Você está na página 1de 8

Sistemas que alteraram as permisses padro da Lista de controle de acesso no diretrio %windir%\registration podem ter vrios problemas aps

a instal... Pgina 1 de 7

Sistemas que alteraram as permisses padro da Lista de controle de acesso no diretrio %windir%\registration
podem ter vrios problemas aps a instalao do Boletim de segurana da Microsoft MS05- 051 para COM+ e MS
DTC
Nesta pgina
Sintomas
Causa
Resoluo

ID do artigo
: 909444
ltima reviso : segunda- feira, 30 de outubro de 2006
Reviso
: 14.0

Mais Informaes
Etapas para reproduzir o problema

Sintomas
Em um computador executando o Microsoft Windows XP, Microsoft Windows 2000 ou Windows Server 2003, um ou mais problemas podem ocorrer aps a instalao da atualizao crtica
descrita no Boletim de segurana da Microsoft MS05- 051. Esses problemas incluem o seguinte:
O servio do Windows Installer pode no ser iniciado.
O servio do Firewall do Windows pode no ser iniciado.
A pasta de Conexes de rede est vazia.
O site Windows Update pode, incorretamente, aconselhar a alterao da configurao Persistncia de dados do usurio no Microsoft Internet Explorer.
As pginas ASP (Active Server Pages) que esto em execuo no IIS (Servios de informaes da Internet) da Microsoft retornam uma mensagem de erro HTTP 500
servidor .

Erro interno do

O servio EventSystem do Microsoft COM+ no ser iniciado.


Os aplicativos COM+ no sero iniciados.
O n computadores na rvore do MMC (Console de Gerenciamento Microsoft) dos Servios de Componente da Microsoft no expandir.
Os usurios autenticados no podem fazer logon e uma tela em branco aparece aps aplicarem as atualizaes de segurana de outubro.
Em uma configurao de cluster de servidores, o servio de cluster no pode ser iniciado. O seguinte evento registrado no arquivo de log de cluster:
ERR [NM] No foi possvel estabelecer um ponto de conexo com o Gerenciador de conexo de Internet, status 80070005. WARN [NM] No foi possvel inicializar coletor aconselhado do
Gerenciador de conexo de rede, status 80070005 ERR [NM] Falha de inicializao - 2147024891
Um evento semelhante ao seguinte pode ser registrado no log do Sistema:
Identificao do evento: 512
Origem: CryptSvc
Descrio:
Os servios de criptografia no inicializaram o objeto de backup VSS "Gravador do sistema".
Detalhes:
O objeto System Writer falhou ao inscrever- se no VSS.

http://support.microsoft.com/kb/909444/pt-br

12/01/2007

Sistemas que alteraram as permisses padro da Lista de controle de acesso no diretrio %windir%\registration podem ter vrios problemas aps a instal... Pgina 2 de 7

Erro do sistema:
Falha catastrfica
Um erro de acesso negado pode ocorrer ao tentar se conectar ao WMI (Instrumentao de gerenciamento do Windows) usando o script, o utilitrio WBEMTest.exe ou outros utilitrios. O
arquivo %windir%\system32\wbem\logs\wbemprox.log contm erros semelhantes ao seguinte erro no momento da falha:
ConnectViaDCOM, CoCreateInstanceEx resultou em hr = 0x80070005
A seguinte mensagem de erro de catlogo COM+ 1.0 pode ser exibida ao criar um aplicativo COM+ vazio:
XACT_E_RECOVERYINPROGRESS (0x8004d082)

Causa
Este problema pode ocorrer se os aplicativos COM ou COM+ no puderem acessar os arquivos de catlogo COM+. O aplicativo no pode acessar os arquivos de catlogo COM+, porque as
permisses padro no diretrio e nos arquivos de catlogo COM+ tiveram suas configuraes padro alteradas. Antes do Boletim de segurana da Microsoft MS05- 051, as permisses explcitas
para o catlogo COM+ no eram exigidas. Os arquivos de catlogo COM+ so .clb e esto localizados na pasta %windir%\registration. Por padro, o diretrio e os arquivos de catlogo COM+
tm as seguintes permisses:
Administradores

Sistema

Todos

No controlador de domnio do Windows 2000

Controle total

Controle total Leitura

Controlador de domnio do Windows 2000

Controle total

Controle total

No controlador de domnio do Windows Server 2003

Controle total

Controle total Leitura

Controlador de domnio do Windows Server 2003

Controle total

Controle total Ler & Executar

Usurios autenticados Operadores do servidor

Modificar

Ler & Executar

Resoluo
Com base nas alteraes de segurana implementadas no MS05- 051, a permisso do sistema de arquivo NTFS no nvel de Leitura necessria na pasta %windir%\registration. As permisses
padro incluem acesso de Leitura para o grupo Todos. Se esta configurao for alterada, os aplicativos e os servios podero exibir um comportamento inesperado. As organizaes que
escolheram implementar permisses de segurana NTFS mais restritivas devem recomendar a concesso das permisses no nvel de Leitura por meio dos membros do grupo para usurios,
aplicativos e servios que exijam o acesso funcionalidade COM. aconselhvel que as configuraes padro para a pasta sejam usadas para evitar uma possvel compatibilidade de
aplicativo. Extensos testes de compatibilidade de aplicativo so aconselhveis para os administradores que desejam implementar configuraes que sejam diferentes das configuraes padro.
Para obter mais informaes sobre os problemas que podem ocorrer pela modificao das permisses em pastas do sistema, clique no nmero abaixo para ler o artigo na Base de Dados de
Conhecimento Microsoft (a pgina pode estar em ingls):
885409 (http://support.microsoft.com/kb/885409/) Suporte para as diretrizes de configurao de segurana
Alm das permisses NTFS, a permisso Bypass Traversal exigida. Por padro, essa permisso atribuda ao grupo Todos. Conforme indicado nas permisses NFTS, os usurios, os
aplicativos e os servios devem receber essa permisso por meio de associaes de grupo. Para obter mais informaes sobre o direito do usurio Bypass Traversal, clique no nmero abaixo
para ler o artigo na Base de Dados de Conhecimento Microsoft (a pgina pode estar em ingls):
823659 (http://support.microsoft.com/kb/823659/) Incompatibilidades de cliente, de servio e de programa que podem ocorrer ao modificar as configuraes de segurana e as atribuies
dos direitos do usurio
Para resolver este problema, restaure as permisses padro do catlogo COM+.

http://support.microsoft.com/kb/909444/pt-br

12/01/2007

Sistemas que alteraram as permisses padro da Lista de controle de acesso no diretrio %windir%\registration podem ter vrios problemas aps a instal... Pgina 3 de 7

Para um computador executando Windows 2000 ou Windows Server 2003 e, que no est executando como um controlador de domnio, siga as seguintes etapas:
1. Na pasta %windir%/registration, verifique se o grupo Todos tem as permisses de Leitura.
2. Na pasta %windir%/registration, verifique se a conta SYSTEM tem as permisses Controle Total.
3. Na pasta %windir%/registration, verifique se o grupo Administradores tem as permisses Controle Total.
4. Nas propriedades de segurana avanada dos arquivos .clb na pasta %windir%/registration, verifique se a opo Permitir que as entradas de auditoria herdveis do pai sejam
propagadas a este objeto e a todos os objetos filho. Inclu- las nas entradas explicitamente definidas aqui est selecionada.
5. Verifique se o grupo Todos tem uma das seguintes permisses:
Permisses de traverse ( Listar contedo de pastas ) em todos os diretrios pai, incluindo %systemdrive%, %windir% e %windir%\registration
O Bypass traverse verifica o direito do usurio
Para atribuir o Bypass traverse para verificar o direito do usurio para o grupo Todos, execute as seguintes etapas:
1. Clique em Iniciar, em Executar, digite gpedit.msc e clique em OK.
2. Expanda Configurao do computador, expanda Configuraes do Windows, expanda Configuraes de segurana, expanda Diretivas locais e expanda Atribuio de
direitos do usurio.
3. Clique com o boto direito do mouse em Ignorar a verificao completa e clique em Propriedades.
4. Clique em Adicionar usurio ou grupo.
5. Digite Todos e clique em OK.
Observao Se uma mensagem afirmando que um objeto chamado "Usurios" no pode ser encontrado for exibida, clique em Tipos de objetos, marque a caixa de seleo
Grupos e clique em OK duas vezes.
Para um controlador de domnio executando o Windows 2000, execute as seguintes etapas:
1. Na pasta %windir%/registration, verifique se o grupo Usurios autenticados tenha as permisses Ler & Executar.
2. Na pasta %windir%/registration, verifique se o grupo Operadores de servidor tenha as permisses de Modificar.
3. Na pasta %windir%/registration, verifique se a conta SYSTEM tem as permisses Controle Total.
4. Na pasta %windir%/registration, verifique se o grupo Administradores tem as permisses Controle Total.
5. Nas propriedades de segurana avanada dos arquivos .clb na pasta %windir%/registration, verifique se a opo Permitir que permisses herdadas do pai se propaguem para
este objeto esteja selecionada.
Para um controlador de domnio executando o Windows Server 2003, execute as seguintes etapas:
1. Na pasta %windir%/registration, verifique se o grupo Todos tem as permisses de Ler & Executar.
2. Na pasta %windir%/registration, verifique se a conta SYSTEM tem as permisses Controle Total.
3. Na pasta %windir%/registration, verifique se o grupo Administradores tem as permisses Controle Total.
4. Nas propriedades de segurana avanada dos arquivos .clb na pasta %windir%/registration, verifique se a opo Permitir que as entradas de auditoria herdveis do pai sejam
propagadas a este objeto e a todos os objetos filho. Inclu- las nas entradas explicitamente definidas aqui est selecionada.
5. Verifique se o grupo Todos tem uma das seguintes permisses:
Permisses de traverse ( Listar contedo de pastas ) em todos os diretrios pai, incluindo %systemdrive%, %windir% e %windir%\registration
O Bypass traverse verifica o direito do usurio

http://support.microsoft.com/kb/909444/pt-br

12/01/2007

Sistemas que alteraram as permisses padro da Lista de controle de acesso no diretrio %windir%\registration podem ter vrios problemas aps a instal... Pgina 4 de 7

Para atribuir o Bypass traverse para verificar o direito do usurio para o grupo Todos, execute as seguintes etapas:
1. Clique em Iniciar, em Executar, digite gpedit.msc e clique em OK.
2. Expanda Configurao do computador, expanda Configuraes do Windows, expanda Configuraes de segurana, expanda Diretivas locais e expanda Atribuio de
direitos do usurio.
3. Clique com o boto direito do mouse em Ignorar a verificao completa e clique em Propriedades.
4. Clique em Adicionar usurio ou grupo.
5. Digite Todos e clique em OK.
Observao Se uma mensagem afirmando que um objeto chamado "Usurios" no pode ser encontrado for exibida, clique em Tipos de objetos, marque a caixa de seleo
Grupos e clique em OK duas vezes.
Observao O sistema pode criar, posteriormente, arquivos .clb adicionais na pasta %windir%/registration. Para verificar se os novos arquivos .clb tenham as permisses apropriadas,
conceda as permisses de Leitura para todo o diretrio em vez de conced- las apenas para os arquivos .clb que existem no momento. possvel usar o arquivo Cacls.exe para automatizar
estas alteraes de permisso no computador afetado ou para distribuir facilmente as alteraes para vrios computadores.
Para um computador executando o Windows 2000 ou o Windows Server 2003 e que no est em execuo como um controlador de domnio, use os seguintes comandos:
echo y| cacls %windir%\registration /G everyone:R system:F administrators:F echo y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F
Para um controlador de domnio executando o Windows 2000, use os seguintes comandos:
echo y| cacls %windir%\registration /G "Authenticated Users":R "Server Operators":R system:F administrators:F
Para um controlador de domnio executando o Windows 2003, use os seguintes comandos:
echo y| cacls %windir%\registration /G everyone:R system:F administrators:F echo y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F
Observao Verifique se no existe um espao entre o caractere y e o caractere de pipe (|). Se houver um espao entre eles, os comandos no sero executados corretamente.

Mais Informaes
Quando este problema ocorre, um ou mais dos seguintes eventos podem ser exibidos no log de eventos:
O seguinte evento EventSystem pode ser registrado no log de eventos, se a conta Servio de rede no tiver as permisses corretas:
Tipo de evento: Erro
Origem do evento: EventSystem
Categoria: (50)
Identificao do evento: 4609
Data: <Data>
Hora: <Hora>
Usurio: N/A
Computador: Servidor
Descrio: O Sistema de Eventos COM+ detectou um cdigo de retorno incorreto durante o processamento interno. HRESULT era 80070005 da linha xx de
d:\qxp_slp\com\com1x\src\events\tier1\eventsystemobj.cpp. Contate o Atendimento Microsoft para relatar este erro.
O seguinte evento COM+ pode ser registrado no log de eventos se a conta Servio de rede no tiver as permisses corretas:
Tipo de evento: Informaes

http://support.microsoft.com/kb/909444/pt-br

12/01/2007

Sistemas que alteraram as permisses padro da Lista de controle de acesso no diretrio %windir%\registration podem ter vrios problemas aps a instal... Pgina 5 de 7

Origem do evento: COM+


Categoria: (117)
Identificao do evento: 778
Data: <Data>
Hora: <Hora>
Usurio: N/A
Computador: Servidor
Descrio: Falha ao despejar imagem do aplicativo.
Identificao do aplicativo para servidor: <GUID>
Identificao de instncia de aplicativo do servidor: <GUID>
Nome do aplicativo para servidor: COM+ Explorer
Cdigo de erro = 0x80004005: Erro no especificado
Informaes internas de servios COM+: Arquivo: d:\qxp_slp\com\com1x\src\shared\util\svcerr.cpp, linha: 1259 verso do arquivo Comsvcs.dll: ENU 2001.12.4414.308 shp
Para obter mais informaes, consulte o Centro de Ajuda e Suporte em http://support.microsoft.com.
O seguinte evento COM+ pode ser registrado no log de eventos se a conta Servio de rede no tiver as permisses corretas:
Tipo de evento: Erro
Origem do evento: COM+
Categoria: Desconhecido
Identificao do evento: 4689
Data: <Data>
Hora: <Hora>
Usurio: N/A
Computador: Servidor
Descrio: O ambiente de tempo de execuo detectou uma inconsistncia no estado interno. Isso indica uma possvel instabilidade no processo que pode ter sido causada por
componentes personalizados em execuo no aplicativo COM+, componentes, dos quais fizeram uso ou outros fatores. Erro em
d:\qxp_slp\com\com1x\src\comsvcs\package\cpackage.cpp(1184), hr = 80070005: falha no InitEventCollector
Para obter mais informaes, consulte o Centro de Ajuda e Suporte em http://support.microsoft.com.
Quando voc tenta navegar em uma pgina ASP em execuo em um servio IIS e a opo Mostrar mensagens de erro http amigveis no est selecionada no Internet Explorer, a
seguinte mensagem de erro pode ser exibida:
Erro no aplicativo do servidor.
O servidor encontrou um erro ao carregar um aplicativo durante o processamento de sua solicitao. Consulte o log de eventos para obter informaes mais
detalhadas. Contate o administrador do servidor para obter assistncia.
HTTP 500 - Erro interno do servidor Internet Explorer

Um evento semelhante ao seguinte tambm pode ser registrado no log de eventos:


Tipo de evento: Erro
Origem do evento: DCOM
Categoria: Nenhuma
Identificao do evento: 10010
Data: <Data>

http://support.microsoft.com/kb/909444/pt-br

12/01/2007

Sistemas que alteraram as permisses padro da Lista de controle de acesso no diretrio %windir%\registration podem ter vrios problemas aps a instal... Pgina 6 de 7

Hora: <Hora>
Usurio: NT AUTHORITY\SYSTEM
Computador: Servidor
Descrio: O servidor <GUID> no se registrou com o DCOM dentro do tempo limite requerido.
Ao tentar iniciar manualmente os aplicativos COM+ nos Servios de componente, a seguinte mensagem de erro pode ser exibida:
Erro de catlogo: Erro ao processar a ltima operao. Cdigo de erro 80080005 - Falha na execuo do servidor. Talvez o log de eventos contenha
informaes adicionais de resoluo de problemas.
Um evento semelhante ao seguinte tambm pode ser registrado no log de eventos:
Tipo de evento: Erro
Origem do evento: DCOM
Categoria: Nenhuma
Identificao do evento: 10010
Data: <Data>
Hora: <Hora>
Usurio: NT AUTHORITY\SYSTEM
Computador: Servidor
Descrio: O servidor <GUID> no se registrou com o DCOM dentro do tempo limite requerido.
Tipo de evento: Aviso
Origem do evento: W3SVC
Categoria: Nenhuma
Identificao do evento: 36
Data: <Data>
Hora: <Hora>
Usurio: N/A
Computador: Servidor
Descrio: O servidor no pde carregar o aplicativo '/LM/W3SVC/1/ROOT'. Erro: "Falha na execuo do servidor".
Para obter informaes adicionais especficas a esta mensagem, visite o seguinte site do Suporte online da Microsoft, localizado em: http://search.support.microsoft.com/search/?
adv=1.
Para obter mais informaes, consulte o Centro de Ajuda e Suporte em http://support.microsoft.com.
Ao tentar instalar um aplicativo ou iniciar manualmente o servio do Windows Installer, a seguinte mensagem de erro pode ser exibida:
No foi possvel acessar o servio do Windows Installer. Isso pode ocorrer se voc estiver executando o Windows no modo de segurana ou se o Windows
Installer no estiver corretamente instalado. Contate a equipe de suporte tcnico para obter ajuda.
O servio Firewall do Windows pode no iniciar com o seguinte cdigo de erro:
Resultado do erro: 0x80070005 ( - 2147024891 ) Identificao definida como: E_ACCESSDENIED Texto da mensagem: Acesso negado.

Etapas para reproduzir o problema


Remova a conta do sistema e a conta Todos, das permisses de arquivo para os arquivos *.clb. Para fazer isto, execute as seguintes etapas:

http://support.microsoft.com/kb/909444/pt-br

12/01/2007

Sistemas que alteraram as permisses padro da Lista de controle de acesso no diretrio %windir%\registration podem ter vrios problemas aps a instal... Pgina 7 de 7

1. Clique em Iniciar, em Executar, digite Explorer.exe c:\winnt\registration e clique em OK.


2. No Windows Explorer, clique com o boto direito do mouse em Propriedades e clique na guia Segurana.
3. Na caixa de dilogo Propriedades de registro, clique em SYSTEM em Nomes de grupo ou do usurio e em Avanado.
4. Na caixa de dilogo Configuraes de segurana avanadas para registro, clique em Remover e em OK.
5. Repita as etapas 3 e 4 para interromper o acesso da conta Todos aos arquivos .clb.

A informao contida neste artigo aplica- se a:


Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows XP Professional Edition
Microsoft Windows XP Professional Edition
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Professional Edition
Microsoft Windows 2000 Service Pack 4

Palavras- chave: kbtshoot kbprb KB909444

2007 Microsoft Corporation. Todos os direitos reservados.

http://support.microsoft.com/kb/909444/pt-br

12/01/2007

This document was created with Win2PDF available at http://www.daneprairie.com.


The unregistered version of Win2PDF is for evaluation or non-commercial use only.