Klient-, tjeneste- og programinkompatibilitet som kan oppstå når du endrer sikkerhetsinnstillinger og tilordninger av brukerrettigheter

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 823659 - Vis produkter som denne artikkelen gjelder for.
Vis alt | Skjul alt

På denne siden

Sammendrag

Denne artikkelen beskriver inkompatibilitetsproblemer som kan oppstå på klientdatamaskiner som kjører Microsoft Windows 95, Microsoft Windows 98, Microsoft Windows NT 4.0, Microsoft Windows 2000, Microsoft Windows XP Professional eller Microsoft Windows Server 2003 når du endrer bestemte sikkerhetsinnstillinger og tilordninger av brukerrettigheter i Windows NT 4.0-, Windows 2000- og Windows Server 2003-domener.

Ved å konfigurere disse innstillingene og tilordningene i lokale policyer og i gruppepolicyer kan du øke sikkerheten på domenekontrollere og medlemsdatamaskiner. Ulempen med økt sikkerhet er at det kan føre til inkompatibilitet med klienter, tjenester og programmer.

For å bli mer bevisst på feilkonfigurerte sikkerhetsinnstillinger kan du bruke redigeringsprogrammet for gruppepolicyobjekt til å endre sikkerhetsinnstillingene. Når du bruker redigeringsprogrammet for gruppepolicyobjekt, forbedres tilordninger av brukerrettigheter på følgende operativsystemer:
  • Microsoft Windows XP Professional Service Pack 2 (SP2)
  • Microsoft Windows Server 2003 Service Pack 1 (SP1)
Forbedringene omfatter en dialogboks som inneholder en kobling til denne artikkelen som vises hver gang du endrer en sikkerhetsinnstilling eller en tilordning av brukerrettigheter til en innstilling som gir redusert kompatibilitet og som er mer restriktiv. Hvis du endrer den samme sikkerhetsinnstillingen eller tilordningen av brukerrettigheter direkte ved hjelp av registret eller ved hjelp av sikkerhetsmaler, gir det samme virkning som å endre innstillingen i redigeringsprogrammet for gruppepolicyobjekt, men dialogboksen som inneholder koblingen til denne artikkelen, vises ikke.

Denne artikkelen inneholder eksempler på klienter, programmer og operasjoner som påvirkes av bestemte sikkerhetsinnstillinger eller tilordninger av brukerrettigheter. Eksemplene dekker imidlertid ikke alle Microsoft-operativsystemer, tredjeparts operativsystemer eller programversjoner som påvirkes. Ikke alle sikkerhetsinnstillinger og tilordninger av brukerrettigheter er tatt med i denne artikkelen.

Microsoft anbefaler at du vurderer kompatibiliteten for alle sikkerhetsrelaterte konfigurasjonsendringer i en testskog før du tar dem i bruk i et produksjonsmiljø. Testskogen må gjenspeile produksjonsskogen på følgende måter:
  • Operativsystemversjoner for klient og server, klient- og serverprogrammer, oppdateringspakkeversjoner, hurtigreparasjoner, skjemaendringer, sikkerhetsgrupper, gruppemedlemskap, tillatelser til objekter i filsystemet, delte mapper, registret, katalogtjenesten Active Directory, innstillinger for lokale policyer og gruppepolicyer samt antall, type og plassering av objekter
  • Administrative oppgaver som utføres, administrative verktøy som brukes og operativsystemer som brukes til å utføre administrative oppgaver
  • Operasjoner som utføres, inkludert påloggingsgodkjenning for datamaskiner og brukere, passordtilbakestillinger av brukere, datamaskiner og administratorer, søk, tilordning av tillatelser for filsystemet, delte mapper, registret og Active Directory-ressurser ved hjelp av redigeringsprogrammet for adgangskontroll (ACL) på alle klientoperativsystemer i alle konto- eller ressursdomener fra alle klientoperativsystemer fra alle konto- eller ressursdomener samt utskrift fra kontoer med og uten administrative rettigheter

Windows Server 2003 SP1

Advarsler i Gpedit.msc

For å gjøre kunder oppmerksomme på at de er i ferd med å endre brukerrettigheter eller sikkerhetsalternativer som kan ha en negativ effekt på nettverket, er det lagt til to advarselsmekanismer i Gpedit.msc. Hvis administratorer redigerer brukerrettigheter som kan ha en negativ innvirkning på hele organisasjonen, vil de se et nytt ikon som ser ut som et ytelsessymbol. De vil også få en feilmelding som har en kobling til Microsoft Knowledge Base-artikkel 823659. Teksten i denne meldingen ligner på denne:
Endring av denne innstillingen kan påvirke klient-, tjeneste- og programkompatibiliteten. Hvis du vil ha mer informasjon, kan du se <brukerrettighet eller sikkerhetsalternativ som endres> (Q823659)
Hvis du har kommet til denne artikkelen fra en kobling i Gpedit.msc, må du passe på at du leser og forstår forklaringen som er gitt, og den mulige effekten av å endre denne innstillingen. Nedenfor ser du en liste over brukerrettigheter som inneholder den nye varselsteksten:
  • Koble til denne datamaskinen fra nettverket
  • Tillat å logge på lokalt
  • Hopp over kontroll av traversering
  • Klarer datamaskiner og brukere for delegering
Nedenfor ser du en liste over sikkerhetsalternativer som genererer advarselen og et popup-vindu:
  • Domenemedlem: Krypter digitalt eller signer sikre kanaldata (alltid)
  • Domenemedlem: Krev sterk øktsnøkkel (Windows 2000 eller senere)
  • Domenekontroller: Krav for signering på LDAP-server
  • Microsofts nettverksserver: Signer kommunikasjon digitalt (alltid)
  • Nettverkstilgang: Tillat anonym SID/navneoversetting
  • Nettverkstilgang: Ikke tillat anonym opplisting av SAM-kontoer og -ressurser
  • Nettverkssikkerhet: LAN Manager-godkjenningsnivå
  • Overvåk: Avslutt system umiddelbart hvis sikkerhetslogger ikke kan overvåkes
  • Nettverkstilgang: Krav til signering for LDAP-klient

Mer informasjon

Delene nedenfor beskriver kompatibilitetsproblemer som kan oppstå når du endrer bestemte innstillinger i Windows NT 4.0-, Windows 2000- og Windows Server 2003-domener.

Brukerrettigheter

  1. Koble til denne datamaskinen fra nettverket
    1. Bakgrunn

      For å kunne kommunisere med eksterne Windows-datamaskiner kreves brukerrettigheten Koble til denne datamaskinen fra nettverket. Eksempler på slike nettverksoperasjoner omfatter replikeringen av Active Directory mellom domenekontrollere i et vanlig domene eller i en skog, godkjenningsforespørsler til domenekontrollere fra brukere og datamaskiner og tilgang til delte mapper, skrivere og andre systemtjenester som er plassert på eksterne datamaskiner i nettverket.

      Bruker-, datamaskin- og tjenestekontoer kan miste eller få brukerrettigheten Koble til denne datamaskinen fra nettverket ved at de eksplisitt legges til i eller fjernes fra en sikkerhetsgruppe som er tildelt denne brukerrettigheten. En bruker- eller datamaskinkonto kan bli lagt til eksplisitt i en tilpasset eller innebygd sikkerhetsgruppe av en administrator, eller bli lagt til implisitt av operativsystemet i en beregnet sikkerhetsgruppe, for eksempel Domenebrukere, Godkjente brukere eller Domenekontrollere i organisasjonen.

      Bruker- og datamaskinkontoer blir som standard tildelt brukerrettigheten Koble til denne datamaskinen fra nettverket når beregnede grupper som Alle eller Godkjente brukere og ? for domenekontrollere ? gruppen Domenekontrollere i organisasjonen er definert i gruppepolicyobjektet (GPO) som er standard for domenekontrollerne.
    2. Risikofylte konfigurasjoner

      Følgende er skadelige konfigurasjonsinnstillinger:
      • Fjerning av sikkerhetsgruppen Domenekontrollere i organisasjonen fra denne brukerrettigheten
      • Fjerning av gruppen Godkjente brukere eller en eksplisitt gruppe som tillater bruker-, datamaskin- og tjenestekontoer å koble til datamaskiner over nettverket
      • Fjerning av alle brukere og datamaskiner fra denne brukerrettigheten
    3. Grunner til å gi denne brukerrettigheten
      • Gruppen Domenekontrollere i organisasjonen må ha brukerettigheten Koble til denne datamaskinen fra nettverket hvis det skal utføres Active Directory-replikering mellom domenekontrollere i samme skog.
      • Denne brukerrettigheten gjør det mulig for brukere og datamaskiner å få tilgang til delte filer, skrivere og systemtjenester, inkludert Active Directory.
      • Denne brukerrettigheten kreves hvis brukere trenger tilgang til e-post med tidligere versjoner av Microsoft Outlook Web Access (OWA).
    4. Grunner til å fjerne denne brukerrettigheten
      • Brukere som kan koble datamaskinene sine til nettverket, kan bruke ressurser på eksterne datamaskiner som de har tillatelser til. Denne brukerrettigheten kreves for eksempel for at en bruker skal kunne koble seg til delte skrivere og mapper. Hvis denne brukerrettigheten gis til gruppen Alle, og hvis både delingstillatelser og NTFS-filsystemtillatelser for noen delte mapper er konfigurert slik at den samme gruppen har lesetilgang, kan alle vise filene i disse delte mappene. Dette er imidlertid en lite sannsynlig situasjon for nylige installasjoner av Windows Server 2003, fordi standardtillatelsene for deling og NTFS i Windows Server 2003 ikke omfatter gruppen Alle. For systemer som er oppgradert fra Microsoft Windows NT 4.0 eller Windows 2000, kan dette sikkerhetsproblemet utgjøre en større risiko, fordi delings- og filsystemtillatelsene som er standard for disse operativsystemene, ikke er like restriktive som standardtillatelsene i Windows Server 2003.
      • Det finnes ingen gode grunner til å fjerne gruppen Domenekontrollere i organisasjonen fra denne brukerrettigheten.
      • Gruppen Alle fjernes som regel til fordel for gruppen Godkjente brukere. Hvis gruppen Alle fjernes, må gruppen Godkjente brukere gis denne brukerrettigheten.
      • Windows NT 4.0-domener som oppgraderes til Windows 2000, gir ikke gruppene Alle, Godkjente brukere og Domenekontrollere i organisasjonen eksplisitt brukerrettigheten Koble til denne datamaskinen fra nettverket. Hvis du fjerner gruppen Alle fra Windows NT 4.0-domenepolicyen, vil derfor Active Directory-replikering mislykkes, og du vil få feilmeldingen Ingen tilgang etter at du har oppgradert til Windows 2000. Winnt32.exe i Windows Server 2003 unngår denne feilkonfigurasjonen ved å gi gruppen Domenekontrollere i organisasjonen denne brukerrettigheten når du oppgraderer primære Windows NT 4.0-domenekontrollere (PDC). Gi gruppen Domenekontrollere i organisasjonen denne brukerrettigheten hvis den ikke er i redigeringsprogrammet for gruppepolicyobjekt.
    5. Eksempler på kompatibilitetsproblemer
      • Windows 2000 og Windows Server 2003: Replikering av Active Directory-skjemaer, konfigurasjoner, domener, globale kataloger eller programpartisjoner mislykkes med feil av typen Ingen tilgang som rapporteres av overvåkingsverktøy som REPLMON og REPADMIN eller replikeringshendelser i hendelsesloggen.
      • Alle Microsoft-nettverksoperativsystemer: Brukerkontogodkjenning fra eksterne nettverksklientdatamaskiner mislykkes med mindre brukeren eller en sikkerhetsgruppe som brukeren er medlem av, er gitt denne brukerrettigheten.
      • Alle Microsoft-nettverksoperativsystemer: Brukerkontogodkjenning fra eksterne nettverksklienter mislykkes med mindre kontoen eller en sikkerhetsgruppe som kontoen er medlem av, er gitt denne brukerrettigheten. Dette scenariet gjelder bruker-, datamaskin- og tjenestekontoer.
      • Alle Microsoft-nettverksoperativsystemer: Hvis du fjerner alle kontoer fra denne brukerrettigheten, forhindrer det alle kontoer i å logge seg på domenet eller i å få tilgang til nettverksressurser. Hvis beregnede grupper som Domenekontrollere i organisasjonen, Alle eller Godkjente brukere fjernes, må du eksplisitt gi denne brukerrettigheten til kontoer eller sikkerhetsgrupper som kontoen er medlem av, for å få tilgang til eksterne datamaskiner over nettverket. Dette scenariet gjelder alle bruker-, datamaskin- og tjenestekontoer.
      • Alle Microsoft-nettverksoperativsystemer: Den lokale administratorkontoen bruker et "tomt" passord. Nettverkstilkobling med tomme passord er ikke tillatt for administratorkontoer i et domenemiljø. Hvis du har denne konfigurasjonen, vil du få feilmeldingen Ingen tilgang.
  2. Tillat å logge på lokalt
    1. Bakgrunn

      Brukere som prøver å logge seg på konsollen på en Microsoft Windows-basert datamaskin (ved å bruke påloggingstastesekvensen CTRL+ALT+DELETE), og kontoer som prøver å starte en tjeneste, må ha lokale påloggingsrettigheter på vertsdatamaskinen. Noen eksempler på lokale påloggingsoperasjoner er administratorer som logger seg på konsollene på medlemsdatamaskiner, eller domenekontrollere på tvers av organisasjonen og domenebrukere som logger seg på medlemsdatamaskiner for å få tilgang til skrivebordene sine med kontoer uten rettigheter. Brukere som bruker Eksternt skrivebord eller Terminal Services, må ha brukerrettigheten Tillat å logge på lokalt på måldatamaskiner som kjører Windows 2000 eller Windows XP, fordi disse påloggingsmodiene oppfattes som lokale av vertsdatamaskinen. Brukere som logger seg på en server der Terminal Server er aktivert, og som ikke har denne brukerrettigheten, kan fortsatt starte en ekstern interaktiv økt i Windows Server 2003-domener hvis de har brukerrettigheten Tillat pålogging gjennom Terminal Services.
    2. Risikofylte konfigurasjoner

      Følgende er skadelige konfigurasjonsinnstillinger:
      • Fjerning av administrative sikkerhetsgrupper, inkludert Kontooperatører, Sikkerhetskopioperatører, Skriveroperatører og Serveroperatører, og den innebygde gruppen Administratorer fra standardpolicyen for domenekontrollere.
      • Fjerning av tjenestekontoer som brukes av komponenter og programmer på medlemsdatamaskiner og på domenekontrollere i domenet, fra standardpolicyen for domenekontrollere.
      • Fjerning av brukere eller sikkerhetsgrupper som logger seg på konsollen på medlemsdatamaskiner i domenet.
      • Fjerning av tjenestekontoer som er definert i den lokale databasen for sikkerhetskontobehandling (Security Accounts Manager ? SAM) på medlemsdatamaskiner eller arbeidsgruppedatamaskiner.
      • Fjerning av ikke-innebygde administrative kontoer som foretar godkjenning gjennom Terminal Services som kjører på en domenekontroller.
      • Tillegging av påloggingsrettigheten Nekt lokal pålogging for alle brukerkontoer i domenet eksplisitt eller implisitt gjennom gruppen Alle. Denne konfigurasjonen forhindrer at brukere kan logge seg på en hvilken som helst medlemsdatamaskin eller domenekontroller i domenet.
    3. Grunner til å gi denne brukerrettigheten
      • Brukere må ha brukerrettigheten Tillat å logge på lokalt for å få tilgang til konsollen eller skrivebordet til en arbeidsgruppedatamaskin, en medlemsdatamaskin eller en domenekontroller.
      • Brukere må ha denne brukerrettigheten for å kunne logge seg på gjennom en Terminal Services-økt som kjører på en Windows 2000-basert medlemsdatamaskin eller domenekontroller.
    4. Grunner til å fjerne denne brukerrettigheten
      • Hvis konsolltilgang ikke begrenses til legitime brukerkontoer, kan uautoriserte brukere laste ned og utføre skadelig kode for å endre brukerrettighetene sine.
      • Fjerning av brukerrettigheten Tillat å logge på lokalt forhindrer uautoriserte pålogginger til konsollene på datamaskiner, for eksempel domenekontrollere eller programservere.
      • Fjerning av denne påloggingsrettigheten hindrer at ikke-domenekontoer logger seg på konsollen til medlemsdatamaskiner i domenet.
    5. Eksempler på kompatibilitetsproblemer
      • Windows 2000-terminalservere: Brukerrettigheten Tillat å logge på lokalt er nødvendig for at brukere skal kunne logge seg på Windows 2000-terminalservere.
      • Windows NT 4.0, Windows 2000, Windows XP eller Windows Server 2003: Brukerkontoer må ha denne brukerrettigheten for å kunne logge seg på konsollen på datamaskiner som kjører Windows NT 4.0, Windows 2000, Windows XP eller Windows Server 2003.
      • Windows NT 4.0 og senere: Hvis du på datamaskiner som kjører Windows NT 4.0 og senere legger til brukerrettigheten Tillat å logge på lokalt, men du også gir påloggingsrettigheten Nekt lokal pålogging, enten implisitt eller eksplisitt, vil ikke kontoene kunne logge seg på konsollen til domenekontrollerne.
  3. Hopp over kontroll av traversering
    1. Bakgrunn

      Brukerrettigheten Hopp over kontroll av traversering gjør det mulig for brukeren å bla gjennom mappene i NTFS-filsystemet eller i registret uten at det kontrolleres om vedkommende har spesialtilgangstillatelsen Traversere mappe. Brukerrettigheten Hopp over kontroll av traversering gir ikke brukeren tillatelse til å vise innholdet i en mappe, bare til å bla gjennom (traversere) mappene.
    2. Risikofylte konfigurasjoner

      Følgende er skadelige konfigurasjonsinnstillinger:
      • Fjerning av ikke-administrative kontoer som logger seg på Windows 2000-baserte eller Windows Server 2003-baserte Terminal Services-datamaskiner som mangler tillatelser for å få tilgang til filer og mapper i filsystemet.
      • Fjerning av gruppen Alle fra listen over sikkerhetskontoinnehavere som har denne brukerrettigheten som standard. Windows-operativsystemer og mange programmer er utformet med en forventning om at alle som har legitim tilgang til datamaskinen, også har brukerrettigheten Hopp over kontroll av traversering. Fjerning av gruppen Alle fra listen over sikkerhetskontoinnehavere som som standard har denne brukerrettigheten, kan derfor føre til et ustabilt operativsystem eller programfeil. Det er bedre å beholde standardverdiene for denne innstillingen.
    3. Grunner til å gi denne brukerrettigheten

      Standardinnstillingen for brukerrettigheten Hopp over kontroll av traversering er å tillate alle å hoppe over kontroll av traversering. For erfarne Windows-systemadministratorer er dette den forventede virkemåten, og de konfigurerer tilgangskontrollisten (ACL) for filsystemet tilsvarende. Det eneste scenariet der standardkonfigurasjonen skape problemer, er hvis administratoren som konfigurerer tillatelser, ikke forstår virkemåten og går ut fra at brukere som ikke får tilgang til en overordnet mappe, heller ikke vil få tilgang til innholdet i noen underordnede mapper.
    4. Grunner til å fjerne denne brukerrettigheten

      Organisasjoner som er ekstremt bekymret for sikkerheten, kan bli fristet til å fjerne gruppen Alle eller til og med gruppen Brukere fra listen over grupper som har brukerrettigheten Hopp over kontroll av traversering, i et forsøk på å forhindre tilgang til filene eller mappene i filsystemet.
    5. Eksempler på kompatibilitetsproblemer
      • Windows 2000 og Windows Server 2003: Hvis brukerrettigheten Hopp over kontroll av traversering fjernes eller feilkonfigureres på datamaskiner som kjører Windows 2000 eller Windows Server 2003, blir ikke gruppepolicyinnstillinger i SYVOL-mappen replikert mellom domenekontrollere i domenet.
      • Windows 2000, Windows XP Professional og Windows Server 2003: Datamaskiner som kjører Windows 2000, Windows XP Professional eller Windows Server 2003, logger hendelsene 1000 og 1202, og vil ikke kunne bruke datamaskin- og brukerpolicyer når de nødvendige filsystemtillatelsene fjernes fra SYSVOL-treet hvis brukerrettigheten Hopp over kontroll av traversering fjernes eller feilkonfigureres.

        Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        290647 Hendelses-ID 1000 og 1001 logges hvert femte minutt i programmets hendelseslogg (denne artikkelen kan være på engelsk)
      • Windows 2000 og Windows Server 2003: På datamaskiner som kjører Windows 2000 eller Windows Server 2003, forsvinner kategorien Kvote i Windows Utforsker når du viser egenskapene for et volum.
      • Windows 2000: Ikke-administratorer som prøver å logge seg på en Windows 2000-terminalserver, kan få en feilmelding som ligner på denne:
        Programfeil i Userinit.exe. Programmet ble ikke initialisert på riktig måte 0xc0000142 klikk OK for å avslutte programmet.
        Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        272142 Brukere logges automatisk av når de prøver å logge seg på Terminal Services (denne artikkelen kan være på engelsk)
      • Windows NT 4.0, Windows 2000, Windows XP eller Windows Server 2003: Brukere som har datamaskiner som kjører Windows NT 4.0, Windows 2000, Windows XP eller Windows Server 2003, får kanskje ikke tilgang til delte mapper eller filer i delte mapper, og de kan få feilmeldingen Ingen tilgang hvis de ikke får brukerrettigheten Hopp over kontroll av traversering.

        Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        277644 Feilmeldingen Ingen tilgang når brukere prøver å få tilgang til delte mapper (denne artikkelen kan være på engelsk)
      • Windows NT 4.0: På Windows NT 4.0-baserte datamaskiner vil fjerning av brukerrettigheten Hopp over kontroll av traversering føre til at filstrømmer utelates under en filkopiering. Hvis du fjerner denne brukerrettigheten, vil destinasjonsfilstrømmen gå tapt når en fil kopieres fra en Windows-klient eller fra en Macintosh-klient til en Windows NT 4.0-domenekontroller som kjører tjenester for Macintosh, og filen vil bli vist som en ren tekstfil.

        Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        172930 Fjerning av Hopp over kontroll av traversering fører til at strømmer utelates under filkopiering (denne artikkelen kan være på engelsk)
      • Microsoft Windows 95 og Microsoft Windows 98: På en klientdatamaskin som kjører Windows 95 eller Windows 98, vil kommandoen net use * /home mislykkes med feilmeldingen Ingen tilgang hvis gruppen Godkjente brukere ikke gis brukerrettigheten Hopp over kontroll av traversering.
      • Outlook Web Access: Ikke-administratorer vil ikke kunne logge seg på Microsoft Outlook Web Access, og de vil få feilmeldingen Ingen tilgang hvis de ikke gis brukerrettigheten Hopp over kontroll av traversering.
Sikkerhetsinnstillinger
  1. Overvåk: Avslutt system umiddelbart hvis sikkerhetslogger ikke kan overvåkes
    1. Bakgrunn
      • Innstillingen Overvåk: Avslutt system umiddelbart hvis sikkerhetslogger ikke kan overvåkes bestemmer om systemet skal avsluttes hvis du ikke kan overvåke sikkerhetshendelser. Denne innstillingen kreves for C2-evalueringen til programmet Trusted Computer Security Evaluation Criteria (TCSEC) og for de vanlige kriteriene for IT-sikkerhetsevaluering for å forhindre hendelser som krever overvåking, hvis overvåkingssystemet ikke kan overvåke disse hendelsene. Hvis overvåkingssystemet ikke lykkes i dette, avsluttes systemet og det vises en melding om Stopp-feil.
      • Hvis datamaskinen ikke kan registrere hendelser i sikkerhetsloggen, vil det kanskje ikke finnes kritiske bevis eller viktig feilsøkingsinformasjon for gjennomgang etter en sikkerhetshendelse.
    2. Risikofylt konfigurasjon

      Følgende er en skadelig konfigurasjonsinnstilling: Innstillingen Overvåk: Avslutt system umiddelbart hvis sikkerhetslogger ikke kan overvåkes er slått på og størrelsen på hendelsesloggen for sikkerhet er begrenset av alternativet Ikke skriv over hendelser (tøm logg manuelt), alternativet Skriv over hendelser etter behov eller alternativet Skriv over hendelser eldre enn antall dager i Hendelsesliste. Se delen Eksempler på kompatibilitetsproblemer hvis du vil ha informasjon om spesifikke risikoer for datamaskiner som kjører den opprinnelige versjonen av Windows 2000, Windows 2000 Service Pack 1 (SP1), Windows 2000 SP2 eller Windows 2000 SP3.
    3. Grunner til å aktivere denne innstillingen

      Hvis datamaskinen ikke kan registrere hendelser i sikkerhetsloggen, vil det kanskje ikke finnes kritiske bevis eller viktig feilsøkingsinformasjon for gjennomgang etter en sikkerhetshendelse.
    4. Grunner til å deaktivere denne innstillingen
      • Aktivering av innstillingen Overvåk: Avslutt system umiddelbart hvis sikkerhetslogger ikke kan overvåkes vil føre til at systemet stopper hvis en sikkerhetslogger ikke kan overvåkes av en eller annen grunn. En hendelse kan vanligvis ikke overvåkes når sikkerhetsloggen er full, og når den spesifiserte oppbevaringsmetoden er enten Ikke skriv over hendelser (tøm logg manuelt) eller Skriv over hendelser eldre enn antall dager.
      • Den administrative arbeidsbyrden ved å aktivere alternativet Overvåk: Avslutt system umiddelbart hvis sikkerhetslogger ikke kan overvåkes kan være svært høy, spesielt hvis du også aktiverer alternativet Ikke skriv over hendelser (tøm logg manuelt) for sikkerhetsloggen. Denne innstillingen muliggjør individuell ansvarsfordeling for operatørhandlinger. En administrator kan for eksempel tilbakestille tillatelsene for alle brukere, datamaskiner og grupper i en organisasjonsenhet (OU) der overvåking ble aktivert ved hjelp av den innebygde administratorkontoen eller en annen delt konto, og deretter benekte tilbakestillingen. Aktivering av denne innstillingen gjør imidlertid systemet mindre robust, fordi en server kan bli tvunget til å avslutte hvis den blir overflommet med påloggingshendelser og andre sikkerhetshendelser som er skrevet til sikkerhetsloggen. Siden avslutningen ikke er stilfull, kan det dessuten oppstå uopprettelig skade på operativsystemet, programmer og data. NTFS garanterer at filsystemets integritet opprettholdes under en ikke-stilfull systemavslutning, men det kan ikke garantere at hver enkelt datafil for hvert enkelt program fortsatt vil være i en brukelig form når systemet startes på nytt.
    5. Symbolsk navn:

      CrashOnAuditFail
    6. Registerbane:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)
    7. Eksempler på kompatibilitetsproblemer
      • Windows 2000: På grunn av en feil kan det hende at datamaskiner som kjører den opprinnelige versjonen av Windows 2000, Windows 2000 SP1, Windows 2000 SP2 eller Windows SP3 slutter å registrere hendelser før størrelsen som er angitt i alternativet Maksimal loggstørrelse for hendelsesloggen for sikkerhet, er nådd. Dette problemet er løst i Windows 2000 Service Pack 4 (SP4). Kontroller at Windows 2000 Service Pack 4 er installert på Windows 2000-domenekontrollerne før du vurderer å aktivere denne innstillingen.

        Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        312571 Hendelsesloggen slutter å registrere hendelser før den maksimale loggstørrelsen er nådd (denne artikkelen kan være på engelsk)
      • Windows 2000 og Windows Server 2003: Datamaskiner som kjører Windows 2000 eller Windows Server 2003, kan slutte å svare og deretter spontant starte på nytt hvis innstillingen Overvåk: Avslutt system umiddelbart hvis sikkerhetslogger ikke kan overvåkes er aktivert, hvis sikkerhetsloggen er full, og hvis en eksisterende hendelsesloggoppføring ikke kan skrives over. Når datamaskinen starter på nytt, vises følgende Stopp-feilmelding:
        STOPP: C0000244 {Overvåking mislyktes}
        Kan ikke utføre en sikkerhetskontroll.
        For å gjenopprette systemet må en administrator logge seg på, arkivere sikkerhetsloggen (valgfritt), tømme sikkerhetsloggen og deretter tilbakestille dette alternativet (valgfritt og etter behov).
      • Microsoft-nettverksklient for MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP og Windows Server 2003: Ikke-administratorer som prøver å logge seg på et domene, vil få følgende feilmelding:
        Kontoen din er konfigurert slik at du ikke kan bruke denne datamaskinen. Prøv en annen maskin.
        Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        160783 Feilmelding: Brukere kan ikke logge seg på en arbeidsstasjon (denne artikkelen kan være på engelsk)
      • Windows 2000: På Windows 2000-baserte datamaskiner vil ikke ikke-administratorer kunne logge seg på servere for ekstern tilgang, og de vil få en feilmelding som ligner på denne:
        Ukjent bruker eller feil passord
        Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        285665 Feilmelding: Kontoen din er konfigurert slik at du ikke kan bruke denne datamaskinen (denne artikkelen kan være på engelsk)
      • Windows 2000: På Windows 2000-domenekontrollere vil tjenesten Intersite Messaging (Ismserv.exe) stoppe og ikke kunne startes igjen. DCDIAG vil rapportere feilen som en mislykket test av ISMserv-tjenestene, og hendelses-ID 1083 vil bli registrert i hendelsesloggen.
      • Windows 2000: På Windows 2000-domenekontrollere vil Active Directory-replikering mislykkes, og feilmeldingen Ingen tilgang vil vises hvis hendelsesloggen for sikkerhet er full.
      • Microsoft Exchange 2000: Servere som kjører Exchange 2000, vil ikke kunne montere informasjonslagringsdatabasen, og hendelse 2102 vil bli registrert i hendelsesloggen.

        Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        314294 Exchange 2000-feilmeldinger genereres på grunn av problemer med sikkerhetsrettigheter og policytester (denne artikkelen kan være på engelsk)
      • Outlook og Outlook Web Access: Ikke-administratorer vil ikke få tilgang til e-posten via Microsoft Outlook eller Microsoft Outlook Web Access, og de vil få en 503-feil.
  2. Domenekontroller: Krav for signering på LDAP-server
    1. Bakgrunn

      Sikkerhetsinnstillingen Domenekontroller: Krav for signering på LDAP-server bestemmer om LDAP-serveren (Lightweight Directory Access Protocol) krever at LDAP-klienter forhandler om datasignering. Mulige verdier for denne policyinnstillingen er:
      • Ingen: Datasignering kreves ikke for å opprette en binding til serveren. Hvis klienten ber om datasignering, støtter serveren det.
      • Krever signering: Det må forhandles om LDAP-datasignering med mindre TLS/SSL (Transport Layer Security/Secure Socket Layer) brukes.
      • Ikke definert: Denne innstillingen er verken aktivert eller deaktivert.
    2. Risikofylte konfigurasjoner

      Følgende er skadelige konfigurasjonsinnstillinger:
      • Aktivering av Krever signering i miljøer der klienter ikke støtter LDAP-signering, eller der LDAP-signering på klientsiden ikke er aktivert på klienten.
      • Bruk av sikkerhetsmalen Hisecdc.inf i Windows 2000 eller Windows Server 2003 i miljøer der klientene ikke støtter LDAP-signering, eller der LDAP-signering på klientsiden ikke er aktivert.
      • Bruk av sikkerhetsmalen Hisecws.inf i Windows 2000 eller Windows Server 2003 i miljøer der klientene ikke støtter LDAP-signering, eller der LDAP-signering på klientsiden ikke er aktivert.
    3. Grunner til å aktivere denne innstillingen

      Usignert nettverkstrafikk er utsatt for mellommannangrep, der en inntrenger fanger opp pakker mellom klienten og serveren, endrer pakkene og videresender dem til serveren. Når dette skjer på en LDAP-server, kan en angriper få en server til å ta avgjørelser som er basert på falske spørringer fra LDAP-klienten. Du kan redusere denne risikoen i et firmanettverk ved å implementere strenge fysiske sikkerhetstiltak for å beskytte nettverksinfrastrukturen. Godkjenningshodemodus med Internett-protokollsikkerhet (IPSec) kan gjøre det ekstremt vanskelig å utføre mellommannangrep. Godkjenningshodemodus sørger for gjensidig godkjenning og pakkeintegritet for IP-trafikk.
    4. Grunner til å deaktivere denne innstillingen
      • Klienter som ikke støtter LDAP-signering, vil ikke kunne foreta LDAP-spørringer mot domenekontrollere og globale kataloger hvis det forhandles om NTLM-godkjenning, og hvis ikke de riktige oppdateringspakkene er installert på Windows 2000-domenekontrollere.
      • Nettverkssporinger av LDAP-trafikk mellom klienter og servere krypteres, slik at det blir vanskelig å kontrollere LDAP-samtaler.
      • Windows 2000-baserte servere må ha Windows 2000 Service Pack 3 (SP3) eller senere installert når de administreres med programmer som støtter LDAP-signering som kjøres fra klientdatamaskiner som kjører Windows 2000 SP4, Windows XP eller Windows Server 2003. Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        325465 Windows 2000-domenekontrollere krever Service Pack 3 eller senere ved bruk av administrasjonsverktøyene i Windows Server 2003 (denne artikkelen kan være på engelsk)
    5. Symbolsk navn:

      LDAPServerIntegrity
    6. Registerbane:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)
    7. Eksempler på kompatibilitetsproblemer
      • Enkle bindinger vil mislykkes, og du vil få en feilmelding om at:
        Ldap_simple_bind_s() mislyktes: Sterk godkjenning nødvendig.
      • Windows 2000 Service Pack 4, Windows XP og Windows Server 2003: På klienter som kjører Windows 2000 SP4, Windows XP eller Windows Server 2003, vil enkelte Active Directory-administrasjonsverktøy ikke fungere slik de skal mot domenekontrollere som kjører tidligere versjoner av Windows 2000 enn SP3, når det forhandles om NTLM-godkjenning.

        Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        325465 Windows 2000-domenekontrollere krever Service Pack 3 eller senere ved bruk av administrasjonsverktøyene i Windows Server 2003 (denne artikkelen kan være på engelsk)
      • Windows 2000 Service Pack 4, Windows XP og Windows Server 2003: På klienter som kjører Windows 2000 SP4, Windows XP eller Windows Server 2003, vil enkelte Active Directory-administrasjonsverktøy som jobber mot domenekontrollere som kjører tidligere versjoner av Windows 2000 enn SP3, ikke fungere slik de skal hvis de bruker IP-adresser (for eksempel sa.msc /server=x.x.x.x, der x.x.x.x er en IP-adresse).

        Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        325465 Windows 2000-domenekontrollere krever Service Pack 3 eller senere ved bruk av administrasjonsverktøyene i Windows Server 2003 (denne artikkelen kan være på engelsk)
      • Windows 2000 Service Pack 4, Windows XP og Windows Server 2003: På klienter som kjører Windows 2000 SP4, Windows XP eller Windows Server 2003, vil enkelte Active Directory-administrasjonsverktøy som jobber mot domenekontrollere som kjører tidligere versjoner av Windows 2000 enn SP3, ikke fungere slik de skal.

        Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        325465 Windows 2000-domenekontrollere krever Service Pack 3 eller senere ved bruk av administrasjonsverktøyene i Windows Server 2003 (denne artikkelen kan være på engelsk)
  3. Domenemedlem: Krev sterk øktsnøkkel (Windows 2000 eller senere)
    1. Bakgrunn
      • Innstillingen Domenemedlem: Krev sterk øktsnøkkel (Windows 2000 eller senere) bestemmer om det kan opprettes en sikker kanal med en domenekontroller som ikke kan kryptere sikker kanaltrafikk med en sterk 128-biter øktsnøkkel. Ved å aktivere denne innstillingen kan du forhindre at det opprettes en sikker kanal med en domenekontroller som ikke kan kryptere sikre kanaldata med en sterk nøkkel. Når innstillingen er deaktivert, tillates 64-biters øktsnøkler.
      • Før du kan aktivere denne innstillingen på en medlemsarbeidsstasjon eller på en server, må alle domenekontrollerne i domenet som medlemmet tilhører, kunne kryptere sikre kanaldata med en sterk, 128-biters nøkkel. Dette betyr at alle slike domenekontrollere må kjøre Windows 2000 eller senere.
    2. Risikofylt konfigurasjon

      Aktivering av innstillingen Domenemedlem: Krev sterk øktsnøkkel (Windows 2000 eller senere) er en skadelig konfigurasjonsinnstilling.
    3. Grunner til å aktivere denne innstillingen
      • Øktsnøkler som brukes til å opprette sikker kanalkommunikasjon mellom medlemsdatamaskiner og domenekontrollere, er mye sterkere i Windows 2000 enn i tidligere versjoner av Microsoft-operativsystemene.
      • Når det er mulig, bør du bruke disse forsterkede øktsnøklene for å beskytte kommunikasjon med sikre kanaldata mot tyvlytting og mot nettverksangrep i form av øktkapring. Tyvlytting er en form for ondsinnet angrep der nettverksdata leses eller endres under transport. Dataene kan endres for å skjule eller endre avsenderen, eller for å omadressere dem.
      Viktig!  En datamaskin som kjører Windows Server 2008 R2 eller Windows 7, støtter bare sterke nøkler når sikre kanaler brukes. Denne begrensningen hindrer en klarering mellom Windows NT 4.0-baserte domener og Windows Server 2008 R2-baserte domener. Begrensningen blokkerer dessuten Windows NT 4.0-basert domenemedlemskap for datamaskiner som kjører Windows 7 eller Windows Server 2008 R2, og omvendt.
    4. Grunner til å deaktivere denne innstillingen

      Domenet innholder medlemsdatamaskiner som kjører andre operativsystemer enn Windows 2000, Windows XP eller Windows Server 2003.
    5. Symbolsk navn:

      StrongKey
    6. Registerbane:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)
    7. Eksempler på kompatibilitetsproblemer

      Windows NT 4.0: På Windows NT 4.0-baserte datamaskiner vil tilbakestilling av sikre kanaler med klareringsforhold mellom Windows NT 4.0- og Windows 2000-domener med NLTEST mislykkes med feilmeldingen Ingen tilgang:
      Det oppstod en feil i tillitsforholdet mellom hoveddomenet og det klarerte domenet.
  4. Domenemedlem: Krypter digitalt eller signer sikre kanaldata (alltid)
    1. Bakgrunn
      • Aktivering av Domenemedlem: Krypter digitalt eller signer sikre kanaldata (alltid) forhindrer at det opprettes en sikker kanal med en domenekontroller som ikke kan signere eller kryptere alle sikre kanaldata. For å beskytte godkjenningstrafikk mot mellommannangrep, repetisjonsangrep og andre typer nettverksangrep oppretter Windows-baserte datamaskiner en kommunikasjonskanal som kalles en sikker kanal gjennom tjenesten Net Logon for å godkjenne datamaskinkontoer. Sikre kanaler brukes også når en bruker i et domene kobler seg til en nettverksresurs i et eksternt domene. Denne flerdomenegodkjenningen, også kalt direkte godkjenning, gjør det mulig for en Windows-basert datamaskin som er koblet til et domene, å få tilgang til brukerkontodatabasen i sitt domene og i alle klarerte domener.
      • For at innstillingen Domenemedlem: Krypter digitalt eller signer sikre kanaldata (alltid) skal kunne aktiveres på en medlemsdatamaskin, må alle domenekontrollerne i domenet som medlemmet tilhører, kunne signere eller kryptere alle sikre kanaldata. Dette betyr at alle slike domenekontrollere må kjøre Windows NT 4.0 med Service Pack 6a (SP6a) eller senere.
      • Aktivering av innstillingen Domenemedlem: Krypter digitalt eller signer sikre kanaldata (alltid) aktiverer automatisk innstillingen Domenemedlem: Krypter digitalt eller signer sikre kanaldata (når mulig).
    2. Risikofylt konfigurasjon

      Aktivering av innstillingen Domenemedlem: Krypter digitalt eller signer sikre kanaldata (alltid) i domener der ikke alle domenekontrollere kan signere eller kryptere sikre kanaldata, er en skadelig konfigurasjonsinnstilling.
    3. Grunner til å aktivere denne innstillingen

      Usignert nettverkstrafikk er utsatt for mellommannangrep, som går ut på at en inntrenger fanger opp pakker mellom serveren og klienten, og deretter endrer pakkene før han videresender dem til klienten. Når dette skjer på en LDAP-server (Lightweight Directory Access Protocol), kan inntrengeren få en klient til å ta avgjørelser som er basert på falske poster fra LDAP-katalogen. Du kan redusere risikoen for et slikt angrep i et firmanettverk ved å implementere strenge fysiske sikkerhetstiltak for å beskytte nettverksinfrastrukturen. I tillegg kan implementering av godkjenningshodemodus med Internett-protokollsikkerhet (IPSec) kan gjøre alle former for mellommannangrep ekstremt vanskelig å utføre. Denne modusen sørger for gjensidig godkjenning og pakkeintegritet for IP-trafikk.
    4. Grunner til å deaktivere denne innstillingen
      • Datamaskiner i lokale eller eksterne domener støtter krypterte sikre kanaler.
      • Ikke alle domenekontrollere i domenet har riktig servicepakkerevisjonsnivå for å støtte krypterte sikre kanaler.
    5. Symbolsk navn:

      StrongKey
    6. Registerbane:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)
    7. Eksempler på kompatibilitetsproblemer
      • Windows NT 4.0: Windows 2000-baserte medlemsdatamaskiner vil ikke kunne koble seg til Windows NT 4.0-domener, og vil få følgende feilmelding:
        Kontoen er ikke godkjent for pålogging fra denne stasjonen.
        Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        281648 Feilmelding: Kontoen er ikke godkjent for pålogging fra denne stasjonen (denne artikkelen kan være på engelsk)
      • Windows NT 4.0: Windows NT 4.0-domener vil ikke kunne opprette en bakoverkompatibel klarering med et Windows 2000-domene, og vil få følgende feilmelding:
        Kontoen er ikke godkjent for pålogging fra denne stasjonen.
        Det kan også hende at eksisterende bakoverkompatible klareringer ikke kan godkjenne brukere fra det klarerte domenet. Noen brukere kan få problemer med å logge seg på domenet, og de kan få en feilmelding om at klienten ikke finner domenet.
      • Windows XP: Windows XP-klienter som er koblet til Windows NT 4.0-domener, vil ikke kunne godkjenne påloggingsforsøk, og kan få følgende feilmelding, eller følgende hendelser kan bli registrert i hendelsesloggen:
        Systemet kan ikke koble til domenet, enten fordi domenekontrolleren er nede eller utilgjengelig, eller fordi datamaskinkontoen din ikke ble funnet.

        Hendelse 5723: Opprettelsen av økten fra datamaskinnavn ble ikke godkjent. Kontoen(e) sikkerhetsdatabasen refererer til er datamaskinnavn. Følgende feil oppstod: Ingen tilgang.

        Hendelse 3227: Øktoppsettet for Windows NT- eller Windows 2000-domenekontrolleren servernavn for domenet domenenavn mislyktes fordi servernavn ikke støtter signering eller forsegling av Netlogon-økten. Oppgrader domenekontrolleren, eller sett registeroppføringen RequireSignOrSeal på denne maskinen til 0.

        Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        318266 En Windows XP-klient kan ikke logge seg på et Windows NT 4.0-domene (denne artikkelen kan være på engelsk)
      • Microsoft-nettverket: Microsoft-nettverksklienter vil få en av følgende feilmeldinger:
        Pålogging mislyktes: Ukjent bruker eller feil passord.
        Det finnes ingen brukerøktsnøkkel for angitt påloggingsøkt.
  5. Microsofts nettverksklient: Signer kommunikasjon digitalt (alltid)
    1. Bakgrunn

      Server Message Block (SBM) er den protokollen for ressursdeling som støttes av mange Microsoft-operativsystemer ? den er grunnlaget for Network Basic Input/Output System (NetBIOS) og mange andre protokoller. SMB-signering godkjenner både brukeren og serveren som er vert for dataene. Hvis godkjenningsprosessen mislykkes for en av sidene, blir det ikke utført noen dataoverføring.

      Aktivering av SMB-signering starter under SMB-protokollforhandlingen. SMB-signeringspolicyene bestemmer om datamaskinen alltid skal signere klientkommunikasjon digitalt.

      Windows 2000 SMB-godkjenningsprotokollen støtter gjensidig godkjenning. Gjensidig godkjenning hindrer mellommannangrep. Windows 2000 SMB-godkjenningsprotokollen støtter også meldingsgodkjenning. Meldingsgodkjenning bidrar til å hindre aktive meldingsangrep. For å gi deg denne godkjenningen plasserer SMB-signering en digital signatur i hver SMB. Klienten og serveren kontrollerer begge den digitale signaturen.

      Hvis du vil bruke SMB-signering, må du aktivere SMB-signering eller kreve SMB-signering på både SMB-klienten og SMB-serveren. Hvis SMB-signering er aktivert på en server, vil klienter som også er aktivert for SMB-signering, bruke pakkesigneringsprotokollen i alle senere økter. Hvis SMB-signering kreves på en server, kan ikke en klient opprette en økt med mindre SMB-signering er aktivert eller kreves på klienten.

      Aktivering av digital signering i nettverk med høy sikkerhet bidrar til å forhindre etterligning av klienter og servere. Denne typen etterligning kalles øktkapring. En angriper som har tilgang til det samme nettverket som klienten eller serveren, bruker øktkapring til å avbryte, avslutte eller stjele en økt som pågår. En angriper kan fange opp og endre usignerte SMB-pakker, endre trafikken og deretter videresende den med det resultat at serveren utfører uønskede handlinger. Angriperen kan også utgi seg for å være serveren eller klienten etter en legitim godkjenning, og deretter få uautorisert tilgang til data.

      SMB-protokollen som brukes for fil- og skriverdeling på datamaskiner som kjører Windows 2000 Server, Windows 2000 Professional, Windows XP Professional eller Windows Server 2003, støtter gjensidig godkjenning. Gjensidig godkjenning hindrer øktkapring og støtter meldingsgodkjenning. Derfor hindrer det mellommannangrep. SMB-signering utfører denne godkjenningen ved å plassere en digital signatur i hver SMB. Signaturen kontrolleres deretter av både klienten og serveren.

      Obs! 
      • Et alternativt mottiltak som kan bidra til å beskytte all nettverkstrafikk, er å aktivere digitale signaturer med IPSec. Det finnes maskinvarebaserte akseleratorer for IPSec-kryptering og -signering som kan brukes til å minimere innvirkningen på ytelsen til server-CPUen. Det finnes ingen slike akseleratorer for SMB-signering.

        Hvis du vil ha mer informasjon, kan du lese kapitlet Digitally sign server communications på dette Microsoft MSDN-webområdet:
        http://msdn.microsoft.com/nb-no/library/ms814149.aspx
        Du bør konfigurere SMB-signering gjennom redigeringsprogrammet for gruppepolicyobjekt fordi en endring i en lokal registerverdi ikke har noen effekt hvis det finnes en overstyrende domenepolicy.
      • I Windows 95, Windows 98 og Windows 98 Second Edition bruker katalogtjenesteklienten SMB-signering når den godkjenner med Windows Server 2003-servere ved hjelp av NTLM-godkjenning. Disse klientene bruker imidlertid ikke SMB-signering når de godkjenner med disse serverne ved hjelp av NTLMv2-godkjenning. Dessuten svarer ikke Windows 2000-servere på SMB-signeringsforespørsler fra disse klientene. Se trinn 10: Nettverkssikkerhet: LAN Manager-godkjenningsnivå.
    2. Risikofylt konfigurasjon

      Følgende er en skadelig konfigurasjonsinnstilling: Å la både Microsofts nettverksklient: Signer kommunikasjon digitalt (alltid) og Microsofts nettverksklient: Signer kommunikasjon digitalt (hvis server godtar) være satt til Ikke definert eller deaktivert. Disse innstillingene gjør det mulig for omadressereren å sende passord i klartekst til SMB-servere fra andre produsenter enn Microsoft som ikke støtter passordkryptering under godkjenning.
    3. Grunner til å aktivere denne innstillingen

      Aktivering av Microsofts nettverksklient: Signer kommunikasjon digitalt (alltid) er aktivert, må klienter signere SMB-trafikk når de kontakter servere som ikke krever SMB-signering, slik at klientene blir mindre utsatt for øktkapringsangrep.
    4. Grunner til å deaktivere denne innstillingen
      • Aktivering av Microsofts nettverksklient: Signer kommunikasjon digitalt (alltid) forhindrer at klienter kan kommunisere med målservere som ikke støtter SMB-signering.
      • Hvis datamaskiner er konfigurert til å ignorere all usignert SMB-kommunikasjon, kan ikke tidligere programmer og operativsystemer koble seg til.
    5. Symbolsk navn:

      RequireSMBSignRdr
    6. Registerbane:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
    7. Eksempler på kompatibilitetsproblemer
      • Windows NT 4.0: Du vil ikke kunne tilbakestille den sikre kanalen for en klarering mellom et Windows Server 2003-domene og et Windows NT 4.0-domene ved hjelp av NLTEST eller NETDOM, og du vil få feilmeldingen Ingen tilgang.
      • Windows XP: Kopiering av filer fra Windows XP-klienter til Windows 2000- og Windows Server 2003-baserte servere kan ta lengre tid.
      • Du vil ikke kunne koble til en nettverksstasjon fra en klient når denne innstillingen er aktivert, og du vil få følgende feilmelding:
        Kontoen er ikke godkjent for pålogging fra denne stasjonen.
    8. Omstartskrav

      Start datamaskinen eller tjenesten Workstation på nytt. Du gjør dette ved å kjøre kommandoene nedenfor fra en kommandolinje. Trykk ENTER etter at du har skrevet inn hver kommando.
      net stop workstation
      net start workstation
  6. Microsofts nettverksserver: Signer kommunikasjon digitalt (alltid)
    1. Bakgrunn
      • Server Messenger Block (SBM) er den protokollen for ressursdeling som støttes av mange Microsoft-operativsystemer ? den er grunnlaget for Network Basic Input/Output System (NetBIOS) og mange andre protokoller. SMB-signering godkjenner både brukeren og serveren som er vert for dataene. Hvis godkjenningsprosessen mislykkes for en av sidene, blir det ikke utført noen dataoverføring.

        Aktivering av SMB-signering starter under SMB-protokollforhandlingen. SMB-signeringspolicyene bestemmer om datamaskinen alltid skal signere klientkommunikasjon digitalt.

        Windows 2000 SMB-godkjenningsprotokollen støtter gjensidig godkjenning. Gjensidig godkjenning hindrer mellommannangrep. Windows 2000 SMB-godkjenningsprotokollen støtter også meldingsgodkjenning. Meldingsgodkjenning bidrar til å hindre aktive meldingsangrep. For å gi deg denne godkjenningen plasserer SMB-signering en digital signatur i hver SMB. Klienten og serveren kontrollerer begge den digitale signaturen.

        Hvis du vil bruke SMB-signering, må du aktivere SMB-signering eller kreve SMB-signering på både SMB-klienten og SMB-serveren. Hvis SMB-signering er aktivert på en server, vil klienter som også er aktivert for SMB-signering, bruke pakkesigneringsprotokollen i alle senere økter. Hvis SMB-signering kreves på en server, kan ikke en klient opprette en økt med mindre SMB-signering er aktivert eller kreves på klienten.

        Aktivering av digital signering i nettverk med høy sikkerhet bidrar til å forhindre etterligning av klienter og servere. Denne typen etterligning kalles øktkapring. En angriper som har tilgang til det samme nettverket som klienten eller serveren, bruker øktkapring til å avbryte, avslutte eller stjele en økt som pågår. En angriper kan fange opp og endre usignerte SMB-pakker (Subnet Bandwidth Manager), endre trafikken og deretter videresende den med det resultat at serveren utfører uønskede handlinger. Angriperen kan også utgi seg for å være serveren eller klienten etter en legitim godkjenning, og deretter få uautorisert tilgang til data.

        SMB-protokollen som brukes for fil- og skriverdeling på datamaskiner som kjører Windows 2000 Server, Windows 2000 Professional, Windows XP Professional eller Windows Server 2003, støtter gjensidig godkjenning. Gjensidig godkjenning hindrer øktkapring og støtter meldingsgodkjenning. Derfor hindrer det mellommannangrep. SMB-signering utfører denne godkjenningen ved å plassere en digital signatur i hver SMB. Signaturen kontrolleres deretter av både klienten og serveren.
      • Et alternativt mottiltak som kan bidra til å beskytte all nettverkstrafikk, er å aktivere digitale signaturer med IPSec. Det finnes maskinvarebaserte akseleratorer for IPSec-kryptering og -signering som kan brukes til å minimere innvirkningen på ytelsen til server-CPUen. Det finnes ingen slike akseleratorer for SMB-signering.
      • I Windows 95, Windows 98 og Windows 98 Second Edition bruker katalogtjenesteklienten SMB-signering når den godkjenner med Windows Server 2003-servere ved hjelp av NTLM-godkjenning. Disse klientene bruker imidlertid ikke SMB-signering når de godkjenner med disse serverne ved hjelp av NTLMv2-godkjenning. Dessuten svarer ikke Windows 2000-servere på SMB-signeringsforespørsler fra disse klientene. Se trinn 10: Nettverkssikkerhet: LAN Manager-godkjenningsnivå.
    2. Risikofylt konfigurasjon

      Følgende er en skadelig konfigurasjonsinnstilling: Aktivering av innstillingen Microsofts nettverksserver: Signer kommunikasjon digitalt (alltid) på servere og på domenekontrollere som inkompatible Windows-baserte og tredjeparts operativsystembaserte klientdatamaskiner i lokale eller eksterne domener har tilgang til.
    3. Grunner til å aktivere denne innstillingen
      • Alle klientdatamaskiner som aktiverer denne innstillingen direkte via registret eller via innstillingen for gruppepolicy, støtter SMB-signering. Med andre ord kjører alle klientdatamaskiner der denne innstillingen er aktivert, enten Windows 95 med DS-klienten installert, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional eller Windows Server 2003.
      • Hvis Microsofts nettverksserver: Signer kommunikasjon digitalt (alltid) er deaktivert, er SMB-signering fullstendig deaktivert. Ved fullstendig deaktivering av all SMB-signering blir datamaskiner mer utsatt for øktkapringsangrep.
    4. Grunner til å deaktivere denne innstillingen
      • Aktivering av denne innstillingen kan føre til tregere filkopiering og nettverksytelse på klientdatamaskiner.
      • Aktivering av denne innstillingen hindrer at klienter som ikke kan forhandle om SMB-signering, kan kommunisere med servere og med domenekontrollere. Dette fører til at operasjoner som domenetilkoblinger, godkjenning av brukere og datamaskiner eller nettverkstilgang av programmer mislykkes.
    5. Symbolsk navn:

      RequireSMBSignServer
    6. Registerbane:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)
    7. Eksempler på kompatibilitetsproblemer
      • Windows 95: På Windows 95-klienter der DS-klienten (Directory Services) ikke er installert, vil påloggingsgodkjenning mislykkes, og en feilmelding lik følgende vil vises:
        Domenepassordet du har angitt, er feil, eller du har ikke tilgang til påloggingsserveren.
        Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        811497 Feilmelding når Windows 95- eller Windows NT 4.0-klienter logger seg på Windows Server 2003-domenet (denne artikkelen kan være på engelsk)
      • Windows NT 4.0: Klientdatamaskiner som kjører tidligere versjoner av Windows NT 4.0 enn Service Pack 3 (SP3), vil mislykkes i påloggingsgodkjenningen, og vil få følgende feilmelding:
        Systemet har ikke logget deg på. Kontroller at brukernavnet og domenet er riktig, og prøv å skrive inn passordet på nytt.
        Noen SMB-servere som er fra andre produsenter enn Microsoft, støtter bare ukrypterte passordutvekslinger under godkjenning. (Disse utvekslingene kalles også utvekslinger i klartekst.) Fra og med Windows NT 4.0 SP3 sender ikke SMB-omadressereren et ukryptert passord ved godkjenning til en SMB-server med mindre du legger til en bestemt registeroppføring.
        Hvis du vil aktivere ukrypterte passord for SMB-klienten på Windows NT 4.0 SP 3 og nyere systemer, kan du endre registret på følgende måte: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        Verdinavn: EnablePlainTextPassword
        Data Type: REG_DWORD
        Data: 1

        Hvis du vil ha mer informasjon om beslektede emner, kan du klikke følgende artikkelnumre for å vise artiklene i Microsoft Knowledge Base:
        224287 Feilmelding: Systemfeil 1240 har oppstått. Kontoen er ikke godkjent for pålogging fra denne stasjonen. (denne artikkelen kan være på engelsk)
        166730 Ukrypterte passord kan føre til at Service Pack 3 ikke kan koble seg til SMB-servere (denne artikkelen kan være på engelsk)
      • Windows Server 2003: Som standard er sikkerhetsinnstillingene på domenekontrollere som kjører Windows Server 2003, konfigurert til å forhindre at kommunikasjon fra domenekontrollere fanges opp eller endres i den hensikt å forårsake skade. Før brukere kan kommunisere med en domenekontroller som kjører Windows Server 2003, må klientdatamaskiner bruke både SMB-signering og kryptering, eller signering av sikker kanaltrafikk. Klienter som kjører Windows NT 4.0 med Service Pack 2 (SP2) eller tidligere, og klienter som kjører Windows 95, kan som standard ikke ha SMB-pakkesignering aktivert. Det kan derfor hende at disse klientene ikke kan godkjennes av en Windows Server 2003-basert domenekontroller.
      • Policy-innstillinger for Windows 2000 og Windows Server 2003: Avhengig av hvilke installasjonsbehov du har og konfigurasjonen du bruker, anbefales det at du angir følgende policyinnstillinger ved laveste enhet i nødvendig omfang i snapin-hierarkiet i redigeringsprogrammet for gruppepolicy for Microsoft Management Console:
        • Computer Configuration\Windows Security Settings\Security Options
        • Send ukryptert passord for å koble til SMB-servere fra en tredjepart (Denne innstillingen er for Windows 2000.)
        • Microsofts nettverksklient: Send ukryptert passord til SMB-servere fra en tredjepart (Denne innstillingen er for Windows Server 2003.)

        Obs!  I noen CIFS-servere fra tredjeparter, for eksempel eldre Samba-versjoner, kan du ikke bruke krypterte passord.
      • Følgende klienter er inkompatible med innstillingen Microsofts nettverksserver: Signer kommunikasjon digitalt (alltid):
        • Apple Computer, Inc., Mac OS X-klienter
        • Microsoft MS-DOS-nettverksklienter (for eksempel Microsoft LAN Manager)
        • Microsoft Windows for Workgroups-klienter
        • Microsoft Windows 95-klienter uten DS-klienten installert
        • Microsoft Windows NT 4.0-baserte datamaskiner uten SP3 eller senere installert
        • Novell Netware 6 CIFS-klienter
        • SAMBA SMB-klienter som mangler støtte for SMB-signering
    8. Omstartskrav

      Start datamaskinen eller tjenesten Server på nytt. Du gjør dette ved å kjøre kommandoene nedenfor fra en kommandolinje. Trykk ENTER etter at du har skrevet inn hver kommando.
      net stop server
      net start server
  7. Nettverkstilgang: Tillat anonym SID/navneoversetting
    1. Bakgrunn

      Sikkerhetsinnstillingen Nettverkstilgang: Tillat anonym SID/navneoversetting fastsetter om en anonym bruker kan be om SID-attributter (Security Identification Number) for en annen bruker.
    2. Risikofylt konfigurasjon

      Aktivering av innstillingen Nettverkstilgang: Tillat anonym SID/navneoversetting er en skadelig konfigurasjonsinnstilling.
    3. Grunner til å aktivere denne innstillingen

      Hvis innstillingen Nettverkstilgang: Tillat anonym SID/navneoversetting er deaktivert, kan det hende at tidligere operativsystemer eller programmer ikke kan kommunisere med Windows Server 2003-domener. Det kan for eksempel hende at følgende operativsystemer, tjenester eller programmer ikke fungerer:
      • Windows NT 4.0-baserte RAS-servere (servere for ekstern pålogging)
      • Microsoft SQL Server som kjører på Windows NT 3.x-baserte eller Windows NT 4.0-baserte datamaskiner
      • Tjenesten Ekstern pålogging som kjører på Windows 2000-baserte datamaskiner som finnes i Windows NT 3.x-domener eller i Windows NT 4.0-domener
      • SQL Server som kjører på Windows 2000-baserte datamaskiner som finnes i Windows NT 3.x-domener eller i Windows NT 4.0-domener
      • Brukere i Windows NT 4.0-ressursdomene som vil gi tilgangstillatelser til filer, delte mapper og registerobjekter til brukerkontoer fra kontodomener som inneholder Windows Server 2003-domenekontrollere
    4. Grunner til å deaktivere denne innstillingen

      Hvis denne innstillingen er aktivert, kan en ondsinnet bruker benytte den velkjente administrator-SIDen til å finne ut det virkelige navnet til den innebygde administratorkontoen, selv om kontoen har fått nytt navn. Vedkommende kan da bruke kontonavnet til å starte et passordgjettende angrep.
    5. Symbolsk navn: I/T
    6. Registerbane: Ingen. Banen er angitt i UI-kode.
    7. Eksempler på kompatibilitetsproblemer

      Windows NT 4.0: Datamaskiner i Windows NT 4.0-ressursdomener viser feilmeldingen Ukjent konto i redigeringsprogrammet for adgangskontroll (ACL) hvis ressurser, inkludert delte mapper, delte filer og registerobjekter, er sikret med sikkerhetskontoinnehavere som finnes i kontodomener som inneholder Windows Server 2003-domenekontrollere.
  8. Nettverkstilgang: Ikke tillat anonym opplisting av SAM-kontoer
    1. Bakgrunn
      • Innstillingen Nettverkstilgang: Ikke tillat anonym opplisting av SAM-kontoer bestemmer hvilke tilleggstillatelser som skal gis for anonyme tilkoblinger til datamaskinen. Windows tillater at anonyme brukere kan utføre bestemte aktiviteter, for eksempel opplisting av navnene på SAM-kontoer (Security Accounts Manager) for arbeidsstasjoner og servere og for delte nettverksressurser. En administrator kan for eksempel bruke dette til å gi tilgang til brukere i et klarert domene som ikke har en tilsvarende klarering. Når en økt er utført, kan en anonym bruker ha samme tilgang som er gitt til Alle-gruppen basert på innstillingen i Nettverkstilgang: La alle-tillatelser gjelde for anonyme brukere eller den detaljerte tilgangskontrollisten (DACL) for objektet.

        Anonyme tilkoblinger anmodes vanligvis av tidligere versjoner (eller lavere nivåer) av klienter under oppstart av en SMB-økt. I disse tilfellene viser en nettverkssporing at SMB-prosess-IDen (PID) er klientomadressereren, for eksempel 0xFEFF i Windows 2000 eller 0xCAFE i Windows NT. Det kan også hende at RPC forsøker å foreta anonyme tilkoblinger.
      • Viktig!  Denne innstillingen har ingen innvirkning på domenekontrollere. På domenekontrollere styres denne virkemåten av tilstedeværelsen av "NT-MYNDIGHET\ANONYM PÅLOGGING" i "Pre-Windows 2000-kompatibel tilgang".
      • I Windows 2000 er det en lignende innstilling, Ekstra begrensninger for anonyme tilkoblinger, som håndterer registerverdien
        RestrictAnonymous
        . Plasseringen til denne verdien er:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
        Hvis du vil ha mer informasjon om registerverdien RestrictAnonymous, kan du klikke artikkelnumrene nedenfor for å vise artiklene i Microsoft Knowledge Base:
        246261 Bruke registerverdien RestrictAnonymous i Windows 2000 (denne artikkelen kan være på engelsk)
        143474 Begrense informasjon som er tilgjengelig for brukere med anonym pålogging (denne artikkelen kan være på engelsk)
    2. Risikofylte konfigurasjoner:

      Aktivering av innstillingen Nettverkstilgang: Ikke tillat anonym opplisting av SAM-kontoer er en skadelig konfigurasjonsinnstilling fra et kompatibilitetsperspektiv, og deaktivering av denne innstillingen er en skadelig konfigurasjonsinnstilling fra et sikkerhetsperspektiv.
    3. Grunner til å aktivere denne innstillingen

      En uautorisert bruker kan anonymt vise kontonavn, og deretter bruke informasjonen til å forsøke å gjette passord eller utføre angrep av typen sosialt ingeniørarbeid. Sosialt ingeniørarbeid er sjargong som betyr å lure personer til å avsløre passord eller andre former for sikkerhetsinformasjon.
    4. Grunner til å deaktivere denne innstillingen

      Hvis denne innstillingen er aktivert, er det ikke mulig å opprette klareringer med Windows NT 4.0-domener. Denne innstillingen vil også forårsake problemer med klienter på lavere nivåer, for eksempel Windows NT 3.51-klienter og Windows 95-klienter som forsøker å bruke ressurser på serveren.
    5. Symbolsk navn: RestrictAnonymousSAM
    6. Registerbane:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)
    7. Eksempler på kompatibilitetsproblemer
    • SMS Network Discovery kan ikke få tak i informasjon om operativsystemet, og vil skrive Ukjent i egenskapen OperatingSystemNameandVersion.
    • Windows 95, Windows 98: Windows 95-klienter og Windows 98-klienter kan ikke endre passordene.
    • Windows NT 4.0: Windows NT 4.0-baserte medlemsdatamaskiner kan ikke godkjennes.
    • Windows 95, Windows 98: Windows 95-baserte og Windows 98-baserte datamaskiner kan ikke godkjennes av Microsoft-domenekontrollere.
    • Windows 95, Windows 98: Brukere på Windows 95-baserte og Windows 98-baserte datamaskiner kan ikke endre passordene for sine brukerkontoer.
  9. Nettverkstilgang: Ikke tillat anonym opplisting av SAM-kontoer og -ressurser
    1. Bakgrunn
      • Innstillingen Nettverkstilgang: Ikke tillat anonym opplisting av SAM-kontoer og -ressurser (også kjent som RestrictAnonymous) avgjør om anonym opplisting av SAM-kontoer og -ressurser (Security Accounts Manager) er tillatt. Windows tillater at anonyme brukere kan utføre bestemte aktiviteter, for eksempel opplisting av navnene på domenekontoer (brukere, datamaskiner og grupper) og delte nettverksressurser. Dette kan være nyttig når for eksempel en administrator vil gi tilgang til brukere i et pålitelig domene som ikke har en tilsvarende klarering. Hvis du ikke vil tillate anonym opplisting av SAM-kontoer og -ressurser, aktiverer du denne innstillingen.
      • I Windows 2000 er det en lignende innstilling, Ekstra begrensninger for anonyme tilkoblinger, som håndterer registerverdien
        RestrictAnonymous
        . Plasseringen til denne verdien er:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    2. Risikofylt konfigurasjon

      Aktivering av innstillingen Nettverkstilgang: Ikke tillat anonym opplisting av SAM-kontoer og -ressurser er en skadelig konfigurasjonsinnstilling.
    3. Grunner til å aktivere denne innstillingen
      • Aktivering av innstillingen Nettverkstilgang: Ikke tillat anonym opplisting av SAM-kontoer og -ressurser hindrer opplisting av SAM-kontoer og -ressurser av brukere og datamaskiner som bruker anonyme kontoer.
    4. Grunner til å deaktivere denne innstillingen
      • Hvis denne innstillingen er aktivert, kan en uautorisert bruker anonymt vise kontonavn, og deretter bruke informasjonen til å forsøke å gjette passord eller utføre angrep av typen sosialt ingeniørarbeid. Sosialt ingeniørarbeid er sjargong som betyr å lure personer til å avsløre passord eller andre former for sikkerhetsinformasjon.
      • Hvis denne innstillingen er aktivert, vil det ikke være mulig å opprette klareringer med Windows NT 4.0-domener. Denne innstillingen vil også forårsake problemer med klienter på lavere nivåer, for eksempel Windows NT 3.51-klienter og Windows 95-klienter som forsøker å bruke ressurser på serveren.
      • Det vil ikke være mulig å gi tilgang til brukere av ressursdomener, fordi administratorer i det klarerte domenet ikke kan liste opp kontoer i det andre domenet. Brukere som anonymt får tilgang til fil- og utskriftsservere, kan ikke vise den delte nettverksressursen på disse serverne, og de må godkjennes før de kan vise listene over delte mapper og skrivere.
    5. Symbolsk navn:

      RestrictAnonymous
    6. Registerbane:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
    7. Eksempler på kompatibilitetsproblemer
      • Windows NT 4.0: Brukere kan ikke endre passordene fra Windows NT 4.0-arbeidsstasjoner når RestrictAnonymous er aktivert på domenekontrollere i brukernes domene. Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        198941 Brukere kan ikke endre passord når de logger seg på (denne artikkelen kan være på engelsk)
      • Windows NT 4.0: Hvis du forsøker å legge til brukere eller globale grupper fra klarerte Windows 2000-domener i lokale Windows NT 4.0-grupper i Brukerbehandling, vil dette mislykkes, og du vil få en feilmelding lik følgende:
        Det er ingen tilgjengelige påloggingsservere som kan utføre påloggingsforespørselen.
        Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        296405 Registerverdien RestrictAnonymous kan bryte klareringen til et Windows 2000-domene (denne artikkelen kan være på engelsk)
      • Windows NT 4.0: Windows NT 4.0-baserte datamaskiner kan ikke koble seg til domener under installasjonen eller ved å bruke tilkoblingsgrensesnittet for domenet.

        Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        184538 Feilmelding: finner ikke en kontroller for dette domenet (denne artikkelen kan være på engelsk)
      • Windows NT 4.0: Windows NT 4.0: Oppretting av en klarering på et lavere nivå med Windows NT 4.0-ressursdomener vil mislykkes med følgende feilmelding når RestrictAnonymous er aktivert på det klarerte domenet:
        Finner ikke domenekontroller for dette domenet.
        Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        178640 Finner ikke domenekontroller ved oppretting av en klarering (denne artikkelen kan være på engelsk)
      • Windows NT 4.0: Brukere som logger seg på Windows NT 4.0-baserte Terminal Server-datamaskiner, vil tilordnes til hjemmekatalogen som er standard i stedet for hjemmekatalogen som er definert i Brukerbehandling for domener.

        Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        236185 Terminal Server-brukerprofiler og hjemmemappebaner ignoreres etter installasjon av SP4 eller senere (denne artikkelen kan være på engelsk)
      • Windows NT 4.0: Sekundære domenekontrollere for Windows NT 4.0 (BDC) kan ikke starte tjenesten Net Logon for å hente en liste over sekundærsøkere eller for å synkronisere SAM-databasen fra Windows 2000- eller Windows Server 2003-domenekontrollere i samme domene.

        Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        293127 Net Logon-tjenesten for en sekundær domenekontroller for Windows NT 4.0 fungerer ikke i et Windows 2000-domene (denne artikkelen kan være på engelsk)
      • Windows 2000: Windows 2000-baserte medlemsdatamaskiner i Windows NT 4.0-domener kan ikke vise skrivere i eksterne domener hvis innstillingen Ingen tilgang uten eksplisitt angitte anonyme tillatelser er aktivert i den lokale sikkerhetspolicyen for klientdatamaskinen.

        Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        280329 Bruker kan ikke behandle eller vise skriveregenskaper (denne artikkelen kan være på engelsk)
      • Windows 2000: Windows 2000-domenebrukere kan ikke legge til nettverksskrivere fra Active Directory, men de kan legge til skrivere etter at de har valgt dem i trevisningen.

        Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        318866 Outlook-klienter kan ikke vise den globale adresselisten etter at du har installert Security Rollup Package 1 (SRP1) på den globale katalogserveren (denne artikkelen kan være på engelsk)
      • Windows 2000: På Windows 2000-baserte datamaskiner kan ikke redigeringsprogrammet for adgangskontroll (ACL) legge til brukere eller globale grupper fra klarerte Windows NT 4.0-domener.

        Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        296403 RestrictAnonymous-verdien bryter klareringen i et miljø med blandede domener (denne artikkelen kan være på engelsk)
      • ADMT versjon 2: Passordoverføring for brukerkontoer som overføres gjennom skoger med ADMT Active Directory Migration Tool (ADMT) versjon 2, vil mislykkes.

        Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        322981 Feilsøke passordoverføring mellom skoger med ADMTv2 (denne artikkelen kan være på engelsk)
      • Outlook-klienter: Den globale adresselisten ser tom ut for Microsoft Exchange Outlook-klienter.

        Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        318866 Outlook-klienter kan ikke vise den globale adresselisten etter at du har installert Security Rollup Package 1 (SR) på den globale katalogserveren (denne artikkelen kan være på engelsk)
        321169 Treg SMB-ytelse når du kopierer filer fra Windows XP til en Windows 2000-domenekontroller (denne artikkelen kan være på engelsk)
      • SMS: Microsoft Systems Management Server (SMS) Network Discovery kan ikke hente informasjonen om operativsystemet. Det vil derfor skrive Ukjent i egenskapen OperatingSystemNameandVersion for SMS DDR-egenskapen til DDR (Discovery Data Record).

        Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        229769 Slik fastslår Discovery Data Manager når det skal genereres en forespørsel om klientkonfigurasjon (denne artikkelen kan være på engelsk)
      • SMS: Når du bruker veiviseren for SMS-administratorbruker til å søke etter brukere og grupper, vil det ikke vises noen brukere eller grupper. Dessuten kan ikke avanserte klienter kommunisere med administrasjonspunktet. Det kreves anonym tilgang på administrasjonspunktet.

        Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        302413 Ingen brukere eller grupper vises i veiviseren for administratorbruker (denne artikkelen kan være på engelsk)
      • SMS: Når du bruker funksjonen Network Discovery i SMS 2.0 og i den eksterne klientinstallasjonen når alternativet Topologi, klient og klientoperativsystemer for Network Discovery er aktivert, kan det hende at datamaskiner registreres, men ikke installeres.

        Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        311257 Ressurser oppdages ikke hvis anonyme tilkoblinger deaktiveres (denne artikkelen kan være på engelsk)
  10. Nettverkssikkerhet: LAN Manager-godkjenningsnivå
    1. Bakgrunn

      LAN Manager (LM) er protokollen som brukes til å godkjenne Windows-klienter for nettverksoperasjoner, blant annet domenetilkoblinger, tilgang til nettverksressurser og godkjenning av brukere eller datamaskiner. LM-godkjenningsnivået fastslår hvilken forespørsel/svar-godkjenningsprotokoll det skal forhandles om mellom klient- og serverdatamaskinene. LM-godkjenningsnivået fastslår nærmere bestemt hvilke godkjenningsprotokoller som klienten forsøker å forhandle med eller som serveren vil godta. Verdien som er angitt for LmCompatibilityLevel, bestemmer hvilken forespørsel/svar-godkjenningsprotokoll som brukes for nettverkspålogginger. Denne verdien påvirker nivået på godkjenningsprotokollen som klienter bruker, nivået på øktsikkerhet det forhandles om, og nivået på godkjenning som godtas av servere, i henhold til følgende tabell.

      Mulige innstillinger omfatter disse.
      Skjul denne tabellenVis denne tabellen
      VerdiInnstillingBeskrivelse
      0 Send LM- og NTLM-svarKlienter bruker LM- og NTLM-godkjenning, og bruker aldri NTLMv2-øktsikkerhet, domenekontrollere godtar LM-, NTLM- og NTLMv2-godkjenning.
      1Send LM og NTLM - bruk NTLM v2-øktsikkerhet hvis forhandletKlienter bruker LM- og NTLM-godkjenning, og bruker NTLMv2-øktsikkerhet hvis serveren støtter det, domenekontrollere godtar LM-, NTLM- og NTLMv2-godkjenning.
      2Bare send NTLM-responsKlienter bruker bare NTLM-godkjenning, og bruker NTLMv2-øktsikkerhet hvis serveren støtter det, domenekontrollere godtar LM-, NTLM- og NTLMv2-godkjenning.
      3Bare send NTLMv2-responsKlienter bruker bare NTLMv2-godkjenning, og bruker NTLMv2-øktsikkerhet hvis serveren støtter det, domenekontrollere godtar LM-, NTLM- og NTLMv2-godkjenning.
      4Send bare NTLMv2-svar\avslå LM-svarKlienter bruker bare NTLMv2-godkjenning, og bruker NTLMv2-øktsikkerhet hvis serveren støtter det. Domenekontrollere avslår LM, og godtar bare NTLM- og NTLMv2-godkjenning).
      5Send bare NTLMv2-svar\avslå LM og NTLMKlienter bruker bare NTLMv2-godkjenning, og bruker NTLMv2-øktsikkerhet hvis serveren støtter det, domenekontrollere avslår LM og NTLM (de godtar bare NTLMv2-godkjenning).
      Obs!  I Windows 95, Windows 98 og Windows 98 Second Edition bruker katalogtjenesteklienten SMB-signering når den godkjenner med Windows Server 2003-servere ved hjelp av NTLM-godkjenning. Disse klientene bruker imidlertid ikke SMB-signering når de godkjenner med disse serverne ved hjelp av NTLMv2-godkjenning. Dessuten svarer ikke Windows 2000-servere på SMB-signeringsforespørsler fra disse klientene.

      Kontroller LM-godkjenningsnivået Du må endre policyen på serveren for å tillate NTLM, eller du må konfigurere klientdatamaskinen til å støtte NTLMv2.

      Hvis policyen er angitt til (5) Send bare NTLMv2-svar\avslå LM og NTLM på måldatamaskinen du vil koble deg til, må du enten senke innstillingen på datamaskinen eller angi sikkerheten til den samme innstillingen som finnes på kildedatamaskinen du kobler deg fra.

      Finn riktig plassering der du kan endre LAN Manager-godkjenningsnivået for å sette klienten og serveren til samme nivå. Når du har funnet policyen som angir LAN Manager-godkjenningsnivået, og hvis du vil koble deg til og fra datamaskiner som kjører tidligere versjoner av Windows, kan du redusere verdien til minst (1) Send LM og NTLM - bruk NTLM versjon 2-øktsikkerhet hvis forhandlet. Én effekt av inkompatible innstillinger er at hvis serveren krever NTLMv2 (verdi 5), men klienten er konfigurert til bare å bruke LM og NTLMv1 (verdi 0), opplever brukeren som forsøker å få godkjenning, en påloggingsfeil som har et feil passord og som øker antallet feil passord. Hvis utelåsing av konto er konfigurert, kan det hende at brukeren til slutt blir låst ute.

      Det kan for eksempel hende at du må se på domenekontrolleren, eller på policyene for domenekontrolleren.

      Se på domenekontrolleren
      Obs!  Det kan hende at du må gjenta følgende fremgangsmåte på alle domenekontrollerne.
      1. Klikk Start, velg Programmer, og klikk deretter Administrative verktøy.
      2. Under Lokale sikkerhetsinnstillinger utvider du Lokale policyer.
      3. Klikk Sikkerhetsalternativer.
      4. Dobbeltklikk Nettverkssikkerhet: LAN Manager-godkjenningsnivå, og klikk deretter den aktuelle verdien i listen.
      Hvis den effektive innstillingen og den lokale innstillingen er like, er policyen endret på dette nivået. Hvis innstillingene er forskjellige, må du kontrollere domenekontrollerens policy for å finne ut om innstillingen Nettverkssikkerhet: LAN Manager-godkjenningsnivå er definert der. Hvis den ikke er definert der, kan du se på policyene for domenekontrolleren.

      Se på policyene for domenekontrolleren
      1. Klikk Start, velg Programmer, og klikk deretter Administrative verktøy.
      2. I policyen for domenekontrollersikkerhet utvider du Sikkerhetsinnstillinger og deretter Lokale policyer.
      3. Klikk Sikkerhetsalternativer.
      4. Dobbeltklikk Nettverkssikkerhet: LAN Manager-godkjenningsnivå, og klikk deretter den aktuelle verdien i listen.
      Obs!  
      • Det kan også hende at du må kontrollere policyer som er koblet på stedsnivå, på domenenivå eller på organisasjonsenhetsnivå for å fastslå hvor du må konfigurere LAN Manager-godkjenningsnivået.
      • Hvis du implementerer en innstilling for gruppepolicy som standard domenepolicy, brukes policyen på alle datamaskinene i domenet.
      • Hvis du implementerer en innstilling for gruppepolicy som standardpolicyen for domenekontrolleren, brukes policyen bare på serverne i domenekontrollerens organisasjonsenhet.
      • Det er en god idé å angi LAN Manager-godkjenningsnivået i den laveste enheten av det nødvendige omfanget i brukshierarkiet for policyen.
      Oppdater policyen når du har foretatt eventuelle endringer. (Hvis endringen er på nivået for de lokale sikkerhetsinnstillingene, skjer endringen umiddelbart. Du må imidlertid starte klientene på nytt før du foretar testen.)

      Som standard oppdateres innstillingene for gruppepolicy på domenekontrollere hvert femte minutt. Hvis du umiddelbart vil tvinge gjennom oppdateringen av policyinnstillingene på Windows 2000 eller senere, kan du bruke kommandoen gpupdate.

      Kommandoen gpupdate /force oppdaterer lokale innstillinger for gruppepolicy og innstillinger for gruppepolicy som er basert på katalogtjenesten Active Directory, inkludert sikkerhetsinnstillinger. Denne kommandoen erstatter det nå foreldede alternativet /refreshpolicy for kommandoen secedit.

      Kommandoen gpupdate bruker følgende syntaks:
      gpupdate [/target:{datamaskin|bruker}] [/force] [/wait:verdi] [/logoff] [/boot]

      Bruk det nye Gruppepolicy-objektet (GPO) ved å bruke kommandoen gpupdate til manuelt å bruke alle policyinnstillinger på nytt. Dette gjør du ved å skrive inn følgende ved ledeteksten og trykke ENTER:
      GPUpdate /Force
      Se i programmets hendelseslogg for å kontrollere at policyinnstillingen ble brukt.

      I Windows XP og Windows Server 2003 kan du bruke snapin-modulen Resulterende policysett for å se den effektive innstillingen. Dette gjør du ved å klikke Start, klikke Run, skrive inn rsop.msc, og deretter klikke OK.

      Hvis problemet vedvarer etter at du har endret policyen, starter du den Windows-baserte serveren på nytt, og kontrollerer deretter at problemet er løst.

      Obs!  Hvis du har flere Windows 2000-baserte domenekontrollere, Windows Server 2003-baserte domenekontrollere eller begge deler, kan det hende at du må replikere Active Directory for å sikre at disse domenekontrollerne får de oppdaterte endringene umiddelbart.

      Det er også mulig at innstillingen kan være angitt til den laveste innstillingen i den lokale sikkerhetspolicyen. Hvis du kan tvinge gjennom innstillingen ved hjelp av en sikkerhetsdatabase, kan du eventuelt angi LAN Manager-godkjenningsnivået i registret ved å redigere oppføringen LmCompatibilityLevel i følgende registerundernøkkel:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
      Windows Server 2003 har en ny standardinnstilling som går ut på bare å bruke NTLMv2. Som standard har Windows Server 2003- og Windows 2000 Server SP3-baserte domenekontrollere aktivert policyen "Microsoft nettverksserver: Signer serverkommunikasjon digitalt (alltid)". Med denne innstillingen må SMB-serveren utføre SMB-pakkesignering. Endringer i Windows Server 2003 ble utført fordi domenekontrollere, filservere, nettverksinfrastrukturservere og webservere i en hvilken som helst organisasjon krever ulike innstillinger for å optimalisere sikkerheten.

      Hvis du vil implementere NTLMv2-godkjenning i nettverket, må du kontrollere at alle datamaskinene i domenet er angitt til å bruke dette godkjenningsnivået. Hvis du bruker Active Directory Client-utvidelser for Windows 95, Windows 98 eller Windows NT 4.0, bruker klientutvidelsene de forbedrede godkjenningsfunksjonene som er tilgjengelige i NTLMv2. Fordi klientdatamaskiner som kjører et av de følgende operativsystemene, ikke påvirkes av Gruppepolicy-objekter i Windows 2000, kan det hende at du må konfigurere disse klientene manuelt:
      • Microsoft Windows NT 4.0
      • Microsoft Windows Millennium Edition
      • Microsoft Windows 98
      • Microsoft Windows 95
      Obs!  Hvis du aktiverer policyen Nettverkssikkerhet: Ikke lagre nummerverdi for LAN Manager ved neste passordendring eller angir registernøkkelen NoLMHash, kan ikke Windows 95-baserte eller Windows 98-baserte klienter som ikke har katalogtjenesteklienten installert, logge seg på domenet etter at passordet er endret.

      Mange CIFS-servere fra tredjeparter, for eksempel Novell Netware 6, kjenner ikke til NTLMv2, og bruker bare NTLM. Derfor tillater ikke nivåer høyere enn 2 tilkobling.

      Hvis du vil ha mer informasjon om hvordan du manuelt konfigurerer Lan Manager-godkjenningsnivået, kan du klikke følgende artikkelnumre for å vise artiklene i Microsoft Knowledge Base:
      147706 Deaktivere LM-godkjenning i Windows NT (denne artikkelen kan være på engelsk)
      175641 LMCompatibilityLevel og virkningene av det (denne artikkelen kan være på engelsk)
      299656 Hindre Windows i å lagre et LAN Manager-nummer av passordet i Active Directory og lokale SAM-databaser (denne artikkelen kan være på engelsk)
      312630 Outlook ber deg fortsatt om påloggingsinformasjon (denne artikkelen kan være på engelsk)
      Hvis du vil ha mer informasjon om LM-godkjenningsnivåer, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
      239869 Aktivere NTLM 2-godkjenning (denne artikkelen kan være på engelsk)
    2. Risikofylte konfigurasjoner

      Følgende er skadelige konfigurasjonsinnstillinger:
      • Ikke-restriktive innstillinger som sender passord i klartekst og avslår NTLMv2-forhandling.
      • Restriktive innstillinger som hindrer inkompatible klienter eller domenekontrollere i å forhandle frem en felles godkjenningsprotokoll.
      • Kreve NTLMv2-godkjenning på medlemsdatamaskiner og domenekontrollere som kjører tidligere versjoner av Windows NT 4.0 enn Service Pack 4 (SP4).
      • Kreve NTLMv2-godkjenning på Windows 95-klienter eller Windows 98-klienter der katalogtjenesteklienten for Windows ikke er installert.
      • Hvis du klikker for å merke av for Krever NTLMv2-øktsikkerhet i snapin-hierarkiet i redigeringsprogrammet for gruppepolicy for Microsoft Management Console på en Windows Server 2003- eller Windows 2000 Service Pack 3-basert datamaskin, og du reduserer LAN Manager-godkjenningsnivået til 0, vil de to innstillingene være i konflikt, og du kan få følgende feilmelding i filen Secpol.msc eller GPEdit.msc:
        Kan ikke åpne lokal policydatabase. Det oppstod en feil under åpning av databasen.
        Hvis du vil ha mer informasjon om sikkerhetskonfigurasjons- og analyseverktøyet, kan du se hjelpefilene for Windows 2000 eller Windows Server 2003.

        Hvis du vil ha mer informasjon om hvordan du analyserer sikkerhetsnivåene i Windows 2000 og Windows Server 2003, kan du klikke følgende artikkelnumre for å vise artiklene i Microsoft Knowledge Base:
        313203 Analysere systemsikkerheten i Windows 2000 (denne artikkelen kan være på engelsk)
        816580 Analysere systemsikkerheten i Windows Server 2003 (denne artikkelen kan være på engelsk)
    3. Grunner til å endre denne innstillingen
      • Du vil øke den laveste felles godkjenningsprotokollen som støttes av klienter og domenekontrollere i organisasjonen.
      • Hvis sikker godkjenning er et forretningskrav, vil du ikke tillate forhandling om LM- og NTLM-protokollene.
    4. Grunner til å deaktivere denne innstillingen

      Kravene til klient- og/eller servergodkjenning er økt til et punkt der godkjenning over en felles protokoll ikke kan finne sted.
    5. Symbolsk navn:

      LmCompatibilityLevel
    6. Registerbane:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
    7. Eksempler på kompatibilitetsproblemer
      • Windows Server 2003: Som standard er innstillingen for å sende NTLM-svar i Windows Server 2003 aktivert. Derfor mottar Windows Server 2003 feilmeldingen Ingen tilgang etter den innledende installasjonen når du forsøker å koble deg til en Windows NT 4.0-basert klynge eller til LanManager V2.1-baserte servere, for eksempel OS/2 Lanserver. Dette problemet oppstår også hvis du forsøker å koble deg til fra en klient i en tidligere versjon til en Windows Server 2003-basert server.
      • Du installerer Windows 2000 Security Rollup Package 1 (SRP1). SRP1 tvinger frem NTLM versjon 2 (NTLMv2). Denne samlepakken ble utgitt etter utgivelsen av Windows 2000 Service Pack 2 (SP2). Hvis du vil ha mer informasjon om SRP1, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

        311401 Windows 2000 Security Rollup Package 1. januar 2002 (denne artikkelen kan være på engelsk)
      • Microsoft Outlook-klienter kan bli bedt om påloggingsinformasjon selv om de allerede er logget på domenet. Når brukere oppgir påloggingsinformasjonen, får de følgende feilmelding:
        Påloggingsinformasjonen var feil. Kontroller at brukernavn og domene er riktig, og skriv deretter passordet inn på nytt.
        Når du starter Outlook, kan du bli bedt om påloggingsinformasjonen selv om innstillingen Nettverkssikkerhet under pålogging er angitt til direkte godkjenning eller passordgodkjenning. Når du har skrevet inn riktig påloggingsinformasjon, kan du få en feilmelding som ligner på denne:
        Påloggingsinformasjonen var feil.
        En nettverksovervåkingssporing viser kanskje at den globale katalogen utstedte en RPC-feil (Remote Procedure Call) med statusen 0x5. Statusen 0x5 betyr Ingen tilgang.
      • Windows 2000: Et Network Monitor-opptak kan vise følgende feil i SMB-økten (Server Message Block) for NetBIOS over TCP/IP (NetBT):
        SMB R Search Directory Dos error, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Invalid user identifier
      • Windows 2000: Hvis et Windows 2000-domene med NTLMv2 nivå 2 eller senere er klarert av et Windows NT 4.0-domene, kan det oppstå godkjenningsfeil på Windows 2000-baserte medlemsdatamaskiner i ressursdomenet.

        Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        305379 Godkjenningsproblemer i Windows 2000 med NTLM 2-nivåer over 2 i et Windows NT 4.0-domene (denne artikkelen kan være på engelsk)
      • Windows 2000 og Windows XP: Som standard er alternativet for den lokale sikkerhetspolicyen for LAN Manager-godkjenningsnivået satt til 0 i Windows 2000 og Windows XP. Innstillingen 0 betyr Send LM- og NTLM -svar.

        Obs!  Windows NT 4.0-baserte klynger må bruke LM til administrasjon.
      • Windows 2000: Windows 2000-klynger godkjenner ikke en tilkoblende node hvis begge noder er del av et Windows NT 4.0 Service Pack 6a (SP6a)-domene.

        Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        305379 Godkjenningsproblemer i Windows 2000 med NTLM 2-nivåer over 2 i et Windows NT 4.0-domene (denne artikkelen kan være på engelsk)
      • IIS Lockdown-verktøyet (HiSecWeb) angir LMCompatibilityLevel-verdien til 5 og RestrictAnonymous-verdien til 2.
      • Tjenester for Macintosh

        Brukergodkjenningsmodul (UAM): Microsoft-brukergodkjenningsmodulen (UAM, User Authentication Module) inneholder en metode for å kryptere passordene du bruker til å logge deg på Windows AFP-servere (AppleTalk Filing Protocol). Apples brukergodkjenningsmodul (UAM) inneholder bare minimal eller ingen kryptering. Derfor kan passordet ditt enkelt bli fanget opp i lokalnettet eller på Internett. Selv om brukergodkjenningsmodulen ikke er obligatorisk, gir den kryptert godkjenning til Windows 2000-servere som kjører tjenester for Macintosh. Denne versjonen inneholder støtte for 128-biters kryptert godkjenning med NTLMv2 og en MacOS X 10.1-kompatibel versjon.

        Som standard tillater Windows Server 2003-serveren for tjenester for Macintosh bare Microsoft-godkjenning.

        Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnumre for å vise artiklene i Microsoft Knowledge Base:
        834498 Macintosh-klienten kan ikke koble til tjenester for Mac på Windows Server 2003 (denne artikkelen kan være på engelsk)
        838331 Mac OS X-brukere kan ikke åpne delte Macintosh-mapper på en Windows Server 2003-basert server (denne artikkelen kan være på engelsk)
      • Windows Server 2008, Windows Server 2003, Windows XP og Windows 2000: Hvis du konfigurerer LMCompatibilityLevel-verdien til å være 0 eller 1, og deretter konfigurerer NoLMHash-verdien til å være 1, kan det hende at programmer og komponenter blir nektet tilgang via NTLM. Dette problemet oppstår fordi datamaskinen er konfigurert til å aktivere LM, men ikke til å bruke LM-lagrede passord.

        Hvis du konfigurerer NoLMHash-verdien til å være 1, må du konfigurere LMCompatibilityLevel-verdien til å være 2 eller høyere.
  11. Nettverkssikkerhet: Krav til signering for LDAP-klient
    1. Bakgrunn

      Innstillingen Nettverkssikkerhet: Krav til signering for LDAP-klient bestemmer nivået for datasignering som kreves på vegne av klienter som utsteder BIND-forespørsler med LDAP (Lightweight Directory Access Protocol) slik:
      • Ingen: LDAP BIND-forespørselen utstedes med anroperangitte alternativer.
      • Forhandle om signering: Hvis SSL/TLS (Secure Sockets Layer/Transport Layer Security) ikke er startet, startes LDAP BIND-forespørselen med alternativet for LDAP-datasignering angitt, i tillegg til de anroperangitte alternativene. Hvis SSL/TLS er startet, startes LDAP BIND-forespørselen med de anroperangitte alternativene.
      • Krever signering: Dette er det samme som Forhandle om signering. Hvis imidlertid LDAP-serverens midlertidige saslBindInProgress-svar ikke angir at LDAP-trafikksignering er nødvendig, får anroperen beskjed om at LDAP BIND-kommandoforespørselen mislyktes.
    2. Risikofylt konfigurasjon

      Aktivering av innstillingen Nettverkstilgang: Krav til signering for LDAP-klient er en skadelig konfigurasjonsinnstilling. Hvis du angir at serveren krever LDAP-signaturer, må du også konfigurere LDAP-signering på klienten. Hvis du ikke konfigurerer klienten til å bruke LDAP-signaturer, vil dette hindre kommunikasjon med serveren, noe som fører til at brukergodkjenning, innstillinger for gruppepolicy, påloggingsskript og andre funksjoner mislykkes.
    3. Grunner til å endre denne innstillingen

      Usignert nettverkstrafikk er utsatt for mellommannangrep, der en inntrenger fanger opp pakker mellom klienten og serverne, endrer dem og videresender dem til serveren. Når dette skjer på en LDAP-server, kan en angriper få en server til å svare basert på falske spørringer fra LDAP-klienten. Du kan redusere denne risikoen i et firmanettverk ved å implementere strenge fysiske sikkerhetstiltak for å beskytte nettverksinfrastrukturen. I tillegg kan du gjøre det ekstremt vanskelig å utføre mellommannangrep ved å kreve digitale signaturer på alle nettverkspakker ved hjelp av IPSec-godkjenningshoder.
    4. Symbolsk navn:

      LDAPClientIntegrity
    5. Registerbane:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
  12. Hendelseslogg: Maksimal loggstørrelse for sikkerhetslogg
    1. Bakgrunn

      Sikkerhetsinnstillingen Hendelseslogg: Maksimal loggstørrelse for sikkerhetslogg angir den maksimale størrelsen på hendelsesloggen for sikkerhet. Denne loggen har en maksimal størrelse på 4 GB. Du finner denne innstillingen ved å utvide Windows-innstillinger og deretter Sikkerhetsinnstillinger.
    2. Risikofylte konfigurasjoner

      Følgende er skadelige konfigurasjonsinnstillinger:
      • Begrenser størrelsen på sikkerhetsloggen og oppbevaringsmetoden for sikkerhetsloggen når innstillingen Overvåk: Avslutt system umiddelbart hvis sikkerhetslogger ikke kan overvåkes er aktivert. Se delen Overvåk: Avslutt system umiddelbart hvis sikkerhetslogger ikke kan overvåkes i denne artikkelen hvis du vil ha mer informasjon.
      • Begrensning av størrelsen på sikkerhetsloggen slik at sikkerhetshendelser av interesse skrives over.
    3. Grunner til å øke denne innstillingen

      Forretnings- og sikkerhetskrav tilsier kanskje at du må øke størrelsen på sikkerhetsloggen for å håndtere flere sikkerhetsloggdetaljer eller for å beholde sikkerhetslogger over lengre tidsperioder.
    4. Grunner til å øke denne innstillingen

      Hendelseslistelogger er minnetilordnede filer. Den maksimale størrelsen på en hendelseslogg er begrenset av mengden fysisk minne i den lokale datamaskinen og av det virtuelle minnet som er tilgjengelig for hendelsesloggprosessen. Hvis du øker loggstørrelsen ut over mengden virtuelt minne som er tilgjengelig for Hendelsesliste, øker ikke antallet loggoppføringer som oppbevares.
    5. Eksempler på kompatibilitetsproblemer

      Windows 2000: Datamaskiner som kjører tidligere versjoner av Windows 2000 enn Service Pack 4 (SP4), kan slutte å registrere hendelser i hendelsesloggen før størrelsen som er angitt i innstillingen Maksimal loggstørrelse i Hendelsesliste, er nådd, hvis alternativet Ikke skriv over hendelser (tøm logg manuelt) er aktivert.

      Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
      312571 Hendelsesloggen slutter å registrere hendelser før den maksimale loggstørrelsen er nådd (denne artikkelen kan være på engelsk)
  13. Hendelseslogg: Oppbevar sikkerhetslogg
    1. Bakgrunn

      Sikkerhetsinnstillingen Hendelseslogg: Oppbevar sikkerhetslogg fastsetter tekstbrytingsmetoden for sikkerhetsloggen. Du finner denne innstillingen ved å utvide Windows-innstillinger og deretter Sikkerhetsinnstillinger.
    2. Risikofylte konfigurasjoner

      Følgende er skadelige konfigurasjonsinnstillinger:
      • Ikke beholde alle registrerte sikkerhetshendelser før de skrives over
      • Konfigurere innstillingen Maksimal loggstørrelse for sikkerhetslogg for lav, slik at sikkerhetshendelser skrives over
      • Begrenser størrelsen på og oppbevaringsmetoden for sikkerhetsloggen når sikkerhetsinnstillingen Overvåk: Avslutt system umiddelbart hvis sikkerhetslogger ikke kan overvåkes er aktivert.
    3. Grunner til å aktivere denne innstillingen

      Aktiver denne innstillingen bare hvis du velger oppbevaringsmetoden Skriv over hendelser etter dager. Hvis du bruker et hendelseskorrelasjonssystem som avspørres etter hendelser, må du kontrollere at antallet dager er minst tre ganger avspørringsfrekvensen. Gjør dette for å tillate mislykkede avspørringsintervaller.
  14. Nettverkstilgang: La Alle-tillatelser gjelde for anonyme brukere
    1. Bakgrunn

      Som standard er innstillingen Nettverkstilgang: La Alle-tillatelser gjelde for anonyme brukere angitt til Ikke definert på Windows Server 2003. Som standard er ikke Anonym tilgang-tokenet inkludert i Alle-gruppen på Windows Server 2003.
    2. Eksempler på kompatibilitetsproblemer

      Følgende verdi for
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
      [REG_DWORD]=0x0 bryter klareringsoppretting mellom Windows Server 2003 og Windows NT 4.0 når Windows Server 2003-domenet er kontodomenet og Windows NT 4.0-domenet er ressursdomenet. Dette betyr at kontodomenet er klarert på Windows NT 4.0, og at ressursdomenet er klarert på Windows Server 2003-siden. Dette skjer fordi prosessen med å starte klareringen etter den innledende anonyme tilkoblingen er tilgangskontrollert med Alle-tokenet, som omfatter den anonyme SIDen på Windows NT 4.0.
    3. Grunner til å endre denne innstillingen

      Verdien må angis til 0x1 eller angis ved å sette en GPO på domenekontrollerens organisasjonsenhet til: Nettverkstilgang: La Alle-tillatelser gjelde for anonyme brukere - Aktivert for å gjøre det mulig å opprette klareringer.

      Obs!  De fleste andre sikkerhetsinnstillinger går opp i verdi i stedet for ned til 0x0 i statusen med høyest sikkerhet. En sikrere praksis er å endre registret på emulatoren for den primære domenekontrolleren i stedet for på alle domenekontrollerne. Hvis emulatorrollen for den primære domenekontrolleren av en eller annen grunn flyttes, må registret oppdateres på den nye serveren.

      Det er nødvendig med en omstart etter at denne verdien er angitt.
    4. Registerbane
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
  15. NTLMv2-godkjenning

    Øktsikkerhet

    Øktsikkerhet fastsetter de minste sikkerhetsstandardene for klient- og serverøkter. Det er en god idé å bekrefte følgende sikkerhetspolicyinnstillinger i snapin-hierarkiet i redigeringsprogrammet for gruppepolicy for Microsoft Management Console:
    • Computer Settings\Windows Settings\Security Settings\Local Policies\Security Options
    • Nettverkssikkerhet: Minimum øktsikkerhet for NTLM SSP-baserte (inkludert sikker RPC) servere
    • Nettverkssikkerhet: Minimum øktsikkerhet for NTLM SSP-baserte (inkludert sikker RPC) klienter
    Alternativene for disse innstillingene er følgende:
    • Krever meldingsintegritet
    • Krever meldingskonfidensialitet
    • Krever NTLMv2-øktsikkerhet
    • Krev 128-biters kryptering
    Standardinnstillingen er Ingen krav.

    Disse policyene fastsetter de minste sikkerhetsstandardene for en kommunikasjonsøkt fra program til program på en server for en klient.

    Windows NT har tidligere støttet de følgende to variantene av forespørsel/svar-godkjenning for nettverkspålogginger:
    • Forespørsel/svar for LM
    • Forespørsel/svar for NTLM versjon 1
    LM tillater interoperabilitet med den installerte basen av klienter og servere. NTLM gir forbedret sikkerhet for tilkoblinger mellom klienter og servere.

    De tilsvarende registernøklene er følgende:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

Tidssynkronisering

Tidssynkronisering mislyktes. Klokkeslettet er feil med mer enn 30 minutter på en berørt datamaskin. Kontroller at klientdatamaskinens klokke er synkronisert med domenekontrollerens klokke.

Løsning for SMB-signering

Det anbefales at du installerer Service Pack 6a (SP6a) på Windows NT 4.0-klienter som fungerer sammen i et Windows Server 2003-basert domene. Windows 98 Second Edition-baserte, Windows 98-baserte og Windows 95-baserte klienter må kjøre katalogtjenesteklienten for å kunne utføre NTLMv2. Hvis Windows NT 4.0-baserte klienter ikke har Windows NT 4.0 SP6 installert, eller hvis Windows 95-baserte , Windows 98-baserte og Windows 98SE-baserte klienter ikke har katalogtjenesteklienten installert, kan du deaktivere SMB-signering i policyinnstillingen som er standard for domenekontrolleren på domenekontrollerens organisasjonsenhet, og deretter koble denne policyen til alle organisasjonsenheter som er vert for domenekontrollere.

Katalogtjenesteklienten for Windows 98 Second Edition, Windows 98 og Windows 95 utfører SMB-signering med Windows 2003-servere under NTLM-godkjenning, men ikke under NTLMv2-godkjenning. Dessuten vil ikke Windows 2000-servere svare på SMB-signeringsforespørsler fra disse klientene.

Selv om det ikke anbefales, kan du hindre at SMB-signering kreves på alle domenekontrollere som kjører Windows Server 2003 i et domene. Bruk denne fremgangsmåten for å konfigurere denne sikkerhetsinnstillingen:
  1. Åpne standardpolicyen for domenekontrolleren.
  2. Åpne mappen Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options.
  3. Finn og klikk følgende policyinnstilling for Microsoft nettverksserver: Signer kommunikasjon digitalt (alltid), og klikk deretter Deaktivert:
Viktig!  Denne delen, metoden eller oppgaven inneholder fremgangsmåter for hvordan du endrer verdier i registret. Det kan imidlertid oppstå alvorlige problemer hvis du endrer registret på feil måte. Sørg derfor for at du følger fremgangsmåtene nøye. Husk å ta sikkerhetskopi av registret før du endrer det, som en ekstra beskyttelse. Dermed kan du gjenopprette registret hvis det skulle oppstå problemer. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registret, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
322756 Slik sikkerhetskopierer og gjenoppretter du registret i Windows XP
Du kan eventuelt deaktivere SMB-signering på serveren ved å endre registret. Slik gjør du dette:
  1. Klikk Start, klikk Kjør, skriv inn regedit, og klikk deretter OK.
  2. Finn og klikk følgende undernøkkel:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters
  3. Klikk oppføringen enablesecuritysignature.
  4. Klikk EndreRediger-menyen.
  5. I Verdidata-boksen skriver du inn 0, og deretter klikker du OK.
  6. Avslutt Registerredigering.
  7. Start datamaskinen på nytt eller stopp tjenesten Server og start den på nytt. Dette gjør du ved å skrive inn følgende kommandoer ved ledeteksten, og trykke ENTER når du har skrevet inn hver kommando:
    net stop server
    net start server
Obs!  Den tilsvarende nøkkelen på klientdatamaskinen er følgende registerundernøkkel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters
Følgende viser feilkodenumrene oversatt til statuskoder og den ordrette feilmeldingsteksten som er nevnt tidligere:
error 5
ERROR_ACCESS_DENIED
Ingen tilgang.
error 1326
ERROR_LOGON_FAILURE
Pålogging mislyktes: Ukjent brukernavn eller feil passord.
error 1788
ERROR_TRUSTED_DOMAIN_FAILURE
Det oppstod en feil i tillitsforholdet mellom hoveddomenet og det klarerte domenet.
error 1789
ERROR_TRUSTED_RELATIONSHIP_FAILURE
Klareringsforholdet mellom arbeidsstasjonen og primærdomenet ble ødelagt.
Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnumre for å vise artiklene i Microsoft Knowledge Base:
324802 Konfigurere gruppepolicyer for å angi sikkerhet for systemtjenester i Windows Server 2003 (denne artikkelen kan være på engelsk)
306771 Feilmeldingen Ingen tilgang når du har konfigurert en Windows Server 2003-klynge (denne artikkelen kan være på engelsk)
101747 Installere Microsoft-godkjenning på en Macintosh (denne artikkelen kan være på engelsk)
161372 Aktivere SMB-signering i Windows NT (denne artikkelen kan være på engelsk)
236414 Kan ikke bruke delte ressurser når LMCompatibilityLevel er angitt til bare NTLM 2-godkjenning (denne artikkelen kan være på engelsk)
241338 Windows NT LAN Manager versjon 3-klient med første pålogging hindrer påfølgende påloggingsaktivitet (denne artikkelen kan være på engelsk)
262890 Kan ikke hente stasjonstilkobling for hjemmekatalog i et blandet miljø (denne artikkelen kan være på engelsk)
308580 Tilordninger til hjemmemappe til servere på lavere nivå fungerer kanskje ikke under pålogging (denne artikkelen kan være på engelsk)
285901 Klienter for ekstern tilgang, VPN og RIS kan ikke opprette økter med en server som er konfigurert til å godta bare NTLM versjon 2-godkjenning (denne artikkelen kan være på engelsk)
816585 Bruke forhåndsdefinerte sikkerhetsmaler i Windows Server 2003 (denne artikkelen kan være på engelsk)
820281 Du må angi påloggingsinformasjon for Windows-kontoen når du kobler til Exchange Server 2003 ved hjelp av Outlook 2003 RPC over HTTP-funksjonen (denne artikkelen kan være på engelsk)

Egenskaper

Artikkel-ID: 823659 - Forrige gjennomgang: 12. mai 2011 - Gjennomgang: 20.0
Informasjonen i denne artikkelen gjelder:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows 95
Nøkkelord: 
kbinfo KB823659

Gi tilbakemelding

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com