Client, servizio e le incompatibilità di programma che possono verificarsi quando si modificano le impostazioni di protezione e le assegnazioni di diritti utente
Se siete un cliente di aziende di piccole dimensioni, trovare ulteriori risorse di formazione e di risoluzione dei problemi di Supporto per le piccole aziende
In questo articolo vengono descritte le incompatibilità che possono verificarsi su
computer client che eseguono Microsoft Windows 95, Microsoft Windows 98
Microsoft Windows NT 4.0, Microsoft Windows 2000, Microsoft Windows XP
Professional o Microsoft Windows Server 2003 quando si modificano di specifico
utente e le impostazioni di protezione rights assignments in domini Windows NT 4.0, in
Domini di Windows 2000 e nei domini Windows Server 2003.
Mediante la configurazione di questi
le impostazioni e le assegnazioni in Criteri locali e i criteri di gruppo, consentono di
aumentare la protezione nei controller di dominio e sui computer membri. Il
lo svantaggio di aumentare la protezione è l'introduzione di incompatibilità con
client, servizi e programmi.
Per aumentare la consapevolezza di
impostazioni di protezione configurate in modo errato, utilizzare lo strumento Editor oggetti Criteri di gruppo per
modificare le impostazioni di protezione. Quando si utilizza Editor oggetti Criteri di gruppo, i diritti utente
le assegnazioni vengono migliorate sui seguenti sistemi operativi:
Microsoft Windows XP Professional Service Pack 2
(SP2)
Microsoft Windows Server 2003 Service Pack 1
(SP1)
Il miglioramento include una finestra di dialogo che contiene un collegamento
a questo articolo che POP ogni volta che si modifica un'impostazione di protezione o un utente
assegnazione di un'impostazione che offre meno compatibilità ed è più dei diritti
restrittivo. Se si modifica direttamente gli stessi diritti utente o l'impostazione di protezione
assegnazione mediante il Registro di sistema o utilizzando i modelli di protezione, l'effetto è
equivale alla modifica dell'impostazione nell'Editor oggetti Criteri di gruppo; Tuttavia, il
non viene visualizzato nella finestra di dialogo che contiene il collegamento a questo articolo.
In questo articolo contiene esempi di client, di
programmi e delle operazioni che sono interessate da impostazioni di protezione specifiche o
Assegnazione diritti utente. Tuttavia, non sono autorevoli per tutti gli esempi
Sistemi operativi Microsoft, per tutti i sistemi operativi di terze parti o per tutti
versioni dei programmi interessati. Non tutte le impostazioni di protezione e i diritti utente
le assegnazioni sono inclusi in questo articolo.
Si consiglia
convalidare la compatibilità di tutte le modifiche di configurazione relative alla protezione in
una foresta di test prima di introdurre in un ambiente di produzione. Il test
insieme di strutture deve rispecchiare la foresta di produzione nei modi seguenti:
Versioni del sistema operativo client e server, client e
programmi server, versioni dei service pack, aggiornamenti rapidi, modifiche dello schema, protezione
i gruppi, le appartenenze ai gruppi, autorizzazioni per gli oggetti nel file system condiviso
le cartelle, il Registro di sistema, servizio directory di Active Directory, locale e di gruppo
Le impostazioni dei criteri e l'oggetto tipo di conteggio e posizione
Attività amministrative vengono eseguite, amministrazione
gli strumenti utilizzati e sistemi operativi che consentono di eseguire
attività amministrative
Operazioni eseguite, inclusi computer e utente
autenticazione di accesso; reimpostazione delle password da parte degli utenti, computer e da
amministratori; esplorazione; impostazione delle autorizzazioni per il file system per condivisi
cartelle per il Registro di sistema e per le risorse di Active Directory mediante ACL
Editor in tutti i sistemi operativi di client in tutti i domini di account o una risorsa da
tutti i sistemi operativi di tutti i domini di account o risorse; Stampa
da account non amministrativi e
Windows Server 2003 SP1
Avvisi in gpedit. msc
Per i clienti di tenere presenti che stanno modificando un diritto utente o un'opzione di protezione che potrebbe avere negativi effetti sulla rete, sono stati aggiunti due meccanismi di avviso a gpedit. msc. Quando gli amministratori modificano un diritto utente che può influenzare negativamente l'intera azienda, vedranno una nuova icona simile a un segnale di precedenza. Inoltre, riceveranno un messaggio di avviso che dispone di un collegamento all'articolo della Microsoft Knowledge Base numero 823659. Di seguito è riportato il testo del messaggio:
Modifica di questa impostazione può influire sulla compatibilità con client, servizi e applicazioni. Per ulteriori informazioni, vedere <user right="" or="" security="" option="" being="" modified="">(Q823659)</user>
Se è stata richiesta a questa Knowledge Base da un collegamento di GPEDIT.MSC, assicurarsi di leggere e comprendere la spiegazione fornita e il possibile effetto della modifica di questa impostazione. Di seguito è un elenco di diritti utente che contiene il nuovo testo dell'avviso:
Accesso al computer dalla rete
Accesso locale
Ignorare controllo incrociato
Attivazione di computer e utenti per delega attendibile
Di seguito è un elenco di opzioni di protezione con il messaggio di avviso e un popup:
Membro di dominio: Digitale crittografare o firmare i dati del canale protetto (sempre)
Membro di dominio: Richiedi chiave di sessione avanzata (Windows 2000 o versione successiva)
Controller di dominio: Server LDAP requisiti per la firma
Server di rete Microsoft: firma digitale alle comunicazioni (sempre)
Accesso di rete: Consente l'anonima Sid / nome traduzione
Accesso di rete: Non consentire l'enumerazione anonima di SAM account e condivisioni
Protezione di rete: livello di autenticazione di LAN Manager
Controllo: Arresta il sistema immediatamente se non è possibile registrare i controlli di protezione
Accesso di rete: Client LDAP requisiti per la firma
Nelle sezioni seguenti vengono descrivono le incompatibilità che possono
si verifica quando si modificano impostazioni specifiche in domini Windows NT 4.0, Windows 2000
domini e nei domini Windows Server 2003.
Diritti utente
Accesso al computer dalla rete
Sfondo
La capacità di interagire con i computer remoti di Windows
è necessario il diritto utente accesso al computer dalla rete . Esempi di tali operazioni di rete di
replica di Active Directory tra controller di dominio in un dominio comune
o insieme di strutture, le richieste di autenticazione ai controller di dominio da parte di utenti e da
i computer e l'accesso alle cartelle condivise, stampanti e altro sistema
servizi che si trovano in computer remoti sulla rete.
Utenti,
computer e account di servizio, ottenere o perdono l'utente di accesso al computer dalla rete a destra viene implicitamente o esplicitamente aggiunti o rimossi
da un gruppo di protezione che è stato concesso questo diritto utente. Ad esempio, un
account utente o un account computer può essere aggiunto esplicitamente alla personalizzato o un
protezione incorporata di gruppo da un amministratore o possono essere aggiunti in modo implicito per il
sistema operativo a un gruppo di protezione calcolato, ad esempio gli utenti del dominio,
Gli utenti autenticati o controller di dominio dell'organizzazione.
Per impostazione predefinita,
account utente e account computer vengono concesse il diritto utente accesso al computer dalla rete quando calcolate gruppi come Everyone o, preferibilmente,
Gli utenti autenticati e, per i controller di dominio, il dominio dell'organizzazione
I controller di gruppo, sono stati definiti nel gruppo per i controller di dominio predefinito
Oggetto Policy (GPO).
Configurazioni rischiose
Di seguito sono le impostazioni di configurazione nocivi:
Rimozione della protezione del controller di dominio organizzazione
gruppo di questo diritto utente
Rimozione del gruppo Authenticated Users o un
gruppo esplicito che consente all'utente di utenti, computer e account di servizio
diritto di connettersi ai computer in rete
Rimozione di tutti gli utenti e computer da questo utente
a destra
Motivi per concedere questo diritto utente
Concedere al gruppo di controller di dominio organizzazione
il diritto utente accesso al computer dalla rete soddisfa i requisiti di autenticazione che attivi
La replica di directory è necessario per la replica tra domain
controller della foresta stessa.
Questo diritto utente consente a utenti e computer
accesso ai file condivisi, stampanti e servizi di sistema, tra cui Active
Directory.
Questo diritto utente è obbligatorio per gli utenti di accedere a
posta elettronica tramite le versioni precedenti di Microsoft Outlook Web Access (OWA).
Motivi per rimuovere questo diritto utente
Gli utenti possano connettere i computer per il
rete può accedere alle risorse su computer remoti che dispongono delle autorizzazioni
per. Ad esempio, questo diritto utente è necessario per un utente per la connessione condivisa
stampanti e cartelle. Se questo diritto utente viene concesso a Everyone gruppo,
e se alcune cartelle condivise sono condivisione e NTFS le autorizzazioni del file
configurato in modo che lo stesso gruppo ha accesso in lettura, chiunque può visualizzare i file
tali cartelle condivise. Tuttavia, si tratta di una situazione improbabile fresche
le installazioni di Windows Server 2003 perché la condivisione predefinita e il file system NTFS
le autorizzazioni in Windows Server 2003 non comprendono il gruppo Everyone. Per
sistemi aggiornati da Microsoft Windows NT 4.0 o Windows 2000, questo
vulnerabilità può presentare un livello di rischio più elevato poiché condividono il valore predefinito e il
autorizzazioni del file system per questi sistemi operativi non sono più restrittive
le autorizzazioni predefinite in Windows Server 2003.
Non vi è alcun motivo valido per la rimozione dell'organizzazione
Gruppo di controller di dominio da questo diritto utente.
Il gruppo Everyone viene in genere rimosso a favore di
il gruppo Authenticated Users. Se il gruppo Everyone viene rimosso, il
Gruppo Authenticated Users deve essere concesso questo diritto utente.
Domini Windows NT 4.0 aggiornati a Windows
2000 non concedono esplicitamente Everyone, Authenticated Users o il
Controller di dominio organizzazione gruppo il diritto utente accesso al computer dalla rete . Di conseguenza, quando si rimuove il gruppo Everyone
Criteri di dominio Windows NT 4.0, replica di Active Directory avrà esito negativo con un
Messaggio di errore "Accesso negato" dopo l'aggiornamento a Windows 2000. Winnt32. exe in
Windows Server 2003 consente di evitare questo errore di configurazione concedendo l'azienda
Gruppo di controller di dominio questo diritto utente quando si esegue l'aggiornamento Windows NT 4.0
controller di dominio primario (PDC). Concedere il controller di dominio organizzazione
Questo utente di gruppo a destra se non è presente nell'oggetto Criteri di gruppo
Editor.
Esempi di problemi di compatibilità
Windows 2000 e Windows Server 2003: Replica dello Schema di Active Directory, della configurazione, di
Dominio di catalogo globale o di partizioni applicative avrà esito negativo con l'accesso"
"Errori negato segnalato da strumenti quali REPLMON e REPADMIN per il monitoraggio o
eventi nel registro eventi di replica.
Microsoft tutti i sistemi operativi di rete: Autenticazione degli Account utente dai computer client di rete remota
avrà esito negativo a meno che l'utente o un gruppo di protezione dell'utente è un membro ha
stato concesso questo diritto utente.
Microsoft tutti i sistemi operativi di rete: Autenticazione degli account dai client di rete remoti avrà esito negativo
a meno che non è stato l'account o l'account è un membro di un gruppo di protezione
concesso questo diritto utente. Questo scenario si applica agli account utente, computer
gli account e per gli account di servizio.
Microsoft tutti i sistemi operativi di rete: Rimozione di tutti gli account da questo diritto utente impedirà qualsiasi
account di accesso al dominio o di accedere alle risorse di rete. If
gruppi, ad esempio controller di dominio organizzazione, calcolati tutti gli utenti, o
Gli utenti autenticati vengono rimosse, è necessario concedere esplicitamente questo diritto utente
gli account o per la protezione dei gruppi che l'account è un membro di accesso remoto
computer in rete. Questo scenario si applica a tutti gli account utente, a tutti
gli account di computer e a tutti gli account di servizio.
Microsoft tutti i sistemi operativi di rete:L'account di amministratore locale viene utilizzata una password "vuota". Connettività di rete con password vuote non è consentita per gli account di amministratore in un ambiente di dominio. Con questa configurazione, è possibile prevedere di ricevere un messaggio di errore "Accesso negato".
Consenti accesso locale
Sfondo
Gli utenti che tentano di accedere alla console di un
Computer basato su Windows di Microsoft (utilizzando la chiave di accesso CTRL + ALT + CANC
sequenza) e gli account che siano tentando di avviare un servizio devono avere accesso locale
privilegi sul computer host. Esempi di operazioni di accesso locale
gli amministratori che accedono alle console dei computer membri, o
sui controller di dominio gli utenti dell'organizzazione e del dominio che effettua l'accesso
ai computer membro di accedere ai desktop utilizzando non privilegiato
account. È necessario che gli utenti che utilizzano una connessione Desktop remoto o servizi Terminal
che l'utente Consenti accesso locale sul computer di destinazione che eseguono Windows 2000
o Windows XP
Poiché queste modalità di accesso sono considerate locali per il computer host. Utenti
chi effettua l'accesso a un server che è attivato Terminal Server e che non
dispongono di questo utente a destra può ancora avviare una sessione interattiva remota in Windows
Domini di Server 2003 se hanno il diritto utente Consenti accesso tramite Servizi Terminal .
Configurazioni rischiose
Di seguito sono le impostazioni di configurazione nocivi:
Rimozione di gruppi di protezione amministrativi, tra cui
Account Operators, Backup Operators, Print Operators o Server Operators, e
il gruppo predefinito Administrators dai controller di dominio predefinito
criteri.
Rimozione degli account di servizio utilizzati da
componenti e da programmi su computer membri e controller di dominio di
dominio dal criterio del controller di dominio predefinito.
Rimozione di utenti o gruppi di protezione per l'accesso
la console di computer membri del dominio.
Rimozione degli account di servizio definiti nel
database Gestione account di protezione (SAM) locale del computer membro o di
computer del gruppo di lavoro.
Rimozione non-create-in amministrazione account
autenticazione tramite Servizi Terminal è in esecuzione su un dominio
controller.
Aggiunta di tutti gli account utente nel dominio in modo esplicito
o in modo implicito tramite Everyone gruppo il diritto di accesso Nega accesso locale . Questa configurazione impedirà agli utenti di registrazione
a qualsiasi computer membro o a qualsiasi controller di dominio nel dominio.
Motivi per concedere questo diritto utente
Gli utenti devono disporre del diritto utente Consenti accesso locale per accedere alla console o il desktop di un gruppo di lavoro
computer, un computer membro o un controller di dominio.
Gli utenti devono disporre del diritto utente accesso on over un
Sessione di Servizi terminal è in esecuzione su basato su Windows 2000
computer membro o controller di dominio.
Motivi per rimuovere questo diritto utente
Errore per limitare l'accesso da console a legittimi
numero di utenti non autorizzati di scaricare ed eseguire potrebbero comportare gli account utente
codice dannoso per modificare i diritti utente.
Rimozione del diritto utente Consenti accesso locale impedisce accessi non autorizzati alle console dei
computer, ad esempio i controller di dominio o server applicazioni.
Impedisce la rimozione di questo diritto di accesso non di dominio
gli account di accesso dalla console dei computer membri di
dominio.
Esempi di problemi di compatibilità
i server terminal di Windows 2000: Il diritto utente Consenti accesso locale è necessario per gli utenti di accedere a Windows 2000
server terminal.
Windows NT 4.0, Windows 2000, Windows XP o Windows Server 2003: Gli account utente devono disporre di questo diritto utente ad accedere al
console del computer che eseguono Windows NT 4.0, Windows 2000, Windows XP
o Windows Server 2003.
Windows NT 4.0 e versioni successive: Nei computer che eseguono Windows NT 4.0 e versioni successive, se si
aggiunta il diritto utente Consenti accesso locale , ma è implicitamente o esplicitamente concedere il diritto di accesso Nega accesso locale , l'account non sarà in grado di accedere al
console dei controller di dominio.
Ignorare controllo incrociato
Sfondo
Il diritto utente Ignorare controllo incrociato consente all'utente di esplorare le cartelle NTFS
file system o nel Registro di sistema senza l'autorizzazione di accesso speciale Visita cartelle . Il diritto utente Ignorare controllo incrociato non consente all'utente di elencare il contenuto di un
cartella; consente all'utente di attraversare solo le cartelle.
Configurazioni rischiose
Di seguito sono le impostazioni di configurazione nocivi:
Rimozione di account non amministrativo l'accesso
per i servizi Terminal basato su Windows 2000 o Windows Server 2003
che non dispone delle autorizzazioni per accedere a file e cartelle nel file
sistema.
Rimozione del gruppo Everyone dall'elenco dei
identità di protezione che, per impostazione predefinita, dispongono di questo diritto utente. Le finestre
sistemi operativi e anche molti programmi sono stati progettati con la
aspettativa che chiunque può legittimamente accedere al computer avrà il diritto utente Ignorare controllo incrociato . Di conseguenza, rimuovendo il gruppo Everyone dall'elenco
identità di protezione che, per impostazione predefinita, dispongono di questo utente può causare a destra
l'instabilità del sistema operativo o di un errore di programma. È preferibile che lasciano
Questa impostazione predefinita.
Motivi per concedere questo diritto utente
L'impostazione predefinita per il diritto utente Ignorare controllo incrociato è consentire a chiunque di ignorare controllo incrociato. Per
gli amministratori di sistema di Windows, si è verificato questo è il comportamento previsto, e
configurare di conseguenza gli elenchi di controllo accesso file sistema (SACL). L'unico
scenario in cui la configurazione predefinita può causare un errore se il
amministratore che configura le autorizzazioni non è in grado di interpretare il comportamento e
è previsto che gli utenti che non possono accedere a una cartella padre non sarà in grado di accedere
il contenuto delle cartelle figlio.
Motivi per rimuovere questo diritto utente
Organizzazioni che devono prestare particolare attenzione alla
protezione potrebbe avere la tentazione di rimuovere il gruppo Everyone o addirittura forse per rimuovere
il gruppo di utenti, dall'elenco dei gruppi che hanno il diritto utente Ignorare controllo incrociato per tentare di impedire l'accesso ai file o cartelle
nel file system.
Esempi di problemi di compatibilità
Windows 2000, Windows Server 2003: Se il diritto utente Ignorare controllo incrociato viene rimosso o non è configurata correttamente su computer che sono
con Windows 2000 o Windows Server 2003, le impostazioni di criteri di gruppo nel SYVOL
cartella non verrà replicati tra controller di dominio nel dominio.
Windows 2000, Windows XP Professional, Windows Server 2003: Computer che eseguono Windows 2000, Windows XP Professional
o Windows Server 2003 verranno registrati gli eventi 1000 e 1202 e non sarà in grado di
applicare criteri del computer e utente quando le autorizzazioni del file richiesto
vengono rimossi dalla struttura SYSVOL se il diritto utente Ignorare controllo incrociato viene rimosso o non è configurato in modo errato.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
ID evento 1000, 1001 viene registrato ogni cinque minuti nel registro eventi dell'applicazione
Windows 2000, Windows Server 2003: Nei computer che eseguono Windows 2000 o Windows Server
2003, il Quota scheda nella finestra di Esplora risorse di Windows non sarà più visualizzati quando
è possibile visualizzare le proprietà di un volume.
Windows 2000: Utenti non amministratori che accedono a un server terminal di Windows 2000
è possibile che venga visualizzato il seguente messaggio di errore:
Userinit. exe
Errore dell'applicazione. L'applicazione non correttamente inizializzata 0xc0000142
Fare clic su OK per terminare l'applicazione.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Gli utenti vengono automaticamente disconnessi quando si tenta di accedere a servizi Terminal
Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003:Utenti cui computer eseguono Windows NT 4.0, Windows 2000,
Windows XP o Windows Server 2003 potrebbe non essere in grado di accedere alle cartelle condivise o
all'accesso ai file in cartelle condivise e potrebbero ricevere il messaggio di errore "Accesso negato"
i messaggi se non è concesso il diritto utente Ignorare controllo incrociato .
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Messaggio di errore "Accesso negato" quando gli utenti tentano di accedere alle cartelle condivise
Windows NT 4.0: Nei computer basati su Windows NT 4.0, rimozione del diritto utente Ignorare controllo incrociato causerà una copia del file per la perdita di flussi di file. Se si
rimuovere questo diritto utente quando un file viene copiato da un client Windows o da un
Client Macintosh su un controller di dominio Windows NT 4.0 è in esecuzione servizi
per Macintosh, il flusso di file di destinazione viene perso e il file viene visualizzato come un
file di solo testo.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Rimozione di "Ignorare controllo incrociato" causa la perdita di flussi di copia di file
Microsoft Windows 95, Microsoft Windows 98:In un computer client che esegue Windows 95 o Windows 98, il NET use * /home comando non verrà eseguito con un accesso"
Messaggio di errore negato"Se il gruppo Authenticated Users non è concesso il diritto utente Ignorare controllo incrociato .
Outlook Web Access: Gli amministratori non saranno in grado di accedere a Microsoft
Outlook Web Access e verrà visualizzato un messaggio di errore "Accesso negato" Se
non dispongono del diritto utente Ignorare controllo incrociato .
Impostazioni di protezione
Controllo: Arresta il sistema immediatamente se non è possibile registrare i controlli di protezione
Sfondo
Il controllo: Arresta il sistema immediatamente se non è possibile registrare i controlli di protezione impostazione determina se l'arresto del sistema se non è possibile
registrare gli eventi di protezione. Questa impostazione è necessaria per la protezione di Computer Trusted
Valutazione C2 del programma di valutazione criteri TCSEC () e per i criteri comuni
for Information Technology Security Evaluation impedire eventi controllabili se
il sistema di controllo non è in grado di registrare tali eventi. If
il sistema di controllo ha esito negativo, il sistema è in funzione down e un messaggio di errore
verrà visualizzata.
Se il computer non è possibile registrare gli eventi per il
Registro di protezione, essenziali o importanti informazioni sulla risoluzione dei problemi potrebbe
non essere disponibili per la revisione dopo un incidente di protezione.
Configurazione rischiosa
Il seguente è un'impostazione di configurazione pericolose: il controllo: Arresta il sistema immediatamente se non è possibile registrare i controlli di protezione è attivata, e la dimensione del registro eventi di protezione è limitata dall'opzione non sovrascrivere eventi (pulizia manuale del registro) , l'opzione Sovrascrivi eventi se necessario , o il Sovrascrivi eventi anteriori a numero giorni opzione nel Visualizzatore eventi. Vedere "esempi di compatibilità
Sezione dei problemi"per informazioni sui rischi specifici per i computer
in esecuzione la versione originale di Windows 2000, Windows 2000 Service
Pack 1 (SP1), Windows 2000 SP2 o Windows 2000 SP3.
Motivi per attivare questa impostazione
Se il computer non è possibile registrare gli eventi per la protezione
registro, essenziali o importanti informazioni sulla risoluzione dei problemi potrebbero non essere
disponibile per la revisione dopo un incidente di protezione.
Motivi per disabilitare questa impostazione
Abilitazione di di controllo: Arresta il sistema immediatamente se non è possibile registrare i controlli di protezione impostazione si arresta il sistema se non è possibile registrare un controllo di protezione per
qualsiasi motivo. In genere, non può essere registrato un evento è il Registro di controllo di protezione
in modo completo e quando il metodo di gestione specificato è l'opzione non sovrascrivere eventi (pulizia manuale del registro) o il Sovrascrivi eventi anteriori a numero giorni opzione.
Il carico amministrativo per l'attivazione della controllo: Arresta il sistema immediatamente se non è possibile registrare i controlli di protezione impostazione può essere molto elevato, soprattutto se si attiva l'opzione non sovrascrivere eventi (pulizia manuale del registro) per il Registro di protezione. Questa impostazione fornisce per singolo utente
affidabilità delle azioni dell'operatore. Ad esempio, un amministratore potrebbe reimpostare
autorizzazioni su tutti gli utenti, computer e gruppi in un'unità organizzativa (OU)
controllo in cui è stato abilitato utilizzando l'account administrator predefinito o
condiviso account e quindi negare tali autorizzazioni vengano reimpostate. Tuttavia,
l'attivazione dell'impostazione riduce l'affidabilità del sistema poiché un server
potrebbe essere necessario arrestare sovraccaricato con eventi di accesso e altro
eventi di protezione vengono scritti nel Registro di protezione. Inoltre, poiché il
arresto non regolare danni irreversibili al sistema operativo a
programmi o ai dati può determinare. Anche se NTFS garantisce che il file system
integrità viene mantenuta durante un arresto anomalo del sistema non può
garantisce che ogni file di dati di ogni programma saranno comunque in un formato utilizzabile
al riavvio del sistema.
Windows 2000: A causa di un bug, i computer che eseguono l'originale
versione rilasciata di Windows 2000, Windows 2000 SP1, Windows 2000 SP2, o
Windows Server SP3 potrebbe smettere di eventi degli registrazione prima che venga raggiunta la dimensione specificata nell'opzione dimensione massima registro per il registro eventi di protezione. Questo bug è corretto
in Windows 2000 Service Pack 4 (SP4). Assicurarsi che il dominio di Windows 2000
controller hanno installato prima di Windows 2000 Service Pack 4
attivazione di questa impostazione.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Il registro eventi si interrompe la registrazione di eventi prima di raggiungere la dimensione massima registro
Windows 2000, Windows Server 2003:È possibile che i computer che eseguono Windows 2000 o Windows Server 2003
smettere di rispondere e riavviarsi se il controllo: Arresta il sistema immediatamente se non è possibile registrare i controlli di protezione è attivata e se il Registro di protezione è pieno e un
voce del log eventi esistente non può essere sovrascritto. Al riavvio del computer, il
viene visualizzato il seguente messaggio di errore:
STOP: C0000244
{Controllo fallito} Impossibile generare un controllo di protezione.
Per recuperare, un amministratore deve accedere, archiviare il Registro di protezione (facoltativo)
cancellare il Registro di protezione e quindi reimpostare questa opzione (facoltativa e necessità).
Client di rete Microsoft per MS-DOS, Windows 95, Windows 98, Windows NT, 4.0, Windows 2000, Windows XP, Windows Server 2003:Gli utenti non amministratori che tentano di accedere a un dominio riceveranno il
messaggio di errore seguente:
L'account è configurato per
impedire l'utilizzo di questo computer. Provare un altro
computer.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Messaggio di errore: gli utenti non possono accedere a una workstation
Windows 2000: Nei computer basati su Windows 2000, gli utenti non amministratori non saranno
in grado di accedere a remote access server e verrà visualizzato un messaggio di errore
che è simile al seguente:
Utente sconosciuto o danneggiati
password
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Messaggio di errore: l'account è configurato per impedire l'utilizzo di questo computer
Windows 2000: Nei controller di dominio di Windows 2000, la messaggistica tra siti
servizio (ISMserv. exe) verrà interrotta e non sarà in grado di essere riavviato. DCDIAG
verrà segnalare l'errore come "non riuscita a servizi di prova ISMserv non" e verrà ID evento 1083
essere registrati nel registro eventi.
Windows 2000: Nei controller di dominio di Windows 2000, replica di Active Directory
si avranno esito negativo e un messaggio di "Accesso negato" verrà visualizzato se l'evento di protezione accesso
è piena.
Microsoft Exchange 2000: I server che eseguono Exchange 2000 non sarà in grado di montare
il database dell'archivio informazioni e l'evento 2102 nel verrà registrato l'evento
registro.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Vengono generati messaggi di errore di Exchange 2000 a causa del diritto SeSecurityPrivilege e problemi relativi a Policytest
Outlook, Outlook Web Access: Gli amministratori non saranno in grado di accedere alla posta tramite
Microsoft Outlook o tramite Microsoft Outlook Web Access, e verrà
ricevere un errore 503.
Controller di dominio: requisiti di accesso al server LDAP
Sfondo
Il controller di dominio: requisiti di accesso al server LDAP impostazione di protezione determina se la Directory di Lightweight
Server di Access Protocol (LDAP) richiede ai client LDAP di negoziare la firma dei dati.
I valori possibili per questa impostazione sono:
None: La firma dei dati non è necessario eseguire il binding con il server. Se il
la firma client richiede dati, il server la supporta.
Richiedi firma: L'opzione per la firma dei dati LDAP deve essere negoziata, a meno che trasporto
Layer Security/Secure Socket Layer (TLS/SSL) è in uso.
non definito: Questa impostazione non è attivata o disattivata.
Configurazioni rischiose
Di seguito sono le impostazioni di configurazione nocivi:
Abilitazione di richiedere la firma in ambienti in cui i client non supportano la firma LDAP o
in cui la firma LDAP lato client non è abilitata sul client
Applicazione di Windows 2000 o Windows Server
Modello di protezione Hisecdc. inf 2003 in ambienti in cui i client non è
supporta la firma LDAP o in cui la firma LDAP lato client non è
attivata
Applicazione di Windows 2000 o Windows Server
Modello di protezione hisecws. inf 2003 in ambienti in cui i client non è
supporta la firma LDAP o in cui la firma LDAP lato client non è
attivata
Motivi per attivare questa impostazione
Traffico di rete privo di firma è soggetto a
attacchi man-in-the-middle in cui un intruso acquisisce i pacchetti tra il client
e il server consente di modificare i pacchetti e li inoltra al server.
Quando ciò si verifica su un server LDAP, un utente malintenzionato potrebbe costringere un server
per prendere decisioni basate su false query provenienti dal client LDAP. È possibile
ridurre questo rischio in una rete aziendale implementando la protezione fisica efficaci
misure per proteggere l'infrastruttura di rete. Internet Protocol security
Modalità di intestazione autenticazione (IPSec) può rendere estremamente attacchi man-in-the-middle
difficile. Modalità di intestazione autenticazione esegue l'autenticazione reciproca e dei pacchetti
integrità per il traffico IP.
Motivi per disabilitare questa impostazione
I client che non supportano la firma LDAP non verrà
essere in grado di eseguire le query LDAP contro i controller di dominio e contro globale
cataloghi se viene negoziata l'autenticazione NTLM e il corretto service Pack
non sono installati nei controller di dominio di Windows 2000.
Le tracce del traffico LDAP tra client di rete e
i server saranno crittografati, rendendo difficile esaminare LDAP
conversazioni.
Basato su Windows 2000 Server devono disporre di Windows 2000
Service Pack 3 (SP3) o versione successiva quando sono amministrati con
programmi che supportano la firma LDAP vengono eseguiti dal computer client che eseguono
Windows 2000 SP4, Windows XP o Windows Server 2003.Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Controller di dominio di Windows 2000 richiedono il Service Pack 3 o versione successiva per utilizzare gli strumenti di amministrazione di Windows Server 2003
I binding semplici avranno esito negativo e verrà visualizzato il
messaggio di errore seguente:
Ldap_simple_bind_s () non riuscita:
Necessaria autenticazione avanzata.
Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Sui client che eseguono Windows 2000 SP4, Windows XP, o
Windows Server 2003, alcuni strumenti di amministrazione di Active Directory non verrà
funzionare correttamente con i controller di dominio che eseguono versioni di
Windows 2000 precedenti al Service Pack 3 quando viene negoziata l'autenticazione NTLM.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Controller di dominio di Windows 2000 richiedono il Service Pack 3 o versione successiva per utilizzare gli strumenti di amministrazione di Windows Server 2003
Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Sui client che eseguono Windows 2000 SP4, Windows XP, o
Windows Server 2003, alcuni amministrazione di Active Directory che si avvalgono di strumenti
controller di dominio che eseguono versioni di Windows 2000 sono precedenti
a SP3 non funzioneranno correttamente se utilizzano indirizzi IP (per
esempio "DSA. msc /server =x.x.x. x"in cui x.x.x. x è un indirizzo IP).
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Controller di dominio di Windows 2000 richiedono il Service Pack 3 o versione successiva per utilizzare gli strumenti di amministrazione di Windows Server 2003
Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Sui client che eseguono Windows 2000 SP4, Windows XP, o
Windows Server 2003, alcuni amministrazione di Active Directory che si avvalgono di strumenti
controller di dominio che eseguono versioni di Windows 2000 sono precedenti
a SP3 non funzioneranno correttamente.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Controller di dominio di Windows 2000 richiedono il Service Pack 3 o versione successiva per utilizzare gli strumenti di amministrazione di Windows Server 2003
Membro di dominio: Richiedi chiave di sessione avanzata (Windows 2000 o versione successiva)
Sfondo
Il membro del dominio: Richiedi chiave di sessione avanzata (Windows 2000 o versione successiva) impostazione determina se è possibile stabilire un canale protetto
con un controller di dominio non è in grado di crittografare il traffico del canale protetto con un
chiave di sessione avanzata a 128 bit. L'attivazione di questa impostazione impedisce di stabilire una
canale protetto con qualsiasi controller di dominio non può crittografare il canale protetto
dati con una chiave avanzata. Disabilitando l'impostazione, le chiavi di sessione a 64 bit.
Prima di attivare questa impostazione su un membro
workstation o in un server, tutti i controller di dominio nel dominio che il
membro appartiene devono essere in grado di crittografare i dati del canale protetto con una forte
chiave a 128 bit. Ciò significa che tutti i controller di dominio devono essere in esecuzione
Windows 2000 o versione successiva.
Configurazione rischiosa
Attivazione della membro del dominio: Richiedi chiave di sessione avanzata (Windows 2000 o versione successiva) è un'impostazione di configurazione pericolose.
Motivi per attivare questa impostazione
Proteggere le chiavi di sessione vengono utilizzate per stabilire
canale di comunicazione tra computer membri e controller di dominio sono molto
avanzate in Windows 2000 rispetto alle versioni precedenti di Microsoft
sistemi operativi.
Ogni volta che è possibile, è bene adottare
sfruttare al meglio queste chiavi di sessione più avanzate per proteggere il canale protetto
comunicazioni da intercettazioni e da attacchi di rete di falsificazione della sessione. Intercettazione è una forma di attacco dannoso in cui i dati di rete sono di lettura o è
modificato in transito. I dati possono essere modificati per nascondere o cambiare il mittente
oppure per reindirizzarli.
Importante Un computer che esegue Windows Server 2008 R2 o Windows 7 supporta solo chiavi avanzate quando vengono utilizzati i canali protetti. Questa limitazione impedisce una relazione di trust tra qualsiasi dominio Windows NT 4.0 e di qualsiasi dominio basato su Windows Server 2008 R2. Inoltre, questa limitazione impedisce l'appartenenza al dominio Windows NT 4.0 di computer che eseguono Windows 7 o Windows Server 2008 R2 e viceversa.
Motivi per disabilitare questa impostazione
Il dominio contiene computer membri che sono in esecuzione
sistemi operativi diversi da Windows 2000, Windows XP o Windows Server
2003.
Windows NT 4.0: Computer basato su Windows NT 4.0 reimpostazione dei canali protetti di
relazioni di trust tra domini Windows NT 4.0 e Windows 2000 con NLTEST
non riesce con il messaggio di errore "Accesso negato":
La relazione di trust
relazione tra il dominio primario e il dominio trusted
non è riuscito.
Windows 7 e Server 2008 R2: A partire da questa versione del sistema operativo, questa impostazione non è supportata in più e viene utilizzata sempre la chiave avanzata. Che relazioni di trust con domini Windows NT 4.0 non funzionano più.
Membro di dominio: digitale crittografare o firmare i dati del canale protetto (sempre)
Sfondo
Attivazione membro del dominio: digitale crittografare o firmare i dati del canale protetto (sempre) impedisce di stabilire un canale protetto con qualsiasi controller di dominio
che non possono firmare o crittografare tutti i dati del canale protetto. Per la protezione
il traffico di autenticazione da attacchi man-in-the-middle, dagli attacchi di riproduzione e
da altri tipi di attacchi alla rete, i computer basati su Windows creare un
canale di comunicazione è noto come un canale protetto tramite il servizio Accesso rete per autenticare gli account computer.
I canali protetti vengono utilizzati anche quando un utente in un dominio si connette a una rete
risorsa in un dominio remoto. Questa autenticazione a più domini o autenticazione pass-through, consente a un computer basato su Windows che fa parte di un dominio che
accedere al database degli account utente del proprio dominio e di qualsiasi dominio trusted.
Per attivare il membro del dominio: digitale crittografare o firmare i dati del canale protetto (sempre) l'impostazione in un computer membro, tutti i controller di dominio
dominio a cui appartiene il membro deve essere in grado di firmare o crittografare tutto protetta
dati del canale. Ciò significa che tutti i controller di dominio devono essere in esecuzione
Windows NT 4.0 con Service Pack 6a (SP6a) o versione successiva.
Abilitazione del membro di dominio: digitale crittografare o firmare i dati del canale protetto (sempre) impostando automaticamente consente il membro di dominio: digitale crittografare o firmare i dati del canale protetto (quando possibile) impostazione.
Configurazione rischiosa
Attivazione della membro del dominio: digitale crittografare o firmare i dati del canale protetto (sempre) nei domini in cui non tutti i controller di dominio possono firmare in o
crittografare i dati del canale protetto sono un'impostazione di configurazione pericolose.
Motivi per attivare questa impostazione
Traffico di rete privo di firma è soggetto a
gli attacchi man-in-the-middle, in cui un intruso acquisisce i pacchetti tra il
il client e server e li modifica prima di inoltrarli al
client. Quando questo comportamento si verifica in un Lightweight Directory Access Protocol
Server (LDAP), l'intruso potrebbe costringere un client a prendere decisioni che sono
basate su falsi record dalla directory LDAP. È possibile ridurre il rischio di tali
un attacco in una rete aziendale implementando la protezione fisica efficaci
misure per proteggere l'infrastruttura di rete. Inoltre, l'implementazione
Modalità di intestazione autenticazione di Internet Protocol security (IPSec) può rendere tutte le
tipi di attacchi man-in-the-middle estremamente difficili. Consente di eseguire
mutua autenticazione e pacchetto l'integrità per il traffico IP.
Motivi per disabilitare questa impostazione
Scopo del computer locale o a domini esterni
supporta i canali protetti crittografati.
Non tutti i controller di dominio nel dominio hanno la
livelli di revisione relativi service pack per supportare crittografato protetto
canali.
Windows NT 4.0: I computer membri basati su Windows 2000 non sarà in grado di partecipare
Domini Windows NT 4.0 e verrà visualizzato il seguente messaggio di errore:
L'account non è autorizzato a connettersi da questa
stazione.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Messaggio di errore: l'account non è autorizzato a connettersi da questa workstation
Windows NT 4.0: Domini Windows NT 4.0 non sarà in grado di stabilire un livello inferiore
trust con un dominio Windows 2000 e verrà visualizzato il seguente messaggio di errore:
L'account non è autorizzato a connettersi da questa
stazione.
Trust di livello inferiore esistenti inoltre non possono autenticare gli utenti
dal dominio trusted. Alcuni utenti potrebbero avere difficoltà ad accedere al
dominio e può ricevere un messaggio di errore che informa che il client
Impossibile trovare il dominio.
Windows XP: I client Windows XP appartenenti a domini Windows NT 4.0 verrà
non essere in grado di autenticare i tentativi di accesso e che venga visualizzato il seguente messaggio di errore
messaggio o gli eventi seguenti possono essere registrati nel registro eventi:
Impossibile connettersi al dominio oppure perché il
controller di dominio è inattivo o non è disponibile o perché il computer
non è stato trovato alcun account
Evento
5723: L'impostazione della sessione dal computer Nomecomputerautenticazione non riuscita. Il nome dell'account a cui fa riferimento il livello di protezione
il database è Nomecomputer. Il seguente messaggio di errore
si è verificato: accesso negato.
Evento 3227: L'installazione della sessione per la Windows NT o di Windows
controller di dominio 2000 Nome del server per il dominio Nome di dominio non è riuscita perché Server
Nome non supporta la firma o il sigillo della sessione Netlogon.
Aggiornare il controller di dominio o impostare la voce RequireSignOrSeal del Registro di sistema
questo computer a 0.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Un client Windows XP non può accedere a un dominio Windows NT 4.0
Microsoft Network: Client di rete Microsoft riceverà uno del seguente errore
messaggi:
Errore durante l'accesso: nome utente sconosciuto o danneggiati
password.
Nessuna chiave di sessione utente per il
sessione di accesso specificato.
Client di rete Microsoft: firma digitale alle comunicazioni (sempre)
Sfondo
Server Message Block (SMB) è il protocollo di condivisione delle risorse è supportato da molti
Sistemi operativi Microsoft. è la base di network basic input/output
System (NetBIOS) e di molti altri protocolli. La firma SMB autentica sia
l'utente e il server che ospita i dati. Se una parte ha esito negativo del
processo di autenticazione, la trasmissione dei dati non verrà eseguita.
Abilitazione della firma SMB inizia durante la negoziazione del protocollo SMB. Criteri di firma SMB determinano se il computer la firma digitale comunicazioni client.
Il protocollo di autenticazione SMB di Windows 2000 supporta l'autenticazione reciproca. L'autenticazione reciproca chiude un attacco di "tipo man-in-the-middle". Supporta anche un protocollo di autenticazione SMB di Windows 2000 l'autenticazione dei messaggi. Consente di evitare attacchi con messaggi attivi.
Per offrire questa autenticazione, la firma SMB inserisce una firma digitale in ogni SMB. Il client e il server di verificare la firma digitale.
Per utilizzare la firma SMB, è necessario attivare la firma SMB o richiedono la firma SMB sul client SMB e il server SMB.
Se la firma SMB è attivata su un server, client abilitati per la firma SMB utilizzano il pacchetto di protocollo di firma durante tutte le sessioni successive.
Se la firma SMB è richiesta in un server, un client non è in grado di stabilire una sessione, a meno che il client è abilitato o richiesto per la firma SMB.
L'abilitazione della firma digitale nelle reti ad alta protezione
Consente di impedire la rappresentazione di client e server. Questo tipo di
la rappresentazione è noto come dirottamento di sessione. Un utente malintenzionato in grado di accedere alla stessa rete del client o
il server utilizza gli strumenti di falsificazione della sessione per interrompere, terminare o sigillare una sessione
in corso. Un utente malintenzionato potrebbe intercettare e modificare i pacchetti SMB non firmati, modificare il traffico e quindi inoltrarlo in modo che il
Server possa effettuare azioni non desiderate. In alternativa, l'utente malintenzionato potrebbe causare
il server o il client dopo un'autenticazione legittima e il guadagno quindi
accesso non autorizzato ai dati.
Il protocollo SMB utilizzato per
file di condivisione e per la stampa nei computer che eseguono Windows 2000
Server, Windows 2000 Professional, Windows XP Professional o Windows Server
2003 supporta l'autenticazione reciproca. L'autenticazione reciproca chiude la sessione
l'autenticazione dei messaggi e gli attacchi di intercettazione. Pertanto, impedisce
attacchi man-in-the-middle. La firma SMB fornisce questa autenticazione inserendo
una firma digitale in ogni SMB. La firma viene quindi verificata da entrambi i
client e server.
Note
Una contromisura alternativa che può contribuire a proteggere la rete di tutti i
il traffico è necessario abilitare le firme digitali con IPSec. Vi sono basate sull'hardware
tasti di scelta rapida per la firma e la crittografia IPSec che possono essere utilizzati per ridurre al minimo il
impatto sulle prestazioni dalla CPU del server. Tali acceleratori non sono presenti che
sono disponibili per la firma SMB.
Per ulteriori informazioni, vedere il capitolo "Firma digitale alla comunicazione server" sul seguente sito Web Microsoft MSDN:
Configurare la firma SMB mediante l'Editor oggetti Criteri di gruppo poiché un un valore del Registro di sistema locale non ha alcun effetto in presenza di un criterio di domino di override.
In Windows 95, Windows 98 e Windows 98 Seconda edizione, il Client di Active Directory utilizza la firma SMB quando esegue l'autenticazione con Windows Server 2003 utilizzando l'autenticazione NTLM. Tuttavia, questi client non utilizzano la firma SMB se l'autenticazione con questi server utilizzando l'autenticazione NTLMv2. Inoltre, i server Windows 2000 non rispondono a richieste da tali client di firma SMB. Vedere l'articolo 10: "protezione di rete: livello di autenticazione di Lan Manager."
Configurazione rischiosa
Il seguente è un'impostazione di configurazione nocivi: lasciare
il client di rete Microsoft: firma digitale alle comunicazioni (sempre) impostazione e la client di rete Microsoft: firma digitale alle comunicazioni (se autorizzato dal server) impostazione impostata su "Non definito" o disattivato. Queste impostazioni consentono di
il redirector di inviare password in testo semplice a server SMB non Microsoft che
non supportano la crittografia delle password durante l'autenticazione.
Motivi per attivare questa impostazione
Abilitazione di client di rete Microsoft: firma digitale alle comunicazioni (sempre) richiedono che i client firmino il traffico SMB quando si contatta il server che
non richiedono la firma SMB, rendendo i client meno vulnerabili al dirottamento di sessione
attacchi.
Motivi per disabilitare questa impostazione
Abilitazione di client di rete Microsoft: firma digitale alle comunicazioni (sempre) impedisce ai client di comunicare con i server di destinazione si
non supportano la firma SMB
Configurazione dei computer per ignorare tutti senza firma SMB
comunicazioni impedisce a programmi e sistemi operativi precedenti
la connessione.
Windows NT 4.0: Non sarà in grado di reimpostare il canale protetto di una relazione di trust
tra un dominio di Windows Server 2003 e un dominio Windows NT 4.0 utilizzando
NLTEST o NETDOM e si riceverà un messaggio di errore "Accesso negato".
Windows XP: Copia dei file da un client Windows XP basato su Windows 2000
i server e ai server basati su Windows Server 2003 può richiedere più tempo.
Non sarà in grado di eseguire il mapping di un'unità di rete da un
client con questa impostazione è attivata e si verrà visualizzato il seguente messaggio di errore
messaggio:
L'account non è autorizzato a connettersi da
questa stazione.
Necessità di riavvio
Riavviare il computer o riavviare il servizio Workstation. A tale scopo, digitare i seguenti comandi al prompt. Premere INVIO dopo ogni comando.
NET stop workstation NET start workstation
Server di rete Microsoft: firma digitale alle comunicazioni (sempre)
Sfondo
Server Messenger Block (SMB) è il protocollo per la condivisione di risorse, supportato da molti
Sistemi operativi Microsoft. è la base di network basic input/output
System (NetBIOS) e di molti altri protocolli. La firma SMB autentica sia
l'utente e il server che ospita i dati. Se una parte ha esito negativo del
processo di autenticazione, la trasmissione dei dati non verrà eseguita.
Abilitazione della firma SMB inizia durante la negoziazione del protocollo SMB. Criteri di firma SMB determinano se il computer la firma digitale comunicazioni client.
Il protocollo di autenticazione SMB di Windows 2000 supporta l'autenticazione reciproca. L'autenticazione reciproca chiude un attacco di "tipo man-in-the-middle". Supporta anche un protocollo di autenticazione SMB di Windows 2000 l'autenticazione dei messaggi. Consente di evitare attacchi con messaggi attivi.
Per offrire questa autenticazione, la firma SMB inserisce una firma digitale in ogni SMB. Il client e il server di verificare la firma digitale.
Per utilizzare la firma SMB, è necessario attivare la firma SMB o richiedono la firma SMB sul client SMB e il server SMB.
Se la firma SMB è attivata su un server, client abilitati per la firma SMB utilizzano il pacchetto di protocollo di firma durante tutte le sessioni successive.
Se la firma SMB è richiesta in un server, un client non è in grado di stabilire una sessione, a meno che il client è abilitato o richiesto per la firma SMB.
L'abilitazione della firma digitale nelle reti ad alta protezione
Consente di impedire la rappresentazione di client e server. Questo tipo di
la rappresentazione è noto come dirottamento di sessione. Un utente malintenzionato in grado di accedere alla stessa rete del client o
il server utilizza gli strumenti di falsificazione della sessione per interrompere, terminare o sigillare una sessione
in corso. Un utente malintenzionato potrebbe intercettare e modificare la larghezza di banda della Subnet senza segno
I pacchetti di gestione (SBM), modificare il traffico e quindi inoltrarlo in modo che il
Server possa effettuare azioni non desiderate. In alternativa, l'utente malintenzionato potrebbe causare
il server o il client dopo un'autenticazione legittima e il guadagno quindi
accesso non autorizzato ai dati.
Il protocollo SMB utilizzato per
file di condivisione e per la stampa nei computer che eseguono Windows 2000
Server, Windows 2000 Professional, Windows XP Professional o Windows Server
2003 supporta l'autenticazione reciproca. L'autenticazione reciproca chiude la sessione
l'autenticazione dei messaggi e gli attacchi di intercettazione. Pertanto, impedisce
attacchi man-in-the-middle. La firma SMB fornisce questa autenticazione inserendo
una firma digitale in ogni SMB. La firma viene quindi verificata da entrambi i
client e server.
Una contromisura alternativa che può contribuire a proteggere
tutto il traffico di rete è necessario abilitare le firme digitali con IPSec. Sono disponibili
acceleratori hardware per la firma e la crittografia IPSec che possono essere utilizzati
Per ridurre al minimo l'impatto sulle prestazioni dalla CPU del server. Non sono disponibili
tasti di scelta rapida disponibili per la firma SMB.
In Windows 95, Windows 98 e Windows 98 Seconda edizione, il Client di Active Directory utilizza la firma SMB quando esegue l'autenticazione con Windows Server 2003 utilizzando l'autenticazione NTLM. Tuttavia, questi client non utilizzano la firma SMB se l'autenticazione con questi server utilizzando l'autenticazione NTLMv2. Inoltre, i server Windows 2000 non rispondono a richieste da tali client di firma SMB. Vedere l'articolo 10: "protezione di rete: livello di autenticazione di Lan Manager."
Configurazione rischiosa
Il seguente è un'impostazione di configurazione nocivi: abilitazione il server di rete Microsoft: firma digitale alle comunicazioni (sempre) su server e sui controller di dominio per accedere a
non compatibile di Windows e di terze parti basate sul sistema operativo client
computer in locale o di domini esterni.
Motivi per attivare questa impostazione
Tutti i computer client che attiva l'impostazione
SMB di supportare direttamente attraverso il Registro di sistema o l'impostazione di criteri di gruppo
la firma. In altre parole, tutti i computer client che hanno questa impostazione attivata
eseguono Windows 95 con il client DS installato, Windows 98, Windows NT 4.0,
Windows 2000, Windows XP Professional o Windows Server 2003.
Se server di rete Microsoft: firma digitale alle comunicazioni (sempre) è disattivata, la firma SMB è completamente disattivata. Completamente
disattivazione di tutte le firme SMB lascia il computer più vulnerabile al dirottamento di sessione
attacchi.
Motivi per disabilitare questa impostazione
L'attivazione di questa impostazione potrebbe causare più lenta copia dei file
e le prestazioni della rete nei computer client.
L'attivazione di questa impostazione impedirà ai client che
non è in grado di negoziare la firma SMB di comunicare con i server e con il dominio
controller. In questo modo, operazioni quali unioni di domini, computer e utente
l'autenticazione, o da programmi di accesso alla rete.
Windows 95: Client Windows 95 che non dispongono di servizi Directory (DS)
Client installato non verrà eseguita l'autenticazione di accesso e verrà visualizzato il seguente
messaggio di errore:
La password di dominio specificato non è
correggere o accedere per l'accesso al server è stato negato.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Messaggio di errore quando il client Windows NT 4.0 o Windows 95 accede al dominio di Windows Server 2003
Windows NT 4.0: Computer client che eseguono versioni di Windows NT 4.0
precedenti al Service Pack 3 (SP3) sarà l'autenticazione di accesso esito negativo e verrà
visualizzato il seguente messaggio di errore:
Il sistema potrebbe non
accedere. Assicurarsi che il nome utente e il dominio siano corretti, quindi digitare il
password nuovamente.
Durante l'autenticazione, alcuni server SMB non Microsoft supportano solo gli scambi di password non crittografata. (Questi scambi noto anche come scambi di "testo normale".) A partire da Windows NT 4.0 SP3, il redirector SMB non invia una password non crittografata durante l'autenticazione a un server SMB se non si aggiunge una voce del Registro di sistema. Per abilitare le password non crittografate per i client SMB nel Windows NT 4.0 Service Pack 3 e versioni successive dei sistemi, modificare il Registro di sistema nel modo seguente: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters Nome valore: EnablePlainTextPassword Tipo di dati: REG_DWORD Dati: 1
Per ulteriori informazioni su argomenti correlati, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
Le password non crittografate possono causare il Service Pack 3 di connettersi ai server SMB
Windows Server 2003: Per impostazione predefinita, le impostazioni di protezione sui controller di dominio che eseguono Windows Server 2003 sono configurate per impedire le comunicazioni dei controller di dominio vengano intercettate o alterate da utenti malintenzionati. Per gli utenti di comunicare con un controller di dominio che esegue Windows Server 2003, i computer client devono utilizzare sia la firma SMB e crittografia o la firma del traffico di canale protetto. Per impostazione predefinita, i client che eseguono Windows NT 4.0 con Service Pack 2 (SP2) o versione precedente e i client che eseguono Windows 95 è necessario la firma dei pacchetti SMB è attivata. Di conseguenza, questi client non potrebbero essere in grado di eseguire l'autenticazione a un controller di dominio basato su Windows Server 2003.
Le impostazioni dei criteri di Windows 2000 e Windows Server 2003: In base alle proprie esigenze di specifiche per l'installazione e configurazione, si consiglia di impostare le seguenti impostazioni di criteri all'entità più bassa dell'ambito necessario nella gerarchia di snap-in Editor criteri di gruppo di Microsoft Management Console:
Configurazione di protezione Protezione\opzioni
Invia password non crittografata per la connessione ai server SMB di terze parti (Questa impostazione è per Windows 2000).
Client di rete Microsoft: invia password non crittografata a server SMB di terze parti (Questa impostazione è per Windows Server 2003).
Nota In alcuni server CIFS di terze parti, ad esempio le versioni Samba meno recenti, è possibile utilizzare le password crittografate.
Non sono compatibili con i seguenti client di server di rete Microsoft: firma digitale alle comunicazioni (sempre) impostazione:
Apple Computer, Inc., Mac OS X
client
Client di rete (ad esempio, Microsoft MS-DOS
Microsoft LAN Manager)
Microsoft Windows per Workgroup
client
Client di Microsoft Windows 95 senza DS
Client installato
Computer Microsoft Windows NT 4.0
senza SP3 o versioni successive
Client di Novell Netware 6 CIFS
Client SAMBA SMB che non dispongono di supporto per SMB
la firma
Necessità di riavvio
Riavviare il computer o riavviare il servizio Server. A tale scopo, digitare i seguenti comandi al prompt. Premere INVIO dopo ogni comando.
NET stop server NET start server
Accesso di rete: Consenti conversione anonima SID/nome
Sfondo
Il accesso di rete: Consenti conversione anonima SID/nome impostazione di protezione determina se un utente anonimo può richiedere
Attributi del numero di identificazione (SID) di protezione per un altro utente.
Configurazione rischiosa
Attivazione della accesso di rete: Consenti conversione anonima SID/nome è un'impostazione di configurazione pericolose.
Motivi per attivare questa impostazione
Se il accesso di rete: Consenti conversione anonima SID/nome impostazione è disattivati, precedenti sistemi operativi o applicazioni
potrebbe non essere in grado di comunicare con i domini di Windows Server 2003. Ad esempio,
i seguenti sistemi operativi, servizi o applicazioni potrebbero non funzionare:
Windows NT 4.0, basato su servizio di accesso remoto
Server
Microsoft SQL Server in esecuzione su Windows NT
3. x o su computer basati su Windows NT 4.0
Servizio di accesso remoto è in esecuzione su Windows
computer basati su 2000 che si trovano in domini di Windows NT 3. x o Windows
Domini NT 4.0
SQL Server in esecuzione sul computer basato su Windows 2000
computer che si trovano in domini di Windows NT 3. x o 4.0 di Windows NT
domini
Utenti nel dominio di risorse Windows NT 4.0 che desiderano
concedere le autorizzazioni di accesso a file, cartelle condivise e oggetti del Registro di sistema per utente
account da domini di account che contengono il dominio di Windows Server 2003
controller
Motivi per disabilitare questa impostazione
Se questa impostazione è attivata, un utente malintenzionato potrebbe utilizzare
il SID degli amministratori conosciuto per ottenere il nome reale della incorporato
Account di amministratore, anche se l'account è stato rinominato. Tale persona potrebbe
Utilizzare quindi il nome dell'account per avviare un attacco di individuazione della password.
Nome simbolico: N/D
Percorso del Registro di sistema: Nessuno. Il percorso è specificato nel codice dell'interfaccia utente.
Esempi di problemi di compatibilità
Windows NT 4.0: I computer nei domini di risorse Windows NT 4.0 verranno visualizzato il
Messaggio di errore "Account sconosciuto" nell'Editor ACL se le risorse, tra cui condivisa
gli oggetti del Registro di sistema, cartelle e file condivisi sono protetti con la protezione
entità che si trovano in domini di account contenenti Windows Server 2003
controller di dominio.
Accesso di rete: non consentire l'enumerazione anonima di SAM account
Sfondo
Il accesso di rete: non consentire l'enumerazione anonima di SAM account impostazione determina le autorizzazioni aggiuntive concesse per le connessioni anonime al computer. Windows consente agli utenti anonimi di eseguire determinate attività, ad esempio l'enumerazione di nomi di server e workstation account Gestione account di protezione (SAM) e delle condivisioni di rete. Ad esempio, un amministratore può utilizzare questo per concedere l'accesso agli utenti di un dominio trusted che non mantiene una relazione di trust reciproca. Una volta effettuata una sessione, un utente anonimo potrebbe essere lo stesso accesso concesso a Everyone gruppo in base all'impostazione nel accesso di rete: Let Everyone permissions apply to anonymous users impostazione o l'elenco di controllo di accesso discrezionale (DACL) dell'oggetto.
In genere, le connessioni anonime sono richiesti dalle versioni precedenti di client (client di livello inferiore) durante l'installazione della sessione SMB. In questi casi, una traccia di rete mostra che l'ID di processo SMB (PID) è che il redirector del client, ad esempio 0xFEFF per Windows 2000 o 0xCAFE Windows NT. RPC può tentare di effettuare connessioni anonime.
ImportanteQuesta impostazione non ha alcun impatto sul dominio
controller. Nei controller di dominio, questo comportamento è controllato dalla presenza di "NT l'accesso anonimo" in "Accesso compatibile precedente a Windows 2000".
In Windows 2000 gestisce un'impostazione analoga Restrizioni addizionali per connessioni anonime, il
RestrictAnonymous
valore del Registro di sistema. Il
percorso di questo valore è:
Per ulteriori informazioni sul valore del Registro di sistema RestrictAnonymous, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
Limitazione delle informazioni disponibili per gli utenti anonimi
Configurazioni rischiose:
Attivazione della accesso di rete: non consentire l'enumerazione anonima di SAM account è un'impostazione di configurazione pericolose da una compatibilità
punto di vista; la sua disabilitazione è un'impostazione di configurazione nocivi da una protezione
punto di vista.
Motivi per attivare questa impostazione
Un utente non autorizzato potrebbe elencare in modo anonimo account
i nomi e quindi utilizzare le informazioni per provare a indovinare le password o per effettuare attacchi di social engineering . Tecniche di social engineering è gergo significa convincere gli utenti a rivelare le
password o altre informazioni di protezione.
Motivi per disabilitare questa impostazione
Se questa impostazione è attivata, è Impossibile
Consente di stabilire relazioni di trust con domini Windows NT 4.0. Questa impostazione provocherà inoltre
problemi relativi ai client di livello inferiore, ad esempio i client Windows NT 3.51 e Windows 95
client che siano tentando di utilizzare le risorse del server.
SMS Network Discovery non sarà in grado di ottenere
le informazioni di sistema e verrà scritto "Sconosciuto"
Proprietà OperatingSystemNameandVersion.
Windows 95, Windows 98: I client Windows 95 e Windows 98 non sarà in grado di
cambiare le password.
Windows NT 4.0: Windows NT computer membri basati su 4.0 non potranno essere
l'autenticazione.
Windows 95, Windows 98: I computer basati su Windows 95 e Windows 98 non saranno in grado di
devono essere autenticati dal controller di dominio di Microsoft.
Windows 95, Windows 98: Gli utenti dei computer basati su Windows 95 e Windows 98 non verrà
essere in grado di modificare le password degli account utente.
Accesso di rete: non consentire l'enumerazione anonima di SAM account e condivisioni
Sfondo
Il accesso di rete: non consentire l'enumerazione anonima di SAM account e condivisioni (noto anche come RestrictAnonymous) determina se anonimo l'enumerazione degli account di protezione
Condivisioni e account manager (SAM) è consentito. Windows consente a utenti anonimi
eseguire determinate attività, ad esempio l'enumerazione di nomi di account di dominio
(utenti, computer e gruppi) e delle condivisioni di rete. Questa opzione risulta utile per
esempio, quando un amministratore desidera concedere l'accesso agli utenti di un attendibile
dominio che non mantiene una relazione di trust reciproca. Se non si desidera consentire
l'enumerazione anonima di account SAM e condivisioni, attivare questa impostazione.
In Windows 2000 gestisce un'impostazione analoga Restrizioni addizionali per connessioni anonime, il
RestrictAnonymous
valore del Registro di sistema. Il
percorso di questo valore è:
Attivazione della accesso di rete: non consentire l'enumerazione anonima di SAM account e condivisioni è un'impostazione di configurazione pericolose.
Motivi per attivare questa impostazione
Attivazione della accesso di rete: non consentire l'enumerazione anonima di SAM account e condivisioni impostazione impedisce l'enumerazione di account SAM e condivisioni da parte degli utenti
e i computer che utilizzano account anonimi.
Motivi per disabilitare questa impostazione
Se questa impostazione è attivata, un utente non autorizzato
Impossibile elencare in modo anonimo i nomi di account e quindi utilizzare le informazioni per tentare di
indovinare le password o per effettuare attacchi di social engineering . Tecniche di social engineering è gergo significa convincere gli utenti a rivelare le
password o altri tipi di informazioni di protezione.
Se questa impostazione è attivata, non sarà possibile
per stabilire relazioni di trust con domini Windows NT 4.0. Questa impostazione provocherà inoltre
problemi relativi ai client di livello inferiore, ad esempio client Windows NT 3.51 e Windows 95
che sta tentando di utilizzare le risorse del server.
Non sarà possibile concedere l'accesso agli utenti di
domini di risorse poiché gli amministratori del dominio trusting non sarà in grado di
per enumerare gli elenchi di account in altro dominio. Gli utenti che accedono ai file e
i server di stampa in modo anonimo non sarà in grado di elencare le risorse di rete condivisa
su tali server. gli utenti devono autenticarsi prima di visualizzare gli elenchi di
stampanti e cartelle condivise.
Windows NT 4.0: Gli utenti non saranno in grado di modificare le password da Windows NT
4.0 workstation quando RestrictAnonymous è abilitata nei controller di dominio nel dominio degli utenti. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Gli utenti non possono modificare la password quando si accede
Windows NT 4.0: Aggiunta di utenti o gruppi globali di domini trusted di Windows 2000
Windows NT 4.0 gruppi locali in User Manager avrà esito negativo con il seguente
messaggio di errore:
Attualmente non sono presenti server di accesso
disponibile per soddisfare la richiesta di accesso.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Il valore del Registro di sistema "RestrictAnonymous" può interrompere la relazione di trust a un dominio Windows 2000
Windows NT 4.0: Windows NT computer basati su 4.0 non sarà in grado di partecipare a domini
durante l'installazione o tramite l'interfaccia utente di dominio join.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Messaggio di errore: Impossibile trovare un controller di dominio
Windows NT 4.0: Windows NT 4.0: Stabilire una relazione di trust di livello inferiore con Windows NT
domini di risorse 4.0 avrà esito negativo con il seguente messaggio di errore quando RestrictAnonymous è abilitato nel dominio trusted:
Impossibile non
trovare controller di dominio per questo dominio.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Impossibile trovare il controller di dominio quando si stabilisce una relazione di trust
Windows NT 4.0: Utenti che accedono al Server Terminal basato su Windows NT 4.0
computer verranno eseguito il mapping per la home directory predefinita anziché la home directory
che viene definita in User Manager per domini.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
I profili utente di terminali Server e i percorsi di cartella principale vengono ignorati dopo l'applicazione di SP4 o versione successiva
Windows NT 4.0: Non sarà in grado di Windows NT 4.0 controller di dominio di backup (BDC)
Per avviare il servizio Accesso rete, per ottenere un elenco dei browser di backup o per
sincronizzare il database di SAM da Windows 2000 o Windows Server 2003
controller di dominio nello stesso dominio.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Il servizio Accesso rete di un BDC 4.0 di Windows NT non funziona in un dominio Windows 2000
Windows 2000: Computer membri basati su Windows 2000 in domini Windows NT 4.0
non sarà in grado di visualizzare le stampanti nei domini esterni se in Criteri di protezione locali del client è attivata l'impostazione non consentire l'accesso senza autorizzazioni anonime esplicite
computer.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Impossibile gestire o visualizzare le proprietà della stampante
Windows 2000: Gli utenti del dominio di Windows 2000 non sarà in grado di aggiungere una rete
stampanti da Active Directory. Tuttavia, potranno aggiungere stampanti
Dopo che selezionarli dalla visualizzazione struttura.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Impossibile visualizzare l'elenco indirizzi globale nei client Outlook dopo l'installazione di Security Rollup Package 1 (SRP1) sul server di catalogo globale
Windows 2000: Su computer basati su Windows 2000, l'Editor ACL non sarà in grado di
aggiungere utenti o gruppi globali da domini Windows NT 4.0 trusted.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Il valore RestrictAnonymous interrompe la relazione di trust in un ambiente di dominio mista
ADMT versione 2: Migrazione delle password degli account utente migrati tra
gli insiemi di strutture con Active Directory migrazione Tool (ADMT) versione 2 verrà
esito negativo.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Impossibile visualizzare l'elenco indirizzi globale nei client Outlook dopo l'installazione di Security Rollup Package 1 (SR) sul server di catalogo globale
Rallentamento delle prestazioni SMB quando si copiano file da Windows XP a un controller di dominio Windows 2000
SMS: Microsoft Systems Management Server (SMS) Network Discovery verrà
non essere in grado di ottenere informazioni sul sistema operativo. Di conseguenza, verrà
scrivere "Sconosciuto" nella proprietà OperatingSystemNameandVersion del DDR SMS
proprietà del record di dati di rilevamento (DDR).
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Come Discovery Data Manager determina quando generare una richiesta di configurazione client
SMS: Quando si utilizza SMS Administrator User Wizard per cercare
gli utenti e gruppi, non utenti e gruppi non verranno elencati.
Inoltre, i client avanzati non possono comunicare con il punto di gestione. Il punto di gestione è richiesto l'accesso anonimo.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Nessun utente o gruppo è elencati in Administrator User Wizard
SMS: Quando si utilizza la funzionalità di individuazione della rete in SMS 2.0 e
nell'installazione di Client remoto con l'opzione di rilevamento rete topologia, client e sistemi operativi attivata, i computer potrebbe essere individuati
ma potrebbe non essere installato.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Le risorse non vengono visualizzate se le connessioni anonime vengono disattivate
Protezione di rete: livello di autenticazione di Lan Manager
Sfondo
L'autenticazione di LAN Manager (LM) è il protocollo
utilizzato per autenticare i client Windows per le operazioni di rete, incluso il dominio
join, l'accesso alle risorse di rete e l'autenticazione utente o computer. LM
livello di autenticazione determina quali autenticazione challenge/response
protocollo viene negoziato tra il client e il computer server.
In particolare, il livello di autenticazione LM determina quali autenticazione
i protocolli che il client tenterà di negoziare o che verranno accettate. Il valore impostato per LmCompatibilityLevel determina quale protocollo di autenticazione challenge/response viene utilizzato per gli accessi alla rete. Questo valore incide sul livello del protocollo di autenticazione utilizzato dai client, il livello di protezione di sessione negoziato e il livello di autenticazione accettato dai server, in base alla tabella riportata di seguito.
Di seguito sono elencate le possibili impostazioni.
Riduci questa tabellaEspandi questa tabella
Valore
Impostazione
Descrizione
0
Invia risposte LM e NTLM &
I client utilizzano l'autenticazione LM e NTLM e NTLMv2 non utilizzano mai
protezione di sessione. i controller di dominio accettano LM, NTLM e NTLMv2
autenticazione.
1
Invia LM e NTLM & - utilizzare la protezione di sessione NTLMv2 se negoziata
I client utilizzano l'autenticazione LM e NTLM e NTLMv2
protezione di sessione, se il server la supporta. i controller di dominio accettano LM, NTLM e NTLMv2
autenticazione.
2
Invia solo risposte NTLM
I client utilizzano solo l'autenticazione NTLM e NTLMv2 sessione
protezione se il server la supporta. i controller di dominio accettano LM, NTLM, e
Autenticazione NTLMv2.
3
Invia solo risposta NTLMv2
I client utilizzano solo l'autenticazione NTLMv2 e protezione di sessione
protezione se il server la supporta. i controller di dominio accettano LM, NTLM, e
Autenticazione NTLMv2.
4
Invia solo risposta NTLMv2 / Rifiuta LM
I client utilizzano solo l'autenticazione NTLMv2 e protezione di sessione
protezione se supportata dal server. I controller di dominio rifiutano LM e accettano
solo autenticazione NTLM e NTLMv2).
5
Invia solo risposta NTLMv2 / Rifiuta LM e NTLM &
I client utilizzano solo l'autenticazione NTLMv2 e protezione di sessione
protezione se il server la supporta. i controller di dominio rifiutano LM e NTLM (essi
accettare solo l'autenticazione NTLMv2).
Nota In Windows 95, Windows 98 e Windows 98 Seconda edizione, il Client di Active Directory utilizza la firma SMB quando esegue l'autenticazione con Windows Server 2003 utilizzando l'autenticazione NTLM. Tuttavia, questi client non utilizzano la firma SMB se l'autenticazione con questi server utilizzando l'autenticazione NTLMv2. Inoltre, i server Windows 2000 non rispondono a richieste da tali client di firma SMB.
Controllare il livello di autenticazione LM È necessario modificare il criterio sul server per consentire NTLM oppure configurare il computer client per supportare NTLMv2.
Se il criterio è impostato su (5) Invia solo risposta NTLMv2\Rifiuta LM e NTLM & sul computer di destinazione che si desidera connettersi, è necessario ridurre l'impostazione del computer o impostare la protezione per la stessa impostazione nel computer di origine che si effettua la connessione.
Trovare la posizione corretta in cui è possibile modificare LAN manager il livello di autenticazione per impostare il client e il server allo stesso livello. Dopo aver trovato il criterio di impostazione livello di autenticazione LAN manager se si desidera effettuare la connessione da e verso computer che eseguono versioni precedenti di Windows, diminuire il valore di almeno (1) Invia LM & - utilizzare NTLM versione 2 di NTLM se negoziata la protezione di sessione. Un effetto di impostazioni non compatibili è che se il server richiede NTLMv2 (valore 5), ma il client è configurato per utilizzare LM e NTLMv1 solo (valore 0), l'utente che tenta l'autenticazione si verifica un errore di accesso che dispone di una password errata e che incrementa il conteggio delle password errate. Se è configurato l'uscita di blocco account, l'utente alla fine può essere bloccato.
Ad esempio, è possibile eseguire la ricerca del controller di dominio o potrebbe essere necessario esaminare i criteri del controller di dominio.
Cerca sul controller di dominio Nota Potrebbe essere necessario ripetere la procedura seguente su tutti i controller di dominio.
Fare clic su Avviare, scegliere Programmi, quindi fare clic su Strumenti di amministrazione.
Nella casella di gruppo Impostazioni di protezione locali, espandere Criteri locali.
Fare clic su Opzioni di protezione.
Fare doppio clic su Protezione di rete: Livello di autenticazione LAN manager, quindi fare clic su un valore appropriato nell'elenco.
Se l'impostazione effettiva e l'impostazione locale sono uguali, il criterio è stato modificato a questo livello. Se le impostazioni sono diverse, è necessario verificare il criterio del controller di dominio per scoprire se il la protezione della rete: livello di autenticazione di LAN manager è definita nel criterio. Se esso non sia definita, esaminare i criteri del controller di dominio.
Esaminare i criteri del controller di dominio
Fare clic su Avviare, scegliere Programmi, quindi fare clic su Strumenti di amministrazione.
Nel Protezione del Controller di dominio criteri, espandere Impostazioni di protezione, quindi espandere Criteri locali.
Fare clic su Opzioni di protezione.
Fare doppio clic su la protezione della rete: livello di autenticazione di LAN manager, quindi fare clic su un valore appropriato nell'elenco.
Nota
Inoltre potrebbe essere necessario controllare i criteri collegati a livello di sito, a livello di dominio o all'unità organizzativa di livello (OU) per determinare dove è necessario configurare il livello di autenticazione di LAN manager.
Se si implementa un'impostazione di criteri di gruppo come criterio di dominio predefinito, il criterio viene applicato a tutti i computer del dominio.
Se si implementa un'impostazione di criteri di gruppo come criterio del controller di dominio predefinito, il criterio si applica solo ai server nell'unità Organizzativa del controller di dominio.
È consigliabile impostare il livello di autenticazione di LAN manager sull'entità più bassa dell'ambito necessario nella gerarchia dei criteri di applicazione.
Dopo aver apportato le modifiche, aggiornare i criteri. (In caso di modifica a livello di impostazioni di protezione locale, la modifica è immediata. Tuttavia, è necessario riavviare il client prima della verifica.)
Per impostazione predefinita, le impostazioni dei criteri di gruppo vengono aggiornate nei controller di dominio ogni cinque minuti. Per attivare immediatamente l'aggiornamento delle impostazioni dei criteri in Windows 2000 o versione successiva, utilizzare il comando gpupdate .
Il comando gpupdate /force Aggiorna le impostazioni di criteri di gruppo locali e le impostazioni di criteri di gruppo basate sul servizio directory di Active Directory, incluse le impostazioni di protezione. Questo comando sostituisce l'opzione ormai obsoleta /refreshpolicy per il comando secedit .
Il comando gpupdate utilizza la seguente sintassi: gpupdate [/target: {computer|utente}] [/force] [/WAIT:valore] [/logoff] [/boot]
Applicare il nuovo oggetto Criteri di gruppo (GPO) utilizzando il comando gpupdate per riconfigurare manualmente tutte le impostazioni di criteri. A tale scopo, digitare quanto segue al prompt dei comandi e premere INVIO:
GPUpdate /Force
Esaminare il registro eventi dell'applicazione per assicurarsi che l'impostazione del criterio sia stato applicato correttamente.
In Windows XP e Windows Server 2003, è possibile utilizzare lo snap-in gruppo di criteri risultante per visualizzare l'impostazione effettiva. A tale scopo, fare clic su Avviare, fare clic su Eseguire, tipo msc, quindi fare clic su OK.
Se il problema persiste anche dopo le modifiche apportate al criterio, riavviare il server basato su Windows e quindi verificare che il problema è stato risolto.
Nota Se si dispone di più controller di dominio basato su Windows 2000, i controller di dominio basato su Windows Server 2003 o entrambi, è necessario eseguire la replica di Active Directory per assicurarsi che questi controller di dominio hanno subito modifiche aggiornate.
In alternativa, l'impostazione potrebbe non essere impostato sul valore più basso nel criterio di protezione locale. È possibile applicare l'impostazione di un database di protezione, in alternativa è possibile impostare il livello di autenticazione di LAN manager nel Registro di sistema modificando la voce LmCompatibilityLevel nella seguente sottochiave del Registro di sistema:
Windows Server 2003 dispone di una nuova impostazione predefinita da utilizzare solamente NTLMv2. Per impostazione predefinita, Windows Server 2003 e i controller di dominio basato su Windows 2000 Server SP3 sono attivato il "server di rete Microsoft: firma digitale alle comunicazioni (sempre)" dei criteri. Questa impostazione richiede al server per eseguire la firma dei pacchetti SMB.
Poiché i controller di dominio, file server, server di infrastruttura di rete e i server Web in qualsiasi organizzazione richiedono impostazioni diverse ottimizzare la sicurezza, sono state apportate modifiche a Windows Server 2003.
Se si desidera implementare l'autenticazione NTLMv2 nella rete, è necessario assicurarsi che tutti i computer del dominio siano impostati per utilizzare questo livello di autenticazione. Se si applica in Active Directory Client Extensions per Windows 95 o Windows 98 e Windows NT 4.0, le estensioni client utilizzano le funzionalità di autenticazione avanzate disponibili in NTLMv2.
Poiché i computer client che eseguono uno dei seguenti sistemi operativi non sono influenzati dagli oggetti Criteri di gruppo di Windows 2000, è necessario configurare manualmente questi client:
Microsoft Windows NT 4.0
Microsoft Windows Millennium Edition
Microsoft Windows 98
Microsoft Windows 95
Nota Se si attiva il Protezione di rete: non memorizzare il valore hash di LAN manager al prossimo cambio di password oppure si imposta il NoLMHash chiave del Registro di sistema, i client basati su Windows 95 e Windows 98 che non hanno installato il Client servizio Directory non può accedere al dominio dopo una modifica della password.
Molti server CIFS di terze parti, ad esempio Novell Netware 6, non riconoscono NTLMv2 e utilizzano solo NTLM. Di conseguenza, la connettività non sono consentita da livelli maggiori di 2.
Per ulteriori informazioni su come configurare manualmente il livello di autenticazione di LAN manager, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
Di seguito sono le impostazioni di configurazione nocivi:
Impostazioni non restrittive che invia le password in
testo non crittografato e che negare la negoziazione NTLMv2
Impostazioni restrittive che impediscono incompatibile
i client o controller di dominio di negoziare un protocollo di autenticazione comune
La richiesta di autenticazione NTLMv2 nei computer membri
e sono i controller di dominio che eseguono versioni di Windows NT 4.0
precedenti a Service Pack 4 (SP4)
La richiesta di autenticazione NTLMv2 in Windows 95
i client o sui client Windows 98 che non dispongono di Directory di Windows
Installata il Client di servizi.
Se seleziona il Richiedi protezione sessione NTLMv2 casella di controllo nell'Editor di criteri dei gruppo Microsoft Management Console snap-in Windows Server 2003 o Windows 2000 Service Pack 3-based computer e si abbassa il livello di autenticazione di LAN manager su 0, le due impostazioni in conflitto ed è possibile che venga visualizzato il seguente messaggio di errore nel file secpol. msc o il file Gpedit. msc:
Impossibile aprire il database dei criteri locali. Si è verificato un errore sconosciuto durante il tentativo di aprire il database.
Per ulteriori informazioni su strumento di analisi e configurazione della protezione, vedere i file Guida in linea di Windows Server 2003 o Windows 2000.
Per ulteriori informazioni su come analizzare i livelli di protezione in Windows 2000 e Windows Server 2003, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
Come analizzare la protezione del sistema in Windows Server 2003
Motivi per modificare questa impostazione
Per aumentare il minimo comune
protocollo di autenticazione supportato dai client e controller di dominio
l'organizzazione.
In cui l'autenticazione protetta è un'azienda
requisito, che si desidera disattivare la negoziazione di LM e il NTLM
protocolli.
Motivi per disabilitare questa impostazione
Client o i requisiti di autenticazione del server o entrambi,
sono stati aumentati fino al punto in cui l'autenticazione su un protocollo comune
non può verificarsi.
Windows Server 2003:Per impostazione predefinita, il Windows Server 2003 NTLMv2 impostazione invia risposte NTLM è attivata. Di conseguenza, Windows Server 2003 riceve il messaggio di errore "Accesso negato" dopo l'installazione iniziale quando si tenta di connettersi a un cluster basato su Windows NT 4.0 o i server basati su LanManager v 2.1, ad esempio OS/2 Lanserver. Questo problema si verifica anche se si tenta di connettersi da un client di versioni precedenti a un server basato su Windows Server 2003.
Installazione di Windows 2000 Security Rollup Package 1 (SRP1).SRP1 impone NTLM versione 2 (NTLMv2). Questo pacchetto cumulativo è stato rilasciato dopo il rilascio di Windows 2000 Service Pack 2 (SP2). Per ulteriori informazioni su SRP1, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Windows 2000 Security Rollup Package 1, gennaio 2002
Windows 7 e Windows Server 2008 R2: molti server CIFS di terze parti, ad esempio i server Novell Netware 6 o Samba basati su Linux, non riconoscono NTLMv2 e utilizzano solo NTLM. Di conseguenza, la connettività non sono consentita da livelli maggiori di "2". Ora in questa versione del sistema operativo, il valore predefinito di LmCompatibilityLevel è stato modificato a "3". Pertanto, quando si esegue l'aggiornamento di Windows, questi 3rd filer di terze parti potrebbe smettere di funzionare.
Client Microsoft Outlook potrebbero essere richiesto per le credenziali, anche se sono già connessi al dominio. Quando gli utenti forniscono le credenziali, ricevono il seguente errore messaggio: in Windows 7 e la finestra Server 2008 R2
Credenziali di accesso non sono corrette. Assicurarsi che il nome utente e il dominio siano corretti, quindi digitare nuovamente la password.
Quando si avvia Outlook, potrebbe essere richiesto le credenziali dell'utente anche se l'impostazione di protezione di accesso alla rete è impostata su Passthrough o autenticazione Password. Dopo aver digitato le credenziali corrette, è possibile che venga visualizzato il seguente messaggio di errore:
Credenziali di accesso non sono corrette.
Una traccia di Network Monitor potrebbe mostrare che il catalogo globale ha rilasciato un errore di procedura remota (RPC) call con lo stato 0x5. Stato 0x5 corrisponde "Accesso negato".
Windows 2000:Acquisizione di Network Monitor può presentare i seguenti errori NetBIOS sulla sessione di TCP/IP (NetBT) server messaggio block (SMB):
SMB R Search Directory Dos error, identificatore di utente non valido (91) (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE
Windows 2000: Se un dominio di Windows 2000 con NTLMv2 livello 2 o versioni successive è attendibile
da un dominio Windows NT 4.0, i computer membri basati su Windows 2000 nella risorsa
dominio potrebbe verificarsi errori di autenticazione.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Problemi di autenticazione in Windows 2000 con livelli NTLM 2 superiori a 2 in un dominio Windows NT 4.0
Windows 2000 e Windows XP: Per impostazione predefinita, Windows 2000 e Windows XP impostare l'opzione di LAN Manager Authentication livello Criteri di protezione locali su 0. Un'impostazione pari a 0 indica che "le Invia risposte LM e NTLM."
Nota Windows NT cluster basati su 4.0 devono utilizzare LM per l'amministrazione.
Windows 2000: Clustering di Windows 2000 non consente di autenticare un nodo di unione se
entrambi i nodi fanno parte di un Windows NT 4.0 Service Pack 6a (SP6a) dominio.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Problemi di autenticazione in Windows 2000 con livelli NTLM 2 superiori a 2 in un dominio Windows NT 4.0
IIS Lockdown Tool (HiSecWeb) imposta il valore di LMCompatibilityLevel su 5 e il valore RestrictAnonymous su 2.
Servizi per Macintosh
Modulo autenticazione utenti (UAM): Microsoft UAM (modulo di autenticazione utente) fornisce un metodo di crittografia delle password che consente di accedere ai server Windows AFP (AppleTalk Filing Protocol).
Apple utente Authentication Module (UAM) fornisce solo minime o senza crittografia. Di conseguenza, la password può essere facilmente intercettata sulla LAN o su Internet.
Sebbene il UAM non sia necessario, fornisce l'autenticazione crittografata di Windows 2000 Server che esegue servizi per Macintosh.
Questa versione include il supporto per l'autenticazione crittografata a 128 bit NTLMv2 e una versione di MacOS X 10.1 compatibile.
Per impostazione predefinita, i servizi di Windows Server 2003 per server Macintosh consentite esclusivamente autenticazioni Microsoft.
Per ulteriori informazioni, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
Gli utenti di Mac OS X non possono aprire le cartelle condivise Macintosh in un server basato su Windows Server 2003
Windows Server 2008, Windows Server 2003, Windows XP e Windows 2000: Se si imposta il valore di LMCompatibilityLevel essere 0 o 1 e quindi configurare il valore NoLMHash su 1, applicazioni e componenti venga negati l'accesso tramite NTLM. Questo problema si verifica perché il computer è configurato per l'abilitazione di LM ma non per l'utilizzo delle password memorizzate in LM.
Se si configura il valore NoLMHash su 1, è necessario configurare il valore LMCompatibilityLevel almeno su 2 o versione successiva.
Protezione di rete: requisiti di la firma client LDAP
Sfondo
Il protezione di rete: la firma dei requisiti client LDAP determina il livello di una firma i dati richiesti in
per conto di client che emettono LDAP Lightweight Directory Access Protocol () BIND
richieste come segue:
Nessuno: richiesta LDAP BIND viene rilasciato con la specificata dal chiamante
opzioni.
Negozia firma: se il Secure Sockets Layer/Transport Layer Security (SSL/TLS)
non è stato avviato, la richiesta di binding LDAP viene iniziata con i dati LDAP
opzione di firma inoltre imposta le opzioni specificate dal chiamante. Se SSL/TLS
stato avviato, la richiesta di binding LDAP è stata avviata con la specificata dal chiamante
opzioni.
Richiedi firma: questo è quello di negoziare la firma digitale. Tuttavia, se il server LDAP dell'intermedio saslBindInProgress
la risposta non indica che è richiesta la firma del traffico LDAP, il chiamante è
detto che la richiesta del comando binding LDAP non riuscita.
Configurazione rischiosa
Attivazione della protezione di rete: client LDAP requisiti di accesso è un'impostazione di configurazione pericolose. Se si imposta il server
Richiedi firme LDAP, è necessario configurare anche la firma LDAP sui client.
Non configurando il client per l'utilizzo di firme LDAP impedisce la comunicazione
con il server. In questo modo l'autenticazione dell'utente, le impostazioni di criteri di gruppo
gli script di accesso e altre funzionalità di un errore.
Motivi per modificare questa impostazione
Traffico di rete privo di firma è soggetto a
attacchi man-in-the-middle in cui un intruso acquisisce i pacchetti tra il client
il server e li modifica e li inoltra al server. Quando questo
si verifica su un server LDAP, un utente malintenzionato potrebbe costringere un server di rispondere in base a
false query provenienti dal client LDAP. È possibile ridurre questo rischio in una società
rete mediante l'implementazione di misure di protezione fisica efficaci per proteggere il
infrastruttura di rete. Inoltre, tutti i tipi di attacchi man-in-the-middle
è possibile rendere estremamente difficili richiedendo le firme digitali in rete tutte le
pacchetti di intestazioni di autenticazione IPSec.
Registro eventi: Dimensione massima registro protezione
Sfondo
Il Registro eventi: dimensione massima registro protezione impostazione di protezione specifica la dimensione massima dell'evento di protezione
registro. Questo registro ha una dimensione massima di 4 GB. Per individuare questa impostazione, espandere Impostazioni di Windows, quindi espandere Protezione
Impostazioni.
Configurazioni rischiose
Di seguito sono le impostazioni di configurazione nocivi:
Limitare la dimensione del Registro di protezione e la sicurezza
metodo di conservazione di accesso quando il controllo: Arresta il sistema immediatamente se non è possibile registrare i controlli di protezione impostazione è attivata. Vedere il "controllo: Arresta il sistema immediatamente se non è possibile registrare i controlli di protezione" sezione di questo articolo per ulteriori dettagli.
Limitare la dimensione del Registro di protezione in modo che la sicurezza
gli eventi di interesse vengono sovrascritti.
Motivi per aumentare questa impostazione
Potrebbero richiedere requisiti aziendali e di protezione che si
aumentare la dimensione del Registro di protezione per gestire i dettagli del log di protezione aggiuntive o a
conservare i registri di protezione per un periodo di tempo più lungo.
Motivi per ridurre questa impostazione
Visualizzatore eventi sono file mappati in memoria. Il valore massimo
dimensione di un registro eventi è limitata dalla quantità di memoria fisica del
computer locale e dalla memoria virtuale disponibile nel registro eventi
processo. Aumento della dimensione del registro oltre la quantità di memoria virtuale
disponibile nel Visualizzatore eventi non aumenta il numero di voci di registro sono
mantenuta.
Esempi di problemi di compatibilità
Windows 2000:Sono i computer che eseguono versioni di Windows 2000
versioni precedenti al Service Pack 4 (SP4) potrebbero smettere di eventi registrati nel log eventi prima di
raggiungere la dimensione è specificata nell'impostazione della dimensione massima registro nel Visualizzatore eventi se è attivata l'opzione non sovrascrivere eventi (pulizia manuale del registro) .
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Il registro eventi si interrompe la registrazione di eventi prima di raggiungere la dimensione massima registro
Registro eventi: Gestione registro protezione
Sfondo
Il Registro eventi: gestione registro protezione impostazione di protezione determina il metodo di "wrapping" per il
Registro di protezione. Per individuare questa impostazione, espandere Impostazioni di Windows,
e quindi espandere Impostazioni di protezione.
Configurazioni rischiose
Di seguito sono le impostazioni di configurazione nocivi:
Impossibilità di conservare tutti registrati gli eventi di protezione prima di
vengono sovrascritti
Configurazione della dimensione massima registro protezione impostazione troppo piccola, in modo che gli eventi di protezione
sovrascritto
Limitare la dimensione del Registro di protezione e la conservazione
metodo durante la controllo: Arresta il sistema immediatamente se non è possibile registrare i controlli di protezione è attivata l'impostazione di protezione
Motivi per attivare questa impostazione
Attivare questa impostazione solo se si seleziona il Sovrascrivi eventi ogni giorni metodo di conservazione. Se si utilizza un sistema di correlazione di eventi che esegue il polling degli eventi, assicurarsi che il numero di giorni sia almeno tre volte la frequenza di polling. Questa operazione per consentire di cicli di polling non riuscita.
Accesso di rete: Consenti accesso libero agli utenti anonimi
Sfondo
Per impostazione predefinita, il Network access: Let Everyone permissions apply to anonymous users è impostata su Non definito in Windows Server 2003. Per impostazione predefinita, Windows Server 2003 non include il token di accesso anonimo in Everyone gruppo.
[REG_DWORD] = 0x0 interrompe la creazione di trust tra Windows Server 2003 e di Windows NT 4.0, quando il dominio di Windows Server 2003 è il dominio di account e la Windows NT 4.0 è il dominio di risorse. Ciò significa che il dominio dell'account è Trusted Windows NT 4.0 e il dominio di risorse sarà di tipo Trusting sul lato Windows Server 2003. Questo comportamento si verifica perché il processo per avviare la relazione di trust dopo la connessione anonima iniziale è ACL sarebbe con il token che include il SID anonimo in Windows NT 4.0 per tutti gli utenti.
Motivi per modificare questa impostazione
Il valore deve essere impostato su 0x1 o impostare utilizzando un oggetto Criteri di gruppo nell'unità Organizzativa del controller di dominio da: Network access: Let Everyone permissions apply per utenti anonimi - abilitato per rendere possibile la creazione di trust.
Nota Molte altre impostazioni di protezione di go up valore anziché verso il basso per 0x0 allo stato più protetto. Una pratica più sicura, è possibile modificare il Registro di sistema sull'emulatore del controller di dominio primario anziché su tutti i controller di dominio. Se il ruolo di emulatore del controller di dominio primario viene spostato per qualsiasi motivo, è necessario aggiornare il Registro di sistema sul nuovo server.
Dopo aver impostato questo valore, è necessario un riavvio.
Protezione sessione determina gli standard minimi di sicurezza per le sessioni client e server. Si consiglia di verificare le seguenti impostazioni di criteri di protezione nello snap-in Editor criteri di gruppo di Microsoft Management Console:
Protezione\Windows di Windows\Impostazioni protezione\Criteri Locali\opzioni
Protezione di rete: Protezione di sessione minima per server basati su NTLM SSP (incluso il RPC protetto)
Protezione di rete: Protezione di sessione minima per client basati su NTLM SSP (incluso il RPC protetto)
Le opzioni per queste impostazioni sono:
Richiedi integrità messaggio
Richiedi riservatezza messaggio
NTLM versione 2 di richiedere la protezione di sessione
Richiedere la crittografia a 128 bit
L'impostazione predefinita non è Nessun requisito.
Questi criteri determinano gli standard minimi di sicurezza per una sessione di comunicazione per applicazioni su un server per un client.
In passato, Windows NT ha supportato le seguenti due varianti di autenticazione challenge/response per gli accessi di rete:
Attesa/risposta LM
Challenge/response NTLM versione 1
LM consente l'interoperabilità con la base installata di client e server. NTLM fornisce maggiore protezione per le connessioni tra client e server.
Le chiavi del Registro di sistema corrispondenti sono i seguenti:
Sincronizzazione orario non riuscita. Il tempo è scaduto da più di 30 minuti su un computer interessato. Assicurarsi che l'orologio del computer client sia sincronizzato con l'orologio del controller di dominio.
Soluzioni alternative per la firma SMB
Si consiglia di installare il Service Pack 6a (SP6a) sui client Windows NT 4.0 che interagiscono in un dominio basato su Windows Server 2003. I client Windows 98 Second Edition, Windows 98 e Windows 95 è necessario eseguire il Client di servizi di Directory per l'esecuzione di NTLMv2. Se i client basati su Windows NT 4.0 non hanno installato Windows NT 4.0 SP6 o se Windows 95, Windows 98 e client Windows 98SE è necessario installare il Client di servizi Directory, disattivare la firma SMB in criterio del controller di dominio predefiniti sull'unità Organizzativa del controller di dominio e quindi collegare il criterio a tutte le unità organizzative che ospitano i controller di dominio.
La Directory Services Client per Windows 98 Second Edition, Windows 98 e Windows 95 inseriranno la firma SMB con Windows 2003 Server utilizzando l'autenticazione NTLM, ma non con l'autenticazione NTLMv2. Inoltre, Windows 2000 Server non risponderà alle richieste di firma SMB da questi client.
Sebbene Microsoft lo sconsigli, è possibile impedire la firma SMB venga richiesta su tutti i controller di dominio che eseguono Windows Server 2003 in un dominio. Per configurare questa impostazione di protezione, attenersi alla seguente procedura:
Aprire il criterio del controller di dominio predefinito.
Aprire la cartella Configurazione computer\Impostazioni di Windows\Impostazioni protezione\Criteri Locali\opzioni .
Individuare e selezionare il server di rete Microsoft: firma digitale alle comunicazioni (sempre) impostazione dei criteri e quindi fare clic su disattivato.
Importante Questa sezione, il metodo o attività contiene viene illustrato come modificare il Registro di sistema. Tuttavia, può causare seri problemi se si modifica il Registro di sistema in modo non corretto. Pertanto, assicurarsi di seguire attentamente i passaggi. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Quindi, è possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Come eseguire il backup e ripristinare il Registro di sistema in Windows
In alternativa, si consiglia di disattivare la firma SMB sul server modificando il Registro di sistema. A tale scopo, attenersi alla seguente procedura:
Fare clic su Avviare, fare clic su Eseguire, tipo Regedit, quindi fare clic su OK.
Individuare e selezionare la seguente sottochiave:
Nel Dati valore digitare 0, quindi fare clic su OK.
Chiudere l'Editor del Registro di sistema.
Riavviare il computer oppure interrompere e riavviare il servizio Server. A tale scopo, digitare i seguenti comandi al prompt dei comandi e premere INVIO dopo ogni comando: NET stop server NET start server
Nota La chiave corrispondente nel computer client si trova nella seguente sottochiave del Registro di sistema:
Identificativo articolo: 823659 - Ultima modifica: venerdì 19 aprile 2013 - Revisione: 22.0
Le informazioni in questo articolo si applicano a:
Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise x64 Edition
Microsoft Windows XP Professional
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Professional Edition
Microsoft Windows NT Server 4.0 Standard Edition
Microsoft Windows NT Workstation 4.0 Developer Edition
Microsoft Windows 95
Chiavi:
kbinfo kbmt KB823659 KbMtit
Traduzione automatica articoli
IMPORTANTE: il presente articolo è stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l?obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre è perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilità per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualità della traduzione.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 823659
(http://support.microsoft.com/kb/823659/en-us/
)
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Grazie. I commenti e suggerimenti forniti verranno utilizzati per migliorare la qualità dei contenuti di supporto tecnico. Per ulteriori opzioni di assistenza, visitare la home page del Supporto Tecnico Microsoft.
Torna all'inizio
