Αναγν. άρθρου: 823659 - Τελευταία αναθεώρηση: Τρίτη, 12 Αυγούστου 2008 - Αναθεώρηση: 17.1

Ζητήματα ασυμβατότητας προγραμμάτων-πελατών, υπηρεσιών και προγραμμάτων που ενδέχεται να προκύψουν όταν τροποποιείτε ρυθμίσεις ασφαλείας και εκχωρήσεις δικαιωμάτων χρήστη

Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Συμβουλή συστήματοςΑυτό το άρθρο ισχύει για διαφορετικό λειτουργικό σύστημα από αυτό που χρησιμοποιείτε. Το περιεχόμενο του άρθρου που ενδέχεται να μην σας αφορά έχει απενεργοποιηθεί.

Σε αυτήν τη σελίδα

Ανάπτυξη όλων | Σύμπτυξη όλων

Περίληψη

Αυτό το άρθρο περιγράφει ζητήματα ασυμβατότητας τα οποία ενδέχεται να προκύψουν σε υπολογιστές-πελάτες που εκτελούν Microsoft Windows 95, Microsoft Windows 98, Microsoft Windows NT 4.0, Microsoft Windows 2000, Microsoft Windows XP Professional ή Microsoft Windows Server 2003 όταν τροποποιείτε ρυθμίσεις ασφαλείας και εκχωρήσεις δικαιωμάτων χρήστη σε τομείς των Windows NT 4.0, των Windows 2000 και των Windows Server 2003.

Με την ρύθμιση αυτών των παραμέτρων και εκχωρήσεων σε τοπικές πολιτικές και πολιτικές ομάδας, μπορείτε να συμβάλετε στην ενίσχυση της ασφάλειας σε ελεγκτές τομέα και σε υπολογιστές-μέλη. Το μειονέκτημα της ενισχυμένης ασφάλειας είναι η εισαγωγή σε ζητήματα ασυμβατότητας με υπολογιστές-πελάτες, με υπηρεσίες και προγράμματα.

Για να αυξήσετε τη δυνατότητα ενημέρωσης σχετικά με εσφαλμένες ρυθμίσεις παραμέτρων ασφαλείας, χρησιμοποιήστε το εργαλείο "Πρόγραμμα επεξεργασίας αντικειμένου (Object Editor) της Πολιτικής ομάδας (Group Policy)" για να τροποποιήσετε τις ρυθμίσεις ασφαλείας. Όταν χρησιμοποιείτε το εργαλείο "Πρόγραμμα επεξεργασίας αντικειμένου (Object Editor) της Πολιτικής ομάδας (Group Policy)", οι εκχωρήσεις δικαιωμάτων χρήστη βελτιώνονται στα ακόλουθα λειτουργικά συστήματα:
  • Microsoft Windows XP Professional Service Pack 2 (SP2)
  • Microsoft Windows Server 2003 Service Pack 1 (SP1)
Η βελτίωση περιλαμβάνει ένα παράθυρο διαλόγου που περιέχει μια σύνδεση με αυτό το άρθρο, το οποίο αναδύεται κάθε φορά που αλλάζετε μια ρύθμιση ασφαλείας ή μια εκχώρηση δικαιωμάτων χρήστη με μια ρύθμιση που παρέχει λιγότερη συμβατότητα και έχει περισσότερους περιορισμούς. Εάν τροποποιήσετε απευθείας την ίδια ρύθμιση ασφαλείας ή εκχώρηση δικαιωμάτων χρήστη χρησιμοποιώντας πρότυπα ασφαλείας, το αποτέλεσμα είναι το ίδιο με την τροποποίηση της ρύθμισης στο εργαλείο "Πρόγραμμα επεξεργασίας αντικειμένου (Object Editor) της Πολιτικής ομάδας (Group Policy)". Ωστόσο, το παράθυρο διαλόγου που περιέχει τη σύνδεση με αυτό το άρθρο δεν εμφανίζεται.

Αυτό το άρθρο περιέχει παραδείγματα προγραμμάτων-πελατών, προγραμμάτων και λειτουργιών που επηρεάζονται από συγκεκριμένες ρυθμίσεις ασφαλείας ή εκχωρήσεις δικαιωμάτων χρήστη. Ωστόσο, τα παραδείγματα δεν αφορούν όλα τα λειτουργικά συστήματα της Microsoft, όλα τα λειτουργικά προγράμματα άλλων κατασκευαστών ή όλες τις εκδόσεις προγραμμάτων που επηρεάζονται. Σε αυτό το άρθρο δεν περιλαμβάνονται όλες οι ρυθμίσεις ασφαλείας ούτε όλες οι εκχωρήσεις δικαιωμάτων χρήστη.

Η Microsoft συνιστά να επικυρώσετε τη συμβατότητα όλων των ρυθμίσεων παραμέτρων που σχετίζονται με την ασφάλεια σε ένα δοκιμαστικό σύμπλεγμα δομών προτού τις εισαγάγετε σε ένα περιβάλλον παραγωγής. Το δοκιμαστικό σύμπλεγμα δομών πρέπει να απεικονίζει το σύμπλεγμα δομών παραγωγής με τους εξής τρόπους:
  • Εκδόσεις του λειτουργικού συστήματος για υπολογιστές-πελάτες και διακομιστές, προγράμματα υπολογιστή-πελάτη και διακομιστή, εκδόσεις Service Pack, επείγουσες επιδιορθώσεις, αλλαγές σχήματος, ομάδες ασφαλείας, ιδιότητες μέλους ομάδας, δικαιώματα σε αντικείμενα του συστήματος αρχείων, κοινόχρηστοι φάκελοι, το μητρώο, υπηρεσία καταλόγου Active Directory, τοπικές ρυθμίσεις και ρυθμίσεις πολιτικής ομάδας (Group Policy) και τύπο απαρίθμησης αντικειμένων και θέση
  • Οι διαχειριστικές εργασίες που εκτελούνται, τα διαχειριστικά εργαλεία που χρησιμοποιούνται και τα λειτουργικά συστήματα που χρησιμοποιούνται για την εκτέλεση των διαχειριστικών εργασιών
  • Λειτουργίες που εκτελούνται, συμπεριλαμβανομένου του ελέγχου ταυτότητας σύνδεσης χρήστη και υπολογιστή, επαναφορές κωδικού πρόσβασης από χρήστες, από υπολογιστές και από διαχειριστές, περιήγηση, ορισμός δικαιωμάτων για το σύστημα αρχείων, για κοινόχρηστους φάκελους, για το μητρώο και για πόρους της υπηρεσίας καταλόγου Active Directory, χρησιμοποιώντας το πρόγραμμα επεξεργασίας ACL (ACL Editor) σε όλα τα λειτουργικά συστήματα υπολογιστών-πελατών όλων των τομέων λογαριασμών ή πόρων από όλα τα λειτουργικά συστήματα υπολογιστών-πελατών όλων των τομέων λογαριασμών ή πόρων, εκτύπωση από διαχειριστικούς και μη διαχειριστικούς λογαριασμούς
Επιστροφή στην αρχή

Windows Server 2003 SP1

Προειδοποιήσεις για το Gpedit.msc

Για να βοηθήσετε τους πελάτες έτσι ώστε να γνωρίζουν ότι επεξεργάζονται ένα δικαίωμα χρήστη ή μια επιλογή ασφαλείας που θα μπορούσαν να έχουν αρνητικές συνέπειες στο δίκτυό τους, έχουν προσταθεί δύο μηχανισμοί προειδοποίησης στο gpedit.msc. Όταν οι διαχειριστές επεξεργάζονται ένα δικαίωμα χρήστη το οποίο μπορεί να επηρεάσει αρνητικά ολόκληρη την επιχείρηση, θα παρατηρήσουν ένα νέο εικονίδιο, το οποίο μοιάζει με σύμβολο παραχώρησης προτεραιότητας. Θα εμφανιστεί επίσης ένα προειδοποιητικό μήνυμα που περιέχει μια σύνδεση με το άρθρο 823659 της Γνωσιακής βάσης της Microsoft (Knowledge Base). Το κείμενο αυτού του μηνύματος έχει ως εξής:
Modifying this setting may affect compatibility with clients, services, and applications. For more information see <user right or security option being modified> (Q823659)
Εάν έχετε οδηγηθεί σε αυτήν τη Γνωσιακή βάση από μια σύνδεση στο GPEDIT.MSC βεβαιωθείτε ότι έχετε διαβάσει και κατανοήσει την εξήγηση που παρέχεται καθώς και τις πιθανές συνέπειες της τροποποίησης αυτής της ρύθμισης. Αυτό που ακολουθεί είναι μια λίστα δικαιωμάτων χρήστη που περιέχει το νέο κείμενο προειδοποίησης:
  • Πρόσβαση αυτού του υπολογιστή από το δίκτυο (Access this computer from network)
  • Τοπική σύνδεση (Log on locally)
  • Παράκαμψη ελέγχου διέλευσης (Bypass Traverse Checking)
  • Ενεργοποίηση υπολογιστών και χρηστών για αξιόπιστη αντιπροσώπευση (Enable computers and users for trusted delegation)
Ακολουθεί μια λίστα επιλογών ασφαλείας (Security Options) με μια προειδοποίηση και ένα αναδυόμενο παράθυρο:
  • Μέλος τομέα (Domain Member): Κρυπτογράφηση ή ψηφιακή υπογραφή των δεδομένων του καναλιού ασφαλείας (πάντα) (Digitally encrypt or sign secure channel data (always)
  • Μέλος τομέα (Domain Member): Απαιτείται ισχυρό κλειδί περιόδου λειτουργίας (Windows 2000 ή νεότερης έκδοσης)
  • Ελεγκτής τομέα (Domain Controller): Απαιτήσεις υπογραφής διακομιστή LDAP (LDAP server signing requirements)
  • Διακομιστής δικτύου Microsoft (Microsoft network server): Ψηφιακή υπογραφή κατά την επικοινωνία (πάντα) (Digitally sign communications (always)
  • Πρόσβαση δικτύου (Network Access): Επιτρέπονται ανώνυμες μεταφράσεις αναγνωριστικού ασφαλείας (Sid)/ονόματος (Allows Anonymous Sid / Name translation)
  • Πρόσβαση δικτύου (Network Access): Να μην επιτρέπεται η ανώνυμη απαρίθμηση λογαριασμών και κοινόχρηστων στοιχείων SAM (Do not allow anonymous enumeration of SAM accounts and shares)
  • Ασφάλεια δικτύου (Network security): Επίπεδο ελέγχου ταυτότητας του προγράμματος LAN Manager (LAN Manager Authentication level)
  • Έλεγχος (Audit): Άμεσος τερματισμός του συστήματος όταν δεν είναι σε θέση να καταγράψει ελέγχους ασφαλείας (Shut down system immediately if unable to log security audits)
  • Πρόσβαση δικτύου (Network Access): Απαιτήσεις υπογραφής υπολογιστή-πελάτη LDAP (LDAP client signing requirements)
Επιστροφή στην αρχή

Περισσότερες πληροφορίες

Οι ακόλουθες ενότητες περιγράφουν τα ζητήματα ασυμβατότητας που ενδέχεται να προκύψουν όταν τροποποιείτε συγκεκριμένες ρυθμίσεις σε τομείς με Windows NT 4.0, Windows 2000 και Windows Server 2003.
Επιστροφή στην αρχή

Δικαιώματα χρήστη

  1. Πρόσβαση αυτού του υπολογιστή από το δίκτυο (Access this computer from network)
    1. Παρασκήνιο

      Η δυνατότητα αλληλεπίδρασης με απομακρυσμένους υπολογιστές με Windows απαιτεί το δικαίωμα χρήστη Πρόσβαση αυτού του υπολογιστή από το δίκτυο (Access this computer from network). Στα παραδείγματα τέτοιων λειτουργιών δικτύου περιλαμβάνονται η αναπαραγωγή της υπηρεσίας καταλόγου Active Directory μεταξύ ελεγκτών τομέα σε έναν κοινό τομέα ή σύμπλεγμα δομών, οι αιτήσεις ελέγχου ταυτότητας σε ελεγκτές τομέα από χρήστες και υπολογιστές και η πρόσβαση σε κοινόχρητους φακέλους, σε εκτυπωτές και σε άλλες υπηρεσίες συστήματος, οι οποίες βρίσκονται σε απομακρυσμένους υπολογιστές του δικτύου.

      Οι χρήστες, οι υπολογιστές και οι λογαριασμοί χρήστη αποκτούν ή χάνουν το δικαίωμα Πρόσβαση αυτού του υπολογιστή από το δίκτυο (Access this computer from network) όταν προστίθενται ή καταργούνται άμεσα ή έμμεσα από μια ομάδα ασφαλείας στην οποία έχει εκχωρηθεί αυτό το δικαίωμα χρήστη. Για παράδειγμα, ένας λογαριασμός χρήστη ή υπολογιστή μπορεί να έχει προστεθεί άμεσα σε μια προσαρμοσμένη ή ενσωματωμένη ομάδα ασφαλείας από ένα διαχειριστή ή μπορείτε να έχει προστεθεί έμμεσα από το λειτουργικό σύστημα σε μια ομάδα ασφαλείας όπως οι Domain Users, Authenticated Users ή Enterprise Domain Controllers.

      Από προεπιλογή, στους λογαριασμούς χρήστη και υπολογιστή εκχωρείται το δικαίωμα χρήστη Πρόσβαση αυτού του υπολογιστή από το δίκτυο (Access this computer from network) όταν ομάδες υπολογιστή όπως οι ομάδες Everyone ή, κατά προτίμηση η ομάδα, Authenticated Users και, για ελεγκτές τομέα, η ομάδα Enterprise Domain Controllers, έχουν καθοριστεί στο προεπιλεγμένο αντικείμενο πολιτικής ομάδας (Group Policy object - GPO) των ελεγκτών τομέα .
    2. Επικίνδυνες ρυθμίσεις παραμέτρων

      Ακολουθούν ορισμένες επικίνδυνες ρυθμίσεις παραμέτρων:
      • Κατάργηση της ομάδας ασφαλείας Enterprise Domain Controllers από αυτό το δικαίωμα χρήστη
      • Κατάργηση της ομάδας Authenticated Users ή μιας αποκλειστικής ομάδας που παρέχει σε λογαριασμούς χρηστών, υπολογιστών και υπηρεσιών το δικαίωμα χρήστη για σύνδεση με υπολογιστές του δικτύου
      • Κατάργηση όλων των χρηστών και υπολογιστών από αυτό το δικαίωμα χρήστη
    3. Λόγοι για την εκχώρηση αυτού του δικαιώματος χρήστη
      • Η εκχώρηση του δικαιώματος χρήστη Πρόσβαση αυτού του υπολογιστή από το δίκτυο (Access this computer from network) στην ομάδα Enterprise Domain Controllers ικανοποιεί τις απαιτήσεις ελέγχου ταυτότητας που πρέπει να έχει η αναπαραγωγή της υπηρεσίας καταλόγου Active Directory για την εκτέλεση της αναπαραγωγής μεταξύ ελεγκτών τομέα στο ίδιο σύμπλεγμα.
      • Αυτό το δικαίωμα χρήστη δίνει τη δυνατότητα σε χρήστες και υπολογιστές να αποκτήσουν πρόσβαση σε κοινόχρηστους φακέλους, εκτυπωτές και υπηρεσίες συστήματος, συμπεριλαμβανομένης της υπηρεσίας καταλόγου Active Directory.
      • Αυτό το δικαίωμα χρήστη απαιτείται από τους χρήστες για την απόκτηση πρόσβασης στην αλληλογραφία, χρησιμοποιώντας παλαιότερες εκδόσεις του Microsoft Outlook Web Access (OWA).
    4. Λόγοι για την κατάργηση αυτού του δικαιώματος χρήστη
      • Οι χρήστες που έχουν τη δυνατότητα σύνδεσης των υπολογιστών τους με το δίκτυο μπορούν να αποκτήσουν πρόσβαση σε πόρους απομακρυσμένων υπολογιστών για τους οποίους έχουν δικαιώματα. Για παράδειγμα, αυτό το δικαίωμα χρήστη απαιτείται για τη σύνδεση ενός χρήστη σε κοινόχρηστούς εκτυπωτές και φακέλους. Εάν αυτό το δικαίωμα χρήστη εκχωρηθεί στην ομάδα Everyone και ορισμένοι κοινόχρηστοι φάκελοι διαθέτουν δικαιώματα κοινόχρηστο στοιχείο και δικαιώματα συστήματος αρχείων NTFS ρυθμισμένα έτσι ώστε η ίδια ομάδα να διαθέτει δικαιώματα ανάγνωσης, τότε οποιοδήποτε άτομο μπορεί να προβάλει αρχεία σε αυτούς τους κοινόχρηστους φακέλους. Ωστόσο, αυτή είναι μια απίθανη περίπτωση για πρόσφατες εγκαταστάσεις του Windows Server 2003, επειδή το προεπιλεγμένο κοινόχρηστο στοιχείο και τα δικαιώματα NTFS του Windows Server 2003 δεν περιλαμβάνουν την ομάδα Everyone. Για συστήματα που έχουν αναβαθμιστεί από Microsoft Windows NT 4.0 ή Windows 2000, αυτό το ζήτημα ευπάθειας ενδέχεται να περιέχει μεγαλύτερο βαθμό κινδύνου, επειδή το προεπιλεγμένο κοινόχρηστο στοιχείο και τα δικαιώματα συστήματος αρχείων αυτών των λειτουργικών συστημάτων δεν έχουν τόσους πολλούς περιορισμούς όσο τα προεπιλεγμένα δικαιώματα στον Windows Server 2003.
      • Δεν υπάρχει βάσιμος λόγος για την κατάργηση της ομάδας Enterprise Domain Controllers από αυτό το δικαίωμα χρήστη.
      • Ο ομάδα Everyone καταργείται συνήθως για χάρη της ομάδας Authenticated Users. Εάν καταργηθεί η ομάδα Everyone, αυτό το δικαίωμα χρήστη πρέπει να εκχωρηθεί στην ομάδα Authenticated Users.
      • Οι τομείς με Windows NT 4.0 που έχουν αναβαθμιστεί σε Windows 2000 δεν παραχωρούν άμεσα στις ομάδες Everyone, Authenticated Users ή Enterprise Domain Controllers το δικαίωμα χρήστη Πρόσβαση αυτού του υπολογιστή από το δίκτυο (Access this computer from network). Επομένως, όταν καταργείται την ομάδα Everyone από την πολιτική τομέα των Windows NT 4.0, η αναπαραγωγή της υπηρεσίας καταλόγου Active Directory θα αποτύχει εμφανίζοντας το μήνυμα λάθους "Δεν επιτρέπεται η πρόσβαση" (Access Denied) μετά την αναβάθμιση σε Windows 2000. Το Winnt32.exe στον Windows Server 2003 αποφεύγει αυτήν την εσφαλμένη ρύθμιση παραμέτρων εκχωρώντας αυτό το δικαίωμα χρήστη στην ομάδα Enterprise Domain Controllers κατά την αναβάθμιση των πρωτευόντων ελεγκτών τομέα (PDC) των Windows NT 4.0. Εκχωρήστε στην ομάδα Enterprise Domain Controllers αυτό το δικαίωμα χρήστη στην περίπτωση που δεν υπάρχει στο "Πρόγραμμα επεξεργασίας αντικειμένου (Object Editor) της Πολιτικής ομάδας (Group Policy)".
    5. Παραδείγματα προβλημάτων συμβατότητας
      • Windows 2000 και Windows Server 2003: Η αναπαραγωγή του σχήματος της υπηρεσίας καταλόγου Active Directory (Active Directory Schema), της ρύθμισης παραμέτρων, του τομέα, του καθολικού καταλόγου ή των διαμερισμάτων εφαρμογών θα αποτύχει, εμφανίζοντας το μήνυμα λάθους "Δεν επιτρέπεται η πρόσβαση" (Access Denied) που αναφέρεται από τα εργαλεία παρακολούθησης όπως τα REPLMON και REPADMIN ή τα συμβάντα αναπαραγωγής στο αρχείο καταγραφής συμβάντων.
      • Όλα τα λειτουργικά συστήματα δικτύου της Microsoft: Ο έλεγχος ταυτότητας λογαριασμού χρήστη από απομακρυσμένους υπολογιστές-πελάτες δικτύου θα αποτύχει, εκτός στο χρήστη ή σε μια ομάδα ασφαλείας της οποίας είναι μέλος έχει εκχωρηθεί αυτό το δικαίωμα χρήστη.
      • Όλα τα λειτουργικά συστήματα δικτύου της Microsoft: Ο έλεγχος ταυτότητας λογαριασμού από απομακρυσμένους υπολογιστές-πελάτες δικτύου θα αποτύχει, εκτός στο λογαριασμό ή σε μια ομάδα ασφαλείας της οποίας είναι μέλος έχει εκχωρηθεί αυτό το δικαίωμα χρήστη. Αυτό το σενάριο ισχύει για λογαριασμούς χρήστη, για λογαριασμούς υπολογιστή και για λογαριασμούς υπηρεσιών.
      • Όλα τα λειτουργικά συστήματα δικτύου της Microsoft: Η κατάργηση όλων των λογαριασμών από αυτό το δικαίωμα χρήστη θα αποτρέψει οποιονδήποτε λογαριασμό να συνδεθεί στον τομέα ή να αποκτήσει πρόσβαση σε πόρους δικτύου. Εάν καταργηθούν λογαριασμοί υπολογιστή όπως Enterprise Domain Controllers, Everyone ή Authenticated Users, πρέπει να παραχωρήσετε άμεσα αυτό το δικαίωμα χρήστη σε λογαριασμούς ή σε ομάδες των οποίων αποτελούν μέλη για να αποκτήσουν πρόσβαση σε απομακρυσμένους υπολογιστές του δικτύου. Αυτό το σενάριο ισχύει για όλους τους λογαριασμούς χρήστη, για όλους τους λογαριασμούς υπολογιστή και για όλους τους λογαριασμούς υπηρεσιών.
      • Όλα τα λειτουργικά συστήματα δικτύου της Microsoft: Ο λογαριασμός τοπικού διαχειριστή χρησιμοποιεί έναν "κενό" κωδικό πρόσβασης. Η σύνδεση στο δίκτυο με κενούς κωδικούς πρόσβασης δεν επιτρέπεται για λογαριασμούς διαχειριστή σε περιβάλλον τομέα. Με αυτήν τη ρύθμιση παραμέτρων, είναι πιθανόν να εμφανιστεί το μήνυμα λάθους "Δεν επιτρέπεται η πρόσβαση" (Access Denied).
  2. Δυνατότητα τοπικής σύνδεσης
    1. Παρασκήνιο

      Οι χρήστες που προσπαθούν να συνδεθούν στην κονσόλα ενός υπολογιστή που βασίζεται στα Microsoft Windows (χρησιμοποιώντας την ακολουθία πλήκτρων σύνδεσης CTRL+ALT+DELETE) και οι λογαριασμοί που προσπαθούν να ξεκινήσουν μια υπηρεσία πρέπει να έχουν δικαιώματα τοπικής σύνδεσης στον κεντρικό υπολογιστή. Στα παραδείγματα λειτουργιών τοπικής σύνδεσης περιλαμβάνονται διαχειριστές που συνδέονται στις κονσόλες υπολογιστών-μελών ή ελεγκτών τομέα σε ολόκληρη την επιχείρηση και χρήστες τομέα που συνδέονται με υπολογιστές-μέλη για την απόκτηση πρόσβασης στις επιφάνειες εργασίας τους, χρησιμοποιώντας λογαριασμούς χωρίς δικαιώματα. Οι χρήστες που χρησιμοποιούν σύνδεση σύνδεσης Απομακρυσμένης επιφάνειας εργασίας ή υπηρεσιών Terminal Services πρέπει να έχουν το δικαίωμα χρήστη Δυνατότητα τοπικής σύνδεσης (Allow log on locally) σε υπολογιστές-προορισμού που χρησιμοποιούν Windows 2000 ή Windows XP, επειδή αυτές οι λειτουργίες σύνδεσης θεωρούνται τοπικές στον κεντρικό υπολογιστή. Οι χρήστες που συνδέονται με ένα διακομιστή που έχει ενεργοποιημένο τον Terminal Server και που δεν διαθέτει αυτό το δικαίωμα χρήστη εξακολουθούν να έχουν τη δυνατότητα εκκίνησης μιας απομακρυσμένης αλληλεπιδραστικής περιόδου λειτουργίας σε τομείς του Windows Server 2003 στην περίπτωση που έχουν το δικαίωμα χρήστη Δυνατότητα σύνδεσης μέσω των υπηρεσιών Terminal Services (Allow logon through Terminal Services).
    2. Επικίνδυνες ρυθμίσεις παραμέτρων

      Ακολουθούν ορισμένες επικίνδυνες ρυθμίσεις παραμέτρων:
      • Κατάργηση διαχειριστικών ομάδων ασφαλείας, συμπεριλαμβανομένων των ομάδων Account Operators, Backup Operators, Print Operators ή Server Operators και της ενσωματωμένης ομάδας Administrators από την προεπιλεγμένη πολιτική ελεγκτών τομέα.
      • Κατάργηση λογαριασμών υπηρεσιών, οι οποίοι χρησιμοποιούνται από στοιχεία και προγράμματα σε υπολογιστές-μέλη και σε ελεγκτές τομέα του τομέα, από την προεπιλεγμένη πολιτική ελεγκτών τομέα.
      • Κατάργηση χρηστών ή ομάδων ασφαλείας που συνδέονται στην κονσόλα των υπολογιστών-μελών του τομέα.
      • Κατάργηση λογαριασμών υπηρεσιών οι οποίοι καθορίζονται στην τοπική βάση δεδομένων SAM (Security Accounts Manager) των υπολογιστών-μελών ή των υπολογιστών ομάδας εργασίας.
      • Κατάργηση μη ενσωματωμένων λογαριασμών διαχειριστή, οι οποίοι εκτελούν έλεγχο ταυτότητας στις υπηρεσίες Terminal Services που εκτελούνται σε έναν ελεγκτή τομέα.
      • Προσθήκη όλων των λογαριασμών χρήστη στον τομέα, άμεσα ή έμμεσα, μέσω της ομάδας Everyone, στο δικαίωμα σύνδεσης "Άρνηση τοπικής πρόσβασης" (Deny Logon Locally). Αυτή η ρύθμιση παραμέτρων θα εμποδίσει τους χρήστες να συνδεθούν σε οποιονδήποτε υπολογιστή-μέλος ή σε οποιονδήποτε ελεγκτή τομέα του τομέα.
    3. Λόγοι για την εκχώρηση αυτού του δικαιώματος χρήστη
      • Οι χρήστες πρέπει να έχουν το δικαίωμα χρήστη Δυνατότητα τοπικής σύνδεσης (Allow log on locally) για να αποκτήσουν πρόσβαση στην κονσόλα ή την επιφάνεια εργασίας ενός υπολογιστή ομάδας εργασίας, ενός υπολογιστή-μέλους ή ενός ελεγκτή τομέα.
      • Οι χρήστες πρέπει να έχουν αυτό το δικαίωμα χρήστη για να συνδεθούν μέσω μιας περιόδου λειτουργίας υπηρεσιών Terminal Services η οποία εκτελείται σε έναν υπολογιστή-μέλος με Window 2000 ή έναν ελεγκτή τομέα.
    4. Λόγοι για την κατάργηση αυτού του δικαιώματος χρήστη
      • Η αποτυχία περιορισμού της πρόσβασης στην κονσόλα σε αξιόπιστους λογαριασμούς χρήστη θα μπορούσε να καταλήξει σε λήψη και εκτέλεση επιβλαβούς κώδικα από μη εξουσιοδοτημένους χρήστης με σκοπό την αλλαγή των δικαιωμάτων χρήστη.
      • Η κατάργηση του δικαιώματος χρήστη Δυνατότητα τοπικής σύνδεσης (Allow log on locally) αποτρέπει τις μη εξουσιοδοτημένες συνδέσεις στις κονσόλες υπολογιστών, όπως οι ελεγκτές τομέα ή οι διακομιστές εφαρμογών.
      • Η κατάργηση αυτού του δικαιώματος σύνδεσης αποτρέπει τη σύνδεση λογαριασμών που δεν ανήκουν σε τομέα στην κονσόλα υπολογιστών που είναι μέλη του τομέα.
    5. Παραδείγματα προβλημάτων συμβατότητας
      • Διακομιστές τερματικού με Windows 2000: Το δικαίωμα χρήστη Δυνατότητα τοπικής σύνδεσης (Allow log on locally) απαιτείται για τη σύνδεση χρηστών σε διακομιστές τερματικού με Windows 2000.
      • Windows NT 4.0, Windows 2000, Windows XP ή Windows Server 2003: Στους λογαριασμούς χρήστη πρέπει να εκχωρείται αυτό το δικαίωμα χρήστη για να είναι δυνατή η σύνδεση στην κονσόλα υπολογιστών που χρησιμοποιούν Windows NT 4.0, Windows 2000, Windows XP ή Windows Server 2003.
      • Windows NT 4.0 και νεότερες εκδόσεις: Σε υπολογιστές που χρησιμοποιούν Windows NT 4.0 και νεότερες εκδόσεις, εάν προσθέσετε το δικαίωμα χρήστη Δυνατότητα τοπικής σύνδεσης (Allow log on locally), αλλά εκχωρήσετε επίσης έμμεσα ή άμεσα το δικαίωμα σύνδεσης Άρνηση τοπικής πρόσβασης (Deny Logon Locally), οι λογαριασμοί δεν θα είναι σε θέση να συνδεθούν στην κονσόλα των ελεγκτών τομέα.
  3. Παράκαμψη ελέγχου διέλευσης (Bypass Traverse Checking)
    1. Παρασκήνιο

      Το δικαίωμα χρήστη Παράκαμψη ελέγχου διέλευσης (Bypass Traverse Checking) επιτρέπει στο χρήστη να περιηγηθεί στους φακέλους του συστήματος αρχείων NTFS ή στο μητρώο, χωρίς να χρειαστεί να κάνει έλεγχο για την ύπαρξη του ειδικού δικαιώματος πρόσβασης Αλλαγή φακέλου (Traverse Folder). Το δικαίωμα χρήστη Παράκαμψη ελέγχου διέλευσης (Bypass traverse checking) δεν επιτρέπει στο χρήστη να παραθέσει τα περιεχόμενα ενός φακέλου. Του επιτρέπει μόνο να αλλάζει φακέλους.
    2. Επικίνδυνες ρυθμίσεις παραμέτρων

      Ακολουθούν ορισμένες επικίνδυνες ρυθμίσεις παραμέτρων:
      • Κατάργηση μη διαχειριστικών λογαριασμών οι οποίοι συνδέονται με υπολογιστές Terminal Services που βασίζονται σε Windows 2000 ή Windows Server 2003, οι οποίοι δεν διαθέτουν δικαιώματα πρόσβασης σε αρχεία και φακέλους του συστήματος αρχείων.
      • Κατάργηση της ομάδας Everyone από τη λίστα των αρχών ασφαλείας, οι οποίοι, από προεπιλογή, διαθέτουν αυτό το δικαίωμα χρήστη. Τα λειτουργικά συστήματα των Windows, καθώς επίσης και πολλά προγράμματα, έχουν σχεδιαστεί με την προσδοκία ότι όλα τα άτομα που έχουν τη δυνατότητα νόμιμης πρόσβασης στον υπολογιστή θα διαθέτουν το δικαίωμα χρήστη Παράκαμψη ελέγχου διέλευσης (Bypass Traverse Checking). Επομένως, η κατάργηση της ομάδας Everyone από τη λίστα των αρχών ασφαλείας, οι οποίοι, από προεπιλογή, έχουν αυτό το δικαίωμα χρήστη, θα μπορούσε να οδηγήσει σε αστάθεια του λειτουργικού συστήματος ή σε αποτυχία του προγράμματος. Είναι καλύτερα να αφήσετε την προεπιλεγμένη ρύθμιση.
    3. Λόγοι για την εκχώρηση αυτού του δικαιώματος χρήστη

      Η προεπιλεγμένη ρύθμιση για το δικαίωμα χρήστη Παράκαμψη ελέγχου διέλευσης (Bypass Traverse Checking) είναι να επιτρέπεται σε όλους να παρακάμπτουν τον έλεγχο διέλευσης. Για τους έμπειρους διαχειριστές συστημάτων των Windows, αυτή είναι η αναμενόμενη συμπεριφορά οπότε ρυθμίζουν ανάλογα τις παραμέτρους των λιστών ελέγχου πρόσβασης του συστήματος αρχείων (SACL). Το μοναδικό σενάριο όπου η προεπιλεγμένη ρύθμιση παραμέτρων ενδέχεται να οδηγήσει σε αποτυχία είναι όταν ο διαχειριστής που ρυθμίζει τις παραμέτρους των δικαιωμάτων δεν κατανοήσει τη συμπεριφορά και θεωρήσει ότι οι χρήστες που δεν μπορούν να αποκτήσουν πρόσβαση σε ένα γονικό φάκελο δεν θα είναι σε θέση να αποκτήσουν πρόσβαση στα περιεχόμενα οποιουδήποτε εξαρτημένου φακέλου.
    4. Λόγοι για την κατάργηση αυτού του δικαιώματος χρήστη

      Οι εταιρείες που ανησυχούν υπερβολικά για την ασφάλεια ενδέχεται να μπούν στον πειρασμό να καταργήσουν την ομάδα Everyone ή ακόμα και την ομάδα Users, από τη λίστα ομάδων που διαθέτουν το δικαίωμα Παράκαμψη ελέγχου διέλευσης (Bypass Traverse Checking) ή να προσπαθήσουν να αποτρέψουν την πρόσβαση σε αρχεία ή φακέλους του συστήματος αρχείων.
    5. Παραδείγματα προβλημάτων συμβατότητας
      • Windows 2000, Windows Server 2003: Στην περίπτωση που το δικαίωμα χρήστη Παράκαμψη ελέγχου διέλευσης (Bypass Traverse Checking) καταργηθεί ή ρυθμιστεί εσφαλμένα σε υπολογιστές που χρησιμοποιούν Windows 2000 ή Windows Server 2003, οι ρυθμίσεις πολιτικής ομάδας (Group Policy) του φακέλου SYVOL δεν θα αναπαραχθούν μεταξύ των ελεγκτών τομέα του τομέα.
      • Windows 2000, Windows XP Professional, Windows Server 2003: Οι υπολογιστές που εκτελούν Windows 2000, Windows XP Professional ή Windows Server 2003 θα καταγράψουν τα συμβάντα 1000 και 1202 και δεν θα είναι σε θέση να εφαρμόσουν πολιτική υπολογιστή και πολιτική χρήστη όταν τα απαιτούμενα δικαιώματα συστήματος αρχείων καταργηθούν από τη δομή SYSVOL, εφόσον έχει καταργηθεί ή ρυθμιστεί εσφαλμένα το δικαίωμα χρήστη Παράκαμψη ελέγχου διέλευσης (Bypass Traverse Checking).

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        290647  (http://support.microsoft.com/kb/290647/ ) Τα μηνύματα αναγνωριστικού συμβάντος 1000 και 1001 καταγράφονται κάθε πέντε λεπτά στο αρχείο καταγραφής εφαρμογής
      • Windows 2000, Windows Server 2003: Σε υπολογιστές που εκτελούν Windows 2000 ή Windows Server 2003, η καρτέλα Όριο (Quota) της "Εξερεύνησης των Windows" (Windows Explorer) θα εξαφανιστεί κατά την προβολή των ιδιοτήτων ενός τόμου.
      • Windows 2000: Τα άτομα χωρίς δικαιώματα διαχειριστή που συνδέονται σε ένα διακομιστή τερματικού με Windows 2000 ενδέχεται να λάβουν το ακόλουθο μήνυμα λάθους:
        Σφάλμα εφαρμογής του Userinit.exe (Userinit.exe application error.) Η εφαρμογή απέτυχε να προετοιμαστεί σωστά 0xc0000142 κάντε κλικ στο κουμπί OK για να την τερματίσετε (The application failed to initialize properly 0xc0000142 click OK to terminate the app.)
        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        272142  (http://support.microsoft.com/kb/272142/ ) Οι χρήστες αποσυνδέονται αυτόματα κατά την προσπάθειά τους να συνδεθούν στις υπηρεσίες Terminal Services (US)
      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Οι χρήστες των οποίων οι υπολογιστές εκτελούν Windows NT 4.0, Windows 2000, Windows XP ή Windows Server 2003, ενδέχεται να μην είναι σε θέση να αποκτήσουν πρόσβαση σε κοινόχρηστους φακέλους ή σε αρχεία κοινόχρηστων φακέλων και ενδέχεται να λάβουν το μήνυμα λάθους "Δεν επιτρέπεται η πρόσβαση" (Access Denied) στην περίπτωση που δεν τους έχει παραχωρηθεί το δικαίωμα χρήστη Παράκαμψη ελέγχου διέλευσης (Bypass traverse checking).

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        277644  (http://support.microsoft.com/kb/277644/ ) Εμφανίζεται το μήνυμα λάθους "Δεν επιτρέπεται η πρόσβαση" (Access Denied) όταν οι χρήστες προσπαθήσουν να αποκτήσουν πρόσβαση σε κοινόχρηστους φακέλους (US)
      • Windows NT 4.0: Σε υπολογιστές που χρησιμοποιούν Windows NT 4.0, η κατάργηση του δικαιώματος χρήστη Bypass traverse checking θα προκαλέσει την απόρριψη ροών αρχείων από την αντιγραφή αρχείου. Εάν καταργήσετε αυτό το δικαίωμα χρήστη, όταν ένα αρχείο αντιγράφεται από έναν υπολογιστή-πελάτη με Windows ή από έναν υπολογιστή-πελάτη με Macintosh σε έναν ελεγκτή τομέα με Windows NT 4.0 που εκτελεί το Services for Macintosh, η ροή αρχείου προορισμού χάνεται και το αρχείο εμφανίζεται ως αρχείο που περιέχει μόνο κείμενο.

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        172930  (http://support.microsoft.com/kb/172930/ ) Η κατάργηση της "Παράκαμψης ελέγχου διέλευσης (Bypass Traverse Checking)" προκαλεί την απόρριψη ροών από την αντιγραφή αρχείου (US)
      • Microsoft Windows 95, Microsoft Windows 98: Σε έναν υπολογιστή-πελάτη που χρησιμοποιεί Windows 95 ή Windows 98, η εντολή net use * /home θα αποτύχει, εμφανίζοντας το μήνυμα λάθους "Δεν επιτρέπεται η πρόσβαση" (Access Is Denied), στην περίπτωση που στην ομάδα Authenticated Users δεν έχει εκχωρηθεί το δικαίωμα χρήστη Παράκαμψη ελέγχου διέλευσης (Bypass Traverse Checking).
      • Outlook Web Access: Οι χρήστες χωρίς δικαιώματα διαχειριστή δεν θα έχουν τη δυνατότητα σύνδεσης με το Microsoft Outlook Web Access και θα λάβουν το μήνυμα λάθους "Δεν επιτρέπεται η πρόσβαση" (Access Is Denied) στην περίπτωση που δεν τους έχει εκχωρηθεί το δικαίωμα χρήστη Παράκαμψη ελέγχου διέλευσης (Bypass Traverse Checking).
Ρυθμίσεις ασφαλείας (Security Settings)
  1. Έλεγχος (Audit): Άμεσος τερματισμός του συστήματος όταν δεν είναι σε θέση να καταγράψει ελέγχους ασφαλείας (Audit: Shut down system immediately if unable to log security audits)
    1. Παρασκήνιο
      • Η ρύθμιση Έλεγχος: Άμεσος τερματισμός του συστήματος όταν δεν είναι σε θέση να καταγράψει ελέγχους ασφαλείας (Audit: Shut down system immediately if unable to log security audits) προσδιορίζει αν το σύστημα τερματίζεται όταν δεν υπάρχει δυνατότητα καταγραφής συμβάντων ασφαλείας. Αυτή η ρύθμιση απαιτείται για την αξιολόγηση C2 του προγράμματος TCSEC (Trusted Computer Security Evaluation Criteria) και για τα κοινά κριτήρια αξιολόγησης ασφαλείας τεχνολογιών πληροφορικής έτσι ώστε να αποτραπεί η εμφάνιση ελέγξιμων συμβάντων στην περίπτωση που το σύστημα ελέγχου δεν είναι σε θέση να καταγράψει αυτά τα συμβάντα. Εάν το σύστημα ελέγχου αποτύχει, το σύστημα τερματίζεται και εμφανίζεται ένα μήνυμα λάθους "Διακοπή" (Stop).
      • Εάν ο υπολογιστής δεν είναι σε θέση να καταγράψει συμβάντα στο αρχείο καταγραφής ασφαλείας, τότε, κρίσιμες ενδείξεις ή σημαντικές πληροφορίες ασφαλείας ενδέχεται να μην είναι διαθέσιμες μετά από ένα συμβάν ασφαλείας.
    2. Επικίνδυνες ρυθμίσεις παραμέτρων

      Η ακόλουθη ρύθμιση παραμέτρων είναι επικίνδυνη: Ενεργοποιείται η ρύθμιση Έλεγχος: Άμεσος τερματισμός του συστήματος όταν δεν είναι σε θέση να καταγράψει ελέγχους ασφαλείας (Shut down system immediately if unable to log security audits)και το μέγεθος του αρχείου καταγραφής συμβάντων ασφαλείας περιορίζεται από την επιλογή Να μην γίνεται αντικατάσταση συμβάντων (μη αυτόματη εκκαθάριση αρχείου καταγραφής) (Do not overwrite events (clear log manually)), την επιλογή Αντικατάσταση συμβάντων όπως απαιτείται (Overwrite Events as needed) ή την επιλογή Αντικατάσταση συμβάντων παλαιότερων από αριθμόςημερώνστην Προβολή συμβάντων. Ανατρέξτε στην ενότητα "Παραδείγματα προβλημάτων συμβατότητας" για πληροφορίες σχετικά με συγκεκριμένους κινδύνους για υπολογιστές που χρησιμοποιούν την αρχική επίσημη έκδοση των Windows 2000, του Windows 2000 Service Pack 1 (SP1), του Windows 2000 SP2 ή του Windows 2000 SP3.
    3. Λόγοι για την ενεργοποίηση αυτής της ρύθμισης

      Εάν ο υπολογιστής δεν είναι σε θέση να καταγράψει συμβάντα στο αρχείο καταγραφής ασφαλείας, τότε, κρίσιμες ενδείξεις ή σημαντικές πληροφορίες ασφαλείας ενδέχεται να μην είναι διαθέσιμες μετά από ένα συμβάν ασφαλείας.
    4. Λόγοι για την απενεργοποίηση αυτής της ρύθμισης
      • Η ενεργοποίηση της ρύθμισης Έλεγχος: Άμεσος τερματισμός του συστήματος όταν δεν είναι σε θέση να καταγράψει ελέγχους ασφαλείας (Audit: Shut down system immediately if unable to log security audits) διακόπτει τη λειτουργία του συστήματος όταν για οποιοδήποτε λόγο δεν είναι δυνατή η καταγραφή ενός ελέγχου ασφαλείας. Συνήθως, ένα συμβάν δεν είναι δυνατόν να καταγραφεί όταν το αρχείο καταγραφής ελέγχων ασφαλείας είναι γεμάτο και όταν η καθορισμένη μέθοδος διατήρησης είναι η επιλογή Να μην γίνεται αντικατάσταση συμβάντων (μη αυτόματη εκκαθάριση αρχείου καταγραφής) (Do not overwrite events (clear log manually)) ή η επιλογή Αντικατάσταση συμβάντων παλαιότερων από αριθμός ημερών.
      • Η επιβάρυνση του διαχειριστή λόγω της ενεργοποίησης της ρύθμισης Έλεγχος: Άμεσος τερματισμός του συστήματος όταν δεν είναι σε θέση να καταγράψει ελέγχους ασφαλείας (Audit: Shut down system immediately if unable to log security audits) μπορεί να είναι πολύ υψηλή, ειδικώτερα αν ενεργοποιήσετε επίσης την επιλογή Να μην γίνεται αντικατάσταση συμβάντων (μη αυτόματη εκκαθάριση αρχείου καταγραφής) (Do not overwrite events (clear log manually)) για το αρχείο καταγραφής. Αυτή η ρύθμιση προβλέπει την προσωπική ευθύνη των ενεργειών του χειριστή. Για παράδειγμα, ένας διαχειριστής θα μπορούσε να επαναφέρει δικαιώματα σε όλους τους χρήστες, τους υπολογιστές και τις ομάδες μιας οργανικής μονάδας (OU), όπου ο έλεγχος ενεργοποιήθηκε χρησιμοποιώντας τον ενσωματωμένο λογαριασμό διαχειριστή ή άλλον κοινόχρηστο λογαριασμό και, στη συνέχεια, να αρνηθεί ότι επανέφετε αυτά τα δικαιώματα. Εντούτοις, η ενεργοποίηση αυτής της ρύθμισης μειώνει την ευρωστία του συστήματος, επειδή ένας διακομιστής μπορεί να αναγκαστεί να τερματίσει τη λειτουργία του κατακλύζοντάς το με συμβάντα σύνδεσης και άλλα συμβάντα ασφαλείας που καταγράφονται στο αρχείο καταγραφής ασφαλείας. Επιπλέον, επειδή ο τερματισμός γίνεται απότομα, μπορεί να οδηγήσει σε ανεπανόρθωτη ζημιά στο λειτουργικό σύστημα, στα προγράμματα ή στα δεδομένα. Ενώ το NTFS εγγυάται ότι η ακεραιότητα του συστήματος αρχείων διατηρείται κατά τη διάρκεια ενός απότομου τερματισμού του, δεν μπορεί να εγγυηθεί ότι κάθε αρχείο δεδομένων για κάθε πρόγραμμα θα εξακολουθήσει να βρίσκεται σε χρησιμοποιήσιμη μορφή κατά την επανεκκίνηση του συστήματος.
    5. Συμβολικό όνομα:

      CrashOnAuditFail
    6. Διαδρομή μητρώου:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)
    7. Παραδείγματα προβλημάτων συμβατότητας
      • Windows 2000: Εξαιτίας ενός σφάλματος, οι υπολογιστές που χρησιμοποιούν την αρχική επίσημη έκδοση των Windows 2000, του Windows 2000 SP1, του Windows 2000 SP2 ή του Windows Server SP3 ενδέχεται να σταματήσουν την καταγραφή συμβάντων όταν καλυφθεί το μέγεθος του αρχείου καταγραφής συμβάντων ασφαλείας που καθορίζεται από την επιλογή Μέγιστο μέγεθος αρχείου καταγραφής (Maximum log size). Αυτό το σφάλμα διορθώνεται στο Windows 2000 Service Pack 4 (SP4). Βεβαιωθείτε ότι οι ελεγκτές τομέα με Windows 2000 έχουν εγκατεστημένο το Windows 2000 Service Pack 4 προτού σκεφθείτε να ενεργοποιήσετε αυτήν τη ρύθμιση.

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        312571  (http://support.microsoft.com/kb/312571/ ) Το αρχείο καταγραφής συμβάντων σταματά να καταγράφει συμβάντα προτού φθάσει στο μέγιστο μέγεθος αρχείου καταγραφής (US)
      • Windows 2000, Windows Server 2003: Οι υπολογιστές που χρησιμοποιούν Windows 2000 ή Windows Server 2003 ενδέχεται να σταματήσουν να ανταποκρίνονται και, στη συνέχεια, ενδέχεται να κάνουν επανεκκίνηση απροσδόκητα στην περίπτωση που ενεργοποιηθεί η ρύθμιση Έλεγχος: Άμεσος τερματισμός του συστήματος όταν δεν είναι σε θέση να καταγράψει ελέγχους ασφαλείας (Shut down system immediately if unable to log security audits) και το αρχείο καταγραφής ασφαλείας είναι γεμάτο και δεν είναι δυνατόν να καταγραφεί μια υπάρχουσα καταχώρηση του αρχείου καταγραφής συμβάντων. Κατά την επανεκκίνηση του υπολογιστή, εμφανίζεται το ακόλουθο μήνυμα λάθους "Διακοπή" (Stop):
        ΔΙΑΚΟΠΗ: C0000244 {Ο έλεγχος απέτυχε}
        Μια προσπάθεια για τη δημιουργία ενός ελέγχου ασφαλείας απέτυχε. (STOP: C0000244 {Audit Failed} An attempt to generate a security audit failed.)
        Για να γίνει ανάκτηση, πρέπει να συνδεθεί ένας διαχειριστής, να αρχειοθετήσει το αρχείο καταγραφής ασφαλείας (προαιρετικό), να κάνει εκκαθάριση του αρχείου καταγραφής ασφαλείας και, στη συνέχεια, να επαναφέρει αυτήν την επιλογή (προαιρετική και ανάλογα με τις ανάγκες).
      • Microsoft Network Client for MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Οι χρήστες χωρίς δικαιώματα διαχειριστή, οι οποίοι προσπαθούν να συνδεθούν σε έναν τομέα θα λάβουν το ακόλουθο μήνυμα λάθους:
        Ο λογαριασμός σας έχει ρυθμιστεί έτσι ώστε να αποτρέπει τη χρήση αυτού του υπολογιστή. Δοκιμάστε να συνδεθείτε με άλλον υπολογιστή. (Your account is configured to prevent you from using this computer. Please try another computer.)
        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        160783  (http://support.microsoft.com/kb/160783/ ) Μήνυμα λάθους: Η σύνδεση των χρηστών με ένα σταθμό εργασίας δεν είναι δυνατή (US)
      • Windows 2000: Σε υπολογιστές που βασίζονται σε Windows 2000, οι χρήστες χωρίς δικαιώματα διαχειριστή δεν θα έχουν τη δυνατότητα σύνδεσης σε διακομιστές απομακρυσμένης πρόσβασης και θα λάβουν ένα μήνυμα λάθους παρόμοιο με το ακόλουθο:
        Άγνωστο όνομα χρήστη ή εσφαλμένος κωδικός πρόσβασης (Unknown user or bad password)
        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        285665  (http://support.microsoft.com/kb/285665/ ) Μήνυμα λάθους: Ο λογαριασμός σας έχει ρυθμιστεί έτσι ώστε να αποτρέπει τη χρήση αυτού του υπολογιστή (US)
      • Windows 2000: Σε ελεγκτές τομέα με Windows 2000, η υπηρεσία Intersite Messaging (Ismserv.exe) θα διακοπεί και δεν θα είναι σε θέση να ξεκινήσει ξανά. Το DCDIAG θα αναφέρει το σφάλμα ως "αποτυχία υπηρεσιών ελέγχου ISMserv" (failed test services ISMserv) και το αναγνωριστικό συμβάντος 1083 θα καταγραφεί στο αρχείο καταγραφής συμβάντων.
      • Windows 2000: Σε ελεγκτές τομέα με Windows 2000, η αναπαραγωγή της υπηρεσίας καταλόγου Active Directory θα αποτύχει και θα εμφανιστεί το μήνυμα "Δεν επιτρέπεται η πρόσβαση" (Access Is Denied) στην περίπτωση που το αρχείο καταγραφής συμβάντων ασφαλείας είναι γεμάτο.
      • Microsoft Exchange 2000: Οι διακομιστές που χρησιμοποιούν Exchange 2000 δεν θα είναι σε θέση να μοντάρουν τη βάση δεδομένων χώρου αποθήκευσης πληροφοριών και θα καταγραφεί το συμβάν 2102 στο αρχείο καταγραφής συμβάντων.

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        314294  (http://support.microsoft.com/kb/314294/ ) Δημιουργούνται μηνύματα λάθους του Exchange 2000 εξαιτίας ζητημάτων SeSecurityPrivilege Right και Policytest (US)
      • Outlook, Outlook Web Access: Οι χρήστες χωρίς δικαιώματα διαχειριστή δεν θα είναι σε θέση να αποκτήσουν πρόσβαση στην αλληλογραφία τους μέσω του Microsoft Outlook ή του Microsoft Outlook Web Access και θα λάβουν το σφάλμα 503.
  2. Ελεγκτής τομέα: Απαιτήσεις υπογραφής διακομιστή LDAP (LDAP server signing requirements)
    1. Παρασκήνιο

      Η ρύθμιση ασφαλείας Ελεγκτής τομέα: Απαιτήσεις υπογραφής διακομιστή LDAP (Domain controller: LDAP server signing requirements) προσδιορίζει αν ο διακομιστής LDAP (Lightweight Directory Access Protocol) απαιτεί υπολογιστές-πελάτες LDAP για την διαπραγμάτευση υπογραφής δεδομένων. Οι πιθανές τιμές για αυτή τη ρύθμιση πολιτικής είναι οι εξής:
      • Καμία (None): Δεν απαιτείται υπογραφή δεδομένων για τη σύνδεση με το διακομιστή. Στην περίπτωση που ο υπολογιστής-πελάτης απαιτήσει υπογραφή δεδομένων, ο διακομιστής την υποστηρίζει.
      • Απαίτηση για υπογραφή: Η επιλογή υπογραφής δεδομένων LDAP πρέπει να τεθεί σε διαπραγμάτευση, εκτός αν χρησιμοποιείται το TLS/SSL (Transport Layer Security/Secure Socket Layer).
      • δεν έχει καθοριστεί: Αυτή η ρύθμιση δεν ενεργοποιείται ούτε απενεργοποιείται.
    2. Επικίνδυνες ρυθμίσεις παραμέτρων

      Ακολουθούν ορισμένες επικίνδυνες ρυθμίσεις παραμέτρων:
      • Ενεργοποίηση της ρύθμισης Απαίτηση για υπογραφή (Require signing) σε περιβάλλοντα όπου οι υπολογιστές-πελάτες δεν υποστηρίζουν την υπογραφή LDAP ή όπου η υπογραφή υπολογιστή-πελάτη LDAP δεν είναι ενεργοποιημένη στον υπολογιστή-πελάτη
      • Εφαρμογή του προτύπου ασφαλείας Hisecdc.inf των Windows 2000 ή του Windows Server 2003 σε περιβάλλοντα όπου οι υπολογιστές-πελάτες δεν υποστηρίζουν την υπογραφή LDAP ή όπου η υπογραφή υπολογιστή-πελάτη LDAP δεν είναι ενεργοποιημένη
      • Εφαρμογή του προτύπου ασφαλείας Hisecws.inf των Windows 2000 ή του Windows Server 2003 σε περιβάλλοντα όπου οι υπολογιστές-πελάτες δεν υποστηρίζουν την υπογραφή LDAP ή όπου η υπογραφή υπολογιστή-πελάτη LDAP δεν είναι ενεργοποιημένη
    3. Λόγοι για την ενεργοποίηση αυτής της ρύθμισης

      Η ανυπόγραφη κυκλοφορία δικτύου είναι ευαίσθητη απέναντι στις εισβολές κακόβουλων χρηστών, όπου ένας εισβολέας αποκτά πακέτα μεταξύ του υπολογιστή-πελάτη και του διακομιστή, τροποποιεί τα πακέτα και, στη συνέχεια, τα διαβιβάζει στο διακομιστή. Όταν παρουσιαστεί αυτή η συμπεριφορά σε ένα διακομιστή LDAP, ένας εισβολέας θα μπορούσε να εξαναγκάσει ένα διακομιστή να λάβει αποφάσεις με βάση εσφαλμένα ερωτήματα από τον υπολογιστή-πελάτη LDAP. Μπορείτε να μειώσετε αυτόν τον κίνδυνο σε ένα εταιρικό δίκτυο, εφαρμόζοντας ισχυρά φυσικά μέτρα ασφαλείας με σκοπό την ενίσχυση της προστασίας της υποδομής του δικτύου. Η λειτουργία κεφαλίδας ελέγχου ταυτότητας Internet Protocol security (IPSec) μπορεί να κάνει εξαιρετικά δύσκολες τις εισβολές κακόβουλων χρηστών. Η λειτουργία κεφαλίδας ελέγχου ταυτότητας εκτελεί αμοιβαίο έλεγχο ταυτότητας και ακεραιότητα πακέτων για κυκλοφορία IP.
    4. Λόγοι για την απενεργοποίηση αυτής της ρύθμισης
      • Οι υπολογιστές-πελάτες που δεν υποστηρίζουν την υπογραφή LDAP δεν θα είναι σε θέση να πραγματοποιήσουν ερωτήματα LDAP σε ελεγκτές τομέα και σε καθολικούς καταλόγυς όταν ο έλεγχος ταυτότητας NTLM τίθεται σε διαπραγμάτευση και όταν δεν είναι εγκατεστημένα τα σωστά Service Pack σε ελεγκτές τομέα με Windows 2000.
      • Τα ίχνη δικτύου της κυκλοφορίας LDAP μεταξύ υπολογιστών-πελατών και διακομιστών θα κρυπτογραφηθούν, δυσκολεύοντας έτσι την εξέταση συνομιλιών LDAP.
      • Οι διακομιστές που βασίζονται σε Windows 2000 πρέπει να έχουν εγκατεστημένο το Windows 2000 Service Pack 3 (SP3) ή νεότερη έκδοση όταν διευθύνονται από προγράμματα που υποστηρίζουν την υπογραφή LDAP, τα οποία εκτελούνται από υπολογιστές-πελάτες που χρησιμοποιούν Windows 2000 SP4, Windows XP ή Windows Server 2003. Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        325465  (http://support.microsoft.com/kb/325465/ ) Οι ελεγκτές τομέα των Windows 2000 απαιτούν το Service Pack 3 ή νεότερη έκδοση, όταν χρησιμοποιούν τα εργαλεία διαχείρισης του Windows Server 2003 (US)
    5. Συμβολικό όνομα:

      LDAPServerIntegrity
    6. Διαδρομή μητρώου:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)
    7. Παραδείγματα προβλημάτων συμβατότητας
      • Οι απλές συνδέσεις θα αποτύχουν και θα λάβετε τα ακόλουθο μήνυμα λάθους:
        Το Ldap_simple_bind_s() απέτυχε: Απαιτείται ισχυρός έλεγχος ταυτότητας (Ldap_simple_bind_s() failed: Strong Authentication Required.)
      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Σε υπολογιστές-πελάτες που χρησιμοποιούν Windows 2000 SP4, Windows XP ή Windows Server 2003, ορισμένα εργαλεία διαχείρισης υπηρεσίας καταλόγου Active Directory δεν θα λειτουργήσουν σωστά σε ελεγκτές τομέα που χρησιμοποιούν εκδόσεις των Windows 2000, οι οποίες είναι παλαιότερες από το SP3 κατά τη διαπραγμάτευση του ελέγχου ταυτότητας NTLM.

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        325465  (http://support.microsoft.com/kb/325465/ ) Οι ελεγκτές τομέα των Windows 2000 απαιτούν το Service Pack 3 ή νεότερη έκδοση, όταν χρησιμοποιούν τα εργαλεία διαχείρισης του Windows Server 2003 (US)
      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Σε υπολογιστές-πελάτες που χρησιμοποιούν Windows 2000 SP4, Windows XP ;h Windows Server 2003, ορισμένα εργαλεία διαχείρισης της υπηρεσίας καταλόγου Active Directory, τα οποία έχουν ως προορισμό ελεγκτές τομέα που χρησιμοποιούν εκδόσεις των Windows 2000, οι οποίες είναι παλαιότερες από το SP3, δεν θα λειτουργήσουν σωστά στην περίπτωση που χρησιμοποιείτε διευθύνσεις ΙΡ (για παράδειγμα, "dsa.msc /server=x.x.x.x" όπουx.x.x.x είναι μια διεύθυνση IP).

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        325465  (http://support.microsoft.com/kb/325465/ ) Οι ελεγκτές τομέα των Windows 2000 απαιτούν το Service Pack 3 ή νεότερη έκδοση, όταν χρησιμοποιούν τα εργαλεία διαχείρισης του Windows Server 2003 (US)
      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Σε υπολογιστές-πελάτες που χρησιμοποιούν Windows 2000 SP4, Windows XP ή Windows Server 2003, ορισμένα εργαλεία διαχείρισης υπηρεσίας καταλόγου Active Directory, τα οποία έχουν ως προορισμό ελεγκτές τομέα που χρησιμοποιούν εκδόσεις των Windows 2000, οι οποίες είναι παλαιότερες από το SP3, δεν θα λειτουργήσουν σωστά.

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        325465  (http://support.microsoft.com/kb/325465/ ) Οι ελεγκτές τομέα των Windows 2000 απαιτούν το Service Pack 3 ή νεότερη έκδοση, όταν χρησιμοποιούν τα εργαλεία διαχείρισης του Windows Server 2003 (US)
  3. Μέλος τομέα: Απαιτείται ισχυρό κλειδί περιόδου λειτουργίας (Windows 2000 ή νεότερης έκδοσης)
    1. Παρασκήνιο
      • Η ρύθμιση Μέλος τομέα: Απαιτείται ισχυρό κλειδί περιόδου λειτουργίας (Windows 2000 ή νεότερης έκδοσης) (Domain member: Require strong (Windows 2000 or later) session key) προσδιορίζει αν μπορεί να δημιουργηθεί ένα ασφαλές κανάλι με έναν ελεγκτή τομέα ο οποίος δεν είναι σε θέση να κάνει κρυπτογράφηση της κυκλοφορίας ασφαλούς καναλιού με ένα ισχυρό κλειδί περιόδου λειτουργίας 128-bit. Η ενεργοποίηση αυτής της ρύθμισης αποτρέπει τη δημιουργία ενός ασφαλούς καναλιού με οποιονδήποτε ελεγκτή τομέα, ο οποίος δεν έχει τη δυνατότητα κρυπτογράφησης δεδομένων ασφαλούς καναλιού χρησιμοποιώντας ένα ισχυρό κλειδί. Η απενεργοποίηση αυτής της ρύθμισης επιτρέπει τη χρήση κλειδιών περιόδου λειτουργίας 64-bit.
      • Προτού ενεργοποιήσετε αυτή τη ρύθμιση σε ένα σταθμό εργασίας-μέλος ή σε ένα διακομιστή, όλοι οι ελεγκτές τομέα του τομέα στον οποίο ανήκει το μέλος πρέπει να είναι σε θέση να κρυπτογραφήσουν δεδομένα ασφαλούς καναλιού με ένα ισχυρό κλειδί 128-bit. Αυτό σημαίνει ότι όλοι αυτοί οι ελεγκτές τομέα πρέπει να εκτελούν Windows 2000 ή νεότερες εκδόσεις.
    2. Επικίνδυνες ρυθμίσεις παραμέτρων

      Η ενερβοποίηση της ρύθμισης Μέλος τομέα: Απαιτείται ισχυρό κλειδί περιόδου λειτουργίας (Windows 2000 ή νεότερης έκδοσης) είναι μια επικίνδυνη ρύθμιση παραμέτρων.
    3. Λόγοι για την ενεργοποίηση αυτής της ρύθμισης
      • Οι περίοδοι λειτουργίας που χρησιμοποιούνται για τη δημιουργία επικοινωνιών ασφαλούς καναλιού μεταξύ υπολογιστών-μελών και ελεγκτών τομέα είναι πολύ ισχυρότερες στα Windows 2000 παρά σε παλαιότερες εκδόσεις των λειτουργικών συστημάτων Microsoft.
      • Όποτε μπορείτε, είναι καλή ιδέα να εκμεταλλεύεστε αυτά τα ισχυρότερα κλειδιά περιόδου λειτουργίας για να ενισχύσετε την προστασία των επικοινωνιών ασφαλούς καναλιού από eavesdropping και από εισβολές κατά την περίοδο λειτουργίας δικτύου. Το Eavesdropping είναι μια μορφή κακόβουλης επίθεσης κατά την οποία γίνεται ανάγνωση ή τροποποίηση των δεδομένων δικτύου κατά τη μεταφορά. Τα δεδομένα είναι δυνατό να τροποποιηθούν με σκοπό την απόκρυψη ή την αλλαγή του αποστολέα ή την ανακατεύθυνσή τους.
    4. Λόγοι για την απενεργοποίηση αυτής της ρύθμισης

      Ο τομέας περιέχει υπολογιστές-μέλη που χρησιμοποιούν λειτουργικά συστήματα διαφορετικά από τα Windows 2000, τα Windows XP ή τα Windows Server 2003.
    5. Συμβολικό όνομα:

      StrongKey
    6. Διαδρομή μητρώου:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)
    7. Παραδείγματα προβλημάτων συμβατότητας

      Windows NT 4.0: Σε υπολογιστές που βασίζονται σε Windows NT 4.0, η επαναφορά των ασφαλών καναλιών σχέσεων αξιοπιστίας μεταξύ τομέων με Windows NT 4.0 και Windows 2000 και του NLTEST αποτυγχάνει, εμφανίζοντας το μήνυμα λάθους "Δεν επιτρέπεται η πρόσβαση" (Access Is Denied):
      Η σχέση αξιοπιστίας μεταξύ του πρωτεύοντος τομέα και του αξιόπιστου τομέα απέτυχε. (The trust relationship between the primary domain and the trusted domain failed.)
  4. Μέλος τομέα: Κρυπτογράφηση ή ψηφιακή υπογραφή των δεδομένων του καναλιού ασφαλείας (πάντα) (Digitally encrypt or sign secure channel data (always)
    1. Παρασκήνιο
      • Η ενεργοποίηση της ρύθμισης Μέλος τομέα: Κρυπτογράφηση ή ψηφιακή υπογραφή των δεδομένων του καναλιού ασφαλείας (πάντα) (Digitally encrypt or sign secure channel data (always) αποτρέπει τη δημιουργία ενός ασφαλούς καναλιού με οποιονδήποτε ελεγκτή τομέα ο οποίος δεν έχει τη δυνατότητα υπογραφής ή κρυπτογράφησης όλων των δεδομένων ασφαλούς καναλιού. Για να βοηθήσουν στην προστασία της κυκλοφορίας ελέγχου ταυτότητας από εισβολές κακόβουλων χρηστών, από επιθέσεις αναπαραγωγής και από άλλους τύπους επιθέσεων δικτύου, οι υπολογιστές που βασίζονται σε Windows δημιουργούν ένα κανάλι επικοινωνίας που είναι γνωστό ως ασφαλές κανάλι μέσω της υπηρεσίας Net Logon, με σκοπό τον έλεγχο ταυτότητας λογαριασμών υπολογιστή. Τα ασφαλή κανάλια χρησιμοποιούνται επίσης όταν ένας χρήστης ενός τομέα συνδεθεί με έναν πόρο δικτύου ενός απομακρυσμένου τομέα. Αυτός ο έλεγχος ταυτότητας σε πολλούς τομείς ή έλεγχος ταυτότητας διαβίβασης, επιτρέπει σε έναν υπολογιστή που βασίζεται στα Windows, ο οποίος είναι μέλος τομέα, να αποκτήσει πρόσβαση στη βάση δεδομένων λογαριασμού χρήστη, στον τομέα του και σε οποιουσδήποτε αξιόπιστους τομείς.
      • Για να ενεργοποιήσετε τη ρύθμιση Μέλος τομέα: Κρυπτογράφηση ή ψηφιακή υπογραφή των δεδομένων του καναλιού ασφαλείας (πάντα) (Digitally encrypt or sign secure channel data (always) σε έναν υπολογιστή-μέλος, όλοι οι ελεγκτές τομέα του τομέα στον οποίο ανήκει αυτό το μέλος πρέπει να έχουν τη δυνατότητα υπογραφής ή κρυπτογράφησης όλων των δεδομένων ασφαλούς καναλιού. Αυτό σημαίνει ότι όλοι αυτοί οι ελεγκτές τομέα πρέπει να εκτελούν Windows NT 4.0 με Service Pack 6a (SP6a) ή νεότερη έκδοση.
      • Η ενεργοποίηση της ρύθμισης Μέλος τομέα: Κρυπτογράφηση ή ψηφιακή υπογραφή των δεδομένων του καναλιού ασφαλείας (πάντα) (Digitally encrypt or sign secure channel data (always) ενεργοποιεί αυτόματα τη ρύθμιση Μέλος τομέα: Κρυπτογράφηση ή ψηφιακή υπογραφή των δεδομένων του καναλιού ασφαλείας (όταν αυτό είναι δυνατό) (Digitally encrypt or sign secure channel data (when possible).
    2. Επικίνδυνες ρυθμίσεις παραμέτρων

      Η ενεργοποίηση της ρύθμισης Μέλος τομέα: Κρυπτογράφηση ή ψηφιακή υπογραφή των δεδομένων του καναλιού ασφαλείας (πάντα) (Digitally encrypt or sign secure channel data (always) σε τομείς όπου δεν είναι σε θέση όλοι οι ελεγκτές τομέα να υπογράψουν ή να κρυπτογραφήσουν δεδομένα ασφαλούς καναλιού είναι μια επικίνδυνη ρύθμιση.
    3. Λόγοι για την ενεργοποίηση αυτής της ρύθμισης

      Η ανυπόγραφη κυκλοφορία δικτύου είναι ευαίσθητη απέναντι στις εισβολές κακόβουλων χρηστών, όπου ένας εισβολέας αποκτά πακέτα μεταξύ του υπολογιστή-πελάτη και του διακομιστή, τροποποιεί τα πακέτα και, στη συνέχεια, τα προωθεί στο διακομιστή. Όταν παρουσιαστεί αυτή η συμπεριφορά σε ένα διακομιστή LDAP (Lightweight Directory Access Protocol), ο εισβολέας θα μπορούσε να εξαναγκάσει ένα διακομιστή να λάβει αποφάσεις με βάση εσφαλμένα ερωτήματα από τον υπολογιστή-πελάτη LDAP. Μπορείτε να μειώσετε τον κίνδυνο μιας τέτοιας επίθεσης σε ένα εταιρικό δίκτυο, εφαρμόζοντας ισχυρά φυσικά μέτρα ασφαλείας με σκοπό την ενίσχυση της προστασίας της υποδομής του δικτύου. Επιπλέον, η λειτουργία κεφαλίδας ελέγχου ταυτότητας Internet Protocol security (IPSec) μπορεί να κάνει εξαιρετικά δύσκολες τις εισβολές κακόβουλων χρηστών. Αυτή η λειτουργία εκτελεί αμοιβαίο έλεγχο ταυτότητας και ακεραιότητα πακέτων για κυκλοφορία IP.
    4. Λόγοι για την απενεργοποίηση αυτής της ρύθμισης
      • Υπολογιστές σε τοπικούς ή εξωτερικούς τομείς δεν υποστηρίζουν τα κρυπτογραφημένα ασφαλή κανάλια.
      • Δεν έχουν όλοι οι ελεγκτές τομέα του τομέα τα κατάλληλα επίπεδα αναθεώρησης Service Pack για την υποστήριξη κρυπτογραφημένων ασφαλών καναλιών.
    5. Συμβολικό όνομα:

      StrongKey
    6. Διαδρομή μητρώου:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)
    7. Παραδείγματα προβλημάτων συμβατότητας
      • Windows NT 4.0: Οι υπολογιστές-μέλη που βασίζονται σε Windows 2000 δεν θα έχουν τη δυνατότητα συμμετοχής σε τομείς με Windows NT 4.0 και θα λάβουν τα ακόλουθο μήνυμα λάθους:
        The account is not authorized to log in from this station.
        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        281648  (http://support.microsoft.com/kb/281648/ ) Μήνυμα λάθους: The account is not authorized to log in from this station. (US)
      • Windows NT 4.0: Οι τομείς με Windows NT 4.0 δεν θα είναι σε θέση να δημιουργήσουν μια σχέση αξιοπιστίας προηγούμενης έκδοσης με έναν τομέα των Windows 2000 και θα λάβουν το ακόλουθο μήνυμα λάθους:
        The account is not authorized to log in from this station.
        Οι υπάρχουσες παλαιότερες σχέσεις αξιοπιστίας ενδέχεται επίσης να μην είναι σε θέση να εφαρμόσουν έλεγχο ταυτότητας χρηστών από τον αξιόπιστο τομέα. Ορισμένοι χρήστες μπορεί να αντιμετωπίσουν δυσκολίες κατά τη σύνδεση με τον τομέα και ενδέχεται να λάβουν ένα μήνυμα λάθους που αναφέρει ότι ο υπολογιστής-πελάτης δεν είναι σε θέση να εντοπίσει τον τομέα.
      • Windows XP: Οι υπολογιστές-πελάτες με Windows XP που είναι συνδεδεμένοι με τομείς των Windows NT 4.0 δεν θα είναι σε θέση να εφαρμόσουν έλεγχο ταυτότητας σε προσπάθειες σύνδεσης και ενδέχεται να λάβουν το ακόλουθο μήνυμα λάθους ή να καταχωρηθούν τα ακόλουθα συμβάντα στο αρχείο καταγραφής συμβάντων:
        Δεν είναι δυνατή η σύνδεση των Windows με τον τομέα, είτε επειδή ο ελεγκτής τομέα είναι εκτός λειτουργίας ή δεν είναι διαθέσιμος είτε επειδή δεν βρέθηκε ο λογαριασμός του υπολογιστή σας. (Windows cannot connect to the domain either because the domain controller is down or otherwise unavailable or because your computer account was not found.)

        Συμβάν 5723: Δεν ήταν δυνατός ο έλεγχος ταυτότητας της εγκατάστασης της περιόδου λειτουργίας από τον υπολογιστή όνομα υπολογιστή. Το όνομα του λογαριασμού που αναφέρεται στη βάση δεδομένων ασφαλείας είναι όνομα υπολογιστή. Παρουσιάστηκε το παρακάτω σφάλμα: Δεν επιτρέπεται η πρόσβαση. (Error: Access is denied.)

        Συμβάν 3227: Η ρύθμιση της περιόδου λειτουργίας στον ελεγκτή τομέα όνομα διακομιστή των Windows NT ή των Windows 2000 για τον τομέα όνομα τομέα απέτυχε επειδή το όνομα διακομιστή δεν υποστηρίζει την υπογραφή ή το σφράγισμα της περιόδου λειτουργίας Netlogon. Αναβαθμίστε τον ελεγκτή τομέα ή ρυθμίστε την καταχώρηση μητρώου RequireSignOrSeal στο 0. (The session setup to the Windows NT or Windows 2000 domain controller Server for the domain Domainname failed because Server does not support signing or sealing the Netlogon session. Either upgrade the domain controller or set the RequireSignOrSeal registry entry on this machine to 0.)

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        318266  (http://support.microsoft.com/kb/318266/ ) Δεν είναι δυνατή η σύνδεση ενός υπολογιστή-πελάτη Windows XP σε τομέα των Windows NT 4.0
      • Δίκτυο της Microsoft (Microsoft Network): Οι υπολογιστές-πελάτες δικτύου της Microsoft (Microsoft Network) θα λάβουν ένα από τα ακόλουθα μηνύματα λάθους:
        Αποτυχία σύνδεσης: άγνωστο όνομα χρήστη ή εσφαλμένος κωδικός πρόσβασης. (Logon failure: unknown username or bad password:)
        Δεν υπάρχει κλειδί περιόδου λειτουργίας για την καθορισμένη περίοδο λειτουργίας σύνδεσης. (There is no user session key for the specified logon session.)
  5. Πρόγραμμα-πελάτης δικτύου της Microsoft: Ψηφιακή υπογραφή κατά την επικοινωνία (πάντα) (Microsoft network client: Digitally sign communications (always))
    1. Παρασκήνιο

      Το SMB (Server Message Block) είναι το πρωτόκολλο κοινής χρήσης πόρων, το οποίο υποστηρίζεται από πολλά λειτουργικά συστήματα της Microsoft. Είναι η βάση του βασικού συστήματος εισόδου/εξόδου (NetBIOS) του δικτύου και πολλών άλλων πρωτοκόλλων. Η υπογραφή SMB πραγματοποιεί έλεγχο ταυτότητας τόσο στο χρήστη όσο και στο διακομιστή που φιλοξενεί τα δεδομένα. Στην περίπτωση που κάποια από τις δύο πλευρές αποτύχει στη διαδικασία ελέγχου ταυτότητας, δεν θα γίνει μετάδοση των δεδομένων.

      Η ενεργοποίηση της υπογραφής SMB ξεκινά στη διάρκεια της διαπραγμάτευσης του πρωτοκόλλου SMB. Οι πολιτικές της υπογραφής SMB καθορίζουν αν ο υπολογιστής θα υπογράφει πάντοτε τις επικοινωνίες υπολογιστών-πελατών.

      Το πρωτόκολλο ελέγχου ταυτότητας SMB των Windows 2000 υποστηρίζει τον αμοιβαίο έλεγχο ταυτότητας. Ο αμοιβαίος έλεγχος ταυτότητας τερματίζει μια εισβολή κακόβουλου χρήστη. Το πρωτόκολλο ελέγχου ταυτότητας SMB των Windows 2000 υποστηρίζει επίσης τον έλεγχο ταυτότητας μηνυμάτων. Ο έλεγχος ταυτότητας μηνυμάτων βοηθά στην αποτροπή επιθέσεων ενεργού μηνύματος. Για να αποκτήσετε αυτόν τον έλεγχο ταυτότητας, η υπογραφή SMB τοποθετεί μια ψηφιακή υπογραφή σε κάθε SMB. Τόσο ο υπολογιστής-πελάτης όσο και ο διακομιστής επιβεβαιώνουν την ψηφιακή υπογραφή.

      Για να χρησιμοποιήσετε την υπογραφή SMB, πρέπει να την ενεργοποιήσετε ή να απαιτήσετε την υπογραφή SMB τόσο στον υπολογιστή-πελάτη SMB όσο και στο διακομιστή SMB. Στην περίπτωση που η υπογραφή SMB ενεργοποιηθεί στο διακομιστή, οι υπολογιστές-πελάτες που έχουν επίσης ενεργοποιημένη την υπογραφή SMB χρησιμοποιούν το πρωτόκολλο υπογραφής πακέτου στη διάρκεια όλων των επόμενων περιόδων λειτουργίας. Στην περίπτωση που η υπογραφή SMB απαιτείται σε ένα διακομιστή, ένας υπολογιστής-πελάτης δεν είναι σε θέση να δημιουργήσει μια περίοδο λειτουργίας μέχρι να ενεργοποιηθεί ή να απαιτηθεί υπογραφή SMB.

      Η ενεργοποίηση ψηφιακής υπογραφής σε δίκτυα υψηλής ασφάλειας βοηθά στην αποτροπή της απομίμησης υπολογιστών-πελατών και διακομιστών. Αυτός ο τύπος απομίμησης είναι γνωστός ως εισβολή σε περίοδο λειτουργίας. Ένας εισβολέας που έχει πρόσβαση στο ίδιο δίκτυο με τον υπολογιστή-πελάτη ή το διακομιστή χρησιμοποιεί τα εργαλεία εισβολής με σκοπό τη διακοπή, τον τερματισμό ή την κλοπή μιας περιόδου λειτουργίας που βρίσκεται σε εξέλιξη. Ένας εισβολέας θα μπορούσε να παρεμποδίσει και να τροποποιήσει τα ανυπόγραφα πακέτα SMB, να τροποποιήσει την κυκλοφορία, και, στη συνέχεια, να την διαβιβάσει έτσι ώστε ο διακομιστής να εκτελέσει τις ανεπιθύμητες ενέργειες. Εναλλακτικά, ο εισβολέας θα μπορούσε να υποδυθεί το ρόλο του διακομιστή ή του υπολογιστή-πελάτη μετά από έναν νόμιμο έλεγχο ταυτότητας και να αποκτήσει μη εξουσιοδοτημένη πρόσβαση στα δεδομένα.

      Το πρωτόκολλο SMB το οποίο χρησιμοοιείται για την κοινή χρήση αρχείων και εκτυπωτών σε υπολογιστές που εκτελούν Windows 2000 Server, Windows 2000 Professional, Windows XP Professional ή Windows Server 2003 υποστηρίζει τον αμοιβαίο έλεγχο ταυτότητας. Ο αμοιβαίος έλεγχος ταυτότητας τερματίζει τις εισβολές κακόβουλων χρηστών και υποστηρίζει τον έλεγχο ταυτότητας μηνυμάτων. Επομένως, αποτρέπει τις εισβολές κακόβουλων χρηστών. Η υπογραφή SMB παρέχει αυτόν τον έλεγχο ταυτότητας τοποθετώντας μια ψηφιακή υπογραφή σε κάθε SMB. Η υπογραφή επαληθεύεται στη συνέχεια τόσο από τον υπολογιστή-πελάτη όσο και από το διακομιστή.

      Σημειώσεις
      • Ένα εναλλακτικό αντίμετρο που μπορεί να συμβάλλει στην προστασία ολόκληρης της κυκλοφορίας δικτύου είναι η ενεργοποίηση των ψηφιακών υπογραφών με το IPSec. Υπάρχουν επιταχυντές που βασίζονται στο υλικό για κρυπτογράφηση και υπογραφή IPSec, οι οποίοι μπορούν να χρησιμοποιηθούν για την ελαχιστοποίηση της επίδρασης στην απόδοση από τη CPU του διακομιστή. Δεν υπάρχουν διαθέσιμα τέτοια προγράμματα επιτάχυνσης για υπογραφή SMB.

        Για περισσότερες πληροφορίες, ανατρέξτε στο κεφάλαιο "Ψηφιακή υπογραφή για επικοινωνίες διακομιστή" στην ακόλουθη τοποθεσία του Microsoft MSDN στο Web:
        http://msdn2.microsoft.com/en-us/library/ms814149.aspx (http://msdn2.microsoft.com/en-us/library/ms814149.aspx)
        Η ρύθμιση των παραμέτρων υπογραφής SMB μέσω του εργαλείου Group Policy Object Editor εξαιτίας μιας αλλαγής σε μια τοπική τιμή μητρώου δεν έχει καμία επίδραση όταν υπάρχει πολιτική αντικατάστασης τομέα.
      • Στα Windows 95, Windows 98 και Windows 98 Second Edition , το πρόγραμμα-πελάτης των υπηρεσιών καταλόγου (Directory Services Client) χρησιμοποιεί την υπογραφή SMB όταν εκτελεί έλεγχο ταυτότητας με διακομιστές Windows Server 2003, χρησιμοποιώντας τον έλεγχο ταυτότητας NTLM. Ωστόσο, αυτοί οι υπολογιστές-πελάτες δεν χρησιμοποιούν την υπογραφή SMB όταν εκτελούν έλεγχο ταυτότητας με αυτούς τους διακομιστές χρησιμοποιώντας τον έλεγχο ταυτότητας NTLMv2. Ακόμα, οι διακομιστές με Windows 2000 δεν ανταποκρίνονται σε αιτήσεις υπογραφής SMB από αυτούς τους υπολογιστές-πελάτες. Δείτε το στοιχείο 10: "Ασφάλεια δικτύου: Επίπεδο ελέγχου ταυτότητας Lan Manager."
    2. Επικίνδυνες ρυθμίσεις παραμέτρων

      Η ακόλουθη ρύθμιση παραμέτρων είναι επικίνδυνη: Όταν αφήσετε τις ρυθμίσεις Πρόγραμμα-πελάτης δικτύου της Microsoft: Ψηφιακή υπογραφή κατά την επικοινωνία (πάντα) (Microsoft network client: Digitally sign communications (always)) και Πρόγραμμα-πελάτης δικτύου της Microsoft: Ψηφιακή υπογραφή κατά την επικοινωνία (εάν συμφωνεί ο διακομιστής) (Microsoft network client:Digitally sign communications (if server agrees)) με τη ρύθμιση "Δεν έχει καθοριστεί" (Not Defined) ή απενεργοποιημένες. Οι ρυθμίσεις αυτές επιτρέπουν στο πρόγραμμα ανακατεύθυνσης να στείλει κωδικούς πρόσβασης απλού κειμένου σε διακομιστές SMB που δεν είναι της Microsoft, οι οποίοι δεν υποστηρίζουν κρυπτογράφηση κωδικού πρόσβαησς στη διάρκεια του ελέγχου ταυτότητας.
    3. Λόγοι για την ενεργοποίηση αυτής της ρύθμισης

      Η ενεργοποιήση της ρύθμισης Πρόγραμμα-πελάτης δικτύου της Microsoft: Ψηφιακή υπογραφή κατά την επικοινωνία (πάντα) (Digitally sign communications (always)) απαιτεί από τους υπολογιστές-πελάτες να προσθέσουν υπογραφή στην κυκλοφορία SMB κατά την επικοινωνία με διακομιστές που δεν απαιτούν υπογραφή SMB, κάνοντας τους υπολογιστές-πελάτες λιγότερο ευάλωτους σε εισβολές κακόβουλων χρηστών.
    4. Λόγοι για την απενεργοποίηση αυτής της ρύθμισης
      • Η ενεργοποιήση της ρύθμισης Πρόγραμμα-πελάτης δικτύου της Microsoft: Ψηφιακή υπογραφή κατά την επικοινωνία (πάντα) (Digitally sign communications (always)) αποτρέπει την επικοινωνία υπολογιστών-πελατών με διακομιστές προορισμού, οι οποίοι δεν υποστηρίζουν υπογραφή SMB
      • Η ρύθμιση παραμέτρων των υπολογιστών έτσι ώστε να παραβλέπουν όλες τις ανυπόγραφες επικοινωνίες SMB αποτρέπει τη σύνδεση παλαιότερων προγραμμάτων και λειτουργικών συστημάτων.
    5. Συμβολικό όνομα:

      RequireSMBSignRdr
    6. Διαδρομή μητρώου:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
    7. Παραδείγματα προβλημάτων συμβατότητας
      • Windows NT 4.0: Δεν θα είστε σε θέση να επαναφέρετε το ασφαλές κανάλι μιας σχέσης αξιοπιστίας μεταξύ ενός τομέα των Windows Server 2003 και ενός τομέα των Windows NT 4.0, χρησιμοποιώντας το NLTEST ή το NETDOM και θα λάβετε το μήνυμα λάθους "Δεν επιτρέπεται η πρόσβαση" (Access Is Denied).
      • Windows XP: Η αντιγραφή αρχείων από υπολογιστές-πελάτες με Windows XP σε διακομιστές που βασίζονται σε Windows 2000 και Windows Server 2003 ενδέχεται να διαρκέσει περισσότερο.
      • Με ενεργοποιημένη αυτή τη ρύθμιση, δεν θα είστε σε θέση να αντιστοιχίσετε μια μονάδα δίσκου δικτύου από ένα πρόγραμμα-πελάτη και θα εμφανιστεί το ακόλουθο μήνυμα λάθους:
        The account is not authorized to log in from this station.
    8. Απαιτήσεις επανεκκίνησης

      Κάντε επανεκκίνηση του υπολογιστή ή της υπηρεσίας σταθμού εργασίας. Για να γίνει αυτό, πληκτρολογήστε τις ακόλουθες εντολές σε μια γραμμή εντολών. Πιέστε το πλήκτρο ENTER μετά την πληκτρολόγηση κάθε εντολής.
      net stop workstation
      net start workstation
  6. Διακομιστής δικτύου της Microsoft: Ψηφιακή υπογραφή κατά την επικοινωνία (πάντα) (Microsoft network server: Digitally sign communications (always))
    1. Παρασκήνιο
      • Το SMB (Server Messenger Block) είναι το πρωτόκολλο κοινής χρήσης πόρων, το οποίο υποστηρίζεται από πολλά λειτουργικά συστήματα της Microsoft. Είναι η βάση του βασικού συστήματος εισόδου/εξόδου (NetBIOS) του δικτύου και πολλών άλλων πρωτοκόλλων. Η υπογραφή SMB πραγματοποιεί έλεγχο ταυτότητας τόσο στο χρήστη όσο και στο διακομιστή που φιλοξενεί τα δεδομένα. Στην περίπτωση που κάποια από τις δύο πλευρές αποτύχει στη διαδικασία ελέγχου ταυτότητας, δεν θα γίνει μετάδοση των δεδομένων.

        Η ενεργοποίηση της υπογραφής SMB ξεκινά στη διάρκεια της διαπραγμάτευσης του πρωτοκόλλου SMB. Οι πολιτικές της υπογραφής SMB καθορίζουν αν ο υπολογιστής θα υπογράφει πάντοτε τις επικοινωνίες υπολογιστών-πελατών.

        Το πρωτόκολλο ελέγχου ταυτότητας SMB των Windows 2000 υποστηρίζει τον αμοιβαίο έλεγχο ταυτότητας. Ο αμοιβαίος έλεγχος ταυτότητας τερματίζει μια εισβολή κακόβουλου χρήστη. Το πρωτόκολλο ελέγχου ταυτότητας SMB των Windows 2000 υποστηρίζει επίσης τον έλεγχο ταυτότητας μηνυμάτων. Ο έλεγχος ταυτότητας μηνυμάτων βοηθά στην αποτροπή επιθέσεων ενεργού μηνύματος. Για να αποκτήσετε αυτόν τον έλεγχο ταυτότητας, η υπογραφή SMB τοποθετεί μια ψηφιακή υπογραφή σε κάθε SMB. Τόσο ο υπολογιστής-πελάτης όσο και ο διακομιστής επιβεβαιώνουν την ψηφιακή υπογραφή.

        Για να χρησιμοποιήσετε την υπογραφή SMB, πρέπει να την ενεργοποιήσετε ή να απαιτήσετε την υπογραφή SMB τόσο στον υπολογιστή-πελάτη SMB όσο και στο διακομιστή SMB. Στην περίπτωση που η υπογραφή SMB ενεργοποιηθεί στο διακομιστή, οι υπολογιστές-πελάτες που έχουν επίσης ενεργοποιημένη την υπογραφή SMB χρησιμοποιούν το πρωτόκολλο υπογραφής πακέτου στη διάρκεια όλων των επόμενων περιόδων λειτουργίας. Στην περίπτωση που η υπογραφή SMB απαιτείται σε ένα διακομιστή, ένας υπολογιστής-πελάτης δεν είναι σε θέση να δημιουργήσει μια περίοδο λειτουργίας μέχρι να ενεργοποιηθεί ή να απαιτηθεί υπογραφή SMB.

        Η ενεργοποίηση ψηφιακής υπογραφής σε δίκτυα υψηλής ασφάλειας βοηθά στην αποτροπή της απομίμησης υπολογιστών-πελατών και διακομιστών. Αυτός ο τύπος απομίμησης είναι γνωστός ως εισβολή σε περίοδο λειτουργίας. Ένας εισβολέας που έχει πρόσβαση στο ίδιο δίκτυο με τον υπολογιστή-πελάτη ή το διακομιστή χρησιμοποιεί τα εργαλεία εισβολής με σκοπό τη διακοπή, τον τερματισμό ή την κλοπή μιας περιόδου λειτουργίας που βρίσκεται σε εξέλιξη. Ένας εισβολέας θα μπορούσε να παρεμποδίσει και να τροποποιήσει τα ανυπόγραφα πακέτα SMB (Subnet Bandwidth Manager), να τροποποιήσει την κυκλοφορία, και, στη συνέχεια, να την διαβιβάσει έτσι ώστε ο διακομιστής να εκτελέσει τις ανεπιθύμητες ενέργειες. Εναλλακτικά, ο εισβολέας θα μπορούσε να υποδυθεί το ρόλο του διακομιστή ή του υπολογιστή-πελάτη μετά από έναν νόμιμο έλεγχο ταυτότητας και να αποκτήσει μη εξουσιοδοτημένη πρόσβαση στα δεδομένα.

        Το πρωτόκολλο SMB το οποίο χρησιμοοιείται για την κοινή χρήση αρχείων και εκτυπωτών σε υπολογιστές που εκτελούν Windows 2000 Server, Windows 2000 Professional, Windows XP Professional ή Windows Server 2003 υποστηρίζει τον αμοιβαίο έλεγχο ταυτότητας. Ο αμοιβαίος έλεγχος ταυτότητας τερματίζει τις εισβολές κακόβουλων χρηστών και υποστηρίζει τον έλεγχο ταυτότητας μηνυμάτων. Επομένως, αποτρέπει τις εισβολές κακόβουλων χρηστών. Η υπογραφή SMB παρέχει αυτόν τον έλεγχο ταυτότητας τοποθετώντας μια ψηφιακή υπογραφή σε κάθε SMB. Η υπογραφή επαληθεύεται στη συνέχεια τόσο από τον υπολογιστή-πελάτη όσο και από το διακομιστή.
      • Ένα εναλλακτικό αντίμετρο που μπορεί να συμβάλλει στην προστασία ολόκληρης της κυκλοφορίας δικτύου είναι η ενεργοποίηση των ψηφιακών υπογραφών με το IPSec. Υπάρχουν επιταχυντές που βασίζονται στο υλικό για κρυπτογράφηση και υπογραφή IPSec, οι οποίοι μπορούν να χρησιμοποιηθούν για την ελαχιστοποίηση της επίδρασης στην απόδοση από τη CPU του διακομιστή. Δεν υπάρχουν διαθέσιμα τέτοια προγράμματα επιτάχυνσης για υπογραφή SMB.
      • Στα Windows 95, Windows 98 και Windows 98 Second Edition , το πρόγραμμα-πελάτης των υπηρεσιών καταλόγου (Directory Services Client) χρησιμοποιεί την υπογραφή SMB όταν εκτελεί έλεγχο ταυτότητας με διακομιστές Windows Server 2003, χρησιμοποιώντας τον έλεγχο ταυτότητας NTLM. Ωστόσο, αυτοί οι υπολογιστές-πελάτες δεν χρησιμοποιούν την υπογραφή SMB όταν εκτελούν έλεγχο ταυτότητας με αυτούς τους διακομιστές χρησιμοποιώντας τον έλεγχο ταυτότητας NTLMv2. Ακόμα, οι διακομιστές με Windows 2000 δεν ανταποκρίνονται σε αιτήσεις υπογραφής SMB από αυτούς τους υπολογιστές-πελάτες. Δείτε το στοιχείο 10: "Ασφάλεια δικτύου: Επίπεδο ελέγχου ταυτότητας Lan Manager."
    2. Επικίνδυνες ρυθμίσεις παραμέτρων

      Η ακόλουθη ρύθμιση παραμέτρων είναι επικίνδυνη: Η ενεργοποίηση της ρύθμισης Διακομιστής δικτύου της Microsoft: Ψηφιακή υπογραφή κατά την επικοινωνία (πάντα) (Microsoft network client: Digitally sign communications (always)) σε διακομιστές και ελεγκτές τομέα που είναι προσβάσιμοι από μη συμβατούς υπολογιστές-πελάτες που χρησιμοποιούν λειτουργικά συστήματα Windows και άλλων κατασκευαστών σε τοπικούς ή εξωτερικούς τομείς.
    3. Λόγοι για την ενεργοποίηση αυτής της ρύθμισης
      • Όλοι οι υπολογιστές-πελάτες που ενεργοποιούν αυτή τη ρύθμιση απευθείας μέσω του μητρώου ή μέσω της ρύθμισης "Πολιτική ομάδας" (Group Policy) υποστηρίζουν την υπογραφή SMB. Με άλλα λόγια, όλοι οι υπολογιστές-πελάτες που έχουν ενεργοποιημένη αυτή τη ρύθμιση εκτελούν είτε Windows 95 με εγκατεστημένο το πρόγραμμα-πελάτη DS, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional ή Windows Server 2003.
      • Στην περίπτωση που η ρύθμιση Διακομιστής δικτύου της Microsoft: Ψηφιακή υπογραφή κατά την επικοινωνία (πάντα) (Microsoft network client: Digitally sign communications (always)) απενεργοποιηθεί, η υπογραφή SMB απενεργοποιείται εντελώς. Η πλήρης απενεργοποίηση όλων των υπογραφών SMB αφήνει τους υπολογιστές περισσότερο ευάλωτους σε εισβολές κακόβουλες χρηστών.
    4. Λόγοι για την απενεργοποίηση αυτής της ρύθμισης
      • Η ενεργοποίηση αυτής της ρύθμισης ενδέχεται να μειώσει την ταχύτητα της αντιγραφής αρχείων καθώς και τις επιδόσεις δικτύου σε υπολογιστές-πελάτες.
      • Η ενεργοποίηση αυτής της ρύθμισης θα αποτρέψει την επικοινωνία των υπολογιστών-πελατών χωρίς δυνατότητα διαπραγμάτευσης SMB με διακομιστές και ελεγκτές τομέα. Αυτό προκαλεί την αποτυχία λειτουργιών όπως οι συμμετοχές σε τομέα, ο έλεγχος ταυτότητας χρήστη και υπολογιστή ή η πρόσβαση στο δίκτυο από προγράμματα.
    5. Συμβολικό όνομα:

      RequireSMBSignServer
    6. Διαδρομή μητρώου:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)
    7. Παραδείγματα προβλημάτων συμβατότητας
      • Windows 95: Οι υπολογιστές-πελάτες με Windows 95 που δεν έχουν εγκατεστημένο το πρόγραμμα Directory Services (DS) Client θα αποτύχουν κατά τον έλεγχο ταυτότητας και θα λάβουν το ακόλουθο μήνυμα λάθους:
        Ο κωδικός πρόσβασης τομέα που εισαγάγατε δεν είναι σωστός ή δεν έχει επιτραπεί η πρόσβαση στο διακομιστή σύνδεσης. (The domain password you supplied is not correct, or access to your logon server has been denied).
        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        811497  (http://support.microsoft.com/kb/811497/ ) Εμφανίζεται ένα μήνυμα λάθους κατά τη σύνδεση ενός υπολογιστή-πελάτη με Windows 95 ή Windows NT 4.0 σε τομέα με Windows Server 2003 (US)
      • Windows NT 4.0: Υπολογιστές-πελάτες που χρησιμοποιούν εκδόσεις των Windows NT 4.0 παλαιότερες από το Service Pack 3 (SP3) θα αποτύχουν να εκτελέσουν έλεγχο ταυτότητας σύνδεσης και θα λάβουν το ακόλουθο μήνυμα λάθους:
        The system could not log you on. Make sure your username and your domain are correct, then type your password again.
        Ορισμένοι διακομιστές SMB που δεν είναι της Microsoft υποστηρίζουν μόνο αλλαγές κωδικού πρόσβασης χωρίς κρυπτογράφηση στη διάρκεια του ελέγχου ταυτότητας. (Οι αλλαγές αυτές είναι επίσης γνωστές ως αλλαγές "απλού κειμένου".) Ξεκινώντας με το Windows NT 4.0 SP3, το πρόγραμμα ανακατεύθυνσης SMB δεν αποστέλλει κωδικό πρόσβασης χωρίς κρυπτογράφηση στη διάρκεια του ελέγχου ταυτότητας σε ένα διακομιστή SMB, αν δεν προσθέσετε μια συγκεκριμένη καταχώρηση μητρώου.
        Για να ενεργοποιήσετε κωδικούς πρόσβασης χωρίς κρυπτογράφηση για το πρόγραμμα-πελάτη SMB σε Windows NT 4.0 SP 3 και σε νεότερα συστήματα, τροποποιήστε το μητρώο ως εξής: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        Value Name: EnablePlainTextPassword
        Data Type: REG_DWORD
        Data: 1

        Για περισσότερες πληροφορίες σχετικά με αυτό το θέμα, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        224287  (http://support.microsoft.com/kb/224287/ ) Μήνυμα λάθους: Παρουσιάστηκε σφάλμα συστήματος 1240. Ο λογαριασμός δεν είναι εξουσιοδοτημένος για σύνδεση από αυτόν το σταθμό. (US)
        166730  (http://support.microsoft.com/kb/166730/ ) Μη κρυπτογραφημένοι κωδικοί πρόσβασης ενδέχεται να προκαλέσουν αποτυχία σύνδεσης του Service Pack 3 με διακομιστές SMB (US)
      • Windows Server 2003:Από προεπιλογή, οι ρυθμίσεις ασφαλείας σε ελεγκτές τομέα που χρησιμοποιούν Windows Server 2003 έχουν ρυθμιστεί έτσι ώστε να αποτρέπουν την υποκλοπή ή την αλλοίωση των επικοινωνιών ελεγκτών τομέα από κακόβουλους χρήστες. Για την ασφαλή επικοινωνία των χρηστών με έναν ελεγκτή τομέα που χρησιμοποιεί Windows Server 2003, οι υπολογιστές-πελάτες πρέπει να χρησιμοποιούν τόσο την υπογραφή όσο και την κρυπτογράφηση SMB ή την υπογραφή κυκλοφορίας ασφαλού καναλιού. Από προεπιλογή, οι υπολογιστές-πελάτες που χρησιμοποιούν Windows NT 4.0 με εγκατεστημένο το Service Pack 2 (SP2) ή παλαιότερες εκδόσεις και οι υπολογιστές-πελάτες που χρησιμοποιούν Windows 95 δεν χρειάζεται να έχουν ενεργοποιημένη την υπογραφή πακέτου SMB. Επομένως, αυτοί οι υπολογιστές-πελάτες ενδέχεται να μην είναι σε θέση να εφαρμόσουν έλεγχο ταυτότητας σε έναν ελεγκτή τομέα που βασίζεται σε Windows Server 2003.
      • Ρυθμίσεις πολιτικής για Windows 2000 και Windows Server 2003:Ανάλογα με τις συγκεκριμένες ανάγκες εγκατάστασης και τη ρύθμιση παραμέτρων, συνιστούμε να ορίσετε τις ακόλουθες ρυθμίσεις πολιτικής στη χαμηλότερη οντότητα του απαιτούμενου πεδίου στην ιεραρχία του συμπληρωματικού προγράμματος Microsoft Management Console Group Policy Editor:
        • Computer Configuration\Windows Security Settings\Security Options
        • Αποστολή κωδικού πρόσβασης χωρίς κρυπτογράφηση για σύνδεση με διακομιστές SMB άλλων κατασκευαστών (Αυτή η ρύθμιση αφορά τα Windows 2000.)
        • Πρόγραμμα-πελάτης δικτύου της Microsoft: Αποστολή κωδικού πρόσβασης χωρίς κρυπτογράφηση σε διακομιστές SMB άλλων κατασκευαστών (Send unencrypted password to third-party SMB servers) (Αυτή η ρύθμιση αφορά τα Windows Server 2003.)

        Σημείωση Σε ορισμένους διακομιστές CIFS άλλων κατασκευαστών, όπως οι παλαιότερες εκδόσεις Samba, δεν μπορείτε να χρησιμοποιήσετε κρυπτογραφημένους κωδικούς πρόσβασης.
      • Τα ακόλουθα προγράμματα-πελάτες δεν είναι συμβατά με τη ρύθμιση Διακομιστής δικτύου της Microsoft: Ψηφιακή υπογραφή κατά την επικοινωνία (πάντα) (Microsoft network client: Digitally sign communications (always)):
        • Προγράμματα-πελάτες Mac OS X της Apple Computer, Inc.
        • Προγράμματα-πελάτες δικτύου Microsoft MS-DOS (για παράδειγμα, το Microsoft LAN Manager)
        • Προγράμματα-πελάτες Microsoft Windows for Workgroups
        • Προγράμματα-πελάτες Microsoft Windows 95 χωρίς το DS Client
        • Υπολογιστές με Microsoft Windows NT 4.0 χωρίς το SP3 ή νεότερες εκδόσεις
        • Προγράμματα-πελάτες Novell Netware 6 CIFS
        • Προγράμματα-πελάτες SMB της SAMBA χωρίς υποστήριξη για υπογραφή SMB
    8. Απαιτήσεις επανεκκίνησης

      Κάντε επανεκκίνηση του υπολογιστή ή της υπηρεσίας διακομιστή. Για να γίνει αυτό, πληκτρολογήστε τις ακόλουθες εντολές σε μια γραμμή εντολών. Πιέστε το πλήκτρο ENTER μετά από την πληκτρολόγηση κάθε εντολής.
      net stop server
      net start server
  7. Πρόσβαση στο δίκτυο: Επιτρέπονται ανώνυμες μεταφράσεις αναγνωριστικού ασφαλείας (Network access: Allow anonymous SID/Name translation)
    1. Παρασκήνιο

      Η ρύθμιση Πρόσβαση στο δίκτυο: Επιτρέπονται ανώνυμες μεταφράσεις αναγνωριστικού ασφαλείας (Network access: Allow anonymous SID/Name translation) καθορίζει αν ένας ανώνυμος χρήστης μπορεί να ζητήσει τις ιδιότητες SID (Security Identification Number) για κάποιον άλλο χρήστη.
    2. Επικίνδυνες ρυθμίσεις παραμέτρων

      Η ενεργοποίηση της ρύθμισης Πρόσβαση στο δίκτυο: Επιτρέπονται ανώνυμες μεταφράσεις αναγνωριστικού ασφαλείας (Network access: Allow anonymous SID/Name translation) είναι μια επικίνδυνη ρύθμιση παραμέτρων.
    3. Λόγοι για την ενεργοποίηση αυτής της ρύθμισης

      Στην περίπτωση που είναι απενεργοποιημένη η ρύθμιση Πρόσβαση στο δίκτυο: Επιτρέπονται ανώνυμες μεταφράσεις αναγνωριστικού ασφαλείας (Network access: Allow anonymous SID/Name translation), τα παλαιότερα λειτουργικά συστήματα ή εφαρμογές ενδέχεται να μην είναι σε θέση να επικοινωνήσουν με τομείς που χρησιμοποιούν Windows Server 2003. Για παράδειγμα, τα ακόλουθα λειτουργικά συστήματα, υπηρεσίες ή εφαρμογές ενδέχεται να μην λειτουργήσουν:
      • Διακομιστές υπηρεσίας απομακρυσμένης πρόσβασης που βασίζονται σε Windows NT 4.0
      • Το Microsoft SQL Server που εκτελείται σε υπολογιστές που βασίζονται σε Windows NT 3.x ή Windows NT 4.0
      • Η υπηρεσία απομακρυσμένης πρόσβασης που εκτελείται σε υπολογιστές που βασίζονται σε Windows 2000, οι οποίοι βρίσκονται σε τομείς με Windows NT 3.x ή Windows NT 4.0
      • Το πρόγραμμα SQL Server που εκτελείται σε υπολογιστές που βασίζονται σε Windows 2000, οι οποίοι βρίσκονται σε τομείς με Windows NT 3.x ή Windows NT 4.0
      • Οι χρήστες ενός τομέα πόρων με Windows NT 4.0, οι οποίοι θέλουν να εκχωρήσουν δικαιώματα πρόσβασης σε αρχεία, κοινόχρηστους φακέλους και αντικείμενα μητρώου σε λογαριασμούς χρηστών από τομείς λογαριασμών που περιέχουν ελεγκτές τομέα με Windows Server 2003
    4. Λόγοι για την απενεργοποίηση αυτής της ρύθμισης

      Εάν ενεργοποιηθεί αυτή η ρύθμιση, ένας κακόβουλος χρήστης θα μπορούσε να χρησιμοποιήσει το πολύ γνωστό SID Administrators για να αποκτήσει το πραγματικό όνομα του ενσωματωμένου λογαριασμού διαχειριστή, ακόμα και όταν ο λογαριασμός έχει μετονομαστεί. Αυτό το άτομο θα μπορούσε έπειτα να χρησιμοποιήσει το όνομα λογαριασμού για να ξεκινήσει μια απόπειρα εντοπισμού κωδικού πρόσβασης.
    5. Συμβολικό όνομα: Δ/Υ (N/A)
    6. Διαδρομή δικτύου: Καμία. Η διαδρομή καθορίζεται σε κώδικα UI.
    7. Παραδείγματα προβλημάτων συμβατότητας

      Windows NT 4.0: Οι υπολογιστές των τομέων πόρων με Windows NT 4.0 θα εμφανίσουν το μήνυμα λάθους "Άγνωστος λογαριασμός" (Account Unknown) στο ACL Editor στην περίπτωση που οι πόροι, συμπεριλαμβανομένων των κοινόχρηστων φακέλων, των κοινόχρηστων αρχείων και των αντικειμένων μητρώου, έχουν ασφαλιστεί με αρχές ασφαλείας, οι οποίες βρίσκονται σε τομείς λογαριασμών που περιέχουν ελεγκτές τομέα με Windows Server 2003.
  8. Πρόσβαση στο δίκτυο: Να μην επιτρέπεται η ανώνυμη απαρίθμηση λογαριασμών SAM (Do not allow anonymous enumeration of SAM accounts)
    1. Παρασκήνιο
      • Η ρύθμιση Πρόσβαση στο δίκτυο: Να μην επιτρέπεται η ανώνυμη απαρίθμηση λογαριασμών SAM (Do not allow anonymous enumeration of SAM accounts) καθορίζει ποια πρόσθετα δικαιώματα θα εκχωρηθούν για ανώνυμες συνδέσεις στον υπολογιστή. Τα Windows δίνουν τη δυνατότητα στους ανώνυμους χρήστες να εκτελούν συγκεκριμένες δραστηριότητες, όπως η απαρίθμηση των ονομάτων λογαριασμών SAM (Security Accounts Manager) τομέα, και κοινόχρηστων στοιχείων δικτύου. Αυτό είναι εύχρηστο, όταν, για παράδειγμα, ένας διαχειριστής εκχωρήσει δικαιώματα πρόσβασης σε χρήστες ενός αξιόπιστου τομέα που δεν περιέχει αμοιβαία σχέση αξιοπιστίας. Από προεπιλογή, ένας ανώνυμος χρήστης έχει το ίδιο δικαίωμα πρόσβασης με αυτό που εκχωρείται στην ομάδα Everyone για ένα συγκεκριμένο πόρο. Συνήθως, οι ανώνυμες συνδέσεις απαιτούνται από υπολογιστές-πελάτες προηγούμενων εκδόσεων στη διάρκεια μιας εγκατάστασης περιόδου λειτουργίας SMB. Σε αυτές τις περιπτώσεις, ένα ίχνος δικτύου δείχνει ότι το αναγνωριστικό διαδικασίας SMB (PID) είναι το πρόγραμμα-πελάτης ανακατεύθυνσης 0xFEFF στα Windows 2000 ή 0xCAFE στα Windows NT. Το RPC ενδέχεται επίσης να επιχειρήσει τη δημιουργία ανώνυμων συνδέσεων.
      • Αυτή η ρύθμιση δεν έχει καμία επίδραση σε ελεγκτές τομέα.
      • Στα Windows 2000, μια παρόμοια ρύθμιση, η Προσθήκη περιορισμών για ανώνυμες συνδέσεις (Additional Restrictions for Anonymous Connections), διαχειρίζεται την τιμή μητρώου
        RestrictAnonymous
        . Η θέση αυτής της τιμής είναι η εξής:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
        Για περισσότερες πληροφορίες σχετικά με την τιμή μητρώου RestrictAnonymous, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        246261  (http://support.microsoft.com/kb/246261/ ) Τρόπος χρήσης της τιμής μητρώου RestrictAnonymous στα Windows 2000
        143474  (http://support.microsoft.com/kb/143474/ ) Περιορισμός πληροφοριών που είναι διαθέσιμες για χρήστες ανώνυμων συνδέσεων (US)
    2. Επικίνδυνες ρυθμίσεις παραμέτρων:

      Η ενεργοποίηση της ρύθμισης Πρόσβαση στο δίκτυο: Να μην επιτρέπεται η ανώνυμη απαρίθμηση λογαριασμών SAM (Do not allow anonymous enumeration of SAM accounts) είναι μια επικίνδυνη ρύθμιση από την άποψη της συμβατότητας. Η απενεργοποίηση αυτής της ρύθμισης είναι επικίνδυνη από την άποψη της ασφάλειας.
    3. Λόγοι για την ενεργοποίηση αυτής της ρύθμισης

      Ένας μη εξουσιοδοτημένος χρήστης θα μπορούσε να παραθέσει ανώνυμα ονόματα λογαριασμών και, στη συνέχεια, να χρησιμοποιήσει τις πληροφορίες για να επιχειρήσει να μαντέψει κωδικούς πρόσβασης ή να εκτελέσει επιθέσεις τύπου social engineering. Η φράση Social engineering είναι μια ορολογία που σημαίνει ότι γίνεται εξαπάτηση των ατόμων έτσι ώστε να αποκαλύψουν τους κωδικούς πρόσβασής τους ή ορισμένες από τις πληροφορίες που αφορούν την ασφάλειά τους.
    4. Λόγοι για την απενεργοποίηση αυτής της ρύθμισης

      Εάν ενεργοποιηθεί αυτή η ρύθμιση, είναι αδύνατο να δημιουργηθούν σχέσεις αξιοπιστίας με τομείς των Windows NT 4.0. Αυτή η ρύθμιση θα προκαλέσει επίσης προβλήματα με υπολογιστές-πελάτες προηγούμενων εκδόσεων, όπως οι υπολογιστές-πελάτες με Windows NT 3.51 και οι υπολογιστές-πελάτες με Windows 95, οι οποίοι επιχειρούν να χρησιμοποιήσουν πόρους του διακομιστή.
    5. Συμβολικό όνομα: RestrictAnonymousSAM
    6. Διαδρομή δικτύου:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)
    7. Παραδείγματα προβλημάτων συμβατότητας
    • Το SMS Network Discovery δεν θα είναι σε θέση να αποκτήσει πληροφορίες για το λειτουργικό σύστημα και θα εγγράψει την ένδειξη "Άγνωστη" (Unknown) στην ιδιότητα OperatingSystemNameandVersion.
    • Windows 95, Windows 98: Οι υπολογιστές-πελάτες με Windows 95 και οι υπολογιστές-πελάτες με Windows 98 δεν έχουν τη δυνατότητα αλλαγής του κωδικού πρόσβασης.
    • Windows NT 4.0: Οι υπολογιστές-μέλη με Windows NT 4.0 δεν θα έχουν τη δυνατότητα να υποβληθούν σε έλεγχο ταυτότητας.
    • Windows 95, Windows 98: Οι υπολογιστές με Windows 95 και οι υπολογιστές με Windows 98 δεν θα έχουν τη δυνατότητα να υποβληθούν σε έλεγχο ταυτότητας από ελεγκτές τομέα της Microsoft.
    • Windows 95, Windows 98: Οι χρήστες υπολογιστών με Windows 95 και Windows 98 δεν έχουν τη δυνατότητα αλλαγής των κωδικών πρόσβασης των λογαριασμών χρήστη που χρησιμοποιούν.
  9. Πρόσβαση στο δίκτυο: Να μην επιτρέπεται η ανώνυμη απαρίθμηση λογαριασμών και κοινόχρηστων στοιχείων SAM (Network access: Do not allow anonymous enumeration of SAM accounts and shares)
    1. Παρασκήνιο
      • Η ρύθμιση Πρόσβαση στο δίκτυο: Να μην επιτρέπεται η ανώνυμη απαρίθμηση λογαριασμών και κοινόχρηστων στοιχείων SAM (Network access: Do not allow anonymous enumeration of SAM accounts and shares) (γνωστή επίσης ως RestrictAnonymous) καθορίζει αν επιτρέπεται η ανώνυμη απαρίθμηση λογαριασμών και κοινόχρηστων στοιχείων SAM (Security Accounts Manager). Τα Windows δίνουν τη δυνατότητα στους ανώνυμους χρήστες να εκτελούν συγκεκριμένες δραστηριότητες, όπως η απαρίθμηση ονομάτων λογαριασμών τομέα και κοινόχρηστων στοιχείων δικτύου. Αυτό είναι χρήσιμο, όταν, για παράδειγμα, ένας διαχειριστής εκχωρήσει δικαιώματα πρόσβασης σε χρήστες ενός αξιόπιστου τομέα που δεν περιέχει αμοιβαία σχέση αξιοπιστίας. Εάν δεν επιθυμείτε την ανώνυμη απαρίθμηση λογαριασμών SAM και κοινόχρηστων στοιχείων, ενεργοποιήστε αυτήν τη ρύθμιση.
      • Στα Windows 2000, μια παρόμοια ρύθμιση, η Προσθήκη περιορισμών για ανώνυμες συνδέσεις (Additional Restrictions for Anonymous Connections), διαχειρίζεται την τιμή μητρώου
        RestrictAnonymous
        . Η θέση αυτής της τιμής είναι η εξής:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    2. Επικίνδυνες ρυθμίσεις παραμέτρων

      Η ενεργοποίηση της ρύθμισης Πρόσβαση στο δίκτυο: Να μην επιτρέπεται η ανώνυμη απαρίθμηση λογαριασμών και κοινόχρηστων στοιχείων SAM (Network access: Do not allow anonymous enumeration of SAM accounts and shares) είναι μια επικίνδυνη ρύθμιση παραμέτρων.
    3. Λόγοι για την ενεργοποίηση αυτής της ρύθμισης
      • Η ενεργοποίηση της ρύθμισης Πρόσβαση στο δίκτυο: Να μην επιτρέπεται η ανώνυμη απαρίθμηση λογαριασμών και κοινόχρηστων στοιχείων SAM (Network access: Do not allow anonymous enumeration of SAM accounts and shares) αποτρέπει την απαρίθμηση λογαριασμών και κοινόχρηστων στοιχείων SAM από χρήστες και υπολογιστές που χρησιμοποιούν ανώνυμους λογαριασμούς.
    4. Λόγοι για την απενεργοποίηση αυτής της ρύθμισης
      • Εάν ενεργοποιηθεί αυτή η ρύθμιση, ένας μη εξουσιοδοτημένος χρήστης θα μπορούσε να παραθέσει ανώνυμα ονόματα λογαριασμών και, στη συνέχεια, να χρησιμοποιήσει τις πληροφορίες για να επιχειρήσει να μαντέψει κωδικούς πρόσβασης ή να πραγματοποιήσει επιθέσεις τύπου social engineering. Η φράση Social engineering είναι μια ορολογία που σημαίνει ότι γίνεται εξαπάτηση των ατόμων έτσι ώστε να αποκαλύψουν τους κωδικούς πρόσβασής τους ή ορισμένες από τις πληροφορίες που αφορούν την ασφάλειά τους.
      • Εάν ενεργοποιηθεί αυτή η ρύθμιση, θα είναι αδύνατο να δημιουργηθούν σχέσεις αξιοπιστίας με τομείς των Windows NT 4.0. Αυτή η ρύθμιση θα προκαλέσει επίσης προβλήματα με υπολογιστές-πελάτες προηγούμενων εκδόσεων, όπως οι υπολογιστές-πελάτες με Windows NT 3.51 και οι υπολογιστές-πελάτες με Windows 95, οι οποίοι επιχειρούν να χρησιμοποιήσουν πόρους του διακομιστή.
      • Θα είναι αδύνατο να εκχωρηθεί δικαίωμα πρόσβασης σε χρήστες τομέων πόρων, επειδή οι διαχειριστές του αξιόπιστου τομέα δεν θα είναι σε θέση να κάνουν απαρίθμηση λιστών λογαριασμών στον άλλο τομέα. Οι χρήστες που κάνουν ανώνυμη πρόσβαση σε διακομιστές αρχείων και εκτυπωτών δεν θα είναι σε θέση να παραθέσουν τους κοινόχρηστους πόρους δικτύου σε αυτούς τους διακομιστές. Οι χρήστες πρέπει να υποβληθούν σε έλεγχο ταυτότητας για να μπορέσουν να προβάλουν τις λίστες κοινόχρηστων φακέλων και εκτυπωτών.
    5. Συμβολικό όνομα:

      RestrictAnonymous
    6. Διαδρομή μητρώου:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
    7. Παραδείγματα προβλημάτων συμβατότητας
      • Windows NT 4.0: Οι χρήστες δεν θα έχουν τη δυνατότητα αλλαγής των κωδικών πρόσβασης που χρησιμοποιούν από σταθμούς εργασίας με Windows NT 4.0, όταν είναι ενεργοποιημένη η ρύθμιση RestrictAnonymous σε ελεγκτές τομέα στον τομέα του χρήστη. Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        198941  (http://support.microsoft.com/kb/198941/ ) Οι χρήστες δεν μπορούν να αλλάξουν τον κωδικό πρόσβασης κατά τη σύνδεση (US)
      • Windows NT 4.0: Η προσθήκη χρηστών ή καθολικών ομάδων από αξιόπιστους τομείς με Windows 2000 σε τοπικές ομάδες των Windows NT 4.0 στο User Manager θα αποτύχει, εμφανίζοντας το ακόλουθο μήνυμα λάθους:
        Δεν υπάρχουν διαθέσιμοι διακομιστές σύνδεσης για να εξυπηρετήσουν την αίτηση σύνδεσης. (Event Log Error 5719. Source NETLOGON No Windows NT or Windows 2000 Domain Controller is available for domain Domain The following error occurred: There are currently no logon servers available to service the logon request.)
        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        296405  (http://support.microsoft.com/kb/296405/ ) Η τιμή μητρώου "RestrictAnonymous" ενδέχεται να καταστρέψει τη σχέση αξιοπιστίας σε έναν τομέα Windows 2000 (US)
      • Windows NT 4.0: Οι υπολογιστές που βασίζονται σε Windows NT 4.0 δεν θα είναι σε θέση να συμμετάσχουν σε τομείς στη διάρκεια της εγκατάστασης ή χρησιμοποιώντας το περιβάλλον εργασίας χρήστη συμμετοχής σε τομέα.

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        184538  (http://support.microsoft.com/kb/184538/ ) Μήνυμα λάθους: η εύρεση ελεγκτή για αυτόν τον τομέα δεν στάθηκε δυνατή (US)
      • Windows NT 4.0: Windows NT 4.0: Η δημιουργία μιας σχέσης αξιοπιστίας παλαιότερης έκδοσης με τομείς πόρων Windows NT 4.0 θα αποτύχει, εμφανίζοντας το ακόλουθο μήνυμα λάθους όταν είναι ενεργοποιημένη η ρύθμιση RestrictAnonymous στον αξιόπιστο τομέα:
        Δεν είναι δυνατή η εύρεση ελεγκτή τομέα για αυτόν τον τομέα.
        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        178640  (http://support.microsoft.com/kb/178640/ ) Δεν είναι δυνατή η εύρεση ελεγκτή τομέα κατά τη δημιουργία μιας σχέσης αξιοπιστίας (US)
      • Windows NT 4.0: Οι χρήστες που συνδέονται με υπολογιστές Terminal Server που βασίζονται σε Windows NT 4.0 θα αντιστοιχιστούν στον προεπιλεγμένο κεντρικό κατάλογο αντί για τον κεντρικό κατάλογο που καθορίζεται στο User Manager για τομείς.

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        236185  (http://support.microsoft.com/kb/236185/ ) Τα προφίλ χρήστη του Terminal Server και οι διαδρομές κεντρικού φακέλου παραβλέπονται μετά την εφαρμογή του SP4 ή νεότερης έκδοσης (US)
      • Windows NT 4.0: Οι εφεδρικοί ελεγκτές τομέα (BDC) με Windows NT 4.0 δεν θα είναι σε θέση να ξεκινήσουν την υπηρεσία Net Logon, για να αποκτήσουν μια λίστα εφεδρικών προγραμμάτων περιήγησης ή να συγχρονίσουν τη βάση δεδομένων SAM από ελεγκτές τομέα με Windows 2000 ή Windows Server 2003 στον ίδιο τομέα.

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        293127  (http://support.microsoft.com/kb/293127/ ) Η υπηρεσία Net Logon ενός BDC των Windows NT 4.0 δεν λειτουργεί σε έναν τομέα με Windows 2000 (US)
      • Windows 2000: Οι υπολογιστές-μέλη που βασίζονται σε Windows 2000 σε τομείς των Windows NT 4.0 δεν θα είναι σε θέση να προβάλλουν εκτυπωτές που βρίσκονται σε εξωτερικούς τομείς όταν είναι ενεργοποιημένη η ρύθμιση No access without explicitly anonymous permissions στην τοπική πολιτική ασφαλείας του υπολογιστή-πελάτη.

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        280329  (http://support.microsoft.com/kb/280329/ ) Ο χρήστης δεν έχει τη δυνατότητα διαχείρισης ή προβολής ιδιοτήτων εκτυπωτή (US)
      • Windows 2000: Οι χρήστες τομέων με Windows 2000 δεν θα είναι σε θέση να προσθέσουν εκτυπωτές δικτύου από την υπηρεσία καταλόγου Active Directory. Ωστόσο, θα έχουν τη δυνατότητα να προσθέτουν εκτυπωτές αφού πρώτα τους επιλέξουν από την προβολή δομής.

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        318866  (http://support.microsoft.com/kb/318866/ ) Τα προγράμματα-πελάτες Outlook δεν έχουν τη δυνατότητα προβολής μιας λίστας καθολικών διευθύνσεων μετά την εγκατάσταση του Security Rollup Package 1 (SRP1) σε ένα διακομιστή καθολικού καταλόγου (US)
      • Windows 2000: Σε υπολογιστές με Windows 2000, το ACL Editor δεν θα είναι σε θέση να προσθέσει χρήστες ή καθολικές ομάδες από αξιόπιστούς τομείς με Windows NT 4.0.

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        296403  (http://support.microsoft.com/kb/296403/ ) Η τιμή RestrictAnonymous καταστρέφει τη σχέση αξιοπιστίας σε ένα περιβάλλον μεικτού τομέα (US)
      • ADMT, έκδοση 2: Η μετεγκατάσταση κωδικού πρόσβασης για λογαριασμούς χρηστών που μετεγκαθίστανται μεταξύ συμπλεγμάτων δομών με το εργαλείο Active Directory Migration Tool (ADMT), έκδοση 2 θα αποτύχει.

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        322981  (http://support.microsoft.com/kb/322981/ ) Τρόπος αντιμετώπισης προβλημάτων μετεγκατάστασης κωδικού πρόσβασης στο εσωτερικό του συμπλέγματος δομών με το εργαλείο ADMTv2 (US)
      • Προγράμματα-πελάτες Outlook: Η λίστα καθολικών διευθύνσεων θα εμφανίζεται κενή σε προγράμματα-πελάτες του Microsoft Exchange Outlook.

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        318866  (http://support.microsoft.com/kb/318866/ ) Τα προγράμματα-πελάτες Outlook δεν έχουν τη δυνατότητα προβολής μιας λίστας καθολικών διευθύνσεων μετά την εγκατάσταση του Security Rollup Package 1 (SR) σε ένα διακομιστή καθολικού καταλόγου (US)
        321169  (http://support.microsoft.com/kb/321169/ ) Αργές επιδόσεις SMB κατά την αντιγραφή αρχείων από τα Windows XP σε έναν ελεγκτή τομέα με Windows 2000 (US)
      • SMS: Το Microsoft Systems Management Server (SMS) Network Discovery δεν θα είναι σε θέση να αποκτήσει τις πληροφορίες για το λειτουργικό σύστημα. Επομένως, θα γράψει τον προσδιορισμό "Άγνωστη" (Unknown) στην ιδιότητα OperatingSystemNameandVersion της ιδιότητας DDR του SMS της εγγραφής DDR (discovery data record).

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        229769  (http://support.microsoft.com/kb/229769/ ) Τρόπος με τον οποίο το πρόγραμμα Discovery Data Manager καθορίζει τη χρονική στιγμή δημιουργίας μιας αίτησης ρύθμισης παραμέτρων υπολογιστή-πελάτη (US)
      • SMS: Όταν χρησιμοποιήσετε το SMS Administrator User Wizard για να αναζητήσετε χρήστες και ομάδες, δεν θα παρατεθεί κανένας χρήστης και καμία ομάδα. Επιπλέον, οι υπολογιστές-πελάτες Advanced δεν έχουν τη δυνατότητα επικοινωνίας με το Management Point. Η ανώνυμη πρόσβαση απαιτείται στο Management Point.

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        302413  (http://support.microsoft.com/kb/302413/ ) Δεν υπάρχουν χρήστες ή ομάδες στον οδηγό Administrator User Wizard (US)
      • SMS: Όταν χρησιμοποιείτε τη δυνατότητα Network Discovery στο SMS 2.0 και στο Remote Client Installation με ενεργοποιημένη την επιλογή εντοπισμού Topology, client, and client operating systems, ενδέχεται να εντοπιστούν αλλά να μην εγκατασταθούν υπολογιστές.

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        311257  (http://support.microsoft.com/kb/311257/ ) Δεν εντοπίζονται πόροι όταν είναι απενεργοποιημένες οι ανώνυμες συνδέσεις (US)
  10. Ασφάλεια δικτύου: Επίπεδο ελέγχου ταυτότητας Lan Manager
    1. Παρασκήνιο

      Ο έλεγχος ταυτότητας LAN Manager (LM) είναι το πρωτόκολλο που χρησιμοποιείται για τον έλεγχο ταυτότητας υπολογιστών-πελατών με Windows για λειτουργίες δικτύου, στις οποίες συμπεριλαμβάνονται συμμετοχές σε τομείς, πρόσβαση σε πόρους δικτύου και έλεγχος ταυτότητας χρηστών ή υπολογιστών. Το επίπεδο ελέγχου ταυτότητας LM καθορίζει ποιο πρωτόκολλο ελέγχου ταυτότητας πρόκλησης/απόκρισης τίθεται σε διαπραγμάτευση μεταξύ του υπολογιστή-πελάτη και του διακομιστή. Ειδικώτερα, το επίπεδο ελέγχου ταυτότητας LM καθορίζει τα πρωτόκολλα ελέγχου ταυτότητας που θα επιχειρήσει να δοκιμάσει ο υπολογιστής-πελάτης για τη διαπραγμάτευση ή που θα αποδεχτεί ο διακομιστής. Η τιμή που ορίζεται για τη ρύθμιση LmCompatibilityLevel καθορίζει ποιο πρωτόκολλο ελέγχου ταυτότητας πρόκλησης/απόκρισης χρησιμοποιείται για συνδέσεις δικτύου. Αυτή η τιμή επηρεάζει το επίπεδο ελέγχου ταυτότητας που χρησιμοποιούν οι υπολογιστές-πελάτες, το επίπεδο ασφάλειας περιόδου λειτουργίας που τίθεται σε διαπραγμάτευση και το επίπεδο ελέγχου ταυτότητας που γίνεται αποδεκτό από τους διακομιστές, σύμφωνα με τον ακόλουθο πίνακα.

      Στις πιθανές ρυθμίσεις συμπεριλαμβάνονται οι ακόλουθες.
      Σύμπτυξη αυτού του πίνακαΑνάπτυξη αυτού του πίνακα
      ΤιμήΡύθμισηΠεριγραφή
      0 Αποστολή αποκρίσεων LM & NTLMΟι υπολογιστές-πελάτες χρησιμοποιούν έλεγχο ταυτότητας LM και NTLM και δεν χρησιμοποιούν ποτέ ασφάλεια περιόδου λειτουργίας NTLMv2. Οι ελεγκτές τομέα αποδέχονται έλεγχο ταυτότητας LM, NTLM και NTLMv2.
      1Αποστολή LM & NTLM - χρήση ασφάλειας περιόδου λειτουργίας NTLMv2 εάν τεθεί σε διαπραγμάτευσηΟι υπολογιστές-πελάτες χρησιμοποιούν έλεγχο ταυτότητας LM και NTLM και χρησιμοποιούν ασφάλεια περιόδου λειτουργίας NTLMv2 στην περίπτωση που την υποστηρίζει ο διακομιστής. Οι ελεγκτές τομέα αποδέχονται έλεγχο ταυτότητας LM, NTLM και NTLMv2.
      2Αποστολή μόνο απόκρισης NTLMΟι υπολογιστές-πελάτες χρησιμοποιούν μόνο έλεγχο ταυτότητας NTLM και χρησιμοποιούν ασφάλεια περιόδου λειτουργίας NTLMv2 στην περίπτωση που την υποστηρίζει ο διακομιστής. Οι ελεγκτές τομέα αποδέχονται έλεγχο ταυτότητας LM, NTLM και NTLMv2.
      3Αποστολή μόνο απόκρισης NTLMv2Οι υπολογιστές-πελάτες χρησιμοποιούν μόνο έλεγχο ταυτότητας NTLMv2 και χρησιμοποιούν ασφάλεια περιόδου λειτουργίας NTLMv2 στην περίπτωση που την υποστηρίζει ο διακομιστής. Οι ελεγκτές τομέα αποδέχονται έλεγχο ταυτότητας LM, NTLM και NTLMv2.
      4Αποστολή μόνο απόκρισης NTLMv2/απόρριψη LMΟι υπολογιστές-πελάτες χρησιμοποιούν μόνο έλεγχο ταυτότητας NTLMv2 και χρησιμοποιούν ασφάλεια περιόδου λειτουργίας NTLMv2 στην περίπτωση που την υποστηρίζει ο διακομιστής. Οι ελεγκτές τομέα απορρίπτουν τον έλεγχο ταυτότητας LM και αποδέχονται μόνο τον έλεγχο ταυτότητας NTLM και NTLMv2).
      5Αποστολή μόνο απόκρισης NTLMv2/απόρριψη LM & NTLMΟι υπολογιστές-πελάτες χρησιμοποιούν μόνο έλεγχο ταυτότητας NTLMv2 και χρησιμοποιούν ασφάλεια περιόδου λειτουργίας NTLMv2 στην περίπτωση που την υποστηρίζει ο διακομιστής. Οι ελεγκτές τομέα απορρίπτουν τους ελέγχους ταυτότητας LM και NTLM (αποδέχονται μόνο τον έλεγχο ταυτότητας NTLMv2).
      Σημείωση Στα προγράμματα Windows 95, Windows 98 και Windows 98 Second Edition, το πρόγραμμα Directory Services Client χρησιμοποιεί την υπογραφή SMB κατά τον έλεγχο ταυτότητας με διακομιστές Windows Server 2003, χρησιμοποιώντας έλεγχο ταυτότητας NTLM. Ωστόσο, αυτοί οι υπολογιστές-πελάτες δεν χρησιμοποιούν την υπογραφή SMB όταν εκτελούν έλεγχο ταυτότητας με αυτούς τους διακομιστές χρησιμοποιώντας τον έλεγχο ταυτότητας NTLMv2. Ακόμα, οι διακομιστές με Windows 2000 δεν ανταποκρίνονται σε αιτήσεις υπογραφής SMB από αυτούς τους υπολογιστές-πελάτες.

      Έλεγχος του επιπέδου ελέγχου ταυτότητας LM Πρέπει να αλλάξετε την πολιτική στο διακομιστή για να επιτρέψετε το NTLM ή πρέπει να ρυθμίσετε τον υπολογιστή-πελάτη ώστε να υποστηρίζει το NTLMv2.

      Εάν η πολιτική έχει ρυθμιστεί σε (5) Αποστολή μόνο απόκρισης NTLMv2\Απόρριψη LM & NTLM στον υπολογιστή προορισμού με τον οποίο θέλετε να συνδεθείτε, πρέπει είτε να ορίσετε μικρότερη ρύθμιση σε αυτόν τον υπολογιστή είτε να ρυθμίσετε την ασφάλεια στην ίδια τιμή με αυτήν του υπολογιστή προέλευσης με τον οποίο συνδέεστε.

      Βρείτε τη σωστή θέση όπου μπορείτε να αλλάξετε το επίπεδο ελέγχου ταυτότητας LAN manager για να ορίσετε το ίδιο επίπεδο ρύθμισης για τον υπολογιστή-πελάτη και το διακομιστή. Αφού εντοπίσετε την πολιτική που ορίζει το επίπεδο ελέγχου ταυτότητας του LAN manager, εάν θέλετε να συνδεθείτε με υπολογιστές που εκτελούν παλαιότερες εκδόσεις των Windows, μειώστε την τιμή τουλάχιστον στο επίπεδο (1) Αποστολή LM & NTLM - χρήση ασφάλειας περιόδου λειτουργίας NTLM έκδοση 2, στην περίπτωση που τίθεται σε διαπραγμάτευση. Μια επίδραση των μη συμβατών ρυθμίσεων είναι ότι εάν ο διακομιστής απαιτεί NTLMv2 (τιμή5), αλλά ο πελάτης έχει ρυθμιστεί ώστε να χρησιμοποιεί μόνο LM και NTLMv1 (τιμή0), ο χρήστης ο οποίος επιχειρεί έλεγχο ταυτότητας αντιμετωπίζει σφάλμα αποτυχίας σύνδεσης λόγω εσφαλμένου κωδικού πρόσβασης και το οποίο αυξάνει την καταμέτρηση του εσφαλμένου κωδικού πρόσβασης. Εάν έχει ρυθμιστεί κλείδωμα λογαριασμού, ο χρήστης μπορεί τελικά να αποκλειστεί.

      Για παράδειγμα, μπορεί να πρέπει να κάνετε αναζήτηση στον ελεγκτή τομέα ή στις πολιτικές ελεγκτή τομέα.

      Αναζήτηση στον ελεγκτή τομέα
      Σημείωση Ίσως χρειαστεί να επαναλάβετε την ακόλουθη διαδικασία σε όλους τους ελεγκτές τομέα.
      1. Κάντε κλικ στο μενού Έναρξη (Start), τοποθετήστε το δείκτη του ποντικιού στην επιλογή Προγράμματα (Programs) και, στη συνέχεια, κάντε κλικ στην επιλογή Εργαλεία διαχείρισης (Administrative Tools).
      2. Στην περιοχή Τοπικές ρυθμίσεις ασφαλείας (Local Security Settings), αναπτύξτε το στοιχείο Τοπικές πολιτικές (Local Policies).
      3. Κάντε κλικ στην επιλογή Ρυθμίσεις ασφαλείας (Security Options).
      4. Κάντε διπλό κλικ στην επιλογή Ασφάλεια δικτύου: επίπεδο ελέγχου ταυτότητας του προγράμματος LAN Manager και, στη συνέχεια, κάντε κλικ σε μια κατάλληλη τιμή από τη λίστα.
      Στην περίπτωση που η ρύθμιση "Ενεργή" (Effective) και η ρύθμιση "Τοπική" (Local) είναι ίδιες, η πολιτική έχει αλλάξει σε αυτό το επίπεδο. Εάν οι ρυθμίσεις είναι διαφορετικές, πρέπει να ελέγξετε την πολιτική του ελεγκτή τομέα για να βρείτε αν η ρύθμιση Ασφάλεια δικτύου: επίπεδο ελέγχου ταυτότητας του προγράμματος LAN LAN manager (Network Security: LAN manager authentication level) έχει καθοριστεί εδώ. Εάν δεν έχει καθοριστεί εκεί, κάντε αναζήτηση στις πολιτικές του ελεγκτή τομέα.

      Αναζήτηση στις πολιτικές του ελεγκτή τομέα
      1. Κάντε κλικ στο μενού Έναρξη (Start), τοποθετήστε το δείκτη του ποντικιού στην επιλογή Προγράμματα (Programs) και, στη συνέχεια, κάντε κλικ στην επιλογή Εργαλεία διαχείρισης (Administrative Tools).
      2. Στην πολιτική Ασφάλεια ελεγκτή τομέα (Domain Controller Security), αναπτύξτε το στοιχείο Ρυθμίσεις ασφαλείας (Security Settings) και, στη συνέχεια, αναπτύξτε το στοιχείο Τοπικές πολιτικές (Local Policies).
      3. Κάντε κλικ στην επιλογή Ρυθμίσεις ασφαλείας (Security Options).
      4. Κάντε διπλό κλικ στη ρύθμιση Ασφάλεια δικτύου: επίπεδο ελέγχου ταυτότητας του προγράμματος LAN manager (Network Security: LAN manager authentication level) και, στη συνέχεια, κάντε κλικ σε μια κατάλληλη τιμή της λίστας.
      Σημείωση
      • Μπορεί επίσης να χρειαστεί να ελέγξετε πολιτικές που είναι συνδεδεμένες στο επίπεδο της τοποθεσίας, στο επίπεδο του τομέα ή στο επίπεδο της οργανικής μονάδας (OU) για να προσδιορίσετε αν πρέπει να ρυθμίσετε τις παραμέτρους του επιπέδου ελέγχου ταυτότητας του LAN manager.
      • Εάν υλοποιήσετε μια ρύθμιση πολιτικής ομάδας (Group Policy) ως προεπιλεγμένη πολιτική τομέα, η πολιτική εφαρμόζεται σε όλους τους υπολογιστές του τομέα.
      • Εάν υλοποιήσετε μια ρύθμιση πολιτικής ομάδας (Group Policy) ως προεπιλεγμένη πολιτική ελεγκτή τομέα, η πολιτική εφαρμόζεται μόνο στους διακομιστές των OU του ελεγκτή τομέα .
      • Είναι καλή ιδέα να ρυθμίσετε το επίπεδο ελέγχου ταυτότητας του LAN manager στη χαμηλότερη οντότητα του απαιτούμενου πεδίου στην ιεραρχία πολιτικής εφαρμογών.
      Ανανέωση της πολιτικής μετά την πραγματοποίηση οποιωνδήποτε αλλαγών. (Εάν η αλλαγή γίνεται στο επίπεδο των τοπικών ρυθμίσεων ασφαλείας, η αλλαγή είναι άμεση. Ωστόσο, πρέπει να κάνετε επανεκκίνηση των υπολογιστών-πελατών πριν από τον έλεγχο.)

      Από προεπιλογή, οι ρυθμίσεις πολιτικής ομάδας (Group Policy) ενημερώνονται σε ελεγκτές τομέα κάθε πέντε λεπτά. Για να επιβάλλετε άμεση ενημέρωση των ρυθμίσεων πολιτικής στα Windows 2000 ή νεότερες εκδόσεις, χρησιμοποιήστε την εντολή gpupdate.

      Η εντολή gpupdate /force ενημερώνει τις τοπικές ρυθμίσεις πολιτικής ομάδας (Group Policy) και τις ρυθμίσεις πολιτικής ομάδας (Group Policy) που βασίζονται στην υπηρεσία καταλόγου Active Directory, συμπεριλαμβανομένων των ρυθμίσεων ασφαλείας. Αυτή η εντολή αντικαθιστά την παλιά πλέον επιλογή /refreshpolicy για την εντολή secedit.

      Η εντολή gpupdate χρησιμοποιεί την ακόλουθη σύνταξη:
      gpupdate [/target:{computer|user}] [/force] [/wait:value] [/logoff] [/boot]

      Εφαρμόστε το νέο αντικείμενο πολιτικής ομάδας (GPO) χρησιμοποιώντας την εντολή gpupdate για την μη αυτόματη επανάληψη της εφαρμογής όλων των ρυθμίσεων πολιτικής. Για να το κάνετε αυτό, πληκτρολογήστε τα παρακάτω στη γραμμή εντολών και κατόπιν πατήστε ENTER:
      GPUpdate /Force
      Ελέγξτε το αρχείο καταγραφής συμβάντων εφαρμογής για να βεβαιωθείτε ότι η ρύθμιση πολιτικής εφαρμόστηκε επιτυχώς.

      Σε Windows XP και Windows Server 2003, μπορείτε να χρησιμοποιήσετε το συμπληρωματικό πρόγραμμα Resultant Set of Policy με σκοπό τον εντοπισμό της ενεργής ρύθμισης. Για να γίνει αυτό, κάντε κλικ στο μενού Έναρξη (Start), έπειτα κάντε κλικ στην επιλογή Εκτέλεση (Run), πληκτρολογήστε rsop.msc και, στη συνέχεια, κάντε κλικ στο κουμπί OK.

      Εάν το ζήτημα εξακολουθεί να παρουσιάζεται μετά την αλλαγή της πολιτικής, κάντε επανεκκίνηση του διακομιστή που βασίζεται σε Windows και, στη συνέχεια, βεβαιωθείτε ότι το ζήτημα επιλύθηκε.

      Σημείωση Εάν έχετε πολλούς ελεγκτές τομέα που βασίζονται σε Windows 2000, σε Windows Server 2003 ή και στα δύο λειτουργικά συστήματα, ίσως χρειαστεί να κάνετε αναπαραγωγή της υπηρεσίας καταλόγου Active Directory για να βεβαιωθείτε αυτοί οι ελεγκτές τομέα ενημερώνονται άμεσα.

      Εναλλακτικά, η ρύθμιση μπορεί να φαίνεται ότι έχει οριστεί στη χαμηλότερη ρύθμιση της τοπικής πολιτικής ασφαλείας. Εάν μπορέσετε να επιβάλλετε τη ρύθμιση μέσω μιας βάσης δεδομένων ασφαλείας, μπορείτε εναλλακτικά να ορίσετε το επίπεδο ελέγχου ταυτότητας του LAN manager στο μητρώο, μέσω της επεξεργασίας της καταχώρησης LmCompatibilityLevel στο ακόλουθο δευτερεύον κλειδί μητρώου:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
      Το Windows Server 2003 έχει μια νέα προεπιλεγμένη ρύθμιση για τη χρήση μόνο του NTLMv2. Από προεπιλογή, οι ελεγκτές τομέα που βασίζονται σε Windows Server 2003 και Windows 2000 Server SP3 έχουν ενεργοποιημένη την πολιτική "Διακομιστής δικτύου της Microsoft: Ψηφιακή υπογραφή κατά την επικοινωνία (πάντα) (Microsoft network server: Microsoft network client: Digitally sign communications (always)). Αυτή η ρύθμιση απαιτεί διακομιστή SMB για την πραγματοποίηση υπογραφής πακέτου SMB. Οι αλλαγές στο Windows Server 2003 έγιναν επειδή οι ελεγκτές τομέα, οι διακομιστές αρχείων, οι διακομιστές υποδομής δικτύου και οι διακομιστές Web οποιασδήποτε εταιρείας απαιτούν διαφορετικές ρυθμίσεις για τη μεγιστοποίηση της ασφάλειάς τους.

      Εάν θέλετε να υλοποιήσετε τον έλεγχο ταυτότητας NTLMv2 στο δίκτυό σας, πρέπει να βεβαιωθείτε ότι όλοι οι υπολογιστές του τομέα έχουν ρυθμιστεί να χρησιμοποιούν αυτό το επίπεδο ελέγχου ταυτότητας. Εάν εφαρμόσετε το Active Directory Client Extensions για Windows 95 ή Windows 98 και Windows NT 4.0, οι επεκτάσεις υπολογιστή-πελάτη χρησιμοποιούν τις βελτιωμένες δυνατότητες ελέγχου ταυτότητας που είναι διαθέσιμες στο NTLMv2. Επειδή οι υπολογιστές-πελάτες που εκτελούν οποιοδήποτε από τα ακόλουθα λειτουργικά συστήματα δεν επηρεάζονται από τα αντικείμενα πολιτικής ομάδας των Windows 2000, ίσως να πρέπει να ρυθμίσετε τις παραμέτρους αυτών των υπολογιστών-πελατών με μη αυτόματο τρόπο:
      • Microsoft Windows NT 4.0
      • Microsoft Windows Millennium Edition
      • Microsoft Windows 98
      • Microsoft Windows 95
      Σημείωση Εάν ενεργοποιήσετε την πολιτική Ασφάλεια δικτύου: Να μην αποθηκεύεται η τιμή κατακερματισμού της Διαχείρισης LAN Manager στην επόμενη αλλαγή κωδικού πρόσβασης (Network security: Do not store LAN Manager hash value on next password change) ή το κλειδί μητρώου NoLMHash, οι υπολογιστές-πελάτες που βασίζονται σε Windows 95 και Windows 98, οι οποίοι δεν έχουν εγκατεστημένο το πρόγραμμα Directory Services Client, δεν είναι σε θέση να συνδεθούν στον τομέα μετά την αλλαγή του κωδικού πρόσβασης.

      Πολλοί διακομιστές CIFS άλλων κατασκευαστών, όπως ο Novell Netware 6, δεν είναι ενημερωμένοι για τη χρήση μόνο του NTLMv2 και του NTLM. Επομένως, τα επίπεδα που είναι μεγαλύτερα από 2 δεν επιτρέπουν τη σύνδεση.

      Για πρόσθετες πληροφορίες σχετικά με τον τρόπο μη αυτόματης ρύθμισης των παραμέτρων επιπέδου ελέγχου ταυτότητας LAN manager, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
      147706  (http://support.microsoft.com/kb/147706/ ) Τρόπος απενεργοποίησης του ελέγχου ταυτότητας LM στα Windows NT (US)
      175641  (http://support.microsoft.com/kb/175641/ ) Η ρύθμιση LMCompatibilityLevel και οι συνέπειές της (US)
      299656  (http://support.microsoft.com/kb/299656/ ) Τρόπος αποτροπής της αποθήκευσης μιας τιμής κατακερματισμού κωδικού πρόσβασης από το LAN manager στην υπηρεσία καταλόγου Active Directory και σε τοπικές βάσεις δεδομένων SAM
      312630  (http://support.microsoft.com/kb/312630/ ) Το Outlook εξακολουθεί να σας ζητά πιστοποιήσεις σύνδεσης
      Για περισσότερες πληροφορίες σχετικά με τα επίπεδα ελέγχου ταυτότητας LM, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
      239869  (http://support.microsoft.com/kb/239869/ ) Τρόπος ενεργοποίησης του ελέγχου ταυτότητας NTLM 2
    2. Επικίνδυνες ρυθμίσεις παραμέτρων

      Ακολουθούν ορισμένες επικίνδυνες ρυθμίσεις παραμέτρων:
      • Μη περιοριστικές ρυθμίσεις με τις οποίες αποστέλλονται κωδικοί πρόσβασης σε σε καθαρό κείμενο και οι οποίες απορρίπτουν τη διαπραγμάτευση NTLMv2
      • Περιοριστικές ρυθμίσεις που αποτρέπουν τη διαπραγμάτευση ενός κοινού πρωτοκόλλου ελέγχου ταυτότητας από μη συμβατούς υπολογιστές-πελάτες ή ελεγκτές τομέα
      • Απαίτηση για έλεγχο ταυτότητας NTLMv2 σε υπολογιστές-μέλη και ελεγκτές τομέα που χρησιμοποιούν εκδόσεις των Windows NT 4.0 παλαιότερες από το Service Pack 4 (SP4)
      • Απαίτηση για έλεγχο ταυτότητας NTLMv2 σε υπολογιστές-πελάτες με Windows 95 ή Windows 98, οι οποίοι δεν έχουν εγκατεστημένο το πρόγραμμα Windows Directory Services Client.
      • Εάν κάνετε κλικ για να επιλέξετε το πλαίσιο ελέγχου Να απαιτείται ασφάλεια περιόδου λειτουργίας NTLMv2 (Require NTLMv2 session security) στο συμπληρωματικό πρόγραμμα Microsoft Management Console Group Policy Editor ενός υπολογιστή που βασίζεται σε Windows Server 2003 ή Windows 2000 Service Pack 3 και μειώσετε την τιμή του επιπέδου ελέγχου ταυτότητας του LAN manager σε 0, οι δύο ρυθμίσεις έρχονται σε διένεξη και ενδέχεται να λάβετε το ακόλουθο μήνυμα λάθους στο αρχείο Secpol.msc ή στο αρχείο GPEdit.msc:
        Τα Windows δεν είναι σε θέση να ανοίξουν την τοπική βάση δεδομένων ασφαλείας. Παρουσιάστηκε άγνωστο σφάλμα κατά την προσπάθεια ανοίγματος της βάσης δεδομένων. (Windows cannot open the local policy database. An unknown error occured when attempting to open the database.)
        Για περισσότερες πληροφορίες σχετικά με το εργαλείο Security Configuration and Analysis, ανατρέξτε στα αρχεία βοήθειας των Windows 2000 ή του Windows Server 2003.

        Για περισσότερες πληροφορίες σχετικά με τον τρόπο ανάλυσης των επιπέδων ασφαλείας στα Windows 2000 και το Windows Server 2003, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        313203  (http://support.microsoft.com/kb/313203/ ) Τρόπος ανάλυσης της ασφάλειας συστήματος στα Windows 2000
        816580  (http://support.microsoft.com/kb/816580/ ) Τρόπος ανάλυσης της ασφάλειας συστήματος στα Windows Server 2003 (US)
    3. Λόγοι για την τροποποίηση αυτής της ρύθμισης
      • Θέλετε να αυξήσετε το κατώτατο επίπεδο ενός κοινού πρωτοκόλλου ελέγχου ταυτότητας το οποίο υποστηρίζεται από υπολογιστές-πελάτες και ελεγκτές τομέα της εταιρείας σας.
      • Όταν ο έλεγχος ταυτότητας ασφαλείας απαιτείται από την εταιρεία σας, τότε θέλετε να απαγορεύσετε τη διαπραγμάτευση των πρωτοκόλλων LM και NTLM.
    4. Λόγοι για την απενεργοποίηση αυτής της ρύθμισης

      Οι απαιτήσεις ελέγχου ταυτότητας υπολογιστή-πελάτη ή διακομιστή ή και οι δύο μαζί, έχουν αυξηθεί έως το σημείο όπου δεν είναι δυνατή η εφαρμογή ελέγχου ταυτότητας σε ένα κοινό πρωτόκολλο.
    5. Συμβολικό όνομα:

      LmCompatibilityLevel
    6. Διαδρομή μητρώου:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
    7. Παραδείγματα προβλημάτων συμβατότητας
      • Windows Server 2003: Από προεπιλογή, η ρύθμιση NTLMv2 "Αποστολή αποκρίσεων NTLM" του Windows Server 2003 είναι ενεργοποιημένη. Επομένως, ο Windows Server 2003 λαμβάνει το μήνυμα λάθους "Δεν επιτρέπεται η πρόσβαση" (Access Is Denied) μετά την αρχική εγκατάσταση, όταν προσπαθήσετε να συνδεθείτε με ένα σύμπλεγμα με Windows NT 4.0 ή με διακομιστές που βασίζονται σε LanManager V2.1, όπως ο διακομιστής OS/2 Lanserver. Αυτό το ζήτημα παρουσιάζεται επίσης όταν προσπαθήσετε να συνδεθείτε από έναν υπολογιστή-πελάτη προηγούμενης έκδοσης σε ένα διακομιστή με Windows Server 2003.
      • Η εγκατάσταση του Windows 2000 Security Rollup Package 1 (SRP1).SRP1 επιβάλλει το NTLM έκδοση 2 (NTLMv2). Αυτό πακέτο συλλογής κυκλοφόρηση μετά την κυκλοφορία του Windows 2000 Service Pack 2 (SP2). Για περισσότερες πληροφορίες σχετικά με το SRP1, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για προβάλετε το άρθρο της Γνωσιακής βάησης της Microsoft (Knowledge Base):

        311401   (http://support.microsoft.com/kb/311401/ ) Πακέτο Συλλογής ενημερωμένων εκδόσεων ασφαλείας 1 των Windows 2000, Ιανουάριος 2002 (US)
      • Στους υπολογιστές-πελάτες με Microsoft Outlook ενδέχεται να ζητηθούν πιστοποιήσεις ακόμα και όταν είναι ήδη συνδεδεμένοι στον τομέα. Όταν οι χρήστες δώσουν τις πιστοποιήσεις τους, εμφανίζεται το ακόλουθο μήνυμα λάθους:
        Οι πιστοποιήσεις σύνδεσης που δόθηκαν δεν είναι σωστές. Βεβαιωθείτεο ότι το όνομα χρήστη και ο τομέας είναι σωστά και, στη συνέχεια, πληκτρολογήστε ξανά τον κωδικό πρόσβασης. (The logon credentials supplied were incorrect. Make sure your username and domain are correct, then type your password again.)
        Κατά την εκκίνηση του Outlook, ενδέχεται να σας ζητηθούν πιστοποιήσεις ακόμα και όταν η ρύθμιση "Ασφάλεια σύνδεσης δικτύου" (Logon Network Security) έχει οριστεί σε Passthrough ή Password Authentication. Αφού πληκτρολογήσετε τις σωστές πιστοποιήσεις, ενδέχεται να λάβετε το ακόλουθο μήνυμα λάθους:
        Οι πιστοποιήσεις σύνδεσης που δόθηκαν δεν είναι σωστές. (The login credentials supplied were incorrect.)
        Ένα ίχνος παρακολούθησης δικτύου μπορεί να σας δείξει ότι ο καθολικός κατάλογος έχει εκδόσει ένα σφάλμα κλήσης απομακρυσμένης διαδικασίας (RPC) με κατάσταση 0x5. Μια κατάσταση 0x5 σημαίνει ότι "Δεν επιτρέπεται η πρόσβαση" (Access Denied).
      • Windows 2000: Μια καταγραφή εποπτείας δικτύου ενδέχεται να εμφανίσει τα ακόλουθα σφάλματα στο NetBIOS σε μια περίοδο λειτουργίας SMB (server message block) του TCP/IP (NetBT):
        SMB R Search Directory Dos error, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Invalid user identifier
      • Windows 2000: Στην περίπτωση που ένας τομέας Windows 2000 με NTLMv2 επιπέδου 2 ή νεότερης έκδοσης θεωρείται αξιόπιστος από έναν τομέα των Windows NT 4.0, οι υπολογιστές-μέλη με Windows 2000 του τομέα πόρων ενδέχεται να αντιμετωπίσουν σφάλματα ελέγχου ταυτότητας.

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        305379  (http://support.microsoft.com/kb/305379/ ) Προβλήματα ελέγχου ταυτότητας στα Windows 2000 με επίπεδα NTLM 2 ανώτερα από 2 σε έναν τομέα με Windows NT 4.0 (US)
      • Windows 2000 και Windows XP: Από προεπιλογή, τα Windows 2000 και τα Windows XP ορίζουν την επιλογή LAN Manager Authentication Level Local Security Policy σε 0. Η ρύθμιση 0 σημαίνει "Αποστολή αποκρίσεων LM και NTLM" (Send LM and NTLM responses).

        Σημείωση Τα συμπλέγματα που βασίζονται σε Windows NT 4.0 πρέπει να χρησιμοποιούν το LM για διαχείριση.
      • Windows 2000: Το σύμπλεγμα με Windows 2000 δεν εφαρμόζει έλεγχο ταυτότητας σε έναν κόμβο σύνδεσης στην περίπτωση που οι κόμβοι αποτελούν τμήματα ενός τομέα με Windows NT 4.0 Service Pack 6a (SP6a).

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        305379  (http://support.microsoft.com/kb/305379/ ) Προβλήματα ελέγχου ταυτότητας στα Windows 2000 με επίπεδα NTLM 2 ανώτερα από 2 σε έναν τομέα με Windows NT 4.0 (US)
      • Το εργαλείο IIS Lockdown Tool (HiSecWeb) ορίζει την τιμή της ρύθμισης LMCompatibilityLevel σε 5 και την τιμή της ρύθμισης RestrictAnonymous σε 2.
      • Services for Macintosh

        User Authentication Module (UAM):Το Microsoft UAM (User Authentication Module) παρέχει μια μέθοδο κρυπτογράφησης των κωδικών πρόσβασης που χρησιμοποιείτε για τη σύνδεση σε διακομιστές Windows AFP (AppleTalk Filing Protocol). Το Apple User Authentication Module (UAM) παρέχει ελάχιστη ή καθόλου κρυπτογράφηση. Επομένως, ο κωδικός πρόσβασης που χρησιμοποιείτε θα μπορούσε εύκολα να υποκλαπεί στο LAN ή στο Internet. Αν και το UAM δεν απαιτείται, παρέχει κρυπτογραφημένο έλεγχο ταυτότητας σε διακομιστές με Windows 2000 που χρησιμοποιούν το Services For Macintosh. Αυτή η έκδοση περιλαμβάνει υποστήριξη για κρυπτογραφημένο έλεγχου ταυτότητας NTLMv2 128-bit καθώς και μια έκδοση συμβατή με το MacOS X 10.1.

        Από προεπιλογή, ο διακομιστής Windows Server 2003 Services for Macintosh επιτρέπει μόνο έλεγχο ταυτότητας της Microsoft.

        Για περισσότερες πληροφορίες, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
        834498  (http://support.microsoft.com/kb/834498/ ) Ο υπολογιστής-πελάτης με Macintosh δεν είναι σε θέση να συνδεθεί με το Services for Mac σε Windows Server 2003 (US)
        838331  (http://support.microsoft.com/kb/838331/ ) Οι χρήστες Mac OS X δεν μπορούν να ανοίξουν κοινόχρηστους φακέλους Macintosh σε ένα διακομιστή που βασίζεται σε Windows Server 2003 (US)
      • Windows Server 2008, Windows Server 2003, Windows XP και Windows 2000: Εάν ρυθμίσετε την τιμή LMCompatibilityLevel στο 0 ή 1 και κατόπιν ρυθμίσετε την τιμή NoLMHash στο 1, to be 1, μπορεί να μην επιτρέπεται η πρόσβαση σε εφαρμογές και στοιχεία μέσω NTLM. Αυτό το ζήτημα προκύπτει επειδή ο υπολογιστής έχει ρυθμιστεί να επιτρέπει LM αλλά να μη χρησιμοποιεί κωδικούς πρόσβασης αποθηκευμένους στο LM.

        Εάν ρυθμίσετε την τιμή NoLMHash στο 1, θα πρέπει να ρυθμίσετε την τιμή LMCompatibilityLevel τουλάχιστον στο 2.
  11. Ασφάλεια δικτύου: Απαιτήσεις υπογραφής υπολογιστή-πελάτη LDAP (Network security: LDAP client signing requirements)
    1. Παρασκήνιο

      Η ρύθμιση Ασφάλεια δικτύου: Απαιτήσεις υπογραφής υπολογιστή-πελάτη LDAP (Network security: LDAP client signing requirements) καθορίζει το επίπεδο υπογραφής δεδομένων που απαιτείται εκ μέρους των υπολογιστών-πελατών που εκδίδουν αιτήσεις Lightweight Directory Access Protocol (LDAP) BIND ως εξής:
      • Καμία: Η αίτηση LDAP BIND εκδίδεται με τις επιλογές που καθορίζονται από τον καλούντα.
      • Διαπραγμάτευση υπογραφής: Εάν το SSL/TLS (Secure Sockets Layer/Transport Layer Security) δεν έχει ξεκινήσει, η αίτηση LDAP BIND ξεκινά έχοντας ορισμένη την επιλογή υπογραφής δεδομένων LDAP εκτός από τις επιλογές που καθορίζονται από τον καλούντα. Εάν το SSL/TLS έχει ξεκινήσει, η αίτηση LDAP BIND ξεκινά με τις επιλογές που καθορίζονται από τον καλούντα.
      • Απαίτηση υπογραφής: Είναι η ίδια ρύθμιση με την Διαπραγμάτευση υπογραφής. Ωστόσο, όταν η ενδιάμεση απόκριση saslBindInProgress του διακομιστη LDAP δεν υποδηλώνει ότι απαιτείται υπογραφή κυκλοφορίας LDAP, ο καλών ενημερώνεται ότι η αίτηση εντολής LDAP BIND απέτυχε.
    2. Επικίνδυνες ρυθμίσεις παραμέτρων

      Η ενεργοποίηση της ρύθμισης Ασφάλεια δικτύου: Απαιτήσεις υπογραφής υπολογιστή-πελάτη LDAP (Network security: LDAP client signing requirements) είναι μια επικίνδυνη ρύθμιση. Εάν ρυθμίσετε το διακομιστή έτσι ώστε να απαιτεί υπογραφές LDAP, πρέπει επίσης να ρυθμίσετε τις παραμέτρους υπογραφής LDAP στον υπολογιστή-πελάτη. Εάν δεν ρυθμίσετε τον υπολογιστή-πελάτη ώστε να χρησιμοποιεί υπογραφές LDAP θα αποτραπεί η επικοινωνία με το διακομιστή. Αυτό θα προκαλέσει την αποτυχία του ελέγχου ταυτότητας χρήστη, των ρυθμίσεων πολιτικής ομάδας, των δεσμών ενεργειών σύνδεσης και άλλων δυνατοτήτων.
    3. Λόγοι για την τροποποίηση αυτής της ρύθμισης

      Η ανυπόγραφη κυκλοφορία δικτύου είναι ευάλωτη σε εισβολές κακόβουλων χρηστών, όπου ένας εισβολέας δεσμεύει πακέτα μεταξύ του υπολογιστή-πελάτη και των διακομιστών, τα τροποποιεί και, στη συνέχεια, τα προωθεί στο διακομιστή. Όταν συμβεί αυτό σε ένα διακομιστή LDAP, ένας εισβολέας θα μπορούσε να αναγκάσει ένα διακομιστή να αποκρίνεται με βάση εσφαλμένα ερωτήματα από τον υπολογιστή-πελάτη LDAP. Μπορείτε να μειώσετε αυτόν τον κίνδυνο σε ένα εταιρικό δίκτυο, εφαρμόζοντας ισχυρά φυσικά μέτρα ασφαλείας με σκοπό την ενίσχυση της προστασίας της υποδομής του δικτύου. Επιπλέον, η εκτέλεση εισβολών κακόβουλων χρηστών κάθε είδους μπορεί να γίνει εξαιρετικά δύσκολη όταν απαιτούνται ψηφιακές υπογραφές σε όλα τα πακέτα δικτύου μέσω κεφαλίδων ελέγχου ταυτότητας IPSec.
    4. Συμβολικό όνομα:

      LDAPClientIntegrity
    5. Διαδρομή μητρώου:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
  12. Αρχείο καταγραφής συμβάντων: Μέγιστο μέγεθος αρχείου καταγραφής ασφαλείας (Maximum security log size)
    1. Παρασκήνιο

      Η ρύθμιση Αρχείο καταγραφής συμβάντων: Μέγιστο μέγεθος αρχείου καταγραφής ασφαλείας (Maximum security log size) καθορίζει το μέγιστο μέγεθος του αρχείου καταγραφής συμβάντων ασφαλείας. Αυτό το αρχείο έχει μέγιστο μέγεθος 4 GB. Για να εντοπίσετε αυτήν τη ρύθμιση, αναπτύξτε το στοιχείο Ρυθμίσεις των Windows (Windows Settings) και, στη συνέχεια, αναπτύξτε το στοιχείο Ρυθμίσεις ασφαλείας (Security Settings).
    2. Επικίνδυνες ρυθμίσεις παραμέτρων

      Ακολουθούν ορισμένες επικίνδυνες ρυθμίσεις παραμέτρων:
      • Ο περιορισμός του μεγέθους του αρχείου καταγραφής ασφαλείας και η μεθοδος διατήρησης του αρχείου καταγραφής ασφαλείας όταν είναι ενεργοποιημένη η ρύθμιση Έλεγχος: Άμεσος τερματισμός του συστήματος όταν δεν είναι σε θέση να καταγράψει ελέγχους ασφαλείας (Audit: Shut down system immediately if unable to log security audits). Ανατρέξτε στην ενότητα "Έλεγχος: Άμεσος τερματισμός του συστήματος όταν δεν είναι σε θέση να καταγράψει ελέγχους ασφαλείας (Audit: Shut down system immediately if unable to log security audits)" αυτού του άρθρου για περισσότερες λεπτομέρειες.
      • Περιορισμός του μεγέθους του αρχείου καταγραφής ασφαλείας έτσι ώστε να αντικαθίστανται τα συμβάντα ασφαλείας που ενδιαφέρουν.
    3. Λόγοι για την αύξηση της τιμής αυτής της ρύθμισης

      Επιχειρηματικές απαιτήσεις και απαιτήσεις ασφαλείας ενδέχεται να υπαγορεύουν την αύξηση του μεγέθους του αρχείου καταγραφής ασφαλείας με σκοπό το χειρισμό πρόσθετων λεπτομερειών καταγραφής ασφαλείας ή τη διατήρηση αρχείων καταγραφής ασφαλείας για μεγαλύτερο χρονικό διάστημα.
    4. Λόγοι για τη μείωση της τιμής αυτής της ρύθμισης

      Τα αρχεία καταγραφής της δυνατότητας "Προβολή συμβάντων" (Event Viewer) είναι αντιστοιχισμένα αρχεία μνήμης. Το μέγιστο μέγεθος ενός αρχείου καταγραφής συμβάντων περιορίζεται από την ποσότητα φυσικής μνήμης του τοπικού υπολογιστή και από την εικονική μνήμη που είναι διαθέσιμη για τη διαδικασία καταγραφής συμβάντων. Η αύθηση του μεγέθους του αρχείου καταγραφής πέρα από την ποσότητα εικονικής μνήμης που είναι διαθέσιμη στην "Προβολή συμβάντων" (Event Viewer) δεν αυξάνει τον αριθμό των καταχωρήσεων αρχείου καταγραφής που διατηρούνται.
    5. Παραδείγματα προβλημάτων συμβατότητας

      Windows 2000: Οι υπολογιστές που χρησιμοποιούν εκδόσεις των Windows 2000 παλαιότερες από το Service Pack 4 (SP4) ενδέχεται να σταματήσουν να καταγράφουν συμβάντα στο αρχείο καταγραφής συμβάντων προτού καλύψουν το μέγεθος που καθορίζεται από τη ρύθμιση Μέγιστο μέγεθος αρχείου καταγραφής (Maximum log size) στην "Προβολή συμβάντων" (Event Viewer), στην περίπτωση που είναι ενεργοποιημένη η επιλογή Να μην γίνεται αντικατάσταση συμβάντων (μη αυτόματη εκκαθάριση αρχείου καταγραφής) (Do not overwrite events (clear log manually)).

      Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
      312571  (http://support.microsoft.com/kb/312571/ ) Το αρχείο καταγραφής συμβάντων σταματά να καταγράφει συμβάντα προτού φθάσει στο μέγιστο μέγεθος αρχείου καταγραφής (US)
  13. Αρχείο καταγραφής συμβάντων: Διατήρηση αρχείου καταγραφής ασφαλείας (Retain security log)
    1. Παρασκήνιο

      Η ρύθμιση ασφαλείας Αρχείο καταγραφής συμβάντων: Διατήρηση αρχείου καταγραφής ασφαλείας (Event Log: Retain security log) καθορίζει τη μέθοδο "αναδίπλωσης" για το αρχείο καταγραφής ασφαλείας. Για να εντοπίσετε αυτήν τη ρύθμιση, αναπτύξτε το στοιχείο Ρυθμίσεις των Windows (Windows Settings) και, στη συνέχεια, αναπτύξτε το στοιχείο Ρυθμίσεις ασφαλείας (Security Settings).
    2. Επικίνδυνες ρυθμίσεις παραμέτρων

      Ακολουθούν ορισμένες επικίνδυνες ρυθμίσεις παραμέτρων:
      • Αποτυχία διατήρησης όλων των καταγεγραμμένων συμβάντων ασφαλείας πριν από την αντικατάστασή τους
      • Ορισμός της τιμής της ρύθμισης Μέγιστο μέγεθος αρχείου καταγραφής ασφαλείας (Maximum security log size) σε πολύ χαμηλά επίπεδα, έτσι ώστε να γίνεται αντικατάσταση των συμβάντων ασφαλείας
      • Περιορισμός του μεγέθους του αρχείου καταγραφής ασφαλείας και μέθοδος διατήρησης με ενεργοποιημένη τη ρύθμιση ασφαλείας Έλεγχος: Άμεσος τερματισμός του συστήματος όταν δεν είναι σε θέση να καταγράψει ελέγχους ασφαλείας (Audit: Shut down system immediately if unable to log security audits)
    3. Λόγοι για την ενεργοποίηση αυτής της ρύθμισης

      Ενεργοποιήστε αυτήν τη ρύθμιση μόνο εάν επιλέξετε τη μέθοδο διατήρησης Αντικατάσταση συμβάντων ανά ημέρες (Overwrite events by days). Εάν χρησιμοποιείτε ένα σύστημα συσχετισμού συμβάντων που ανιχνεύει συμβάντα, βεβαιωθείτε ότι ο αριθμός των ημερών αντιστοιχεί τουλάχιστον στο τριπλάσιο της συχνότητας ανίχνευσης. Κάνετε αυτό για να επιτρέπετε κύκλους ανίχνευσης που απέτυχαν.
  14. Πρόσβαση στο δίκτυο: Δυνατότητα εφαρμογής των δικαιωμάτων της ομάδας Everyone σε ανώνυμους χρήστες (Network access: Let Everyone permissions apply to anonymous users)
    1. Παρασκήνιο

      Από προεπιλογή, η ρύθμιση Πρόσβαση στο δίκτυο: Δυνατότητα εφαρμογής των δικαιωμάτων της ομάδας Everyone σε ανώνυμους χρήστες (Network access: Let Everyone permissions apply to anonymous users) ορίζεται σε Δεν έχει καθοριστεί (Not Defined) στα Windows Server 2003. Από προεπιλογή, τα Windows Server 2003 δεν περιλαμβάνουν τον κωδικό Anonymous Access στην ομάδα Everyone.
    2. Παράδειγμα προβλημάτων συμβατότητας

      Η ακόλουθη τιμή
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
      [REG_DWORD]=0x0 διακόπτει τη δημιουργία σχέσεων αξιοπιστίας μεταξύ του Windows Server 2003 και των Windows NT 4.0, όταν ο τομέας με Windows Server 2003 είναι ο τομέας λογαριασμών και ο τομέας με Windows NT 4.0 είναι ο τομέας πόρων. Αυτό σημαίνει ότι ο τομέας λογαριασμών θεωρείται αξιόπιστος στα Windows NT 4.0 και ο τομέας πόρων είναι αξιόπιστος στα Windows Server 2003. Αυτή η συμπεριφορά παρουσιάζεται επειδή η διαδικασία εκκίνησης της σχέσης αξιοπιστίας με την αρχική ανώνυμη σύνδεση είναι η ACL'd με τον κώδικα Everyone, ο οποίος περιλαμβάνει το SID Anonymous στα Windows NT 4.0.
    3. Λόγοι για την τροποποίηση αυτής της ρύθμισης

      Η τιμή πρέπει να οριστεί σε 0x1 ή να οριστεί χρησιμοποιώντας ένα GPO του OU του ελεγκτή τομέα ώστε να είναι: Πρόσβαση στο δίκτυο: Δυνατότητα εφαρμογής των δικαιωμάτων της ομάδας Everyone σε ανώνυμους χρήστες - Ενεργοποιημένη (Network access: Let Everyone permissions apply to anonymous users - Enabled) έτσι ώστε να είναι δυνατή η δημιουργία σχέσεων αξιοπιστίας.

      Σημείωση Η τιμή των περισσότερων από τις υπόλοιπες ρυθμίσεις ασφαλείας αυξάνεται αντί να μειώνεται σε 0x0 στην πιο ασφαλή τους κατάσταση. Μια πιο ασφαλής πρακτική θα ήταν μια αλλαγή του μητρώου του εξομοιωτή πρωτεύοντα ελεγκτή τομέα αντί όλων των ελεγκτών τομέα. Στην περίπτωση που ο ρόλος εξομοιωτή πρωτεύοντα ελεγκτή τομέα μετακινηθεί για οποιονδήποτε λόγο, το μητρώο πρέπει να ενημερωθεί στο νέο διακομιστή.

      Μετά τον ορισμό αυτής της τιμής απαιτείται επανεκκίνηση.
    4. Διαδρομή μητρώου
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
  15. Έλεγχος ταυτότητας NTLMv2

    Ασφάλεια περιόδου λειτουργίας

    Η ασφάλεια περιόδου λειτουργίας καθορίζει τα ελάχιστα πρότυπα ασφαλείας για περιόδους λειτουργίας υπολογιστή-πελάτη και διακομιστή. Είναι καλή ιδέα να επαληθεύσετε τις ακόλουθες ρυθμίσεις πολιτικής ασφαλείας στο συμπληρωματικό πρόγραμμα Microsoft Management Console Group Policy Editor:
    • Computer Settings\Windows Settings\Security Settings\Local Policies\Security Options
    • Ασφάλεια δικτύου: Ελάχιστη ασφάλεια περιόδου λειτουργίας για διακομιστές που βασίζονται στο NTLM SSP (συμπεριλαμβανομένου του ασφαλούς RPC)
    • Ασφάλεια δικτύου: Ελάχιστη ασφάλεια περιόδου λειτουργίας για διακομιστές που βασίζονται στο NTLM SSP (συμπεριλαμβανομένου του ασφαλούς RPC)
    Οι επιλογές για αυτές τις ρυθμίσεις είναι οι εξής:
    • Απαίτηση για ακεραιότητα μηνυμάτων
    • Απαίτηση για εμπιστευτικότητα μηνυμάτων
    • Απαίτηση για ασφάλεια περιόδου λειτουργίας NTLM έκδοσης 2
    • Απαίτηση για κρυπτογράφηση 128-bit
    Η προεπιλεγμένη ρύθμιση είναι Χωρίς απαιτήσεις (No requirements).

    Αυτές οι πολιτικές καθορίζουν τα ελάχιστα πρότυπα ασφαλείας για περίοδο λειτουργίας επικοινωνιών από εφαρμογή σε εφαρμογή ενός διακομιστή για υπολογιστή-πελάτη.

    Από παλιά, τα Windows NT υποστηρίζουν δύο μεταβλητές ελέγχου ταυτότητας "πρόκλησης/απόκρισης" για συνδέσεις δικτύου:
    • πρόκληση/απόκριση LM
    • πρόκληση/απόκριση NTLM έκδοση 1
    το LM επιτρέπει τη διαλειτουργικότητα με την εγκατεστημένη βάση υπολογιστών-πελατών και διακομιστών. Το NTLM παρέχει βελτιωμένη ασφάλεια για συνδέσεις μεταξύ υπολογιστών-πελατών και διακομιστών.

    Τα αντίστοιχα κλειδιά μητρώου είναι τα εξής:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"
Επιστροφή στην αρχή

Συντονισμός χρόνου

Ο συντονισμός χρόνου απέτυχε. Ο χρόνος είναι απενεργοποιημένος για περισσότερο από 30 λεπτά σε έναν υπολογιστή που επηρεάζεται. Βεβαιωθείτε ότι το ρολόι του υπολογιστή-πελάτη είναι συγχρονισμένο με το ρολόι του ελεγκτή τομέα.
Επιστροφή στην αρχή

Λύση για υπογραφή SMB

Συνιστούμε να εγκαταστήσετε το Service Pack 6a (SP6a) σε υπολογιστές-πελάτες με Windows NT 4.0, οι οποίοι συνεργάζονται σε έναν τομέα με Windows Server 2003. Οι υπολογιστές-πελάτες που βασίζονται σε Windows 98 Second Edition, Windows 98 και Windows 95 πρέπει να χρησιμοποιούν το πρόγραμμα-πελάτη υπηρεσιών καταλόγου (Directory Services Client) για να εκτελέσουν το NTLMv2. Αν οι υπολογιστές-πελάτες του βασίζονται στα Windows NT 4.0 δεν έχουν εγκατεστημένο το Windows NT 4.0 SP6 ή αν οι υπολογιστές-πελάτες που βασίζονται στα Windows 95, Windows 98, και Windows 98SE δεν έχουν εγκατεστημένο το πρόγραμμα-πελάτη υπηρεσιών καταλόγου (Directory Services Client), απενεργοποιήστε την υπογραφή SMB από την προεπιλεγμένη ρύθμιση πολιτικής του OU του ελεγκτή τομέα και, στη συνέχεια, να συνδέσετε αυτήν την πολιτική με όλα τα OU που φιλοξενούν ελεγκτές τομέα.

Οι υπολογιστές-πελάτες με Directory Services Client for Windows 98 Second Edition, Windows 98 και Windows 95 θα εκτελούν υπογραφή SMB με διακομιστές Windows 2003 κάτω από έλεγχο ταυτότητας NTLM, αλλά όχι κάτω από έλεγχο ταυτότητας NTLMv2. Επιπλέον, οι διακομιστές με Windows 2000 δεν θα απαντήσουν σε αιτήσεις υπογραφής SMB που προέρχονται από αυτούς τους υπολογιστές-πελάτες.

Αν και η Microsoft δεν το συνιστά, μπορείτε να αποτρέψετε την απαίτηση για δημιουργία υπογραφής SMB σε όλους τους ελεγκτές τομέα που χρησιμοποιούν Windows Server 2003 σε έναν τομέα. Για να ρυθμίσετε τις παραμέτρους αυτής της ρύθμισης ασφαλείας, ακολουθήστε τα εξής βήματα:
  1. Ανοίξτε την πολιτική του προεπιλεγμένου ελεγκτή τομέα.
  2. Ανοίξτε το φάκελο Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options.
  3. Εντοπίστε και, στη συνέχεια, κάντε κλικ στη ρύθμιση πολιτικής Διακομιστής δικτύου Microsoft: Ψηφιακή υπογραφή κατά την επικοινωνία (πάντα) (Microsoft network server: Digitally sign communications (always)) και, στη συνέχεια, κάντε κλικ στην επιλογή Disabled.
Σημαντικό Αυτή η ενότητα, μέθοδος ή εργασία περιέχει βήματα που σας καθοδηγούν να τροποποιήσετε το μητρώο. Ωστόσο, ενδέχεται να προκύψουν σοβαρά προβλήματα εάν δεν τροποποιήσετε σωστά το μητρώο. Κατά συνέπεια, βεβαιωθείτε ότι ακολουθείτε προσεκτικά τα εξής βήματα. Για επιπλέον προστασία, δημιουργήστε αντίγραφα ασφαλείας του μητρώου πριν να το τροποποιήσετε. Στη συνέχεια, μπορείτε να επαναφέρετε το μητρώοyou εάν προκύψει πρόβλημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
322756  (http://support.microsoft.com/kb/322756/ ) Τρόπος δημιουργίας αντιγράφων ασφαλείας, επεξεργασίας και επαναφοράς του μητρώου στα Windows XP και στον Windows Server 2003
Εναλλακτικά,απενεργοποιήσετε την υπογραφή SMB στο διακομιστή, τροποποιώντας το μητρώο. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
  1. Κάντε κλικ στο μενού Έναρξη (Start), κατόπιν στην επιλογή Εκτέλεση (Run), πληκτρολογήστε regedit και, τέλος, κάντε κλικ στο κουμπί OK.
  2. Εντοπίστε και κατόπιν κάντε κλικ στο ακόλουθο δευτερεύον κλειδί μητρώου:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters
  3. Κάντε κλικ στην καταχώρηση enablesecuritysignature.
  4. Στο μενού Επεξεργασία (Edit), κάντε κλικ στην εντολή Τροποποίηση (Modify).
  5. Στο πλαίσιο Δεδομένα τιμής (Value data) πληκτρολογήστε 0 και κατόπιν κάντε κλικ στο κουμπί ΟΚ.
  6. Κλείστε τον "Επεξεργαστή Μητρώου" (Registry Editor).
  7. Κάντε επανεκκίνηση του υπολογιστή ή διακόψτε και, στη συνέχεια, κάντε επανεκκίνηση της υπηρεσίας διακομιστή. Για να γίνει αυτό, πληκτρολογήστε τις ακόλουθες εντολές σε μια γραμμή εντολών και πιέστε το πλήκτρο ENTER μετά από κάθε εντολή:
    net stop server
    net start server
Σημείωση Το αντίστοιχο κλειδί του υπολογιστή-πελάτη βρίσκεται στο ακόλουθο δευτερεύον κλειδί μητρώου:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters
Παρακάτω παρατίθενται οι αριθμοί κωδικών σφάλματος μεταφρασμένοι σε κωδικούς κατάστασης και σε κατά λέξη κείμενο μηνύματος λάθους που αναφέρθηκαν προηγουμένως:
error 5
ERROR_ACCESS_DENIED
Access is denied.
error 1326
ERROR_LOGON_FAILURE
Logon failure: unknown user name or bad password.
error 1788
ERROR_TRUSTED_DOMAIN_FAILURE
The trust relationship between the primary domain and the trusted domain failed.
error 1789
ERROR_TRUSTED_RELATIONSHIP_FAILURE
The trust relationship between this workstation and the primary domain failed.
Για περισσότερες πληροφορίες, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
324802  (http://support.microsoft.com/kb/324802/ ) Τρόπος ρύθμισης των παραμέτρων πολιτικής ομάδας για τον ορισμό της ασφάλειας σε υπηρεσίες συστήματος στα Windows Server 2003 (US)
306771  (http://support.microsoft.com/kb/306771/ ) Εμφανίζεται το μήνυμα "Δεν επιτρέπεται η πρόσβαση" (Access denied) μετά τη ρύθμιση των παραμέτρων ενός συμπλέγματος με Windows Server 2003 (US)
101747  (http://support.microsoft.com/kb/101747/ ) Τρόπος εγκατάστασης ελέγχου ταυτότητας της Microsoft σε Macintosh (US)
161372  (http://support.microsoft.com/kb/161372/ ) Τρόπος ενεργοποίησης της υπογραφής SMB στα Windows NT (US)
236414  (http://support.microsoft.com/kb/236414/ ) Δεν είναι δυνατή η χρήση κοινόχρηστων στοιχείων όταν η ρύθμιση LMCompatibilityLevel έχει οριστεί μόνο για έλεγχο ταυτότητας NTLM 2 (US)
241338  (http://support.microsoft.com/kb/241338/ ) Ο υπολογιστής-πελάτης με Windows NT LAN Manager έκδοση 3 κατά την πρώτη σύνδεση εμποδίζει τη δραστηριότητα επόμενης σύνδεσης (US)
262890  (http://support.microsoft.com/kb/262890/ ) Δεν είναι δυνατή η δημιουργία σύνδεσης μονάδας δίσκου κεντρικού καταλόγου σε μεικτό περιβάλλον (US)
308580  (http://support.microsoft.com/kb/308580/ ) Οι αντιστοιχίσεις κεντρικού φακέλου σε διακομιστές προηγούμενων εκδόσεων ενδέχεται να μην λειτουργήσουν στη διάρκεια της σύνδεσης (US)
285901  (http://support.microsoft.com/kb/285901/ ) Οι υπολογιστές-πελάτες απομακρυσμένης πρόσβασης, VPN και υπηρεσιών RIS δεν μπορούν να δημιουργήσουν περιόδους λειτουργίας με ένα διακομιστή οι παράμετροι του οποίου είναι ρυθμισμένοι για να δέχονται έλεγχο ταυτότητας μόνο NTLM έκδοσης 2 (US)
816585  (http://support.microsoft.com/kb/816585/ ) Τρόπος εφαρμογής προκαθορισμένων προτύπων ασφαλείας στα Windows Server 2003 (US)
820281  (http://support.microsoft.com/kb/820281/ ) Πρέπει να δώσετε πιστοποιήσεις λογαριασμού των Windows κατά τη σύνδεση με Exchange Server 2003 χρησιμοποιώντας τη δυνατότητα Outlook 2003 RPC over HTTP (US)
Επιστροφή στην αρχή
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 98 Δεύτερη Έκδοση
  • Microsoft Windows 95
  • Microsoft Network Client 3.1
  • Microsoft LAN Manager 4.2 Standard Edition
  • Apple Macintosh OS X
Επιστροφή στην αρχή
Λέξεις-κλειδιά: 
kbinfo KB823659
Επιστροφή στην αρχή