Como restringir o acesso ao registro de um computador remoto

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 153183
Aviso
Este artigo se aplica ao Windows 2000. Suporte 2000 termina em 13 de julho de 2010.Windows 2000 End-of-Support Solution Center é um ponto de partida para planejar uma estratégia de migração do Windows 2000. Para obter mais informações, consulte a Microsoft Support Lifecycle Policy.
Para uma versão do Microsoft Windows XP deste artigo, consulte 314837.
Aviso
Este artigo se aplica ao Windows 2000. Suporte 2000 termina em 13 de julho de 2010.Windows 2000 End-of-Support Solution Center é um ponto de partida para planejar uma estratégia de migração do Windows 2000. Para obter mais informações, consulte a Microsoft Support Lifecycle Policy.
Este artigo foi arquivado. É oferecido "como está" e não será mais atualizado.
Sumário
Editor do registro oferece suporte a acesso remoto para o Windows Registry; no entanto, você também pode restringir esse acesso.
Mais Informações
Por padrão em um sistema Windows NT 3.51 qualquer usuário pode acessar o registro ao se conectar pela rede. Em um sistema Windows NT 4.0 e posterior, por padrão somente os membros do grupo Administradores podem acessar o registro pela rede.

Usuários de domínio podem se conectar ao registro de um controlador de domínio remotamente usando Regedit.exe. Em seguida, eles podem ver valores na entrada HKEY_CLASSES_ROOT e na entrada HKEY_USERS. No entanto, eles terão apenas acesso somente leitura. Isso é por design.

Observação Alguns serviços precisam acessar o registro para funcionar corretamente. Por exemplo, se você adicionar essa chave para um sistema 3.51 que está executando a replicação de diretório, é necessário conceder acesso à conta Replicador para o Registro conforme descrito posteriormente neste artigo.

Restringindo o acesso de rede para o registro

Importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Portanto, certifique-se de que você siga estas etapas cuidadosamente. Para proteção adicional, faça backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
322756Como fazer backup e restaurar o registro no Windows
Observação No Windows 2000 e posterior, somente administradores e operadores têm acesso de rede padrão ao registro. Esta seção não pode aplicar em determinadas instâncias. Para restringir o acesso de rede para o registro, execute as etapas listadas abaixo para criar a seguinte chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg

Nome: Descrição
Tipo: REG_SZ
Valor: Registro Server
As permissões de segurança definidas nesta chave definem quais usuários ou grupos podem se conectar ao sistema para acesso de registro remoto. A instalação do Windows padrão define esta chave e define a lista de controle de acesso para restringir o acesso remoto ao registro da seguinte maneira:
Os administradores possuam Controle total
A configuração padrão para o Windows permite que apenas administradores acesso remoto ao registro. Alterações a esta chave para permitir aos usuários acesso de registro remoto exigem a reinicialização do sistema tenham efeito.

Para criar a chave do Registro para restringir o acesso ao registro:
  1. Inicie o Editor do Registro (Regedt32.exe) e vá para a seguinte subchave:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
  2. No menu Editar, clique em Adicionar chave.
  3. Insira os seguintes valores:
    Nome de chave: SecurePipeServers
    Classe: REG_SZ
  4. Vá para a seguinte subchave:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers
  5. No menu Editar, clique em Adicionar chave.
  6. Insira os seguintes valores:
    Nome de chave: winreg
    Classe: REG_SZ
  7. Vá para a seguinte subchave:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
  8. No menu Editar, clique em Adicionar valor.
  9. Insira os seguintes valores:
    Nome do valor: Descrição
    Tipo de dados: REG_SZ
    Seqüência: Servidor de registro
  10. Vá para a seguinte subchave.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
  11. Selecione "winreg". Clique em segurança e clique em permissões. Adicione usuários ou grupos aos quais você deseja conceder acesso.
  12. Sair do Editor do Registro e reinicie o Windows.
  13. Se você em um estágio posterior deseja alterar a lista de usuários podem acessar o registro, repita as etapas 10-12.

Ignorando a restrição de acesso

Alguns serviços precisam de acesso remoto ao registro para funcionar corretamente. Por exemplo, o serviço e o spooler do serviço ao se conectar a uma impressora na rede exigir acesso ao registro remoto.

Você pode adicionar o nome da conta que o serviço está sendo executado sob a lista de acesso da chave "winreg" ou você pode configurar o Windows para ignorar a restrição de acesso a determinadas chaves listando-os no valor de máquina ou usuários sob a chave AllowedPaths.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg\AllowedPaths
   Value:        Machine   Value Type:   REG_MULTI_SZ - Multi string   Default Data: System\CurrentControlSet\Control\ProductOptions                 System\CurrentControlSet\Control\Print\Printers                 System\CurrentControlSet\Services\Eventlog                 Software\Microsoft\Windows NT\CurrentVersion                 System\CurrentControlSet\Services\Replicator   Valid Range:  A valid path to a location in the registry.   Description:  Allow machines access to listed locations in the                 registry provided that no explicit access                 restrictions exists for that location.   Value:        Users   Value Type:   REG_MULTI_SZ - Multi string   Default Data: (None)   Valid Range:  A valid path to a location in the registry.   Description:  Allow Users access to listed locations in the                 registry provided that no explicit access                 restrictions exists for that location. 
Ligeiramente alterada no Windows 2000 e posterior:
   Value:        Machine   Value Type:   REG_MULTI_SZ - Multi string   Default Data: System\CurrentControlSet\Control\ProductOptions                 System\CurrentControlSet\Control\Print\Printers                 system\CurrentControlSet\control\Server Applications                 System\CurrentControlSet\Services\Eventlog                 Software\Microsoft\Windows NT\CurrentVersion                    Value:  Users - Does not exist by default. 
Para obter informações adicionais sobre como acessar o registro do Windows programaticamente e aplicar segurança a uma chave do Registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
146906Como proteger dados de desempenho no Windows 2000, Windows NT, Windows XP


Observação É possível ter acesso remoto ao registro depois siga as etapas neste artigo se o valor de registro RestrictNullSessAccess foi criado e definido como 0. Este valor permite acesso remoto ao registro usando uma sessão nula. O valor substitui outras configurações restritivas explícitas.
prodnt

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 153183 - Última Revisão: 12/04/2015 15:00:34 - Revisão: 8.5

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Datacenter Server, Microsoft Windows NT Workstation 3.51, Microsoft Windows NT Workstation 4.0 Developer Edition, Microsoft Windows NT Server 3.51, Microsoft Windows NT Server 4.0 Standard Edition

  • kbnosurvey kbarchive kbmt kbnetwork KB153183 KbMtpt
Comentários