Como habilitar ou desabilitar o prompt de credenciais ao acessar pastas compartilhadas do Windows

6QYN7

O Windows XP introduziu um conceito chamado Compartilhamento Simples de Arquivo (Simple File Sharing) que, quando habilitado, elimita inteiramente a segurança ao compartilhar arquivos. Todo o acesso a compartilhamentos é realizado no contexto da conta Convidado, independente da conta remota de usuário que o acessou. Basicamente, qualquer um com acesso local para sua rede poderia acessar qualquer arquivo compartilhado. Isso tornou muito fácil para outras pessoas em sua casa ou escritório ter acesso aos arquivos compartilhados de cada um.

O Windows 8, 7, e Vista também inclui o Compartilhamento Simples de Arquivo, porém agora ele é chamado de Compartilhamento protegido por senha.

Esta configuração não é sempre alterável. Na versão Home do Windows XP, o Compartilhamento Simples de Arquivo está sempre habilitado e não pode ser desabilitado. Em todas as outras versões do Windows, ele pode ser habilitado ou desabilitado, exceto quando o computador é membro de um domínio. Neste caso, senhas são sempre obrigatórias.

Finalmente, o Windows 8 e 7 possuem um novo comportamento no modo como a segurança funciona quando o Compartilhamento protegido por senha é desabilitado. No Vista e XP, quando senhas não são requeridas, todo o acesso de rede usa a conta Convidado. Assim, qualquer um na rede pode acessar qualquer arquivo em uma pasta compartilhada se o arquivo pode ser acessada pela conta de usuário Convidado ou pelo grupo de usuários Todos.

Mas no Windows 8 e 7, o seguinte acontece quando um usuário remoto tenta acessar uma pasta ou arquivo compartilhado em um computador com Windows 8 ou 7 com Compartilhamento protegido por senha desabilitado:

  • Se a conta de usuário remota coincide com uma conta no computador com Windows 8 ou 7 que está compartilhando o arquivo e esta conta possuí uma senha definida, esta conta será usada para acessar os arquivos.
  • Se a conta de usuário remota coincide com uma conta no computador que está compartilhando os arquivos mas esta conta não possuí nenhuma senha definida, a conta Convidado é usada.
  • Se a conta de usuário remota não coincide com nenhuma conta no computador que está compartilhando os arquivos, a conta Convidado é usada.

Isso pode parecer redundante, mas atualmente é uma mudança muito útil. Antes de tudo, esta mudança foi necessária para suportar o novo recurso Grupo Doméstico. Todos os computadores membros do Grupo Doméstico usam uma conta especial, protegida por senha chamada HomeGroupUser$ para acessar outros computadores membros, e essa mudança permite a funcionalidade deste recurso independente do Compartilhamento protegido por senha estar desabilitado ou não.

Habilitando/Desabilitando o Compartilhamento protegido por senha

Para habilitar ou desabilitar o Compartilhamento protegido por senha, dê botão direito no ícone de rede ao lado do relógio e selecione a opção Abrir a Central de rede e compartilhamento.

Em Exibir redes ativas, certifique-se que a rede que o computador encontra-se conectado pertence a Rede doméstica ou Rede corporativaRedes públicas possuem o compartilhamento de arquivos desabilitado por padrão no Firewall do Windows.

Na barra lateral esquerda, clique em Alterar as configurações de compartilhamento avançadas.

Na opção Compartilhamento protegido por senha, marque a opção correspondente.

image[2](1)

Definindo/Removendo permissões de acesso a um compartilhamento ao grupo Todos

Para que a conta Convidado possa acessar um compartilhamento, ela precisa possuir permissões de acesso ao mesmo. Por padrão, o grupo Todos possuí permissões de leitura em todos os compartilhamentos criados no Windows.

Para alterarmos isso, abra o Explorador de arquivos/Windows Explorer e pressione a tecla <ALT> para exibir os menus. No topo da janela, clique em Ferramentas > Opções de pasta.

Na aba Modo de exibição, desmarque a opção Usar Assistente de Compartilhamento (Recomendado) para exibir a aba Segurança ao alterarmos as opções de compartilhamento de uma pasta compartilhada.

57

Dê botão direito na pasta compartilhada e entre na aba Compartilhamento. Em Compartilhamento Avançado…, clique em Permissões.

  • Para exigir o acesso por senha, remova o grupo Todos da lista e adicione os usuários que terão acesso ao compartilhamento e suas devidas permissões.
  • Para desabilitar o acesso por senha ao compartilhamento, certifique-se que o grupo Todos encontra-se na lista e possuí permissões de Leitura Gravação.

32121231323

Agora, precisamos definir as opções do sistema de arquivos na aba Segurança. Ainda que tenhamos definido as opções de compartilhamento, as opções de segurança prevalecem sobre elas. Por exemplo: caso você tenha definido a permissão de Gravação nas opções de compartilhamento para o grupo Todos, mas na aba Segurança o grupo Todos não possuí esta permissão, ao tentar gravar um arquivo no compartilhamento exibirá a mensagem Acesso negado. Ainda que tenhamos permissão no compartilhamento, as permissões do sistema de arquivos (NTFS) proíbe a gravação do arquivo.

Adicione ou remova o grupo Todos na aba Segurança de acordo com sua intenção (de permitir ou desabilitar o acesso anônimo a pasta compartilhada).

321233

Habilitando/Desabilitando a conta Convidado

Agora, você precisará habilitar a conta Convidado caso você tenha desativado o compartilhamento protegido por senha, ou desabilitá-la caso você tenha habilitado o compartilhamento protegido por senha.

Para isso, pressione a combinação de teclas <Windows> + <R> para abrir o Executar. Digite mmc e pressione <Enter>.

No menu Arquivo, clique em Adicionar/remover snap-in… 

Em Snap-ins disponíveis, selecione Gerenciamento do computador e clique em Concluir para gerenciar o Computador local. Clique em OK.

Expanda Gerenciamento do computador > Ferramentas do sistema > Usuários e Grupos Locais > Usuários.

Dê botão direito na conta Convidado e selecione Propriedades.

Na caixa Conta desativada, marque ou desmarque a opção correspondente.

2RNIT

Permitir acesso a conta Convidado pela rede

Por padrão, a Política de grupo do Windows não permite o acesso a pastas compartilhadas usando a conta Convidado.

Para editar a Política de grupo local, pressione a combinação de teclas <Windows> + <R> para abrir o Executar, digite gpedit.msc e pressione <ENTER>.

Expanda Configuração do Computador > Configurações do Windows > Configurações de segurança > Diretivas locais > Atribuição de direitos de usuário > Negar acesso a este computador da rederemova a conta “Convidado” da lista.

Na versão Home do Windows, para permitirmos o acesso a conta Convidado a pastas compartilhadas, precisamos usar o utilitário ntrights.exe disponível no Windows Server 2003 Resource Kit. Após o download, execute o instalador e extraia-o para C:\W2k3rktools.

Após a extração, abra o Prompt de Comando como Administrador e use os comandos:

cd “C:\W2k3rktools”
ntrights -r SeDenyNetworkLogonRight -u Convidado

Reinicie o computador para aplicar a nova política.

Habilitando o Compartilhamento de arquivos e impressoras no Firewall

Por padrão, o Windows possuí habilitado o Compartilhamento de arquivos e impressoras para redes domésticas e corporativas.

Para nos certificarmos que o Compartilhamento de arquivos e impressoras está habiltado no Firewall, abra o Painel de Controle > Firewall do Windows.

Na barra lateral esquerda, clique na opção Permitir um programa ou recurso pelo Firewall do Windows.

37

Na lista, certifique que o recurso Compartilhamento de arquivos e impressoras está habilitado e a caixa Doméstica/Corporativa (Privada) também está.

53

Habilitando o Compartilhamento de arquivos e impressoras no adaptador de rede

Precisamos nos certificar que os clientes Cliente para redes Microsoft Compartilhamento de arquivos/impressoras para redes Microsoft estão instalados no adaptador de rede, tanto do Cliente quanto do Servidor.

Para isso, dê botão direito no ícone de rede próximo ao relógio e clique em Abrir a Central de Rede e Compartilhamento.

Em Exibir redes ativas, clique no nome da conexão em Conexões.

Na janela de Status do adaptador, clique no botão Propriedades.

Na lista, certifique-se que os clientes abaixo estão instalados:

33

Removendo credenciais salvas do computador cliente

Historicamente, quando um usuário em um computador Windows tenta acessar um recurso, a requisição é enviada para a Local Security Authority (LSA) que lida com a autenticação, e a LSA encaminha a requisição para um pacote de autenticação. O comportamento padrão de pacotes de autenticação é usar as credenciais do usuário atuais (tanto um ticket Kerberos existente, ou o nome do usuário e senha para conexões NTLM/LM). Porém, no Windows XP e superior, o pacote de autenticação primeiramente verifica o Gerenciador de Credenciais e requisita credenciais para acessar um recurso. Se o Gerenciador de Credenciais possuí uma entrada para o alvo (o servidor que o usuário está tentando acessar), ele proverá as credenciais especificadas para serem usadas pelo pacote de autenticação. Se não há nenhuma entrada para o servidor específico (alvo), o Gerenciador de Credenciais retornará as credenciais atuais (primárias), simulando o comportamento do Windows 2000 e sistemas anteriores. Se a conexão for bem-sucedida, o usuário começará a usar recursos no servidor remoto usando suas credenciais primárias. Porém, se a conexão falhar, o pacote de autenticação informará a LSA, que passará os detalhes para a aplicação cliente. O aplicativo então pedirá que o usuário especifique um conjunto de credenciais diferentes para acessar o recurso, e pode ser apresentado ao usuário a opção de salvar as credenciais no Gerenciador de Credenciais. Dependendo da informação provida pelo usuário, a conexão ao recurso pode ser bem-sucedida, e se o usuário tiver requisitado, as credenciais serão providas ao Gerenciador de Credenciais para armazenamento. Para realizar estas operações, o Gerenciador de Credenciais utiliza um banco de dados de credenciais, armazenado no perfil do usuário. (3) O Gerenciador de Credenciais salva as informações a seguir como parte de cada entrada:

  • Alvo. Este é o nome do servidor, ou domínio DNS, que as credenciais especificadas devem ser usadas. Ele pode ser um nome NetBIOS, um FQDN, ou um nome de domínio. O símbolo de asterisco (*) pode ser utilizado para especificar um domínio DNS e todos seus sub-domínios. É importante notar que credenciais são especificadas por-alvo, independente do protocolo que a aplicação deseja utilizar. O Gerenciador de Credenciais não pode lidar com conexões a um servidor utilizando um conjunto de credenciais para o protocolo CIFS/SMB e um conjunto diferente de credenciais para HTTP, por exemplo.
  • Credenciais de Usuário. Elas podem ser Genéricas (a aplicação irá lidar com as credenciais) ou Credenciais do domínio.

Caso você marcou a caixa Lembrar minhas credenciais durante o acesso ao compartilhamento e tenha usado alguma credencial que não possuí permissões de acesso ao compartilhamento, com uma conta de usuário desabilitada ou que possuía permissão e agora não possuí mais, o Windows continuará insistindo em usar aquela credencial para cada conexão, resultando no erro abaixo:

qodcM

O Windows não pode acessar o compartilhamento. Você não tem permissão para acessar o compartilhamento. Entre em Contato com o Administrador de rede para solicitar permissão de acesso.

Para fazermos o Windows esquecer aquela credencial e pedi-la durante o acesso ao compartilhamento, você precisa:

  1. Abrir o Painel de Controle > Gerenciador de Credenciais
  2. Examine a lista de credenciais em Credenciais do Windows
  3. Clique no botão de seta para baixo ao lado da credencial para exibir detalhes da mesma
  4. Clique Remover do cofre para deletá-la.
  5. Execute o Prompt de Comando como Administrador e digite o comando net use * /DELETE.
    (Isso irá deletar as credenciais para todos os compartilhamentos de rede).

Referências

  1. In Windows 8.1, how to force prompt for credentials when accessing a shared folder? – Super User
  2. Configuring anonymous sharing on a Windows 7 system – A developer’s blog
  3. Mechanics of User Identification and Authentication: Fundamentals of Identity Management – Dobromir Todorov
Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s