Acessar este computador pela rede
Descreve as melhores práticas, localização, valores, gerenciamento de política e considerações de segurança da configuração de política de segurança Acessar este computador pela rede.
Referência
A configuração de política Acessar este computador pela rede determina quais usuários podem se conectar ao dispositivo da rede. Esse recurso é exigido por diversos protocolos de rede, incluindo protocolos com base em SMB, NetBIOS, CIFS (Common Internet File System) e COM+ (Component Object Model).
Os usuários, os dispositivos e as contas de serviço obtêm ou perdem o direito de Acessar este computador pela rede ao serem explícita ou implicitamente adicionados ou removidos de um grupo de segurança que tenha recebido esse direito de usuário. Por exemplo, uma conta de usuário ou uma conta de computador pode ser explicitamente adicionada a um grupo de segurança personalizado ou a um grupo de segurança interno por um administrador, ou também pode ser implicitamente adicionada pelo Windows a um grupo de segurança calculado como Usuários do Domínio, Usuários Autenticados ou Controladores de domínio da empresa.
Por padrão, é concedido às contas de usuário e contas de computador o direito de Acessar este computador pela rede quando os grupos computados, como Usuários Autenticados e, em controladores de domínio, o grupo Controladores de Domínio da Empresa, são definidos no Objeto de Política de Grupo dos controladores de domínio padrão.
Constante: SeNetworkLogonRight
Valores possíveis
Lista de contas definida pelo usuário
Não definido
Práticas recomendadas
Em dispositivos desktop ou servidores membros, conceda esse direito somente para usuários e administradores.
Em controladores de domínio, conceda esse direito somente a usuários autenticados, controladores de domínio da empresa e administradores.
Essa configuração inclui o grupo Todos a fim de garantir a compatibilidade com versões anteriores. Após a atualização do Windows, e de você ter confirmado que todos os usuários e grupos foram migrados corretamente, você deve remover o grupo Todos e passar a usar o grupo Usuários Autenticados.
Local
Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário
Valores padrão
A tabela a seguir lista os valores de política padrão reais e efetivos das versões com suporte do Windows mais recentes. Os valores padrão também estão listados na página de propriedades da política.
Tipo de servidor ou GPO | Valor padrão |
---|---|
Política de domínio padrão |
Não definido |
Política do Controlador de Domínio Padrão |
Todos, Administradores, Usuários Autenticados, Controladores de Domínio da Empresa, Acesso compatível anterior ao Windows 2000 |
Configurações padrão de servidor autônomo |
Todos, Administradores, Usuários, Operadores de Backup |
Configurações padrão efetivas do controlador de domínio |
Todos, Administradores, Usuários Autenticados, Controladores de Domínio da Empresa, Acesso compatível anterior ao Windows 2000 |
Configurações padrão efetivas do servidor membro |
Todos, Administradores, Usuários, Operadores de Backup |
Configurações padrão efetivas do computador cliente |
Todos, Administradores, Usuários, Operadores de Backup |
Gerenciamento de políticas
Ao modificar esse direito do usuário, as seguintes ações podem causar problemas de acesso à rede a usuários e serviços:
Remover o grupo de segurança Controladores de Domínio da Empresa
Remover o grupo Usuários Autenticados ou um grupo explícito que permite que os usuários, computadores e contas de serviço o direito de usuário de se conectar a computadores pela rede
Removendo todas as contas de usuário e do computador
Não é necessário reiniciar o dispositivo para que essa configuração de política entre em vigor.
Qualquer alteração na atribuição de direitos de usuário de uma conta entrará em vigor na próxima vez em que o proprietário da conta fizer logon.
Política de Grupo
As configurações serão aplicadas na seguinte ordem por meio de um GPO (Objeto de Política de Grupo), o que substituirá as configurações no computador local na próxima atualização da Política de Grupo:
Configurações de política local
Configurações de política de site
Configurações de política de domínio
Configurações de política de UO
Quando uma configuração local está esmaecida, isso indica que um GPO controla essa configuração no momento.
Considerações sobre a segurança
Esta seção descreve como um invasor pode explorar um recurso ou sua configuração, como implementar a contramedida e as possíveis consequências negativas da implementação de contramedidas.
Vulnerabilidade
Os usuários podem se conectar de seus dispositivos à rede e podem acessar recursos em dispositivos de destino para os quais tenham permissão. Por exemplo, o direito de Acessar este computador pela rede é necessário para os usuários se conectarem a impressoras e pastas compartilhadas. Se esse direito de usuário é atribuído ao grupo Todos, qualquer pessoa no grupo pode ler os arquivos nessas pastas compartilhadas. Essa situação é improvável porque os grupos criados por uma instalação padrão de pelo menos o Windows Server 2008 R2 ou Windows 7 não incluem o grupo Todos. No entanto, se um dispositivo for atualizado e o dispositivo original incluir o grupo Todos como parte de seus usuários e grupos definidos, esse grupo será transmitido como parte do processo de atualização e estará presente no dispositivo.
Contramedida
Restrinja o direito de Acessar este computador pela rede somente aos usuários e grupos que exigem acesso ao computador. Por exemplo, se você definir esta configuração de política para os grupos Administradores e Usuários, os usuários que fizerem logon no domínio podem acessar os recursos que são compartilhados de servidores no domínio se os membros do grupo Usuários do Domínio estiverem incluídos no grupo local Usuários.
Observação
Se você estiver usando IPsec para ajudar a comunicações de rede seguras em sua organização, certifique-se de que um grupo que inclui contas de computador tem esse direito. Esse direito é necessário para que a autenticação do computador seja bem-sucedida. A atribuição desse direito aos Usuários Autenticados ou Computadores do Domínio atende a esse requisito.
Impacto em potencial
Se você remover o direito de Acessar este computador pela rede em controladores de domínio para todos os usuários, ninguém pode fazer logon no domínio ou usar os recursos da rede. Se você remover o direito desse usuário diretamente em servidores membros, os usuários não poderão se conectar a esses servidores através da rede. Se você instalou componentes opcionais, como ASP.NET ou ISS (Serviços de Informações da Internet), talvez seja necessário atribuir esse direito de usuário à contas adicionais que são necessários por esses componentes. É importante verificar que aos usuários autorizados são atribuídos diretamente para os dispositivos que precisam acessar a rede.