canad� ou contactando a subsidi�ria local da Microsoft. Para mais informa��es sobre como contactar a subsidi�ria local da Microsoft relativamente a problemas de suporte de actualiza��es de seguran�a, visite o seguinte Web site de Suporte Internacional:

http://support.microsoft.com/common/international.aspx?rdpath=4

(http://support.microsoft.com/common/international.aspx?rdpath=4)

Os clientes da Am�rica do Norte tamb�m podem obter acesso imediato a suporte gratuito ilimitado por correio electr�nico ou a suporte individual ilimitado por chat, visitando o seguinte Web site da Microsoft:

http://support.microsoft.com/oas/default.aspx?&prid=7552

(http://support.microsoft.com/oas/default.aspx?&prid=7552)

No caso de clientes empresariais, o suporte para actualiza��es de seguran�a est� dispon�vel atrav�s dos contactos de suporte normais.

Voltar ao topo | Submeter coment�rios

Mais Informa��o

Problemas conhecidos relativamente a esta actualiza��o de seguran�a

Sintomas
Ap�s aplicar esta actualiza��o num servidor que utiliza mais do que quatro n�cleos de CPU e com o Microsoft ISA Server Standard Edition, o servi�o Microsoft ISA Server Control n�o inicia. Al�m disso, � registado o ID de Evento 14109 no registo de aplica��es.

Causa
Este problema poder� ocorrer se uma correc��o disponibilizada ap�s 7 de Fevereiro de 2007 for instalada antes da actualiza��o de seguran�a ser instalada. Este problema ocorre devido a uma altera��o no modo como o Windows comunica o n�mero de CPU dispon�vel. Esta altera��o foi introduzida pela primeira vez na correc��o 932730. A altera��o faz com que o Windows Server 2003 comunique estas informa��es exactamente como o Windows Vista e o Windows Server 2008 comunicam as informa��es. Quando o Windows comunica mais do que quatro n�cleos de CPU, o servi�o ISA Server Control interpreta como mais do que quatro CPU. � assim accionado um alerta e, em seguida, o servi�o Microsoft ISA Server Control, bem como quaisquer servi�os dependentes s�o encerrados.

Nota: a correc��o 932730 n�o foi inclu�da em nenhum Windows Server 2003 service pack. Para mais informa��es sobre a correc��o 932730, clique no n�mero de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
932370
(http://support.microsoft.com/kb/932370/ )
O n�mero de processadores f�sicos activados com hyperthreading ou o n�mero de processadores f�sicos multi-n�cleo n�o foi comunicado correctamente no Windows Server 2003
Para mais informa��es sobre como contornar este problema, visite a seguinte p�gina Web da Microsoft:
http://blogs.technet.com/isablog/archive/2009/04/18/ms09-012-and-isa-server-standard-edition-14109-failures.aspx
(http://blogs.technet.com/isablog/archive/2009/04/18/ms09-012-and-isa-server-standard-edition-14109-failures.aspx)
Para resolver este problema no ISA Server 2004, instale o pacote de correc��es 970454. Para obter mais informa��es sobre este problema, clique no seguinte n�mero de artigo para ver o artigo na Base de Dados de Conhecimento Microsoft:
970454
(http://support.microsoft.com/kb/970454/ )
Descri��o do pacote de correc��es do ISA Server 2004: 2 de Junho de 2009
Para resolver este problema no ISA Server 2006, instale o pacote de correc��es 970441. Para obter mais informa��es sobre este problema, clique no seguinte n�mero de artigo para ver o artigo na Base de Dados de Conhecimento Microsoft:
970441
(http://support.microsoft.com/kb/970441/ )
CORREC��O: O servi�o de controlo do ISA Server n�o � iniciado depois de instalar a actualiza��o MS09-012 num computador com o Windows Server 2003 que tenha mais do que 4 n�cleos de CPU

Nota: n�o foi disponibilizado qualquer patch para o ISA Server 2000 por este j� n�o ter suporte base e visto este problema n�o constituir uma vulnerabilidade de seguran�a.
Depois de aplicar esta actualiza��o e de, a seguir, ser efectuada uma actualiza��o directa de um sistema operativo de uma vers�o anterior para um novo sistema operativo, as altera��es aplicadas pelo utilizador podem n�o ser mantidas nas seguintes subchaves do registo:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\DefaultSecuredHost

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders
Este problema pode ocorrer nos seguintes cen�rios de actualiza��o:
- Windows XP para Windows Vista
- Windows Server 2003 para Windows Server 2008
- Windows 2000 Server para Windows Server 2003
Este problema pode ocorrer nos seguintes cen�rios de actualiza��o:
- Windows Vista para Windows 7
- Windows Server 2008 para Service Packs mais recentes ou futuros sistemas operativos baseados em servidor.
Para evitar o problema, crie uma c�pia de seguran�a das subchaves do registo antes de efectuar a actualiza��o directa. Depois de conclu�da a actualiza��o e de o sistema ter sido corrigido com as actualiza��es de seguran�a, volte a aplicar as c�pias de seguran�a das subchaves.

FAQ para fabricantes independentes de software (ISV) (COM)

Pergunta 1: Como posso determinar se o meu produto � vulner�vel a este problema?

Resposta 1: Fa�a as seguintes perguntas:

O seu produto precisa de iniciar um processo de servidor COM sem servi�o NT?
O servidor COM instanciado pelo seu produto � executado, por predefini��o, no contexto de conta de um Servi�o de Rede ou de um Servi�o Local?

Se a resposta a qualquer uma destas perguntas for afirmativa, o seu servidor COM pode estar vulner�vel. Para continuar a investiga��o para saber se o seu servidor COM est� vulner�vel, siga estes passos:

Transfira e instale o Process Explorer a partir do seguinte Web site da Microsoft:
http://technet.microsoft.com/pt-pt/sysinternals/bb896653.aspx
(http://technet.microsoft.com/pt-pt/sysinternals/bb896653.aspx)
Execute o Process Explorer como administrador local.
Clique em Ver, aponte para Vista do painel inferior e depois clique em Identificadores.
Clique no processo de servidor pretendido e depois procure Tipo = Token no painel inferior.
Execute todos os conjuntos de teste relativos ao seu produto.
Observe o painel inferior para ver todos os tokens detidos e saber se um token de sistema foi capturado.

Se notar que o processo do servidor det�m o token de sistema, siga estes passos:

Transfira e instale as Ferramentas de Depura��o para Windows a partir do seguinte Web site da Microsoft:
http://www.microsoft.com/whdc/devtools/debugging/default.mspx
(http://www.microsoft.com/whdc/devtools/debugging/default.mspx)
Execute o WinDBG.exe como administrador local.
Clique em Ficheiro e depois em Depura��o Kernel para iniciar o depurador de kernel local.
Clique em Ficheiro e depois em Anexar a um processo.
Clique no processo do servidor pretendido e depois em OK para anexar ao processo do servidor.
Defina o caminho do s�mbolo do depurador da seguinte forma: substitua o caminho de armazenamento a jusante para o DownstreamStore. Por exemplo, C:\Symbols.

SRV*DownstreamStore*http://msdl.microsoft.com/download/symbols
Capture as informa��es relativas ao token do processo.
Obtenha o endere�o do token a partir da sa�da de !process e depois utilize o comando dt nt!_TOKEN para apresentar uma lista dos campos individuais da estrutura doTOKEN.
Observe o campo ImpersonationLevel do token.

Se notar que o processo do servidor det�m o token do sistema e se o "ImpersonationLevel" do processo do servidor for "SecurityImpersonation" ou "SecurityDelegation", um cliente que instale esta aplica��o de servidor de COM no computador ficar� vulner�vel a uma explora��o do MS09-012. Tem de proteger o servidor COM utilizando um SID especial. Pergunta 2: Como posso determinar se a minha aplica��o � do tipo servidor "Executar Como" COM?

Resposta 2: Para servidores "Executar Como" COM, a subchave do registo AppID dever� conter a seguinte entrada RunAs:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{APPIDGUID}\"RunAs"="NT Authority\NetworkService"

Em particular, se o valor da entrada "RunAs" for "NT Authority\NetworkService" ou "NT Authority\LocalService", o servidor COM pode estar sujeito � vulnerabilidade descrita em MS09-012. Siga os passos indicados na "Resposta 1" para determinar se o produto � vulner�vel.

Pergunta 3: Como posso assegurar a seguran�a do servidor COM instalado pela minha gama de produtos?

Resposta 3: Para a fase de teste em laborat�rio: Se quiser proteger as suas aplica��es de servidor COM que funcionam no modo de activa��o "Executar Como", dever� controlar tanto o cliente COM como todos os servidores COM que precisam de ser protegidos. Seguem-se os passos que pode realizar para proteger as suas aplica��es "Executar Como" COM ao test�-las internamente:

Instale o pacote MSRC.
Efectue a seguinte altera��o na configura��o do servidor COM:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{APPIDGUID} REG_DWORD AppIDFlags 0x2 /* Exemplo da utiliza��o do valor do registo AppIDFlags HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{60EE1F45-C0DD-4A1F-AA44-D97424600A16} REG_DWORD AppIDFlags 0x2 */
Nota: � necess�rio ter credenciais de Administrador Local para efectuar a altera��o.

Se um servidor COM NS/LS contendo tokens privilegiados n�o for um servi�o NT ou n�o for um servidor RunAs COM, ter� de ser convertido para uma destas configura��es para evitar a vulnerabilidade.

Resposta 3: Para as instala��es j� existentes: Relativamente aos clientes que tenham j� instala��es dos servidores COM vulner�veis, o ISV ter� de publicar uma actualiza��o para activar as altera��es no computador do cliente.

Resposta 3: Para as novas instala��es: O ISV ter� de fornecer um instalador inteligente que consiga detectar se a actualiza��o 956572 se encontra instalada no sistema e que consiga activar a chave do Registo AppIDFlags. Se a actualiza��o n�o estiver instalada, o instalador pode mostrar uma mensagem de erro relativa a incompatibilidades do sistema e, a seguir, pode fechar.

� poss�vel a um cliente detectar se a actualiza��o de seguran�a 956572 est� instalada no Windows Server 2003 e no Windows XP, utilizando o seguinte m�todo:

O instalador deve determinar se a seguinte chave do registo existe:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\HotFix\KB956572
Se a entrada do registo existir, a actualiza��o de seguran�a 956572 encontra-se no sistema.

Outro m�todo que pode ser utilizado para obter este resultado em todas as vers�es da plataforma Windows consiste em utilizar consultas do WMI. Pode utilizar a seguinte consulta para detectar se a actualiza��o de seguran�a 956572 est� instalada no computador:

SELECT * FROM WIN32_QUICKFIXENGINEERING WHERE HotfixID like ?KB956572?

Nota: no Windows Vista SP2 e no Windows Server 2008 SP2, a correc��o para esta vulnerabilidade encontra-se presente por predefini��o.

FAQ para administradores de sistemas (COM)

Pergunta 1: Como posso determinar se algum dos servi�os da minha empresa � ou n�o vulner�vel?

Resposta 1: Fa�a as seguintes perguntas:

O seu produto precisa de iniciar um processo de servidor COM sem servi�o NT?
O servidor COM iniciado pelo seu produto � executado, por predefini��o, no contexto de conta de um Servi�o de Rede ou de um Servi�o Local?

Se a resposta a qualquer uma destas perguntas for afirmativa, os servidores COM podem estar vulner�veis. Para proteger estas aplica��es de servidor COM, contacte o ISV propriet�rio do produto. Se a aplica��o tiver sido criada internamente, siga os passos indicados na Resposta 1 da sec��o "FAQ para fabricantes independentes de software (ISV) (COM)".

FAQ para ISV (Services.exe)

Pergunta 1: Como determinar se a sua gama de produtos foi afectada pela explora��o mencionada no MS09-012?

Resposta 1: Fa�a as seguintes perguntas:

O seu produto instala servi�os iniciados atrav�s da utiliza��o da estrutura SCM?
Os servi�os instalados pelo seu produto s�o executados, por predefini��o, no contexto de conta de um Servi�o de Rede ou de um Servi�o Local?
Se o servi�o for executado no Windows Vista ou no Windows Server 2008, execute o seguinte comando a partir de uma linha de comandos elevada:
SC.EXE QSIDTYPE <ServiceName>
O valor indicado em SERVICE_SID_TYPE � NONE?

Resultado:
[SC] QueryServiceConfig2 SUCCESS SERVICE_NAME: <Nome do Servi�o> SERVICE_SID_TYPE: NENHUMA
Se a resposta a qualquer uma destas tr�s perguntas for afirmativa, o seu servi�o pode estar vulner�vel. Para continuar a investiga��o para saber se o seu servi�o est� vulner�vel, siga os passos relacionados com o Process Explorer indicados na Resposta 1 da sec��o "FAQ para fabricantes independentes de software (ISV) (COM)".

Pergunta 2: Como posso proteger os servi�os instalados pela minha gama de produtos?

Resposta 2:

Fase de Teste em Laborat�rio
Seguem-se os passos que pode seguir para proteger o seu servi�o ao testar os servi�os internamente antes de os lan�ar para todos os clientes.

Instale o pacote MSRC.
Execute o seguinte comando a partir de uma linha de comandos elevada:
SC.exe SIDTYPE <ServiceName> UNRESTRICTED
Reinicie o servi�o a partir do gestor de controlo de servi�os.
Confirme se o seu servi�o obteve um SID de Servi�o executando o seguinte comando:
SC.exe QSIDTYPE <Nome do Servi�o>
Resultados:
[SC] QueryServiceConfig2 SUCCESS SERVICE_NAME: <Nome do Servi�o> SERVICE_SID_TYPE: UNRESTRICTED
Se vir SERVICE_SID_TYPE = UNRESTRICTED, o seu servi�o obteve um SID.
Execute todos os casos de teste para se certificar de que nenhuma das funcionalidades fornecidas pelo seu servi�o se encontra danificada.
A sequ�ncia de comandos que se segue contribuir� para remover o SID de Servi�o relativo ao servi�o:
SC.exe SIDTYPE <ServiceName> NONE
SC.exe STOP <ServiceName>
SC.exe START <ServiceName>

Instala��es existentes
Relativamente aos clientes que tenham j� instala��es dos servi�os vulner�veis, o ISV ter� de publicar uma actualiza��o para activar um SID de servi�o na caixa do cliente. De prefer�ncia, a actualiza��o dever� seguir estes passos:

Altere a seguinte chave do registo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<ServiceName>\ServiceSidType = 1
Ap�s esta actualiza��o, o instalador dever� reiniciar o sistema.

Esta ac��o define o Tipo de ServiceSID do servi�o <ServiceName> como UNRESTRICTED.

Novas instala��es
O ISV ter� de encontrar um instalador inteligente que detecte se a actualiza��o 956572 se encontra instalada no sistema e que active a chave do registo ServiceSidType. Se a actualiza��o n�o estiver instalada, o instalador pode mostrar uma mensagem de erro relativa a incompatibilidades do sistema e, a seguir, fechar.

� poss�vel a um cliente detectar se a actualiza��o de seguran�a 956572 est� instalada no Windows Server 2003 e no Windows XP, utilizando o seguinte m�todo:

O instalador deve determinar se a seguinte chave do registo existe:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\HotFix\KB956572
Se a entrada do registo existir, a actualiza��o de seguran�a 956572 encontra-se no sistema.

Outro m�todo que pode ser utilizado para obter este resultado em todas as vers�es da plataforma Windows consiste em utilizar consultas do WMI. Pode ser utilizada a consulta seguinte para detectar se a actualiza��o de seguran�a 956572 est� instalada no computador.

SELECT * FROM WIN32_QUICKFIXENGINEERING WHERE HotfixID like 'KB956572'

Nota: as vers�es j� lan�adas do Windows Vista e do Windows Server 2008 j� cont�m a correc��o para o Services.exe. N�o � necess�ria a detec��o.

Nota: se as DACLs do seu produto tiverem recursos com o SID da Conta do Servi�o, certifique-se de que todos esses recursos (ficheiros, chaves do registo, etc.) t�m as DACLs reaplicadas com o SID do servi�o. Se tal n�o for feito, a funcionalidade do seu produto pode ficar danificada quando o mesmo tentar aceder aos referidos recursos.

Para ver o SID associado ao seu servi�o, utilize o seguinte comando:

SC.EXE SHOWSID <nome do servi�o>

O SID do servi�o � gerado utilizando um hash do nome do servi�o e n�o muda enquanto o nome do servi�o n�o mudar.

FAQ para administradores de sistemas (Services.exe)

Pergunta 1: Como posso determinar se algum dos servi�os utilizados na minha empresa est� ou n�o vulner�vel?

Resposta 1: Fa�a as seguintes perguntas:

O seu produto instala servi�os iniciados atrav�s da utiliza��o da estrutura SCM?
Os servi�os instalados pelo seu produto s�o executados, por predefini��o, no contexto de conta de um Servi�o de Rede ou de um Servi�o Local?

Nota: se o servi�o for executado no Windows Vista ou no Windows Server 2008, execute o seguinte comando a partir de uma linha de comandos elevada para determinar o contexto:
SC.exe QSIDTYPE <Nome do Servi�o>
Resultados:
[SC] QueryServiceConfig2 SUCCESS SERVICE_NAME: <Nome do Servi�o> SERVICE_SID_TYPE: UNRESTRICTED
Se a resposta a qualquer uma destas tr�s perguntas for afirmativa, os servi�os podem estar vulner�veis. Para proteger estes servi�os, contacte o ISV propriet�rio do servi�o. Se o servi�o tiver sido criado internamente, siga os passos indicados na Resposta 1 da sec��o "FAQ para fabricantes independentes de software (ISV) (COM)".

FAQ para fabricantes independentes de software (ISV) (WMI)

Pergunta 1: Como posso saber se o fornecedor WMI utilizado pelo nosso produto foi ou n�o lan�ado em modo seguro?

Resposta 1:

Abra os ficheiros ".mof" para os Fornecedores WMI e verifique se qualquer um dos fornecedores tem um dos seguintes modelos de alojamento:
- NetworkServiceHost
- NetworkServiceHostToSelfHost
- LocalServiceHost
- NULL (s� no caso do Windows Vista ou do Windows Server 2008)
Como parte do pacote de captura de token, s� a pasta "A Receber" enviada pelos Fornecedores WMI est� protegida por predefini��o. Se o seu fornecedor for um fornecedor da pasta "A Receber", deve, preferencialmente, ficar protegida depois de instalar o pacote de captura de token. Para verificar esta situa��o, consulte os valores do registo na subchave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders. Se um fornecedor estiver protegido, dever� ver uma entrada semelhante � seguinte:
```
<NameSpace>:_Win32Provider.Name ="<Nome do Fornecedor>" 	REG_SZ 	0.
```
Se o seu fornecedor constar desta lista, isso significa que o mesmo ser� iniciado em modo seguro.
Se o nome do fornecedor n�o aparecer indicado na chave do registo SecureHostProviders, e o modelo de alojamento for um dos que se encontram indicados no passo 1, isso significa que esse fornecedor ser� iniciado num Wmiprvse.exe n�o seguro, tornando o computador vulner�vel a ataques de captura de token.

Pergunta 2: Como posso confirmar se o Fornecedor WMI utilizado pelo nosso produto foi ou n�o lan�ado em modo seguro?

Resposta 2:

Inicie sess�o como Administrador num computador que tenha o seu produto instalado.
Transfira e instale o Process Explorer a partir do seguinte Web site da Microsoft:
http://technet.microsoft.com/pt-pt/sysinternals/bb896653.aspx
(http://technet.microsoft.com/pt-pt/sysinternals/bb896653.aspx)
Execute o Process Explorer como administrador local.
Clique em Ver, aponte para Vista do painel inferior e depois clique em Identificadores.
Utilize o Gestor de Tarefas para identificar e fechar todos os processos Wmiprvse.exe em execu��o no contexto de Servi�o de Rede ou Servi�o Local.
Execute um caso de teste para a aplica��o, que exer�a uma consulta WMI utilizando um fornecedor WMI espec�fico. Ao faz�-lo, ser� criado um novo processo WMIPrvSE.exe para servir a nova consulta WMI que acabou de executar.
Na barra de ferramentas do Process Explorer, certifique-se de que seleccionou Ver DLLs.
Observe o painel inferior para ver se o seu DLL foi carregado no WMIPrvSE.exe acabado de criar.
Fa�a duplo clique em WMIPrvSE.exe para abrir a caixa de di�logo Propriedades.
Clique no separador Seguran�a e certifique-se de que os dados que se seguem est�o correctos:
- O SID de in�cio de sess�o tem a forma (S-1-5-5-****).
- O SID de in�cio de sess�o est� tamb�m marcado como o propriet�rio.
- SID de WMI para ServiceAccount {Local Service|Network Service} ser� marcado como propriet�rio.
  - SID de WMI para Servi�o Local:
    S-1-5-86-1544737700-199408000-2549878335-3519669259-381336952
  - SID de WMI para Servi�o de Rede:
    S-1-5-86-615999462-62705297-2911207457-59056572-3668589837
Clique em Permiss�o e confirme se nem Servi�o de Rede nem Servi�o Local aparecem na lista. Este resultado confirmar� que o seu fornecedor est� agora a ser iniciado em modo seguro.

Pergunta 3: Como pode um ISV proteger o Fornecedor WMI utilizado pelo seu produto?

Resposta 3: Como parte do pacote de captura de token, fornecemos tr�s chaves de registo que ir�o ajudar os ISV a configurarem os respectivos Fornecedores WMI.

HKLM\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders

Todos os fornecedores inclu�dos nesta chave ser�o sempre executados em modo seguro.
HKLM \SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders

Se um fornecedor estiver inclu�do nesta chave, ser� executado em modo n�o seguro. Esta chave � fornecida para que um ISV possa adicionar uma excep��o para um fornecedor em particular que tenha problemas de compatibilidade ao ser executado em modo de seguran�a. Por predefini��o, conter� 0 (zero) entradas.
HKLM \SOFTWARE\Microsoft\WBEM\CIMOM\DefaultSecuredHost

Se esta chave de registo global estiver definida como 1, iniciar� todos os Fornecedores WMI no computador em modo seguro, independentemente de os mesmos estarem ou n�o inclu�dos em qualquer uma das chaves de registo anteriormente referidas. A Microsoft n�o predefiniu este valor como 1 porque n�o foi testado o comportamento de todas as aplica��es poss�veis de outros fabricantes com esta chave de registo definida como 1.

Para proteger qualquer Fornecedor WMI, adicione o valor de registo que se segue a "HKLM\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders":

<NameSpace>:_Win32Provider.Name ="<Nome do Fornecedor>" 	REG_SZ 	0.

Certifique-se de que todos os seus cen�rios de teste funcionam conforme o esperado depois de efectuar esta altera��o.

FAQ para o Administrador do Sistema (WMI)

Pergunta 1: Como posso saber se um Fornecedor WMI utilizado pela minha organiza��o est� a ser executado em modo n�o seguro?

Resposta 1:

Inicie sess�o como Administrador num computador que tenha o seu produto instalado.
Transfira e instale o Process Explorer a partir do seguinte Web site da Microsoft:
http://technet.microsoft.com/pt-pt/sysinternals/bb896653.aspx
(http://technet.microsoft.com/pt-pt/sysinternals/bb896653.aspx)
Execute o Process Explorer como administrador local.
Clique em Ver, aponte para Vista do painel inferior e depois clique em Identificadores.
Utilizando o Gestor de Tarefas, identifique e feche todos os processos Wmiprvse.exe em execu��o no contexto de Servi�o de Rede ou Servi�o Local.
Execute um caso de teste para a aplica��o, que exer�a uma consulta WMI utilizando um Fornecedor WMI espec�fico. Ao faz�-lo, ser� criado um novo processo WMIPrvSE.exe para servir a nova consulta WMI que acabou de executar.
Na barra de ferramentas do Process Explorer, certifique-se de que seleccionou Ver DLLs.
Observe o painel inferior para ver se o seu DLL foi carregado no WMIPrvSE.exe acabado de criar.
Fa�a duplo clique em WMIPrvSE.exe para abrir a caixa de di�logo Propriedades.
Clique no separador Seguran�a e, a seguir, certifique-se de que os dados que se seguem est�o correctos:
1. "Servi�o de Rede" ou "Servi�o Local" t�m todas as permiss�es no processo Wmiprvse.exe.
2. Certifique-se de que o SID de in�cio de sess�o (na forma S-1-5-5-**** ) n�o est� marcado como propriet�rio.
3. Certifique-se de que o SID de WMI para ServiceAccount {Local Service|Network Service} n�o foi criado. Ou seja, certifique-se de que n�o est� vis�vel em "Grupo".
  - SID de WMI para Servi�o Local: S-1-5-86-1544737700-199408000-2549878335-3519669259-381336952
  - SID de WMI para Servi�o de Rede: S-1-5-86-615999462-62705297-2911207457-59056572-3668589837

Pergunta 2: Como posso proteger um fornecedor WMI vulner�vel?

Resposta 2:

Abra o Editor do Registo.
V� para a seguinte subchave de registo:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders
Adicione um valor de registo para proteger o fornecedor WMI. Utilize o seguinte formato:
```
<NameSpace>:_Win32Provider.Name ="<Nome do Fornecedor>" 	REG_SZ 	0
```
Reinicie o servi�o WMI, executando os seguintes comandos:
- Sc stop winmgmt
- Sc start winmgmt

Voltar ao topo | Submeter coment�rios

INFORMA��O SOBRE OS FICHEIROS

A vers�o em ingl�s (Estados Unidos) desta actualiza��o de seguran�a tem os atributos de ficheiro listados na tabela que se segue (ou posteriores). As datas e horas destes ficheiros s�o indicadas no formato de Hora Universal Coordenada (UTC). Ao visualizar as informa��es dos ficheiros, estas ser�o convertidas na hora local. Para determinar a diferen�a entre a hora UTC e a hora local, utilize o separador Fuso Hor�rio no item Data e Hora do Painel de Controlo.

Notas informativas sobre os ficheiros do Windows XP e do Windows Server 2003

Os ficheiros aplic�veis a uma especifica��o (RTM, SPn) est�o assinalados na coluna ?Requisito SP?.
Al�m dos ficheiros listados nestas tabelas, esta actualiza��o de software tamb�m instala um ficheiro de cat�logo de seguran�a (KBn�mero.cat) associado que est� assinado com uma assinatura digital da Microsoft.

Para todas as vers�es baseadas em x86 suportadas do Windows XP