Exportar (0) Imprimir
Expandir Todos

Gestor de Contas de Segurança (SAM)

Qual a função do Gestor de Contas de Segurança (SAM)?

O SAM (Security Account Manager, Gestor de Contas de Segurança) consiste numa base de dados presente nos servidores com o Windows Server 2003 que armazena contas de utilizador e descritores de segurança para utilizadores no computador local.

A quem se aplica esta função?

Esta funcionalidade aplica-se aos informáticos profissionais que pretendem solucionar problemas ou compreender o comportamento do componente SAM na implementação. A resolução de problemas pode exigir a transferência de ferramentas adicionais. Este tópico também se aplica aos programadores que tenham licenciado os protocolos SAMR e LSAR, bem como aos programadores que utilizem as API (application programming interfaces, interfaces de programação de aplicações) de fidedignidade da LSA da MSDN.

Que nova funcionalidade foi adicionada a esta função no Windows Server 2003 Service Pack 1?

Registo de WPP do SAM

Descrição detalhada

Os registos de depuração do SAM podem ser reunidos pelo WPP (Windows software trace preprocessor, pré-processador de rastreio de software do Windows) durante a implementação. O WPP pode ser utilizado para reunir informações sobre o desempenho do componente SAM durante um determinado período de tempo, quando o sistema Windows não tem o comportamento esperado. Estas informações podem ser utilizadas pelo Suporte Técnico da Microsoft para o ajudar a resolver problemas durante a implementação.

Porque é que esta alteração é importante? Que ameaças ajuda a atenuar?

Pode reduzir o número de sessões de depuração activas, se as informações de registo forem suficientes para determinar o que se está a passar.

O que funciona de maneira diferente?

O funcionamento é idêntico. É activada uma nova função para gerar registos. Seguem-se os comandos de Logman que podem ser utilizados para activar o registo:

logman create trace samlog -p "{f2969c49-b484-4485-b3b0-b908da73cebb}" 3
logman start samlog
rem repeat action that is interesting and that should be captured in log
logman stop samlog

Esta acção vai gerar um ETL (extended transaction log, registo de transacções expandido), que o Técnico de Suporte do Produto poderá analisar utilizando o conjunto de símbolos de depuração.

Quais as definições adicionadas ou alteradas no Windows Server 2003 Service Pack 1?

Existe uma nova entrada ETW (Event Tracing for Windows), f2969c49-b484-4485-b3b0-b908da73cebb. Esta entrada reflecte se o registo foi, ou não, activado para o componente SAM. O seguinte exemplo de resultados de tracelog –enumguid inclui a nova entrada.

    Guid                     Enabled  LoggerId Level Flags
-----------------------------------------------------------
1046d4b1-fce5-48bc-8def-fd33196af19a     FALSE  0    0    0
5007c7b1-1444-4303-bdbe-359c79fc032a     FALSE  0    0    0
7e4b70ee-8296-4f0f-a3ba-f58ef7bb4e96     FALSE  0    0    0
77db410c-561e-4358-8b0e-af866e91bb89     FALSE  0    0    0
dd5ef90a-6398-47a4-ad34-4dcecdef795f     FALSE  0    0    0
196e57d9-49c0-4b3b-ac3a-a8a93ada1938     FALSE  0    0    0
1540ff4c-3fd7-4bba-9938-1d1bf31573a7     FALSE  0    0    0
94a984ef-f525-4bf1-be3c-ef374056a592     FALSE  0    0    0
3121cf5d-c5e6-4f37-be86-57083590c333     FALSE  0    0    0
94335eb3-79ea-44d5-8ea9-306f49b3a04e     FALSE  0    0    0
4a8aaa94-cfc4-46a7-8e4e-17bc45608f0a     FALSE  0    0    0
f33959b4-dbec-11d2-895b-00c04f79ab69     FALSE  0    0    0
8e598056-8993-11d2-819e-0000f875a064     FALSE  0    0    0
f2969c49-b484-4485-b3b0-b908da73cebb     FALSE  0    0    0
cc85922f-db41-11d2-9244-006008269001     FALSE  0    0    0
c92cf544-91b3-4dc0-8e11-c580339a0bf8     FALSE  0    0    0
bba3add2-c229-4cdb-ae2b-57eb6966b0c4     FALSE  0    0    0
8fc7e81a-f733-42e0-9708-cfdae07ed969     FALSE  0    0    0
cddc01e2-fdce-479a-b8ee-3c87053fb55e     FALSE  0    0    0
6acd39eb-4cb0-486b-83fa-307aa23767b1     FALSE  0    0    0
65f67abd-ecd2-4501-9b10-d48db2300e6c     FALSE  0    0    0
28cf047a-2437-4b24-b653-b9446a419a69     FALSE  0    0    0
fc4b0d39-e8be-4a83-a32f-c0c7c4f61ee4     FALSE  0    0    0
fc570986-5967-4641-a6f9-05291bce66c5     FALSE  0    0    0
39a7b5e0-be85-47fc-b9f5-593a659abac1     FALSE  0    0    0
dab01d4d-2d48-477d-b1c3-daad0ce6f06b     FALSE  0    0    0
58db8e03-0537-45cb-b29b-597f6cbebbfe     FALSE  0    0    0
58db8e03-0537-45cb-b29b-597f6cbebbfd     FALSE  0    0    0

Evitar que os parâmetros identificadores de SAM e LSA sejam utilizados indevidamente

Descrição detalhada

Agora a implementação dos protocolos SAMR e LSAR do lado do servidor implementa verificações de segurança para garantir que o autor da chamada actual é o mesmo que abriu o primeiro parâmetro identificador devolvido por SamConnect e LsaOpenPolicy respectivamente.

O protocolo SAMR (Security Account Manager Remote Procedure Call, Chamada de Procedimento Remoto do Gestor de Contas de Segurança) é um subsistema integral que é utilizado para executar operações remotas do Gestor de Contas de Segurança, tais como gestão e manipulação de contas de utilizador. A interface do SAMR define os métodos remotos do Gestor de Contas de Segurança (SAM) que são chamados pelo cliente. SamConnect é a função utilizada para estabelecer a ligação à base de dados do SAM.

Porque é que esta alteração é importante?

Esta alteração está relacionada com as alterações de RPC (Remote Procedure Call, chamada de procedimento remoto) que ajudam a impedir o aumento de ataques de privilégios no sistema. Por predefinição, a implementação desta alteração nas interfaces do Active Directory ajuda a tornar o sistema mais seguro.

O que funciona de maneira diferente?

Se a aplicação utilizar os protocolos SAMR ou LSAR, são executadas verificações de acesso em cada chamada recebida, que verificam se a identidade do cliente que abre o parâmetro identificador de contexto é idêntica à identidade do autor da chamada. Se a aplicação não utilizar essa convenção, deixará de funcionar após a instalação do Windows Server 2003 Service Pack 1 (SP1).

Como posso resolver estes problemas?

Todas as chamadas efectuadas para os métodos SAMR e LSAR têm de se enquadrar no mesmo contexto de segurança que a chamada que gerou o parâmetro identificador de contexto utilizado na chamada. Caso contrário, terá de modificar a aplicação para cumprir este requisito.

Necessito de alterar o código para funcionar com o Windows Server 2003 Service Pack 1?

Na maioria das aplicações, não são necessárias alterações. No entanto, se o código da aplicação mudar de contexto de segurança ao utilizar os parâmetros identificadores de contexto obtidos da interface SAMR e LSAR, serão necessárias alterações. Se a aplicação estiver a utilizar qualquer uma das seguintes APIs, verifique com o programador da aplicação se o contexto de segurança de chamada não é alterado entre a chamada LsaOpenPolicy e qualquer chamada subsequente da API de LSA que utilize o parâmetro identificador devolvido por LsaOpenPolicy.

  • LsaOpenPolicy
  • LsaQueryInformationPolicy
  • LsaSetInformationPolicy
  • LsaQueryDomainInformationPolicy
  • LsaSetDomainInformationPolicy
  • LsaEnumerateTrustedDomains
  • LsaLookupNames
  • LsaLookupNames2
  • LsaLookupSids
  • LsaEnumerateAccountsWithUserRight
  • LsaEnumerateAccountRights
  • LsaAddAccountRights
  • LsaRemoveAccountRights
  • LsaOpenTrustedDomainByName
  • LsaQueryTrustedDomainInfo
  • LsaSetTrustedDomainInformation
  • LsaDeleteTrustedDomain
  • LsaQueryTrustedDomainInfoByName
  • LsaSetTrustedDomainInfoByName
  • LsaEnumerateTrustedDomainsEx
  • LsaCreateTrustedDomainEx
  • LsaQueryForestTrustInformation
  • LsaSetForestTrustInformation
  • LsaForestTrustFindMatch
  • LsaStorePrivateData
  • LsaRetrievePrivateData
Considera isto útil?
(1500 caracteres restantes)
Obrigado pelos seus comentários

Conteúdo da Comunidade

Mostrar:
© 2014 Microsoft