Exportar (0) Imprimir
Expandir Tudo

Modificar as diretivas padrão de segurança em controladores de domínio baseados no Windows Server 2008

Atualizado: agosto de 2010

Aplica-se a: Windows Server 2008, Windows Server 2008 R2

Para aumentar a segurança, os controladores de domínio baseados no Windows Server 2008 exigem (por padrão) que todos os clientes que tentem se autenticar neles executem assinatura de pacote do protocolo SMB e assinatura de canal de segurança. Se o seu ambiente de produção inclui clientes que executam plataformas que não oferecem suporte à assinatura de pacote SMB (por exemplo, Microsoft Windows NT® 4.0 com Service Pack 2 (SP2)) ou se ele inclui clientes que executam plataformas que não oferecem suporte à assinatura de canal de segurança (por exemplo, Windows NT 4.0 com Service Pack 3 (SP3)), talvez seja necessário modificar diretivas padrão de segurança para garantir que os clientes com versões mais antigas do sistema operacional Windows ou que não tenham sistemas operacionais da Microsoft possam acessar recursos de domínio no novo domínio do Windows Server 2008.

noteObservação
Ao modificar as configurações das diretivas padrão de segurança, você estará enfraquecendo essas diretivas em seu ambiente. Portanto, recomendamos a atualização dos clientes baseados no Windows assim que possível. Quando todos os clientes de seu ambiente estiverem executando versões do Windows que ofereçam suporte à assinatura de pacote SMB e à assinatura de canal de segurança, você poderá reabilitar as diretivas padrão de segurança para aumentar a proteção.

Para configurar um controlador de domínio baseado no Windows Server 2008 a fim de que não exija assinatura de pacote SMB nem assinatura de canal de segurança, desabilite as seguintes configurações na Diretiva Padrão de Controladores de Domínio:

  • Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre)

  • Membro do domínio: criptografar ou assinar digitalmente os dados de canal seguro (sempre)

Faça backup do Objeto de Diretiva de Grupo Diretiva Padrão de Controladores de Domínio antes de modificá-lo. Use o Console de Gerenciamento de Diretiva de Grupo (GPMC) para fazer backup do Objeto de Diretiva de Grupo a fim de que possa ser restaurado, se necessário.

Ser membro do grupo Admins. do Domínio ou Administração de Empresa, ou equivalente, é o mínimo necessário para concluir este procedimento. Revise os detalhes sobre o uso de contas e associações a grupos apropriadas em Local e Domínio Padrão (http://go.microsoft.com/fwlink/?LinkId=83477).

Para desabilitar a imposição da assinatura de pacote SMB nos controladores de domínio baseados no Windows Server 2008

  1. Para abrir o GPMC, clique em Iniciar, em Executar, digite gpmc.msc e clique em OK.

  2. Na árvore do console, clique com o botão direito do mouse em Diretiva Padrão de Controladores de Domínio e clique em Editar.

    Onde?

    • Domínios\Nome do Domínio Atual\Objetos de Diretiva de Grupo\Diretiva Padrão de Controladores de Domínio

  3. Na janela Editor de Gerenciamento de Diretiva de Grupo, na árvore de console, vá para Configuração do Computador/Diretivas/Configurações do Windows/Configurações de Segurança/Diretivas Locais/Opções de Segurança.

  4. No painel de detalhes, clique duas vezes em Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre).

  5. Verifique se a caixa de seleção Definir a configuração da diretiva está marcada, clique em Desabilitado para impedir a solicitação de assinatura de pacote SMB e clique em OK.

    Para aplicar a mudança da Diretiva de Grupo imediatamente, reinicie o controlador de domínio ou abra um prompt de comando, digite o comando a seguir e pressione ENTER:

    gpupdate /force

    noteObservação
    Modificar essas configurações no contêiner Controladores de Domínio mudará a Diretiva Padrão de Controladores de Domínio. As alterações de diretiva feitas aqui serão replicadas em todos os outros controladores de domínio do domínio. Portanto, você só precisará modificar essas diretivas uma vez para afetar a Diretiva Padrão de Controladores de Domínio em todos os controladores de domínio.

Ser membro do grupo Admins. do Domínio ou Administração de Empresa, ou equivalente, é o mínimo necessário para concluir este procedimento. Revise os detalhes sobre o uso de contas e associações a grupos apropriadas em Local e Domínio Padrão (http://go.microsoft.com/fwlink/?LinkId=83477).

Para desabilitar a imposição da assinatura de canal de segurança nos controladores de domínio baseados no Windows Server 2008

  1. Para abrir o GPMC, clique em Iniciar, em Executar, digite gpmc.msc e clique em OK.

  2. Na árvore do console, clique com o botão direito do mouse em Diretiva Padrão de Controladores de Domínio e clique em Editar.

    Onde?

    • Domínios/Nome do Domínio Atual/Objetos de Diretiva de Grupo/Diretiva Padrão de Controladores de Domínio

  3. Na janela Editor de Gerenciamento de Diretiva de Grupo, na árvore de console, vá para Configuração do Computador/Diretivas/Configurações do Windows/Configurações de Segurança/Diretivas Locais/Opções de Segurança.

  4. No painel de detalhes, clique duas vezes em Membro do domínio: criptografar ou assinar digitalmente os dados de canal seguro (sempre), clique em Desabilitado para impedir a solicitação da assinatura de canal de segurança e clique em OK.

    Para aplicar a mudança da Diretiva de Grupo imediatamente, reinicie o controlador de domínio ou abra um prompt de comando, digite o comando a seguir e pressione ENTER:

    gpupdate /force

    noteObservação
    Modificar essas configurações no contêiner Controladores de Domínio mudará a Diretiva Padrão de Controladores de Domínio. As alterações de diretiva feitas aqui serão replicadas em todos os outros controladores de domínio do domínio. Portanto, você só precisará modificar essas diretivas uma vez para afetar a Diretiva Padrão de Controladores de Domínio em todos os controladores de domínio.

Para obter mais informações sobre assinatura de pacote SMB e assinatura de canal de segurança, consulte o Apêndice A: Informações gerais sobre atualização de domínios do Active Directory para domínios AD DS do Windows Server 2008.

Por padrão, os controladores de domínio do também proíbem os clientes que utilizam sistemas operacionais Windows NT 4.0 e os não fabricados pela Microsoft de estabelecer canais de segurança usando os fracos algoritmos de criptografia do estilo Windows NT 4.0. Qualquer operação dependente de canal de segurança iniciada por clientes com versões antigas do sistema operacional Windows ou de sistemas operacionais não fabricados pela Microsoft que não ofereçam suporte a algoritmos de criptografia fortes falhará em relação a um controlador de domínio baseado no .

Enquanto não for possível atualizar todos os clientes de sua infra-estrutura, você poderá reduzir temporariamente essa exigência modificando a seguinte configuração da diretiva de domínio padrão em seus controladores de domínio baseados no :

  • Permitir algoritmos de criptografia compatíveis com Windows NT 4.0

Ser membro do grupo Admins. do Domínio ou Administração de Empresa, ou equivalente, é o mínimo necessário para concluir este procedimento. Revise os detalhes sobre o uso de contas e associações a grupos apropriadas em Local e Domínio Padrão (http://go.microsoft.com/fwlink/?LinkId=83477).

Para permitir algoritmos de criptografia que sejam compatíveis com o Windows NT 4.0 em controladores de domínio baseados no Windows Server 2008

  1. Para abrir o Console de Gerenciamento de Diretiva de Grupo (GPMC), clique em Iniciar, em Executar, digite gpmc.msc e clique em OK.

  2. Na árvore do console, clique com o botão direito do mouse em Diretiva Padrão de Controladores de Domínio e clique em Editar.

    Onde?

    • Domínios/Nome do Domínio Atual/Objetos de Diretiva de Grupo/Diretiva Padrão de Controladores de Domínio

  3. Na janela Editor de Gerenciamento de Diretiva de Grupo, na árvore de console, vá para Configuração do Computador/Modelos Administrativos: definições de diretivas (arquivos ADMX) recuperadas pela máquina local/Sistema/Logon de Rede.

  4. No painel de detalhes, clique duas vezes em Permitir algoritmos de criptografia compatíveis com Windows NT 4.0 e clique em Habilitado.

    noteObservação
    Por padrão, a opção Não Configurado está selecionada mas, programaticamente, depois de você atualizar um servidor para o status de controlador de domínio do Windows Server 2008, essa diretiva será definida como Desabilitado.

    Para aplicar a mudança da Diretiva de Grupo imediatamente, reinicie o controlador de domínio ou abra uma linha de comando, digite o comando a seguir e pressione ENTER:

    gpupdate /force

    noteObservação
    Modificar essas configurações no contêiner Controladores de Domínio mudará a Diretiva Padrão de Controladores de Domínio. As alterações de diretiva feitas aqui serão replicadas em todos os outros controladores de domínio do domínio. Portanto, você só precisará modificar essas diretivas uma vez para afetar a Diretiva Padrão de Controladores de Domínio em todos os controladores de domínio.

Para obter mais informações, consulte o artigo sobre os efeitos das mudanças no suporte criptográfico de netlogon no Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkID=106380; esta página pode estar em inglês).

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft