Client, servizio e le incompatibilità di programma che possono verificarsi quando si modificano le impostazioni di protezione e le assegnazioni di diritti utente

Traduzione articoli Traduzione articoli
Identificativo articolo: 823659 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In questo articolo vengono descritte le incompatibilità che possono verificarsi su computer client che eseguono Microsoft Windows 95, Microsoft Windows 98 Microsoft Windows NT 4.0, Microsoft Windows 2000, Microsoft Windows XP Professional o Microsoft Windows Server 2003 quando si modificano di specifico utente e le impostazioni di protezione rights assignments in domini Windows NT 4.0, in Domini di Windows 2000 e nei domini Windows Server 2003.

Mediante la configurazione di questi le impostazioni e le assegnazioni in Criteri locali e i criteri di gruppo, consentono di aumentare la protezione nei controller di dominio e sui computer membri. Il lo svantaggio di aumentare la protezione è l'introduzione di incompatibilità con client, servizi e programmi.

Per aumentare la consapevolezza di impostazioni di protezione configurate in modo errato, utilizzare lo strumento Editor oggetti Criteri di gruppo per modificare le impostazioni di protezione. Quando si utilizza Editor oggetti Criteri di gruppo, i diritti utente le assegnazioni vengono migliorate sui seguenti sistemi operativi:
  • Microsoft Windows XP Professional Service Pack 2 (SP2)
  • Microsoft Windows Server 2003 Service Pack 1 (SP1)
Il miglioramento include una finestra di dialogo che contiene un collegamento a questo articolo che POP ogni volta che si modifica un'impostazione di protezione o un utente assegnazione di un'impostazione che offre meno compatibilità ed è più dei diritti restrittivo. Se si modifica direttamente gli stessi diritti utente o l'impostazione di protezione assegnazione mediante il Registro di sistema o utilizzando i modelli di protezione, l'effetto è equivale alla modifica dell'impostazione nell'Editor oggetti Criteri di gruppo; Tuttavia, il non viene visualizzato nella finestra di dialogo che contiene il collegamento a questo articolo.

In questo articolo contiene esempi di client, di programmi e delle operazioni che sono interessate da impostazioni di protezione specifiche o Assegnazione diritti utente. Tuttavia, non sono autorevoli per tutti gli esempi Sistemi operativi Microsoft, per tutti i sistemi operativi di terze parti o per tutti versioni dei programmi interessati. Non tutte le impostazioni di protezione e i diritti utente le assegnazioni sono inclusi in questo articolo.

Si consiglia convalidare la compatibilità di tutte le modifiche di configurazione relative alla protezione in una foresta di test prima di introdurre in un ambiente di produzione. Il test insieme di strutture deve rispecchiare la foresta di produzione nei modi seguenti:
  • Versioni del sistema operativo client e server, client e programmi server, versioni dei service pack, aggiornamenti rapidi, modifiche dello schema, protezione i gruppi, le appartenenze ai gruppi, autorizzazioni per gli oggetti nel file system condiviso le cartelle, il Registro di sistema, servizio directory di Active Directory, locale e di gruppo Le impostazioni dei criteri e l'oggetto tipo di conteggio e posizione
  • Attività amministrative vengono eseguite, amministrazione gli strumenti utilizzati e sistemi operativi che consentono di eseguire attività amministrative
  • Operazioni eseguite, inclusi computer e utente autenticazione di accesso; reimpostazione delle password da parte degli utenti, computer e da amministratori; esplorazione; impostazione delle autorizzazioni per il file system per condivisi cartelle per il Registro di sistema e per le risorse di Active Directory mediante ACL Editor in tutti i sistemi operativi di client in tutti i domini di account o una risorsa da tutti i sistemi operativi di tutti i domini di account o risorse; Stampa da account non amministrativi e

Windows Server 2003 SP1

Avvisi in gpedit. msc

Per i clienti di tenere presenti che stanno modificando un diritto utente o un'opzione di protezione che potrebbe avere negativi effetti sulla rete, sono stati aggiunti due meccanismi di avviso a gpedit. msc. Quando gli amministratori modificano un diritto utente che può influenzare negativamente l'intera azienda, vedranno una nuova icona simile a un segnale di precedenza. Inoltre, riceveranno un messaggio di avviso che dispone di un collegamento all'articolo della Microsoft Knowledge Base numero 823659. Di seguito è riportato il testo del messaggio:
Modifica di questa impostazione può influire sulla compatibilità con client, servizi e applicazioni. Per ulteriori informazioni, vedere <user right="" or="" security="" option="" being="" modified="">(Q823659)</user>
Se è stata richiesta a questa Knowledge Base da un collegamento di GPEDIT.MSC, assicurarsi di leggere e comprendere la spiegazione fornita e il possibile effetto della modifica di questa impostazione. Di seguito è un elenco di diritti utente che contiene il nuovo testo dell'avviso:
  • Accesso al computer dalla rete
  • Accesso locale
  • Ignorare controllo incrociato
  • Attivazione di computer e utenti per delega attendibile
Di seguito è un elenco di opzioni di protezione con il messaggio di avviso e un popup:
  • Membro di dominio: Digitale crittografare o firmare i dati del canale protetto (sempre)
  • Membro di dominio: Richiedi chiave di sessione avanzata (Windows 2000 o versione successiva)
  • Controller di dominio: Server LDAP requisiti per la firma
  • Server di rete Microsoft: firma digitale alle comunicazioni (sempre)
  • Accesso di rete: Consente l'anonima Sid / nome traduzione
  • Accesso di rete: Non consentire l'enumerazione anonima di SAM account e condivisioni
  • Protezione di rete: livello di autenticazione di LAN Manager
  • Controllo: Arresta il sistema immediatamente se non è possibile registrare i controlli di protezione
  • Accesso di rete: Client LDAP requisiti per la firma

Informazioni

Nelle sezioni seguenti vengono descrivono le incompatibilità che possono si verifica quando si modificano impostazioni specifiche in domini Windows NT 4.0, Windows 2000 domini e nei domini Windows Server 2003.

Diritti utente

  1. Accesso al computer dalla rete
    1. Sfondo

      La capacità di interagire con i computer remoti di Windows è necessario il diritto utente accesso al computer dalla rete . Esempi di tali operazioni di rete di replica di Active Directory tra controller di dominio in un dominio comune o insieme di strutture, le richieste di autenticazione ai controller di dominio da parte di utenti e da i computer e l'accesso alle cartelle condivise, stampanti e altro sistema servizi che si trovano in computer remoti sulla rete.

      Utenti, computer e account di servizio, ottenere o perdono l'utente di accesso al computer dalla rete a destra viene implicitamente o esplicitamente aggiunti o rimossi da un gruppo di protezione che è stato concesso questo diritto utente. Ad esempio, un account utente o un account computer può essere aggiunto esplicitamente alla personalizzato o un protezione incorporata di gruppo da un amministratore o possono essere aggiunti in modo implicito per il sistema operativo a un gruppo di protezione calcolato, ad esempio gli utenti del dominio, Gli utenti autenticati o controller di dominio dell'organizzazione.

      Per impostazione predefinita, account utente e account computer vengono concesse il diritto utente accesso al computer dalla rete quando calcolate gruppi come Everyone o, preferibilmente, Gli utenti autenticati e, per i controller di dominio, il dominio dell'organizzazione I controller di gruppo, sono stati definiti nel gruppo per i controller di dominio predefinito Oggetto Policy (GPO).
    2. Configurazioni rischiose

      Di seguito sono le impostazioni di configurazione nocivi:
      • Rimozione della protezione del controller di dominio organizzazione gruppo di questo diritto utente
      • Rimozione del gruppo Authenticated Users o un gruppo esplicito che consente all'utente di utenti, computer e account di servizio diritto di connettersi ai computer in rete
      • Rimozione di tutti gli utenti e computer da questo utente a destra
    3. Motivi per concedere questo diritto utente
      • Concedere al gruppo di controller di dominio organizzazione il diritto utente accesso al computer dalla rete soddisfa i requisiti di autenticazione che attivi La replica di directory è necessario per la replica tra domain controller della foresta stessa.
      • Questo diritto utente consente a utenti e computer accesso ai file condivisi, stampanti e servizi di sistema, tra cui Active Directory.
      • Questo diritto utente è obbligatorio per gli utenti di accedere a posta elettronica tramite le versioni precedenti di Microsoft Outlook Web Access (OWA).
    4. Motivi per rimuovere questo diritto utente
      • Gli utenti possano connettere i computer per il rete può accedere alle risorse su computer remoti che dispongono delle autorizzazioni per. Ad esempio, questo diritto utente è necessario per un utente per la connessione condivisa stampanti e cartelle. Se questo diritto utente viene concesso a Everyone gruppo, e se alcune cartelle condivise sono condivisione e NTFS le autorizzazioni del file configurato in modo che lo stesso gruppo ha accesso in lettura, chiunque può visualizzare i file tali cartelle condivise. Tuttavia, si tratta di una situazione improbabile fresche le installazioni di Windows Server 2003 perché la condivisione predefinita e il file system NTFS le autorizzazioni in Windows Server 2003 non comprendono il gruppo Everyone. Per sistemi aggiornati da Microsoft Windows NT 4.0 o Windows 2000, questo vulnerabilità può presentare un livello di rischio più elevato poiché condividono il valore predefinito e il autorizzazioni del file system per questi sistemi operativi non sono più restrittive le autorizzazioni predefinite in Windows Server 2003.
      • Non vi è alcun motivo valido per la rimozione dell'organizzazione Gruppo di controller di dominio da questo diritto utente.
      • Il gruppo Everyone viene in genere rimosso a favore di il gruppo Authenticated Users. Se il gruppo Everyone viene rimosso, il Gruppo Authenticated Users deve essere concesso questo diritto utente.
      • Domini Windows NT 4.0 aggiornati a Windows 2000 non concedono esplicitamente Everyone, Authenticated Users o il Controller di dominio organizzazione gruppo il diritto utente accesso al computer dalla rete . Di conseguenza, quando si rimuove il gruppo Everyone Criteri di dominio Windows NT 4.0, replica di Active Directory avrà esito negativo con un Messaggio di errore "Accesso negato" dopo l'aggiornamento a Windows 2000. Winnt32. exe in Windows Server 2003 consente di evitare questo errore di configurazione concedendo l'azienda Gruppo di controller di dominio questo diritto utente quando si esegue l'aggiornamento Windows NT 4.0 controller di dominio primario (PDC). Concedere il controller di dominio organizzazione Questo utente di gruppo a destra se non è presente nell'oggetto Criteri di gruppo Editor.
    5. Esempi di problemi di compatibilità
      • Windows 2000 e Windows Server 2003: Replica dello Schema di Active Directory, della configurazione, di Dominio di catalogo globale o di partizioni applicative avrà esito negativo con l'accesso" "Errori negato segnalato da strumenti quali REPLMON e REPADMIN per il monitoraggio o eventi nel registro eventi di replica.
      • Microsoft tutti i sistemi operativi di rete: Autenticazione degli Account utente dai computer client di rete remota avrà esito negativo a meno che l'utente o un gruppo di protezione dell'utente è un membro ha stato concesso questo diritto utente.
      • Microsoft tutti i sistemi operativi di rete: Autenticazione degli account dai client di rete remoti avrà esito negativo a meno che non è stato l'account o l'account è un membro di un gruppo di protezione concesso questo diritto utente. Questo scenario si applica agli account utente, computer gli account e per gli account di servizio.
      • Microsoft tutti i sistemi operativi di rete: Rimozione di tutti gli account da questo diritto utente impedirà qualsiasi account di accesso al dominio o di accedere alle risorse di rete. If gruppi, ad esempio controller di dominio organizzazione, calcolati tutti gli utenti, o Gli utenti autenticati vengono rimosse, è necessario concedere esplicitamente questo diritto utente gli account o per la protezione dei gruppi che l'account è un membro di accesso remoto computer in rete. Questo scenario si applica a tutti gli account utente, a tutti gli account di computer e a tutti gli account di servizio.
      • Microsoft tutti i sistemi operativi di rete:L'account di amministratore locale viene utilizzata una password "vuota". Connettività di rete con password vuote non è consentita per gli account di amministratore in un ambiente di dominio. Con questa configurazione, è possibile prevedere di ricevere un messaggio di errore "Accesso negato".
  2. Consenti accesso locale
    1. Sfondo

      Gli utenti che tentano di accedere alla console di un Computer basato su Windows di Microsoft (utilizzando la chiave di accesso CTRL + ALT + CANC sequenza) e gli account che siano tentando di avviare un servizio devono avere accesso locale privilegi sul computer host. Esempi di operazioni di accesso locale gli amministratori che accedono alle console dei computer membri, o sui controller di dominio gli utenti dell'organizzazione e del dominio che effettua l'accesso ai computer membro di accedere ai desktop utilizzando non privilegiato account. È necessario che gli utenti che utilizzano una connessione Desktop remoto o servizi Terminal che l'utente Consenti accesso locale sul computer di destinazione che eseguono Windows 2000 o Windows XP Poiché queste modalità di accesso sono considerate locali per il computer host. Utenti chi effettua l'accesso a un server che è attivato Terminal Server e che non dispongono di questo utente a destra può ancora avviare una sessione interattiva remota in Windows Domini di Server 2003 se hanno il diritto utente Consenti accesso tramite Servizi Terminal .
    2. Configurazioni rischiose

      Di seguito sono le impostazioni di configurazione nocivi:
      • Rimozione di gruppi di protezione amministrativi, tra cui Account Operators, Backup Operators, Print Operators o Server Operators, e il gruppo predefinito Administrators dai controller di dominio predefinito criteri.
      • Rimozione degli account di servizio utilizzati da componenti e da programmi su computer membri e controller di dominio di dominio dal criterio del controller di dominio predefinito.
      • Rimozione di utenti o gruppi di protezione per l'accesso la console di computer membri del dominio.
      • Rimozione degli account di servizio definiti nel database Gestione account di protezione (SAM) locale del computer membro o di computer del gruppo di lavoro.
      • Rimozione non-create-in amministrazione account autenticazione tramite Servizi Terminal è in esecuzione su un dominio controller.
      • Aggiunta di tutti gli account utente nel dominio in modo esplicito o in modo implicito tramite Everyone gruppo il diritto di accesso Nega accesso locale . Questa configurazione impedirà agli utenti di registrazione a qualsiasi computer membro o a qualsiasi controller di dominio nel dominio.
    3. Motivi per concedere questo diritto utente
      • Gli utenti devono disporre del diritto utente Consenti accesso locale per accedere alla console o il desktop di un gruppo di lavoro computer, un computer membro o un controller di dominio.
      • Gli utenti devono disporre del diritto utente accesso on over un Sessione di Servizi terminal è in esecuzione su basato su Windows 2000 computer membro o controller di dominio.
    4. Motivi per rimuovere questo diritto utente
      • Errore per limitare l'accesso da console a legittimi numero di utenti non autorizzati di scaricare ed eseguire potrebbero comportare gli account utente codice dannoso per modificare i diritti utente.
      • Rimozione del diritto utente Consenti accesso locale impedisce accessi non autorizzati alle console dei computer, ad esempio i controller di dominio o server applicazioni.
      • Impedisce la rimozione di questo diritto di accesso non di dominio gli account di accesso dalla console dei computer membri di dominio.
    5. Esempi di problemi di compatibilità
      • i server terminal di Windows 2000: Il diritto utente Consenti accesso locale è necessario per gli utenti di accedere a Windows 2000 server terminal.
      • Windows NT 4.0, Windows 2000, Windows XP o Windows Server 2003: Gli account utente devono disporre di questo diritto utente ad accedere al console del computer che eseguono Windows NT 4.0, Windows 2000, Windows XP o Windows Server 2003.
      • Windows NT 4.0 e versioni successive: Nei computer che eseguono Windows NT 4.0 e versioni successive, se si aggiunta il diritto utente Consenti accesso locale , ma è implicitamente o esplicitamente concedere il diritto di accesso Nega accesso locale , l'account non sarà in grado di accedere al console dei controller di dominio.
  3. Ignorare controllo incrociato
    1. Sfondo

      Il diritto utente Ignorare controllo incrociato consente all'utente di esplorare le cartelle NTFS file system o nel Registro di sistema senza l'autorizzazione di accesso speciale Visita cartelle . Il diritto utente Ignorare controllo incrociato non consente all'utente di elencare il contenuto di un cartella; consente all'utente di attraversare solo le cartelle.
    2. Configurazioni rischiose

      Di seguito sono le impostazioni di configurazione nocivi:
      • Rimozione di account non amministrativo l'accesso per i servizi Terminal basato su Windows 2000 o Windows Server 2003 che non dispone delle autorizzazioni per accedere a file e cartelle nel file sistema.
      • Rimozione del gruppo Everyone dall'elenco dei identità di protezione che, per impostazione predefinita, dispongono di questo diritto utente. Le finestre sistemi operativi e anche molti programmi sono stati progettati con la aspettativa che chiunque può legittimamente accedere al computer avrà il diritto utente Ignorare controllo incrociato . Di conseguenza, rimuovendo il gruppo Everyone dall'elenco identità di protezione che, per impostazione predefinita, dispongono di questo utente può causare a destra l'instabilità del sistema operativo o di un errore di programma. È preferibile che lasciano Questa impostazione predefinita.
    3. Motivi per concedere questo diritto utente

      L'impostazione predefinita per il diritto utente Ignorare controllo incrociato è consentire a chiunque di ignorare controllo incrociato. Per gli amministratori di sistema di Windows, si è verificato questo è il comportamento previsto, e configurare di conseguenza gli elenchi di controllo accesso file sistema (SACL). L'unico scenario in cui la configurazione predefinita può causare un errore se il amministratore che configura le autorizzazioni non è in grado di interpretare il comportamento e è previsto che gli utenti che non possono accedere a una cartella padre non sarà in grado di accedere il contenuto delle cartelle figlio.
    4. Motivi per rimuovere questo diritto utente

      Organizzazioni che devono prestare particolare attenzione alla protezione potrebbe avere la tentazione di rimuovere il gruppo Everyone o addirittura forse per rimuovere il gruppo di utenti, dall'elenco dei gruppi che hanno il diritto utente Ignorare controllo incrociato per tentare di impedire l'accesso ai file o cartelle nel file system.
    5. Esempi di problemi di compatibilità
      • Windows 2000, Windows Server 2003: Se il diritto utente Ignorare controllo incrociato viene rimosso o non è configurata correttamente su computer che sono con Windows 2000 o Windows Server 2003, le impostazioni di criteri di gruppo nel SYVOL cartella non verrà replicati tra controller di dominio nel dominio.
      • Windows 2000, Windows XP Professional, Windows Server 2003: Computer che eseguono Windows 2000, Windows XP Professional o Windows Server 2003 verranno registrati gli eventi 1000 e 1202 e non sarà in grado di applicare criteri del computer e utente quando le autorizzazioni del file richiesto vengono rimossi dalla struttura SYSVOL se il diritto utente Ignorare controllo incrociato viene rimosso o non è configurato in modo errato.

        Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        290647ID evento 1000, 1001 viene registrato ogni cinque minuti nel registro eventi dell'applicazione
      • Windows 2000, Windows Server 2003: Nei computer che eseguono Windows 2000 o Windows Server 2003, il Quota scheda nella finestra di Esplora risorse di Windows non sarà più visualizzati quando è possibile visualizzare le proprietà di un volume.
      • Windows 2000: Utenti non amministratori che accedono a un server terminal di Windows 2000 è possibile che venga visualizzato il seguente messaggio di errore:
        Userinit. exe Errore dell'applicazione. L'applicazione non correttamente inizializzata 0xc0000142 Fare clic su OK per terminare l'applicazione.
        Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        272142Gli utenti vengono automaticamente disconnessi quando si tenta di accedere a servizi Terminal
      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003:Utenti cui computer eseguono Windows NT 4.0, Windows 2000, Windows XP o Windows Server 2003 potrebbe non essere in grado di accedere alle cartelle condivise o all'accesso ai file in cartelle condivise e potrebbero ricevere il messaggio di errore "Accesso negato" i messaggi se non è concesso il diritto utente Ignorare controllo incrociato .

        Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        277644Messaggio di errore "Accesso negato" quando gli utenti tentano di accedere alle cartelle condivise
      • Windows NT 4.0: Nei computer basati su Windows NT 4.0, rimozione del diritto utente Ignorare controllo incrociato causerà una copia del file per la perdita di flussi di file. Se si rimuovere questo diritto utente quando un file viene copiato da un client Windows o da un Client Macintosh su un controller di dominio Windows NT 4.0 è in esecuzione servizi per Macintosh, il flusso di file di destinazione viene perso e il file viene visualizzato come un file di solo testo.

        Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        172930Rimozione di "Ignorare controllo incrociato" causa la perdita di flussi di copia di file
      • Microsoft Windows 95, Microsoft Windows 98:In un computer client che esegue Windows 95 o Windows 98, il NET use * /home comando non verrà eseguito con un accesso" Messaggio di errore negato"Se il gruppo Authenticated Users non è concesso il diritto utente Ignorare controllo incrociato .
      • Outlook Web Access: Gli amministratori non saranno in grado di accedere a Microsoft Outlook Web Access e verrà visualizzato un messaggio di errore "Accesso negato" Se non dispongono del diritto utente Ignorare controllo incrociato .
Impostazioni di protezione
  1. Controllo: Arresta il sistema immediatamente se non è possibile registrare i controlli di protezione
    1. Sfondo
      • Il controllo: Arresta il sistema immediatamente se non è possibile registrare i controlli di protezione impostazione determina se l'arresto del sistema se non è possibile registrare gli eventi di protezione. Questa impostazione è necessaria per la protezione di Computer Trusted Valutazione C2 del programma di valutazione criteri TCSEC () e per i criteri comuni for Information Technology Security Evaluation impedire eventi controllabili se il sistema di controllo non è in grado di registrare tali eventi. If il sistema di controllo ha esito negativo, il sistema è in funzione down e un messaggio di errore verrà visualizzata.
      • Se il computer non è possibile registrare gli eventi per il Registro di protezione, essenziali o importanti informazioni sulla risoluzione dei problemi potrebbe non essere disponibili per la revisione dopo un incidente di protezione.
    2. Configurazione rischiosa

      Il seguente è un'impostazione di configurazione pericolose: il controllo: Arresta il sistema immediatamente se non è possibile registrare i controlli di protezione è attivata, e la dimensione del registro eventi di protezione è limitata dall'opzione non sovrascrivere eventi (pulizia manuale del registro) , l'opzione Sovrascrivi eventi se necessario , o il Sovrascrivi eventi anteriori a numero giorni opzione nel Visualizzatore eventi. Vedere "esempi di compatibilità Sezione dei problemi"per informazioni sui rischi specifici per i computer in esecuzione la versione originale di Windows 2000, Windows 2000 Service Pack 1 (SP1), Windows 2000 SP2 o Windows 2000 SP3.
    3. Motivi per attivare questa impostazione

      Se il computer non è possibile registrare gli eventi per la protezione registro, essenziali o importanti informazioni sulla risoluzione dei problemi potrebbero non essere disponibile per la revisione dopo un incidente di protezione.
    4. Motivi per disabilitare questa impostazione
      • Abilitazione di di controllo: Arresta il sistema immediatamente se non è possibile registrare i controlli di protezione impostazione si arresta il sistema se non è possibile registrare un controllo di protezione per qualsiasi motivo. In genere, non può essere registrato un evento è il Registro di controllo di protezione in modo completo e quando il metodo di gestione specificato è l'opzione non sovrascrivere eventi (pulizia manuale del registro) o il Sovrascrivi eventi anteriori a numero giorni opzione.
      • Il carico amministrativo per l'attivazione della controllo: Arresta il sistema immediatamente se non è possibile registrare i controlli di protezione impostazione può essere molto elevato, soprattutto se si attiva l'opzione non sovrascrivere eventi (pulizia manuale del registro) per il Registro di protezione. Questa impostazione fornisce per singolo utente affidabilità delle azioni dell'operatore. Ad esempio, un amministratore potrebbe reimpostare autorizzazioni su tutti gli utenti, computer e gruppi in un'unità organizzativa (OU) controllo in cui è stato abilitato utilizzando l'account administrator predefinito o condiviso account e quindi negare tali autorizzazioni vengano reimpostate. Tuttavia, l'attivazione dell'impostazione riduce l'affidabilità del sistema poiché un server potrebbe essere necessario arrestare sovraccaricato con eventi di accesso e altro eventi di protezione vengono scritti nel Registro di protezione. Inoltre, poiché il arresto non regolare danni irreversibili al sistema operativo a programmi o ai dati può determinare. Anche se NTFS garantisce che il file system integrità viene mantenuta durante un arresto anomalo del sistema non può garantisce che ogni file di dati di ogni programma saranno comunque in un formato utilizzabile al riavvio del sistema.
    5. Nome simbolico:

      CrashOnAuditFail
    6. Percorso del Registro di sistema:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)
    7. Esempi di problemi di compatibilità
      • Windows 2000: A causa di un bug, i computer che eseguono l'originale versione rilasciata di Windows 2000, Windows 2000 SP1, Windows 2000 SP2, o Windows Server SP3 potrebbe smettere di eventi degli registrazione prima che venga raggiunta la dimensione specificata nell'opzione dimensione massima registro per il registro eventi di protezione. Questo bug è corretto in Windows 2000 Service Pack 4 (SP4). Assicurarsi che il dominio di Windows 2000 controller hanno installato prima di Windows 2000 Service Pack 4 attivazione di questa impostazione.

        Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        312571Il registro eventi si interrompe la registrazione di eventi prima di raggiungere la dimensione massima registro
      • Windows 2000, Windows Server 2003:È possibile che i computer che eseguono Windows 2000 o Windows Server 2003 smettere di rispondere e riavviarsi se il controllo: Arresta il sistema immediatamente se non è possibile registrare i controlli di protezione è attivata e se il Registro di protezione è pieno e un voce del log eventi esistente non può essere sovrascritto. Al riavvio del computer, il viene visualizzato il seguente messaggio di errore:
        STOP: C0000244 {Controllo fallito}
        Impossibile generare un controllo di protezione.
        Per recuperare, un amministratore deve accedere, archiviare il Registro di protezione (facoltativo) cancellare il Registro di protezione e quindi reimpostare questa opzione (facoltativa e necessità).
      • Client di rete Microsoft per MS-DOS, Windows 95, Windows 98, Windows NT, 4.0, Windows 2000, Windows XP, Windows Server 2003:Gli utenti non amministratori che tentano di accedere a un dominio riceveranno il messaggio di errore seguente:
        L'account è configurato per impedire l'utilizzo di questo computer. Provare un altro computer.
        Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        160783Messaggio di errore: gli utenti non possono accedere a una workstation
      • Windows 2000: Nei computer basati su Windows 2000, gli utenti non amministratori non saranno in grado di accedere a remote access server e verrà visualizzato un messaggio di errore che è simile al seguente:
        Utente sconosciuto o danneggiati password
        Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        285665Messaggio di errore: l'account è configurato per impedire l'utilizzo di questo computer
      • Windows 2000: Nei controller di dominio di Windows 2000, la messaggistica tra siti servizio (ISMserv. exe) verrà interrotta e non sarà in grado di essere riavviato. DCDIAG verrà segnalare l'errore come "non riuscita a servizi di prova ISMserv non" e verrà ID evento 1083 essere registrati nel registro eventi.
      • Windows 2000: Nei controller di dominio di Windows 2000, replica di Active Directory si avranno esito negativo e un messaggio di "Accesso negato" verrà visualizzato se l'evento di protezione accesso è piena.
      • Microsoft Exchange 2000: I server che eseguono Exchange 2000 non sarà in grado di montare il database dell'archivio informazioni e l'evento 2102 nel verrà registrato l'evento registro.

        Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        314294Vengono generati messaggi di errore di Exchange 2000 a causa del diritto SeSecurityPrivilege e problemi relativi a Policytest
      • Outlook, Outlook Web Access: Gli amministratori non saranno in grado di accedere alla posta tramite Microsoft Outlook o tramite Microsoft Outlook Web Access, e verrà ricevere un errore 503.
  2. Controller di dominio: requisiti di accesso al server LDAP
    1. Sfondo

      Il controller di dominio: requisiti di accesso al server LDAP impostazione di protezione determina se la Directory di Lightweight Server di Access Protocol (LDAP) richiede ai client LDAP di negoziare la firma dei dati. I valori possibili per questa impostazione sono:
      • None: La firma dei dati non è necessario eseguire il binding con il server. Se il la firma client richiede dati, il server la supporta.
      • Richiedi firma: L'opzione per la firma dei dati LDAP deve essere negoziata, a meno che trasporto Layer Security/Secure Socket Layer (TLS/SSL) è in uso.
      • non definito: Questa impostazione non è attivata o disattivata.
    2. Configurazioni rischiose

      Di seguito sono le impostazioni di configurazione nocivi:
      • Abilitazione di richiedere la firma in ambienti in cui i client non supportano la firma LDAP o in cui la firma LDAP lato client non è abilitata sul client
      • Applicazione di Windows 2000 o Windows Server Modello di protezione Hisecdc. inf 2003 in ambienti in cui i client non è supporta la firma LDAP o in cui la firma LDAP lato client non è attivata
      • Applicazione di Windows 2000 o Windows Server Modello di protezione hisecws. inf 2003 in ambienti in cui i client non è supporta la firma LDAP o in cui la firma LDAP lato client non è attivata
    3. Motivi per attivare questa impostazione

      Traffico di rete privo di firma è soggetto a attacchi man-in-the-middle in cui un intruso acquisisce i pacchetti tra il client e il server consente di modificare i pacchetti e li inoltra al server. Quando ciò si verifica su un server LDAP, un utente malintenzionato potrebbe costringere un server per prendere decisioni basate su false query provenienti dal client LDAP. È possibile ridurre questo rischio in una rete aziendale implementando la protezione fisica efficaci misure per proteggere l'infrastruttura di rete. Internet Protocol security Modalità di intestazione autenticazione (IPSec) può rendere estremamente attacchi man-in-the-middle difficile. Modalità di intestazione autenticazione esegue l'autenticazione reciproca e dei pacchetti integrità per il traffico IP.
    4. Motivi per disabilitare questa impostazione
      • I client che non supportano la firma LDAP non verrà essere in grado di eseguire le query LDAP contro i controller di dominio e contro globale cataloghi se viene negoziata l'autenticazione NTLM e il corretto service Pack non sono installati nei controller di dominio di Windows 2000.
      • Le tracce del traffico LDAP tra client di rete e i server saranno crittografati, rendendo difficile esaminare LDAP conversazioni.
      • Basato su Windows 2000 Server devono disporre di Windows 2000 Service Pack 3 (SP3) o versione successiva quando sono amministrati con programmi che supportano la firma LDAP vengono eseguiti dal computer client che eseguono Windows 2000 SP4, Windows XP o Windows Server 2003.Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        325465Controller di dominio di Windows 2000 richiedono il Service Pack 3 o versione successiva per utilizzare gli strumenti di amministrazione di Windows Server 2003
    5. Nome simbolico:

      LDAPServerIntegrity
    6. Percorso del Registro di sistema:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)
    7. Esempi di problemi di compatibilità
      • I binding semplici avranno esito negativo e verrà visualizzato il messaggio di errore seguente:
        Ldap_simple_bind_s () non riuscita: Necessaria autenticazione avanzata.
      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Sui client che eseguono Windows 2000 SP4, Windows XP, o Windows Server 2003, alcuni strumenti di amministrazione di Active Directory non verrà funzionare correttamente con i controller di dominio che eseguono versioni di Windows 2000 precedenti al Service Pack 3 quando viene negoziata l'autenticazione NTLM.

        Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        325465Controller di dominio di Windows 2000 richiedono il Service Pack 3 o versione successiva per utilizzare gli strumenti di amministrazione di Windows Server 2003
      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Sui client che eseguono Windows 2000 SP4, Windows XP, o Windows Server 2003, alcuni amministrazione di Active Directory che si avvalgono di strumenti controller di dominio che eseguono versioni di Windows 2000 sono precedenti a SP3 non funzioneranno correttamente se utilizzano indirizzi IP (per esempio "DSA. msc /server =x.x.x. x"in cui x.x.x. x è un indirizzo IP).

        Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        325465Controller di dominio di Windows 2000 richiedono il Service Pack 3 o versione successiva per utilizzare gli strumenti di amministrazione di Windows Server 2003
      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Sui client che eseguono Windows 2000 SP4, Windows XP, o Windows Server 2003, alcuni amministrazione di Active Directory che si avvalgono di strumenti controller di dominio che eseguono versioni di Windows 2000 sono precedenti a SP3 non funzioneranno correttamente.

        Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        325465Controller di dominio di Windows 2000 richiedono il Service Pack 3 o versione successiva per utilizzare gli strumenti di amministrazione di Windows Server 2003
  3. Membro di dominio: Richiedi chiave di sessione avanzata (Windows 2000 o versione successiva)
    1. Sfondo
      • Il membro del dominio: Richiedi chiave di sessione avanzata (Windows 2000 o versione successiva) impostazione determina se è possibile stabilire un canale protetto con un controller di dominio non è in grado di crittografare il traffico del canale protetto con un chiave di sessione avanzata a 128 bit. L'attivazione di questa impostazione impedisce di stabilire una canale protetto con qualsiasi controller di dominio non può crittografare il canale protetto dati con una chiave avanzata. Disabilitando l'impostazione, le chiavi di sessione a 64 bit.
      • Prima di attivare questa impostazione su un membro workstation o in un server, tutti i controller di dominio nel dominio che il membro appartiene devono essere in grado di crittografare i dati del canale protetto con una forte chiave a 128 bit. Ciò significa che tutti i controller di dominio devono essere in esecuzione Windows 2000 o versione successiva.
    2. Configurazione rischiosa

      Attivazione della membro del dominio: Richiedi chiave di sessione avanzata (Windows 2000 o versione successiva) è un'impostazione di configurazione pericolose.
    3. Motivi per attivare questa impostazione
      • Proteggere le chiavi di sessione vengono utilizzate per stabilire canale di comunicazione tra computer membri e controller di dominio sono molto avanzate in Windows 2000 rispetto alle versioni precedenti di Microsoft sistemi operativi.
      • Ogni volta che è possibile, è bene adottare sfruttare al meglio queste chiavi di sessione più avanzate per proteggere il canale protetto comunicazioni da intercettazioni e da attacchi di rete di falsificazione della sessione. Intercettazione è una forma di attacco dannoso in cui i dati di rete sono di lettura o è modificato in transito. I dati possono essere modificati per nascondere o cambiare il mittente oppure per reindirizzarli.
      Importante Un computer che esegue Windows Server 2008 R2 o Windows 7 supporta solo chiavi avanzate quando vengono utilizzati i canali protetti. Questa limitazione impedisce una relazione di trust tra qualsiasi dominio Windows NT 4.0 e di qualsiasi dominio basato su Windows Server 2008 R2. Inoltre, questa limitazione impedisce l'appartenenza al dominio Windows NT 4.0 di computer che eseguono Windows 7 o Windows Server 2008 R2 e viceversa.
    4. Motivi per disabilitare questa impostazione

      Il dominio contiene computer membri che sono in esecuzione sistemi operativi diversi da Windows 2000, Windows XP o Windows Server 2003.
    5. Nome simbolico:

      StrongKey
    6. Percorso del Registro di sistema:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)
    7. Esempi di problemi di compatibilità

      Windows NT 4.0: Computer basato su Windows NT 4.0 reimpostazione dei canali protetti di relazioni di trust tra domini Windows NT 4.0 e Windows 2000 con NLTEST non riesce con il messaggio di errore "Accesso negato":
      La relazione di trust relazione tra il dominio primario e il dominio trusted non è riuscito.

      Windows 7 e Server 2008 R2: A partire da questa versione del sistema operativo, questa impostazione non è supportata in più e viene utilizzata sempre la chiave avanzata. Che relazioni di trust con domini Windows NT 4.0 non funzionano più.
  4. Membro di dominio: digitale crittografare o firmare i dati del canale protetto (sempre)
    1. Sfondo
      • Attivazione membro del dominio: digitale crittografare o firmare i dati del canale protetto (sempre) impedisce di stabilire un canale protetto con qualsiasi controller di dominio che non possono firmare o crittografare tutti i dati del canale protetto. Per la protezione il traffico di autenticazione da attacchi man-in-the-middle, dagli attacchi di riproduzione e da altri tipi di attacchi alla rete, i computer basati su Windows creare un canale di comunicazione è noto come un canale protetto tramite il servizio Accesso rete per autenticare gli account computer. I canali protetti vengono utilizzati anche quando un utente in un dominio si connette a una rete risorsa in un dominio remoto. Questa autenticazione a più domini o autenticazione pass-through, consente a un computer basato su Windows che fa parte di un dominio che accedere al database degli account utente del proprio dominio e di qualsiasi dominio trusted.
      • Per attivare il membro del dominio: digitale crittografare o firmare i dati del canale protetto (sempre) l'impostazione in un computer membro, tutti i controller di dominio dominio a cui appartiene il membro deve essere in grado di firmare o crittografare tutto protetta dati del canale. Ciò significa che tutti i controller di dominio devono essere in esecuzione Windows NT 4.0 con Service Pack 6a (SP6a) o versione successiva.
      • Abilitazione del membro di dominio: digitale crittografare o firmare i dati del canale protetto (sempre) impostando automaticamente consente il membro di dominio: digitale crittografare o firmare i dati del canale protetto (quando possibile) impostazione.
    2. Configurazione rischiosa

      Attivazione della membro del dominio: digitale crittografare o firmare i dati del canale protetto (sempre) nei domini in cui non tutti i controller di dominio possono firmare in o crittografare i dati del canale protetto sono un'impostazione di configurazione pericolose.
    3. Motivi per attivare questa impostazione

      Traffico di rete privo di firma è soggetto a gli attacchi man-in-the-middle, in cui un intruso acquisisce i pacchetti tra il il client e server e li modifica prima di inoltrarli al client. Quando questo comportamento si verifica in un Lightweight Directory Access Protocol Server (LDAP), l'intruso potrebbe costringere un client a prendere decisioni che sono basate su falsi record dalla directory LDAP. È possibile ridurre il rischio di tali un attacco in una rete aziendale implementando la protezione fisica efficaci misure per proteggere l'infrastruttura di rete. Inoltre, l'implementazione Modalità di intestazione autenticazione di Internet Protocol security (IPSec) può rendere tutte le tipi di attacchi man-in-the-middle estremamente difficili. Consente di eseguire mutua autenticazione e pacchetto l'integrità per il traffico IP.
    4. Motivi per disabilitare questa impostazione
      • Scopo del computer locale o a domini esterni supporta i canali protetti crittografati.
      • Non tutti i controller di dominio nel dominio hanno la livelli di revisione relativi service pack per supportare crittografato protetto canali.
    5. Nome simbolico:

      StrongKey
    6. Percorso del Registro di sistema:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)
    7. Esempi di problemi di compatibilità
      • Windows NT 4.0: I computer membri basati su Windows 2000 non sarà in grado di partecipare Domini Windows NT 4.0 e verrà visualizzato il seguente messaggio di errore:
        L'account non è autorizzato a connettersi da questa stazione.
        Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        281648Messaggio di errore: l'account non è autorizzato a connettersi da questa workstation
      • Windows NT 4.0: Domini Windows NT 4.0 non sarà in grado di stabilire un livello inferiore trust con un dominio Windows 2000 e verrà visualizzato il seguente messaggio di errore:
        L'account non è autorizzato a connettersi da questa stazione.
        Trust di livello inferiore esistenti inoltre non possono autenticare gli utenti dal dominio trusted. Alcuni utenti potrebbero avere difficoltà ad accedere al dominio e può ricevere un messaggio di errore che informa che il client Impossibile trovare il dominio.
      • Windows XP: I client Windows XP appartenenti a domini Windows NT 4.0 verrà non essere in grado di autenticare i tentativi di accesso e che venga visualizzato il seguente messaggio di errore messaggio o gli eventi seguenti possono essere registrati nel registro eventi:
        Impossibile connettersi al dominio oppure perché il controller di dominio è inattivo o non è disponibile o perché il computer non è stato trovato alcun account

        Evento 5723: L'impostazione della sessione dal computer Nomecomputerautenticazione non riuscita. Il nome dell'account a cui fa riferimento il livello di protezione il database è Nomecomputer. Il seguente messaggio di errore si è verificato: accesso negato.

        Evento 3227: L'installazione della sessione per la Windows NT o di Windows controller di dominio 2000 Nome del server per il dominio Nome di dominio non è riuscita perché Server Nome non supporta la firma o il sigillo della sessione Netlogon. Aggiornare il controller di dominio o impostare la voce RequireSignOrSeal del Registro di sistema questo computer a 0.

        Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        318266Un client Windows XP non può accedere a un dominio Windows NT 4.0
      • Microsoft Network: Client di rete Microsoft riceverà uno del seguente errore messaggi:
        Errore durante l'accesso: nome utente sconosciuto o danneggiati password.
        Nessuna chiave di sessione utente per il sessione di accesso specificato.
  5. Client di rete Microsoft: firma digitale alle comunicazioni (sempre)
    1. Sfondo

      Server Message Block (SMB) è il protocollo di condivisione delle risorse è supportato da molti Sistemi operativi Microsoft. è la base di network basic input/output System (NetBIOS) e di molti altri protocolli. La firma SMB autentica sia l'utente e il server che ospita i dati. Se una parte ha esito negativo del processo di autenticazione, la trasmissione dei dati non verrà eseguita.

      Abilitazione della firma SMB inizia durante la negoziazione del protocollo SMB. Criteri di firma SMB determinano se il computer la firma digitale comunicazioni client.

      Il protocollo di autenticazione SMB di Windows 2000 supporta l'autenticazione reciproca. L'autenticazione reciproca chiude un attacco di "tipo man-in-the-middle". Supporta anche un protocollo di autenticazione SMB di Windows 2000 l'autenticazione dei messaggi. Consente di evitare attacchi con messaggi attivi. Per offrire questa autenticazione, la firma SMB inserisce una firma digitale in ogni SMB. Il client e il server di verificare la firma digitale.

      Per utilizzare la firma SMB, è necessario attivare la firma SMB o richiedono la firma SMB sul client SMB e il server SMB. Se la firma SMB è attivata su un server, client abilitati per la firma SMB utilizzano il pacchetto di protocollo di firma durante tutte le sessioni successive. Se la firma SMB è richiesta in un server, un client non è in grado di stabilire una sessione, a meno che il client è abilitato o richiesto per la firma SMB.

      L'abilitazione della firma digitale nelle reti ad alta protezione Consente di impedire la rappresentazione di client e server. Questo tipo di la rappresentazione è noto come dirottamento di sessione. Un utente malintenzionato in grado di accedere alla stessa rete del client o il server utilizza gli strumenti di falsificazione della sessione per interrompere, terminare o sigillare una sessione in corso. Un utente malintenzionato potrebbe intercettare e modificare i pacchetti SMB non firmati, modificare il traffico e quindi inoltrarlo in modo che il Server possa effettuare azioni non desiderate. In alternativa, l'utente malintenzionato potrebbe causare il server o il client dopo un'autenticazione legittima e il guadagno quindi accesso non autorizzato ai dati.

      Il protocollo SMB utilizzato per file di condivisione e per la stampa nei computer che eseguono Windows 2000 Server, Windows 2000 Professional, Windows XP Professional o Windows Server 2003 supporta l'autenticazione reciproca. L'autenticazione reciproca chiude la sessione l'autenticazione dei messaggi e gli attacchi di intercettazione. Pertanto, impedisce attacchi man-in-the-middle. La firma SMB fornisce questa autenticazione inserendo una firma digitale in ogni SMB. La firma viene quindi verificata da entrambi i client e server.

      Note
      • Una contromisura alternativa che può contribuire a proteggere la rete di tutti i il traffico è necessario abilitare le firme digitali con IPSec. Vi sono basate sull'hardware tasti di scelta rapida per la firma e la crittografia IPSec che possono essere utilizzati per ridurre al minimo il impatto sulle prestazioni dalla CPU del server. Tali acceleratori non sono presenti che sono disponibili per la firma SMB.

        Per ulteriori informazioni, vedere il capitolo "Firma digitale alla comunicazione server" sul seguente sito Web Microsoft MSDN:
        http://msdn2.microsoft.com/en-us/library/ms814149.aspx
        Configurare la firma SMB mediante l'Editor oggetti Criteri di gruppo poiché un un valore del Registro di sistema locale non ha alcun effetto in presenza di un criterio di domino di override.
      • In Windows 95, Windows 98 e Windows 98 Seconda edizione, il Client di Active Directory utilizza la firma SMB quando esegue l'autenticazione con Windows Server 2003 utilizzando l'autenticazione NTLM. Tuttavia, questi client non utilizzano la firma SMB se l'autenticazione con questi server utilizzando l'autenticazione NTLMv2. Inoltre, i server Windows 2000 non rispondono a richieste da tali client di firma SMB. Vedere l'articolo 10: "protezione di rete: livello di autenticazione di Lan Manager."
    2. Configurazione rischiosa

      Il seguente è un'impostazione di configurazione nocivi: lasciare il client di rete Microsoft: firma digitale alle comunicazioni (sempre) impostazione e la client di rete Microsoft: firma digitale alle comunicazioni (se autorizzato dal server) impostazione impostata su "Non definito" o disattivato. Queste impostazioni consentono di il redirector di inviare password in testo semplice a server SMB non Microsoft che non supportano la crittografia delle password durante l'autenticazione.
    3. Motivi per attivare questa impostazione

      Abilitazione di client di rete Microsoft: firma digitale alle comunicazioni (sempre) richiedono che i client firmino il traffico SMB quando si contatta il server che non richiedono la firma SMB, rendendo i client meno vulnerabili al dirottamento di sessione attacchi.
    4. Motivi per disabilitare questa impostazione
      • Abilitazione di client di rete Microsoft: firma digitale alle comunicazioni (sempre) impedisce ai client di comunicare con i server di destinazione si non supportano la firma SMB
      • Configurazione dei computer per ignorare tutti senza firma SMB comunicazioni impedisce a programmi e sistemi operativi precedenti la connessione.
    5. Nome simbolico:

      RequireSMBSignRdr
    6. Percorso del Registro di sistema:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
    7. Esempi di problemi di compatibilità
      • Windows NT 4.0: Non sarà in grado di reimpostare il canale protetto di una relazione di trust tra un dominio di Windows Server 2003 e un dominio Windows NT 4.0 utilizzando NLTEST o NETDOM e si riceverà un messaggio di errore "Accesso negato".
      • Windows XP: Copia dei file da un client Windows XP basato su Windows 2000 i server e ai server basati su Windows Server 2003 può richiedere più tempo.
      • Non sarà in grado di eseguire il mapping di un'unità di rete da un client con questa impostazione è attivata e si verrà visualizzato il seguente messaggio di errore messaggio:
        L'account non è autorizzato a connettersi da questa stazione.
    8. Necessità di riavvio

      Riavviare il computer o riavviare il servizio Workstation. A tale scopo, digitare i seguenti comandi al prompt. Premere INVIO dopo ogni comando.
      NET stop workstation
      NET start workstation
  6. Server di rete Microsoft: firma digitale alle comunicazioni (sempre)
    1. Sfondo
      • Server Messenger Block (SMB) è il protocollo per la condivisione di risorse, supportato da molti Sistemi operativi Microsoft. è la base di network basic input/output System (NetBIOS) e di molti altri protocolli. La firma SMB autentica sia l'utente e il server che ospita i dati. Se una parte ha esito negativo del processo di autenticazione, la trasmissione dei dati non verrà eseguita.

        Abilitazione della firma SMB inizia durante la negoziazione del protocollo SMB. Criteri di firma SMB determinano se il computer la firma digitale comunicazioni client.

        Il protocollo di autenticazione SMB di Windows 2000 supporta l'autenticazione reciproca. L'autenticazione reciproca chiude un attacco di "tipo man-in-the-middle". Supporta anche un protocollo di autenticazione SMB di Windows 2000 l'autenticazione dei messaggi. Consente di evitare attacchi con messaggi attivi. Per offrire questa autenticazione, la firma SMB inserisce una firma digitale in ogni SMB. Il client e il server di verificare la firma digitale.

        Per utilizzare la firma SMB, è necessario attivare la firma SMB o richiedono la firma SMB sul client SMB e il server SMB. Se la firma SMB è attivata su un server, client abilitati per la firma SMB utilizzano il pacchetto di protocollo di firma durante tutte le sessioni successive. Se la firma SMB è richiesta in un server, un client non è in grado di stabilire una sessione, a meno che il client è abilitato o richiesto per la firma SMB.

        L'abilitazione della firma digitale nelle reti ad alta protezione Consente di impedire la rappresentazione di client e server. Questo tipo di la rappresentazione è noto come dirottamento di sessione. Un utente malintenzionato in grado di accedere alla stessa rete del client o il server utilizza gli strumenti di falsificazione della sessione per interrompere, terminare o sigillare una sessione in corso. Un utente malintenzionato potrebbe intercettare e modificare la larghezza di banda della Subnet senza segno I pacchetti di gestione (SBM), modificare il traffico e quindi inoltrarlo in modo che il Server possa effettuare azioni non desiderate. In alternativa, l'utente malintenzionato potrebbe causare il server o il client dopo un'autenticazione legittima e il guadagno quindi accesso non autorizzato ai dati.

        Il protocollo SMB utilizzato per file di condivisione e per la stampa nei computer che eseguono Windows 2000 Server, Windows 2000 Professional, Windows XP Professional o Windows Server 2003 supporta l'autenticazione reciproca. L'autenticazione reciproca chiude la sessione l'autenticazione dei messaggi e gli attacchi di intercettazione. Pertanto, impedisce attacchi man-in-the-middle. La firma SMB fornisce questa autenticazione inserendo una firma digitale in ogni SMB. La firma viene quindi verificata da entrambi i client e server.
      • Una contromisura alternativa che può contribuire a proteggere tutto il traffico di rete è necessario abilitare le firme digitali con IPSec. Sono disponibili acceleratori hardware per la firma e la crittografia IPSec che possono essere utilizzati Per ridurre al minimo l'impatto sulle prestazioni dalla CPU del server. Non sono disponibili tasti di scelta rapida disponibili per la firma SMB.
      • In Windows 95, Windows 98 e Windows 98 Seconda edizione, il Client di Active Directory utilizza la firma SMB quando esegue l'autenticazione con Windows Server 2003 utilizzando l'autenticazione NTLM. Tuttavia, questi client non utilizzano la firma SMB se l'autenticazione con questi server utilizzando l'autenticazione NTLMv2. Inoltre, i server Windows 2000 non rispondono a richieste da tali client di firma SMB. Vedere l'articolo 10: "protezione di rete: livello di autenticazione di Lan Manager."
    2. Configurazione rischiosa

      Il seguente è un'impostazione di configurazione nocivi: abilitazione il server di rete Microsoft: firma digitale alle comunicazioni (sempre) su server e sui controller di dominio per accedere a non compatibile di Windows e di terze parti basate sul sistema operativo client computer in locale o di domini esterni.
    3. Motivi per attivare questa impostazione
      • Tutti i computer client che attiva l'impostazione SMB di supportare direttamente attraverso il Registro di sistema o l'impostazione di criteri di gruppo la firma. In altre parole, tutti i computer client che hanno questa impostazione attivata eseguono Windows 95 con il client DS installato, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional o Windows Server 2003.
      • Se server di rete Microsoft: firma digitale alle comunicazioni (sempre) è disattivata, la firma SMB è completamente disattivata. Completamente disattivazione di tutte le firme SMB lascia il computer più vulnerabile al dirottamento di sessione attacchi.
    4. Motivi per disabilitare questa impostazione
      • L'attivazione di questa impostazione potrebbe causare più lenta copia dei file e le prestazioni della rete nei computer client.
      • L'attivazione di questa impostazione impedirà ai client che non è in grado di negoziare la firma SMB di comunicare con i server e con il dominio controller. In questo modo, operazioni quali unioni di domini, computer e utente l'autenticazione, o da programmi di accesso alla rete.
    5. Nome simbolico:

      RequireSMBSignServer
    6. Percorso del Registro di sistema:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)
    7. Esempi di problemi di compatibilità
      • Windows 95: Client Windows 95 che non dispongono di servizi Directory (DS) Client installato non verrà eseguita l'autenticazione di accesso e verrà visualizzato il seguente messaggio di errore:
        La password di dominio specificato non è correggere o accedere per l'accesso al server è stato negato.
        Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        811497Messaggio di errore quando il client Windows NT 4.0 o Windows 95 accede al dominio di Windows Server 2003
      • Windows NT 4.0: Computer client che eseguono versioni di Windows NT 4.0 precedenti al Service Pack 3 (SP3) sarà l'autenticazione di accesso esito negativo e verrà visualizzato il seguente messaggio di errore:
        Il sistema potrebbe non accedere. Assicurarsi che il nome utente e il dominio siano corretti, quindi digitare il password nuovamente.
        Durante l'autenticazione, alcuni server SMB non Microsoft supportano solo gli scambi di password non crittografata. (Questi scambi noto anche come scambi di "testo normale".) A partire da Windows NT 4.0 SP3, il redirector SMB non invia una password non crittografata durante l'autenticazione a un server SMB se non si aggiunge una voce del Registro di sistema.
        Per abilitare le password non crittografate per i client SMB nel Windows NT 4.0 Service Pack 3 e versioni successive dei sistemi, modificare il Registro di sistema nel modo seguente: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        Nome valore: EnablePlainTextPassword
        Tipo di dati: REG_DWORD
        Dati: 1

        Per ulteriori informazioni su argomenti correlati, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
        224287Messaggio di errore: errore di sistema 1240. L'account non è autorizzato a connettersi da questa workstation.
        166730 Le password non crittografate possono causare il Service Pack 3 di connettersi ai server SMB
      • Windows Server 2003: Per impostazione predefinita, le impostazioni di protezione sui controller di dominio che eseguono Windows Server 2003 sono configurate per impedire le comunicazioni dei controller di dominio vengano intercettate o alterate da utenti malintenzionati. Per gli utenti di comunicare con un controller di dominio che esegue Windows Server 2003, i computer client devono utilizzare sia la firma SMB e crittografia o la firma del traffico di canale protetto. Per impostazione predefinita, i client che eseguono Windows NT 4.0 con Service Pack 2 (SP2) o versione precedente e i client che eseguono Windows 95 è necessario la firma dei pacchetti SMB è attivata. Di conseguenza, questi client non potrebbero essere in grado di eseguire l'autenticazione a un controller di dominio basato su Windows Server 2003.
      • Le impostazioni dei criteri di Windows 2000 e Windows Server 2003: In base alle proprie esigenze di specifiche per l'installazione e configurazione, si consiglia di impostare le seguenti impostazioni di criteri all'entità più bassa dell'ambito necessario nella gerarchia di snap-in Editor criteri di gruppo di Microsoft Management Console:
        • Configurazione di protezione Protezione\opzioni
        • Invia password non crittografata per la connessione ai server SMB di terze parti (Questa impostazione è per Windows 2000).
        • Client di rete Microsoft: invia password non crittografata a server SMB di terze parti (Questa impostazione è per Windows Server 2003).

        Nota In alcuni server CIFS di terze parti, ad esempio le versioni Samba meno recenti, è possibile utilizzare le password crittografate.
      • Non sono compatibili con i seguenti client di server di rete Microsoft: firma digitale alle comunicazioni (sempre) impostazione:
        • Apple Computer, Inc., Mac OS X client
        • Client di rete (ad esempio, Microsoft MS-DOS Microsoft LAN Manager)
        • Microsoft Windows per Workgroup client
        • Client di Microsoft Windows 95 senza DS Client installato
        • Computer Microsoft Windows NT 4.0 senza SP3 o versioni successive
        • Client di Novell Netware 6 CIFS
        • Client SAMBA SMB che non dispongono di supporto per SMB la firma
    8. Necessità di riavvio

      Riavviare il computer o riavviare il servizio Server. A tale scopo, digitare i seguenti comandi al prompt. Premere INVIO dopo ogni comando.
      NET stop server
      NET start server
  7. Accesso di rete: Consenti conversione anonima SID/nome
    1. Sfondo

      Il accesso di rete: Consenti conversione anonima SID/nome impostazione di protezione determina se un utente anonimo può richiedere Attributi del numero di identificazione (SID) di protezione per un altro utente.
    2. Configurazione rischiosa

      Attivazione della accesso di rete: Consenti conversione anonima SID/nome è un'impostazione di configurazione pericolose.
    3. Motivi per attivare questa impostazione

      Se il accesso di rete: Consenti conversione anonima SID/nome impostazione è disattivati, precedenti sistemi operativi o applicazioni potrebbe non essere in grado di comunicare con i domini di Windows Server 2003. Ad esempio, i seguenti sistemi operativi, servizi o applicazioni potrebbero non funzionare:
      • Windows NT 4.0, basato su servizio di accesso remoto Server
      • Microsoft SQL Server in esecuzione su Windows NT 3. x o su computer basati su Windows NT 4.0
      • Servizio di accesso remoto è in esecuzione su Windows computer basati su 2000 che si trovano in domini di Windows NT 3. x o Windows Domini NT 4.0
      • SQL Server in esecuzione sul computer basato su Windows 2000 computer che si trovano in domini di Windows NT 3. x o 4.0 di Windows NT domini
      • Utenti nel dominio di risorse Windows NT 4.0 che desiderano concedere le autorizzazioni di accesso a file, cartelle condivise e oggetti del Registro di sistema per utente account da domini di account che contengono il dominio di Windows Server 2003 controller
    4. Motivi per disabilitare questa impostazione

      Se questa impostazione è attivata, un utente malintenzionato potrebbe utilizzare il SID degli amministratori conosciuto per ottenere il nome reale della incorporato Account di amministratore, anche se l'account è stato rinominato. Tale persona potrebbe Utilizzare quindi il nome dell'account per avviare un attacco di individuazione della password.
    5. Nome simbolico: N/D
    6. Percorso del Registro di sistema: Nessuno. Il percorso è specificato nel codice dell'interfaccia utente.
    7. Esempi di problemi di compatibilità

      Windows NT 4.0: I computer nei domini di risorse Windows NT 4.0 verranno visualizzato il Messaggio di errore "Account sconosciuto" nell'Editor ACL se le risorse, tra cui condivisa gli oggetti del Registro di sistema, cartelle e file condivisi sono protetti con la protezione entità che si trovano in domini di account contenenti Windows Server 2003 controller di dominio.
  8. Accesso di rete: non consentire l'enumerazione anonima di SAM account
    1. Sfondo
      • Il accesso di rete: non consentire l'enumerazione anonima di SAM account impostazione determina le autorizzazioni aggiuntive concesse per le connessioni anonime al computer. Windows consente agli utenti anonimi di eseguire determinate attività, ad esempio l'enumerazione di nomi di server e workstation account Gestione account di protezione (SAM) e delle condivisioni di rete. Ad esempio, un amministratore può utilizzare questo per concedere l'accesso agli utenti di un dominio trusted che non mantiene una relazione di trust reciproca. Una volta effettuata una sessione, un utente anonimo potrebbe essere lo stesso accesso concesso a Everyone gruppo in base all'impostazione nel accesso di rete: Let Everyone permissions apply to anonymous users impostazione o l'elenco di controllo di accesso discrezionale (DACL) dell'oggetto.

        In genere, le connessioni anonime sono richiesti dalle versioni precedenti di client (client di livello inferiore) durante l'installazione della sessione SMB. In questi casi, una traccia di rete mostra che l'ID di processo SMB (PID) è che il redirector del client, ad esempio 0xFEFF per Windows 2000 o 0xCAFE Windows NT. RPC può tentare di effettuare connessioni anonime.
      • ImportanteQuesta impostazione non ha alcun impatto sul dominio controller. Nei controller di dominio, questo comportamento è controllato dalla presenza di "NT l'accesso anonimo" in "Accesso compatibile precedente a Windows 2000".
      • In Windows 2000 gestisce un'impostazione analoga Restrizioni addizionali per connessioni anonime, il
        RestrictAnonymous
        valore del Registro di sistema. Il percorso di questo valore è:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
        Per ulteriori informazioni sul valore del Registro di sistema RestrictAnonymous, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
        246261Come utilizzare il valore di registro RestrictAnonymous in Windows 2000
        143474 Limitazione delle informazioni disponibili per gli utenti anonimi
    2. Configurazioni rischiose:

      Attivazione della accesso di rete: non consentire l'enumerazione anonima di SAM account è un'impostazione di configurazione pericolose da una compatibilità punto di vista; la sua disabilitazione è un'impostazione di configurazione nocivi da una protezione punto di vista.
    3. Motivi per attivare questa impostazione

      Un utente non autorizzato potrebbe elencare in modo anonimo account i nomi e quindi utilizzare le informazioni per provare a indovinare le password o per effettuare attacchi di social engineering . Tecniche di social engineering è gergo significa convincere gli utenti a rivelare le password o altre informazioni di protezione.
    4. Motivi per disabilitare questa impostazione

      Se questa impostazione è attivata, è Impossibile Consente di stabilire relazioni di trust con domini Windows NT 4.0. Questa impostazione provocherà inoltre problemi relativi ai client di livello inferiore, ad esempio i client Windows NT 3.51 e Windows 95 client che siano tentando di utilizzare le risorse del server.
    5. Nome simbolico:RestrictAnonymousSAM
    6. Percorso del Registro di sistema:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)
    7. Esempi di problemi di compatibilità
    • SMS Network Discovery non sarà in grado di ottenere le informazioni di sistema e verrà scritto "Sconosciuto" Proprietà OperatingSystemNameandVersion.
    • Windows 95, Windows 98: I client Windows 95 e Windows 98 non sarà in grado di cambiare le password.
    • Windows NT 4.0: Windows NT computer membri basati su 4.0 non potranno essere l'autenticazione.
    • Windows 95, Windows 98: I computer basati su Windows 95 e Windows 98 non saranno in grado di devono essere autenticati dal controller di dominio di Microsoft.
    • Windows 95, Windows 98: Gli utenti dei computer basati su Windows 95 e Windows 98 non verrà essere in grado di modificare le password degli account utente.
  9. Accesso di rete: non consentire l'enumerazione anonima di SAM account e condivisioni
    1. Sfondo
      • Il accesso di rete: non consentire l'enumerazione anonima di SAM account e condivisioni (noto anche come RestrictAnonymous) determina se anonimo l'enumerazione degli account di protezione Condivisioni e account manager (SAM) è consentito. Windows consente a utenti anonimi eseguire determinate attività, ad esempio l'enumerazione di nomi di account di dominio (utenti, computer e gruppi) e delle condivisioni di rete. Questa opzione risulta utile per esempio, quando un amministratore desidera concedere l'accesso agli utenti di un attendibile dominio che non mantiene una relazione di trust reciproca. Se non si desidera consentire l'enumerazione anonima di account SAM e condivisioni, attivare questa impostazione.
      • In Windows 2000 gestisce un'impostazione analoga Restrizioni addizionali per connessioni anonime, il
        RestrictAnonymous
        valore del Registro di sistema. Il percorso di questo valore è:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    2. Configurazione rischiosa

      Attivazione della accesso di rete: non consentire l'enumerazione anonima di SAM account e condivisioni è un'impostazione di configurazione pericolose.
    3. Motivi per attivare questa impostazione
      • Attivazione della accesso di rete: non consentire l'enumerazione anonima di SAM account e condivisioni impostazione impedisce l'enumerazione di account SAM e condivisioni da parte degli utenti e i computer che utilizzano account anonimi.
    4. Motivi per disabilitare questa impostazione
      • Se questa impostazione è attivata, un utente non autorizzato Impossibile elencare in modo anonimo i nomi di account e quindi utilizzare le informazioni per tentare di indovinare le password o per effettuare attacchi di social engineering . Tecniche di social engineering è gergo significa convincere gli utenti a rivelare le password o altri tipi di informazioni di protezione.
      • Se questa impostazione è attivata, non sarà possibile per stabilire relazioni di trust con domini Windows NT 4.0. Questa impostazione provocherà inoltre problemi relativi ai client di livello inferiore, ad esempio client Windows NT 3.51 e Windows 95 che sta tentando di utilizzare le risorse del server.
      • Non sarà possibile concedere l'accesso agli utenti di domini di risorse poiché gli amministratori del dominio trusting non sarà in grado di per enumerare gli elenchi di account in altro dominio. Gli utenti che accedono ai file e i server di stampa in modo anonimo non sarà in grado di elencare le risorse di rete condivisa su tali server. gli utenti devono autenticarsi prima di visualizzare gli elenchi di stampanti e cartelle condivise.
    5. Nome simbolico:

      RestrictAnonymous
    6. Percorso del Registro di sistema:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
    7. Esempi di problemi di compatibilità
      • Windows NT 4.0: Gli utenti non saranno in grado di modificare le password da Windows NT 4.0 workstation quando RestrictAnonymous è abilitata nei controller di dominio nel dominio degli utenti. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        198941Gli utenti non possono modificare la password quando si accede
      • Windows NT 4.0: Aggiunta di utenti o gruppi globali di domini trusted di Windows 2000 Windows NT 4.0 gruppi locali in User Manager avrà esito negativo con il seguente messaggio di errore:
        Attualmente non sono presenti server di accesso disponibile per soddisfare la richiesta di accesso.
        Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        296405Il valore del Registro di sistema "RestrictAnonymous" può interrompere la relazione di trust a un dominio Windows 2000
      • Windows NT 4.0: Windows NT computer basati su 4.0 non sarà in grado di partecipare a domini durante l'installazione o tramite l'interfaccia utente di dominio join.

        Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        184538Messaggio di errore: Impossibile trovare un controller di dominio
      • Windows NT 4.0: Windows NT 4.0: Stabilire una relazione di trust di livello inferiore con Windows NT domini di risorse 4.0 avrà esito negativo con il seguente messaggio di errore quando RestrictAnonymous è abilitato nel dominio trusted:
        Impossibile non trovare controller di dominio per questo dominio.
        Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        178640Impossibile trovare il controller di dominio quando si stabilisce una relazione di trust
      • Windows NT 4.0: Utenti che accedono al Server Terminal basato su Windows NT 4.0 computer verranno eseguito il mapping per la home directory predefinita anziché la home directory che viene definita in User Manager per domini.

        Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        236185I profili utente di terminali Server e i percorsi di cartella principale vengono ignorati dopo l'applicazione di SP4 o versione successiva
      • Windows NT 4.0: Non sarà in grado di Windows NT 4.0 controller di dominio di backup (BDC) Per avviare il servizio Accesso rete, per ottenere un elenco dei browser di backup o per sincronizzare il database di SAM da Windows 2000 o Windows Server 2003 controller di dominio nello stesso dominio.

        Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        293127Il servizio Accesso rete di un BDC 4.0 di Windows NT non funziona in un dominio Windows 2000
      • Windows 2000: Computer membri basati su Windows 2000 in domini Windows NT 4.0 non sarà in grado di visualizzare le stampanti nei domini esterni se in Criteri di protezione locali del client è attivata l'impostazione non consentire l'accesso senza autorizzazioni anonime esplicite computer.

        Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        280329Impossibile gestire o visualizzare le proprietà della stampante
      • Windows 2000: Gli utenti del dominio di Windows 2000 non sarà in grado di aggiungere una rete stampanti da Active Directory. Tuttavia, potranno aggiungere stampanti Dopo che selezionarli dalla visualizzazione struttura.

        Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        318866Impossibile visualizzare l'elenco indirizzi globale nei client Outlook dopo l'installazione di Security Rollup Package 1 (SRP1) sul server di catalogo globale
      • Windows 2000: Su computer basati su Windows 2000, l'Editor ACL non sarà in grado di aggiungere utenti o gruppi globali da domini Windows NT 4.0 trusted.

        Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        296403Il valore RestrictAnonymous interrompe la relazione di trust in un ambiente di dominio mista
      • ADMT versione 2: Migrazione delle password degli account utente migrati tra gli insiemi di strutture con Active Directory migrazione Tool (ADMT) versione 2 verrà esito negativo.

        Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        322981Risoluzione dei problemi di migrazione delle password tra insiemi di strutture con ADMTv2
      • i client outlook: L'elenco indirizzi globale risulterà vuoto di Microsoft Exchange Client di Outlook.

        Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        318866Impossibile visualizzare l'elenco indirizzi globale nei client Outlook dopo l'installazione di Security Rollup Package 1 (SR) sul server di catalogo globale
        321169 Rallentamento delle prestazioni SMB quando si copiano file da Windows XP a un controller di dominio Windows 2000
      • SMS: Microsoft Systems Management Server (SMS) Network Discovery verrà non essere in grado di ottenere informazioni sul sistema operativo. Di conseguenza, verrà scrivere "Sconosciuto" nella proprietà OperatingSystemNameandVersion del DDR SMS proprietà del record di dati di rilevamento (DDR).

        Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        229769Come Discovery Data Manager determina quando generare una richiesta di configurazione client
      • SMS: Quando si utilizza SMS Administrator User Wizard per cercare gli utenti e gruppi, non utenti e gruppi non verranno elencati. Inoltre, i client avanzati non possono comunicare con il punto di gestione. Il punto di gestione è richiesto l'accesso anonimo.

        Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        302413Nessun utente o gruppo è elencati in Administrator User Wizard
      • SMS: Quando si utilizza la funzionalità di individuazione della rete in SMS 2.0 e nell'installazione di Client remoto con l'opzione di rilevamento rete topologia, client e sistemi operativi attivata, i computer potrebbe essere individuati ma potrebbe non essere installato.

        Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        311257Le risorse non vengono visualizzate se le connessioni anonime vengono disattivate
  10. Protezione di rete: livello di autenticazione di Lan Manager
    1. Sfondo

      L'autenticazione di LAN Manager (LM) è il protocollo utilizzato per autenticare i client Windows per le operazioni di rete, incluso il dominio join, l'accesso alle risorse di rete e l'autenticazione utente o computer. LM livello di autenticazione determina quali autenticazione challenge/response protocollo viene negoziato tra il client e il computer server. In particolare, il livello di autenticazione LM determina quali autenticazione i protocolli che il client tenterà di negoziare o che verranno accettate. Il valore impostato per LmCompatibilityLevel determina quale protocollo di autenticazione challenge/response viene utilizzato per gli accessi alla rete. Questo valore incide sul livello del protocollo di autenticazione utilizzato dai client, il livello di protezione di sessione negoziato e il livello di autenticazione accettato dai server, in base alla tabella riportata di seguito.

      Di seguito sono elencate le possibili impostazioni.
      Riduci questa tabellaEspandi questa tabella
      ValoreImpostazioneDescrizione
      0 Invia risposte LM e NTLM &I client utilizzano l'autenticazione LM e NTLM e NTLMv2 non utilizzano mai protezione di sessione. i controller di dominio accettano LM, NTLM e NTLMv2 autenticazione.
      1Invia LM e NTLM & - utilizzare la protezione di sessione NTLMv2 se negoziataI client utilizzano l'autenticazione LM e NTLM e NTLMv2 protezione di sessione, se il server la supporta. i controller di dominio accettano LM, NTLM e NTLMv2 autenticazione.
      2Invia solo risposte NTLMI client utilizzano solo l'autenticazione NTLM e NTLMv2 sessione protezione se il server la supporta. i controller di dominio accettano LM, NTLM, e Autenticazione NTLMv2.
      3Invia solo risposta NTLMv2I client utilizzano solo l'autenticazione NTLMv2 e protezione di sessione protezione se il server la supporta. i controller di dominio accettano LM, NTLM, e Autenticazione NTLMv2.
      4Invia solo risposta NTLMv2 / Rifiuta LMI client utilizzano solo l'autenticazione NTLMv2 e protezione di sessione protezione se supportata dal server. I controller di dominio rifiutano LM e accettano solo autenticazione NTLM e NTLMv2).
      5Invia solo risposta NTLMv2 / Rifiuta LM e NTLM &I client utilizzano solo l'autenticazione NTLMv2 e protezione di sessione protezione se il server la supporta. i controller di dominio rifiutano LM e NTLM (essi accettare solo l'autenticazione NTLMv2).
      Nota In Windows 95, Windows 98 e Windows 98 Seconda edizione, il Client di Active Directory utilizza la firma SMB quando esegue l'autenticazione con Windows Server 2003 utilizzando l'autenticazione NTLM. Tuttavia, questi client non utilizzano la firma SMB se l'autenticazione con questi server utilizzando l'autenticazione NTLMv2. Inoltre, i server Windows 2000 non rispondono a richieste da tali client di firma SMB.

      Controllare il livello di autenticazione LM È necessario modificare il criterio sul server per consentire NTLM oppure configurare il computer client per supportare NTLMv2.

      Se il criterio è impostato su (5) Invia solo risposta NTLMv2\Rifiuta LM e NTLM & sul computer di destinazione che si desidera connettersi, è necessario ridurre l'impostazione del computer o impostare la protezione per la stessa impostazione nel computer di origine che si effettua la connessione.

      Trovare la posizione corretta in cui è possibile modificare LAN manager il livello di autenticazione per impostare il client e il server allo stesso livello. Dopo aver trovato il criterio di impostazione livello di autenticazione LAN manager se si desidera effettuare la connessione da e verso computer che eseguono versioni precedenti di Windows, diminuire il valore di almeno (1) Invia LM & - utilizzare NTLM versione 2 di NTLM se negoziata la protezione di sessione. Un effetto di impostazioni non compatibili è che se il server richiede NTLMv2 (valore 5), ma il client è configurato per utilizzare LM e NTLMv1 solo (valore 0), l'utente che tenta l'autenticazione si verifica un errore di accesso che dispone di una password errata e che incrementa il conteggio delle password errate. Se è configurato l'uscita di blocco account, l'utente alla fine può essere bloccato.

      Ad esempio, è possibile eseguire la ricerca del controller di dominio o potrebbe essere necessario esaminare i criteri del controller di dominio.

      Cerca sul controller di dominio
      Nota Potrebbe essere necessario ripetere la procedura seguente su tutti i controller di dominio.
      1. Fare clic su Avviare, scegliere Programmi, quindi fare clic su Strumenti di amministrazione.
      2. Nella casella di gruppo Impostazioni di protezione locali, espandere Criteri locali.
      3. Fare clic su Opzioni di protezione.
      4. Fare doppio clic su Protezione di rete: Livello di autenticazione LAN manager, quindi fare clic su un valore appropriato nell'elenco.
      Se l'impostazione effettiva e l'impostazione locale sono uguali, il criterio è stato modificato a questo livello. Se le impostazioni sono diverse, è necessario verificare il criterio del controller di dominio per scoprire se il la protezione della rete: livello di autenticazione di LAN manager è definita nel criterio. Se esso non sia definita, esaminare i criteri del controller di dominio.

      Esaminare i criteri del controller di dominio
      1. Fare clic su Avviare, scegliere Programmi, quindi fare clic su Strumenti di amministrazione.
      2. Nel Protezione del Controller di dominio criteri, espandere Impostazioni di protezione, quindi espandere Criteri locali.
      3. Fare clic su Opzioni di protezione.
      4. Fare doppio clic su la protezione della rete: livello di autenticazione di LAN manager, quindi fare clic su un valore appropriato nell'elenco.
      Nota
      • Inoltre potrebbe essere necessario controllare i criteri collegati a livello di sito, a livello di dominio o all'unità organizzativa di livello (OU) per determinare dove è necessario configurare il livello di autenticazione di LAN manager.
      • Se si implementa un'impostazione di criteri di gruppo come criterio di dominio predefinito, il criterio viene applicato a tutti i computer del dominio.
      • Se si implementa un'impostazione di criteri di gruppo come criterio del controller di dominio predefinito, il criterio si applica solo ai server nell'unità Organizzativa del controller di dominio.
      • È consigliabile impostare il livello di autenticazione di LAN manager sull'entità più bassa dell'ambito necessario nella gerarchia dei criteri di applicazione.
      Dopo aver apportato le modifiche, aggiornare i criteri. (In caso di modifica a livello di impostazioni di protezione locale, la modifica è immediata. Tuttavia, è necessario riavviare il client prima della verifica.)

      Per impostazione predefinita, le impostazioni dei criteri di gruppo vengono aggiornate nei controller di dominio ogni cinque minuti. Per attivare immediatamente l'aggiornamento delle impostazioni dei criteri in Windows 2000 o versione successiva, utilizzare il comando gpupdate .

      Il comando gpupdate /force Aggiorna le impostazioni di criteri di gruppo locali e le impostazioni di criteri di gruppo basate sul servizio directory di Active Directory, incluse le impostazioni di protezione. Questo comando sostituisce l'opzione ormai obsoleta /refreshpolicy per il comando secedit .

      Il comando gpupdate utilizza la seguente sintassi:
      gpupdate [/target: {computer|utente}] [/force] [/WAIT:valore] [/logoff] [/boot]

      Applicare il nuovo oggetto Criteri di gruppo (GPO) utilizzando il comando gpupdate per riconfigurare manualmente tutte le impostazioni di criteri. A tale scopo, digitare quanto segue al prompt dei comandi e premere INVIO:
      GPUpdate /Force
      Esaminare il registro eventi dell'applicazione per assicurarsi che l'impostazione del criterio sia stato applicato correttamente.

      In Windows XP e Windows Server 2003, è possibile utilizzare lo snap-in gruppo di criteri risultante per visualizzare l'impostazione effettiva. A tale scopo, fare clic su Avviare, fare clic su Eseguire, tipo msc, quindi fare clic su OK.

      Se il problema persiste anche dopo le modifiche apportate al criterio, riavviare il server basato su Windows e quindi verificare che il problema è stato risolto.

      Nota Se si dispone di più controller di dominio basato su Windows 2000, i controller di dominio basato su Windows Server 2003 o entrambi, è necessario eseguire la replica di Active Directory per assicurarsi che questi controller di dominio hanno subito modifiche aggiornate.

      In alternativa, l'impostazione potrebbe non essere impostato sul valore più basso nel criterio di protezione locale. È possibile applicare l'impostazione di un database di protezione, in alternativa è possibile impostare il livello di autenticazione di LAN manager nel Registro di sistema modificando la voce LmCompatibilityLevel nella seguente sottochiave del Registro di sistema:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
      Windows Server 2003 dispone di una nuova impostazione predefinita da utilizzare solamente NTLMv2. Per impostazione predefinita, Windows Server 2003 e i controller di dominio basato su Windows 2000 Server SP3 sono attivato il "server di rete Microsoft: firma digitale alle comunicazioni (sempre)" dei criteri. Questa impostazione richiede al server per eseguire la firma dei pacchetti SMB. Poiché i controller di dominio, file server, server di infrastruttura di rete e i server Web in qualsiasi organizzazione richiedono impostazioni diverse ottimizzare la sicurezza, sono state apportate modifiche a Windows Server 2003.

      Se si desidera implementare l'autenticazione NTLMv2 nella rete, è necessario assicurarsi che tutti i computer del dominio siano impostati per utilizzare questo livello di autenticazione. Se si applica in Active Directory Client Extensions per Windows 95 o Windows 98 e Windows NT 4.0, le estensioni client utilizzano le funzionalità di autenticazione avanzate disponibili in NTLMv2. Poiché i computer client che eseguono uno dei seguenti sistemi operativi non sono influenzati dagli oggetti Criteri di gruppo di Windows 2000, è necessario configurare manualmente questi client:
      • Microsoft Windows NT 4.0
      • Microsoft Windows Millennium Edition
      • Microsoft Windows 98
      • Microsoft Windows 95
      Nota Se si attiva il Protezione di rete: non memorizzare il valore hash di LAN manager al prossimo cambio di password oppure si imposta il NoLMHash chiave del Registro di sistema, i client basati su Windows 95 e Windows 98 che non hanno installato il Client servizio Directory non può accedere al dominio dopo una modifica della password.

      Molti server CIFS di terze parti, ad esempio Novell Netware 6, non riconoscono NTLMv2 e utilizzano solo NTLM. Di conseguenza, la connettività non sono consentita da livelli maggiori di 2.

      Per ulteriori informazioni su come configurare manualmente il livello di autenticazione di LAN manager, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
      147706 della MicrosoftHow to disable LM authentication on Windows NT
      175641 LMCompatibilityLevel e relativi effetti
      299656 Come impedire a Windows di archiviare un hash di LAN manager della password in Active Directory e nei database SAM
      312630 Outlook continua a chiedere le credenziali di accesso
      Per ulteriori informazioni sui livelli di autenticazione LM, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
      239869Come abilitare l'autenticazione NTLM 2
    2. Configurazioni rischiose

      Di seguito sono le impostazioni di configurazione nocivi:
      • Impostazioni non restrittive che invia le password in testo non crittografato e che negare la negoziazione NTLMv2
      • Impostazioni restrittive che impediscono incompatibile i client o controller di dominio di negoziare un protocollo di autenticazione comune
      • La richiesta di autenticazione NTLMv2 nei computer membri e sono i controller di dominio che eseguono versioni di Windows NT 4.0 precedenti a Service Pack 4 (SP4)
      • La richiesta di autenticazione NTLMv2 in Windows 95 i client o sui client Windows 98 che non dispongono di Directory di Windows Installata il Client di servizi.
      • Se seleziona il Richiedi protezione sessione NTLMv2 casella di controllo nell'Editor di criteri dei gruppo Microsoft Management Console snap-in Windows Server 2003 o Windows 2000 Service Pack 3-based computer e si abbassa il livello di autenticazione di LAN manager su 0, le due impostazioni in conflitto ed è possibile che venga visualizzato il seguente messaggio di errore nel file secpol. msc o il file Gpedit. msc:
        Impossibile aprire il database dei criteri locali. Si è verificato un errore sconosciuto durante il tentativo di aprire il database.
        Per ulteriori informazioni su strumento di analisi e configurazione della protezione, vedere i file Guida in linea di Windows Server 2003 o Windows 2000.

        Per ulteriori informazioni su come analizzare i livelli di protezione in Windows 2000 e Windows Server 2003, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
        313203Come analizzare la protezione del sistema in Windows 2000
        816580 Come analizzare la protezione del sistema in Windows Server 2003
    3. Motivi per modificare questa impostazione
      • Per aumentare il minimo comune protocollo di autenticazione supportato dai client e controller di dominio l'organizzazione.
      • In cui l'autenticazione protetta è un'azienda requisito, che si desidera disattivare la negoziazione di LM e il NTLM protocolli.
    4. Motivi per disabilitare questa impostazione

      Client o i requisiti di autenticazione del server o entrambi, sono stati aumentati fino al punto in cui l'autenticazione su un protocollo comune non può verificarsi.
    5. Nome simbolico:

      LmCompatibilityLevel
    6. Percorso del Registro di sistema:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
    7. Esempi di problemi di compatibilità
      • Windows Server 2003:Per impostazione predefinita, il Windows Server 2003 NTLMv2 impostazione invia risposte NTLM è attivata. Di conseguenza, Windows Server 2003 riceve il messaggio di errore "Accesso negato" dopo l'installazione iniziale quando si tenta di connettersi a un cluster basato su Windows NT 4.0 o i server basati su LanManager v 2.1, ad esempio OS/2 Lanserver. Questo problema si verifica anche se si tenta di connettersi da un client di versioni precedenti a un server basato su Windows Server 2003.
      • Installazione di Windows 2000 Security Rollup Package 1 (SRP1).SRP1 impone NTLM versione 2 (NTLMv2). Questo pacchetto cumulativo è stato rilasciato dopo il rilascio di Windows 2000 Service Pack 2 (SP2). Per ulteriori informazioni su SRP1, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

        311401 Windows 2000 Security Rollup Package 1, gennaio 2002
      • Windows 7 e Windows Server 2008 R2: molti server CIFS di terze parti, ad esempio i server Novell Netware 6 o Samba basati su Linux, non riconoscono NTLMv2 e utilizzano solo NTLM. Di conseguenza, la connettività non sono consentita da livelli maggiori di "2". Ora in questa versione del sistema operativo, il valore predefinito di LmCompatibilityLevel è stato modificato a "3". Pertanto, quando si esegue l'aggiornamento di Windows, questi 3rd filer di terze parti potrebbe smettere di funzionare.
      • Client Microsoft Outlook potrebbero essere richiesto per le credenziali, anche se sono già connessi al dominio. Quando gli utenti forniscono le credenziali, ricevono il seguente errore messaggio: in Windows 7 e la finestra Server 2008 R2
        Credenziali di accesso non sono corrette. Assicurarsi che il nome utente e il dominio siano corretti, quindi digitare nuovamente la password.
        Quando si avvia Outlook, potrebbe essere richiesto le credenziali dell'utente anche se l'impostazione di protezione di accesso alla rete è impostata su Passthrough o autenticazione Password. Dopo aver digitato le credenziali corrette, è possibile che venga visualizzato il seguente messaggio di errore:
        Credenziali di accesso non sono corrette.
        Una traccia di Network Monitor potrebbe mostrare che il catalogo globale ha rilasciato un errore di procedura remota (RPC) call con lo stato 0x5. Stato 0x5 corrisponde "Accesso negato".
      • Windows 2000:Acquisizione di Network Monitor può presentare i seguenti errori NetBIOS sulla sessione di TCP/IP (NetBT) server messaggio block (SMB):
        SMB R Search Directory Dos error, identificatore di utente non valido (91) (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE
      • Windows 2000: Se un dominio di Windows 2000 con NTLMv2 livello 2 o versioni successive è attendibile da un dominio Windows NT 4.0, i computer membri basati su Windows 2000 nella risorsa dominio potrebbe verificarsi errori di autenticazione.

        Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        305379Problemi di autenticazione in Windows 2000 con livelli NTLM 2 superiori a 2 in un dominio Windows NT 4.0
      • Windows 2000 e Windows XP: Per impostazione predefinita, Windows 2000 e Windows XP impostare l'opzione di LAN Manager Authentication livello Criteri di protezione locali su 0. Un'impostazione pari a 0 indica che "le Invia risposte LM e NTLM."

        Nota Windows NT cluster basati su 4.0 devono utilizzare LM per l'amministrazione.
      • Windows 2000: Clustering di Windows 2000 non consente di autenticare un nodo di unione se entrambi i nodi fanno parte di un Windows NT 4.0 Service Pack 6a (SP6a) dominio.

        Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        305379Problemi di autenticazione in Windows 2000 con livelli NTLM 2 superiori a 2 in un dominio Windows NT 4.0
      • IIS Lockdown Tool (HiSecWeb) imposta il valore di LMCompatibilityLevel su 5 e il valore RestrictAnonymous su 2.
      • Servizi per Macintosh

        Modulo autenticazione utenti (UAM): Microsoft UAM (modulo di autenticazione utente) fornisce un metodo di crittografia delle password che consente di accedere ai server Windows AFP (AppleTalk Filing Protocol). Apple utente Authentication Module (UAM) fornisce solo minime o senza crittografia. Di conseguenza, la password può essere facilmente intercettata sulla LAN o su Internet. Sebbene il UAM non sia necessario, fornisce l'autenticazione crittografata di Windows 2000 Server che esegue servizi per Macintosh. Questa versione include il supporto per l'autenticazione crittografata a 128 bit NTLMv2 e una versione di MacOS X 10.1 compatibile.

        Per impostazione predefinita, i servizi di Windows Server 2003 per server Macintosh consentite esclusivamente autenticazioni Microsoft.

        Per ulteriori informazioni, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
        834498Client Macintosh non può connettersi ai servizi per Mac in Windows Server 2003
        838331 Gli utenti di Mac OS X non possono aprire le cartelle condivise Macintosh in un server basato su Windows Server 2003
      • Windows Server 2008, Windows Server 2003, Windows XP e Windows 2000: Se si imposta il valore di LMCompatibilityLevel essere 0 o 1 e quindi configurare il valore NoLMHash su 1, applicazioni e componenti venga negati l'accesso tramite NTLM. Questo problema si verifica perché il computer è configurato per l'abilitazione di LM ma non per l'utilizzo delle password memorizzate in LM.

        Se si configura il valore NoLMHash su 1, è necessario configurare il valore LMCompatibilityLevel almeno su 2 o versione successiva.
  11. Protezione di rete: requisiti di la firma client LDAP
    1. Sfondo

      Il protezione di rete: la firma dei requisiti client LDAP determina il livello di una firma i dati richiesti in per conto di client che emettono LDAP Lightweight Directory Access Protocol () BIND richieste come segue:
      • Nessuno: richiesta LDAP BIND viene rilasciato con la specificata dal chiamante opzioni.
      • Negozia firma: se il Secure Sockets Layer/Transport Layer Security (SSL/TLS) non è stato avviato, la richiesta di binding LDAP viene iniziata con i dati LDAP opzione di firma inoltre imposta le opzioni specificate dal chiamante. Se SSL/TLS stato avviato, la richiesta di binding LDAP è stata avviata con la specificata dal chiamante opzioni.
      • Richiedi firma: questo è quello di negoziare la firma digitale. Tuttavia, se il server LDAP dell'intermedio saslBindInProgress la risposta non indica che è richiesta la firma del traffico LDAP, il chiamante è detto che la richiesta del comando binding LDAP non riuscita.
    2. Configurazione rischiosa

      Attivazione della protezione di rete: client LDAP requisiti di accesso è un'impostazione di configurazione pericolose. Se si imposta il server Richiedi firme LDAP, è necessario configurare anche la firma LDAP sui client. Non configurando il client per l'utilizzo di firme LDAP impedisce la comunicazione con il server. In questo modo l'autenticazione dell'utente, le impostazioni di criteri di gruppo gli script di accesso e altre funzionalità di un errore.
    3. Motivi per modificare questa impostazione

      Traffico di rete privo di firma è soggetto a attacchi man-in-the-middle in cui un intruso acquisisce i pacchetti tra il client il server e li modifica e li inoltra al server. Quando questo si verifica su un server LDAP, un utente malintenzionato potrebbe costringere un server di rispondere in base a false query provenienti dal client LDAP. È possibile ridurre questo rischio in una società rete mediante l'implementazione di misure di protezione fisica efficaci per proteggere il infrastruttura di rete. Inoltre, tutti i tipi di attacchi man-in-the-middle è possibile rendere estremamente difficili richiedendo le firme digitali in rete tutte le pacchetti di intestazioni di autenticazione IPSec.
    4. Nome simbolico:

      LDAPClientIntegrity
    5. Percorso del Registro di sistema:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
  12. Registro eventi: Dimensione massima registro protezione
    1. Sfondo

      Il Registro eventi: dimensione massima registro protezione impostazione di protezione specifica la dimensione massima dell'evento di protezione registro. Questo registro ha una dimensione massima di 4 GB. Per individuare questa impostazione, espandere Impostazioni di Windows, quindi espandere Protezione Impostazioni.
    2. Configurazioni rischiose

      Di seguito sono le impostazioni di configurazione nocivi:
      • Limitare la dimensione del Registro di protezione e la sicurezza metodo di conservazione di accesso quando il controllo: Arresta il sistema immediatamente se non è possibile registrare i controlli di protezione impostazione è attivata. Vedere il "controllo: Arresta il sistema immediatamente se non è possibile registrare i controlli di protezione" sezione di questo articolo per ulteriori dettagli.
      • Limitare la dimensione del Registro di protezione in modo che la sicurezza gli eventi di interesse vengono sovrascritti.
    3. Motivi per aumentare questa impostazione

      Potrebbero richiedere requisiti aziendali e di protezione che si aumentare la dimensione del Registro di protezione per gestire i dettagli del log di protezione aggiuntive o a conservare i registri di protezione per un periodo di tempo più lungo.
    4. Motivi per ridurre questa impostazione

      Visualizzatore eventi sono file mappati in memoria. Il valore massimo dimensione di un registro eventi è limitata dalla quantità di memoria fisica del computer locale e dalla memoria virtuale disponibile nel registro eventi processo. Aumento della dimensione del registro oltre la quantità di memoria virtuale disponibile nel Visualizzatore eventi non aumenta il numero di voci di registro sono mantenuta.
    5. Esempi di problemi di compatibilità

      Windows 2000:Sono i computer che eseguono versioni di Windows 2000 versioni precedenti al Service Pack 4 (SP4) potrebbero smettere di eventi registrati nel log eventi prima di raggiungere la dimensione è specificata nell'impostazione della dimensione massima registro nel Visualizzatore eventi se è attivata l'opzione non sovrascrivere eventi (pulizia manuale del registro) .

      Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
      312571Il registro eventi si interrompe la registrazione di eventi prima di raggiungere la dimensione massima registro
  13. Registro eventi: Gestione registro protezione
    1. Sfondo

      Il Registro eventi: gestione registro protezione impostazione di protezione determina il metodo di "wrapping" per il Registro di protezione. Per individuare questa impostazione, espandere Impostazioni di Windows, e quindi espandere Impostazioni di protezione.
    2. Configurazioni rischiose

      Di seguito sono le impostazioni di configurazione nocivi:
      • Impossibilità di conservare tutti registrati gli eventi di protezione prima di vengono sovrascritti
      • Configurazione della dimensione massima registro protezione impostazione troppo piccola, in modo che gli eventi di protezione sovrascritto
      • Limitare la dimensione del Registro di protezione e la conservazione metodo durante la controllo: Arresta il sistema immediatamente se non è possibile registrare i controlli di protezione è attivata l'impostazione di protezione
    3. Motivi per attivare questa impostazione

      Attivare questa impostazione solo se si seleziona il Sovrascrivi eventi ogni giorni metodo di conservazione. Se si utilizza un sistema di correlazione di eventi che esegue il polling degli eventi, assicurarsi che il numero di giorni sia almeno tre volte la frequenza di polling. Questa operazione per consentire di cicli di polling non riuscita.
  14. Accesso di rete: Consenti accesso libero agli utenti anonimi
    1. Sfondo

      Per impostazione predefinita, il Network access: Let Everyone permissions apply to anonymous users è impostata su Non definito in Windows Server 2003. Per impostazione predefinita, Windows Server 2003 non include il token di accesso anonimo in Everyone gruppo.
    2. Esempio di problemi di compatibilità

      Il valore indicato di seguito
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
      [REG_DWORD] = 0x0 interrompe la creazione di trust tra Windows Server 2003 e di Windows NT 4.0, quando il dominio di Windows Server 2003 è il dominio di account e la Windows NT 4.0 è il dominio di risorse. Ciò significa che il dominio dell'account è Trusted Windows NT 4.0 e il dominio di risorse sarà di tipo Trusting sul lato Windows Server 2003. Questo comportamento si verifica perché il processo per avviare la relazione di trust dopo la connessione anonima iniziale è ACL sarebbe con il token che include il SID anonimo in Windows NT 4.0 per tutti gli utenti.
    3. Motivi per modificare questa impostazione

      Il valore deve essere impostato su 0x1 o impostare utilizzando un oggetto Criteri di gruppo nell'unità Organizzativa del controller di dominio da: Network access: Let Everyone permissions apply per utenti anonimi - abilitato per rendere possibile la creazione di trust.

      Nota Molte altre impostazioni di protezione di go up valore anziché verso il basso per 0x0 allo stato più protetto. Una pratica più sicura, è possibile modificare il Registro di sistema sull'emulatore del controller di dominio primario anziché su tutti i controller di dominio. Se il ruolo di emulatore del controller di dominio primario viene spostato per qualsiasi motivo, è necessario aggiornare il Registro di sistema sul nuovo server.

      Dopo aver impostato questo valore, è necessario un riavvio.
    4. Percorso del Registro di sistema
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
  15. Autenticazione NTLMv2

    Protezione di sessione

    Protezione sessione determina gli standard minimi di sicurezza per le sessioni client e server. Si consiglia di verificare le seguenti impostazioni di criteri di protezione nello snap-in Editor criteri di gruppo di Microsoft Management Console:
    • Protezione\Windows di Windows\Impostazioni protezione\Criteri Locali\opzioni
    • Protezione di rete: Protezione di sessione minima per server basati su NTLM SSP (incluso il RPC protetto)
    • Protezione di rete: Protezione di sessione minima per client basati su NTLM SSP (incluso il RPC protetto)
    Le opzioni per queste impostazioni sono:
    • Richiedi integrità messaggio
    • Richiedi riservatezza messaggio
    • NTLM versione 2 di richiedere la protezione di sessione
    • Richiedere la crittografia a 128 bit
    L'impostazione predefinita non è Nessun requisito.

    Questi criteri determinano gli standard minimi di sicurezza per una sessione di comunicazione per applicazioni su un server per un client.

    In passato, Windows NT ha supportato le seguenti due varianti di autenticazione challenge/response per gli accessi di rete:
    • Attesa/risposta LM
    • Challenge/response NTLM versione 1
    LM consente l'interoperabilità con la base installata di client e server. NTLM fornisce maggiore protezione per le connessioni tra client e server.

    Le chiavi del Registro di sistema corrispondenti sono i seguenti:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\ "NtlmMinServerSec"

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\ "NtlmMinClientSec"

Sincronizzazione dell'ora

Sincronizzazione orario non riuscita. Il tempo è scaduto da più di 30 minuti su un computer interessato. Assicurarsi che l'orologio del computer client sia sincronizzato con l'orologio del controller di dominio.

Soluzioni alternative per la firma SMB

Si consiglia di installare il Service Pack 6a (SP6a) sui client Windows NT 4.0 che interagiscono in un dominio basato su Windows Server 2003. I client Windows 98 Second Edition, Windows 98 e Windows 95 è necessario eseguire il Client di servizi di Directory per l'esecuzione di NTLMv2. Se i client basati su Windows NT 4.0 non hanno installato Windows NT 4.0 SP6 o se Windows 95, Windows 98 e client Windows 98SE è necessario installare il Client di servizi Directory, disattivare la firma SMB in criterio del controller di dominio predefiniti sull'unità Organizzativa del controller di dominio e quindi collegare il criterio a tutte le unità organizzative che ospitano i controller di dominio.

La Directory Services Client per Windows 98 Second Edition, Windows 98 e Windows 95 inseriranno la firma SMB con Windows 2003 Server utilizzando l'autenticazione NTLM, ma non con l'autenticazione NTLMv2. Inoltre, Windows 2000 Server non risponderà alle richieste di firma SMB da questi client.

Sebbene Microsoft lo sconsigli, è possibile impedire la firma SMB venga richiesta su tutti i controller di dominio che eseguono Windows Server 2003 in un dominio. Per configurare questa impostazione di protezione, attenersi alla seguente procedura:
  1. Aprire il criterio del controller di dominio predefinito.
  2. Aprire la cartella Configurazione computer\Impostazioni di Windows\Impostazioni protezione\Criteri Locali\opzioni .
  3. Individuare e selezionare il server di rete Microsoft: firma digitale alle comunicazioni (sempre) impostazione dei criteri e quindi fare clic su disattivato.
Importante Questa sezione, il metodo o attività contiene viene illustrato come modificare il Registro di sistema. Tuttavia, può causare seri problemi se si modifica il Registro di sistema in modo non corretto. Pertanto, assicurarsi di seguire attentamente i passaggi. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Quindi, è possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Articolo 322756 Come eseguire il backup e ripristinare il Registro di sistema in Windows
In alternativa, si consiglia di disattivare la firma SMB sul server modificando il Registro di sistema. A tale scopo, attenersi alla seguente procedura:
  1. Fare clic su Avviare, fare clic su Eseguire, tipo Regedit, quindi fare clic su OK.
  2. Individuare e selezionare la seguente sottochiave:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\Parameters
  3. Scegliere il EnableSecuritySignature voce.
  4. Nel Modifica menu, fare clic su Modificare.
  5. Nel Dati valore digitare 0, quindi fare clic su OK.
  6. Chiudere l'Editor del Registro di sistema.
  7. Riavviare il computer oppure interrompere e riavviare il servizio Server. A tale scopo, digitare i seguenti comandi al prompt dei comandi e premere INVIO dopo ogni comando:
    NET stop server
    NET start server
Nota La chiave corrispondente nel computer client si trova nella seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters
Di seguito sono elencati i numeri di codice di errore per i codici di stato e l'errore verbatim messaggio testo precedentemente menzionati:
errore 5
ERROR_ACCESS_DENIED
Accesso negato.
Errore 1326
ERROR_LOGON_FAILURE
Errore durante l'accesso: nome utente sconosciuto o password non valida.
Errore 1788
ERROR_TRUSTED_DOMAIN_FAILURE
La relazione di trust tra il dominio primario e il dominio trusted non riuscito.
errore. 1789
ERROR_TRUSTED_RELATIONSHIP_FAILURE
La relazione di trust tra questa workstation e il dominio primario non riuscita.
Per ulteriori informazioni, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
324802Come configurare i criteri di gruppo per impostare la protezione per servizi di sistema in Windows Server 2003
306771 Messaggio di errore "Accesso negato" dopo la configurazione di un cluster di Windows Server 2003
101747 Come installare Microsoft authentication su un Macintosh
161372 Come attivare la firma SMB in Windows NT
236414 Impossibile utilizzare le condivisioni con LMCompatibilityLevel impostato solo l'autenticazione NTLM 2
241338 Client Windows NT LAN Manager versione 3 con il primo accesso impedisce ulteriori attività di accesso
262890 Impossibile ottenere la connessione all'unità directory principale in un ambiente misto
308580 Mapping di home directory per i server di livello inferiore potrebbero non funzionare durante l'accesso
285901 Accesso remoto, VPN e RIS client è in grado di stabilire sessioni con un server è configurato per accettare solo l'autenticazione NTLM versione 2
816585 Come applicare modelli di protezione predefiniti in Windows Server 2003
820281 È necessario fornire le credenziali dell'account Windows quando ci si connette a Exchange Server 2003 utilizzando Outlook 2003 RPC su HTTP

Proprietà

Identificativo articolo: 823659 - Ultima modifica: martedì 16 luglio 2013 - Revisione: 22.1
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows 95
Chiavi: 
kbinfo kbmt KB823659 KbMtit
Traduzione automatica articoli
IMPORTANTE: il presente articolo è stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l?obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre è perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilità per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualità della traduzione.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 823659
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com