ID do artigo: 956572 - �ltima revis�o: ter�a-feira, 13 de abril de 2010 - Revis�o: 5.0

MS09-012: Descri��o da atualiza��o de seguran�a do Windows Service Isolation: Abril de 2009

Exibir os produtos aos quais esse artigo se aplica.

Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que est� a utilizar. Foi desactivado o conte�do do artigo, que pode n�o ser relevante para si.

INTRODU��O

A Microsoft lan�ou o boletim de seguran�a MS09-012. Para exibir o boletim completo, visite um dos seguintes sites da Microsoft:

Usu�rios dom�sticos:
http://www.microsoft.com/brasil/athome/security/update/bulletins/200904.mspx (http://www.microsoft.com/brasil/protect/computer/updates/bulletins/200904.mspx)
Ignorar os detalhes: Baixe agora as atualiza��es para o computador particular ou laptop pelo site Microsoft Update:
http://update.microsoft.com/microsoftupdate/ (http://update.microsoft.com/microsoftupdate/)
Profissionais de TI:
http://www.microsoft.com/brasil/technet/security/bulletin/MS09-012.mspx (http://www.microsoft.com/brasil/technet/security/bulletin/MS09-012.mspx)

Voltar para o in�cio

Como obter ajuda e suporte para esta atualiza��o de seguran�a

Os usu�rios dom�sticos podem contatar o suporte gratuito pelo telefone 1-866-PCSAFETY (Estados Unidos e Canad�) ou a subsidi�ria local da Microsoft. Para obter mais informa��es sobre como contatar sua subsidi�ria local da Microsoft para problemas de suporte com atualiza��es de seguran�a, visite o site de Suporte Internacional da Microsoft:

http://support.microsoft.com/common/international.aspx?rdpath=4 (http://support.microsoft.com/common/international.aspx?rdpath=4)

Os clientes da Am�rica do Norte podem obter acesso instant�neo a suporte por email gratuito ilimitado ou a suporte individual por chat ilimitado visitando o seguinte site da Microsoft :

http://support.microsoft.com/oas/default.aspx?&prid=7552 (http://support.microsoft.com/oas/default.aspx?&prid=7552)

Para clientes empresariais, o suporte para atualiza��es de seguran�a est� dispon�vel por meio dos seus contatos de suporte normais.

Voltar para o in�cio

Mais Informa��es

Problemas conhecidos desta atualiza��o de seguran�a

Sintomas
Depois que voc� aplica a atualiza��o em um servidor que usa mais de quatro n�cleos de CPU e que est� executando o Microsoft ISA Server Standard Edition, o Servi�o de controle do Microsoft ISA Server n�o � iniciado. Al�m disso, a Identifica��o do evento 14109 � registrada no log do aplicativo.

Motivo
Esse problema poder� ocorrer se um hotfix lan�ado depois de 7 de fevereiro de 2007 for instalado antes da atualiza��o de seguran�a. Esse problema ocorre em fun��o de uma altera��o na forma com que o Windows reporta o n�mero de CPUs dispon�veis. Essa altera��o foi apresentada pela primeira vez no hotfix 932730. Ela faz com que o Windows Server 2003 reporte as informa��es exatamente da mesma forma que o Windows Vista e o Windows Server 2008. Quando o Windows reporta mais de quatro n�cleos de CPU, o Servi�o de controle do ISA Server interpreta que h� mais de quatro CPUs. Isso dispara um alerta e desliga o Servi�o de controle do Microsoft ISA Server e todos os servi�os dependentes.

Observa��o O hotfix 932730 n�o foi inclu�do em nenhum service pack do Windows Server 2003. Para obter mais informa��es sobre o hotfix 932730, clique no n�mero abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft :
932370� (http://support.microsoft.com/kb/932370/ ) O n�mero dos processadores f�sicos habilitados para hyperthreading ou o n�mero de processadores f�sicos com v�rios n�cleos � reportado incorretamente no Windows Server 2003
Para obter mais informa��es sobre como contornar esse problema, visite a seguinte p�gina da Web da Microsoft :
http://blogs.technet.com/isablog/archive/2009/04/18/ms09-012-and-isa-server-standard-edition-14109-failures.aspx (http://blogs.technet.com/isablog/archive/2009/04/18/ms09-012-and-isa-server-standard-edition-14109-failures.aspx)
Para resolver esse problema do ISA Server 2004, instale o rollup de hotfix 970454. Para obter mais informa��es sobre esse problema, clique no n�mero abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:
970454� (http://support.microsoft.com/kb/970454/ ) Descri��o do pacote de hotfix do ISA Server 2004: 2 de junho de 2009
Para resolver esse problema do ISA Server 2006, instale o rollup de hotfix 970441. Para obter mais informa��es sobre esse problema, clique no n�mero abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:
970441� (http://support.microsoft.com/kb/970441/ ) CORRE��O: N�o � poss�vel iniciar o servi�o de controle do ISA Server depois que a atualiza��o MS09-012 � instalada em computadores que executam o Windows Server 2003 e que possuem mais de 4 n�cleos de CPU

Observa��o Nenhum patch foi emitido para o ISA Server 2000, pois o ISA Server 2000 n�o est� mais no suporte base e esse problema n�o representa uma vulnerabilidade de seguran�a.
Ap�s a aplica��o desta atualiza��o e a execu��o de uma atualiza��o local de um sistema operacional lan�ado anteriormente para um novo sistema, as altera��es feitas pelo usu�rio podem n�o ser preservadas nas seguintes subchaves do Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\DefaultSecuredHost

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders
Esse problema pode ocorrer nos seguintes cen�rios de atualiza��o:
- Windows XP para Windows Vista
- Windows Server 2003 para Windows Server 2008
- Windows 2000 Server para Windows Server 2003
Esse problema n�o ocorre nos seguintes cen�rios de atualiza��o:
- Windows Vista para Windows 7
- Windows Server 2008 para service packs mais recentes ou futuros sistemas operacionais com base em servidor.
Para evitar esse problema, fa�a backup dessas subchaves antes de executar a atualiza��o local. Aplique os backups da subchave novamente depois que a atualiza��o estiver conclu�da e o sistema for corrigido com as atualiza��es de seguran�a.

Voltar para o in�cio

Perguntas frequentes para fornecedores de software independentes (ISV) (COM)

Pergunta 1: Como saber se o meu produto est� vulner�vel a esse problema?

Resposta 1: Fa�a as seguintes perguntas:

Seu produto precisa iniciar um processo de servidor COM que n�o seja do servi�o do NT?
Por padr�o, o servidor COM que o seu produto cria inst�ncias � executado no contexto do Servi�o de Rede ou da Conta de Servi�o Local?

Se a resposta para essas perguntas for sim, seu servidor COM poder� estar vulner�vel. Para continuar a investiga��o sobre a vulnerabilidade do servidor COM, siga estas etapas:

Baixe e instale o Process Explorer no seguinte site da Microsoft:
http://technet.microsoft.com/pt-br/sysinternals/bb896653.aspx (http://technet.microsoft.com/pt-br/sysinternals/bb896653.aspx)
Execute o Process Explorer como administrador local.
Clique em Exibir, aponte para Exibi��o do Painel Inferior e clique em Identificadores.
Clique no processo de servidor desejado e procure Tipo = Token no painel inferior.
Execute todos os conjuntos de teste para seu produto.
Busque no painel inferior todos os tokens existentes para saber se um token do sistema foi capturado.

Se voc� notar que o processo do servidor capturou um token do sistema, siga estas etapas:

Baixe e instale as Ferramentas de Depura��o do Windows no seguinte site da Microsoft:
http://www.microsoft.com/whdc/devtools/debugging/default.mspx (http://www.microsoft.com/whdc/devtools/debugging/default.mspx)
Execute o WinDBG.exe como administrador local.
Clique em Arquivo e em Depura��o de Kernel para iniciar o depurador de kernel local.
Clique em Arquivo e em Anexar a um Processo.
Clique no processo de servidor desejado e em OK para anexar ao processo de servidor.
Configure o caminho de s�mbolo do depurador conforme instru��es a seguir. Substitua o caminho de armazenamento do downstream por Armazenamento Downstream. Por exemplo, C:\Symbols.

SRV*DownstreamStore*http://msdl.microsoft.com/download/symbols
Elimine as informa��es de token do processo.
Obtenha o endere�o do token por meio da sa�da do processo e use o comando dt nt!_TOKEN para exibir uma lista dos campos individuais da estrutura do TOKEN.
Observe o campo ImpersonationLevel do token.

Se voc� notar que o processo do servidor capturou o token do sistema e que o campo "ImpersonationLevel" do processo � "SecurityImpersonation" ou "SecurityDelegation", ent�o um cliente que instalar esse aplicativo do servidor COM no computador estar� vulner�vel � explora��o do MS09-012. � necess�rio proteger seu servidor COM com um SID especial. Pergunta 2: Como saber se meu aplicativo � um servidor COM "Executar Como"?

Resposta 2: Para servidores COM "Executar Como", a subchave do Registro AppID dever� conter a seguinte entrada "Executar Como":

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{APPIDGUID}\"RunAs"="NT Authority\NetworkService"

Especificamente, se o valor da entrada "Executar Como" for "NT Authority\NetworkService" ou "NT Authority\LocalService", o servidor COM poder� estar vulner�vel ao problema descrito no MS09-012. Siga as etapas na "Resposta 1" para saber se o produto est� vulner�vel.

Pergunta 3: Como proteger o servidor COM instalado pelo meu intervalo de produtos?

Resposta 3: Para a fase de testes em laborat�rio: Se voc� quiser proteger os aplicativos do servidor COM que s�o executados no modo de ativa��o "Executar Como", ser� necess�rio controlar o cliente COM e todos os servidores COM a serem protegidos. Veja a seguir as etapas que voc� poder� executar para proteger seus aplicativos COM "Executar Como" ao test�-los internamente:

Instale o pacote MSRC.
Fa�a a seguinte altera��o na configura��o do servidor COM:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{APPIDGUID} REG_DWORD AppIDFlags 0x2 /* Exemplo de uso do valor do Registro AppIDFlags HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{60EE1F45-C0DD-4A1F-AA44-D97424600A16} REG_DWORD AppIDFlags 0x2 */
Observa��o as credenciais do administrador local s�o necess�rias para fazer altera��es.

Se um servidor COM NS/LS que cont�m tokens privilegiados n�o for do servi�o do NT ou n�o for um servidor COM "Executar Como", ele dever� ser convertido para uma dessas configura��es para evitar a vulnerabilidade.

Resposta 3: Para instala��es existentes: Para clientes com instala��es existentes de servidores COM vulner�veis, o ISV dever� publicar uma atualiza��o que ajude a permitir essas altera��es no computador do cliente.

Resposta 3: Para novas instala��es: O ISV dever� fornecer um instalador inteligente capaz de detectar se a atualiza��o de seguran�a 956572 est� instalada no sistema e habilitar a chave do Registro AppIDFlags. Se a atualiza��o n�o estiver instalada, o instalador poder� mostrar uma mensagem de erro sobre as incompatibilidades do sistema e, em seguida, ela poder� ser fechada.

O cliente pode detectar se a atualiza��o do seguran�a 956572 est� instalada no Windows Server 2003 e no Windows XP usando o seguinte m�todo:

O instalador dever� determinar se a seguinte chave do Registro existe:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\HotFix\KB956572
Se essa entrada do Registro existir, a atualiza��o de seguran�a 956572 estar� presente no sistema.

Outro m�todo que pode ser utilizado para fazer isso em todas as vers�es da plataforma Windows � usar as consultas WMI. A seguinte consulta pode ser usada para detectar se a atualiza��o de seguran�a 956572 est� instalada no computador:

SELECT * FROM WIN32_QUICKFIXENGINEERING WHERE HotfixID like ?KB956572?

Observa��o Por padr�o, a corre��o para essa vulnerabilidade est� presente no Windows Vista SP2 e no Windows Server 2008 SP2.

Voltar para o in�cio

Perguntas frequentes para administradores de sistema (COM)

Pergunta 1: Como saber se os servi�os da minha empresa est�o vulner�veis?

Resposta 1: Fa�a as seguintes perguntas:

Seu produto precisa iniciar um processo de servidor COM que n�o seja do servi�o do NT?
Por padr�o, o servidor COM que o seu produto inicia � executado no contexto do Servi�o de Rede ou da Conta de Servi�o Local?

Se a resposta para essas perguntas for sim, esses servidores COM poder�o estar vulner�veis. Para ajudar a proteger esses aplicativos do servidor COM, entre em contato com o ISV que possui o produto. Se esse aplicativo tiver sido desenvolvido internamente, siga as etapas na Resposta 1 da se��o "Perguntas frequentes para fornecedores de software independentes (ISV) (COM)".

Voltar para o in�cio

Perguntas frequentes para ISVs (Services.exe)

Pergunta 1: Como saber se o intervalo de produtos ser� afetado pela explora��o mencionada no MS09-012?

Resposta 1: Fa�a as seguintes perguntas:

Seu produto instala servi�os que s�o iniciados pelo uso da estrutura SCM?
Por padr�o, os servi�os que o seu produto instala s�o executados no contexto do Servi�o de Rede ou da Conta de Servi�o Local?
Se o seu servi�o � executado no Windows Vista ou no Windows Server 2008, execute o seguinte comando a partir de um prompt de comando elevado:
SC.EXE QSIDTYPE <ServiceName>
O valor SERVICE_SID_TYPE est� definido como NENHUM?

Sa�da:
[SC] QueryServiceConfig2 SUCCESS SERVICE_NAME: <Service Name> SERVICE_SID_TYPE: NENHUM
Se a resposta para essas perguntas for sim, seu servi�o poder� estar vulner�vel. Para continuar a investiga��o sobre as vulnerabilidades do servi�o, siga as etapas relacionadas ao Process Explorer na Resposta 1 da se��o "Perguntas frequentes para fornecedores de software independentes (ISV) (COM)".

Pergunta 2: Como proteger os servi�os instalados pelo meu intervalo de produtos?

Resposta 2:

Fase de testes em laborat�rio
Veja a seguir as etapas que podem ajudar na prote��o aos seus servi�os ao test�-los internamente antes de lan��-los para todos os clientes.

Instale o pacote MSRC.
Execute o seguinte comando a partir de um prompt de comando elevado:
SC.exe SIDTYPE <ServiceName> UNRESTRICTED
Reinicie o servi�o por meio do Gerenciador de controle de servi�os.
Para confirmar se o servi�o obteve um SID de servi�o, execute o seguinte comando:
SC.exe QSIDTYPE <Service Name>
Sa�da:
[SC] QueryServiceConfig2 SUCCESS SERVICE_NAME: <Service Name> SERVICE_SID_TYPE: UNRESTRICTED
Se SERVICE_SID_TYPE = UNRESTRICTED for exibido, significa que o servi�o obteve um SID.
Execute todos os casos de teste para verificar se alguma das funcionalidades fornecidas pelo servi�o est� inv�lida.
A seguinte sequ�ncia de comandos ajudar� na remo��o do SID de servi�o:
SC.exe SIDTYPE <ServiceName> NENHUM
SC.exe STOP <ServiceName>
SC.exe START <ServiceName>

Instala��es existentes
Para clientes com instala��es existentes de servi�os vulner�veis, o ISV dever� publicar uma atualiza��o que ajude a permitir um SID de servi�o na caixa do cliente. O ideal seria que a atualiza��o seguisse estas etapas:

Altere a seguinte chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<ServiceName>\ServiceSidType = 1
Ap�s essa atualiza��o, o instalador dever� reiniciar o sistema.

Isso definir� o tipo de SID de servi�o <ServiceName> como UNRESTRICTED.

Novas instala��es
O ISV dever� encontrar um instalador inteligente capaz de detectar se a atualiza��o de seguran�a 956572 est� instalada no sistema e habilitar a chave do Registro ServiceSidType. Se a atualiza��o n�o estiver instalada, o instalador poder� mostrar uma mensagem de erro sobre as incompatibilidades do sistema e, em seguida, a atualiza��o poder� ser fechada.

O cliente pode detectar se a atualiza��o do seguran�a 956572 est� instalada no Windows Server 2003 e no Windows XP usando o seguinte m�todo:

O instalador dever� determinar se a seguinte chave do Registro existe:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\HotFix\KB956572
Se essa entrada do Registro existir, a atualiza��o de seguran�a 956572 estar� presente no sistema.

SELECT * FROM WIN32_QUICKFIXENGINEERING WHERE HotfixID like 'KB956572'

Observa��o As vers�es do Windows Vista e do Windows Server 2008 lan�adas j� possuem a corre��o para Services.exe. N�o � necess�rio detec��o.

Observa��o Se as DACLs do seu produto tiverem recursos com o SID da conta de servi�o, verifique se todos esses recursos (arquivos, chaves do Registro, etc) t�m as DACLs reaplicadas com o SID de servi�o. Se voc� n�o encontrar esse cen�rio, significa que a funcionalidade do produto pode estar inv�lida ao tentar acessar esses recursos.

Para visualizar o SID que est� atribu�do ao seu servi�o, use o seguinte comando:

SC.EXE SHOWSID <service name>

O SID de servi�o � gerado usando um hash do nome do servi�o e n�o ser� alterado se o nome do servi�o permanecer o mesmo.

Voltar para o in�cio

Perguntas frequentes para administradores de sistema (Services.exe)

Pergunta 1: Como saber se os servi�os usados na minha empresa est�o vulner�veis?

Resposta 1: Fa�a as seguintes perguntas:

Seu produto instala servi�os que s�o iniciados pelo uso da estrutura SCM?
Por padr�o, os servi�os que o seu produto instala s�o executados no contexto do Servi�o de Rede ou da Conta de Servi�o Local?

Observa��o Se o servi�o for executado no Windows Vista ou no Windows Server 2008, execute um dos seguintes comandos a partir de um prompt de comando elevado para determinar o contexto:
SC.exe QSIDTYPE <Service Name>
Sa�da:
[SC] QueryServiceConfig2 SUCCESS SERVICE_NAME: <Service Name> SERVICE_SID_TYPE: UNRESTRICTED
Se a resposta para essas perguntas for sim, esses servi�os poder�o estar vulner�veis. Para ajudar a proteger esses servi�os, entre em contato com o ISV que possui o servi�o. Se o servi�o tiver sido desenvolvido internamente, siga as etapas na Resposta 1 da se��o "Perguntas frequentes para fornecedores de software independentes (ISV) (COM)".

Voltar para o in�cio

Perguntas frequentes para fornecedores de software independentes (ISV) (WMI)

Pergunta 1: Como identificar se o provedor WMI usado pelo nosso produto � iniciado ou n�o no modo seguro?

Resposta 1:

Abra os arquivos ".mof" dos provedores WMI e verifique se algum deles possui um dos seguintes modelos de hospedagem:
- NetworkServiceHost
- NetworkServiceHostToSelfHost
- LocalServiceHost
- NULO (somente para Windows Vista ou Windows Server 2008)
Como parte do pacote de captura de token, somente os provedores WMI enviados para a caixa de entrada s�o seguros por padr�o. Se voc� possui um provedor de caixa de entrada, ele dever� estar seguro ap�s a instala��o do pacote de captura de token. Para confirmar isso, verifique os valores do Registro na subchave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders. Se o provedor estiver seguro, ser� exibida um entrada semelhante ao seguinte:
```
<NameSpace>:_Win32Provider.Name ="<Nome do Provedor>" 	REG_SZ 	0.
```
Se o seu provedor estiver listado aqui, ent�o o provedor particular ser� iniciado no modo seguro.
Se o nome do provedor n�o estiver listado na chave do Registro SecureHostProviders e o modelo de hospedagem for um dos modelos listados na etapa 1, ent�o esse provedor ser� lan�ado em um Wmiprvse.exe n�o seguro e tornar� o computador vulner�vel ao ataque de captura de token.

Pergunta 2: Como verificar se o provedor WMI usado pelo nosso produto � iniciado no modo seguro?

Resposta 2:

Fa�a logon como administrador em um computador que tenha seu produto instalado.
Baixe e instale o Process Explorer no seguinte site da Microsoft:
http://technet.microsoft.com/pt-br/sysinternals/bb896653.aspx (http://technet.microsoft.com/pt-br/sysinternals/bb896653.aspx)
Execute o Process Explorer como administrador local.
Clique em Exibir, aponte para Exibi��o do Painel Inferior e clique em Identificadores.
Use o Gerenciador de tarefas para identificar e fechar todos os processos Wmiprvse.exe que estiverem sendo executados no contexto do Servi�o de Rede ou do Servi�o Local.
Use um provedor WMI espec�fico para executar um caso de teste no aplicativo que usa a consulta WMI. Isso criar� um novo processo WMIPrvSE.exe para atender � nova consulta WMI executada anteriormente.
Na barra de ferramentas do Process Explorer, verifique se a op��o Exibir DLLs est� selecionada.
Observe o painel inferior para verificar se a sua DLL foi carregada no WMIPrvSE.exe criado anteriormente.
Clique duas vezes em WMIPrvSE.exe para abrir a caixa de di�logo Propriedades.
Clique na guia Seguran�a e verifique se os itens a seguir est�o corretos:
- O SID de logon tem o formato (S-1-5-5-****).
- O SID de logon tamb�m est� marcado como propriet�rio.
- O SID do WMI da conta de servi�o {Local Service|Network Service} ser� marcado como propriet�rio.
  - SID do WMI para o Servi�o Local:
    S-1-5-86-1544737700-199408000-2549878335-3519669259-381336952
  - SID do WMI para o Servi�o de Rede:
    S-1-5-86-615999462-62705297-2911207457-59056572-3668589837
Clique em Permiss�o e verifique se nem o Servi�o de Rede nem o Servi�o Local aparecem na lista. Isso servir� para confirmar se o provedor est� sendo iniciado no modo seguro.

Pergunta 3: Como um ISV pode proteger o provedor WMI usado por seu produto?

Resposta 3: Como parte do pacote de captura de token, fornecemos tr�s chaves do Registro para ajudar os ISVs na configura��o de seus provedores WMI.

HKLM\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders

Todos os provedores listados nessa chave ser�o sempre executados no modo seguro.
HKLM \SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders

Se houver um provedor listado nessa chave, ele ser� executado no modo n�o seguro. Essa chave existe para que um ISV possa adicionar uma exce��o a um provedor particular que tenha problemas de compatibilidade ao ser executado no modo seguro. Por padr�o ele apresentar� 0 (zero) entradas.
HKLM \SOFTWARE\Microsoft\WBEM\CIMOM\DefaultSecuredHost

Se essa chave do Registro global estiver definida como 1, ele iniciar� todos os provedores WMI do computador no modo seguro independentemente de estarem listados ou n�o em alguma chave do Registro acima. A Microsoft n�o definiu a chave como 1 por padr�o porque nem todos os aplicativos de outros fabricantes foram testados com essa chave do Registro.

Para ajudar a proteger o provedor WMI, adicione o seguinte valor do Registro em "HKLM\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders":

<NameSpace>:_Win32Provider.Name =?<Nome do Provedor>? 	REG_SZ 	0.

Verifique se todos os cen�rios de teste funcionam como esperado ap�s essa altera��o.

Voltar para o in�cio

Perguntas frequentes para o administrador do sistema (WMI)

Pergunta 1: Como identificar se um provedor WMI usado pela minha empresa est� sendo executado no modo n�o seguro?

Resposta 1:

Fa�a logon como administrador em um computador que tenha seu produto instalado.
Baixe e instale o Process Explorer no seguinte site da Microsoft:
http://technet.microsoft.com/pt-br/sysinternals/bb896653.aspx (http://technet.microsoft.com/pt-br/sysinternals/bb896653.aspx)
Execute o Process Explorer como administrador local.
Clique em Exibir, aponte para Exibi��o do Painel Inferior e clique em Identificadores.
Use o Gerenciador de tarefas para identificar e fechar todos os processos Wmiprvse.exe que estiverem sendo executados no contexto do Servi�o de Rede ou do Servi�o Local.
Use um provedor WMI espec�fico para executar um caso de teste no aplicativo que usa a consulta WMI. Isso criar� um novo processo WMIPrvSE.exe para atender � nova consulta WMI executada anteriormente.
Na barra de ferramentas do Process Explorer, verifique se a op��o Exibir DLLs est� selecionada.
Observe o painel inferior para verificar se a sua DLL foi carregada no WMIPrvSE.exe criado anteriormente.
Clique duas vezes em WMIPrvSE.exe para abrir a caixa de di�logo Propriedades.
Clique na guia Seguran�a e verifique se os itens a seguir est�o corretos:
1. "Servi�o de Rede" ou "Servi�o Local" tem permiss�o total sobre o processo Wmiprvse.exe.
2. Verifique se o SID de logon (no formato S-1-5-5-**** ) n�o est� marcado como propriet�rio.
3. Verifique se o SID do WMI da conta de servi�o {Local Service|Network Service} n�o foi gerado. Ou seja, verifique se ele n�o est� vis�vel em "Grupo".
  - SID do WMI para o Servi�o Local: S-1-5-86-1544737700-199408000-2549878335-3519669259-381336952
  - SID do WMI para o Servi�o de Rede: S-1-5-86-615999462-62705297-2911207457-59056572-3668589837

Pergunta 2: Como proteger um provedor WMI vulner�vel?

Resposta 2:

Abra o Editor do Registro.
Acesse a seguinte subchave do Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders
Adicione um valor do Registro no provedor WMI a ser protegido. Use o seguinte formato:
```
<NameSpace>:_Win32Provider.Name =?<Nome do Provedor>? 	REG_SZ 	0
```
Reinicie o servi�o WMI executando os seguintes comandos.
- Sc stop winmgmt
- Sc start winmgmt

Voltar para o in�cio

INFORMA��ES SOBRE O ARQUIVO

A vers�o em ingl�s (Estados Unidos) dessa atualiza��o de seguran�a tem os atributos de arquivo (ou atributos de arquivo posteriores) listados na tabela a seguir. As datas e horas destes arquivos est�o listadas em formato UTC (Tempo Universal Coordenado). Ao exibir as informa��es do arquivo, elas s�o convertidas para a hora local. Para localizar a diferen�a entre o UTC e a hora local, use a guia Fuso Hor�rio no item Data e Hora do Painel de Controle.

Informa��es sobre o arquivo do Windows XP e do Windows Server 2003

Os arquivos que se aplicam a uma etapa espec�fica (RTM, SPn) est�o indicados na coluna "Requisito de SP".
Al�m dos arquivos listados nessas tabelas, esta atualiza��o de software tamb�m instala um arquivo associado do cat�logo de seguran�a (KBn�mero.cat) que est� assinado com uma assinatura digital da Microsoft.

Para todas as vers�es baseadas em x86 compat�veis do Windows XP