Tips SistemThis article applies to a different operating system than the one you are using. Article content that may not be relevant to you is disabled.
Artikel ini menjelaskan tidak kompatibel yang mungkin terjadi pada
komputer klien yang sedang menjalankan Microsoft Windows 95, Microsoft Windows 98,
Microsoft Windows NT 4.0, Microsoft Windows 2000, Microsoft Windows XP
Profesional, atau Microsoft Windows Server 2003 ketika Anda mengubah tertentu
pengguna pengaturan keamanan dan penetapan di domain Windows NT 4.0, hak di
Domain Windows 2000, dan di domain Windows Server 2003.
Dengan konfigurasi ini
pengaturan dan tugas-tugas dalam kebijakan lokal dan di kebijakan grup, Anda dapat membantu
memperketat keamanan pada pengontrol domain dan pada komputer anggota. The
kelemahan dari peningkatan keamanan adalah pengenalan tidak kompatibel dengan
klien, dengan layanan, dan program.
Untuk meningkatkan kesadaran
pengaturan keamanan misconfigured, menggunakan alat objek kebijakan grup Editor untuk
mengubah pengaturan keamanan. Ketika Anda menggunakan Peninjau Suntingan Kebijakan Grup objek, hak-hak pengguna
tugas ditingkatkan pada sistem operasi berikut:
Microsoft Windows XP Professional Paket Layanan 2
(SP2)
Microsoft Windows Server 2003 Paket Layanan 1
(SP1)
Peningkatan termasuk kotak dialog yang berisi link
ini artikel yang muncul di setiap kali Anda mengubah pengaturan keamanan atau pengguna
hak tugas ke pengaturan yang menawarkan kompatibilitas kurang dan lebih
ketat. Jika Anda secara langsung memodifikasi hak yang sama keamanan pengaturan atau pengguna
tugas dengan menggunakan registri atau dengan menggunakan template keamanan, efek adalah
sama dengan memodifikasi pengaturan di kebijakan grup objek Editor; Namun,
kotak dialog yang berisi link ke artikel ini tidak muncul.
Artikel ini berisi contoh klien,
program, dan operasi yang dipengaruhi oleh pengaturan keamanan tertentu atau
penetapan hak pengguna. Namun, contoh tidak berwibawa untuk semua
Sistem operasi Microsoft, untuk semua sistem operasi pihak ketiga, atau untuk semua
Versi program yang terpengaruh. Tidak semua pengaturan keamanan dan hak-hak pengguna
tugas yang disertakan dalam artikel ini.
Microsoft menyarankan Anda
Anda memvalidasi kompatibilitas semua perubahan konfigurasi yang terkait dengan keamanan
hutan tes sebelum Anda memperkenalkan mereka dalam lingkungan produksi. Tes
hutan harus mencerminkan hutan produksi dengan cara berikut:
Versi sistem operasi klien dan server, klien dan
Program server, versi paket layanan, perbaikan terbaru, skema perubahan, keamanan
grup, grup, hak akses pada objek dalam sistem file, berbagi
folder, registri, layanan direktori Active Directory lokal dan kelompok
Pengaturan kebijakan, dan menghitung jenis objek dan lokasi
Tugas-tugas administratif yang dilakukan, administrasi
alat yang digunakan, dan sistem operasi yang digunakan untuk melakukan
tugas-tugas administrasi
Operasi yang dilakukan, termasuk komputer dan pengguna
logon otentikasi; me-reset sandi oleh pengguna, oleh komputer, dan oleh
administrator; browsing; menetapkan izin sistem berkas, untuk berbagi
folder, registri, dan sumber daya direktori aktif dengan menggunakan ACL
Editor di semua sistem operasi klien di semua account atau sumber daya domain dari
semua sistem operasi klien dari semua account atau sumber daya domain; Percetakan
dari account administratif dan non-administratif
Untuk membantu membuat pelanggan menyadari bahwa mereka mengedit hak pengguna atau keamanan pilihan yang dapat merugikan mempengaruhi pada jaringan mereka, dua peringatan mekanisme telah ditambahkan ke gpedit.msc. Ketika administrator mengedit hak pengguna yang dapat berdampak negatif pada seluruh perusahaan, mereka akan melihat baru ikon yang terlihat seperti tanda hasil. Mereka juga akan menerima pesan peringatan yang memiliki link ke artikel Basis Pengetahuan Microsoft 823659. Teks pesan ini adalah sebagai berikut:
Memodifikasi pengaturan ini dapat mempengaruhi kompatibilitas dengan klien, layanan dan aplikasi. Untuk informasi lebih lanjut lihat <user right="" or="" security="" option="" being="" modified="">(Q823659)</user>
Jika Anda telah diarahkan ke KB ini dari sebuah link dalam GPEDIT.MSC pastikan bahwa Anda membaca dan memahami penjelasan yang diberikan dan efek mungkin memodifikasi pengaturan ini. Berikut ini adalah daftar hak-hak pengguna yang berisi teks peringatan baru:
Mengakses komputer ini dari jaringan
Logon secara lokal
Bypass melintasi memeriksa
Mengaktifkan komputer dan pengguna untuk delegasi terpercaya
Berikut ini adalah daftar opsi keamanan yang memiliki peringatan dan popup:
Anggota domain: Mengenkripsi atau menandatangani saluran aman data (selalu)
Anggota domain: Memerlukan kuat (Windows 2000 atau sesudahnya) sesi kunci
Kontroler domain: LDAP server penandatanganan persyaratan
Server jaringan Microsoft: sign secara digital (selalu) komunikasi
Akses jaringan: Memungkinkan anonim Sid / nama terjemahan
Akses jaringan: Tidak mengizinkan anonim enumerasi Sam account dan saham
Keamanan jaringan: LAN Manager otentikasi tingkat
Audit: Menutup sistem segera jika tidak dapat log audit keamanan
Bagian berikut menjelaskan tidak kompatibel yang mungkin
terjadi ketika Anda mengubah pengaturan khusus di domain Windows NT 4.0, Windows 2000
domain, dan dalam domain Windows Server 2003.
Kemampuan untuk berinteraksi dengan Windows komputer
memerlukan Mengakses komputer ini dari jaringan pengguna benar. Contohnya seperti operasi jaringan
replikasi Active Directory antara kontroler domain pada sebuah domain umum
atau hutan, permintaan otentikasi untuk pengontrol domain dari pengguna dan dari
komputer, dan akses ke folder bersama, printer, dan sistem lain
layanan yang terletak di komputer lain pada jaringan.
Pengguna,
komputer, dan account layanan mendapatkan atau kehilangan Mengakses komputer ini dari jaringan pengguna benar dengan secara eksplisit atau secara implisit ditambahkan atau dihapus
dari grup keamanan yang telah diberikan hak pengguna ini. Sebagai contoh,
account pengguna atau account komputer secara eksplisit dapat ditambahkan ke custom atau
built-in keamanan kelompok oleh administrator atau mungkin secara implisit ditambahkan oleh
sistem operasi untuk grup keamanan dihitung seperti Domain pengguna,
Dikonfirmasi pengguna, atau kontroler Domain Enterprise.
Secara default,
account pengguna dan komputer account yang diberikan Mengakses komputer ini dari jaringan kelompok-kelompok pengguna yang tepat ketika dihitung seperti seperti orang atau lebih baik,
Dikonfirmasi pengguna dan untuk pengontrol domain, Enterprise Domain
Kontroler group, telah didefinisikan di pengontrol domain default kelompok
Objek kebijakan (GPO).
Konfigurasi berisiko
Berikut ini adalah pengaturan konfigurasi berbahaya:
Menghapus pengontrol Domain perusahaan keamanan
kelompok dari pengguna ini benar
Menghapus grup dikonfirmasi pengguna atau
grup eksplisit yang memungkinkan pengguna, komputer, dan layanan account pengguna
hak untuk menyambung ke komputer melalui jaringan
Menghapus semua pengguna dan komputer dari pengguna ini
kanan
Alasan untuk memberikan hak pengguna ini
Pemberian kelompok pengontrol Domain Enterprise
The Mengakses komputer ini dari jaringan pengguna tepat memenuhi persyaratan otentikasi yang aktif
Direktori replikasi harus memiliki untuk replikasi terjadi antara domain
controller di hutan yang sama.
Pengguna ini benar memungkinkan pengguna dan komputer
akses berbagi file, printer, dan layanan sistem, termasuk aktif
Direktori.
Hak pengguna ini diperlukan untuk pengguna untuk mengakses
mail dengan menggunakan versi awal Microsoft Outlook Web Access (OWA).
Alasan untuk menghapus hak pengguna ini
Pengguna yang dapat menghubungkan komputer mereka untuk
jaringan dapat mengakses sumber pada komputer lain bahwa mereka memiliki izin
untuk. Sebagai contoh, pengguna ini tepat diperlukan bagi pengguna untuk terhubung ke bersama
printer dan ke folder. Jika pengguna ini tepat diberikan kepada semua orang grup,
dan jika beberapa folder bersama memiliki saham dan NTFS file sistem permissions
dikonfigurasi sehingga kelompok yang sama telah membaca akses, siapa pun dapat melihat file dalam
mereka berbagi folder. Namun, ini adalah situasi yang tidak mungkin untuk segar
instalasi Windows Server 2003 karena default berbagi dan NTFS
izin di Windows Server 2003 tidak termasuk kelompok orang. Untuk
sistem yang upgrade dari Microsoft Windows NT 4.0 atau Windows 2000, ini
kerentanan mungkin memiliki tingkat yang lebih tinggi dari risiko karena default berbagi dan
izin sistem berkas untuk sistem operasi ini tidak sebagai ketat sebagai
izin default di Windows Server 2003.
Tidak ada alasan valid untuk menghapus Enterprise
Kontroler domain group dari pengguna ini benar.
Kelompok orang umumnya dihapus demi
grup pengguna yang dikonfirmasi. Jika setiap orang kelompok dihapus,
Dikonfirmasi pengguna kelompok harus diberikan hak pengguna ini.
Domain Windows NT 4.0 yang ditingkatkan untuk Windows
2000 tidak secara eksplisit memberikan semua orang, dikonfirmasi pengguna, atau
Kontroler Domain perusahaan grup Mengakses komputer ini dari jaringan pengguna benar. Oleh karena itu, ketika Anda menghapus semua kelompok dari
Windows NT 4.0 domain kebijakan, Active Directory replikasi akan gagal dengan
"Access Denied" pesan galat setelah Anda meng-upgrade ke Windows 2000. Winnt32.exe di
Windows Server 2003 menghindari misconfiguration ini dengan memberikan perusahaan
Kontroler domain kelompok hak pengguna ini saat Anda meng-upgrade Windows NT 4.0
kontroler domain utama (PDCs). Memberikan pengontrol Domain Enterprise
kelompok pengguna ini benar jika tidak hadir dalam objek kebijakan grup
Editor.
Contoh masalah kompatibilitas
Windows 2000 dan Windows Server 2003: Replikasi skema direktori aktif, konfigurasi, dari
Domain, katalog global, atau aplikasi partisi akan gagal dengan "akses
Ditolak"kesalahan seperti yang dilaporkan oleh alat seperti REPLMON dan REPADMIN monitor atau
replikasi peristiwa di log peristiwa.
Semua jaringan sistem operasi Microsoft: Pengguna Account otentikasi dari komputer klien jaringan jauh
akan gagal kecuali pengguna atau grup keamanan yang pengguna adalah anggota
telah diberikan hak pengguna ini.
Semua jaringan sistem operasi Microsoft: Account otentikasi dari klien jaringan jauh akan gagal
kecuali account atau grup keamanan account adalah anggota telah
diberikan hak pengguna ini. Skenario ini berlaku untuk account pengguna, komputer
account, dan untuk account layanan.
Semua jaringan sistem operasi Microsoft: Menghapus semua account dari pengguna ini benar akan mencegah
account dari log on ke domain atau mengakses sumber jaringan. Jika
dihitung kelompok-kelompok seperti Enterprise pengontrol Domain, semua orang, atau
Dikonfirmasi pengguna dihapus, Anda harus secara eksplisit memberikan hak pengguna ini untuk
account atau keamanan kelompok yang account adalah anggota untuk akses remote
komputer melalui jaringan. Skenario ini berlaku untuk semua akun pengguna, untuk semua
komputer account, dan untuk semua account layanan.
Semua jaringan sistem operasi Microsoft: Account administrator lokal menggunakan password "kosong". Konektivitas jaringan dengan sandi kosong tidak diizinkan untuk account administrator di lingkungan domain. Dengan konfigurasi ini, Anda dapat mengharapkan untuk menerima pesan galat "Akses ditolak".
Memungkinkan log pada lokal
Latar belakang
Pengguna yang mencoba untuk logon pada konsol
Microsoft Windows berbasis komputer (dengan menggunakan CTRL + ALT + DELETE logon kunci
urutan) dan account yang mencoba untuk memulai layanan harus logon lokal
hak istimewa pada komputer hosting. Contohnya lokal logon operasi
administrator yang log on ke konsol komputer anggota, atau
kontroler domain di seluruh perusahaan dan domain pengguna yang log
ke komputer anggota untuk mengakses desktop mereka dengan menggunakan non-istimewa
account. Pengguna yang menggunakan sambungan Desktop jauh atau layanan Terminal harus
memiliki Memungkinkan log pada lokal pengguna tepat di tujuan komputer yang menjalankan Windows 2000
atau Windows XP
karena ini masuk mode dianggap lokal untuk komputer hosting. Pengguna
yang log on ke server yang memiliki Server Terminal aktif dan yang tidak
memiliki pengguna ini benar dapat awal masih a remote sesi interaktif di Windows
Domain Server 2003 jika mereka memiliki Memungkinkan logon melalui Layanan Terminal pengguna benar.
Konfigurasi berisiko
Berikut ini adalah pengaturan konfigurasi berbahaya:
Menghapus grup keamanan administratif, termasuk
Rekening operator, operator cadangan, cetak operator atau Server operator, dan
grup Administrators built-in dari kontroler domain default
kebijakan.
Menghapus account layanan yang digunakan oleh
komponen dan program pada komputer anggota dan pengontrol domain di
domain dari kebijakan kontroler domain default.
Menghapus pengguna atau grup keamanan yang logon ke
konsol komputer anggota domain.
Menghapus account layanan yang ditentukan di
database manajer account keamanan (SAM) lokal dari komputer anggota atau
workgroup komputer.
Menghilangkan non-dibangun-di Administrasi account yang
otentikasi atas Layanan Terminal yang berjalan pada domain
controller.
Menambahkan semua account pengguna di domain secara eksplisit
atau secara implisit melalui semua grup Menyangkal logon secara lokal logon benar. Konfigurasi ini akan mencegah pengguna dari penebangan
pada komputer anggota atau pengontrol domain apapun di domain.
Alasan untuk memberikan hak pengguna ini
Pengguna harus memiliki Memungkinkan log pada lokal hak pengguna untuk mengakses konsol atau desktop kelompok kerja
komputer, komputer anggota atau pengontrol domain.
Pengguna harus memiliki hak pengguna ini untuk login di atas
Sesi layanan terminal yang berjalan di jendela berbasis 2000
komputer anggota atau pengontrol domain.
Alasan untuk menghapus hak pengguna ini
Kegagalan untuk membatasi akses konsol sah
account pengguna dapat mengakibatkan tidak sah pengguna men-download dan mengeksekusi
kode berbahaya untuk mengubah hak-hak pengguna mereka.
Penghapusan Memungkinkan log pada lokal pengguna benar mencegah tidak sah login di konsol dari
komputer, seperti kontroler domain atau server aplikasi.
Penghapusan hak logon ini mencegah non-domain
account dari logon pada konsol komputer anggota di
domain.
Contoh masalah kompatibilitas
Windows 2000 Server terminal: The Memungkinkan log pada lokal pengguna yang tepat diperlukan untuk pengguna logon ke Windows 2000
Server Terminal.
Windows NT 4.0, Windows 2000, Windows XP, atau Windows Server 2003: Account pengguna harus diberikan hak ini pengguna logon pada
konsol komputer yang menjalankan Windows NT 4.0, Windows 2000, Windows XP,
atau Windows Server 2003.
Windows NT 4.0 dan kemudian: Pada komputer yang menjalankan Windows NT 4.0 dan kemudian, jika Anda
Tambahkan Memungkinkan log pada lokal hak pengguna, tetapi Anda secara implisit atau secara eksplisit juga memberikan Menyangkal logon secara lokal logon benar, account tidak akan bisa login ke
konsol dari kontroler domain.
Bypass melintasi memeriksa
Latar belakang
The Bypass melintasi memeriksa pengguna benar memungkinkan pengguna untuk menelusuri folder dalam NTFS
sistem file atau dalam registri tanpa memeriksa untuk Melintasi Folder akses khusus izin. The Bypass melintasi memeriksa pengguna benar tidak memungkinkan pengguna untuk daftar isi
Map; Hal ini memungkinkan pengguna untuk melintasi folder yang hanya.
Konfigurasi berisiko
Berikut ini adalah pengaturan konfigurasi berbahaya:
Menghapus account non-administratif yang masuk
untuk komputer berbasis Windows 2000 atau Windows Server 2003 berbasis layanan Terminal
yang tidak memiliki izin untuk mengakses file dan folder dalam file
sistem.
Menghapus semua kelompok dari daftar
Keamanan pelaku yang, secara default, pengguna ini benar. Windows
sistem operasi, dan juga banyak program, telah dirancang dengan
harapan bahwa siapa pun yang sah dapat mengakses komputer akan memiliki Bypass melintasi memeriksa pengguna benar. Oleh karena itu, menghapus semua kelompok dari daftar
dari keamanan pelaku yang, secara default, pengguna ini benar bisa mengakibatkan
ketidakstabilan sistem operasi atau program kegagalan. Lebih baik yang Anda meninggalkan
pengaturan ini pada nilai.
Alasan untuk memberikan hak pengguna ini
Pengaturan standar untuk Bypass melintasi memeriksa pengguna yang tepat adalah untuk memungkinkan siapa pun untuk mem-bypass melintasi memeriksa. Untuk
mengalami Windows sistem administrator, ini adalah perilaku yang diharapkan, dan
mereka mengkonfigurasi daftar kontrol akses file sistem (SACLs) yang sesuai. Satu-satunya
skenario di mana konfigurasi default dapat mengakibatkan kecelakaan jika
administrator yang mengkonfigurasi izin tidak memahami perilaku dan
mengharapkan bahwa pengguna yang tidak dapat mengakses folder induk tidak akan dapat mengakses
isi folder anak.
Alasan untuk menghapus hak pengguna ini
Organisasi yang sangat prihatin tentang
Keamanan mungkin tergoda untuk menghapus semua kelompok, atau bahkan mungkin untuk menghapus
grup pengguna dari daftar kelompok yang memiliki Bypass melintasi memeriksa hak pengguna untuk mencoba untuk mencegah akses ke file atau folder
dalam sistem berkas.
Contoh masalah kompatibilitas
Windows 2000, Windows Server 2003: Jika Bypass melintasi memeriksa pengguna benar dihapus atau misconfigured pada komputer yang
menjalankan Windows 2000 atau Windows Server 2003, pengaturan kebijakan grup di SYVOL
folder tidak akan mengulangi antara pengontrol domain di domain.
Windows 2000, Windows XP Professional, Windows Server 2003: Komputer yang menjalankan Windows 2000, Windows XP Professional,
atau Windows Server 2003 akan log peristiwa 1000 dan 1202 dan tidak akan dapat
menerapkan kebijakan komputer dan pengguna kebijakan ketika izin sistem berkas diperlukan
akan dihapus dari pohon SYSVOL jika Bypass melintasi memeriksa pengguna benar dihapus atau adalah misconfigured.
Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
290647
(http://support.microsoft.com/kb/290647/
)
ID Peristiwa 1000, 1001 dicatat setiap lima menit dalam log peristiwa aplikasi
Windows 2000, Windows Server 2003: Pada komputer yang menjalankan Windows 2000 atau Windows Server
2003, Kuota tab dalam Windows Explorer akan hilang ketika
Anda melihat properti pada volume.
Windows 2000: Non-administrator yang logon ke Windows 2000 server terminal
akan menerima pesan galat berikut:
Userinit.exe
galat aplikasi. Aplikasi gagal inisialisasi dengan benar 0xc0000142
Klik OK untuk menghentikan aplikasi.
Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
272142
(http://support.microsoft.com/kb/272142/
)
Pengguna secara otomatis log ketika mencoba untuk masuk ke Terminal Services
Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Pengguna komputer yang menjalankan Windows NT 4.0, Windows 2000,
Windows XP, atau Windows Server 2003 tidak dapat mengakses folder bersama atau
untuk mengakses file pada berbagi folder, dan mereka akan menerima galat "Akses ditolak"
pesan jika mereka tidak diberikan Bypass melintasi memeriksa pengguna benar.
Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
277644
(http://support.microsoft.com/kb/277644/
)
Pesan galat "Access Denied" saat pengguna mencoba untuk mengakses folder bersama
Windows NT 4.0: Pada komputer berbasis Windows NT 4.0, penghapusan Bypass melintasi memeriksa pengguna yang tepat akan menyebabkan salinan file untuk menjatuhkan stream file. Jika Anda
menghapus hak pengguna ini, ketika file tersebut sedang disalin dari klien Windows atau dari
Macintosh klien untuk Windows NT 4.0 kontroler domain yang menjalankan layanan
untuk Macintosh, streaming file tujuan hilang, dan file muncul sebagai
hanya teks file.
Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
172930
(http://support.microsoft.com/kb/172930/
)
Penghapusan "Bypass melintasi memeriksa" menyebabkan salinan file untuk menjatuhkan stream
Microsoft Windows 95, Microsoft Windows 98: Pada komputer klien yang sedang menjalankan Windows 95 atau Windows 98, bersih menggunakan * / home perintah akan gagal dengan "akses
Ditolak"kesalahan pesan jika grup dikonfirmasi pengguna tidak diberikan Bypass melintasi memeriksa pengguna benar.
Outlook Web Access: Non-Administrator tidak dapat logon ke Microsoft
Outlook Web Access, dan mereka akan menerima pesan galat "Akses ditolak" Jika
mereka tidak diberikan Bypass melintasi memeriksa pengguna benar.
Pengaturan keamanan
Audit: Menutup sistem segera jika tidak dapat log audit keamanan
Latar belakang
The Audit: Menutup sistem segera jika tidak dapat log audit keamanan pengaturan menentukan apakah sistem dimatikan jika Anda tidak dapat
Log keamanan. Pengaturan ini sangat diperlukan untuk keamanan komputer terpercaya
Evaluasi Kriteria (TCSEC) program C2 evaluasi dan untuk kriteria umum
untuk informasi teknologi keamanan evaluasi untuk mencegah auditable peristiwa jika
audit sistem tidak dapat log peristiwa-peristiwa. Jika
Audit sistem gagal, sistem shut down, dan pesan galat Stop
muncul.
Jika komputer tidak dapat merekam peristiwa
log Keamanan, bukti atau informasi pemecahan masalah penting mungkin
tidak akan tersedia untuk review setelah insiden keamanan.
Konfigurasi berisiko
Berikut adalah pengaturan konfigurasi berbahaya: Audit: Menutup sistem segera jika tidak dapat log audit keamanan pengaturan diaktifkan, dan ukuran keamanan log peristiwa dibatasi oleh Tidak menimpa peristiwa (Hapus log secara manual) pilihan, Menimpa peristiwa yang diperlukan pilihan, atau Menimpa peristiwa-peristiwa yang lebih tua dari nomor hari pilihan di Peraga Peristiwa. Lihat "contoh kompatibilitas
Masalah"bagian untuk informasi tentang risiko tertentu untuk komputer yang
menjalankan XP versi asli Windows 2000, Windows 2000 Service
Paket 1 (SP1), Windows 2000 SP2, atau Windows 2000 SP3.
Alasan untuk mengaktifkan pengaturan ini
Jika komputer tidak dapat merekam acara untuk keamanan
log, bukti atau informasi pemecahan masalah penting mungkin tidak
tersedia untuk review setelah insiden keamanan.
Alasan untuk menonaktifkan pengaturan ini
Memungkinkan Audit: Menutup sistem segera jika tidak dapat log audit keamanan pengaturan berhenti sistem jika audit keamanan tidak dapat login untuk
alasan apapun. Biasanya, peristiwa tidak dicatat ketika log audit keamanan
penuh dan ketika metode tertentu retensi adalah baik Tidak menimpa peristiwa (Hapus log secara manual) opsi atau Menimpa peristiwa-peristiwa yang lebih tua dari nomor hari pilihan.
Beban administrasi memungkinkan Audit: Menutup sistem segera jika tidak dapat log audit keamanan pengaturan bisa sangat tinggi, terutama jika Anda juga menghidupkan Tidak menimpa peristiwa (Hapus log secara manual) pilihan untuk log keamanan. Pengaturan ini menyediakan bagi individu
tanggung jawab operator tindakan. Misalnya, administrator dapat me-reset
hak akses pada semua pengguna, komputer, dan kelompok-kelompok dalam unit organisasi (OU)
di mana audit telah diaktifkan dengan menggunakan account built-in administrator atau lain
berbagi account dan kemudian menyangkal bahwa mereka ulang izin tersebut. Namun,
memungkinkan pengaturan mengurangi ketahanan sistem karena server
dapat dipaksa untuk menutup oleh berlimpah dengan logon peristiwa dan lain
Keamanan peristiwa yang ditulis untuk log keamanan. Selain itu, karena
shutdown adalah tidak anggun, dapat diperbaiki kerusakan sistem operasi,
program, atau data dapat hasil. Sementara NTFS menjamin bahwa sistem berkas
integritas dipertahankan selama ungraceful sistem shutdown, tidak dapat
menjamin bahwa setiap file data untuk setiap program masih akan dalam bentuk yang dapat digunakan
Ketika sistem restart.
Windows 2000: Karena dari bug, komputer yang menjalankan asli
dirilis versi Windows 2000, Windows 2000 SP1, Windows 2000 SP2, atau
Windows Server SP3 mungkin berhenti log peristiwa sebelum ukuran yang ditentukan di Ukuran log maksimum pilihan untuk log peristiwa keamanan mencapai. Bug ini tetap
pada Windows 2000 Paket Layanan 4 (SP4). Pastikan domain Windows 2000
controller memiliki Windows 2000 Paket Layanan 4 diinstal sebelum Anda mempertimbangkan
memungkinkan pengaturan ini.
Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
312571
(http://support.microsoft.com/kb/312571/
)
Log peristiwa berhenti log peristiwa sebelum mencapai ukuran log maksimum
Windows 2000, Windows Server 2003: Mungkin komputer yang menjalankan Windows 2000 atau Windows Server 2003
berhenti merespons dan kemudian mungkin secara spontan restart jika Audit: Menutup sistem segera jika tidak dapat log audit keamanan pengaturan diaktifkan dan jika log keamanan penuh dan jika
ada catatan log peristiwa tidak dapat ditimpa. Ketika komputer restart,
pesan galat Stop berikut ini muncul:
BERHENTI: C0000244
{Audit gagal} Upaya untuk menghasilkan audit keamanan gagal.
Untuk memulihkan, administrator harus logon, Arsip log Keamanan (opsional),
Hapus log Keamanan, dan kemudian me-reset pilihan ini (opsional dan sebagai diperlukan).
Klien jaringan Microsoft untuk MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Non-administrator yang mencoba untuk masuk ke domain akan menerima
pesan galat berikut:
Account Anda dikonfigurasi untuk
mencegah Anda menggunakan komputer ini. Coba lain
komputer.
Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
160783
(http://support.microsoft.com/kb/160783/
)
Pesan galat: pengguna tidak dapat logon ke workstation
Windows 2000: Pada komputer berbasis Windows 2000, non-Administrator tidak akan
bisa login ke akses remote server, dan mereka akan menerima sebuah pesan galat
Itulah yang mirip dengan berikut ini:
Pengguna tidak dikenal atau buruk
sandi
Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
285665
(http://support.microsoft.com/kb/285665/
)
Pesan galat: account Anda dikonfigurasi untuk mencegah Anda menggunakan komputer ini
Windows 2000: Pada pengontrol domain Windows 2000, Intersite pesan
Layanan (Ismserv.exe) akan berhenti dan tidak akan mampu direstart. DCDIAG
akan melaporkan kesalahan sebagai "gagal tes layanan ISMserv", dan peristiwa ID 1083 akan
terdaftar di log peristiwa.
Windows 2000: Pada pengontrol domain Windows 2000, replikasi Active Directory
akan gagal, dan pesan "Access Denied" akan muncul jika acara keamanan login
sudah penuh.
Microsoft Exchange 2000: Server yang menjalankan Exchange 2000 tidak akan dapat me-mount
informasi store database, dan acara 2102 akan terdaftar dalam acara
log.
Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
314294
(http://support.microsoft.com/kb/314294/
)
Exchange 2000 pesan error yang dihasilkan karena dari SeSecurityPrivilege kanan dan isu-isu Policytest
Outlook, Outlook Web Access: Non-Administrator tidak akan dapat mengakses surat mereka melalui
Microsoft Outlook atau melalui Microsoft Outlook Web Access, dan mereka akan
menerima galat 503.
Kontroler domain: LDAP server penandatanganan persyaratan
Latar belakang
The Kontroler domain: LDAP server penandatanganan persyaratan pengaturan keamanan menentukan apakah direktori ringan
Access Protocol (LDAP) server memerlukan klien LDAP untuk menegosiasikan data penandatanganan.
Nilai yang mungkin untuk pengaturan kebijakan ini adalah:
Tidak ada: Data tidak diperlukan untuk mengikat dengan server. Jika
data permintaan klien menandatangani, server mendukung ini.
Memerlukan penandatanganan: LDAP penandatanganan data pilihan harus dinegosiasikan kecuali transportasi
Lapisan keamanan/Secure Socket Layer (TLS/SSL) sedang digunakan.
tidak didefinisikan: Pengaturan ini tidak diaktifkan atau dinonaktifkan.
Konfigurasi berisiko
Berikut ini adalah pengaturan konfigurasi berbahaya:
Memungkinkan Memerlukan penandatanganan dalam lingkungan di mana klien tidak mendukung LDAP menandatangani atau
di mana sisi klien LDAP penandatanganan tidak diaktifkan pada klien
Menerapkan Windows 2000 atau Windows Server
Template keamanan Hisecdc.inf 2003 dalam lingkungan di mana klien tidak
dukungan LDAP menandatangani atau di mana sisi klien LDAP penandatanganan tidak
diaktifkan
Menerapkan Windows 2000 atau Windows Server
Template keamanan Hisecws.inf 2003 dalam lingkungan di mana klien tidak
dukungan LDAP menandatangani atau di mana sisi klien LDAP penandatanganan tidak
diaktifkan
Alasan untuk mengaktifkan pengaturan ini
Lalu lintas jaringan yang unsigned rentan terhadap
serangan Man-in-the-middle di mana penyusup menangkap paket-paket antara klien
server, memodifikasi paket-paket, dan kemudian meneruskan mereka ke server.
Ketika perilaku ini terjadi pada LDAP server, seorang penyerang dapat menyebabkan server
untuk membuat keputusan yang didasarkan pada permintaan palsu dari klien LDAP. Kamu bisa
menurunkan risiko ini pada jaringan korporat dengan menerapkan keamanan fisik yang kuat
langkah-langkah untuk membantu melindungi infrastruktur jaringan. Keamanan Internet Protocol
Mode header otentikasi (IPSec) dapat membuat serangan man-in-the-middle sangat
sulit. Mode header otentikasi melakukan otentikasi bersama dan paket
integritas bagi trafik IP.
Alasan untuk menonaktifkan pengaturan ini
Klien yang tidak mendukung LDAP penandatanganan tidak akan
mampu melaksanakan LDAP permintaan terhadap pengontrol domain dan terhadap global
Katalog jika otentikasi NTLM dinegosiasikan dan jika layanan benar kemasan
tidak dipasang pada pengontrol domain Windows 2000.
Jaringan jejak lalu lintas LDAP antara klien dan
server akan dienkripsi, sehingga sulit untuk memeriksa LDAP
percakapan.
Berbasis Windows 2000 Server harus memiliki Windows 2000
Service Pack 3 (SP3) atau kemudian diinstal ketika mereka dikelola dengan
program-program yang mendukung LDAP penandatanganan yang dijalankan dari komputer klien yang menjalankan
Windows 2000 SP4, Windows XP, atau Windows Server 2003.Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
325465
(http://support.microsoft.com/kb/325465/
)
Memerlukan pengontrol domain Windows 2000 Paket Layanan 3 atau kemudian ketika menggunakan alat administrasi Windows Server 2003
Mengikat sederhana akan gagal, dan Anda akan menerima
pesan galat berikut:
Ldap_simple_bind_s() failed:
Otentikasi kuat diperlukan.
Windows 2000 Paket Layanan 4, Windows XP, Windows Server 2003: Pada klien yang sedang menjalankan Windows 2000 SP4, Windows XP, atau
Windows Server 2003, beberapa alat administrasi direktori aktif tidak akan
beroperasi dengan benar terhadap pengontrol domain yang menjalankan versi
Windows 2000 yang lebih awal daripada SP3 ketika otentikasi NTLM dinegosiasikan.
Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
325465
(http://support.microsoft.com/kb/325465/
)
Memerlukan pengontrol domain Windows 2000 Paket Layanan 3 atau kemudian ketika menggunakan alat administrasi Windows Server 2003
Windows 2000 Paket Layanan 4, Windows XP, Windows Server 2003: Pada klien yang sedang menjalankan Windows 2000 SP4, Windows XP, atau
Windows Server 2003, administrasi Active Directory beberapa alat target itu
kontroler domain yang menjalankan versi Windows 2000 yang sebelumnya
daripada SP3 tidak akan beroperasi dengan benar jika mereka menggunakan alamat IP (untuk
contoh, "dsa.msc /server =x.x.x.x"di mana x.x.x.x adalah alamat IP).
Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
325465
(http://support.microsoft.com/kb/325465/
)
Memerlukan pengontrol domain Windows 2000 Paket Layanan 3 atau kemudian ketika menggunakan alat administrasi Windows Server 2003
Windows 2000 Paket Layanan 4, Windows XP, Windows Server 2003: Pada klien yang sedang menjalankan Windows 2000 SP4, Windows XP, atau
Windows Server 2003, administrasi Active Directory beberapa alat target itu
kontroler domain yang menjalankan versi Windows 2000 yang sebelumnya
daripada SP3 tidak akan beroperasi dengan benar.
Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
325465
(http://support.microsoft.com/kb/325465/
)
Memerlukan pengontrol domain Windows 2000 Paket Layanan 3 atau kemudian ketika menggunakan alat administrasi Windows Server 2003
Anggota domain: memerlukan kuat (Windows 2000 atau sesudahnya) sesi kunci
Latar belakang
The Anggota domain: memerlukan kuat (Windows 2000 atau sesudahnya) sesi kunci pengaturan menentukan apakah saluran aman dapat didirikan
dengan sebuah kontroler domain yang tidak dapat mengenkripsi lalu lintas saluran aman dengan
sesi kuat, 128-bit key. Memungkinkan pengaturan ini mencegah membangun
saluran aman dengan setiap kontroler domain yang tidak dapat mengenkripsi saluran aman
data dengan kunci yang kuat. Menonaktifkan pengaturan ini memungkinkan sesi 64-bit kunci.
Sebelum Anda dapat mengaktifkan pengaturan ini pada anggota
workstation atau pada server, semua kontroler domain pada domain yang
anggota milik harus dapat mengenkripsi data saluran aman dengan kuat,
128-bit key. Ini berarti bahwa semua pengontrol domain tersebut harus berjalan
Windows 2000 atau sesudahnya.
Konfigurasi berisiko
Memungkinkan Anggota domain: memerlukan kuat (Windows 2000 atau sesudahnya) sesi kunci pengaturan adalah pengaturan konfigurasi berbahaya.
Alasan untuk mengaktifkan pengaturan ini
Kunci-kunci yang digunakan untuk mendirikan aman
saluran komunikasi antara anggota komputer dan kontroler domain yang banyak
lebih kuat pada Windows 2000 dari mereka di versi sebelumnya dari Microsoft
sistem operasi.
Bila mungkin, itu adalah ide yang baik untuk mengambil
keuntungan kunci sesi ini lebih kuat untuk membantu melindungi saluran aman
komunikasi dari menguping dan dari sesi pembajakan serangan jaringan. Menguping adalah bentuk serangan berbahaya di mana data jaringan dibaca atau
diubah dalam transit. Data dapat diubah untuk menyembunyikan atau mengubah pengirim,
atau mengarahkan ulang ini.
Penting Komputer yang menjalankan Windows 7 atau Windows Server 2008 R2 mendukung hanya kuat kunci ketika saluran aman digunakan. Pembatasan ini mencegah kepercayaan antara setiap domain berbasis Windows NT 4.0 dan setiap domain berbasis Windows Server 2008 R2. Selain itu, pembatasan ini blok keanggotaan domain berbasis Windows NT 4.0 komputer yang menjalankan Windows 7 atau Windows Server 2008 R2, dan sebaliknya.
Alasan untuk menonaktifkan pengaturan ini
Domain ini berisi anggota komputer yang menjalankan
sistem operasi selain Windows 2000, Windows XP, atau Windows Server
2003.
Windows NT 4.0: Pada komputer berbasis Windows NT 4.0, reset saluran aman
hubungan kepercayaan antara domain Windows NT 4.0 dan Windows 2000 dengan NLTEST
gagal dengan pesan galat "Akses ditolak":
Kepercayaan
hubungan antara domain utama dan domain yang terpercaya
gagal.
Windows 7 dan Server 2008 R2:Dimulai dengan versi sistem operasi, pengaturan ini tidak dihormati lagi dan tombol kuat selalu digunakan. Karena itu, percaya dengan domain Windows NT 4.0 tidak bekerja lagi.
Anggota domain: digital mengenkripsi atau menandatangani saluran aman data (selalu)
Latar belakang
Memungkinkan Anggota domain: digital mengenkripsi atau menandatangani saluran aman data (selalu) mencegah membangun saluran aman dengan pengontrol domain
yang tidak dapat menandatangani atau mengenkripsi semua saluran aman data. Untuk membantu melindungi
lalu-lintas otentikasi dari serangan man-in-the-middle, replay serangan, dan
dari jenis-jenis serangan jaringan, komputer berbasis Windows membuat
saluran komunikasi yang dikenal sebagai saluran aman melalui layanan Net Logon untuk mengotentikasi komputer account.
Saluran aman juga digunakan ketika menghubungkan pengguna di satu domain untuk jaringan
sumber daya dalam domain jauh. Otentikasi ini multi-domain, atau pass-through otentikasi, memungkinkan komputer berbasis Windows yang telah bergabung dengan domain memiliki
akses ke database account pengguna di domain dan di setiap domain yang terpercaya.
Untuk mengaktifkan Anggota domain: digital mengenkripsi atau menandatangani saluran aman data (selalu) pengaturan pada komputer anggota, semua pengontrol domain
domain yang anggota milik harus dapat menandatangani atau mengenkripsi semua aman
saluran data. Ini berarti bahwa semua pengontrol domain tersebut harus berjalan
Windows NT 4.0 dengan Paket Layanan 6a (SP6a) atau yang lebih baru.
Memungkinkan Anggota domain: digital mengenkripsi atau menandatangani saluran aman data (selalu) pengaturan otomatis memungkinkan Anggota domain: digital mengenkripsi atau menandatangani saluran aman data (bila mungkin) pengaturan.
Konfigurasi berisiko
Memungkinkan Anggota domain: digital mengenkripsi atau menandatangani saluran aman data (selalu) pengaturan dalam domain yang di mana tidak semua kontroler domain dapat menandatangani atau
mengenkripsi data saluran aman adalah pengaturan konfigurasi berbahaya.
Alasan untuk mengaktifkan pengaturan ini
Lalu lintas jaringan yang unsigned rentan terhadap
serangan Man-in-the-middle, di mana penyusup menangkap paket-paket antara
server dan klien dan kemudian memodifikasi mereka sebelum meneruskan mereka untuk
klien. Ketika perilaku ini terjadi pada Lightweight Directory Access Protocol
Server (LDAP), penyusup dapat menyebabkan klien untuk membuat keputusan yang
berdasarkan catatan palsu dari direktori LDAP. Anda dapat menurunkan risiko seperti
serangan pada jaringan korporat dengan menerapkan keamanan fisik yang kuat
langkah-langkah untuk membantu melindungi infrastruktur jaringan. Selain itu, melaksanakan
Protokol internet security (IPSec) otentikasi header modus dapat membuat semua
jenis serangan man-in-the-middle sangat sulit. Mode ini melakukan
saling otentikasi dan paket integritas bagi trafik IP.
Alasan untuk menonaktifkan pengaturan ini
Komputer lokal atau dalam domain eksternal yang
mendukung saluran aman terenkripsi.
Tidak semua kontroler domain pada domain memiliki
tingkat revisi paket layanan sesuai untuk mendukung dienkripsi aman
saluran.
Windows NT 4.0: Komputer berbasis Windows 2000 anggota tidak akan mampu bergabung
Domain Windows NT 4.0 dan akan menerima pesan galat berikut:
Account tidak berwenang untuk masuk dari ini
stasiun.
Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
281648
(http://support.microsoft.com/kb/281648/
)
Pesan galat: account tidak berwenang untuk login dari stasiun ini
Windows NT 4.0: Domain Windows NT 4.0 tidak akan mampu mendirikan tingkat bawah
percaya dengan domain Windows 2000 dan akan menerima pesan galat berikut:
Account tidak berwenang untuk masuk dari ini
stasiun.
Ada tingkat bawah Trust juga tidak dapat mengotentikasi pengguna
dari domain yang terpercaya. Beberapa pengguna mungkin memiliki kesulitan log on ke
domain, dan mereka akan menerima pesan galat yang menyatakan bahwa klien
tidak dapat menemukan domain.
Windows XP: Klien Windows XP yang bergabung dengan domain Windows NT 4.0 akan
tidak mampu mengotentikasi percobaan dan dapat menerima kesalahan berikut
pesan, atau peristiwa berikut dapat terdaftar di log peristiwa:
Windows tidak dapat tersambung ke domain baik karena
kontroler domain turun atau tidak jika tidak tersedia atau karena komputer Anda
account tidak ditemukan
Peristiwa
5723: Setup sesi dari komputer ComputerNamegagal untuk melakukan otentikasi. Nama account yang dirujuk dalam keamanan
database ComputerName. Galat berikut
terjadi: akses ditolak.
Acara 3227: Sesi setup untuk Windows NT atau Windows
kontroler domain 2000 Nama server untuk domain Nama domain gagal karena Server
Nama tidak mendukung penandatanganan atau penyegelan sesi Netlogon.
Meng-upgrade kontroler domain, atau menetapkan entri registri RequireSignOrSeal pada
komputer ini ke 0.
Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
318266
(http://support.microsoft.com/kb/318266/
)
Klien Windows XP tidak dapat logon ke domain Windows NT 4.0
Jaringan Microsoft: Klien jaringan Microsoft akan menerima salah satu galat berikut
pesan:
Logon kegagalan: tidak diketahui nama pengguna atau buruk
sandi.
Tidak ada tombol sesi pengguna untuk
sesi tertentu masuk.
Klien jaringan Microsoft: sign secara digital (selalu) komunikasi
Latar belakang
Blok pesan server (SMB) adalah protokol berbagi sumber daya yang didukung oleh banyak
Sistem operasi Microsoft; ini adalah dasar jaringan dasar input/output
sistem (NetBIOS) dan banyak protokol lain. Penandatangan SMB mengotentikasi keduanya
pengguna dan server yang host data. Jika salah satu sisi gagal
proses otentikasi, transmisi data tidak akan terjadi.
Memungkinkan penandatangan dimulai selama negosiasi protokol SMB SMB. Kebijakan penandatangan SMB menentukan apakah komputer selalu secara digital menandatangani klien komunikasi.
Protokol otentikasi Windows 2000 SMB mendukung otentikasi bersama. Saling otentikasi menutup serangan "man-in-the-middle". Windows 2000 SMB protokol otentikasi juga mendukung pesan otentikasi. Pesan otentikasi membantu mencegah serangan pesan aktif.
Untuk memberikan ini otentikasi, penandatangan SMB menempatkan sebuah tanda tangan digital ke dalam setiap SMB. Klien dan server setiap memverifikasi tanda tangan digital.
Untuk menggunakan penandatangan SMB, Anda harus mengaktifkan penandatangan SMB atau memerlukan penandatangan SMB klien dan SMB server SMB.
Jika penandatangan SMB diaktifkan pada server, klien yang juga memungkinkan untuk SMB penandatanganan penggunaan paket menandatangani protokol selama semua sesi berikutnya.
Jika penandatangan SMB diperlukan pada server, klien tidak dapat membuat sesi kecuali klien diaktifkan atau diperlukan untuk penandatangan SMB.
Memungkinkan digital masuk tinggi-keamanan jaringan
membantu untuk mencegah peniruan klien dan server. Jenis
peniruan dikenal sebagai pembajakan sesi. Penyerang yang memiliki akses ke jaringan yang sama dengan klien atau
server menggunakan sesi pembajakan alat untuk mengganggu, mengakhiri atau mencuri sesi
berlangsung. Penyerang dapat mencegat dan memodifikasi unsigned SMB paket, mengubah lalu lintas, dan kemudian maju sehingga
Server mungkin melakukan tindakan yang tidak diinginkan. Atau, penyerang dapat menimbulkan
sebagai server atau sebagai klien setelah sah otentikasi dan kemudian Dapatkan
akses yang tidak sah untuk data.
Protokol SMB yang digunakan untuk
file sharing dan untuk mencetak berbagi di komputer yang menjalankan Windows 2000
Server, Windows 2000 Professional, Windows XP Professional, atau Windows Server
2003 mendukung otentikasi bersama. Saling otentikasi menutup sesi
pembajakan serangan dan mendukung otentikasi pesan. Oleh karena itu, hal ini mencegah
serangan Man-in-the-middle. Penandatangan SMB menyediakan otentikasi ini dengan menempatkan
tanda tangan digital di setiap SMB. Tanda tangan kemudian diverifikasi oleh kedua
klien dan server.
Catatan
Penanggulangan alternatif yang dapat membantu melindungi semua jaringan
lalu lintas adalah untuk memungkinkan tanda tangan digital dengan IPSec. Ada berbasis perangkat keras
pemercepat enkripsi IPSec dan penandatanganan yang dapat digunakan untuk meminimalkan
dampak kinerja dari server CPU. Ada tidak ada seperti akselerator yang
tersedia untuk penandatangan SMB.
Untuk informasi lebih lanjut, lihat Bab "Komunikasi sign secara digital server" di Microsoft Website MSDN berikut:
Konfigurasi penandatangan SMB melalui Group Policy Editor objek karena perubahan nilai registri lokal tidak berpengaruh jika override domain kebijakan.
Dalam Windows 95, Windows 98, dan Windows 98 Second Edition, direktori layanan klien menggunakan penandatangan SMB ketika dibuktikan keasliannya dengan Windows Server 2003 server dengan menggunakan otentikasi NTLM. Namun, klien ini tidak menggunakan penandatangan ketika mereka melakukan otentikasi dengan server ini dengan menggunakan NTLMv2 otentikasi SMB. Selain itu, Windows 2000 Server tidak menanggapi permintaan dari klien ini penandatangan SMB. Melihat item 10: "keamanan jaringan: tingkat otentikasi Lan Manager."
Konfigurasi berisiko
Berikut adalah pengaturan konfigurasi berbahaya: meninggalkan kedua
The Klien jaringan Microsoft: sign secara digital (selalu) komunikasi pengaturan dan Klien jaringan Microsoft: komunikasi sign secara digital (apabila server setuju) pengaturan diatur ke "Tidak didefinisikan" atau dinonaktifkan. Pengaturan ini memungkinkan
redirector untuk mengirim teks password ke server non - Microsoft SMB yang
tidak mendukung enkripsi sandi saat autentikasi.
Alasan untuk mengaktifkan pengaturan ini
Memungkinkan Klien jaringan Microsoft: sign secara digital (selalu) komunikasi memerlukan klien mereka untuk menandatangani SMB lalu lintas ketika menghubungi server yang
tidak memerlukan SMB menandatangani, membuat klien kurang rentan terhadap pembajakan sesi
serangan.
Alasan untuk menonaktifkan pengaturan ini
Memungkinkan Klien jaringan Microsoft: sign secara digital (selalu) komunikasi mencegah klien untuk berkomunikasi dengan server target yang melakukan
tidak mendukung penandatangan SMB
Mengkonfigurasi komputer untuk mengabaikan semua unsigned SMB
komunikasi mencegah sebelumnya program dan sistem operasi dari
menghubungkan.
Windows NT 4.0: Anda tidak dapat me-reset saluran aman kepercayaan
antara domain Windows Server 2003 dan Windows NT 4.0 domain dengan menggunakan
NLTEST atau NETDOM, dan Anda akan menerima pesan galat "Akses ditolak".
Windows XP: Menyalin file dari klien Windows XP untuk berbasis Windows 2000
server dan server berbasis Windows Server 2003 dapat mengambil lebih banyak waktu.
Anda tidak dapat memetakan pengandar jaringan dari
klien dengan pengaturan ini diaktifkan, dan Anda akan menerima galat berikut
pesan:
Account tidak berwenang untuk masuk dari
Stasiun ini.
Restart persyaratan
Restart komputer, atau restart layanan Workstation. Untuk melakukannya, ketik perintah berikut pada prompt perintah. Tekan ENTER setelah mengetik setiap perintah.
net stop workstation net start workstation
Server jaringan Microsoft: sign secara digital (selalu) komunikasi
Latar belakang
Blok Messenger server (SMB) adalah protokol berbagi sumber daya yang didukung oleh banyak
Sistem operasi Microsoft; ini adalah dasar jaringan dasar input/output
sistem (NetBIOS) dan banyak protokol lain. Penandatangan SMB mengotentikasi keduanya
pengguna dan server yang host data. Jika salah satu sisi gagal
proses otentikasi, transmisi data tidak akan terjadi.
Memungkinkan penandatangan dimulai selama negosiasi protokol SMB SMB. Kebijakan penandatangan SMB menentukan apakah komputer selalu secara digital menandatangani klien komunikasi.
Protokol otentikasi Windows 2000 SMB mendukung otentikasi bersama. Saling otentikasi menutup serangan "man-in-the-middle". Windows 2000 SMB protokol otentikasi juga mendukung pesan otentikasi. Pesan otentikasi membantu mencegah serangan pesan aktif.
Untuk memberikan ini otentikasi, penandatangan SMB menempatkan sebuah tanda tangan digital ke dalam setiap SMB. Klien dan server setiap memverifikasi tanda tangan digital.
Untuk menggunakan penandatangan SMB, Anda harus mengaktifkan penandatangan SMB atau memerlukan penandatangan SMB klien dan SMB server SMB.
Jika penandatangan SMB diaktifkan pada server, klien yang juga memungkinkan untuk SMB penandatanganan penggunaan paket menandatangani protokol selama semua sesi berikutnya.
Jika penandatangan SMB diperlukan pada server, klien tidak dapat membuat sesi kecuali klien diaktifkan atau diperlukan untuk penandatangan SMB.
Memungkinkan digital masuk tinggi-keamanan jaringan
membantu untuk mencegah peniruan klien dan server. Jenis
peniruan dikenal sebagai pembajakan sesi. Penyerang yang memiliki akses ke jaringan yang sama dengan klien atau
server menggunakan sesi pembajakan alat untuk mengganggu, mengakhiri atau mencuri sesi
berlangsung. Penyerang dapat mencegat dan memodifikasi unsigned Subnet Bandwidth
Paket-paket manajer (MBS), mengubah lalu lintas, dan kemudian maju sehingga
Server mungkin melakukan tindakan yang tidak diinginkan. Atau, penyerang dapat menimbulkan
sebagai server atau sebagai klien setelah sah otentikasi dan kemudian Dapatkan
akses yang tidak sah untuk data.
Protokol SMB yang digunakan untuk
file sharing dan untuk mencetak berbagi di komputer yang menjalankan Windows 2000
Server, Windows 2000 Professional, Windows XP Professional, atau Windows Server
2003 mendukung otentikasi bersama. Saling otentikasi menutup sesi
pembajakan serangan dan mendukung otentikasi pesan. Oleh karena itu, hal ini mencegah
serangan Man-in-the-middle. Penandatangan SMB menyediakan otentikasi ini dengan menempatkan
tanda tangan digital di setiap SMB. Tanda tangan kemudian diverifikasi oleh kedua
klien dan server.
Penanggulangan alternatif yang dapat membantu melindungi
semua lalu lintas jaringan adalah agar tanda tangan digital dengan IPSec. Ada
pemercepat berbasis hardware untuk enkripsi IPSec dan penandatanganan yang dapat digunakan
untuk meminimalkan dampak kinerja dari server CPU. Ada ada seperti
akselerator yang tersedia untuk penandatangan SMB.
Dalam Windows 95, Windows 98, dan Windows 98 Second Edition, direktori layanan klien menggunakan penandatangan SMB ketika dibuktikan keasliannya dengan Windows Server 2003 server dengan menggunakan otentikasi NTLM. Namun, klien ini tidak menggunakan penandatangan ketika mereka melakukan otentikasi dengan server ini dengan menggunakan NTLMv2 otentikasi SMB. Selain itu, Windows 2000 Server tidak menanggapi permintaan dari klien ini penandatangan SMB. Melihat item 10: "keamanan jaringan: tingkat otentikasi Lan Manager."
Konfigurasi berisiko
Berikut adalah pengaturan konfigurasi berbahaya: memungkinkan Server jaringan Microsoft: sign secara digital (selalu) komunikasi pengaturan pada server dan pengontrol domain yang diakses oleh
tidak kompatibel berbasis Windows dan pihak ketiga berbasis sistem operasi klien
komputer lokal atau dalam domain eksternal.
Alasan untuk mengaktifkan pengaturan ini
Semua komputer klien yang mengaktifkan pengaturan ini
langsung melalui registri atau melalui pengaturan kebijakan grup mendukung SMB
penandatanganan. Dengan kata lain, semua komputer klien yang memiliki pengaturan ini diaktifkan
menjalankan Windows 95 baik dengan DS klien diinstal, Windows 98, Windows NT 4.0,
Windows 2000, Windows XP Professional, atau Windows Server 2003.
Jika Server jaringan Microsoft: sign secara digital (selalu) komunikasi adalah dinonaktifkan, penandatangan SMB benar-benar dinonaktifkan. Benar-benar
menonaktifkan penandatangan SMB semua membuat komputer lebih rentan terhadap pembajakan sesi
serangan.
Alasan untuk menonaktifkan pengaturan ini
Memungkinkan pengaturan ini dapat menyebabkan lebih lambat file copy
dan performa jaringan pada komputer klien.
Memungkinkan pengaturan ini akan mencegah klien yang
tidak dapat menegosiasikan penandatangan SMB dari berkomunikasi dengan server dan dengan domain
controller. Hal ini menyebabkan operasi seperti domain bergabung, pengguna dan komputer
otentikasi, atau jaringan akses oleh program gagal.
Windows 95: Windows 95 klien yang tidak memiliki layanan direktori (DS)
Menginstal klien akan gagal logon otentikasi dan akan menerima berikut
pesan galat:
Domain password yang Anda masukkan adalah tidak
benar, atau akses untuk logon Anda server telah ditolak.
Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
811497
(http://support.microsoft.com/kb/811497/
)
Pesan galat ketika klien Windows 95 atau Windows NT 4.0 log on ke domain Windows Server 2003
Windows NT 4.0: Komputer klien yang menjalankan versi Windows NT 4.0 yang
lebih lama daripada paket layanan 3 (SP3) akan gagal logon otentikasi dan akan
menerima pesan galat berikut:
Sistem tidak bisa
logon. Pastikan nama pengguna dan domain Anda benar, kemudian ketik Anda
sandi lagi.
Beberapa non - Microsoft SMB server mendukung hanya sandi tidak terenkripsi pertukaran selama otentikasi. (Pertukaran ini juga dikenal sebagai "plain text" pertukaran.) Dimulai dengan Windows NT 4.0 SP3, SMB redirector tidak mengirim sandi tidak terenkripsi selama otentikasi server SMB kecuali Anda menambahkan entri registri khusus. Untuk mengaktifkan password tidak terenkripsi untuk SMB klien pada Windows NT 4.0 SP 3 dan sistem yang lebih baru, mengubah registri sebagai berikut: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters Nilai Name: EnablePlainTextPassword Tipe data: REG_DWORD Data: 1
Untuk informasi lebih lanjut mengenai topik terkait, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
224287
(http://support.microsoft.com/kb/224287/
)
Pesan kesalahan: kesalahan sistem 1240 telah terjadi. Account tidak berwenang untuk login dari stasiun ini.
166730
(http://support.microsoft.com/kb/166730/
)
Password tidak terenkripsi dapat menyebabkan paket layanan 3 gagal menyambung ke server SMB
Windows Server 2003: Secara default, pengaturan keamanan pada kontroler domain yang menjalankan Windows Server 2003 dikonfigurasi untuk membantu mencegah domain controller komunikasi dari dicegat atau dirusak oleh pengguna jahat. Bagi pengguna untuk berhasil berkomunikasi dengan sebuah kontroler domain yang menjalankan Windows Server 2003, komputer klien harus menggunakan kedua penandatangan SMB dan enkripsi atau saluran aman lalu lintas penandatanganan. Secara default, klien yang menjalankan Windows NT 4.0 dengan Service Pack 2 (SP2) atau sebelumnya diinstal dan klien yang menjalankan Windows 95 tidak memiliki paket penandatangan SMB diaktifkan. Oleh karena itu, klien ini mungkin tidak dapat melakukan otentikasi ke kontroler domain berbasis Windows Server 2003.
Pengaturan kebijakan Windows 2000 dan Windows Server 2003: Tergantung pada kebutuhan spesifik instalasi dan konfigurasi Anda, kami menyarankan Anda untuk mengatur pengaturan kebijakan berikut pada entitas terendah dari cakupan yang diperlukan dalam hirarki snap-in konsol manajemen Microsoft kebijakan grup Editor:
Komputer Configuration\Windows keamanan Settings\Security pilihan
Mengirim sandi tidak terenkripsi untuk menyambung ke server SMB pihak ketiga (Pengaturan ini adalah untuk Windows 2000).
Klien jaringan Microsoft: mengirim sandi tidak terenkripsi ke server SMB pihak ketiga (Pengaturan ini adalah untuk Windows Server 2003).
Catatan Di beberapa server CIFS pihak ketiga, seperti versi Samba, Anda tidak dapat menggunakan sandi yang dienkripsi.
Klien berikut tidak kompatibel dengan Server jaringan Microsoft: sign secara digital (selalu) komunikasi pengaturan:
Apple Computer, Inc, Mac OS X
klien
Microsoft MS-DOS jaringan klien (sebagai contoh,
Microsoft LAN Manager)
Microsoft Windows for Workgroups
klien
Microsoft Windows 95 klien tanpa DS
Menginstal klien
Microsoft komputer berbasis Windows NT 4.0
tanpa SP3 atau kemudian diinstal
Novell Netware 6 CIFS klien
SAMBA SMB klien yang tidak memiliki dukungan untuk SMB
penandatanganan
Restart persyaratan
Restart komputer, atau me-restart layanan Server. Untuk melakukannya, ketik perintah berikut pada prompt perintah. Tekan ENTER setelah Anda mengetik tiap perintah.
The Akses jaringan: memungkinkan anonim terjemahan SID/nama pengaturan keamanan menentukan apakah seorang pengguna anonim dapat meminta
Atribut keamanan identifikasi nomor (SID) untuk pengguna lain.
Jika Akses jaringan: memungkinkan anonim terjemahan SID/nama pengaturan ini cacat, sebelumnya sistem operasi atau aplikasi
mungkin tidak mampu berkomunikasi dengan domain Windows Server 2003. Sebagai contoh,
sistem operasi berikut, layanan atau aplikasi mungkin tidak bekerja:
Windows NT 4.0 Remote akses layanan berbasis
Server
Microsoft SQL Server yang berjalan pada Windows NT
berbasis 3.x atau pada komputer berbasis Windows NT 4.0
Layanan akses jarak jauh yang berjalan di Windows
komputer berbasis 2000 yang terletak di 3.x Windows NT domain atau di Windows
NT 4.0 domain
SQL Server yang berjalan di berbasis Windows 2000
komputer yang terletak di 3.x Windows NT domain atau pada Windows NT 4.0
domain
Pengguna di Windows NT 4.0 sumber daya domain yang ingin
memberikan izin untuk mengakses file, folder bersama, dan benda-benda registri untuk pengguna
account dari account domain yang mengandung domain Windows Server 2003
controller
Alasan untuk menonaktifkan pengaturan ini
Jika pengaturan ini diaktifkan, pengguna berbahaya dapat menggunakan
SID administrator terkenal untuk mendapatkan nama asli built-in
Account administrator, bahkan jika account telah diubah namanya. Orang bisa
kemudian gunakan nama account untuk memulai serangan menebak sandi.
Nama simbolis: N/A
Lintasan registri: Tidak ada. Jalan yang ditentukan dalam kode UI.
Contoh masalah kompatibilitas
Windows NT 4.0: Komputer dalam Windows NT 4.0 sumber daya domain akan menampilkan
"Account Unknown" kesalahan pesan di ACL Editor jika berbagi sumber daya, termasuk
folder, berbagi file dan registri objek, dijamin dengan keamanan
pelaku yang berada di account domain yang berisi Windows Server 2003
kontroler domain.
Akses jaringan: tidak mengizinkan anonim enumerasi Sam account
Latar belakang
The Akses jaringan: tidak mengizinkan anonim enumerasi Sam account pengaturan menentukan izin tambahan yang akan diberikan untuk koneksi anonim ke komputer. Windows memungkinkan pengguna anonim untuk melakukan kegiatan-kegiatan tertentu, seperti enumerasi nama account manajer account keamanan (SAM) workstation dan server dan jaringan yang digunakan bersama. Misalnya, administrator dapat menggunakan ini untuk memberikan akses kepada pengguna di domain yang terpercaya yang tidak mempertahankan kepercayaan timbal balik. Setelah sesi dibuat, seorang pengguna anonim mungkin memiliki akses yang sama yang diberikan kepada setiap orang kelompok berdasarkan pengaturan di Akses jaringan: membiarkan semua orang yang mengajukan permohonan izin untuk pengguna anonim pengaturan atau daftar kontrol akses discretionary (DACL) dari objek.
Biasanya, koneksi anonim diminta oleh versi sebelumnya dari klien (bawah-tingkat klien) selama penataan sesi SMB. Dalam kasus ini, jejak jaringan menunjukkan bahwa SMB proses ID (PID) redirector klien seperti 0xFEFF di Windows 2000 atau 0xCAFE dalam Windows NT. RPC mungkin juga mencoba untuk membuat koneksi anonim.
Penting Pengaturan ini tidak memiliki dampak pada domain
controller. Pada pengontrol domain, perilaku ini dikendalikan oleh kehadiran "NT AUTHORITY\ANONYMOUS LOGON" di "Pre-Windows 2000 kompatibel akses".
Pada Windows 2000, pengaturan yang sama, Batasan-batasan tambahan untuk koneksi anonim, mengelola
Untuk informasi lebih lanjut tentang RestrictAnonymous nilai registri, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
246261
(http://support.microsoft.com/kb/246261/
)
Cara menggunakan RestrictAnonymous nilai registri pada Windows 2000
143474
(http://support.microsoft.com/kb/143474/
)
Membatasi informasi yang tersedia untuk anonim logon pengguna
Berisiko konfigurasi:
Memungkinkan Akses jaringan: tidak mengizinkan anonim enumerasi Sam account pengaturan adalah pengaturan konfigurasi berbahaya dari kompatibilitas
perspektif; Nonaktifkan adalah pengaturan konfigurasi berbahaya dari keamanan
perspektif.
Alasan untuk mengaktifkan pengaturan ini
Pengguna yang tidak sah dapat secara anonim daftar account
nama dan kemudian menggunakan informasi untuk mencoba untuk menebak password atau untuk melakukan rekayasa sosial serangan. Rekayasa sosial adalah jargon yang berarti menipu orang ke dalam mengungkapkan mereka
beberapa bentuk dari keamanan informasi atau sandi.
Alasan untuk menonaktifkan pengaturan ini
Jika pengaturan ini diaktifkan, mustahil untuk
menetapkan Trust dengan domain Windows NT 4.0. Pengaturan ini akan juga menyebabkan
masalah dengan tingkat bawah klien seperti Windows NT 3.51 klien dan Windows 95
klien yang mencoba untuk menggunakan sumber daya pada server.
SMS jaringan penemuan tidak akan dapat memperoleh
operasi sistem informasi dan akan menulis "Tidak diketahui"
OperatingSystemNameandVersion properti.
Windows 95, Windows 98: Klien Windows 95 dan Windows 98 klien tidak akan mampu
mengubah password mereka.
Windows NT 4.0: Windows berbasis NT 4.0 anggota komputer tidak akan mampu menjadi
dikonfirmasi.
Windows 95, Windows 98: Komputer berbasis Windows 95 dan Windows 98 berbasis tidak akan dapat
untuk dikonfirmasi oleh Microsoft pengontrol domain.
Windows 95, Windows 98: Pengguna pada komputer berbasis Windows 95 dan Windows 98 berbasis tidak akan
dapat mengubah sandi untuk account pengguna.
Akses jaringan: tidak mengizinkan anonim enumerasi Sam account dan saham
Latar belakang
The Akses jaringan: tidak mengizinkan anonim enumerasi Sam account dan saham pengaturan (juga dikenal sebagai RestrictAnonymous) menentukan apakah anonim enumerasi keamanan account
Account Manager (SAM) dan saham diperbolehkan. Windows memungkinkan pengguna anonim untuk
melakukan kegiatan-kegiatan tertentu, seperti enumerasi nama account domain
(pengguna, komputer, dan kelompok) dan jaringan saham. Ini nyaman, untuk
contoh, ketika administrator ingin memberikan akses kepada pengguna dalam terpercaya
domain yang tidak mempertahankan kepercayaan timbal balik. Jika Anda tidak ingin memperbolehkan
anonim enumerasi SAM account dan saham, mengaktifkan pengaturan ini.
Pada Windows 2000, pengaturan yang sama, Batasan-batasan tambahan untuk koneksi anonim, mengelola
Memungkinkan Akses jaringan: tidak mengizinkan anonim enumerasi Sam account dan saham pengaturan adalah pengaturan konfigurasi berbahaya.
Alasan untuk mengaktifkan pengaturan ini
Memungkinkan Akses jaringan: tidak mengizinkan anonim enumerasi Sam account dan saham pengaturan mencegah penghitungan SAM account dan saham oleh pengguna
dan komputer yang menggunakan account anonim.
Alasan untuk menonaktifkan pengaturan ini
Jika pengaturan ini diaktifkan, pengguna yang tidak sah
bisa secara anonim daftar nama account dan kemudian menggunakan informasi untuk mencoba
kira password atau untuk melakukan rekayasa sosial serangan. Rekayasa sosial adalah jargon yang berarti menipu orang ke dalam mengungkapkan mereka
beberapa bentuk dari keamanan informasi atau sandi.
Jika pengaturan ini diaktifkan, akan mustahil
untuk mendirikan Trust dengan domain Windows NT 4.0. Pengaturan ini akan juga menyebabkan
masalah dengan tingkat bawah klien seperti Windows 95 dan Windows NT 3.51 klien
yang mencoba untuk menggunakan sumber daya pada server.
Tidak mungkin untuk memberikan akses kepada pengguna
sumber daya domain karena administrator domain percaya tidak akan dapat
untuk menghitung daftar account di domain lainnya. Pengguna yang mengakses file dan
Print server secara anonim tidak akan dapat daftar sumber daya jaringan bersama
pada server-server tersebut; pengguna harus mengotentikasi sebelum mereka dapat melihat daftar
berbagi folder dan printer.
Windows NT 4.0: Pengguna tidak akan dapat mengubah password mereka dari Windows NT
4.0 Workstation ketika RestrictAnonymous diaktifkan pada pengontrol domain di domain pengguna. Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
198941
(http://support.microsoft.com/kb/198941/
)
Pengguna tidak dapat mengubah password saat log on
Windows NT 4.0: Menambahkan pengguna atau grup global dari domain Windows 2000 yang terpercaya
untuk Windows NT 4.0 kelompok-kelompok lokal di Pengelola pengguna akan gagal dengan berikut
pesan galat:
Saat ini ada tidak ada server masuk
tersedia untuk melayani permintaan logon.
Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
296405
(http://support.microsoft.com/kb/296405/
)
Nilai registri "RestrictAnonymous" mungkin melanggar kepercayaan untuk domain Windows 2000
Windows NT 4.0: Windows NT 4.0 berbasis komputer tidak akan dapat bergabung dengan domain
selama penataan atau dengan menggunakan antarmuka pengguna bergabung dengan domain.
Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
184538
(http://support.microsoft.com/kb/184538/
)
Pesan galat: controller untuk domain ini tidak dapat ditemukan
Windows NT 4.0: Windows NT 4.0: Membangun kepercayaan down-tingkat dengan Windows NT
4.0 sumber daya domain akan gagal dengan error berikut pesan RestrictAnonymous diaktifkan pada domain yang terpercaya:
Tidak bisa
Temukan kontroler domain untuk domain ini.
Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
178640
(http://support.microsoft.com/kb/178640/
)
Tidak dapat menemukan kontroler domain ketika membangun kepercayaan
Windows NT 4.0: Pengguna yang logon ke Server Terminal berbasis Windows NT 4.0
komputer akan memetakan ke default direktori home bukannya direktori home
yang didefinisikan di Pengelola pengguna untuk domain.
Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
236185
(http://support.microsoft.com/kb/236185/
)
Terminal Server profil pengguna dan folder rumah jalan yang diabaikan setelah menerapkan SP4 atau yang lebih baru
Windows NT 4.0: Kontroler backup domain Windows NT 4.0 (BDCs) tidak akan dapat
untuk memulai layanan Net Logon untuk mendapatkan daftar cadangan browser, atau untuk
mensinkronkan database SAM dari Windows 2000 atau Windows Server 2003
kontroler domain di domain yang sama.
Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
293127
(http://support.microsoft.com/kb/293127/
)
Layanan Net Logon Windows NT 4.0 BDC tidak berfungsi di domain Windows 2000
Windows 2000: Komputer berbasis Windows 2000 anggota di domain Windows NT 4.0
tidak akan dapat melihat printer di domain eksternal jika Tidak ada akses tanpa izin secara eksplisit anonim pengaturan aktif dalam kebijakan keamanan lokal klien
komputer.
Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
280329
(http://support.microsoft.com/kb/280329/
)
Pengguna tidak dapat mengelola atau melihat properti printer
Windows 2000: Windows 2000 domain pengguna tidak akan dapat menambahkan jaringan
printer dari Active Directory; Namun, mereka akan dapat menambahkan printer
setelah mereka memilih mereka dari tampilan struktur pohon.
Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
318866
(http://support.microsoft.com/kb/318866/
)
Klien Outlook tidak dapat melihat daftar alamat global setelah Anda menginstal paket Rollup keamanan 1 (SRP1) di server global katalog
Windows 2000: Pada komputer berbasis Windows 2000, ACL Editor tidak akan dapat
Tambah pengguna atau grup global dari domain Windows NT 4.0 yang terpercaya.
Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
296403
(http://support.microsoft.com/kb/296403/
)
Nilai RestrictAnonymous melanggar kepercayaan di lingkungan dicampur-domain
ADMT versi 2: Migrasi sandi untuk account pengguna yang bermigrasi antara
hutan dengan Active Directory migrasi alat (ADMT) versi 2 akan
gagal.
Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
322981
(http://support.microsoft.com/kb/322981/
)
Cara memecahkan sandi inter-forest migrasi dengan ADMTv2
Klien Outlook: Daftar alamat global akan muncul kosong untuk Microsoft Exchange
Klien Outlook.
Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
318866
(http://support.microsoft.com/kb/318866/
)
Klien Outlook tidak dapat melihat daftar alamat global setelah Anda menginstal paket keamanan Rollup 1 (SR) di server global katalog
321169
(http://support.microsoft.com/kb/321169/
)
Lambat kinerja SMB ketika Anda menyalin file dari Windows XP untuk pengontrol domain Windows 2000
SMS: Server manajemen sistem Microsoft (SMS) jaringan Discovery akan
tidak dapat memperoleh informasi sistem operasi. Oleh karena itu, akan
menulis "Tidak diketahui" di properti OperatingSystemNameandVersion SMS DDR
properti dokumen data penemuan (DDR).
Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
229769
(http://support.microsoft.com/kb/229769/
)
Cara manajer Data pencarian menentukan kapan untuk menghasilkan permintaan konfigurasi klien
SMS: Ketika Anda menggunakan Wisaya pengguna Administrator SMS untuk browse
pengguna dan grup, pengguna tidak ada dan tidak ada kelompok akan didaftarkan.
Selain itu, maju klien tidak dapat berkomunikasi dengan titik manajemen. Akses anonim diperlukan pada titik manajemen.
Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
302413
(http://support.microsoft.com/kb/302413/
)
Tidak ada pengguna atau grup tercantum dalam Wizard pengguna Administrator
SMS: Ketika Anda menggunakan fitur penemuan jaringan di SMS 2.0 dan
di Remote Client instalasi dengan Topologi, klien dan klien sistem operasi jaringan pilihan penemuan berubah, komputer mungkin ditemukan
tetapi tidak dapat diinstal.
Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
311257
(http://support.microsoft.com/kb/311257/
)
Sumber daya tidak ditemukan jika koneksi anonim dimatikan
Keamanan jaringan: Lan Manager otentikasi tingkat
Latar belakang
LAN Manager (LM) otentikasi adalah protokol yang
digunakan untuk melakukan otentikasi klien Windows untuk operasi jaringan, termasuk domain
bergabung, mengakses sumber jaringan, dan otentikasi pengguna atau komputer. LM
otentikasi tingkat menentukan otentikasi tantangan/tanggapan yang
protokol dinegosiasikan antara klien dan server komputer.
Secara khusus, tingkat otentikasi LM menentukan otentikasi yang
protokol yang klien akan mencoba untuk menegosiasikan atau server akan menerima. Nilai yang ditetapkan untuk LmCompatibilityLevel menentukan protokol otentikasi tantangan/tanggapan yang digunakan untuk jaringan login. Nilai ini mempengaruhi tingkat protokol otentikasi yang digunakan klien, tingkat keamanan sesi dinegosiasikan, dan tingkat otentikasi yang diterima oleh server, sesuai dengan tabel berikut.
Pengaturan yang mungkin adalah sebagai berikut.
Perkecil tabel iniPerbesar tabel ini
Nilai
Pengaturan
Deskripsi
0
Kirim tanggapan LM & NTLM
Klien menggunakan LM dan NTLM otentikasi dan tidak pernah menggunakan NTLMv2
sesi keamanan; kontroler domain menerima LM, NTLM, dan NTLMv2
otentikasi.
1
Mengirim LM & NTLM - menggunakan NTLMv2 sesi keamanan jika dinegosiasikan
Klien menggunakan LM dan NTLM otentikasi, dan menggunakan NTLMv2
sesi keamanan jika server mendukung kontroler domain menerima LM, NTLM, dan NTLMv2
otentikasi.
2
Kirim respon NTLM hanya
Klien menggunakan otentikasi NTLM hanya dan menggunakan NTLMv2 sesi
keamanan jika server mendukung kontroler domain menerima LM, NTLM, dan
NTLMv2 otentikasi.
3
Kirim respon NTLMv2 hanya
Klien menggunakan NTLMv2 otentikasi hanya dan menggunakan NTLMv2 sesi
keamanan jika server mendukung kontroler domain menerima LM, NTLM, dan
NTLMv2 otentikasi.
4
Kirim respon NTLMv2 hanya / menolak LM
Klien menggunakan NTLMv2 otentikasi hanya dan menggunakan NTLMv2 sesi
keamanan jika server mendukungnya. Kontroler domain menolak LM dan menerima
hanya NTLM dan NTLMv2 otentikasi).
5
Kirim respon NTLMv2 hanya / menolak LM & NTLM
Klien menggunakan NTLMv2 otentikasi hanya dan menggunakan NTLMv2 sesi
keamanan jika server mendukung kontroler domain menolak LM dan NTLM (mereka
menerima hanya NTLMv2 otentikasi).
Catatan Dalam Windows 95, Windows 98, dan Windows 98 Second Edition, direktori layanan klien menggunakan penandatangan SMB ketika dibuktikan keasliannya dengan Windows Server 2003 server dengan menggunakan otentikasi NTLM. Namun, klien ini tidak menggunakan penandatangan ketika mereka melakukan otentikasi dengan server ini dengan menggunakan NTLMv2 otentikasi SMB. Selain itu, Windows 2000 Server tidak menanggapi permintaan dari klien ini penandatangan SMB.
Periksa tingkat otentikasi LM Anda harus mengubah kebijakan pada server untuk mengizinkan NTLM, atau Anda harus mengkonfigurasi komputer klien untuk mendukung NTLMv2.
Jika kebijakan diatur ke (5) Mengirim NTLMv2 respon only\refuse LM & NTLM pada komputer target yang Anda ingin hubungi, Anda harus menurunkan pengaturan pada komputer atau mengatur keamanan untuk pengaturan yang sama yang ada di komputer sumber tersambung dari.
Menemukan lokasi yang benar di mana Anda dapat mengubah LAN manager otentikasi tingkat untuk mengatur klien dan server ke tingkat yang sama. Setelah Anda menemukan kebijakan yang adalah pengaturan LAN manager otentikasi tingkat, jika Anda ingin terhubung ke dan dari komputer yang menjalankan Windows versi sebelumnya, menurunkan nilai untuk setidaknya (1) Mengirim LM & NTLM - menggunakan NTLM versi 2 sesi keamanan jika dinegosiasikan. Salah satu efek tidak kompatibel pengaturan adalah bahwa jika server memerlukan NTLMv2 (nilai 5), tapi klien dikonfigurasi untuk menggunakan LM dan NTLMv1 hanya (nilai 0), pengalaman pengguna yang mencoba otentikasi gagal logon yang memiliki sandi buruk dan yang akan menambahkan menghitung sandi buruk. Jika account lock-out dikonfigurasi, pengguna mungkin akhirnya terkunci.
Sebagai contoh, Anda mungkin harus melihat pada domain controller, atau Anda mungkin harus melihat kebijakan kontroler domain.
Melihat pada domain controller Catatan Anda mungkin harus mengulangi prosedur berikut pada semua pengontrol domain.
Klik Mulai, arahkan ke Program, lalu klik Alat administratif.
Di bawah Pengaturan keamanan lokal, memperluas Kebijakan lokal.
Klik Opsi keamanan.
Klik dua kali Jaringan keamanan: Tingkat otentikasi LAN manager, lalu klik nilai yang sesuai dalam daftar.
Jika pengaturan efektif dan pengaturan lokal yang sama, kebijakan yang telah berubah pada tingkat ini. Jika pengaturan berbeda, Anda harus memeriksa kebijakan kontroler domain untuk mencari tahu apakah Jaringan keamanan: Tingkat otentikasi LAN manager pengaturan didefinisikan ada. Jika tidak ditentukan ada, lihat kebijakan kontroler domain.
Melihat kebijakan kontroler domain
Klik Mulai, arahkan ke Program, lalu klik Alat administratif.
Dalam Domain Controller keamanan kebijakan, memperluas Pengaturan keamanan, dan kemudian memperluas Kebijakan lokal.
Klik Opsi keamanan.
Klik dua kali Jaringan keamanan: Tingkat otentikasi LAN manager, lalu klik nilai yang sesuai dalam daftar.
Catatan
Anda mungkin juga harus memeriksa kebijakan yang terkait di tingkat situs, pada tingkat domain, atau pada unit organisasi (OU) tingkat untuk menentukan di mana Anda harus mengkonfigurasi LAN manager otentikasi tingkat.
Jika Anda menerapkan pengaturan kebijakan grup sebagai kebijakan domain default, kebijakan diterapkan untuk semua komputer di domain.
Jika Anda menerapkan pengaturan kebijakan grup sebagai kebijakan kontroler domain default, kebijakan hanya berlaku untuk server di pengontrol domain OU.
Ini adalah ide yang baik untuk mengatur LAN manager otentikasi tingkat dalam entitas terendah dari cakupan yang diperlukan dalam hirarki aplikasi kebijakan.
Me-refresh kebijakan setelah Anda membuat perubahan. (Jika perubahan tingkat pengaturan keamanan lokal, perubahan ini segera. Namun, Anda harus me-restart klien sebelum Anda menguji.)
Secara default, pengaturan Kebijakan Grup diperbarui pada pengontrol domain setiap lima menit. Untuk segera memaksa update pengaturan kebijakan pada Windows 2000 atau kemudian, menggunakan Gpupdate / perintah.
The Gpupdate / kekuatan perintah update pengaturan kebijakan grup lokal dan pengaturan kebijakan grup yang didasarkan pada layanan direktori Active Directory, termasuk pengaturan keamanan. Perintah ini menggantikan sekarang usang / refreshpolicy opsi untuk Secedit perintah.
The Gpupdate / perintah menggunakan sintaks berikut: Gpupdate / [target: {komputer|pengguna}] [kekuatan] [/ menunggu:nilai] [/logoff] [/ Boot]
Menerapkan baru objek kebijakan grup (GPO) dengan menggunakan Gpupdate / perintah untuk secara manual mengajukan permohonan kembali semua pengaturan kebijakan. Untuk melakukannya, ketik berikut ini pada prompt perintah, dan kemudian tekan ENTER:
Gpupdate / kekuatan
Melihat log peristiwa aplikasi untuk memastikan bahwa pengaturan kebijakan diaplikasikan berhasil.
Pada Windows XP dan Windows Server 2003, Anda dapat menggunakan snap-in Resultante Himpunan Kebijakan untuk melihat pengaturan efektif. Untuk melakukannya, klik Mulai, klik Menjalankan, jenis RSoP.MSC, lalu klik Oke.
Jika masalah tetap berlangsung setelah Anda membuat perubahan kebijakan, restart server berbasis Windows, dan kemudian verifikasi bahwa masalah telah teratasi.
Catatan Jika Anda memiliki beberapa pengendali domain berbasis Windows 2000, pengendali domain berbasis Windows Server 2003, atau keduanya, Anda mungkin harus meniru Active Directory untuk memastikan bahwa kontroler domain ini memiliki perubahan diperbarui segera.
Atau, pengaturan mungkin tampak diatur untuk pengaturan terendah dalam kebijakan keamanan lokal. Jika Anda dapat menerapkan pengaturan oleh cara dari keamanan database, Anda dapat atau mengatur LAN manager otentikasi tingkat dalam registri dengan mengedit LmCompatibilityLevel entri dalam subkunci registri berikut:
Windows Server 2003 memiliki pengaturan default baru untuk hanya menggunakan NTLMv2. Secara default, Windows Server 2003 dan pengendali domain berbasis Windows 2000 Server SP3 telah mengaktifkan "server jaringan Microsoft: sign secara digital (selalu) komunikasi" kebijakan. Pengaturan ini membutuhkan server SMB untuk melakukan paket penandatangan SMB.
Perubahan untuk Windows Server 2003 yang dibuat karena pengontrol domain, file server, jaringan infrastruktur server dan Web server dalam organisasi memerlukan pengaturan yang berbeda untuk memaksimalkan keamanan mereka.
Jika Anda ingin menerapkan NTLMv2 otentikasi dalam jaringan Anda, Anda harus memastikan bahwa semua komputer di domain yang ditetapkan untuk menggunakan otentikasi tingkat. Jika Anda menerapkan Active Directory klien ekstensi untuk Windows 95 atau Windows 98 dan Windows NT 4.0, ekstensi klien menggunakan otentikasi peningkatan fitur yang tersedia di NTLMv2.
Karena komputer klien yang menjalankan salah satu sistem operasi berikut tidak terpengaruh oleh objek kebijakan grup Windows 2000, Anda mungkin harus secara manual mengkonfigurasi klien ini:
Microsoft Windows NT 4.0
Microsoft Windows Millennium Edition
Microsoft Windows 98
Microsoft Windows 95
Catatan Jika Anda mengaktifkan Keamanan jaringan: Jangan menyimpan nilai hash LAN manager pada perubahan sandi selanjutnya kebijakan atau set NoLMHash kunci registri, berbasis Windows 95 dan Windows 98 berbasis klien yang tidak memiliki menginstal klien layanan direktori tidak dapat logon ke domain setelah perubahan sandi.
Banyak server CIFS pihak ketiga, seperti Novell Netware 6, tidak NTLMv2 dan hanya menggunakan NTLM. Oleh karena itu, tingkat yang lebih besar dari 2 tidak mengizinkan konektivitas.
Untuk informasi lebih lanjut tentang bagaimana mengkonfigurasi secara manual LAN manager otentikasi tingkat, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
147706
(http://support.microsoft.com/kb/147706/
)
Cara menonaktifkan LM otentikasi pada Windows NT
175641
(http://support.microsoft.com/kb/175641/
)
LMCompatibilityLevel dan pengaruhnya
299656
(http://support.microsoft.com/kb/299656/
)
Bagaimana mencegah Windows menyimpan LAN manager hash sandi dalam Active Directory dan database SAM lokal
312630
(http://support.microsoft.com/kb/312630/
)
Outlook terus meminta Anda untuk logon kredensial
Untuk informasi lebih lanjut tentang LM otentikasi tingkat, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
239869
(http://support.microsoft.com/kb/239869/
)
Cara mengaktifkan otentikasi NTLM 2
Konfigurasi berisiko
Berikut ini adalah pengaturan konfigurasi berbahaya:
Nonrestrictive pengaturan yang mengirimkan password
cleartext dan yang menyangkal NTLMv2 negosiasi
Ketat pengaturan yang mencegah tidak kompatibel
klien atau kontroler domain dari negosiasi protokol otentikasi umum
Memerlukan otentikasi NTLMv2 pada komputer anggota
dan kontroler domain yang menjalankan versi Windows NT 4.0 yang
lebih awal dari Service Pack 4 (SP4)
Memerlukan NTLMv2 otentikasi pada Windows 95
klien atau pada Windows 98 klien yang tidak memiliki direktori Windows
Layanan klien yang diinstal.
Jika Anda mengklik untuk memilih Memerlukan NTLMv2 sesi keamanan centang kotak di Microsoft Management Console kebijakan grup Editor snap-in pada Windows Server 2003 atau Windows 2000 Paket Layanan 3-berbasis komputer, dan Anda menurunkan tingkat otentikasi LAN manager untuk 0, dua pengaturan konflik, dan Anda mungkin menerima pesan galat berikut dalam berkas Secpol.msc atau GPEdit.msc file:
Windows tidak dapat membuka database kebijakan lokal. Terjadi kesalahan tidak diketahui ketika mencoba untuk membuka database.
Untuk informasi lebih lanjut tentang konfigurasi dan alat analisis, lihat Windows 2000 atau berkas Bantuan Windows Server 2003.
Untuk informasi lebih lanjut tentang cara menganalisa tingkat keamanan pada Windows 2000 dan Windows Server 2003, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
313203
(http://support.microsoft.com/kb/313203/
)
Cara menganalisa sistem keamanan dalam Windows 2000
816580
(http://support.microsoft.com/kb/816580/
)
Cara menganalisa sistem keamanan di Windows Server 2003
Alasan untuk mengubah pengaturan ini
Anda ingin meningkatkan umum terendah
protokol otentikasi yang didukung oleh klien dan pengontrol domain di
organisasi Anda.
Di mana aman otentikasi adalah bisnis
persyaratan, Anda ingin melarang negosiasi LM dan NTLM
protokol.
Alasan untuk menonaktifkan pengaturan ini
Klien atau server otentikasi persyaratan, atau keduanya,
telah meningkat ke titik di mana otentikasi atas protokol umum
tidak dapat terjadi.
Windows Server 2003: Secara default, Windows Server 2003 NTLMv2 mengirim NTLM tanggapan pengaturan diaktifkan. Oleh karena itu, Windows Server 2003 menerima pesan galat "Akses ditolak" setelah instalasi awal ketika Anda mencoba menyambung ke gugus berbasis Windows NT 4.0 atau server berbasis LanManager V2.1, seperti OS/2 Lanserver. Masalah ini juga terjadi apabila Anda mencoba untuk menghubungkan dari versi sebelumnya klien ke server berbasis Windows Server 2003.
Anda menginstal Windows 2000 keamanan paket Rollup 1 (SRP1).SRP1 memaksa NTLM versi 2 (NTLMv2). Paket rollup ini dirilis setelah rilis Windows 2000 Paket Layanan 2 (SP2). Untuk informasi lebih lanjut tentang SRP1, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
311401
(http://support.microsoft.com/kb/311401/
)
Windows 2000 paket keamanan Rollup 1, Januari 2002
Windows 7 dan Windows Server 2008 R2: Banyak server CIFS pihak ketiga, seperti Novell Netware 6 atau berbasis Linux Samba server, tidak NTLMv2 dan hanya menggunakan NTLM. Oleh karena itu, tingkat yang lebih besar dari "2" tidak mengizinkan konektivitas. Sekarang di versi sistem operasi, default untuk LmCompatibilityLevel diganti menjadi "3". Jadi ketika Anda meng-upgrade Windows, filers pihak ke-3 ini akan berhenti bekerja.
Microsoft Outlook klien akan diminta untuk kredensial meskipun mereka sudah masuk ke domain. Ketika pengguna memberikan identitasnya, mereka menerima kesalahan berikut pesan: Windows 7 dan jendela Server 2008 R2
Kredensial masuk yang diberikan itu tidak benar. Pastikan nama pengguna dan domain sudah benar, kemudian ketik sandi lagi.
Ketika Anda mulai menjalankan Outlook, Anda mungkin diminta untuk kredensial Anda bahkan jika pengaturan keamanan jaringan Logon diatur untuk Passthrough atau otentikasi Password. Setelah Anda mengetik kredensial Anda benar, Anda mungkin menerima pesan galat berikut:
Rahasia login yang disediakan itu tidak benar.
Jejak Monitor jaringan dapat menunjukkan bahwa katalog global dikeluarkan prosedur jauh (RPC) panggilan kesalahan dengan status 0x5. Status 0x5 berarti "Access Denied."
Windows 2000: Menangkap Monitor Jaringan mungkin menunjukkan kesalahan berikut dalam NetBIOS atas TCP/IP (NetBT) server pesan blok (SMB) sesi:
Kesalahan SMB R pencarian direktori Dos, pengenal (91) pengguna ACCESS_DENIED (109) STATUS_LOGON_FAILURE (5)
Windows 2000: Jika domain Windows 2000 dengan NTLMv2 Level 2 atau kemudian terpercaya
dengan domain Windows NT 4.0, komputer berbasis Windows 2000 anggota dalam sumber
domain mungkin mengalami kesalahan otentikasi.
Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
305379
(http://support.microsoft.com/kb/305379/
)
Masalah otentikasi pada Windows 2000 dengan NTLM 2 tingkat di atas 2 di domain Windows NT 4.0
Windows 2000 dan Windows XP: Secara default, Windows 2000 dan Windows XP menetapkan pilihan LAN Manager otentikasi tingkat keamanan kebijakan lokal ke 0. Pengaturan 0 berarti "Kirim LM dan NTLM tanggapan."
Catatan Windows berbasis NT 4.0 cluster harus menggunakan LM untuk administrasi.
Windows 2000: Windows 2000 clustering tidak mengotentikasi simpul bergabung jika
Kedua node adalah bagian dari Windows NT 4.0 Paket Layanan 6a domain (SP6a).
Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
305379
(http://support.microsoft.com/kb/305379/
)
Masalah otentikasi pada Windows 2000 dengan NTLM 2 tingkat di atas 2 di domain Windows NT 4.0
IIS Lockdown alat (HiSecWeb) menetapkan nilai LMCompatibilityLevel ke 5 dan nilai RestrictAnonymous 2.
Layanan untuk Macintosh
Modul otentikasi pengguna (UAM): Microsoft UAM (modul otentikasi pengguna) menyediakan metode untuk enkripsi sandi yang Anda gunakan untuk log on ke Server Windows AFP (AppleTalk Filing Protocol).
Apple pengguna otentikasi modul (UAM) menyediakan hanya sedikit atau tidak ada enkripsi. Oleh karena itu, password Anda dapat dengan mudah disadap pada LAN atau di Internet.
Meskipun UAM ini tidak diperlukan, itu memberikan dienkripsi otentikasi ke Windows 2000 Server yang menjalankan layanan untuk Macintosh.
Versi ini mencakup dukungan untuk NTLMv2 128-bit dienkripsi otentikasi dan rilis 10,1-kompatibel MacOS X.
Secara default, Windows Server 2003 layanan untuk Macintosh server memungkinkan hanya Microsoft otentikasi.
Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
834498
(http://support.microsoft.com/kb/834498/
)
Macintosh klien tidak dapat tersambung ke layanan untuk Mac pada Windows Server 2003
838331
(http://support.microsoft.com/kb/838331/
)
Pengguna Mac OS X tidak dapat membuka Macintosh berbagi folder pada server berbasis Windows Server 2003
Windows Server 2008, Windows Server 2003, Windows XP, dan Windows 2000: Jika Anda mengkonfigurasi LMCompatibilityLevel nilai 0 atau 1 dan kemudian mengkonfigurasi nilai NoLMHash menjadi 1, aplikasi dan komponen mungkin bisa mengakses melalui NTLM. Masalah ini terjadi karena komputer dikonfigurasi untuk mengaktifkan LM tetapi tidak untuk menggunakan password yang disimpan LM.
Jika Anda mengkonfigurasi nilai NoLMHash menjadi 1, Anda harus mengkonfigurasi nilai LMCompatibilityLevel 2 atau lebih tinggi.
The Keamanan jaringan: klien LDAP penandatanganan persyaratan pengaturan menentukan tingkat data penandatanganan yang diminta pada
nama klien yang mengeluarkan Lightweight Directory Access Protocol (LDAP) BIND
permintaan sebagai berikut:
Tidak Ada: Permintaan LDAP mengikat dikeluarkan dengan penelepon yang ditentukan
pilihan.
Bernegosiasi penandatanganan: Jika keamanan lapisan lapisan/transportasi soket aman (SSL/TLS)
belum dimulai, permintaan LDAP mengikat dimulai dengan LDAP data
penandatanganan pilihan selain menetapkan ditentukan pemanggil pilihan. Jika SSL/TLS telah
telah dimulai, permintaan LDAP mengikat dimulai dengan penelepon yang ditentukan
pilihan.
Memerlukan penandatanganan: Ini adalah sama dengan Bernegosiasi penandatanganan. Namun, jika LDAP server menengah saslBindInProgress
respon tidak menunjukkan bahwa lalu lintas LDAP penandatanganan diperlukan, pemanggil
diberitahu bahwa perintah LDAP mengikat permintaan gagal.
Konfigurasi berisiko
Memungkinkan Keamanan jaringan: klien LDAP penandatanganan persyaratan pengaturan adalah pengaturan konfigurasi berbahaya. Jika Anda menetapkan server
memerlukan tanda tangan LDAP, Anda juga harus mengkonfigurasi LDAP menandatangani pada klien.
Konfigurasi klien untuk menggunakan tanda tangan LDAP tidak akan mencegah komunikasi
dengan server; Hal ini akan menyebabkan otentikasi pengguna, pengaturan kebijakan grup,
skrip logon, dan fitur-fitur lainnya gagal.
Alasan untuk mengubah pengaturan ini
Lalu lintas jaringan yang unsigned rentan terhadap
serangan Man-in-the-middle di mana penyusup menangkap paket-paket antara klien
dan server, memodifikasi mereka, dan kemudian meneruskan mereka ke server. Saat ini
terjadi pada LDAP server, seorang penyerang dapat menyebabkan server untuk merespon berdasarkan
palsu pertanyaan dari klien LDAP. Anda dapat menurunkan risiko ini di sebuah perusahaan
jaringan dengan menerapkan langkah-langkah keamanan fisik yang kuat untuk membantu melindungi
jaringan infrastruktur. Selain itu, semua jenis serangan man-in-the-middle
dapat membuat sangat sulit oleh memerlukan tanda tangan digital pada semua jaringan
paket-paket dengan cara IPSec otentikasi header.
The Log Peristiwa: Ukuran log keamanan maksimum pengaturan keamanan menentukan ukuran maksimum acara keamanan
log. Log ini memiliki ukuran maksimum 4 GB. Untuk mencari pengaturan ini, memperluas Pengaturan Windows, dan kemudian memperluas Keamanan
Tataan.
Konfigurasi berisiko
Berikut ini adalah pengaturan konfigurasi berbahaya:
Membatasi ukuran log keamanan dan keamanan
login retensi metode ketika Audit: Menutup sistem segera jika tidak dapat log audit keamanan pengaturan aktif. Lihat "Audit: menutup sistem segera jika tidak dapat log audit keamanan" bagian dari artikel ini untuk rincian lebih lanjut.
Membatasi ukuran log Keamanan jadi keamanan yang
acara menarik ditimpa.
Alasan untuk meningkatkan pengaturan ini
Bisnis dan keamanan persyaratan dapat menentukan bahwa Anda
meningkatkan ukuran log keamanan untuk menangani rinci log keamanan tambahan atau untuk
mempertahankan log keamanan untuk jangka waktu yang lebih lama.
Alasan untuk mengurangi pengaturan ini
Acara penampil log adalah berkas memori dipetakan. Maksimum
ukuran log peristiwa dibatasi oleh jumlah memori fisik dalam
komputer lokal dan oleh memori virtual yang tersedia untuk log peristiwa
proses. Meningkatkan ukuran log melampaui jumlah memori virtual yang
tersedia untuk Peraga Peristiwa tidak meningkatkan jumlah entri log yang
dipertahankan.
Contoh masalah kompatibilitas
Windows 2000: Komputer yang menjalankan versi Windows 2000 yang
lebih awal dari paket layanan 4 (SP4) mungkin berhenti log peristiwa dalam acara login sebelum
mencapai ukuran yang ditetapkan dalam Ukuran log maksimum pengaturan di penampil aktivitas jika Tidak menimpa peristiwa (Hapus log secara manual) pilihan diaktifkan.
Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
312571
(http://support.microsoft.com/kb/312571/
)
Log peristiwa berhenti log peristiwa sebelum mencapai ukuran log maksimum
Log Peristiwa: Mempertahankan log Keamanan
Latar belakang
The Log Peristiwa: Mempertahankan log Keamanan "membungkus" metode untuk menentukan pengaturan keamanan
log keamanan. Untuk mencari pengaturan ini, memperluas Pengaturan Windows,
dan kemudian memperluas Pengaturan keamanan.
Konfigurasi berisiko
Berikut ini adalah pengaturan konfigurasi berbahaya:
Gagal untuk mempertahankan semua log Keamanan peristiwa sebelum
mereka ditimpa
Konfigurasi Ukuran log maksimum keamanan pengaturan terlalu kecil sehingga keamanan
ditimpa
Membatasi ukuran log keamanan dan retensi
metode sementara Audit: Menutup sistem segera jika tidak dapat log audit keamanan pengaturan keamanan diaktifkan
Alasan untuk mengaktifkan pengaturan ini
Mengaktifkan pengaturan ini hanya jika Anda memilih Menimpa peristiwa hari metode retensi. Jika Anda menggunakan sistem korelasi peristiwa yang polling untuk acara, pastikan bahwa jumlah hari setidaknya tiga kali frekuensi jajak pendapat. Melakukan hal ini untuk memungkinkan siklus gagal jajak pendapat.
Akses jaringan: membiarkan semua orang yang mengajukan permohonan izin untuk pengguna anonim
Latar belakang
Secara default, Akses jaringan: membiarkan semua orang yang mengajukan permohonan izin untuk pengguna anonim pengaturan diatur ke Tidak didefinisikan pada Windows Server 2003. Secara default, Windows Server 2003 tidak termasuk token akses anonim di semua orang kelompok.
[REG_DWORD] = 0x0 istirahat kepercayaan penciptaan antara Windows Server 2003 dan Windows NT 4.0, ketika domain Windows Server 2003 adalah account domain dan domain Windows NT 4.0 adalah sumber daya domain. Ini berarti bahwa account domain dipercaya Windows NT 4.0 dan sumber daya domain adalah mempercayai di sisi Windows Server 2003. Perilaku ini terjadi karena proses untuk memulai kepercayaan setelah anonim sambungan awal ACL akan dengan semua orang yang token yang mencakup SID anonim pada Windows NT 4.0.
Alasan untuk mengubah pengaturan ini
Nilai harus diatur ke 0x00000001 atau mengatur dengan menggunakan GPO pada kontroler domain OU menjadi: Akses jaringan: biarkan semua orang izin yang berlaku untuk pengguna anonim - diaktifkan untuk membuat kreasi kepercayaan mungkin.
Catatan Pengaturan keamanan lain naik di nilai, bukan ke 0x0 dalam keadaan yang paling aman. Praktek lebih aman akan mengubah registri pada emulator kontroler domain utama bukan pada semua pengontrol domain. Jika domain utama controller emulator peran pindah untuk alasan apapun, registri harus diperbaharui di server baru.
Sesi keamanan menentukan standar keamanan minimum untuk klien dan server sesi. Itu adalah ide yang baik untuk memverifikasi pengaturan kebijakan keamanan berikut dalam snap-in konsol manajemen Microsoft kebijakan grup Editor:
Komputer Settings\Windows Settings\Security Settings\Local Policies\Security pilihan
Jaringan keamanan: Minimum sesi keamanan untuk server NTLM SSP didasarkan (termasuk aman RPC)
Jaringan keamanan: Minimum sesi keamanan untuk klien NTLM SSP didasarkan (termasuk aman RPC)
Pilihan untuk pengaturan ini adalah:
Memerlukan pesan integritas
Memerlukan pesan kerahasiaan
Memerlukan NTLM versi 2 sesi keamanan
Memerlukan enkripsi 128-bit
Pengaturan standar Tidak ada persyaratan.
Kebijakan ini menentukan standar keamanan minimum untuk aplikasi-aplikasi komunikasi sesi pada serverfor klien.
Secara historis, Windows NT telah mendukung dua varian berikut tantangan/tanggapan otentikasi untuk jaringan login:
LM tantangan/tanggapan
NTLM versi 1 tantangan/tanggapan
LM memungkinkan interoperabilitas dengan basis diinstal klien dan server. NTLM menyediakan keamanan untuk hubungan antara klien dan server.
Kunci registri yang sesuai adalah sebagai berikut:
Waktu sinkronisasi gagal. Waktu tidak aktif secara lebih kemudian 30 menit pada komputer yang terpengaruh. Pastikan bahwa komputer klien jam disinkronisasi dengan jam kontroler domain.
Kami menyarankan Anda untuk menginstal Paket Layanan 6a (SP6a) pada klien Windows NT 4.0 yang berinterpolasi di domain berbasis Windows Server 2003. Klien berbasis Windows 98 Second Edition, Windows 98, dan berbasis berbasis Windows 95 harus menjalankan klien layanan direktori untuk melakukan NTLMv2. Jika klien berbasis Windows NT 4.0 tidak memiliki Windows NT 4.0 SP6 diinstal atau jika Windows 95, Windows 98, dan Windows 98SE berbasis klien tidak memiliki menginstal klien layanan direktori, menonaktifkan penandatangan dalam kebijakan kontroler domain default pengaturan pada kontroler domain OU SMB, dan kemudian link kebijakan ini untuk semua OUs host pengontrol domain.
Direktori layanan klien untuk Windows 98 Second Edition, Windows 98, dan Windows 95 akan melakukan penandatangan SMB dengan Windows 2003 server bawah otentikasi NTLM, tetapi tidak di bawah NTLMv2 otentikasi. Selain itu, Windows 2000 Server tidak akan menanggapi permintaan penandatangan SMB dari klien ini.
Meskipun Microsoft tidak menganjurkan itu, Anda dapat mencegah penandatangan SMB dari yang diperlukan pada semua pengontrol domain yang menjalankan Windows Server 2003 di domain. Untuk mengkonfigurasi pengaturan keamanan ini, ikuti langkah berikut:
Buka kebijakan kontroler domain default.
Terbuka Komputer Configuration\Windows Settings\Security Settings\Local Policies\Security pilihan folder.
Cari dan kemudian klik Server jaringan Microsoft: sign secara digital (selalu) komunikasi pengaturan kebijakan, dan kemudian klik Nonaktif.
Penting Bagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah yang serius dapat terjadi apabila Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasi. Kemudian, Anda dapat memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
322756
(http://support.microsoft.com/kb/322756/
)
Cara membuat cadangan dan memulihkan registri di Windows
Atau, matikan SMB penandatanganan di server dengan memodifikasi registri. Untuk melakukannya, ikuti langkah-langkah berikut:
Klik Mulai, klik Menjalankan, jenis regedit, lalu klik Oke.
Restart komputer, atau berhenti, dan kemudian restart layanan Server. Untuk melakukannya, ketik perintah berikut pada prompt perintah, dan tekan ENTER setelah Anda mengetik tiap perintah: net stop server net start server
Catatan Tombol pada komputer klien adalah dalam subkunci registri berikut:
Daftar berikut diterjemahkan nomor kode kesalahan kode status dan kesalahan verbatim pesan teks yang disebutkan sebelumnya:
Galat 5 ERROR_ACCESS_DENIED Akses ditolak.
kesalahan 1326 ERROR_LOGON_FAILURE Logon kegagalan: tidak diketahui nama pengguna atau sandi buruk.
kesalahan 1788 ERROR_TRUSTED_DOMAIN_FAILURE Hubungan kepercayaan antara domain utama dan dipercaya domain gagal.
kesalahan 1789 ERROR_TRUSTED_RELATIONSHIP_FAILURE Hubungan kepercayaan antara workstation ini dan domain utama gagal.
Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
324802
(http://support.microsoft.com/kb/324802/
)
Cara mengkonfigurasi kebijakan grup untuk mengatur keamanan untuk layanan sistem pada Windows Server 2003
306771
(http://support.microsoft.com/kb/306771/
)
Pesan galat "Akses ditolak" setelah Anda mengkonfigurasi Windows Server 2003 cluster
101747
(http://support.microsoft.com/kb/101747/
)
Cara menginstal Microsoft otentikasi pada Macintosh
161372
(http://support.microsoft.com/kb/161372/
)
Cara mengaktifkan SMB masuk Windows NT
236414
(http://support.microsoft.com/kb/236414/
)
Tidak dapat menggunakan saham dengan LMCompatibilityLevel yang ditetapkan untuk hanya otentikasi NTLM 2
241338
(http://support.microsoft.com/kb/241338/
)
Versi Windows NT LAN Manager 3 klien dengan logon pertama saja mencegah aktivitas logon berikutnya
262890
(http://support.microsoft.com/kb/262890/
)
Tidak dapat memperoleh direktori home drive koneksi di lingkungan campuran
308580
(http://support.microsoft.com/kb/308580/
)
Pemetaan rumah folder untuk server down-tingkat mungkin tidak bekerja selama logon
285901
(http://support.microsoft.com/kb/285901/
)
Akses remote, VPN, dan RIS klien tidak dapat membuat sesi dengan sebuah server yang dikonfigurasi untuk menerima hanya otentikasi NTLM versi 2
816585
(http://support.microsoft.com/kb/816585/
)
Bagaimana menerapkan template standar keamanan dalam Windows Server 2003
820281
(http://support.microsoft.com/kb/820281/
)
Anda harus memberikan kredensial account Windows ketika tersambung ke Exchange Server 2003 dengan menggunakan Outlook 2003 RPC atas HTTP fitur
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:823659
(http://support.microsoft.com/kb/823659/en-us/
)
Seberapa besar upaya Anda untuk menggunakan artikel ini?
Sangat sedikit
Sedikit
Sedang
Besar
Sangat besar
Berikan saran tentang apa yang dapat kami lakukan untuk menyempurnakan informasi ini
Terima kasih! Masukan Anda akan digunakan untuk membantu kami meningkatkan konten dukungan. Untuk opsi bantuan lainnya, kunjungi Halaman Beranda Bantuan dan Dukungan.
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
Penerjemahan Mesin
Kembali ke atas
