Questões de interoperabilidade do Windows 95 e do Windows NT 4.0. RESUMO Os controladores de domínio do Windows Server 2003 implementam configurações de segurança padrão que ajudam a impedir que as comunicações dos controladores de domínio sejam roubadas ou, de algum modo, violadas. Alguns sistemas Windows de nível inferior não atendem aos requisitos de segurança e não podem se comunicar com os controladores de domínio do Windows Server 2003 sem intervenção administrativa. De forma parecida, os sistemas não-Windows que não atendem aos requisitos de segurança não podem se comunicar com os controladores de domínio do Windows Server 2003 por padrão. Os sistemas Windows afetados incluem o Windows for Workgroups, computadores Windows 95 que não têm o DS Client Pack instalado e computadores Windows NT 4.0 anteriores ao Service Pack 4, e dispositivos, incluindo o Pocket PC 2002 e versões anteriores baseadas na arquitetura Windows CE versão 4.1 ou anterior. Os sistemas não-Windows afetados podem incluir os clientes Apple Mac OS X e SAMBA. ASSINATURA SMB Por padrão, os controladores de domínio do Windows Server 2003 requerem que todos os clientes assinem digitalmente as comunicações baseadas em SMB. O protocolo SMB é usado para fornecer compartilhamento de arquivos, compartilhamento de impressoras, várias funções administrativas remotas e autenticação de logon para alguns clientes de nível inferior. Windows for Workgroups, computadores Windows 95 que não têm o DS Client Pack e computadores Windows NT 4.0 anteriores ao Service Pack 3, e dispositivos, incluindo o Pocket PC 2002 e versões anteriores baseadas na arquitetura Windows CE versão 4.1 ou anterior não são capazes de realizar assinaturas SMB e não podem se conectar a controladores de domínio do Windows Server 2003 por padrão. De forma parecida, sistemas não-Windows que implementam o protocolo SMB sem oferecer suporte para a assinatura SMB não poderão se conectar aos controladores de domínio do Windows Server 2003 por padrão. Por exemplo, clientes Apple Mac OS X e SAMBA não oferecem suporte à assinatura SMB. Verifique com o fornecedor do cliente SMB para determinar se há suporte para a assinatura SMB. Se tais clientes não puderem ser atualizados para oferecer suporte à assinatura SMB, a solicitação de assinatura SMB poderá ser removida desabilitando-se a seguinte diretiva de segurança no Objeto de Diretiva de Grupo do controlador de domínio padrão dos controladores de domínio OU: Configuração do Computador\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Servidor de Rede Microsoft: assinar digitalmente a comunicação (sempre) Abaixo são fornecidas instruções detalhadas sobre como modificar essa configuração. Aviso: desabilitar essa configuração de segurança expõe todas as suas comunicações de controladores de domínio a tipos de ataques com interceptação de terceiros. Portanto, é recomendável que você atualize seus clientes em vez de desabilitar a configuração de segurança. O DS Client Pack, necessário aos clientes do Windows 95 para realizar a assinatura SMB, pode ser obtido em \clientes\subdiretório win9x do CD do Windows 2000 Server. ASSINATURA DE CANAL SEGURO Por padrão, os controladores de domínio do Windows Server 2003 requerem que todas as comunicações de canal seguro sejam assinadas ou criptografadas. Os canais seguros são usados pelos computadores baseados no Windows NT para comunicações entre membros de domínio e controladores de domínio, assim como entre controladores de domínio que tenham uma relação de confiança. Os computadores Windows NT 4.0 anteriores ao Service Pack 4 não são capazes de assinar ou criptografar comunicações de canal seguro. Se os computadores Windows NT 4.0 anteriores ao SP4 devem ingressar neste domínio ou este domínio deve confiar em outros domínios com controladores de domínio anteriores ao SP4, então os requisitos de assinatura de canal seguro podem ser removidos desabilitando-se as seguintes diretivas de segurança no Objeto de Diretiva de Grupo do controlador de domínio padrão: Configuração do Computador\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança\Membro de Domínio: criptografar ou assinar digitalmente os dados de canal seguro (sempre) Abaixo são fornecidas instruções detalhadas sobre como modificar essa configuração. Aviso: desabilitar essa configuração de segurança expõe as comunicações de canal seguro a tipos de ataques com interceptação de terceiros. Portanto, é recomendável que você atualize os computadores Windows NT 4.0 em vez de desabilitar a configuração de segurança. MODIFICAR O OBJETO DE DIRETIVA DE GRUPO DO CONTROLADOR DE DOMÍNIO PADRÃO Para garantir que todos os controladores de domínio estejam impondo os mesmos requisitos de assinatura de canal seguro e SMB, defina as configurações de segurança correspondentes no Objeto de Diretiva de Grupo do controlador de domínio padrão da seguinte maneira: 1. Faça logon no computador que tenha o snap-in Usuários e Computadores do Active Directory. 2. Iniciar --> Executar --> DSA.MSC 3. Expanda o domínio que contiver controladores de domínio do Windows Server 2003. 4. Clique com o botão direito do mouse em Controladores de Domínio OU e, em seguida, clique em Propriedades. 5. Clique na guia Diretiva de Grupo, selecione "Diretiva de Controlador de Domínio Padrão" e clique em Editar. 6. Expanda Configuração do Computador, Configurações do Windows, Configurações de Segurança, Diretivas Locais, Opções de Segurança 7. No painel de resultados, clique duas vezes na opção de segurança que você deseja modificar. Por exemplo, Servidor de Rede Microsoft: assinar digitalmente a comunicação (sempre) ou Membro de Domínio: criptografar ou assinar digitalmente os dados de canal seguro (sempre). 8. Marque a caixa "Defina a configuração de diretiva". 9. Desabilite ou habilite a configuração de segurança, conforme o desejado, e selecione OK.