Falha durante a instalação do Internet Explorer 8 no Windows Server 2003 R2: “Couldn’t get File Version Info size.”

Durante a reparação de arquivos de sistema corrompidos de um servidor Windows Server 2003 R2 devido a uma queda de energia, o Internet Explorer 8 deixou de funcionar e o ícone do Internet Explorer 8 não exibia o logo do navegador.

Continuar lendo “Falha durante a instalação do Internet Explorer 8 no Windows Server 2003 R2: “Couldn’t get File Version Info size.””

Anúncios

Migrando o Active Directory para uma nova versão do Windows Server

  1. INTRODUÇÃO
  2. MIGRANDO O ACTIVE DIRECTORY
    1. ADPREP
    2. PREPARANDO A FLORESTA
    3. PREPARANDO O DOMÍNIO
    4. ADICIONANDO O NOVO DC
    5. SUBSTITUINDO O MESTRE DE OPERAÇÕES (FSMO)
      1. Mestre de Esquema
      2. Mestre de Nomeação de Domínios
      3. Mestre RID, PDC e Infra-estrutura
    6. SUBSTITUINDO O SERVIDOR DE TEMPO
    7. MIGRANDO O SERVIÇO DE CERTIFICADOS
    8. REPLICAÇÃO DOS DIRETÓRIOS SYSVOL E NETLOGON
      1. FRS
      2. DFS
    9. DESPROMOVENDO O ANTIGO CONTROLADOR DE DOMÍNIO (OPCIONAL)
  3. MIGRANDO O SERVIÇO DHCP
  4. CONCLUSÃO

Introdução

Em um ataque recente a uma vulnerabilidade ao protocolo RDP, os servidores de área de trabalho remota de uma das empresas na qual prestava suporte foram infectados com um ransomware. O antivírus Sophos não detectou a ameaça, possibilitando a criptografia dos arquivos do sistema. Tivemos de restaurar o sistema de um backup anterior.

Porém, aproveitando o tempo inesperado de manutenção, decidimos migrar a estrutura Active Directory do Server 2003 para Server 2008 R2, aumentando a segurança da rede (O Server 2003 não possuí suporte e atualizações da Microsoft desde Julho de 2015).

Continuar lendo “Migrando o Active Directory para uma nova versão do Windows Server”

Autenticação em nível de rede

Recentemente há uma grande atenção dada ao Remote Desktop Protocol (RDP) devido a ataques. Em 2011, o protocolo permitiu a infecção de outros computadores devido a ataques de força bruta nas senhas do RDP. O Ransomware, identificado pela Kaspersky como Trojan-Ransom.Win32.Agent.hxf, compacta os arquivos com o WinRAR, usando criptografia AES. Infelizmente não é possível recuperar os arquivos criptografados por essa versão da praga.

Em 2012, foi encontrado uma vulnerabilidade no protocolo, permitindo a execução de código remota quando uma sequência específica de pacotes RDP são enviados para o servidor afetado.

No Windows Server 2003, ao iniciar uma sessão remota, o Cliente da Área de trabalho remota (mstsc) redireciona para a tela de logon do servidor:

rdp

Conexão da área de trabalho no Server 2003

Iniciar uma sessão — até mesmo apresentar uma tela de logon — requer que o servidor crie muitos dos processos necessários para oferecer suporte a uma sessão, tais como o csrss.exe e winlogon.exe. Por causa disto, a criação de uma sessão é relativamente demorada e cara, além de expor o servidor a exploits e ataques de negação de serviço (DoS) – se um número grande de usuários não autorizados se conectarem ao servidor ao mesmo tempo com credenciais de login falsas, elas podem causar um ataque de negação de serviço (DoS), impedindo o acesso de usuários legítimos ao servidor (GRIFFIN, 2012).

Com o lançamento do Windows Vista e Windows Server 2008, a Microsoft introduziu a Autenticação em nível de rede (NLA). Ao realizar uma conexão remota a um servidor com Windows Server 2008 com NLA habilitado, o Cliente da Área de trabalho exibe uma caixa de diálogo local para levar suas credenciais ANTES de conectar-se ao servidor. Esta caixa de diálogo é o front-end do CredSSP. (PEREZ, 2012)

rdp-xp-nla

Conexão da área de trabalho com NLA

O CredSSP estabelece um canal encriptado entre o cliente e o servidor de destino usando TLS para validação de identidade. O protocolo CredSSP utiliza as extensões de protocolo SPNEGO para negociar um mecanismo GSS (NTLM, Kerberos ou Autenticação PKI para cartões inteligentes) que criptografa as credenciais enviadas ao servidor de destino e realiza a autenticação mútua, garantindo a confidencialidade devido ao uso de um canal TLS seguro para envio de credenciais ao servidor de destino. (PEREZ, 2012) Uma das vantagens que o CredSSP oferece é a redução do número de logons que um usuário precisa fazer ao adicionar suporte a SSO (Single Sign-On) a Sessões da área de trabalho remota. (GRIFFIN, 2012)

Como nenhum pacote chega ao serviço RDP até a negociação da conexão via CredSSP, o NLA protege os servidores de ataques de negação de serviço (DoS) e exploits.

O NLA foi introduzido inicialmente com o RDP 6.0 no Windows Vista e posteriormente no XP SP3.

Configurando a Autenticação em nível de rede no RDP

Para habilitar o NLA via Diretiva de grupo, habilite a seguinte diretiva na OU do Servidor de Terminal: Configuração do computador/Políticas/Modelos administrativos/Componentes do Windows/Serviços de área de trabalho remota/Host de sessão de área de trabalho remota/Segurança/Exigir autenticação de usuário para conexões remotas usando autenticação no nível da rede

windows-live-writer-configuring-y_948b

E agora nós temos uma GPO que pode ser vinculada a qualquer Domínio ou Unidade Organizacional da floresta. Após aplicada, quando uma conexão é realizada nós podemos verificar o mecanismo de segurança em uso clicando com botão direito no topo da Sessão da área de trabalho remota no Windows para exibir o modo como nossa identidade foi autenticada:

windows-live-writer-configuring-y_948b

Nos servidores que possuem a política a única opção disponível é o uso de NLA:

windows-live-writer-configuring-y_948b

Windows XP e NLA

O Windows XP SP3 oferece suporte CredSSP, mas ele não está habilitado por padrão. É necessário instalar o Internet Explorer 8, uma atualização para o RDP e aplicar um Fix It (KB951608) para habilitar o CredSSP. Infelizmente, o Fix It não está mais disponível no site da Microsoft, mas consegui encontrá-lo na internet e realizei o upload do mesmo para minha conta no MediaFire:

  1. Internet Explorer 8 para Windows XP
  2. Atualização do Cliente de Conexão de Área de trabalho remota (RDP 7.0) para Windows XP (PT-BR) (KB969084)
  3. Microsoft Fix It 50588 (KB951608)

Após a instalação da atualização e do Fix It, é necessário reiniciar o computador para aplicar as alterações.

Referências

GRIFF, Kristin. Windows Server 2008 R2: Por que usar a autenticação no nível da rede? Microsoft TechNet. 2012.

PEREZ, Carlos. Configuring Network Level Authentication for RDP. Dark Operator. 2012.

SpiceWorks. 2013. Enable Network Level Authentication (NLA) in Windows XP.

Associando um disco real a uma máquina virtual (Hyper-V)

Você notará que você não conseguirá selecionar a opção Physical Hard Disk. Para associarmos um disco real diretamente a uma VM, precisamos torná-lo “off-line” para o host.

Para isso, precisamos acessar o Gerenciador de discos remotamente no Hyper-V. Você pode usar o Corefig ou o comando abaixo para habilitar o Gerenciamento de Volumes Remoto:

netsh advfirewall firewall set rule group="Gerenciamento de Volumes Remoto" new enable=yes

Após habilitá-lo, use um computador cliente e abra o Menu iniciar. Dê botão direito em Computador e clique em Gerenciar.

2016-09-14-21_01_32

Na barra lateral esquerda, dê botão direito em Gerenciamento do computador e clique em Conectar a outro computador…

Digite o IP do servidor Hyper-V e clique em OK.

2016-09-14-21_02_42-adicionar-novo-post-eduardo-mozart-wordpress

A conexão deverá ocorrer normalmente (caso a conexão falhe, será exibido mensagem de erro do RPC – verifique se você habilitou o Gerenciamento Remoto no Firewall do Windows e que o IP usado na conexão está correto).

2016-09-14-21_07_19-gerenciamento-de-disco

Você não tem direitos de acesso ao ‘Gerenciador de discos lógicos’

Caso apareça a mensagem Acesso negado ao acessar o Gerenciamento de disco remoto, verifique se o usuário logado atualmente no computador Cliente com um usuário membro do grupo Admins. do domínio. Caso contrário, realize logoff e logue-se com um usuário do domínio membro deste grupo.

Caso você não possua uma estrutura Active Directory ou o servidor Hyper-V não seja membro do domínio, será necessário, no computador Cliente, criar uma conta com o MESMO NOME DE USUÁRIO E SENHA da conta Administrador do Servidor. Para isso, abra o Gerenciamento do computador (local), expanda Usuários e Grupos Locais. Dê botão direito em Usuários e clique em Novo usuário… Após criar o novo usuário, realize Logoff e logue-se com ele.

No Gerenciador de discos lógicos, dê botão direito no disco que você deseja atribuir a VM e selecione a opção Offline.

2016-09-14-21_22_26

Agora, no 5nine Manager no Servidor, na aba Hyper-V Manager, dê botão direito na VM e clique em Settings.

Em Controlador SCSI, selecione Hard Drive na lista e clique em Add.

Selecione o disco real em Physical Hard Drive.

Instalando e Configurando o 5nine Manager for Hyper-V (Free Edition) no Windows Server Hyper-V 2012

Na empresa onde trabalhamos, possuímos um servidor de virtualização Hyper-V 2012 (gratuito) sem interface gráfica. Gerenciávamos nossas máquinas virtuais através do RSAT, mas recentemente atualizamos nossa estrutura da versão 2008 R2 do Hyper-V para 2012 R2.

Infelizmente, após a mudança, o RSAT instalado nos nossos clientes com Windows 7 não poderiam mais ser usados para gerenciar o Hyper-V 2012 R2 – o cliente RSAT compatível com estas versões do Hyper-V somente é compatível com Windows 8.1. Infelizmente, não possuímos nenhum computador na organização que possuí licença para esta versão do Windows.

Procurando por uma solução, encontramos o 5nine Manager, que possibilita gerenciarmos as máquinas virtuais localmente no Hyper-V Server 2012.

Instalação

O 5nine Manager for Hyper-V (Free Edition) pode ser obtido no site da 5nine no link: http://www.5nine.com/5nine-manager-for-hyper-v-free.aspx

É necessário preencher um pequeno cadastro para realizar o download do instalador, mas o software é gratuito. O link para download e o arquivo de licença será enviado para o e-mail informado no cadastro.

Após o download, é necessário extrair o arquivo baixado (ZIP) antes de instalá-lo no servidor. O Windows possuí suporte nativo a extração de arquivos ZIP, mas você pode usar o 7-Zip para este trabalho.

2016-09-14-18_21_47

Após a extração, copie o arquivo de licença em anexo no e-mail para a mesma pasta onde extraiu o instalador do 5nine.

é necessário executar o instalador no servidor. Você pode instalá-lo através de um pen drive ou HD externo com o comando:

D:\5nineManager\59Manager.exe

Durante a instalação, será necessário localizar o arquivo de licença que você recebeu via e-mail.

2016-09-14-18_29_32-5nine-manager-setup

Durante a instalação, será questionado se você deseja usar um banco de dados SQLite local ou Microsoft SQL Server para armazenar os logs de monitoramento do 5nine.

Caso você possua um servidor de produção Microsoft SQL Server na sua empresa, você pode usá-lo. Caso contrário, use o banco de dados SQLite e clique em Next.

2016-09-14-18_30_40-5nine-manager-setup

Configuração

Adaptador de rede

Durante a primeira execução do 5nine, precisamos configurar nosso adaptador de rede físico de forma a disponibilizá-los para as máquinas virtuais.

Tivemos problemas ao criar um adaptador de rede virtual pelo 5nine Manager: A conexão externa com a internet no Host era simplesmente perdida! Tivemos de criar o adaptador virtual pelo PowerShell.

Existem 3 tipos de redes virtuais:

Externo (Bridge): Permite acesso à internet e a rede local através da nossa placa de rede real. As máquinas virtuais receberão um IP na faixa da rede interna.

Interno: Rede que permite a troca de informações entre as máquinas virtuais e ao host HYPER-V.

Particular: Rede interna somente entre as máquinas virtuais.

Para criar um adaptador Externo, execute o comando powershell no prompt de comando.

Encontre os adaptadores de rede existentes usando o cmdlet Get-NetAdapter. Anote o nome do adaptador de rede que você deseja usar para o switch virtual.

Get-NetAdapter

Crie um novo switch virtual usando o cmdlet New-VMSwitch. Por exemplo, para criar um switch externo virtual com a opção Allow management operating system to share this network adapter habilitada, execute o seguinte comando.

New-VMSwitch -name ExternalSwitch -NetAdapterName Ethernet -AllowManagementOS $true

Ao clicar no menu Refresh (aba Virtual Network Adapters), nosso switch virtual será exibido automaticamente.

Máquinas virtuais

Entre na aba Hyper-V Manager (ao lado de Summary).

Agora, na barra lateral esquerda, dê botão direito no servidor e clique em Create New VM …

Na primeira tela, você poderá criar uma VM (Create new virtual machine) ou importá-la usando um arquivo de configuração.

Na próxima tela, será necessário informar o nome da VM.

Na próxima tela, será necessário informar a geração (Generation) da VM.

  • Geração 1 usa Legacy BIOS. Na dúvida, use esta opção.
  • Geração 2 usa UEFI, possuindo suporte a Secure Boot e PXE usando este padrão. Use esta opção somente ao instalar uma versão moderna do Windows (Windows 8/Server 2012+) ou uma distribuição Linux que suporte este padrão.

Nas próximas quatros telas, você poderá configurar o número de processadores, memória, rede e espaço em disco para esta máquina virtual.

Durante a alocação da memória, procure sempre usar múltiplos de 2 (1024, 2048, 4096…), de forma a não fugir do padrão utilizado em máquinas reais.

Durante a configuração de rede (Networking), selecione a conexão criada anteriormente e clique em Next,

Durante a configuração do disco rígido, você poderá criar um novo disco virtual .VHDX, importar um disco .VHD/.VHDX existente ou adicionar um disco virtual depois (Attach a virtual hard disk later).

Há um pequeno bug durante a criação de uma máquina virtual usando a opção Attach a virtual hard disk later. Caso você tenha selecionado a opção de importar antes de marcar esta opção, não será possível avançar a próxima tela (exibirá um aviso “Check the entered path”).

Na última tela (Summary), será exibido um pequeno resumo das configurações que definimos para a VM. Desmarque a caixa Start VM after creation caso você não deseje iniciar a VM automaticamente após sua criação.

Iniciando uma VM automaticamente durante a iniciação do Hyper-V Server

Para iniciar uma VM automaticamente durante a iniciação, dê botão direito nela e clique em Settings. Na barra lateral esquerda, clique em Management. Na aba Advanced, em Automatic Start Action, selecione a opção Always start.

Adicionando um disco virtual após a criação da VM

Caso você tenha usado a opção Attach a virtual hard disk later, para importar um disco virtual a uma VM, dê botão direito nela e clique em Settings.

Na barra lateral esquerda, em Controlador IDE 0, selecione Hard Drive na lista e clique em Add,

Marque a opção Virtual hard disk e clique em Browse… para selecionar um disco existente ou Create para criar um novo disco virtual. Clicando em Inspect, você poderá ver quanto espaço a VM realmente está utilizando do disco virtual. 

Instalação do Corefig para Hyper-V Server 2012 R2

1033-image_40f0c61a

O Corefig adiciona uma interface gráfica (UI) para o Hyper-V Server 2012, substituindo o sconfig.

Ele é open source e pode ser obtido no CodePlex (baixe a versão ZIP).

Após o download, extraia o arquivo.

Copie a pasta extraída para o servidor com o comando:

xcopy D:\Corefig C:\Corefig /cheriky

Execute-o com o comando:

cscript C:\Corefig\Start_Corefig.wsf

Durante a primeira iniciação, ele instalará o .NET Framework 4 (NetFx4) e Windows PowerShell.

Adicionando o Hyper-V Server ao domínio

Para ingressar o servidor Hyper-V ao domínio, clique no botão Computer settings…

Em Computer Name and Domain, clique no botão de mesmo nome.

Exibirá uma tela similar a exibida no Windows. Marque a caixa Domínio e digite o nome do domínio. Será necessário informar um usuário membro do grupo Administradores para ingressar nosso servidor Hyper-V ao domínio.

Caso o computador falhe ao ingressar ao domínio, verifique as configurações DNS do servidor Hyper-V.

Habilitando o snap-in “Gerenciamento do Computador” e o Ping

Para habilitar o Ping, clique no botão Control Panel…

Em Windows Firewall, clique no botão Firewall…

Na barra lateral esquerda, clique em Rule Configuration.

corefirewall

Para habilitar um item da lista, selecione Enabled

  • Enable Event Log Management
  • Enable Service Management
  • Enable Remote Volume Management
  • ICMP Echo Request (Ping)

e clique em Apply.

Para gerenciar o Hyper-V Server remotamente, você pode usar o Gerenciamento do Computador em qualquer computador cliente com Windows (diferente do RSAT, não é necessário usar a versão 8.1 ou superior do Windows para acessar o Hyper-V Server 2012 – é possível usar um cliente Windows 7 para gerenciar o servidor).

Infelizmente, o Corefig não possui a opção de habilitarmos portas específicas no Firewall do Windows: Ele possuí somente modelos prontos de regras que podem ser habilitadas ou desabilitadas.

Instalando um driver

Para habilitar um arquivo *.inf de driver, clique no botão Control Panel…

Em Hardware Settings, clique no botão Drivers…

Clique no botão Have Disk… para selecionar o arquivo *.inf.

Clique no botão OK para iniciar a instalação.

Iniciando o Corefig automaticamente após o login

Do prompt de comando, execute o regedit. Navegue para Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Adicione um novo valor string (Valor da Cadeia de Caracteres) com o nome corefig e valor cmd.exe /k C:\Windows\system32\cscript.exe C:\Corefig\Start_Corefig.wsf

Referências

Automatically open a PowerShell session on Hyper-V Server 2008 R2 or Windows Server 2008 R2 Core? – Super User – http://superuser.com/questions/315809/automatically-open-a-powershell-session-on-hyper-v-server-2008-r2-or-windows-ser

Como habilitar ou desabilitar o prompt de credenciais ao acessar pastas compartilhadas do Windows

6QYN7

O Windows XP introduziu um conceito chamado Compartilhamento Simples de Arquivo (Simple File Sharing) que, quando habilitado, elimita inteiramente a segurança ao compartilhar arquivos. Todo o acesso a compartilhamentos é realizado no contexto da conta Convidado, independente da conta remota de usuário que o acessou. Basicamente, qualquer um com acesso local para sua rede poderia acessar qualquer arquivo compartilhado. Isso tornou muito fácil para outras pessoas em sua casa ou escritório ter acesso aos arquivos compartilhados de cada um.

O Windows 8, 7, e Vista também inclui o Compartilhamento Simples de Arquivo, porém agora ele é chamado de Compartilhamento protegido por senha.

Esta configuração não é sempre alterável. Na versão Home do Windows XP, o Compartilhamento Simples de Arquivo está sempre habilitado e não pode ser desabilitado. Em todas as outras versões do Windows, ele pode ser habilitado ou desabilitado, exceto quando o computador é membro de um domínio. Neste caso, senhas são sempre obrigatórias.

Finalmente, o Windows 8 e 7 possuem um novo comportamento no modo como a segurança funciona quando o Compartilhamento protegido por senha é desabilitado. No Vista e XP, quando senhas não são requeridas, todo o acesso de rede usa a conta Convidado. Assim, qualquer um na rede pode acessar qualquer arquivo em uma pasta compartilhada se o arquivo pode ser acessada pela conta de usuário Convidado ou pelo grupo de usuários Todos.

Mas no Windows 8 e 7, o seguinte acontece quando um usuário remoto tenta acessar uma pasta ou arquivo compartilhado em um computador com Windows 8 ou 7 com Compartilhamento protegido por senha desabilitado:

  • Se a conta de usuário remota coincide com uma conta no computador com Windows 8 ou 7 que está compartilhando o arquivo e esta conta possuí uma senha definida, esta conta será usada para acessar os arquivos.
  • Se a conta de usuário remota coincide com uma conta no computador que está compartilhando os arquivos mas esta conta não possuí nenhuma senha definida, a conta Convidado é usada.
  • Se a conta de usuário remota não coincide com nenhuma conta no computador que está compartilhando os arquivos, a conta Convidado é usada.

Isso pode parecer redundante, mas atualmente é uma mudança muito útil. Antes de tudo, esta mudança foi necessária para suportar o novo recurso Grupo Doméstico. Todos os computadores membros do Grupo Doméstico usam uma conta especial, protegida por senha chamada HomeGroupUser$ para acessar outros computadores membros, e essa mudança permite a funcionalidade deste recurso independente do Compartilhamento protegido por senha estar desabilitado ou não.

Habilitando/Desabilitando o Compartilhamento protegido por senha

Para habilitar ou desabilitar o Compartilhamento protegido por senha, dê botão direito no ícone de rede ao lado do relógio e selecione a opção Abrir a Central de rede e compartilhamento.

Em Exibir redes ativas, certifique-se que a rede que o computador encontra-se conectado pertence a Rede doméstica ou Rede corporativaRedes públicas possuem o compartilhamento de arquivos desabilitado por padrão no Firewall do Windows.

Na barra lateral esquerda, clique em Alterar as configurações de compartilhamento avançadas.

Na opção Compartilhamento protegido por senha, marque a opção correspondente.

image[2](1)

Definindo/Removendo permissões de acesso a um compartilhamento ao grupo Todos

Para que a conta Convidado possa acessar um compartilhamento, ela precisa possuir permissões de acesso ao mesmo. Por padrão, o grupo Todos possuí permissões de leitura em todos os compartilhamentos criados no Windows.

Para alterarmos isso, abra o Explorador de arquivos/Windows Explorer e pressione a tecla <ALT> para exibir os menus. No topo da janela, clique em Ferramentas > Opções de pasta.

Na aba Modo de exibição, desmarque a opção Usar Assistente de Compartilhamento (Recomendado) para exibir a aba Segurança ao alterarmos as opções de compartilhamento de uma pasta compartilhada.

57

Dê botão direito na pasta compartilhada e entre na aba Compartilhamento. Em Compartilhamento Avançado…, clique em Permissões.

  • Para exigir o acesso por senha, remova o grupo Todos da lista e adicione os usuários que terão acesso ao compartilhamento e suas devidas permissões.
  • Para desabilitar o acesso por senha ao compartilhamento, certifique-se que o grupo Todos encontra-se na lista e possuí permissões de Leitura Gravação.

32121231323

Agora, precisamos definir as opções do sistema de arquivos na aba Segurança. Ainda que tenhamos definido as opções de compartilhamento, as opções de segurança prevalecem sobre elas. Por exemplo: caso você tenha definido a permissão de Gravação nas opções de compartilhamento para o grupo Todos, mas na aba Segurança o grupo Todos não possuí esta permissão, ao tentar gravar um arquivo no compartilhamento exibirá a mensagem Acesso negado. Ainda que tenhamos permissão no compartilhamento, as permissões do sistema de arquivos (NTFS) proíbe a gravação do arquivo.

Adicione ou remova o grupo Todos na aba Segurança de acordo com sua intenção (de permitir ou desabilitar o acesso anônimo a pasta compartilhada).

321233

Habilitando/Desabilitando a conta Convidado

Agora, você precisará habilitar a conta Convidado caso você tenha desativado o compartilhamento protegido por senha, ou desabilitá-la caso você tenha habilitado o compartilhamento protegido por senha.

Para isso, pressione a combinação de teclas <Windows> + <R> para abrir o Executar. Digite mmc e pressione <Enter>.

No menu Arquivo, clique em Adicionar/remover snap-in… 

Em Snap-ins disponíveis, selecione Gerenciamento do computador e clique em Concluir para gerenciar o Computador local. Clique em OK.

Expanda Gerenciamento do computador > Ferramentas do sistema > Usuários e Grupos Locais > Usuários.

Dê botão direito na conta Convidado e selecione Propriedades.

Na caixa Conta desativada, marque ou desmarque a opção correspondente.

2RNIT

Permitir acesso a conta Convidado pela rede

Por padrão, a Política de grupo do Windows não permite o acesso a pastas compartilhadas usando a conta Convidado.

Para editar a Política de grupo local, pressione a combinação de teclas <Windows> + <R> para abrir o Executar, digite gpedit.msc e pressione <ENTER>.

Expanda Configuração do Computador > Configurações do Windows > Configurações de segurança > Diretivas locais > Atribuição de direitos de usuário > Negar acesso a este computador da rederemova a conta “Convidado” da lista.

Na versão Home do Windows, para permitirmos o acesso a conta Convidado a pastas compartilhadas, precisamos usar o utilitário ntrights.exe disponível no Windows Server 2003 Resource Kit. Após o download, execute o instalador e extraia-o para C:\W2k3rktools.

Após a extração, abra o Prompt de Comando como Administrador e use os comandos:

cd “C:\W2k3rktools”
ntrights -r SeDenyNetworkLogonRight -u Convidado

Reinicie o computador para aplicar a nova política.

Habilitando o Compartilhamento de arquivos e impressoras no Firewall

Por padrão, o Windows possuí habilitado o Compartilhamento de arquivos e impressoras para redes domésticas e corporativas.

Para nos certificarmos que o Compartilhamento de arquivos e impressoras está habiltado no Firewall, abra o Painel de Controle > Firewall do Windows.

Na barra lateral esquerda, clique na opção Permitir um programa ou recurso pelo Firewall do Windows.

37

Na lista, certifique que o recurso Compartilhamento de arquivos e impressoras está habilitado e a caixa Doméstica/Corporativa (Privada) também está.

53

Habilitando o Compartilhamento de arquivos e impressoras no adaptador de rede

Precisamos nos certificar que os clientes Cliente para redes Microsoft Compartilhamento de arquivos/impressoras para redes Microsoft estão instalados no adaptador de rede, tanto do Cliente quanto do Servidor.

Para isso, dê botão direito no ícone de rede próximo ao relógio e clique em Abrir a Central de Rede e Compartilhamento.

Em Exibir redes ativas, clique no nome da conexão em Conexões.

Na janela de Status do adaptador, clique no botão Propriedades.

Na lista, certifique-se que os clientes abaixo estão instalados:

33

Removendo credenciais salvas do computador cliente

Historicamente, quando um usuário em um computador Windows tenta acessar um recurso, a requisição é enviada para a Local Security Authority (LSA) que lida com a autenticação, e a LSA encaminha a requisição para um pacote de autenticação. O comportamento padrão de pacotes de autenticação é usar as credenciais do usuário atuais (tanto um ticket Kerberos existente, ou o nome do usuário e senha para conexões NTLM/LM). Porém, no Windows XP e superior, o pacote de autenticação primeiramente verifica o Gerenciador de Credenciais e requisita credenciais para acessar um recurso. Se o Gerenciador de Credenciais possuí uma entrada para o alvo (o servidor que o usuário está tentando acessar), ele proverá as credenciais especificadas para serem usadas pelo pacote de autenticação. Se não há nenhuma entrada para o servidor específico (alvo), o Gerenciador de Credenciais retornará as credenciais atuais (primárias), simulando o comportamento do Windows 2000 e sistemas anteriores. Se a conexão for bem-sucedida, o usuário começará a usar recursos no servidor remoto usando suas credenciais primárias. Porém, se a conexão falhar, o pacote de autenticação informará a LSA, que passará os detalhes para a aplicação cliente. O aplicativo então pedirá que o usuário especifique um conjunto de credenciais diferentes para acessar o recurso, e pode ser apresentado ao usuário a opção de salvar as credenciais no Gerenciador de Credenciais. Dependendo da informação provida pelo usuário, a conexão ao recurso pode ser bem-sucedida, e se o usuário tiver requisitado, as credenciais serão providas ao Gerenciador de Credenciais para armazenamento. Para realizar estas operações, o Gerenciador de Credenciais utiliza um banco de dados de credenciais, armazenado no perfil do usuário. (3) O Gerenciador de Credenciais salva as informações a seguir como parte de cada entrada:

  • Alvo. Este é o nome do servidor, ou domínio DNS, que as credenciais especificadas devem ser usadas. Ele pode ser um nome NetBIOS, um FQDN, ou um nome de domínio. O símbolo de asterisco (*) pode ser utilizado para especificar um domínio DNS e todos seus sub-domínios. É importante notar que credenciais são especificadas por-alvo, independente do protocolo que a aplicação deseja utilizar. O Gerenciador de Credenciais não pode lidar com conexões a um servidor utilizando um conjunto de credenciais para o protocolo CIFS/SMB e um conjunto diferente de credenciais para HTTP, por exemplo.
  • Credenciais de Usuário. Elas podem ser Genéricas (a aplicação irá lidar com as credenciais) ou Credenciais do domínio.

Caso você marcou a caixa Lembrar minhas credenciais durante o acesso ao compartilhamento e tenha usado alguma credencial que não possuí permissões de acesso ao compartilhamento, com uma conta de usuário desabilitada ou que possuía permissão e agora não possuí mais, o Windows continuará insistindo em usar aquela credencial para cada conexão, resultando no erro abaixo:

qodcM

O Windows não pode acessar o compartilhamento. Você não tem permissão para acessar o compartilhamento. Entre em Contato com o Administrador de rede para solicitar permissão de acesso.

Para fazermos o Windows esquecer aquela credencial e pedi-la durante o acesso ao compartilhamento, você precisa:

  1. Abrir o Painel de Controle > Gerenciador de Credenciais
  2. Examine a lista de credenciais em Credenciais do Windows
  3. Clique no botão de seta para baixo ao lado da credencial para exibir detalhes da mesma
  4. Clique Remover do cofre para deletá-la.
  5. Execute o Prompt de Comando como Administrador e digite o comando net use * /DELETE.
    (Isso irá deletar as credenciais para todos os compartilhamentos de rede).

Referências

  1. In Windows 8.1, how to force prompt for credentials when accessing a shared folder? – Super User
  2. Configuring anonymous sharing on a Windows 7 system – A developer’s blog
  3. Mechanics of User Identification and Authentication: Fundamentals of Identity Management – Dobromir Todorov