Manglende klient-, tjeneste- og programkompatibilitet, når du redigerer sikkerhedsindstillinger og brugerrettigheder

Oversættelser af artikler Oversættelser af artikler
Artikel-id: 823659 - Få vist de produkter, som denne artikel refererer til.
Udvid alle | Skjul alle

På denne side

Sammenfatning

I denne artikel beskrives manglende kompatibilitet, der kan opstå på klientcomputere, som kører Microsoft Windows 95, Microsoft Windows 98, Microsoft Windows NT 4.0, Microsoft Windows 2000, Microsoft Windows XP Professional eller Microsoft Windows Server 2003, når du redigerer bestemte sikkerhedsindstillinger og brugerrettigheder på Windows NT 4.0-domæner, på Windows 2000-domæner og på Windows Server 2003-domæner.

Ved at konfigurere disse indstillinger og rettigheder i lokale politikker og i gruppepolitikker kan du øge sikkerheden på domænecontrollere og på medlemscomputere. Ulempen ved øget sikkerhed er den manglende kompatibilitet med klienter, tjenester og programmer.

Hvis du vil undgå fejlkonfigurerede sikkerhedsindstillinger, skal du bruge Editor til gruppepolitikobjekter til at redigere sikkerhedsindstillinger. Når du bruger Editor til gruppepolitikobjekter, udvides brugerrettighederne på følgende operativsystemer:
  • Microsoft Windows XP Professional SP2 (Service Pack 2)
  • Microsoft Windows Server 2003 SP1 (Service Pack 1)
Udvidelsen omfatter en dialogboks, der indeholder et link til denne artikel, som dukker op, når du ændrer en sikkerhedsindstilling eller en brugerrettighed til en indstilling, der medfører mindre kompatibilitet, eller som er mere restriktiv. Hvis du ændrer samme sikkerhedsindstilling eller brugerrettighed direkte ved hjælp af registreringsdatabasen eller ved hjælp af sikkerhedsskabeloner, svarer det til at redigere indstillingen i Editor til gruppepolitikobjekter, men den dialogboks, der indeholder linket til denne artikel, vises ikke.

Denne artikel indeholder eksempler på klienter, programmer og handlinger, der påvirkes af bestemte sikkerhedsindstillinger og brugerrettigheder. Eksemplerne gælder dog ikke for alle Microsoft-operativsystemer, for alle tredjepartsoperativsystemer eller for alle programversioner, der påvirkes. Det er ikke alle sikkerhedsindstillinger og brugerrettigheder, der beskrives i denne artikel.

Microsoft anbefaler, at du validerer kompatibiliteten for alle konfigurationsændringer, der vedrører sikkerhed, i et testområde, før du implementerer dem i et produktionsmiljø. Testområdet skal afspejle produktionsområdet på følgende måder:
  • Versioner af klient- og serveroperativsystemer, klient- og serverprogrammer, service pack-versioner, programrettelser, skemaændringer, sikkerhedsgrupper, gruppemedlemskab, tilladelser til objekter i filsystemet, delte mapper, registreringsdatabasen, Active Directory-katalogtjenesten, lokale indstillinger og gruppepolitikindstillinger samt objekttype og -placering
  • Administrative opgaver, der udføres, administrative værktøjer, der bruges, og operativsystemer, der bruges til at udføre administrative opgaver
  • Handlinger, der udføres, herunder godkendelse af computer- og brugerlogon; adgangskoder, der nulstilles af brugere, computere og administratorer; søgning; angivelse af tilladelser til filsystemet, delte mapper, registreringsdatabasen og Active Directory-ressourcer ved hjælp af ACL-editoren på alle klientoperativsystemer på alle konto- eller ressourcedomæner fra alle klientoperativsystemer fra alle konto- eller ressourcedomæner; udskrivning fra administrative og ikke-administrative konti

Windows Server 2003 SP1

Advarsler i Gpedit.msc

Med henblik på at gøre kunder opmærksom på, at de redigerer en brugerrettighed eller sikkerhedsindstilling, der kan have en negativ effekt på netværket, er der føjet to advarselsmekanismer til gpedit.msc. Når administratorer redigerer en brugerrettighed, der kan have en negativ effekt på hele virksomheden, vises der et nyt ikon, som ligner et overgivelsestegn. De modtager også en advarsel, der indeholder et link til Microsoft Knowledge Base-artikel 823659. Teksten i denne meddelelse er som følger:
Redigering af denne indstilling kan påvirke kompatibiliteten med klienter, tjenester og programmer. Du kan finde flere oplysninger under <brugerrettighed eller sikkerhedsindstilling, der redigeres> (Q823659)
Hvis du er blevet omdirigeret til denne Knowledge Base-artikel fra et link i GPEDIT.MSC, skal du være sikker på, at du forstår den viste forklaring, og hvad der kan ske, hvis du redigerer denne indstilling. Nedenfor vises en liste over brugerrettigheder, der indeholder den nye advarselstekst:
  • Få adgang til denne computer fra netværket
  • Logge på lokalt
  • Spring krydstjek over
  • Aktivere computere og brugere, der er udvist tillid for delegering for
Nedenfor vises en liste over sikkerhedsindstillinger, der har advarslen og en pop-up-tekst:
  • Domænemedlem: Krypter eller signer altid data til sikre kanaler digitalt
  • Domænemedlem: Kræv stærk sessionsnøgle (Windows 2000 eller nyere)
  • Domænecontroller: Signeringskrav til LDAP-server
  • Microsoft-netværksserver: Signer kommunikation digitalt (altid)
  • Netværksadgang: Tillad anonym oversættelse af SID/navn
  • Netværksadgang: Tillad ikke anonyme optællinger af SAM-konti og -shares
  • Netværkssikkerhed: LAN Manager-godkendelsessniveau
  • Overvågning: Luk systemet omgående, hvis sikkerhedsovervågninger ikke kan logføres
  • Netværksadgang: Signeringskrav til LDAP-klient

Yderligere Information

I følgende afsnit beskrives manglende kompatibilitet, der kan indtræffe, når du redigerer bestemte indstillinger på Windows NT 4.0-domæner, Windows 2000-domæner og Windows Server 2003-domæner.

Brugerrettigheder

  1. Få adgang til denne computer fra netværket
    1. Baggrund

      Muligheden for at arbejde sammen med Windows-fjerncomputere forudsætter brugerrettigheden Få adgang til denne computer fra netværket. Af eksempler på sådanne netværkshandlinger kan nævnes replikering af Active Directory mellem domænecontrollere på et fælles domæne eller område, godkendelse af anmodninger til domænecontrollere fra brugere og fra computere og adgang til delte mapper, til printere og til andre systemtjenester, der findes på fjerncomputere på netværket.

      Brugere, computere og tjenestekonti får tildelt eller mister brugerrettigheden Få adgang til denne computer fra netværket, hvis de eksplicit eller implicit føjes til eller fjernes fra en sikkerhedsgruppe, der er tildelt denne brugerrettighed. En brugerkonto eller en computerkonto kan f.eks. føjes til en brugerdefineret eller indbygget sikkerhedsgruppe af en administrator, eller de kan implicit føjes til en beregnet sikkerhedsgruppe af operativsystemet, f.eks. Domænebrugere, Godkendte brugere eller Domænecontrollere i virksomheden.

      Brugerkonti og computerkonti tildeles som standard brugerrettigheden Få adgang til denne computer fra netværket, når der er defineret beregnede grupper, f.eks. Alle eller helst Godkendte brugere og gruppen Domænecontrollere i virksomheden for domænecontrollere, i gruppepolitikobjektet fra standarddomænecontrollere.
    2. Ustabile konfigurationer

      Følgende konfigurationsindstillinger er skadelige:
      • Fjernelse af sikkerhedsgruppen Domænecontrollere i virksomheden fra denne brugerrettighed
      • Fjernelse af gruppen Godkendte brugere eller en udtrykkelige gruppe, der giver brugere, computere og tjenestekonti brugerrettighed til at oprette forbindelse til computere via netværket
      • Fjernelse af alle brugere og computere fra denne brugerrettighed
    3. Årsager til at tildele denne brugerrettighed
      • Hvis gruppen Domænecontrollere i virksomheden tildeles brugerrettigheden Få adgang til denne computer fra netværket, overholdes de godkendelseskrav, som Active Directory-replikering skal have for at udføre replikering mellem domænecontrollere i samme område.
      • Denne brugerrettighed giver brugere og computere adgang til delte filer, printere og systemtjenester, herunder Active Directory.
      • Denne brugerrettighed kræves, hvis brugere vil have adgang til e-mail ved hjælp af tidligere versioner af Microsoft OWA (Outlook Web Access).
    4. Årsager til at fjerne denne brugerrettighed
      • Brugere, der kan oprette forbindelse mellem computeren og netværket, har adgang til ressourcer på fjerncomputere, de har tilladelser til. Denne brugerrettighed kræves f.eks., hvis en bruger vil oprette forbindelse til delte printere og til mapper. Hvis denne brugerrettighed tildeles til gruppen Alle, og hvis visse delte mapper både har konfigureret tilladelser til delte mapper og NTFS-filsystemet, så samme gruppe har læseadgang, kan alle se filer i de pågældende delte mapper. Det er dog en usandsynlig situation for nye installationer af Windows Server 2003, fordi standardtilladelser til delte mapper og NTFS i Windows Server 2003 ikke omfatter gruppen Alle. På systemer, der er opgraderet fra Microsoft Windows NT 4.0 eller Windows 2000, kan denne sårbarhed udgøre en større risiko, fordi standardtilladelser til delte mapper og filsystemet på disse operativsystemer ikke er lige så restriktive som standardtilladelserne i Windows Server 2003.
      • Der er ingen grund til at fjerne gruppen Domænecontrollere i virksomheden fra denne brugerrettighed.
      • Gruppen Alle fjernes som regel til fordel for gruppen Godkendte brugere. Hvis gruppen Alle fjernes, skal gruppen Godkendte brugere tildeles denne brugerrettighed.
      • Windows NT 4.0-domæner, der er opgraderet til Windows 2000, tildeler ikke eksplicit gruppen Alle, Godkendte brugere eller Domænecontrollere i virksomheden brugerrettigheden Få adgang til denne computer fra netværket. Så når du fjerner gruppen Alle fra Windows NT 4.0-domænepolitikken, lykkes det ikke at udføre Active Directory-replikering, og du modtager fejlmeddelelsen Adgang nægtet, når du har opgraderet til Windows 2000. Winnt32.exe i Windows Server 2003 undgår denne forkerte konfiguration ved at tildele denne brugerrettighed til gruppen Domænecontrollere i virksomheden, når du opgraderer de primære Windows NT 4.0-domænecontrollere. Tildel gruppen Domænecontrollere i virksomheden denne brugerrettighed, hvis den ikke findes i Editor til gruppepolitikobjekter.
    5. Eksempler på kompatibilitetsproblemer
      • Windows 2000 og Windows Server 2003: Det er ikke muligt at replikere Active Directory-skemaet, konfigurationen, domænet, det globale katalog eller programpartitioner, og du får vist en fejlmeddelelse af typen "Adgang nægtet", som rapporteres af overvågningsværktøjer, f.eks. REPLMON og REPADMIN eller replikeringshændelser i hændelseslogfilen.
      • Alle Microsoft-netværksoperativsystemer: Det er ikke muligt at godkende brugerkonti fra netværkets fjernklientcomputere, medmindre brugeren eller en sikkerhedsgruppe, som brugeren er medlem af, er tildelt denne brugerrettighed.
      • Alle Microsoft-netværksoperativsystemer: Det er ikke muligt at godkende brugerkonti fra netværkets fjernklienter, medmindre kontoen eller en sikkerhedsgruppe, som kontoen er medlem af, er tildelt denne brugerrettighed. Dette scenario gælder for brugerkonti, computerkonti og tjenestekonti.
      • Alle Microsoft-netværksoperativsystemer: Hvis alle konti fjernes fra denne brugerrettighed, kan kontiene ikke logge på domænet eller få adgang til netværksressourcer. Hvis beregnede grupper, f.eks. Domænecontrollere i virksomheden, Alle eller Godkendte brugere, fjernes, skal du udtrykkeligt tildele denne brugerrettighed til konti eller sikkerhedsgrupper, som kontoen er medlem af, for at få adgang til fjerncomputere via netværket. Dette scenario gælder for alle brugerkonti, alle computerkonti og alle tjenestekonti.
      • Alle Microsoft-netværksoperativsystemer: Den lokale administratorkonto bruger en "tom" adgangskode. Administratorkonti kan ikke oprette forbindelse til et netværk med tomme adgangskoder i et domænemiljø. Med denne konfiguration kan du forvente at modtage fejlmeddelelsen Adgang nægtet.
  2. Tillad lokalt logon
    1. Baggrund

      Brugere, der forsøger at logge på ved konsollen på en Microsoft Windows-baseret computer (ved hjælp af tastesekvensen for logon CTRL + ALT + DELETE), og konti, der forsøger at starte en tjeneste, skal have lokale logonrettigheder på værtscomputeren. Af eksempler på lokale logonhandlinger kan nævnes administratorer, der logger på konsollerne på medlemscomputere, eller domænecontrollere i hele virksomheden og domænebrugere, der logger på medlemscomputere for at få adgang til skrivebordet ved hjælp af konti uden rettigheder. Brugere, der anvender en forbindelse via Fjernskrivebord eller Terminal Services, skal have brugerrettigheden Tillad lokalt logon på destinationscomputere, der kører Windows 2000 eller Windows XP, fordi disse logontilstande opfattes som lokale for værtscomputeren. Brugere, der logger på en server, hvor Terminal Server er aktiveret, og som ikke har denne brugerrettighed, kan stadig starte en interaktiv fjernsession på Windows Server 2003-domæner, hvis de har brugerrettigheden Tillad logon gennem Terminal Services.
    2. Ustabile konfigurationer

      Følgende konfigurationsindstillinger er skadelige:
      • Fjernelse af administrative sikkerhedsgrupper, herunder kontooperatører, backupoperatører, udskriftsoperatører eller serveroperatører og den indbyggede administratorgruppe fra standardpolitikken for domænecontrollere.
      • Fjernelse af tjenestekonti, der bruges af komponenter og af programmer på medlemscomputere og på domænecontrollere på domænet fra standardpolitikken for domænecontrollere.
      • Fjernelse af brugere eller sikkerhedsgrupper, der logger på konsollen på medlemscomputere på domænet.
      • Fjernelse af tjenestekonti, der er defineret i den lokale SAM-database (Security Accounts Manager) på medlemscomputere eller arbejdsgruppecomputere.
      • Fjernelse af ikke-indbyggede administrative konti, der godkender via Terminal Services, som kører på en domænecontroller.
      • Eksplicit eller implicit tilføjelse af alle brugerkonti på domænet via gruppen Alle til logonrettigheden Afvis lokalt logon Denne konfiguration forhindrer brugere i at logge på medlemscomputere eller på domænecontrollere på domænet.
    3. Årsager til at tildele denne brugerrettighed
      • Brugere skal være tildelt brugerrettigheden Tillad lokalt logon for at få adgang til konsollen eller skrivebordet på en arbejdsgruppecomputer, en medlemscomputer eller en domænecontroller.
      • Brugere skal have denne rettighed for at logge på via en Terminal Services-session, der kører på en Windows 2000-baseret medlemscomputer eller domænecontroller.
    4. Årsager til at fjerne denne brugerrettighed
      • Hvis adgang til konsollen ikke begrænses til gyldige brugerkonti, kan det medføre, at uautoriserede brugere henter og kører skadelig programkode for at ændre deres brugerrettigheder.
      • Fjernelse af brugerrettigheden Tillad lokalt logon forhindrer uautoriserede brugere i at logge på konsoller på computere, f.eks. domænecontrollere eller programservere.
      • Hvis denne logonrettighed fjernes, kan konti, der ikke er medlem af domænet, ikke logge på ved konsollen på medlemscomputere på domænet.
    5. Eksempler på kompatibilitetsproblemer
      • Windows 2000-terminalservere: Brugerrettigheden Tillad lokalt logon er en forudsætning for, at brugere kan logge på Windows 2000-terminalservere.
      • Windows NT 4.0, Windows 2000, Windows XP eller Windows Server 2003: Brugerkonti skal tildeles denne brugerrettighed for at kunne logge på ved konsollen på computere, der kører Windows NT 4.0, Windows 2000, Windows XP eller Windows Server 2003.
      • Windows NT 4.0 og nyere: Du kan tilføje brugerrettigheden Tillad lokalt logon på computere, der kører Windows NT 4.0 og nyere, men hvis du samtidig tildeler logonrettigheden Afvis lokalt logon, kan kontiene ikke logge på konsollen på domænecontrollerne.
  3. Spring krydstjek over
    1. Baggrund

      Brugerrettigheden Spring krydstjek over giver brugere tilladelse til at gennemse mapper i NTFS-filsystemet eller i registreringsdatabasen, uden at det undersøges, om den særlige adgangsrettighed Gennemgang af mappe er tildelt. Brugerrettigheden Spring krydstjek over giver ikke brugeren tilladelse til at få vist indholdet af en mappe. Den giver kun brugeren tilladelse til at gennemse mapperne.
    2. Ustabile konfigurationer

      Følgende konfigurationsindstillinger er skadelige:
      • Fjernelse af ikke-administrative konti, der logger på Windows 2000-baserede eller Windows Server 2003-baserede Terminal Services-computere, som ikke har adgang til filer og mapper i filsystemet.
      • Fjernelse af gruppen Alle fra listen over sikkerhedskonti, der som standard har denne brugerrettighed. Windows-operativsystemerne og mange programmer bygger på den antagelse, at alle, der har en gyldig adgang til computeren, har brugerrettigheden Spring krydstjek over. Så hvis gruppen Alle fjernes fra listen over sikkerhedskonti, der som standard har denne brugerrettighed, kan det medføre, at operativsystemet bliver ustabilt, og at der opstår programfejl. Det anbefales, at denne indstilling angives til standardindstillingen.
    3. Årsager til at tildele denne brugerrettighed

      Standardindstillingen for brugerrettigheden Spring krydstjek over er at tillade, at alle springer krydstjek over. For erfarne Windows-systemadministratorer er det den forventede funktionsmåde, og de konfigurerer filsystemets adgangskontrolliste i overensstemmelse hermed. Det eneste scenario, hvor standardkonfigurationen kan medføre en uventet funktionsmåde, er hvis den administrator, der konfigurerer tilladelser, ikke forstår funktionsmåden og forventer, at brugere, der ikke har adgang til en overordnet mappe, ikke har adgang til indholdet af underordnede mapper.
    4. Årsager til at fjerne denne brugerrettighed

      Organisationer, der går meget op i sikkerhed, kan være fristet til at forsøge at forhindre adgang til filerne eller mapperne i filsystemet ved at fjerne gruppen Alle eller måske endda gruppen Brugere fra listen over grupper, der har brugerrettigheden Spring krydstjek over.
    5. Eksempler på kompatibilitetsproblemer
      • Windows 2000 og Windows Server 2003: Hvis brugerrettigheden Spring krydstjek over fjernes eller konfigureres forkert på computere, der kører Windows 2000 eller Windows Server 2003, replikeres indstillingerne for gruppepolitik i mappen SYVOL ikke mellem domænecontrollere i domænet.
      • Windows 2000, Windows XP Professional og Windows Server 2003: På computere, der kører Windows 2000, Windows XP Professional eller Windows Server 2003, logføres hændelserne 1000 og 1202, og der kan ikke anvendes computerpolitik og brugerpolitik, når de nødvendige tilladelser til filsystemet fjernes fra SYSVOL-træet, hvis brugerrettigheden Spring krydstjek over fjernes eller konfigureres forkert.

        Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        290647 Hændelses-id'et 1000, 1001 logføres hvert femte minut i programmets hændelseslogfil. Artiklen er evt. på engelsk.
      • Windows 2000 og Windows Server 2003: Fanen Kvote i Windows Stifinder forsvinder på computere, der kører Windows 2000 eller Windows Server 2003, når du får vist egenskaber på en diskenhed.
      • Windows 2000: Brugere uden administratorrettigheder, der logger på en Windows 2000-terminalserver, får muligvis vist følgende fejlmeddelelse:
        Programfejl Userinit.exe. Det lykkedes ikke at initialisere programmet korrekt (0xc0000142). Klik på OK for at afslutte programmet.
        Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        272142 Brugere logges automatisk af, når de forsøger at logge på Terminal Services. Artiklen er evt. på engelsk.
      • Windows NT 4.0, Windows 2000, Windows XP eller Windows Server 2003: Brugere, der har en computer, som kører Windows NT 4.0, Windows 2000, Windows XP eller Windows Server 2003, har muligvis ikke adgang til delte mapper eller til filer i delte mapper, og de får muligvis vist fejlmeddelelsen Adgang nægtet, hvis de ikke tildeles brugerrettigheden Spring krydstjek over.

        Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        277644 Fejlmeddelelsen Adgang nægtet, når brugere forsøger at få adgang til delte mapper. Artiklen er evt. på engelsk.
      • Windows NT 4.0: Hvis du fjerner brugerrettigheden Spring krydstjek over på Windows NT 4.0-baserede computere, mistes der filstreams, når en fil kopieres. Hvis du fjerner denne brugerrettighed, og du kopierer en fil fra en Windows-klient eller fra en Macintosh-klient til en Windows NT 4-domænecontroller, der kører Serviceprogrammer til Macintosh, mistes destinationsfil-streamen, og filen vises som en tekstfil.

        Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        172930 Hvis du fjerner Spring krydstjek over, mistes streams, når en fil kopieres. Artiklen er evt. på engelsk.
      • Microsoft Windows 95 og Microsoft Windows 98: Kommandoen net use * /home kan ikke udføres på en klientcomputer, der kører Windows 95 eller Windows 98, og der vises en fejlmeddelelse af typen "Adgang nægtet", hvis gruppen Godkendte brugere ikke er tildelt brugerrettigheden Spring krydstjek over.
      • Outlook Web Access: Brugere uden administratorrettigheder kan ikke logge på Microsoft Outlook Web Access, og de får vist en fejlmeddelelse af typen "Adgang nægtet", hvis de ikke er tildelt brugerrettigheden Spring krydstjek over.
Sikkerhedsindstillinger
  1. Overvågning: Luk systemet omgående, hvis sikkerhedsovervågninger ikke kan logføres
    1. Baggrund
      • Indstillingen Overvågning: Luk systemet omgående, hvis sikkerhedsovervågninger ikke kan logføres angiver, om systemet skal lukkes, hvis du ikke kan logføre sikkerhedshændelser. Denne indstilling kræves, hvis TCSEC-programmets (Trusted Computer Security Evaluation Criteria) C2-evaluering, og hvis Common Criteria for Information Technology Security Evaluation skal forhindre hændelser, der kan overvåges, hvis overvågningssystemet ikke kan logføre de pågældende hændelser. Hvis overvågningssystemet ikke kan køres, lukkes systemet, og fejlmeddelelsen Stop vises.
      • Hvis computeren ikke kan registrere hændelser i sikkerhedslogfilen, kan væsentlige beviser eller vigtige fejlfindingsoplysninger måske ikke gennemses efter en sikkerhedshændelse.
    2. Ustabil konfiguration

      Følgende konfigurationsindstilling er skadelig: Indstillingen Overvågning: Luk systemet omgående, hvis sikkerhedsovervågninger ikke kan logføres er aktiveret, og størrelsen på logfilen med sikkerhedshændelsen er begrænset af en af indstillingerne Overskriv ikke hændelser (ryd log manuelt), Overskriv hændelser efter behov eller Overskriv hændelser ældre end antal dage i Logbog. I afsnittet Eksempler på kompatibilitetsproblemer kan du finde oplysninger om specifikke risici for computere, der kører den oprindelige version af Windows 2000, Windows 2000 SP1 (Service Pack 1), Windows 2000 SP2 eller Windows 2000 SP3.
    3. Årsager til at aktivere denne indstilling

      Hvis computeren ikke kan registrere hændelser i sikkerhedslogfilen, kan væsentlige beviser eller vigtige fejlfindingsoplysninger måske ikke gennemses efter en sikkerhedshændelse.
    4. Årsager til at deaktivere denne indstilling
      • Når indstillingen Overvågning: Luk systemet omgående, hvis sikkerhedsovervågninger ikke kan logføres aktiveres, lukkes systemet, hvis der af en eller anden grund ikke kan logføres en sikkerhedsovervågning. En hændelse kan typisk ikke logføres, når logfilen med sikkerhedsovervågning er fyldt, og når bevaringsmetoden er angivet enten ved indstillingen Overskriv ikke hændelser (ryd log manuelt) eller indstillingen Overskriv hændelser ældre end antal dage.
      • Det administrative arbejde ved at aktivere indstillingen Overvågning: Luk systemet omgående, hvis sikkerhedsovervågninger ikke kan logføres kan være meget omfattende, især hvis du samtidig aktiverer indstillingen Overskriv ikke hændelser (ryd log manuelt) for sikkerhedslogfilen. Denne indstilling medfører, at de enkelte operatører er ansvarlige for deres handlinger. En administrator kan f.eks. nulstille tilladelser for alle brugere, computere og grupper i en organisationsenhed, hvor overvågning er aktiveret ved hjælp af den indbyggede administratorkonto eller en anden delt konto, og de afviser, at de har nulstillet disse tilladelser. Hvis indstillingen aktiveres, kan det dog medføre, at systemet bliver mere ustabilt, fordi en server kan være tvunget til at lukke på grund af den store mængde logonhændelser og andre sikkerhedshændelser, som skrives til sikkerhedslogfilen. Og fordi nedbruddet sker pludseligt, kan der ske uoprettelig skade på operativsystemet, programmer og data. Mens NTFS garanterer, at filsystemets integritet bevares under et pludseligt systemnedbrud, kan det ikke garanteres, at alle data til alle programmer stadig kan bruges, når systemet genstartes.
    5. Symbolsk navn:

      CrashOnAuditFail
    6. Sti til registreringsdatabase:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)
    7. Eksempler på kompatibilitetsproblemer
      • Windows 2000: På grund af en fejl holder computere, der kører den oprindelige version af Windows 2000, Windows 2000 SP1, Windows 2000 SP2 eller Windows SP3, muligvis op med at logføre hændelser, før den størrelse, der er angivet i indstillingen Maksimal logstørrelse for logfilen med sikkerhedshændelser, er nået. Denne fejl er rettet i Windows 2000 SP4 (Service Pack 4). Kontroller, at Windows 2000-domænecontrollerne har Windows 2000 Service Pack 4 installeret, før du overvejer at aktivere denne indstilling.

        Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        312571 Hændelseslogfilen holder op med at logføre hændelser, før den maksimale logstørrelse er nået. Artiklen er evt. på engelsk.
      • Windows 2000 og Windows Server 2003: Computere, der kører Windows 2000 eller Windows Server 2003, holder måske op med at reagere, og de genstarter måske spontant, hvis indstillingen Overvågning: Luk systemet omgående, hvis sikkerhedsovervågninger ikke kan logføres er aktiveret, og hvis sikkerhedslogfilen er fuld, samtidig med at en eksisterende post i hændelseslogfilen ikke kan overskrives.. Når computeren genstartes, vises følgende Stop-fejlmeddelelse:
        STOP: C0000244 {Overvågning mislykkedes}
        Forsøg på at oprette sikkerhedsovervågning mislykkedes.
        Hvis systemet skal gendannes, skal en administrator logge på, arkivere logfilen (valgfrit), rydde logfilen og nulstille denne indstilling efter behov.
      • Microsoft-netværksklient til MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP og Windows Server 2003: Brugere uden administratorrettigheder, der forsøger at logge på et domæne, får vist følgende fejlmeddelelse:
        Din konto er konfigureret på en måde, så du ikke kan bruge denne computer. Prøv med en anden computer.
        Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        160783 Fejlmeddelelse: Brugere kan ikke logge på en arbejdsstation. Artiklen er evt. på engelsk.
      • Windows 2000: Brugere uden administratorrettigheder kan på Windows 2000-baserede computere ikke logge på fjernadgangsservere, og de får vist følgende type fejlmeddelelse:
        Ukendt bruger eller forkert adgangskode
        Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        285665 Fejlmeddelelse: Din konto er konfigureret på en måde, så du ikke kan bruge denne computer. Artiklen er evt. på engelsk.
      • Windows 2000: Tjenesten Intersite Messaging (Ismserv.exe) standser på Windows 2000-domænecontrollere og kan ikke genstartes. DCDIAG rapporterer en fejl om, at det ikke lykkedes at teste ISMserv-tjenesterne, og hændelses-id'et 1083 registreres i hændelseslogfilen.
      • Windows 2000: Der kan ikke udføres Active Directory-replikering på Windows 2000-domænecontrollere og der vises en meddelelse af typen "Adgang nægtet", hvis logfilen med sikkerhedshændelser er fuld.
      • Microsoft Exchange 2000: Servere, der kører Exchange 2000, kan ikke oprette forbindelse til den database, hvor der gemmes oplysninger, og hændelsen 2102 registreres i hændelseslogfilen.

        Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        314294 Der genereres fejlmeddelelser i Exchange 2000 på grund af problemer med SeSecurityPrivilege og Policytest. Artiklen er evt. på engelsk.
      • Outlook og Outlook Web Access: Brugere uden administratorrettigheder kan ikke få adgang til deres e-mail via Microsoft Outlook eller Microsoft Outlook Web Access, og de får vist fejlen 503.
  2. Domænecontroller: Signeringskrav til LDAP-server
    1. Baggrund

      Sikkerhedsindstillingen Domænecontroller: Signeringskrav til LDAP-server angiver, om LDAP-serveren (Lightweight Directory Access Protocol) har brug for LDAP-klienter for at kunne forhandle om datasignering. Mulige værdier for denne politikindstilling er:
      • Ingen: Datasignering kræves ikke for at binde til serveren. Hvis klienten kræver datasignering, understøtter serveren det.
      • Kræver signatur: Indstillingen LDAP-datasignering skal aftales, medmindre der anvendes TLS/SSL (Transport Layer Security/Secure Socket Layer).
      • Ikke defineret: Denne indstilling er ikke aktiveret eller deaktiveret.
    2. Ustabile konfigurationer

      Følgende konfigurationsindstillinger er skadelige:
      • Aktivering af Kræver signatur i miljøer, hvor klienter ikke understøtter LDAP-signering, eller hvor LDAP-signering på klientsiden ikke er aktiveret på klienten
      • Anvendelse af Windows 2000- eller Windows Server 2003-sikkerhedsskabelonen Hisecdc.inf i miljøer, hvor klienterne ikke understøtter LDAP-signering, eller hvor LDAP-signering på klientsiden ikke er aktiveret
      • Anvendelse af Windows 2000- eller Windows Server 2003-sikkerhedsskabelonen Hisecws.inf i miljøer, hvor klienterne ikke understøtter LDAP-signering, eller hvor LDAP-signering på klientsiden ikke er aktiveret
    3. Årsager til at aktivere denne indstilling

      Usigneret netværkstrafik er udsat for angreb, hvor en uvedkommende henter pakker mellem klienten og serveren, ændrer pakkerne og derefter videresender dem til serveren. Når denne funktionsmåde indtræffer på en LDAP-server, kan en person med ondsindede hensigter forårsage, at en server træffer beslutninger, der er baseret på falske forespørgsler fra LDAP-klienten. Du kan reducere denne risiko på virksomhedsnetværk ved at implementere stærke fysiske sikkerhedsforanstaltninger, der beskytter netværkets infrastruktur. Godkendelsestilstanden IPSec (Internet Protocol security) kan gøre det yderst vanskeligt for uvedkommende at udføre angreb. Godkendelsestilstanden udfører fælles godkendelses- og pakkeintegritet for IP-trafik.
    4. Årsager til at deaktivere denne indstilling
      • Klienter, der ikke understøtter LDAP-signering, kan ikke udføre LDAP-forespørgsler i forhold til domænecontrollere og globale kataloger, hvis der er forhandlet NTLM-godkendelse, og hvis de rette service packs ikke er installeret på Windows 2000-domænecontrollere.
      • Netværksspor af LDAP-trafik mellem klienter og servere krypteres, hvilket gør det vanskeligt at undersøge LDAP-samtaler.
      • Windows 2000-baserede servere skal have Windows 2000 SP3 (Service Pack 3) eller nyere installeret, når de administreres med programmer, der understøtter LDAP-signering, som køres fra klientcomputere, som kører Windows 2000 SP4, Windows XP eller Windows Server 2003. Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        325465 Windows 2000-domænecontrollere kræver Service Pack 3 eller nyere, når Windows Server 2003-administrationsværktøjerne bruges. Artiklen er evt. på engelsk.
    5. Symbolsk navn:

      LDAPServerIntegrity
    6. Sti til registreringsdatabase:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)
    7. Eksempler på kompatibilitetsproblemer
      • Simple bindinger lykkes ikke, og du modtager følgende fejlmeddelelse:
        Ldap_simple_bind_s() lykkedes ikke: Der kræves stærk godkendelse.
      • Windows 2000 Service Pack 4, Windows XP og Windows Server 2003: Visse Active Directory-administrationsværktøjer på klienter, der kører Windows 2000 SP4, Windows XP eller Windows Server 2003, fungerer ikke korrekt på domænecontrollere, der kører versioner af Windows 2000, som er ældre end SP3, når der er forhandlet NTLM-godkendelse.

        Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        325465 Windows 2000-domænecontrollere kræver Service Pack 3 eller nyere, når Windows Server 2003-administrationsværktøjerne bruges. Artiklen er evt. på engelsk.
      • Windows 2000 Service Pack 4, Windows XP og Windows Server 2003: Visse Active Directory-administrationsværktøjer på klienter, der kører Windows 2000 SP4, Windows XP eller Windows Server 2003, fungerer ikke korrekt på domænecontrollere, der kører versioner af Windows 2000, som er ældre end SP3, hvis de bruger IP-adresser (f.eks. "dsa.msc /server=x.x.x.x", hvor x.x.x.x er en IP-adresse).

        Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        325465 Windows 2000-domænecontrollere kræver Service Pack 3 eller nyere, når Windows Server 2003-administrationsværktøjerne bruges. Artiklen er evt. på engelsk.
      • Windows 2000 Service Pack 4, Windows XP og Windows Server 2003: Visse Active Directory-administrationsværktøjer på klienter, der kører Windows 2000 SP4, Windows XP eller Windows Server 2003, fungerer ikke korrekt på domænecontrollere, der kører versioner af Windows 2000, som er ældre end SP3.

        Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        325465 Windows 2000-domænecontrollere kræver Service Pack 3 eller nyere, når Windows Server 2003-administrationsværktøjerne bruges. Artiklen er evt. på engelsk.
  3. Domænemedlem: Kræv stærk sessionsnøgle (Windows 2000 eller nyere)
    1. Baggrund
      • Indstillingen Domænemedlem: Kræv stærk sessionsnøgle (Windows 2000 eller nyere) angiver, om der kan oprettes en sikker kanal med en domænecontroller, der ikke kan kryptere trafik via en sikker kanal, med en stærk 128-bit sessionsnøgle. Hvis denne indstilling aktiveres, kan der ikke oprettes en sikker kanal med en domænecontroller, som ikke kan kryptere data til sikre kanaler, med en stærk nøgle. Hvis denne indstilling er deaktiveret, er 64-bit sessionsnøgler tilladt.
      • Før du kan aktivere denne indstilling på en medlemsarbejdsstation eller på en server, skal alle domænecontrollere på det domæne, medlemmet tilhører, kunne kryptere data til sikre kanaler med en stærk 128-bit nøgle. Det betyder, at alle disse domænecontrollere skal køre Windows 2000 eller nyere.
    2. Ustabil konfiguration

      Aktivering af indstillingen Domænemedlem: Kræver stærk sessionsnøgle (Windows 2000 eller nyere) er en skadelig konfigurationsindstilling.
    3. Årsager til at aktivere denne indstilling
      • Sessionsnøgler, der bruges til at oprette kommunikation via sikre kanaler mellem medlemscomputere og domænecontrollere, er meget stærkere i Windows 2000 end i tidligere versioner af Microsoft-operativsystemer.
      • Når det er muligt, er det en god ide at udnytte disse stærkere sessionsnøgler for at beskytte kommunikation via sikre kanaler mod aflytning og mod netværksangreb, der kaprer sessioner. Aflytning er en form for skadeligt angreb, hvor netværksdata læses eller ændres under overførslen. Dataene kan ændres, så afsenderen skjules eller ændres, eller så de omdirigeres.
      Vigtigt! En computer, der kører Windows Server 2008 R2 eller Windows 7, understøtter kun stærke nøgler, når der bruges sikre kanaler. Denne begrænsning forhindrer et tillidsforhold mellem ethvert Windows NT 4.0-baseret domæne og ethvert Windows Server 2008 R2-baseret domæne. Derudover blokerer denne begrænsning det Windows NT 4.0-baserede domænemedlemskab for computere, der kører Windows 7 eller Windows Server 2008 R2 og omvendt.
    4. Årsager til at deaktivere denne indstilling

      Domænet indeholder medlemscomputere, der kører andre operativsystemer end Windows 2000, Windows XP eller Windows Server 2003.
    5. Symbolsk navn:

      StrongKey
    6. Sti til registreringsdatabase:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)
    7. Eksempler på kompatibilitetsproblemer

      Windows NT 4.0: Sikre kanaler i et tillidsforhold mellem Windows NT 4.0- og Windows 2000-domæner med NLTEST på Windows NT 4.0-baserede computere kan ikke nulstilles, og du får vist en fejlmeddelelse af typen "Adgang nægtet":
      Tillidsforholdet mellem det primære domæne og det domæne, der er tillid til, blev afbrudt.
  4. Domænemedlem: Krypter eller signer altid data til sikre kanaler digitalt
    1. Baggrund
      • Hvis Domænemedlem: Krypter eller signer altid data til sikre kanaler digitalt aktiveres, kan der ikke oprettes en sikker kanal med en domænecontroller, som ikke kan kryptere data til sikre kanaler, med en stærk nøgle. På Windows-baserede computere oprettes der en kommunikationskanal, som kaldes en sikker kanal, ved hjælp af tjenesten Netlogon til godkendelse af computerkonti for at beskytte godkendelsestrafik mod angreb fra uvedkommende, mod afspilningsangreb og mod andre former for netværksangreb. Sikre kanaler bruges også, når en bruger på ét domæne opretter forbindelse til en netværksressource på et fjerndomæne. Denne godkendelse af flere domæner eller videregivelse af godkendelse giver en Windows-baseret computer, der er medlem af et domæne, adgang til brugerkontodatabasen på computerens eget domæne og på domæner, der er tillid til.
      • Hvis du vil aktivere indstillingen Domænemedlem: Krypter eller signer altid data til sikre kanaler digitalt på en medlemscomputer, skal alle domænecontrollere på det domæne, medlemmet tilhører, have adgang til at signere eller kryptere alle data til sikre kanaler. Det betyder, at alle disse domænecontrollere skal køre Windows NT 4.0 med SP6a (Service Pack 6a) eller nyere.
      • Aktivering af indstillingen Domænemedlem:Digital kryptering eller signering af data til sikre kanaler (altid) aktiverer automatisk indstillingen Domænemedlemmet: Digital kryptering eller signering af data til sikre kanaler (når det er muligt).
    2. Ustabil konfiguration

      Aktivering af indstillingen Domænemedlem: Digital kryptering og signering af indstillingen data til sikre kanaler (altid) på domæner, hvor ikke alle domænecontrollere kan signere eller kryptere data til sikre kanaler, er en skadelig konfiguration.
    3. Årsager til at aktivere denne indstilling

      Usigneret netværkstrafik er udsat for angreb, hvor en uvedkommende henter pakker mellem klienten og serveren og derefter ændrer dem, før de videresendes til klienten. Når denne funktionsmåde indtræffer på en LDAP-server (Lightweight Directory Access Protocol), kan en uvedkommende forårsage, at en klient træffer beslutninger, der er baseret på falske poster fra LDAP-mappen. Du kan reducere risikoen for sådanne angreb på virksomhedsnetværk ved at implementere stærke fysiske sikkerhedsforanstaltninger, der beskytter netværkets infrastruktur. Derudover kan implementering af godkendelsestilstanden IPSec (Internet Protocol security) gøre det yderst vanskeligt for uvedkommende at udføre alle former for angreb. Denne tilstand udfører fælles godkendelses- og pakkeintegritet for IP-trafik.
    4. Årsager til at deaktivere denne indstilling
      • Computere på lokale eller eksterne domæner understøtter ikke krypterede sikre kanaler.
      • Ikke alle domænecontrollere på domænet har det rette service pack-niveau til at understøtte krypterede sikre kanaler.
    5. Symbolsk navn:

      StrongKey
    6. Sti til registreringsdatabase:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)
    7. Eksempler på kompatibilitetsproblemer
      • Windows NT 4.0: Windows 2000-baserede medlemscomputere kan ikke blive medlem af Windows NT 4.0-domæner og får vist følgende fejlmeddelelse:
        Kontoen har ikke autorisation til at logge på fra denne station.
        Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        281648 Fejlmeddelelse: Kontoen har ikke autorisation til at logge på fra denne station. Artiklen er evt. på engelsk.
      • Windows NT 4.0: Windows NT 4.0-domæner kan ikke oprette et tillidsforhold til et Windows 2000-domæne, og følgende fejlmeddelelse vises:
        Kontoen har ikke autorisation til at logge på fra denne station.
        Eksisterende tillidsforhold til domæner på tidligere Windows-operativsystemer kan måske heller ikke godkende brugere fra det domæne, der er tillid til. Visse brugere har måske problemer med at logge på domænet, og de modtager en fejlmeddelelse om, at klienten ikke kan finde domænet.
      • Windows XP: Windows XP-klienter, der er medlem af Windows NT 4.0-domæner, kan ikke godkende logonforsøg, og der vises måske følgende type fejlmeddelelse, eller følgende hændelser registreres muligvis i hændelseslogfilen:
        Windows kan ikke oprette forbindelse til domænet, enten fordi domænecontrolleren er nede eller på anden måde utilgængelig, eller fordi computerkontoen ikke blev fundet

        Hændelsen 5723: Sessionsoprettelsen fra computer Computernavn blev ikke godkendt. Navnet på den konto, der henvises til i sikkerhedsdatabasen, er Computernavn. Der opstod følgende fejl: Adgang nægtet.

        Hændelsen 3227: Sessionsoprettelsen til Windows NT- eller Windows 2000-domænecontrolleren Servernavn for domænet Domænenavn mislykkedes, fordi Servernavn ikke understøtter signering eller forsegling af Netlogon-sessionen. Opgrader domænecontrolleren, eller angiv registreringsposten RequireSignOrSeal på denne computer til 0.

        Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        318266 En Windows XP-klient kan ikke logge på et Windows NT 4.0-domæne. Artiklen er evt. på engelsk.
      • Microsoft Network: Microsoft Network-klienter får vist en af følgende typer fejlmeddelelser:
        Logonfejl: Ukendt brugernavn eller forkert adgangskode.
        Der er ingen brugersessionsnøgle til den angivne logonsession.
  5. Microsoft-netværksklient: Signer kommunikation digitalt (altid).
    1. Baggrund

      SMB (Server Message Block) er den ressourcedelingsprotokol, der understøttes af mange Microsoft-operativsystemer. Den er grundlaget for netværkets input/output-basissystem (NetBIOS) og for mange andre protokoller. SMB-signering godkender både den bruger og den server, der er vært for dataene. Hvis godkendelsesprocessen mislykkes på en af siderne, sker dataoverførslen ikke.

      Aktivering af SMB-signering starter under forhandling om SMB-protokollen. Politikken for SMB-signering bestemmer, om computeren altid skal signere klientkommunikation digitalt.

      SMB-godkendelsesprotokollen for Windows 2000 understøtter fælles godkendelse. Fælles godkendelse lukker for angreb fra uvedkommende. SMB-godkendelsesprotokollen for Windows 2000 understøtter også godkendelse af meddelelser. Godkendelse af meddelelser er med til at forhindre angreb på aktive meddelelser. Med henblik på at give dig denne godkendelse anbringer SMB-signering en digital signatur i de enkelte SMB'er. De enkelte klienter og servere kontrollerer den digitale signatur.

      Hvis du vil bruge SMB-signering, skal du aktivere SMB-signering eller kræve SMB-signering på både SMB-klienten og SMB-serveren. Hvis SMB-signering er aktiveret på en server, bruger klienter, der også er aktiveret til SMB-signering, pakkesigneringsprotokollen i alle efterfølgende sessioner. Hvis SMB-signering er nødvendig på en server, kan en klient ikke oprette en session, medmindre klienten er aktiveret eller nødvendig for SMB-signering.

      Hvis du aktiverer digital signering på netværk med høj sikkerhed, er det med til at forhindre efterligning af klienter og servere. Denne type efterligning kaldes sessionskapring. En person med ondsindede hensigter, der får adgang til samme netværk som klienten eller serveren, bruger sessionskidnapningsværktøjer til at afbryde, afslutte eller stjæle en igangværende session. En hacker kan opfange og ændre usignerede SMB-pakker, ændre trafikken og derefter videresende den, så serveren måske udfører uønskede handlinger. En person med ondsindede hensigter kan også optræde som serveren eller klienten efter en gyldig godkendelse og derefter få uautoriseret adgang til data.

      Den SMB-protokol, der bruges til fil- og udskriftsdeling på computere, der kører Windows 2000 Server, Windows 2000 Professional, Windows XP Professional eller Windows Server 2003, understøtter fælles godkendelse. Fælles godkendelse lukker for sessionskidnapning og understøtter godkendelse af meddelelser. Det forhindrer derfor angreb fra uvedkommende. SMB-signering giver denne godkendelse ved at anbringe en digital signatur i de enkelte SMB'er. Signaturen kontrolleres derefter både af klienten og serveren.

      Bemærk!
      • En anden forholdsregel, der kan hjælpe med at beskytte hele netværkstrafikken, er at aktivere digitale signaturer med IPSec. Der findes hardwarebaserede acceleratorer til IPSec-kryptering og -signering, som kan bruges til at minimere påvirkningen på ydeevnen fra serverens CPU. Der findes ikke sådanne acceleratorer, som er tilgængelige for SMB-signering.

        Du kan finde flere oplysninger i kapitlet om digital signering af serverkommunikation på følgende Microsoft MSDN-websted. Siden er evt. på engelsk:
        http://msdn.microsoft.com/da-dk/library/ms814149.aspx
        Konfigurer SMB-signering via Editor til gruppepolitikobjekter, fordi en ændring af en lokal værdi i registreringsdatabasen ikke har en virkning, hvis der findes en domænepolitik, som tilsidesætter den.
      • I Windows 95, Windows 98 og Windows 98 Second Edition bruger klienten til katalogtjenesterne SMB-signering, når den godkender med Windows Server 2003-servere ved hjælp af NTLM-godkendelse. Men disse klienter bruger ikke SMB-signering, når de godkender med disse servere ved hjælp af NTLMv2-godkendelse. Derudover reagerer Windows 2000-servere ikke på anmodninger om SMB-signering fra disse klienter. Se punkt 10: Netværkssikkerhed: LAN Manager-godkendelsessniveau.
    2. Ustabil konfiguration

      Følgende konfigurationsindstilling er skadelig: Angivelse af både indstillingen Microsoft-netværksklient: Signer kommunikation digitalt (altid) og indstillingen Microsoft-netværksklient: Signer kommunikation digitalt, hvis serveren godkender det til "Ikke defineret" eller deaktiveret. Disse indstillinger giver den person, der omdirigerer kommunikation, mulighed for at sende adgangskoder i almindelig tekst til ikke-Microsoft SMB-servere, som ikke understøtter kryptering af adgangskoder, under godkendelsen.
    3. Årsager til at aktivere denne indstilling

      Aktiverer Microsoft-netværksklient: Digital signering af kommunikation (altid) kræver, at klienter signerer SMB-trafik, når der oprettes forbindelse til servere, som ikke kræver SMB-signering, hvilket gør klienter mindre sårbare over for sessionskidnapning.
    4. Årsager til at deaktivere denne indstilling
      • Aktiverer Microsoft-netværksklient: Digital signering af kommunikation (altid) forhindrer klienter i at kommunikere med destinationsservere, der ikke understøtter SMB-signering
      • Hvis computere konfigureres til at ignorere al usigneret SMB-kommunikation, kan tidligere programmer og operativsystemer ikke oprette forbindelse.
    5. Symbolsk navn:

      RequireSMBSignRdr
    6. Sti til registreringsdatabase:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
    7. Eksempler på kompatibilitetsproblemer
      • Windows NT 4.0: Du kan ikke nulstille sikkerhedskanalen i et tillidsforhold mellem et Windows Server 2003-domæne og et Windows NT 4.0-domæne ved hjælp af NLTEST eller NETDOM, og der vises en fejlmeddelelse af typen "Adgang nægtet".
      • Windows XP: Det kan tage længere tid at kopiere filer fra Windows XP-klienter til Windows 2000-baserede servere og til Windows Server 2003-baserede servere.
      • Du kan ikke tilknytte et netværksdrev fra en klient, hvis denne indstilling er aktiveret, og du modtager følgende fejlmeddelelse:
        Kontoen har ikke autorisation til at logge på fra denne station.
    8. Krav om genstart

      Genstart computeren, eller genstart tjenesten Workstation. Det kan du gøre ved at skrive følgende kommando ved en kommandoprompt: Tryk på ENTER efter hver kommandoangivelse.
      net stop workstation
      net start workstation
  6. Microsoft-netværksserver: Signer kommunikation digitalt (altid)
    1. Baggrund
      • SMB (Server Messenger Block) er den ressourcedelingsprotokol, der understøttes af mange Microsoft-operativsystemer. Det er grundlaget for netværkets input/output-basissystem (NetBIOS) og for mange andre protokoller. SMB-signering godkender både den bruger og den server, der er vært for dataene. Hvis godkendelsesprocessen mislykkes på en af siderne, sker dataoverførslen ikke.

        Aktivering af SMB-signering starter under forhandling om SMB-protokollen. Politikken for SMB-signering bestemmer, om computeren altid skal signere klientkommunikation digitalt.

        SMB-godkendelsesprotokollen for Windows 2000 understøtter fælles godkendelse. Fælles godkendelse lukker for angreb fra uvedkommende. SMB-godkendelsesprotokollen for Windows 2000 understøtter også godkendelse af meddelelser. Godkendelse af meddelelser er med til at forhindre angreb på aktive meddelelser. Med henblik på at give dig denne godkendelse anbringer SMB-signering en digital signatur i de enkelte SMB'er. De enkelte klienter og servere kontrollerer den digitale signatur.

        Hvis du vil bruge SMB-signering, skal du aktivere SMB-signering eller kræve SMB-signering på både SMB-klienten og SMB-serveren. Hvis SMB-signering er aktiveret på en server, bruger klienter, der også er aktiveret til SMB-signering, pakkesigneringsprotokollen i alle efterfølgende sessioner. Hvis SMB-signering er nødvendig på en server, kan en klient ikke oprette en session, medmindre klienten er aktiveret eller nødvendig for SMB-signering.

        Hvis du aktiverer digital signering på netværk med høj sikkerhed, er det med til at forhindre efterligning af klienter og servere. Denne type efterligning kaldes sessionskapring. En person med ondsindede hensigter, der får adgang til samme netværk som klienten eller serveren, bruger sessionskidnapningsværktøjer til at afbryde, afslutte eller stjæle en igangværende session. En person med ondsindede hensigter kan opfange og ændre usignerede SMB-pakker (Subnet Bandwidth Manager), ændre trafikken og derefter videresende den, så serveren måske udfører uønskede handlinger. En person med ondsindede hensigter kan også optræde som serveren eller klienten efter en gyldig godkendelse og derefter få uautoriseret adgang til data.

        Den SMB-protokol, der bruges til fil- og udskriftsdeling på computere, der kører Windows 2000 Server, Windows 2000 Professional, Windows XP Professional eller Windows Server 2003, understøtter fælles godkendelse. Fælles godkendelse lukker for sessionskidnapning og understøtter godkendelse af meddelelser. Det forhindrer derfor angreb fra uvedkommende. SMB-signering giver denne godkendelse ved at anbringe en digital signatur i de enkelte SMB'er. Signaturen kontrolleres derefter både af klienten og serveren.
      • En anden forholdsregel, der kan hjælpe med at beskytte hele netværkstrafikken, er at aktivere digitale signaturer med IPSec. Der findes hardwarebaserede acceleratorer til IPSec-kryptering og -signering, som kan bruges til at minimere påvirkningen på ydeevnen fra serverens CPU. Der findes ikke sådanne acceleratorer, som er tilgængelige for SMB-signering.
      • I Windows 95, Windows 98 og Windows 98 Second Edition bruger klienten til katalogtjenesterne SMB-signering, når den godkender med Windows Server 2003-servere ved hjælp af NTLM-godkendelse. Men disse klienter bruger ikke SMB-signering, når de godkender med disse servere ved hjælp af NTLMv2-godkendelse. Derudover reagerer Windows 2000-servere ikke på anmodninger om SMB-signering fra disse klienter. Se punkt 10: Netværkssikkerhed: LAN Manager-godkendelsessniveau.
    2. Ustabil konfiguration

      Følgende konfigurationsindstilling er skadelig: Aktivering af indstillingen Microsoft-netværksserver: Signer kommunikation digitalt (altid) på servere og domænecontrollere, der opnås adgang til fra inkompatible Windows-baserede klientcomputere og operativsystembaserede klientcomputere fra tredjepart på lokale eller eksterne domæner.
    3. Årsager til at aktivere denne indstilling
      • Alle klientcomputere, hvor denne indstilling er aktiveret direkte via registreringsdatabasen eller via indstillingen for gruppepolitik, understøtter SMB-signering. Med andre ord kører alle klientcomputere, hvor denne indstilling er aktiveret, enten Windows 95 med DS-klienten installeret, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional eller Windows Server 2003.
      • Hvis Microsoft-netværksserver: Signer kommunikation digitalt (altid) er deaktiveret, er SMB-signering fuldstændig deaktiveret. Hvis du deaktiverer SMB-signering fuldstændig, er computere mere sårbare over for sessionskidnapning.
    4. Årsager til at deaktivere denne indstilling
      • Hvis du aktiverer denne indstilling, kan det medføre, at det tager længere tid at kopiere filer, og at netværkets ydeevne reduceres på klientcomputere.
      • Hvis du aktiverer denne indstilling, kan klienter ikke forhandle SMB-signering ved at kommunikere med servere og domænecontrollere. Det medfører, at visse handlinger, f.eks. tilmelding til domæner, bruger- og computergodkendelse eller netværksadgang, ikke lykkes.
    5. Symbolsk navn:

      RequireSMBSignServer
    6. Sti til registreringsdatabase:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)
    7. Eksempler på kompatibilitetsproblemer
      • Windows 95: Windows 95-klienter, hvor DS-klienten (Directory Services) ikke er installeret, kan ikke godkendes under logon, og der vises følgende type fejlmeddelelse:
        Den domæneadgangskode, du har angivet, er ikke korrekt, eller adgang til logonserveren blev nægtet.
        Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        811497 Fejlmeddelelser, når Windows 95- eller Windows NT 4.0-klienter logger på et Windows Server 2003-domæne. Artiklen er evt. på engelsk.
      • Windows NT 4.0: Der kan ikke gennemføres logongodkendelse for klientcomputere, der kører versioner af Windows NT 4.0, som er ældre end SP3 (Service Pack 3), og der vises følgende type fejlmeddelelse:
        Systemet kunne ikke logge dig på. Kontroller, at brugernavnet og domænet er korrekt, og skriv derefter din adgangskode igen.
        Nogle ikke-Microsoft SMB-servere understøtter kun udveksling af ikke-krypterede adgangskoder i forbindelse med godkendelse. Disse udvekslinger kaldes også udvekslinger i almindelig tekst. Fra og med Windows NT 4.0 SP3 sender SMB-omdirigering ikke en ukrypteret adgangskode under godkendelse til en SMB-server, medmindre du tilføjer en bestemt post i registreringsdatabasen.
        Hvis du vil aktivere ukrypterede adgangskoder for SMB-klienten på Windows NT 4.0 SP 3 og nyere, skal du redigere registreringsdatabasen på følgende måde: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        Værdiens navn: EnablePlainTextPassword
        Datatype: REG_DWORD
        Data: 1

        Du kan finde flere oplysninger om relaterede emner ved at klikke på nedenstående artikelnumre for at få vist artiklerne i Microsoft Knowledge Base:
        224287 Fejlmeddelelse: Systemfejl 1240 opstod. Kontoen har ikke rettigheder til at logge på fra denne station. Artiklen er evt. på engelsk.
        166730 Ukrypterede adgangskoder kan medføre, at Service Pack 3 ikke kan oprette forbindelse til SMB-servere. Artiklen er evt. på engelsk.
      • Windows Server 2003: Sikkerhedsindstillinger på domænecontrollere, der kører Windows Server 2003, konfigureres som standard til at forhindre, at kommunikation mellem domænecontrollere opfanges eller ændres af ondsindede brugere. Hvis brugere vil sikre kommunikationen med en domænecontroller, der kører Windows Server 2003, skal klientcomputere både bruge SMB-signering og kryptering eller signering af trafik til sikre kanaler. På klienter, der kører Windows NT 4.0 med SP2 (Service Pack 2) eller ældre, eller klienter, der kører Windows 95, er signering af SMB-pakker som standard ikke aktiveret. Derfor kan disse klienter måske ikke godkendes på en Windows Server 2003-baseret domænecontroller.
      • Politikindstillinger for Windows 2000 og Windows Server 2003: Afhængigt af dine særlige installationsbehov og konfigurationen, anbefales det, at du angiver følgende politikindstillinger til den laveste værdi inden for det tilladte område i hierarkiet for Microsoft Management Console-redigeringsprogrammet til gruppepolitik:
        • Computerkonfiguration\Windows-sikkerhedsindstillinger\Sikkerhedsindstillinger
        • Send ukrypteret adgangskode for at oprette forbindelse til tredjeparts-SMB-servere. Denne indstilling gælder for Windows 2000.
        • Microsoft-netværksklient: Send ukrypteret adgangskode til tredjeparts-SMB-servere. Denne indstilling gælder for Windows Server 2003.

        Bemærk! I visse tredjeparts-CIFS-servere, f.eks. ældre Samba-versioner, er det ikke muligt at bruge krypterede adgangskoder.
      • Følgende klienter er inkompatible med indstillingen Microsoft-netværksserver: Signer kommunikation digitalt (altid):
        • Apple Computer, Inc., Mac OS X-klienter
        • Microsoft MS-DOS-netværksklienter (f.eks. Microsoft LAN Manager)
        • Microsoft Windows til Workgroups-klienter
        • Microsoft Windows 95-klienter, hvor DS-klienten ikke er installeret
        • Microsoft Windows NT 4.0-baserede computere, hvor SP3 eller nyere ikke er installeret
        • Novell Netware 6 CIFS-klienter
        • SAMBA SMB-klienter, der ikke understøtter SMB-signering
    8. Krav om genstart

      Genstart computeren, eller genstart Server-tjenesten. Det kan du gøre ved at skrive følgende kommando ved en kommandoprompt: Tryk på ENTER efter hver kommandoangivelse.
      net stop server
      net start server
  7. Netværksadgang: Tillad anonym oversættelse af SID/navn
    1. Baggrund

      Sikkerhedsindstillingen Netværksadgang:Tillad anonym oversættelse af SID/navn angiver, om en anonym bruger kan anmode om attributter for et sikkerheds-id til en anden bruger.
    2. Ustabil konfiguration

      Aktivering af indstillingen Netværksadgang: Tillad anonym oversættelse af SID/navn er en skadelig konfigurationsindstilling.
    3. Årsager til at aktivere denne indstilling

      Hvis indstillingen Netværksadgang: Tillad anonym oversættelse af SID/navn er deaktiveret, kan tidligere operativsystemer eller programmer måske ikke kommunikere med Windows Server 2003-domæner. F.eks. fungerer følgende operativsystemer, tjenester eller programmer måske ikke:
      • Windows NT 4.0-baserede Remote Access Service-servere
      • Microsoft SQL Server, der kører på Windows NT 3.x-baserede eller Windows NT 4.0-baserede computere
      • Remote Access Service, der kører på Windows 2000-baserede computere, som findes på Windows NT 3.x-domæner eller på Windows NT 4.0-domæner
      • SQL Server, der kører på Windows 2000-baserede computere, som findes på Windows NT 3.x-domæner eller på Windows NT 4.0-domæner
      • Brugere på Windows NT 4.0-ressourcedomænet, som vil give brugerkonti tilladelse til at åbne filer, delte mappe og objekter i registreringsdatabasen fra kontodomæner, der indeholder Windows Server 2003-domænecontrollere
    4. Årsager til at deaktivere denne indstilling

      Hvis denne indstilling er aktiveret, kan en ondsindet bruger anvende det kendte sikkerheds-id til administratorer for at få det rigtige navn på den indbyggede administratorkonto, også selvom kontoen er omdøbt. Den pågældende person kan derefter bruge kontonavnet til at initiere et angreb ved at gætte adgangskoden.
    5. Symbolsk navn: Ikke tilgængelig
    6. Sti til registreringsdatabase: Ingen. Stien er angivet i kode til brugergrænsefladen.
    7. Eksempler på kompatibilitetsproblemer

      Windows NT 4.0: Der vises en fejlmeddelelse af typen "Ukendt konto i ACL-editoren" på computere på Windows NT 4.0-ressourcedomæner, hvis ressourcer, herunder delte mapper, delte filer og objekter i registreringsdatabasen, er sikret med sikkerhedskonti, der findes på kontodomæner, som indeholder Windows Server 2003-domænecontrollere.
  8. Netværksadgang: Tillad ikke anonyme optællinger af SAM-konti
    1. Baggrund
      • Indstillingen Netværksadgang: Tillad ikke anonyme optællinger af SAM-konti angiver, hvilke yderligere tilladelser der tildeles for anonyme forbindelser til computeren. I Windows kan anonyme brugere udføre visse aktiviteter, f.eks. optælle navnene på domæne-SAM-konti (Security Accounts Manager) og netværksshares. En administrator kan f.eks. bruge dette til at give adgang til brugere på et domæne, der er tillid til, men hvor der ikke er gensidig tillid. Når sessionen er udført, kan en anonym bruger have den samme adgang, som er tildelt gruppen Alle på baggrund af indstillingen i Netværksadgang: Anvend tilladelsen Alle for anonyme brugere eller DACL (Discretionary Access Control List) for objektet.

        Der anmodes typisk om anonyme forbindelser fra tidligere versioner af klienter under SMB-sessionsoprettelse. I disse tilfælde viser et netværksspor, at SMB-processens id er klientomdirigeringsprogrammet, såsom 0xFEFF i Windows 2000 eller 0xCAFE i Windows NT. RPC forsøger måske også at oprette anonyme forbindelser.
      • Vigtigt!Denne indstilling påvirker ikke domænecontrollere. Denne funktionsmåde kontrolleres på domænecontrollere af tilstedeværelsen af "NT AUTHORITY\ANONYMOUS LOGON" i "Før-Windows 2000 kompatibel adgang".
      • I Windows 2000 findes der en lignende indstilling, Yderligere begrænsninger for anonyme forbindelser, som styrer værdien
        RestrictAnonymous
        i registreringsdatabasen. Placeringen af denne værdi er:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
        Du kan finde flere oplysninger om værdien RestrictAnonymous i registreringsdatabasen ved at klikke på nedenstående artikelnumre for at få vist artiklerne i Microsoft Knowledge Base:
        246261 Sådan bruges værdien RestrictAnonymous i registreringsdatabasen i Windows 2000. Artiklen er evt. på engelsk.
        143474 Begrænsende oplysninger, der er tilgængelige for anonyme logonbrugere. Artiklen er evt. på engelsk.
    2. Ustabile konfigurationer:

      Aktivering af indstillingen Netværksadgang: Tillad ikke anonyme optællinger af SAM-konti er en skadelig konfiguration, hvad angår kompatibilitet. Deaktivering af indstillingen er en skadelige konfiguration, hvad angår sikkerhed.
    3. Årsager til at aktivere denne indstilling

      En uautoriseret bruger kan anonymt angive kontonavne og derefter bruge oplysningerne til at prøve at gætte adgangskoder eller til at udføre angreb af typen social manipulation. Social manipulation er et begreb, der betyder, at brugere snydes til at afsløre deres adgangskode eller andre former for sikkerhedsoplysninger.
    4. Årsager til at deaktivere denne indstilling

      Hvis denne indstilling er aktiveret, er det umuligt at oprette tillidsforhold til Windows NT 4.0-domæner. Denne indstilling skaber også problemer med tidligere versioner af klienter, f.eks. Windows NT 3.51-klienter og Windows 95-klienter, der forsøger at bruge ressourcer på serveren.
    5. Symbolsk navn: RestrictAnonymousSAM
    6. Sti til registreringsdatabase:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)
    7. Eksempler på kompatibilitetsproblemer
    • SMS Netværksregistrering kan ikke hente oplysninger om operativsystemet og skriver Ukendt i egenskaben OperatingSystemNameandVersion.
    • Windows 95 og Windows 98: Windows 95-klienter og Windows 98-klienter kan ikke ændre adgangskoden.
    • Windows NT 4.0: Windows NT 4.0-baserede medlemscomputere kan ikke blive godkendt.
    • Windows 95 og Windows 98: Windows 95-baserede og Windows 98-baserede computere kan ikke blive godkendt af Microsoft-domænecontrollere.
    • Windows 95 og Windows 98: Brugere af Windows 95-baserede og Windows 98-baserede computere kan ikke ændre adgangskoden til deres brugerkonti.
  9. Netværksadgang: Tillad ikke anonyme optællinger af SAM-konti og -shares
    1. Baggrund
      • Indstillingen Netværksadgang: Tillad ikke anonyme optællinger af SAM-konti og -shares, som også kaldes RestrictAnonymous, angiver, om anonym optælling af SAM-konti og -shares (Security Accounts Manager) er tilladt. I Windows kan anonyme brugere udføre visse aktiviteter, f.eks. optælle navnene på domænekonti (brugere, computere og grupper) og netværksshares. Det er f.eks. praktisk, når en administrator vil give adgang til brugere på et domæne, der er tillid til, men hvor der ikke er gensidig tillid. Hvis du ikke vil tillade anonym optælling af SAM-konti og shares, skal du aktivere denne indstilling.
      • I Windows 2000 findes der en lignende indstilling, Yderligere begrænsninger for anonyme forbindelser, som styrer værdien
        RestrictAnonymous
        i registreringsdatabasen. Placeringen af denne værdi er:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    2. Ustabil konfiguration

      Aktivering af indstillingen Netværksadgang: Tillad ikke anonyme optællinger af SAM-konti og -shares er en skadelig konfigurationsindstilling.
    3. Årsager til at aktivere denne indstilling
      • Aktivering af indstillingen Netværksadgang: Tillad ikke anonyme optællinger af SAM-konti og -shares forhindrer, at brugere og computere, der bruger anonyme konti, optæller SAM-konti og shares.
    4. Årsager til at deaktivere denne indstilling
      • Hvis denne indstilling er aktiveret, kan en uautoriseret bruger anonymt angive kontonavne og derefter bruge oplysningerne til at prøve at gætte adgangskoder eller til at udføre angreb af typen social manipulation. Social manipulation er et begreb, der betyder, at brugere snydes til at afsløre deres adgangskode eller andre former for sikkerhedsoplysninger.
      • Hvis denne indstilling er aktiveret, er det umuligt at oprette tillidsforhold til Windows NT 4.0-domæner. Denne indstilling skaber også problemer med tidligere versioner af klienter, f.eks. Windows NT 3.51- og Windows 95-klienter, der forsøger at bruge ressourcer på serveren.
      • Det er umuligt at tildele adgang til brugere af ressourcedomæner, fordi administratorer på domæner, der er tillid til, ikke kan optælle lister over konti på det andet domæne. Brugere, der får anonym adgang til fil- og udskriftsservere, kan ikke angive de delte netværksressourcer på de pågældende servere. Brugerne skal godkendes, før de kan se listerne over delte mapper og printere.
    5. Symbolsk navn:

      RestrictAnonymous
    6. Sti til registreringsdatabase:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
    7. Eksempler på kompatibilitetsproblemer
      • Windows NT 4.0: Brugere kan ikke ændre deres adgangskode fra Windows NT 4.0-arbejdsstationer, når RestrictAnonymous er aktiveret på domænecontrollere på brugerens domæne. Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        198941 Brugere kan ikke ændre adgangskoden, når de logger på. Artiklen er evt. på engelsk.
      • Windows NT 4.0: Brugere eller globale grupper fra Windows 2000-domæner, der er tillid til, kan ikke føjes til lokale Windows NT 4.0-grupper i Brugerstyring, og der vises følgende type fejlmeddelelse:
        Der er i øjeblikket ikke nogen logonservere til rådighed, som kan betjene logonanmodningen.
        Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        296405 Værdien RestrictAnonymous i registreringsdatabasen kan bryde tilliden til et Windows 2000-domæne. Artiklen er evt. på engelsk.
      • Windows NT 4.0: Windows NT 4.0-baserede computere kan ikke blive medlem af domæner under konfigurationen eller ved hjælp af brugergrænsefladen for tilmelding til domæner.

        Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        184538 Fejlmeddelelse: Der blev ikke fundet en controller for dette domæne. Artiklen er evt. på engelsk.
      • Windows NT 4.0: Windows NT 4.0: Der kan ikke oprettes et tillidsforhold mellem Windows NT 4.0-ressourcedomæner og domæner på tidligere operativsystemer, og der vises følgende type fejlmeddelelse, når RestrictAnonymous er aktiveret på domænet, der er tillid til:
        Domænecontrolleren for dette domæne blev ikke fundet.
        Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        178640 Der blev ikke fundet en domænecontroller under oprettelse af et tillidsforhold. Artiklen er evt. på engelsk.
      • Windows NT 4.0: Brugere, der logger på Windows NT 4.0-baserede Terminal Server-computere, knyttes til standardhjemmemappen i stedet for den hjemmemappe, der er defineret i Brugerstyring for domæner.

        Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        236185 Brugerprofiler og stier til hjemmemapper i Terminal Server ignoreres, når SP4 eller nyere er implementeret. Artiklen er evt. på engelsk.
      • Windows NT 4.0: Windows NT 4.0-backupdomænecontrollere kan ikke starte tjenesten Netlogon for at få adgang til en liste over backupbrowsere eller for at synkronisere SAM-databasen fra Windows 2000- eller Windows Server 2003-domænecontrollere på samme domæne.

        Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        293127 Tjenesten Netlogon til en Windows NT 4.0-backupdomænecontroller fungerer ikke på et Windows 2000-domæne. Artiklen er evt. på engelsk.
      • Windows 2000: Windows 2000-baserede medlemscomputere på Windows NT 4.0-domæner kan ikke vise printere på eksterne domæner, hvis indstillingen Ingen adgang uden udtrykkeligt angivne anonyme tilladelser er aktiveret i den lokale sikkerhedspolitik på klientcomputeren.

        Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        280329 Brugere kan ikke administrere eller få vist printeregenskaber. Artiklen er evt. på engelsk.
      • Windows 2000: Windows 2000-domænebrugere kan ikke tilføje netværksprintere fra Active Directory. De kan dog tilføje printere, når de har valgt dem i trævisningen.

        Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        318866 Outlook-klienter kan ikke få vist globale adresselister, når du har installeret SRP1 (Security Rollup Package 1) på den globale katalogserver. Artiklen er evt. på engelsk.
      • Windows 2000: På Windows 2000-baserede computere kan der ikke tilføjes brugere eller globale grupper fra Windows NT 4.0-domæner, der er tillid til, via ACL-editoren.

        Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        296403 Værdien RestrictAnonymous bryder tilliden i et miljø med blandede domæner. Artiklen er evt. på engelsk.
      • ADMT version 2: Overflytning af adgangskoder for brugerkonti, der er overflyttet mellem områder med ADMT (Active Directory Migration Tool) version 2, lykkes ikke.

        Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        322981 Sådan foretages der fejlfinding i forbindelse med overflytning af adgangskoder mellem områder med ADMT version 2. Artiklen er evt. på engelsk.
      • Outlook-klienter: Den globale adresseliste vises som en tom liste for Microsoft Exchange Outlook-klienter.

        Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        318866 Outlook-klienter kan ikke få vist globale adresselister, når du har installeret SR (Security Rollup Package 1) på den globale katalogserver. Artiklen er evt. på engelsk.
        321169 Langsom SMB-ydeevne, når du kopierer filer fra Windows XP til en Windows 2000-domænecontroller. Artiklen er evt. på engelsk.
      • SMS: Netværksregistrering for Microsoft SMS (Systems Management Server) kan ikke hente oplysningerne om operativsystemet. Der skrives derfor Ukendt i egenskaben OperatingSystemNameandVersion for egenskaben SMS DDR i registreringsdataposten.

        Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        229769 Sådan bestemmer Discovery Data Manager, hvornår der skal oprettes en anmodning om klientkonfiguration. Artiklen er evt. på engelsk.
      • SMS: Der vises ingen brugere eller grupper, når du søger efter brugere og grupper ved hjælp af guiden SMS Administrator User. Derudover kan avancerede klienter ikke kommunikere med administrationspunktet. Der kræves anonym adgang til administrationspunktet.

        Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        302413 Der vises ingen brugere eller grupper i guiden Administrator User. Artiklen er evt. på engelsk.
      • SMS: Når du bruger funktionen Netværksregistrering i SMS 2.0 og i Remote Client Installation sammen med indstillingen Topologi, klient og klientoperativsystemer for netværksregistrering, er det muligvis muligt at registrere computere, men computerne kan ikke installeres.

        Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        311257 Ressourcer registreres ikke, hvis anonyme forbindelser er slået fra. Artiklen er evt. på engelsk.
  10. Netværkssikkerhed: LAN Manager-godkendelsesniveau
    1. Baggrund

      LM-godkendelse (LAN Manager) er den protokol, der bruges til at godkende Windows-klienter til netværkshandlinger, herunder domænemedlemskaber, adgang til netværksressourcer og bruger- eller computergodkendelse. LM-godkendelsesniveauet bestemmer, hvilken Challenge/Response-godkendelsesprotokol der forhandles mellem klient- og servercomputerne. Det er især LM-godkendelsesniveauet der bestemmer, hvilke godkendelsesprotokoller klienten forsøger at forhandle om, eller som serveren accepterer. Den værdi, der er angivet for LmCompatibilityLevel, bestemmer, hvilken Challenge/Response-godkendelsesprotokol der bruges til netværkslogon. Denne værdi påvirker det niveau for godkendelsesprotokollen, som klienten bruger, det niveau for sessionssikkerhed, der forhandles, og det godkendelsesniveau, der accepteres af servere, som nærmere angivet i følgende tabel.

      De tilgængelige indstillinger omfatter følgende:
      Skjul tabellenUdvid tabellen
      VærdiIndstillingBeskrivelse
      0 Send LM- & NTLM-svarKlienter bruger LM- og NTLM-godkendelse og bruger aldrig NTLMv2-sessionssikkerhed. Domænecontrollere accepterer LM-, NTLM- og NTLMv2-godkendelse.
      1Send LM & NTLM - brug NTLMv2-sessionssikkerhed, hvis det aftalesKlienter bruger LM- og NTLM-godkendelse og bruger NTLMv2-sessionssikkerhed, hvis serveren understøtter det. Domænecontrollere accepterer LM-, NTLM- og NTLMv2-godkendelse.
      2Send kun NTLM-svarKlienter bruger kun NTLM-godkendelse og bruger NTLMv2-sessionssikkerhed, hvis serveren understøtter det. Domænecontrollere accepterer LM-, NTLM- og NTLMv2-godkendelse.
      3Send kun NTLMv2-svarKlienter bruger kun NTLMv2-godkendelse og bruger NTLMv2-sessionssikkerhed, hvis serveren understøtter det. Domænecontrollere accepterer LM-, NTLM- og NTLMv2-godkendelse.
      4Send kun NTLMv2-svar. Afvis LMKlienter bruger kun NTLMv2-godkendelse og bruger NTLMv2-sessionssikkerhed, hvis serveren understøtter der. Domænecontrollere afviser LM og accepterer kun NTLM- og NTLMv2-godkendelse.
      5Send kun NTLMv2-svar. Afvis LM og NTLMKlienter bruger kun NTLMv2-godkendelse og bruger NTLMv2-sessionssikkerhed, hvis serveren understøtter det. Domænecontrollere afviser LM og NTLM. De accepterer kun NTLMv2-godkendelse.
      Bemærk! I Windows 95, Windows 98 og Windows 98 Second Edition bruger klienten til katalogtjenesterne SMB-signering, når den godkender med Windows Server 2003-servere ved hjælp af NTLM-godkendelse. Men disse klienter bruger ikke SMB-signering, når de godkender med disse servere ved hjælp af NTLMv2-godkendelse. Derudover reagerer Windows 2000-servere ikke på anmodninger om SMB-signering fra disse klienter.

      Kontrollere LM-godkendelsesniveauet Du skal ændre politikken på serveren for at tillade NTLM, eller du skal konfigurere klientcomputeren til at understøtte NTLMv2.

      Hvis politikken er angivet til (5) Send kun NTLMv2-svar. Afvis LM og NTLM på den destinationscomputer, du vil oprette forbindelse til, skal du enten angive en lavere indstilling på den pågældende computer eller angive sikkerheden til den samme indstilling, som den, der er angivet på den kildecomputer, du vil oprette forbindelse fra.

      Find den rette placering, hvor du kan ændre LAN Manager-godkendelsesniveauet, for at angive klienten og serveren til samme niveau. Når du har fundet den politik, der angiver LAN Manager-godkendelsesniveauet, og du vil oprette forbindelse til og fra computere, der kører tidligere versioner af Windows, skal du angive værdien til mindst (1) Send LM og NTLM - brug NTLMv2-sessionssikkerhed, hvis det aftales. En af effekterne ved inkompatible indstillinger er, at hvis serveren kræver NTLMv2 (værdi 5), men klienten kun er konfigureret til at bruge LM og NTLMv1 (værdi 0), oplever den bruger, der forsøger at godkende, en logonfejl på grund af forkert adgangskode og en stigning i antallet af forkerte adgangskoder. Hvis der er konfigureret kontolåsning, kan brugeren blive låst ude.

      Du kan f.eks. kigge på domænecontrolleren, eller du kan måske kigge på politikkerne for domænecontrolleren.

      Kigge på domænecontrolleren
      Bemærk! Det er muligvis nødvendigt at gentage følgende procedure på alle domænecontrollere.
      1. Klik på Start, peg på Programmer, og klik derefter på Administration.
      2. Udvid Lokale politikker under Lokale sikkerhedsindstillinger.
      3. Klik på Sikkerhedsindstillinger.
      4. Dobbeltklik på Netværkssikkerhed: LAN Manager-godkendelsesniveau, og klik derefter på den ønskede værdi på listen.
      Hvis værdien for den gældende indstilling og den lokale indstilling er den samme, er politikken ændret på dette niveau. Hvis indstillingerne er forskellige, skal du se politikken for domænecontrolleren for at undersøge, om indstillingen Netværkssikkerhed: LAN Manager-godkendelsesniveau er defineret der. Hvis den ikke er defineret der, skal du kigge på politikkerne for domænecontrolleren.

      Kigge på politikkerne for domænecontrolleren
      1. Klik på Start, peg på Programmer, og klik derefter på Administration.
      2. Udvid Sikkerhedsindstillinger i politikken Sikkerhed for domænecontroller, og udvid derefter Lokale politikker.
      3. Klik på Sikkerhedsindstillinger.
      4. Dobbeltklik på Netværkssikkerhed: LAN Manager-godkendelsesniveau, og klik derefter på den ønskede værdi på listen.
      Bemærk!
      • Du kan også kontrollere politikker, der er kædet sammen på webstedsniveau, på domæneniveau eller på organisationsenhedsniveau, for at finde ud af, hvor du skal konfigurere LAN Manager-godkendelsesniveauet.
      • Hvis du implementerer en indstilling for gruppepolitik som standardpolitikken for domænet, anvendes politikken på alle computere på domænet.
      • Hvis du implementerer en indstilling for gruppepolitik som standardpolitikken for domænecontrolleren, anvendes politikken kun på serverne i domænecontrollerens organisationsenhed.
      • Det er en god idé at angive LAN Manager-godkendelsesniveauet i den laveste enhed på det nødvendige område i politikhierarkiet.
      Opdater politikken, når du har foretaget ændringer. Hvis ændringen er foretaget på det lokale niveau for sikkerhedsindstillinger, træder ændringerne straks i kraft. Men du skal genstarte klienterne, før du udfører test.

      Indstillinger for gruppepolitik opdateres som standard på domænecontrollere hvert femte minut. Du kan tvinge opdateringen af politikindstillinger på Windows 2000 eller nyere til at træde i kraft straks ved hjælp af kommandoen gpupdate.

      Med kommandoen gpupdate /force opdateres lokale indstillinger for gruppepolitik og indstillinger for gruppepolitik, der er baseret på katalogtjenesten Active Directory, herunder sikkerhedsindstillinger. Denne kommando erstatter den nu forældede indstilling /refreshpolicy for kommandoen secedit.

      Kommandoen gpupdate bruger følgende syntaks:
      gpupdate [/target:{computer|bruger}] [/force] [/wait:værdi] [/logoff] [/boot]

      Anvend det nye gruppepolitikobjekt ved hjælp af kommandoen gpupdate for at genanvende alle politikindstillingerne manuelt. Det gør du ved at skrive følgende ved kommandoprompten og trykke på Enter:
      GPUpdate /Force
      Kontroller, at politikindstillingen er implementeret i hændelseslogfilen for programmet.

      I Windows XP og Windows Server 2003 kan du bruge snap-in'en Gældende politikindstilling til at se den gældende indstilling. Det kan du gøre ved at klikke på Start, klikke på Kør, skrive rsop.msc og derefter klikke på OK.

      Hvis problemet stadig er der, når du har foretaget ændringen af politikken, skal du genstarte den Windows-baserede server og derefter kontrollere, om problemet er løst.

      Bemærk! Hvis du har flere Windows 2000-baserede domænecontrollere og/eller flere Windows Server 2003-baserede domænecontrollere, kan det være nødvendigt at replikere Active Directory for at sikre, at de opdaterede ændringer straks træder i kraft på disse domænecontrollere.

      Det kan også se ud, som om indstillingen er angivet til den laveste værdi i den lokale sikkerhedspolitik. Hvis du gennemtvinger indstillingen ved hjælp af en sikkerhedsdatabase, kan du også angive LAN Manager-godkendelsesniveauet i registreringsdatabasen ved at redigere posten LmCompatibilityLevel i følgende undernøgle i registreringsdatabasen:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
      Windows Server 2003 er som noget nyt blevet konfigureret til kun at bruge NTLMv2 som standard. Windows Server 2003- og Windows 2000 Server SP3-baserede domænecontrollere har som standard aktiveret politikken Microsoft-netværksserver: Signer (altid) kommunikation digitalt. Denne indstilling kræver, at SMB-serveren udfører SMB-pakkesignering. Ændringer af Windows Server 2003 blev foretaget, fordi domænecontrollere, filservere, netværksservere til infrastruktur og webservere i en organisation kræver forskellige indstillinger for at optimere sikkerheden.

      Hvis du vil implementere NTLMv2-godkendelse på netværket, skal du sikre dig, at alle computere på domænet er angivet til at bruge dette godkendelsesniveau. Hvis du anvender Active Directory-klientudvidelser til Windows 95 eller Windows 98 og Windows NT 4.0, bruger klientudvidelserne de forbedrede godkendelsesfunktioner, der findes i NTLMv2. Da klientcomputere, der kører et af følgende operativsystemer, ikke påvirkes af gruppepolitikobjekter i Windows 2000, skal du måske konfigurere disse klienter manuelt:
      • Microsoft Windows NT 4.0
      • Microsoft Windows Millennium Edition
      • Microsoft Windows 98
      • Microsoft Windows 95
      Bemærk! Hvis du aktiverer politikken Netværkssikkerhed: Gem ikke LAN Manager-hashværdien ved næste ændring af adgangskode eller angiver registreringsnøglen NoLMHash, kan Windows 95-baserede og Windows 98-baserede klienter, der ikke har klienten til katalogtjenesterne installeret, ikke logge på domænet, når en adgangskode er ændret.

      Mange tredjeparts-CIFS-servere, f.eks. Novell Netware 6, kender ikke NTLMv2 og bruger kun NTLM. Niveauer, der er højere end 2, tillader derfor ikke forbindelser.

      Du kan finde flere oplysninger om, hvordan LAN Manager-godkendelsesniveauet konfigureres manuelt, ved at klikke på nedenstående artikelnumre for at få vist artiklerne i Microsoft Knowledge Base:
      147706 Sådan deaktiveres LM-godkendelse på Windows NT. Artiklen er evt. på engelsk.
      175641 LMCompatibilityLevel og indstillingens virkning. Artiklen er evt. på engelsk.
      299656 Sådan forhindrer du, at Windows lagrer LAN Manager-hashværdien af adgangskoden i Active Directory og lokale SAM-databaser. Artiklen er evt. på engelsk.
      312630 Outlook beder dig stadig om at angive logonlegitimationsoplysninger. Artiklen er evt. på engelsk.
      Du kan finde flere oplysninger om LM-godkendelsesniveauer ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
      239869 Sådan aktiveres NTLM 2-godkendelse. Artiklen er evt. på engelsk.
    2. Ustabile konfigurationer

      Følgende konfigurationsindstillinger er skadelige:
      • Ikke-restriktive indstillinger, der sender adgangskoder i klartekst, og som afviser NTLMv2-forhandling
      • Restriktive indstillinger, der forhindrer, at ukompatible klienter eller domænecontrollere forhandler om en fælles godkendelsesprotokol
      • Krav om NTLMv2-godkendelse på medlemscomputere og domænecontrollere, der kører versioner af Windows NT 4.0, som er ældre end SP4 (Service Pack 4)
      • Krav om NTLMv2-godkendelse på Windows 95-klienter eller på Windows 98-klienter, hvor Windows-klienten til katalogtjenesterne ikke er installeret.
      • Hvis du markerer afkrydsningsfeltet Kræver NTLMv2-sessionssikkerhed i Microsoft Management Console-redigeringsprogrammet til gruppepolitik på en Windows Server 2003- eller Windows 2000 Service Pack 3-baseret computer, og du sænker LAN Manager-godkendelsesniveauet til 0, opstår der en konflikt mellem de to indstillinger, og du modtager måske følgende fejlmeddelelse i filen Secpol.msc eller filen GPEdit.msc:
        Windows kan ikke åbne den lokale politikdatabase. Der opstod en ukendt fejl under forsøg på at åbne databasen.
        Du kan finde flere oplysninger om sikkerhedskonfigurationen og analyseværktøjet i Windows 2000 Hjælp eller Windows Server 2003 Hjælp.

        Du kan finde flere oplysninger om, hvordan du analyserer sikkerhedsniveauerne i Windows 2000 og Windows Server 2003, ved at klikke på følgende artikelnumre for at få vist artiklerne i Microsoft Knowledge Base:
        313203 Sådan analyseres systemsikkerheden i Windows 2000. Artiklen er evt. på engelsk.
        816580 Sådan analyseres systemsikkerheden i Windows Server 2003. Artiklen er evt. på engelsk.
    3. Årsager til at redigere denne indstilling
      • Du vil øge den laveste fælles godkendelsesprotokol, der understøttes af klienter og domænecontrollere i organisationen.
      • Hvor sikkerhedsgodkendelse er et virksomhedskrav, vil du ikke tillade forhandling af LM- og NTLM-protokollerne.
    4. Årsager til at deaktivere denne indstilling

      Klient- og/eller servergodkendelseskrav er øget til det punkt, hvor der ikke kan ske godkendelse via en fælles protokol.
    5. Symbolsk navn:

      LmCompatibilityLevel
    6. Sti til registreringsdatabase:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
    7. Eksempler på kompatibilitetsproblemer
      • Windows Server 2003: Indstillingen Send kun NTLM-svar for Windows Server 2003 NTLMv2 er som standard aktiveret. Windows Server 2003 modtager derfor fejlmeddelelsen Adgang nægtet efter den indledende installation, når du forsøger at oprette forbindelse til en Windows NT 4.0-baseret klynge eller til Lan Manager V2.1-baserede servere, f.eks. OS/2 Lanserver. Dette problem opstår også, hvis du forsøger at oprette forbindelse fra en tidligere version af en klient til en Windows Server 2003-baseret server.
      • Du installerer Windows 2000 SRP1 (Security Rollup Package 1). SRP1 gennemtvinger NTLM version 2 (NTLMv2). Denne pakke blev udgivet efter udgivelsen af Windows 2000 SP2 (Service Pack 2). Du kan finde flere oplysninger om SRP1 ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:

        311401 Windows 2000 Security Rollup Package 1, januar 2002. Artiklen er evt. på engelsk.
      • Microsoft Outlook-klienter bliver måske bedt om at angive legitimationsoplysninger, selvom de allerede er logget på domænet. Når brugere angiver deres legitimationsoplysninger, modtager de følgende fejlmeddelelse:
        De angivne logonlegitimationsoplysninger var forkerte. Kontroller, at brugernavnet og domænet er korrekt, og skriv derefter adgangskoden igen.
        Når du starter Outlook, bliver du måske bedt om at angive dine legitimationsoplysninger, selvom indstillingen Netværkssikkerhed ved logon er angivet til Passthrough eller Adgangskodegenkendelse. Når du har angivet dine legitimationsoplysninger, modtager du måske følgende fejlmeddelelse:
        De angivne logonlegitimationsoplysninger var forkerte.
        I en sporing af netværksovervågning vises måske, at det globale katalog har udløst en fejl ved et fjernprocedurekald med statussen 0x5. Statussen 0x5 betyder Adgang nægtet.
      • Windows 2000: I forbindelse med en overførsel via Netværksovervågning vises følgende fejl muligvis i NetBT-SMB-sessionen (NetBIOS via TCP/IP server message block):
        SMB R Search Directory Dos-fejl, (5) ADGANG NÆGTET (109) STATUS_LOGON_FAILURE (91) Ugyldigt bruger-id
      • Windows 2000: Hvis et Windows NT 4.0-domæne har tillid til et Windows 2000-domæne med NTLMv2 niveau 2 eller nyere, opstår der muligvis godkendelsesfejl på Windows 2000-baserede medlemscomputere på ressourcedomænet.

        Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        305379 Godkendelsesproblemer i Windows 2000 med NTLM 2 niveau 2 eller nyere på et Windows NT 4.0-domæne. Artiklen er evt. på engelsk.
      • Windows 2000 og Windows XP: I Windows 2000 og Windows XP angives indstillingen for den lokale sikkerhedspolitik for LAN Manager-godkendelsesniveauet som standard til 0. En indstilling på 0 betyder "Send LM- og NTLM-svar".

        Bemærk! Windows NT 4.0-baserede klynger skal bruge LM til administration.
      • Windows 2000: Windows 2000-klynger godkender ikke en node, der forsøger at blive medlem, hvis begge noder er medlem af et Windows NT 4.0 SP6a-domæne (Service Pack 6a).

        Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        305379 Godkendelsesproblemer i Windows 2000 med NTLM 2 niveau 2 eller nyere på et Windows NT 4.0-domæne. Artiklen er evt. på engelsk.
      • Værktøjet IIS Lockdown (HiSecWeb) angiver værdien for LMCompatibilityLevel til 5 og værdien for RestrictAnonymous til 2.
      • Serviceprogrammer til Macintosh

        UAM (User Authentication Module): Microsoft UAM (User Authentication Module) indeholder en metode til kryptering af de adgangskoder, du bruger til at logge på Windows AFP-servere (AppleTalk Filing Protocol). Apple UAM (User Authentication Module) indeholder kun minimal eller ingen kryptering. Det er derfor let at opfange din adgangskode på det lokale netværk eller internettet. Selvom UAM ikke er nødvendigt, indeholder det krypteret godkendelse for Windows 2000-servere, der kører Serviceprogrammer til Macintosh. I denne version understøttes NTLMv2 128-bit krypteret godkendelse, og den indeholder en MacOS X 10.1-kompatibel udgave.

        Windows Server 2003 Serviceprogrammer til Macintosh-serveren tillader som standard kun Microsoft-godkendelse.

        Du kan finde flere oplysninger ved at klikke på nedenstående artikelnumre for at få vist artiklerne i Microsoft Knowledge Base:
        834498 Macintosh-klienten kan ikke oprette forbindelse til Serviceprogrammer til Macintosh på Windows Server 2003. Artiklen er evt. på engelsk.
        838331 Mac OS X-brugere kan ikke åbne delte Macintosh-mapper på en Windows Server 2003-baseret server. Artiklen er evt. på engelsk.
      • Windows Server 2008, Windows Server 2003, Windows XP og Windows 2000: Hvis du konfigurerer LMCompatibilityLevel til værdien 0 eller 1 og derefter konfigurerer NoLMHash til værdien 1, nægtes programmer og komponenter muligvis adgang via NTLM. Problemet opstår, fordi computeren er konfigureret til at aktivere LM, men ikke til at anvende adgangskoder, der er gemt i LM.

        Hvis du konfigurerer NoLMHash til værdien 1, skal du konfigurere LMCompatibilityLevel til værdien 2 eller højere.
  11. Netværkssikkerhed: Signeringskrav til LDAP-klient
    1. Baggrund

      Indstillingen Netværkssikkerhed: Signeringskrav til LDAP-klient angiver, hvilket niveau for datasignering der er nødvendigt for klienter, som opretter LDAP (Lightweight Directory Access Protocol) BIND-anmodninger på følgende måde:
      • Ingen: LDAP BIND-anmodningen oprettes med de indstillinger, der er angivet af kalderen.
      • Aftal signering: Hvis SSL/TLS (Secure Sockets Layer/Transport Layer Security) ikke er startet, initieres LDAP BIND-anmodningen med den indstilling for LDAP-datasignering, der er angivet ud over de indstillinger, som er angivet af kalderen. Hvis SSL/TLS er startet, initieres LDAP BIND-anmodningen med de indstillinger, der er angivet af kalderen.
      • Kræver signatur: Denne indstilling svarer til Aftal signering. Men hvis LDAP-serverens mellemliggende saslBindInProgress-svar ikke angiver, at LDAP-trafiksignering er nødvendig, får kalderen at vide, at anmodningen om LDAP BIND-kommandoen ikke lykkedes.
    2. Ustabil konfiguration

      Aktivering af indstillingen Netværkssikkerhed: Signeringskrav til LDAP-klient er en skadelig konfiguration. Hvis du angiver serveren til at kræve LDAP-signaturer, skal du også konfigurere LDAP-signering på klienten. Hvis du ikke konfigurerer klienten til at bruge LDAP-signaturer, kan der ikke oprettes kommunikation med serveren. Det medfører, at brugergodkendelse, indstillinger for gruppepolitik, logonscripts og andre funktioner mislykkes.
    3. Årsager til at redigere denne indstilling

      Usigneret netværkstrafik er udsat for angreb, hvor en uvedkommende henter pakker mellem klienten og serveren, ændrer pakkerne og derefter videresender dem til serveren. Når dette indtræffer på en LDAP-server, kan en person med ondsindede hensigter forårsage, at en server svarer på baggrund af falske forespørgsler fra LDAP-klienten. Du kan reducere denne risiko på virksomhedsnetværk ved at implementere stærke fysiske sikkerhedsforanstaltninger, der beskytter netværkets infrastruktur. Derudover kan det gøres yderst vanskeligt for uvedkommende at udføre angreb ved at kræve digitale signaturer på alle netværkspakker ved hjælp af IPSec-godkendelser.
    4. Symbolsk navn:

      LDAPClientIntegrity
    5. Sti til registreringsdatabase:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
  12. Hændelseslog: Maksimumstørrelse for sikkerhedslog
    1. Baggrund

      Sikkerhedsindstillingen Hændelseslog: Maksimumstørrelse for sikkerhedslog angiver maksimumstørrelsen på logfilen med sikkerhedshændelser. Denne logfil har en maksimumstørrelse på 4 GB. Hvis du vil se denne indstilling, skal du udvide Windows-indstillinger og derefter udvide Sikkerhedsindstillinger.
    2. Ustabile konfigurationer

      Følgende konfigurationsindstillinger er skadelige:
      • Begrænsning af størrelsen på sikkerhedslogfilen og bevaringsmetoden for sikkerhedslogfilen, når indstillingen Overvågning: Luk systemet omgående, hvis sikkerhedsovervågninger ikke kan logføres er aktiveret. Du kan finde flere oplysninger i følgende afsnit af denne artikel: "Overvågning: Luk systemet omgående, hvis sikkerhedsovervågninger ikke kan logføres".
      • Begrænsning af størrelsen på sikkerhedslogfilen, så vigtige sikkerhedshændelser overskrives.
    3. Årsager til at hæve denne indstilling

      Virksomheds- og sikkerhedskrav kan bestemme, at du skal øge størrelsen på sikkerhedslogfilen for at kunne håndtere flere oplysninger i sikkerhedslogfilen eller for at kunne bevare sikkerhedslogfilerne i længere tid.
    4. Årsager til at sænke denne indstilling

      Logfiler i Logbog er filer, hvor der er tilknyttet hukommelse. Maksimumstørrelsen på en hændelseslogfil er begrænset af mængden af fysisk hukommelse på den lokale computer og af den virtuelle hukommelse, der er tilgængelig for hændelseslogføringsprocessen. Selvom logfilens størrelse overstiger den mængde virtuel hukommelse, der er tilgængelig for Logbog, stiger antallet af poster i logfilen, som vedligeholdes, ikke.
    5. Eksempler på kompatibilitetsproblemer

      Windows 2000: På computere, der kører versioner af Windows 2000, som er ældre end SP4 (Service Pack 4), standser logføring af hændelser i hændelseslogfilen måske, før den størrelse, der er angivet i indstillingen Maksimal logstørrelse i Logbog, hvis indstillingen Overskriv ikke hændelser (ryd log manuelt) er aktiveret.

      Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
      312571 Hændelseslogfilen holder op med at logføre hændelser, før den maksimale logstørrelse er nået. Artiklen er evt. på engelsk.
  13. Hændelseslog: Vedligehold sikkerhedslog
    1. Baggrund

      Sikkerhedsindstillingen Hændelseslog: Vedligehold sikkerhedslog angiver ombrydningsmetoden for sikkerhedslogfilen. Hvis du vil se denne indstilling, skal du udvide Windows-indstillinger og derefter udvide Sikkerhedsindstillinger.
    2. Ustabile konfigurationer

      Følgende konfigurationsindstillinger er skadelige:
      • Ingen bevarelse af alle logførte sikkerhedshændelser, før de overskrives
      • Angivelse af en for lav værdi i indstillingen Maksimumstørrelse for sikkerhedslog så sikkerhedshændelser overskrives
      • Begrænsning af størrelsen på sikkerhedslogfilen og bevaringsmetoden for sikkerhedslogfilen, når indstillingen Overvågning: Luk systemet omgående, hvis sikkerhedsovervågninger ikke kan logføres er aktiveret
    3. Årsager til at aktivere denne indstilling

      Du skal kun aktivere denne indstilling, hvis du anvender bevaringsmetoden Overskriv hændelser efter dage. Hvis du bruger et korrelationssystem for hændelser, som forespørger efter hændelser, skal du kontrollere, at antallet af dage er mindst tre gange større end forespørgselsfrekvensen. Formålet med dette er at tage højde for mislykkede forespørgselscyklusser.
  14. Netværksadgang: Anvend tilladelsen Alle for anonyme brugere
    1. Baggrund

      Indstillingen Netværksadgang: Anvend tilladelsen Alle for anonyme brugere er som standard angivet til Ikke defineret i Windows Server 2003. Windows Server 2003 indeholder som standard ikke indstillingen Anonym adgang for gruppen Alle.
    2. Eksempler på kompatibilitetsproblemer

      Følgende værdi i
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
      [REG_DWORD]=0x0 bryder den tillid, der er opbygget mellem Windows Server 2003 og Windows NT 4.0, når Windows Server 2003-domænet er kontodomænet, og Windows NT 4.0-domænet er ressourcedomænet. Det betyder, at der er tillid til kontodomænet på Windows NT 4.0, og at ressourcedomænet har tillid på Windows Server 2003. Denne funktionsmåde indtræffer, fordi processen, der skal starte tilliden efter den indledende anonyme forbindelse, knytter adgangskontrollisten sammen med token'et Alle, der omfatter det anonyme sikkerheds-id på Windows NT 4.0.
    3. Årsager til at redigere denne indstilling

      Værdien skal angives til 0x1 eller angives ved hjælp af et gruppepolitikobjekt på domænecontrollerens organisationsenhed til at være: Netværksadgang: Anvend tilladelsen Alle for anonyme brugere ? Aktiveret for at gøre det muligt at oprette tillid.

      Bemærk! I de fleste andre sikkerhedsindstillinger angives den mest sikre tilstand med en højere værdi i stedet for med en lavere værdi ned til 0x0. En mere sikker praksis kunne være at ændre registreringsdatabasen på den primære domænecontrolleremulator og ikke på alle domænecontrollere. Hvis rollen for den primære domænecontrolleremulator af en eller anden grund flyttes, skal registreringsdatabasen opdateres på den nye server.

      Computeren skal genstartes, når denne værdi er angivet.
    4. Sti til registreringsdatabase
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
  15. NTLMv2-godkendelse

    Sessionssikkerhed

    Sessionssikkerhed bestemmer de minimale sikkerhedsstandarder for klient- og serversessioner. Det er en god ide at kontrollere følgende indstillinger for sikkerhedspolitikker i Microsoft Management Console-redigeringsprogrammet til gruppepolitik:
    • Computerindstillinger\Windows-indstillinger\Sikkerhedsindstillinger\Lokale politikker\Sikkerhedsindstillinger
    • Netværkssikkerhed: Minimum sessionssikkerhed for NTLM SSP-baserede servere, herunder sikker RPC
    • Netværkssikkerhed: Minimum sessionssikkerhed for NTLM SSP-baserede klienter, herunder sikker RPC
    Disse indstillinger kan angives til:
    • Kræver meddelelsesintegritet
    • Kræver meddelelsesfortrolighed
    • Kræver NTLMv2-sessionssikkerhed
    • Kræver 128-bit kryptering
    Standardindstillingen er Ingen krav.

    Disse politikker bestemmer de minimale sikkerhedsstandarder for kommunikation mellem programmer på en server til en klient.

    Hidtil har Windows NT understøttet følgende to varianter af Challenge/Response-godkendelse for netværkslogon:
    • LM Challenge/Response
    • NTLM version 1 Challenge/Response
    LM tillader kompatibilitet med den installerede basisopsætning af klienter og servere. NTLM giver øget sikkerhed til forbindelser mellem klienter og servere.

    De tilknyttede nøgler i registreringsdatabasen er følgende:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

Tidssynkronisering

Tidssynkronisering lykkedes ikke. Tiden er forskudt med mere end 30 minutter på den berørte computer. Kontroller, at klientcomputerens ur er synkroniseret med domænecontrollerens ur.

Løsning til SMBWorkaround for SMB-signering

Det anbefales, at du installerer SP6a (Service Pack 6a) på Windows NT 4.0-klienter, der er kompatible på et Windows Server 2003-baseret domæne. Windows 98 Second Edition-, Windows 98- og Windows 95-baserede klienter skal køre klienten til katalogtjenesterne for at udføre NTLMv2. Hvis Windows NT 4.0-baserede klienter ikke har Windows NT 4.0 SP6 (Service Pack 6) installeret, eller hvis Windows 95-, Windows 98- eller Windows 98SE-baserede klienter ikke har katalogtjenesterne installeret, kan du deaktivere SMB-signering i standarddomænecontrollerens politikindstilling på domænecontrollerens organisationsenhed og derefter knytte denne politik til alle organisationsenheder, der er vært for domænecontrollere.

Klienten til katalogtjenesterne til Windows 98 Second Edition, Windows 98 og Windows 95 udfører SMB-signering med Windows 2003-servere under NTLM-godkendelse, men ikke under NTLMv2-godkendelse. Derudover reagerer Windows 2000-servere ikke på anmodninger om SMB-signering fra disse klienter.

Selvom Microsoft ikke anbefaler det, kan du forhindre, at SMB-signering kræves på alle domænecontrollere, der kører Windows Server 2003 på et domæne. Du kan konfigurere denne sikkerhedsindstilling ved at følge disse trin:
  1. Åbn standarddomænecontrollerens politik.
  2. Åbn mappen Computerkonfiguration\Windows-indstillinger\Sikkerhedsindstillinger\Lokale politikker\Sikkerhedsindstillinger.
  3. Find politikindstillingen Microsoft-netværksserver: Signer kommunikation digitalt (altid), og klik på den. Klik derefter på Deaktiveret.
Vigtigt! I det følgende finder du en fremgangsmåde til redigering af registreringsdatabasen. Der kan dog opstå alvorlige problemer, hvis registreringsdatabasen ikke redigeres korrekt. Du skal derfor være meget omhyggelig med at følge den angivne fremgangsmåde. Som en ekstra sikkerhed bør du oprette en sikkerhedskopi af registreringsdatabasen, før du redigerer den. Det giver dig mulighed for at gendanne registreringsdatabasen, hvis der opstår problemer. Du kan finde flere oplysninger om, hvordan du sikkerhedskopierer og gendanner registreringsdatabasen, ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
322756 Sådan sikkerhedskopieres og gendannes registreringsdatabasen i Windows XP
Du kan også slå SMB-signering fra på serveren ved at ændre registreringsdatabasen. Det kan du gøre ved at benytte følgende fremgangsmåde:
  1. Klik på Start, klik på Kør, skriv regedit, og klik derefter på OK.
  2. Find og klik på følgende undernøgle:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters
  3. Klik på posten enablesecuritysignature.
  4. Klik på Rediger i menuen Rediger.
  5. Skriv 0 i feltet Værdidata, og klik derefter på OK.
  6. Afslut Registreringseditor.
  7. Genstart computeren, eller stop og genstart derefter Server-tjenesten. Det kan du gøre ved at skrive følgende kommandoer ved kommandoprompten og trykke på ENTER efter hver kommando:
    net stop server
    net start server
Bemærk! Den tilknyttede nøgle på klientcomputeren findes i følgende undernøgle i registreringsdatabasen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters
Nedenfor konverteres fejlkodenummeret til statuskoder og til den meddelelsestekst, der er nævnt tidligere:
fejl 5
ERROR_ACCESS_DENIED
Adgang nægtet.
fejl 1326
ERROR_LOGON_FAILURE
Logonfejl: ukendt brugernavn eller forkert adgangskode.
fejl 1788
ERROR_TRUSTED_DOMAIN_FAILURE
Tillidsforholdet mellem det primære domæne og det domæne, der er tillid til, blev afbrudt.
fejl 1789
ERROR_TRUSTED_RELATIONSHIP_FAILURE
Tillidsforholdet mellem denne arbejdsstation og det primære domæne svigtede.
Du kan finde flere oplysninger ved at klikke på følgende artikelnumre for at få vist artiklerne i Microsoft Knowledge Base:
324802 Sådan konfigureres gruppepolitikker til at angive sikkerhed for systemtjenester til i Windows Server 2003. Artiklen er evt. på engelsk.
306771 Fejlmeddelelsen Adgang nægtet, når du har konfigureret en Windows Server 2003-klynge. Artiklen er evt. på engelsk.
101747 Sådan installeres Microsoft-godkendelse på en Macintosh. Artiklen er evt. på engelsk.
161372 Sådan aktiveres SMB-signering i Windows NT. Artiklen er evt. på engelsk.
236414 Der kan ikke bruges shares, hvor LMCompatibilityLevel kun er angivet til NTLM 2-godkendelse. Artiklen er evt. på engelsk.
241338 Windows NT LAN Manager version 3-klient med første logon forhindrer efterfølgende logonaktivitet. Artiklen er evt. på engelsk.
262890 Der kunne ikke oprettes forbindelse til hjemmemappedrevet i et blandet miljø. Artiklen er evt. på engelsk.
308580 Tilknytning mellem hjemmemapper og tidligere versioner af servere fungerer måske ikke under logon. Artiklen er evt. på engelsk.
285901 Fjernadgang, VPN og RIS-klienter kan ikke oprette sessioner med en server, der ikke er konfigureret til kun at acceptere NTLM version 2-godkendelse. Artiklen er evt. på engelsk.
816585 Sådan anvendes foruddefinerede sikkerhedsskabeloner i Windows Server 2003. Artiklen er evt. på engelsk.
820281 Du skal angive legitimationsoplysninger for Windows-kontoen, når du opretter forbindelse til Exchange Server 2003 ved hjælp af funktionen Outlook 2003 RPC via HTTP. Artiklen er evt. på engelsk.

Egenskaber

Artikel-id: 823659 - Seneste redigering: 15. maj 2011 - Redigering: 20.0
Oplysningerne i denne artikel gælder:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows 95
Nøgleord: 
kbinfo KB823659

Send feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com