ID do artigo: 823659 - Última revisão: terça-feira, 1 de maio de 2012 - Revisão: 23.0
Cliente, serviço e incompatibilidades do programa que podem ocorrer quando você modificar as configurações de segurança e atribuições de direitos do usuário
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.
Se você for um cliente do Small Business, encontrar a solução de problemas e recursos de aprendizagem adicionais do Suporte para pequenas empresas
(http://smallbusiness.support.microsoft.com)
site.
Este artigo descreve incompatibilidades que podem ocorrer em
computadores cliente que estão executando o Microsoft Windows 95, Microsoft Windows 98
Microsoft Windows NT 4.0, Microsoft Windows 2000, Microsoft Windows XP
Professional ou Microsoft Windows Server 2003 quando você modificar específico
atribuições nos domínios de Windows NT 4.0, de direitos de usuário e configurações de segurança em
Domínios do Windows 2000 e em domínios do Windows Server 2003.
Configurando essas
configurações e atribuições em diretivas locais e em diretivas de grupo, você pode ajudar
reforçar a segurança em controladores de domínio e em computadores membro. O
desvantagem maior segurança é a introdução de incompatibilidades com
clientes, com serviços e programas.
Para aumentar a conscientização do
configurações de segurança mal configuradas, use a ferramenta Editor de objeto de diretiva de grupo para
modifica configurações de segurança. Quando você usar o Editor de objeto de diretiva de grupo, direitos de usuário
as atribuições são aprimoradas nos seguintes sistemas operacionais:
Microsoft Windows XP Professional Service Pack 2
(SP2)
Microsoft Windows Server 2003 Service Pack 1
(SP1)
O aprimoramento inclui uma caixa de diálogo que contém um link
nesse artigo que pops up sempre que você alterar uma configuração de segurança ou um usuário
direitos de atribuição para uma configuração que ofereça menor compatibilidade e mais
restritiva. Se você modificar diretamente os mesmos direitos de usuário ou a configuração de segurança
atribuição usando o registro ou usando modelos de segurança, o efeito é
igual de modificar a configuração no Editor de objeto de diretiva de grupo; No entanto, o
caixa de diálogo que contém o link para este artigo não aparece.
Este artigo contém exemplos de clientes, de
programas e operações que são afetadas por configurações de segurança específicas ou
atribuições de direitos de usuário. No entanto, os exemplos não são autoritativos para todos
Sistemas operacionais da Microsoft, para todos os sistemas operacionais de terceiros, ou para todos
versões do programa são afetadas. Nem todas as configurações de segurança e direitos do usuário
as atribuições estão incluídas neste artigo.
A Microsoft recomenda que
Valide a compatibilidade de todas as alterações de configuração relacionadas à segurança em
uma floresta de teste antes de introduzi-las em um ambiente de produção. O teste
floresta deve espelhar a floresta de produção das seguintes maneiras:
Versões de sistema operacional cliente e servidor, cliente e
programas de servidor, versões de service pack, hotfixes, alterações de esquema, segurança
grupos, associações de grupo, permissões em objetos do sistema de arquivos compartilhados
pastas, o registro, o serviço de diretório do Active Directory, local e de grupo
Configurações de diretiva e tipo de contagem de objeto e local
Tarefas administrativas são realizadas, administrativas
ferramentas usadas e sistemas operacionais que são usados para realizar
tarefas administrativas
Operações são realizadas, incluindo o computador e usuário
autenticação de logon; redefinições de senha por usuários, computadores e por
administradores; navegação; Definindo permissões para o sistema de arquivos para compartilhado
pastas, para o registro e para recursos do Active Directory por meio de ACL
Editor em todos os sistemas operacionais do cliente em todos os domínios de conta ou recurso de
todos os sistemas operacionais de clientes de todos os domínios de conta ou de recurso; impressão
de contas administrativas e não administrativas
Para ajudar a tornar os clientes cientes de que eles estão editando um direito de usuário ou opção de segurança que poderia provocar efeitos adversos afeta em sua rede, dois mecanismos de aviso foram adicionados a gpedit. msc. Quando os administradores editarem um direito de usuário pode afetar negativamente toda a empresa, eles visualizarão um um ícone que se parece com um sinal de rendimento. Eles também receberão uma mensagem de aviso que tem um link para o artigo 823659 da Base de dados de Conhecimento da Microsoft. O texto desta mensagem é a seguinte:
Modificar essa configuração pode afetar a compatibilidade com clientes, serviços e aplicativos. Para obter mais informações, consulte <user right="" or="" security="" option="" being="" modified="">(Q823659)</user>
Se você tiver sido redirecionado deste KB um link em GPEDIT.MSC Certifique-se de ler e entender a explicação fornecida e os possíveis efeitos da modificação desta configuração. O que se segue é uma lista de direitos de usuário que contém o novo texto de aviso:
Acessar este computador pela rede
Fazer logon localmente
Ignorar a verificação completa
Habilitar computadores e usuários para delegação confiável
O que se segue é uma lista de opções de segurança que têm o aviso e um pop-up:
Membro de domínio: Criptografar ou assinar digitalmente dados do canal seguro (sempre) os
Membro do domínio: Exigir chave forte da sessão (Windows 2000 ou posterior)
Controlador de domínio: Servidor LDAP requisitos de assinatura
Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre)
Acesso à rede: Permitir Sid anônimo / conversão de nomes
Acesso à rede: Não permitir enumeração anônima de contas e compartilhamentos
Segurança de rede: nível de autenticação LAN Manager
Auditoria: Desligar o sistema imediatamente se não for possível registrar auditorias de segurança
Acesso à rede: Requisitos de assinatura de cliente LDAP
As seções a seguir descrevem as incompatibilidades que podem
ocorrer quando você modifica as configurações específicas nos domínios do Windows NT 4.0, Windows 2000
domínios e em domínios do Windows Server 2003.
A capacidade de interagir com computadores Windows remotos
requer o direito de usuário acesso a este computador da rede . Exemplos de tais operações de rede do
replicação do Active Directory entre controladores de domínio em um domínio comum
ou solicitações de autenticação para controladores de domínio de usuários e de floresta
computadores e acesso a pastas compartilhadas, impressoras e outro sistema
serviços que estão localizados em computadores remotos na rede.
Usuários,
computadores e contas de serviço recebem ou perdem o usuário acesso a este computador pela rede para a direita, sendo implicitamente ou explicitamente adicionado ou removido
um grupo de segurança que tenha esse direito de usuário. Por exemplo, um
conta de usuário ou uma conta de computador pode ser explicitamente adicionada a um personalizado ou um
por um administrador de grupo de segurança interna ou pode ser implicitamente adicionada pela
sistema operacional para um grupo de segurança computado, como usuários de domínio
Usuários autenticados ou controladores de domínio empresarial.
Por padrão,
contas de usuário e contas de computador recebem o direito de usuário acesso a este computador pela rede quando computado grupos como todos ou, preferencialmente,
Usuários autenticados e, para controladores de domínio, o domínio corporativo
Controladores de grupo, foram definidos em controladores de domínio padrão, grupo
Objeto de diretiva (GPO).
Configurações de risco
Estas são as definições de configuração prejudiciais:
Removendo a segurança de controladores de domínio de empresa
grupo desse direito de usuário
Remover o grupo Usuários autenticados ou um
grupo explícito que permite ao usuário a usuários, computadores e contas de serviço
direito de se conectar a computadores na rede
Remover todos os usuários e computadores do usuário
direito
Razões para conceder este direito de usuário
Concedendo o grupo controladores de domínio de empresa
o direito de usuário acesso este computador pela rede atende aos requisitos de autenticação que ativa
Replicação de diretório deve ter para a replicação ocorra entre o domínio
controladores na mesma floresta.
Esse direito de usuário permite que usuários e computadores
acessar arquivos compartilhados, impressoras e serviços do sistema, incluindo ativo
Diretório.
Esse direito de usuário é necessário para que os usuários de acesso
email usando versões anteriores do Microsoft Outlook Web Access (OWA).
Razões para remover este direito de usuário
Usuários que conectam seus computadores para o
rede pode acessar recursos em computadores remotos que têm permissões
para. Por exemplo, esse direito de usuário é necessário para um usuário se conecte a compartilhada
impressoras e pastas. Se esse direito de usuário é concedido a todos grupo,
e se algumas pastas compartilhadas têm o compartilhamento e NTFS permissões do sistema de arquivos
configurado para que o mesmo grupo tenha acesso de leitura, qualquer pessoa pode exibir arquivos
Essas pastas compartilhadas. No entanto, essa é uma situação improvável para novas
instalações do Windows Server 2003 porque o compartilhamento padrão e NTFS
permissões no Windows Server 2003 não incluem o grupo Todos. Para
sistemas que são atualizados do Microsoft Windows NT 4.0 ou Windows 2000, isso
vulnerabilidade pode ter um nível mais alto de risco porque compartilham o padrão e o
permissões de sistema de arquivos para esses sistemas operacionais não são tão restritivas quanto
as permissões padrão no Windows Server 2003.
Não há nenhuma razão válida para remover o Enterprise
Grupo controladores de domínio do usuário certo.
Geralmente, o grupo Todos é removido em favor de
o grupo Usuários autenticados. Se o grupo Todos é removido, o
Grupo de usuários autenticados deve receber esse direito de usuário.
Domínios de Windows NT 4.0 são atualizados para Windows
2000 não concedem explicitamente a todos, usuários autenticados, ou a
Grupo de controladores de domínio de empresa o direito de usuário acesso a este computador da rede . Portanto, quando você remove o grupo todos
Windows NT 4.0 diretiva de domínio, replicação do Active Directory falhará com um
Mensagem de erro "Acesso negado" após a atualização para o Windows 2000. Winnt32. exe no
Windows Server 2003 evita esta configuração incorreta, concedendo a empresa
Grupo de controladores de domínio desse direito de usuário quando você atualizar 4.0 Windows NT
controladores de domínio primário (PDCs). Conceder os controladores de domínio empresarial
Esse usuário de grupo à direita se não estiver presente no objeto de diretiva de grupo
Editor.
Exemplos de problemas de compatibilidade
Windows 2000 e Windows Server 2003: Replicação do esquema do Active Directory, da configuração, de
Domínio do catálogo global ou de partições de aplicativo falhará com acesso"
Negado"erros conforme relatado por ferramentas como REPLMON e REPADMIN ou
eventos de replicação no log de eventos.
Sistemas operacionais Microsoft todos: Autenticação de conta de usuário de computadores cliente de rede remota
falhará a menos que tenha o usuário ou grupo de segurança que o usuário é membro de
foi concedido esse direito de usuário.
Sistemas operacionais Microsoft todos: Autenticação de conta de clientes de rede remota apresentará falha
a menos que a conta ou a conta é membro de um grupo de segurança foi
receber esse direito de usuário. Esta situação se aplica a contas de usuário, computador
contas e contas de serviço.
Sistemas operacionais Microsoft todos: A remoção de todas as contas deste direito do usuário impedirá que qualquer
conta de fazer logon no domínio ou acessar recursos de rede. Se
grupos computados, como controladores de domínio de empresa, todos, ou
Usuários autenticados são removidos, você deve explicitamente conceder esse direito de usuário
contas ou para segurança de grupos que a conta é membro do acesso remoto
computadores na rede. Esta situação se aplica a todas as contas de usuário para todos
contas de computador e para todas as contas de serviço.
Sistemas operacionais Microsoft todos:A conta de administrador local usa uma senha "em branco". Conectividade de rede com senhas em branco não é permitida para contas de administrador em um ambiente de domínio. Com essa configuração, você pode esperar receber uma mensagem de erro "Acesso negado".
Permitir logon local
Plano de fundo
Os usuários que estão tentando fazer logon no console de um
Computador baseado no Windows Microsoft (usando a chave de logon CTRL + ALT + DELETE
seqüência) e contas que estão tentando iniciar um serviço devem ter um logon local
privilégios no computador host. Exemplos de operações de logon local
os administradores que estejam fazendo logon consoles de computadores membro, ou
controladores de domínio os usuários corporativos e de domínio que estão fazendo
para computadores membro para acessar seus desktops usando não privilegiados
contas. Os usuários que usam uma conexão de área de trabalho remota ou serviços de Terminal deve
que o usuário Permitir logon local direito nos computadores de destino que estão executando o Windows 2000
ou Windows XP
pois estes modos de logon são considerados locais para o computador host. Usuários
quem está fazendo logon em um servidor que possui o Terminal Server habilitado e que não
têm esse usuário à direita pode ainda iniciar uma sessão interativa remota no Windows
Server 2003 domínios se eles têm o direito de usuário Permitir logon pelos serviços de Terminal .
Configurações de risco
Estas são as definições de configuração prejudiciais:
Remover grupos de segurança administrativa, incluindo
Conta operadores, operadores de cópia, operadores de impressão ou operadores de servidor e
o grupo de controladores de domínio padrão
diretiva.
Removendo contas de serviço usadas por
componentes e por programas em computadores membro e controladores de domínio a
domínio da diretiva de controladores de domínio padrão.
Removendo usuários ou grupos de segurança fazer logon
o console de computadores membro no domínio.
Removendo contas de serviço são definidas a
banco de dados do Gerenciador de contas de segurança (SAM) local de computadores membro ou de
computadores do grupo de trabalho.
A remoção não-incorporados de administrativo contas que
autenticação em serviços de Terminal está sendo executado em um domínio
controlador.
Adicionar todas as contas de usuário no domínio explicitamente
ou implicitamente através de todos grupo o direito de logon Negar logon localmente . Esta configuração impedirá que os usuários façam logon
em qualquer computador membro ou qualquer controlador de domínio no domínio.
Razões para conceder este direito de usuário
Os usuários devem ter o direito de usuário Permitir logon local para acessar o console ou a área de trabalho de um grupo de trabalho
computador, um computador membro ou um controlador de domínio.
Os usuários devem ter esse direito de usuário fazer logon on over um
Sessão de serviços de terminal que esteja executando em um Windows 2000
computador membro ou controlador de domínio.
Razões para remover este direito de usuário
Falha ao restringir o acesso de console legítimo
contas de usuário podem resultar em usuários não autorizados a baixar e executar
códigos mal-intencionados para alterar seus direitos de usuário.
Remoção do direito de usuário Permitir logon local evita logons não autorizados nos consoles de
computadores, como controladores de domínio ou servidores de aplicativos.
Impede a remoção desse direito de logon fora do domínio
contas de fazer logon no console de computadores membro no
domínio.
Exemplos de problemas de compatibilidade
Servidores de terminal do Windows 2000: O direito de usuário Permitir logon local é necessário para que os usuários fazer logon no Windows 2000
servidores de terminal.
Windows NT 4.0, Windows 2000, Windows XP ou Windows Server 2003: Contas de usuário devem receber esse direito de usuário para efetuar logon no
Console de computadores que estejam executando o Windows NT 4.0, Windows 2000, Windows XP
ou Windows Server 2003.
Windows NT 4.0 e posterior: Em computadores que executam o Windows NT 4.0 e posterior, se você
adicionar o direito de usuário Permitir logon local , mas você implicitamente ou explicitamente também conceder o direito de logon Negar logon local , as contas não poderão fazer logon no
console dos controladores de domínio.
Ignorar a verificação completa
Plano de fundo
O direito de usuário Ignorar a verificação completa permite que o usuário navegar pelas pastas no NTFS
sistema de arquivos ou no registro sem verificar a permissão de acesso especial Desviar pasta . O direito de usuário Ignorar a verificação completa não permite ao usuário listar o conteúdo de um
pasta; Ele permite ao usuário desviar suas pastas somente.
Configurações de risco
Estas são as definições de configuração prejudiciais:
Removendo contas não administrativas que efetuar logon
para computadores de serviços de Terminal baseado no Windows Server 2003 ou Windows 2000
que não têm permissões para acessar arquivos e pastas no arquivo
sistema.
Removendo o grupo Todos da lista de
entidades de segurança que, por padrão, tenham este direito de usuário. O Windows
sistemas operacionais e muitos programas foram desenvolvidos com o
expectativa de que qualquer pessoa pode acessar legitimamente o computador terá o direito de usuário Ignorar a verificação completa . Portanto, removendo o grupo Todos da lista
de entidades de segurança que, por padrão, este usuário tenham direito pode levar a
instabilidade no sistema operacional ou falha do programa. É melhor do que deixar
Essa configuração padrão.
Razões para conceder este direito de usuário
A configuração padrão para o direito de usuário Ignorar a verificação completa é permitir que qualquer pessoa ignorar a verificação completa. Para
experientes administradores de sistema do Windows, esse é o comportamento esperado e
eles configurar listas de controle de acesso do arquivo sistema (SACLs) adequadamente. A única
cenário onde a configuração padrão pode levar a um contratempo é se o
administrador que configura permissões não compreender o comportamento e
espera que os usuários não podem acessar uma pasta pai não será capazes de acessar
o conteúdo das pastas filho.
Razões para remover este direito de usuário
Organizações extremamente preocupadas
pode ser tentada a segurança para remover o grupo Todos, ou até mesmo
o grupo de usuários da lista de grupos que têm o direito de usuário Ignorar a verificação completa para tentar impedir o acesso a arquivos ou pastas
no sistema de arquivos.
Exemplos de problemas de compatibilidade
Windows 2000, Windows Server 2003: Se o direito de usuário Ignorar a verificação completa for removido ou estiver mal configurado em computadores que são
executando Windows 2000 ou Windows Server 2003, as configurações de diretiva de grupo a SYVOL
pasta não serão replicadas entre controladores de domínio no domínio.
Windows 2000, Windows XP Professional, Windows Server 2003: Computadores que executam o Windows 2000, Windows XP Professional
ou Windows Server 2003 registrará eventos 1000 e 1202 e não será capaz de
Aplicar diretivas de usuário e computador quando as permissões do sistema de arquivo necessário
são removidas da árvore SYSVOL se o direito de usuário Ignorar a verificação completa for removido ou estiver mal configurado.
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
290647
(http://support.microsoft.com/kb/290647/
)
Identificação de evento 1000, 1001 é registrada a cada cinco minutos no log de eventos do aplicativo
Windows 2000, Windows Server 2003: Em computadores que estejam executando o Windows 2000 ou Windows Server
2003, o Cota Guia do Windows Explorer desaparecerá quando
Exibir propriedades de um volume.
Windows 2000: Não-administradores que fizerem logon um servidor de terminal do Windows 2000
poderá receber a seguinte mensagem de erro:
Userinit. exe
Erro de aplicativo. Falha de aplicativo corretamente 0xc0000142
Clique em OK para encerrar o aplicativo.
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
272142
(http://support.microsoft.com/kb/272142/
)
Os usuários são automaticamente desconectados ao tentar fazer logon nos serviços de Terminal
Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003:Usuários cujos computadores estão executando o Windows NT 4.0, Windows 2000
Windows XP ou Windows Server 2003 não poderá acessar pastas compartilhadas ou
para acessar arquivos em pastas compartilhadas e podem receber o erro "Acesso negado"
mensagens se não concedido o direito de usuário Ignorar a verificação completa .
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
277644
(http://support.microsoft.com/kb/277644/
)
Mensagem de erro "Acesso negado" quando os usuários tentam acessar pastas compartilhadas
Windows NT 4.0: Em computadores com Windows NT 4.0, a remoção do direito de usuário Ignorar a verificação completa fará uma cópia do arquivo recuse fluxos de arquivo. Se você
remover este direito de usuário quando um arquivo é copiado de um cliente Windows ou de um
Cliente Macintosh para um controlador de domínio Windows NT 4.0 está executando os serviços
para Macintosh, o fluxo de arquivo de destino é perdido e o arquivo aparece como um
arquivo somente texto.
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
172930
(http://support.microsoft.com/kb/172930/
)
Remoção de "Ignorar a verificação completa" fará com que a cópia descarte fluxos
Microsoft Windows 95, Microsoft Windows 98:Em um computador cliente que esteja executando o Windows 95 ou Windows 98, o NET use * /Home comando falhará com um acesso"
Negado"mensagem de erro se o grupo Usuários autenticados não é concedido o direito de usuário Ignorar a verificação completa .
o outlook Web Access: Não-administradores não poderão fazer logon no Microsoft
O Outlook Web Access e eles receberão uma mensagem de erro "Acesso negado" se
eles não recebem o direito de usuário Ignorar a verificação completa .
Configurações de segurança
Auditoria: Desligar o sistema imediatamente se não for possível registrar auditorias de segurança
Plano de fundo
O auditoria: desligar o sistema imediatamente se não for possível registrar auditorias de segurança determina se o sistema será desligado se você não pode
registra eventos de segurança. Essa configuração é necessária para a segurança de computador confiável
Avaliação C2 do programa do avaliação TCSEC (critérios) e para os critérios comuns
para avaliação de segurança de tecnologia de informações evitar eventos auditáveis se
o sistema de auditoria não pode fazer esses eventos. Se
o sistema de auditoria falha, o sistema é desligado para baixo e uma mensagem de erro de parada
é exibida.
Se o computador não puder registrar eventos para o
log de segurança, provas críticas ou informações importantes de resolução de problemas pode
não estar disponíveis para revisão após um incidente de segurança.
Configuração de risco
A seguir é uma configuração prejudicial: O auditoria: desligar o sistema imediatamente se não for possível registrar auditorias de segurança configuração é ativada, e o tamanho do log de eventos de segurança é restrito pela opção não substituir eventos (Limpar log manualmente) , a opção Substituir eventos conforme necessário , ou o Substituir eventos mais antigos que número dias opção Visualizador de eventos. Consulte "exemplos de compatibilidade
Seção de problemas"para obter informações sobre riscos específicos de computadores que são
executando a versão original do Windows 2000, Windows 2000 Service
Pack 1 (SP1), Windows 2000 SP2 ou Windows 2000 SP3.
Razões para habilitar esta configuração
Se o computador não puder registrar eventos de segurança
log, evidências críticas ou informações importantes de resolução de problemas não podem ser
disponível para revisão após um incidente de segurança.
Razões para habilitar esta configuração
Ativando o de auditoria: desligar o sistema imediatamente se não for possível registrar auditorias de segurança configuração pára o sistema se uma auditoria de segurança não pode ser feita para
qualquer motivo. Normalmente, um evento não pode ser registrado no log de auditoria de segurança é
completo e quando seu método de retenção especificado é a opção não substituir eventos (Limpar log manualmente) ou o Substituir eventos mais antigos que número dias opção.
A sobrecarga administrativa de ativação de auditoria: desligar o sistema imediatamente se não for possível registrar auditorias de segurança configuração pode ser muito alta, especialmente se também ativar a opção não substituir eventos (Limpar log manualmente) para o log de segurança. Esta configuração fornece para indivíduo
responsabilidade das ações de operador. Por exemplo, um administrador poderia redefinir
permissões em todos os usuários, computadores e grupos em uma unidade organizacional (UO)
onde a auditoria foi ativada usando a conta interna administrador ou outro
conta compartilhado e negar que redefiniu tais permissões. No entanto,
ativando a configuração reduz a robustez do sistema pois um servidor
poderá ser forçado a desligar ao encher com eventos de logon e outros
eventos de segurança são gravados no log de segurança. Além disso, porque o
desligamento não é normal, irreparáveis danos ao sistema operacional, para
programas ou dados pode resultar. Embora o NTFS garante que o sistema de arquivos
integridade é mantida durante um desligamento amigável do sistema, ele não pode
garantir que todo arquivo de dados para cada programa ainda estará em forma utilizável
Quando o sistema for reiniciado.
Windows 2000: Por causa de um bug, computadores que executam o original
lançado a versão do Windows 2000, Windows 2000 SP1, Windows 2000 SP2, ou
Windows Server SP3 podem parar o log de eventos antes de alcançar o tamanho especificado na opção tamanho máximo do log para o log de eventos de segurança. Este bug será corrigido
no Windows 2000 Service Pack 4 (SP4). Certifique-se de que seu domínio do Windows 2000
controladores têm o Windows 2000 Service Pack 4 instalado antes de
a ativação dessa configuração.
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
312571
(http://support.microsoft.com/kb/312571/
)
O log de eventos pára de carregar eventos antes de atingir o tamanho máximo do log
Windows 2000, Windows Server 2003:Computadores que executam o Windows 2000 ou Windows Server 2003 pode
parar de responder e, em seguida, reiniciem espontaneamente se a auditoria: desligar o sistema imediatamente se não for possível registrar auditorias de segurança configuração está ativada e se o log de segurança estiver cheio e se uma
entrada de log de eventos existente não pode ser substituída. Quando o computador for reiniciado, o
seguinte mensagem de erro Stop é exibida:
STOP: C0000244
{Falha na auditoria} Falha na tentativa de gerar uma auditoria de segurança.
Para recuperar, um administrador deve fazer logon, arquivar o log de segurança (opcional)
Limpar o log de segurança e então redefinir esta opção (opcional e conforme necessário).
Microsoft Network Client para MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003:Não-administradores que tentam fazer logon em um domínio receberão a
mensagem de erro seguinte:
Sua conta está configurada para
impedi o uso deste computador. Tente outro
computador.
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
160783
(http://support.microsoft.com/kb/160783/
)
Mensagem de erro: os usuários não podem fazer logon em uma estação de trabalho
Windows 2000: Em computadores baseados no Windows 2000, não-administradores não será
fazer logon para o acesso remoto servidores e eles receberão uma mensagem de erro
é semelhante à seguinte:
Usuário desconhecido ou inválido
senha
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
285665
(http://support.microsoft.com/kb/285665/
)
Mensagem de erro: sua conta está configurada para impedir o uso deste computador
Windows 2000: Em controladores de domínio do Windows 2000, as mensagens entre sites
serviço (Ismserv. exe) irá parar e não poderá ser reiniciado. DCDIAG
irá relatar o erro como "Falha ao testar serviços ISMserv" e identificação de evento 1083 será
ser registrado no log de eventos.
Windows 2000: Em controladores de domínio do Windows 2000, replicação do Active Directory
irá falhar e uma mensagem "Acesso negado" aparecerá se o evento de segurança logon
está cheio.
Microsoft Exchange 2000: Servidores que estejam executando o Exchange 2000 não será capazes de montar
o banco de dados de armazenamento de informações e o evento 2102 serão registrado no evento
log.
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
314294
(http://support.microsoft.com/kb/314294/
)
Mensagens de erro do Exchange 2000 são geradas devido o direito SeSecurityPrivilege e problemas com o Policytest
Outlook, Outlook Web Access: Não-administradores não poderão acessar seus emails através de
Microsoft Outlook ou Microsoft Outlook Web Access, e eles serão
recebe um erro 503.
Controlador de domínio: requisitos de assinatura de servidor LDAP
Plano de fundo
O controlador de domínio: requisitos de assinatura de servidor LDAP configuração de segurança determina se o diretório leve
Servidor de protocolo (LDAP) de acesso requer que os clientes LDAP negociem assinatura de dados.
Os valores possíveis para essa configuração de diretiva são:
Nenhum: Assinatura de dados não é necessário para ligar ao servidor. Se o
dados de solicitações de cliente de assinatura, o servidor suportar.
Requer assinatura: A opção de assinatura de dados LDAP deve ser negociada a menos transporte
Layer Security/Secure Socket Layer (SSL/TLS) está sendo usado.
não definido: Essa configuração não está habilitada ou desabilitada.
Configurações de risco
Estas são as definições de configuração prejudiciais:
Habilitar requer assinatura em ambientes onde os clientes não suportam a assinatura LDAP ou
onde assinatura LDAP do lado do cliente não estiver no cliente
Aplicar o Windows 2000 ou Windows Server
Modelo de segurança 2003 Hisecdc. inf em ambientes onde os clientes não
suporte à assinatura LDAP ou onde assinatura LDAP do lado do cliente não é
ativado
Aplicar o Windows 2000 ou Windows Server
Modelo de segurança 2003 Hisecws. inf em ambientes onde os clientes não
suporte à assinatura LDAP ou onde assinatura LDAP do lado do cliente não é
ativado
Razões para habilitar esta configuração
O tráfego de rede não assinada é suscetível a
ataques de interceptação de-onde um intruso captura pacotes entre o cliente
e o servidor, modifica os pacotes e encaminha para o servidor.
Quando esse comportamento ocorre em um servidor LDAP, um invasor pode causar um servidor
para tomar decisões com base em falsas consultas do cliente LDAP. Você pode
Reduzir este risco em uma rede corporativa ao implementar alta segurança física
medidas para ajudar a proteger a infra-estrutura de rede. Segurança do protocolo Internet
Modo de cabeçalho de autenticação (IPSec) pode fazer ataques de interceptação extremamente
difícil. Modo de cabeçalho de autenticação executa autenticação mútua e pacote
integridade do tráfego IP.
Razões para habilitar esta configuração
Clientes que não suportam a assinatura LDAP não irá
ser capaz de executar consultas LDAP contra controladores de domínio e global
cataloga se a autenticação NTLM for negociada e pacotes de serviço correto
não estão instalados em controladores de domínio do Windows 2000.
Rastreamentos do tráfego LDAP entre clientes de rede e
servidores serão criptografados, dificultando a examinar LDAP
conversas.
Servidores baseados no Windows 2000 devem ter o Windows 2000
Service Pack 3 (SP3) ou posterior instalado quando forem administrados com
programas que suportam a assinatura LDAP e que são executados em computadores cliente que executam
Windows 2000 SP4, Windows XP ou Windows Server 2003.Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
325465
(http://support.microsoft.com/kb/325465/
)
Controladores de domínio do Windows 2000 exigem o Service Pack 3 ou posterior ao usar as ferramentas de administração do Windows Server 2003
Vínculos simples falharão e você receberá o
mensagem de erro seguinte:
Ldap_simple_bind_s() falhou:
Autenticação forte necessária.
Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Em clientes que executam o Windows 2000 SP4, Windows XP, ou
Windows Server 2003, algumas ferramentas de administração do Active Directory não será
operar corretamente em controladores de domínio que executam versões do
Windows 2000 são anteriores ao SP3 quando a autenticação NTLM for negociada.
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
325465
(http://support.microsoft.com/kb/325465/
)
Controladores de domínio do Windows 2000 exigem o Service Pack 3 ou posterior ao usar as ferramentas de administração do Windows Server 2003
Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Em clientes que executam o Windows 2000 SP4, Windows XP, ou
Windows Server 2003, alguns administração do Active Directory ferramentas de destino
controladores de domínio que estão executando versões do Windows 2000 são anteriores
que o SP3 não operarão corretamente se estiverem usando endereços IP (para
exemplo, "DSA. msc /server =x.x.x. x"onde x.x.x. x é um endereço IP).
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
325465
(http://support.microsoft.com/kb/325465/
)
Controladores de domínio do Windows 2000 exigem o Service Pack 3 ou posterior ao usar as ferramentas de administração do Windows Server 2003
Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Em clientes que executam o Windows 2000 SP4, Windows XP, ou
Windows Server 2003, alguns administração do Active Directory ferramentas de destino
controladores de domínio que estão executando versões do Windows 2000 são anteriores
ao SP3 não operarão corretamente.
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
325465
(http://support.microsoft.com/kb/325465/
)
Controladores de domínio do Windows 2000 exigem o Service Pack 3 ou posterior ao usar as ferramentas de administração do Windows Server 2003
Membro de domínio: exigir chave forte da sessão (Windows 2000 ou posterior)
Plano de fundo
O membro do domínio: exigir chave forte da sessão (Windows 2000 ou posterior) determina se um canal seguro pode ser estabelecido
com um controlador de domínio que não pode criptografar o tráfego de canal seguro com um
chave de sessão de alta segurança de 128 bits. A ativação dessa configuração impede o estabelecimento de um
canal seguro com qualquer controlador de domínio não é possível criptografar o canal seguro
dados com uma chave forte. A desativação dessa configuração permite chaves de sessão de 64 bits.
Antes de ativar essa configuração em um membro
estação de trabalho ou em um servidor, todos os controladores de domínio no domínio que o
membro pertença devem poder criptografar dados de canal seguro com uma forte
chave de 128 bits. Isso significa que todos esses controladores de domínio devem estar executando
Windows 2000 ou posterior.
Configuração de risco
Ativando o membro do domínio: exigir chave forte da sessão (Windows 2000 ou posterior) configuração é uma configuração prejudicial.
Razões para habilitar esta configuração
Proteger as chaves de sessão usadas para estabelecer
canais de comunicação entre computadores membro e controladores de domínio são muito
mais forte no Windows 2000 do que em versões anteriores do Microsoft
sistemas operacionais.
Sempre que possível, é aconselhável levar
aproveitar essas chaves fortes da sessão para ajudar a proteger o canal seguro
comunicações de espionagem e ataques de rede de seqüestro de sessão. Eavesdropping é uma forma de ataque malicioso, onde os dados da rede é lido ou é
alterada em trânsito. Os dados podem ser modificados para ocultar ou alterar o remetente
ou para redirecioná-lo.
Importante Um computador que esteja executando o Windows Server 2008 R2 ou o Windows 7 suporta chaves fortes somente quando forem usados canais seguros. Essa restrição impede que uma relação de confiança entre qualquer domínio com Windows NT 4.0 e qualquer domínio baseado no Windows Server 2008 R2. Além disso, essa restrição bloqueia a participação no domínio com Windows NT 4.0 computadores que executam o Windows 7 ou Windows Server 2008 R2, e vice-versa.
Razões para habilitar esta configuração
O domínio contém computadores membro executando
sistemas operacionais diferentes do Windows 2000, Windows XP ou Windows Server
2003.
Windows NT 4.0: Em computadores com Windows NT 4.0, a redefinição de canais seguros de
relações de confiança entre domínios Windows NT 4.0 e Windows 2000 com NLTEST
Falha com mensagem de erro "Acesso negado":
A relação de confiança
relação entre o domínio primário e o domínio confiável
Falha.
Windows 7 e Server 2008 R2: Começando com esta versão do sistema operacional, essa configuração não é mais respeitada e a chave forte é usada sempre. Desse modo, relações de confiança com domínios Windows NT 4.0 não estão funcionando mais.
Membro de domínio: criptografar ou assinar digitalmente dados do canal seguro (sempre) os
Plano de fundo
Ativando membro do domínio: criptografar ou assinar digitalmente dados do canal seguro (sempre) os impede o estabelecimento de um canal seguro com qualquer controlador de domínio
que não pode assinar ou criptografar todos os dados de canal seguro. Para ajudar a proteger
tráfego de autenticação contra ataques de interceptação, de ataques de repetição e
outros tipos de ataques de rede, computadores baseados no Windows criam um
canal de comunicação conhecido como canal seguro do serviço Net Logon para autenticar contas de computador.
Canais seguros também são usados quando um usuário em um domínio se conecta a uma rede
recurso em um domínio remoto. Esta autenticação multidomínio, ou autenticação de passagem, permite que um computador baseado no Windows que tenha ingressado em um domínio que
acesso ao banco de usuário conta dados em seu domínio e em domínios confiáveis.
Para habilitar o membro de domínio: criptografar ou assinar digitalmente dados do canal seguro (sempre) os configuração em um computador membro, todos os controladores de domínio no
domínio ao qual pertence o membro deve ser capaz de assinar ou criptografar todos seguro
dados do canal. Isso significa que todos esses controladores de domínio devem estar executando
Windows NT 4.0 com Service Pack 6a (SP6a) ou posterior.
Ativando o membro de domínio: criptografar ou assinar digitalmente dados do canal seguro (sempre) os automaticamente permite que o membro de domínio: criptografar ou assinar digitalmente dados do canal seguro (quando possível) os configuração.
Configuração de risco
Ativando o membro do domínio: criptografar ou assinar digitalmente dados do canal seguro (sempre) os definição em domínios onde nem todos os controladores de domínio podem assinar ou
criptografar dados de canal seguro são uma configuração prejudicial.
Razões para habilitar esta configuração
O tráfego de rede não assinada é suscetível a
ataques de interceptação, onde um intruso captura pacotes entre o
o cliente e servidor e modifica-los antes de encaminhá-los para o
cliente. Quando esse comportamento ocorre em um Lightweight Directory Access Protocol
Servidor (LDAP), o invasor poderá levar um cliente a tomar decisões que são
com base em registros falsos do diretório LDAP. Você pode reduzir o risco de tal
um ataque em uma rede corporativa ao implementar alta segurança física
medidas para ajudar a proteger a infra-estrutura de rede. Além disso, a implementação
Modo de cabeçalho de autenticação do Internet Protocol security (IPSec) pode fazer todas as
tipos de ataques de interceptação extremamente difícil. Este modo executa
integridade pacote e autenticação mútua para tráfego IP.
Razões para habilitar esta configuração
Computadores no local ou em domínios externos fazer
suporte a canais de segurança criptografada.
Nem todos os controladores de domínio no domínio possuem o
níveis de revisão de pack de serviço apropriado para suportar criptografado seguro
canais.
Windows NT 4.0: Computadores membro baseados no Windows 2000 não poderão participar
Domínios de Windows NT 4.0 e receberão a seguinte mensagem de erro:
A conta não está autorizada a efetuar logon a partir
estação.
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
281648
(http://support.microsoft.com/kb/281648/
)
Mensagem de erro: A conta não está autorizada a efetuar logon nesta estação
Windows NT 4.0: Domínios de Windows NT 4.0 não poderão estabelecer baixo nível
relação de confiança com um domínio do Windows 2000 e receberá a seguinte mensagem de erro:
A conta não está autorizada a efetuar logon a partir
estação.
Relações de confiança de nível inferior existentes também podem não autenticar usuários
do domínio confiável. Alguns usuários podem ter dificuldade em fazer logon para o
domínio e eles podem receber uma mensagem de erro informando que o cliente
não é possível localizar o domínio.
Windows XP: Clientes Windows XP unidos aos domínios Windows NT 4.0 será
não ser capaz de autenticar tentativas de logon e pode receber o seguinte erro
mensagem ou os seguintes eventos podem ser registrados no log de eventos:
Windows não pode conectar ao domínio ou porque o
controlador de domínio está inoperante ou não está disponível ou porque o computador
conta não foi encontrada
Evento
5723: A configuração da sessão do computador Nome_do_computadorFalha ao autenticar. O nome da conta mencionado na segurança
banco de dados Nome_do_computador. O seguinte erro
ocorreu: acesso negado.
Evento 3227: A configuração da sessão para o Windows NT ou o Windows
controlador de domínio de 2000 Nome do servidor para o domínio Nome de domínio falhou porque Servidor
Nome não oferece suporte a autenticação ou ao fechamento da sessão de Netlogon.
Atualizar o controlador de domínio ou defina a entrada de registo RequireSignOrSeal na
Este computador para 0.
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
318266
(http://support.microsoft.com/kb/318266/
)
Um cliente Windows XP não pode fazer logon em um domínio Windows NT 4.0
Rede da Microsoft: Clientes de rede Microsoft receberão um erro
mensagens:
Falha de logon: nome de usuário desconhecido ou inválido
senha.
Não há nenhuma chave de sessão de usuário para o
sessão de logon especificada.
Cliente de rede Microsoft: assinar digitalmente a comunicação (sempre)
Plano de fundo
Bloco de mensagens de servidor (SMB) é o protocolo de compartilhamento de recursos é suportado por vários
Sistemas operacionais Microsoft; é a base de entrada e saída básico de rede
System (NetBIOS) e de muitos outros protocolos. A assinatura SMB autentica tanto
o usuário e o servidor que hospeda os dados. Se falhar ou lado a
processo de autenticação, transmissão de dados não ocorrerá.
Habilitando a assinatura do SMB inicia durante a negociação do protocolo SMB. As diretivas de assinatura do SMB determinam se o computador sempre assina digitalmente as comunicações de cliente.
O protocolo de autenticação SMB do Windows 2000 suporta autenticação mútua. A autenticação mútua elimina um ataque "man-in-the-middle". Autenticação de mensagem do Windows 2000 SMB também suporta o protocolo de autenticação. Autenticação de mensagem ajuda a impedir ataques de mensagem ativa.
Para fornecer esta autenticação, a assinatura SMB coloca uma assinatura digital em cada SMB. O cliente e o servidor verificam a assinatura digital.
Para usar a assinatura SMB, você deve habilitar a assinatura SMB ou requerer a assinatura SMB no cliente SMB e no servidor SMB.
Se a assinatura SMB está habilitada no servidor, os clientes também habilitados para assinatura SMB usam o assinatura de pacote protocolo durante todas as sessões subseqüentes.
Se a assinatura SMB for necessária em um servidor, um cliente não pode estabelecer uma sessão a menos que o cliente é habilitado ou exigido para assinatura SMB.
Habilitar a assinatura digital em redes de alta segurança
ajuda a prevenir a representação de clientes e servidores. Esse tipo de
representação é conhecida como seqüestro de sessão. Um invasor que tenha acesso à mesma rede que o cliente ou
o servidor usa ferramentas de seqüestro de sessão para interromper, encerrar ou roubar uma sessão
em andamento. Um invasor poderia interceptar e modificar pacotes SMB não assinados, modificar o tráfego e encaminhá-lo para que o
servidor possa executar ações indesejadas. Como alternativa, o invasor poderia representar
como o servidor ou cliente após uma autenticação legítima e, em seguida, ganho
acesso não autorizado aos dados.
O protocolo SMB é usado para
arquivo de compartilhamento e impressão de compartilhamento em computadores que executam o Windows 2000
Server, Windows 2000 Professional, Windows XP Professional ou Windows Server
2003 suporta autenticação mútua. Autenticação mútua encerra a sessão
seqüestro de ataques e oferece suporte à autenticação de mensagem. Portanto, impede
ataques de interceptação. A assinatura SMB fornece essa autenticação colocando
uma assinatura digital em cada SMB. A assinatura é verificada por ambas as
cliente e servidor.
Observações
Uma contramedida alternativa que pode ajudar a proteger a rede todos os
o tráfego é habilitar assinaturas digitais com IPSec. Existem baseados em hardware
Aceleradores para criptografia IPSec e assinatura que podem ser usados para minimizar a
impacto no desempenho da CPU do servidor. Existem aceleradores que
estão disponíveis para a assinatura SMB.
Para obter mais informações, consulte o capítulo "Assinar digitalmente a comunicação do servidor" no seguinte site da Microsoft MSDN:
Configure a assinatura SMB por meio do Editor de objeto de diretiva de grupo porque uma alteração de um valor de registro local não tem efeito se houver uma diretiva de domínio de substituição.
No Windows 95, Windows 98 e Windows 98 Segunda edição, o Directory Services Client usa a assinatura SMB ao autenticar com servidores Windows Server 2003 usando a autenticação NTLM. No entanto, estes clientes não usam a assinatura SMB quando autenticam com estes servidores usando a autenticação NTLMv2. Além disso, servidores Windows 2000 não respondem a solicitações desses clientes assinatura SMB. Consulte o item 10: "segurança de rede: nível de autenticação Lan Manager."
Configuração de risco
A seguir é uma configuração prejudicial: deixando ambos
o cliente de rede Microsoft: assinar digitalmente a comunicação (sempre) configuração e o cliente de rede Microsoft: assinar digitalmente a comunicação (se o servidor concordar) configuração definida como "Não definido" ou desabilitado. Essas configurações permitem
o redirecionador enviar senhas de texto simples para servidores SMB não Microsoft que
não oferecem suporte a criptografia de senha durante a autenticação.
Razões para habilitar esta configuração
Ativando cliente de rede Microsoft: assinar digitalmente a comunicação (sempre) requer que os clientes assinem o tráfego SMB ao contatar servidores que
não exigem assinatura SMB, tornando os clientes menos vulneráveis a seqüestro de sessão
os ataques.
Razões para habilitar esta configuração
Ativando cliente de rede Microsoft: assinar digitalmente a comunicação (sempre) impede que os clientes se comunicam com servidores de destino que
não suportam assinatura SMB
Configurando computadores para ignorar todos os SMB não assinados
comunicações impede que programas e sistemas operacionais da anterior
Conectando-se.
Windows NT 4.0: Você não poderá redefinir o canal seguro de uma relação de confiança
entre um domínio do Windows Server 2003 e um domínio Windows NT 4.0 usando
NLTEST ou NETDOM e você receberá uma mensagem de erro "Acesso negado".
Windows XP: Copiando arquivos de clientes Windows XP baseados no Windows 2000
servidores e servidores baseados no Windows Server 2003 pode levar mais tempo.
Não será capaz de mapear uma unidade de rede de um
cliente com essa configuração ativada e você receberá o seguinte erro
mensagem:
A conta não está autorizada a efetuar login
Esta estação.
Requisitos de reinicialização
Reinicie o computador ou reinicie o serviço Estação de trabalho. Para fazer isso, digite os seguintes comandos no prompt de comando. Pressione ENTER após digitar cada comando.
workstation net stop NET start workstation
Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre)
Plano de fundo
Server Messenger Block (SMB) é o protocolo de compartilhamento de recursos é suportado por vários
Sistemas operacionais Microsoft; é a base de entrada e saída básico de rede
System (NetBIOS) e de muitos outros protocolos. A assinatura SMB autentica tanto
o usuário e o servidor que hospeda os dados. Se falhar ou lado a
processo de autenticação, transmissão de dados não ocorrerá.
Habilitando a assinatura do SMB inicia durante a negociação do protocolo SMB. As diretivas de assinatura do SMB determinam se o computador sempre assina digitalmente as comunicações de cliente.
O protocolo de autenticação SMB do Windows 2000 suporta autenticação mútua. A autenticação mútua elimina um ataque "man-in-the-middle". Autenticação de mensagem do Windows 2000 SMB também suporta o protocolo de autenticação. Autenticação de mensagem ajuda a impedir ataques de mensagem ativa.
Para fornecer esta autenticação, a assinatura SMB coloca uma assinatura digital em cada SMB. O cliente e o servidor verificam a assinatura digital.
Para usar a assinatura SMB, você deve habilitar a assinatura SMB ou requerer a assinatura SMB no cliente SMB e no servidor SMB.
Se a assinatura SMB está habilitada no servidor, os clientes também habilitados para assinatura SMB usam o assinatura de pacote protocolo durante todas as sessões subseqüentes.
Se a assinatura SMB for necessária em um servidor, um cliente não pode estabelecer uma sessão a menos que o cliente é habilitado ou exigido para assinatura SMB.
Habilitar a assinatura digital em redes de alta segurança
ajuda a prevenir a representação de clientes e servidores. Esse tipo de
representação é conhecida como seqüestro de sessão. Um invasor que tenha acesso à mesma rede que o cliente ou
o servidor usa ferramentas de seqüestro de sessão para interromper, encerrar ou roubar uma sessão
em andamento. Um invasor poderia interceptar e modificar a largura de banda de sub-rede não assinados
(SBM) do Gerenciador pacotes, modificar o tráfego e encaminhá-lo para que o
servidor possa executar ações indesejadas. Como alternativa, o invasor poderia representar
como o servidor ou cliente após uma autenticação legítima e, em seguida, ganho
acesso não autorizado aos dados.
O protocolo SMB é usado para
arquivo de compartilhamento e impressão de compartilhamento em computadores que executam o Windows 2000
Server, Windows 2000 Professional, Windows XP Professional ou Windows Server
2003 suporta autenticação mútua. Autenticação mútua encerra a sessão
seqüestro de ataques e oferece suporte à autenticação de mensagem. Portanto, impede
ataques de interceptação. A assinatura SMB fornece essa autenticação colocando
uma assinatura digital em cada SMB. A assinatura é verificada por ambas as
cliente e servidor.
Uma contramedida alternativa que pode ajudar a proteger
todo o tráfego de rede é habilitar assinaturas digitais com IPSec. Há
aceleradores baseados em hardware para criptografia IPSec e assinatura que podem ser usados
para minimizar o impacto no desempenho da CPU do servidor. Não há nenhum
Aceleradores disponíveis para a assinatura SMB.
No Windows 95, Windows 98 e Windows 98 Segunda edição, o Directory Services Client usa a assinatura SMB ao autenticar com servidores Windows Server 2003 usando a autenticação NTLM. No entanto, estes clientes não usam a assinatura SMB quando autenticam com estes servidores usando a autenticação NTLMv2. Além disso, servidores Windows 2000 não respondem a solicitações desses clientes assinatura SMB. Consulte o item 10: "segurança de rede: nível de autenticação Lan Manager."
Configuração de risco
A seguir é uma configuração prejudicial: ativando o servidor de rede Microsoft: assinar digitalmente a comunicação (sempre) em servidores e controladores de domínio que são acessados por
incompatível com o Windows e de terceiros baseados no sistema operacional cliente
computadores no local ou em domínios externos.
Razões para habilitar esta configuração
Todos os computadores cliente que habilitar esta configuração
suporte a SMB diretamente por meio do registro ou a configuração de diretiva de grupo
assinatura. Em outras palavras, todos os computadores clientes que possuem esta configuração habilitada
Execute o Windows 95 com o cliente DS instalado, o Windows 98, Windows NT 4.0,
Windows 2000, Windows XP Professional ou Windows Server 2003.
Se servidor de rede Microsoft: assinar digitalmente a comunicação (sempre) é desabilitado, a assinatura SMB será completamente desabilitada. Completamente
desativar toda a assinatura SMB deixa os computadores mais vulneráveis a seqüestro de sessão
os ataques.
Razões para habilitar esta configuração
A ativação dessa configuração pode causar mais lenta de cópia de arquivo
e desempenho de rede nos computadores cliente.
Ativar essa configuração impedirá que os clientes que
não podem negociar assinatura SMB se comuniquem com servidores e domínio
controladores. Isso faz com que operações como associações de domínio, usuário e computador
autenticação ou acesso à rede por programas falhar.
Windows 95: Clientes Windows 95 que não têm serviços de diretório (DS)
Cliente instalado apresentarão falha na autenticação do logon e receberão a seguinte
mensagem de erro:
A senha de domínio que você forneceu não é
corrigir ou acesso ao seu logon no servidor foi negado.
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
811497
(http://support.microsoft.com/kb/811497/
)
Mensagem de erro quando o Windows 95 ou 4.0 Windows NT cliente fizer logon no domínio do Windows Server 2003
Windows NT 4.0: Computadores cliente que estão executando versões do Windows NT 4.0
anteriores ao Service Pack 3 (SP3) será falha na autenticação de logon e será
receba a seguinte mensagem de erro:
O sistema não foi possível
fazer logon. Verifique se seu nome de usuário e domínio estão corretos e digite sua
senha novamente.
Alguns servidores SMB não Microsoft suportam apenas trocas de senha não criptografada durante a autenticação. (Estas trocas também conhecidas como trocas de "texto simples".) Começando com o Windows NT 4.0 SP3, o redirecionador SMB não envia uma senha não criptografada durante a autenticação para um servidor SMB a menos que você adicionar uma entrada de registro específica. Para habilitar senhas não criptografadas para o cliente SMB no Windows NT 4.0 SP 3 e sistemas mais recentes, modifique o registro da seguinte forma: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters Nome do valor: EnablePlainTextPassword Tipo de dados: REG_DWORD Dados: 1
Para obter mais informações sobre tópicos relacionados, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
224287
(http://support.microsoft.com/kb/224287/
)
Mensagem de erro: erro de sistema 1240. A conta não está autorizada a efetuar logon nesta estação.
166730
(http://support.microsoft.com/kb/166730/
)
Senhas não criptografadas podem fazer com que o Service Pack 3 falhar para se conectar a servidores SMB
Windows Server 2003: Por padrão, as configurações de segurança em controladores de domínio que executam o Windows Server 2003 são configuradas para ajudar a impedir as comunicações do controlador de domínio sejam interceptadas ou violadas por usuários mal-intencionados. Para os usuários se comuniquem com êxito com um controlador de domínio que executa o Windows Server 2003, os computadores cliente devem usar tanto a assinatura SMB e criptografia ou assinatura de tráfego do canal seguro. Por padrão, os clientes que executam o Windows NT 4.0 com Service Pack 2 (SP2) ou anterior instalado e clientes que executam o Windows 95 não têm a assinatura de pacote SMB habilitada. Portanto, esses clientes não poderá autenticar para um controlador de domínio baseado no Windows Server 2003.
As configurações de diretiva do Windows 2000 e Windows Server 2003: Dependendo das necessidades específicas de instalação e configuração, recomendamos que você defina as seguintes configurações de diretiva na menor entidade de escopo necessário na hierarquia do snap-in Editor de diretiva de grupo do Console de gerenciamento Microsoft:
Opções de configurações de segurança de configuração de computador
Enviar senha não criptografada para conectar-se a servidores SMB de terceiros (Essa configuração é para Windows 2000).
Cliente de rede Microsoft: enviar senha não criptografada para servidores SMB de terceiros (Essa configuração é para Windows Server 2003).
Observação Em alguns servidores CIFS de terceiros, como versões Samba mais antigas, você não pode usar senhas criptografadas.
Os seguintes clientes são incompatíveis com o servidor de rede Microsoft: assinar digitalmente a comunicação (sempre) definição:
Apple Computer, Inc., Mac OS X
clientes
Microsoft MS-DOS (por exemplo, de clientes de rede
Microsoft LAN Manager)
Microsoft Windows para Workgroups
clientes
Clientes Microsoft Windows 95 sem o DS
Cliente instalado
Computadores com o Windows NT 4.0 Microsoft
sem o SP3 ou posterior instalado
Clientes Novell Netware 6 CIFS
Clientes SAMBA SMB que não possuem suporte para SMB
assinatura
Requisitos de reinicialização
Reinicie o computador ou reinicie o serviço do servidor. Para fazer isso, digite os seguintes comandos no prompt de comando. Pressione ENTER após digitar cada comando.
NET stop servidor NET start server
Acesso à rede: permitir conversão de SID/nome anônimo
Plano de fundo
A acesso à rede: permitir conversão de SID/nome anônimo configuração de segurança determina se um usuário anônimo pode solicitar
Atributos de número de identificação (SID) de segurança de outro usuário.
Configuração de risco
Ativando a acesso à rede: permitir conversão de SID/nome anônimo configuração é uma configuração prejudicial.
Razões para habilitar esta configuração
Se a acesso à rede: permitir conversão de SID/nome anônimo configuração é desabilitados, anteriores sistemas operacionais ou aplicativos
não poderá se comunicar com domínios do Windows Server 2003. Por exemplo,
os seguintes sistemas operacionais, serviços ou aplicativos podem não funcionar:
Serviço de acesso remoto baseado no 4.0 Windows NT
servidores
Microsoft SQL Server em execução no Windows NT
3. x ou em computadores com Windows NT 4.0
Serviço de acesso remoto que esteja executando o Windows
computadores baseados em 2000 que estão localizados em domínios do Windows NT 3. x ou no Windows
Domínios do NT 4.0
SQL Server que está sendo executado com o Windows 2000
computadores que estão localizados em domínios do Windows NT 3. x ou 4.0 Windows NT
domínios
Usuários no domínio de recursos Windows NT 4.0 que desejam
conceder permissões para acessar arquivos, pastas compartilhadas e objetos do registro de usuário
contas de domínios de conta que contêm um domínio do Windows Server 2003
controladores
Razões para habilitar esta configuração
Se essa configuração estiver habilitada, um usuário mal-intencionado poderia usar
o SID conhecido de administradores para obter o nome real do interno
Conta de administrador, mesmo se a conta foi renomeada. Essa pessoa poderia
use o nome da conta para iniciar um ataque de adivinhação de senha.
Nome simbólico: N / A
Caminho do registro: Nenhum. O caminho é especificado no código de interface do usuário.
Exemplos de problemas de compatibilidade
Windows NT 4.0: Computadores em domínios de recurso Windows NT 4.0 exibirão a
Mensagem de erro "Conta desconhecida" no Editor ACL se recursos, incluindo compartilhados
pastas, arquivos compartilhados e objetos do registro, são protegidos com segurança
objetos que residem em domínios de conta que contêm o Windows Server 2003
controladores de domínio.
Acesso à rede: não permitir enumeração anônima de contas
Plano de fundo
A acesso à rede: não permitir enumeração anônima de contas determina quais permissões adicionais serão concedidas para conexões anônimas ao computador. O Windows permite que usuários anônimos executem determinadas atividades, como enumeração de nomes de contas de gerente de contas de segurança (SAM) de workstation e servidor e compartilhamentos de rede. Por exemplo, um administrador pode usar isso para conceder acesso a usuários em um domínio confiável que não mantém uma relação de confiança recíproca. Depois que uma sessão é estabelecida, um usuário anônimo pode ter o mesmo acesso que é concedido a todos grupo com base na configuração na acesso à rede: Let Everyone permissions apply to anonymous users configuração ou a lista de controle de acesso discricional (DACL) do objeto.
Geralmente, conexões anônimas são solicitadas por versões anteriores de clientes (clientes de nível inferior) durante a instalação da sessão SMB. Nesses casos, um rastreamento de rede mostra que a ID de processo SMB (PID) é que o redirecionador cliente, como 0xFEFF no Windows 2000 ou 0xCAFE no Windows NT. RPC também pode tentar fazer conexões anônimas.
ImportanteEssa configuração não tem impacto no domínio
controladores. Em controladores de domínio, esse comportamento é controlado pela presença de "NT AUTHORITY\ANONYMOUS LOGON" em "Acesso compatível anterior ao Windows 2000".
No Windows 2000, uma configuração semelhante, Restrições adicionais para conexões anônimas, gerencia o
Para obter mais informações sobre o valor do Registro RestrictAnonymous, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
246261
(http://support.microsoft.com/kb/246261/
)
Como usar o valor do Registro RestrictAnonymous no Windows 2000
143474
(http://support.microsoft.com/kb/143474/
)
Restringindo informações disponíveis para usuários de logon anônimo
Configurações de risco:
Ativando a acesso à rede: não permitir enumeração anônima de contas configuração é uma configuração prejudicial de uma compatibilidade
perspectiva; desabilitá-la é uma configuração prejudicial de uma segurança
perspectiva.
Razões para habilitar esta configuração
Um usuário não autorizado poderia listar anonimamente conta
os nomes e, em seguida, use as informações para tentar adivinhar senhas ou executar ataques de engenharia social . Engenharia social é um jargão que significa enganar as pessoas revelarem seus
senhas ou algum tipo de informações de segurança.
Razões para habilitar esta configuração
Se essa configuração estiver habilitada, é impossível
estabelece relações de confiança com domínios Windows NT 4.0. Esta configuração também causará
problemas com clientes de nível inferior, como Windows NT 3.51 e clientes Windows 95
clientes que estão tentando usar recursos no servidor.
SMS Network Discovery não poderá obter
informações do sistema de operacional e gravará "Desconhecido"
Propriedade OperatingSystemNameandVersion.
Windows 95, Windows 98: Clientes Windows 95 e Windows 98 não será capaz de
Altere suas senhas.
Windows NT 4.0: Windows NT computadores membro baseados no 4.0 não poderão ser
autenticado.
Windows 95, Windows 98: Computadores baseados no Windows 95 e Windows 98 não serão capazes de
ser autenticados por controladores de domínio do Microsoft.
Windows 95, Windows 98: Os usuários de computadores baseados no Windows 98 e Windows 95 não irá
ser capaz de alterar as senhas de suas contas de usuário.
Acesso à rede: não permitir enumeração anônima de contas e compartilhamentos
Plano de fundo
A acesso à rede: não permitir enumeração anônima de contas e compartilhamentos (também conhecida como RestrictAnonymous) determina se anônimo enumeração de contas de segurança
Compartilhamentos e contas manager (SAM) é permitido. O Windows permite que usuários anônimos
realizar determinadas atividades, como enumeração de nomes de contas de domínio
(usuários, computadores e grupos) e compartilhamentos de rede. Isso é conveniente para
exemplo, quando um administrador deseja conceder acesso a usuários em um confiável
domínio que não mantém uma relação de confiança recíproca. Se você não deseja permitir
enumeração anônima de contas SAM e compartilhamentos, habilite essa configuração.
No Windows 2000, uma configuração semelhante, Restrições adicionais para conexões anônimas, gerencia o
Ativando a acesso à rede: não permitir enumeração anônima de contas e compartilhamentos configuração é uma configuração prejudicial.
Razões para habilitar esta configuração
Ativando a acesso à rede: não permitir enumeração anônima de contas e compartilhamentos configuração impede a enumeração de compartilhamentos, usuários e contas SAM
e computadores usando contas anônimas.
Razões para habilitar esta configuração
Se essa configuração estiver habilitada, um usuário não autorizado
poderia listar nomes de conta anonimamente e usar as informações para tentar
adivinhar senhas ou executar ataques de engenharia social . Engenharia social é um jargão que significa enganar as pessoas revelarem seus
senha ou alguma forma de informações de segurança.
Se essa configuração estiver habilitada, será impossível
estabelecer relações de confiança com domínios Windows NT 4.0. Esta configuração também causará
problemas com clientes de nível inferior, como clientes Windows NT 3.51 e Windows 95
que está tentando usar recursos no servidor.
Será impossível conceder acesso a usuários de
domínios de recurso porque os administradores do domínio confiante não será possível
Enumerar listas de contas no outro domínio. Os usuários que acessam os arquivos e
servidores de impressão anonimamente não poderão listar os recursos de rede compartilhada
nesses servidores; os usuários devem autenticar antes que possam exibir as listas de
impressoras e pastas compartilhadas.
Windows NT 4.0: Os usuários não poderão alterar suas senhas de Windows NT
4.0 workstations quando RestrictAnonymous está ativada em controladores de domínio no domínio de usuários. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
198941
(http://support.microsoft.com/kb/198941/
)
Os usuários não é possível alterar a senha ao fazer logon
Windows NT 4.0: Adicionando usuários ou grupos globais de domínios confiáveis do Windows 2000
4.0 Windows NT grupos locais no Gerenciador de usuários falhará com a seguinte
mensagem de erro:
No momento, não há nenhum servidor de logon
disponível para atender à solicitação de logon.
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
296405
(http://support.microsoft.com/kb/296405/
)
Valor do Registro "RestrictAnonymous" pode quebrar a relação de confiança para um domínio do Windows 2000
Windows NT 4.0: Windows NT computadores com 4.0 não poderá ingressar em domínios
durante a instalação ou usando a interface de usuário de associação de domínio.
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
184538
(http://support.microsoft.com/kb/184538/
)
Mensagem de erro: não foi possível localizar um controlador de domínio
Windows NT 4.0: Windows NT 4.0: Estabelecendo uma relação de confiança de nível inferior com Windows NT
domínios de recurso 4.0 falhará com a seguinte mensagem de erro quando RestrictAnonymous está habilitada no domínio confiável:
Não foi possível
Localize o controlador de domínio para este domínio.
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
178640
(http://support.microsoft.com/kb/178640/
)
Não foi possível localizar o controlador de domínio ao estabelecer uma relação de confiança
Windows NT 4.0: Usuários que fizerem logon no servidor de Terminal baseado no Windows NT 4.0
computadores serão mapeado para o diretório base padrão em vez do diretório base
que é definido no Gerenciador de usuários para domínios.
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
236185
(http://support.microsoft.com/kb/236185/
)
Caminhos de pasta base e perfis de usuário do Terminal Server são ignorados após a aplicação do SP4 ou posterior
Windows NT 4.0: 4.0 Windows NT backup domain controllers (BDCs) não será possível
para iniciar o serviço de Logon de rede para obter uma lista de localizadores de backup ou para
sincronizar o banco de dados SAM do Windows 2000 ou do Windows Server 2003
controladores de domínio no mesmo domínio.
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
293127
(http://support.microsoft.com/kb/293127/
)
O serviço Net Logon de um BDC do 4.0 Windows NT não funciona em um domínio do Windows 2000
Windows 2000: Computadores membro baseados no Windows 2000 em domínios do Windows NT 4.0
não será possível visualizar impressoras em domínios externos se a Nenhum acesso sem permissões anônimas explícitas estiver habilitada na diretiva de segurança local do cliente
computador.
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
280329
(http://support.microsoft.com/kb/280329/
)
Usuário não é possível gerenciar ou exibir as propriedades da impressora
Windows 2000: Usuários de domínio do Windows 2000 não poderão adicionar rede
impressoras do Active Directory; No entanto, eles poderão adicionar impressoras
Depois de selecioná-las da exibição em árvore.
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
318866
(http://support.microsoft.com/kb/318866/
)
Clientes Outlook não podem exibir a lista de endereços global após a instalação do Security Rollup Package 1 (SRP1) no servidor de catálogo global
Windows 2000: Em computadores baseados no Windows 2000, no Editor de ACL não será capaz de
Adicione usuários ou grupos globais de domínios confiáveis de Windows NT 4.0.
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
296403
(http://support.microsoft.com/kb/296403/
)
O valor RestrictAnonymous interrompe a relação de confiança em um ambiente de domínio misto
O ADMT versão 2: Migração de senha para contas de usuário migradas entre
florestas com Active Directory migração ferramenta (ADMT) versão 2 será
falhe.
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
322981
(http://support.microsoft.com/kb/322981/
)
Como solucionar problemas de migração de senha ADMTv2
Clientes outlook: Lista de endereços global aparecerá vazia para Microsoft Exchange
Clientes do Outlook.
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
318866
(http://support.microsoft.com/kb/318866/
)
Clientes Outlook não podem exibir a lista de endereços global após a instalação do Security Rollup Package 1 (SR) no servidor de catálogo global
321169
(http://support.microsoft.com/kb/321169/
)
Desempenho lento de SMB ao copiar arquivos do Windows XP para um controlador de domínio do Windows 2000
SMS: Descoberta de rede do Microsoft Systems Management Server (SMS) será
não ser capaz de obter as informações do sistema operacional. Portanto, será
escrever "Desconhecido" na propriedade OperatingSystemNameandVersion da SMS DDR
propriedade do registro de dados de descoberta (DDR).
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
229769
(http://support.microsoft.com/kb/229769/
)
Como o Discovery Data Manager determina quando gerar uma solicitação de configuração do cliente
SMS: Quando você usa o Assistente de usuário administrador SMS para procurar
usuários e grupos, nenhum usuário ou grupo será listado.
Além disso, os clientes avançados não podem se comunicar com o ponto de gerenciamento. É necessário o acesso anônimo no ponto de gerenciamento.
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
302413
(http://support.microsoft.com/kb/302413/
)
Não há usuários ou grupos listados no Assistente de usuário administrador
SMS: Quando você estiver usando o recurso de descoberta de rede no SMS 2.0 e
na instalação de cliente remoto com a opção de descoberta de rede topologia, cliente e sistemas operacionais cliente ativada, os computadores podem ser descobertos
mas não pode ser instalado.
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
311257
(http://support.microsoft.com/kb/311257/
)
Recursos não serão descobertos se conexões anônimas estiverem desativadas
Segurança de rede: nível de autenticação Lan Manager
Plano de fundo
Autenticação do LAN Manager (LM) é o protocolo
usado para autenticar clientes Windows para operações de rede, incluindo o domínio
associações, acesso a recursos de rede e autenticação do usuário ou computador. O LM
nível de autenticação determina qual autenticação desafio/resposta
protocolo é negociado entre o cliente e os computadores servidor.
Especificamente, o nível de autenticação do LM determina qual autenticação
protocolos que o cliente tentará negociar ou o servidor aceitará. O valor é definido para LmCompatibilityLevel determina qual protocolo de autenticação de desafio/resposta é usado para logons de rede. Esse valor afeta o nível de protocolo de autenticação que os clientes usam o nível de segurança de sessão negociado e o nível de autenticação aceito por servidores, de acordo com a tabela a seguir.
Configurações possíveis incluem o seguinte.
Recolher esta tabelaExpandir esta tabela
Valor
Configuração
Descrição
0
Enviar respostas LM e NTLM &
Os clientes usam autenticação LM e NTLM e nunca usam NTLMv2
segurança de sessão; controladores de domínio aceitam LM, NTLM e NTLMv2
autenticação.
1
Enviar LM & NTLM - usar segurança de sessão NTLMv2 se negociado
Os clientes usam autenticação LM e NTLM e usam NTLMv2
segurança de sessão se o servidor suportar; controladores de domínio aceitam LM, NTLM e NTLMv2
autenticação.
2
Enviar somente resposta NTLM
Os clientes usam somente autenticação NTLM e NTLMv2 sessão
segurança se o servidor suportar; controladores de domínio aceitam LM, NTLM, e
Autenticação NTLMv2.
3
Enviar somente resposta NTLMv2
Os clientes usam somente autenticação NTLMv2 e usam sessão NTLMv2
segurança se o servidor suportar; controladores de domínio aceitam LM, NTLM, e
Autenticação NTLMv2.
4
Enviar somente resposta NTLMv2 / recusar LM
Os clientes usam somente autenticação NTLMv2 e usam sessão NTLMv2
Se o servidor oferece suporte a segurança. Controladores de domínio recusam LM e aceitam
somente autenticação NTLM e NTLMv2).
5
Enviar somente resposta NTLMv2 / recusar LM e NTLM &
Os clientes usam somente autenticação NTLMv2 e usam sessão NTLMv2
segurança se o servidor suportar; controladores de domínio recusam LM e NTLM (eles
aceite somente autenticação NTLMv2).
Observação No Windows 95, Windows 98 e Windows 98 Segunda edição, o Directory Services Client usa a assinatura SMB ao autenticar com servidores Windows Server 2003 usando a autenticação NTLM. No entanto, estes clientes não usam a assinatura SMB quando autenticam com estes servidores usando a autenticação NTLMv2. Além disso, servidores Windows 2000 não respondem a solicitações desses clientes assinatura SMB.
Verifique o nível de autenticação LM Deve alterar a diretiva no servidor para permitir NTLM ou configurar o computador cliente para oferecer suporte a NTLMv2.
Se a diretiva estiver definida para (5) enviar somente resposta NTLMv2\recusar LM & NTLM no computador de destino que você deseja se conectar, você deve diminuir a configuração nesse computador ou definir a segurança para a mesma configuração no computador de origem que você está se conectando.
Encontre o local correto onde você pode alterar o LAN manager nível de autenticação para definir o cliente e o servidor no mesmo nível. Após localizar a diretiva que está configurando o LAN manager nível de autenticação, se você deseja se conectar e para computadores que estejam executando versões anteriores do Windows, reduza o valor para pelo menos (1) Enviar LM & NTLM - use NTLM versão 2 segurança de sessão se estiver negociada. Um efeito configurações incompatíveis é que, se o servidor exigir NTLMv2 (valor 5), mas o cliente está configurado para usar o LM e NTLMv1 único (valor 0), o usuário que tenta a autenticação enfrenta uma falha de logon que tenha uma senha incorreta e que incrementa a contagem de senha incorreta. Se o limite de bloqueio de conta estiver configurado, o usuário eventualmente pode ser bloqueado.
Por exemplo, talvez você precise verificar o controlador de domínio, ou talvez você precise examinar as diretivas do controlador de domínio.
Verificar o controlador de domínio Observação Talvez você precise repetir o procedimento a seguir em todos os controladores de domínio.
Clique em Início, aponte para Programase clique em Ferramentas administrativas.
Em Configurações de segurança local, expanda Diretivas locais.
Clique em Opções de segurança.
Clique duas vezes Segurança de rede: Nível LAN manager authenticatione clique em um valor apropriado na lista.
Se a configuração efetiva e a configuração Local forem iguais, a diretiva foi alterada neste nível. Se as configurações forem diferentes, você deve verificar a diretiva do controlador de domínio para descobrir se o segurança de rede: nível de autenticação LAN manager está definida. Se ele não estiver definido, examine as diretivas do controlador de domínio.
Examine as diretivas do controlador de domínio
Clique em Início, aponte para Programase clique em Ferramentas administrativas.
No Segurança de controlador de domínio diretiva de, expanda Configurações de segurançae, em seguida, expanda Diretivas locais.
Clique em Opções de segurança.
Clique duas vezes em segurança de rede: nível de autenticação LAN managere clique em um valor apropriado na lista.
Observação
Talvez você precise verificar as diretivas que estão vinculadas em nível de site, no nível do domínio ou unidade organizacional nível (UO) para determinar onde você deve configurar o nível de autenticação LAN manager.
Se você implementar uma configuração de diretiva de grupo como a diretiva de domínio padrão, a diretiva é aplicada a todos os computadores no domínio.
Se você implementar uma configuração de diretiva de grupo como a diretiva do controlador de domínio padrão, a diretiva se aplica somente aos servidores na unidade Organizacional do controlador de domínio.
É uma boa idéia definir o nível de autenticação do LAN manager na menor entidade de escopo necessário na hierarquia de aplicação de diretiva.
Atualize a diretiva após fazer alterações. (Se a alteração no nível de configurações de segurança local, a alteração é imediata. No entanto, você deve reiniciar os clientes antes de testar.)
Por padrão, as configurações de diretiva de grupo são atualizadas nos controladores de domínio a cada cinco minutos. Para forçar imediatamente a atualização das configurações de diretiva no Windows 2000 ou posterior, use o comando gpupdate .
O comando gpupdate /force atualiza configurações de diretiva de grupo locais e configurações de diretiva de grupo baseadas no serviço de diretório do Active Directory, incluindo as configurações de segurança. Este comando substitui a opção agora obsoleta /refreshpolicy do comando secedit .
O comando gpupdate usa a seguinte sintaxe: gpupdate [/target: {computador|usuário}] [/force] [/wait:valor] [/logoff] [/boot]
Aplica o novo objeto de diretiva de grupo (GPO) usando o comando gpupdate para reaplicar manualmente todas as configurações de diretiva. Para fazer isso, digite o seguinte no prompt de comando e pressione ENTER:
GPUpdate /Force
Examine o log de eventos do aplicativo para verificar se a configuração de diretiva foi aplicada com êxito.
No Windows XP e Windows Server 2003, você pode usar o snap-in conjunto de diretivas resultante para ver a configuração efetiva. Para fazer isso, clique em Início, clique em Executar, tipo RSoP. msce clique em OK.
Se o problema persistir após a alteração à diretiva, reinicie o servidor baseado no Windows e verifique se o problema foi resolvido.
Observação Se você tiver vários controladores de domínio baseados no Windows 2000, os controladores de domínio baseado no Windows Server 2003 ou ambos, talvez você precise duplicar o Active Directory para certificar-se de que esses controladores de domínio possuem as alterações atualizadas imediatamente.
Como alternativa, pode aparecer a configuração a ser definida para a menor configuração na diretiva de segurança local. Se pode aplicar a configuração por meio de um banco de dados de segurança, como alternativa você pode definir o nível de autenticação LAN manager no registro, editando a entrada LmCompatibilityLevel na seguinte subchave do registro:
Windows Server 2003 tem uma nova configuração padrão para usar apenas NTLMv2. Por padrão, Windows Server 2003 e controladores de domínio baseados no Windows 2000 Server SP3 permitiram o "servidor de rede Microsoft: assinar digitalmente a comunicação (sempre)" política. Esta configuração requer que o servidor SMB assine pacotes SMB.
Foram feitas alterações para o Windows Server 2003 porque controladores de domínio, servidores de arquivos, servidores de infra-estrutura de rede e servidores Web em qualquer organização requerem diferentes configurações maximizar sua segurança.
Se você deseja implementar a autenticação NTLMv2 em sua rede, verifique se todos os computadores no domínio são definidos para usar esse nível de autenticação. Se você aplicar o Active Directory Client Extensions para Windows 95 ou Windows 98 e Windows NT 4.0, as extensões de cliente usam os recursos de autenticação aprimorada disponíveis no NTLMv2.
Porque os computadores cliente que estão executando qualquer um dos seguintes sistemas operacionais não são afetados por objetos de diretiva de grupo do Windows 2000, você deve configurar estes clientes manualmente:
Microsoft Windows NT 4.0
Microsoft Windows Millennium Edition
Microsoft Windows 98
Microsoft Windows 95
Observação Se você habilitar o Segurança de rede: não armazenar o valor de hash do LAN manager na próxima alteração de senha política ou conjunto de NoLMHash chave de registro, clientes baseados no Windows 95 e Windows 98 que não tenham o Directory Services Client instalado não pode efetuar logon no domínio após uma alteração de senha.
Muitos servidores CIFS de terceiros, como o Novell Netware 6, não ainda conhecem NTLMv2 e usam somente NTLM. Portanto, níveis maiores do que 2 não permitem conectividade.
Para obter mais informações sobre como configurar manualmente o nível de autenticação LAN manager, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
147706
(http://support.microsoft.com/kb/147706/
)
Como desabilitar a autenticação LM no Windows NT
175641
(http://support.microsoft.com/kb/175641/
)
LMCompatibilityLevel e seus efeitos
299656
(http://support.microsoft.com/kb/299656/
)
Como impedir que o Windows armazene um hash do LAN manager da sua senha no Active Directory e bancos de dados SAM locais
312630
(http://support.microsoft.com/kb/312630/
)
O Outlook continua a solicitar credenciais de logon
Para obter mais informações sobre níveis de autenticação LM, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
239869
(http://support.microsoft.com/kb/239869/
)
Como habilitar a autenticação NTLM 2
Configurações de risco
Estas são as definições de configuração prejudiciais:
Configurações não restritivas que enviam senhas em
texto puro e que recusam negociação NTLMv2
Configurações restritivas que impedem que incompatível
clientes ou controladores de domínio de negociar um protocolo de autenticação comum
Exigir autenticação NTLMv2 em computadores membro
e são controladores de domínio que estão executando versões do Windows NT 4.0
anteriores ao Service Pack 4 (SP4)
Exigir autenticação NTLMv2 no Windows 95
clientes ou clientes Windows 98 que não tenham o diretório do Windows
Cliente de serviços instalado.
Se você clicar para selecionar o Exigir segurança de sessão NTLMv2 caixa de seleção no Editor de diretiva do grupo do Microsoft Management Console snap-in no Windows Server 2003 ou baseado no Windows 2000 Service Pack 3 computador e você diminuir o nível de autenticação LAN manager para 0, as duas configurações em conflito e você poderá receber a seguinte mensagem de erro no arquivo secpol. msc ou no arquivo gpedit. msc:
O Windows não pode abrir o banco de dados de diretiva local. Ocorreu um erro desconhecido ao tentar abrir o banco de dados.
Para obter mais informações sobre a ferramenta de análise e configuração de segurança, consulte o Windows 2000 ou os arquivos de Ajuda do Windows Server 2003.
Para obter mais informações sobre como analisar os níveis de segurança no Windows 2000 e no Windows Server 2003, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
313203
(http://support.microsoft.com/kb/313203/
)
Como analisar a segurança do sistema no Windows 2000
816580
(http://support.microsoft.com/kb/816580/
)
Como analisar a segurança do sistema no Windows Server 2003
Razões para modificar esta configuração
Você quer aumentar comum menor
protocolo de autenticação suportado por clientes e controladores de domínio
sua organização.
Onde a autenticação segura é uma empresa
requisito, você deseja impedir a negociação de LM e de NTLM
protocolos.
Razões para habilitar esta configuração
Requisitos de autenticação do servidor ou cliente ou ambas,
foi aumentado para o ponto onde a autenticação através de um protocolo comum
não pode ocorrer.
Windows Server 2003:Por padrão, as respostas enviar NTLM do Windows Server 2003 NTLMv2 configuração está ativada. Portanto, o Windows Server 2003 recebe a mensagem de erro "Acesso negado" após a instalação inicial quando você tenta se conectar a um cluster de Windows NT 4.0 ou servidores baseados em LanManager v 2.1, como o OS/2 Lanserver. Esse problema também ocorre se você tentar se conectar de um cliente de versão anterior para um servidor baseado no Windows Server 2003.
Instalar o Windows 2000 Security Rollup Package 1 (SRP1).SRP1 força NTLM versão 2 (NTLMv2). Esse pacote cumulativo de atualizações foi lançado após o lançamento do Windows 2000 Service Pack 2 (SP2). Para obter mais informações sobre o SRP1, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
311401
(http://support.microsoft.com/kb/311401/
)
Windows 2000 Security Rollup Package 1, janeiro de 2002
Windows 7 e Windows Server 2008 R2: muitos servidores CIFS de terceiros, como servidores Novell Netware 6 ou Samba baseado em Linux, não conhecem NTLMv2 e usam somente NTLM. Portanto, níveis maiores do que "2" não permitem conectividade. Agora nesta versão do sistema operacional, o padrão para LmCompatibilityLevel foi alterado para "3". Assim, quando você atualizar o Windows, esses filers festa 3ª podem parar de funcionar.
Clientes Microsoft Outlook podem ser solicitados para credenciais, mesmo que já estiverem conectados ao domínio. Quando os usuários fornecem suas credenciais, eles recebem o seguinte erro mensagem: Windows 7 e a janela Server 2008 R2
As credenciais de logon fornecidas estavam incorretas. Verifique se seu nome de usuário e domínio estão corretos e digite sua senha novamente.
Quando você inicia o Outlook, você pode ser solicitado suas credenciais mesmo se a configuração de segurança de rede de Logon estiver definida como passagem ou autenticação de senha. Após digitar suas credenciais corretas, a seguinte mensagem de erro é exibida:
As credenciais de logon fornecidas estavam incorretas.
Um rastreamento do Monitor de rede pode mostrar que o catálogo global emitiu uma falha de remote procedure call (RPC) com um status de 0x5. Um status de 0x5 significa "Acesso negado".
Windows 2000:Uma captura do Monitor de rede pode mostrar os seguintes erros de NetBIOS através de sessão de bloco (SMB) de mensagem do servidor TCP/IP (NetBT):
Erro SMB R Search Directory Dos, identificador de usuário inválido (91) (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE
Windows 2000: Se um domínio do Windows 2000 com NTLMv2 nível 2 ou posterior for confiável
por um domínio Windows NT 4.0, o recurso computadores membro baseados no Windows 2000
domínio pode enfrentar erros de autenticação.
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
305379
(http://support.microsoft.com/kb/305379/
)
Problemas de autenticação no Windows 2000 com níveis NTLM 2 acima de 2 em um domínio Windows NT 4.0
Windows 2000 e Windows XP: Por padrão, o Windows 2000 e Windows XP definem a opção de diretiva de segurança Local LAN Manager autenticação nível 0. Uma configuração 0 significa "Enviar LM e NTLM respostas."
Observação Windows NT clusters de 4.0 deve usar LM para administração.
Windows 2000: Cluster do Windows 2000 não autentica um nó de associação se
ambos os nós fazem parte de um Windows NT 4.0 Service Pack 6a (SP6a) domínio.
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
305379
(http://support.microsoft.com/kb/305379/
)
Problemas de autenticação no Windows 2000 com níveis NTLM 2 acima de 2 em um domínio Windows NT 4.0
A ferramenta de bloqueio do IIS (HiSecWeb) define o valor LMCompatibilityLevel como 5 e o valor RestrictAnonymous como 2.
Serviços para Macintosh
Módulo de autenticação de usuário (UAM): O Microsoft UAM (módulo de autenticação de usuário) fornece um método para criptografar senhas que você usa para fazer logon servidores Windows AFP (AppleTalk Filing Protocol).
Fornece de módulo de autenticação de usuário (UAM) Apple apenas mínimo ou sem criptografia. Portanto, sua senha poderia ser facilmente interceptada na LAN ou na Internet.
Embora o UAM não seja obrigatório, ele fornece autenticação criptografada para servidores Windows 2000 que executam serviços para Macintosh.
Esta versão inclui suporte para autenticação criptografada NTLMv2 de 128 bits e uma versão do MacOS X 10.1 compatível.
Por padrão, os serviços do Windows Server 2003 para Macintosh permite somente autenticação Microsoft.
Para obter mais informações, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
834498
(http://support.microsoft.com/kb/834498/
)
Cliente Macintosh não pode se conectar a serviços para Mac no Windows Server 2003
838331
(http://support.microsoft.com/kb/838331/
)
Usuários do Mac OS X não podem abrir pastas de Macintosh compartilhada em um servidor baseado no Windows Server 2003
Windows Server 2008, Windows Server 2003, Windows XP e Windows 2000: Se você configurar o valor LMCompatibilityLevel como 0 ou 1 e depois configurar o valor NoLMHash como 1, aplicativos e componentes podem ser negadas pelo NTLM. Esse problema ocorre porque o computador está configurado para habilitar LM mas não para usar senhas armazenadas de LM.
Se você configurar o valor NoLMHash como 1, você deve configurar o valor LMCompatibilityLevel como 2 ou superior.
Segurança de rede: requisitos de assinatura de cliente LDAP
Plano de fundo
O segurança de rede: requisitos de assinatura de cliente LDAP determina o nível de assinatura de dados que é solicitado em
nome dos clientes que emitem LDAP Lightweight Directory Access Protocol () BIND
solicitações da seguinte maneira:
Nenhum: A solicitação LDAP BIND é emitida com especificado do chamador
opções.
Negociar assinatura: se o Secure Sockets Layer/Transport Layer Security (SSL/TLS)
não foi iniciado, a solicitação BIND LDAP será iniciada com os dados LDAP
opção de assinatura definida além das opções especificadas pelo chamador. Se tiver de SSL/TLS
foi iniciado, a solicitação BIND LDAP será iniciada com especificado do chamador
opções.
Requer assinatura: é o mesmo que Negociar assinatura. No entanto, se o servidor LDAP intermediário saslBindInProgress
resposta não indicar que a assinatura de tráfego LDAP é necessária, o chamador é
informado de que o pedido do comando LDAP BIND falhou.
Configuração de risco
Ativando o segurança de rede: requisitos de assinatura de cliente LDAP configuração é uma configuração prejudicial. Se você definir o servidor para
requerer assinaturas LDAP, você também deve configurar a assinatura LDAP no cliente.
Não configurar o cliente para usar assinaturas LDAP impedirá a comunicação
com o servidor; Isso fará com que a autenticação do usuário, configurações de diretiva de grupo
scripts de logon e outros recursos falhe.
Razões para modificar esta configuração
O tráfego de rede não assinada é suscetível a
ataques de interceptação de-onde um intruso captura pacotes entre o cliente
e os servidores, modifica e as encaminha para o servidor. Quando isso
ocorre em um servidor LDAP, um invasor pode causar um resposta do servidor com base em
falsas consultas do cliente LDAP. Você pode reduzir este risco em uma empresa
rede implementando medidas de alta segurança física para ajudar a proteger o
infra-estrutura de rede. Além disso, todos os tipos de ataques de interceptação
podem ser feitos extremamente difícil por requerer assinaturas digitais em rede de todos os
pacotes por meio de cabeçalhos de autenticação IPSec.
O Log de eventos: tamanho máximo do log de segurança configuração de segurança especifica o tamanho máximo de eventos de segurança
log. Esse log tem um tamanho máximo de 4 GB. Para localizar essa configuração, expanda Configurações do Windowse, em seguida, expanda Segurança
Configurações.
Configurações de risco
Estas são as definições de configuração prejudiciais:
Restringir o tamanho do log de segurança e a segurança
método de retenção de log quando o auditoria: desligar o sistema imediatamente se não for possível registrar auditorias de segurança habilitada. Consulte a "auditoria: desligar o sistema imediatamente se não for possível registrar auditorias de segurança" seção deste artigo para obter mais detalhes.
Restringir o tamanho do log de segurança assim que a segurança
eventos de interesse sejam substituídos.
Razões para aumentar esta configuração
Requisitos comerciais e de segurança podem exigir que você
aumentar o tamanho do log de segurança para tratar de detalhes do log de segurança adicionais ou para
reter logs de segurança para um período de tempo maior.
Razões para diminuir esta configuração
Logs de Visualizar eventos são arquivos de memória mapeada. O máximo
tamanho de um log de eventos é restringido pela quantidade de memória física na
computador local e pela memória virtual que está disponível para o log de eventos
processo. Aumentando o tamanho do log além da quantidade de memória virtual
disponível em Visualizar eventos não aumenta o número de entradas de log são
mantida.
Exemplos de problemas de compatibilidade
Windows 2000:São computadores que estão executando versões do Windows 2000
anteriores ao Service Pack 4 (SP4) pode parar de registrar eventos no log de eventos antes de
alcançar o tamanho que é especificado na configuração tamanho máximo do log no Visualizador de eventos se a opção não substituir eventos (Limpar log manualmente) estiver ativada.
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
312571
(http://support.microsoft.com/kb/312571/
)
O log de eventos pára de carregar eventos antes de atingir o tamanho máximo do log
Log de eventos: Reter o log de segurança
Plano de fundo
O Log de eventos: Reter log de segurança configuração de segurança determina o método de "empacotamento" do
log de segurança. Para localizar essa configuração, expanda Configurações do Windows,
e expanda Configurações de segurança.
Configurações de risco
Estas são as definições de configuração prejudiciais:
Deixar de manter todos os eventos de segurança registrados antes de
eles são substituídos
Configurando o tamanho máximo do log de segurança configuração muito pequena para que os eventos de segurança são
sobrescrito
Restringir o tamanho do log de segurança e retenção
método enquanto o auditoria: desligar o sistema imediatamente se não for possível registrar auditorias de segurança segurança habilitada
Razões para habilitar esta configuração
Ativar esta configuração somente se você selecionar o Substituir eventos por dias método de retenção. Se você usar um sistema de correlação de eventos que monitora eventos, certifique-se de que o número de dias é pelo menos três vezes a freqüência de pesquisa. Para fazer isso para permitir a pesquisa com falha ciclos.
Acesso à rede: deixar que todos as permissões aplicam a usuários anônimos
Plano de fundo
Por padrão, o Network access: Let Everyone permissions apply to anonymous users for definida como Não definido no Windows Server 2003. Por padrão, o Windows Server 2003 não inclui o token acesso anônimo em todos grupo.
[REG_DWORD] = 0x0 quebras confiança criação entre o Windows Server 2003 e o Windows NT 4.0, quando o domínio do Windows Server 2003 é o domínio de conta e o Windows NT 4.0 é o domínio de recurso. Isso significa que o domínio de conta é confiável Windows NT 4.0 e o domínio de recurso é confiante no lado do Windows Server 2003. Esse comportamento ocorre porque seria o processo para iniciar a relação de confiança após a conexão anônima inicial a ACL com o token todos que inclui o SID anônimo no Windows NT 4.0.
Razões para modificar esta configuração
O valor deve ser definido como 0x1 ou definido usando um GPO na UO do controlador de domínio a ser: Network access: Let Everyone permissions apply para usuários anônimos - ativado para possibilitar as criações de confiança.
Observação Maioria das outras configurações de segurança subir em valor, em vez de diminuir para 0x0 em seu estado mais seguro. Uma prática mais segura seria alterar o registro no emulador do controlador do domínio primário em vez de em todos os controladores de domínio. Se a função de emulador do controlador de domínio primário for movida por qualquer motivo, o registro deve ser atualizado no novo servidor.
É necessário reiniciar após esse valor é definido.
Segurança de sessão determina os padrões mínimos de segurança para as sessões de cliente e servidor. É uma boa idéia verificar estas configurações de diretiva de segurança no snap-in Editor de diretiva de grupo do Console de gerenciamento Microsoft:
Segurança de rede: Segurança de sessão mínima para servidores baseados em NTLM SSP (incluindo RPC seguro)
Segurança de rede: Segurança de sessão mínima para clientes baseados em NTLM SSP (incluindo RPC seguro)
As opções para essas configurações são:
Requer integridade de mensagem
Requer sigilo de mensagem
Exigir NTLM versão 2 segurança de sessão
Exigir criptografia de 128 bits
A configuração padrão é sem requisitos.
Essas diretivas determinam os padrões mínimos de segurança para uma sessão de comunicações para cada aplicativo em um servidor de um cliente.
Historicamente, Windows NT tem suporte para as duas seguintes variantes da autenticação desafio/resposta para logons de rede:
Desafio/resposta LM
NTLM versão 1 desafio/resposta
LM permite interoperabilidade com a base instalada de clientes e servidores. NTLM fornece segurança aprimorada para conexões entre clientes e servidores.
As chaves de registro correspondentes são os seguintes:
Falha na sincronização de tempo. O tempo está desativado por mais de 30 minutos em um computador afetado. Certifique-se de que o relógio do computador cliente está sincronizado com o relógio do controlador de domínio.
Recomendamos que você instale o Service Pack 6a (SP6a) em clientes Windows NT 4.0 que interoperam em um domínio do Windows Server 2003. Clientes baseados no Windows 98 Second Edition, com Windows 98 e baseados em Windows 95 devem executar o Directory Services Client para efetuar a NTLMv2. Se clientes baseados em Windows NT 4.0 não tem Windows NT 4.0 SP6 instalado ou se o Windows 95, Windows 98 e Windows 98SE-clientes não possuem o Directory Services Client instalado, desabilite a assinatura SMB no diretiva do controlador de domínio padrão no UO do controlador de domínio a configuração e vincule esta diretiva a todas as unidades organizacionais que hospedam controladores de domínio.
O Directory Services Client para Windows 98 Segunda edição, Windows 98 e Windows 95 realizará a assinatura SMB com servidores Windows 2003 com autenticação NTLM, mas não sob autenticação NTLMv2. Além disso, os servidores Windows 2000 não responderá a solicitações de assinatura SMB desses clientes.
Embora a Microsoft não recomende isso, você pode impedir a assinatura SMB seja solicitada em todos os controladores de domínio que executam o Windows Server 2003 em um domínio. Para configurar essa configuração de segurança, siga estas etapas:
Abra a diretiva do controlador de domínio padrão.
Abra a pasta Computador Configuration\Windows Settings\Security Settings\Local Policies\Security Options .
Localize e clique na servidor de rede Microsoft: assinar digitalmente a comunicação (sempre) configuração de diretiva e clique em desativado.
Importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Portanto, certifique-se de seguir estas etapas cuidadosamente. Para proteção adicional, fazer backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
322756
(http://support.microsoft.com/kb/322756/
)
Como fazer backup e restaurar o registro no Windows
Como alternativa, desative a assinatura SMB no servidor ao modificar o registro. Para fazer isso, siga estas etapas:
Clique em Início, clique em Executar, tipo Regedite clique em OK.
Reinicie o computador ou parar e reiniciar o serviço do servidor. Para fazer isso, digite os seguintes comandos no prompt de comando e pressione ENTER após digitar cada comando: NET stop servidor NET start server
Observação A chave correspondente no computador cliente está na seguinte subchave do registro:
A seguir lista o traduzido os números de código de erro e códigos de status de erro mensagem de texto que são mencionados anteriormente:
Erro 5 ERROR_ACCESS_DENIED Acesso negado.
Erro 1326 ERROR_LOGON_FAILURE Falha de logon: nome de usuário desconhecido ou senha incorreta.
Erro 1788 ERROR_TRUSTED_DOMAIN_FAILURE Relação de confiança entre o domínio primário e o domínio confiável falhou.
Erro 1789 ERROR_TRUSTED_RELATIONSHIP_FAILURE Relação de confiança entre esta estação de trabalho e o domínio primário falhou.
Para obter mais informações, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
324802
(http://support.microsoft.com/kb/324802/
)
Como configurar diretivas de grupo para definir segurança para serviços do sistema no Windows Server 2003
306771
(http://support.microsoft.com/kb/306771/
)
Mensagem de erro "Acesso negado" depois de configurar um cluster do Windows Server 2003
101747
(http://support.microsoft.com/kb/101747/
)
Como instalar a autenticação Microsoft em um Macintosh
161372 do KB
(http://support.microsoft.com/kb/161372/
)
Como habilitar a assinatura SMB no Windows NT
236414
(http://support.microsoft.com/kb/236414/
)
Não é possível usar compartilhamentos com o LMCompatibilityLevel definido somente autenticação NTLM 2
241338
(http://support.microsoft.com/kb/241338/
)
Cliente Windows NT LAN Manager versão 3 com primeiro logon impede atividade de logon
262890
(http://support.microsoft.com/kb/262890/
)
Não é possível obter conexão de unidade do diretório base em um ambiente misto
308580
(http://support.microsoft.com/kb/308580/
)
Mapeamentos de pasta base para servidores de nível inferior podem não funcionar durante o logon
285901
(http://support.microsoft.com/kb/285901/
)
Acesso remoto, VPN e RIS clientes não podem estabelecer sessões com um servidor configurado para aceitar somente autenticação NTLM versão 2
816585
(http://support.microsoft.com/kb/816585/
)
Como aplicar modelos de segurança predefinidos no Windows Server 2003
820281
(http://support.microsoft.com/kb/820281/
)
Você deve fornecer credenciais de conta do Windows quando você se conectar a Exchange Server 2003 usando o Outlook 2003 RPC sobre recurso HTTP
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 823659
(http://support.microsoft.com/kb/823659/en-us/
)
Quanto esforço foi necessário para seguir os procedimentos deste artigo?
Muito baixo
Baixo
Moderado
Alto
Muito alto
Diga-nos o porque e o que podemos fazer para melhorar esta informação
Obrigado! Seus comentários são usados para nos ajudar a aperfeiçoar o conteúdo de suporte. Para obter mais opções de ajuda, visite a Home Page de Ajuda e Suporte.
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
Tradução automática
Voltar para o início
