MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Últimos posts

Categorias

Arquivo

Tags

Limitar acesso ao Windows File Storage no Exchange 2007

Um importante recurso novo no Exchange 2007 foi o acesso pelo OWA ao SharePoint e a pastas compartilhadas.
Porem, uma questão sempre surge: Como limitar quem pode acessar o recurso de File Share?
Na interface grafica não há suporte para isso, mas pelo PowerShell é possivel usar comandos que desabilitem.
Mas há um detalhe interessante. Ao tentar bloquear apenas um recurso todos ficam desabilitados, pois o default deixa os parametros nulos, e ao fazer uma alteração todos ficam em "false".
Para resolver isso e para limitar os usuários segue as duas linhas necessárias:

1 - Desabilita de todos os usuarios o UNC File Share e deixa o restante dos recursos habilitados:
get-mailbox | Set-CASMailbox -OWACalendarEnabled:$true -OWAContactsEnabled:$true -OWATasksEnabled:$true -OWAJournalEnabled:$false -OWANotesEnabled:$true -OWARemindersAndNotificationsEnabled:$true -OWAPremiumClientEnabled:$true -OWASpellCheckerEnabled:$true -OWASearchFoldersEnabled:$true -OWASignaturesEnabled:$true -OWAThemeSelectionEnabled:$true -OWAJunkEmailEnabled:$true -OWAUMIntegrationEnabled:$false -OWAWSSAccessOnPublicComputersEnabled:$false -OWAWSSAccessOnPrivateComputersEnabled:$false -OWAUNCAccessOnPublicComputersEnabled:$false -OWAUNCAccessOnPrivateComputersEnabled:$false -OWAActiveSyncIntegrationEnabled:$false -OWAAllAddressListsEnabled:$true -OWAChangePasswordEnabled:$true -OWARulesEnabled:$true -OWAPublicFoldersEnabled:$true -OWASMimeEnabled:$true -OWARecoverDeletedItemsEnabled:$true


2 - Habilita o UNC File Share de apenas um usuário específico:
get-mailbox | Set-CASMailbox -OWACalendarEnabled:$true -OWAContactsEnabled:$true -OWATasksEnabled:$true -OWAJournalEnabled:$false -OWANotesEnabled:$true -OWARemindersAndNotificationsEnabled:$true -OWAPremiumClientEnabled:$true -OWASpellCheckerEnabled:$true -OWASearchFoldersEnabled:$true -OWASignaturesEnabled:$true -OWAThemeSelectionEnabled:$true -OWAJunkEmailEnabled:$true -OWAUMIntegrationEnabled:$false -OWAWSSAccessOnPublicComputersEnabled:$false -OWAWSSAccessOnPrivateComputersEnabled:$false -OWAUNCAccessOnPublicComputersEnabled:$true -OWAUNCAccessOnPrivateComputersEnabled:$true -OWAActiveSyncIntegrationEnabled:$false -OWAAllAddressListsEnabled:$true -OWAChangePasswordEnabled:$true -OWARulesEnabled:$true -OWAPublicFoldersEnabled:$true -OWASMimeEnabled:$true -OWARecoverDeletedItemsEnabled:$true


É possivel habilitar ou desabilitar qualquer pasta usando este recurso. Note que existem dois comandos, um para "PrivateComputer" e outro para "PublicComputer", o que obviamente tem a ver com o modelo escolhido pelo usuário quando ele faz o logon.

Posted: jul 14 2008, 14:45 by msincic | Comentários (5) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: Exchange Server

Problemas em rede com o Windows 2003 R2

Eu tive diversos problemas em rede com o Windows 2003 R2 ao tentar copiar grandes arquivos para outras maquinas.
Para resolver o problema foi necessário fazer 2 passos, que devem ser feitos e testados individualmente, pois em 4 casos funcionou mas tive um servidor específico que não deu certo e era a placa de rede com defeito.

Este recurso faz o pacote de rede ser escalável, ou seja, o Windows dinamicamente muda o tamanho do pacote conforme o tipo e a constancia do tráfego. Parece muito bom, porem nem todos os SOs e dispositivos de rede tem suporte a este recurso, o que causa o problema da queda de conexão.

Muitas vezes apenas desabilitando o CHIMNEY já resolve o problema.

1) Deslique o recurso CHIMNEY do windows:

Netsh int ip set chimney DISABLED

Este recurso transfere para a placa de rede o processamento dos pacotes, o que libera o SO desta tarega, mas necessita suporte de hardware e dispositivos compativeis.

(Fonte: http://support.microsoft.com/kb/912222/pt-br)

2) Desligue o recurso "Offload TCP_LargeSend" e o "Offload Checksum" na placa de rede.

Estes recursos deveriam manter o tamanho do pacote e manter a conexão mesmo quando ocorre um problema, porem as vezes aparecem aquele "balãozinho" do windows avisando problemas na gravação de dados em rede.

Posted: abr 25 2008, 14:43 by msincic | Comentários (9) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: Windows

URLs no .NET para acesso a sites parent

Um interessante recursos no ASP.NET atual é a vantagem de poder utilizar o "~" como acesso ao diretorio principal de uma aplicação.

Exemplo: ~/Forum/Lista.aspx

Acessa o diretório Forum dentro do raiz da aplicação, mesmo que atualmente eu esteja em outro diretorio. Anteriormente utilizamos o "." ou o ".." mas estes só funcionavam na primeira ou segunda hierarquia e se utilizado no proprio diretorio daria erro.

Posted: abr 15 2008, 14:40 by msincic | Comentários (6) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: .NET
Login
Marcelo de Moraes Sincic | All posts tagged 'e-cpf'
MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Últimos posts

Categorias

Arquivo

Tags

FAQ: Uso de e-CPF ou e-CNPJ para autenticação de aplicações

A algum tempo que atualizo e mantenho atualmente no MSDN um documento de como utilizar certificados digitais na autenticação de clientes (http://msdn.microsoft.com/pt-br/library/ee923720.aspx).

Porem, neste artigo abordamos a autenticação utilizando certificados emitidos pelo próprio cliente com uma CA seja no Windows 2003 ou no Windows 2008 (para as diferentes versões do Windows veja o link http://www.marcelosincic.com.br/blog/page/Artigos-e-Apostilas.aspx.

Recebo semanalmente perguntas e dúvidas sobre como utilizar o e-CNPJ e o e-CPF para fazer a autenticação e resolvi fazer este post em forma de FAQ das principais perguntas que recebo.

1. É necessário ter um certificado de autoridades públicas para autenticar e-CPF ou e-CNPJ?

Resposta: É necessário ter um certificado válido para instalar no seu IIS. Nos artigos acima a raiz certificadora (CA) não é válida na internet e a CRL muitas vezes está em um ambiente interno. Esta característica faz com que o browser não reconheça a CA ou não acesse a CRL e rejeite o certificado com a mensagem de erro devida. Como o browser não validou o certificado do servidor, ele não irá solicitar para o cliente o certificado dele.

2. Este certificado tem que ser emitido por uma certificadora vinculada ao ICP-Brasil (SERASA, CertiSign, CEF e outras) para autenticar e-CPF ou e-CNPJ?

Resposta: Teoricamente não, mas é preferencial. O problema de utilizar uma certificadora não vinculada a raiz do ICP-Brasil é que a autoridade não estará na lista de confiança, e mesmo podendo ser adicionada manualmente (veja questões abaixo) em alguns casos pode ocorrer a leitura parcial do certificado.

3. Eu tenho um e-CPF ou e-CNPJ e o meu servidor é certificado pela ICP-Brasil e mesmo assim não solicita o meu certificado. Porque?

Resposta: Você precisa montar a lista de autoridades certificadoras para que o certificado seja aceito e o motivo é que o ICP-Brasil não é um único emissor nem um único CA (veja questões abaixo). Para montar a lista de certificadoras aceitas verifique no documento do MSDN no inicio do post.

4. Alguns cartões ou tokens são aceitos e outros não, o que está acontecendo?

Resposta: O ICP-Brasil apresenta duas características que podem causar isso. A primeira é que a cadeia dos certificados é, por exemplo, “Autoridade Certificadora Brasileira –> Secretaria da Receita Federal (RFB) –> SERASA” e você irá precisar colocar o primeiro nível como “Autoridades Raiz Confiáveis” e as duas seguintes como “Autoridades Intermediarias Confiáveis” (veja como na continuação das perguntas).
O outro problema é que existem duas “Autoridade Certificadora Brasileira” que é o nome apenas e outras com “v1”. Ou seja, cartões e tokens emitidos antes de 2009 utilizam o certificado da primeira versão e os mais atuais da “v1” que é a mais recente. Portanto você precisará instalar os dois como raízes confiáveis.

5. Mesmo colocando os dois “Autoridade Certificadora Brasileira” na lista de confiáveis o token não aparece. Porque?

Resposta: Não é apenas a raiz que tem variações, mas também os certificados intermediários, que podem ser a “Secretaria da Fazenda”, “Receita Federal”, “SERAZA”, “CertiSign”, etc. Você precisa colocar estes como “Autoridades Intermediárias Certificadoras Confiáveis” (como encontrar todas elas veja perguntas abaixo).

6. Como incluo as raízes e intermediárias do ICP-Brasil no meu servidor?

Resposta: Abra o MMC e adicione o snap-in “Certificados” mas note que não “Usuário” e sim “Computador”. Não basta apenas dar duplo clique no arquivo “cer” para incluir, porque neste caso você estaria incluindo no usuário e não na máquina. Após incluir o snap-in clique com o botão direito nos locais e use a opção “Importar”. Veja na imagem abaixo onde deve ser incluído os certificados raízes “Autoridade Certificadora Brasileira” e os intermediários “Serasa”, “Certisign”, “RFB”, etc:

image

 

7. Onde encontro a lista com todos os certificadores e os certificados emitidos por eles?

Resposta: Utilize este endereço: http://www.iti.gov.br/twiki/bin/view/Certificacao/RepositoriodaACRaiz que contem as informações de todos os certificados existentes tanto as duas raízes quanto suas intermediárias. Note que indica quais os tipos de certificados e no caso do ICP-Brasil são A1 e A3.

8. No Internet Explorer e no Chrome funcionou logo na primeira vez e no Firefox não, o que acontece?

Resposta: O IE e o Chrome já possuem o ICP-Brasil na lista de autoridades, já o Firefox até hoje não implementou (http://br.mozdev.org/drupal/2008/07/icp-brasil-deve-ser-adicionado-ao-firefox) e é necessário fazer manualmente. No post da Mozilla ou no do ITI na pergunta anterior siga as instruções, lembrando que deve ser feito no cliente. Porem, note que o aplicativo do leitor do cartão normalmente tem a opção para fazer essa inclusão de forma automática.

9. Como leio os dados do certificado alem do “subjet” citado no artigo do MSDN?

Resposta: Utilizando o código abaixo é possivel ler os dados em uma aplicação Windows Form, basta converter o “Request.Certificate” que consta no artigo para o tipo X509Certificate2:

System.Security.Cryptography.X509Certificates.X509Store Lista =
    new System.Security.Cryptography.X509Certificates.X509Store();
Lista.Open(System.Security.Cryptography.X509Certificates.OpenFlags.IncludeArchived);
for (int Contador = 0; Contador < Lista.Certificates.Count; Contador++)
{
    System.Security.Cryptography.X509Certificates.X509Certificate2 Certificado = Lista.Certificates[Contador];
    MessageBox.Show(Certificado.ToString());
    string Dados = Certificado.Subject;
    listBox1.Items.Add(Dados);
    if (Dados.IndexOf("e-CPF") > 0 || Dados.IndexOf("e-CNPJ") > 0)
    {
        Dados = Dados.Remove(0, Dados.IndexOf(":") + 1);
        Dados = Dados.Remove(Dados.IndexOf("OU=") - 2);
        listBox1.Items.Add("e-CPF/e-CNPJ = " + Dados);
    }
}

 

Espero ter respondido as principais perguntas, e caso surjam novas vou atualizando este post.

Posted: jun 27 2010, 10:29 by msincic | Comentários (4) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: .NET | IIS | Outros

Artigo no MSDN: Utilizando Certificados Digitais para autenticação de usuários

Foi aprovado a publicação do meu artigo na biblioteca do MSDN: http://msdn.microsoft.com/pt-br/library/ee923720.aspx

Já me deparei muitas vezes com clientes em consultorias inventando formas de autenticar usuários do jeito mais criativo possivel.

Porem, a forma mais segura atualmente de fazer isso é utilizando certificados digitais privados, publicos ou governamentais (como o e-cpf e o e-cnpj).

Tem dúvidas de como fazer?  Eu já havia deixado o artigo publicado para download em minha seção de "Apostilas e Artigos" (http://www.marcelosincic.com.br/blog/page/Artigos-e-Apostilas.aspx), mas agora tambem está disponivel pelo MSDN (link no começo do post).

Posted: fev 23 2010, 22:20 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: .NET

Artigo sobre certificação digital para aplicações web

Já a muito tempo eu havia publicado este artigo para uma revista de informática. Mas agora resolvi disponibilizar ele publicamente.

Muitos conhecem certificados digitais em relação a segurança que ele fornece ao criptografar dados. Porem, já pensou em utilizá-lo para autenticar de forma irrefutável os usuários que acessam o seu site?

Leia o artigo em nossa seção de artigos, clicando aqui.

Posted: abr 14 2009, 11:13 by msincic | Comentários (10) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: .NET | IIS | Windows 2003 | Windows 2008
Login