Iniciar sessão com a Microsoft
Iniciar sessão ou criar uma conta.
Olá,
Selecione uma conta diferente.
Tem várias contas
Selecione a conta com a qual pretende iniciar sessão.

Resumo

As definições de segurança e atribuições de direitos de utilizador podem ser alteradas nas políticas locais e políticas de grupo para ajudar a reforçar a segurança dos controladores de domínio e dos computadores membros. No entanto, a desvantagem de uma maior segurança é a introdução de incompatibilidades com clientes, serviços e programas.

Este artigo descreve incompatibilidades que podem ocorrer em computadores cliente que executam o Windows XP ou numa versão anterior do Windows, quando altera definições de segurança e atribuições de direitos de utilizador específicas num domínio do Windows Server 2003 ou num domínio anterior do Windows Server.

Para obter informações sobre Política de Grupo para Windows 7, Windows Server 2008 R2 e Windows Server 2008, consulte os seguintes artigos:

Nota: Os conteúdos restantes neste artigo são específicos para o Windows XP, Windows Server 2003 e versões anteriores do Windows.

Windows XP

Para aumentar o conhecimento das definições de segurança mal configuradas, utilize a Política de Grupo Editor de Objetos do Política de Grupo alterar as definições de segurança. Quando utiliza o Editor Política de Grupo Objetos, as atribuições de direitos de utilizador são melhoradas nos seguintes sistemas operativos:

  • Windows XP Professional Service Pack 2 (SP2)

  • Windows Server 2003 Service Pack 1 (SP1)

A funcionalidade melhorada é uma caixa de diálogo que contém uma ligação para este artigo. A caixa de diálogo é exibida quando altera uma definição de segurança ou atribuição de direitos de utilizador para uma definição que oferece menos compatibilidade e que é mais restritiva. Se alterar diretamente a mesma definição de segurança ou atribuição de direitos de utilizador ao utilizar o registo ou através de modelos de segurança, o efeito é o mesmo que alterar a definição no Política de Grupo Editor de Objetos. No entanto, a caixa de diálogo que contém a ligação para este artigo não é apresentada.

Este artigo contém exemplos de clientes, programas e operações afetados por definições de segurança específicas ou atribuições de direitos de utilizador. No entanto, os exemplos não são autoritativos para todos os sistemas operativos da Microsoft, para todos os sistemas operativos de terceiros ou para todas as versões de programa afetadas. Nem todas as definições de segurança e atribuições de direitos de utilizador estão incluídas neste artigo.

Recomendamos que valide a compatibilidade de todas as alterações de configuração relacionadas com segurança numa floresta de teste antes de as introduzir num ambiente de produção. A floresta de teste tem de espelhar a floresta de produção das seguintes formas:

  • Versões do sistema operativo cliente e servidor, programas de cliente e servidor, versões do service pack, hotfixes, alterações de esquema, grupos de segurança, associações a grupos, permissões em objetos no sistema de ficheiros, pastas partilhadas, registo, serviço de diretório do Active Directory, definições locais e de Política de Grupo e tipo e localização de contagem de objetos

  • Tarefas administrativas executadas, ferramentas administrativas utilizadas e sistemas operativos utilizados para efetuar tarefas administrativas

  • Operações executadas, tais como as seguintes:

    • Autenticação de início de sessão do computador e do utilizador

    • A palavra-passe é reposta por utilizadores, por computadores e por administradores

    • Navegação

    • Definir permissões para o sistema de ficheiros, para pastas partilhadas, para o registo e para recursos do Active Directory ao utilizar o Editor ACL em todos os sistemas operativos cliente em todos os sistemas operativos cliente ou de recursos de todos os sistemas operativos cliente de todas as contas ou domínios de recursos

    • Imprimir a partir de contas administrativas e não administrativas

Windows Server 2003 SP1

Avisos no Gpedit.msc

Para ajudar os clientes a saber que estão a editar uma opção de segurança ou direito do utilizador que pode afetar negativamente a respetiva rede, foram adicionados dois mecanismos de aviso ao gpedit.msc. Quando os administradores editam um direito de utilizador que pode afetar negativamente toda a empresa, verão um novo ícone que se assemelha a um sinal de rendimento. Eles também receberão uma mensagem de aviso que tem uma ligação para o artigo da Base de Dados de Conhecimento 823659. O texto desta mensagem é o seguinte:

A modificação desta definição poderá afetar a compatibilidade com clientes, serviços e aplicações. Para obter mais informações, consulte uma opção de direitos ou segurança do utilizador que está> a ser modificado (Q823659) Se tiver sido direcionado para este artigo da Base de Dados de Conhecimento <partir de uma ligação no Gpedit.msc, certifique-se de que lê e compreende a explicação fornecida e o possível efeito da alteração desta definição. A seguinte lista os Direitos de Utilizador que contêm o texto de aviso:

  • Aceder a este computador a partir da rede

  • Iniciar sessão localmente

  • Verificação de bypass transversais

  • Ativar computadores e utilizadores para delegação de confiança

A seguinte lista as Opções de Segurança que têm o aviso e uma mensagem de pop-up:

  • Domain Member: encriptar ou assinar digitalmente dados de canais seguros (sempre)

  • Domain Member: require strong (Windows 2000 ou a posterior version) session key

  • Controlador de Domínio: requisitos de assinatura do servidor LDAP

  • Servidor de rede da Microsoft: assinar digitalmente comunicações (sempre)

  • Acesso à Rede: permite tradução de nome/SID Anónimo

  • Acesso à Rede: não permitir uma enumeração anónima de contas e partilhas SAM

  • Segurança de rede: nível de autenticação do LAN Manager

  • Auditoria: Encerrar sistema imediatamente se não for possível registar auditorias de segurança

  • Acesso à Rede: requisitos de assinatura de cliente LDAP

Mais Informações

As secções seguintes descrevem incompatibilidades que podem ocorrer quando altera definições específicas em domínios do Windows NT 4.0, domínios do Windows 2000 e do Windows Server 2003.

Direitos de utilizador

A lista seguinte descreve um direito do utilizador, identifica as definições de configuração que podem causar problemas, descreve o motivo pelo qual deve aplicar o utilizador à direita e por que razão poderá pretender remover o utilizador certo e fornece exemplos de problemas de compatibilidade que podem ocorrer quando o utilizador tem a direita configurada.

  1. Aceder a este computador a partir da rede

    1. Fundo

      A capacidade de interagir com computadores remotos baseados no Windows requer o direito de aceder a este computador a partir do utilizador de rede. Os exemplos dessas operações de rede incluem o seguinte:

      • Replicação do Active Directory entre controladores de domínio num domínio ou floresta comuns

      • Pedidos de autenticação para controladores de domínio de utilizadores e de computadores

      • Acesso a pastas partilhadas, impressoras e outros serviços de sistema localizados em computadores remotos na rede



      Os utilizadores, computadores e contas de serviço ganham ou perdem o direito de aceder a este computador a partir do utilizador de rede ao serem explicitamente ou implicitamente adicionados ou removidos de um grupo de segurança que lhe foi concedido o direito de utilizador. Por exemplo, uma conta de utilizador ou uma conta de computador pode ser explicitamente adicionada a um grupo de segurança personalizado ou a um grupo de segurança incorporado por um administrador ou pode ser implicitamente adicionada pelo sistema operativo a um grupo de segurança informático, como Utilizadores do Domínio, Utilizadores Autenticados ou Controladores de Domínio Empresarial.

      Por predefinição, as contas de utilizador e as contas de computador obtêm acesso a este computador a partir do utilizador de rede, quando os grupos computados como Todos ou, de preferência, Utilizadores Autenticados e, para controladores de domínio, o grupo Controladores de Domínio Empresarial, estão definidos nos controladores de domínio predefinidos Política de Grupo Objeto (GPO).

    2. Configurações de risco

      Seguem-se definições de configuração prejudicial:

      • Remover o grupo de segurança Controladores de Domínio Empresarial deste utilizador

      • Remover o grupo Utilizadores Autenticados ou um grupo explícito que permite que os utilizadores, computadores e contas de serviço o utilizador liguem aos computadores através da rede

      • Remover todos os utilizadores e computadores deste utilizador à direita

    3. Razões para conceder o direito a este utilizador

      • Conceder o acesso a este computador a partir do utilizador de rede ao grupo Controladores de Domínio Empresarial satisfaz os requisitos de autenticação que a replicação do Active Directory tem de ter para que a replicação ocorra entre controladores de domínio na mesma floresta.

      • Este utilizador permite que os utilizadores e computadores acedam a ficheiros, impressoras e serviços de sistema partilhados, incluindo o Active Directory.

      • Este direito de utilizador é necessário para que os utilizadores acedam ao correio ao utilizarem versões iniciais do Microsoft Outlook Web Access (OWA).

    4. Razões para remover este utilizador

      • Os utilizadores que podem ligar os seus computadores à rede podem aceder a recursos em computadores remotos para os qual têm permissões. Por exemplo, é necessário este utilizador a direita para ligar a impressoras partilhadas e a pastas. Se este direito de utilizador for concedido ao grupo Todos e se algumas pastas partilhadas têm permissões de sistema de partilha e de sistema de ficheiros NTFS configuradas para que o mesmo grupo tenha acesso de leitura, qualquer pessoa pode ver os ficheiros nessas pastas partilhadas. No entanto, esta é uma situação improvável para novas instalações do Windows Server 2003 porque a partilha predefinida e as permissões NTFS no Windows Server 2003 não incluem o grupo Todos. Para sistemas que são atualizados a partir do Microsoft Windows NT 4.0 ou Windows 2000, esta vulnerabilidade pode ter um nível de risco superior porque a partilha predefinida e as permissões de sistema de ficheiros destes sistemas operativos não são tão restritivas como as permissões predefinida no Windows Server 2003.

      • Não existe um motivo válido para remover o grupo Enterprise Domain Controllers deste utilizador.

      • Geralmente, o grupo Todos é removido a favor do grupo Utilizadores Autenticados. Se o grupo Todos os Utilizadores for removido, o grupo Utilizadores Autenticados tem de conceder o direito a este utilizador.

      • Os domínios do Windows NT 4.0 que são atualizados para o Windows 2000 não concedem explicitamente acesso a este computador a partir do utilizador de rede, ao grupo Todos, ao grupo Utilizadores Autenticados ou ao grupo Controladores de Domínio Empresarial. Assim, quando remover o grupo Todos da política de domínio do Windows NT 4.0, a replicação do Active Directory falhará com uma mensagem de erro "Acesso Negado" após atualizar para o Windows 2000. Winnt32.exe no Windows Server 2003 evita esta configuração indevido ao conceder ao grupo Controladores de Domínio empresarial este utilizador quando atualiza controladores de domínio principal (PDCs) do Windows 4.0. Conceda ao grupo Controladores de Domínio Empresarial este direito se este não estiver presente no Editor de Objetos Política de Grupo Empresas.

    5. Exemplos de problemas de compatibilidade

      • Windows 2000 e Windows Server 2003: a replicação das seguintes partições falhará com erros "Access Denied", conforme comunicado pelas ferramentas de monitorização, como REPLMON e REPADMIN ou eventos de replicação no registo de eventos.

        • Partição esquema do Active Directory

        • Partição de configuração

        • Partição de domínio

        • Partição do catálogo global

        • Partição da aplicação

      • Todos os sistemas operativos de rede da Microsoft: a autenticação da Conta de Utilizador dos computadores cliente de rede remota irá falhar, a menos que este utilizador ou um grupo de segurança de que o utilizador seja membro tenha sido concedido o direito deste utilizador.

      • Todos os sistemas operativos de rede da Microsoft: a autenticação da conta de clientes de rede remota irá falhar, a menos que a conta ou um grupo de segurança de que a conta seja membro tenha sido concedida a este utilizador direito. Este cenário aplica-se a contas de utilizador, a contas de computador e a contas de serviço.

      • Todos os sistemas operativos de rede da Microsoft: remover todas as contas deste utilizador à direita impedirá qualquer conta de ter acesso ao domínio ou de aceder aos recursos de rede. Se os grupos computados, como os Controladores de Domínio Empresarial, Todos ou Utilizadores Autenticados, são removidos, tem de conceder explicitamente a este utilizador o direito a contas ou grupos de segurança de que a conta é membro para aceder a computadores remotos através da rede. Este cenário aplica-se a todas as contas de utilizador, a todas as contas de computador e a todas as contas de serviço.

      • Todos os sistemas operativos da rede da Microsoft: a conta de administrador local utiliza uma palavra-passe "em branco". A conectividade de rede com palavras-passe em branco não é permitida para contas de administrador num ambiente de domínio. Com esta configuração, pode esperar receber uma mensagem de erro "Acesso Negado".

  2. Permitir início de sessão localmente

    1. Fundo

      Os utilizadores que estão a tentar iniciar sessão na consola de um computador com Windows (ao utilizar o atalho de teclado Ctrl+Alt+Delete) e as contas que estiverem a tentar iniciar um serviço têm de ter privilégios de início de sessão local no computador de alojamento. Alguns exemplos de operações de início de sessão locais incluem administradores que estão a ter sessão em consolas de computadores membros ou controladores de domínio em toda a empresa e utilizadores de domínio que estão a utilizar os computadores membros para aceder aos respetivos computadores utilizando contas não privilegiadas. Os utilizadores que utilizem uma ligação de Ambiente de Trabalho Remoto ou os Serviços de Terminal têm de ter o registo de Permitir no utilizador localmente em computadores de destino que executem o Windows 2000 ou Windows XP, uma vez que estes modos de início de sessão são considerados locais para o computador de alojamento. Os utilizadores que iniciarem sessão num servidor com o Servidor de Terminal ativado e que não tenham este utilizador correto podem iniciar uma sessão interativa remota nos domínios do Windows Server 2003 se o utilizador tiver o direito de permitir o início de sessão através do utilizador dos Serviços de Terminal.

    2. Configurações de risco

      Seguem-se definições de configuração prejudicial:

      • Remover grupos de segurança administrativa, incluindo Operadores de Conta, Operadores de Cópia de Segurança, Operadores de Impressão ou Operadores de Servidor e o grupo de Administradores incorporado da política do controlador de domínio predefinido.

      • Remover as contas de serviço utilizadas por componentes e por programas em computadores membros e em controladores de domínio no domínio a partir da política do controlador de domínio predefinida.

      • Remover utilizadores ou grupos de segurança que iniciarem sessão na consola dos computadores membros no domínio.

      • Remover contas de serviço definidas na base de dados local do Gestor de Contas de Segurança (SAM) dos computadores membros ou dos computadores de grupo de trabalho.

      • Remover contas administrativas não incorporadas que estão a autenticar por cima dos Serviços de Terminal em execução num controlador de domínio.

      • Adicionar todas as contas de utilizador no domínio explicitamente ou implicitamente através do grupo Todos ao negar início de sessão localmente. Esta configuração impedirá que os utilizadores indiquem o registo em qualquer computador membro ou controlador de domínio no domínio.

    3. Razões para conceder o direito a este utilizador

      • Os utilizadores têm de ter o direito de Permitir início de sessão no utilizador local para aceder à consola ou ao ambiente de trabalho de um computador de grupo de trabalho, de um computador membro ou de um controlador de domínio.

      • Os utilizadores têm de ter este utilizador direito para iniciar sessão numa sessão dos Serviços de Terminal num computador membro ou controlador de domínio do Window 2000.

    4. Razões para remover este utilizador

      • A falha em restringir o acesso da consola a contas de utilizador legítimas poderá resultar na transferência e execução de código malicioso por parte de utilizadores não autorizados para alterar os respetivos direitos de utilizador.

      • A remoção do direito de Permitir início de sessão no utilizador local impede inícios de sessão não autorizados em consolas de computadores, como controladores de domínio ou servidores de aplicações.

      • A remoção deste direito de início de sessão impede o início de sessão de contas que não são de domínio na consola de computadores membros no domínio.

    5. Exemplos de problemas de compatibilidade

      • Servidores de terminal do Windows 2000: é necessário o registo de Permitir no início de sessão localmente para os utilizadores iniciarem sessão nos servidores de terminal do Windows 2000.

      • Windows NT 4.0, Windows 2000, Windows XP ou Windows Server 2003: tem de conceder a este utilizador o direito de iniciar sessão na consola dos computadores que executam o Windows NT 4.0, Windows 2000, Windows XP ou Windows Server 2003.

      • Windows NT 4.0 e posterior: Em computadores que executam o Windows NT 4.0 e posterior, se adicionar o registo Permitir ao iniciar sessão localmente do utilizador certo, mas também conceder implicita ou explicitamente o início de sessão Negar o início de sessão localmente, as contas não conseguirão iniciar sessão na consola dos controladores de domínio.

  3. Verificação de bypass transversais

    1. Fundo

      O utilizador que efetua a verificação do acesso direto permite ao utilizador procurar pastas no sistema de ficheiros NTFS ou no registo sem ter de verificar a permissão de acesso especial da Pasta Traverse. O lado direito da verificação Bypass transversais do utilizador não permite ao utilizador listar os conteúdos de uma pasta. Permite ao utilizador percorrer apenas as respetivos pastas.

    2. Configurações de risco

      Seguem-se definições de configuração prejudicial:

      • Remover contas não administrativas que incedam em computadores de Serviços de Terminal baseados no Windows 2000 ou computadores com Serviços de Terminal baseados no Windows Server 2003 que não têm permissões para aceder a ficheiros e pastas no sistema de ficheiros.

      • Remover o grupo Todos da lista de principais de segurança que têm este utilizador certo por predefinição. Os sistemas operativos Windows, e também muitos programas, foram concebidos com a expetativa de que qualquer pessoa que possa aceder legítimamente ao computador terá o modo de verificação Bypass transversal ao verificar o utilizador. Por conseguinte, remover o grupo Todos da lista de principais de segurança que têm este utilizador direito por predefinição poderá levar a falhas no sistema operativo ou falha do programa. É melhor deixar esta definição como predefinição.

    3. Razões para conceder o direito a este utilizador

      A predefinição para o direito do utilizador de verificação Bypass é permitir que qualquer utilizador desatrase através da verificação. Para os administradores experientes do sistema Windows, este é o comportamento esperado e estes configuram as listas de controlo de acesso ao sistema de ficheiros (SACLs) em conformidade. O único cenário em que a configuração predefinida pode causar um mishap é se o administrador que configura permissões não compreender o comportamento e esperar que os utilizadores que não conseguem aceder a uma pasta principal não consigam aceder aos conteúdos das pastas de menor.

    4. Razões para remover este utilizador

      Para tentar impedir o acesso aos ficheiros ou às pastas no sistema de ficheiros, as organizações que estão muito preocupados com a segurança podem ser tentados a remover o grupo Todos ou até o grupo Utilizadores da lista de grupos que têm o cruzamento direto de utilizadores em verificação.

    5. Exemplos de problemas de compatibilidade

      • Windows 2000, Windows Server 2003: se as definições de utilizador que estão a executar o Windows 2000 ou Windows Server 2003 estiverem a ser removidas ou estiverem configuradas incorretamente nos computadores que executam o Windows 2000 ou o Windows Server 2003, as definições do Política de Grupo na pasta SYVOL não serão replicadas entre controladores de domínio no domínio.

      • Windows 2000, Windows XP Professional, Windows Server 2003: os computadores que executem o Windows 2000, o Windows XP Professional ou o Windows Server 2003 registarão os eventos 1000 e 1202 e não poderão aplicar políticas informáticas e políticas de utilizador quando as permissões de sistema de ficheiros necessárias são removidas da árvore SYSVOL se o Cruzamento de Lado do utilizador for removido ou estiver configurado incorretamente.

         

      • Windows 2000, Windows Server 2003: Em computadores que executam o Windows 2000 ou o Windows Server 2003, o separador Quota no Explorador do Windows irá desaparecer quando visualizar as propriedades num volume.

      • Windows 2000: os não administradores que iniciarem sessão num servidor de terminal do Windows 2000 poderão receber a seguinte mensagem de erro:

        Userinit.exe de aplicação. A aplicação não conseguiu inicializar corretamente 0xc0000142 clicar em OK para terminar a aplicação.

      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: os utilizadores cujos computadores executam o Windows NT 4.0, Windows 2000, Windows XP ou Windows Server 2003 poderão não conseguir aceder a pastas ou ficheiros partilhados em pastas partilhadas e poderão receber mensagens de erro "Acesso Negado" caso não lhe seja concedido o acesso direto ao utilizador que verifica o utilizador.


         

      • Windows NT 4.0: em computadores baseados no Windows NT 4.0, a remoção do utilizador que verifica o fluxo direto de deslizações ao percorrer fará com que uma cópia de ficheiro largue fluxos de ficheiros. Se remover este utilizador direito, quando um ficheiro é copiado de um cliente do Windows ou de um cliente Macintosh para um controlador de domínio do Windows NT 4.0 que executa os Serviços para Macintosh, o fluxo do ficheiro de destino é perdido e o ficheiro é apresentado como um ficheiro só de texto.

      • Microsoft Windows 95, Microsoft Windows 98: num computador cliente com o Windows 95 ou Windows 98, o comando net use * /home irá falhar com uma mensagem de erro "Acesso Negado" se o grupo Utilizadores Autenticados não lhe for concedido o acesso direto ao utilizador que verifica o bypass.

      • Outlook Web Access: os não-administradores não poderão iniciar sessão no Microsoft Outlook Web Access e receberão uma mensagem de erro "Access Denied" se não lhe for concedida a mensagem de erro "Bypass traverse checking user right".

Definições de Segurança

A lista seguinte identifica uma definição de segurança e a lista aninhada fornece uma descrição sobre a definição de segurança, identifica as definições de configuração que podem causar problemas, descreve o motivo pelo qual deve aplicar a definição de segurança e, em seguida, descreve os motivos pelos quais poderá querer remover a definição de segurança. Em seguida, a lista aninhada fornece um nome simbólico para a definição de segurança e o caminho de registo da definição de segurança. Por fim, são fornecidos exemplos de problemas de compatibilidade que podem ocorrer quando a definição de segurança é configurada.

  1. Auditoria: Encerrar sistema imediatamente se não for possível registar auditorias de segurança

    1. Fundo

      • A definição Auditoria: Encerrar sistema imediatamente se não for possível registar as definições de auditoria de segurança determina se o sistema é encerrado se não conseguir registar eventos de segurança. Esta definição é necessária para a avaliação C2 do programa de Critérios de Avaliação de Segurança do Computador (TCSEC) e para a Avaliação de Segurança de Tecnologia da Informação em Critérios Comuns para Impedir eventos auditáveis se o sistema de auditoria não conseguir registar esses eventos. Se o sistema de auditoria falhar, o sistema será encerrado e será exibida uma mensagem de erro Parar.

      • Se o computador não conseguir gravar eventos no registo de segurança, as provas críticas ou informações importantes de remoção de problemas poderão não estar disponíveis para revisão após um incidente de segurança.

    2. Configuração de risco

      Segue-se uma definição de configuração prejudicial: O Sistema de Auditoria: Encerrar sistema imediatamente se não for possível registar a definição de auditorias de segurança está ativada e o tamanho do registo de eventos de segurança é restrito pela opção Não sobrescrever eventos (limpar registo manualmente), a opção Sobrescrever Eventos como necessário ou a opção Sobrescrever Eventos com mais de dias no Visualizador de Eventos. Consulte a secção "Exemplos de Problemas de Compatibilidade" para obter informações sobre riscos específicos para computadores que executem a versão de lançamento original do Windows 2000, Windows 2000 Service Pack 1 (SP1), Windows 2000 SP2 ou Windows 2000 SP3.

    3. Razões para ativar esta definição

      Se o computador não conseguir gravar eventos no registo de segurança, as provas críticas ou informações importantes de remoção de problemas poderão não estar disponíveis para revisão após um incidente de segurança.

    4. Motivos para desativar esta definição

      • Ativar a Auditoria: Escerte o sistema imediatamente se não for possível registar as definições de auditoria de segurança para o sistema se, por qualquer motivo, não for possível registar uma auditoria de segurança. Normalmente, um evento não pode ser registrado quando o registo de auditoria de segurança está completo e quando o seu método de retenção especificado é a opção Não sobrescrever eventos (limpar registo manualmente) ou a opção Sobrescrever Eventos com mais de dias de número.

      • O esforço administrativo da ativação da Auditoria: Encerrar sistema imediatamente se não for possível registar as auditorias de segurança pode ser muito elevada, especialmente se ativar também a opção Não sobrecarregar eventos (limpar registo manualmente) para o registo de segurança. Esta definição fornece uma responsabilidade individual das ações do operador. Por exemplo, um administrador pode repor as permissões em todos os utilizadores, computadores e grupos numa unidade organizacional (OU) em que a auditoria foi ativada através da conta de administrador incorporada ou de outra conta partilhada e, em seguida, negar que reporão essas permissões. No entanto, a ativação da definição reduz a robustidade do sistema porque um servidor pode ser obrigado a encerrar ao avassalá-lo com eventos de início de sessão e com outros eventos de segurança que são escritos no registo de segurança. Além disso, uma vez que o encerramento não é graativo, os danos irreparáveis podem resultar no sistema operativo, nos programas ou nos dados. Embora o NTFS garanta que a integridade do sistema de ficheiros é mantida durante um encerramento de sistema ingrato, não pode garantir que todos os ficheiros de dados de cada programa continuarão num formato usável quando o sistema for reiniciado.

    5. Nome Simbólico:

      CrashOnAuditFail

    6. Caminho de Registo:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

    7. Exemplos de problemas de compatibilidade

      • Windows 2000: devido a um erro, os computadores que executam a versão de lançamento original do Windows 2000, Windows 2000 SP1, Windows 2000 SP2 ou Windows Server SP3 podem parar de registar eventos antes do tamanho especificado na opção Tamanho máximo do registo do registo de segurança ser atingido. Este erro foi corrigido no Windows 2000 Service Pack 4 (SP4). Certifique-se de que os controladores de domínio do Windows 2000 têm o Windows 2000 Service Pack 4 instalado antes de considerar ativar esta definição.

         

      • Windows 2000, Windows Server 2003: os computadores que executam o Windows 2000 ou o Windows Server 2003 podem deixar de responder e, em seguida, podem reiniciar espontaneamente se o Sistema de Auditoria: Encerrar sistema imediatamente se não for possível registar a definição de auditoria de segurança estiver ativada, o registo de segurança está cheio e não é possível uma entrada de registo de eventos existente não pode ser sobrecriada. Quando o computador é reiniciado, é exibida a seguinte mensagem de erro Parar:

        STOP: C0000244 {Audit Failed}
        Uma tentativa de gerar uma auditoria de segurança falhou.

        Para recuperar, um administrador tem de iniciar sessão, arquive o registo de segurança (opcional), limpe o registo de segurança e, em seguida, reponha esta opção (opcional e conforme necessário).

      • Cliente de Rede da Microsoft para MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: os utilizadores que não tentem iniciar sessão num domínio receberão a seguinte mensagem de erro:

        A sua conta está configurada para o impedir de utilizar este computador. Experimente outro computador.

      • Windows 2000: em computadores com o Windows 2000, os não-administradores não poderão iniciar sessão em servidores de acesso remoto e receberão uma mensagem de erro semelhante à seguinte:

        Utilizador desconhecido ou palavra-passe incógnita

      • Windows 2000: Nos controladores de domínio do Windows 2000, o serviço de Mensagens Intersite (Ismserv.exe) irá parar e não poderá ser reiniciado. A DCDIAG irá comunicar o erro como "serviços de teste falhados ISMserv" e o ID do evento 1083 será registado no registo do evento.

      • Windows 2000: Nos controladores de domínio do Windows 2000, a replicação do Active Directory irá falhar e será apresentada uma mensagem "Acesso Negado" se o registo de evento de segurança estiver cheio.

      • Microsoft Exchange 2000: os servidores que executem o Exchange 2000 não poderão montar a base de dados do store de informações e o evento 2102 será registado no registo do evento.

      • Outlook, Outlook Web Access: os não administradores não poderão aceder ao respetiva correio através do Microsoft Outlook ou através do Microsoft Outlook Web Access e irão receber uma mensagem de erro 503.

  2. Controlador de domínio: requisitos de assinatura do servidor LDAP

    1. Fundo

      A definição de segurança dos requisitos de assinatura do servidor LDAP: determina se o servidor LDAP (Lightweight Directory Access Protocol) necessita de clientes LDAP para chegar à assinatura de dados. Os valores possíveis para esta definição de política são os seguintes:

      • Nenhum: a assinatura de dados não é obrigatória para ser vinculada ao servidor. Se o cliente pedir assinatura de dados, o servidor suporta-os.

      • Exigir assinatura: a opção de assinatura de dados LDAP tem de ser negociação, a menos que Transport Layer Security/Secure Socket Layer (TLS/SSL) esteja a ser utilizado.

      • não definida: esta definição não está ativada ou desativada.

    2. Configurações de risco

      Seguem-se definições de configuração prejudicial:

      • Ativar a ativação de exigir ambientes de assinatura de assinatura em que os clientes não suportam assinatura LDAP ou em que a assinatura LDAP do lado do cliente não está ativada no cliente

      • Aplicar o modelo de segurança Windows 2000 ou Windows Server 2003 Hisecdc.inf em ambientes onde os clientes não suportam assinatura LDAP ou onde a assinatura LDAP do lado do cliente não está ativada

      • Aplicar o modelo de segurança Windows 2000 ou Windows Server 2003 Hisecws.inf em ambientes onde os clientes não suportam assinatura LDAP ou onde a assinatura LDAP do lado do cliente não está ativada

    3. Razões para ativar esta definição

      O tráfego de rede não assinado é suscetível a ataques man-in-the-middle, em que um intruso captura pacotes entre o cliente e o servidor, modifica os pacotes e, em seguida, encaminha-os para o servidor. Quando este comportamento ocorre num servidor LDAP, um atacante pode fazer com que um servidor tomar decisões baseadas em consultas falsas do cliente LDAP. Pode reduzir este risco numa rede empresarial através da implementação de medidas de segurança física fortes para ajudar a proteger a infraestrutura de rede. O modo de cabeçalho de cabeçalho de autenticação IPSec (Internet Protocol Security) pode ajudar a impedir ataques man-in-the-middle. O modo de cabeçalho de autenticação efetua a autenticação mútua e a integridade dos pacotes para tráfego de IP.

    4. Motivos para desativar esta definição

      • Os clientes que não suportem assinatura LDAP não poderão executar consultas LDAP em controladores de domínio e em catálogos globais se a autenticação NTLM for negociação e se os service packs corretos não estiverem instalados nos controladores de domínio do Windows 2000.

      • Os rastreios de rede do tráfego LDAP entre clientes e servidores serão encriptados. Isto torna difícil examinar conversações LDAP.

      • Os servidores baseados no Windows 2000 têm de ter o Windows 2000 Service Pack 3 (SP3) ou instalados quando são administrados com programas que suportem assinatura LDAP que são executados a partir de computadores cliente que executam o Windows 2000 SP4, Windows XP ou Windows Server 2003.  

    5. Nome Simbólico:

      LDAPServerIntegrity

    6. Caminho de Registo:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

    7. Exemplos de problemas de compatibilidade

      • Os atalhos simples irão falhar e receberá a seguinte mensagem de erro:

        Ldap_simple_bind_s() falhou: Autenticação Forte Necessária.

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: nos clientes que executam o Windows 2000 SP4, Windows XP ou Windows Server 2003, algumas ferramentas de administração do Active Directory não irão funcionar corretamente com controladores de domínio que executam versões do Windows 2000 anteriores ao SP3 quando a autenticação NTLM é negociação.

         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Em clientes que executam o Windows 2000 SP4, Windows XP ou Windows Server 2003, algumas ferramentas de administração do Active Directory que procuram controladores de domínio que executam versões do Windows 2000 anteriores ao SP3 não funcionarão corretamente se estiverem a utilizar endereços IP (por exemplo, "dsa.msc /server=x.x.x.x.x"
        em quex.x.x.x é um endereço IP).


         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Em clientes que executam o Windows 2000 SP4, Windows XP ou Windows Server 2003, algumas ferramentas de administração do Active Directory que são controladores de domínio que executam versões do Windows 2000 anteriores ao SP3 não funcionarão corretamente.

         

  3. Membro do domínio: é necessária uma chave de sessão forte (Windows 2000 ou posterior)

    1. Fundo

      • A definição da chave de sessão "Domain member: require strong" (Windows 2000 ou posterior) determina se um canal seguro pode ser estabelecido com um controlador de domínio que não consegue encriptar o tráfego de canais seguro com uma chave de sessão de 128 bits forte. Ativar esta definição impede o estabelecimento de um canal seguro com qualquer controlador de domínio que não possa encriptar dados de canais seguros com uma chave segura. A desativação desta definição permite teclas de sessão de 64 bits.

      • Antes de poder ativar esta definição numa estação de trabalho de membro ou num servidor, todos os controladores de domínio no domínio a que o membro pertence têm de conseguir encriptar dados de canais seguros com uma chave forte de 128 bits. Isto significa que todos esses controladores de domínio têm de executar o Windows 2000 ou posterior.

    2. Configuração de risco

      Ativar o Membro do domínio: é necessária uma definição de chave de sessão forte (Windows 2000 ou posterior) é uma definição de configuração prejudicial.

    3. Razões para ativar esta definição

      • As chaves de sessão que são utilizadas para estabelecer comunicações de canais seguras entre computadores membros e controladores de domínio são muito mais seguras no Windows 2000 do que nas versões anteriores dos sistemas operativos da Microsoft.

      • Quando for possível, é boa ideia tirar partido destas chaves de sessão mais seguras para ajudar a proteger as comunicações de canais seguras contra o recorte de comentários e contra ataques de rede que hijacking de sessões. O Eavesdropping é uma forma de ataque malicioso em que os dados de rede são lidos ou alterados em trânsito. Os dados podem ser modificados para ocultar ou alterar o remetente ou para redirecioná-los.

      Importante Um computador com o Windows Server 2008 R2 ou Windows 7 só suporta chaves seguras quando são utilizados canais seguros. Esta restrição impede uma confiança entre qualquer domínio baseado no Windows 4.0 e qualquer domínio baseado no Windows Server 2008 R2. Além disso, esta restrição bloqueia a associação a domínios baseados no Windows 4.0 de computadores que executam o Windows 7 ou Windows Server 2008 R2 e vice-versa.

    4. Motivos para desativar esta definição

      O domínio contém computadores membros que executam sistemas operativos que não sejam o Windows 2000, Windows XP ou Windows Server 2003.

    5. Nome Simbólico:

      StrongKey

    6. Caminho de Registo:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

    7. Exemplos de problemas de compatibilidade

      Windows NT 4.0: em computadores baseados no Windows NT 4.0, a reposição de canais seguros de relações de confiança entre os domínios do Windows NT 4.0 e Windows 2000 com TESTENL falha. É exibida uma mensagem de erro "Acesso Negado":

      A relação de confiança entre o domínio principal e o domínio de confiança falhou.

      Windows 7 e Server 2008 R2: para versões Windows 7 e posteriores e Windows Server 2008 R2 e versões posteriores, esta definição já não é honrada e a chave forte é sempre utilizada. Por esse facto, as confianças com domínios do Windows NT 4.0 deixarão de funcionar.

  4. Membro do domínio: encriptar ou assinar digitalmente dados de canais seguros (sempre)

    1. Fundo

      • Ativar um Membro de domínio: encriptar ou assinar digitalmente dados de canais seguros (sempre) impede a criação de um canal seguro com qualquer controlador de domínio que não consiga assinar ou encriptar todos os dados de canais seguros. Para ajudar a proteger o tráfego de autenticação de ataques man-in-the-middle, ataques de repetição e outros tipos de ataques de rede, os computadores baseados no Windows criam um canal de comunicação que é conhecido como um canal seguro através do serviço de Início de Sessão da Net para autenticar contas de computador. Os canais seguros também são utilizados quando um utilizador de um domínio se liga a um recurso de rede num domínio remoto. Esta autenticação multidomína, ou autenticação pass-through, permite que um computador baseado no Windows que associou um domínio tenha acesso à base de dados de conta de utilizador no respetivo domínio e em domínios de confiança.

      • Para ativar a definição Membro do domínio: encriptar ou assinar digitalmente a definição de dados de canais seguros (sempre) num computador membro, todos os controladores de domínio no domínio a que o membro pertence têm de conseguir assinar ou encriptar todos os dados de canais seguros. Isto significa que todos esses controladores de domínio têm de executar o Windows NT 4.0 com o Service Pack 6a (SP6a) ou posterior.

      • Ativar o Membro do domínio: a definição Encriptar ou assinar digitalmente os dados de canais seguros (sempre) ativa automaticamente a definição Membro do domínio: Encriptar ou assinar digitalmente os dados de canais (sempre que possível).

    2. Configuração de risco

      Ativar o membro do domínio: encriptar ou assinar digitalmente a definição de dados de canais seguros (sempre) em domínios onde nem todos os controladores de domínio podem assinar ou encriptar dados de canais seguros é uma definição de configuração prejudicial.

    3. Razões para ativar esta definição

      O tráfego de rede não assinado é suscetível a ataques man-in-the-middle, em que um intruso captura pacotes entre o servidor e o cliente e, em seguida, modificá-los antes de os encaminhá-los para o cliente. Quando este comportamento ocorre num servidor LDAP (Lightweight Directory Access Protocol), o intruso pode fazer com que um cliente tomar decisões baseadas em registos falsos do diretório LDAP. Pode reduzir o risco de tal ataque numa rede empresarial ao implementar medidas de segurança física fortes para ajudar a proteger a infraestrutura de rede. Além disso, implementar o modo de cabeçalho de autenticação de segurança IPSec (Internet Protocol Security) pode ajudar a impedir ataques man-in-the-middle. Este modo executa a autenticação mútua e a integridade dos pacotes para tráfego de IP.

    4. Motivos para desativar esta definição

      • Os computadores em domínios locais ou externos suportam canais seguros encriptados.

      • Nem todos os controladores de domínio no domínio têm os níveis de revisão do service pack adequados para suportar canais seguros encriptados.

    5. Nome Simbólico:

      StrongKey

    6. Caminho de Registo:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

    7. Exemplos de problemas de compatibilidade

      • Windows NT 4.0: os computadores membros baseados no Windows 2000 não poderão aderir a domínios do Windows NT 4.0 e irão receber a seguinte mensagem de erro:

        A conta não está autorizada para iniciar sessão a partir desta estação.

        Para obter mais informações, clique no seguinte número de artigo para ver o artigo na Base de Dados de Conhecimento Microsoft:

        281648 Mensagem de erro: A conta não está autorizada para login a partir desta estação
         

      • Windows NT 4.0: os domínios do Windows NT 4.0 não conseguirão estabelecer uma confiança de nível inferior com um domínio do Windows 2000 e irão receber a seguinte mensagem de erro:

        A conta não está autorizada para iniciar sessão a partir desta estação.

        As confianças existentes de baixo nível também podem não autenticar os utilizadores a partir do domínio de confiança. Alguns utilizadores podem ter problemas ao registo do domínio e podem receber uma mensagem de erro a indicar que o cliente não consegue localizar o domínio.

      • Windows XP: os clientes windows XP associados a domínios do Windows NT 4.0 não poderão autenticar tentativas de início de sessão e poderão receber a seguinte mensagem de erro ou os seguintes eventos poderão ser registados no registo de eventos:

        O Windows não consegue ligar ao domínio porque o controlador de domínio está indisponível ou porque a conta do seu computador não foi encontrada

      • Microsoft Network: os clientes do Microsoft Network irão receber uma das seguintes mensagens de erro:

        Falha no início de sessão: nome de utilizador desconhecido ou palavra-passe indígena.

        Não existe uma chave de sessão de utilizador para a sessão de início de sessão especificada.

  5. Cliente de rede da Microsoft: assinar digitalmente comunicações (sempre)

    1. Fundo

      O Bloco de Mensagens do Servidor (SMB) é o protocolo de partilha de recursos suportado por muitos sistemas operativos da Microsoft. É a base do sistema de entrada/saída básico da rede (NetBIOS) e de muitos outros protocolos. A assinatura SMB autentica o utilizador e o servidor que alogem os dados. Se um dos lados falhar o processo de autenticação, a transmissão de dados não irá ocorrer.

      A ativação da assinatura SMB é iniciada durante a negociação do protocolo SMB. As políticas de assinatura SMB determinam se o computador assina sempre digitalmente as comunicações entre clientes.

      O protocolo de autenticação SMB do Windows 2000 suporta a autenticação mútua. A autenticação mútua fecha um ataque "homem no meio". O protocolo de autenticação SMB do Windows 2000 também suporta a autenticação de mensagens. A autenticação de mensagens ajuda a impedir ataques de mensagens ativas. Para lhe dar esta autenticação, o SMB assinar coloca uma assinatura digital em cada SMB. O cliente e o servidor verificam cada uma das assinaturas digitais.

      Para utilizar a assinatura SMB, tem de ativar a assinatura SMB ou exigir o sinal de SMB no cliente SMB e no servidor SMB. Se a assinatura SMB estiver ativada num servidor, os clientes que também estão ativados para assinatura SMB utilizam o protocolo de assinatura de pacotes durante todas as sessões subsequentes. Se for necessário o sinal SMB num servidor, um cliente não pode estabelecer uma sessão a menos que o cliente esteja ativado ou necessário para a assinatura SMB.


      Ativar o assinatura digital em redes de alta segurança ajuda a impedir a representação de clientes e de servidores. Este tipo de representação é conhecida como ataque de sessão. Um atacante que tenha acesso à mesma rede que o cliente ou servidor utiliza ferramentas de roubo de sessão para interromper, terminar ou roubar uma sessão em curso. Um atacante poderia intercetar e modificar pacotes SMB não assinados, modificar o tráfego e, em seguida, re encaminha-lo para que o servidor possa efetuar ações indesejadas. Ou, o atacante pode fazer-se passar por servidor ou cliente após uma autenticação legítima e, em seguida, obter acesso não autorizado aos dados.

      O protocolo SMB utilizado para a partilha de ficheiros e para a partilha de impressão em computadores que executam o Windows 2000 Server, Windows 2000 Professional, Windows XP Professional ou Windows Server 2003 suporta a autenticação mútua. A autenticação mútua fecha os ataques de hijacking da sessão e suporta a autenticação de mensagens. Por conseguinte, impede ataques man-in-the-middle. A assinatura SMB fornece esta autenticação ao colocar uma assinatura digital em cada SMB. O cliente e o servidor e, em seguida, verifique a assinatura.

      Notas

      • Como alternativa, pode ativar assinaturas digitais com IPSec para ajudar a proteger todo o tráfego de rede. Existem aceleradores baseados em hardware para encriptação e assinatura IPSec que pode utilizar para minimizar o impacto no desempenho a partir da CPU do servidor. Não existem aceleradores deste tipo que estão disponíveis para assinatura SMB.

        Para obter mais informações, consulte o Capítulo de comunicações do servidor de assinatura digital no site do Microsoft MSDN.

        Configure o registo SMB a Política de Grupo Editor de Objetos porque uma alteração ao valor de registo local não afeta se houver uma política de domínio substituída.

      • No Windows 95, Windows 98 e Windows 98 Second Edition, o Cliente dos Serviços de Diretório utiliza a assinatura SMB quando se autentica com os servidores do Windows Server 2003 através da autenticação NTLM. No entanto, estes clientes não utilizam as assinaturas SMB quando se autenticam com estes servidores utilizando a autenticação NTLMv2. Além disso, os servidores do Windows 2000 não respondem aos pedidos de assinatura SMB destes clientes. Para obter mais informações, consulte o item 10: "Segurança de rede: nível de autenticação do Lan Manager."

    2. Configuração de risco

      Segue-se uma definição de configuração prejudicial: Sair do cliente de rede da Microsoft: definição Assinar digitalmente comunicações (sempre) e o cliente de rede da Microsoft: Assinar digitalmente as comunicações (se o servidor concordar) definidas como "Não Definido" ou desativado. Estas definições permitem ao rediretor enviar palavras-passe de texto simples para servidores que não são da Microsoft SMB que não suportam a encriptação de palavra-passe durante a autenticação.

    3. Razões para ativar esta definição

      Ativar o cliente de rede da Microsoft: as comunicações de sinalização digital (sempre) requerem que os clientes assinem tráfego SMB ao contactar servidores que não necessitam de assinatura SMB. Isto torna os clientes menos vulneráveis a ataques de hijacking de sessões.

    4. Motivos para desativar esta definição

      • Ativar o cliente de rede da Microsoft: assinar digitalmente as comunicações (sempre) impede os clientes de comunicar com servidores de destino que não suportam a assinatura SMB.

      • Configurar computadores para ignorar todas as comunicações SMB não assinadas impede que programas anteriores e sistemas operativos se liguem.

    5. Nome Simbólico:

      RequireSMBSignRdr

    6. Caminho de Registo:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

    7. Exemplos de problemas de compatibilidade

      • Windows NT 4.0: não poderá repor o canal seguro de uma confiança entre um domínio do Windows Server 2003 e um domínio do Windows NT 4.0 com NLTEST ou NETDOM e receberá uma mensagem de erro "Acesso Negado".

      • Windows XP: a cópia de ficheiros de clientes do Windows XP para servidores baseados no Windows 2000 e para servidores baseados no Windows Server 2003 poderá demorar mais tempo.

      • Não poderá mapear uma unidade de rede a partir de um cliente com esta definição ativada e irá receber a seguinte mensagem de erro:

        A conta não está autorizada para iniciar sessão a partir desta estação.

    8. Requisitos de reinício

      Reinicie o computador ou reinicie o serviço de Estações de Trabalho. Para tal, escreva os seguintes comandos numa lista de comandos. Prima Enter depois de escrever cada comando.

      net stop workstation
      net start workstation

  6. Servidor de rede da Microsoft: assinar digitalmente comunicações (sempre)

    1. Fundo

      • O Bloco de Messenger do Servidor (SMB) é o protocolo de partilha de recursos suportado por muitos sistemas operativos da Microsoft. É a base do sistema de entrada/saída básico da rede (NetBIOS) e de muitos outros protocolos. A assinatura SMB autentica o utilizador e o servidor que alogem os dados. Se um dos lados falhar o processo de autenticação, a transmissão de dados não irá ocorrer.

        A ativação da assinatura SMB é iniciada durante a negociação do protocolo SMB. As políticas de assinatura SMB determinam se o computador assina sempre digitalmente as comunicações entre clientes.

        O protocolo de autenticação SMB do Windows 2000 suporta a autenticação mútua. A autenticação mútua fecha um ataque "homem no meio". O protocolo de autenticação SMB do Windows 2000 também suporta a autenticação de mensagens. A autenticação de mensagens ajuda a impedir ataques de mensagens ativas. Para lhe dar esta autenticação, o SMB assinar coloca uma assinatura digital em cada SMB. O cliente e o servidor verificam cada uma das assinaturas digitais.

        Para utilizar a assinatura SMB, tem de ativar a assinatura SMB ou exigir o sinal de SMB no cliente SMB e no servidor SMB. Se a assinatura SMB estiver ativada num servidor, os clientes que também estão ativados para assinatura SMB utilizam o protocolo de assinatura de pacotes durante todas as sessões subsequentes. Se for necessário o sinal SMB num servidor, um cliente não pode estabelecer uma sessão a menos que o cliente esteja ativado ou necessário para a assinatura SMB.


        Ativar o assinatura digital em redes de alta segurança ajuda a impedir a representação de clientes e de servidores. Este tipo de representação é conhecida como ataque de sessão. Um atacante que tenha acesso à mesma rede que o cliente ou servidor utiliza ferramentas de roubo de sessão para interromper, terminar ou roubar uma sessão em curso. Um atacante poderia intercetar e modificar pacotes SBM (Subnet Bandwidth Manager), modificar o tráfego e, em seguida, re encaminha-lo para que o servidor possa efetuar ações indesejadas. Ou, o atacante pode fazer-se passar por servidor ou cliente após uma autenticação legítima e, em seguida, obter acesso não autorizado aos dados.

        O protocolo SMB utilizado para a partilha de ficheiros e para a partilha de impressão em computadores que executam o Windows 2000 Server, Windows 2000 Professional, Windows XP Professional ou Windows Server 2003 suporta a autenticação mútua. A autenticação mútua fecha os ataques de hijacking da sessão e suporta a autenticação de mensagens. Por conseguinte, impede ataques man-in-the-middle. A assinatura SMB fornece esta autenticação ao colocar uma assinatura digital em cada SMB. O cliente e o servidor e, em seguida, verifique a assinatura.

      • Como alternativa, pode ativar assinaturas digitais com IPSec para ajudar a proteger todo o tráfego de rede. Existem aceleradores baseados em hardware para encriptação e assinatura IPSec que pode utilizar para minimizar o impacto no desempenho a partir da CPU do servidor. Não existem aceleradores deste tipo que estão disponíveis para assinatura SMB.

      • No Windows 95, Windows 98 e Windows 98 Second Edition, o Cliente dos Serviços de Diretório utiliza a assinatura SMB quando se autentica com os servidores do Windows Server 2003 através da autenticação NTLM. No entanto, estes clientes não utilizam as assinaturas SMB quando se autenticam com estes servidores utilizando a autenticação NTLMv2. Além disso, os servidores do Windows 2000 não respondem aos pedidos de assinatura SMB destes clientes. Para obter mais informações, consulte o item 10: "Segurança de rede: nível de autenticação do Lan Manager."

    2. Configuração de risco

      Segue-se uma definição de configuração prejudicial: Ativar o servidor de rede da Microsoft: Assinar digitalmente as comunicações (sempre) em servidores e em controladores de domínio acededos por computadores baseados no Windows e computadores cliente de terceiros baseados no sistema operativo em domínios locais ou externos.

    3. Razões para ativar esta definição

      • Todos os computadores cliente que ativam esta definição diretamente através do registo ou Política de Grupo configurar o suporte de assinatura SMB. Por outras palavras, todos os computadores cliente que tenham esta definição ativada executam o Windows 95 com o cliente DS instalado, o Windows 98, o Windows NT 4.0, o Windows 2000, o Windows XP Professional ou o Windows Server 2003.

      • Se o servidor de rede da Microsoft: as comunicações de assinatura digital (sempre) estiverem desativadas, a assinatura SMB está completamente desativada. Desativar completamente todos os assinaturas SMB deixa os computadores mais vulneráveis a ataques de hijacking de sessões.

    4. Motivos para desativar esta definição

      • Ativar esta definição pode causar uma cópia de ficheiro e um desempenho de rede mais lento nos computadores cliente.

      • Ativar esta definição impedirá os clientes que não conseguirem chegar à assinatura SMB de comunicar com servidores e com controladores de domínio. Isto faz com que as operações como associações de domínio, a autenticação do utilizador e do computador ou o acesso à rede por programas falhem.

    5. Nome Simbólico:

      RequireSMBSignServer

    6. Caminho de Registo:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

    7. Exemplos de problemas de compatibilidade

      • Windows 95: os clientes do Windows 95 que não tenham o Cliente de Serviços de Diretório (DS) instalado irão falhar a autenticação de início de sessão e irão receber a seguinte mensagem de erro:

        A palavra-passe de domínio que forneceu não está correta ou o acesso ao seu servidor de início de sessão foi negado.

      • Windows NT 4.0: os computadores cliente que executem versões do Windows NT 4.0 anteriores ao Service Pack 3 (SP3) irão falhar a autenticação de início de sessão e receberão a seguinte mensagem de erro:

        Não foi possível iniciar sessão no sistema. Certifique-se de que o seu nome de utilizador e o seu domínio estão corretos e, em seguida, escreva a sua palavra-passe novamente.

        Alguns servidores SMB que não são da Microsoft só suportam trocas de palavras-passe não encriptadas durante a autenticação. (Estas trocas também conhecidas como trocas de texto simples.) Para versões posteriores e 4.0 do Windows NT 4.0 SP3, o rediretor de SMB não envia uma palavra-passe não encriptado durante a autenticação para um servidor SMB, a menos que adicione uma entrada de registo específica.
        Para ativar as palavras-passe não encriptadas para o cliente SMB no Windows NT 4.0 SP 3 e sistemas mais recentes, modifique o registo da seguinte forma: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters

        Nome do Valor: EnablePlainTextPassword

        Tipo de Dados: REG_DWORD

        Dados: 1

         

      • Windows Server 2003: por predefinição, as definições de segurança em controladores de domínio que executam o Windows Server 2003 são configuradas para ajudar a impedir que as comunicações do controlador de domínio sejam intercetadas ou adulteradas por utilizadores maliciosos. Para que os utilizadores comuniquem com êxito com um controlador de domínio que executa o Windows Server 2003, os computadores cliente têm de utilizar assinatura SMB e encriptação ou assinatura de tráfego de canal segura. Por predefinição, os clientes que executam o Windows NT 4.0 com o Service Pack 2 (SP2) ou anterior instalados e os clientes que executam o Windows 95 não têm a assinatura de pacotes SMB ativada. Por conseguinte, estes clientes poderão não conseguir autenticar para um controlador de domínio baseado no Windows Server 2003.

      • Definições de política do Windows 2000 e do Windows Server 2003: dependendo das suas necessidades e configuração de instalação específicas, recomendamos que defina as seguintes definições de política para a entidade mais baixa do âmbito necessário na hierarquia de snap-in da Consola de Gestão da Microsoft Política de Grupo Editor:

        • Configuração do Computador\Segurança do Windows Definições\Opções de Segurança

        • Enviar uma palavra-passe não encriptado para ligar a servidores SMB de terceiros (esta definição é para o Windows 2000)

        • Cliente de rede da Microsoft: Enviar palavra-passe não encriptado a servidores SMB de terceiros (esta definição é para o Windows Server 2003)


        Nota Em alguns servidores CIFS de terceiros, como versões mais antigas do Samba, não pode utilizar palavras-passe encriptadas.

      • Os seguintes clientes são incompatíveis com o servidor de rede da Microsoft: Definição de assinar digitalmente comunicações (sempre):

        • Clientes Apple Computer, Inc., Mac OS X

        • Clientes de rede do Microsoft MS-DOS (por exemplo, o Microsoft LAN Manager)

        • Clientes Microsoft Windows para Grupos de Trabalho

        • Clientes do Microsoft Windows 95 sem o Cliente DS instalado

        • Computadores baseados no Microsoft Windows NT 4.0 sem SP3 ou posterior instalado

        • Clientes CIFS do Novell Netware 6

        • Clientes SMB do SAMBA que não têm suporte para a assinatura SMB

    8. Requisitos de reinício

      Reinicie o computador ou reinicie o serviço Servidor. Para tal, escreva os seguintes comandos numa lista de comandos. Prima Enter depois de escrever cada comando.

      servidor net stop
      net start server

  7. Acesso à rede: permitir a tradução anónima de SID/Nome

    1. Fundo

      O Acesso à rede: a definição de segurança da tradução SID/Nome anónimo determina se um utilizador anónimo pode pedir atributos de Número de Identificação de Segurança (SID) a outro utilizador.

    2. Configuração de risco

      Ativar o Acesso à rede: Permitir a definição de tradução SID/Nome anónimo é uma definição de configuração prejudicial.

    3. Razões para ativar esta definição

      Se a definição Acesso de rede: Permitir a tradução de SID/Nome anónimo estiver desativada, os sistemas operativos ou aplicações anteriores poderão não conseguir comunicar com domínios do Windows Server 2003. Por exemplo, os seguintes sistemas operativos, serviços ou aplicações podem não funcionar:

      • Servidores de Serviço de Acesso Remoto baseados no Windows NT 4.0

      • Microsoft SQL Server em execução em computadores baseados no Windows NT 3.x ou em computadores baseados no Windows NT 4.0

      • Serviço de Acesso Remoto em computadores baseados no Windows 2000 localizados em domínios do Windows NT 3.x ou em domínios do Windows NT 4.0

      • SQL Server em execução em computadores baseados no Windows 2000 localizados em domínios do Windows NT 3.x ou em domínios do Windows NT 4.0

      • Utilizadores no domínio de recurso Windows NT 4.0 que pretendem conceder permissões para aceder a ficheiros, pastas partilhadas e objetos de registo a contas de utilizadores a partir de domínios de conta que contêm controladores de domínio do Windows Server 2003

    4. Motivos para desativar esta definição

      Se esta definição estiver ativada, um utilizador malicioso poderá utilizar o SID de Administradores conhecido para obter o nome real da conta de Administrador incorporada, mesmo que o nome da conta tenha sido sido renomeado. Essa pessoa pode então utilizar o nome da conta para iniciar um ataque que adivinhar uma palavra-passe.

    5. Nome Simbólico: N/D

    6. Caminho de Registo: Nenhum. O caminho é especificado no código da IU.

    7. Exemplos de problemas de compatibilidade

      Windows NT 4.0: Os computadores em domínios de recursos windows NT 4.0 irão apresentar a mensagem de erro "Conta desconhecida" no Editor de ACL se os recursos, incluindo pastas partilhadas, ficheiros partilhados e objetos de registo, estiverem protegidos com principais de segurança que residem em domínios de conta que contêm controladores de domínio do Windows Server 2003.

  8. Acesso à rede: Não permitir a enumeração anónima de contas SAM

    1. Fundo

      • A definição Acesso de rede: Não permitir a enumeração anónima de contas SAM determina que permissões adicionais serão concedidas para ligações anónimas para o computador. O Windows permite que utilizadores anónimos executem determinadas atividades, tais como enumerar os nomes de contas do Gestor de Contas de Segurança (SAM) de estação de trabalho e servidor e de partilhas de rede. Por exemplo, um administrador pode utilizar esta ação para conceder acesso a utilizadores num domínio de confiança que não mantém uma confiança recíproca. Após a criação de uma sessão, um utilizador anónimo poderá ter o mesmo acesso que é concedido ao grupo Todos com base na definição no Acesso à rede: permitir que as permissões Todos se apliquem à definição de utilizadores anónimos ou à lista de controlo de acesso discricionário (DACL) do objeto.

        Normalmente, as ligações anónimas são pedidas por versões anteriores de clientes (clientes de nível inferior) durante a configuração da sessão SMB. Nestes casos, um rastreio de rede mostra que o ID de Processo SMB (PID) é o redirecionamento de cliente, como o 0xFEFF no Windows 2000 ou 0xCAFE no Windows NT. O RPC também pode tentar fazer ligações anónimas.

      • Importante Esta definição não tem impacto nos controladores de domínio. Nos controladores de domínio, este comportamento é controlado pela presença de "NT AUTHORITY\ANONYMOUS LOGON" em "Access compatível com o Windows 2000".

      • No Windows 2000, uma definição semelhante denominada Restrições Adicionais para Ligações Anónimas gere o valor de registo RestrictAnonymous . A localização deste valor é a seguinte

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA  

    2. Configurações de risco

      Ativar o Acesso de rede: Não permitir a enumeração anónima de definições de contas SAM é uma definição de configuração prejudicial a partir de uma perspetiva de compatibilidade. Desativar esta definição é uma definição de configuração prejudicial de uma perspetiva de segurança.

    3. Razões para ativar esta definição

      Um utilizador não autorizado pode listar nomes de conta anonimamente e, em seguida, utilizar as informações para tentar adivinhar palavras-passe ou executar ataques de engenharia social. A engenharia social é um jargão que significa fazer com que as pessoas revejam as suas palavras-passe ou alguma forma de informações de segurança.

    4. Motivos para desativar esta definição

      Se esta definição estiver ativada, é impossível estabelecer confiança com domínios do Windows NT 4.0. Esta definição também causa problemas com clientes de nível inferior (como clientes do Windows NT 3.51 e clientes do Windows 95) que estão a tentar utilizar recursos no servidor.

    5. Nome Simbólico:


      RestrictAnonymousSAM

    6. Caminho de Registo:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

    7. Exemplos de problemas de compatibilidade

    • A Deteção de Rede SMS não poderá obter informações do sistema operativo e escreverá "Desconhecido" na propriedade OperatingSystemNameandVersion.

    • Windows 95, Windows 98: os clientes do Windows 95 e clientes do Windows 98 não poderão alterar as respetivos palavras-passe.

    • Windows NT 4.0: os computadores membros baseados no Windows NT 4.0 não poderão ser autenticados.

    • Windows 95, Windows 98: os computadores com base no Windows 95 e Windows 98 não poderão ser autenticados por controladores de domínio da Microsoft.

    • Windows 95, Windows 98: os utilizadores em computadores com o Windows 95 e baseados no Windows 98 não poderão alterar as palavras-passe das respetivos contas de utilizador.

  9. Acesso à rede: Não permitir enumeração anónima de contas e partilhas SAM

    1. Fundo

      • O Acesso de rede: Não permitir uma enumeração anónima de contas e partilhas de SAM (também conhecida como RestrictAnonymous) determina se é permitida a enumeração anónima de contas e ações do Gestor de Contas de Segurança (SAM). O Windows permite que utilizadores anónimos executem determinadas atividades, tais como enumerar os nomes das contas de domínio (utilizadores, computadores e grupos) e de partilhas de rede. Isto é conveniente, por exemplo, quando um administrador pretende conceder acesso a utilizadores num domínio de confiança que não mantém uma confiança recíproca. Se não quiser permitir uma enumeração anónima de contas SAM e de partilhas, ative esta definição.

      • No Windows 2000, uma definição semelhante denominada Restrições Adicionais para Ligações Anónimas gere o valor de registo RestrictAnonymous . A localização deste valor é a seguinte:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

    2. Configuração de risco

      Ativar o Acesso à rede: não permitir uma enumeração anónima de contas e partilhas de SAM é uma definição de configuração prejudicial.

    3. Razões para ativar esta definição

      • Ativar o Acesso de rede: não permitir uma enumeração anónima de contas e partilhas de SAM impede a enumeração de contas SAM e partilhas por utilizadores e computadores que estão a utilizar contas anónimas.

    4. Motivos para desativar esta definição

      • Se esta definição estiver ativada, um utilizador não autorizado pode listar nomes de conta anonimamente e, em seguida, utilizar as informações para tentar adivinhar palavras-passe ou executar ataques de engenharia social. A engenharia social é um jargão que significa fazer com que as pessoas revejam a respetiva palavra-passe ou alguma forma de informações de segurança.

      • Se esta definição estiver ativada, será impossível estabelecer confiança com os domínios do Windows NT 4.0. Esta definição também irá causar problemas com clientes de nível inferior, como clientes do Windows NT 3.51 e Windows 95 que estão a tentar utilizar recursos no servidor.

      • Será impossível conceder acesso aos utilizadores de domínios de recursos porque os administradores no domínio fidededito não conseguirão enumerar listas de contas no outro domínio. Os utilizadores que acedem a servidores de impressão e ficheiros de forma anónima não poderão listar os recursos de rede partilhada nesses servidores. Os utilizadores têm de enumerar a autenticação antes de podeem ver as listas de pastas e impressoras partilhadas.

    5. Nome Simbólico:

      RestrictAnonymous

    6. Caminho de Registo:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

    7. Exemplos de problemas de compatibilidade

      • Windows NT 4.0: os utilizadores não poderão alterar as respetivas palavras-passe a partir de estações de trabalho do Windows NT 4.0 quando a restrictAnonymous estiver ativada nos controladores de domínio no domínio dos utilizadores.

      • Windows NT 4.0: irá falhar ao adicionar utilizadores ou grupos globais de domínios do Windows 2000 de confiança a grupos locais do Windows NT 4.0 no User Manager e será apresentada a seguinte mensagem de erro:

        Atualmente, não existem servidores de início de sessão disponíveis para serviço do pedido de início de sessão.

      • Windows NT 4.0: os computadores baseados no Windows NT 4.0 não poderão associar domínios durante a configuração ou através da interface de utilizador de associação de domínios.

      • Windows NT 4.0: estabelecer uma confiança de nível inferior com os domínios de recursos do Windows NT 4.0 irá falhar. A seguinte mensagem de erro será apresentada quando RestrictAnonymous estiver ativado no domínio de confiança:

        Não foi possível encontrar o controlador de domínio para este domínio.

      • Windows NT 4.0: os utilizadores que iniciarem sessão em computadores do Servidor de Terminal baseados no Windows 4.0 serão mapeados para o diretório doméstico predefinido em vez do diretório doméstico definido no User Manager para domínios.

      • Windows NT 4.0: os controladores de domínio de cópia de segurança do Windows NT 4.0 (BDCs) não poderão iniciar o serviço de Início de Sessão da Net, obter uma lista de browsers de cópia de segurança ou sincronizar a base de dados SAM a partir do Windows 2000 ou dos controladores de domínio do Windows Server 2003 no mesmo domínio.

      • Windows 2000: os computadores membros baseados no Windows 2000 em domínios do Windows NT 4.0 não conseguirão ver impressoras em domínios externos se a definição Sem acesso sem permissões explicitamente anónima estiver ativada na política de segurança local do computador cliente.

      • Windows 2000: os utilizadores do domínio do Windows 2000 não poderão adicionar impressoras de rede a partir do Active Directory; no entanto, poderão adicionar impressoras depois de as selecionarem na vista de árvore.

      • Windows 2000: Em computadores baseados no Windows 2000, o Editor do ACL não poderá adicionar utilizadores ou grupos globais de domínios do Windows NT 4.0 fidedados.

      • Versão 2 do ADMT: a migração de palavras-passe para contas de utilizador migradas entre florestas com a Versão 2 da Ferramenta de Migração do Active Directory (ADMT) irá falhar.

        Para obter mais informações, clique no seguinte número de artigo para ver o artigo na Base de Dados de Conhecimento Microsoft:

        322981 Como resolver problemas de migração de palavras-passe entre florestas com o ADMTV2

      • Clientes do Outlook: a lista de endereços global aparecerá vazia para os clientes do Microsoft Exchange Outlook.

      • SMS: A Deteção de Rede do Microsoft Systems Management Server (SMS) não poderá obter as informações do sistema operativo. Assim, irá escrever "Desconhecido" na propriedade OperatingSystemNameandVersion da propriedade DDR SMS do registo de dados de deteção (DDR).

      • SMS: Quando utiliza o Assistente de Utilizadores de Administrador de SMS para procurar utilizadores e grupos, não serão apresentados utilizadores ou grupos. Além disso, os clientes Avançados não podem comunicar com o Ponto de Gestão. É necessário acesso anónimo no Ponto de Gestão.

      • SMS: Quando estiver a utilizar a funcionalidade Deteção de Rede no SMS 2.0 e na Instalação remota de cliente com a opção de deteção de rede dos sistemas operativos cliente, cliente e cliente ativada, é possível que os computadores sejam detecionados mas não possam ser instalados.

  10. Segurança de rede: nível de autenticação do Lan Manager

    1. Fundo

      A autenticação do LAN Manager (LM) é o protocolo utilizado para autenticar clientes Windows para operações de rede, incluindo associações de domínios, acesso a recursos de rede e a autenticação do utilizador ou computador. O nível de autenticação LM determina o protocolo de autenticação de desafio/resposta que é passado entre o cliente e os computadores do servidor. Mais especificamente, o nível de autenticação LM determina que protocolos de autenticação que o cliente vai tentar tentar negociá-lo ou que o servidor irá aceitar. O valor definido para LmCompatibilityLevel determina o protocolo de autenticação de desafios/respostas que é utilizado para os inícios de sessão de rede. Este valor afeta o nível de protocolo de autenticação que os clientes utilizam, o nível de segurança da sessão negociação e o nível de autenticação aceite pelos servidores.

      As possíveis definições incluem o seguinte.

      Valor

      Definição

      Descrição

      0

      Enviar respostas & LM NTLM

      Os clientes utilizam a autenticação LM e NTLM e nunca utilizam a segurança da sessão NTLMV2. Os controladores de domínio aceitam a autenticação LM, NTLM e NTLMv2.

      1

      Enviar um LM & NTLM - utilize a segurança da sessão NTLMv2 se for negociável

      Os clientes utilizam a autenticação LM e NTLM e utilizam a segurança da sessão NTLMv2 se o servidor suportar. Os controladores de domínio aceitam a autenticação LM, NTLM e NTLMv2.

      2

      Enviar apenas resposta NTLM

      Os clientes utilizam apenas a autenticação NTLM e utilizam a segurança da sessão NTLMv2 se o servidor a suportar. Os controladores de domínio aceitam a autenticação LM, NTLM e NTLMv2.

      3

      Enviar apenas resposta NTLMv2

      Os clientes utilizam apenas a autenticação NTLMv2 e utilizam a segurança da sessão NTLMv2 se o servidor a suportar. Os controladores de domínio aceitam a autenticação LM, NTLM e NTLMv2.

      4

      Enviar apenas resposta NTLMv2/recusar LM

      Os clientes utilizam apenas a autenticação NTLMv2 e utilizam a segurança da sessão NTLMv2 se o servidor a suportar. Os controladores de domínio recusam lM e aceitam apenas a autenticação NTLM e NTLMv2.

      5

      Enviar apenas resposta NTLMv2/recusar LM & NTLM

      Os clientes utilizam apenas a autenticação NTLMv2 e utilizam a segurança da sessão NTLMv2 se o servidor a suportar. Os controladores de domínio recusam LM e NTLM e aceitam apenas a autenticação NTLMV2.

      Nota: na Segunda Edição do Windows 95, Windows 98 e Windows 98, o Cliente dos Serviços de Diretório utiliza a assinatura SMB quando se autentica com os servidores do Windows Server 2003 através da autenticação NTLM. No entanto, estes clientes não utilizam as assinaturas SMB quando se autenticam com estes servidores utilizando a autenticação NTLMv2. Além disso, os servidores do Windows 2000 não respondem aos pedidos de assinatura SMB destes clientes.

      Verificar o nível de autenticação LM: Tem de alterar a política no servidor para permitir o NTLM ou tem de configurar o computador cliente para suportar NTLMv2.

      Se a política estiver definida para (5) Enviar apenas resposta NTLMv2\recusaR LM & NTLM no computador de destino a que pretende ligar, tem de baixar a definição no computador ou definir a segurança para a mesma definição que está no computador de origem a partir do onde está a ligar.

      Encontre a localização correta onde pode alterar o nível de autenticação do gestor LAN para definir o cliente e o servidor para o mesmo nível. Depois de encontrar a política que está a definir o nível de autenticação do gestor LAN, se pretender ligar e ligar e a partir de computadores que executam versões anteriores do Windows, diminua o valor para, pelo menos (1) Enviar LM & NTLM , utilize a segurança da sessão NTLM versão 2 se for negociação. Um efeito das definições incompatíveis é que, se o servidor necessitar de NTLMv2 (valor 5), mas o cliente estiver configurado para utilizar apenas LM e NTLMv1 (valor 0), o utilizador que tentar autenticação deteta uma falha de início de sessão que tem uma palavra-passe inválida e que aumenta a contagem de palavras-passe inválidas. Se o bloqueio da conta estiver configurado, o utilizador poderá eventualmente ser bloqueado.

      Por exemplo, poderá ter de procurar no controlador de domínio ou poderá ter de examinar as políticas do controlador de domínio.

      Procure no controlador de domínio

      Nota Poderá ter de repetir o seguinte procedimento em todos os controladores de domínio.

      1. Clique em Iniciar, aponte para Programas e, em seguida, clique em Ferramentas Administrativas.

      2. Em Definições de Segurança Local, expanda Políticas Locais.

      3. Clique em Opções de Segurança.

      4. Faça duplo clique em Segurança de Rede: nível de autenticação do gestor LAN e, em seguida, clique num valor na lista.


      Se a Definição Efetiva e a Definição Local são iguais, a política foi alterada a este nível. Se as definições são diferentes, tem de verificar a política do controlador de domínio para determinar se a definição do nível de autenticação do gestor LAN: Segurança de Rede está definida. Se não estiver definido, examine as políticas do controlador de domínio.

      Examinar as políticas do controlador de domínio

      1. Clique em Iniciar, aponte para Programas e, em seguida, clique em Ferramentas Administrativas.

      2. Na política Domain Controller Security , expanda Definições de Segurança e, em seguida, expanda Políticas Locais.

      3. Clique em Opções de Segurança.

      4. Faça duplo clique em Segurança de Rede: nível de autenticação do gestor LAN e, em seguida, clique num valor na lista.


      Nota

      • Também poderá ter de verificar as políticas que estão ligadas ao nível do site, ao nível do domínio ou ao nível da unidade organizacional (OU) para determinar onde tem de configurar o nível de autenticação do gestor LAN.

      • Se implementar uma definição Política de Grupo domínio como a política de domínio predefinida, a política é aplicada a todos os computadores no domínio.

      • Se implementar uma definição Política de Grupo como a política do controlador de domínio predefinida, a política aplica-se apenas aos servidores na OE do controlador de domínio.

      • Recomendamos que defina o nível de autenticação do gestor LAN na entidade mais baixa do âmbito necessário na hierarquia da aplicação de política.

      O Windows Server 2003 tem uma nova predefinição para utilizar apenas NTLMV2. Por predefinição, os controladores de domínio baseados no Windows Server 2003 e Windows 2000 Server SP3 ativaram a política "Servidor de rede da Microsoft: assinar digitalmente comunicações (sempre)". Esta definição requer que o servidor SMB execute a assinatura de pacotes SMB. As alterações ao Windows Server 2003 foram feitas porque os controladores de domínio, servidores de ficheiros, servidores de infraestrutura de rede e servidores Web em qualquer organização exigem definições diferentes para maximizar a segurança.

      Se pretende implementar a autenticação NTLMv2 na sua rede, tem de se certificar de que todos os computadores no domínio estão definidos para utilizar este nível de autenticação. Se aplicar extensões de cliente do Active Directory para Windows 95 ou Windows 98 e Windows NT 4.0, as extensões de cliente utilizam as funcionalidades de autenticação melhoradas disponíveis no NTLMv2. Uma vez que os computadores cliente que executam qualquer um dos seguintes sistema operativos não são afetados pelos Objetos Política de Grupo Windows 2000, poderá ter de configurar manualmente estes clientes:

      • Microsoft Windows NT 4.0

      • Microsoft Windows Millennium Edition

      • Microsoft Windows 98

      • Microsoft Windows 95

      Nota Se ativar a Segurança de rede: não armazene o valor do hash do gestor LAN na política de alteração de palavra-passe seguinte ou defina a chave de registo NoLMHash , clientes baseados no Windows 95 e Windows 98 que não tenham o Cliente de Serviços de Diretório instalado não poderão iniciar sessão no domínio após uma alteração de palavra-passe.

      Muitos servidores CIFS de terceiros, como o Novell Netware 6, não sabem o NTLMv2 e utilizam apenas NTLM. Portanto, os níveis superiores a 2 não permitem conectividade. Também existem clientes SMB de terceiros que não utilizam a segurança da sessão prolongada. Nestes casos, o LmCompatiblityLevel do servidor de recursos não é tido em consideração. Em seguida, o servidor embala este pedido legado e envia-o ao Controlador de Domínio de Utilizador. As definições no Controlador de Domínio decidem que hashes são utilizados para verificar o pedido e se estão a fazer parte dos requisitos de segurança do Controlador de Domínio.

       

      299656 Como impedir o Windows de armazenar um hash de gestor LAN da sua palavra-passe no Active Directory e em bases de dados locais de SAM
       

      2701704O evento de auditoria mostra o pacote de autenticação como NTLMv1 em vez de NTLMv2 Para obter mais informações sobre níveis de autenticação LM, clique no número do artigo seguinte para ver o artigo na Base de Dados de Conhecimento Microsoft:

      239869 Como ativar a autenticação NTLM 2
       

    2. Configurações de risco

      Seguem-se definições de configuração prejudicial:

      • Definições não restritivas que enviam palavras-passe por texto simples e que negam a negociação no NTLMv2

      • Definições restritivas que impedem que clientes ou controladores de domínio incompatíveis negoceiem um protocolo de autenticação comum

      • Que requer a autenticação NTLMv2 em computadores membros e controladores de domínio que executam versões do Windows NT 4.0 anteriores ao Service Pack 4 (SP4)

      • Que exige a autenticação NTLMv2 em clientes do Windows 95 ou em clientes do Windows 98 que não têm o Cliente dos Serviços de Diretório do Windows instalado.

      • Se clicar para selecionar a caixa de verificação Exigir segurança da sessão NTLMv2 na consola de gestão da Microsoft Política de Grupo snap-in do Editor num computador baseado no Windows Server 2003 ou Windows 2000 Service Pack 3 e baixar o nível de autenticação do gestor LAN para 0, as duas definições entrarão em conflito e poderá receber a seguinte mensagem de erro no ficheiro Secpol.msc ou no ficheiro GPEdit.msc:

        O Windows não consegue abrir a base de dados da política local. Ocorreu um erro desconhecido ao tentar abrir a base de dados.

        Para obter mais informações sobre a Ferramenta de Configuração de Segurança e Análise, consulte os ficheiros de Ajuda do Windows 2000 ou Windows Server 2003.

    3. Motivos para Modificar Esta Definição

      • Pretende aumentar o protocolo de autenticação comum mais baixo que é suportado por clientes e controladores de domínio na sua organização.

      • Quando a autenticação segura for um requisito de negócio, pretende não seguir a negociação do LM e dos protocolos NTLM.

    4. Motivos para desativar esta definição

      Os requisitos de autenticação de cliente ou de servidor, ou ambos, foram aumentados para o ponto em que não é possível ocorrer a autenticação por parte de um protocolo comum.

    5. Nome Simbólico:

      LmCompatibilityLevel

    6. Caminho de Registo:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. Exemplos de problemas de compatibilidade

      • Windows Server 2003: por predefinição, a definição de respostas enviar NTLM2 do Windows Server 2003 NTLM2 está ativada. Portanto, o Windows Server 2003 recebe a mensagem de erro "Acesso Negado" após a instalação inicial quando tenta ligar a um cluster baseado no Windows NT 4.0 ou a servidores baseados em LanManager V2.1, como o SO/2 Lanserver. Este problema também ocorre se tentar ligar de um cliente de versão anterior a um servidor baseado no Windows Server 2003.

      • Instala o Pacote de Rollup de Segurança do Windows 2000 1 (SRP1). O SRP1 força a versão NTLM 2 (NTLMv2). Este pacote de rollup foi lançado após o lançamento do Windows 2000 Service Pack 2 (SP2).
         

      • Windows 7 e Windows Server 2008 R2: muitos servidores CIFS de terceiros, como o Novell Netware 6 ou servidores Samba baseados em Linux, não têm conhecimento do NTLMv2 e utilizam apenas NTLM. Portanto, os níveis superiores a "2" não permitem conectividade. Agora, nesta versão do sistema operativo, a predefinição para LmCompatibilityLevel foi alterada para "3". Por isso, ao atualizar o Windows, estes ficheiros de terceiros poderão deixar de funcionar.

      • Poderá ser pedido aos clientes do Microsoft Outlook as credenciais, mesmo que já tenham sessão dada no domínio. Quando os utilizadores fornecem as suas credenciais, recebem a seguinte mensagem de erro: Windows 7 e Windows Server 2008 R2

        As credenciais de início de sessão fornecidas estavam incorretas. Certifique-se de que o seu nome de utilizador e domínio estão corretos e, em seguida, escreva a sua palavra-passe novamente.

        Quando inicia o Outlook, poderá ser-lhe pedido as suas credenciais mesmo que a definição de Segurança de Rede de Início de Sessão esteja definida como Passthrough ou Password Authentication. Depois de escrever as credenciais corretas, poderá receber a seguinte mensagem de erro:

        As credenciais de início de sessão fornecidas estavam incorretas.

        Um rastreio de Monitor de Rede pode mostrar que o catálogo global emitiu uma falha de chamada de procedimento remoto (RPC) com o estado 0x5. Um estado do 0x5 significa "Acesso Negado".

      • Windows 2000: uma captura de Monitor de Rede pode apresentar os seguintes erros na sessão de bloco de mensagens do servidor TCP/IP (NetBT):

        Erro SMB R Search Directory Dos, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Identificador de utilizador inválido

      • Windows 2000: se um domínio do Windows 2000 com NTLMv2 de Nível 2 ou posterior for de confiança por um domínio do Windows NT 4.0, os computadores de membros baseados no Windows 2000 no domínio de recurso poderão detetados erros de autenticação.

      • Windows 2000 e Windows XP: por predefinição, o Windows 2000 e o Windows XP definem a opção da Política de Segurança Local de Nível de Autenticação lan Manager para 0. Uma definição de 0 significa "Enviar respostas LM e NTLM".

        Nota: os clusters baseados no Windows NT 4.0 têm de utilizar o LM para administração.

      • Windows 2000: O clustering do Windows 2000 não autentica um nó de associação se ambos os nós fizerem parte de um domínio do Windows NT 4.0 Service Pack 6a (SP6a).

      • A Ferramenta de Bloqueio do IIS (HiSecWeb) define o valor LMCompatibilityLevel para 5 e o valor RestrictAnonymous para 2.

      • Serviços para Macintosh

        Módulo de Autenticação de Utilizador (UAM): O Módulo de Autenticação de Utilizador (Microsoft UAM) fornece um método para encriptar as palavras-passe que utiliza para iniciar sessão nos servidores do Windows AFP (AppleTalk Filing Protocol). O Módulo de Autenticação de Utilizador da Apple (UAM) apenas fornece encriptação mínima ou nenhuma. Por essa razão, a sua palavra-passe pode ser facilmente intercetada na LAN ou na Internet. Apesar de o UAM não ser necessário, fornece a autenticação encriptado aos Servidores do Windows 2000 que executam os Serviços para Macintosh. Esta versão inclui suporte para a autenticação encriptação de NTLMv2 de 128 bits e um lançamento compatível com MacOS X 10.1.

        Por predefinição, os Serviços do Windows Server 2003 para servidor Macintosh só permitem a Autenticação da Microsoft.
         

      • Windows Server 2008, Windows Server 2003, Windows XP e Windows 2000: se configurar o valor LMCompatibilityLevel para 0 ou 1 e, em seguida, configurar o valor NoLMHash como 1, as aplicações e componentes poderão não ter acesso através de NTLM. Este problema ocorre porque o computador está configurado para ativar a LM, mas não para utilizar palavras-passe armazenadas em LM.

        Se configurar o valor NoLMHash para ser 1, tem de configurar o valor LMCompatibilityLevel para ser 2 ou superior.

  11. Segurança de rede: requisitos de assinatura de cliente LDAP

    1. Fundo

      A definição Segurança de rede: os requisitos de assinatura de cliente LDAP determinam o nível de assinatura de dados pedidos em nome de clientes que emitem pedidos BIND de LDAP (Lightweight Directory Access Protocol) da seguinte forma:

      • Nenhum: o pedido BIND LDAP é emitido com as opções especificadas pelo chamador.

      • Negociação de assinatura: se a SSL/TLS (Secure Sockets Layer/Transport Layer Security) não tiver sido iniciada, o pedido BIND LDAP é iniciado com o conjunto de opções de assinatura de dados LDAP para além das opções especificadas pelo chamador. Se SSL/TLS tiver sido iniciado, o pedido BIND LDAP é iniciado com as opções especificadas pelo chamador.

      • Exigir assinatura: é o mesmo que Assinatura de negociação. No entanto, se a resposta intermédia do servidor LDAP saslBindInProgress não indicar que a assinatura de tráfego LDAP é necessária, o chamador é avisado de que o pedido de comando BIND LDAP falhou.

    2. Configuração de risco

      Ativar a definição segurança de rede: os requisitos de assinatura de cliente LDAP são uma definição de configuração prejudicial. Se definir o servidor para exigir assinaturas LDAP, também tem de configurar a assinatura LDAP no cliente. Não configurar o cliente para utilizar assinaturas LDAP impedirá a comunicação com o servidor. Isto faz com que a autenticação do Política de Grupo, as definições de início de sessão, os scripts de início de sessão e outras funcionalidades falhem.

    3. Motivos para Modificar Esta Definição

      O tráfego de rede não assinado é suscetível a ataques man-in-the-middle, em que um intruso captura pacotes entre o cliente e os servidores, modifica-os e, em seguida, encaminha-os para o servidor. Quando isto ocorre num servidor LDAP, um atacante pode fazer com que um servidor responda com base em consultas falsas do cliente LDAP. Pode reduzir este risco numa rede empresarial através da implementação de medidas de segurança física fortes para ajudar a proteger a infraestrutura de rede. Além disso, pode ajudar a impedir todos os tipos de ataques man-in-the-middle ao requerer assinaturas digitais em todos os pacotes de rede através dos cabeçalhos de autenticação IPSec.

    4. Nome Simbólico:

      LDAPClientIntegrity

    5. Caminho de Registo:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

  12. Registo de Eventos: Tamanho máximo do registo de segurança

    1. Fundo

      O Registo de Eventos: A definição de segurança do tamanho máximo do registo de segurança especifica o tamanho máximo do registo de eventos de segurança. Este registo tem um tamanho máximo de 4 GB. Para localizar esta definição, expanda as Definições
      do Windows e, em seguida, expanda as Definições de Segurança.

    2. Configurações de risco

      Seguem-se definições de configuração prejudicial:

      • Restringir o tamanho do registo de segurança e o método de retenção do registo de segurança quando a definição Auditoria: Encerrar sistema imediatamente se não for possível registar a definição de auditorias de segurança está ativada. Consulte a secção "Auditoria: Encerrar sistema imediatamente se não for possível registar auditorias de segurança" deste artigo para obter mais detalhes.

      • Restringir o tamanho do registo de segurança para que os eventos de segurança de interesse sejam sobrecriáveis.

    3. Motivos para Aumentar Esta Definição

      Os requisitos de negócio e de segurança podem ditar que aumenta o tamanho do registo de segurança para gerir detalhes adicionais do registo de segurança ou para manter os registos de segurança por um período de tempo maior.

    4. Motivos para Diminuir Esta Definição Visualizador de Eventos

      são ficheiros mapeados pela memória. O tamanho máximo de um registo de eventos está restrito pela quantidade de memória física no computador local e pela memória virtual disponível no processo de registo de eventos. Aumentar o tamanho do registo para além da quantidade de memória virtual disponível para Visualizador de Eventos não aumenta o número de entradas de registo que são mantidas.

    5. Exemplos de problemas de compatibilidade

      Windows 2000: os computadores que executam versões do Windows 2000 anteriores ao Service Pack 4 (SP4) podem parar de registar eventos no registo de eventos antes de atingirem o tamanho especificado na definição Tamanho máximo do registo no Visualizador de Eventos se a opção Não submeter eventos (limpar registo manualmente) estiver ativada.


       

  13. Registo de Eventos: Manter registo de segurança

    1. Fundo

      O Registo de Eventos: Reter a definição de segurança do registo de segurança determina o método de "wrapping" do registo de segurança. Para localizar esta definição, expanda as Definições do Windows e, em seguida, expanda as Definições de Segurança.

    2. Configurações de risco

      Seguem-se definições de configuração prejudicial:

      • Falha na retenção de todos os eventos de segurança com sessão anterior à sua subscrição

      • Configurar a definição Tamanho máximo do registo de segurança demasiado pequeno para que os eventos de segurança sejam sobrecritos

      • Restringir o tamanho do registo de segurança e o método de retenção enquanto o Sistema de Auditoria: Encerrar sistema imediatamente se não for possível registar a definição de segurança de auditorias de segurança está ativada

    3. Razões para ativar esta definição

      Ative esta definição apenas se selecionar o método de retenção Escrever eventos por dias. Se utilizar um sistema de correlação de eventos que procura eventos, certifique-se de que o número de dias é pelo menos três vezes a frequência da votação. Faça-o para permitir ciclos de inquéritos falhados.

  14. Acesso à rede: Permitir que as permissões todos se apliquem a utilizadores anónimos

    1. Fundo

      Por predefinição, a definição Acesso de rede: Permitir que todas as permissões de Todos se apliquem a utilizadores anónimos está definida como Não Definido no Windows Server 2003. Por predefinição, o Windows Server 2003 não inclui o token Acesso Anónimo no grupo Todos.

    2. Exemplo de Problemas de Compatibilidade

      O seguinte valor de

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous [REG_DWORD]=0x0 interrompe 0x0 criação de confiança entre o Windows Server 2003 e o Windows NT 4.0, quando o domínio do Windows Server 2003 é o domínio de conta e o domínio do Windows NT 4.0 é o domínio de recurso. Isto significa que o domínio da conta é fidededita no Windows NT 4.0 e que o domínio do recurso é Fidededita no lado do Windows Server 2003. Este comportamento ocorre porque o processo para iniciar a confiança após a ligação anónima inicial é a ACL com o token Everyone que inclui o SID Anónimo no Windows NT 4.0.

    3. Motivos para Modificar Esta Definição

      O valor tem de ser definido como 0x1 ou definido utilizando um GPO no OU do controlador de domínio para ser: Acesso à rede: Permitir que as permissões Todos se apliquem a utilizadores anónimos - Ativado para tornar possíveis as criações de confiança.

      Nota A maioria das outras definições de segurança subirá no valor e não o valor 0x0 no seu estado mais seguro. Uma prática mais segura seria alterar o registo no emulador do controlador de domínio principal em vez de em todos os controladores de domínio. Se, por qualquer motivo, a função principal do controlador de domínio for movida, o registo tem de ser atualizado no novo servidor.

      É necessário reiniciar após definir este valor.

    4. Caminho do Registo

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

  15. Autenticação NTLMv2

    1. Segurança da sessão

      A segurança da sessão determina os padrões de segurança mínimos para sessões de cliente e servidor. É a boa ideia verificar as seguintes definições de política de segurança na Consola de Gestão da Microsoft Política de Grupo snap-in do Editor:

      • Definições do Computador\Definições do Windows\Definições de Segurança\Políticas Locais\Opções de Segurança

      • Segurança de Rede: segurança de sessão mínima para servidores baseados em NTLM SSP (incluindo servidores RPC seguros)

      • Segurança de Rede: segurança de sessão mínima para clientes baseados em NTLM SSP (incluindo RPC seguro)

      As opções para estas definições são as seguintes:

      • Exigir integridade da mensagem

      • Exigir confidencialidade da mensagem

      • Exigir segurança da sessão NTLM versão 2

      • Exigir encriptação de 128 bits

      A predefinição anterior ao Windows 7 é Sem requisitos. A partir do Windows 7, a predefinição foi alterada para Exigir encriptação de 128 bits para uma segurança melhorada. Com esta predefinição, os dispositivos legados que não suportam encriptação de 128 bits não conseguirão ligar-se.

      Estas políticas determinam os padrões de segurança mínimos para uma sessão de comunicação aplicação num servidor de um cliente.

      Tenha em atenção que, apesar de descritos como definições válidas, os sinalizadores que necessitam de confidencialidade e integridade da mensagem não são utilizados quando é determinada a segurança da sessão NTLM.

      Historicamente, o Windows NT suporta as duas seguintes variantes de autenticação de desafios/respostas para inícios de sessão de rede:

      • Desafio/resposta de LM

      • Desafio/resposta da versão 1 NTLM

      A LM permite interoperabilidade com a base instalada de clientes e servidores. O NTLM proporciona uma segurança melhorada para as ligações entre clientes e servidores.

      As chaves de registo correspondentes são as seguintes:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

    2. Configurações de risco

      Esta definição controla a forma como as sessões de rede protegidas com o NTLM serão tratadas. Isto afeta sessões baseadas em RPC autenticadas com NTLM, por exemplo. Existem os seguintes riscos:

      • Utilizar métodos de autenticação mais antigos do que o NTLMv2 torna a comunicação mais fácil de ataque devido aos métodos de hashing mais simples utilizados.

      • Utilizar teclas de encriptação inferiores a 128 bits permite aos atacantes interromper a comunicação através de ataques de força bruta.

Sincronização de tempo

A sincronização de tempo falhou. O tempo de folga é superior a 30 minutos num computador afetado. Certifique-se de que o relógio do computador cliente está sincronizado com o relógio do controlador de domínio.

Sms para assinatura SMB

Recomendamos que instale o Service Pack 6a (SP6a) em clientes do Windows NT 4.0 interoperacionais num domínio baseado no Windows Server 2003. Os clientes baseados na Segunda Edição do Windows 98, clientes baseados no Windows 98 e clientes baseados no Windows 95 têm de executar o Cliente de Serviços de Diretório para executar o NTLMv2. Se os clientes baseados no Windows NT 4.0 não têm o Windows NT 4.0 SP6 instalado ou se os clientes baseados no Windows 95, clientes baseados no Windows 98 e clientes baseados no Windows 98SE não têm o Cliente de Serviços de Diretório instalado, desativar a assinatura SMB na definição da política do controlador de domínio predefinido no OU do controlador de domínio e, em seguida, ligar esta política a todos os controladores de domínio do anfitrião de OUs que são os controladores de domínio do anfitrião.

O Cliente de Serviços de Diretório da Segunda Edição do Windows 98, Windows 98 e Windows 95 irá efetuar a Assinatura SMB com os servidores do Windows 2003 em autenticação NTLM, mas não em autenticação NTLMv2. Além disso, os servidores do Windows 2000 não responderão aos pedidos de Assinatura SMB destes clientes.

Embora não o recomendemos, pode impedir que a assinatura SMB seja necessária em todos os controladores de domínio que executam o Windows Server 2003 num domínio. Para configurar esta definição de segurança, siga estes passos:

  1. Abra a política do controlador de domínio predefinida.

  2. Abra a pasta Configuração do Computador\Definições do Windows\Definições de Segurança\Políticas Locais\Opções de Segurança.

  3. Localize e, em seguida, clique no servidor de rede da Microsoft: Assinar digitalmente a definição da política de comunicações (sempre) e, em seguida, clique em Desativado.

Importante Esta secção, método ou tarefa contém passos que lhe dizem como modificar o registo. No entanto, podem ocorrer problemas graves se modificar o registo incorretamente. Por essa razão, certifique-se de que segue estes passos cuidadosamente. Para uma proteção adicional, eis uma segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como fazer uma segurança e restaurar o registo, clique no número de artigo seguinte para ver o artigo na Base de Dados de Conhecimento Microsoft:

322756 Como fazer uma segurança e restaurar o registo no Windows Em alternativa, deslige o registo SMB no servidor ao modificar o registo. Para tal, siga estes passos:

  1. Clique em Iniciar, clique em Executar, escreva regedit e, em seguida, clique em OK.

  2. Localize e, em seguida, clique na seguinte sub chaveta:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

  3. Clique na entrada enablesecuritysignature .

  4. No menu Editar , clique em Modificar.

  5. Na caixa Dados do valor , escreva 0 e, em seguida, clique em OK.

  6. Saia do Editor de Registo.

  7. Reinicie o computador ou pare e, em seguida, reinicie o serviço Servidor. Para tal, escreva os seguintes comandos numa lista de comandos e, em seguida, prima Enter depois de escrever cada comando:
    servidor net stop
    net start server

Nota A chave correspondente no computador cliente está na seguinte sub chave de registo:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters A seguinte lista os números de código de erro traduzido para os códigos de estado e para as mensagens de erro verbatim mencionadas anteriormente:

5


ERROR_ACCESS_DENIED O Access é negado.

1326



ERROR_LOGON_FAILURE Falha de início de sessão: nome de utilizador desconhecido ou palavra-passe indeterna.

1788



ERROR_TRUSTED_DOMAIN_FAILURE A relação de confiança entre o domínio principal e o domínio de confiança falhou.

1789



ERROR_TRUSTED_RELATIONSHIP_FAILURE A relação de confiança entre esta estação de trabalho e o domínio principal falhou.

Para obter mais informações, clique nos seguintes números de artigo para ver os artigos na Base de Dados de Conhecimento Microsoft:

324802 Como configurar Políticas de Grupo para definir a segurança dos serviços de sistema no Windows Server 2003

816585 Como aplicar modelos de segurança predefinidos no Windows Server 2003

Facebook LinkedIn E-mail
SUBSCREVER FEEDS RSS

Precisa de mais ajuda?

Quer mais opções?

Descobrir Comunidade

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

Benefícios da subscrição do Microsoft 365

Formação do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam-no a colocar e a responder perguntas, a dar feedback e a ouvir especialistas com conhecimentos abrangentes.

Pergunte à Comunidade Microsoft

Microsoft Tech Community (Comunidade Tecnológica Microsoft)

Utilizadores do Windows Insider

Microsoft 365 Insiders

Estas informações foram úteis?

Quão satisfeito está com a qualidade do idioma?
O que afetou a sua experiência?
Ao selecionar submeter, o seu feedback será utilizado para melhorar os produtos e serviços da Microsoft. O seu administrador de TI poderá recolher estes dados. Declaração de Privacidade.

Obrigado pelo seu feedback!

×