Autor: Josué Yen Revisão Técnica: Daniel Mauser

Introdução

Há algumas semanas atrás eu trabalhei em um chamado muito curioso onde em um ambiente com mais de 50.000 computadores Windows 7 e todos os usuários membros do Power Users, alguns conseguiam compartilhar pastas e outros não.

Ao compartilhar uma pasta os usuários conseguiam configurar as permissões NTFS e de compartilhamento, mas ao clicar em OK para finalizar o processo o erro abaixo era apresentado:

image

O mesmo usuário em outro computador conseguia compartilhar as pastas sem problemas.

Modificações no grupo Power Users

Até o Windows XP membros do Power Users tinham direitos especiais sobre o computador, que não chegavam a ser um Administrador, mas conseguiam realizar muitas alterações no sistema operacional. Porém esses direitos especiais abriam uma brecha de segurança nos computadores onde membros desse grupo conseguiam “se promover” Administradores do computador conforme apontado pelo artigo “Um membro do grupo Usuários avançados pode ganhar direitos e permissões de administrador no Windows Server 2003, no Windows 2000 ou no Windows XP”

Com isso a partir do Windows Vista as permissões deste grupo foi retirado, porém a sua existência foi mantida por compatibilidade, mas o direito de compartilhar pastas foi mantido. Mas qual a relação disso com o compartilhamento de pastas?

O processo de compartilhar uma pasta

Quando o usuário clica em OK para compartilhar uma pasta, uma série de alterações no computador são feitos. Além de alterar as permissões NTFS e de compartilhamento, o serviço SERVER do computador, usando as credenciais do usuário, verifica as regras do Windows Firewall pelas regras de compartilhamento de arquivos e impressoras para que outros usuários consigam acessar os compartilhamentos. Se as regras de entradas já estão habilitadas o compartilhamento é realizado e o processo finaliza com sucesso, mas se as regras estão desativadas o serviço SERVER tenta habilitá-las e aí entra a questão do Power Users.

Como os membros deste grupo “perderam” seus direitos eles não conseguem mais alterar regras do Firewall. Com isso o processo recebe um Acesso Negado do Sistema, o compartilhamento de pastas falha e a mensagem de erro acima aparece.

Para resolução deste problema, basta se logar no computador usando uma conta membro de Administradores do computador, abrir a console do Windows Firewall e habilitar as regras de entrada para o compartilhamento de arquivos e impressoras nas configurações avançadas do Firewall.

clip_image002

Essas regras de Firewall podem ser habilitadas através da linha de comando elevado abaixo:

netsh advfirewall firewall set rule group="Compartilhamento de arquivo e impressora" new enable=yes

Vale lembrar também que mesmo com o Firewall desabilitado para os perfis de rede o serviço SERVER também tenta habilitar as regras do Firewall isso ocorre pois a Engine do Firewall continua ativa nestes casos e consequentemente as suas regras. A única diferença é que as interfaces de rede não serão filtradas com o firewall desabilitado.

Conclusão

Por mais incrível que pareça, a solução do problema acima estava em um componente que não parecia ter muita relação com o compartilhamento de pastas. Para que pudéssemos encontrar essa solução foi necessário a captura de um Dump da memória do computador durante a reprodução do problema onde pudemos identificar as instruções usadas durante o processo de compartilhamento de pastas e com isso encontrar onde estavam ocorrendo os erros de acesso negado.