Beveiligingsinstellingen en toewijzingen van gebruikersrechten kunnen worden gewijzigd in lokale beleidsregels en groep om de beveiliging op domeincontrollers en lidcomputers. Het nadeel van veiligere is echter de invoering van compatibiliteitsproblemen met clients, services en programma's.
Dit artikel beschrijft de compatibiliteitsproblemen die zich kunnen voordoen op clientcomputers met Windows XP of een eerdere versie van Windows wanneer u specifieke beveiligingsinstellingen en toewijzingen van gebruikersrechten in Windows Server 2003-domein of een eerdere Windows Server-domein.
Zie de volgende artikelen voor informatie over de Groepsbeleid voor Windows 7, Windows Server 2008 R2 en Windows Server 2008:
Bewustwording van onjuist geconfigureerde beveiligingsinstellingen gebruikt u het hulpprogramma Groepsbeleidsobjecteditor beveiligingsinstellingen te wijzigen. Wanneer u Groepsbeleidobjecteditor gebruikt, worden de toewijzingen van gebruikersrechten verbeterd op de volgende besturingssystemen:
Windows XP Professional servicepack 2 (SP2)
Windows Server 2003 servicepack 1 (SP1)
De verbeterde functie is een dialoogvenster met een koppeling naar dit artikel. Het dialoogvenster wordt weergegeven wanneer u een beveiligingsinstelling wijzigt of een toewijzing van gebruikersrechten een instelling die minder compatibiliteit biedt en meer beperkend is. Als u de dezelfde beveiliging instelling of toewijzing van gebruikersrechten rechtstreeks wijzigt via het register of met beveiligingssjablonen, is het effect hetzelfde als het wijzigen van de instelling in de Groepsbeleidsobjecteditor. Het dialoogvenster met de koppeling naar dit artikel wordt echter niet weergegeven.
Dit artikel bevat voorbeelden van clients, programma's en bewerkingen die worden beïnvloed door specifieke beveiligingsinstellingen of toewijzingen van gebruikersrechten. De voorbeelden zijn echter niet bindend voor alle Microsoft-besturingssystemen, voor alle besturingssystemen van derden of voor alle programmaversies die worden beïnvloed. Niet alle beveiligingsinstellingen en toewijzingen van gebruikersrechten zijn opgenomen in dit artikel.
Het is raadzaam om de compatibiliteit van alle configuratiewijzigingen in de van beveiliging in een testforest te valideren voordat u ze in een productieomgeving. De testforest moet productieforest mirror op de volgende manieren:
Besturingssysteemversies van client en server, client en
programma's, versies van service packs, hotfixes, schemawijzigingen, beveiliging
groepen, groepslidmaatschappen, machtigingen voor objecten in het bestandssysteem, gedeelde
mappen, het register, Active Directory-adreslijstservice, lokale en groep
Beleidsinstellingen, en objecttellingstype en locatie
Administratieve taken die uitgevoerd, administratieve worden
hulpprogramma's die worden gebruikt en besturingssystemen die worden gebruikt voor het uitvoeren
administratieve taken
Bewerkingen die worden uitgevoerd, zoals het volgende:
Computer en gebruiker aanmeldingsverificatie
Opnieuw instellen van wachtwoorden door gebruikers, computers en beheerders
Bladeren
Machtigingen instellen voor het bestandssysteem, voor gedeelde mappen, voor het register en voor Active Directory-bronnen middels ACL Editor in alle clientbesturingssystemen in alle account- of brondomeinen vanuit alle clientbesturingssystemen vanuit alle account- of brondomeinen
Administratieve en niet-administratieve accounts afdrukken
Om klanten bewust te maken dat ze een gebruikersrecht bewerken of beveiligingsoptie die nadelig kan zijn van invloed op hun netwerk, zijn twee toegevoegd aan gpedit.msc. Wanneer beheerders een gebruikersrecht dat gevolgen voor de hele onderneming hebben kan bewerken, zien ze een nieuw pictogram dat lijkt op een bord rendement. Ze ontvangt ook een waarschuwing met een koppeling naar Microsoft Knowledge Base-artikel 823659. De tekst van dit bericht is als volgt:
Deze instelling wijzigt, kan dat gevolgen hebben voor compatibiliteit met clients, services en toepassingen. Zie voor meer informatie <user right="" or="" security="" option="" being="" modified="">(Q823659)</user>
Als u naar dit Knowledge Base-artikel uit een koppeling in Gpedit.msc doorverwezen bent, controleert u of u lezen en begrijpen van de betreffende uitleg en het mogelijke effect van deze instelling te wijzigen. De volgende lijsten gebruikersrechten die de waarschuwingstekst van de bevatten:
Deze computer benaderen vanaf netwerk
Lokaal aanmelden
Controle op bladeren negeren
Computers en gebruikers voor vertrouwde overdracht inschakelen
De volgende bevat beveiligingsopties waarvoor de waarschuwing en een pop-up bericht:
Lid van domein: Digitaal coderen of ondertekenen (altijd) gegevens in beveiligd kanaal
Lid van domein: Sterke vereisen (Windows 2000 of hoger) sessiesleutel
Domeincontroller: Vereisten voor handtekening LDAP-server
De volgende secties worden de compatibiliteitsproblemen die zich voordoen kunnen wanneer u bepaalde instellingen in Windows NT 4.0-domeinen, Windows 2000-domeinen en Windows Server 2003-domeinen wijzigen.
De volgende lijst beschrijft een gebruikersrecht, identificeert u configuratie-instellingen kunnen er problemen ontstaan, wordt beschreven waarom het gebruikersrecht moet worden toegepast en waarom u wilt verwijderen van het gebruikersrecht en voorbeelden van compatibiliteitsproblemen die voordoen geeft zich wanneer het gebruikersrecht is geconfigureerd.
Deze computer benaderen vanaf netwerk
Achtergrond
De mogelijkheid om te communiceren met externe Windows-computers moet het gebruikersrecht toegang tot deze computer vanaf het netwerk . Voorbeelden van dergelijke netwerkbewerkingen zijn de volgende:
Replicatie van Active Directory tussen domeincontrollers in een gemeenschappelijk domein of forest
Verificatieverzoeken aan domeincontrollers van gebruikers en computers
Toegang tot gedeelde mappen, printers en andere systeemservices die op externe computers op het netwerk bevinden zich
Gebruikers, computers en serviceaccounts krijgen of verliezen het gebruikersrecht toegang tot deze computer vanaf netwerk door expliciet of impliciet worden toegevoegd of verwijderd uit een beveiligingsgroep waaraan dit gebruikersrecht is toegekend. Een gebruikersaccount of een computeraccount kan expliciet worden toegevoegd aan een aangepaste beveiligingsgroep of een ingebouwde beveiliging door een beheerder of kan impliciet worden toegevoegd door het besturingssysteem aan een berekende beveiligingsgroep, zoals Domeingebruikers, geverifieerde gebruikers of Ondernemingsdomeincontrollers.
Standaard gebruikersaccounts en computeraccounts de gebruiker toegang tot deze computer vanaf het netwerk worden toegekend wanneer berekende groepen, zoals iedereen of, bij voorkeur, geverifieerde gebruikers en voor domeincontrollers de groep Ondernemingsdomeincontrollers, zijn gedefinieerd in het standaardbeleid voor domeincontrollers Group Policy Object (GPO) rechts.
Riskante configuraties
Schadelijke configuratie-instellingen zijn:
De Ondernemings-domeincontrollers beveiliging verwijderen
groep uit dit gebruikersrecht
De groep Geverifieerde gebruikers verwijderen of een
expliciete groep die gebruikers, computers en serviceaccounts de gebruiker
rechts verbinding maken met computers via het netwerk
Alle gebruikers en computers verwijderen van deze gebruikers
rechts
Redenen om dit gebruikersrecht toekennen
Het recht van toegang tot deze computer vanaf netwerk gebruiker aan de groep Ondernemingsdomeincontrollers voldoet verificatievereisten die Active Directory-replicatie moet hebben voor replicatie tussen domeincontrollers in hetzelfde forest.
Dit gebruikersrecht hebben gebruikers en computers
toegang tot gedeelde bestanden, printers en systeemservices, waaronder Active
De map.
Dit recht is vereist voor gebruikers
e-mail met oudere versies van Microsoft Outlook Web Access (OWA).
Redenen om dit gebruikersrecht te verwijderen
Gebruikers kunnen verbinding maken om de
netwerk toegang tot bronnen op externe computers zij machtigingen hebben
voor. Dit gebruikersrecht is bijvoorbeeld vereist voor een gebruiker verbinding maken met gedeelde
printers en mappen. Als dit gebruikersrecht is toegekend aan iedereen groep
en als sommige gedeelde mappen zowel share- als NTFS-bestandssysteemmachtigingen
geconfigureerd zodat dezelfde groep leestoegang heeft, kan iedereen de bestanden in bekijken
Deze gedeelde mappen. Dit is echter een onwaarschijnlijke situatie voor vers
installaties van Windows Server 2003 omdat de standaardshare- en NTFS
machtigingen in Windows Server 2003 geen groep Iedereen. Voor
systemen waarop een van Microsoft Windows NT 4.0 of Windows 2000 upgrade dit
beveiligingslek mogelijk een hoger niveau van risico omdat de standaard delen en de
machtigingen voor het bestandssysteem voor deze besturingssystemen zijn niet zo beperkend als
de standaardmachtigingen in Windows Server 2003.
Er is geen geldige reden voor het verwijderen van de onderneming
Domain Controllers groep uit dit gebruikersrecht.
De groep Iedereen wordt doorgaans verwijderd voor
de groep Geverifieerde gebruikers. Als de groep Iedereen wordt verwijderd, de
Geverifieerde gebruikers, groep, moet dit recht worden toegekend.
Windows NT 4.0-domeinen worden opgewaardeerd naar Windows 2000 de gebruiker toegang tot deze computer vanaf het netwerk aan de groep Iedereen, de groep Geverifieerde gebruikers of de groep Ondernemings-domeincontrollers niet expliciet toegekend. Wanneer u de groep Iedereen uit voor Windows NT 4.0-domein, Active Directory-replicatie mislukt met een foutbericht 'Toegang geweigerd' na de upgrade naar Windows 2000. Winnt32.exe in Windows Server 2003 wordt deze onjuiste configuratie door toekenning van dat de Ondernemings-domeincontrollers groep dit gebruikersrecht wanneer u een upgrade uitvoert van Windows NT 4.0 primaire domeincontrollers (PDC's). Verleen de groep Ondernemingsdomeincontrollers dit gebruikersrecht als niet aanwezig in de Groepsbeleidsobjecteditor.
Voorbeelden van compatibiliteitsproblemen
Windows 2000 en Windows Server 2003: Replicatie van de volgende partities mislukt met 'Toegang geweigerd'-fouten zoals gemeld door controlehulpprogramma's als REPLMON en REPADMIN of replicatiegebeurtenissen gebeurtenissen in het gebeurtenislogboek.
Partitie van Active Directory-Schema
Configuratiepartitie
Domeinpartitie van het
Partitie van de globale catalogus
Partitie
Alle Microsoft network operating systems:Accountverificatie van clientcomputers voor externe netwerk mislukt tenzij dit gebruikersrecht is toegekend aan de gebruiker of een beveiligingsgroep waarvan de gebruiker lid van is is.
Alle Microsoft network operating systems:Accountverificatie vanuit externe netwerkclients mislukt tenzij dit gebruikersrecht is toegekend aan de account of een beveiligingsgroep waarvan die de account lid van is is. Dit scenario geldt voor gebruikersaccounts, computeraccounts en serviceaccounts.
Alle Microsoft network operating systems:Alle accounts verwijderen uit dit gebruikersrecht dat elke account aanmelden bij het domein of toegang tot netwerkbronnen. Als berekende groepen, zoals Ondernemingsdomeincontrollers, dat iedereen of geverifieerde gebruikers worden verwijderd, u moet expliciet dit gebruikersrecht toekennen aan accounts of beveiligingsgroepen waarvan de account lid van is toegang tot externe computers via het netwerk. Dit scenario geldt voor alle gebruikersaccounts, computeraccounts en serviceaccounts.
Alle Microsoft network operating systems:De lokale beheerdersaccount gebruikt een 'leeg' wachtwoord. Netwerkverbindingen met lege wachtwoorden niet toegestaan voor beheerdersaccounts in een domeinomgeving. Met deze configuratie kunt u een foutbericht 'Toegang geweigerd'.
Lokaal aanmelden toestaan
Achtergrond
Gebruikers die proberen aan te melden bij de console van een Windows-computer (met behulp van de sneltoets CTRL + ALT + DELETE) en accounts die u probeert een service te starten moet machtigingen voor lokaal aanmelden op de hostcomputer. Voorbeelden van lokale aanmeldingsbewerkingen zijn beheerders die aanmelden zich op de consoles van lidcomputers, of domeincontrollers binnen de onderneming en domeingebruikers gebruikers die aanmelden zich op lidcomputers om toegang te krijgen tot hun bureaublad via niet-gemachtigde accounts. Gebruikers die een verbinding met extern bureaublad of Terminal Services gebruiken, moeten de gebruiker Lokaal aanmelden toestaan hebben op doelcomputers waarop Windows 2000
of Windows XP
omdat deze aanmeldingsmodi worden beschouwd als lokaal op de hostcomputer. Gebruikers
die zich aanmelden bij een server waarop Terminal Server is ingeschakeld en die niet
Deze gebruiker rechts kunt stilstaande start een externe interactieve sessie in Windows
Server 2003-domeinen als ze het gebruikersrecht Aanmelden via Terminal Services toestaan .
Riskante configuraties
Schadelijke configuratie-instellingen zijn:
Verwijderen van administratieve beveiligingsgroepen, waaronder Accountoperators, back-upoperators, Printeroperators of Serveroperators, en de ingebouwde groep Administrators van het beleid van de standaard-domeincontroller.
Het verwijderen van serviceaccounts die worden gebruikt door onderdelen en programma's op lidcomputers en domeincontrollers in het domein van het beleid van de standaard-domeincontroller.
Verwijderen van gebruikers of beveiligingsgroepen die zich aanmelden bij
de console van lidcomputers in het domein.
Het verwijderen van serviceaccounts die zijn gedefinieerd in de lokale database Security Accounts Manager (SAM) van lidcomputers of werkgroepcomputers
Het verwijderen van niet-ingebouwde administratieve accounts die worden geverifieerd via Terminal Services dat wordt uitgevoerd op een domeincontroller.
Expliciet toevoegen alle gebruikersaccounts in het domein
of impliciet door iedereen groep aan het aanmeldingsrecht Lokaal aanmelden weigeren . Deze configuratie wordt voorkomen dat gebruikers registreren
een lidcomputer of naar elke domeincontroller in het domein.
Redenen om dit gebruikersrecht toekennen
Gebruikers moeten het gebruikersrecht Lokaal aanmelden toestaan voor toegang tot de console of het bureaublad van een werkgroep
computer, een lidcomputer of een domeincontroller.
Gebruikers moeten dit gebruikersrecht aanmelden via Terminal Services-sessie die wordt uitgevoerd op een domeincontroller of lidcomputer met Windows 2000.
Redenen om dit gebruikersrecht te verwijderen
Fout consoletoegang tot legitieme beperken
gebruikersaccounts kunnen resulteren in onbevoegde gebruikers downloaden en uitvoeren
schadelijke code wijzigen van gebruikersrechten.
Het verwijderen van het gebruikersrecht Lokaal aanmelden toestaan voorkomt niet-gemachtigde aanmeldingen op de consoles van
computers, zoals domeincontrollers of toepassingsservers.
Dit aanmeldingsrecht te verwijderen voorkomt u dat niet-domein
accounts aanmelden op de console van lidcomputers in het
domein.
Voorbeelden van compatibiliteitsproblemen
Windows 2000-terminalservers:Het gebruikersrecht Lokaal aanmelden toestaan is vereist voor de gebruikers zich aanmelden bij Windows 2000
Terminal-servers.
Windows NT 4.0, Windows 2000, Windows XP of Windows Server 2003:Gebruikersaccounts moeten dit gebruikersrecht aanmelden op de console van computers waarop Windows NT 4.0, Windows 2000, Windows XP of Windows Server 2003 worden toegekend.
Windows NT 4.0 en hoger:Op computers waarop Windows NT 4.0 wordt uitgevoerd en later, als u het gebruikersrecht Lokaal aanmelden toestaan maar u impliciet of expliciet ook het aanmeldingsrecht Lokaal aanmelden weigeren verlenen , accounts is niet mogelijk aan te melden bij de
de console van de domeincontrollers.
Controle op bladeren negeren
Achtergrond
Het gebruikersrecht controle op bladeren negeren kan de gebruiker bladeren door mappen in NTFS
bestandssysteem of in het register, zonder te controleren of de speciale machtiging door map bladeren . Het gebruikersrecht controle op bladeren negeren kan de gebruiker de inhoud van een map niet. Kan de gebruiker alleen de mappen te bladeren.
Riskante configuraties
Schadelijke configuratie-instellingen zijn:
Niet-administratieve accounts die zich op basis van Windows 2000 Terminal Services-computers of computers met Windows Server 2003 Terminal Services die geen toegangsmachtigingen aanmelden voor bestanden en mappen in het bestandssysteem verwijderen.
De groep Iedereen verwijderen uit de lijst met beveiligings-principals die deze gebruikers standaard rechts hebben. Windows-besturingssystemen en ook veel programma's zijn ontworpen met de verwachting dat iedereen die wettig toegang de computer tot het gebruikersrecht controle op bladeren negeren hebben. Dus kan iedereen verwijderen groep uit de lijst van beveiligings-principals die dit gebruikersrecht standaard hebben leiden tot instabiliteit van het besturingssysteem of tot programmaproblemen. Het is beter laat deze instelling op de standaardwaarde.
Redenen om dit gebruikersrecht toekennen
De standaardinstelling voor het gebruikersrecht controle op bladeren negeren is dat iedereen de controle op bladeren negeren. Voor
ervaren Windows-systeembeheerders is dit de verwachte werking en
zij configureren bestand system access control list (SACL) dienovereenkomstig. De enige
scenario waarbij de standaardconfiguratie tot problemen kan leiden als de
de beheerder die de machtigingen configureert begrijpt het gedrag niet en
verwacht dat gebruikers geen toegang een bovenliggende map tot niet zal toegang tot
de inhoud van onderliggende mappen.
Redenen om dit gebruikersrecht te verwijderen
Om te voorkomen dat toegang tot de bestanden of mappen in het bestandssysteem, kunnen organisaties die beveiliging zijn de verleiding komen aan de groep Iedereen verwijderen of zelfs de groep gebruikers uit de lijst met groepen die het gebruikersrecht controle op bladeren negeren hebben.
Voorbeelden van compatibiliteitsproblemen
Windows 2000, Windows Server 2003:Als het gebruikersrecht controle op bladeren negeren is verwijderd of is niet juist geconfigureerd op computers die zijn
Windows 2000 of Windows Server 2003, groepsbeleidsinstellingen in de SYVOL
map niet gerepliceerd tussen domeincontrollers in het domein.
Windows 2000, Windows XP Professional, Windows Server 2003:Computers waarop Windows 2000, Windows XP Professional of Windows Server 2003 worden gebeurtenissen 1000 en 1202 en kunnen geen computerbeleid en gebruikersbeleid worden toegepast wanneer de vereiste bestandssysteemmachtigingen zijn verwijderd uit de SYSVOL-structuur als de Bypass traverse met foutcontrole gebruikersrecht is verwijderd of is onjuist geconfigureerd.
Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
Gebeurtenis-ID 1000, 1001 wordt elke vijf minuten in het toepassingslogboek geregistreerd
Windows 2000, Windows Server 2003: Op computers waarop Windows 2000 of Windows Server
2003, de Quota tabblad in Windows Explorer verdwijnt wanneer
u kunt eigenschappen weergeven op een volume.
Windows 2000: Niet-beheerders zich bij een Windows 2000 terminal server aanmelden
wordt het volgende foutbericht weergegeven:
Userinit.exe
toepassingsfout. De toepassing niet juist initialiseren 0xc0000142
Klik op OK om de toepassing te beëindigen.
Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
Gebruikers worden automatisch afgemeld bij het aanmelden bij Terminal Services
Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003:Gebruikers met computers met Windows NT 4.0, Windows 2000, Windows XP of Windows Server 2003 mogelijk geen toegang tot gedeelde mappen of bestanden op gedeelde mappen en ze foutberichten 'Toegang geweigerd' als ze niet het gebruikersrecht controle op bladeren negeren verleend.
Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
Windows NT 4.0:Op computers met Windows NT 4.0 wordt het verwijderen van het gebruikersrecht controle op bladeren negeren bestanden bestandsstromen kopiëren. Als u
Dit gebruikersrecht te verwijderen wanneer een bestand wordt gekopieerd vanaf een Windows-client of een
Macintosh-client naar een Windows NT 4.0-domeincontroller waarop Services
voor Macintosh, het stream-doelobject wordt verbroken en het bestand wordt weergegeven als een
alleen-tekstbestand.
Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
Verwijdering van "Bypass Traverse Checking" zorgt ervoor dat het bestand kopiëren
Microsoft Windows 95, Microsoft Windows 98:Op een clientcomputer waarop Windows 95 of Windows 98, wordt de net use * / home opdracht mislukt met 'toegang
Geweigerd' weergegeven als de groep Geverifieerde gebruikers niet verleend het gebruikersrecht controle op bladeren negeren .
Outlook Web Access:Niet-beheerders worden niet aanmelden bij Microsoft Outlook Web Access en ze ontvangt een foutbericht 'Toegang geweigerd' als ze niet het gebruikersrecht controle op bladeren negeren verleend.
De volgende lijst bevat een beveiligingsinstelling en de geneste lijst bevat een beschrijving over de instelling, identificeert u configuratie-instellingen die problemen kunnen veroorzaken, wordt beschreven waarom u de beveiligingsinstelling moet toepassen en beschrijving van redenen waarom u mogelijk wilt verwijderen van de beveiligingsinstelling. De geneste lijst biedt vervolgens een symbolische naam voor de instelling en het registerpad van het van de instelling. Ten slotte dienen voorbeelden van compatibiliteitsproblemen die voordoen zich wanneer de beveiligingsinstelling is geconfigureerd.
Controle: Systeem onmiddellijk if unable to log security audits afsluiten
Achtergrond
De controle: systeem onmiddellijk if unable to log security audits afsluiten bepaalt of het systeem wordt afgesloten als u zich niet voor beveiligingsgebeurtenissen aanmelden. Deze instelling is vereist voor de C2-evaluatie van de vertrouwde Computer Security evaluatie Criteria (TCSEC)-programma en voor de Common Criteria voor Information Technology Security Evaluation om controleerbare gebeurtenissen te voorkomen als de audit-systeem kan deze gebeurtenissen niet aanmelden. Als het controlesysteem uitvalt, het systeem is afgesloten en wordt een Stop-foutbericht weergegeven.
Als de computer niet van gebeurtenissen naar opnemen de
beveiligingslogboek, essentieel bewijs of belangrijke informatie voor probleemoplossing kunnen
niet beschikbaar voor evaluatie na een veiligheidsincident.
Riskante configuratie
Het volgende is een schadelijke configuratie-instelling: de controle: systeem onmiddellijk if unable to log security audits afsluiten is ingeschakeld en de grootte van het beveiligingslogboek wordt beperkt door de optie niet overschrijven (logboek handmatig wissen) gebeurtenissen , de optie Gebeurtenissen indien nodig overschrijven of de Gebeurtenissen overschrijven ouder dan nummer dagen optie in Logboeken. Zie 'voorbeelden van compatibiliteit
Sectie oplossen' voor informatie over specifieke risico's voor computers
de oorspronkelijke versie van Windows 2000, Windows 2000-Service wordt uitgevoerd
Pack 1 (SP1), Windows 2000 SP2 of Windows 2000 SP3.
Redenen om deze instelling
Als de computer niet van gebeurtenissen in het beveiligingslogboek opnemen, essentieel bewijs of belangrijke informatie voor probleemoplossing mogelijk niet beschikbaar voor evaluatie na een beveiligingsincident.
Redenen om deze instelling
Inschakelen van de controle: systeem onmiddellijk if unable to log security audits afsluiten instelling stopt het systeem als een beveiligingscontrole kan niet worden geregistreerd voor
elke reden. Normaal gesproken worden een gebeurtenis niet geregistreerd als het beveiligingslogboek is
volledige en wanneer de opgegeven bewaarperiode is ofwel de optie niet overschrijven (logboek handmatig wissen) gebeurtenissen of de Gebeurtenissen overschrijven ouder dan nummer dagen optie.
De administratieve last van het inschakelen van de controle: systeem onmiddellijk if unable to log security audits afsluiten instelling kan zeer hoog zijn, vooral als u ook de optie niet overschrijven (logboek handmatig wissen) gebeurtenissen voor het beveiligingslogboek inschakelen. Deze instelling biedt voor individuele verantwoording van de acties van de operator. Een beheerder kan bijvoorbeeld machtigingen opnieuw instellen op alle gebruikers, computers en groepen in een organisatie-eenheid waarin controle is ingeschakeld via de ingebouwde administrator-account of een andere gedeelde account en vervolgens weigeren dat zij dergelijke machtigingen opnieuw instellen. Echter inschakelen van de instelling verminderen de robuustheid van het systeem omdat een server kan worden geforceerd afgesloten door deze wordt overstelpt met aanmeldingsgebeurtenissen en met andere beveiligingsgebeurtenissen die naar het beveiligingslogboek worden geschreven. Bovendien, omdat het afsluiten geen correcte, onherstelbare schade aan het besturingssysteem, programma's of gegevens mogelijk. Hoewel NTFS de integriteit van het bestandssysteem tijdens een geforceerd afsluiten garandeert, is er geen garantie dat elk gegevensbestand voor elk programma nog bruikbaar is wanneer het systeem opnieuw wordt opgestart.
Windows 2000:Door een fout wordt de logboekregistratie stopgezet op computers waarop de oorspronkelijke versie van Windows 2000, Windows 2000 SP1, Windows 2000 SP2 of Windows Server SP3 wordt uitgevoerd, voordat de grootte die is opgegeven met de optie Max. logboekgrootte voor het logboek met beveiligingsgebeurtenissen is bereikt. Deze fout is verholpen.
in Windows 2000 Service Pack 4 (SP4). Zorg ervoor dat uw Windows 2000-domein
domeincontrollers hebt Windows 2000 Service Pack 4 zijn geïnstalleerd voordat u
het inschakelen van deze instelling.
Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
Het gebeurtenislogboek stopt met het vastleggen van gebeurtenissen voordat de maximale logboekgrootte is bereikt
Windows 2000, Windows Server 2003:Kunnen computers waarop Windows 2000 of Windows Server 2003
reageert en start vervolgens spontaan opnieuw als de controle: systeem onmiddellijk if unable to log security audits afsluiten is ingeschakeld, het beveiligingslogboek vol is en een bestaande logboekvermelding niet kan worden overschreven. Wanneer de computer opnieuw opstart, wordt het volgende Stop-foutbericht weergegeven:
STOP: C0000244
{Controle mislukt} Een poging om een beveiligingscontrole te genereren is mislukt.
Als u wilt herstellen, moet beheerder aanmelden, archiveren (optioneel), het beveiligingslogboek
het beveiligingslogboek wissen en opnieuw instellen van deze optie (optioneel en indien nodig).
Microsoft Network Client voor MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003:Niet-beheerders die zich aanmeldt bij een domein, ontvangt de
volgende foutbericht weergegeven:
Uw account is geconfigureerd
voorkomen dat u deze computer gebruikt. Probeer een andere
computer.
Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
Foutbericht: gebruikers zich niet aanmelden bij een werkstation
Windows 2000:Niet-beheerders worden niet met RAS-servers aanmelden op computers met Windows 2000 en zij ontvangt een foutbericht dat lijkt op het volgende:
Onbekende gebruiker of onjuist
wachtwoord
Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
Foutbericht: uw account is geconfigureerd om te voorkomen dat u met deze computer
Windows 2000:Op Windows 2000-domeincontrollers is de Intersite Messaging-service (Ismserv.exe) stopt en kan niet worden gestart. DCDIAG meldt de fout 'failed test services ISMserv' en gebeurtenis-ID 1083 wordt in het gebeurtenislogboek geregistreerd.
Windows 2000:Op Windows 2000-domeincontrollers mislukt Active Directory-replicatie en een bericht 'Toegang geweigerd' weergegeven als het beveiligingslogboek vol is.
Microsoft Exchange 2000:Servers waarop Exchange 2000 worden niet de informatiearchiefdatabase koppelen en wordt gebeurtenis 2102 in het gebeurtenislogboek geregistreerd.
Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
Foutberichten van Exchange 2000 worden gegenereerd als rechts en problemen met Policytest
Outlook, Outlook Web Access: Niet-beheerders worden geen toegang tot hun e-mail via
Microsoft Outlook of Microsoft Outlook Web Access, en zij zal
ontvangen een 503-fout.
Domeincontroller: vereisten voor ondertekenen LDAP-server
Achtergrond
De domeincontroller: vereisten voor ondertekenen LDAP-server bepaalt of het Lightweight Directory Access Protocol (LDAP)-server LDAP-clients onderhandelen over het ondertekenen van gegevens vereist. De mogelijke waarden voor deze instelling zijn als volgt:
Geen: Gegevensondertekening is niet vereist voor het verbinden met de server. Als de
client verzoeken ondertekenen van gegevens, de server ondersteund.
Moet ondertekenen: De LDAP-ondertekeningsoptie tenzij moet worden onderhandeld Transport
Layer Security/Secure Socket Layer (TLS/SSL) wordt gebruikt.
niet gedefinieerd: Deze instelling is niet ingeschakeld of uitgeschakeld.
Riskante configuraties
Schadelijke configuratie-instellingen zijn:
Handtekening is vereist inschakelt in omgevingen waarin clients ondertekenen van LDAP niet ondersteunen of
waar ondertekenen van LDAP aan clientzijde niet is ingeschakeld op de client
De Windows 2000 of Windows Server toepassen
2003 Beveiligingssjabloon Hisecdc.inf in omgevingen waarin de clients niet
ondertekenen van LDAP ondersteunen of wanneer ondertekenen van LDAP aan clientzijde niet
ingeschakeld
De Windows 2000 of Windows Server toepassen
2003 Beveiligingssjabloon Hisecws.inf in omgevingen waarin de clients niet
ondertekenen van LDAP ondersteunen of wanneer ondertekenen van LDAP aan clientzijde niet
ingeschakeld
Redenen om deze instelling
Niet-ondertekend netwerkverkeer is gevoeliger voor man-in-the-middle-aanvallen waarbij een indringer pakketten onderschept tussen de client en de server, de pakketten verandert en ze doorstuurt naar de server. Wanneer dit op een LDAP-server plaatsvindt, kan een aanvaller een server beslissingen neemt op basis van onjuiste query's van de LDAP-client. U kunt dit risico in een bedrijfsnetwerk verminderen door sterke fysieke beveiligingsmaatregelen ter bescherming van de netwerkinfrastructuur implementeren. Internet Protocol security (IPSec) de verificatieheadermodus voorkomen man-in-the-middle-aanvallen. De verificatieheadermodus wordt wederzijdse verificatie en pakketintegriteit voor IP-verkeer uitgevoerd.
Redenen om deze instelling
Clients die ondertekenen van LDAP niet ondersteunen, wordt niet
Kan LDAP-query's tegen domeincontrollers en globale verrichten
catalogussen als wordt onderhandeld over NTLM-verificatie en de juiste service packs
zijn niet geïnstalleerd op Windows 2000-domeincontrollers.
Netwerk-traces van LDAP-verkeer tussen clients en servers worden gecodeerd. Dit maakt het moeilijk-conversaties.
Windows 2000-servers moeten Windows 2000 Service Pack 3 (SP3) of geïnstalleerd wanneer ze worden beheerd met programma's die die ondertekenen van LDAP ondersteunen worden uitgevoerd vanaf clientcomputers waarop Windows 2000 SP4, Windows XP of Windows Server 2003 wordt uitgevoerd. Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
Windows 2000 Service Pack 4, Windows XP, Windows Server 2003:Op clients waarop Windows 2000 SP4, Windows XP of Windows Server 2003, goed enkele Active Directory-beheerprogramma's niet met domeincontrollers waarop versies van Windows 2000 die ouder dan SP3 zijn wanneer NTLM-verificatie wordt onderhandeld.
Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
Domeincontrollers met Windows 2000 vereist servicepack 3 of hoger met Windows Server 2003-beheerprogramma 's
Windows 2000 Service Pack 4, Windows XP, Windows Server 2003:Op clients waarop Windows 2000 SP4, Windows XP of Windows Server 2003, enkele Active Directory-beheerprogramma's domeincontrollers waarop versies van Windows 2000 wordt uitgevoerd zijn vóór SP3 niet goed als ze IP-adressen (bijvoorbeeld ' dsa.msc/server =x.x.x.x"waar x.x.x.x een IP-adres is).
Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
Domeincontrollers met Windows 2000 vereist servicepack 3 of hoger met Windows Server 2003-beheerprogramma 's
Windows 2000 Service Pack 4, Windows XP, Windows Server 2003:Op clients waarop Windows 2000 SP4, Windows XP of Windows Server 2003, enkele beheerprogramma's van Active Directory dat doel zijn domeincontrollers waarop versies van Windows 2000 zijn ouder dan SP3 niet goed werken.
Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
Domeincontrollers met Windows 2000 vereist servicepack 3 of hoger met Windows Server 2003-beheerprogramma 's
Lid van domein: sterke sessiesleutel verplicht (Windows 2000 of hoger)
Achtergrond
De lid van domein: sterke sessiesleutel verplicht (Windows 2000 of hoger) bepaalt of een veilig kanaal kan worden vastgesteld
met een domeincontroller die niet verkeer via beveiligde kanalen met coderen een
sterke, 128-bits sessiesleutel. Deze instelling inschakelt tot oprichting van een
beveiligd kanaal met een domeincontroller die beveiligd kanaal niet kan coderen
gegevens met een sterke sleutel. Uitschakelen van deze instelling toegestaan 64-bits sessiesleutels.
Voordat u deze instelling op een lid kunt inschakelen
werkstation of op een server alle domeincontrollers in het domein die de
lid behoort moet kunnen gegevens in beveiligd kanaal met een sterke codering
128-bits sleutel. Dit betekent dat deze domeincontrollers moeten worden uitgevoerd
Windows 2000 of hoger.
Riskante configuratie
Inschakelen van de lid van domein: sterke sessiesleutel verplicht (Windows 2000 of hoger) is ingesteld op een schadelijke configuratie-instelling.
Redenen om deze instelling
Sessiesleutels die worden gebruikt voor het veilig stellen
kanaal communicatie tussen lidcomputers en domeincontrollers, zijn veel
in Windows 2000 sterker dan in eerdere versies van Microsoft
besturingssystemen.
Wanneer het mogelijk is, is het verstandig om te profiteren van deze sterkere sessiesleutels beveiligen van communicatie via beveiligde kanalen uit afluisteren en netwerkaanvallen waarbij sessies. Afluisteren is een schadelijke aanval waarbij netwerkgegevens lezen is of is
gewijzigd in transit. De gegevens kunnen worden gewijzigd, verbergen of wijzigen van de afzender
of het omleiden.
Belangrijk Een computer waarop Windows Server 2008 R2 of Windows 7 ondersteunt alleen sterke sleutels als veilige kanalen worden gebruikt. Deze beperking voorkomt dat een vertrouwensrelatie tussen een Windows NT 4.0-domein en een Windows Server 2008 R2-domein. Ook deze beperking geblokkeerd voor het lidmaatschap Windows NT 4.0-domein van computers waarop Windows 7 of Windows Server 2008 R2 en vice versa.
Redenen om deze instelling
Het domein bevat lidcomputers waarop andere besturingssystemen dan Windows 2000, Windows XP of Windows Server 2003.
Windows NT 4.0:Op computers met Windows NT 4.0 mislukt opnieuw instellen van veilige kanalen van vertrouwensrelaties tussen Windows NT 4.0 en Windows 2000-domeinen met NLTEST. Foutbericht 'Toegang geweigerd' wordt weergegeven:
De vertrouwensrelatie
relatie tussen het primaire domein en het vertrouwde domein
is mislukt.
Windows 7 en Server 2008 R2:Deze instelling is niet langer van kracht en de sterke sleutel altijd wordt gebruikt voor Windows 7 en hoger en Windows Server 2008 R2 en hogere versies. Door die werken vertrouwensrelaties met Windows NT 4.0-domeinen niet langer.
Lid van domein: digitaal coderen of ondertekenen (altijd) gegevens in beveiligd kanaal
Achtergrond
Inschakelen van lid van domein: digitaal coderen of ondertekenen (altijd) gegevens in beveiligd kanaal tot stand brengen van een beveiligd kanaal met een domeincontroller die niet kan ondertekenen of coderen van alle gegevens in beveiligd kanaal voorkomt. Om verificatieverkeer beschermen tegen man-in-the-middle-aanvallen, replay-aanvallen en andere typen netwerkaanvallen, maken Windows-computers met een communicatiekanaal dat een veilig kanaal via de Net Logon-service voor de verificatie van computeraccounts wordt genoemd. Veilige kanalen worden ook gebruikt wanneer een gebruiker in een domein met een netwerkbron in een extern domein verbindt. Deze verificatie met meerdere domeinen of indirecte verificatiekan een Windows-computer die lid is van een domein hebben
toegang tot de database met gebruikersaccounts in het domein en in alle vertrouwde domeinen.
Inschakelen van de lid van domein: digitaal coderen of ondertekenen (altijd) gegevens in beveiligd kanaal instellen op een lidcomputer, alle domeincontrollers in het domein waartoe het lid moet kunnen ondertekenen of coderen van alle gegevens in beveiligd kanaal. Dit betekent dat deze domeincontrollers moeten worden uitgevoerd Windows NT 4.0 met Service Pack 6a (SP6a) of hoger.
Inschakelen van de lid van domein: digitaal coderen of ondertekenen (altijd) gegevens in beveiligd kanaal automatisch kunnen de lid van domein: digitaal coderen of ondertekenen van gegevens in beveiligd kanaal (indien mogelijk) instelling.
Riskante configuratie
Inschakelen van de lid van domein: digitaal coderen of ondertekenen (altijd) gegevens in beveiligd kanaal in domeinen waarin niet alle domeincontrollers kunnen ondertekenen of
codeert gegevens in beveiligd kanaal is een schadelijke configuratie-instelling.
Redenen om deze instelling
Niet-ondertekend netwerkverkeer is gevoeliger voor man-in-the-middle-aanvallen, waar een hacker pakketten onderschept tussen de client en de server en alvorens deze worden doorgestuurd naar de client. Wanneer dit probleem op een Lightweight Directory Access Protocol (LDAP)-server optreedt, kan de indringer een client beslissingen neemt op basis van onjuiste records uit de LDAP-directory. U kunt het risico van een dergelijke aanval in een bedrijfsnetwerk verminderen door sterke fysieke beveiligingsmaatregelen ter bescherming van de netwerkinfrastructuur implementeren. Bovendien, kunt Internet Protocol security (IPSec) te implementeren verificatieheadermodus man-in-the-middle-aanvallen te voorkomen. In deze modus wordt wederzijdse verificatie en pakketintegriteit voor IP-verkeer.
Redenen om deze instelling
Computers in lokale of externe domeinen ondersteunen gecodeerde veilige kanalen.
Niet alle domeincontrollers in het domein de
juiste service pack revisieniveaus voor de ondersteuning van beveiligde gecodeerd
kanalen.
Foutbericht: de account mag zich niet aanmelden vanaf dit station
Windows NT 4.0:Windows NT 4.0-domeinen zijn niet tot stand brengen van een downlevel-vertrouwensrelatie met een Windows 2000-domein en ontvangen het volgende foutbericht weergegeven:
De account mag zich niet aanmelden vanaf dit
station.
Bestaande vertrouwensrelaties van lager niveau verifiëren bovendien geen gebruikers uit het vertrouwde domein. Sommige gebruikers hebben problemen bij het aanmelden bij het domein en wordt een foutbericht wordt gemeld dat de client het domein niet vinden.
Windows XP:Windows XP-clients die lid zijn van Windows NT 4.0-domeinen kunnen geen aanmeldingspogingen verifiëren en wordt het volgende foutbericht weergegeven of de volgende gebeurtenissen worden vastgelegd in het gebeurtenislogboek:
Windows kan geen verbinding met het domein of omdat de
domeincontroller is uitgeschakeld of niet beschikbaar is of omdat uw computer
account is niet gevonden.
Gebeurtenis
5723: De sessie-instellingen van computer Computernaam verificatie mislukt. De naam van de account waarnaar wordt verwezen in de beveiliging
database Computernaam. De volgende fout
opgetreden: de toegang is geweigerd.
Gebeurtenis 3227: De sessie-instellingen voor Windows NT of Windows
2000-domeincontroller Servernaam van de voor het domein Domeinnaam is mislukt omdat Server
Naam ondersteunt niet ondertekenen of verzegelen van de Netlogon-sessie.
De domeincontroller of stel de registervermelding RequireSignOrSeal op
Deze computer in op 0.
Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
Server Message Block (SMB) is het protocol voor delen van bronnen die door veel Microsoft-besturingssystemen wordt ondersteund. Het is de basis van het network basic input/output system (NetBIOS) en vele andere protocollen. SMB-ondertekening verifieert de gebruiker en de server waarop de gegevens. Als beide zijden het verificatieproces mislukt, wordt gegevensoverdracht niet plaats.
SMB begint tijdens het onderhandelen over SMB-protocol inschakelen. De beleidsregels voor het ondertekenen van SMB bepalen of de computer clientcommunicatie altijd digitaal ondertekent.
Windows 2000 SMB-verificatieprotocol ondersteunt wederzijdse verificatie. Wederzijdse verificatie sluit een 'man-in-the-middle'-aanvallen. De Windows 2000 SMB-verificatieprotocol ondersteunt ook verificatie bericht. Berichtverificatie voorkomt aanvallen van het actieve bericht.
SMB-ondertekening zodat u deze verificatie, wordt een digitale handtekening in elk SMB geplaatst. Controleer of de digitale handtekening de client en de server.
U moet u ondertekenen van SMB SMB inschakelen of op zowel de SMB-client als de SMB-ondertekening van SMB vereisen.
Als SMB-ondertekening is ingeschakeld op een server-clients die ook worden ingeschakeld voor SMB-ondertekening gebruiken de pakketondertekening protocol tijdens alle volgende sessies.
Als SMB-ondertekening op een server is vereist, kan een client geen verbinding kan maken tenzij de client is ingeschakeld of voor de SMB-ondertekening vereist.
Digitaal ondertekenen in netwerken met hoge beveiliging waardoor wordt voorkomen dat de imitatie van clients en servers. Dit type imitatie wordt genoemd van de sessie overnemen. Een aanvaller die toegang tot hetzelfde netwerk als de client of de server heeft gebruikt waarbij extra sessies te onderbreken, beëindigen of stelen van een sessie in uitvoering. Een aanvaller kan onderscheppen en wijzigen van niet-getekende SMB-pakketten, het verkeer en doorsturen, zodat de server wellicht ongewenste acties. Of de aanvaller kan opleveren als de server of de client na een legitieme verificatie en vervolgens onbevoegde toegang tot gegevens.
Het SMB-protocol dat wordt gebruikt voor het delen van bestanden en printers op computers waarop Windows 2000 Server, Windows 2000 Professional, Windows XP Professional of Windows Server 2003 ondersteunt wederzijdse verificatie. Wederzijdse verificatie sluit aanvallen waarbij sessies en ondersteunt berichtverificatie. Daarom kunnen man-in-the-middle-aanvallen. SMB-ondertekening vindt verificatie plaats door in elk SMB een digitale handtekening te plaatsen. De client en de server controleert de handtekening.
Notities
Als een andere tegenmaatregel kunnen digitale handtekeningen met IPSec beveiligen al het netwerkverkeer. Er zijn hardware gebaseerde versnellers voor IPSec-codering en ondertekening kunt u de gevolgen van de prestaties van de CPU van de server. Er zijn geen dergelijke versnellers beschikbaar voor het ondertekenen van SMB zijn.
Configureer ondertekenen van SMB via Groepsbeleidobjecteditor omdat een wijziging in een lokale registerwaarde geen effect heeft als er een hoger domeinbeleid bestaat.
In Windows 95, Windows 98 en Windows 98 Tweede editie wordt de Directory Services Client ondertekenen van SMB tijdens de verificatie op Windows Server 2003-servers via NTLM-verificatie. Deze clients gebruiken echter geen SMB-ondertekening wanneer ze met deze servers verifiëren met NTLMv2-verificatie. Bovendien reageren Windows 2000-servers niet op verzoeken van deze clients ondertekenen van SMB. Zie voor meer informatie artikel 10: ' Netwerkbeveiliging: Lan Manager-verificatieniveau. "
Riskante configuratie
Het volgende is een schadelijke configuratie-instelling: zowel de Microsoft network client: servercommunicatie digitaal ondertekenen (altijd) instelling en de Microsoft netwerkclient: clientcommunicatie digitaal ondertekenen (indien mogelijk van server) instelling ingesteld op 'Niet gedefinieerd' of uitgeschakeld. Deze instellingen kunnen de redirector ongecodeerde wachtwoorden verzenden naar niet - Microsoft SMB-servers die geen ondersteuning voor wachtwoordcodering tijdens verificatie bieden.
Redenen om deze instelling
Inschakelen van Microsoft netwerkclient: clientcommunicatie digitaal ondertekenen (altijd) moeten clients SMB-verkeer ondertekenen wanneer verbinding met servers waarvoor geen SMB-ondertekening vereist. Clients zijn hierdoor minder kwetsbaar voor aanvallen waarbij sessies.
Redenen om deze instelling
Inschakelen van Microsoft-netwerkclient: clientcommunicatie digitaal ondertekenen (altijd) kunnen clients niet communiceren met doelservers die geen ondertekenen van SMB ondersteunen.
Computers configureren voor het negeren van alle niet-ondertekende SMB
communicatie voorkomt dat oudere programma's en besturingssystemen
verbinding maken.
Windows NT 4.0:U niet mogelijk het beveiligde kanaal van een vertrouwensrelatie tussen een Windows Server 2003-domein en een Windows NT 4.0-domein opnieuw instellen met NLTEST of NETDOM, en u ontvangt een foutbericht 'Toegang geweigerd'.
Windows XP:Kopiëren van bestanden van Windows XP kunnen clients op basis van een Windows 2000-servers en servers met Windows Server 2003 langer duren.
U wordt niet een netwerkverbinding van een
de client met deze instelling is ingeschakeld en u ontvangt de volgende fout
bericht:
De account mag zich niet aanmelden vanaf
Dit station.
Opnieuw opstarten vereist
Start de computer of Workstation-service opnieuw. Typ hiervoor de volgende opdrachten bij de opdrachtprompt. Druk na elke opdracht op Enter.
Server Messenger Block (SMB) is het protocol voor delen van bronnen die door veel Microsoft-besturingssystemen wordt ondersteund. Het is de basis van het network basic input/output system (NetBIOS) en vele andere protocollen. SMB-ondertekening verifieert de gebruiker en de server waarop de gegevens. Als beide zijden het verificatieproces mislukt, wordt gegevensoverdracht niet plaats.
SMB begint tijdens het onderhandelen over SMB-protocol inschakelen. De beleidsregels voor het ondertekenen van SMB bepalen of de computer clientcommunicatie altijd digitaal ondertekent.
Windows 2000 SMB-verificatieprotocol ondersteunt wederzijdse verificatie. Wederzijdse verificatie sluit een 'man-in-the-middle'-aanvallen. De Windows 2000 SMB-verificatieprotocol ondersteunt ook verificatie bericht. Berichtverificatie voorkomt aanvallen van het actieve bericht.
SMB-ondertekening zodat u deze verificatie, wordt een digitale handtekening in elk SMB geplaatst. Controleer of de digitale handtekening de client en de server.
U moet u ondertekenen van SMB SMB inschakelen of op zowel de SMB-client als de SMB-ondertekening van SMB vereisen.
Als SMB-ondertekening is ingeschakeld op een server-clients die ook worden ingeschakeld voor SMB-ondertekening gebruiken de pakketondertekening protocol tijdens alle volgende sessies.
Als SMB-ondertekening op een server is vereist, kan een client geen verbinding kan maken tenzij de client is ingeschakeld of voor de SMB-ondertekening vereist.
Digitaal ondertekenen in netwerken met hoge beveiliging waardoor wordt voorkomen dat de imitatie van clients en servers. Dit type imitatie wordt genoemd van de sessie overnemen. Een aanvaller die toegang tot hetzelfde netwerk als de client of de server heeft gebruikt waarbij extra sessies te onderbreken, beëindigen of stelen van een sessie in uitvoering. Een aanvaller kan onderscheppen en niet ondertekend (SBM: Subnet bandbreedte Manager)-pakketten wijzigen, het verkeer en doorsturen, zodat de server wellicht ongewenste acties. Of de aanvaller kan opleveren als de server of de client na een legitieme verificatie en vervolgens onbevoegde toegang tot gegevens.
Het SMB-protocol dat wordt gebruikt voor het delen van bestanden en printers op computers waarop Windows 2000 Server, Windows 2000 Professional, Windows XP Professional of Windows Server 2003 ondersteunt wederzijdse verificatie. Wederzijdse verificatie sluit aanvallen waarbij sessies en ondersteunt berichtverificatie. Daarom kunnen man-in-the-middle-aanvallen. SMB-ondertekening vindt verificatie plaats door in elk SMB een digitale handtekening te plaatsen. De client en de server controleert de handtekening.
Als een andere tegenmaatregel kunnen digitale handtekeningen met IPSec beveiligen al het netwerkverkeer. Er zijn hardware gebaseerde versnellers voor IPSec-codering en ondertekening kunt u de gevolgen van de prestaties van de CPU van de server. Er zijn geen dergelijke versnellers beschikbaar voor het ondertekenen van SMB zijn.
In Windows 95, Windows 98 en Windows 98 Tweede editie wordt de Directory Services Client ondertekenen van SMB tijdens de verificatie op Windows Server 2003-servers via NTLM-verificatie. Deze clients gebruiken echter geen SMB-ondertekening wanneer ze met deze servers verifiëren met NTLMv2-verificatie. Bovendien reageren Windows 2000-servers niet op verzoeken van deze clients ondertekenen van SMB. Zie voor meer informatie artikel 10: ' Netwerkbeveiliging: Lan Manager-verificatieniveau. "
Riskante configuratie
Het volgende is een schadelijke configuratie-instelling: waardoor de Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (altijd) op servers en domeincontrollers die worden benaderd door een incompatibel Windows-computers en clientcomputers gebaseerde van derden in lokale of externe domeinen.
Redenen om deze instelling
Alle clientcomputers waarop deze instelling inschakelen
rechtstreeks via het register of de instelling ondersteunen SMB
ondertekenen. Met andere woorden, alle clientcomputers die beschikken over deze instelling ingeschakeld
Windows 95 met de DS-client geïnstalleerd, Windows 98, Windows NT 4.0 wordt uitgevoerd
Windows 2000, Windows XP Professional of Windows Server 2003.
Als Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (altijd) is uitgeschakeld, ondertekenen van SMB volledig uitgeschakeld. Volledig
alle SMB-ondertekening uitschakelen kwetsbaarder computers voor hacken sessie
aanvallen.
Redenen om deze instelling
Inschakelen van deze instelling kan trager bestand kopiëren
en de prestaties van het netwerk op clientcomputers.
Inschakelen van deze instelling wordt voorkomen dat clients die
kan niet onderhandelen over SMB-ondertekening niet communiceren met servers en domein
domeincontrollers. Bewerkingen zoals domein joins, gebruiker en computer
verificatie, of netwerktoegang door programma's worden uitgevoerd.
Foutbericht wanneer u Windows 95 of Windows NT 4.0-client zich aanmeldt bij Windows Server 2003-domein
Windows NT 4.0: Clientcomputers waarop versies van Windows NT 4.0 wordt uitgevoerd
ouder dan Service Pack 3 (SP3) wordt aanmeldingsverificatie mislukt en wordt
wordt het volgende foutbericht weergegeven:
Het systeem kan niet
u aanmelden. Controleer of uw gebruikersnaam en het domein juist zijn en typ uw
wachtwoord opnieuw.
Sommige niet - Microsoft SMB-servers ondersteunen alleen uitwisseling van gecodeerde wachtwoorden tijdens de verificatie. (Deze uitwisselingen ook wel 'plain text'-uitwisselingen.) Voor Windows NT 4.0 SP3 en latere versies verzendt de SMB-redirector geen een gecodeerde wachtwoorden tijdens de verificatie van een SMB-server tenzij u een specifieke registervermelding toevoegen. Als niet-gecodeerde wachtwoorden voor de SMB-client op Windows NT 4.0 SP 3 en nieuwere systemen inschakelen, wijzigt u het register als volgt: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters Naam: EnablePlainTextPassword Gegevenstype: REG_DWORD Gegevens: 1
Klik op de volgende artikelnummers om de artikelen in de Microsoft Knowledge Base voor meer informatie over verwante onderwerpen:
Ongecodeerde wachtwoorden mogelijk Service Pack 3 verbinding maakt met SMB-servers
Windows Server 2003: Standaard zijn beveiligingsinstellingen op domeincontrollers met Windows Server 2003 geconfigureerd om te voorkomen dat communicatie op een domeincontroller worden onderschept of vervalst door kwaadwillende gebruikers. Gebruikers communiceren met een domeincontroller waarop Windows Server 2003 wordt uitgevoerd, moeten clientcomputers zowel SMB-ondertekening en codering of ondertekening van beveiligde kanalen verkeer gebruiken. Standaard worden clients die het uitvoeren van Windows NT 4.0 met Service Pack 2 (SP2) of eerder is geïnstalleerd en clients met Windows 95 geen SMB-pakketondertekening ingeschakeld. Daarom deze clients mogelijk niet kunnen worden geverifieerd bij een domeincontroller met Windows Server 2003.
Beleidsinstellingen voor Windows 2000 en Windows Server 2003: De behoeften van specifieke installatie en configuratie, is het raadzaam de volgende beleidsinstellingen op te stellen op de laagste entiteit van het noodzakelijke bereik in de Microsoft Management Console Groepsbeleidsobjecteditor-hiërarchie:
Niet gecodeerd wachtwoord verzenden om verbinding maken met een SMB-servers van derden (deze instelling is voor Windows 2000)
Microsoft-netwerkclient: niet-gecodeerd wachtwoord verzenden SMB-servers van derden (deze instelling is voor Windows Server 2003)
Opmerking In enkele CIFS-servers van derden, zoals de oudere Samba-versies u geen gecodeerde wachtwoorden gebruiken.
De volgende clients zijn niet compatibel met de Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (altijd) instelling:
Apple Computer, Inc., Mac OS X
clients
Microsoft MS-DOS-netwerkclients (bijvoorbeeld
Microsoft LAN Manager)
Microsoft Windows voor Workgroups
clients
Microsoft Windows 95-clients zonder de DS
Client geïnstalleerd
Computers met Microsoft Windows NT 4.0
zonder SP3 of hoger geïnstalleerd
Novell Netware 6 CIFS-clients
SAMBA SMB-clients die geen ondersteuning voor SMB-ondertekening
Opnieuw opstarten vereist
De computer opnieuw opstart of de Server-service opnieuw starten. Typ hiervoor de volgende opdrachten bij de opdrachtprompt. Druk na elke opdracht op Enter.
De Netwerktoegang: anonieme SID-/ naamomzetting toestaan bepaalt of een anonieme gebruiker kan aanvragen
Beveiligingskenmerken identificatie nummer (SID) voor een andere gebruiker.
Riskante configuratie
Inschakelen van de Netwerktoegang: anonieme SID-/ naamomzetting toestaan instelling is een schadelijke configuratieinstelling.
Redenen om deze instelling
Als de Netwerktoegang: anonieme SID-/ naamomzetting toestaan instelling is uitgeschakeld, kunnen oudere besturingssystemen of toepassingen
mogelijk niet communiceren met Windows Server 2003-domeinen. Bijvoorbeeld:
de volgende besturingssystemen, services of toepassingen werken niet:
Windows NT 4.0 gebaseerde RAS
servers
Microsoft SQL Server die worden uitgevoerd op computers met Windows NT 3.x of Windows NT 4.0-computers
Remote Access-Service wordt uitgevoerd op Windows 2000-computers die zich in Windows NT 3.x-domeinen of Windows NT 4.0-domeinen
SQL-Server waarop Windows 2000-computers die zich bevinden in Windows NT 3.x-domeinen of Windows NT 4.0-domeinen
Gebruikers in Windows NT 4.0-brondomein die
machtigingen voor toegang tot bestanden, gedeelde mappen en registerobjecten gebruiker
gebruikersaccounts in accountdomeinen met Windows Server 2003-domein
domeincontrollers
Redenen om deze instelling
Als deze instelling is ingeschakeld, kan een kwaadwillende gebruiker de bekende beheerders-SID te verkrijgen van de echte naam van de ingebouwde Administrator-account gebruiken, zelfs als de account is gewijzigd. Die persoon kan de accountnaam vervolgens gebruiken om een aanval raden van wachtwoorden.
Symbolische naam: N.V.T.
Registerpad: Geen. Het pad is opgegeven in UI-code.
Voorbeelden van compatibiliteitsproblemen
Windows NT 4.0:Computers in Windows NT 4.0 resource domains verschijnt het foutbericht 'Onbekende Account' in ACL-Editor als bronnen, zoals gedeelde mappen, gedeelde bestanden en registerobjecten, zijn beveiligd met beveiligingsprincipals die zich bevinden in accountdomeinen die Windows Server 2003-domeincontrollers bevatten.
Netwerktoegang: geen anonieme inventarisatie van SAM-accounts toestaan
Achtergrond
De Netwerktoegang: geen anonieme inventarisatie van SAM-accounts toestaan bepaalt u welke extra machtigingen worden toegekend voor anonieme verbindingen met de computer. Windows mogen anonieme gebruikers bepaalde activiteiten uitvoeren, zoals de namen van accounts voor workstation en server Security Accounts Manager (SAM) en netwerkshares inventariseren. Bijvoorbeeld kunt een beheerder deze toegang verleent aan gebruikers in een vertrouwd domein dat geen omkeerbare vertrouwensrelatie onderhoudt. Nadat een sessie is gemaakt, mogelijk anonieme gebruikers dezelfde toegang wordt verleend aan iedereen groep op basis van de instelling in de Netwerktoegang: machtigingen voor Iedereen toepassen op anonieme gebruikers instelling of de discretionaire toegangsbeheerlijst (DACL) van het object.
Anonieme verbindingen worden gewoonlijk aangevraagd door eerdere versies van clients (downlevel-clients) tijdens de installatie van de SMB-sessie. In deze gevallen is een netwerktracering dat de SMB-PID (Process ID) is dat de client-redirector zoals 0xFEFF in Windows 2000 of 0xCAFE in Windows NT RPC proberen ook anonieme verbindingen maken.
BelangrijkDeze instelling heeft geen invloed op het domein
domeincontrollers. Op domeincontrollers wordt dit gedrag bepaald door de aanwezigheid van 'NT AUTHORITY\ANONYMOUS LOGON' in "Pre-Windows 2000 compatible Access".
In Windows 2000 een soortgelijke instelling Extra beperkingen voor anonieme verbindingen beheert de
RestrictAnonymous
registerwaarde. De locatie van deze waarde is als volgt
Inschakelen van de Netwerktoegang: geen anonieme inventarisatie van SAM-accounts toestaan instelling is een schadelijke configuratieinstelling van de compatibiliteit. Het uitschakelen van is een schadelijk configuratie-instelling uit een oogpunt van beveiliging.
Redenen om deze instelling
Een onbevoegde gebruiker kan anoniem accountnamen en de gegevens vervolgens gebruiken om naar wachtwoorden te raden of social engineering -aanvallen uit te voeren. Social engineering is jargon dat inhoudt dat mensen tricking verleiden hun
wachtwoorden of andere beveiligingsinformatie.
Redenen om deze instelling
Als deze instelling is ingeschakeld, is het onmogelijk maken van vertrouwensrelaties met Windows NT 4.0-domeinen. Deze instelling zorgt ervoor dat problemen met downlevel-clients (zoals Windows NT 3.51-clients en Windows 95-clients) waartoe het gebruik van bronnen op de server.
SMS Network Discovery worden niet verkrijgen
Systeeminfo en 'Onbekend' worden geschreven de
De eigenschap OperatingSystemNameandVersion.
Windows 95, Windows 98:Windows 95 en Windows 98-clients niet mogelijk hun wachtwoorden te wijzigen.
Windows NT 4.0:Windows NT 4.0-lidcomputers kunnen niet worden geverifieerd.
Windows 95, Windows 98:Computers met Windows 95 en Windows 98 kunnen niet worden geverifieerd door Microsoft-domeincontrollers.
Windows 95, Windows 98:Gebruikers op computers met Windows 95 en Windows 98 mogelijk niet de wachtwoorden voor hun gebruikersaccounts wijzigen.
Netwerktoegang: doen niet anonieme inventarisatie van SAM-accounts en shares toestaan
Achtergrond
De Netwerktoegang: laat geen anonieme inventarisatie van SAM-accounts en shares (ook bekend als RestrictAnonymous) bepaalt of anonieme inventarisatie van beveiligingsaccounts
De SAM-accounts en -shares is toegestaan. Windows mogen anonieme gebruikers
bepaalde activiteiten uitvoeren, zoals het inventariseren van domeinaccounts
(gebruikers, computers en groepen) en netwerkshares. Dit is handig voor
bijvoorbeeld, wanneer een beheerder toegang wil verlenen aan gebruikers in een vertrouwde
domein dat geen omkeerbare vertrouwensrelatie onderhoudt. Als u niet wilt toestaan
anonieme inventarisatie van SAM-accounts en shares, kunt u deze instelling inschakelt.
In Windows 2000 een soortgelijke instelling Extra beperkingen voor anonieme verbindingen beheert de
RestrictAnonymous
registerwaarde. De locatie van deze waarde is als volgt:
Inschakelen van de Netwerktoegang: laat geen anonieme inventarisatie van SAM-accounts en shares instelling is een schadelijke configuratieinstelling.
Redenen om deze instelling
Inschakelen van de Netwerktoegang: laat geen anonieme inventarisatie van SAM-accounts en shares instelling voorkomt de inventarisatie van SAM-accounts en shares door gebruikers
en computers die anonieme accounts gebruiken.
Redenen om deze instelling
Als deze instelling is ingeschakeld, een onbevoegde gebruiker
Kan anoniem accountnamen en de informatie te gebruiken
wachtwoorden te raden of social engineering -aanvallen uitvoeren. Social engineering is jargon dat inhoudt dat mensen tricking verleiden hun
wachtwoord of andere beveiligingsinformatie.
Als deze instelling is ingeschakeld, kan onmogelijk
vertrouwensrelaties met Windows NT 4.0-domeinen maken. Deze instelling veroorzaakt eveneens
problemen met downlevel-clients zoals Windows NT 3.51 en Windows 95-clients
dat zijn bronnen proberen te gebruiken op de server.
Het is onmogelijk om toegang te verlenen aan gebruikers van brondomeinen omdat beheerders in het vertrouwende domein niet kunnen inventariseren van accounts in het andere domein. Gebruikers die anoniem toegang krijgen bestands- en afdrukservers tot kunnen geen lijst van de gedeelde netwerkbronnen op die servers. De gebruikers moeten worden geverifieerd voordat ze lijsten van gedeelde mappen en printers kunnen bekijken.
Windows NT 4.0: Gebruikers hebben geen wachtwoorden wijzigen van Windows NT
4.0-werkstations wanneer RestrictAnonymous is ingeschakeld op domeincontrollers in het domein van de gebruikers. Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
Gebruikers kunnen wachtwoord niet wijzigen bij het aanmelden
Windows NT 4.0:Toevoegen van gebruikers of globale groepen vanuit vertrouwde Windows 2000-domeinen aan lokale Windows NT 4.0-groepen in Gebruikersbeheer, mislukt en het volgende foutbericht weergegeven:
Er zijn momenteel geen aanmeldingsservers
beschikbaar om de aanmeldingsaanvraag te verwerken.
Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
De registerwaarde "RestrictAnonymous" raken de vertrouwensrelatie een Windows 2000-domein
Windows NT 4.0:Windows NT 4.0 gebaseerde computers kunnen geen lid worden van domeinen tijdens setup of via de gebruikersinterface voor domeinlidmaatschap.
Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
Foutbericht: kan de domeincontroller voor dit domein niet vinden
Windows NT 4.0:Een downlevel-vertrouwensrelatie met Windows NT 4.0-brondomeinen mislukt. Wanneer RestrictAnonymous op het vertrouwde domein is ingeschakeld, wordt het volgende foutbericht weergegeven:
Kan niet
domeincontroller vinden voor dit domein.
Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
Kan geen domeincontroller vinden bij een vertrouwensrelatie
Windows NT 4.0:Gebruikers die zich op basis van Windows NT 4.0 Terminal Server-computers aanmelden wordt toegewezen aan de standaardbasismap in plaats van de basismap die in Gebruikersbeheer voor domeinen is gedefinieerd.
Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
Terminal Server-gebruikersprofielen en paden naar basismappen worden genegeerd na toepassing van SP4 of hoger
Windows NT 4.0:Windows NT 4.0-reservedomeincontrollers (BDC's) worden niet de Net Logon-service starten, een lijst met back-upbrowsers opvragen of de SAM-database van Windows 2000 of Windows Server 2003-domeincontrollers in hetzelfde domein synchroniseren.
Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
De Net Logon-service van een Windows NT 4.0 BDC werkt niet in een Windows 2000-domein
Windows 2000:Windows 2000-lidcomputers in Windows NT 4.0-domeinen worden geen printers in externe domeinen weergeven als de instelling geen toegang zonder uitdrukkelijke anonieme machtigingen is ingeschakeld in het lokale beveiligingsbeleid van de client
computer.
Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
Gebruiker niet beheren of weergeven van eigenschappen van printer
Windows 2000:Gebruikers van Windows 2000-domein is geen netwerkprinters toevoegen vanuit Active Directory. ze worden echter wel printers toevoegen nadat zij deze vanuit de boomstructuurweergave.
Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
Outlook-clients kunnen geen algemene adreslijsten weergeven na installatie van Security Rollup Package 1 (SRP1) op een globale-catalogusserver
Windows 2000:Op computers met Windows 2000 is ACL-Editor niet mogelijk voor het toevoegen van gebruikers of globale groepen vanuit vertrouwde Windows NT 4.0-domeinen.
Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
De waarde RestrictAnonymous verbreekt de vertrouwensrelatie in een gemengd domein
ADMT versie 2:Wachtwoordmigratie voor gebruikersaccounts die worden gemigreerd tussen forests met Active Directory Migration Tool (ADMT) versie 2 zal mislukken.
Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
SMB traag wanneer u bestanden van Windows XP naar een Windows 2000-domeincontroller kopieert
SMS:Microsoft Systems Management Server (SMS) Network Discovery worden niet verkrijgen van informatie van het besturingssysteem. Daarom wordt het schrijven 'Onbekend' in de eigenschap OperatingSystemNameandVersion van de SMS DDR-eigenschap van de gegevensrecord discovery (DDR).
Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
Hoe Discovery Data Manager bepaalt wanneer een verzoek om clientconfiguratie genereren
SMS: Wanneer u de Wizard Administrator User voor SMS gebruiken om te bladeren voor gebruikers en groepen, worden geen gebruikers of groepen weergegeven. Daarnaast communiceren geavanceerde clients niet met het Management Point. Anonieme toegang is vereist voor het Management Point.
Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
Geen gebruikers of groepen worden weergegeven in de Wizard Administrator User
SMS: Wanneer u de functie Network Discovery van SMS 2.0 gebruikt en
Remote Client Installation Topology, client, and client operating systems network discovery optie inschakelt op kunnen computers worden gevonden
maar kan niet worden geïnstalleerd.
Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
Resources worden niet herkend als anonieme verbindingen zijn uitgeschakeld
Netwerkbeveiliging: Lan Manager-verificatieniveau
Achtergrond
Verificatie van LAN Manager (LM) is het protocol waarmee Windows-clients voor netwerkbewerkingen, zoals lidmaatschap van domeinen toegang tot netwerkbronnen en verificatie van gebruiker of computer verifiëren. Het LM-verificatieniveau bepaalt welk vraag/antwoord-verificatieprotocol wordt overeengekomen tussen de client en server-computers. Het LM-verificatieniveau bepaalt met name welke verificatieprotocollen die de client probeert te onderhandelen of de server zal accepteren. De waarde die voor LmCompatibilityLevel wordt ingesteld, bepaalt welk vraag/antwoord-verificatieprotocol wordt gebruikt voor netwerkaanmeldingen. Deze waarde is van invloed op het niveau van het verificatieprotocol dat clients gebruiken, het niveau van de sessiebeveiliging waarover wordt onderhandeld en het verificatieniveau geaccepteerd door servers.
Mogelijke instellingen zijn de volgende.
Deze tabel samenvouwenDeze tabel uitklappen
Waarde
Instelling
Beschrijving
0
LM & NTLM-antwoorden verzenden
Clients gebruiken LM- en NTLM-verificatie en gebruiken nooit NTLMv2-sessiebeveiliging. Domeincontrollers accepteren LM-, NTLM- en NTLMv2-verificatie.
1
& LM en NTLM verzenden - gebruik NTLMv2-sessiebeveiliging indien onderhandeld
Clients gebruiken LM- en NTLM-verificatie en gebruiken NTLMv2-sessiebeveiliging als de server ondersteunt. Domeincontrollers accepteren LM-, NTLM- en NTLMv2-verificatie.
2
NTLM-antwoord verzenden
Clients gebruiken alleen NTLM-verificatie en gebruiken NTLMv2-sessiebeveiliging als de server ondersteunt. Domeincontrollers accepteren LM-, NTLM- en NTLMv2-verificatie.
3
Alleen een NTLMv2-antwoord verzenden
Clients gebruiken alleen NTLMv2-verificatie en gebruiken NTLMv2-sessiebeveiliging als de server ondersteunt. Domeincontrollers accepteren LM-, NTLM- en NTLMv2-verificatie.
4
Alleen een NTLMv2-antwoord verzenden / LM weigeren
Clients gebruiken alleen NTLMv2-verificatie en gebruiken NTLMv2-sessiebeveiliging als de server ondersteunt. Domeincontrollers weigeren LM en accepteren alleen NTLM- en NTLMv2-verificatie.
5
Alleen een NTLMv2-antwoord verzenden / LM & NTLM weigeren
Clients gebruiken alleen NTLMv2-verificatie en gebruiken NTLMv2-sessiebeveiliging als de server ondersteunt. Domeincontrollers weigeren LM en NTLM en accepteren alleen NTLMv2-verificatie.
Opmerking In Windows 95, Windows 98 en Windows 98 Tweede editie wordt de Directory Services Client ondertekenen van SMB tijdens de verificatie op Windows Server 2003-servers via NTLM-verificatie. Deze clients gebruiken echter geen SMB-ondertekening wanneer ze met deze servers verifiëren met NTLMv2-verificatie. Bovendien reageren Windows 2000-servers niet op verzoeken van deze clients ondertekenen van SMB.
Controleer het LM-verificatieniveau: Moet u het beleid op de server voor het toestaan van NTLM of moet u NTLMv2 ondersteunen de clientcomputer configureren.
Als u het beleid (5) alleen een NTLMv2-antwoord NTLMv2 LM & NTLM op de doelcomputer waarmee u verbinding wilt maken, moet u de instelling op die computer verlagen of de beveiliging instellen op dezelfde instelling als op de broncomputer van waaruit u verbinding maakt.
Zoek de juiste locatie waar u het LAN manager kunt wijzigen verificatieniveau op de client en de server ingesteld op hetzelfde niveau. Nadat u het beleid dat de instelling de LAN manager authentication level zoeken als u verbinding wilt maken en naar computers waarop eerdere versies van Windows, verlaagt u de waarde naar minstens (1) verzenden LM & NTLM - NTLM versie 2-sessiebeveiliging indien onderhandeld. Een effect van incompatibele instellingen is dat als de server NTLMv2 (waarde 5), maar de client is geconfigureerd voor gebruik van LM en NTLMv1 alleen (waarde 0), wordt de gebruiker die verificatie ervaringen een aanmeldingsfout die een onjuist wachtwoord heeft en dat het aantal onjuist wachtwoord wordt verhoogd. Als accountvergrendeling is geconfigureerd, kan de gebruiker uiteindelijk worden uitgesloten.
Bijvoorbeeld wellicht op de domeincontroller of u moet het beleid van de domeincontroller bekijken.
Zoeken op de domeincontroller
Opmerking U moet de volgende procedure op alle domeincontrollers.
Klik op Start, wijs Programma 's, en klik vervolgens op Systeembeheer.
Onder Lokale beveiligingsinstellingen, vouw Lokaal beleid.
Klik op Beveiligingsopties.
Dubbelklik op Netwerkbeveiliging: LAN manager-verificatieniveau, en klik vervolgens op een waarde in de lijst.
Als actieve instelling en lokale instelling dezelfde zijn, is het beleid op dit niveau gewijzigd. Als de instellingen verschillend zijn, moet u controleren beleid van de domeincontroller om te bepalen of de Netwerkbeveiliging: LAN manager-verificatieniveau instelling er is gedefinieerd. Als het niet daar is gedefinieerd, onderzoekt het beleid van de domeincontroller.
Onderzoekenhet beleid van de domeincontroller
Klik op Start, wijs Programma 's, en klik vervolgens op Systeembeheer.
In de Domeincontroller Groepsbeleid, vouw Beveiligingsinstellingen, en klik op Lokaal beleid.
Klik op Beveiligingsopties.
Dubbelklik op Netwerkbeveiliging: LAN manager-verificatieniveau, en klik vervolgens op een waarde in de lijst.
Opmerking
Mogelijk moet u beleidsinstellingen controleren die zijn gekoppeld aan het niveau van de site, domein of organisatie-eenheid (OU) niveau om te bepalen waar u het LAN manager-verificatieniveau moet configureren.
Als u een Groepsbeleid-instelling als het standaarddomeinbeleid implementeert, wordt het beleid toegepast op alle computers in het domein.
Als u een Groepsbeleid-instelling als de standaard de domeincontroller implementeert, wordt het beleid geldt alleen voor de servers in de organisatie-eenheid van de domeincontroller.
Het is verstandig om het LAN manager-verificatieniveau instellen in de laagste entiteit van noodzakelijke bereik in de hiërarchie van de toepassing beleid.
Vernieuw het beleid nadat u wijzigingen aanbrengt. (Als de wijziging wordt aangebracht op het niveau van lokale beveiligingsinstellingen, de wijziging is onmiddellijk. Echter, moet u opnieuw de clients voordat u gaat testen.)
Standaard worden instellingen voor Groepsbeleid bijgewerkt op domeincontrollers elke vijf minuten. Als onmiddellijk het bijwerken van de beleidsinstellingen voor Windows 2000 of hoger, gebruikt u de opdracht gpupdate .
De opdracht gpupdate/force werkt lokale groepsbeleidsinstellingen en groepsbeleidsinstellingen die zijn gebaseerd op Active Directory-service, inclusief de beveiligingsinstellingen. Deze opdracht vervangt de nu verouderde refreshpolicy optie voor de opdracht secedit .
De opdracht gpupdate gebruikt de volgende syntaxis: gpupdate [/ target: {computer|gebruiker}] [/ Force] [/ wait:waarde] [/ Logoff] [/ Boot]
De nieuwe Group Policy Object (GPO) door de opdracht gpupdate om alle beleidsinstellingen handmatig opnieuw toepassen. Hiertoe typt u de volgende opdracht bij de opdrachtprompt en druk op Enter:
GPUpdate/Force
Bekijk het logboek voor toepassingsgebeurtenissen om te controleren of de beleidsinstelling met succes is toegepast.
Op Windows XP en Windows Server 2003, kunt u de module Resulterende verzameling beleidsregels op de actieve instelling bekijken. Hiertoe klikt u opStart, klik op Uitvoeren, typ RSoP.msc, en klik vervolgens op OK.
Als het probleem zich blijft voordoen nadat u de wijziging in het beleid, de Windows-server opnieuw en controleer of het probleem is opgelost.
Opmerking Als u meerdere Windows 2000-domeincontrollers, Windows Server 2003-domeincontrollers of beide, is het mogelijk voor het repliceren van Active Directory om ervoor te zorgen dat deze domeincontrollers onmiddellijk de bijgewerkte wijzigingen hebben.
De instelling lijkt ook worden ingesteld op de laagste instelling in het lokale beveiligingsbeleid. Als u de instelling van een beveiligingsdatabase afdwingt, kunt u het LAN manager-verificatieniveau ook instellen in het register door het bewerken van het item LmCompatibilityLevel in de volgende registersubsleutel:
Windows Server 2003 heeft een nieuwe standaardinstelling alleen NTLMv2 wordt gebruikt. Standaard Windows Server 2003 en Windows 2000 Server SP3-domeincontrollers hebt ingeschakeld de ' Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (altijd) ' beleid. Deze instelling moet de SMB-server SMB-pakketondertekening uitvoeren.
Windows Server 2003 zijn gewijzigd omdat domeincontrollers, bestandsservers, infrastructuur voor netwerkservers en webservers in elke organisatie weer andere instellingen voor een optimale beveiliging nodig.
Als u NTLMv2-verificatie implementeren in uw netwerk, moet u ervoor zorgen dat alle computers in het domein zijn ingesteld op het gebruik van dit verificatieniveau. Als u Active Directory Client Extensions voor Windows 95 of Windows 98 en Windows NT 4.0 toepast, gebruiken de clientextensies de verbeterde verificatiefuncties die beschikbaar in NTLMv2 zijn. Omdat de clientcomputers waarop een van de volgende besturingssystemen worden niet beïnvloed door de Windows 2000-groepsbeleidobjecten, moet u wellicht deze clients handmatig configureren:
Microsoft Windows NT 4.0
Microsoft Windows Millennium Edition
Microsoft Windows 98
Microsoft Windows 95
Opmerking Als u inschakelt de Netwerkbeveiliging: hashwaarde van LAN manager niet bewaren bij volgende wachtwoordwijziging inschakelt of de NoLMHash registersleutel, Windows 95 en Windows 98-clients die geen van de Directory servicesclient is geïnstalleerd aanmelden niet bij het domein na een wachtwoordwijziging.
Veel leveranciers CIFS-servers, zoals Novell Netware 6, ondersteunen geen NTLMv2 en gebruiken alleen NTLM. Daarom niveaus hoger dan 2 verbindingen niet toegestaan.
Klik voor meer informatie over het handmatig configureren van het LAN manager-verificatieniveau op de volgende artikelnummers om de artikelen in de Microsoft Knowledge Base:
Beperkende instellingen die wachtwoorden verzenden
leesbare tekst en die weigeren NTLMv2-onderhandelingen
Beperkende instellingen die voorkomen niet compatibel dat
clients of domeincontrollers uit het onderhandelen over een gemeenschappelijk verificatieprotocol
NTLMv2-verificatie op computers die lid
en domeincontrollers waarop versies van Windows NT 4.0 wordt uitgevoerd
eerder dan Service Pack 4 (SP4)
NTLMv2-verificatie in Windows 95
clients of Windows 98-clients waarop geen Windows-map
Services-Client is geïnstalleerd.
Als u de NTLMv2-sessiebeveiliging vereisen het selectievakje in de Microsoft Management Console Groepsbeleid-Editor-module op een Windows Server 2003 of Windows 2000 Service Pack 3 gebaseerde computer en verlaagt het LAN manager-verificatieniveau op 0, de twee instellingen in conflict en wordt het volgende foutbericht in het bestand Secpol.msc of het bestand GPEdit.msc:
Windows kan de database met lokaal beleid niet openen. Een onbekende fout opgetreden bij het openen van de database.
Zie de Windows 2000 of Windows Server 2003 Help-bestanden voor meer informatie over Beveiligingsconfiguratie en -analyse-hulpmiddel.
Klik op de volgende artikelnummers om de artikelen in de Microsoft Knowledge Base voor meer informatie over de analyse van beveiligingsniveaus in Windows 2000 en Windows Server 2003:
Windows Server 2003:De Windows Server 2003 NTLMv2 NTLM-antwoord verzenden instellen is standaard ingeschakeld. Windows Server 2003 daarom ontvangt het foutbericht 'Toegang geweigerd' na de installatie wanneer u een verbinding op basis van Windows NT 4.0-cluster of met LanManager V2.1-servers, zoals OS/2-Lanserver. Dit probleem treedt ook op als u vanaf een eerdere versie client verbinding met een server met Windows Server 2003.
U installeert Windows 2000 Security Rollup Package 1 (SRP1).SRP1 vereist NTLM versie 2 (NTLMv2). Dit updatepakket is uitgegeven na de release van Windows 2000 Service Pack 2 (SP2). Klik voor meer informatie over SRP1 op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base:
Windows 2000 Security Rollup Package 1 januari 2002
Windows 7 en Windows Server 2008 R2: veel leveranciers CIFS-servers, zoals Novell Netware 6- of Linux-gebaseerde Samba servers, ondersteunen geen NTLMv2 en gebruiken alleen NTLM. Daarom niveaus hoger dan "2" verbindingen niet toegestaan. De standaardwaarde voor LmCompatibilityLevel is nu in deze versie van het besturingssysteem gewijzigd in "3". Dus wanneer u Windows bijwerkt, deze derde partij filers werkt niet.
Microsoft Outlook-clients kunnen worden gevraagd om referenties, hoewel ze al zijn aangemeld bij het domein. Wanneer gebruikers hun referenties opgeven, wordt het volgende foutbericht: Windows 7 en Windows Server 2008 R2
De aanmeldingsgegevens zijn onjuist. Controleer of uw gebruikersnaam en domein correct zijn en typ het wachtwoord opnieuw.
Wanneer u Outlook start, u gevraagd uw referenties zelfs als de instelling Netwerkbeveiliging bij aanmelden is ingesteld op doorvoer of op wachtwoordverificatie. Nadat u de juiste referenties typt, wordt het volgende foutbericht weergegeven:
De aanmeldingsgegevens zijn onjuist.
Een netwerkcontrole-trace kan aangeven dat de globale catalogus een remote procedure call (RPC)-fout met status 0x5 uitgegeven. Status 0x5 betekent 'Toegang geweigerd'.
Windows 2000:Netwerkcontrole kan de volgende fouten weergeven in de NetBIOS via TCP/IP (NetBT) server message block (SMB)-sessie:
SMB R Search Directory Dos error, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) ongeldige gebruikers-id
Windows 2000: Als een Windows 2000-domein met NTLMv2 niveau 2 of hoger vertrouwd wordt
door een domein in Windows NT 4.0, Windows 2000-lidcomputers in de bron
domein kan verificatiefouten optreden.
Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
Verificatieproblemen in Windows 2000 met NTLM 2-niveaus hoger dan 2 in een Windows NT 4.0-domein
Windows 2000 en Windows XP: Windows 2000 en Windows XP wordt de optie LAN Manager Authentication Level lokaal beveiligingsbeleid standaard ingesteld op 0. De instelling 0 betekent "verzenden LM en NTLM-antwoorden."
Opmerking Windows NT 4.0 gebaseerde clusters moeten LM gebruiken voor beheer.
Windows 2000: Windows 2000-clustering wordt niet geverifieerd samengesteld knooppunt als
beide knooppunten deel uitmaken van een Windows NT 4.0 Service Pack 6a (SP6a) domein.
Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
Verificatieproblemen in Windows 2000 met NTLM 2-niveaus hoger dan 2 in een Windows NT 4.0-domein
Het hulpprogramma IIS Lockdown (HiSecWeb) wordt de waarde LMCompatibilityLevel op 5 en de waarde RestrictAnonymous op 2.
Services for Macintosh
User Authentication Module (UAM): De Microsoft UAM (User Authentication Module) biedt een methode voor de wachtwoorden die u gebruikt voor aanmelding bij Windows AFP (AppleTalk Filing Protocol)-servers.
De Apple User Authentication Module (UAM) vindt u slechts minimale of geen codering. Dus kan uw wachtwoord gemakkelijk worden onderschept op het LAN of het Internet.
Hoewel de UAM niet verplicht is, biedt het gecodeerde verificatie op Windows 2000-Servers waarop Services For Macintosh wordt uitgevoerd.
Deze versie bevat ondersteuning voor NTLMv2 128-bits gecodeerde verificatie en een MacOS X 10.1-compatibele versie.
De Windows Server 2003 Services for Macintosh-server staat standaard alleen Microsoft-verificatie.
Klik op de volgende artikelnummers in de Microsoft Knowledge Base voor meer informatie:
Mac OS X-gebruikers kunnen geen gedeelde Macintosh-mappen op een server met Windows Server 2003 openen
Windows Server 2008, Windows Server 2003, Windows XP en Windows 2000: Als u de waarde LMCompatibilityLevel 0 of 1 en configureer vervolgens de waarde van NoLMHash 1, toepassingen en onderdelen mogelijk toegang geweigerd via NTLM. Dit probleem treedt op omdat de computer is geconfigureerd, schakelen LM maar niet opgeslagen LM-wachtwoorden gebruiken.
Als u de waarde van NoLMHash 1 configureert, moet u de waarde van LMCompatibilityLevel 2 of hoger configureren.
Netwerkbeveiliging: vereisten voor handtekening van LDAP-client
Achtergrond
De Netwerkbeveiliging: vereisten voor handtekening van LDAP-client bepaalt het niveau van gegevensondertekening dat is aangevraagd op
namens clients die LDAP Lightweight Directory Access Protocol (LDAP) BIND
aanvragen als volgt:
Geen: de LDAP BIND-aanvraag wordt gegeven met de beller opgegeven
opties.
Onderhandelen over handtekening: als het Secure Sockets Layer/Transport Layer Security (SSL/TLS)
niet is gestart, wordt het LDAP BIND-verzoek gestart met de LDAP-gegevens
bovendien de beller opgegeven opties ondertekening optie ingesteld. Als SSL/TLS
is gestart, wordt het LDAP BIND-verzoek gestart met aanroeper zijn opgegeven
opties.
Handtekening vereisen: dit is hetzelfde als onderhandelen over handtekening. Echter, als de LDAP-server van tussenliggende saslBindInProgress
antwoord betekent niet dat ondertekening van LDAP-verkeer is vereist, wordt de beller
gemeld dat het LDAP BIND-aanvraag mislukt.
Riskante configuratie
Inschakelen van de Netwerkbeveiliging: vereisten voor handtekening van LDAP-client instelling is een schadelijke configuratieinstelling. Als u de server LDAP-handtekeningen vereist, moet u ook LDAP-ondertekening op de client te configureren. De client gebruik LDAP-handtekeningen niet configureren voor voorkomt communicatie met de server. Hierdoor gebruikersverificatie, Groepsbeleid instellingen, aanmeldingsscripts en andere functies mislukken.
Redenen om deze instelling te wijzigen
Niet-ondertekend netwerkverkeer is gevoeliger voor man-in-the-middle-aanvallen waarbij een hacker pakketten onderschept tussen de client en de servers aanpast en ze doorstuurt naar de server. Wanneer dit op een LDAP-server plaatsvindt, kan een aanvaller een server reageert op basis van onjuiste query's van de LDAP-client. U kunt dit risico in een bedrijfsnetwerk verminderen door sterke fysieke beveiligingsmaatregelen ter bescherming van de netwerkinfrastructuur implementeren. Bovendien kunt u alle soorten man-in-the-middle-aanvallen voorkomen door digitale handtekeningen op alle pakketten vereisen middels IPSec-verificatieheaders.
Gebeurtenislogboek: Maximale grootte van het beveiligingslogboek
Achtergrond
De gebeurtenislogboek: maximale grootte van het logboekbestand beveiligingsinstelling geeft de maximale grootte van het beveiligingslogboek
logboek. Dit logboek heeft een maximale grootte van 4 GB. Als u deze instelling opzoeken, vouw Windows-instellingen, en klik op Beveiliging
Instellingen.
Riskante configuraties
Schadelijke configuratie-instellingen zijn:
De grootte van het beveiligingslogboek en de beveiliging beperken
Bewaarmethode melden wanneer de controle: systeem onmiddellijk if unable to log security audits afsluiten instelling is ingeschakeld. Zie de ' controle: systeem onmiddellijk if unable to log security audits afsluiten "sectie van dit artikel voor meer informatie.
Zodat de grootte van het beveiligingslogboek beperken dat
gebeurtenissen worden overschreven.
Redenen om deze instelling te verhogen
Bedrijfsmatige vereisten en beveiligingsaspecten kunnen dicteren die u
Verhoog de grootte van het beveiligingslogboek meer verwerken of
beveiligingslogboeken behouden voor een langere periode.
Redenen om deze instelling te verlagen
Logboeken zijn geheugen toegewezen bestanden. De maximale
grootte van een gebeurtenislogboek wordt beperkt door de hoeveelheid fysiek geheugen in de
lokale computer en door het virtuele geheugen die beschikbaar is voor het gebeurtenislogboek
proces. Aanmelden vergroten dan de hoeveelheid virtueel geheugen die is
beschikbare logboeken wordt niet vergroot het aantal logitems zijn
gehandhaafd.
Voorbeelden van compatibiliteitsproblemen
Windows 2000:Computers waarop versies van Windows 2000 wordt uitgevoerd
eerder dan Service Pack 4 (SP4) niet meer in het logboek voor gebeurtenissen
de grootte is bereikt die is opgegeven met de instelling maximale grootte van beveiligingslogboek in Logboeken als de optie niet overschrijven (logboek handmatig wissen) gebeurtenissen is ingeschakeld.
Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
Het gebeurtenislogboek stopt met het vastleggen van gebeurtenissen voordat de maximale logboekgrootte is bereikt
Gebeurtenislogboek: Beveiligingslogboek bewaren
Achtergrond
De gebeurtenislogboek: beveiligingslogboek bewaren bepaalt de "verpakking"-methode voor de
beveiligingslogboek. Als u deze instelling opzoeken, vouw Windows-instellingen,
en klik op Beveiligingsinstellingen.
Riskante configuraties
Schadelijke configuratie-instellingen zijn:
Niet behouden geregistreerde alle beveiligingsgebeurtenissen verwijderen voordat
ze worden overschreven
De maximale grootte van het beveiligingslogboek te klein instellen zodat beveiligingsgebeurtenissen configureren
overschreven
De grootte van het beveiligingslogboek en behoud beperken
terwijl de controle: systeem onmiddellijk if unable to log security audits afsluiten is ingeschakeld
Redenen om deze instelling
Schakel deze instelling alleen als u de Gebeurtenissen op dagen overschrijven Bewaarmethode. Als u een gebeurtenis correlatie systeem opgevraagd voor gebeurtenissen, zorg ervoor dat het aantal dagen ten minste driemaal de poll frequentie. Hiervoor mislukte controlecycli toestaan.
Netwerktoegang: de permissies voor iedereen op anonieme gebruikers toepassen
Achtergrond
Standaard de Netwerktoegang: machtigingen voor Iedereen toepassen op anonieme gebruikers is ingesteld op Niet gedefinieerd op Windows Server 2003. Standaard Windows Server 2003 bevat geen anonieme toegang in iedereen groep.
[REG_DWORD] = 0x0 verbreekt de vertrouwensrelatie tussen Windows Server 2003 en Windows NT 4.0 als Windows Server 2003-domein de domeinaccount en het Windows NT 4.0-domein het brondomein is. Dit betekent dat het accountdomein op Windows NT 4.0 wordt vertrouwd en het brondomein vertrouwen aan de Windows Server 2003. Dit probleem treedt op omdat tijdens het starten van de vertrouwensrelatie na de eerste anonieme verbinding ACL zou met de groep Iedereen die de anonieme SID op Windows NT 4.0 bevat.
Redenen om deze instelling te wijzigen
De waarde moet worden ingesteld op 0x1 of met het GPO op de organisatorische eenheid van de domeincontroller worden ingesteld: Netwerktoegang: machtigingen voor Iedereen toepassen op anonieme gebruikers - ingeschakeld de gemaakte vertrouwensrelatie mogelijk te maken.
Opmerking Meeste andere beveiligingsinstellingen lopen op in waarde in plaats van tot 0x0 in hun status. Veiliger zou zijn om het register op de emulator van de primaire domein-controller in plaats van op alle domeincontrollers wijzigen. Als de primaire emulator domeincontroller om welke reden wordt verplaatst, moet u het register op de nieuwe server bijgewerkt.
Opnieuw opstarten is vereist nadat deze waarde is ingesteld.
Sessiebeveiliging bepaalt de minimale beveiligingsstandaards voor client- en serversessies. Het is verstandig om te controleren of de volgende beveiligingsbeleidsinstellingen in de Microsoft Management Console Groepsbeleid-Editor:
Netwerkbeveiliging: Minimale sessiebeveiliging voor op NTLM SSP gebaseerde (inclusief beveiligde RPC) servers
Netwerkbeveiliging: Minimale sessiebeveiliging voor op NTLM SSP gebaseerde (inclusief beveiligde RPC) clients
De opties voor deze instellingen zijn als volgt:
Integriteit van berichten vereisen
Geheimhouding van berichten vereisen
Sessiebeveiliging vereisen sessiebeveiliging
128-Bits codering vereisen
De standaardinstelling is geen vereisten.
Dit beleid bepaalt de minimale beveiligingsstandaards voor een communicatiesessie tussen toepassingen-sessie op een server voor een client.
In het verleden heeft Windows NT de volgende twee varianten van vraag/antwoord-verificatie voor netwerkaanmeldingen ondersteund:
LM-vraag/antwoord
Vraag/antwoord van NTLM versie 1
LM staat interoperabiliteit toe met de geïnstalleerde clients en servers. NTLM biedt verbeterde beveiliging voor verbindingen tussen clients en servers.
De corresponderende registersleutels zijn als volgt:
Tijdsynchronisatie is mislukt. De tijd is uitgeschakeld op een computer meer dan 30 minuten. Zorg ervoor dat de klok van de clientcomputer is gesynchroniseerd met de klok van de domeincontroller.
Wij raden aan dat u Service Pack 6a installeert (SP6a) op Windows NT 4.0-clients die in een Windows Server 2003-domein samenwerken. Clients op basis van Windows 98 Tweede editie, Windows 98-clients en clients met Windows 95-computers moeten de Directory Services-Client uitvoeren om NTLMv2 te worden uitgevoerd. Als op basis van Windows NT 4.0-clients geen Windows NT 4.0 SP6 geïnstalleerd of als clients op basis van Windows 95, Windows 98-clients en Windows 98TE clients doen niet de Directory Services-Client geïnstalleerd, in de standaardbeleidsinstelling van de organisatie-eenheid van de domeincontroller ondertekening van SMB uitschakelen en dit beleid vervolgens koppelen aan alle organisatorische eenheden die domeincontrollers verzorgen.
De Directory Services Client voor Windows 98 Tweede editie, Windows 98 en Windows 95 wordt uitgevoerd SMB-ondertekening met Windows 2003-servers onder NTLM-verificatie, maar niet onder NTLMv2-verificatie. Windows 2000-servers wordt bovendien niet reageren op aanvragen voor SMB-ondertekening van deze clients.
Hoewel we niet wordt aangeraden, kunt u voorkomen dat SMB-ondertekening verplicht is op alle domeincontrollers met Windows Server 2003 in een domein. Als u deze beveiligingsinstelling configureren, als volgt:
Open de Standaarddomeincontroller beleid.
Open de map Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Lokaal Beleid\beveiligingsopties .
Klik op de Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (altijd) instelling en klik op uitgeschakeld.
Belangrijk Deze sectie, methode of taak bevat stappen voor het wijzigen van het register. Echter, kunnen ernstige problemen optreden als u het register onjuist bewerkt. Zorg ervoor dat u deze zorgvuldig stappen. Reservekopie van het register voordat u het wijzigt voor extra bescherming. Vervolgens kunt u het register herstellen als er een probleem optreedt. Voor meer informatie over de back-up en terugzetten van het register, klikt u op het volgende artikel in de Microsoft Knowledge Base:
In de Waardegegevens in het vak 0, en klik vervolgens op OK.
Sluit Register-Editor.
Start de computer opnieuw op of stop en start de Server-service opnieuw. Hiertoe typt u de volgende opdrachten bij de opdrachtprompt en druk na elke opdracht op Enter: net stop server net start server
Opmerking De corresponderende sleutel op de clientcomputer is in de volgende registersubsleutel:
Artikel ID: 823659 - Laatste beoordeling: vrijdag 19 april 2013 - Wijziging: 23.0
De informatie in dit artikel is van toepassing op:
Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise x64 Edition
Microsoft Windows XP Professional
Microsoft Windows® 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Professional Edition
Microsoft Windows NT Server 4.0 Standard Edition
Microsoft Windows NT Workstation 4.0 Developer Edition
Microsoft Windows 98 Standard Edition
Microsoft Windows 95
Trefwoorden:
kbinfo kbmt KB823659 KbMtnl
Automatische vertaling
BELANGRIJK: Dit artikel is vertaald door middel van automatische vertalingssoftware van Microsoft en is mogelijk nabewerkt door de Microsoft Community via CTF-technologie (Community Translation Framework) of door een menselijke vertaler. Microsoft biedt zowel automatisch vertaalde, door mensen vertaalde en door de community nabewerkte artikelen aan, zodat er in meerdere talen toegang is tot alle artikelen in onze Knowledge Base. Een vertaald of bewerkt artikel kan fouten bevatten in vocabulaire, syntaxis of grammatica.. Microsoft is niet verantwoordelijk voor eventuele onjuistheden, fouten of schade ten gevolge van een foute vertaling van de inhoud van een bericht of het gebruik van deze vertaalde berichten door onze klanten.
De Engelstalige versie van dit artikel is de volgende: 823659
Dank u! Uw feedback wordt gebruikt om ons te helpen onze inhoud voor ondersteuning te verbeteren. Bezoek de Startpagina voor Hulp en ondersteuning voor meer assistentieopties.
Naar boven
