Klienta, pakalpojuma un programmas problēmas var rasties, ja maināt drošības iestatījumus un lietotāju tiesību piešķires

Windows XP

Lai uzlabotu informētību par nepareizi konfigurētiem drošības iestatījumiem, mainiet grupas politika rīku Object Editor. Ja izmantojat grupas politika redaktoru, lietotāju tiesību piešķiršana tiek uzlabota šādās operētājsistēmās:

• Windows XP Professional 2. servisa pakotne (SP2)

• Windows Server 2003 1. servisa pakotne (SP1)

Uzlabotais līdzeklis ir dialoglodziņš, kurā ir saite uz šo rakstu. Dialoglodziņš tiek parādīts, ja maināt drošības iestatījumu vai lietotāja tiesību piešķiršanu iestatījumam, kas nodrošina mazāk saderības un ir ierobežojošāk. Ja tieši maināt to pašu drošības iestatījumu vai lietotāju tiesību piešķiršanu, izmantojot reģistru vai drošības veidnes, efekts ir tāds pats kā iestatījuma maiņa grupas politika redaktorā. Tomēr dialoglodziņš, kurā ir saite uz šo rakstu, netiek parādīts.

Šajā rakstā ir iekļauti tādu klientu, programmu un darbību piemēri, kurus ietekmē konkrēti drošības iestatījumi vai lietotāju tiesību piešķiršana. Tomēr piemēri nav autoritatīvi visām Microsoft operētājsistēmām, visām trešo pušu operētājsistēmām vai visām ietekmētajām programmas versijām. Ne visi drošības iestatījumi un lietotāju tiesību piešķiršana ir iekļauta šajā rakstā.

Ieteicams validēt visu ar drošību saistīto konfigurācijas izmaiņu saderību testa mežā, pirms tās ieviest ražošanas vidē. Testa mežam ir jāseguļas ražošanas mežā šādos veidos:

• Klienta un servera operētājsistēmas versijas, klienta un servera programmas, servisa pakotnes versijas, labojumfaili, shēmas izmaiņas, drošības grupas, dalība grupā, atļaujas failu sistēmas objektiem, koplietojamās mapes, reģistrs, Active Directory direktorija pakalpojums, lokālie un grupas politika iestatījumi, kā arī objektu skaita tips un atrašanās vieta

• Administrative tasks that are performed, administrative tools that are used, and operating systems that are used to perform administrative tasks

• Veiktās darbības, piemēram:

  • Datora un lietotāja pieteikšanās autentifikācija

  • Lietotāji, datori un administratori atiestata paroli

  • Pārlūkošana

  • Atļauju iestatīšana failu sistēmai, koplietojamām mapēm reģistram un Active Directory resursiem, izmantojot ACL redaktoru visās klienta operētājsistēmās visos kontu vai resursu domēnos no visām klientu operētājsistēmām no visiem kontu vai resursu domēniem

  • Drukāšana no administratīvajiem un administratora kontiem

Windows Server 2003 SP1

Lietotāja tiesības

Šajā sarakstā ir aprakstītas lietotāja tiesības, norādīti konfigurācijas iestatījumi, kas var izraisīt problēmas, aprakstīts, kāpēc lietotājiem vajadzētu lietot pareizi un kāpēc lietotājam būtu jānoņem pareizās tiesības, kā arī sniegti piemēri par saderības problēmām, kas var rasties, ja lietotājam ir pareizi konfigurētas tiesības.

1. Piekļūšana šim datoram no tīkla

   1. Fons
      
      Lai varētu mijiedarboties ar attāliem Windows datoriem, šim datoram nepieciešams tieši no tīkla lietotāja. Tālāk ir iekļauti šādu tīkla darbību piemēri.

      • Active Directory replicēšana starp domēnu kontrolleriem kopējā domēnā vai mežā

      • Autentifikācijas pieprasījumi domēna kontrolleriem no lietotājiem un no datoriem

      • Piekļuve koplietojamām mapēm, printeriem un citiem sistēmas pakalpojumiem, kas atrodas tīkla attālajā datorā

      
      
      Lietotāji, datori un pakalpojumu konti iegūst vai pazaudē Access šo datoru no tīkla lietotājiem, tieši vai netieši tos izslēdzot no drošības grupas, kam piešķirtas šī lietotāja tiesības. Piemēram, lietotājs vai datora konts var būt tieši pievienots pielāgotai drošības grupai vai iebūvētai drošības grupai, ko veic administrators, vai arī operētājsistēma to var netieši pievienot aprēķinātajai drošības grupai, piemēram, Domēna lietotāji, Autentificētie lietotāji vai Uzņēmuma domēnu kontrolleri.
      
      Pēc noklusējuma lietotāju kontiem un datoru kontiem tiek piešķirta Piekļuve šim datoram no tīkla lietotāja tieši, kad tiek aprēķinātas grupas, piemēram, Visi vai, vēlams, Autentificēti lietotāji, un domēna kontrolleriem grupa Uzņēmuma domēna kontrolleri ir definēta noklusējuma domēna kontrolleros grupas politika Object (GPO).

   2. Riskantās konfigurācijas
      
      Tālāk ir kaitīgi konfigurācijas iestatījumi:

      • Uzņēmuma domēna kontrolleru drošības grupas noņemšana šim lietotājam pa labi

      • Autentificēto lietotāju grupas vai konkrētas grupas noņemšana, kas lietotājiem, datoriem un pakalpojumu kontiem ļauj lietotājam izveidot savienojumu ar datoriem tīklā

      • Visu lietotāju un datoru noņemšana no šī lietotāja tieši

   3. Iemesli, lai piešķirtu šim lietotājam tiesības

      • Piešķirot piekļuvi šim datoram no tīkla lietotāja tieši uzņēmuma domēna kontrolleru grupai, tiek ievērotas autentifikācijas prasības, ka Active Directory replicēšanai ir jābūt replicēšanai starp domēna kontrolleriem vienā mežā.

      • Šī lietotāja tiesības ļauj lietotājiem un datoriem piekļūt koplietojamiem failiem, printeriem un sistēmas pakalpojumiem, tostarp Active Directory.

      • Lietotājiem ir tiesības piekļūt pastam, izmantojot vecākas Microsoft Outlook Web Access (OWA) versijas.

   4. Iemesli, lai noņemtu šo lietotāju pareizi

      • Lietotāji, kas savus datorus var savienot ar tīklu, var piekļūt resursiem attālos datoros, kuriem viņiem ir atļauja. Piemēram, šim lietotājam ir tiesības izveidot savienojumu ar koplietojamiem printeriem un mapēm. Ja šim lietotājam tiek piešķirtas tiesības grupai Ikviens un dažām koplietojamām mapēm ir koplietošanas un NTFS failu sistēmas atļaujas ir konfigurētas tā, lai tai pašai grupai būtu lasīšanas piekļuve, ikviens var skatīt failus šajās koplietojamās mapēs. Tomēr tā maz ticama situācija ar Windows Server 2003 svaigām instalācijām, jo noklusējuma koplietošana un NTFS atļaujas sistēmā Windows Server 2003 neietver grupu Ikviens. Sistēmām, kas tiek jauninātas no Microsoft Windows NT 4.0 vai Windows 2000, šī ievainojamība var būt augstāka riska līmenī, jo noklusējuma kopīgošanas un failu sistēmas atļaujas šīm operētājsistēmām nav tik ierobežojošas kā noklusējuma atļaujas sistēmā Windows Server 2003.

      • Nav derīga iemesla noņemt uzņēmuma domēnu kontrolleru grupu šim lietotājam.

      • Grupa Visi parasti tiek noņemta, ja tiek grupai Autentificēti lietotāji. Ja grupa Visi ir noņemta, lietotājam ir jāpiešķir autentificēto lietotāju grupa.

      • Windows NT 4.0 domēni, kas ir jaunināti uz Windows 2000, tieši nepiešķir piekļuvi šim datoram no tīkla lietotājiem tieši grupai Ikviens, grupai Autentificēti lietotāji vai grupai Uzņēmuma domēna kontrolleri. Tāpēc, noņemot grupu Ikviens no Windows NT 4.0 domēna politikas, Active Directory replicēšana neizdosies ar kļūdas ziņojumu "Piekļuve liegta" pēc jaunināšanas uz Windows 2000. Winnt32.exe sistēmā Windows Server 2003 no šīs nepareizi konfigurētās konfigurācijas, piešķirot šim lietotājam uzņēmuma domēna kontrolleru grupu tieši, jauninot Windows NT 4.0 primāros domēna kontrollerus (PDC). Piešķiriet uzņēmuma domēna kontrolleru grupai šo lietotāju tieši tad, ja tas nav grupas politika redaktorā.

   5. Saderības problēmu piemēri

      • Windows 2000 un Windows Server 2003: Tālāk minēto nodalījumu replicēšana neizdosies ar kļūdu "Piekļuve liegta", kā par to ziņo pārraudzības rīki, piemēram, REPLMON un REPADMIN, vai replicēšanas notikumi notikumu žurnālā.

        • Active Directory shēmas nodalījums

        • Konfigurācijas nodalījums

        • Domēna nodalījums

        • Globālā kataloga nodalījums

        • Lietojumprogrammas nodalījums

      • Visas Microsoft tīkla operētājsistēmas: Lietotāja konta autentifikācija no attālajiem tīkla klientu datoriem neizdosies, ja vien lietotājam vai drošības grupai, kurā lietotājs ir dalībnieks, nav piešķirtas šī lietotāja tiesības.

      • Visas Microsoft tīkla operētājsistēmas. Konta autentifikācija no attālā tīkla klientiem neizdosies, ja vien kontam vai drošības grupai šis konts nav dalībnieks, šim lietotājam nav piešķirtas tiesības. Šis scenārijs attiecas uz lietotāju kontiem, datoru kontiem un pakalpojumu kontiem.

      • Visas Microsoft tīkla operētājsistēmas: Noņemot visus šī lietotāja kontus, jums nebūs iespējas pieteikties domēnā vai piekļūt tīkla resursiem. Ja tiek noņemtas aprēķinātās grupas, piemēram, Uzņēmuma domēna kontrolleri, Visi vai Autentificētie lietotāji, jums šis lietotājs ir tieši jāpiešķir kontiem vai drošības grupām, kurām šis konts ir dalībnieks, lai piekļūtu attālajiem datoriem tīklā. Šis scenārijs attiecas uz visiem lietotāju kontiem, visiem datoru kontiem un visiem pakalpojumu kontiem.

      • Visas Microsoft tīkla operētājsistēmas: lokālā administratora konts izmanto tukšu paroli. Administratoru kontiem domēna vidē nav atļauta tīkla savienojamība ar tukšām parolēm. Izmantojot šo konfigurāciju, iespējams, saņemsit kļūdas ziņojumu "Piekļuve liegta".

2. Atļaut pieteikties lokāli

   1. Fons
      
      Lietotājiem, kuri mēģina pieteikties Windows datora konsolē (izmantojot taustiņu kombināciju CTRL+ALT+DELETE) un kontiem, kuri mēģina startēt pakalpojumu, jābūt lokālās pieteikšanās privilēģijām viesošanas datorā. Lokālās pieteikšanās darbību piemēri ir administratori, kuri piesakās dalībnieku datoru konsolēs, vai domēnu kontrolleri visā uzņēmuma un domēna lietotājiem, kuri piesakās dalībnieku datoros, lai piekļūtu saviem datoriem, izmantojot kontus, kuriem nav privilēģiju. Lietotājiem, kuri izmanto attālās darbvirsmas savienojumu vai termināļa pakalpojumus, ir nepieciešama atļauja pieteikties lokāli lietotājam tieši mērķa datoros, kuros darbojas sistēma Windows 2000 vai Windows XP, jo šie pieteikšanās režīmi tiek uzskatīti par lokālajiem viesošanas datoram. Lietotāji, kas piesakās serverī, kurā ir iespējots termināļa serveris un kam nav šī lietotāja labā, var sākt attālo interaktīvo sesiju Windows Server 2003 domēnos, ja viņiem ir pareizi pieteikšanās ar termināļa pakalpojumu lietotāja starpniecību.

   2. Riskantās konfigurācijas
      
      Tālāk ir kaitīgi konfigurācijas iestatījumi:

      • Administratīvo drošības grupu, tostarp konta operatoru, dublēšanas operatoru, drukas operatoru vai servera operatoru, un iebūvēto administratoru grupas noņemšana no noklusējuma domēna kontrollera politikas.

      • Noņemot no noklusējuma domēna kontrollera politikas pakalpojumu kontus, ko izmanto dalībnieku datoru un programmu komponenti un programmas domēna kontrolleros.

      • Noņemot lietotājus vai drošības grupas, kas piesakās domēna dalībnieku datoru konsolē.

      • Noņemot pakalpojumu kontus, kas ir definēti lokālo drošības kontu pārvaldnieka (SAM) dalībnieku datoru vai darbgrupas datoru datu bāzē.

      • Noņemot iebūvētos administratīvos kontus, kas autentificē termināļa pakalpojumus, kas darbojas domēna kontrollerī.

      • Pievienojot visus lietotāju kontus domēnā tieši vai netieši, izmantojot grupu Ikviens, pieteikšanās tiesības noraidīt lokāli. Šī konfigurācija neļauj lietotājiem pieteikties jebkurā dalībnieka datorā vai jebkurā domēna kontrollerī domēnā.

   3. Iemesli, lai piešķirtu šim lietotājam tiesības

      • Lietotājiem ir jābūt atļaujai pieteikties lokāli lietotājam, lai piekļūtu darbgrupas datora, dalībnieka datora vai domēna kontrollera konsolei vai darbvirsmai.

      • Lietotājiem ir jābūt šim lietotājam, lai viņš varētu pieteikties termināļa pakalpojumu sesijā, kas darbojas Windows 2000 dalībnieku datorā vai domēna kontrollerī.

   4. Iemesli, lai noņemtu šo lietotāju pareizi

      • Ja neizdevās ierobežot konsoles piekļuvi likumīgiem lietotāju kontiem, var tikt izraisīta nepilnvarotu lietotāju lejupielāde un ļaunprātīga koda izpilde, lai mainītu lietotāju tiesības.

      • Atļaušana, lai pieteiktos lokāli lietotājam, novērš nesankcionētu pieteikšanos datoru konsolēs, piemēram, domēna kontrolleros vai lietojumprogrammu serveros.

      • Noņemot šo pieteikšanos no labās puses, konti, kas nav domēna konti, nevar pieteikties domēna dalībnieku datoru konsolē.

   5. Saderības problēmu piemēri

      • Windows 2000 termināļa serveri: lai lietotāji varētu pieteikties sistēmā Windows 2000 termināļa serveros, ir nepieciešama atļauja pieteikties lokāli lietotājam.

      • Windows NT 4.0, Windows 2000, Windows XP vai Windows Server 2003: lietotāja kontiem ir jāpiešķir šī lietotāja tiesības pieteikties to datoru konsolē, kuros darbojas Windows NT 4.0, Windows 2000, Windows XP vai Windows Server 2003.

      • Windows NT 4.0 un jaunākas versijas: datoros, kuros darbojas windows NT 4.0 un jaunākas versijas, ja pievienojat atļaut pieteikšanos lokāli lietotājam, bet netieši vai tieši piešķirat pieteikšanās pieteikšanās tiesības lokāli, konti nevarēs pieteikties domēna kontrolleru konsolē.

3. Apiet apgriezto pārbaudi

   1. Fons
      
      Apiet lietotāja apgriezto pārbaudi pa labi sniedz lietotājam iespēju pārlūkot mapes NTFS failu sistēmā vai reģistrā, nepārbaudot traversās mapes īpašās piekļuves atļauju. Apejot lietotāja apgriezto pārbaudi pa labi, lietotājam netiek atļauts uzskaitīt mapes saturu. Tādējādi lietotājs var izmantot tikai savas mapes.

   2. Riskantās konfigurācijas
      
      Tālāk ir kaitīgi konfigurācijas iestatījumi:

      • Noņemot neadministratīvais kontus, kas piesakās Windows 2000 termināļa pakalpojumu datoros vai Windows Server 2003 termināļa pakalpojumu datoros, kuriem nav atļauju piekļūt failiem un mapēm failu sistēmā.

      • Noņemot grupu Ikviens no drošības pamatdarbību saraksta, kuriem šis lietotājs ir pēc noklusējuma. Operētājsistēmas Windows un daudzas programmas ir izstrādātas, un ir paredzams, ka ikvienam, kurš var likumīgi piekļūt datoram, būs pareizi apiet lietotāja apgriezto pārbaudi. Tāpēc grupas Ikviens noņemšana no drošības pamatdarbību saraksta, kam šis lietotājs ir pareizi pēc noklusējuma, var izraisīt operētājsistēmas neveiksmi vai programmas kļūmi. Ieteicams atstāt šo iestatījumu pēc noklusējuma.

   3. Iemesli, lai piešķirtu šim lietotājam tiesības
      
      Lietotāja apiešanas traversās pārbaudes pa labi noklusējuma iestatījums ir atļaut ikvienam apiet traverso pārbaudi. Pieredzējušiem Windows sistēmas administratoriem tā ir paredzama darbība, un tie attiecīgi konfigurē failu sistēmas piekļuves vadības sarakstus (ACL). Vienīgais scenārijs, kur noklusējuma konfigurācija var izraisīt nepareizu rīcību, ir gadījumā, ja administrators, kas konfigurē atļaujas, nesaprot darbību un sagaida, ka lietotāji, kuri nevar piekļūt vecākmapei, nevarēs piekļūt vecākmapes saturam.

   4. Iemesli, lai noņemtu šo lietotāju pareizi
      
      Lai mēģinātu novērst piekļuvi failiem vai mapēm failu sistēmā, organizācijas, kuras uztrauc drošība, var izraisīt kārdinājums noņemt grupu Ikviens vai pat grupu Lietotāji no to grupu saraksta, kurām ir pareizi apiet traverso pārbaudi.

   5. Saderības problēmu piemēri

      • Windows 2000, Windows Server 2003: ja datoros, kuros darbojas sistēma Windows 2000 vai Windows Server 2003, ir noņemta vai nepareizi konfigurēta apiešanas traversijas pārbaude, grupas politika iestatījumi mapē SYVOL netiks replicēt starp domēna kontrolleriem domēnā.

      • Windows 2000, Windows XP Professional, Windows Server 2003: datori, kuros darbojas sistēma Windows 2000, Windows XP Professional vai Windows Server 2003, reģistrēs notikumus 1000 un 1202, kā arī nevarēs lietot datora politiku un lietotāja politiku, ja nepieciešamās failu sistēmas atļaujas tiks noņemtas no SYSVOL koka, ja ir noņemta vai nepareizi konfigurēta lietotāja traversas pārbaude.
        
         

      • Windows 2000, Windows Server 2003: Datoros, kuros darbojas sistēma Windows 2000 vai Windows Server 2003, cilne Kvota programmā Windows Explorer pazūd, kad skatīsiet sējuma rekvizītus.

      • Windows 2000: Tie, kas nav administratori, kuri piesakās Windows 2000 termināļa serverī, var saņemt šādu kļūdas ziņojumu:

        Userinit.exe lietojumprogrammas kļūda. Lietojumprogrammai neizdevās pareizi inicializēt 0xc0000142 lai pārtrauktu lietojumprogrammas darbību.

      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: lietotāji, kuru datoros darbojas Windows NT 4.0, Windows 2000, Windows XP vai Windows Server 2003, iespējams, nevarēs piekļūt koplietojamām mapēm vai failiem koplietojamās mapēs un viņi, iespējams, saņems kļūdas ziņojumus "Piekļuve liegta", ja tiem nav piešķirta apiešanas traversās pārbaude lietotājam.
        
        
         

      • Windows NT 4.0: Datoros, kuru pamatā ir Windows NT 4.0, lietotāja apiešanas traversās pārbaudes pa labi noņemšanas rezultātā faila kopija nomet failu straumes. Ja noņemat šo lietotāju pareizi, kad fails tiek kopēts no Windows klienta vai Macintosh klienta uz Windows NT 4.0 domēna kontrolleri, kurā darbojas Macintosh datoru pakalpojumi, mērķa failu straume tiek zaudēta un fails parādās kā tikai teksts.

      • Microsoft Windows 95, Microsoft Windows 98: klienta datorā, kurā darbojas sistēma Windows 95 vai Windows 98, net use * /home komanda neizdosies un tiks parādīts kļūdas ziņojums "Piekļuve liegta", ja grupai Autentificēti lietotāji nav piešķirta apiešanas traversās pārbaudes lietotājam.

      • Outlook Web Access: lietotāji, kas nav administratori, nevar pieteikties programmā Microsoft Outlook Web Access, un saņems kļūdas ziņojumu "Piekļuve liegta", ja lietotājam nav piešķirta apiešanas traversā pārbaude pareizi.

Drošības iestatījumi

Šajā sarakstā ir norādīts drošības iestatījums, un ligzdotais saraksts sniedz aprakstu par drošības iestatījumiem, identificē konfigurācijas iestatījumus, kas var izraisīt problēmas, aprakstīts, kāpēc drošības iestatījums ir jālieto, un pēc tam aprakstīti iemesli, kāpēc drošības iestatījumu var būt jānoņem. Ligzdotais saraksts pēc tam sniedz simbolisku drošības iestatījuma nosaukumu un drošības iestatījuma reģistra ceļu. Visbeidzot, sniegti piemēri par saderības problēmām, kas var rasties, ja drošības iestatījums ir konfigurēts.

1. Audit: nekavējoties izslēdziet sistēmu, ja nevar reģistrēt drošības auditus

   1. Fons

      • Audits: nekavējoties izslēdziet sistēmu, ja nevar reģistrēt drošības audita iestatījumu, kas nosaka, vai sistēma tiek izslēgta, ja nevarat reģistrēt drošības notikumus. Šis iestatījums ir nepieciešams programmas Trusted Computer Security Evaluation Criteria (TCSEC) C2 novērtējumam un bieži izmantotajiem kritērijiem informācijas tehnoloģiju drošības novērtējumam, lai novērstu auditējamus notikumus, ja audita sistēma nevar reģistrēt šos notikumus. Ja auditēšanas sistēma neizdodas, sistēma tiek izslēgta un tiek parādīts kļūdas ziņojums Apturēšana.

      • Ja dators nevar ierakstīt notikumus drošības žurnālā, kritiski pierādījumi vai svarīga problēmu novēršanas informācija var nebūt pieejama pārskatīšanai pēc drošības incidenta.

   2. Riskantā konfigurācija
      
      Tālāk ir norādīts kaitīgs konfigurācijas iestatījums: Audits: Nekavējoties izslēdziet sistēmu, ja nevar reģistrēt drošības auditus, ja nav ieslēgts drošības notikumu žurnāla iestatījums un drošības notikumu žurnāla lielumu ierobežo opcija Nepārrakstīt notikumus (notīrīt žurnālu manuāli), opcija Pārrakstīt notikumus pēc nepieciešamības vai opcija Pārrakstīt notikumus, kas vecāki par dienu skaitu programmā Notikumu skatītājs. Informāciju par konkrētiem riskiem datoriem, kuros darbojas sākotnējā izlaistā Windows 2000, Windows 2000 SP3 versija, skatiet sadaļā "Saderības problēmu piemēri", lai uzzinātu par konkrētiem riskiem datoros, kuros darbojas operētājsistēmas Windows 2000, Windows 2000 SP3 1. servisa pakotne (SP1), Windows 2000 SP2 vai Windows 2000 SP3.

   3. Iemesli, lai iespējotu šo iestatījumu
      
      Ja dators nevar ierakstīt notikumus drošības žurnālā, kritiski pierādījumi vai svarīga problēmu novēršanas informācija var nebūt pieejama pārskatīšanai pēc drošības incidenta.

   4. Iemesli, lai atspējotu šo iestatījumu

      • Audita iespējošana: nekavējoties izslēdziet sistēmu, ja nevar reģistrēt drošības auditus, iestatījums pārtrauc sistēmu, ja kāda iemesla dēļ nevar reģistrēt drošības auditu. Parasti notikumu nevar reģistrēt, ja drošības audita žurnāls ir pilns un ja tā norādītā saglabāšanas metode ir vai nu opcija Nepārrakstīt žurnālu manuāli, vai opcija Pārrakstīt notikumus, kas vecāki par dienu skaitu.

      • Administratīvais noslogotais slogs, iespējojot auditu: Nekavējoties izslēdziet sistēmu, ja nevar reģistrēt drošības auditus, var būt ļoti liels, īpaši, ja ieslēdzat arī opciju Nepārrakstīt notikumus (notīrīt žurnālu manuāli) drošības žurnālam. Šis iestatījums nodrošina atsevišķu operatora darbību atbildību. Piemēram, administrators var atiestatīt atļaujas visiem lietotājiem, datoriem un grupām organizācijas vienībās (OU), kur bija iespējota auditēšana, izmantojot iebūvēto administratora kontu vai citu koplietoto kontu, un pēc tam noraidīt šo atļauju atiesatīšanu. Tomēr iestatījuma iespējošana samazina sistēmas robustumu, jo serveri var būt spiesti izslēgt, pārslogojot to ar pieteikšanās notikumiem un citiem drošības notikumiem, kas tiek ierakstīti drošības žurnālā. Turklāt, tā kā izslēgšana nav eleganta, var rasties neatgriezenisks operētājsistēmas, programmu vai datu bojājumi. Lai gan NTFS garantē, ka failu sistēmas integritāte tiek uzturēta nemigrējamas sistēmas izslēgšanas laikā, tas nevar garantēt, ka visi katras programmas datu faili joprojām būs lietojamā formā, kad sistēma tiek restartēta.

   5. Simbolisks nosaukums:
      
      CrashOnAuditFail

   6. Reģistra ceļš:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

   7. Saderības problēmu piemēri

      • Windows 2000. Kļūdas dēļ datori, kuros darbojas sākotnējā izlaistā Windows 2000, Windows 2000 SP1, Windows 2000 SP2 vai Windows Server SP3 versija, var pārtraukt notikumu reģistrēšanu, pirms tiek sasniegts drošības notikumu žurnāla opcijā Maksimālais žurnāla lielums norādītais lielums. Šī kļūda ir novērsta Windows 2000 4. servisa pakotnē (SP4). Pirms apsveriet šī iestatījuma iespējošanu, pārliecinieties, vai jūsu Windows 2000 domēna kontrolleros ir instalēta Windows 2000 4. servisa pakotne.
        
         

      • Windows 2000, Windows Server 2003: datori, kuros darbojas sistēma Windows 2000 vai Windows Server 2003, var pārstāt reaģēt un pēc tam pēkšņi atsākties, ja audits: nekavējoties izslēdziet sistēmu, ja nav iespējams reģistrēt drošības auditus, drošības žurnāls ir pilns un esošo notikumu žurnāla ierakstu nevar pārrakstīt. Pēc datora restartēšanas tiek parādīts šāds kļūdas ziņojums Apturēšana:

        STOP: C0000244 {Audit Failed}
        Mēģinājums ģenerēt drošības auditu neizdevās.

        Lai atkoptu failu, administratoram ir jāpiesakās, jāarhivē drošības žurnāls (neobligāti), jānotīra drošības žurnāls un pēc tam jāatiestata šī opcija (neobligāti un pēc nepieciešamības).

      • Microsoft network client for MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Neadministratoriem, kas mēģina pieteikties domēnā, tiks parādīts šāds kļūdas ziņojums:

        Jūsu konts ir konfigurēts tā, lai neļautu izmantot šo datoru. Lūdzu, mēģiniet izmantot citu datoru.

      • Windows 2000: datoros, kuru pamatā ir Windows 2000, lietotāji, kas nav administratori, nevarēs pieteikties attālās piekļuves serveros un saņems šādu kļūdas ziņojumu:

        Nezināms lietotājs vai nederīga parole

      • Windows 2000: Windows 2000 domēna kontrolleros ziņojumapmaiņas starpvietu pakalpojums (Ismserv.exe) tiks apturēts un to nevar restartēt. DCDIAG ziņo par kļūdu kā "neizdevušies testa pakalpojumi ISMserv", un notikuma ID 1083 tiks reģistrēts notikumu žurnālā.

      • Windows 2000: Windows 2000 domēna kontrolleros Active Directory replicēšana neizdosies un, ja drošības notikumu žurnāls ir pilns, tiks parādīts ziņojums "Piekļuve liegta".

      • Microsoft Exchange 2000: serveri, kuros darbojas Exchange 2000, nevarēs izveidot informācijas krātuves datu bāzi, un notikums 2102 tiks reģistrēts notikumu žurnālā.

      • Outlook, Outlook Web Access: Lietotāji, kas nav administratori, nevar piekļūt pastam programmā Microsoft Outlook vai, izmantojot programmu Microsoft Outlook Web Access, un viņiem tiek parādīts kļūdas ziņojums 503.

2. Domēna kontrolleris: LDAP servera parakstīšanas prasības

   1. Fons
      
      Domēna kontrolleris: LDAP serveru parakstīšanas prasību drošības iestatījums nosaka, vai direktoriju vieglpiekļuves protokola (LDAP) serverim ir nepieciešami LDAP klienti, lai apspriestu datu pierakstīšanos. Šī politikas iestatījuma iespējamās vērtības ir šādas:

      • Nav. Datu parakstīšana nav nepieciešama, lai saistītu ar serveri. Ja klients pieprasa datu pierakstīšanos, serveris to atbalsta.

      • Parakstīšanas pieprasšana: ir jāapspriedās LDAP datu parakstīšanas opcijai, ja vien netiek izmantots transporta slāņa drošība/drošligzdu slānis (TLS/SSL).

      • nav definēts: šis iestatījums nav iespējots vai atspējots.

   2. Riskantās konfigurācijas
      
      Tālāk ir kaitīgi konfigurācijas iestatījumi:

      • Iespējošana. Ir nepieciešama pierakstīšanās vide, kur klienti neatbalsta LDAP pierakstīšanos vai klienta puses LDAP parakstīšana nav iespējota klientā

      • Windows 2000 vai Windows Server 2003 Hisecdc.inf drošības veidnes lietošana vidē, kur klienti neatbalsta LDAP pierakstīšanos vai nav iespējota klienta puses LDAP parakstīšana

      • Windows 2000 vai Windows Server 2003 Hisecws.inf drošības veidnes lietošana vidē, kur klienti neatbalsta LDAP pierakstīšanos vai nav iespējota klienta puses LDAP parakstīšana

   3. Iemesli, lai iespējotu šo iestatījumu
      
      Neparakstīts tīkla trafiks ir noderīgs tiem, kas pārplūst starp starpnieku uzbrukumiem, kur nevienkāršs tver paketes starp klientu un serveri, modificē paketes un pēc tam pārsūta tās uz serveri. Ja šī darbība notiek LDAP serverī, uzbrucējs var izraisīt servera pieņemt lēmumus, kuru pamatā ir aplami vaicājumi no LDAP klienta. Šo risku varat samazināt korporatīvajā tīklā, ieviešot stingros fiziskos drošības pasākumus, kas palīdz aizsargāt tīkla infrastruktūru. Interneta protokola drošības (IPSec) autentifikācijas galvenes režīms var palīdzēt novērst man-to-middle uzbrukumus. Autentifikācijas galvenes režīms veic kopautento autentifikāciju un pakešu integritāti IP trafikam.

   4. Iemesli, lai atspējotu šo iestatījumu

      • Klienti, kas neatbalsta LDAP pierakstīšanos, nevarēs veikt LDAP vaicājumus domēna kontrolleros un globālajā katalogā, ja NTLM autentifikācija tiek apspriesta un ja Windows 2000 domēna kontrolleros nav instalētas pareizās servisa pakotnes.

      • LDAP trafika tīkla izsekošana starp klientiem un serveriem tiks šifrēta. Tas apgrūtina LDAP sarunu izskatīšanu.

      • Windows 2000 serveros jābūt instalētai Windows 2000 3. servisa pakotnei (SP3) vai instalētai, ja tie tiek administrti ar programmām, kas atbalsta LDAP pierakstīšanos, kas tiek izpildīta no klientu datoriem, kuros darbojas Windows 2000 SP4, Windows XP vai Windows Server 2003.  

   5. Simbolisks nosaukums:
      
      LDAPServerIntegrity

   6. Reģistra ceļš:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

   7. Saderības problēmu piemēri

      • Vienkāršas saistīšanas neizdosies, un tiks parādīts šāds kļūdas ziņojums:

        Ldap_simple_bind_s() neizdevās: nepieciešama stipra autentifikācija.

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: klientiem, kuros darbojas Windows 2000 SP4, Windows XP vai Windows Server 2003, daži Active Directory administrēšanas rīki nedarbojas pareizi attiecībā pret domēna kontrolleriem, kuros darbojas Windows 2000 versijas, kas ir vecākas par SP3, kad tiek apspriesta NTLM autentifikācija.
        
         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: klientiem, kuros darbojas Windows 2000 SP4, Windows XP vai Windows Server 2003, daži Active Directory administrēšanas rīki, kas mērķa domēna kontrolleros, kuri izmanto Windows 2000 versijas, kas ir vecākas par SP3, nedarbojas pareizi, ja viņi izmanto IP adreses (piemēram, "dsa.msc /server=x.x.x.x",
        kur x.x.x.x ir IP adrese).
        
        
         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: klientiem, kuros darbojas Windows 2000 SP4, Windows XP vai Windows Server 2003, daži Active Directory administrēšanas rīki, kas mērķa domēna kontrolleros, kuros darbojas Windows 2000 versijas, kas ir vecākas par SP3, nedarbojas pareizi.
        
         

3. Domēna dalībnieks: pieprasīt stipru (Windows 2000 vai jaunāku versiju) sesijas atslēgu

   1. Fons

      • Domēna dalībnieks. Pieprasīt stipru (Windows 2000 vai jaunākas versijas) sesijas atslēgas iestatījumu nosaka, vai ar domēna kontrolleri var izveidot drošu kanālu, kas nevar šifrēt drošu kanāla trafiku ar stipru, 128 bitu sesijas atslēgu. Šī iestatījuma iespējošana neļauj izveidot drošu kanālu ar jebkuru domēna kontrolleri, kas nevar šifrēt drošu kanāla datus ar stipru atslēgu. Atspējojot šo iestatījumu, tiek atļautas 64 bitu sesijas atslēgas.

      • Lai varētu iespējot šo iestatījumu dalībnieku darbstaciju vai serverī, visiem domēna kontrolleriem domēnā, kuram pieder šis dalībnieks, jābūt iespējai šifrēt drošu kanāla datus ar stipru 128 bitu atslēgu. Tas nozīmē, ka visās šajās domēnu kontrolleros ir jābūt instalētai operētājsistēmai Windows 2000 vai jaunākai versijai.

   2. Riskantā konfigurācija
      
      Domēna dalībnieka iespējošana: Pieprasīt stipru (Windows 2000 vai jaunāku versiju) sesijas atslēgas iestatījums ir kaitīgs konfigurācijas iestatījums.

   3. Iemesli, lai iespējotu šo iestatījumu

      • Sesijas atslēgas, kas tiek izmantotas, lai izveidotu drošu kanālu saziņu starp dalībnieku datoriem un domēnu kontrolleriem, sistēmā Windows 2000 ir daudz stiprākas nekā iepriekšējās Microsoft operētājsistēmu versijās.

      • Kad tas ir iespējams, ir ieteicams izmantot šos stiprākos sesijas taustiņus, lai palīdzētu aizsargāt drošu kanālu saziņu no pārbrucēšanas un sesijas nolaupīšanas tīkla uzbrukumiem. Drošības pārzināšana ir ļaunprātīga uzbrukuma veids, kur tīkla dati tiek lasīti vai izmainīti pārsūtīšanas laikā. Datus var modificēt, lai paslēptu vai mainītu sūtītāju vai novirzītu tos.

      Svarīgi! Dators, kurā darbojas sistēma Windows Server 2008 R2 vai Windows 7, atbalsta tikai stiprus taustiņus, ja tiek izmantoti droši kanāli. Šis ierobežojums novērš uzticamību starp jebkuru Windows NT 4.0 domēnu un jebkuru Windows Server 2008 R2 domēnu. Turklāt šis ierobežojums bloķē Windows NT 4.0 dalību datoros, kuros darbojas operētājsistēma Windows 7 vai Windows Server 2008 R2, un otrādi.

   4. Iemesli, lai atspējotu šo iestatījumu
      
      Domēnā ir dalībnieku datori, kuros darbojas operētājsistēmas, kas nav Windows 2000, Windows XP vai Windows Server 2003.

   5. Simbolisks nosaukums:
      
      StrongKey

   6. Reģistra ceļš:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

   7. Saderības problēmu piemēri
      
      Windows NT 4.0: Datoros, kuru pamatā ir Windows NT 4.0, atiestatiet drošus uzticības kanālus starp Windows NT 4.0 un Windows 2000 domēniem ar NLTEST neizdodas. Tiek parādīts kļūdas ziņojums "Piekļuve liegta":

      Uzticēšanās relācija starp primāro domēnu un uzticamo domēnu neizdevās.
      
      Windows 7 un Server 2008 R2: Windows 7 un jaunākām versijām un Windows Server 2008 R2 un jaunākām versijām šis iestatījums vairs netiek izmantots, un stiprā atslēga tiek izmantota vienmēr. Tāpēc uzticamības ar Windows NT 4.0 domēniem vairs nedarbojas.

4. Domēna dalībnieks: droša kanāla datu šifrēšana vai pierakstīšanās (vienmēr)

   1. Fons

      • Iespējojot domēna dalībnieku: digitāli šifrēt vai parakstīt drošu kanāla datus (vienmēr) neļauj izveidot drošu kanālu ar jebkuru domēna kontrolleri, kas nevar parakstīt vai šifrēt visus drošā kanāla datus. Lai palīdzētu aizsargāt autentifikācijas trafiku no starpnieku uzbrukumiem, atkārtoti atskaņot uzbrukumus un cita veida tīkla uzbrukumus, Windows datori izveido saziņas kanālu, kas tiek dēvēts par drošu kanālu, izmantojot net Logon pakalpojumu, lai autentificētu datoru kontus. Secure channels are also used when a user in one domain connects to a network resource in a remote domain. Šī daudzdomēna autentifikācija vai tranzīta autentifikācija ļauj Windows datoram, kas ir pievienojies domēnam, piekļūt lietotāju kontu datu bāzei savā domēnā un jebkurā uzticamā domēnā.

      • Lai iespējotu domēna dalībniekam: ar ciparparakstu vai parakstiet droša kanāla datu (vienmēr) iestatījumu dalībnieku datorā, visiem domēna kontrolleriem domēnā, kuram pieder šis dalībnieks, ir jāspēj parakstīt vai šifrēt visus drošu kanāla datus. Tas nozīmē, ka visās šajās domēnu kontrolleros ir jādarbojas Windows NT 4.0 ar 6a servisa pakotni (SP6a) vai jaunāku versiju.

      • Domēna dalībnieka iespējošana: droša kanāla datu (vienmēr) šifrēšana vai pierakstīšanās automātiski iespējo domēna dalībniekam: ar ciparparakstu vai parakstiet drošu kanāla datu (ja iespējams) iestatījumu.

   2. Riskantā konfigurācija
      
      Domēna dalībnieka iespējošana: droša kanāla datu digitālā šifrēšana vai pierakstīšanās (vienmēr) domēnos, kur ne visi domēnu kontrolleri var parakstīt vai šifrēt drošu kanāla datus, ir kaitīgs konfigurācijas iestatījums.

   3. Iemesli, lai iespējotu šo iestatījumu
      
      Neparakstīts tīkla trafiks ir noderīgs starpnieku uzbrukumiem, kur neparakstīts tīkla trafiks tver paketes starp serveri un klientu un modificē tās pirms pārsūtīšanas klientam. Ja šī darbība notiek direktoriju vieglpiekļuves protokola (LDAP) serverī, ielaušanās var izraisīt klientu pieņemt lēmumus, kuru pamatā ir aplami ieraksti no LDAP direktorija. Varat samazināt šāda uzbrukuma risku uzņēmuma tīklā, ieviešot stingros fiziskās drošības pasākumus, lai palīdzētu aizsargāt tīkla infrastruktūru. Turklāt interneta protokola drošības (IPSec) autentifikācijas galvenes režīms var novērst man-to-middle uzbrukumus. Šis režīms veic kopautento autentifikāciju un pakešu integritāti IP trafikam.

   4. Iemesli, lai atspējotu šo iestatījumu

      • Datori lokālajā vai ārējā domēnā atbalsta šifrētus, drošus kanālus.

      • Ne visām domēna kontrolleriem domēnā ir atbilstošie servisa pakotnes pārskatījuma līmeņi, lai atbalstītu šifrētus drošus kanālus.

   5. Simbolisks nosaukums:
      
      StrongKey

   6. Reģistra ceļš:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

   7. Saderības problēmu piemēri

      • Windows NT 4.0: Windows 2000 dalībnieku datori nevarēs pievienoties Windows NT 4.0 domēniem un saņems šādu kļūdas ziņojumu:

        Kontam nav tiesību pieteikties no šīs stacijas.

        Lai iegūtu papildinformāciju, noklikšķiniet uz šī raksta numura un skatiet rakstu Microsoft zināšanu bāzē:

        281648 Kļūdas ziņojums: Konts nav atļauts pieteikties no šīs stacijas
         

      • Windows NT 4.0: Windows NT 4.0 domēni nevarēs izveidot lejupvērstu uzticamības līmeni ar Windows 2000 domēnu un saņems šādu kļūdas ziņojumu:

        Kontam nav tiesību pieteikties no šīs stacijas.

        Esošie lejupvērstie uzticamības var arī neautentificēt lietotājus no uzticama domēna. Dažiem lietotājiem var rasties problēmas ar pieteikšanos domēnā, un viņi var saņemt kļūdas ziņojumu, kurā noteikts, ka klients nevar atrast domēnu.

      • Windows XP: Windows XP klienti, kas ir savienoti ar Windows NT 4.0 domēniem, nevarēs autentificēt pieteikšanās mēģinājumus un, iespējams, saņemsit šādu kļūdas ziņojumu vai notikumu žurnālā var būt reģistrēti šādi notikumi:

        Windows nevar izveidot savienojumu ar domēnu vai nu tāpēc, ka domēna kontrolleris ir nedarbojas, vai kā citādi nav pieejams, vai arī jūsu datora konts netika atrasts

      • Microsoft tīkls: Microsoft tīkla klienti saņems kādu no šiem kļūdas ziņojumiem:

        Pieteikšanās kļūme: nezināms lietotājvārds vai nederīga parole.

        Norādītajā pieteikšanās sesijā nav lietotāja sesijas atslēgas.

5. Microsoft tīkla klients: saziņas ciparparaksts (vienmēr)

   1. Fons
      
      Servera ziņojumu bloks (SMB) ir resursu koplietošanas protokols, ko atbalsta daudzas Microsoft operētājsistēmas. Tā ir tīkla pamata ievades/izvades sistēma (NetMAKSĀJOTS), kā arī daudzu citu protokolu pamats. SMB parakstīšana autentificē gan lietotāju, gan serveri, kurā tiek viesoti dati. Ja kāda no pusēm neizdodas autentifikācijas process, datu pārsūtīšana nenotiek.
      
      SMB parakstīšanas iespējošana sākas SMB protokola sarunās. SMB parakstīšanas politikas nosaka, vai dators vienmēr ciparparaksta klienta saziņu.
      
      Windows 2000 SMB autentifikācijas protokols atbalsta kopautento autentifikāciju. Kopautentā autentifikācija aizver "man-in-the-middle" uzbrukumu. Windows 2000 SMB autentifikācijas protokols arī atbalsta ziņojumu autentifikāciju. Ziņojuma autentifikācija palīdz novērst aktīvā ziņojuma uzbrukumus. Lai piešķirtu jums šo autentifikāciju, SMB parakstīšana ievieto ciparparakstu katrā SMB. Klients un serveris pārbauda ciparparakstu.
      
      Lai izmantotu SMB pierakstīšanos, ir jāiespējo SMB parakstīšana vai jāpieprasa SMB parakstīšana gan SMB klienta, gan SMB serverī. Ja serverī ir iespējota SMB parakstīšana, klienti, kam ir iespējota arī SMB parakstīšana, izmanto pakešu parakstīšanas protokolu visās turpmākajās sesijās. Ja serverī ir nepieciešama SMB parakstīšana, klients nevar izveidot sesiju, ja vien klients nav iespējots vai nepieciešams SMB parakstīšanai.
      
      
      Digitālās pierakstīšanās augstas drošības tīklos iespējošana palīdz novērst klientu un serveru personificēšanu. Šāda veida personificēšana tiek dēvēta par sesijas nolaupēšanu. Uzbrucējs, kam ir piekļuve tam pašam tīklam, kuram ir piekļuve klientam vai serverim, izmanto sesijas nolaupīšanas rīkus, lai pārtrauktu, beigtu vai nozagtu notiekēju sesiju. Uzbrucējs var pārtvert un modificēt neparakstītās SMB paketes, modificēt trafiku un pēc tam pārsūtīt to, lai serveris varētu veikt nevēlamas darbības. Vai arī uzbrucējs var izraisīt kā serveri vai kā klientu pēc likumīgas autentifikācijas un pēc tam iegūt nesankcionētu piekļuvi datiem.
      
      SMB protokols, kas tiek izmantots failu koplietošanai un drukas koplietošanai datoros, kuros darbojas Windows 2000 Server, Windows 2000 Professional, Windows XP Professional vai Windows Server 2003, atbalsta kopautento autentifikāciju. Kopautentizācija aizver sesijas nolaupīšanas uzbrukumus un atbalsta ziņojumu autentifikāciju. Tāpēc tas novērš starpnieku uzbrukumus. SMB parakstīšana nodrošina šo autentifikāciju, katrā SMB ievietojot ciparparakstu. Klients un serveris pēc tam pārbaudiet parakstu.
      
      Piezīmes

      • Kā alternatīvu pretsācību varat iespējot ciparparakstus ar IPSec, lai palīdzētu aizsargāt visu tīkla trafiku. Ir aparatūras paātrinātāji IPSec šifrēšanai un parakstīšanai, kurus varat izmantot, lai samazinātu servera centrālā procesora veiktspējas ietekmi. Nav šādu paātrinātāju, kas ir pieejami SMB parakstīšanai.
        
        Papildinformāciju skatiet Microsoft MSDN tīmekļa vietnes nodaļā Servera saziņas ciparparaksts.
        
        Konfigurējiet SMB pierakstīšanos grupas politika redaktorā, jo lokālās reģistra vērtības izmaiņas neietekmē, ja pastāv ignorēšanas domēna politika.

      • Operētājsistēmā Windows 95, Windows 98 un Windows 98 Second Edition direktorija pakalpojumu klients izmanto SMB pierakstīšanos, veicot autentifikāciju ar Windows Server 2003 serveriem, izmantojot NTLM autentifikāciju. Tomēr šie klienti neizmanto SMB pierakstīšanos, veicot autentifikāciju ar šiem serveriem, izmantojot NTLMv2 autentifikāciju. Turklāt Windows 2000 serveri neatbild uz SMB parakstīšanas pieprasījumiem no šiem klientiem. Papildinformāciju skatiet 10. vienums: "Tīkla drošība: Lan Manager authentication level" (Tīkla drošība: Lan pārvaldnieka autentifikācijas līmenis).

   2. Riskantā konfigurācija
      
      Tālāk ir norādīts kaitīgs konfigurācijas iestatījums. Atstājiet gan Microsoft tīkla klientu: Iestatījums Ciparparaksta saziņa (vienmēr) un Microsoft tīkla klients: ciparparakstu saziņas (ja serveris piekrīt) iestatījumam ir "Nav definēts" vai atspējots. Šie iestatījumi ļauj novirzītājam sūtīt vienkārša teksta paroles uz serveriem, kas nav Microsoft SMB serveri un neatbalsta paroles šifrēšanu autentifikācijas laikā.

   3. Iemesli, lai iespējotu šo iestatījumu
      
      Microsoft tīkla klienta iespējošana: lai parakstītu ciparparakstu saziņu (vienmēr), klientiem ir jāparaksta SMB trafiks, sazinoties ar serveriem, kuriem nav nepieciešama SMB parakstīšana. Tādējādi klienti būs mazāk neaizsargāti pret sesijas nolaupīšanas uzbrukumiem.

   4. Iemesli, lai atspējotu šo iestatījumu

      • Microsoft tīkla klienta iespējošana: ciparparaksta saziņa (vienmēr) neļauj klientiem sazināties ar mērķa serveriem, kas neatbalsta SMB pierakstīšanos.

      • Konfigurējot datorus tā, lai ignorētu visus neparakstītos SMB saziņu, vecākas programmas un operētājsistēmas nevar izveidot savienojumu.

   5. Simbolisks nosaukums:
      
      RequireSMBSignRdr

   6. Reģistra ceļš:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

   7. Saderības problēmu piemēri

      • Windows NT 4.0: nevar atiestatīt drošības kontroles drošo kanālu starp Windows Server 2003 domēnu un Windows NT 4.0 domēnu, izmantojot NLTEST vai NETDOM, un tiks parādīts kļūdas ziņojums "Piekļuve liegta".

      • Windows XP: failu kopēšana no Windows XP klientiem uz Windows 2000 serveriem un serveriem, kuru pamatā ir Windows Server 2003, var aizņemt vairāk laika.

      • Jūs nevarēsit kartēt tīkla disku no klienta ar iespējotu šo iestatījumu, un tiks parādīts šāds kļūdas ziņojums:

        Kontam nav tiesību pieteikties no šīs stacijas.

   8. Restartēšanas prasības
      
      Restartējiet datoru vai restartējiet darbstacijas pakalpojumu. Lai to izdarītu, komandu uzvednē ierakstiet šādas komandas. Pēc katras komandas ievadīšanas nospiediet taustiņu Enter.

      net stop workstation
      net start workstation

6. Microsoft tīkla serveris: ciparparaksts saziņai (vienmēr)

   1. Fons

      • Servera Messenger Block (SMB) ir resursu koplietošanas protokols, ko atbalsta daudzas Microsoft operētājsistēmas. Tā ir tīkla pamata ievades/izvades sistēma (NetMAKSĀJOTS), kā arī daudzu citu protokolu pamats. SMB parakstīšana autentificē gan lietotāju, gan serveri, kurā tiek viesoti dati. Ja kāda no pusēm neizdodas autentifikācijas process, datu pārsūtīšana nenotiek.
        
        SMB parakstīšanas iespējošana sākas SMB protokola sarunās. SMB parakstīšanas politikas nosaka, vai dators vienmēr ciparparaksta klienta saziņu.
        
        Windows 2000 SMB autentifikācijas protokols atbalsta kopautento autentifikāciju. Kopautentā autentifikācija aizver "man-in-the-middle" uzbrukumu. Windows 2000 SMB autentifikācijas protokols arī atbalsta ziņojumu autentifikāciju. Ziņojuma autentifikācija palīdz novērst aktīvā ziņojuma uzbrukumus. Lai piešķirtu jums šo autentifikāciju, SMB parakstīšana ievieto ciparparakstu katrā SMB. Klients un serveris pārbauda ciparparakstu.
        
        Lai izmantotu SMB pierakstīšanos, ir jāiespējo SMB parakstīšana vai jāpieprasa SMB parakstīšana gan SMB klienta, gan SMB serverī. Ja serverī ir iespējota SMB parakstīšana, klienti, kam ir iespējota arī SMB parakstīšana, izmanto pakešu parakstīšanas protokolu visās turpmākajās sesijās. Ja serverī ir nepieciešama SMB parakstīšana, klients nevar izveidot sesiju, ja vien klients nav iespējots vai nepieciešams SMB parakstīšanai.
        
        
        Digitālās pierakstīšanās augstas drošības tīklos iespējošana palīdz novērst klientu un serveru personificēšanu. Šāda veida personificēšana tiek dēvēta par sesijas nolaupēšanu. Uzbrucējs, kam ir piekļuve tam pašam tīklam, kuram ir piekļuve klientam vai serverim, izmanto sesijas nolaupīšanas rīkus, lai pārtrauktu, beigtu vai nozagtu notiekēju sesiju. Uzbrucējs var pārtvert un modificēt neparakstītās Apakštīkla joslas platuma pārvaldnieka (SBM) paketes, modificēt trafiku un pēc tam pārsūtīt to, lai serveris varētu veikt nevēlamas darbības. Vai arī uzbrucējs var izraisīt kā serveri vai kā klientu pēc likumīgas autentifikācijas un pēc tam iegūt nesankcionētu piekļuvi datiem.
        
        SMB protokols, kas tiek izmantots failu koplietošanai un drukas koplietošanai datoros, kuros darbojas Windows 2000 Server, Windows 2000 Professional, Windows XP Professional vai Windows Server 2003, atbalsta kopautento autentifikāciju. Kopautentizācija aizver sesijas nolaupīšanas uzbrukumus un atbalsta ziņojumu autentifikāciju. Tāpēc tas novērš starpnieku uzbrukumus. SMB parakstīšana nodrošina šo autentifikāciju, katrā SMB ievietojot ciparparakstu. Klients un serveris pēc tam pārbaudiet parakstu.

      • Kā alternatīvu pretsācību varat iespējot ciparparakstus ar IPSec, lai palīdzētu aizsargāt visu tīkla trafiku. Ir aparatūras paātrinātāji IPSec šifrēšanai un parakstīšanai, kurus varat izmantot, lai samazinātu servera centrālā procesora veiktspējas ietekmi. Nav šādu paātrinātāju, kas ir pieejami SMB parakstīšanai.

      • Operētājsistēmā Windows 95, Windows 98 un Windows 98 Second Edition direktorija pakalpojumu klients izmanto SMB pierakstīšanos, veicot autentifikāciju ar Windows Server 2003 serveriem, izmantojot NTLM autentifikāciju. Tomēr šie klienti neizmanto SMB pierakstīšanos, veicot autentifikāciju ar šiem serveriem, izmantojot NTLMv2 autentifikāciju. Turklāt Windows 2000 serveri neatbild uz SMB parakstīšanas pieprasījumiem no šiem klientiem. Papildinformāciju skatiet 10. vienums: "Tīkla drošība: Lan Manager authentication level" (Tīkla drošība: Lan pārvaldnieka autentifikācijas līmenis).

   2. Riskantā konfigurācija
      
      Tālāk ir norādīts kaitīgs konfigurācijas iestatījums: Microsoft tīkla servera iespējošana: Iestatījums Ciparparaksta saziņa (vienmēr) serveros un domēna kontrolleros, kuriem var piekļūt nesaderīgi Windows datori un trešo pušu operētājsistēmu klientu datori lokāli vai ārēji domēni.

   3. Iemesli, lai iespējotu šo iestatījumu

      • Visi klientu datori, kas iespējo šo iestatījumu tieši, izmantojot reģistru vai grupas politika atbalsta SMB pierakstīšanos. Citiem vārdiem sakot, visi klientu datori, kuriem ir iespējots šis iestatījums, palaiž vai nu Windows 95 ar instalētu DS klientu, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional vai Windows Server 2003.

      • Ja Microsoft tīkla serveris: ciparparaksta saziņa (vienmēr) ir atspējota, SMB parakstīšana ir pilnībā atspējota. Pilnībā atspējojot visu SMB pierakstīšanos, datori paliek neaizsargātāki pret sesijas nolaupīšanas uzbrukumiem.

   4. Iemesli, lai atspējotu šo iestatījumu

      • Šī iestatījuma iespējošana var izraisīt palēninātu failu kopēšanu un tīkla veiktspēju klientu datoros.

      • Šī iestatījuma iespējošana neļaus klientiem panākt SMB pierakstīšanos, sazinoties ar serveriem un domēnu kontrolleriem. Tas izraisa neveiksmīgu darbību, piemēram, domēna savienojumu, lietotāju un datoru autentifikāciju vai programmu piekļuvi tīklam.

   5. Simbolisks nosaukums:
      
      RequireSMBSignServer

   6. Reģistra ceļš:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

   7. Saderības problēmu piemēri

      • Windows 95: Windows 95 klientiem, kam nav instalēts direktorija pakalpojuma (DS) klients, neizdosies veikt pieteikšanās autentifikāciju, un tiks parādīts šāds kļūdas ziņojums:

        Jūsu norādītā domēna parole nav pareiza vai piekļuve pieteikšanās serverim ir liegta.

      • Windows NT 4.0: klientu datori, kuros darbojas Windows NT 4.0 versijas, kas ir vecākas par 3. servisa pakotni (SP3), neizdosies izmantot pieteikšanās autentifikāciju, un saņems šādu kļūdas ziņojumu:

        Sistēmu neizdevās pieteikties. Pārliecinieties, vai lietotājvārds un domēns ir pareizi, un pēc tam vēlreiz ierakstiet paroli.

        Daži serveri, kas nav Microsoft SMB serveri, autentifikācijas laikā atbalsta tikai nešifrētas paroļu apmaiņas darbības. (Šīs apmaiņa tiek dēvēta arī par "vienkārša teksta" apmaiņa.) Operētājsistēmai Windows NT 4.0 SP3 un jaunākām versijām SMB novirzītājs nesūta nešifrētu paroli autentifikācijas laikā uz SMB serveri, ja vien nesūta konkrētu reģistra ierakstu.
        Lai iespējotu nešifrētas paroles SMB klientam operētājsistēmā Windows NT 4.0 SP 3 un jaunākās sistēmās, modificējiet reģistru šādi: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        
        Vērtības nosaukums: EnablePlainTextPassword
        
        Datu tips: REG_DWORD
        
        Dati: 1
        
         

      • Windows Server 2003: Pēc noklusējuma drošības iestatījumi domēnu kontrolleros, kuros darbojas Windows Server 2003, ir konfigurēti, lai neļautu ļaunprātīgiem lietotājiem pārtvert vai pārveidot domēna kontrollera saziņu. Lai lietotāji varētu sekmīgi sazināties ar domēna kontrolleri, kurā darbojas Windows Server 2003, klientu datoriem jāizmanto gan SMB parakstīšana, gan šifrēšana vai droša kanāla trafika parakstīšana. Pēc noklusējuma klientiem, kuri izmanto Windows NT 4.0 ar 2. servisa pakotni (SP2) vai vecākām versijām un klientiem, kuri izmanto Windows 95, nav iespējota SMB pakešu parakstīšana. Tāpēc šie klienti, iespējams, nevarēs autentificēties domēna kontrollerī, kura pamatā ir Windows Server 2003.

      • Windows 2000 un Windows Server 2003 politikas iestatījumi. Atkarībā no jūsu specifiskajām instalēšanas vajadzībām un konfigurācijas iesakām iestatīt tālāk norādītos politikas iestatījumus atbilstoši nepieciešamajam apjomam Microsoft pārvaldības konsolē grupas politika Redaktora papildprogrammas hierarhijā:

        • Datora konfigurācija\Windows drošība Settings\Security Options

        • Nešifrētas paroles nosūtīšana savienojuma izveidei ar trešo pušu SMB serveriem (šis iestatījums ir paredzēts operētājsistēmai Windows 2000)

        • Microsoft tīkla klients: nešifrētas paroles nosūtīšana trešo pušu SMB serveriem (šis iestatījums ir paredzēts Windows Server 2003)

        
        Piezīme Dažos trešo pušu SSL SERVERos, piemēram, vecākās Excel versijās, jūs nevarat izmantot šifrētas paroles.

      • Tālākie klienti nav saderīgi ar Microsoft tīkla serveri: Ciparparaksta saziņas (vienmēr) iestatījums:

        • Apple Computer, Inc., Mac OS X klienti

        • Microsoft MS-DOS tīkla klienti (piemēram, Microsoft LAN pārvaldnieks)

        • Microsoft Windows darbgrupu klientiem

        • Microsoft Windows 95 klienti bez instalēta DS klienta

        • Microsoft Windows NT 4.0 datori, kuros nav instalēta operētājsistēma SP3 vai jaunāka versija

        • Novell Netware 6 clients

        • SBAN SMB klienti, kuri neatbalsta SMB pierakstīšanos

   8. Restartēšanas prasības
      
      Restartējiet datoru vai restartējiet pakalpojumu Server. Lai to izdarītu, komandu uzvednē ierakstiet šādas komandas. Pēc katras komandas ievadīšanas nospiediet taustiņu Enter.

      net stop server
      net start server

7. Tīkla piekļuve: atļaut anonīmu SID/vārda tulkošanu

   1. Fons
      
      Tīkla piekļuve: atļaušana anonīmam SID/nosaukuma tulkošanas drošības iestatījumam nosaka, vai anonīms lietotājs var pieprasīt cita lietotāja drošības identifikācijas numura (SID) atribūtus.

   2. Riskantā konfigurācija
      
      Tīkla piekļuves iespējošana: atļaut anonīma SID/vārda tulkošanu ir kaitīgs konfigurācijas iestatījums.

   3. Iemesli, lai iespējotu šo iestatījumu
      
      Ja ir atspējots anonīma SID/nosaukuma tulkošanas iestatījums Tīkla piekļuve, vecākas operētājsistēmas vai lietojumprogrammas, iespējams, nevarēs sazināties ar Windows Server 2003 domēniem. Piemēram, tālāk norādītās operētājsistēmas, pakalpojumi vai lietojumprogrammas var nedarboties.

      • Windows NT 4.0 attālās piekļuves pakalpojumu serveri

      • Microsoft SQL Server, kas darbojas Windows NT 3.x datoros vai Windows NT 4.0 datoros

      • Attālās piekļuves pakalpojums, kas darbojas Windows 2000 datoros, kas atrodas Windows NT 3.x domēnos vai Windows NT 4.0 domēnos

      • SQL Server, kas darbojas Windows 2000 datoros, kas atrodas Windows NT 3.x domēnos vai Windows NT 4.0 domēnos

      • Lietotāji Windows NT 4.0 resursu domēnā, kuri vēlas piešķirt atļaujas, lai piekļūtu failiem, koplietojamām mapēm un reģistra objektiem lietotāju kontiem no kontu domēniem, kuros ir Windows Server 2003 domēnu kontrolleri

   4. Iemesli, lai atspējotu šo iestatījumu
      
      Ja šis iestatījums ir iespējots, ļaunprātīgs lietotājs var izmantot labi zināmu administratoru SID, lai iegūtu iebūvētā administratora konta reālo nosaukumu pat tad, ja konts ir pārdēvēts. Pēc tam šī persona varēja izmantot konta nosaukumu, lai uzsāktu paroļu minēšanas uzbrukumu.

   5. Simbolisks nosaukums: N/A

   6. Reģistra ceļš: Nav. Ceļš tiek norādīts UI kodā.

   7. Saderības problēmu piemēri
      
      Windows NT 4.0: Datoros, kuros darbojas Windows NT 4.0 resursu domēni, ACL redaktorā tiek rādīts kļūdas ziņojums "Nezināms konts", ja resursi, tostarp koplietojamās mapes, koplietojamie faili un reģistra objekti, tiek aizsargāti ar drošības pamatnosaucēm, kas atrodas kontu domēnos, kuros ir Windows Server 2003 domēna kontrolleri.

8. Tīkla piekļuve: neatļaujiet anonīmu SAM kontu uzskaitījumu

   1. Fons

      • Tīkla piekļuve: Neļaujiet veikt anonīmu SAM kontu iestatījuma uzskaitījumu, nosaka, kuras papildu atļaujas tiks piešķirtas anonīmiem savienojumiem ar datoru. Windows ļauj anonīmiem lietotājiem veikt noteiktas darbības, piemēram, uzskaitīt darbstaciju un servera drošības kontu pārvaldnieka (SAM) kontus, kā arī tīkla koplietojumus. Piemēram, administrators var to izmantot, lai piešķirtu piekļuvi lietotājiem uzticamā domēnā, kam nav abpusējas uzticēšanās. Pēc sesijas pavešanas anonīmam lietotājam var būt tāda pati piekļuve, kas tiek piešķirta grupai Ikviens atbilstoši iestatījumam tīkla piekļuve: atļauja visiem piešķirt piekļuvi anonīmiem lietotājiem vai objekta papildu piekļuves vadības sarakstam (DACL).
        
        Parasti anonīmus savienojumus pieprasa vecākas klientu versijas (lejupvērstie klienti) SMB sesijas iestatīšanas laikā. Šādā gadījumā tīkla izsekošana parāda, ka SMB procesa ID (PID) ir klienta novirzītājs, piemēram, 0xFEFF sistēmā Windows 2000 vai 0xCAFE Windows NT. RPC var arī mēģināt izveidot anonīmus savienojumus.

      • Svarīgi! Šis iestatījums neietekmē domēnu kontrollerus. Domēna kontrolleros šo darbību kontrolē "NT AUTHORITY\ANONYMOUS LOGON" klātbūtne programmā "Piekļuve pirms Windows 2000".

      • Operētājsistēmā Windows 2000 līdzīgs iestatījums ar nosaukumu Anonīmo savienojumu papildu ierobežojumi pārvalda reģistra vērtību RestrictAnonymous . Šīs vērtības atrašanās vieta ir šāda

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA  

   2. Riskantās konfigurācijas
      
      Tīkla piekļuves iespējošana: Neatļaujiet anonīmu SAM kontu iestatījuma uzskaitījumu ir kaitīgs konfigurācijas iestatījums no saderības perspektīvas. Tā atspējošana ir kaitīgs konfigurācijas iestatījums no drošības perspektīvas.

   3. Iemesli, lai iespējotu šo iestatījumu
      
      Neautorizēts lietotājs var anonīmi uzskaitīt kontu nosaukumus un pēc tam izmantot šo informāciju, lai mēģinātu uzminēt paroles vai veikt sabiedriskos uzbrukumus. Sociālā inženierzinātne ir žergons, kas nozīmē, ka cilvēki var nomānīt, atklājot viņu paroles vai kāda veida drošības informāciju.

   4. Iemesli, lai atspējotu šo iestatījumu
      
      Ja šis iestatījums ir iespējots, nav iespējams izveidot uzticēšanos ar Windows NT 4.0 domēniem. Šis iestatījums izraisa arī problēmas ar dīkstā klientiem (piemēram, Windows NT 3.51 klientiem un Windows 95 klientiem), kas mēģina izmantot resursus serverī.

   5. Simbolisks nosaukums:
      
      
      RestrictAnonymousSAM

   6. Reģistra ceļš:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

   7. Saderības problēmu piemēri

   • SMS tīkla atklāšana nevarēs iegūt operētājsistēmas informāciju un rekvizītā OperatingSystemNameandVersion uzrakstīs "Nezināms".

   • Windows 95, Windows 98: Windows 95 klienti un Windows 98 klienti nevar mainīt paroles.

   • Windows NT 4.0: Windows NT 4.0 dalībnieku datorus nevarēs autentificēt.

   • Windows 95, Windows 98: datorus, kuru pamatā ir Windows 95 un Windows 98, nevarēs autentificēt Microsoft domēnu kontrolleri.

   • Windows 95, Windows 98: windows 95 un Windows 98 datoru lietotāji nevarēs mainīt lietotāju kontu paroles.

9. Piekļuve tīklam: Neatļaujiet anonīmu SAM kontu un koplietojumu uzskaitījumu

   1. Fons

      • Tīkla piekļuve: Neļaujiet veikt anonīmu SAM kontu un koplietošanas iestatījumu (tiek dēvēts arī par RestrictAnonymous) noteikšanu, vai ir atļauta anonīma drošības kontu pārvaldnieka (SECURITY Accounts Manager — SAM) kontu un daļu uzskaitījums. Windows ļauj anonīmiem lietotājiem veikt noteiktas darbības, piemēram, uzskaitīt domēnu kontu (lietotāju, datoru un grupu) nosaukumus un tīkla koplietojumus. Tas ir ērti, piemēram, ja administrators vēlas piešķirt piekļuvi lietotājiem uzticamā domēnā, kam nav abpusējas uzticēšanās. Ja nevēlaties atļaut anonīmu SAM kontu un daļu uzskaitījumu, iespējojiet šo iestatījumu.

      • Operētājsistēmā Windows 2000 līdzīgs iestatījums ar nosaukumu Anonīmo savienojumu papildu ierobežojumi pārvalda reģistra vērtību RestrictAnonymous . Šīs vērtības atrašanās vieta ir šāda:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

   2. Riskantā konfigurācija
      
      Tīkla piekļuves iespējošana: Neatļaujiet anonīmu SAM kontu un koplietošanas iestatījumu uzskaitījumu ir kaitīgs konfigurācijas iestatījums.

   3. Iemesli, lai iespējotu šo iestatījumu

      • Tīkla piekļuves iespējošana: Neatļaujiet anonīmu SAM kontu un koplietošanas iestatījumu uzskaitījumu, kas novērš SAM kontu un koplietošanas darbību uzskaitījumu lietotājiem un datoriem, kuri izmanto anonīmus kontus.

   4. Iemesli, lai atspējotu šo iestatījumu

      • Ja šis iestatījums ir iespējots, nepilnvarots lietotājs var anonīmi uzskaitīt kontu nosaukumus un pēc tam izmantot informāciju, lai mēģinātu uzminēt paroles vai veikt sabiedriskos uzbrukumus. Sociālā inženierzinātne ir žergons, kas nozīmē, ka cilvēki var izmānīt viņu paroli vai kāda veida drošības informāciju.

      • Ja šis iestatījums ir iespējots, nebūs iespējams izveidot uzticēšanos ar Windows NT 4.0 domēniem. Šis iestatījums izraisa arī problēmas ar dīkstādā līmeņa klientiem, piemēram, Windows NT 3.51 un Windows 95 klientiem, kas mēģina izmantot resursus serverī.

      • Nevarēsit piešķirt piekļuvi resursu domēnu lietotājiem, jo uzticēšanās domēna administratori nevarēs uzskaitīt kontu sarakstus citā domēnā. Lietotāji, kuri piekļūst failu un drukāj serveriem anonīmi, nevar uzskaitīt koplietojamo tīkla resursus šajos serveros. Lai lietotāji varētu skatīt koplietojamo mapju un printeru sarakstus, viņiem ir jāveic autentifikācija.

   5. Simbolisks nosaukums:
      
      RestrictAnonymous

   6. Reģistra ceļš:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

   7. Saderības problēmu piemēri

      • Windows NT 4.0. Lietotāji nevarēs mainīt paroles no Windows NT 4.0 darbstaciju, ja lietotāju domēnā domēna kontrolleros ir iespējota RestrictAnonymous.

      • Windows NT 4.0: Lietotāju vai globālo grupu pievienošana no uzticamiem Windows 2000 domēniem Windows NT 4.0 lokālajām grupām lietotāju pārvaldniekā neizdosies un tiks parādīts šāds kļūdas ziņojums:

        Pieteikšanās pieprasījumam pašlaik nav pieejami pieteikšanās serveri.

      • Windows NT 4.0: Datoros, kuru pamatā ir Windows NT 4.0, iestatīšanas laikā vai izmantojot domēna savienojuma lietotāja interfeisu, nevarēs pievienoties domēniem.

      • Windows NT 4.0. Izveidojot lejuplīmeņu uzticamību ar Windows NT 4.0 resursu domēniem, neizdosies. Ja uzticamajā domēnā ir iespējota RestrictAnonymous, tiek parādīts šāds kļūdas ziņojums:

        Nevarēja atrast šī domēna kontrolleri.

      • Windows NT 4.0: Lietotāji, kuri piesakās Windows NT 4.0 terminal server datoros, tiks kartēti uz noklusējuma mājas direktoriju, nevis uz mājas direktoriju, kas ir definēts domēnu user manager.

      • Windows NT 4.0: Windows NT 4.0 dublējuma domēna kontrolleri (BDC) nevar startēt net logon pakalpojumu, iegūt dublējuma pārlūkprogrammu sarakstu vai sinhronizēt SAM datu bāzi no Windows 2000 vai Windows Server 2003 domēnu kontrolleriem tajā pašā domēnā.

      • Windows 2000: Windows 2000 dalībnieku datori, kuru domēnos darbojas Windows NT 4.0, nevar skatīt printerus ārējos domēnos, ja klienta datora lokālajā drošības politikā ir iespējots iestatījums Nav piekļuves bez anonīmām atļaujām.

      • Windows 2000: Windows 2000 domēna lietotāji nevarēs pievienot tīkla printerus no active directory; tomēr viņi varēs pievienot printerus pēc tam, kad būs atlasīti koka skatā.

      • Windows 2000: Windows 2000 datoros ACL redaktors nevarēs pievienot lietotājus vai globālās grupas no uzticamiem Windows NT 4.0 domēniem.

      • ADMT 2. versija. Paroļu migrācija lietotāju kontiem, kas tiek migrēti starp mežiem, izmantojot Active Directory migrācijas rīka (ADMT) 2. versiju, neizdosies.
        
        Lai iegūtu papildinformāciju, noklikšķiniet uz šī raksta numura un skatiet rakstu Microsoft zināšanu bāzē:

        322981 Kā novērst ar mežu paroles migrāciju saistītas problēmas, izmantojot ADMTv2

      • Outlook klienti: Microsoft Exchange Outlook klientos globālais adrešu saraksts būs tukšs.

      • SMS: Microsoft Systems Management Server (SMS) Tīkla atklāšana nevarēs iegūt operētājsistēmas informāciju. Tāpēc tas uzrakstīs "Nezināms" rekvizītā OperatingSystemNameandVersion, kas atrodas atklāšanas datu ieraksta (DDR) rekvizītā SMS DDR.

      • SMS: ja izmantojat SMS administratora lietotāja vedni, lai pārlūkotu lietotājus un grupas, sarakstā netiek iekļauti lietotāji vai grupas. Turklāt papildu klienti nevar sazināties ar pārvaldības punktu. Pārvaldības punktā ir nepieciešama anonīma piekļuve.

      • SMS: ja izmantojat tīkla atklāšanas līdzekli lietojumprogrammā SMS 2.0 un remote client instalācijā ar ieslēgtu Topology, client un client operētājsistēmu tīkla atklāšanu, datori var tikt atklāti, bet var nebūt instalēti.

10. Tīkla drošība: Lan Manager autentifikācijas līmenis

    1. Fons
       
       LAN pārvaldnieka (LM) autentifikācija ir protokols, kas tiek izmantots, lai autentificētu Windows klientus tīkla operācijām, tostarp domēnu pievienošanai, piekļuvei tīkla resursiem un lietotāju vai datoru autentifikācijai. LM autentifikācijas līmenis nosaka, kurš izaicinājumu/atbilžu autentifikācijas protokols ir norunāts starp klientu un servera datoriem. LM autentifikācijas līmenis konkrēti nosaka, kurus autentifikācijas protokolus klients mēģinās apspriest vai ko serveris pieņems. Vērtība, kas iestatīta laukam LmCompatibilityLevel, nosaka, kurš uzdevumu/atbilžu autentifikācijas protokols tiek izmantots tīkla pieteikšanās laikā. Šī vērtība ietekmē to autentifikācijas protokola līmeni, ko klienti izmanto, sesijas drošības līmeni, kas tika norunāts, un serveru akceptēto autentifikācijas līmeni.
       
       Tālāk ir iekļauti iespējamie iestatījumi.

       Vērtība	Iestatījums	Apraksts
       0	LM un & NTLM atbilžu sūtīšana	Klienti izmanto LM un NTLM autentifikāciju un nekad neizmanto NTLMv2 sesijas drošību. Domēnu kontrolleri akceptē LM, NTLM un NTLMv2 autentifikāciju.
       1	Nosūtīt LM & NTLM — izmantojiet NTLMv2 sesijas drošību, ja tiek apspriesta	Klienti izmanto LM un NTLM autentifikāciju un izmanto NTLMv2 sesijas drošību, ja serveris to atbalsta. Domēnu kontrolleri akceptē LM, NTLM un NTLMv2 autentifikāciju.
       2	Sūtīt tikai NTLM atbildi	Klienti izmanto tikai NTLM autentifikāciju un izmanto NTLMv2 sesijas drošību, ja serveris to atbalsta. Domēnu kontrolleri akceptē LM, NTLM un NTLMv2 autentifikāciju.
       3	Sūtīt tikai NTLMv2 atbildi	Klienti izmanto tikai NTLMv2 autentifikāciju un izmanto NTLMv2 sesijas drošību, ja serveris to atbalsta. Domēnu kontrolleri akceptē LM, NTLM un NTLMv2 autentifikāciju.
       4	Sūtīt tikai NTLMv2 atbildi/noraida LM	Klienti izmanto tikai NTLMv2 autentifikāciju un izmanto NTLMv2 sesijas drošību, ja serveris to atbalsta. Domēna kontrolleri noraida LM un akceptē tikai NTLM un NTLMv2 autentifikāciju.
       5	Nosūtīt tikai NTLMv2 atbildi/noraida LM & NTLM	Klienti izmanto tikai NTLMv2 autentifikāciju un izmanto NTLMv2 sesijas drošību, ja serveris to atbalsta. Domēna kontrolleri noraida LM un NTLM un akceptē tikai NTLMv2 autentifikāciju.

       Piezīme. Operētājsistēmā Windows 95, Windows 98 un Windows 98 Second Edition direktorija pakalpojumu klients izmanto SMB pierakstīšanos, veicot autentifikāciju ar Windows Server 2003 serveriem, izmantojot NTLM autentifikāciju. Tomēr šie klienti neizmanto SMB pierakstīšanos, veicot autentifikāciju ar šiem serveriem, izmantojot NTLMv2 autentifikāciju. Turklāt Windows 2000 serveri neatbild uz SMB parakstīšanas pieprasījumiem no šiem klientiem.
       
       Pārbaudiet LM autentifikācijas līmeni: Jāmaina servera politika, lai atļautu NTLM, vai jākonfigurē klienta dators, lai atbalstītu NTLMv2.
       
       Ja politika ir iestatīta uz (5) Sūtīt tikai NTLMv2 atbildi\noraida LM & NTLM mērķa datorā, ar kuru vēlaties izveidot savienojumu, šis iestatījums ir vai nu jāpaiet šajā datorā, vai jāiestata drošība tādā pašā iestatījumā, kāds ir avota datorā, no kura veidojat savienojumu.
       
       Atrodiet pareizo atrašanās vietu, kur varat mainīt LAN pārvaldnieka autentifikācijas līmeni, lai iestatītu klientu un serveri uz tādu pašu līmeni. Kad esat atradis politiku, kas iestata LAN pārvaldnieka autentifikācijas līmeni, ja vēlaties izveidot savienojumu ar datoriem un no datoriem, kuros darbojas vecāka Windows versija, samaziniet vērtību līdz vismaz (1) Sūtīt LM & NTLM — izmantojiet NTLM versijas 2 sesijas drošību, ja tiek apspriestas. Viens nesaderīgu iestatījumu efekts ir tāds, ka gadījumā, ja serveris pieprasa NTLMv2 (vērtība 5), bet klients ir konfigurēts izmantot tikai LM un NTLMv1 (vērtība 0), lietotājs, kurš mēģina autentifikāciju, mēģina veikt pieteikšanos, kurai ir nederīga parole un kas palielina slikto paroļu skaitu. Ja konta bloķēšana ir konfigurēta, lietotājs var tikt bloķēts.
       
       Piemēram, varat meklēt domēna kontrolleri vai pārbaudīt domēna kontrollera politikas.
       
       Meklējiet domēna kontrollerī
       
       Piezīme. Iespējams, visos domēnu kontrolleros būs jāatkārto šī procedūra.

       1. Noklikšķiniet uz Sākt, norādiet uz Programmas un pēc tam noklikšķiniet uz Administratīvie rīki.

       2. Sadaļā Local Security Settings (Lokālie drošības iestatījumi) izvērsiet Local Policies (Lokālās politikas).

       3. Noklikšķiniet uz Drošības opcijas.

       4. Veiciet dubultklikšķi uz Tīkla drošība: LAN pārvaldnieka autentifikācijas līmenis un pēc tam sarakstā noklikšķiniet uz vērtības.

       
       Ja iestatījums Efektīvie iestatījumi un Lokālais iestatījums ir vienādi, šajā līmenī politika ir mainīta. Ja iestatījumi atšķiras, pārbaudiet domēna kontrollera politiku, lai noteiktu, vai šeit ir definēts tīkla drošība: LAN pārvaldnieka autentifikācijas līmeņa iestatījums. Ja tā šeit nav definēta, pārbaudiet domēna kontrollera politikas.
       
       Pārbaudiet domēna kontrollera politikas

       1. Noklikšķiniet uz Sākt, norādiet uz Programmas un pēc tam noklikšķiniet uz Administratīvie rīki.

       2. Domēnu kontrollera drošības politikā izvērsiet Drošības iestatījumi un pēc tam izvērsiet Lokālās politikas.

       3. Noklikšķiniet uz Drošības opcijas.

       4. Veiciet dubultklikšķi uz Tīkla drošība: LAN pārvaldnieka autentifikācijas līmenis un pēc tam sarakstā noklikšķiniet uz vērtības.

       
       Piezīme

       • Iespējams, būs jāpārbauda arī politikas, kas ir saistītas vietnes līmenī, domēna līmenī vai organizācijas vienības (OU) līmenī, lai noteiktu, kur jākonfigurē LAN pārvaldnieka autentifikācijas līmenis.

       • Ja ieviesīsiet grupas politika iestatījumu kā noklusējuma domēna politiku, politika tiek lietota visos domēna datoros.

       • Ja ieviesīsiet grupas politika iestatījumu kā noklusējuma domēna kontrollera politiku, politika attiecas tikai uz serveriem domēna kontrollera OU.

       • Ir ieteicams iestatīt LAN pārvaldnieka autentifikācijas līmeni politikas lietojumprogrammu hierarhijas zemākā vajadzīgā tvēruma entītijā.

       Windows Server 2003 ir jauns noklusējuma iestatījums, lai izmantotu tikai NTLMv2. Pēc noklusējuma Windows Server 2003 un Windows 2000 Server SP3 domēna kontrolleros ir iespējota politika "Microsoft network server: Digitally Sign communications (always)". Šim iestatījumam ir nepieciešams SMB serveris, lai veiktu SMB pakešu pierakstīšanos. Izmaiņas Windows Server 2003 tika veiktas, jo domēnu kontrolleri, failu serveri, tīkla infrastruktūras serveri un tīmekļa serveri ir nepieciešami atšķirīgi iestatījumi, lai palielinātu drošību.
       
       Ja vēlaties ieviest NTLMv2 autentifikāciju savā tīklā, pārliecinieties, vai visi datori domēnā ir iestatīti izmantot šo autentifikācijas līmeni. Ja lietojat Active Directory klienta paplašinājumus operētājsistēmai Windows 95 vai Windows 98 un Windows NT 4.0, klientu paplašinājumi izmanto uzlabotos autentifikācijas līdzekļus, kas ir pieejami NTLMv2. Tā kā klientu datorus, kuros darbojas kāda no tālāk minētajām operētājsistēmām, neietekmē Windows 2000 grupas politika objekti, iespējams, šie klienti ir jākonfigurē manuāli:

       • Microsoft Windows NT 4.0

       • Microsoft Windows Millennium Edition

       • Microsoft Windows 98

       • Microsoft Windows 95

       Piezīme. Ja iespējojat tīkla drošību: Neglabājiet LAN pārvaldnieka jaukšanas vērtību nākamajā paroļu maiņas politikā vai iestatiet NoLMHash reģistra atslēgu, windows 95 un Windows 98 klientus, kuros nav instalēts direktorija pakalpojumu klients, pēc paroles maiņas nevar pieteikties domēnā.
       
       Daudzi trešo pušu UCS serveri, piemēram, Novell Netware 6, nezina par NTLMv2 un izmanto tikai NTLM. Tāpēc līmeņi, kas lielāki par 2, neļauj izveidot savienojumu. Ir arī trešo pušu SMB klienti, kas neizmanto sesijas paplašināto drošību. Šādos gadījumos resursu servera LmCompatiblityLevel netiek ņemts vērā. Pēc tam serveris saiepako šo mantoto pieprasījumu un nosūta to lietotāja domēna kontrollerim. Domēna kontrollera iestatījumi pēc tam izlemj, kādas jaukšanas darbības tiek izmantotas, lai verificētu pieprasījumu un to, vai tās atbilst domēna kontrollera drošības prasībām.
       
        

       299656 Kā neļaut Windows glabāt LAN pārvaldnieka paroles jaukšanash sistēmā Active Directory un lokālajā SAM datu bāzē
        

       2701704Audita notikums parāda autentifikācijas pakotni kā NTLMv1, nevis NTLMv2 Lai iegūtu papildinformāciju par LM autentifikācijas līmeņiem, noklikšķiniet uz šī raksta numura un skatiet rakstu Microsoft zināšanu bāzē:

       239869 Kā iespējot NTLM 2 autentifikāciju
        

    2. Riskantās konfigurācijas
       
       Tālāk ir kaitīgi konfigurācijas iestatījumi:

       • Neierobežoti iestatījumi, kas nosūta paroles cleartext un kuras noraida NTLMv2 sarunas

       • Ierobežojoši iestatījumi, kas neļauj nesaderīgiem klientiem vai domēnu kontrolleriem apiet kopējo autentifikācijas protokolu

       • NTLMv2 autentifikācijas pieprasšana dalībnieku datoros un domēnu kontrolleros, kuros darbojas Windows NT 4.0 versijas, kas ir vecākas par 4. servisa pakotni (SP4).

       • Ir nepieciešama NTLMv2 autentifikācija Windows 95 klientos vai Windows 98 klientos, kuros nav instalēts Windows direktorija pakalpojumu klients.

       • Ja noklikšķināt, lai atzīmētu izvēles rūtiņu Pieprasīt NTLMv2 sesijas drošību Microsoft pārvaldības konsoles grupas politika Redaktora papildprogramma Windows Server 2003 vai Windows 2000 3. servisa pakotnes datorā un samazināt LAN pārvaldnieka autentifikācijas līmeni līdz 0, abu iestatījumu konflikts, un secpol.msc failā vai GPEdit.msc failā varat saņemt šādu kļūdas ziņojumu:

         Windows nevar atvērt lokālās politikas datu bāzi. Mēģinot atvērt datu bāzi, radās nezināma kļūda.

         Papildinformāciju par drošības konfigurācijas un analīzes rīku skatiet Windows 2000 vai Windows Server 2003 palīdzības failos.

    3. Iemesli, lai modificētu šo iestatījumu

       • Jūs vēlaties palielināt zemāko kopējo autentifikācijas protokolu, ko atbalsta klienti un domēnu kontrolleri jūsu organizācijā.

       • Ja drošā autentifikācija ir biznesa prasība, jūs vēlaties neatļaut LM un NTLM protokolus.

    4. Iemesli, lai atspējotu šo iestatījumu
       
       Klienta vai servera autentifikācijas prasības vai abas ir palielinātas līdz punktam, kad nevar notikt autentifikācija, izmantojot kopēju protokolu.

    5. Simbolisks nosaukums:
       
       LmCompatibilityLevel

    6. Reģistra ceļš:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. Saderības problēmu piemēri

       • Windows Server 2003: Pēc noklusējuma ir iespējots Windows Server 2003 NTLMv2 NTLM atbilžu sūtīšanas iestatījums. Tāpēc, mēģinot izveidot savienojumu ar Windows NT 4.0 klasteri vai LanManager V2.1 serveriem, piemēram, OS/2 Lanserver, pēc sākotnējās instalēšanas, Windows Server 2003 saņem kļūdas ziņojumu "Piekļuve liegta". Šī problēma rodas arī tad, ja mēģināt izveidot savienojumu no vecākas versijas klienta ar serveri, kura pamatā ir Windows Server 2003.

       • Tiek instalēta Windows 2000 drošības apkopojuma pakotne 1 (SRP1). SRP1 liek NTLM versiju 2 (NTLMv2). Šī apkopojuma pakotne tika izlaista pēc Windows 2000 2. servisa pakotnes (SP2) izlaišanas.
          

       • Windows 7 un Windows Server 2008 R2: Daudzi trešo pušuRMOS serveri, piemēram, Novell Netware 6 vai Linux Sux serveri, nav informēti par NTLMv2 un izmanto tikai NTLM. Tāpēc līmeņi, kas lielāki par "2", neļauj izveidot savienojumu. Tagad šajā operētājsistēmas versijā LmCompatibilityLevel noklusējuma vērtība tika mainīta uz "3". Tāpēc, jauninot Windows, šie trešo pušu failuētāji var pārstāt darboties.

       • Microsoft Outlook klientiem var tikt pieprasīti akreditācijas dati pat tad, ja tie jau ir pieteikušies domēnā. Kad lietotāji sniedz savus akreditācijas datus, viņi saņem šādu kļūdas ziņojumu: Windows 7 un Windows Server 2008 R2

         Nodrošinātie pieteikšanās akreditācijas dati bija nepareizi. Pārliecinieties, vai lietotājvārds un domēns ir pareizi, un pēc tam vēlreiz ierakstiet paroli.

         Startējot programmu Outlook, iespējams, jums tiks lūgts ievadīt akreditācijas datus pat tad, ja jūsu pieteikšanās tīkla drošības iestatījums ir Tranzīts vai Paroles autentifikācija. Pēc pareizo akreditācijas datu tipa uzrādīšanas var tikt parādīts šāds kļūdas ziņojums:

         Nodrošinātie pieteikšanās akreditācijas dati nebija pareizi.

         Tīkla pārraudzības izsekošana var parādīt, ka globālais katalogs ir izteicis attālās procedūras izsaukuma (Remote Procedure Call - RPC) vainu ar tīkla 0x5. Ieraksta statuss 0x5 "Piekļuve liegta".

       • Windows 2000: tīkla monitora tvertājā var tikt rādītas šādas NetSERVERS kļūdas TCP/IP (NetBT) servera ziņojumu bloķēšanas (NetBT) servera ziņojumu blokā (SMB):

         SMB R meklēšanas direktorija dos kļūda, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Nederīgs lietotāja identifikators

       • Windows 2000: ja Windows 2000 domēnu ar NTLMv2 2. līmeni vai jaunāku versiju uztic Windows NT 4.0 domēns, Windows 2000 dalībnieku datoriem resursu domēnā var rasties autentifikācijas kļūdas.

       • Windows 2000 un Windows XP: Pēc noklusējuma operētājsistēma Windows 2000 un Windows XP iestata opciju LAN pārvaldnieka autentifikācijas līmeņa lokālās drošības politika uz 0. Iestatījums 0 nozīmē "Sūtīt LM un NTLM atbildes".
         
         Piezīme. Windows NT 4.0 klasteriem ir jāizmanto LM administrēšanai.

       • Windows 2000: Windows 2000 klastera neautentificē savienojuma mezglu, ja abi mezgli ir daļa no Windows NT 4.0 6a servisa pakotnes (SP6a) domēna.

       • IIS bloķēšanas rīks (HiSecWeb) iestata vērtību LMCompatibilityLevel uz 5 un vērtību RestrictAnonymous uz 2.

       • Pakalpojumi Macintosh datoriem
         
         Lietotāja autentifikācijas modulis (User Authentication Module — UAM): Microsoft UAM (User Authentication Module — lietotāja autentifikācijas modulis) nodrošina metodi, kā šifrēt paroles, kuras izmantojat, lai pieteiktos Windows AFP (AppleTalk Filing Protocol — AppleTalk Filing Protocol) serveros. Apple lietotāja autentifikācijas modulis (Apple User Authentication Module — UAM) nodrošina tikai minimālu šifrēšanu vai bez tās. Tāpēc jūsu paroli var viegli pārtvert LAN vai internetā. Lai gan UAM nav nepieciešams, tas nodrošina šifrētu autentifikāciju Windows 2000 serveriem, kas izmanto Pakalpojumus Macintosh datoriem. Šajā versijā iekļauts atbalsts NTLMv2 128 bitu šifrētai autentifikācijai un ar MacOS X 10.1 saderīgu laidienu.
         
         Pēc noklusējuma Windows Server 2003 Pakalpojumi Macintosh serverim ļauj tikai Microsoft autentifikāciju.
          

       • Windows Server 2008, Windows Server 2003, Windows XP un Windows 2000: ja konfigurējat vērtību LMCompatibilityLevel kā 0 vai 1 un pēc tam konfigurējat vērtību NoLMHash kā 1, lietojumprogrammas un komponenti var tikt liegti, izmantojot NTLM. Šī problēma rodas tāpēc, ka dators ir konfigurēts tā, lai iespējotu LM, taču neizmanto LM saglabātās paroles.
         
         Ja esat konfigurējis vērtību NoLMHash kā 1, tad vērtība LMCompatibilityLevel ir jākonfigurē kā 2 vai lielāka.

11. Tīkla drošība: LDAP klienta parakstīšanas prasības

    1. Fons
       
       Tīkla drošība: LDAP klientu parakstīšanas prasību iestatījums nosaka to klientu datu parakstīšanas līmeni, kas tiek pieprasīti to klientu vārdā, kuri izsniedz direktoriju vieglpiekļuves protokolu (LDAP) BIND pieprasījumus šādi:

       • Nav: LDAP BIND pieprasījums tiek izsniegts ar zvanītāja norādītajām opcijām.

       • Apspriediet pierakstīšanos. Ja drošligzdu slāņa/transporta slāņa drošība (SSL/TLS) nav sākta, tiek iniciēts LDAP BIND pieprasījums ar LDAP datu parakstīšanas opciju, kas iestatīta papildus zvanītāja norādītajām opcijām. Ja ir sākts SSL/TLS, LDAP BIND pieprasījums tiek iniciēts ar zvanītāja norādītajām opcijām.

       • Pieprasīt pierakstīšanos: tas ir tāds pats kā Panākt vienošanos par pierakstīšanos. Tomēr, ja LDAP servera vidējā līmeņa saslBindInProgress atbilde nenorāda, ka LDAP trafika parakstīšana ir nepieciešama, zvanītājam tiek norādīts, ka LDAP BIND komandas pieprasījums neizdevās.

    2. Riskantā konfigurācija
       
       Tīkla drošības iespējošana: LDAP klienta parakstīšanas prasību iestatījums ir kaitīgs konfigurācijas iestatījums. Ja iestatāt serverim pieprasīt LDAP parakstus, ir jākonfigurē arī LDAP parakstīšana klientā. Ja klients nav konfigurēts LDAP parakstu izmantošanai, saziņa ar serveri tiks novērsta. Tas izraisa lietotāja autentifikācijas grupas politika iestatījumu, pieteikšanās skriptu un citu līdzekļu kļūmi.

    3. Iemesli, lai modificētu šo iestatījumu
       
       Neparakstīts tīkla trafiks ir noderīgs tiem, kas pārplūst starp starpnieku uzbrukumiem, kur intruders tver paketes starp klientu un serveriem, modificē tās un pēc tam pārsūta tās uz serveri. Ja tas notiek LDAP serverī, uzbrucējs var izraisīt servera atbildi, pamatojoties uz LDAP klienta aplamiem vaicājumiem. Šo risku varat samazināt korporatīvajā tīklā, ieviešot stingros fiziskos drošības pasākumus, kas palīdz aizsargāt tīkla infrastruktūru. Turklāt, izmantojot IPSec autentifikācijas iesākumus, varat novērst visu veidu starpnieku uzbrukumus, pieprasot visu tīkla pakešu ciparparakstus.

    4. Simbolisks nosaukums:
       
       LDAPClientIntegrity

    5. Reģistra ceļš:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

12. Notikumu žurnāls: maksimālais drošības žurnāla lielums

    1. Fons
       
       Notikumu žurnāls: maksimālais drošības žurnāla lieluma drošības iestatījums norāda drošības notikumu žurnāla maksimālo lielumu. Žurnāla maksimālais lielums ir 4 GB. Lai atrastu šo iestatījumu, izvērsiet
       Windows iestatījumi un pēc tam izvērsiet drošības iestatījumi.

    2. Riskantās konfigurācijas
       
       Tālāk ir kaitīgi konfigurācijas iestatījumi:

       • Drošības žurnāla lieluma un drošības žurnāla saglabāšanas metodes ierobežošana, ja audits: nekavējoties izslēdziet sistēmu, ja nav iespējams reģistrēt drošības auditēšanas iestatījumu. Papildinformāciju skatiet šī raksta sadaļā "Audits: nekavējoties izslēgt sistēmu, ja nevar reģistrēt drošības auditus".

       • Drošības žurnāla lieluma ierobežošana, lai drošības notikumi, kas varētu interesēt, tiek pārrakstīti.

    3. Iemesli, lai palielinātu šo iestatījumu
       
       Biznesa un drošības prasības var diktēt, ka jūs palielināt drošības žurnāla lielumu, lai apstrādātu papildu drošības žurnāla datus vai saglabātu drošības žurnālus ilgāku laika periodu.

    4. Iemesli Samazināt šo iestatījumu Notikumu skatītājs
       
       žurnāli ir atmiņas kartētie faili. Notikumu žurnāla maksimālais lielums ir ierobežots ar fiziskās atmiņas apjomu lokālajā datorā un virtuālo atmiņu, kas ir pieejama notikumu žurnāla procesam. Palielinot žurnāla lielumu, kas pārsniedz virtuālās atmiņas apjomu, kas ir pieejams Notikumu skatītājs, netiek palielināts uzturēto žurnāla ierakstu skaits.

    5. Saderības problēmu piemēri
       
       Windows 2000: datori, kuros darbojas Windows 2000 versijas, kas ir vecākas par 4. servisa pakotni (SP4), var pārtraukt notikumu žurnāla reģistrēšanu, pirms sasniegts lielums, kas norādīts iestatījumā Maksimālais žurnāla lielums programmā Notikumu skatītājs ja ir ieslēgta opcija Nepārrakstīt notikumus (notīrīt žurnālu manuāli).
       
       
        

13. Notikumu žurnāls: saglabāt drošības žurnālu

    1. Fons
       
       Notikumu žurnāls: drošības žurnāla drošības iestatījuma saglabāšana nosaka "aplaušanas" metodi drošības žurnālam. Lai atrastu šo iestatījumu, izvērsiet Windows iestatījumi un pēc tam izvērsiet drošības iestatījumi.

    2. Riskantās konfigurācijas
       
       Tālāk ir kaitīgi konfigurācijas iestatījumi:

       • Neizdodas saglabāt visus reģistrētos drošības notikumus pirms to pārrakstīšanas

       • Iestatījuma Maksimālais drošības žurnāla lielums konfigurēšana par mazu, lai drošības notikumi tiek pārrakstīti

       • Drošības žurnāla lieluma un saglabāšanas metodes ierobežošana Audita darbības laikā: Nekavējoties izslēgt sistēmu, ja nav iespējams reģistrēt drošības audita drošības iestatījumu

    3. Iemesli, lai iespējotu šo iestatījumu
       
       Iespējojiet šo iestatījumu tikai tad, ja atlasāt opciju Pārrakstīt notikumus pa dienām . Ja izmantojat notikuma korelācijas sistēmu, kas aptaujā par notikumiem, pārliecinieties, vai dienu skaits ir vismaz trīs reizes lielāks par aptauju biežumu. Lai atļautu neizdevušos aptauju ciklus, veiciet šīs darbības.

14. Tīkla piekļuve: atļauja visiem piešķirt atļaujas anonīmiem lietotājiem

    1. Fons
       
       Pēc noklusējuma iestatījums Tīkla piekļuve: atļaut visiem lietot atļaujas anonīmiem lietotājiem ir iestatīts uz Nav definēts sistēmā Windows Server 2003. Pēc noklusējuma Operētājsistēmā Windows Server 2003 nav iekļauta anonīmās piekļuves pilnvara grupā Ikviens.

    2. Saderības problēmu piemērs
       
       Tālāk norādīto vērtību

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous [REG_DWORD]=0x0 pārtrauc uzticēšanās izveidi starp Windows Server 2003 un Windows NT 4.0, ja Windows Server 2003 domēns ir konta domēns un Windows NT 4.0 domēns ir resursu domēns. Tas nozīmē, ka konta domēns ir uzticams operētājsistēmā Windows NT 4.0 un resursu domēns uzticas Windows Server 2003 pusē. Šī darbība notiek tāpēc, ka process, kura laikā tiek sākta uzticamība pēc sākotnējā anonīmā savienojuma, ir ACL'd ar marķieri Ikviens, kurā ir iekļauts Anonīms SID Operētājsistēmā Windows NT 4.0.

    3. Iemesli, lai modificētu šo iestatījumu
       
       Vērtībai ir jābūt iestatītai uz 0x1 vai jāiestata, izmantojot domēna kontrollera OU GPO: Tīkla piekļuve: atļauja visiem piešķirt atļaujas anonīmiem lietotājiem — iespējota, lai varētu veikt uzticamības izveidi.
       
       Piezīme. Lielākā daļa citu drošības iestatījumu tiek vērtību sarakstā, nevis lejupvērsti 0x0 to visdīkstāvētāk aizsargātā stāvoklī. Drošāk būtu mainīt reģistru primārajā domēna kontrollera emulatorā, nevis visos domēnu kontrolleros. Ja kāda iemesla dēļ primārā domēna kontrollera emulatora loma tiek pārvietota, reģistrs ir jāatjaunina jaunajā serverī.
       
       Pēc šīs vērtības iestatīšanas ir jāveic restartēšana.

    4. Reģistra ceļš

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

15. NTLMv2 autentifikācija

    1. Sesijas drošība
       
       Sesijas drošība nosaka minimālos drošības standartus klienta un servera sesijām. Ieteicams pārbaudīt tālāk norādītos drošības politikas iestatījumus Microsoft pārvaldības konsoles grupas politika redaktora papildprogrammā:

       • Datora iestatījumi\Windows iestatījumi\Drošības iestatījumi\Lokālās politikas\Drošības opcijas

       • Tīkla drošība: NTLM SSP minimālā sesijas drošība atkarībā no (tostarp drošiem RPC) serveriem

       • Tīkla drošība: NTLM SSP klienta minimālā sesijas drošība (ieskaitot drošu RPC) klientus

       Šo iestatījumu opcijas ir šādas:

       • Ziņojumu integritātes pieprasīsiet

       • Pieprasīt ziņojuma konfidencialitāti

       • NTLM versijas 2 sesijas drošības pieprasšana

       • Nepieciešama 128 bitu šifrēšana

       Noklusējuma iestatījums pirms Windows 7 ir Bez prasībām. Sākot ar Windows 7, noklusējuma iestatījums ir Pieprasīt 128 bitu šifrēšanu, lai uzlabotu drošību. Ar šo noklusējuma mantotās ierīces, kas neatbalsta 128 bitu šifrēšanu, nevarēs izveidot savienojumu.
       
       Šīs politikas nosaka minimālos drošības standartus saziņas sesijai starp lietojumprogrammām klienta serverī.
       
       Ņemiet vērā, ka, lai gan tiek aprakstīts kā derīgi iestatījumi, karodziņi, kam nepieciešama ziņojumu integritāte un konfidencialitāte, netiek izmantoti, kad tiek noteikta NTLM sesijas drošība.
       
       Windows NT ir atbalstīja šādus divus tīkla pieteikšanās mēģinājumu/atbilžu autentifikācijas variantus:

       • LM uzdevums/atbilde

       • NTLM versija 1 uzdevums/atbilde

       LM nodrošina savietojamību ar instalēto klientu un serveru bāzi. NTLM nodrošina uzlabotu drošību savienojumiem starp klientiem un serveriem.
       
       Atbilstošās reģistra atslēgas ir šādas:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

    2. Riskantās konfigurācijas
       
       Šis iestatījums nosaka, kā tiks apstrādātas tīkla sesijas drošinātas, izmantojot NTLM. Tas ietekmē, piemēram, RPC sesijas, kas autentificētas ar NTLM. Pastāv tālākie riski.

       • Izmantojot vecākas autentifikācijas metodes nekā NTLMv2, saziņu ir vieglāk veikt, jo tiek izmantota vienkāršāka jaukšanas metode.

       • Izmantojot šifrēšanas atslēgas, kas ir mazākas nekā 128 bitu versija, uzbrukumiem var pārtraukt saziņu, izmantojot piespiedu uzbrukumus.

Laika sinhronizācija

Laika sinhronizācija neizdevās. Attiecīgajā datorā laiks ir izslēgts par vairāk nekā 30 minūtēm. Pārliecinieties, vai klienta datora pulkstenis ir sinhronizēts ar domēna kontrollera pulksteni.

SMB parakstīšanas risinājums

Mēs iesakām instalēt 6a. servisa pakotni (SP6a) Windows NT 4.0 klientos, kas savstarpēji darbojas Windows Server 2003 domēnā. Windows 98 Second Edition klientiem, kuru pamatā ir Windows 98, un Windows 95 klientiem ir jāpalaiž Direktorija pakalpojumu klients, lai izpildītu NTLMv2. Ja klientiem, kuru pamatā ir Windows NT 4.0, nav instalēts Windows NT 4.0 SP6 vai ja Windows 95 klientiem, Windows 98 un Windows 98SE klientiem nav instalēts direktorija pakalpojumu klients, atspējojiet SMB pierakstīšanos domēna kontrollera noklusējuma domēna kontrollera politikas iestatījumā domēna kontrollera OU un pēc tam saistiet šo politiku ar visiem OU, kas vieso domēnu kontrollerus.

Direktorija pakalpojumu klients operētājsistēmai Windows 98 Second Edition, Windows 98 un Windows 95 veic SMB pierakstīšanos ar Windows 2003 serveriem sadaļā NTLM autentifikācija, bet ne sadaļā NTLMv2 autentifikācija. Turklāt Windows 2000 serveri neatbildēs uz SMB parakstīšanas pieprasījumiem no šiem klientiem.

Lai gan mēs to neiesakām, varat novērst SMB pierakstīšanos visiem domēnu kontrolleriem, kas domēnā palaiž Windows Server 2003. Lai konfigurētu šo drošības iestatījumu, veiciet tālāk norādītās darbības.

1. Atveriet noklusējuma domēna kontrollera politiku.

2. Atveriet mapi Datora konfigurācija\Windows Settings\Security Settings\Local Policies\Security Options.

3. Atrodiet un pēc tam noklikšķiniet uz Microsoft tīkla servera: Ciparparakstiet sakaru (vienmēr) politikas iestatījumu un pēc tam noklikšķiniet uz Atspējots.

Svarīgi! Šajā sadaļā, metodē vai uzdevumā ir ietvertas darbības, kas jāveic, lai modificētu reģistru. Tomēr, nepareizi modificējot reģistru, iespējamas nopietnas problēmas. Tāpēc tālāk norādītās darbības jāveic uzmanīgi. Lai nodrošinātu papildu aizsardzību, dublējiet reģistru, pirms to modificējat. Pēc tam varat atjaunot reģistru, ja rodas problēma. Lai iegūtu papildinformāciju par to, kā dublēt un atjaunot reģistru, noklikšķiniet uz šī raksta numura un skatiet rakstu Microsoft zināšanu bāzē:

322756 Kā dublēt un atjaunot reģistru operētājsistēmā Windows Vai arī izslēdziet SMB pierakstīšanos serverī, modificējot reģistru. Lai to izdarītu, veiciet tālāk norādītās darbības.

1. Noklikšķiniet uz Sākt, noklikšķiniet uz Izpildīt, ierakstiet regedit un pēc tam noklikšķiniet uz Labi.

2. Atrodiet un pēc tam noklikšķiniet uz šīs apakšatslēgas:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

3. Noklikšķiniet uz ieraksta enablesecuritysignature .

4. Izvēlnē Rediģēt noklikšķiniet uz Modificēt.

5. Lodziņā Vērtības dati ierakstiet 0 un pēc tam noklikšķiniet uz Labi.

6. Izejiet no reģistra redaktora.

7. Restartējiet datoru vai pārtrauciet un pēc tam restartējiet pakalpojumu Server. Lai to izdarītu, komandu uzvednē ierakstiet šādas komandas un pēc katras komandas ievadīšanas nospiediet taustiņu Enter:
   net stop server
   net start server

Piezīme Attiecīgā atslēga klienta datorā ir šāda reģistra apakšatslēga:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters Tālāk ir uzskaitīti iztulkoto kļūdas kodu numuri statusa kodiem un iepriekš pieminētajiem kļūdu ziņojumiem:

Lai iegūtu papildinformāciju, noklikšķiniet uz tālāk norādīto rakstu numuriem, lai skatītu rakstus Microsoft zināšanu bāzē:

324802 Grupas politikas konfigurēšana sistēmas pakalpojumu drošības iestatīšanai operētājsistēmā Windows Server 2003

816585 Kā lietot iepriekš definētas drošības veidnes operētājsistēmā Windows Server 2003