אי-תאימויות בין לקוח, שירות ותוכנית העשוי להתרחש בעת שינוי הגדרות אבטחה והקצאות של זכויות משתמש

מספר מאמר: 823659 - הצג מוצרים שמאמר זה מתייחס אליהם.
הרחב הכל | כווץ הכל

בעמוד זה

תקציר

המאמר מתאר אי-תאימויות העשויות להתרחש במחשבי לקוח הפועלים באמצעות Microsoft Windows 95,? Microsoft Windows 98,? Microsoft Windows NT 4.0,? Microsoft Windows 2000,? Microsoft Windows XP Professional או Microsoft Windows Server 2003 בעת שינוי הגדרות אבטחה והקצאות של זכויות משתמש בתחומים של Windows NT 4.0,?Windows 2000 ו-Windows Server 2003.

באמצעות קביעת התצורה של ההגדרות וההקצאות האלה בפריטי מדיניות מקומית וקבוצתית, באפשרותך לסייע בהידוק האבטחה בבקרי תחום ובמחשבים חברים. החיסרון באבטחה מוגברת הוא הופעת אי-תאימויות בין לקוחות, שירותים ותוכניות.

להגברת המודעות להגדרות אבטחה שנקבעו בצורה שגויה, יש להשתמש בכלי 'עורך האובייקטים של מדיניות קבוצתית' כדי לשנות את הגדרות האבטחה. השימוש בעורך האובייקטים של מדיניות קבוצתית משפר את זכויות המשתמש במערכות ההפעלה הבאות:
  • Microsoft Windows XP Professional Service Pack 2 ?(SP2)
  • Microsoft Windows Server 2003 Service Pack 1 ?(SP1)
השיפור כולל תיבת דו-שיח הכוללת קישור למאמר זה, המוצגת בכל פעם שמשנים הגדרת אבטחה או הקצאת זכויות משתמש להגדרה שמקטינה את התאימות ומגבילה יותר. כאשר משנים ישירות את אותה הגדרת אבטחה או אותה הקצאה של זכויות משתמש באמצעות הרישום או באמצעות תבניות האבטחה, ההשפעה זהה לזו של שינוי ההגדרה בעורך האובייקטים של מדיניות קבוצתית אך תיבת הדו-שיח הכוללת את הקישור למאמר זה אינה מופיעה.

המאמר כולל דוגמאות של לקוחות, תוכניות ופעולות המושפעות מהגדרות אבטחה ספציפיות או מהקצאות ספציפיות של זכויות משתמש. עם זאת, הדוגמאות אינן תקפות בהכרח עבור כל מערכות ההפעלה של Microsoft, עבור כל מערכות ההפעלה של ספקים חיצוניים או עבור כל גירסאות התוכניות המושפעות. המאמר אינו כולל את כל הגדרות האבטחה ואת כל ההקצאות של זכויות המשתמש.

Microsoft ממליצה לאמת את התאימות של כל שינויי התצורה המתייחסים לאבטחה ביער בדיקות לפני הכנסתם לסביבת ייצור. יער הבדיקות חייב לשקף את יער הייצור בדרכים הבאות:
  • גירסאות מערכת הפעלה של הלקוח והשרת, תוכניות הלקוח והשרת, גירסאות service pack, תיקונים חמים, שינויי סכימה, קבוצות אבטחה, חברויות בקבוצות, הרשאות לאובייקטים במערכת הקבצים, תיקיות משותפות, הרישום, שירות הספריות Active Directory, הגדרות מדיניות מקומית וקבוצתית וכן הסוג והמיקום של ספירת אובייקטים.
  • משימות ניהוליות בביצוע, כלים ניהוליים בשימוש ומערכות הפעלה המשמשות לביצוע משימות ניהוליות.
  • פעולות בביצוע, לרבות אימות כניסה של מחשב ושל משתמש; איפוסי סיסמה על-ידי משתמשים; מחשבים ומנהלי מערכת; עיון; הגדרת הרשאות עבור מערכת הקבצים, התיקיות המשותפות, הרישום ומשאבי Active Directory באמצעות עורך ACL בכל מערכות ההפעלה של הלקוחות בכל תחומי החשבון או המשאבים מכל מערכות ההפעלה של הלקוחות מכל תחומי החשבון או המשאבים; הדפסה מחשבונות ניהוליים ומחשבונות שאינם ניהוליים

Windows Server 2003 SP1

אזהרות ב-Gpedit.msc

כדי לסייע בהגברת מודעות הלקוחות לכך שהם משנים זכות משתמש או אפשרות אבטחה ושהשינוי עלול להשפיע לרעה על הרשת, נוספו שני מנגנוני אזהרה ל-gpedit.msc. כאשר מנהלי מערכת משנים זכות משתמש והשינוי עלול להשפיע לרעה על הארגון כולו, יופיע סמל חדש הדומה לתמרור זכות קדימה. כמו כן תופיע הודעת אזהרה ובה קישור למאמר מספר 823659 במאגר הידע Microsoft Knowledge Base. הטקסט של הודעה זו כלהלן:
Modifying this setting may affect compatibility with clients, services, and applications?? (שינוי הגדרה זו עשוי להשפיע על תאימות ללקוחות, שירותים ויישומים). For more information see <user right or security option being modified> (Q823659)? (לקבלת מידע נוסף, ראה Q823659: <שינויים בזכות משתמש או באפשרות אבטחה>).
אם הופנית למאמר זה מקישור ב-GPEDIT.MSC, ודא שקראת והבנת את ההסבר הניתן ואת ההשפעה האפשרית של שינוי הגדרה זו. להלן רשימה של זכויות משתמש הכוללות את טקסט האזהרה החדש:
  • בצע גישה למחשב זה מהרשת
  • התחבר באופן מקומי
  • עקיפת בדיקה חוצה
  • אפשר הקצאה מהימנה במחשבים ולמשתמשים
להלן רשימה של אפשרויות אבטחה הכוללות את האזהרה והצגת הודעה:
  • חבר בתחום: הצפן או חתום באופן דיגיטלי נתוני ערוץ מאובטח (תמיד)
  • חבר בתחום: דרוש מפתח הפעלה חזק (Windows 2000 ואילך)
  • בקר תחום: דרישות חתימה עבור שרת LDAP
  • שרת רשת Microsoft: הוסף חתימה דיגיטלית לתקשורת (תמיד)
  • גישה לרשת: מאפשר תרגום שם/מזהה אבטחה (SID) אנונימי
  • גישה לרשת: אל תאפשר ספירה אנונימית של חשבונות ושיתופים של SAM
  • אבטחת רשת: רמת אימות של LAN Manager
  • ביקורת: כבה את המערכת באופן מיידי אם אין אפשרות לבצע רישום של ביקורות אבטחה
  • גישה לרשת: דרישות חתימה עבור לקוח LDAP
לראש הדף | ספק משוב

מידע נוסף

הסעיפים הבאים מתארים אי-תאימויות שעלולות להתעורר כאשר משנים הגדרות ספציפיות בתחומים של Windows NT 4.0, של Windows 2000 ושל Windows Server 2003.

זכויות משתמש

  1. בצע גישה למחשב זה מהרשת
    1. רקע

      היכולת לפעול באופן הדדי עם מחשבי Windows מרוחקים מחייבת את זכות המשתמש בצע גישה למחשב זה מהרשת. דוגמאות לפעולות מעין אלה כוללות שכפול Active Directory בין בקרי תחום בתחום משותף או ביער משותף, בקשות אימות לבקרי תחום ממשתמשים וממחשבים וכניסה לתיקיות משותפות, למדפסות ולשירותי מערכת נוספים הנמצאים במחשבים מרוחקים ברשת.

      משתמשים, מחשבים ושירותים מקבלים את זכות המשתמש בצע גישה למחשב זה מהרשת על-ידי הוספתם או הסרתם, במפורש או במרומז, מקבוצת אבטחה שקיבלה זכות משתמש זו. לדוגמה, ניתן להוסיף חשבון משתמש או חשבון מחשב במפורש, על-ידי מנהל מערכת, לקבוצת אבטחה מותאמת אישית או מובנית, או במרומז, על-ידי מערכת ההפעלה, לקבוצת אבטחה מחושבת, כגון Domain Users,? Authenticated Users או Enterprise Domain Controllers.

      כברירת מחדל, לחשבונות משתמשים ולחשבונות מחשבים מוענקת זכות המשתמש בצע גישה למחשב זה מהרשת כאשר קבוצות מחושבות, כגון Everyone או Authenticated Users (עדיף) וגם הקבוצה Enterprise Domain Controllers (עבור בקרי תחום), הוגדרו באובייקט 'מדיניות קבוצתית' (GPO) של ברירת המחדל של בקרי תחום.
    2. תצורות מסוכנות

      התצורות הבאות הן מסוכנות:
      • הסרת קבוצת האבטחה Enterprise Domain Controllers מזכות משתמש זו.
      • הסרת הקבוצה Authenticated Users או קבוצה מפורשת המעניקה למשתמשים, למחשבים ולחשבונות שירות את זכות המשתמש להתחבר למחשבים ברשת
      • הסרת כל המשתמשים והמחשבים מזכות משתמש זו.
    3. סיבות להענקת זכות משתמש זו
      • הענקת זכות המשתמש בצע גישה למחשב זה מהרשת לקבוצה Enterprise Domain Controllers ממלאת אחר דרישות האימות שמחייב שכפול Active Directory כדי שיתרחש שכפול בין בקרי תחום באותו יער.
      • זכות משתמש זו מאפשרת למשתמשים ולמחשבים לקבל גישה לקבצים, למדפסות ולשירותי מערכת משותפים, ובכלל זה Active Directory.
      • זכות משתמש זו נחוצה למשתמשים לקבלת גישה לדואר באמצעות גירסאות מוקדמות של Microsoft Outlook Web Access? (OWA).
    4. סיבות להסרת זכות משתמש זו
      • משתמשים שיש באפשרותם לחבר את המחשב שלהם לרשת יכולים לקבל גישה למשאבים במחשבים מרוחקים שעבורם יש להם הרשאות. לדוגמה, זכות משתמש זו דרושה למשתמש כדי להתחבר למדפסות או לתיקיות משותפות. כאשר זכות משתמש זו מוענקת לקבוצה Everyone, וכאשר הרשאות השיתוף והרשאות מערכת הקבצים NTFS של תיקיות משותפות מסוימות מוגדרות כך שלאותה קבוצה יש גישה לקריאה, באפשרות כל אחד להציג קבצים באותן תיקיות משותפות. עם זאת, זהו מצב לא סביר עבור התקנות חדשות של Windows Server 2003, כיוון שהרשאות ברירת המחדל של שיתוף ושל NTFS ב-Windows Server 2003 אינן כוללות את הקבוצה Everyone. במערכות המשודרגות מ-Microsoft Windows NT 4.0 או Windows 2000, פגיעות זו היא ברמת סיכון גבוהה יותר, כיוון שבמערכות הפעלה אלה הרשאות ברירת המחדל של שיתוף ושל מערכת הקבצים אינן כה מגבילות כמו הרשאות ברירת המחדל ב-Windows Server 2003.
      • אין סיבה טובה להסרת הקבוצה Enterprise Domain Controllers מזכות משתמש זו.
      • הקבוצה Everyone מוסרת בדרך כלל לטובת הקבוצה Authenticated Users. כאשר הקבוצה Everyone מוסרת, יש להעניק זכות משתמש זו לקבוצה Authenticated Users.
      • תחומים של Windows NT 4.0 המשודרגים ל-Windows 2000 אינם מעניקים במפורש את זכות המשתמש בצע גישה למחשב זה מהרשת לקבוצה Everyone, לקבוצה Authenticated Users או לקבוצה Enterprise Domain Controllers. משום כך, עם הסרת הקבוצה Everyone ממדיניות התחום של Windows NT 4.0, שכפול Active Directory ייכשל והודעת השגיאה 'הגישה נדחתה' תופיע לאחר שדרוג ל-Windows 2000. היישום Winnt32.exe ב-Windows Server 2003 מונע תצורה שגויה זו על-ידי הענקת זכות משתמש זו לקבוצה Enterprise Domain Controllers בעת שדרוג בקרי תחום עיקריים (PDC) של Windows NT 4.0. יש להעניק זכות משתמש זו לקבוצה Enterprise Domain Controllers כאשר היא לא נמצאת בעורך האובייקטים של מדיניות קבוצתית.
    5. דוגמאות לבעיות תאימות
      • Windows 2000 ו-Windows Server 2003: השכפול של סכימת Active Directory, של 'תצורה', של 'תחום', של הקטלוג הגלובלי או של Application Partitions ייכשל ויופיעו הודעות השגיאה 'הגישה נדחתה', כפי שמדווח על-ידי כלי ניטור כמו REPLMON ו-REPADMIN או על-ידי אירועי שכפול ביומן רישום האירועים.
      • כל מערכות ההפעלה ברשת מבית Microsoft: אימות של חשבון משתמש ממחשבי לקוח מרוחקים ברשת ייכשל, אלא אם למשתמש או לקבוצת האבטחה שבה הוא חבר הוענקה זכות משתמש זו.
      • כל מערכות ההפעלה ברשת מבית Microsoft: אימות של חשבון מלקוחות מרוחקים ברשת ייכשל, אלא אם לחשבון או לקבוצת האבטחה שבה הוא חבר הוענקה זכות משתמש זו. תרחיש זה חל על חשבונות משתמשים, חשבונות מחשבים וחשבונות שירותים.
      • כל מערכות ההפעלה ברשת מבית Microsoft: הסרת כל החשבונות מזכות משתמש זו תמנע מכל חשבון כניסה לתחום או גישה למשאבי הרשת. כאשר מסירים קבוצות מחושבות, כגון Enterprise Domain Controllers,? Everyone או Authenticated Users, יש להעניק זכות משתמש זו במפורש לחשבונות, או לקבוצות אבטחה שהחשבון חבר בהן, כדי לקבל גישה למחשבים מרוחקים ברשת. תרחיש זה חל על כל חשבונות המשתמשים, כל חשבונות המחשבים וכל חשבונות השירותים.
      • כל מערכות ההפעלה ברשת מבית Microsoft: החשבון המקומי של מנהל המערכת משתמש בסיסמה 'ריקה'. קישוריות לרשת עם סיסמאות 'ריקות' אסורה עבור חשבונות מנהלי מערכת בסביבת תחום. בתצורה זו ניתן לצפות שתופיע הודעת השגיאה 'הגישה נדחתה'.
  2. אפשר כניסה באופן מקומי
    1. רקע

      משתמשים המנסים להיכנס במסוף של מחשב מבוסס Microsoft Windows (באמצעות רצף מקשי ההתחברות CTRL+ALT+DELETE) וחשבונות המנסים להפעיל שירות חייבים להיות בעלי זכויות להתחברות מקומית במחשב המארח. דוגמאות לכניסה מקומית כוללות מנהלי מערכת המתחברים למסופים של מחשבים חברים, או בקרי תחום ברחבי הארגון ומשתמשי תחום המבצעים כניסה למחשבים חברים כדי לקבל גישה לשולחן העבודה שלהם באמצעות חשבונות ללא זכויות. משתמשים העושים שימוש ב'כניסה לשולחן עבודה מרוחק' או ב'שירותי מסוף' חייבים להיות בעלי זכות המשתמש אפשר כניסה באופן מקומי במחשבי היעד הפועלים באמצעות Windows 2000 או Windows XP, מכיוון שמצבי כניסה אלה נחשבים מקומיים במחשב המארח. למשתמשים המבצעים כניסה לשרת שבו מופעל Terminal Server ואינם בעלי זכות משתמש זו, יש עדיין אפשרות להפעיל הפעלה אינטראקטיבית מרוחקת בתחומים של Windows Server 2003 ובלבד שהם בעלי זכות המשתמש אפשר כניסה באמצעות שירותי מסוף.
    2. תצורות מסוכנות

      התצורות הבאות הן מסוכנות:
      • הסרת קבוצות אבטחה ניהוליות, לרבות Account Operators,? Backup Operators,? Print Operators או Server Operators, והקבוצה המובנית Administrators ממדיניות ברירת המחדל של בקרי תחום.
      • הסרת חשבונות שירות, המשמשים רכיבים ותוכניות במחשבים חברים ובבקרי תחום בתחום, ממדיניות ברירת המחדל של בקרי תחום.
      • הסרת משתמשים או קבוצות אבטחה המבצעים כניסה למסוף של מחשבים חברים בתחום.
      • הסרת חשבונות שירות המוגדרים במסד הנתונים 'מנהל חשבונות האבטחה' (SAM) של מחשבים חברים או מחשבים בקבוצת העבודה.
      • הסרת חשבונות ניהוליים שאינם מובנים אשר מבצעים אימות דרך 'שירותי מסוף' הפועלים בבקר תחום.
      • הוספת כל חשבונות המשתמשים בתחום במפורש או במרומז באמצעות הקבוצה Everyone לזכות הכניסה מנע כניסה באופן מקומי. תצורה זו תמנע מהמשתמשים לבצע כניסה למחשב חבר כלשהו או לבקר תחום כלשהו בתחום.
    3. סיבות להענקת זכות משתמש זו
      • המשתמשים חייבים להיות בעלי זכות המשתמש אפשר כניסה באופן מקומי כדי לקבל גישה למסוף או לשולחן העבודה של מחשב בקבוצת עבודה, של מחשב חבר או של בקר תחום.
      • המשתמשים חייבים להיות בעלי זכות משתמש זו כדי לבצע כניסה באמצעות הפעלת שירותי מסוף הפועלים במחשב מבוסס Window 2000 או בבקר תחום.
    4. סיבות להסרת זכות משתמש זו
      • הימנעות מהגבלת גישה ממסוף לחשבונות משתמש חוקיים עלולה לאפשר למשתמשים לא מורשים לבצע הורדות וקוד זדוני כדי לשנות את זכויות המשתמש שלהם.
      • הסרת זכות המשתמש אפשר כניסה באופן מקומי מונעת כניסות בלתי-מורשות במסופי מחשבים, כגון בקרי תחום או שרתי יישומים.
      • הסרת זכות כניסה זו מונעת מחשבונות שאינם בתחום כניסה במסוף של מחשבים חברים בתחום.
    5. דוגמאות לבעיות תאימות
      • שרתי מסוף של Windows 2000: זכות המשתמש אפשר כניסה באופן מקומי נחוצה למשתמשים המבקשים לבצע כניסה לשרתי מסוף של Windows 2000.
      • Windows NT 4.0,? Windows 2000,? Windows XP או Windows Server 2003: יש להעניק זכות משתמש זו לחשבונות משתמשים כדי לבצע כניסה במסוף של מחשבים הפועלים באמצעות Windows NT 4.0,? Windows 2000,? Windows XP או Windows Server 2003.
      • Windows NT 4.0 וגירסאות מאוחרות יותר: במחשבים הפועלים באמצעות Windows NT 4.0 או גירסה מאוחרת יותר, הוספת זכות המשתמש אפשר כניסה באופן מקומי והענקה בו-זמנית במרומז או במפורש של זכות הכניסה מנע כניסה באופן מקומי, תמנע מהחשבונות אפשרות לבצע כניסה למסוף של בקרי תחום.
  3. עקיפת בדיקה חוצה
    1. רקע

      זכות המשתמש עקיפת בדיקה חוצה מאפשרת למשתמש לעיין בתיקיות במערכת הקבצים NTFS או ברישום מבלי שייבדק קיומה של הרשאת הגישה המיוחדת Traverse Folder. זכות המשתמש עקיפת בדיקה חוצה אינה מאפשרת למשתמש להציג רשימה של תוכן תיקייה, אלא רק לעבור בין התיקיות.
    2. תצורות מסוכנות

      התצורות הבאות הן מסוכנות:
      • הסרת חשבונות לא-ניהוליים המבצעים כניסה למחשבי 'שירותי מסוף', מבוססי Windows 2000 או מבוססי Windows Server 2003, שאין ברשותם הרשאות גישה לקבצים ותיקיות במערכת הקבצים.
      • הסרת הקבוצה Everyone מרשימת מנהלי האבטחה שהם, כברירת מחדל, בעלי זכות משתמש זו. מערכות ההפעלה Windows, וגם תוכניות רבות, תוכננו מתוך ההנחה כי כל מי שנכנס למחשב באופן חוקי יהיה בעל זכות המשתמש עקיפת בדיקה חוצה. משום כך, הסרת הקבוצה Everyone מרשימת מנהלי האבטחה שהם, כברירת מחדל, בעלי זכות משתמש זו עלולה להוביל לאי-יציבות במערכת ההפעלה או לכשל בתוכניות. מוטב להשאיר הגדרה זו באפשרות ברירת המחדל שלה.
    3. סיבות להענקת זכות משתמש זו

      הגדרת ברירת המחדל של זכות המשתמש עקיפת בדיקה חוצה היא לאפשר לכל אחד לעקוף את הבדיקה החוצה. עבור מנהלי מערכת מנוסים של Windows, זהו אופן הפעולה הצפוי והם מגדירים בהתאם לכך את התצורה של רשימות בקרת הגישה למערכת הקבצים (SACL). התרחיש היחיד שבו תצורת ברירת המחדל עלולה להוביל לתקלה היא כאשר מנהל המערכת המגדיר הרשאות אינו מבין את אופן הפעולה ומצפה שמשתמשים שאין באפשרותם לקבל גישה לתיקיית אב לא יקבלו גישה לתוכן של אף תיקיית צאצא.
    4. סיבות להסרת זכות משתמש זו

      ארגונים המוטרדים בנושא האבטחה באופן קיצוני עלולים להתפתות להסיר את הקבוצה Everyone, ואולי אף להסיר את הקבוצה Users, מרשימת הקבוצות שברשותם זכות המשתמש עקיפת בדיקה חוצה כדי למנוע גישה לקבצים או לתיקיות במערכת הקבצים.
    5. דוגמאות לבעיות תאימות
      • Windows 2000,? Windows Server 2003: כאשר מסירים את זכות המשתמש עקיפת בדיקה חוצה או כאשר מגדירים אותה באופן שגוי במחשבים הפועלים באמצעות Windows 2000 או Windows Server 2003, הגדרות המדיניות הקבוצתית בתיקייה SYVOL לא ישוכפלו בין בקרי התחום בתחום.
      • Windows 2000,? Windows XP Professional,? Windows Server 2003: מחשבים הפועלים באמצעות Windows 2000,? Windows XP Professional או Windows Server 2003 ירשמו את האירועים 1000 ו-?1202 ולא יהיה באפשרותם ליישם את מדיניות המחשבים ומדיניות המשתמשים כאשר מסירים את ההרשאות הנדרשות במערכת הקבצים מהעץ SYSVOL, אם זכות המשתמש עקיפת בדיקה חוצה הוסרה או הוגדרה באופן שגוי.

        לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
        290647
        (http://support.microsoft.com/kb/290647/ )
        מזהי אירוע 1000 ו-1001 נרשמים בכל חמש דקות ביומן האירועים של היישום (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
      • Windows 2000,? Windows Server 2003: במחשבים הפועלים באמצעות Windows 2000 או Windows Server 2003, תיעלם הכרטיסייה מיכסה בסייר Windows בעת הצגת המאפיינים של אמצעי אחסון.
      • Windows 2000: מי שאינו מנהל מערכת ומבצע כניסה לשרת מסוף Windows 2000 עלול לקבל את הודעת השגיאה הבאה:
        Userinit.exe application error (שגיאת יישום Userinit.exe).? The application failed to initialize properly 0xc0000142 click OK to terminate the app (אתחול תקין של היישום נכשל ?0xc0000142 לחץ על 'אישור' כדי לסיים את פעולת היישום).
        לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
        272142
        (http://support.microsoft.com/kb/272142/ )
        מתבצעת הוצאת המשתמשים באופן אוטומטי כאשר הם מנסים לבצע כניסה לשירותי מסוף (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
      • Windows NT 4.0,? Windows 2000,? Windows XP,? Windows Server 2003: ייתכן שלמשתמשים בעלי מחשבים הפועלים באמצעות Windows NT 4.0,? Windows 2000,? Windows XP או Windows Server 2003 לא תהיה אפשרות לקבל גישה לתיקיות משותפות, והם עלולים לקבל הודעות שגיאה 'הגישה נדחתה' אם אין ברשותם זכות המשתמש עקיפת בדיקה חוצה.

        לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
        277644
        (http://support.microsoft.com/kb/277644/ )
        הודעת השגיאה 'הגישה נדחתה' מופיעה כאשר משתמשים מנסים לקבל גישה לתיקיות משותפות (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
      • Windows NT 4.0: במחשבים מבוססי Windows NT 4.0, הסרת זכות המשתמש עקיפת בדיקה חוצה תגרום לאיבוד הרצף בקובץ במהלך הפעולה של העתקת קובץ. כאשר מעתיקים קובץ מלקוח Windows או מלקוח Macintosh לבקר תחום של Windows NT 4.0 שבו פועלים השירותים Services for Macintosh, גורמת הסרת זכות משתמש זו לאיבוד הרצף בקובץ היעד ולהופעת הקובץ כקובץ טקסט בלבד.

        לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
        172930
        (http://support.microsoft.com/kb/172930/ )
        הסרת ההרשאה 'עקיפת בדיקה חוצה' גורמת לאיבוד הרצף בפעולת העתקה של קובץ (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
      • Microsoft Windows 95,? Microsoft Windows 98: במחשב לקוח הפועל באמצעות Windows 95 או Windows 98, הפקודה net use * /home תיכשל והודעת השגיאה 'הגישה נדחתה' תופיע אם לקבוצה Authenticated Users לא הוענקה זכות המשתמש עקיפת בדיקה חוצה.
      • Outlook Web Access: לא יהיה באפשרותו של מי שאינו מנהל מערכת לבצע כניסה ל-Microsoft Outlook Web Access והודעת השגיאה 'הגישה נדחתה' תופיע אם אין לו זכות המשתמש עקיפת בדיקה חוצה.
הגדרות אבטחה
  1. ביקורת: כבה את המערכת באופן מיידי אם אין אפשרות לבצע רישום של ביקורות אבטחה
    1. רקע
      • ההגדרה ביקורת: כבה את המערכת באופן מיידי אם אין אפשרות לבצע רישום של ביקורת אבטחה קובעת אם המערכת תכבה כאשר אין אפשרות לבצע רישום יומן של אירועי אבטחה. הגדרה זו נחוצה עבור הערכת C2 של התוכנית Trusted Computer Security Evaluation Criteria? (TCSEC) ועבור 'קריטריונים נפוצים להערכת האבטחה של טכנולוגיות המחשוב', במטרה למנוע אירועים הניתנים לביקורת כאשר אין באפשרות מערכת הביקורת לרשום ביומן אותם אירועים. כאשר מערכת הביקורת נכשלת, מתבצע כיבוי של המערכת ומופיעה הודעה על שגיאת עצירה.
      • כאשר אין באפשרות המחשב לרשום אירועים ביומן האבטחה, אפשר שהוכחות קריטיות או מידע חשוב של פתרון בעיות לא יהיו זמינים לעיון אחרי אירוע אבטחה.
    2. תצורה מסוכנת

      להלן תצורה מסוכנת: ההגדרה ביקורת: כבה את המערכת באופן מיידי אם אין אפשרות לבצע רישום של ביקורות אבטחה פועלת וגם גודל האירוע ביומן האבטחה מוגבל על-ידי האפשרות אל תחליף אירועים (נקה יומן באופן ידני), האפשרות החלף אירועים לפי הצורך או האפשרות החלף אירועים לפי מספר ימים במציג האירועים. עיין בסעיף 'דוגמאות לבעיות תאימות' כדי לקבל פרטים על סיכונים ספציפיים למחשבים הפועלים באמצעות גירסת ההפצה המקורית של Windows 2000,? Windows 2000 Service Pack 1 ?(SP1),? Windows 2000 SP2 או Windows 2000 SP3.
    3. סיבות להפעלת הגדרה זו

      כאשר אין באפשרות המחשב לרשום אירועים ביומן האבטחה, אפשר שהוכחות קריטיות או מידע חשוב של פתרון בעיות לא יהיו זמינים לעיון אחרי אירוע אבטחה.
    4. סיבות לביטול הגדרה זו
      • הפעלת ההגדרה ביקורת: כבה את המערכת באופן מיידי אם אין אפשרות לבצע רישום של ביקורת אבטחה עוצרת את המערכת כאשר, מסיבה כלשהי, אין אפשרות לבצע רישום של ביקורת אבטחה. בדרך כלל, אין אפשרות לבצע רישום אירוע כאשר יומן ביקורת אבטחה מלא וכאשר שיטת השמירה המוגדרת שלו היא האפשרות אל תחליף אירועים (נקה יומן באופן ידני) או האפשרות נקה אירועים לפי מספר ימים.
      • הנטל הניהולי של הפעלת ההגדרה ביקורת: כבה את המערכת באופן מיידי אם אין אפשרות לבצע רישום של ביקורת אבטחה עלול להיות כבד מאוד, במיוחד כאשר מפעילים את האפשרות אל תחליף אירועים (נקה יומן באופן ידני) עבור יומן האבטחה. הגדרה זו מאפשרת נשיאה באחריות אישית של מפעיל לפעולותיו. לדוגמה, מנהל מערכת עשוי לאפס את ההרשאות בכל המשתמשים, המחשבים והקבוצות של יחידה ארגונית (OU), שבה הביקורת הופעלה באמצעות החשבון המובנה של מנהל מערכת או חשבון משותף אחר, ולאחר מכן לשלול מהם את האפשרות לאפס הרשאות מעין אלה. עם זאת, הפעלת ההגדרה אכן מפחיתה את איתנות המערכת, מכיוון שניתן לכבות את אחד השרתים על-ידי הצפתו במספר רב של אירועי כניסה ובאירועי אבטחה נוספים הנרשמים ביומן האבטחה. בנוסף, מאחר שהכיבוי אינו מסודר, עלול להיגרם נזק בלתי הפיך למערכת ההפעלה, לתוכניות או לנתונים. אף כי מערכת NTFS מבטיחה כי שלמות מערכת הקבצים תישמר במהלך כיבוי לא מסודר של המערכת, אין באפשרותה להבטיח כי כל קובץ נתונים עבור כל תוכנית יהיה במצב שמיש עם הפעלת המערכת מחדש.
    5. שם סמלי:

      CrashOnAuditFail
    6. נתיב הרישום:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)
    7. דוגמאות לבעיות תאימות
      • Windows 2000: עקב באג, מחשבים הפועלים באמצעות גירסת ההפצה המקורית של Windows 2000,? Windows 2000 SP1,? Windows 2000 SP2 או Windows SP3 עלולים להפסיק לרשום אירועים עוד לפני שהגיעו לגודל המצוין באפשרות גודל יומן מרבי עבור יומן אירועי אבטחה. באג זה מתוקן ב-Windows 2000 Service Pack 4? (SP4). לפני שאתה שוקל הפעלת הגדרה זו, ודא כי בבקרי התחום של Windows 2000 מותקנת המהדורה Windows 2000 Service Pack 4.

        לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
        312571
        (http://support.microsoft.com/kb/312571/ )
        יומן האירועים מפסיק לבצע רישום לפני שהגיע לגודל המרבי של היומן (ייתכן שקישור זה מפנה לתוכן שחלקו או כולו מופיע באנגלית)
      • Windows 2000,? Windows Server 2003: מחשבים הפועלים באמצעות Windows 2000 או Windows Server 2003 עלולים להפסיק להגיב ולאחר מכן לבצע באופן ספונטני הפעלה מחדש של המערכת אם ההגדרה ביקורת: כבה את המערכת באופן מיידי אם אין אפשרות לבצע רישום של ביקורת אבטחה מופעלת ואם יומן האירועים מלא ואם אין אפשרות להחליף אירוע רשום קיים. עם ההפעלה מחדש של המחשב מופיעה ההודעה הבאה של שגיאת עצירה:
        STOP (עצור): C0000244 {Audit Failed}? (הביקורת נכשלה)
        An attempt to generate a security audit failed (ניסיון ליצור ביקורת אבטחה נכשל).
        כדי להתאושש, יש לבצע כניסה של מנהל מערכת, להעביר לארכיון (אופציונלי) את יומן האבטחה, לנקות את יומן האבטחה ולאחר מכן לאפס אפשרות זו (אופציונלי, במידת הצורך).
      • Microsoft Network Client for MS-DOS,? Windows 95,? Windows 98,? Windows NT 4.0,? Windows 2000,? Windows XP,? Windows Server 2003: מי שאינם מנהלי מערכת ומנסים לבצע כניסה לתחום יקבלו את הודעת השגיאה הבאה:
        ??תצורת החשבון שלך מונעת ממך שימוש במחשב זה. נסה להשתמש במחשב אחר.
        לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
        160783
        (http://support.microsoft.com/kb/160783/ )
        הודעת שגיאה: למשתמשים אין אפשרות לבצע כניסה לתחנת עבודה (ייתכן שקישור זה מפנה לתוכן שחלקו או כולו מופיע באנגלית)
      • Windows 2000: במחשבים מבוססי Windows 2000, למי שאינם מנהלי מערכת לא תהיה אפשרות לבצע כניסה לשרתי גישה מרחוק ותופיע הודעת שגיאה הדומה להודעה הבאה:
        Unknown user or bad password (משתמש לא מוכר או סיסמה שגויה)
        לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
        285665
        (http://support.microsoft.com/kb/285665/ )
        הודעת שגיאה: ??תצורת החשבון שלך מונעת ממך שימוש במחשב זה (ייתכן שקישור זה מפנה לתוכן שחלקו או כולו מופיע באנגלית)
      • Windows 2000: בבקרי תחום של Windows 2000, היישום 'שירות הודעות בין אתרים' (Ismserv.exe) ייפסק ולא תהיה אפשרות להפעילו מחדש. DCDIAG ידווח על השגיאה כך: failed test services ISMserv (כישלון בבדיקת השירותים ISMserv), וביומן האירועים יירשם מזהה אירוע 1083.
      • Windows 2000: בבקרי תחום של Windows 2000, שכפול Active Directory ייכשל וההודעה 'הגישה נדחתה' תופיע אם יומן אירועי האבטחה מלא.
      • Microsoft Exchange 2000: לשרתים שבהם פועל Exchange 2000 לא תהיה אפשרות להקים את מסד הנתונים של מאגר המידע וביומן האירועים יירשם אירוע 2102.

        לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
        314294
        (http://support.microsoft.com/kb/314294/ )
        הודעות שגיאה של Exchange 2000 נוצרות בגלל בעיות בזכות SeSecurityPrivilege וב-Policytest (ייתכן שקישור זה מפנה לתוכן שחלקו או כולו מופיע באנגלית)
      • Outlook,? Outlook Web Access: למי שאינם מנהלי מערכת לא תהיה אפשרות לקבל גישה לדואר שלהם באמצעות Microsoft Outlook או באמצעות Microsoft Outlook Web Access ותופיע שגיאה 503.
  2. בקר תחום: דרישות חתימה עבור שרת LDAP
    1. רקע

      בקר תחום: דרישות חתימה עבור שרת LDAP קובעת אם שרת Lightweight Directory Access Protocol? (LDAP) מחייב את לקוחות LDAP לנהל משא-ומתן בעניין חתימה על נתונים. הערכים האפשריים עבור הגדרת מדיניות זו הם:
      • ללא: חתימה על נתונים אינה נדרשת להיות מאוגדת לשרת. אם הלקוח מחייב חתימה על נתונים, השרת תומך בזאת.
      • דרוש חתימה: יש לנהל משא-ומתן על האפשרות 'חתימת נתונים' של LDAP אלא אם נעשה שימוש ב-Transport Layer Security/Secure Socket Layer? (TLS/SSL).
      • לא מוגדר: הגדרה זו אינה מופעלת ואינה מבוטלת.
    2. תצורות מסוכנות

      התצורות הבאות הן מסוכנות:
      • הפעלת דרוש חתימה בסביבות שבהן הלקוחות אינם תומכים בחתימת LDAP או שבהן חתימת LDAP בצד הלקוח אינה מופעלת בלקוח
      • החלת תבנית האבטחה Hisecdc.inf של Windows 2000 או של Windows Server 2003 בסביבות שבהן הלקוחות אינם תומכים בחתימת LDAP או שבהן חתימת LDAP בצד הלקוח אינה מופעלת
      • החלת תבנית האבטחה Hisecws.inf של Windows 2000 או של Windows Server 2003 בסביבות שבהן הלקוחות אינם תומכים בחתימת LDAP או שבהן חתימת LDAP בצד הלקוח אינה מופעלת
    3. סיבות להפעלת הגדרה זו

      תעבורת רשת לא חתומה היא פגיעה לתקיפות מסוג 'אדם בתווך' שבהן לוכד פורץ מנות בין הלקוח לשרת, משנה את המנות ומעביר אותן לשרת. כאשר אופן פעולה זה מתרחש בשרת LDAP, התוקף עלול לגרום לשרת לקבל החלטות המבוססות על שאילתות שגויות מלקוח ה-LDAP. באפשרותך להקטין סיכון זה ברשת ארגונית על-ידי יישום אמצעי אבטחה פיזיים הדוקים כדי לסייע בהגנה על תשתית הרשת. מצב כותרת אימות בפרוטוקול Internet Protocol security? (IPSec) עשוי להקשות מאוד על ביצוע תקיפות מסוג 'אדם בתווך'. מצב כותרת אימות מבצע אימות הדדי ושלמות מנות עבור תעבורת IP.
    4. סיבות לביטול הגדרה זו
      • ללקוחות שאינם תומכים בחתימת LDAP לא תהיה אפשרות לבצע שאילתות LDAP מול בקרי תחום ומול קטלוגים גלובליים כאשר מתקיים משא-ומתן על אימות NTLM וכאשר מהדורות ה-service pack הנכונות אינן מותקנות בבקרי תחום של Windows 2000.
      • מעקבי הרשת של תעבורת LDAP בין לקוחות לשרתים יוצפנו ויקשו על בחינת שיחות LDAP.
      • בשרתים מבוססי Windows 2000 חייבת להיות מותקנת המהדורה Windows 2000 Service Pack 3? (SP3), או גירסה מתקדמת יותר, כאשר מנהלים אותם בעזרת תוכניות שתומכות בחתימת LDAP המופעלות ממחשבי לקוח שבהם Windows 2000 SP4,? Windows XP או Windows Server 2003. לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
        325465
        (http://support.microsoft.com/kb/325465/ )
        בקרי תחום של Windows 2000 מחייבים את התקנת Service Pack 3 ואילך בשעת שימוש בכלי ניהול של Windows Server 2003 (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
    5. שם סמלי:

      LDAPServerIntegrity
    6. נתיב הרישום:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)
    7. דוגמאות לבעיות תאימות
      • איגודים פשוטים ייכשלו ותתקבל הודעת השגיאה הבאה:
        Ldap_simple_bind_s() failed? (Ldap_simple_bind_s()? נכשל): Strong Authentication Required (נדרש אימות חזק).
      • Windows 2000 Service Pack 4,? Windows XP,? Windows Server 2003: בלקוחות הפועלים באמצעות Windows 2000 SP4,? Windows XP או Windows Server 2003, מספר כלים ניהוליים של Active Directory לא יפעלו באופן נכון מול בקרי תחום, הפועלים באמצעות גירסאות של Windows 2000 קודמות למהדורה SP3, כאשר מתנהל משא-ומתן על אימות NTLM.

        לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
        325465
        (http://support.microsoft.com/kb/325465/ )
        בקרי תחום של Windows 2000 מחייבים את התקנת Service Pack 3 ואילך בשעת שימוש בכלי ניהול של Windows Server 2003 (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
      • Windows 2000 Service Pack 4,? Windows XP,? Windows Server 2003: בלקוחות הפועלים באמצעות Windows 2000 SP4,? Windows XP או Windows Server 2003, מספר כלים ניהוליים של Active Directory, המיועדים לבקרי תחום הפועלים באמצעות גירסאות של Windows 2000 קודמות למהדורה SP3, לא יפעלו באופן נכון אם הם עושים שימוש בכתובות IP (לדוגמה, dsa.msc /server=x.x.x.x, כאשר הביטוי x.x.x.x הוא כתובת IP).

        לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
        325465
        (http://support.microsoft.com/kb/325465/ )
        בקרי תחום של Windows 2000 מחייבים את התקנת Service Pack 3 ואילך בשעת שימוש בכלי ניהול של Windows Server 2003 (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
      • Windows 2000 Service Pack 4,? Windows XP,? Windows Server 2003: בלקוחות הפועלים באמצעות Windows 2000 SP4,? Windows XP או Windows Server 2003, לא יפעלו באופן נכון מספר כלים ניהוליים של Active Directory, המיועדים לבקרי תחום שפועלים באמצעות גירסאות של Windows 2000 קודמות למהדורה SP3.

        לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
        325465
        (http://support.microsoft.com/kb/325465/ )
        בקרי תחום של Windows 2000 מחייבים את התקנת Service Pack 3 ואילך בשעת שימוש בכלי ניהול של Windows Server 2003 (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
  3. חבר בתחום: דרוש מפתח הפעלה חזק (Windows 2000 ואילך)
    1. רקע
      • ההגדרה חבר בתחום: דרוש מפתח הפעלה חזק (Windows 2000 ואילך) קובעת אם ניתן להקים ערוץ מאובטח עם בקר תחום שאין באפשרותו להצפין תעבורת ערוץ מאובטח עם מפתח הפעלה חזק בן 128 סיביות. הפעלת הגדרה זו מונעת הקמת ערוץ מאובטח עם בקר תחום כלשהו, שאין באפשרותו להצפין נתוני ערוץ מאובטח עם מפתח חזק. נטרול הגדרה זו מאפשר מפתחות הפעלה בני 64 סיביות.
      • לפני שיהיה באפשרותך להפעיל הגדרה זו בתחנת עבודה חברה או בשרת, כל בקרי התחום בתחום אליו משתייך החבר חייבים להיות בעלי יכולת הצפנה של נתוני ערוץ מאובטח עם מפתח הפעלה חזק בן 128 סיביות. פירוש הדבר כי כל בקרי התחום הללו חייבים לפעול באמצעות Windows 2000 ואילך.
    2. תצורה מסוכנת

      הפעלת ההגדרה חבר בתחום: דרוש מפתח הפעלה חזק (Windows 2000 ואילך) היא תצורה מסוכנת.
    3. סיבות להפעלת הגדרה זו
      • מפתחות הפעלה המשמשים להקמת ערוץ תקשורת מאובטח בין מחשבים חברים לבקרי תחום הם הרבה יותר חזקים במערכת Windows 2000 מאשר בגירסאות קודמות של מערכות ההפעלה מבית Microsoft.
      • כאשר הדבר אפשרי, טוב לנצל מפתחות הפעלה חזקים אלה כדי לסייע בהגנה על ערוץ התקשורת המאובטח מפני ציתות ומפני תקיפות לחטיפת ההפעלה ברשת. ציתות הוא צורה של תקיפה זדונית שבה מתבצעים קריאה ושינוי של נתוני רשת בשעת מעבר. הנתונים עשויים לעבור שינוי כך שהשולח יוסתר או ישונה, או שהם ינותבו מחדש.
    4. סיבות לביטול הגדרה זו

      התחום כולל מחשבים חברים הפועלים באמצעות מערכות הפעלה שאינן Windows 2000,? Windows XP או Windows Server 2003.
    5. שם סמלי:

      StrongKey
    6. נתיב הרישום:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)
    7. דוגמאות לבעיות תאימות

      Windows NT 4.0: במחשבים מבוססי Windows NT 4.0, נכשל איפוס ערוצים מאובטחים של יחסי אמון בין תחומים של Windows NT 4.0 ושל Windows 2000 עם NLTEST ומופיעה הודעת השגיאה 'הגישה נדחתה':
      ??יחסי האמון בין התחום הראשי לתחום המהימן נכשלו.
  4. חבר בתחום: הצפן או חתום באופן דיגיטלי נתוני ערוץ מאובטח (תמיד)
    1. רקע
      • הפעלת חבר בתחום: הוסף הצפנה או חתימה דיגיטלית לנתוני ערוץ מאובטח (תמיד) מונעת הקמת ערוץ מאובטח עם בקר תחום כלשהו שאין באפשרותו לחתום או להצפין את כל נתוני הערוץ המאובטח. כדי לסייע בהגנה על תעבורת האימות מפני תקיפות מסוג 'אדם בתווך', מפני תקיפות הצגה מחדש ומפני סוגים נוספים של תקיפות ברשת, מחשבים מבוססי Windows יוצרים ערוץ תקשורת, המוכר כערוץ מאובטח, באמצעות השירות Net Logon כדי לאמת חשבונות מחשבים. ערוצים מאובטחים משמשים גם כאשר משתמש בתחום אחד מתחבר למשאב רשת בתחום מרוחק. אימות מרובה תחומים זה, או אימות מעבר, מאפשר למחשב מבוסס Windows שהצטרף לתחום לקבל גישה למסד הנתונים של חשבונות משתמשים בתחום שלו ובכל תחום מהימן.
      • כדי להפעיל את ההגדרה חבר בתחום: הוסף הצפנה או חתימה דיגיטלית לנתוני ערוץ מאובטח (תמיד) במחשב חבר, כל בקרי התחום בתחום שאליו משתייך החבר חייבים להיות בעלי יכולת לחתום או להצפין את כל הנתונים בערוץ המאובטח. פירוש הדבר כי כל בקרי התחום הללו חייבים לפעול באמצעות Windows NT 4.0 עם Service Pack 6a? (SP6a) ואילך.
      • הפעלת ההגדרה חבר בתחום: הוסף הצפנה או חתימה דיגיטלית לנתוני ערוץ מאובטח (תמיד) מפעילה באופן אוטומטי את ההגדרה חבר בתחום: הוסף הצפנה או חתימה דיגיטלית לנתוני ערוץ מאובטח (כאשר הדבר אפשרי).
    2. תצורה מסוכנת

      הפעלת ההגדרה חבר בתחום: הוסף הצפנה או חתימה דיגיטלית לנתוני ערוץ מאובטח (תמיד), בתחומים שבהם לא כל בקרי התחום הם בעלי יכולת לחתום או להצפין נתוני ערוץ מאובטח, מהווה תצורה מסוכנת.
    3. סיבות להפעלת הגדרה זו

      תעבורת רשת לא חתומה היא פגיעה לתקיפות מסוג 'אדם בתווך' שבהן לוכד פורץ מנות בין השרת והלקוח ולאחר מכן משנה אותן לפני העברתן ללקוח. כאשר מתרחש אופן פעולה זה בשרת Lightweight Directory Access Protocol? (LDAP), הפורץ עלול לגרום ללקוח לקבל החלטות המבוססות על רשומות כוזבות מספריית ה-LDAP. ניתן להקטין את הסיכון לתקיפה מסוג זה ברשת ארגונית על-ידי יישום אמצעי אבטחה פיזיים הדוקים כדי לסייע בהגנה על תשתית הרשת. בנוסף, יישום מצב כותרת אימות בפרוטוקול Internet Protocol security? (IPSec) עשוי להקשות מאוד על כל סוגי התקיפות 'אדם בתווך'. מצב זה מבצע אימות הדדי ושלמות מנות עבור תעבורת IP.
    4. סיבות לביטול הגדרה זו
      • המחשבים בתחומים מקומיים או חיצוניים תומכים בערוצים מאובטחים מוצפנים.
      • לא בכל בקרי התחום בתחום מותקנות הרמות הנכונות של מהדורת service pack כדי לתמוך בערוצים מאובטחים מוצפנים.
    5. שם סמלי:

      StrongKey
    6. נתיב הרישום:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)
    7. דוגמאות לבעיות תאימות
      • Windows NT 4.0: למחשבים חברים מבוססי Windows 2000 לא תהיה אפשרות להצטרף לתחומים של Windows NT 4.0 ויתקבלו הודעות השגיאה הבאות:
        החשבון אינו מורשה לבצע כניסה מתחנה זו.
        לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
        281648
        (http://support.microsoft.com/kb/281648/ )
        הודעת שגיאה: החשבון אינו מורשה לבצע כניסה מתחנה זו (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
      • Windows NT 4.0: לתחומים של Windows NT 4.0 לא תהיה אפשרות לבסס אמון ברמה נמוכה עם תחום של Windows 2000 ותופיע הודעת השגיאה הבאה:
        החשבון אינו מורשה לבצע כניסה מתחנה זו.
        ייתכן גם שיחסי אמון קיימים ברמה נמוכה לא יאמתו משתמשים מהתחום המהימן. משתמשים מסוימים עלולים להתקשות לבצע כניסה לתחום, וייתכן שתופיע הודעת שגיאה המציינת שאין באפשרות הלקוח לאתר את התחום.
      • Windows XP: ללקוחות Windows XP המצורפים לתחומים של Windows NT 4.0 לא תהיה אפשרות לאמת ניסיונות כניסה וייתכן שתופיע הודעת השגיאה הבאה או שיירשמו האירועים הבאים ביומן האירועים:
        אין באפשרות Windows להתחבר לתחום זה, משום שבקר התחום מושבת או לא זמין מסיבה אחרת, או מכיוון שחשבון המחשב לא נמצא.

        אירוע 5723: אימות הגדרת ההפעלה מהמחשב ComputerName נכשל. שם החשבון שאליו מפנה מסד הנתונים של האבטחה הוא ComputerName. אירעה השגיאה הבאה: הגישה נדחתה.

        אירוע 3227: הגדרת ההפעלה בבקר התחום Server Name, של Windows NT או של Windows 2000, עבור התחום Domain Name, נכשלה מכיוון שבקר התחום Server Name אינו תומך בחתימה או בהחתמה של הפעלת Netlogon. שדרג את בקר התחום או קבע את ערך הרישום RequireSignOrSeal ל-0.

        לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
        318266
        (http://support.microsoft.com/kb/318266/ )
        ללקוח Windows XP אין אפשרות לבצע כניסה לתחום של Windows NT 4.0 (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
      • Microsoft Network: לקוחות Microsoft Network יקבלו את אחת מהודעות השגיאה הבאות:
        Logon failure (כשל בכניסה): unknown username or bad password (שם משתמש לא ידוע או סיסמה שגויה).
        There is no user session key for the specified logon session (??לא קיים מפתח הפעלה של משתמש עבור הפעלת הכניסה שצוינה).
  5. לקוח רשת Microsoft: הוסף חתימה דיגיטלית לתקשורת (תמיד)
    1. רקע

      הפרוטוקול Server Messenger Block? (SMB) הוא פרוטוקול השיתוף במשאבים שבו תומכות מערכות הפעלה רבות מבית Microsoft; הוא מהווה את הבסיס למערכת קלט/פלט בסיסית ברשת (NetBIOS) ולפרוטוקולים רבים נוספים. חתימת SMB מאמתת הן את המשתמש והן את השרת המארח את הנתונים. אם אחד הצדדים נכשל בתהליך האימות, לא תתבצע העברת נתונים.

      הפעלת חתימת SMB מתחילה בשעת המשא-ומתן על פרוטוקול SMB. פריטי המדיניות של חתימת SMB קובעים אם המחשב תמיד יחתום דיגיטלית על תקשורת לקוח.

      פרוטוקול האימות SMB של Windows 2000 תומך באימות הדדי. אימות הדדי סוגר תקיפה מסוג 'אדם בתווך'. פרוטוקול האימות SMB של Windows 2000 תומך גם באימות הודעות. אימות הודעות מסייע במניעת תקיפות של הודעות פעילות. כדי להעניק אימות זה, חתימת SMB מוסיפה חתימה דיגיטלית בכל SMB. גם הלקוח וגם השרת מאמתים את החתימה הדיגיטלית.

      השימוש בחתימת SMB מחייב הפעלת חתימת SMB או דרישה לחתימת SMB הן בלקוח SMB והן בשרת SMB. כאשר חתימת SMB מופעלת בשרת, לקוחות שגם בהם הופעלה חתימת SMB משתמשים בפרוטוקול החתימה על מנות במהלך כל ההפעלות שלאחר מכן. כאשר נדרשת חתימת SMB בשרת, ללקוח אין אפשרות להקים הפעלה אלא אם בלקוח הופעלה או נדרשת חתימת SMB.

      הפעלת חתימה דיגיטלית ברשתות בעלות אבטחה מתקדמת מסייעת במניעת ההתחזות ללקוחות ולשרתים. סוג זה של התחזות ידוע בשם חטיפת הפעלה. תוקף המקבל גישה לאותה רשת כמו הלקוח או השרת משתמש בכלים לחטיפת הפעלה כדי להפריע, לסיים או לגנוב הפעלה מתבצעת. תוקף עלול ליירט מנות SMB לא חתומות ולשנות אותן, לשנות את התעבורה ולאחר מכן להעביר אותן בצורה שעלולה לגרום לשרת לבצע פעולות לא רצויות. לחלופין, התוקף עלול להתחזות כשרת או כלקוח אחרי אימות חוקי ולאחר מכן לקבל גישה לא מורשית לנתונים.

      הפרוטוקול SMB שבו נעשה שימוש עבור שיתוף קבצים ושיתוף הדפסה, במחשבים הפועלים באמצעות Windows 2000 Server,? Windows 2000 Professional,? Windows XP Professional או Windows Server 2003, תומך באימות הדדי. אימות הדדי סוגר תקיפות של חטיפת הפעלה ותומך באימות הודעות. משום כך, הוא מונע תקיפות מסוג 'אדם-בתווך'. חתימת SMB מספקת אימות זה על-ידי הוספת חתימה דיגיטלית בכל SMB. לאחר מכן מאומתת החתימה הן על-ידי הלקוח והן על-ידי השרת.

      הערות
      • אמצעי-נגד חלופי, העשוי לסייע בהגנה על כל תעבורת הרשת, הוא הפעלת חתימות דיגיטליות עם IPSec. קיימים מאיצים מבוססי חומרה, עבור הצפנת IPSec וחתימת IPSec, שניתן להשתמש בהם כדי למזער את ההשפעה על ביצועי המעבד של השרת. מאיצים מעין אלה לא קיימים עבור חתימת SMB.

        לקבלת פרטים נוספים, עיין בפרק Digitally sign server communications (הוסף חתימה דיגיטלית לתקשורת השרת) באתר האינטרנט הבא של Microsoft MSDN:
        http://msdn2.microsoft.com/en-us/library/ms814149.aspx
        (http://msdn2.microsoft.com/en-us/library/ms814149.aspx)
        התצורה של חתימת SMB תוגדר באמצעות 'עורך האובייקטים של מדיניות קבוצתית' מכיוון שלשינוי ערך רישום מקומי אין כל השפעה כאשר קיימת מדיניות תחום של החלפה.
      • במערכות Windows 95,? Windows 98 וכן Windows 98 Second Edition, לקוח שירותי הספריות משתמש בחתימת SMB כשהוא מאמת עם שרתי Windows Server 2003 באמצעות אימות NTLM. עם זאת, לקוחות אלה אינם משתמשים בחתימת SMB כאשר הם מאמתים עם שרתים אלה באמצעות אימות NTLMv2. בנוסף, שרתי Windows 2000 אינם מגיבים לבקשות לחתימת SMB מלקוחות אלה. עיין בסעיף 10: 'אבטחת רשת: רמת אימות של LAN Manager'.
    2. תצורה מסוכנת

      להלן תצורה מסוכנת: השארת ההגדרה לקוח רשת Microsoft: הוסף חתימה דיגיטלית לתקשורת (תמיד) וההגדרה לקוח רשת Microsoft: הוסף חתימה דיגיטלית לתקשורת (אם השרת מאשר) במצב 'לא מוגדר' או מבוטלות. הגדרות אלה מאפשרות למנתב מחדש לשלוח סיסמאות בטקסט גלוי לשרתי SMB שאינם מבית Microsoft ושאינם תומכים בהצפנת סיסמה במהלך האימות.
    3. סיבות להפעלת הגדרה זו

      הפעלת לקוח רשת Microsoft: הוסף חתימה דיגיטלית לתקשורת (תמיד) מחייבת לקוחות לחתום על תעבורת SMB כאשר הם מתקשרים לשרתים שאינם מחייבים חתימת SMB, והופכת את הלקוחות לפגיעים פחות לתקיפות של חטיפת הפעלה.
    4. סיבות לביטול הגדרה זו
      • הפעלת לקוח רשת Microsoft: הוסף חתימה דיגיטלית לתקשורת (תמיד) מונעת מהלקוחות לתקשר עם שרתי יעד שאינם תומכים בחתימת SMB.
      • הגדרת התצורה של המחשבים כך שיתעלמו מכל תקשורת SMB שאינה חתומה מונעת מתוכניות וממערכות הפעלה מגירסאות קודמות אפשרות של התחברות.
    5. שם סמלי:

      RequireSMBSignRdr
    6. נתיב הרישום:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
    7. דוגמאות לבעיות תאימות
      • Windows NT 4.0: לא יהיה באפשרותך לאפס את הערוץ המאובטח של אמון בין תחום של Windows Server 2003 ותחום של Windows NT 4.0 באמצעות NLTEST או NETDOM, ותופיע הודעת השגיאה 'הגישה נדחתה'.
      • Windows XP: העתקת קבצים מלקוחות Windows XP לשרתים מבוססי Windows 2000 ולשרתים מבוססי Windows Server 2003 עשויה לארוך זמן רב יותר.
      • לא יהיה באפשרותך למפות כונן רשת מלקוח כאשר הגדרה זו מופעלת, ותופיע הודעת השגיאה הבאה:
        החשבון אינו מורשה לבצע כניסה מתחנה זו.
    8. דרישות הפעלה מחדש

      הפעל מחדש את המחשב, או הפעל מחדש את השירות Workstation. כדי לעשות זאת, הקלד את הפקודה הבאה בשורת פקודה. הקש על ENTER לאחר הקלדת כל פקודה.
      net stop workstation
      net start workstation
  6. שרת רשת Microsoft: הוסף חתימה דיגיטלית לתקשורת (תמיד)
    1. רקע
      • הפרוטוקול Server Messenger Block? (SMB) הוא פרוטוקול השיתוף במשאבים שבו תומכות מערכות הפעלה רבות מבית Microsoft; הוא מהווה את הבסיס למערכת קלט/פלט בסיסית ברשת (NetBIOS) ולפרוטוקולים רבים נוספים. חתימת SMB מאמתת הן את המשתמש והן את השרת המארח את הנתונים. אם אחד הצדדים נכשל בתהליך האימות, לא תתבצע העברת נתונים.

        הפעלת חתימת SMB מתחילה בשעת המשא-ומתן על פרוטוקול SMB. פריטי המדיניות של חתימת SMB קובעים אם המחשב תמיד יחתום דיגיטלית על תקשורת לקוח.

        פרוטוקול האימות SMB של Windows 2000 תומך באימות הדדי. אימות הדדי סוגר תקיפה מסוג 'אדם בתווך'. פרוטוקול האימות SMB של Windows 2000 תומך גם באימות הודעות. אימות הודעות מסייע במניעת תקיפות של הודעות פעילות. כדי להעניק אימות זה, חתימת SMB מוסיפה חתימה דיגיטלית בכל SMB. גם הלקוח וגם השרת מאמתים את החתימה הדיגיטלית.

        השימוש בחתימת SMB מחייב הפעלת חתימת SMB או דרישה לחתימת SMB הן בלקוח SMB והן בשרת SMB. כאשר חתימת SMB מופעלת בשרת, לקוחות שגם בהם הופעלה חתימת SMB משתמשים בפרוטוקול החתימה על מנות במהלך כל ההפעלות שלאחר מכן. כאשר נדרשת חתימת SMB בשרת, ללקוח אין אפשרות להקים הפעלה אלא אם בלקוח הופעלה או נדרשת חתימת SMB.

        הפעלת חתימה דיגיטלית ברשתות בעלות אבטחה מתקדמת מסייעת במניעת ההתחזות ללקוחות ולשרתים. סוג זה של התחזות ידוע בשם חטיפת הפעלה. תוקף המקבל גישה לאותה רשת כמו הלקוח או השרת משתמש בכלים לחטיפת הפעלה כדי להפריע, לסיים או לגנוב הפעלה מתבצעת. תוקף עלול ליירט מנות Subnet Bandwith Manager? (SBM) לא חתומות ולשנות אותן, לשנות את התעבורה ולאחר מכן להעביר אותן בצורה שעלולה לגרום לשרת לבצע פעולות לא רצויות. לחלופין, התוקף עלול להתחזות כשרת או כלקוח אחרי אימות חוקי ולאחר מכן לקבל גישה לא מורשית לנתונים.

        הפרוטוקול SMB שבו נעשה שימוש עבור שיתוף קבצים ושיתוף הדפסה, במחשבים הפועלים באמצעות Windows 2000 Server,? Windows 2000 Professional,? Windows XP Professional או Windows Server 2003, תומך באימות הדדי. אימות הדדי סוגר תקיפות של חטיפת הפעלה ותומך באימות הודעות. משום כך, הוא מונע תקיפות מסוג 'אדם-בתווך'. חתימת SMB מספקת אימות זה על-ידי הוספת חתימה דיגיטלית בכל SMB. לאחר מכן מאומתת החתימה הן על-ידי הלקוח והן על-ידי השרת.
      • אמצעי-נגד חלופי, העשוי לסייע בהגנה על כל תעבורת הרשת, הוא הפעלת חתימות דיגיטליות עם IPSec. קיימים מאיצים מבוססי חומרה, עבור הצפנת IPSec וחתימת IPSec, שניתן להשתמש בהם כדי למזער את ההשפעה על ביצועי המעבד של השרת. מאיצים מעין אלה לא קיימים עבור חתימת SMB.
      • במערכות Windows 95,? Windows 98 וכן Windows 98 Second Edition, לקוח שירותי הספריות משתמש בחתימת SMB כשהוא מאמת עם שרתי Windows Server 2003 באמצעות אימות NTLM. עם זאת, לקוחות אלה אינם משתמשים בחתימת SMB כאשר הם מאמתים עם שרתים אלה באמצעות אימות NTLMv2. בנוסף, שרתי Windows 2000 אינם מגיבים לבקשות לחתימת SMB מלקוחות אלה. עיין בסעיף 10: 'אבטחת רשת: רמת אימות של LAN Manager'.
    2. תצורה מסוכנת

      להלן תצורה מסוכנת: הפעלת ההגדרה שרת רשת Microsoft: הוסף חתימה דיגיטלית לתקשורת (תמיד) בשרתים ובבקרי תחום הנגישים למחשבי לקוח לא תואמים מבוססי Windows ומבוססי מערכת הפעלה של ספק חיצוני בתחומים מקומיים או חיצוניים.
    3. סיבות להפעלת הגדרה זו
      • כל מחשבי הלקוח המפעילים הגדרה זו ישירות באמצעות הרישום או באמצעות ההגדרה 'מדיניות קבוצתית', תומכים בחתימת SMB. במילים אחרות, בכל מחשבי הלקוח שבהם מופעלת הגדרה זו מותקנת מערכת Windows 95 עם הלקוח 'חתימה דיגיטלית', Windows 98,? Windows NT 4.0,? Windows 2000,? Windows XP Professional או Windows Server 2003.
      • אם ההגדרה שרת רשת Microsoft: הוסף חתימה דיגיטלית לתקשורת (תמיד) מבוטלת, חתימת SMB מבוטלת לחלוטין. ביטול מוחלט של חתימת SMB הופך את המחשבים לפגיעים יותר לתקיפות של חטיפת הפעלה.
    4. סיבות לביטול הגדרה זו
      • הפעלת הגדרה זו עלולה לגרום להאט העתקת קבצים וביצועי רשת במחשבי לקוח.
      • הפעלת הגדרה זו תמנע מלקוחות, שאין באפשרותם לנהל משא-ומתן על חתימת SMB, תקשורת עם שרתים ועם בקרי תחום. דבר זה גורם לכשל בפעולות כגון הצטרפות לתחום, אימות משתמש ואימות מחשב או גישת תוכניות לרשת.
    5. שם סמלי:

      RequireSMBSignServer
    6. נתיב הרישום:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)
    7. דוגמאות לבעיות תאימות
      • Windows 95: לקוחות Windows 95 שבהם לא מותקן הלקוח 'שירותי ספריות' (DS), ייכשלו באימות כניסה ותופיע הודעת השגיאה הבאה:
        The domain password you supplied is not correct, or access to your logon server has been denied (סיסמת התחום שהזנת אינה נכונה, או הגישה לשרת הכניסה נדחתה).
        לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
        811497
        (http://support.microsoft.com/kb/811497/ )
        הודעת שגיאה כאשר לקוח של Windows 95 או של Windows NT 4.0 מבצע כניסה לתחום של Windows Server 2003 (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
      • Windows NT 4.0: מחשבי לקוח הפועלים באמצעות גירסאות של Windows NT 4.0 הקודמות ל-Service Pack 3? (SP3) ייכשלו באימות הכניסה ותופיע הודעת השגיאה הבאה:
        The system could not log you on (למערכת לא היתה אפשרות להכניס אותך). Make sure your username and your domain are correct, then type your password again (ודא כי שם המשתמש והתחום שלך נכונים ולאחר מכן הקלד את הסיסמה שוב).
        שרתי SMB מסוימים שאינם מבית Microsoft תומכים רק בחילופי סיסמאות לא מוצפנות במהלך האימות. (חילופים אלה מוכרים גם בשם 'חילופים בטקסט גלוי'). החל ב-Windows NT 4.0 SP3, המנתב מחדש של SMB אינו שולח לשרת SMB סיסמה לא מוצפנת במהלך האימות אלא אם מוסיפים ערך רישום ספציפי.
        כדי להפעיל סיסמאות לא מוצפנות עבור לקוח SMB ב-Windows NT 4.0 SP 3 ואילך, יש לשנות את הרישום כלהלן: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        שם ערך: EnablePlainTextPassword
        סוג נתונים: REG_DWORD
        נתונים: 1

        לקבלת מידע נוסף על נושאים קשורים, לחץ על מספרי המאמרים שלהלן כדי להציגם מתוך מאגר הידע Microsoft Knowledge Base:
        224287
        (http://support.microsoft.com/kb/224287/ )
        הודעת שגיאה: System error 1240 has occurred (אירעה שגיאת מערכת 1240). The account is not authorized to login from this station (החשבון אינו מורשה לבצע כניסה מתחנה זו). ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית.
        166730
        (http://support.microsoft.com/kb/166730/ )
        סיסמאות לא מוצפנות עלולות לגרום ל-Service Pack 3 להיכשל בהתקשרות לשרתי SMB (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
      • Windows Server 2003: כברירת מחדל, הגדרות האבטחה בבקרי תחום הפועלים באמצעות Windows Server 2003 נקבעות כך שיסייעו במניעת יירוט תקשורת של בקרי תחום, או טיפול בה, על-ידי משתמשים זדוניים. כדי שיהיה באפשרות המשתמשים לנהל תקשורת בהצלחה מול בקר תחום הפועל באמצעות Windows Server 2003, על מחשבי הלקוח להשתמש הן בחתימת SMB והן בהצפנה או בחתימה לתעבורת ערוץ מאובטחת. כברירת מחדל, לקוחות הפועלים באמצעות Windows NT 4.0, ובהם מותקנת המהדורה Service Pack 2? (SP2) או גירסה קודמת, ולקוחות הפועלים באמצעות Windows 95, אינם חייבים בהפעלה של חתימת מנות SMB. משום כך, ייתכן שללקוחות אלה לא תהיה אפשרות לבצע אימות לבקר תחום מבוסס Windows Server 2003.
      • הגדרות מדיניות של Windows 2000 ו-Windows Server 2003: בהתאם לתצורה ולצורכי ההתקנה הספציפיים, אנו ממליצים על קביעת הגדרות המדיניות הבאות ביישות הנמוכה ביותר של הטווח הנחוץ בהירארכיה של יישום ה-snap-in 'עורך המדיניות הקבוצתית' במסוף הניהול Microsoft Management Console:
        • ניהול מחשב/הגדרות Windows/הגדרות אבטחה/אפשרויות אבטחה
        • שלח סיסמה לא מוצפנת כדי להתחבר לשרתי SMB של ספקים חיצוניים (הגדרה זו היא עבור Windows 2000).
        • לקוח רשת Microsoft: שלח סיסמה לא מוצפנת לשרתי SMB של ספקים חיצוניים (הגדרה זו היא עבור Windows Server 2003).

        שים לב בשרתי CIFS מסוימים של ספקים חיצוניים, אין באפשרותך להשתמש בסיסמאות מוצפנות.
      • הלקוחות שלהלן אינם תואמים להגדרה שרת רשת Microsoft: הוסף חתימה דיגיטלית לתקשורת (תמיד):
        • לקוחות Mac OS X של חברת Apple Computer, Inc.
        • לקוחות רשת של Microsoft MS-DOS (לדוגמה, Microsoft LAN Manager)
        • לקוחות Microsoft Windows for Workgroups
        • לקוחות Microsoft Windows 95 שבהם לא מותקן הלקוח 'שירותי ספריות'
        • מחשבים מבוססי Microsoft Windows NT 4.0 שבהם לא מותקנת SP3 או מהדורה מתקדמת יותר
        • לקוחות Novell Netware 6 CIFS
        • לקוחות SAMBA SMB נעדרי תמיכה בחתימת SMB
    8. דרישות הפעלה מחדש

      הפעל מחדש את המחשב, או הפעל מחדש את השירות Server. כדי לעשות זאת, הקלד את הפקודה הבאה בשורת פקודה. הקש על ENTER לאחר הקלדת כל פקודה.
      net stop Server
      net start server
  7. גישה לרשת: אפשר תרגום שם/מזהה אבטחה (SID) אנונימי
    1. רקע

      הגדרת האבטחה גישה לרשת: אפשר תרגום שם/מזהה אבטחה (SID) אנונימי קובעת אם יש באפשרותו של משתמש אנונימי לבקש תכונות של מספר מזהה אבטחה (SID) עבור משתמש אחר.
    2. תצורה מסוכנת

      הפעלת ההגדרה גישה לרשת: אפשר תרגום שם/מזהה אבטחה (SID) אנונימי היא תצורה מסוכנת.
    3. סיבות להפעלת הגדרה זו

      כאשר ההגדרה גישה לרשת: אפשר תרגום שם/מזהה אבטחה (SID) אנונימי מנוטרלת, ייתכן שלא יהיה באפשרותן של מערכות הפעלה או תוכניות ישנות יותר לתקשר עם תחומים של Windows Server 2003. לדוגמה, מערכות ההפעלה, השירותים או היישומים שלהלן עלולים שלא לפעול:
      • שרתים מבוססי Windows NT 4.0 ל-Remote Access Service
      • Microsoft SQL Server הפועלים במחשבים מבוססי Windows NT 3.x או מבוססי Windows NT 4.0
      • Remote Access Service הפועל במחשבים מבוססי Windows 2000 אשר ממוקמים בתחומים של Windows NT 3.x או של Windows NT 4.0
      • SQL Server הפועל במחשבים מבוססי Windows 2000 הנמצאים בתחומים של Windows NT 3.x או של Windows NT 4.0
      • משתמשים בתחום משאבים של Windows NT 4.0 שברצונם להעניק הרשאות גישה לקבצים, לתיקיות משותפות ולאובייקטי רישום לחשבונות משתמשים מתחומי חשבונות הכוללים בקרי תחום של Windows Server 2003
    4. סיבות לביטול הגדרה זו

      אם הגדרה זו מופעלת, משתמש זדוני עלול לעשות שימוש במזהה האבטחה המוכר מאוד Administrators כדי לקבל את השם האמיתי של החשבון המובנה Administrator, גם אם שם החשבון השתנה. לאחר מכן עלול אותו אדם להשתמש בשם החשבון כדי ליזום תקיפה מסוג 'ניחוש-סיסמה'.
    5. שם סמלי: לא רלוונטי
    6. נתיב הרישום: אין. הנתיב מצוין בקוד ממשק משתמש.
    7. דוגמאות לבעיות תאימות

      Windows NT 4.0: מחשבים בתחומי משאבים של Windows NT 4.0 יציגו את הודעת השגיאה 'חשבון לא מוכר' בעורך ACL כאשר המשאבים, ובכלל זה תיקיות משותפות, קבצים משותפים ואובייקטי רישום, מאובטחים עם מנהלי אבטחה הנמצאים בתחומי חשבונות שכוללים בקרי תחום של Windows Server 2003.
  8. גישה לרשת: אל תאפשר ספירה אנונימית של חשבונות SAM
    1. רקע
      • ההגדרה גישה לרשת: אל תאפשר ספירה אנונימית של חשבונות SAM קובעת אילו הרשאות נוספות יוענקו עבור התקשרויות אנונימיות למחשב. Windows מאפשר למשתמשים אנונימיים לבצע פעילויות מסוימות, כגון ספירת השמות של 'מנהל חשבונות האבטחה' (SAM) ושל מיקומים משותפים ברשת. דבר זה נוח, לדוגמה, כאשר מנהל המערכת רוצה להעניק גישה למשתמשים בתחום מהימן שאינו מתחזק אמון הדדי. כברירת מחדל, למשתמש אנונימי ניתנת אותה הגישה המוענקת לקבוצה Everyone עבור משאב ספציפי. בדרך כלל, התקשרויות אנונימיות מתבקשות על-ידי לקוחות גירסה קודמת, או ברמה נמוכה יותר, במהלך ההגדרה של הפעלת SMB. במקרים אלה, מעקב הרשת מראה כי מזהה תהליך SMB ?(PID)? הוא המנתב מחדש של הלקוח, 0xFEFF ב-Windows 2000 או 0xCAFE ב-Windows NT. גם RPC עלול לנסות לבצע התקשרויות אנונימיות.
      • להגדרה זו אין כל השפעה על בקרי תחום.
      • ב-Windows 2000, הגדרה דומה, הגבלות נוספות עבור התקשרויות אנונימיות, מנהלת את
        RestrictAnonymous
        ערך הרישום. מיקומו של ערך זה הוא:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
        לקבלת מידע נוסף על ערך הרישום RestrictAnonymous, לחץ על מספרי המאמרים שלהלן כדי להציגם מתוך מאגר הידע Microsoft Knowledge Base:
        246261
        (http://support.microsoft.com/kb/246261/ )
        כיצד להשתמש בערך הרישום RestrictAnonymous במערכת Windows 2000
        143474
        (http://support.microsoft.com/kb/143474/ )
        הגבלת המידע הזמין למשתמשי כניסה אנונימית (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
    2. תצורות מסוכנות:

      הפעלת ההגדרה גישה לרשת: אל תאפשר ספירה אנונימית של חשבונות SAM מהווה תצורה מסוכנת מנקודת ההשקפה של תאימות; ביטולה מהווה תצורה מסוכנת מנקודת ההשקפה של אבטחה.
    3. סיבות להפעלת הגדרה זו

      משתמש לא מורשה עלול לפרט באופן אנונימי שמות חשבונות ולאחר מכן להשתמש במידע כדי לנסות לנחש סיסמאות או כדי לבצע תקיפות מסוג הנדסה חברתית. הנדסה חברתית הוא מונח שפירושו, בשפה המקצועית, הונאת אנשים כדי שיגלו את סיסמאותיהם או צורה כלשהי של מידע אבטחה.
    4. סיבות לביטול הגדרה זו

      כאשר הגדרה זו מופעלת, אין אפשרות להקים יחסי אמון עם תחומים של Windows NT 4.0. הגדרה זו גם תיצור בעיות עם לקוחות מרמה נמוכה יותר, כגון לקוחות של Windows NT 3.51 ולקוחות של Windows 95 המנסים להשתמש במשאבים בשרת.
    5. שם סמלי: RestrictAnonymousSAM
    6. נתיב הרישום:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)
    7. דוגמאות לבעיות תאימות
    • ל-SMS Network Discovery לא תהיה אפשרות לקבל את פרטי מערכת ההפעלה והוא ירשום 'לא ידוע' במאפיין OperatingSystemNameandVersion.
    • Windows 95,? Windows 98: ללקוחות של Windows 95 ושל Windows 98 לא תהיה אפשרות לשנות את סיסמאותיהם.
    • Windows NT 4.0: למחשבים חברים מבוססי Windows NT 4.0 לא תהיה אפשרות לעבור אימות.
    • Windows 95,? Windows 98: למחשבים מבוססי Windows 95 ומבוססי Windows 98 לא תהיה אפשרות לעבור אימות על-ידי בקרי תחום של Microsoft.
    • Windows 95,? Windows 98: למשתמשים במחשבים מבוססי Windows 95 ומבוססי Windows 98 לא תהיה אפשרות לשנות את הסיסמאות עבור חשבונות המשתמש שלהם.
  9. גישה לרשת: אל תאפשר ספירה אנונימית של חשבונות ושיתופים של SAM
    1. רקע
      • ההגדרה גישה לרשת: אל תאפשר ספירה אנונימית של חשבונות ושיתופים של SAM (המוכרת גם בשם RestrictAnonymous) קובעת אם מותרת ספירה אנונימית של חשבונות ושיתופים של 'מנהל חשבונות האבטחה' (SAM).? Windows מאפשר למשתמשים אנונימיים לבצע פעילויות מסוימות, כגון ספירת השמות של חשבונות תחום (משתמשים, מחשבים וקבוצות) ושל מיקומים משותפים ברשת. דבר זה נוח, לדוגמה, כאשר מנהל המערכת רוצה להעניק גישה למשתמשים בתחום מהימן שאינו מתחזק אמון הדדי. אם אין ברצונך לאפשר ספירה אנונימית של חשבונות ושיתופים של SAM, בטל הגדרה זו.
      • ב-Windows 2000, הגדרה דומה, הגבלות נוספות עבור התקשרויות אנונימיות, מנהלת את
        RestrictAnonymous
        ערך הרישום. מיקומו של ערך זה הוא:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    2. תצורה מסוכנת

      הפעלת ההגדרה גישה לרשת: אל תאפשר ספירה אנונימית של חשבונות ושיתופים של SAM מהווה תצורה מסוכנת.
    3. סיבות להפעלת הגדרה זו
      • הפעלת ההגדרה גישה לרשת: אל תאפשר ספירה אנונימית של חשבונות ושיתופים של SAM מונעת ספירה של חשבונות ושיתופים של SAM על-ידי משתמשים ומחשבים המשתמשים בחשבונות אנונימיים.
    4. סיבות לביטול הגדרה זו
      • כאשר הגדרה זו מופעלת, משתמש לא מורשה עלול למנות באופן אנונימי שמות חשבונות ולאחר מכן להשתמש במידע כדי לנסות לנחש סיסמאות או כדי לבצע תקיפות מסוג הנדסה חברתית. הנדסה חברתית הוא מונח שפירושו, בשפה המקצועית, הונאת אנשים כדי שיגלו את סיסמתם או צורה כלשהי של מידע אבטחה.
      • כאשר הגדרה זו מופעלת, לא תהיה אפשרות להקים יחסי אמון עם תחומים של Windows NT 4.0. הגדרה זו גם תיצור בעיות עם לקוחות מרמה נמוכה יותר, כגון לקוחות של Windows NT 3.51 ושל Windows 95 המנסים להשתמש במשאבים בשרת.
      • לא תהיה אפשרות להעניק גישה למשתמשים בתחומי משאבים מכיוון שלמנהלי מערכת בתחום נותן האמון לא תהיה אפשרות למנות רשימות של חשבונות בתחום האחר. למשתמשים המקבלים גישה לשרתי קבצים והדפסה באופן אנונימי לא תהיה אפשרות למנות את משאבי הרשת המשותפים באותם שרתים; עליהם לעבור אימות בטרם יהיה באפשרותם להציג את הרשימות של התיקיות והמדפסות המשותפות.
    5. שם סמלי:

      RestrictAnonymous
    6. נתיב הרישום:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
    7. דוגמאות לבעיות תאימות
      • Windows NT 4.0: למשתמשים לא תהיה אפשרות לשנות את סיסמאותיהם מתחנות עבודה של Windows NT 4.0 כאשר RestrictAnonymous מופעלת בבקרי תחום בתחום של המשתמשים. לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
        198941
        (http://support.microsoft.com/kb/198941/ )
        למשתמשים אין אפשרות לשנות סיסמה בעת ביצוע כניסה
      • Windows NT 4.0: הוספת משתמשים או קבוצות גלובליות מתחומים מהימנים של Windows 2000 לקבוצות מקומיות של Windows NT 4.0 במנהל המשתמשים תיכשל ותופיע הודעת השגיאה הבאה:
        There are currently no logon servers available to service the logon request (??לא קיימים כעת שרתי כניסה זמינים כדי להעניק שירות לבקשת הכניסה).
        לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
        296405
        (http://support.microsoft.com/kb/296405/ )
        ערך הרישום RestrictAnonymous עלול לנתק את יחסי האמון עם תחום של Windows 2000 (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
      • Windows NT 4.0: למחשבים מבוססי-Windows NT 4.0 לא תהיה אפשרות להצטרף לתחומים במהלך התקנה או באמצעות ממשק המשתמש של הצטרפות לתחום.

        לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
        184538
        (http://support.microsoft.com/kb/184538/ )
        הודעת שגיאה: a controller for this domain could not be found (לא היתה אפשרות למצוא בקר עבור תחום זה). ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית.
      • Windows NT 4.0:? Windows NT 4.0:? הקמת יחסי אמון ברמה נמוכה יותר עם תחומי משאבים של Windows NT 4.0 תיכשל, ותופיע הודעת השגיאה הבאה כאשר RestrictAnonymous מופעלת בתחום המהימן:
        Could not find domain controller for this domain (לא היתה אפשרות למצוא בקר עבור תחום זה).
        לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
        178640
        (http://support.microsoft.com/kb/178640/ )
        לא הייתה אפשרות לאתר בקר תחום בעת הקמת יחסי אמון (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
      • Windows NT 4.0: משתמשים המבצעים כניסה למחשבי 'שרת מסוף' מבוססי Windows NT 4.0 ימפו לברירת המחדל של תיקיית הבסיס במקום לתיקיית הבסיס המוגדרת במנהל המשתמשים עבור תחומים.

        לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
        236185
        (http://support.microsoft.com/kb/236185/ )
        התעלמות מפרופילי משתמשים ומנתיבים של תיקיית הבסיס בשרתי מסוף לאחר התקנת מהדורה SP4 ואילך (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
      • Windows NT 4.0: לבקרי תחום לגיבוי (BDC) של Windows NT 4.0 לא תהיה אפשרות להפעיל את השירות Net Logon, לקבל רשימה של דפדפנים רזרביים או לסנכרן את מסד הנתונים SAM מבקרי תחום של Windows 2000 או של Windows Server 2003 באותו תחום.

        לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
        293127
        (http://support.microsoft.com/kb/293127/ )
        השירות Net Logon של בקר תחום לגיבוי (BDC) של Windows NT 4.0 אינו פועל בתחום של Windows 2000 (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
      • Windows 2000: למחשבים חברים מבוססי Windows 2000 בתחומים של Windows NT 4.0 לא תהיה אפשרות להציג מדפסות בתחומים חיצוניים כאשר ההגדרה אין גישה ללא הרשאות אנונימיות באופן מפורש מופעלת במדיניות האבטחה המקומית של המחשב הלקוח.

        לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
        280329
        (http://support.microsoft.com/kb/280329/ )
        למשתמש אין אפשרות לנהל או להציג מאפייני מדפסת (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
      • Windows 2000: למשתמשים בתחומים של Windows 2000 לא תהיה אפשרות להוסיף מדפסות רשת מ-Active Directory; עם זאת, תהיה להם אפשרות להוסיף מדפסות לאחר בחירתן מתצוגת העץ.

        לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
        318866
        (http://support.microsoft.com/kb/318866/ )
        ללקוחות Outlook אין אפשרות להציג רשימת כתובות גלובלית לאחר התקנה של חבילת אוסף עדכוני אבטחה 1 (SRP1) בשרת קטלוג גלובלי (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
      • Windows 2000: במחשבים מבוססי Windows 2000, לעורך ALC לא תהיה אפשרות להוסיף משתמשים או קבוצות גלובליות מתחומים מהימנים של Windows NT 4.0.

        לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
        296403
        (http://support.microsoft.com/kb/296403/ )
        הערך RestrictAnonymous מנתק את יחסי האמון בסביבה של תחומים מעורבים (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
      • גירסה 2 של ADMT: העברת סיסמאות עבור חשבונות משתמשים המועברים בין יערות עם גירסה 2 של כלי ההעברה Active Directory Migration Tool? (ADMT), תיכשל.

        לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
        322981
        (http://support.microsoft.com/kb/322981/ )
        כיצד להשיג את מהדורת ה-service pack העדכנית ביותר עבור Windows XP
      • לקוחות Outlook: רשימת הכתובות הגלובלית תיראה ריקה ללקוחות Microsoft Exchange Outlook.

        לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
        318866
        (http://support.microsoft.com/kb/318866/ )
        ללקוחות Outlook אין אפשרות להציג רשימת כתובות גלובלית לאחר התקנה של חבילת אוסף עדכוני אבטחה 1 (SRP1) בשרת קטלוג גלובלי (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
        321169
        (http://support.microsoft.com/kb/321169/ )
        ביצועי SMB איטיים בעת העתקת קבצים מ-Windows XP לבקר תחום של Windows 2000 (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
      • SMS: ל-Microsoft Systems Management Server (SMS) Network DiscoveryNetwork Discovery לא תהיה אפשרות לקבל את פרטי מערכת ההפעלה. משום כך, הוא ירשום 'לא ידוע' במאפיין OperatingSystemNameandVersion של המאפיין SMS DDR של רשומת נתוני הגילוי (DDR).

        לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
        229769
        (http://support.microsoft.com/kb/229769/ )
        כיצד קובע 'מנהל נתוני הגילוי' מתי ליצור בקשת תצורה של לקוח (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
      • SMS: בעת שימוש ב'אשף המשתמשים מנהלי מערכת' לעיון במשתמשים ובקבוצות, לא מוצגים משתמשים וקבוצות כלל. בנוסף, ללקוחות מתקדמים אין אפשרות לתקשר עם 'נקודת הניהול'. ב'נקודת הניהול' דרושה גישה אנונימית.

        לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
        302413
        (http://support.microsoft.com/kb/302413/ )
        לא מוצגים משתמשים וקבוצות ב'אשף המשתמשים מנהלי מערכת' (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
      • SMS: בעת שימוש בתכונה 'גילוי רשת', ב-SMS 2.0 וב-Remote Client Installation, כאשר מופעלת אפשרות גילוי הרשת טופולוגיה, לקוח ומערכות הפעלה במחשבי לקוח, ייתכן שיתגלו מחשבים אך לא יותקנו.

        לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
        311257
        (http://support.microsoft.com/kb/311257/ )
        משאבים אינם מתגלים אם התקשרויות אנונימיות מבוטלות (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
  10. אבטחת רשת: רמת אימות של LAN Manager
    1. רקע

      אימות LAN Manager? (LM) הוא הפרוטוקול המשמש לאימות לקוחות Windows עבור פעולות רשת, לרבות הצטרפויות לתחום, קבלת גישה למשאבי רשת ואימות משתמשים או מחשבים. רמת האימות של LM קובעת את פרוטוקול האימות challenge/response שלגביו יתנהל משא-ומתן בין מחשבי הלקוח והשרת. באופן ספציפי, רמת האימות LM קובעת את פרוטוקולי האימות לגביהם ינסה הלקוח לנהל משא-ומתן או שאותם יקבל השרת. הערך המוגדר עבור LmCompatibilityLevel קובע את פרוטוקול האימות challenge/response שישמש לכניסות לרשת. ערך זה משפיע על הרמה של פרוטוקול האימות שבו משתמשים הלקוחות, על הרמה של אבטחת ההפעלה שעליה מתנהל משא-ומתן ועל רמת האימות המתקבלת על-ידי השרתים, בהתאם לטבלה שלהלן.

      להלן הגדרות אפשריות:
      כווץ את הטבלההרחב את הטבלה
      ערךהגדרהתיאור
      0 שלח תגובות LM & NTLM הלקוחות משתמשים באימות LM ו-NTLM ואינם משתמשים אף פעם באבטחה של הפעלת NTLMv2; בקרי תחום מקבלים אימות LM,? NTLM ו-NTLMv2.
      1שלח LM & NTLM - השתמש באבטחה של הפעלת NTLMv2 אם מתנהל משא ומתן על כךהלקוחות משתמשים באימות LM ו-NTLM ומשתמשים באבטחה של הפעלת NTLMv2 כאשר השרת תומך בה; בקרי תחום מקבלים אימות LM,? NTLM ו-NTLMv2.
      2שלח תגובת NTLM בלבדהלקוחות משתמשים באימות NTLM בלבד ומשתמשים באבטחה של הפעלת NTLMv2 כאשר השרת תומך בה; בקרי תחום מקבלים אימות LM,? NTLM ו-NTLMv2.
      3שלח תגובת NTLMv2 בלבדהלקוחות משתמשים באימות NTLMv2 בלבד ומשתמשים באבטחה של הפעלת NTLMv2 כאשר השרת תומך בה; בקרי תחום מקבלים אימות LM,? NTLM ו-NTLMv2.
      4שלח תגובת NTLMv2 בלבד/סרב ל-LMהלקוחות משתמשים באימות NTLMv2 בלבד ומשתמשים באבטחה של הפעלת NTLMv2 כאשר השרת תומך בה. (בקרי תחום מסרבים ל-LM ומקבלים רק אימות NTLM ו-NTLMv2).
      5שלח תגובת NTLMv2 בלבד/סרב ל-LM ו-NTLMהלקוחות משתמשים באימות NTLMv2 בלבד ומשתמשים באבטחה של הפעלת NTLMv2 כאשר השרת תומך בה; בקרי תחום מסרבים ל-LM ו-NTLM (הם מקבלים רק אימות NTLMv2).
      שים לב במערכות Windows 95,? Windows 98 וכן Windows 98 Second Edition, הלקוח 'שירותי ספריות' משתמש בחתימת SMB בעת שהוא מאמת עם שרתי Windows Server 2003 באמצעות אימות NTLM. עם זאת, לקוחות אלה אינם משתמשים בחתימת SMB כאשר הם מאמתים עם שרתים אלה באמצעות אימות NTLMv2. בנוסף, שרתי Windows 2000 אינם מגיבים לבקשות לחתימת SMB מלקוחות אלה.

      בדוק את רמת האימות LM יש לשנות את המדיניות בשרת כדי לאפשר NTLM או להגדיר את תצורת המחשב הלקוח כך שיתמוך ב-NTLMv2.

      כאשר המדיניות במחשב הלקוח, ביעד שעימו ברצונך להתחבר, מוגדרת (5) שליחה בלבד של תשובת NTLM גירסה 2/דחיית LM ו-NTLM, יש להנמיך את ההגדרה באותו מחשב או לקבוע את האבטחה להגדרה זהה לזו שבמחשב המוצא שממנו מתחברים.

      יש למצוא את המיקום הנכון שבו ניתן לשנות את רמת האימות של LAN manager כדי להגדיר את הלקוח ואת השרת באותה רמה. לאחר איתור המדיניות הקובעת את רמת האימות של LAN manager, אם ברצונך להתחבר אל וממחשבים הפועלים באמצעות גירסאות קודמות של Windows, הנמך את הערך לפחות עד (1) שליחת LM ו-NTLM - השתמש בגירסה 2 של NTLM לאבטחת הפעלה, כאשר מתנהל משא-ומתן. אחת ההשפעות של הגדרות שאינן תואמות היא שאם השרת מחייב NTLMv2 (ערך 5), אך הלקוח מוגדר לשימוש ב- LM וב- NTLMv1 בלבד (ערך 0), המשתמש שמנסה לבצע אימות נתקל בכשל בכניסה הכולל סיסמה שגויה שמגדילה את ספירת הסיסמאות השגויות. אם מוגדרת נעילת חשבון, המשתמש עלול להינעל בסופו של דבר.

      לדוגמה, ייתכן שיהיה עליך לעיין בבקר התחום או בפריטי המדיניות של בקר התחום.

      עיון בבקר התחום
      שים לב ייתכן שיהיה עליך לחזור על הנוהל שלהלן בכל בקרי התחום.
      1. לחץ על התחל, הצבע על תוכניות ולחץ על כלי ניהול.
      2. תחת הגדרות אבטחה מקומיות, הרחב את פריטי מדיניות מקומיים.
      3. לחץ על אפשרויות אבטחה.
      4. לחץ פעמיים על אבטחת רשת: רמת אימות של LAN manager ולאחר מכן לחץ על הערך המתאים ברשימה.
      אם 'הגדרה בפועל' זהה ל'הגדרה מקומית', המדיניות השתנתה ברמה זו. אם ההגדרות שונות זו מזו, יש לעיין במדיניות של בקר התחום כדי לברר אם ההגדרה אבטחת רשת: רמת אימות של LAN manager מוגדרת שם. אם היא אינה מוגדרת שם, יש לעיין בפריטי המדיניות של בקר התחום.

      עיון בפריטי המדיניות של בקר התחום
      1. לחץ על התחל, הצבע על תוכניות ולחץ על כלי ניהול.
      2. במדיניות בקר קבוצת מחשבים, הרחב את הגדרות אבטחה ולאחר מכן הרחב את פריטי מדיניות מקומיים.
      3. לחץ על אפשרויות אבטחה.
      4. לחץ פעמיים על אבטחת רשת: רמת אימות של LAN manager ולאחר מכן לחץ על הערך המתאים ברשימה.
      שים לב
      • ייתכן שיהיה עליך גם לעיין בפריטי מדיניות המקושרים ברמת האתר, ברמת התחום או ברמת היחידה הארגונית (OU) כדי לברר היכן יש להגדיר את תצורת רמת האימות של LAN manager.
      • כאשר מחילים הגדרה של 'מדיניות קבוצתית' כברירת המחדל של מדיניות התחום, המדיניות מיושמת בכל המחשבים בתחום.
      • כאשר מחילים הגדרה של 'מדיניות קבוצתית' כברירת המחדל של המדיניות של בקר התחום, המדיניות מיושמת רק בשרתים ביחידה הארגונית של בקר התחום.
      • רעיון טוב הוא להגדיר את 'רמת אימות של LAN manager' ביישות הנמוכה ביותר של הטווח הנחוץ בהירארכיה של יישום המדיניות.
      יש לרענן את המדיניות לאחר ביצוע השינויים. (כאשר השינוי הוא ברמה של הגדרות אבטחה מקומיות, השינוי הוא מיידי. עם זאת, יש להפעיל מחדש את מחשבי הלקוח טרם הבדיקה).

      כברירת מחדל, הגדרות 'מדיניות קבוצתית' מתעדכנות בבקרי תחום בכל חמש דקות. כדי לאכוף את עדכון הגדרות המדיניות ב-Windows 2000 ואילך, יש להשתמש בפקודה gpupdate.

      הפקודה gpupdate /force מעדכנת את הגדרות 'מדיניות מקומית' ואת הגדרות 'מדיניות קבוצתית' המבוססות על שירות הספריות Active Directory, לרבות הגדרות האבטחה. הפקודה מחליפה את האפשרות /refreshpolicy, שאינה בשימוש עוד, עבור הפקודה secedit.

      הפקודה gpupdate משתמשת בתחביר הבא:
      gpupdate [/target:{computer|user}] [/force] [/wait:value] [/logoff] [/boot]?

      יש ליישם את 'אובייקט המדיניות הקבוצתית' (GPO) באמצעות הפקודה gpupdate כדי ליישם מחדש באופן ידני את כל הגדרות המדיניות. לשם כך, הקלד את הפקודה הבאה בשורת הפקודה ולאחר מכן הקש ENTER:
      GPUpdate /Force
      עיין ביומן האירועים של היישום כדי לוודא שהגדרת המדיניות הוחלה בהצלחה.

      ב-Windows XP ו-Windows Server 2003 ניתן להשתמש ביישום ה-snap-in 'ערכת מדיניות מונבעת' (RSOP) כדי לעיין בהגדרה בפועל. לשם כך, לחץ על התחל, לחץ על הפעלה, הקלד rsop.msc ולאחר מכן לחץ על אישור.

      אם הבעיה נמשכת לאחר ביצוע השינויים במדיניות, יש להפעיל מחדש את השרת המבוסס Windows ולאחר מכן לוודא כי הבעיה נפתרה.

      שים לב אם ברשותך מספר בקרי תחום מבוססי Windows 2000, מבוססי Windows Server 2003 או שניהם גם יחד, ייתכן שיהיה עליך לשכפל את ה-Active Directory כדי לוודא כי בקרי התחום הללו עדכנו את השינויים באופן מיידי.

      לחלופין, ההגדרה עשויה להופיע כאילו נקבעה להגדרה הנמוכה ביותר במדיניות האבטחה המקומית. אם ניתן לאכוף את ההגדרה באמצעות מסד נתוני אבטחה, תוכל גם לקבוע את רמת האימות של LAN manager ברישום על-ידי שינוי הערך LmCompatibilityLevel במפתח המשנה הבא של הרישום:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
      Windows Server 2003 כולל הגדרת ברירת מחדל חדשה לשימוש ב-NTLMv2 בלבד. כברירת מחדל, בבקרי תחום מבוססי Windows Server 2003 ומבוססי Windows 2000 Server SP3, מופעלת המדיניות 'שרת רשת Microsoft: הוסף חתימה דיגיטלית לתקשורת (תמיד)'. הגדרה זו מחייבת את שרת SMB לבצע חתימת מנות SMB. ב-Windows Server 2003 בוצעו שינויים מכיוון שבבקרי תחום, בשרתי קבצים, בשרתי תשתית של רשת ובשרתי אינטרנט בארגון כלשהו דרושות הגדרות שונות כדי להגיע לאבטחה מירבית.

      כאשר מעוניינים ליישם את אימות NTLMv2 ברשת, יש לוודא שכל המחשבים בתחום הוגדרו לשימוש ברמת אימות זו. כאשר מיישמים את הרחבות הלקוח Active Directory Client Extensions עבור Windows 95 או Windows 98 וכן Windows NT 4.0, הרחבות הלקוח עושות שימוש בתכונות האימות המתקדמות של NTLMv2. מאחר שמחשבי לקוח הפועלים באמצעות אחת ממערכות ההפעלה שלהלן אינם מושפעים מאובייקטי 'מדיניות קבוצתית' של Windows 2000, ייתכן שיהיה צורך להגדיר באופן ידני את התצורה בלקוחות אלה:
      • Microsoft Windows NT 4.0
      • Microsoft Windows Millennium Edition
      • Microsoft Windows 98
      • Microsoft Windows 95
      שים לב כאשר מפעילים את המדיניות אבטחת רשת: אל תאחסן ערך hash של LAN manager בשינוי הסיסמה הבא, או כאשר מגדירים את מפתח הרישום NoLMHash, אין באפשרותם של מחשבי לקוח מבוססי Windows 95 ומבוססי Windows 98, שבהם לא מותקן הלקוח 'שירותי ספריות', לבצע כניסה לתחום לאחר שינוי הסיסמה.

      מרבית שרתי CIFS, כגון Novell Netware 6, אינם מודעים ל-NTLMv2 ומשתמשים ב-NTLM בלבד. משום כך, רמות גבוהות מרמה 2 אינן מאפשרות קישוריות.

      לקבלת מידע נוסף על הדרך לקבוע באופן ידני את התצורה של רמת אימות של LAN manager, לחץ על מספרי המאמרים שלהלן כדי להציגם מתוך מאגר הידע Microsoft Knowledge Base:
      147706
      (http://support.microsoft.com/kb/147706/ )
      כיצד לבטל אימות LM ב-Windows NT (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
      175641
      (http://support.microsoft.com/kb/175641/ )
      מפתח המשנה LMCompatibilityLevel והשפעותיו (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
      299656
      (http://support.microsoft.com/kb/299656/ )
      כיצד למנוע מ-Windows לאחסן ערך hash של LAN manager של הסיסמה שלך ב-Active Directory ובמסדי נתונים מקומיים של SAM (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
      312630
      (http://support.microsoft.com/kb/312630/ )
      Outlook ממשיך ומבקש אישורי כניסה (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
      לקבלת מידע נוסף על הרמות של אימות LM, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
      239869
      (http://support.microsoft.com/kb/239869/ )
      כיצד להפעיל אימות NTLM 2 (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
    2. תצורות מסוכנות

      התצורות הבאות הן מסוכנות:
      • הגדרות לא מגבילות השולחות סיסמאות בטקסט רגיל ודוחות משא-ומתן על NTLMv2
      • הגדרות מגבילות המונעות מלקוחות או מבקרי תחום לא תואמים מלנהל משא-ומתן על פרוטוקול אימות משותף
      • דרישה לאימות NTLMv2 במחשבים חברים ובבקרי תחום הפועלים באמצעות גירסאות של Windows NT 4.0 הקודמות ל-Service Pack 4 ?(SP4)
      • דרישה לאימות NTLMv2 בלקוחות Windows 95 או בלקוחות Windows 98 שבהם לא מותקן הלקוח 'שירותי ספריות' של Windows.
      • סימון התיבה דרוש אבטחת הפעלה NTLMv2 ביישום ה-snap-in 'עורך המדיניות הקבוצתית' של מסוף הניהול Microsoft Management Console במחשב מבוסס Windows Server 2003 או Windows 2000 Service Pack 3, מצד אחד, והנמכת רמת האימות של LAN manager לערך 0, מצד שני, הן הגדרות הסותרות זו את זו ועלולה להופיע הודעת השגיאה הבאה בקובץ Secpol.msc או בקובץ GPEdit.msc:
        ??ל-Windows אין אפשרות לפתוח את מסד הנתונים של המדיניות המקומית. ??שגיאה לא מוכרת אירעה בעת ניסיון לפתוח את מסד הנתונים.
        לקבלת פרטים נוספים על הכלי 'ניתוח וקביעת תצורה של אבטחה', עיין בקבצי העזרה של Windows 2000 או של Windows Server 2003.

        לקבלת פרטים נוספים על אופן הניתוח של רמות אבטחה ב-Windows 2000 וב-Windows Server 2003, לחץ על מספרי המאמרים שלהלן כדי להציגם מתוך מאגר הידע Microsoft Knowledge Base:
        313203
        (http://support.microsoft.com/kb/313203/ )
        כיצד לנתח אבטחת מערכת ב-Windows 2000 (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
        816580
        (http://support.microsoft.com/kb/816580/ )
        כיצד לנתח אבטחת מערכת ב-Windows Server 2003 (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
    3. סיבות לשינוי הגדרה זו
      • ברצונך להעלות את פרוטוקול האימות המשותף הנמוך ביותר הנתמך על-ידי לקוחות ובקרי תחום בארגון שלך.
      • במקרים שבהם האימות הוא דרישה עסקית, ברצונך לאסור על ניהול משא-ומתן על פרוטוקול LM ופרוטוקול NTLM.
    4. סיבות לביטול הגדרה זו

      דרישות האימות של הלקוח או השרת, או שניהם גם יחד, הועלו עד לנקודה שבה אין אפשרות של אימות בפרוטוקול משותף.
    5. שם סמלי:

      LmCompatibilityLevel
    6. נתיב הרישום:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
    7. דוגמאות לבעיות תאימות
      • Windows Server 2003: כברירת מחדל מופעלת הגדרת NTLMv2 של Windows Server 2003 'שלח תגובות NTLM'. משום כך, מערכת Windows Server 2003 מקבלת את הודעת השגיאה 'הגישה נדחתה' אחרי ההתקנה הראשונית בעת ניסיון להתחבר לאשכול מבוסס Windows NT 4.0 או לשרתים מבוססי LanManager גירסה 2.1, כגון OS/2 Lanserver. בעיה זו מתעוררת גם בעת ניסיון להתחבר מלקוח מגירסה קודמת לשרת מבוסס Windows Server 2003.
      • אתה מתקין את חבילת אוסף עדכוני אבטחה 1? (SRP1). החבילה SRP1 אוכפת את גירסה 2 של NTLM? (NTLMv2). חבילת אוסף זה פורסמה לאחר הפצת המהדורה Windows 2000 Service Pack 2? (SP2). לקבלת מידע נוסף על SRP1, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:

        311401
        (http://support.microsoft.com/kb/311401/ )
        חבילת אוסף עדכוני אבטחה 1 עבור Windows 2000, ינואר 2002 (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
      • לקוחות Microsoft Outlook עשויים להתבקש לספק אישורים על אף שכבר ביצעו כניסה לתחום. כאשר המשתמשים מספקים את אישוריהם, מופיעה הודעת השגיאה הבאה:
        The logon credentials supplied were incorrect. (אישורי הכניסה שסופקו היו לא נכונים). Make sure your username and your domain are correct, then type your password again (ודא כי שם המשתמש והתחום שלך נכונים ולאחר מכן הקלד את הסיסמה שוב).
        עם הפעלת Outlook, ייתכן שתתבקש לספק אישורים גם כאשר ההגדרה 'אבטחת רשת בכניסה' עומדת על 'עבור' או על 'אימות סיסמה'. לאחר הקלדת האישורים הנכונים, עלולה להופיע הודעת השגיאה הבאה:
        The logon credentials supplied were incorrect (אישורי הכניסה שסופקו היו לא נכונים).
        מעקב של צג הרשת עשוי להראות כי הקטלוג הגלובלי הוציא שגיאת קריאה לפרוצדורה מרוחקת (RPC) עם מצב של 0x5. מצב של 0x5 פירושו 'הגישה נדחתה'.
      • Windows 2000: לכידה של 'צג הרשת' עשויה להראות את השגיאות הבאות בהפעלת SMB של NetBIOS בפרוטוקול TCP/IP? (NetBT):
        SMB R Search Directory Dos error, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Invalid user identifier
      • Windows 2000: אם תחום של Windows 2000, ברמה 2 ואילך של NTLMv2, נהנה מיחסי אמון עם תחום של Windows NT 4.0, מחשבים חברים מבוססי Windows 2000 בתחום המשאבים עלולים להיתקל בשגיאות אימות.

        לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
        305379
        (http://support.microsoft.com/kb/305379/ )
        בעיות אימות ב-Windows 2000 עם רמות NTLM 2 של מעל 2 בתחום של Windows NT 4.0 (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
      • Windows 2000 וכן Windows XP: כברירת מחדל, Windows 2000 וכן Windows XP קובעות את הערך 0 עבור אפשרות מדיניות האבטחה המקומית 'רמת אימות של LAN Manager'. הערך 0 פירושו 'שלח תגובות LM ו-NTLM'.

        שים לב אשכולות מבוססי Windows NT 4.0 חייבים לעשות שימוש ב-LM למטרות ניהול מערכת.
      • Windows 2000: אשכולות Windows 2000 אינם מאמתים צומת מצטרף אם שני הצמתים הם חלק מתחום של Windows NT 4.0 Service Pack 6a? (SP6a).

        לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
        305379
        (http://support.microsoft.com/kb/305379/ )
        בעיות אימות ב-Windows 2000 עם רמות NTLM 2 של מעל 2 בתחום של Windows NT 4.0 (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
      • הכלי IIS Lockdown Tool? (HiSecWeb) קובע את הערך 5 עבור LMCompatibilityLevel ואת הערך 2 עבור RestrictAnonymous.
      • Services for Macintosh

        User Authentication Module ?(UAM):המודול Microsoft UAM? (User Authentication Module) מספק שיטה להצפנת הסיסמאות המשמשות לביצוע כניסה לשרתי Windows AFP?? (AppleTalk Filing Protocol). מודול האימות User Authentication Module? (UAM) מבית Apple מספק הצפנה מינימלית או אינו מספק הצפנה כלל. משום כך, ניתן ליירט את הסיסמה ברשת המקומית או ברשת האינטרנט בקלות. אף כי המודול UAM אינו חובה, הוא מספק אימות מוצפן לשרתי Windows 2000 המפעילים את Services For Macintosh. גירסה זו כוללת תמיכה עבור אימות NTLMv2 מוצפן בן 128 סיביות וגירסת הפצה תואמת-MacOS X 10.1.

        כברירת מחדל, שרת Windows Server 2003 עם Services for Macintosh מאפשר אימות Microsoft בלבד.

        לקבלת מידע נוסף, לחץ על מספרי המאמרים שלהלן כדי להציגם מתוך מאגר הידע Microsoft Knowledge Base:
        834498
        (http://support.microsoft.com/kb/834498/ )
        אין באפשרותו של לקוח Macintosh להתחבר ל-Services for Mac ב-Windows Server 2003 (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
        838331
        (http://support.microsoft.com/kb/838331/ )
        אין באפשרותם של משתמשי Mac OS X לפתוח תיקיות משותפות של Macintosh בשרת מבוסס Windows Server 2003 (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
      • Windows Server 2008,? Windows Server 2003,? Windows XP ו- Windows 2000: אם תגדיר את הערך LMCompatibilityLevel ל-?0 או ל-?1 ולאחר מכן תגדיר את הערך NoLMHash ל-?1, ייתכן שהגישה ליישומים ורכיבים תימנע באמצעות NTLM. בעיה זו מתרחשת מאחר שהמחשב מוגדר לאפשר LM אך לא להשתמש בסיסמאות המאוחסנות ב- LM.

        אם תגדיר את הערך NoLMHash ל- 1, עליך להגדיר את הערך של LMCompatibilityLevel ל- 2 ומעלה.
  11. אבטחת רשת: דרישות חתימה עבור לקוח LDAP
    1. רקע

      ההגדרה אבטחת רשת: דרישות חתימה עבור לקוח LDAP קובעת את הרמה של חתימת נתונים המבוקשת בשם לקוחות ששולחים בקשות איגוד (BIND) של Lightweight Directory Access Protocol? (LDAP), כלהלן:
      • ללא: הבקשה LDAP BIND נשלחת עם האפשרויות המפורטות בצד הקורא.
      • נהל משא ומתן על חתימה: כאשר Secure Sockets Layer/Transport Layer Security? (SSL/TLS) לא הופעל, הבקשה BIND של LDAP נשלחת עם אפשרות חתימת הנתונים של LDAP בנוסף לאפשרויות המפורטות בצד הקורא. כאשר SSL/TLS הופעל, הבקשה BIND של LDAP נשלחת עם האפשרויות המפורטות בצד הקורא.
      • דרוש חתימה: דומה לאפשרות נהל משא ומתן על חתימה. עם זאת, כאשר תגובת הביניים saslBindInProgress של שרת LDAP אינה מציינת כי דרושה חתימה על תעבורת LDAP, נאמר לקורא כי הפקודה BIND של LDAP נכשלה.
    2. תצורה מסוכנת

      הפעלת ההגדרה אבטחת רשת: דרישות חתימה עבור לקוח LDAP מהווה תצורה מסוכנת. כאשר מגדירים את השרת לדרוש חתימות LDAP, חובה להגדיר חתימת LDAP גם בלקוח. הימנעות מהגדרת הלקוח להשתמש בחתימות LDAP ימנע תקשורת עם השרת; דבר זה יגרום לכישלון באימות משתמשים, בהגדרות 'מדיניות קבוצתית', בקבצי script של כניסה ובתכונות אחרות.
    3. סיבות לשינוי הגדרה זו

      תעבורת רשת לא חתומה היא פגיעה לתקיפות מסוג 'אדם בתווך' שבהן לוכד פורץ מנות בין לקוח ושרתים, משנה אותן ומעביר אותן לשרת. כאשר דבר זה מתרחש בשרת LDAP, התוקף עלול לגרום לשרת להגיב בהתבסס על שאילתות שגויות מלקוח ה-LDAP. באפשרותך להקטין סיכון זה ברשת ארגונית על-ידי יישום אמצעי אבטחה פיזיים הדוקים כדי לסייע בהגנה על תשתית הרשת. בנוסף, ניתן להקשות מאוד על כל מיני תקיפות מסוג 'אדם-בתווך' על-ידי דרישה לחתימות דיגיטליות בכל מנות הרשת באמצעות כותרות אימות IPSec.
    4. שם סמלי:

      LDAPClientIntegrity
    5. נתיב הרישום:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
  12. יומן אירועים: גודל מרבי של יומן אבטחה
    1. רקע

      הגדרת האבטחה יומן אירועים: גודל מרבי של יומן אבטחה מציינת את הגודל המרבי של יומן אירועי האבטחה. גודלו המרבי של יומן אירועים זה הוא 4? GB. כדי לאתר הגדרה זו, הרחב את הגדרות Windows ולאחר מכן הרחב את הגדרות אבטחה.
    2. תצורות מסוכנות

      התצורות הבאות הן מסוכנות:
      • הגבלת הגודל של יומן האבטחה ושיטת השמירה עבור יומן האבטחה כאשר ההגדרה ביקורת: כבה את המערכת באופן מיידי אם אין אפשרות לבצע רישום של ביקורת אבטחה מופעלת. עיין בסעיף "ביקורת: כבה את המערכת באופן מיידי אם אין אפשרות לבצע רישום של ביקורת אבטחה" במאמר זה כדי לקבל פרטים נוספים.
      • הגבלת הגודל של יומן האבטחה כך שאירועי אבטחה מעניינים מוחלפים.
    3. סיבות להגדלת הגדרה זו

      הדרישות העסקיות ודרישות האבטחה עשויות להכתיב הגדלה של יומן האבטחה כדי שיכלול פרטים נוספים או כדי לשמור יומני אבטחה לתקופת זמן ממושכת יותר.
    4. סיבות להקטנת הגדרה זו

      היומנים של 'מציג האירועים' הם קבצים ממופים. הגודל המרבי של יומן אירועים מוגבל על-ידי שטח הזיכרון הפיזי במחשב המקומי ועל-ידי הזיכרון הווירטואלי הפנוי עבור התהליך של יומן האירועים. הגדלת היומן, מעבר לגודל הזיכרון הווירטואלי הפנוי עבור 'מציג האירועים', אינה מגדילה את מספר האירועים הנשמרים ביומן.
    5. דוגמאות לבעיות תאימות

      Windows 2000: מחשבים הפועלים באמצעות גירסאות של Windows 2000 הקודמות למהדורה Service Pack 4? (SP4) עלולים להפסיק לבצע רישום אירועים ביומן עוד בטרם הגיעו לגודל המצוין בהגדרה גודל יומן מרבי ב'מציג האירועים' כאשר האפשרות אל תחליף אירועים (נקה יומן באופן ידני) מופעלת.

      לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
      312571
      (http://support.microsoft.com/kb/312571/ )
      יומן האירועים מפסיק לבצע רישום לפני שהגיע לגודל המרבי של היומן (ייתכן שקישור זה מפנה לתוכן שחלקו או כולו מופיע באנגלית)
  13. יומן אירועים: שמור יומן אבטחה
    1. רקע

      הגדרת האבטחה יומן אירועים: שמור יומן אבטחה קובעת את שיטת ה'גלישה' עבור יומן האבטחה. כדי לאתר הגדרה זו, הרחב את הגדרות Windows ולאחר מכן הרחב את הגדרות אבטחה.
    2. תצורות מסוכנות

      התצורות הבאות הן מסוכנות:
      • הימנעות משמירת כל אירועי האבטחה הרשומים ביומן טרם החלפתם.
      • קביעת הגדרה קטנה מדי עבור גודל מרבי של יומן אבטחה, כך שאירועי האבטחה מוחלפים.
      • הגבלת הגודל של יומן האבטחה ושיטת השמירה כאשר הגדרת האבטחה ביקורת: כבה את המערכת באופן מיידי אם אין אפשרות לבצע רישום של ביקורת אבטחה מופעלת.
    3. סיבות להפעלת הגדרה זו

      הפעל הגדרה זו רק אם בחרת בשיטת השמירה החלף אירועים לפי ימים. אם תשתמש במערכת תיאום אירועים המתשאלת אירועים, ודא שמספר הימים הוא לפחות פי שלושה מתדירות התשאול. בצע פעולה זו כדי לאפשר כשל של מחזורי תשאול.
  14. גישה לרשת: אפשר להרשאות של Everyone לחול על משתמשים אנונימיים
    1. רקע

      כברירת מחדל, ההגדרה גישה לרשת: אפשר להרשאות של Everyone לחול על משתמשים אנונימיים נקבעת לערך לא זמינה במערכת Windows Server 2003. כברירת מחדל, מערכת Windows Server 2003 אינה כוללת את אסימון 'גישה אנונימית' בקבוצה Everyone.
    2. דוגמה לבעיות תאימות

      הערך הבא
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
      ?[REG_DWORD]=0x0 מנתק יצירת יחסי אמון בין Windows Server 2003 ל-Windows NT 4.0, כאשר התחום של Windows Server 2003 הוא תחום החשבונות והתחום של Windows NT 4.0 הוא תחום המשאבים. פירוש הדבר כי תחום החשבונות מהימן ב-Windows NT 4.0 וכי תחום המשאבים נותן אמון בצד של Windows Server 2003. אופן פעולה זה מתרחש מכיוון שהתהליך של התחלת האמון, לאחר החיבור האנונימי ההתחלתי, מקבל פעולת ACL עם האסימון Everyone הכולל את מזהה האבטחה (SID) האנונימי ב-Windows NT 4.0.
    3. סיבות לשינוי הגדרה זו

      יש לקבוע את הערך ל-?0x1, או לקבוע אותו באמצעות אובייקט של מדיניות קבוצתית (GPO) ביחידה הארגונית של בקר התחום כך שיהיה: גישה לרשת: אפשר להרשאות של Everyone לחול על משתמשים אנונימיים - מופעל כדי לאפשר את יצירות יחסי האמון.

      שים לב מרבית הגדרות האבטחה האחרות עולות בערכן במקום לרדת ל-?0x0 במצב המוגן ביותר שלהן. נוהג בטוח יותר יהיה לשנות את הרישום באמולטור של בקר התחום העיקרי במקום לעשות זאת בכל בקרי התחום. כאשר תפקיד האמולטור של בקר התחום העיקרי מוסר מסיבה כלשהי, יש לעדכן את הרישום בשרת החדש.

      לאחר הגדרת ערך זה יש לבצע הפעלה מחדש.
    4. נתיב הרישום
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
  15. אימות NTLMv2

    אבטחת הפעלה

    אבטחת הפעלה קובעת את תקני האבטחה המינימליים עבור הפעלות שרת ולקוח. פעולה נכונה היא לבדוק את הגדרות מדיניות האבטחה הבאות ביישום ה-snap-in 'עורך מדיניות קבוצתית' ב-Microsoft Management Console:
    • הגדרות מחשב/הגדרות Windows/הגדרות אבטחה/פריטי מדיניות מקומיים/אפשרויות אבטחה
    • אבטחת רשת: אבטחת הפעלה מינימלית עבור שרתי NTLM מבוססי SSP (כולל RPC מאובטח)
    • אבטחת רשת: אבטחת הפעלה מינימלית עבור לקוחות NTLM מבוססי SSP (כולל RPC מאובטח)
    האפשרויות עבור הגדרות אלה הן:
    • דרוש שלמות הודעות
    • דרוש סודיות הודעות
    • דרוש אבטחה של הפעלת NTLMv2
    • דרוש הצפנה של 128 סיביות
    הגדרת ברירת המחדל היא ללא דרישות.

    פריטי מדיניות אלה קובעים את תקני האבטחה המינימליים להפעלת תקשורת יישום-ליישום בשרת עבור לקוח.

    באופן היסטורי, מערכת Windows NT תמכה בשתי הגירסאות של אימות challenge/response עבור כניסות לרשת:
    • challenge/response של LM
    • challenge/response של NTLM גירסה 1
    LM מאפשר פעולה הדדית עם בסיס הלקוחות והשרתים המותקן. NTLM נותן אבטחה משופרת עבור התקשרויות בין לקוחות ושרתים.

    מפתחות הרישום המתאימים הם כלהלן:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

סנכרון שעון

סנכרון השעון נכשל. השעון כבוי יותר מ-30 דקות במחשב מושפע. יש לוודא כי השעון במחשב הלקוח מסונכרן מול השעון של בקר התחום.

שיטה לעקיפת חתימת SMB

אנו ממליצים להתקין את המהדורה Service Pack 6a? (SP6a) בלקוחות Windows NT 4.0 הפועלים באופן הדדי בתחום של Windows Server 2003. לקוחות מבוססי Windows 98 Second Edition,? Windows 98 וכן Windows 95 חייבים להפעיל את הלקוח 'שירותי ספריות' כדי לבצע אימות NTLMv2. אם ללקוחות מבוססי Windows NT 4.0 אין התקנה של Windows NT 4.0 SP6 או אם ללקוחות מבוססי Windows 95,? Windows 98, ו-Windows 98SE אין התקנה של 'לקוח שירותי ספריות', השבת את חתימת SMB בברירת מחדל של הגדרת המדיניות של בקר התחום, ביחידה הארגונית שלו, ולאחר מכן לקשר מדיניות זו לכל היחידות הארגוניות המארחות בקרי תחום.

הלקוח 'שירותי ספריות' עבור Windows 98 Second Edition,? Windows 98 וכן Windows 95 יבצע חתימת SMB עם שרתי Windows 2003 תחת אימות NTLM, אך לא תחת אימות NTLMv2. בנוסף, שרתי Windows 2000 לא יגיבו לבקשות לחתימת SMB מלקוחות אלה.

על אף ש-Microsoft אינה ממליצה על כך, ניתן למנוע את הדרישה לחתימת SMB בכל בקרי התחום הפועלים באמצעות Windows Server 2003 בתחום. כדי לקבוע את התצורה של הגדרת אבטחה זו, בצע את הפעולות הבאות:
  1. פתח את המדיניות בבקר התחום של ברירת המחדל.
  2. פתח את התיקייה תצורת מחשב/הגדרות Windows/הגדרות אבטחה/פריטי מדיניות מקומיים/אפשרויות אבטחה.
  3. אתר את הגדרת המדיניות שרת רשת Microsoft: הוסף חתימה דיגיטלית לתקשורת (תמיד), לחץ עליה ולאחר מכן לחץ על לא זמינה.
חשוב הסעיף, השיטה או המשימה במאמר זה מכילים פעולות המציינות כיצד לשנות את הרישום. עם זאת, אם תשנה את הרישום באופן שגוי עלולות להתרחש בעיות חמורות. לכן הקפד לבצע פעולות אלה בזהירות. לקבלת הגנה נוספת, בצע גיבוי של הרישום לפני שתבצע בו שינויים. לאחר מכן, אם תתרחש בעיה, תוכל לשחזר את הרישום. למידע נוסף על אופן הגיבוי והשחזור של הרישום, לחץ על מספר המאמר הבא כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
322756
(http://support.microsoft.com/kb/322756/ )
כיצד לגבות ולשחזר את הרישום ב- Windows
לחלופין, הפסק חתימת SMB בשרת על-ידי שינוי הרישום. לשם כך, בצע את הפעולות הבאות:
  1. לחץ על התחל, לחץ על הפעלה, הקלד regedit ולאחר מכן לחץ על אישור.
  2. אתר את מפתח המשנה הבא ולחץ עליו:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters
  3. לחץ על הערך enablesecuritysignature.
  4. בתפריט עריכה, לחץ על שינוי.
  5. בתיבה נתוני ערך, הקלד 0 ולאחר מכן לחץ על אישור.
  6. צא מעורך הרישום.
  7. הפעל מחדש את המחשב, או הפסק את השירות Server ולאחר מכן הפעל אותו מחדש. לשם כך, הקלד את הפקודות הבאות בשורת פקודה, והקש על ENTER אחרי כל פקודה:
    net stop server
    net start server
שים לב המפתח המאים במחשב הלקוח נמצא במפתח המשנה הבא של הרישום:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters
להלן רשימה של מספרי קוד שגיאה מתורגמים לקודי מצב ולטקסט של הודעות השגיאה המילוליות המוזכרות לעיל:
שגיאה 5
ERROR_ACCESS_DENIED
Access is denied (הגישה נדחתה).
שגיאה 1326
ERROR_LOGON_FAILURE
Logon failure (כשל בכניסה): unknown user name or bad password (שם משתמש לא ידוע או סיסמה שגויה).
שגיאה 1788
ERROR_TRUSTED_DOMAIN_FAILURE
The trust relationship between the primary domain and the trusted domain failed. (??יחסי האמון בין התחום הראשי לתחום המהימן נכשלו).
שגיאה 1789
ERROR_TRUSTED_RELATIONSHIP_FAILURE
The trust relationship between this workstation and the primary domain failed. (יחסי האמון בין תחנת עבודה זו לתחום הראשי נכשלו).
לקבלת מידע נוסף, לחץ על מספרי המאמרים שלהלן כדי להציגם מתוך מאגר הידע Microsoft Knowledge Base:
324802
(http://support.microsoft.com/kb/324802/ )
כיצד לקבוע תצורה של פריטי 'מדיניות קבוצתית' להגדרת אבטחה עבור שירותי מערכת ב-Windows Server 2003 (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
306771
(http://support.microsoft.com/kb/306771/ )
הודעת השגיאה Access denied (הגישה נדחתה) מופיעה לאחר הגדרת התצורה באשכול Windows Server 2003 (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
101747
(http://support.microsoft.com/kb/101747/ )
כיצד להתקין אימות Microsoft במחשב Macintosh (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
161372
(http://support.microsoft.com/kb/161372/ )
כיצד להפעיל חתימת SMB ב-Windows NT (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
236414
(http://support.microsoft.com/kb/236414/ )
אין אפשרות להשתמש במיקומים משותפים כאשר LMCompatibilityLevel מוגדר לערך 'אימות NTLM 2 בלבד' (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
241338
(http://support.microsoft.com/kb/241338/ )
לקוח של LAN Manager גירסה 3 ב-Windows NT עם כניסה ראשונה, מונע פעילות כניסה לאחר מכן (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
262890
(http://support.microsoft.com/kb/262890/ )
אין אפשרות לקבל חיבור לספריית הבסיס של כונן בסביבה מעורבת (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
308580
(http://support.microsoft.com/kb/308580/ )
מיפוי ספריית הבסיס לשרתים ברמה נמוכה יותר עלול שלא לפעול במהלך כניסה (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
285901
(http://support.microsoft.com/kb/285901/ )
ללקוחות 'גישה מרחוק', VPN וכן RIS אין אפשרות להקים הפעלות עם שרת המוגדר לקבל אימות NTLM גירסה 2 בלבד (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
816585
(http://support.microsoft.com/kb/816585/ )
כיצד להחיל תבניות אבטחה מוגדרות מראש ב-Windows Server 2003 (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
820281
(http://support.microsoft.com/kb/820281/ )
יש לספק אישורי חשבון Windows בשעת התקשרות ל-Exchange Server 2003 באמצעות התכונה של Outlook 2003 'קריאות לפרוצדורות מרוחקות (RPC) בפרוטוקול HTTP' (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
לראש הדף | ספק משוב

מאפיינים

מספר מאמר: 823659 - סקירה אחרונה: יום חמישי 12 מאי 2011 - עדכון: 18.0
המידע במאמר זה חל על:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows 95
מילות מפתח 
kbinfo KB823659
לראש הדף | ספק משוב

ספק משוב

 
לראש הדףלראש הדף