Niezgodności programów, usług i klientów, które mogą wystąpić wskutek zmodyfikowania ustawień zabezpieczeń i przypisań praw użytkownika

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 823659 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

W niniejszym artykule opisano niezgodności, które mogą wystąpić na komputerach klienckich z systemem Microsoft Windows 95, Microsoft Windows 98, Microsoft Windows NT 4.0, Microsoft Windows 2000, Microsoft Windows XP Professional lub Microsoft Windows Server 2003 wskutek zmodyfikowania określonych ustawień zabezpieczeń i przypisań praw użytkownika w domenach systemu Windows NT 4.0, w domenach systemu Windows 2000 i w domenach systemu Windows Server 2003.

Konfigurowanie tych ustawień i przypisań w zasadach lokalnych i zasadach grupy może pozwolić na podwyższenie poziomu zabezpieczeń na kontrolerach domeny i komputerach członkowskich. Wadą podwyższonego poziomu zabezpieczeń jest powstanie niezgodności z klientami, usługami i programami.

Aby uzyskać lepszą orientację w błędnie skonfigurowanych ustawieniach zabezpieczeń, należy modyfikować ustawienia zabezpieczeń przy użyciu Edytora obiektów zasad grupy. Korzystanie z Edytora obiektów zasad grupy umożliwia korzystanie z rozszerzonego przypisywania praw użytkownika w następujących systemach operacyjnych:
  • Microsoft Windows XP Professional z dodatkiem Service Pack 2 (SP2)
  • Microsoft Windows Server 2003 z dodatkiem Service Pack 1 (SP1)
Rozszerzenie zawiera okno dialogowe z łączem do tego artykułu, które otwiera się przy każdej próbie zmiany ustawienia zabezpieczeń lub przypisania praw użytkownika na takie ustawienie, które jest w mniejszym stopniu zgodne i bardziej restrykcyjne. Jeśli to samo ustawienie zabezpieczeń lub przypisanie praw użytkownika jest modyfikowane bezpośrednio przy użyciu rejestru lub szablonów zabezpieczeń, efekt jest taki sam, jakby modyfikować ustawienie w Edytorze obiektów zasad grupy, ale okno dialogowe z łączem do tego artykułu nie jest wyświetlane.

Niniejszy artykuł zawiera przykłady klientów, programów i operacji między którymi pojawia się niezgodność przy określonych ustawieniach zabezpieczeń lub przypisaniach praw użytkownika. Nie są to jednak oficjalne przykłady niezgodności we wszystkich systemach operacyjnych firmy Microsoft, wszystkich systemach operacyjnych innych firm lub wszystkich wersji programów. Artykuł ten nie zawiera wszystkich ustawień zabezpieczeń i przypisań praw użytkownika.

Firma Microsoft zaleca, aby przed wprowadzeniem do środowiska produkcyjnego wszystkie zmiany konfiguracji związane z zabezpieczeniami weryfikować w lesie testowym. Poniższe obszary lasu testowego muszą odzwierciedlać las produkcyjny:
  • Wersje systemu operacyjnego klienta i serwera, programy klienta i serwera, wersje dodatków Service Pack, poprawki, zmiany schematu, grupy zabezpieczeń, członkostwa grupy, uprawnienia do obiektów w systemie plików, foldery udostępnione, rejestr, usługa katalogowa Active Directory, ustawienia lokalne i zasad grupy oraz lokalizacja i typ licznika obiektów.
  • Wykonywane zadania administracyjne, wykorzystywane narzędzia administracyjne oraz systemy operacyjne, które są używane do wykonywania zadań administracyjnych.
  • Wykonywane operacje, w tym uwierzytelnienie logowania użytkownika i komputera, resetowanie haseł przez użytkowników, przez komputery i przez administratorów; przeglądanie; uprawnienia do zmiany ustawień w edytorze list ACL dla systemu plików, dla folderów udostępnionych, dla rejestru i dla zasobów usługi Active Directory na wszystkich systemach operacyjnych klientów na wszystkich domenach zasobów i kontach ze wszystkich systemów operacyjnych klientów ze wszystkich domen zasobów i kont, drukowanie z kont administracyjnych i innych.

Windows Server 2003 SP1

Ostrzeżenia w pliku Gpedit.msc

Aby poinformować klienta o tym, że edytuje opcję praw użytkownika lub opcję zabezpieczeń mogącą mieć niekorzystny wpływ na użytkowaną sieć, do pliku gpedit.msc zostały dodane dwa mechanizmy ostrzeżeń. Gdy administrator edytuje prawo użytkownika, które może mieć negatywny wpływ na całe przedsiębiorstwo, wyświetlana jest nowa ikona ze znakiem ostrzegawczym. Będzie także wyświetlany komunikat ostrzeżenia zawierający łącze do artykułu 823659 w bazie wiedzy Microsoft Knowledge Base. Tekst tego komunikatu jest następujący:
Modyfikowanie tego ustawienia może mieć wpływ na zgodność z klientami, usługami i aplikacjami. Aby uzyskać więcej informacji, zobacz <modyfikowane prawo użytkownika lub opcja zabezpieczeń> (Q823659).
Jeśli ten artykuł został otwarty za pomocą łącza z pliku GPEDIT.MSC, należy przeczytać ze zrozumieniem podane wyjaśnienie oraz możliwe konsekwencje zmodyfikowania tego ustawienia. Poniżej znajduje się lista praw użytkownika, które zawierają nowy tekst ostrzeżenia:
  • Uzyskuj dostęp do tego komputera z sieci
  • Logowanie lokalne
  • Pomijaj sprawdzanie przy przechodzeniu przez folder
  • Zezwalaj na zaufaną delegację komputerów i użytkowników
Poniżej znajduje się lista opcji zabezpieczeń, które zapewniają wyświetlanie ostrzeżenia i wyskakującego okienka:
  • Członek domeny: szyfruj lub podpisuj cyfrowo dane bezpiecznego kanału – zawsze
  • Członek domeny: wymagaj silnego klucza sesji (system Windows 2000 lub nowszy)
  • Kontroler domeny: wymagania podpisywania serwera LDAP
  • Serwer sieci Microsoft: podpisuj cyfrowo komunikację (zawsze)
  • Dostęp sieciowy: zezwalaj na anonimową translację identyfikatorów SID/nazw
  • Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie kont SAM i udziałów
  • Zabezpieczenia sieci: poziom uwierzytelniania LAN Manager
  • Inspekcja: zamknij system natychmiast, jeśli nie można rejestrować wyników inspekcji
  • Dostęp sieciowy: wymagania podpisywania klienta LDAP

Więcej informacji

Poniższe sekcje zawierają opis niezgodności, które mogą wystąpić podczas modyfikowania określonych ustawień w domenach systemów Windows NT 4.0, Windows 2000 i Windows Server 2003.

Prawa użytkownika

  1. Uzyskuj dostęp do tego komputera z sieci
    1. Informacje ogólne

      Możliwość interakcji ze zdalnym komputerem z systemem Windows wymaga prawa użytkownika Uzyskuj dostęp do tego komputera z sieci. Takimi operacjami sieciowymi są na przykład replikacja usługi Active Directory między kontrolerami domeny we wspólnej domenie lub lesie, żądania uwierzytelnienia wysyłane do kontrolerów domeny przez użytkowników lub komputery oraz dostęp do udostępnionych folderów, drukarek i innych usług systemowych, które są zlokalizowane na zdalnych komputerach w sieci.

      Użytkownicy, komputery i konta usług uzyskują lub tracą prawo użytkownika Uzyskuj dostęp do tego komputera z sieci w wypadku ich jawnego lub niejawnego dodania do grupy zabezpieczeń lub usunięcia z grupy zabezpieczeń, której przydzielono to prawo użytkownika. Na przykład konto użytkownika lub konto komputera może zostać jawnie dodane przez administratora do niestandardowej lub wbudowanej grupy zabezpieczeń lub dodane niejawnie przez system operacyjny do obliczonej grupy zabezpieczeń, jak Użytkownicy domeny, Użytkownicy uwierzytelnieni lub Kontrolery domeny przedsiębiorstwa.

      Domyślnie konta użytkowników i konta komputerów otrzymują prawo użytkownika Uzyskuj dostęp do tego komputera z sieci, jeśli w obiekcie zasad grupy domyślnego kontrolera domeny zostały zdefiniowane grupy obliczone, jak na przykład Wszyscy lub, lepiej, Użytkownicy uwierzytelnieni albo, w przypadku kontrolerów domeny, Kontrolery domeny przedsiębiorstwa.
    2. Konfiguracje ryzykowne

      Szkodliwe są następujące ustawienia konfiguracji:
      • Usunięcie grupy zabezpieczeń Kontrolery domeny przedsiębiorstwa z tego prawa użytkownika.
      • Usunięcie grupy Użytkownicy uwierzytelnieni lub jawnej grupy, która daje użytkownikom, komputerom i kontom usług prawo użytkownika pozwalające na łączenie się z komputerami przez sieć.
      • Usunięcie wszystkich użytkowników i komputerów z tego prawa użytkownika.
    3. Przyczyny udzielenia tego prawa użytkownika
      • Udzielenie grupie Kontrolery domeny przedsiębiorstwa prawa użytkownika Uzyskuj dostęp do tego komputera przez sieć spełnia wymagania uwierzytelnienia, które musi posiadać replikacja usługi Active Directory, aby mogła zachodzić replikacja między kontrolerami domeny należącymi do tego samego lasu.
      • To prawo użytkownika umożliwia komputerom i użytkownikom dostęp do udostępnionych plików, drukarek i usług systemowych, w tym do usługi Active Directory.
      • To prawo użytkownika jest wymagane, aby użytkownicy mieli dostęp do poczty przy użyciu pierwszych wersji programu Microsoft Outlook Web Access (OWA).
    4. Przyczyny usunięcia tego prawa użytkownika
      • Użytkownicy mogący połączyć swoje komputery z siecią mogą uzyskać dostęp do zasobów na zdalnych komputerach, do których mają uprawnienia. Użytkownik musi na przykład mieć to prawo użytkownika, aby łączyć się z udostępnionymi drukarkami i z folderami. Jeśli to prawo użytkownika zostało przydzielone grupie Wszyscy, a uprawnienia systemu plików NTFS i udziału dla folderów udostępnionych zostały tak skonfigurowane, że ta grupa ma prawo do odczytu, pliki w tych folderach udostępnionych przeglądać może każdy. Sytuacja ta jest jednak mało prawdopodobna w przypadku świeżych instalacji systemu Windows Server 2003, ponieważ domyślne uprawnienia udziału i systemu plików NTFS w systemie Windows Server 2003 nie zawierają grupy Wszyscy. W przypadku systemów uaktualnionych z systemu Microsoft Windows NT 4.0 lub Windows 2000 ryzyko tej luki jest większe, ponieważ domyślne uprawnienia udziału i systemu plików w tych systemach operacyjnych nie są tak restrykcyjne, jak uprawnienia domyślne w systemie Windows Server 2003.
      • Nie ma ważnej przyczyny usuwania grupy Kontrolery domeny przedsiębiorstwa z tego prawa użytkownika.
      • Grupa Wszyscy jest zazwyczaj usuwana na korzyść grupy Użytkownicy uwierzytelnieni. Jeśli usunie się grupę Wszyscy, należy udzielić tego prawa użytkownika grupie Użytkownicy uwierzytelnieni.
      • Domeny systemu Windows NT 4.0, które są uaktualniane do systemu Windows 2000, nie udzielają jawnie prawa użytkownika Uzyskuj dostęp do tego komputera z sieci grupom Wszyscy, Użytkownicy uwierzytelnieni lub Kontrolery domeny przedsiębiorstwa. Dlatego, jeśli usunie się grupę Wszyscy z zasad domeny systemu Windows NT 4.0, po uaktualnieniu do systemu Windows 2000 próba replikacji usługi Active Directory zakończy się wyświetleniem komunikatu o błędzie „Odmowa dostępu” . Plik Winnt32.exe w systemie Windows Server 2003 pomija ten błąd w konfiguracji, udzielając tego prawa użytkownika grupie Kontrolery domeny przedsiębiorstwa podczas uaktualniania podstawowych kontrolerów domeny systemu Windows NT 4.0. Jeśli w Edytorze obiektów zasad grupy nie ma tego prawa, należy go udzielić grupie Kontrolery domeny przedsiębiorstwa.
    5. Przykłady problemów ze zgodnością
      • Windows 2000 i Windows Server 2003: Niepowodzenie replikacji schematu usługi Active Directory, konfiguracji, domeny, wykazu globalnego lub partycji aplikacji i błędy „Odmowa dostępu” zgłaszane przez narzędzia do monitorowania takie jak REPLMON i REPADMIN lub zdarzenia replikacji w dzienniku zdarzeń.
      • Wszystkie sieciowe systemy operacyjne firmy Microsoft: Niepowodzenie uwierzytelnienia konta użytkownika ze zdalnych komputerów klienckich sieci, jeśli tego prawa użytkownika nie udzielono użytkownikowi lub grupie zabezpieczeń, której ten użytkownik jest członkiem.
      • Wszystkie sieciowe systemy operacyjne firmy Microsoft: Niepowodzenie uwierzytelnienia konta ze zdalnych klientów sieci, jeśli tego prawa użytkownika nie udzielono użytkownikowi lub grupie zabezpieczeń, której ten użytkownik jest członkiem. Ten scenariusz dotyczy kont użytkowników, kont komputerów i kont usług.
      • Wszystkie sieciowe systemy operacyjne firmy Microsoft: Usunięcie wszystkich kont z tego prawa użytkownika uniemożliwi logowanie się do domeny i dostęp do zasobów sieciowych z dowolnego konta. W przypadku usunięcia grup obliczonych, jak np. Kontrolery domeny przedsiębiorstwa, Wszyscy lub Użytkownicy uwierzytelnieni, tego prawa użytkownika należy jawnie udzielić kontom lub grupom zabezpieczeń, których te konta są członkami, aby te konta miały dostęp do zdalnych komputerów przez sieć. Ten scenariusz dotyczy kont użytkowników, kont komputerów i kont usług.
      • Wszystkie sieciowe systemy operacyjne firmy Microsoft: Konto administratora lokalnego używa „pustego” hasła. Łączność sieciowa z użyciem pustych haseł nie jest dozwolona dla kont administratorów w środowisku domeny. W przypadku użycia takiej konfiguracji można spodziewać się komunikatu o błędzie „Odmowa dostępu” .
  2. Zezwalaj na logowanie lokalne
    1. Informacje ogólne

      Użytkownicy, którzy próbują zalogować się do konsoli komputera z systemem Microsoft Windows (przy użyciu kombinacji klawiszy logowania CTRL+ALT+DELETE), i konta, które próbują uruchomić usługę, muszą mieć lokalne uprawnienia logowania na komputerze macierzystym. Operacje logowania lokalnego wykonują na przykład administratorzy, którzy logują się do konsol komputerów członkowskich lub kontrolerów domen z innych miejsc w organizacji, i użytkownicy domeny, którzy logują się do komputerów członkowskich w celu uzyskania dostępu do swoich pulpitów przy użyciu kont pozbawionych uprawnień. Prawo użytkownika Zezwalaj na logowanie lokalne na komputerach docelowych z systemem Windows 2000 lub Windows XP muszą posiadać użytkownicy korzystający z podłączania pulpitu zdalnego lub usług terminalowych, ponieważ te tryby logowania są traktowane jako lokalne względem komputera macierzystego. Użytkownicy logujący się do serwera, na którym jest włączony serwer terminali, też mogą uruchomić zdalną sesję interakcyjną w domenach systemu Windows Server 2003, nie mając tego prawa użytkownika, jeśli posiadają prawo użytkownika Zezwalaj na logowanie przez usługi terminalowe.
    2. Konfiguracje ryzykowne

      Szkodliwe są następujące ustawienia konfiguracji:
      • Usunięcie administracyjnych grup zabezpieczeń, w tym Operatorzy kont, Operatorzy kopii zapasowych, Operatorzy drukowania lub Operatorzy serwerów oraz wbudowanej grupy Administratorzy z zasad domyślnego kontrolera domeny.
      • Usunięcie kont usług, które są wykorzystywane przez składniki i programy na komputerach członkowskich i na kontrolerach domeny w domenie z zasad domyślnego kontrolera domeny.
      • Usunięcie użytkowników lub grup zabezpieczeń logujących się do konsoli komputerów członkowskich w domenie.
      • Usunięcie kont usług, które są zdefiniowane w lokalnej bazie danych menedżera kont zabezpieczeń (SAM) komputerów członkowskich lub komputerów grupy roboczej.
      • Usunięcie innych niż wbudowane kont administracyjnych, które są uwierzytelniane przez usługi terminalowe uruchomione na kontrolerze domeny.
      • Jawne lub niejawne dodanie wszystkich kont użytkowników w domenie przez grupę Wszyscy do prawa logowania Odmawiaj logowania lokalnego. Ta konfiguracja uniemożliwia użytkownikom zalogowanie się do dowolnego komputera członkowskiego lub dowolnego kontrolera domeny w domenie.
    3. Przyczyny udzielenia tego prawa użytkownika
      • Użytkownicy muszą mieć prawo użytkownika Zezwalaj na logowanie lokalne, aby uzyskać dostęp do konsoli lub pulpitu komputera grupy roboczej, komputera członkowskiego lub kontrolera domeny.
      • Użytkownicy muszą mieć to prawo użytkownika, aby zalogować się przez sesję usług terminalowych uruchomioną na komputerze członkowskim z systemem Windows 2000 lub kontrolerze domeny.
    4. Przyczyny usunięcia tego prawa użytkownika
      • Niepowodzenie ograniczenia możliwości dostępu do konsoli tylko do uprawnionych kont użytkowników może pozwolić nieautoryzowanym użytkownikom na pobieranie i wykonywanie destrukcyjnego kodu w celu zmiany ich praw użytkowników.
      • Usunięcie prawa użytkownika Zezwalaj na logowanie lokalne uniemożliwia nieautoryzowane logowanie na konsolach komputerów takich jak kontrolery domeny lub serwery aplikacji.
      • Usunięcie tego prawa logowania uniemożliwia logowanie się do konsoli komputerów członkowskich w domenie przez konta spoza domeny.
    5. Przykłady problemów ze zgodnością
      • Serwery terminali z systemem Windows 2000: Prawo użytkownika Zezwalaj na logowanie lokalne jest wymagane dla użytkowników logujących się do serwerów terminali z systemem Windows 2000.
      • Windows NT 4.0, Windows 2000, Windows XP lub Windows Server 2003: Konta użytkowników muszą mieć przydzielone to prawo użytkownika, aby logować się do konsoli komputerów z systemem Windows NT 4.0, Windows 2000, Windows XP lub Windows Server 2003.
      • System Windows NT 4.0 i lub nowszy: Jeśli na komputerze z systemem Windows NT 4.0 lub nowszym zostanie dodane prawo użytkownika Zezwalaj na logowanie lokalne, ale jawnie lub niejawnie zostanie udzielone prawo logowania Odmawiaj logowania lokalnego, konta nie będą mogły zalogować się do konsoli kontrolerów domeny.
  3. Pomijaj sprawdzanie przy przechodzeniu przez folder
    1. Informacje ogólne

      Prawo użytkownika Pomijaj sprawdzanie przy przechodzeniu przez folder umożliwia użytkownikom przechodzenie przez foldery w systemie plików NTFS lub w rejestrze bez sprawdzania, czy mają specjalne uprawnienie dostępu Przechodzenie przez folder. Prawo użytkownika Pomijaj sprawdzanie przy przechodzeniu przez folder nie umożliwia użytkownikowi wyświetlenia listy zawartości folderu, lecz jedynie przejście przez jego foldery.
    2. Konfiguracje ryzykowne

      Szkodliwe są następujące ustawienia konfiguracji:
      • Usunięcie kont innych niż administracyjne logujących się do komputerów z usługami terminalowymi opartymi na systemie Windows 2000 lub Windows Server 2003, którym brakuje uprawnień do dostępu do plików i folderów w systemie plików.
      • Usunięcie grupy Wszyscy z listy podmiotów zabezpieczeń, które domyślnie mają to prawo użytkownika. Systemy operacyjne Windows, a także wiele programów projektuje się przy założeniu, że jeśli ktoś ma prawo dostępu do komputera, ma też prawo użytkownika Pomijaj sprawdzanie przy przechodzeniu przez folder. Dlatego usunięcie grupy Wszyscy z listy podmiotów zabezpieczeń, które domyślnie mają to prawo użytkownika, może spowodować niestabilność systemu operacyjnego lub awarię programu. Lepiej nie zmieniać ustawienia domyślnego.
    3. Przyczyny udzielenia tego prawa użytkownika

      Zgodnie z ustawieniem domyślnym prawo użytkownika Pomijaj sprawdzanie przy przechodzeniu przez folder zezwala wszystkim na pomijanie sprawdzania przy przechodzeniu przez folder. Doświadczeni administratorzy systemu Windows oczekują takiego zachowania i zgodnie z tym konfigurują listy kontroli dostępu systemu plików. Jedyny scenariusz, w której domyślna konfiguracja może być szkodliwa, to niezrozumienie tego zachowania przez administratora konfigurującego uprawnienia i oczekiwanie, że użytkownicy, którzy nie mogą uzyskać dostępu do folderu nadrzędnego, nie będą też mogli uzyskać dostępu do zawartości dowolnego z folderów podrzędnych.
    4. Przyczyny usunięcia tego prawa użytkownika

      Organizacje, które przywiązują szczególnie dużą uwagę do bezpieczeństwa, mogą zechcieć usunąć grupę Wszyscy lub nawet grupę Użytkownicy z listy grup posiadających prawo użytkownika Pomijaj sprawdzanie przy przechodzeniu przez folder w celu uniemożliwienia dostępu do plików lub folderów w systemie plików.
    5. Przykłady problemów ze zgodnością
      • Windows 2000, Windows Server 2003: Jeśli prawo użytkownika Pomijaj sprawdzanie przy przechodzeniu przez folder zostanie usunięte lub jest niepoprawnie skonfigurowane na komputerach z systemem Windows 2000 lub Windows Server 2003, ustawienia zasad grupy w folderze SYSVOL nie będą replikowane między kontrolerami domeny w domenie.
      • Windows 2000, Windows XP Professional, Windows Server 2003: Jeśli prawo użytkownika Pomijaj sprawdzanie przy przechodzeniu przez folder zostanie usunięte lub jest niepoprawnie skonfigurowane, komputery z systemem Windows 2000, Windows XP Professional lub Windows Server 2003 rejestrują zdarzenia 1000 i 1002 i nie są w stanie zastosować zasad komputera i zasad użytkownika po usunięciu wymaganych uprawnień systemowych z drzewa SYSVOL.

        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        290647 Zdarzenie o identyfikatorze 1000, 1001 jest rejestrowane co pięć minut w dzienniku zdarzeń aplikacji
      • Windows 2000, Windows Server 2003: Na komputerach z systemem Windows 2000 lub Windows Server 2003 podczas przeglądania właściwości woluminu nie jest wyświetlana karta Przydział w Eksploratorze Windows.
      • Windows 2000: Jeśli do serwera terminali z systemem Windows 2000 zaloguje się użytkownik inny niż administrator, może zostać wyświetlony następujący komunikat o błędzie:
        Błąd aplikacji Userinit.exe. Aplikacja nie została właściwie zainicjowana (0xc0150002). Błąd aplikacji Userinit.exe. Aplikacja nie została właściwie zainicjowana (0xc0150002). Kliknij przycisk OK, aby zakończyć aplikację.
        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        272142 Użytkownicy są automatycznie wylogowywani podczas próby zalogowania się do usług terminalowych (j. ang.)
      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Użytkownicy, na których komputerach jest uruchomiony system Windows NT 4.0, Windows 2000, Windows XP lub Windows Server 2003, mogą nie być w stanie uzyskać dostępu do folderów udostępnionych lub do plików w folderach udostępnionych i uzyskiwać komunikat o błędzie „Odmowa dostępu” , jeśli nie zostanie im przydzielone prawo użytkownika Pomijaj sprawdzanie przy przechodzeniu przez folder.

        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        277644 Komunikat o błędzie „Odmowa dostępu” przy próbie uzyskania dostępu do udostępnionych folderów
      • Windows NT 4.0: Na komputerach z systemem Windows NT 4.0 usunięcie prawa użytkownika Pomijaj sprawdzanie przy przechodzeniu przez folder będzie powodowało utratę strumieni plików podczas kopiowania plików. Jeśli to prawo użytkownika zostanie usunięte, to podczas kopiowania pliku z klienta z systemem Windows lub klienta z systemem Macintosh na kontroler domeny z systemem Windows NT 4.0 z uruchomionymi Usługami dla komputerów Macintosh będzie następowała utrata strumienia pliku docelowego i plik będzie wyświetlany w postaci tekstowej.

        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        172930 Usunięcie opcji „Obejdź sprawdzanie przy przechodzeniu” powoduje odrzucanie strumieni podczas kopiowania plików (j. ang.)
      • Microsoft Windows 95, Microsoft Windows 98: Na komputerze klienckim z systemem Windows 95 lub Windows 98 polecenie net use * /home nie jest wykonywane i jest wyświetlany komunikat o błędzie „Odmowa dostępu” , jeśli grupie Użytkownicy uwierzytelnieni nie ma zostanie przydzielone prawo użytkownika Pomijaj sprawdzanie przy przechodzeniu przez folder.
      • Outlook Web Access: Użytkownicy inni niż administratorzy nie są w stanie zalogować się do programu Microsoft Outlook Web Access z powodu komunikatu o błędzie „Odmowa dostępu” , jeśli nie zostanie im przydzielone prawo użytkownika Pomijaj sprawdzanie przy przechodzeniu przez folder.
Ustawienia zabezpieczeń
  1. Inspekcja: zamknij system natychmiast, jeśli nie można rejestrować wyników inspekcji
    1. Informacje ogólne
      • Ustawienie Inspekcja: zamknij system natychmiast, jeśli nie można rejestrować wyników inspekcji określa, czy system jest zamykany, jeśli nie można zarejestrować zdarzeń zabezpieczeń. Ustawienie to jest wymagane dla oceny C2 programu według kryteriów TCSEC (Trusted Computer Security Evaluation Criteria) oraz wspólnych kryteriów (Common Criteria) oceny zabezpieczeń technologii informatycznych, ponieważ zapobiega występowaniu zdarzeń podlegających inspekcji, jeśli system inspekcji nie jest w stanie ich zarejestrować. W przypadku awarii systemu inspekcji system zostaje zamknięty i jest wyświetlany komunikat o błędzie zatrzymania.
      • Jeśli komputer nie jest w stanie rejestrować zdarzeń w dzienniku zabezpieczeń, po incydencie dotyczącym zabezpieczeń może być niemożliwe przeglądanie krytycznych dowodów lub ważnych informacji dotyczących rozwiązywania problemów.
    2. Konfiguracja ryzykowna

      Szkodliwe jest następujące ustawienie konfiguracji: Ustawienie Inspekcja: zamknij system natychmiast, jeśli nie można rejestrować wyników inspekcji jest włączone i rozmiar dziennika zdarzeń zabezpieczeń jest ograniczony przez opcję Nie zastępuj zdarzeń (ręczne czyszczenie dziennika), opcję Zastąp zdarzenia w razie potrzeby lub opcję Zastąp zdarzenia starsze niż liczba dni w Podglądzie zdarzeń. Informacje o określonych zagrożeniach dla komputerów z oryginalnie opublikowanymi wersjami systemów Windows 2000, Windows 2000 z dodatkiem Service Pack 1 (SP1), Windows 2000 z dodatkiem SP2 lub Windows 2000 z dodatkiem SP3 można znaleźć w sekcji „Przykłady problemów ze zgodnością” .
    3. Przyczyny włączenia tego ustawienia

      Jeśli komputer nie jest w stanie rejestrować zdarzeń w dzienniku zabezpieczeń, po incydencie dotyczącym zabezpieczeń może być niemożliwe przeglądanie krytycznych dowodów lub ważnych informacji dotyczących rozwiązywania problemów.
    4. Przyczyny wyłączenia tego ustawienia
      • Włączenie ustawienia Inspekcja: zamknij system natychmiast, jeśli nie można rejestrować wyników inspekcji zatrzymuje system, jeśli nie można zarejestrować zdarzeń zabezpieczeń. Zazwyczaj nie można zarejestrować zdarzenia, gdy dziennik inspekcji zabezpieczeń jest pełny, a wybraną metodą przechowywania jest opcja Nie zastępuj zdarzeń (ręczne czyszczenie dziennika) lub opcja Zastąp zdarzenia starsze niż liczba dni.
      • Z włączenia ustawienia Inspekcja: zamknij system natychmiast, jeśli nie można rejestrować wyników inspekcji może wynikać bardzo duże obciążenie administracyjne, zwłaszcza gdy jednocześnie jest włączona opcja Nie zastępuj zdarzeń (ręczne czyszczenie dziennika). Ustawienie to zapewnia możliwość indywidualnego rozliczania działań operatora. Administrator mógłby na przykład zresetować uprawnienia wszystkich użytkowników, komputerów i grup w jednostce organizacyjnej, w której inspekcje zostały włączone, przy użyciu wbudowanego konta administratora lub innego konta udostępnionego, a następnie zaprzeczyć, że zresetowali oni te uprawnienia. Włączenie tego ustawienie nie zmniejsza jednak odporności systemu, ponieważ można go zmusić do zamknięcia, zalewając go zdarzeniami logowania i innymi zdarzeniami zabezpieczeń, które są zapisywane w dzienniku zabezpieczeń. Ponadto, ponieważ zamknięcie nie przebiega łagodnie, może spowodować nieodwracalne uszkodzenia systemu operacyjnego, programów lub danych. System plików NTFS gwarantuje zachowanie integralności systemu plików podczas nieprawidłowego zamknięcia systemu, ale nie może zagwarantować, że wszystkie pliki danych każdego z programów będą nadal użyteczne po ponownym uruchomieniu systemu.
    5. Nazwa symboliczna:

      CrashOnAuditFail
    6. Ścieżka rejestru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)
    7. Przykłady problemów ze zgodnością
      • Windows 2000: Z powodu usterki komputery z oryginalnie opublikowaną wersją systemu Windows 2000, Windows 2000 z dodatkiem SP1, Windows 2000 z dodatkiem SP2 lub Windows Server z dodatkiem SP3 mogą przestać rejestrować zdarzenia przed osiągnięciem rozmiaru określonego w opcji Maksymalny rozmiar dziennika dla dziennika zdarzeń zabezpieczeń. Ten problem został rozwiązany w dodatku Service Pack 4 (SP4) dla systemu Windows 2000. Przed włączeniem tego ustawienia należy się upewnić, że na kontrolerach domeny z systemem Windows 2000 jest zainstalowany dodatek Service Pack 4 dla systemu Windows 2000.

        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        312571 Dziennik zdarzeń przerywa rejestrowanie zdarzeń przed osiągnięciem maksymalnego rozmiaru dziennika (j. ang.)
      • Windows 2000, Windows Server 2003: Komputery z systemem Windows 2000 lub Windows Server 2003 mogą przestać odpowiadać, a następnie samoistnie uruchomić się ponownie, jeśli ustawienie Inspekcja: zamknij system natychmiast, jeśli nie można rejestrować wyników inspekcji jest włączone, dziennik zabezpieczeń jest pełny i istniejącej pozycji dziennika zdarzeń nie można zastąpić. Po ponownym uruchomieniu komputera jest wyświetlany następujący komunikat o błędzie zatrzymania:
        STOP: C0000244 {Inspekcja nie powiodła się}
        Próba wygenerowania inspekcji zabezpieczeń nie powiodła się.
        Aby odzyskać system, administrator musi się zalogować, zarchiwizować dziennik zabezpieczeń (opcjonalnie), wyczyścić dziennik zabezpieczeń, a następnie ponownie ustawić tę opcję (opcjonalnie i w razie potrzeby).
      • Klient sieci Microsoft dla systemu MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Jeśli do domeny zaloguje się użytkownik inny niż administrator, zostanie wyświetlony następujący komunikat o błędzie:
        Twoje konto zostało skonfigurowane w sposób nie zezwalający na używanie tego komputera. Spróbuj na innym komputerze.
        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        160783 Komunikat o błędzie: Użytkownicy nie mogą zalogować się do stacji roboczej (j. ang.)
      • Windows 2000: Na komputerach z systemem Windows 2000 użytkownicy inni niż administratorzy nie mogą się zalogować do serwerów zdalnego dostępu, otrzymując następujący lub podobny komunikat o błędzie:
        Nieznany użytkownik lub nieprawidłowe hasło
        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        285665 Komunikat o błędzie: Twoje konto zostało skonfigurowane w sposób nie zezwalający na używanie tego komputera (j. ang.)
      • Windows 2000: Na kontrolerach domeny z systemem Windows 2000 usługa Komunikacja międzylokacyjna (Ismserv.exe) zatrzymuje się i nie można jej uruchomić ponownie. Program DCDIAG będzie zgłaszał takie błędy, jak „niepowodzenie usług testowych ISMserv” , a w dzienniku zdarzeń będzie zarejestrowany identyfikator zdarzenia 1083.
      • Windows 2000: Na kontrolerach domeny z systemem Windows 2000 replikacja usługi Active Directory nie jest wykonywana, a po zapełnieniu dziennika zdarzeń zabezpieczeń jest wyświetlany komunikat o błędzie „Odmowa dostępu” .
      • Microsoft Exchange 2000: Instalacja bazy danych magazynu informacji na serwerach z uruchomionym programem Exchange 2000 jest niemożliwa i w dzienniku zdarzeń jest rejestrowane zdarzenie 2102.

        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        314294 XADM: Komunikaty o błędach programu Exchange 2000 są generowane z powodu problemów z prawem SeSecurityPrivilege i Policytest
      • Outlook, Outlook Web Access: Użytkownicy inni niż administratorzy nie mogą uzyskać dostępu do poczty przez program Microsoft Outlook lub Microsoft Outlook Web Access i jest wyświetlany błąd 503.
  2. Kontroler domeny: wymagania podpisywania serwera LDAP
    1. Informacje ogólne

      Ustawienie zabezpieczeń Kontroler domeny: wymagania podpisywania serwera LDAP określa, czy serwer LDAP (Lightweight Directory Access Protocol) wymaga od klientów LDAP negocjowania podpisywania danych. Możliwe wartości tego ustawienia zasad są następujące:
      • Brak: Podpisywanie danych nie jest wymagane do wiązania z serwerem. Jeśli klient zażąda podpisywania danych, serwer będzie je obsługiwał.
      • Wymagaj podpisywania: Opcja podpisywania danych LDAP musi być negocjowana z wyjątkiem sytuacji, gdy jest używany protokół TLS/SSL (Transport Layer Security/Secure Socket Layer).
      • niezdefiniowane: Ustawienie nie jest włączone ani wyłączone.
    2. Konfiguracje ryzykowne

      Szkodliwe są następujące ustawienia konfiguracji:
      • Włączenie opcji Wymagaj podpisywania w środowiskach, gdzie klienci nie obsługują podpisywania LDAP lub gdzie podpisywanie LDAP nie jest włączone po stronie klienta
      • Zastosowanie szablonu zabezpieczeń Hisecdc.inf systemu Windows 2000 lub Windows Server 2003 w środowiskach, gdzie klienci nie obsługują podpisywania LDAP lub gdzie podpisywanie LDAP nie jest włączone po stronie klienta
      • Zastosowanie szablonu zabezpieczeń Hisecws.inf systemu Windows 2000 lub Windows Server 2003 w środowiskach, gdzie klienci nie obsługują podpisywania LDAP lub gdzie podpisywanie LDAP nie jest włączone po stronie klienta
    3. Przyczyny włączenia tego ustawienia

      Niepodpisany ruch sieciowy jest podatny na ataki, w których trakcie intruz przechwytuje pakiety na drodze między klientem a serwerem, modyfikuje je, a następnie przesyła dalej do serwera. Jeśli zdarzy się to na serwerze LDAP, napastnik może spowodować, że serwer będzie podejmował decyzje oparte na fałszywych kwerendach z klienta LDAP. W sieci firmowej zagrożenie takimi atakami można zmniejszyć, wdrażając skuteczne zabezpieczenia fizyczne chroniące infrastrukturę sieciową. Ataki intruzów może znacznie utrudnić nagłówek uwierzytelniania protokołu IPsec. W trybie nagłówka uwierzytelniania jest wykonywane wzajemne uwierzytelnienie, które pozwala utrzymać integralność pakietów w ruchu IP.
    4. Przyczyny wyłączenia tego ustawienia
      • Klienci, którzy nie obsługują podpisywania LDAP, nie będą w stanie wykonywać kwerend LDAP na kontrolerach domeny i wykazach globalnych, jeśli uwierzytelnienie NTLM jest negocjowane i na kontrolerach domeny z systemem Windows 2000 nie są zainstalowane poprawne dodatki Service Pack.
      • Ślady sieciowe ruchu LDAP między klientami a serwerami będą zaszyfrowane, co utrudni badanie konwersacji LDAP.
      • Aby serwery z systemem Windows 2000 mogły być administrowane przy użyciu programów obsługujących podpisywanie LDAP, które są uruchamiane z komputerów klienckich z systemem Windows 2000 z dodatkiem SP4, Windows XP lub Windows Server 2003, na serwerach musi być zainstalowany dodatek Service Pack 3 (SP3) lub nowszy dla systemu Windows 2000. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        325465 Kontrolery domen z systemem Windows 2000 wymagają dodatku SP3 lub nowszego w przypadku użycia narzędzi administracyjnych systemu Windows Server 2003
    5. Nazwa symboliczna:

      LDAPServerIntegrity
    6. Ścieżka rejestru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)
    7. Przykłady problemów ze zgodnością
      • Niepowodzenie prostego powiązania i następujący komunikat o błędzie:
        Ldap_simple_bind_s() failed: Wymagane jest Silne Uwierzytelnianie.
      • Windows 2000 z dodatkiem Service Pack 4, Windows XP, Windows Server 2003: Niektóre narzędzia administracyjne usługi Active Directory uruchamiane na klientach z systemem Windows 2000 z dodatkiem SP4, Windows XP lub Windows Server 2003 nie będą działały poprawnie przy wykonywaniu działań na kontrolerach domeny z systemem Windows 2000, systemem Windows 2000 z dodatkiem SP1 lub systemem Windows 2000 z dodatkiem SP2, jeśli uwierzytelnienie NTLM jest negocjowane.

        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        325465 Kontrolery domen z systemem Windows 2000 wymagają dodatku SP3 lub nowszego w przypadku użycia narzędzi administracyjnych systemu Windows Server 2003
      • Windows 2000 z dodatkiem Service Pack 4, Windows XP, Windows Server 2003: Niektóre narzędzia administracyjne usługi Active Directory uruchamiane na klientach z systemem Windows 2000 z dodatkiem SP4, Windows XP lub Windows Server 2003 nie będą działały poprawnie przy wykonywaniu działań na kontrolerach domeny z systemem Windows 2000, systemem Windows 2000 z dodatkiem SP1 lub systemem Windows 2000 z dodatkiem SP2, jeśli będą korzystały z adresów IP (na przykład „dsa.msc /server=x.x.x.x” , gdzie x.x.x.x jest adresem IP).

        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        325465 Kontrolery domen z systemem Windows 2000 wymagają dodatku SP3 lub nowszego w przypadku użycia narzędzi administracyjnych systemu Windows Server 2003
      • Windows 2000 z dodatkiem Service Pack 4, Windows XP, Windows Server 2003: Niektóre narzędzia administracyjne usługi Active Directory uruchamiane na klientach z systemem Windows 2000 z dodatkiem SP4, Windows XP lub Windows Server 2003 nie będą działały poprawnie przy wykonywaniu działań na kontrolerach domeny z systemem Windows 2000, systemem Windows 2000 z dodatkiem SP1 lub systemem Windows 2000 z dodatkiem SP2.

        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        325465 Kontrolery domen z systemem Windows 2000 wymagają dodatku SP3 lub nowszego w przypadku użycia narzędzi administracyjnych systemu Windows Server 2003
  3. Element członkowski domeny: wymagaj silnego klucza sesji (system Windows 2000 lub nowszy)
    1. Informacje ogólne
      • Ustawienie Członek domeny: wymagaj silnego klucza sesji (system Windows 2000 lub nowszy) określa, czy można ustanowić bezpieczny kanał z kontrolerem domeny, który nie jest w stanie szyfrować ruchu w bezpiecznym kanale przy użyciu silnego, 128-bitowego klucza sesji. Włączenie tego ustawienia uniemożliwia ustanowienie bezpiecznego kanału z dowolnym kontrolerem domeny, który nie jest w stanie szyfrować danych przesyłanych bezpiecznym kanałem przy użyciu silnego klucza. Wyłączenie tego ustawienia umożliwia stosowanie 64-bitowych kluczy sesji.
      • Aby można było włączyć to ustawienie na członkowskiej stacji roboczej lub na serwerze, wszystkie kontrolery domeny w domenie, do której należy członek, muszą być w stanie szyfrować dane przesyłane bezpiecznym kanałem przy użyciu silnego, 128-bitowego klucza. Oznacza to, że na wszystkich takich kontrolerach domeny musi być uruchomiony system Windows 2000 lub nowszy.
    2. Konfiguracja ryzykowna

      Włączenie Członek domeny: wymagaj silnego klucza sesji (system Windows 2000 lub nowszy) powoduje wprowadzenie szkodliwego ustawienia konfiguracji.
    3. Przyczyny włączenia tego ustawienia
      • System Windows 2000 oferuje o wiele silniejsze klucze sesji wykorzystywane do ustanowienia komunikacji w bezpiecznym kanale między komputerami członkowskimi a kontrolerami domeny niż poprzednie wersje systemów operacyjnych firmy Microsoft.
      • W miarę możliwości należy korzystać z silniejszych kluczy, ponieważ chronią one lepiej komunikację w bezpiecznym kanale przed podsłuchiwaniem i porywaniem sesji. Podsłuchiwanie to rodzaj ataku polegającego na tym, że dane sieciowe są po drodze odczytywane lub modyfikowane. Dane mogą zostać zmodyfikowane tak, aby ukryć lub zmienić nadawcę albo zmienić ich adresata.
      Ważne Komputer z systemem Windows Server 2008 R2 lub Windows 7 obsługuje tylko silne klucze, jeśli są używane bezpieczne kanały. To ograniczenie uniemożliwia tworzenie relacji zaufania między domeną systemu Windows NT 4.0 i domeną systemu Windows Server 2008 R2. Sprawia ono również, że komputery z systemem Windows 7 lub Windows Server 2008 R2 nie mogą należeć do domeny systemu Windows NT 4.0 (lub odwrotnie).
    4. Przyczyny wyłączenia tego ustawienia

      Domena zawiera komputery członkowskie, na których są uruchomione inne systemy operacyjne niż Windows 2000, Windows XP lub Windows Server 2003.
    5. Nazwa symboliczna:

      StrongKey
    6. Ścieżka rejestru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)
    7. Przykłady problemów ze zgodnością

      Windows NT 4.0: Na komputerach z systemem Windows NT 4.0 nie można zresetować bezpiecznych kanałów relacji zaufania między domenami systemu Windows NT 4.0 i systemu Windows 2000 przy użyciu polecenia NLTEST i jest wyświetlany komunikat o błędzie „Odmowa dostępu” :
      Relacje zaufania między domeną podstawową a domeną zaufaną nie powiodły się.
  4. Element członkowski domeny: szyfruj lub podpisuj cyfrowo dane bezpiecznego kanału - zawsze
    1. Informacje ogólne
      • Włączenie ustawienia Członek domeny: szyfruj lub podpisuj cyfrowo dane bezpiecznego kanału - zawsze uniemożliwia ustanowienie bezpiecznego kanału z dowolnym kontrolerem domeny, który nie jest w stanie podpisywać lub szyfrować danych w bezpiecznym kanale. Aby zapewnić lepszą ochronę ruchu uwierzytelniania przed atakami intruzów, włamaniami i innymi typami ataków na sieć, komputery z systemem Windows tworzą poprzez usługę Logowanie do sieci kanał komunikacji zwany kanałem bezpiecznym, przez który uwierzytelniają konta komputerów. Kanały bezpieczne są także wykorzystywane, gdy użytkownik w jednej domenie łączy się z zasobem sieciowym w domenie zdalnej. Takie uwierzytelnienie przez wiele domen lub uwierzytelnienie przekazywane pozwala na dostęp do bazy danych kont użytkowników w danej domenie i dowolnej innej zaufanej domenie z komputerów z systemem Windows, które przyłączyły się do tej domeny.
      • Aby ustawienie Członek domeny: szyfruj lub podpisuj cyfrowo dane bezpiecznego kanału - zawsze mogło zostać włączone na komputerze członkowskim, wszystkie kontrolery domeny w domenie, do której należy członek, muszą być w stanie podpisywać lub szyfrować wszystkie dane przesyłane w bezpiecznym kanale. Oznacza, to że na wszystkich takich kontrolerach domeny musi być uruchomiony system Windows NT 4.0 z dodatkiem Service Pack 6a (SP6a) lub nowszy.
      • Włączenie Członek domeny: szyfruj lub podpisuj cyfrowo dane bezpiecznego kanału - zawsze automatycznie powoduje włączenie ustawienia Członek domeny: szyfruj cyfrowo dane bezpiecznego kanału - gdy to możliwe.
    2. Konfiguracja ryzykowna

      Włączenie Członek domeny: szyfruj cyfrowo dane bezpiecznego kanału - zawsze w domenach, gdzie nie wszystkie kontrolery domeny mogą podpisywać lub szyfrować dane przesyłane bezpiecznym kanałem, powoduje wprowadzenie szkodliwego ustawienia konfiguracji.
    3. Przyczyny włączenia tego ustawienia

      Niepodpisany ruch sieciowy jest podatny na ataki, w których trakcie intruz przechwytuje pakiety na drodze między serwerem a klientem, a następnie je modyfikuje i przesyła dalej do klienta. Jeśli zdarzy się to na serwerze LDAP (Lightweight Directory Access Protocol), intruz może spowodować, że klient będzie podejmował decyzje oparte na fałszywych rekordach z katalogu LDAP. W sieci firmowej zagrożenie takimi atakami można zmniejszyć, wdrażając skuteczne zabezpieczenia fizyczne chroniące infrastrukturę sieciową. Różnego rodzaju ataki intruzów może też znacznie utrudnić nagłówek uwierzytelniania protokołu IPsec. W tym trybie jest wykonywane wzajemne uwierzytelnienie, które pozwala utrzymać integralność pakietów w ruchu IP.
    4. Przyczyny wyłączenia tego ustawienia
      • Komputery w domenie lokalnej lub domenach zewnętrznych obsługują szyfrowane bezpieczne kanały.
      • Nie na każdym kontrolerze domeny w domenie jest zainstalowany odpowiedni poziom wersji dodatku Service Pack.
    5. Nazwa symboliczna:

      StrongKey
    6. Ścieżka rejestru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)
    7. Przykłady problemów ze zgodnością
      • Windows NT 4.0: Komputery z systemem Windows 2000 nie są w stanie przyłączyć się do domen systemu Windows NT 4.0 i jest wyświetlany następujący komunikat o błędzie:
        Brak upoważnienia konta do logowania się z tej stacji.
        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        281648 Komunikat o błędzie: Dla tego konta logowanie z tej stacji jest niedozwolone (j. ang.)
      • Windows NT 4.0: Domeny systemu Windows NT 4.0 nie są w stanie ustanowić zaufania niskiego poziomu z domeną systemu Windows 2000 i jest wyświetlany następujący komunikat o błędzie:
        Brak upoważnienia konta do logowania się z tej stacji.
        Istniejące zaufania niskiego poziomu mogą nie uwierzytelniać użytkowników z domeny zaufanej. Niektórzy użytkownicy mogą mieć trudności z zalogowaniem się do domeny i może się pojawić komunikat z informacją o tym, że klient nie może odnaleźć domeny.
      • Windows XP: Klienci z systemem Windows XP, którzy przyłączają się do domen systemu Windows NT 4.0, nie będą w stanie uwierzytelnić prób logowania; może też być wyświetlany następujący komunikat o błędzie lub w dzienniku zdarzeń mogą być rejestrowane następujące zdarzenia:
        System Windows nie może połączyć się z tą domeną, ponieważ kontroler domeny jest wyłączony lub z innej przyczyny niedostępny albo nie odnaleziono konta tego komputera

        Zdarzenie 5723: Nie powiodło się uwierzytelnienie konfiguracji sesji z komputera nazwa_komputera. Nazwa konta, do którego występuje odwołanie w bazie danych, to nazwa_komputera. Wystąpił następujący błąd: Odmowa dostępu.

        Zdarzenie 3227: Ustawienie sesji kontrolera nazwa serwera domeny Windows NT lub Windows 2000 dla domeny nazwa domeny nie powiodło się, ponieważ nazwa serwera nie obsługuje podpisywania lub pieczętowania sesji Netlogon. Uaktualnij kontroler domeny albo ustaw wpis rejestru RequireSignOrSeal na tym komputerze na 0.

        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        318266 Klient systemu Windows XP nie może zalogować się do domeny systemu Windows NT 4.0
      • Sieć Microsoft: Na klientach sieci Microsoft jest wyświetlany jeden z następujących komunikatów o błędzie:
        Błąd logowania: nieznana nazwa użytkownika lub nieprawidłowe hasło.
        Brak klucza sesji użytkownika dla określonej sesji logowania.
  5. Klient sieci Microsoft: Podpisuj cyfrowo komunikację (zawsze)
    1. Informacje ogólne

      Server Message Block (SMB) to protokół udostępniania zasobów, który jest obsługiwany przez wiele systemów operacyjnych firmy Microsoft. Stanowi on bazę podstawowego sieciowego systemu wejścia/wyjścia (NetBIOS) i wielu innych protokołów. Podpis SMB uwierzytelnia zarówno użytkownika, jak i serwer, na którym są przechowywane dane. Jeśli proces uwierzytelnienia dowolnej ze stron nie powiedzie się, transmisja danych nie nastąpi.

      Włączenie podpisywania SMB następuje podczas negocjowania protokołu SMB. Zasady podpisywania SMB określają, czy komputer ma zawsze podpisywać cyfrowo dane podczas komunikacji z klientem.

      Protokół uwierzytelniania SMB w systemie Windows 2000 obsługuje uwierzytelnianie obustronne. Uwierzytelnianie obustronne uniemożliwia ataki typu „man-in-the-middle”. Protokół uwierzytelniania SMB w systemie Windows 2000 obsługuje również uwierzytelnianie wiadomości. Uwierzytelnianie wiadomości pozwala łatwiej zapobiegać atakom za pomocą aktywnych wiadomości. Aby zapewnić takie uwierzytelnianie, protokół SMB umieszcza podpis cyfrowy w każdym pakiecie SMB. Zarówno klient, jak i serwer weryfikują podpis cyfrowy.

      Aby używać podpisywania SMB, należy włączyć podpisywanie SMB lub zażądać podpisywania SMB na kliencie i serwerze protokołu SMB. Jeśli podpisywanie SMB jest włączone na serwerze, klienci, na których również włączono podpisywanie SMB, używają protokołu podpisywania pakietów podczas wszystkich kolejnych sesji. Jeśli podpisywanie SMB jest wymagane na serwerze, klient może ustanowić sesję tylko wtedy, gdy podpisywanie SMB jest włączone lub wymagane na tym kliencie.

      Włączenie podpisywania cyfrowego w sieciach o wysokim poziomie zabezpieczeń zapewnia lepszą ochronę przed personifikacją klientów i serwerów. Ten typ personifikacji jest nazywany porywaniem sesji. Atakujący mający dostęp do sieci, w której znajduje się klient lub serwer, wykorzystuje narzędzia do porywania sesji w celu przerwania, rozłączenia lub przejęcia trwającej sesji. Atakujący może przechwycić i zmodyfikować niepodpisane pakiety SBM (Subnet Bandwidth Manager), zmodyfikować ruch, a następnie przesłać go dalej, aby serwer wykonał niepożądane akcje. Ewentualnie atakujący może występować jako serwer lub klient po właściwym uwierzytelnieniu i uzyskać nieautoryzowany dostęp do danych.

      Protokół SMB wykorzystywany do udostępniania plików i udostępniania drukarek na komputerach z systemem Windows 2000 Server, Windows 2000 Professional, Windows XP Professional lub Windows Server 2003 obsługuje wzajemne uwierzytelnianie. Wzajemne uwierzytelnianie uniemożliwia porywanie sesji i obsługuje uwierzytelnianie wiadomości. Zapobiega zatem atakom intruzów. Podpisywanie protokołu SMB zapewnia to uwierzytelnienie, umieszczając w każdym pakiecie SMB podpis cyfrowy. Podpis ten jest następnie weryfikowany przez klienta i serwer.

      Uwagi
      • Alternatywnym środkiem zapobiegawczym, który może zapewnić ochronę całego ruchu sieciowego, jest włączenie podpisów cyfrowych za pomocą protokołu IPSec. Aby zminimalizować spadek wydajności procesora z tego powodu, można użyć sprzętowych akceleratorów szyfrowania i podpisywania IPSec. Nie ma natomiast akceleratorów, które przyspieszałyby podpisywanie SMB.

        Aby uzyskać więcej informacji, zobacz rozdział „Digitally sign server communications” (Podpisuj cyfrowo komunikację z serwerem) w następującej witrynie MSDN firmy Microsoft w sieci Web:
        http://msdn.microsoft.com/pl-pl/library/ms814149.aspx
        Podpisywanie SMB należy skonfigurować za pomocą Edytora obiektów zasad grupy, ponieważ zmiana wartości rejestru lokalnego nie przyniesie efektu, jeśli istnieje zastępująca ją zasada domeny.
      • W systemach Windows 95, Windows 98 i Windows 98 Wydanie drugie klient usług katalogowych używa podpisywania SMB podczas uwierzytelniania z serwerami z systemem Windows Server 2003 za pomocą uwierzytelniania NTLM. Jednak ci klienci nie używają podpisywania SMB podczas uwierzytelniania z tymi serwerami za pomocą uwierzytelniania NTLMv2. Ponadto serwery z systemem Windows 2000 nie odpowiadają na żądania podpisywania SMB od tych klientów. Zobacz element 10: „Zabezpieczenia sieci: poziom uwierzytelniania LAN Manager” .
    2. Konfiguracja ryzykowna

      Szkodliwe jest następujące ustawienie konfiguracji: Pozostawienie wyłączonego lub niezdefiniowanego zarówno ustawienia Klient sieci Microsoft: podpisuj cyfrowo komunikację (zawsze), jak i ustawienia Klient sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą serwera). Readresator może wtedy wysyłać hasła w formacie tekstowym do serwerów bez protokołu SMB firmy Microsoft, które nie obsługują szyfrowania hasła podczas uwierzytelnienia.
    3. Przyczyny włączenia tego ustawienia

      Włączenie ustawienia Klient sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) wymaga od klientów podpisywania ruchu SMB podczas kontaktowania się z serwerami, które nie wymagają podpisywania SMB, przez co klienci są mniej podatni na ataki polegające na przejmowaniu sesji.
    4. Przyczyny wyłączenia tego ustawienia
      • Włączenie ustawienia Klient sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) uniemożliwia klientom komunikowanie się z serwerami docelowymi, które nie obsługują podpisywania SMB.
      • Skonfigurowanie komputerów tak, aby ignorowały całą komunikację bez podpisów SMB, uniemożliwia połączenie starszym programom i systemom operacyjnym.
    5. Nazwa symboliczna:

      RequireSMBSignRdr
    6. Ścieżka rejestru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
    7. Przykłady problemów ze zgodnością
      • Windows NT 4.0: Nie można zresetować bezpiecznego kanału zaufania między domeną systemu Windows Server 2003 a domeną systemu Windows NT 4.0 przy użyciu polecenia NLTEST lub NETDOM i jest wyświetlany komunikat o błędzie „Odmowa dostępu” .
      • Windows XP: Kopiowanie plików z klientów z systemem Windows XP na serwery z systemem Windows 2000 i serwery z systemem Windows Server 2003 zajmuje więcej czasu.
      • Nie można zamapować dysków sieciowych z klienta, gdy to ustawienie jest włączone, i jest wyświetlany następujący komunikat o błędzie:
        Brak upoważnienia konta do logowania się z tej stacji.
    8. Wymagania dotyczące ponownego uruchamiania

      Ponownie uruchom komputer lub usługę Stacja robocza. Aby to zrobić, wpisz następujące polecenia w wierszu polecenia. Po wpisaniu każdego polecenia naciskaj klawisz ENTER.
      net stop workstation
      net start workstation
  6. Serwer sieci Microsoft: Podpisuj cyfrowo komunikację (zawsze)
    1. Informacje ogólne
      • Server Messenger Block (SMB) to protokół udostępniania zasobów, który jest obsługiwany przez wiele systemów operacyjnych firmy Microsoft; stanowi on bazę podstawowego sieciowego systemu wejścia/wyjścia (NetBIOS) i wielu innych protokołów. Podpis SMB uwierzytelnia zarówno użytkownika, jak i serwer, na którym są przechowywane dane. Jeśli proces uwierzytelnienia dowolnej ze stron nie powiedzie się, transmisja danych nie nastąpi.

        Włączenie podpisywania SMB następuje podczas negocjowania protokołu SMB. Zasady podpisywania SMB określają, czy komputer ma zawsze podpisywać cyfrowo dane podczas komunikacji z klientem.

        Protokół uwierzytelniania SMB w systemie Windows 2000 obsługuje uwierzytelnianie obustronne. Uwierzytelnianie obustronne uniemożliwia ataki typu „man-in-the-middle”. Protokół uwierzytelniania SMB w systemie Windows 2000 obsługuje również uwierzytelnianie wiadomości. Uwierzytelnianie wiadomości pozwala łatwiej zapobiegać atakom za pomocą aktywnych wiadomości. Aby zapewnić takie uwierzytelnianie, protokół SMB umieszcza podpis cyfrowy w każdym pakiecie SMB. Zarówno klient, jak i serwer weryfikują podpis cyfrowy.

        Aby używać podpisywania SMB, należy włączyć podpisywanie SMB lub zażądać podpisywania SMB na kliencie i serwerze protokołu SMB. Jeśli podpisywanie SMB jest włączone na serwerze, klienci, na których również włączono podpisywanie SMB, używają protokołu podpisywania pakietów podczas wszystkich kolejnych sesji. Jeśli podpisywanie SMB jest wymagane na serwerze, klient może ustanowić sesję tylko wtedy, gdy podpisywanie SMB jest włączone lub wymagane na tym kliencie.

        Włączenie podpisywania cyfrowego w sieciach o wysokim poziomie zabezpieczeń zapewnia lepszą ochronę przed personifikacją klientów i serwerów. Ten typ personifikacji jest nazywany porywaniem sesji. Atakujący mający dostęp do sieci, w której znajduje się klient lub serwer, wykorzystuje narzędzia do porywania sesji w celu przerwania, rozłączenia lub przejęcia trwającej sesji. Atakujący może przechwycić i zmodyfikować niepodpisane pakiety SBM (Subnet Bandwidth Manager), zmodyfikować ruch, a następnie przesłać go dalej, aby serwer wykonał niepożądane działania. Ewentualnie atakujący może występować jako serwer lub klient po właściwym uwierzytelnieniu i uzyskać nieautoryzowany dostęp do danych.

        Protokół SMB wykorzystywany do udostępniania plików i udostępniania drukarek na komputerach z systemem Windows 2000 Server, Windows 2000 Professional, Windows XP Professional lub Windows Server 2003 obsługuje wzajemne uwierzytelnianie. Wzajemne uwierzytelnianie uniemożliwia porywanie sesji i obsługuje uwierzytelnianie wiadomości. Zapobiega zatem atakom intruzów. Podpisywanie protokołu SMB zapewnia to uwierzytelnienie, umieszczając w każdym pakiecie SMB podpis cyfrowy. Podpis ten jest następnie weryfikowany przez klienta i serwer.
      • Alternatywnym środkiem zapobiegawczym, który może zapewnić ochronę całego ruchu sieciowego, jest włączenie podpisów cyfrowych za pomocą protokołu IPSec. Aby zminimalizować spadek wydajności procesora z tego powodu, można użyć sprzętowych akceleratorów szyfrowania i podpisywania IPSec. Nie ma natomiast akceleratorów, które przyspieszałyby podpisywanie SMB.
      • W systemach Windows 95, Windows 98 i Windows 98 Wydanie drugie klient usług katalogowych używa podpisywania SMB podczas uwierzytelniania z serwerami z systemem Windows Server 2003 za pomocą uwierzytelniania NTLM. Jednak ci klienci nie używają podpisywania SMB podczas uwierzytelniania z tymi serwerami za pomocą uwierzytelniania NTLMv2. Ponadto serwery z systemem Windows 2000 nie odpowiadają na żądania podpisywania SMB od tych klientów. Zobacz element 10: „Zabezpieczenia sieci: poziom uwierzytelniania LAN Manager” .
    2. Konfiguracja ryzykowna

      Szkodliwe jest następujące ustawienie konfiguracji: Włączenie ustawienia Serwer sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) na serwerach i kontrolerach domeny, z których korzystają niezgodne komputery klienckie z systemami operacyjnymi firmy Microsoft i innych firm w domenie lokalnej i domenach zewnętrznych.
    3. Przyczyny włączenia tego ustawienia
      • Wszystkie komputery klienckie, które włączają to ustawienie bezpośrednio przez rejestr lub ustawienie zasad grupy, obsługują podpisywanie SMB. Inaczej mówiąc, na każdym komputerze klienckim, na którym to ustawienie jest włączone, jest uruchomiony system Windows 95 z zainstalowanym klientem DS, system Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional lub Windows Server 2003.
      • Jeśli ustawienie Serwer sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) jest wyłączone, podpisywanie SMB jest całkowicie wyłączone. Całkowite wyłączenie podpisywania SMB sprawia, że komputery są bardziej podatne na przejmowanie sesji.
    4. Przyczyny wyłączenia tego ustawienia
      • Włączenie tego ustawienia może wydłużać czas kopiowania plików i obniżać wydajność komunikacji z siecią komputerów klienckich.
      • Włączenie tego ustawienia uniemożliwi klientom, które nie mogą negocjować podpisywania SMB, komunikowanie się z serwerami i kontrolerami domeny. Spowoduje to niepowodzenie takich operacji, jak przyłączanie się do domen, uwierzytelnianie komputerów i użytkowników oraz dostęp do sieci.
    5. Nazwa symboliczna:

      RequireSMBSignServer
    6. Ścieżka rejestru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)
    7. Przykłady problemów ze zgodnością
      • Windows 95: Niepowodzenie uwierzytelnienia logowania na klientach z systemem Windows 95, na których nie jest zainstalowany klient usług katalogowych (DS), i wyświetlenie następującego komunikatu o błędzie:
        Podane hasło domeny jest niepoprawne lub został zabroniony dostęp do serwera logowania.
        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        811497 Komunikat o błędzie jest wyświetlany podczas logowania klienta systemu Windows 95 lub Windows NT 4.0 do domeny systemu Windows Server 2003 (j. ang.)
      • Windows NT 4.0: Niepowodzenie uwierzytelnienia logowania na komputerach klienckich, na których są uruchomione wersje systemu Windows NT 4.0 wcześniejsze niż Windows NT 4.0 z dodatkiem Service Pack 3 (SP3), i wyświetlenie następującego komunikatu o błędzie:
        Logowanie nie powiodło się. Sprawdź, czy nazwa użytkownika i domena są poprawne, a następnie wpisz hasło ponownie.
        Niektóre serwery SMB firm innych niż Microsoft obsługują w trakcie uwierzytelniania tylko wymianę niezaszyfrowanych haseł. (Te wymiany są też nazywane wymianami „zwykłego tekstu” ). Począwszy od systemu Windows NT 4.0 z dodatkiem SP 3, readresator SMB nie wysyła podczas uwierzytelniania niezaszyfrowanego hasła do serwera SMB, jeżeli nie zostanie dodany określony wpis rejestru.
        Aby włączyć niezaszyfrowane hasła dla klienta SMB w systemie Windows NT 4.0 z dodatkiem SP 3 i nowszych systemach, zmodyfikuj rejestr, tak jak pokazano poniżej: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        Nazwa wartości: EnablePlainTextPassword
        Typ danych: REG_DWORD
        Dane: 1

        Aby uzyskać więcej informacji na tematy pokrewne, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
        224287 Komunikat o błędzie: Wystąpił błąd systemowy 1240. Konto nie ma uprawnień do logowania z tej stacji
        166730 Nieszyfrowane hasła mogą być przyczyną niepowodzenia próby połączenia się dodatku Service Pack 3 z serwerami SMB (j. ang.)
      • Windows Server 2003: Domyślnie ustawienia zabezpieczeń na kontrolerach domeny z systemem Windows Server 2003 są skonfigurowane tak, aby pomagały zapobiegać przechwytywaniu lub modyfikowaniu komunikacji kontrolera domeny przez złośliwych użytkowników. Aby użytkownicy mogli pomyślnie komunikować się z kontrolerem domeny, na którym działa system Windows Server 2003, komputery klienckie muszą używać podpisywania SMB i szyfrowania lub podpisywania ruchu w bezpiecznym kanale. Domyślnie klienci z systemem Windows NT 4.0 z dodatkiem Service Pack 2 (SP2) lub wcześniejszym oraz klienci z systemem Windows 95 nie mają włączonego podpisywania pakietów SMB. Dlatego ci klienci mogą nie być w stanie przeprowadzić uwierzytelniania na kontrolerze domeny z systemem Windows Server 2003.
      • Ustawienia zasad w systemach Windows 2000 i Windows Server 2003: W zależności od określonych potrzeb dotyczących instalacji oraz konfiguracji zalecane jest, aby ustawić następujące ustawienia zasad w najniższej jednostce wymaganego zakresu w hierarchii przystawki Edytor zasad grupy programu Microsoft Management Console:
        • Konfiguracja komputera\Ustawienia zabezpieczeń systemu Windows\Opcje zabezpieczeń
        • Wyślij niezaszyfrowane hasło w celu nawiązania połączenia z innymi serwerami SMB (To ustawienie jest przeznaczone dla systemu Windows 2000).
        • Klient sieci Microsoft: wyślij niezaszyfrowane hasło w celu nawiązania połączenia z innymi serwerami SMB (To ustawienie jest przeznaczone dla systemu Windows Server 2003).

        Uwaga Niektóre serwery CIFS innych firm, takie jak starsze wersje serwera Samba, nie zezwalają na używanie zaszyfrowanych haseł.
      • Następujący klienci są niezgodni z ustawieniem Serwer sieci Microsoft: podpisuj cyfrowo komunikację (zawsze):
        • Klienci z systemem Mac OS X firmy Apple Computer
        • Klienci sieciowi z systemem systemu MS-DOS firmy Microsoft (na przykład Microsoft LAN Manager)
        • Klienci z systemem Microsoft Windows for Workgroups
        • Klienci z systemem Microsoft Windows 95 bez zainstalowanego klienta usług katalogowych
        • Komputery z systemem Microsoft Windows NT 4.0, na których nie jest zainstalowany dodatek SP3 lub nowszy
        • Klienci z systemem Novell Netware 6 CIFS
        • Klienci SAMBA SMB pozbawieni obsługi podpisywania SMB
    8. Wymagania dotyczące ponownego uruchamiania

      Ponownie uruchom komputer lub usługę Serwer. Aby to zrobić, wpisz następujące polecenia w wierszu polecenia. Po wpisaniu każdego polecenia naciskaj klawisz ENTER.
      net stop server
      net start server
  7. Dostęp sieciowy: zezwalaj na anonimową translację identyfikatorów SID/nazw
    1. Informacje ogólne

      Ustawienie Dostęp sieciowy: zezwalaj na anonimową translację identyfikatorów SID/nazw określa, czy anonimowy użytkownik może żądać atrybutów identyfikatora SID (Security Identification Number) dla innego użytkownika.
    2. Konfiguracja ryzykowna

      Włączenie ustawienia Dostęp sieciowy: zezwalaj na anonimową translację identyfikatorów SID/nazw powoduje wprowadzenie szkodliwego ustawienia konfiguracji.
    3. Przyczyny włączenia tego ustawienia

      Jeśli ustawienie Dostęp sieciowy: Zezwalaj na anonimową translację identyfikatorów SID/nazw jest wyłączone, starsze systemy operacyjne lub aplikacje mogą nie być w stanie komunikować się z domenami systemu Windows Server 2003. Na przykład mogą wtedy nie działać następujące systemy operacyjne, usługi lub aplikacje:
      • Serwery usługi dostępu zdalnego systemu Windows NT 4.0
      • Program Microsoft SQL Server uruchomiony na komputerze z systemem Windows NT 3.x lub na komputerze z systemem Windows NT 4.0
      • Usługa dostępu zdalnego uruchomiona na komputerze systemem Windows 2000, który jest umieszczony w domenie systemu Windows NT 3.x lub domenie systemu Windows NT 4.0
      • Program SQL Server uruchomiony na komputerze systemem Windows 2000, który jest umieszczony w domenie systemu Windows NT 3.x lub domenie systemu Windows NT 4.0
      • Użytkownicy w domenie zasobów systemu Windows NT 4.0, którzy chcą udzielić uprawnienia dostępu do plików, folderów udostępnionych i obiektów rejestru kontom użytkowników z domen kont zawierających kontrolery domeny systemu Windows Server 2003
    4. Przyczyny wyłączenia tego ustawienia

      Jeśli to ustawienie zostanie włączone, złośliwy użytkownik może użyć znanego mu identyfikatora SID Administratorzy w celu uzyskania prawdziwej nazwy wbudowanego konta Administratora, nawet jeśli ta nazwa konta została zmieniona. Osoba taka może następnie wykorzystać nazwę konta w celu wszczęcia ataku polegającego na zgadywaniu haseł.
    5. Nazwa symboliczna: brak
    6. Ścieżka rejestru: brak. Przykłady problemów ze zgodnością
    7. Przykłady problemów ze zgodnością

      Windows NT 4.0: Komputery w domenach zasobów systemu Windows NT 4.0 wyświetlają komunikat o błędzie „Konto nieznane” w edytorze ACL, gdy zasoby, w tym foldery udostępnione, pliki udostępnione i obiekty rejestru, są zabezpieczone przy użyciu podmiotów zabezpieczeń znajdujących się w domenach kont zawierających kontrolery domeny z systemem Windows Server 2003.
  8. Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie kont SAM
    1. Informacje ogólne
      • Ustawienie Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie kont SAM określa, jakie dodatkowe uprawnienia są udzielane anonimowym połączeniom z komputerem. System Windows umożliwia anonimowym użytkownikom wykonywanie pewnych czynności, takich jak wyliczanie nazw kont SAM (Security Accounts Manager) stacji roboczych i serwerów oraz wyliczanie nazw udziałów sieciowych. Na przykład administrator może dzięki temu zezwolić na dostęp użytkownikom w zaufanej domenie, która nie utrzymuje wzajemnego zaufania. Po ustanowieniu sesji użytkownik anonimowy może mieć takie same prawa dostępu, jakimi dysponuje grupa Wszyscy, zależnie od ustawienia Dostęp sieciowy: zezwalaj na stosowanie uprawnień Wszyscy do anonimowych użytkowników lub poufnej listy kontroli dostępu (DACL) dotyczącej danego obiektu.

        Połączeń anonimowych żądają zazwyczaj starsze wersje klientów (klienci niższych poziomów) podczas konfigurowania sesji SMB. W takich przypadkach w wynikach śledzenia sieci widać, że identyfikator procesu (PID) SMB jest readresatorem klienta (np. wartość 0xFEFF w systemie Windows 2000 lub 0xCAFE w systemie Windows NT). Również zdalne wywołania procedur mogą podejmować próby tworzenia połączeń anonimowych.
      • Ważne To ustawienie nie ma wpływu na kontrolery domeny. Na kontrolerach domeny to zachowanie jest określane przez obecność grupy „ZARZĄDZANIE NT\LOGOWANIE ANONIMOWE” w grupie „Dostęp zgodny z systemami starszymi niż Windows 2000”.
      • W systemie Windows 2000 istnieje podobne ustawienie, Dodatkowe ograniczenia dla połączeń anonimowych, od którego zależy wartość rejestru
        RestrictAnonymous
        . Lokalizacja tej wartości jest następująca:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
        Aby uzyskać więcej informacji dotyczących wartości rejestru RestrictAnonymous, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
        246261 Jak używać wartości rejestru RestrictAnonymous w systemie Windows 2000
        143474 Ograniczanie zakresu informacji dostępnych dla użytkowników logujących się anonimowo (j. ang.)
    2. Konfiguracje ryzykowne:

      Włączenie ustawienia Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie kont SAM powoduje wprowadzenie szkodliwego ustawienia konfiguracji ze względu na zgodność, natomiast wyłączenie tego ustawienia powoduje wprowadzenie szkodliwego ustawienia konfiguracji ze względu na zabezpieczenia.
    3. Przyczyny włączenia tego ustawienia

      Nieautoryzowany użytkownik może anonimowo wyświetlić listę nazw kont, a następnie wykorzystać te informacje do odgadywania haseł lub atakowania za pomocą sztuczek socjotechnicznych. Sztuczki socjotechniczne oznaczają w żargonie oszukiwanie użytkowników, aby ujawnili swoje hasło lub inne informacje dotyczące zabezpieczeń.
    4. Przyczyny wyłączenia tego ustawienia

      Jeśli to ustawienie jest włączone, niemożliwe jest ustanowienie zaufania z domenami systemu Windows NT 4.0. Ustawienie to powoduje także problemy z korzystaniem z zasobów na serwerze przez klientów niskiego poziomu, jak klienci z systemem Windows NT 3.51 i klienci z systemem Windows 95.
    5. Nazwa symboliczna: RestrictAnonymousSAM
    6. Ścieżka rejestru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)
    7. Przykłady problemów ze zgodnością
    • Funkcja wykrywania sieci w programie SMS nie jest w stanie uzyskać informacji o systemie operacyjnym i zapisuje wartość „Nieznany” we właściwości OperatingSystemNameandVersion.
    • Windows 95, Windows 98: Na klientach z systemem Windows 95 i klientach z systemem Windows 98 nie można zmienić hasła.
    • Windows NT 4.0: Niemożliwe jest uwierzytelnienie komputerów członkowskich z systemem Windows NT 4.0.
    • Windows 95, Windows 98: Niemożliwe jest uwierzytelnienie komputerów z systemem Windows 95 i komputerów z systemem Windows 98 przez kontrolery domeny firmy Microsoft.
    • Windows 95, Windows 98: Na klientach z systemem Windows 95 i klientach z systemem Windows 98 użytkownicy nie mogą zmienić hasła do swoich kont.
  9. Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie kont SAM i udziałów
    1. Informacje ogólne
      • Ustawienie Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie kont SAM i udziałów (zwane także RestrictAnonymous) określa, czy jest dozwolone anonimowe wyliczanie kont SAM (Security Accounts Manager) i udziałów. System Windows umożliwia anonimowym użytkownikom wykonywanie pewnych czynności, jak wyliczanie nazw kont domeny (użytkowników, komputerów i grup) oraz udziałów sieciowych. Jest to wygodne na przykład wtedy, gdy administrator chce zezwolić na dostęp użytkownikom w zaufanej domenie, która nie utrzymuje wzajemnego zaufania. Jeśli anonimowe wyliczanie kont SAM i udziałów ma być zabronione, należy włączyć to ustawienie.
      • W systemie Windows 2000 jest podobne ustawienie, Dodatkowe ograniczenia dla połączeń anonimowych, od którego zależy wartość rejestru
        RestrictAnonymous
        . Wartość ta jest zlokalizowana w następującym kluczu:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    2. Konfiguracja ryzykowna

      Włączenie ustawienia Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie kont SAM i udziałów powoduje wprowadzenie szkodliwego ustawienia konfiguracji.
    3. Przyczyny włączenia tego ustawienia
      • Włączenie ustawienia Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie kont SAM i udziałów uniemożliwia wyliczanie kont SAM i udziałów przez użytkowników i komputery, które korzystają z kont anonimowych.
    4. Przyczyny wyłączenia tego ustawienia
      • Jeśli to ustawienie jest włączone, nieautoryzowany użytkownik może anonimowo wyświetlić listę nazw kont, a następnie wykorzystać te informacje do odgadywania haseł lub atakowania za pomocą sztuczek socjotechnicznych. Sztuczki socjotechniczne oznaczają w żargonie oszukiwanie użytkowników, aby ujawnili swoje hasła lub inne informacje dotyczące zabezpieczeń.
      • Jeśli to ustawienie jest włączone, niemożliwe będzie ustanowienie zaufania z domenami systemu Windows NT 4.0. Ustawienie to spowoduje także problemy z korzystaniem zasobów na serwerze przez klientów niskiego poziomu, jak klienci z systemem Windows NT 3.51 i klienci z systemem Windows 95.
      • Nie będzie można zezwolić na dostęp użytkownikom domen zasobów, ponieważ administratorzy w domenach ufających nie będą w stanie wyliczyć listy kont w innej domenie. Użytkownicy korzystający anonimowo z serwerów plików lub serwerów drukarek nie będą w stanie wyświetlić listy udostępnionych zasobów sieciowych na tych serwerach; będzie to wymagało od nich uwierzytelnienia.
    5. Nazwa symboliczna:

      RestrictAnonymous
    6. Ścieżka rejestru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
    7. Przykłady problemów ze zgodnością
      • Windows NT 4.0: Użytkownicy nie są w stanie zmienić swoich haseł ze stacji roboczych z systemem Windows NT 4.0, jeśli na kontrolerach domeny w domenie użytkownika jest włączone ustawienie RestrictAnonymous. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        198941 Użytkownicy nie mogą zmienić hasła podczas logowania (j. ang.)
      • Windows NT 4.0: Niepowodzenie dodawania użytkowników lub grup globalnych z zaufanych domen systemu Windows 2000 do grup lokalnych systemu Windows NT 4.0 w Menedżerze użytkowników i wyświetlenie następującego komunikatu o błędzie:
        Nie ma aktualnie dostępnych serwerów logowania do obsługi żądania logowania.
        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        296405 Wartość rejestru „RestrictAnonymous” może powodować zerwanie relacji zaufania z domeną systemu Windows 2000 (j. ang.)
      • Windows NT 4.0: Komputery z systemem Windows NT 4.0 nie są w stanie przyłączyć się do domen podczas instalacji lub przy użyciu interfejsu użytkownika przyłączania do domen.

        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        184538 Komunikat o błędzie: Nie można odnaleźć kontrolera dla tej domeny (j. ang.)
      • Windows NT 4.0: Windows NT 4.0: Niepowodzenie ustanowienia zaufania niskiego poziomu z domenami zasobów systemu Windows NT 4.0 i wyświetlenie następującego komunikatu o błędzie, gdy na zaufanej domenie jest włączone ustawienie RestrictAnonymous:
        Nie można odnaleźć kontrolera tej domeny.
        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        178640 Nie można odnaleźć kontrolera domeny podczas ustanawiania relacji zaufania (j. ang.)
      • Windows NT 4.0: Użytkownicy logujący się do komputerów z systemem Windows NT 4.0, na których jest uruchomiony serwer terminali, są mapowani do domyślnego katalogu głównego, a nie do katalogu głównego, który jest zdefiniowany dla domen w Menedżerze użytkowników.

        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        236185 Profile użytkowników i ścieżki folderów głównych serwera terminali są ignorowane po zastosowaniu dodatku SP4 lub nowszego (j. ang.)
      • Windows NT 4.0: Na zapasowych kontrolerach domeny z systemem Windows NT 4.0 nie można uruchomić usługi Logowanie do sieci w celu uzyskania listy zapasowych przeglądarek lub zsynchronizowania bazy danych SAM z kontrolerami domeny z systemem Windows 2000 lub Windows Server 2003 należącymi do tej samej domeny.

        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        293127 Usługa Net Logon zapasowego kontrolera domeny systemu Windows NT 4.0 nie funkcjonuje w domenie systemu Windows 2000 (j. ang.)
      • Windows 2000: Przeglądanie drukarek w zewnętrznych domenach jest niemożliwe na komputerach z systemem Windows 2000 należących do domen systemu Windows NT 4.0, jeśli w lokalnych zasadach zabezpieczeń komputera klienckiego jest włączone ustawienie Brak dostępu bez wyraźnych zezwoleń anonimowych.

        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        280329 Użytkownicy nie mogą zarządzać właściwościami drukarek lub przeglądać tych właściwości (j. ang.)
      • Windows 2000: Użytkownicy w domenach systemu Windows 2000 nie są w stanie dodawać drukarek sieciowych z usługi Active Directory, ale mogą dodawać drukarki, jeśli zaznaczą je na widoku drzewa.

        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        318866 Klienci programu Outlook nie mogą przeglądać pełnej globalnej listy adresów po zainstalowaniu pakietu zbiorczego zabezpieczeń 1 (SR) na serwerze wykazu globalnego (j. ang.)
      • Windows 2000: Na komputerach z systemem Windows 2000 niemożliwe jest dodawanie użytkowników lub grup globalnych z zaufanych domen z systemem Windows NT 4.0 przy użyciu edytora list ACL.

        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        296403 Wartość RestrictAnonymous powoduje zerwanie relacji zaufania w środowisku domeny mieszanej (j. ang.)
      • ADMT w wersji 2: Niepowodzenie migracji haseł dla kont użytkowników, które są migrowane z jednego lasu do drugiego przy użyciu narzędzia ADMT (Active Directory Migration Tool) w wersji 2.

        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        322981 Jak rozwiązywać problemy z migracją haseł między lasami przy użyciu narzędzia ADMTv2 (j. ang.)
      • Klienci programu Outlook: Globalna lista adresowa jest wyświetlana pusta na klientach programu Microsoft Exchange Outlook.

        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        318866 Klienci programu Outlook nie mogą przeglądać pełnej globalnej listy adresów po zainstalowaniu pakietu zbiorczego zabezpieczeń 1 (SR) na serwerze wykazu globalnego (j. ang.)
        321169 Niska wydajność protokołu SMB przy kopiowaniu plików z systemu Windows XP na kontroler domeny Windows 2000
      • SMS: Funkcja wykrywania sieci w programie Microsoft Systems Management Server (SMS) nie jest w stanie uzyskać informacji o systemie operacyjnym. W związku z tym jest zapisywana wartość „Nieznany” we właściwości OperatingSystemNameandVersion rekordu wykrywania DDR programu SMS.

        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        229769 Jak program Discovery Data Manager ustala, kiedy należy generować żądania konfiguracji klienta (j. ang.)
      • SMS: Podczas wyszukiwania użytkowników lub grup w kreatorze użytkowników administratora programu SMS nie są wyświetlani żadni użytkownicy i żadne grupy. Ponadto klienci zaawansowani nie mogą komunikować się z punktem zarządzania. W punkcie zarządzania jest wymagany dostęp anonimowy.

        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        302413 W kreatorze Administrator User Wizard nie są wyświetlani żadni użytkownicy lub grupy (j. ang.)
      • SMS: Podczas korzystania z funkcji wykrywania sieci w programie SMS 2.0 i w menedżerze Remote Client Installation z włączoną opcją wykrywania sieci Topology, client, and client operating systems, komputery są wykrywane, ale nie można ich zainstalować.

        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        311257 Zasoby nie są wykrywane, jeżeli połączenia anonimowe są wyłączone (j. ang.)
  10. Zabezpieczenia sieci: poziom uwierzytelniania LAN Manager
    1. Informacje ogólne

      Uwierzytelnienie LM (LAN Manager) jest protokołem wykorzystywanym do uwierzytelniania klientów z systemem Windows na potrzeby operacji sieciowych, jak przyłączanie do domen, korzystanie z zasobów sieciowych i uwierzytelnianie komputerów lub użytkowników. Poziom uwierzytelniania LM określa, czy między komputerami klienckimi a serwerem jest negocjowany protokół uwierzytelniania wyzwanie/odpowiedź. W szczególności poziom uwierzytelniania LM określa, które protokoły uwierzytelniania klient będzie próbował negocjować lub serwer będzie akceptować. Wartość ustawiona dla wpisu LmCompatibilityLevel określa, który protokół uwierzytelniania typu wyzwanie/odpowiedź będzie używany na potrzeby logowania w sieci. Ta wartość ma wpływ na używany przez klientów poziom protokołu uwierzytelniania, negocjowany poziom zabezpieczeń sesji oraz poziom uwierzytelniania akceptowany przez serwery, zgodnie z opisem w poniższej tabeli.

      Możliwe są następujące ustawienia.
      Zwiń tę tabelęRozwiń tę tabelę
      WartośćUstawienieOpis
      0 Wyślij odpowiedzi typu LM i NTLMKlienci korzystają z uwierzytelniania LM i NTLM i nigdy nie korzystają z zabezpieczeń sesji NTLMv2; kontrolery domen akceptują uwierzytelnianie LM, NTLM i NTLMv2.
      1Wyślij LM i NTLM — użyj zabezpieczeń sesji NTLMv2 po uzgodnieniuKlienci korzystają z uwierzytelniania LM i NTLM i korzystają z zabezpieczeń sesji NTLMv2, o ile serwer je obsługuje; kontrolery domen akceptują uwierzytelnianie LM, NTLM i NTLMv2.
      2Wyślij tylko odpowiedź NTLMKlienci korzystają tylko z uwierzytelniania NTLM i korzystają z zabezpieczeń sesji NTLMv2, o ile serwer je obsługuje; kontrolery domen akceptują uwierzytelnianie LM, NTLM i NTLMv2.
      3Wyślij tylko odpowiedź NTLMv2Klienci korzystają tylko z uwierzytelniania NTLMv2 i korzystają z zabezpieczeń sesji NTLMv2, o ile serwer je obsługuje; kontrolery domen akceptują uwierzytelnianie LM, NTLM i NTLMv2.
      4Wyślij tylko odpowiedź NTLMv2/odrzuć LMKlienci korzystają tylko z uwierzytelniania NTLMv2 i korzystają z zabezpieczeń sesji NTLMv2, o ile serwer je obsługuje. Kontrolery domeny odrzucają uwierzytelnianie LM i akceptują tylko uwierzytelnianie NTLM i NTLMv2.
      5Wyślij tylko odpowiedź NTLMv2/odmów odpowiedzi typu LM i NTLMKlienci korzystają tylko z uwierzytelniania NTLMv2 i korzystają z zabezpieczeń sesji NTLMv2, o ile serwer je obsługuje; kontrolery domen odrzucają LM i NTLM (akceptują tylko uwierzytelnianie NTLMv2).
      Uwaga W systemach Windows 95, Windows 98 i Windows 98 Wydanie drugie klient usług katalogowych używa podpisywania SMB podczas uwierzytelniania przez serwery z systemem Windows Server 2003 za pomocą uwierzytelniania NTLM. Jednak ci klienci nie używają podpisywania SMB podczas uwierzytelniania z tymi serwerami za pomocą uwierzytelniania NTLMv2. Ponadto serwery z systemem Windows 2000 nie odpowiadają na żądania podpisywania SMB od tych klientów.

      Sprawdź poziom uwierzytelniania LM Musisz zmienić zasady na serwerze, aby zezwalały na stosowanie uwierzytelniania NTLM lub musisz skonfigurować komputer kliencki, tak aby obsługiwał uwierzytelnianie NTLMv2.

      Jeżeli na komputerze docelowym, z którym próbujesz nawiązać połączenie, zasada jest ustawiona na wartość (5) Wyślij tylko odpowiedź typu NTLMv2/odmów odpowiedzi typu LM i NTLM, musisz obniżyć ustawienie na tym komputerze lub określić takie samo ustawienie zabezpieczeń na komputerze źródłowym, z którego nawiązujesz połączenie.

      Znajdź poprawną lokalizację, w której można zmienić poziom uwierzytelniania LAN Manager w celu ustawienia tego samego poziomu dla klienta i serwera. Aby nawiązywać połączenia przy użyciu komputerów, na których są uruchomione starsze wersje systemu Windows, po odnalezieniu zasady określającej poziom uwierzytelniania programu LAN Manager obniż tę wartość do poziomu (1) Wyślij LM i NTLM - użyj zabezpieczeń sesji NTLMv2 po uzgodnieniu lub niższego. Jednym ze skutków niezgodności ustawień jest sytuacja, w której, jeżeli serwer wymaga NTLMv2 (wartość 5), ale klient jest skonfigurowany do korzystania tylko z LM i NTLMv1 (wartość 0), użytkownik usiłujący uwierzytelnić się jest informowany o błędzie logowania związanym z nieprawidłowym hasłem i zwiększeniu liczby nieprawidłowych prób użycia hasła. Jeżeli skonfigurowano blokadę konta, użytkownik może zostać zablokowany.

      Na przykład może być konieczne szukanie na kontrolerze domeny lub w zasadach kontrolera domeny.

      Wyszukiwanie na kontrolerze domeny
      Uwaga Być może trzeba będzie powtórzyć tę procedurę na wszystkich kontrolerach domeny.
      1. Kliknij przycisk Start, wskaż polecenie Programy, a następnie kliknij polecenie Narzędzia administracyjne.
      2. W węźle Ustawienia zabezpieczeń lokalnych rozwiń pozycję Zasady lokalne.
      3. Kliknij pozycję Opcje zabezpieczeń.
      4. Kliknij dwukrotnie pozycję Zabezpieczenia sieci: poziom uwierzytelniania LAN Manager, a następnie kliknij odpowiednią wartość na liście.
      Jeśli Ustawienie efektywne i Ustawienie lokalne są takie same, to oznacza to, że zasady zostały zmienione na tym poziomie. Jeśli te ustawienia są różne, należy sprawdzić zasady kontrolera domeny, aby zobaczyć, czy jest w nich zdefiniowane ustawienie Zabezpieczenia sieci: poziom uwierzytelniania LAN Manager. Jeśli to ustawienie nie jest zdefiniowane, należy go poszukać w zasadach kontrolera domeny.

      Wyszukiwanie w zasadach kontrolera domeny
      1. Kliknij przycisk Start, wskaż polecenie Programy, a następnie kliknij polecenie Narzędzia administracyjne.
      2. W zasadach Zabezpieczenia kontrolera domeny rozwiń pozycję Ustawienia zabezpieczeń, a następnie rozwiń węzeł Zasady lokalne.
      3. Kliknij pozycję Opcje zabezpieczeń.
      4. Kliknij dwukrotnie pozycję Zabezpieczenia sieci: poziom uwierzytelniania LAN Manager, a następnie kliknij odpowiednią wartość na liście.
      Uwaga
      • W celu sprawdzenia, gdzie należy skonfigurować poziom uwierzytelniania programu LAN Manager, może być konieczne sprawdzenie zasad, które są połączone na poziomie lokacji, na poziomie domeny lub na poziomie jednostki organizacyjnej (OU).
      • Jeśli ustawienie zasad grupy zostanie zaimplementowane jako domyślna zasada domeny, wówczas ta zasada zostanie zastosowana do wszystkich komputerów w domenie.
      • Jeśli ustawienie zasad grupy zostanie zaimplementowane jako domyślna zasada kontrolera domeny, wówczas ta zasada zostanie zastosowana tylko do serwerów w jednostce organizacyjnej kontrolera domeny.
      • Dobrym rozwiązaniem jest ustawienie poziomu uwierzytelniania programu LAN Manager w najniższej jednostce niezbędnego zakresu w hierarchii aplikacji zasad.
      Po wprowadzeniu zmian odśwież zasady. (Jeśli zmiana została wprowadzona na poziomie ustawień zabezpieczeń lokalnych, to zacznie obowiązywać natychmiast. Jednak przed jej przetestowaniem musisz ponownie uruchomić klienta).

      Domyślnie ustawienia zasad grupy są aktualizowane na kontrolerach domeny co pięć minut. Aby natychmiast wymusić zaktualizowanie ustawień zasad w systemie Windows 2000 lub nowszym, użyj polecenia gpupdate.

      Polecenie gpupdate /force aktualizuje ustawienia zasad grupy oraz ustawienia zasad grupy oparte na usłudze katalogowej Active Directory, w tym ustawienia zabezpieczeń. To polecenie zastępuje nieaktualną już opcję /refreshpolicy polecenia secedit.

      Składnia polecenia gpupdate jest następująca:
      gpupdate [/target:{komputer|użytkownik}] [/force] [/wait:wartość] [/logoff] [/boot]

      Zastosuj nowy obiekt zasad grupy (GPO) za pomocą polecenia gpupdate, aby ręcznie ponownie zastosować wszystkie ustawienia zasad. W tym celu wpisz w wierszu polecenia następujące polecenie, a następnie naciśnij klawisz ENTER:
      GPUpdate /Force
      Sprawdź w dzienniku zdarzeń aplikacji, czy ustawienie zasad zostało zastosowane pomyślnie.

      W systemach Windows XP i Windows Server 2003 w celu wyświetlenia efektywnego ustawienia można użyć przystawki Wynikowy zestaw zasad. Aby to zrobić, kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie rsop.msc, a następnie kliknij przycisk OK.

      Jeśli po zmianie zasad problem nadal występuje, ponownie uruchom serwer z systemem Windows, a następnie sprawdź, czy problem został rozwiązany.

      Uwaga Jeśli używanych jest kilka kontrolerów domeny z systemem Windows 2000, kilka kontrolerów domeny z systemem Windows Server 2003 lub kilka kontrolerów z oboma tymi systemami, może być konieczne przeprowadzenie replikacji usługi Active Directory w celu zapewnienia natychmiastowego wprowadzenia zaktualizowanych zmian na tych kontrolerach domeny.

      Może się też okazać, że to ustawienie ma najniższą wartość w zasadach zabezpieczeń lokalnych. Jeżeli można wymuszać to ustawienie przy użyciu bazy danych zabezpieczeń, można również ustawić poziom uwierzytelniania programu LAN Manager w rejestrze, edytując wpis LmCompatibilityLevel w następującym podkluczu rejestru:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
      W systemie Windows Server 2003 istnieje nowe ustawienie domyślne powodujące używanie wyłącznie uwierzytelniania NTLMv2. Domyślnie na kontrolerach domeny z systemem Windows Server 2003 lub Windows 2000 Server z dodatkiem SP3 jest włączona zasada „Serwer sieci Microsoft: podpisuj cyfrowo komunikację (zawsze)” . To ustawienie powoduje, że serwer SMB musi podpisywać pakiety SMB. W systemie Windows Server 2003 zostały wprowadzone zmiany, ponieważ kontrolery domeny, serwery plików, serwery infrastruktury sieciowej i serwery sieci Web w dowolnej organizacji wymagają różnych ustawień w celu uzyskania maksymalnych zabezpieczeń.

      Jeśli w sieci należy zaimplementować uwierzytelnianie NTLMv2, to należy się upewnić, że wszystkie komputery w domenie są skonfigurowane do korzystania z tego poziomu uwierzytelniania. Jeśli zostaną zastosowane rozszerzenia klienta usługi Active Directory dla systemu Windows 95 lub Windows 98 i Windows NT 4.0, to rozszerzenia klienta będą używać ulepszonych funkcji uwierzytelniania dostępnych w protokole uwierzytelniania NTLMv2. Ponieważ na komputery klienckie z dowolnym spośród następujących systemów operacyjnych nie mają wpływu obiekty zasad grupy systemu Windows 2000, może być konieczne ręczne skonfigurowanie tych klientów:
      • Microsoft Windows NT 4.0
      • Microsoft Windows Millennium Edition
      • System Microsoft Windows 98
      • System Microsoft Windows 95
      Uwaga: W przypadku włączenia zasady Zabezpieczenia sieci: nie przechowuj wartości mieszania (hash) programu LAN Manager dla następnej zmiany hasła lub ustawienia klucza rejestru NoLMHash klienci z systemami Windows 95 i Windows 98, na których nie zainstalowano klienta usług katalogowych, nie będą mogli logować się do domeny po zmianie hasła.

      Wiele serwerów CIFS innych firm, takich jak Novell Netware 6, nie obsługuje uwierzytelniania NTLMv2 i używa tylko uwierzytelniania NTLM. Dlatego poziomy wyższe niż 2 nie umożliwiają połączenia.

      Aby uzyskać więcej informacji dotyczących ręcznego konfigurowania poziomu uwierzytelniania programu LAN Manager, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
      147706 Jak włączyć uwierzytelnianie LM w systemie Windows NT (j. ang.)
      175641 Wpis rejestru LmCompatibilityLevel i jego zastosowania (j. ang.)
      299656 Jak zapobiec przechowywaniu przez system Windows wartości mieszania programu LAN Manager dla hasła użytkownika w usłudze Active Directory i w lokalnych bazach danych SAM
      312630 Program Outlook nieustannie monituje o poświadczenia logowania (j. ang.)
      Aby uzyskać więcej informacji dotyczących poziomów uwierzytelniania LM, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
      239869 Jak włączyć obsługę uwierzytelniania NTLM 2
    2. Konfiguracje ryzykowne

      Szkodliwe są następujące ustawienia konfiguracji:
      • Nierestrykcyjne ustawienia, które powodują wysyłanie haseł w formacie tekstowym i odmawiają negocjowania NTLMv2
      • Restrykcyjne ustawienia, które uniemożliwiają niezgodnym klientom lub kontrolerom domeny wynegocjowanie wspólnego protokołu uwierzytelniania
      • Wymaganie uwierzytelniania NTLMv2 na komputerach członkowskich i kontrolerach domeny, na których jest uruchomiony system Windows NT 4.0 w wersji starszej niż system Windows NT 4.0 z dodatkiem Service Pack 4 (SP4)
      • Wymaganie uwierzytelniania NTLMv2 na klientach z systemem Windows 95 lub na klientach z systemem Windows 98, na których nie jest zainstalowany klient usług katalogowych systemu Windows.
      • Jeżeli użytkownik kliknie w celu zaznaczenia pola wyboru Wymaga zabezpieczeń sesji NTLMv2 w przystawce Edytor zasad grupy programu MMC (Microsoft Management Console) na komputerze z systemem Windows Server 2003 lub Windows 2000 z dodatkiem Service Pack 3 i obniży poziom uwierzytelniania programu LAN Manager do 0, wystąpi konflikt tych dwóch ustawień i może zostać wyświetlony następujący komunikat o błędzie w pliku Secpol.msc lub GPEdit.msc:
        System Windows nie może otworzyć lokalnej bazy danych zasad. Podczas próby otwarcia bazy danych wystąpił nieznany błąd.
        Aby uzyskać więcej informacji dotyczących narzędzia Konfiguracja i analiza zabezpieczeń, zobacz pliki Pomocy systemu Windows 2000 lub Windows Server 2003.

        Aby uzyskać więcej informacji dotyczących sposobu analizowania poziomów zabezpieczeń w systemach Windows 2000 i Windows Server 2003, kliknij numery artykułów poniżej w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
        313203 JAK: Analizowanie zabezpieczeń systemu w Windows 2000
        816580 Jak analizować zabezpieczenia w systemie Windows Server 2003 (j. ang.)
    3. Przyczyny zmodyfikowania tego ustawienia
      • Administrator chce podwyższyć najniższy wspólny protokół uwierzytelniania, który jest obsługiwany przez klientów i kontrolery domeny w organizacji.
      • Jeśli bezpieczne uwierzytelnianie jest wymogiem biznesowym, należy zabronić negocjowania protokołów LM i NTLM.
    4. Przyczyny wyłączenia tego ustawienia

      Wymaganie uwierzytelniania klienta, serwera lub klienta i serwera zostały podwyższone do takiego poziomu, że uwierzytelnienie nie może następować przez wspólny protokół.
    5. Nazwa symboliczna:

      LmCompatibilityLevel
    6. Ścieżka rejestru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
    7. Przykłady problemów ze zgodnością
      • Windows Server 2003: Domyślnie w systemie Windows Server 2003 jest włączone ustawienie wysyłania odpowiedzi NTLMv2 w przypadku otrzymania wyzwania NTLM. Dlatego w systemie Windows Server 2003 jest wyświetlany komunikat o błędzie Odmowa dostępu, gdy po wstępnej instalacji użytkownik próbuje połączyć się z klastrem z systemem Windows NT 4.0 lub z serwerami z programem LanManager V2.1, takim jak OS/2 Lanserver. Ten problem występuje też podczas próby połączenia się za pomocą klienta we wcześniejszej wersji z serwerem z systemem Windows Server 2003.
      • Zainstalowano pakiet zbiorczy aktualizacji zabezpieczeń (SRP1) dla systemu Windows 2000. Pakiet SRP1 wymusza używanie protokołu NTLM w wersji 2 (NTLMv2). Ten pakiet zbiorczy został wydany po wydaniu dodatku Service Pack 2 (SP2) dla systemu Windows 2000. Aby uzyskać więcej informacji dotyczących pakietu SRP1, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

        311401 Pakiet zbiorczy aktualizacji zabezpieczeń dla systemu Windows 2000 (SRP1), styczeń 2002
      • Klienci programu Microsoft Outlook mogą być monitowani o podanie poświadczeń, nawet jeśli są już zalogowani w domenie. Gdy użytkownicy podają poświadczenia, jest wyświetlany następujący komunikat o błędzie:
        Podane poświadczenia logowania były nieprawidłowe. Sprawdź, czy nazwa użytkownika i domena są poprawne, a następnie wpisz hasło ponownie.
        Podczas uruchamiania programu Outlook użytkownik może być monitowany o podanie poświadczeń, nawet jeśli ustawienie Zabezpieczenia sieciowe logowania ma wartość Przekazywanie lub Uwierzytelnianie hasła. Po wpisaniu poprawnych poświadczeń może pojawić się następujący komunikat o błędzie:
        Podane poświadczenia logowania były nieprawidłowe.
        W pliku śledzenia Monitora sieci może znajdować się informacja, że wykaz globalny wykonał zdalne wywołanie procedury (RPC), które zakończyło się błędem o stanie 0x5. Stan 0x5 oznacza odmowę dostępu.
      • Windows 2000: W pliku Monitora sieci mogą być zarejestrowane następujące błędy w sesji bloków komunikatów serwera (SMB) systemu NetBIOS przez TCP/IP (NetBT):
        SMB R Search Directory Dos error, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Invalid user identifier
      • Windows 2000: Jeśli domena systemu Windows 2000 z uwierzytelnianiem NTLMv2 poziomu 2 lub wyższym jest zaufana w domenie systemu Windows NT 4.0, na komputerach członkowskich z systemem Windows 2000 w domenie zasobów mogą występować błędy uwierzytelniania.

        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        305379 Problemy z uwierzytelnianiem w systemie Windows 2000 przy poziomach NTLM 2 wyższych niż 2 w domenie systemu Windows NT 4.0 (j. ang.)
      • Windows 2000 i Windows XP: Domyślnie w systemach Windows 2000 i Windows XP opcja Poziom uwierzytelniania LAN Manager w zasadach zabezpieczeń lokalnych ma wartość 0. Ustawienie 0 oznacza wysyłanie odpowiedzi LM i NTLM.

        Uwaga W klastrach systemu Windows NT 4.0 uwierzytelnianie LM musi być używane w celach administracyjnych.
      • Windows 2000: Klastrowanie Windows 2000 nie uwierzytelnia węzła przyłączania, jeśli oba węzły są częścią domeny systemu Windows NT 4.0 z dodatkiem Service Pack 6a (SP6a).

        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        305379 Problemy z uwierzytelnianiem w systemie Windows 2000 przy poziomach NTLM 2 wyższych niż 2 w domenie systemu Windows NT 4.0 (j. ang.)
      • Narzędzie IIS Lockdown Tool (HiSecWeb) ustawia wartość LMCompatibilityLevel równą 5, a wartość RestrictAnonymous równą 2.
      • Usługi dla komputerów Macintosh

        Moduł uwierzytelniania użytkowników (UAM): Moduł firmy Microsoft do uwierzytelniania użytkowników (UAM, User Authentication Module) udostępnia metodę szyfrowania haseł służących do logowania się na serwerach Windows AFP (AppleTalk Filing Protocol). Moduł uwierzytelniania użytkowników firmy Apple (UAM) zapewnia tylko minimalne szyfrowanie lub nie zapewnia go wcale. Dlatego hasło może zostać łatwo przechwycone w sieci LAN lub Internet. Chociaż moduł UAM nie jest wymagany, zapewnia szyfrowane uwierzytelnianie na serwerach z systemem Windows 2000, na których są uruchomione usługi dla komputerów Macintosh. Ta wersja obsługuje 128-bitowe szyfrowane uwierzytelnianie NTLMv2 oraz jego wersję zgodną z systemem MacOS X 10.1.

        Domyślnie serwery usług dla komputerów Macintosh z systemem Windows Server 2003 zezwalają tylko na uwierzytelnianie firmy Microsoft.

        Aby uzyskać więcej informacji, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
        834498 Klient z systemem Macintosh nie może połączyć się z usługami dla komputerów Macintosh w systemie Windows Server 2003 (j. ang.)
        838331 Użytkownicy systemu Mac OS X nie mogą otwierać folderów udostępnionych systemu Macintosh na serwerze z systemem Windows Server 2003 (j. ang.)
      • Windows Server 2008, Windows Server 2003, Windows XP i Windows 2000: Jeśli wartość LMCompatibilityLevel zostanie ustawiona na 0 lub 1, a następnie wartość NoLMHash zostanie ustawiona na 1, może to spowodować odmowę dostępu za pośrednictwem uwierzytelniania NTLM dla aplikacji i składników. Ten problem występuje, ponieważ na komputerze jest włączone uwierzytelnianie LM, ale nie jest skonfigurowane używanie przechowywanych haseł uwierzytelniania LM.

        W przypadku ustawienia wartości NoLMHash na 1 należy skonfigurować wartość LMCompatibilityLevel równą 2 lub wyższą.
  11. Zabezpieczenia sieci: wymagania podpisywania klienta LDAP
    1. Informacje ogólne

      Ustawienie Zabezpieczenia sieci: wymagania podpisywania klienta LDAP określa w następujący sposób poziom podpisywania danych, którego się żąda w imieniu klientów wysyłających żądania BIND protokołu LDAP (Lightweight Directory Access Protocol):
      • Brak: Żądanie BIND protokołu LDAP jest wysyłane z opcjami określonymi przez obiekt wywołujący.
      • Negocjuj podpisywanie: Jeśli protokół SSL/TLS (Secure Sockets Layer/Transport Layer Security) nie został uruchomiony, żądanie BIND protokołu LDAP jest inicjowane z ustawioną opcją podpisywania danych protokołu LDAP, a także z opcjami określonymi przez obiekt wywołujący. Jeśli protokół SSL/TLS został uruchomiony, żądanie BIND protokołu LDAP jest inicjowane z opcjami określonymi przez obiekt wywołujący.
      • Wymagaj podpisywania: Działa tak samo jak opcja Negocjuj podpisywanie. Jeśli jednak pośrednia odpowiedź saslBindInProgress serwera LDAP nie wskazuje, że wymagane jest podpisywanie ruchu LDAP, obiekt wywołujący otrzymuje informację, że żądanie polecenia BIND protokołu LDAP zakończyło się niepowodzeniem.
    2. Konfiguracja ryzykowna

      Włączenie ustawienia Zabezpieczenia sieci: wymagania podpisywania klienta LDAP powoduje wprowadzenie szkodliwego ustawienia konfiguracji. Jeśli administrator chce, aby serwer wymagał podpisów LDAP, musi skonfigurować podpisywanie LDAP także na kliencie. Jeśli klient nie jest skonfigurowany, aby korzystać z podpisów LDAP, nie będzie mógł komunikować się z serwerem, przez co nie będzie działało uwierzytelnianie użytkowników, ustawienia zasad grupy, skrypty logowania i inne funkcje.
    3. Przyczyny zmodyfikowania tego ustawienia

      Niepodpisany ruch sieciowy jest podatny na ataki, w trakcie których intruz przechwytuje pakiety na drodze między klientem a serwerami, modyfikuje je, a następnie przesyła dalej do serwera. Jeśli zdarzy się to na serwerze LDAP, napastnik może spowodować, że serwer będzie odpowiadał na podstawie fałszywych kwerend z klienta LDAP. W sieci firmowej zagrożenie takimi atakami można zmniejszyć, wdrażając skuteczne zabezpieczenia fizyczne chroniące infrastrukturę sieciową. Ataki intruzów może ponadto znacznie utrudnić wymaganie podpisów cyfrowych na wszystkich pakietach sieciowych przy użyciu nagłówków uwierzytelniania protokołu IPsec.
    4. Nazwa symboliczna:

      LDAPClientIntegrity
    5. Ścieżka rejestru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
  12. Dziennik zdarzeń: Maksymalny rozmiar dziennika zabezpieczeń
    1. Informacje ogólne

      Ustawienie zabezpieczeń Dziennik zdarzeń: Maksymalny rozmiar dziennika zabezpieczeń określa maksymalny rozmiar dziennika zdarzeń dotyczących zabezpieczeń. Maksymalny rozmiar tego dziennika wynosi 4 GB. Aby zlokalizować to ustawienie, rozwiń węzeł Ustawienia systemu Windows, a następnie rozwiń węzeł Ustawienia zabezpieczeń.
    2. Konfiguracje ryzykowne

      Szkodliwe są następujące ustawienia konfiguracji:
      • Ograniczanie rozmiaru dziennika zabezpieczeń i metody przechowywania dziennika zabezpieczeń, gdy jest włączone ustawienie Inspekcja: zamknij system natychmiast, jeśli nie można rejestrować wyników inspekcji. Zobacz sekcję „Inspekcja: zamknij system natychmiast, jeśli nie można rejestrować wyników inspekcji” w tym artykule, aby uzyskać więcej szczegółów.
      • Ograniczenie rozmiaru dziennika zabezpieczeń na tyle, że interesujące zdarzenia dotyczące zabezpieczeń są zastępowane.
    3. Przyczyny zwiększenia tego ustawienia

      W zależności od wymogów firmy i wymogów zabezpieczeń może okazać się konieczne zwiększenie rozmiaru dziennika zabezpieczeń, aby móc operować na bardziej szczegółowych informacjach z dziennika zabezpieczeń lub aby dzienniki zabezpieczeń były dłużej przechowywane.
    4. Przyczyny zmniejszenia tego ustawienia

      Dzienniki podglądu zdarzeń są plikami mapowanymi w pamięci. Maksymalny rozmiar dziennika zdarzeń jest ograniczony fizyczną pojemnością pamięci w komputerze lokalnym i pojemnością pamięci wirtualnej dostępnej dla procesu dziennika zdarzeń. Zwiększenie rozmiaru dziennika powyżej wielkości pamięci wirtualnej, która jest dostępna dla podglądu zdarzeń, nie zwiększa liczby przetrzymywanych pozycji dziennika.
    5. Przykłady problemów ze zgodnością

      Windows 2000: Komputery, na których są uruchomione systemy Windows 2000 w wersji starszej niż Windows 2000 z dodatkiem Service Pack 4 (SP4), mogą przed osiągnięciem rozmiaru określonego w ustawieniu Maksymalny rozmiar dziennika w podglądzie zdarzeń przestać rejestrować zdarzenia w dzienniku zdarzeń, jeśli jest włączona opcja Nie zastępuj zdarzeń (ręczne czyszczenie dziennika).

      Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
      312571 Dziennik zdarzeń przerywa rejestrowanie zdarzeń przed osiągnięciem maksymalnego rozmiaru dziennika (j. ang.)
  13. Dziennik zdarzeń: Przechowuj dziennik zabezpieczeń
    1. Informacje ogólne

      Ustawienie zabezpieczeń Dziennik zdarzeń: Przechowuj dziennik zabezpieczeń określa metodę zastępowania pozycji w dzienniku zabezpieczeń. Aby zlokalizować to ustawienie, rozwiń węzeł Ustawienia systemu Windows, a następnie rozwiń węzeł Ustawienia zabezpieczeń.
    2. Konfiguracje ryzykowne

      Szkodliwe są następujące ustawienia konfiguracji:
      • Niezachowanie wszystkich zarejestrowanych zdarzeń dotyczących zabezpieczeń, zanim zostaną zastąpione
      • Skonfigurowanie na tyle małego ustawienia Maksymalny rozmiar dziennika zabezpieczeń, że zdarzenia zabezpieczeń są zastępowane
      • Ograniczanie rozmiaru dziennika zabezpieczeń i metody przechowywania, gdy jest włączone ustawienie zabezpieczeń Inspekcja: zamknij system natychmiast, jeśli nie można rejestrować wyników inspekcji.
    3. Przyczyny włączenia tego ustawienia

      To ustawienie należy włączyć tylko w przypadku wybrania metody przechowywania Zastąp zdarzenia według dni. Jeśli jest używany system korelacji zdarzeń, który sonduje zdarzenia, należy upewnić się, że liczba dni jest co najmniej trzykrotnie większa niż częstotliwość sondowania. Wykonanie tej czynności umożliwi występowanie cykli sondowania zakończonych niepowodzeniem.
  14. Dostęp sieciowy: Zezwalaj na stosowanie uprawnień Wszyscy do anonimowych użytkowników
    1. Informacje ogólne

      W systemie Windows 2000, opcja Dostęp do sieci: Zezwalaj na stosowanie uprawnień Wszyscy do anonimowych użytkowników jest w systemie Windows Server 2003 domyślnie ustawioną wartość Niezdefiniowane. W systemie Windows Server 2003 tokenu Dostęp anonimowy nie ma domyślnie w grupie Wszyscy.
    2. Przykłady problemów ze zgodnością

      Następująca wartość klucza
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
      [REG_DWORD]=0x0 powoduje przerwanie tworzenia zaufania między systemami Windows Server 2003 i Windows NT 4.0, jeśli domena systemu Windows 2003 jest domeną konta, a domena systemu Windows NT 4.0 jest domeną zasobu. To oznacza, że po stronie systemu Windows NT 4.0 domena konta jest zaufana, a po stronie systemu Windows Server 2003 domena zasobu jest ufająca. Takie zachowanie może wystąpić, gdy proces uruchamiający tworzenie zaufania po wykonaniu anonimowego połączenia początkowego jest potwierdzany za pomocą tokenu Everyone zawierającego anonimowe identyfikatory SID w systemie Windows NT 4.0.
    3. Przyczyny zmodyfikowania tego ustawienia

      Aby tworzenie relacji zaufania było możliwe, ustawienie musi mieć wartość 0x1 lub musi zostać ustawione za pomocą obiektu GPO na kontrolerze domeny jednostki organizacyjnej i przyjąć wartość: Dostęp sieciowy: zezwalaj na stosowanie uprawnień Wszyscy do anonimowych użytkowników - Włączony.

      Uwaga W przypadku większości pozostałych ustawień zabezpieczeń zwiększenie wartości zmiennej powoduje zwiększenie stanu bezpieczeństwa. Zwiększenie bezpieczeństwa można również osiągnąć zmieniając rejestr na emulatorze podstawowego kontrolera domeny zamiast na wszystkich kontrolerach domeny. Jeśli rola emulatora podstawowego kontrolera domeny zostanie z jakiegoś powodu przeniesiona, rejestr na nowym serwerze musi zostać zaktualizowany.

      Po zmianie wartości wymagane jest ponowne uruchomienie komputera.
    4. Ścieżka rejestru
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
  15. Uwierzytelnianie NTLMv2

    Zabezpieczenia sesji

    Zabezpieczenia sesji określają minimalne standardy zabezpieczeń sesji klienta i serwera. Dobrym pomysłem jest sprawdzenie następujących ustawień zasad zabezpieczeń w przystawce Edytor zasad grupy w programie Microsoft Management Console:
    • Ustawienia komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń
    • Zabezpieczenia sieci: minimalne zabezpieczenia sesji dla serwerów opartych na NTLM SSP (włączając secure RPC)
    • Zabezpieczenia sieci: minimalne zabezpieczenia sesji dla klientów opartych na NTLM SSP (włączając secure RPC)
    Opcje dla tych ustawień są następujące:
    • Wymaga integralności komunikatów
    • Wymaga poufności komunikatów
    • Wymaga zabezpieczeń sesji NTLMv2
    • Wymagaj szyfrowania 128-bitowego
    Ustawienie domyślne to Brak wymagań.

    Te zasady określają minimalne standardy zabezpieczeń sesji komunikacji między aplikacjami serwera i klienta.

    Historycznie system Windows NT obsługiwał dwie odmiany uwierzytelniania typu wyzwanie/odpowiedź dla logowania sieciowego:
    • Wyzwanie/odpowiedź LM
    • Wyzwanie/odpowiedź NTLM w wersji 1
    Uwierzytelnianie LM umożliwia współdziałanie z zainstalowaną bazą klientów i serwerów. Uwierzytelnianie NTLM zapewnia ulepszone zabezpieczenia połączeń między klientami i serwerami.

    Odpowiadające im klucze rejestru są następujące:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

Synchronizacja czasu

Synchronizacja czasu nie powiodła się. Na komputerze, którego dotyczy ten problem, czas jest wyłączony przez ponad 30 minut. Należy upewnić się, że zegar komputera klienckiego jest zsynchronizowany z zegarem kontrolera domeny.

Obejście problemu dla podpisywania SMB

Zaleca się zainstalowanie dodatku Service Pack 6a (SP6a) na komputerach klienckich z systemem Windows NT 4.0 działających w domenie systemu Windows Server 2003. Na komputerach klienckich z systemem Windows 98 Wydanie drugie, Windows 98 i Windows 95 musi być używany klient usługi katalogowej, aby możliwe było korzystanie z uwierzytelniania NTLMv2. Jeśli na komputerach klienckich z systemem Windows NT 4.0 nie zainstalowano dodatku Service Pack 6 (SP6) dla systemu Windows NT 4.0 lub jeśli na komputerach klienckich z systemem Windows 95, Windows 98, Windows 98 Wydanie drugie nie zainstalowano klienta usługi katalogowej, można wyłączyć podpisywanie SMB w domyślnym ustawieniu zasad kontrolera domeny w jednostce organizacyjnej kontrolera domeny, a następnie połączyć tę zasadę ze wszystkimi jednostkami organizacyjnymi obsługującymi kontrolery domeny.

Klient usługi katalogowej dla systemu Windows 98 Wydanie drugie, Windows 98 i Windows 95 będzie wykonywać podpisywanie SMB z serwerami z systemem Windows 2003 w ramach uwierzytelniania NTLM, ale nie w ramach uwierzytelniania NTLMv2. Ponadto serwery z systemem Windows 2000 nie odpowiadają na żądania podpisywania SMB od tych klientów.

Mimo że firma Microsoft nie zaleca wykonania tej czynności, można zapobiec żądaniu podpisywania SMB na wszystkich kontrolerach domeny z systemem Windows Server 2003 w domenie. Aby skonfigurować to ustawienie zabezpieczeń, wykonaj następujące kroki:
  1. Otwórz domyślne zasady kontrolera domeny.
  2. Otwórz folder Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń.
  3. Zlokalizuj i kliknij ustawienie zasad Serwer sieci Microsoft: podpisuj cyfrowo komunikację (zawsze), a następnie kliknij opcję Wyłączone.
Ważne: W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane kroki. Aby zapewnić dodatkową ochronę, przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w wypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756 Jak wykonać kopię zapasową rejestru i przywrócić go w systemie Windows XP
Alternatywnie wyłącz podpisywanie SMB na serwerze, modyfikując rejestr. Aby to zrobić, wykonaj następujące kroki:
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit, a następnie kliknij przycisk OK.
  2. Zlokalizuj i kliknij następujący podklucz:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters
  3. Kliknij wpis enablesecuritysignature.
  4. W menu Edycja kliknij polecenie Modyfikuj.
  5. W polu Dane wartości wpisz wartość 0, a następnie kliknij przycisk OK.
  6. Zamknij program Edytor rejestru.
  7. Ponownie uruchom komputer lub zatrzymaj usługę Serwer, a następnie ponownie ją uruchom. Aby to zrobić, wpisz następujące polecenia w wierszu polecenia, naciskając po każdym z nich klawisz ENTER:
    net stop server
    net start server
Uwaga Odpowiedni klucz na komputerze klienckim znajduje się w następującym podkluczu rejestru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters
Na poniższej liście znajdują się wymienione wcześniej numery kodów błędów oraz odpowiadające im kody stanu i tekstowe komunikaty o błędach:
błąd 5
ERROR_ACCESS_DENIED
Odmowa dostępu.
błąd 1326
ERROR_LOGON_FAILURE
Błąd logowania: nieznana nazwa użytkownika lub nieprawidłowe hasło.
błąd 1788
ERROR_TRUSTED_DOMAIN_FAILURE
Relacje zaufania między domeną podstawową a domeną zaufaną nie powiodły się.
błąd 1789
ERROR_TRUSTED_RELATIONSHIP_FAILURE
Relacje zaufania między tą stacją roboczą a domeną podstawową nie powiodły się.
Aby uzyskać więcej informacji, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
324802 Jak konfigurować zasady grupy w celu ustawiania zabezpieczeń dla usług systemowych w systemie Windows Server 2003 (j. ang.)
306771 Komunikat o błędzie „Odmowa dostępu” jest wyświetlany po skonfigurowaniu klastra systemu Windows Server 2003 (j. ang.)
101747 Jak zainstalować funkcję uwierzytelniania firmy Microsoft na komputerze Macintosh (j. ang.)
161372 Jak włączyć podpisywanie SMB w systemie Windows 2000 (j. ang.)
236414 Nie można korzystać z udziałów po ustawieniu wartości LMCompatibilityLevel umożliwiającej obsługę jedynie uwierzytelniania NTLM 2 (j. ang.)
241338 Klient programu Windows NT LAN Manager w wersji 3 po pierwszym logowaniu uniemożliwia późniejsze logowanie (j. ang.)
262890 Nie można uzyskać połączenia dysku katalogu macierzystego w środowisku mieszanym (j. ang.)
308580 Mapowania folderów macierzystych na serwery niższego poziomu mogą nie działać podczas logowania (j. ang.)
285901 Klienci dostępu zdalnego, sieci VPN i RIS nie mogą ustanowić sesji z serwerem, na którym skonfigurowano akceptowanie tylko uwierzytelniania NTLM w wersji 2 (j. ang.)
816585 Jak stosować wstępnie zdefiniowane szablony zabezpieczeń w systemie Windows Server 2003 (j. ang.)
820281 Podczas ustanawiania połączenia z programem Exchange Server 2003 przy użyciu funkcji RPC przez HTTP programu Outlook 2003 trzeba podać poświadczenia konta systemu Windows

Właściwości

Numer ID artykułu: 823659 - Ostatnia weryfikacja: 10 maja 2011 - Weryfikacja: 21.0
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows 95
Słowa kluczowe: 
kbinfo KB823659

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com