Проблемы с клиентом, службой и программой могут возникнуть при изменении параметров безопасности и назначений прав пользователей

Windows XP

Чтобы повысить осведомленность о неправильно настроенных параметрах безопасности, используйте групповая политика редактора объектов для изменения параметров безопасности. При использовании редактора групповая политика объектов назначения прав пользователей улучшаются в следующих операционных системах:

• Windows XP Professional с пакетом обновления 2 (SP2)

• Windows Server 2003 с пакетом обновления 1 (SP1)

Улучшенная функция — это диалоговое окно, содержащее ссылку на эту статью. Диалоговое окно появляется при изменении параметра безопасности или назначения прав пользователя на параметр, который обеспечивает меньшую совместимость и является более строгим. При непосредственном изменении одного и того же параметра безопасности или назначения прав пользователя с помощью реестра или шаблонов безопасности результат будет таким же, как при изменении параметра в редакторе групповая политика объектов. Однако диалоговое окно, содержащее ссылку на эту статью, не отображается.

В этой статье приведены примеры клиентов, программ и операций, на которые влияют определенные параметры безопасности или назначения прав пользователя. Однако примеры не являются полномочными для всех операционных систем Майкрософт, для всех сторонних операционных систем или для всех затронутых версий программ. В эту статью включены не все параметры безопасности и назначения прав пользователей.

Рекомендуется проверить совместимость всех изменений конфигурации, связанных с безопасностью, в тестовом лесу, прежде чем ввести их в рабочую среду. Тестовый лес должен зеркально соответствовать рабочему лесу следующим образом:

• Версии клиентской и серверной операционной системы, клиентские и серверные программы, версии пакетов обновления, исправления, изменения схемы, группы безопасности, членство в группах, разрешения на объекты в файловой системе, общие папки, реестр, служба каталогов Active Directory, локальные и групповая политика параметры, тип и расположение объектов

• Выполняемые административные задачи, используемые средства администрирования и операционные системы, используемые для выполнения административных задач

• Выполняемые операции, например:

  • Проверка подлинности компьютера и пользователя

  • Сброс пароля пользователями, компьютерами и администраторами

  • Просмотра

  • Настройка разрешений для файловой системы, общих папок, реестра и ресурсов Active Directory с помощью редактора ACL во всех клиентских операционных системах во всех доменах учетных записей или ресурсов из всех клиентских операционных систем из всех доменов учетных записей или ресурсов

  • Печать из административных и неадминистративных учетных записей

Windows Server 2003 с пакетом обновления 1 (SP1)

Права пользователя

В следующем списке описывается право пользователя, определяются параметры конфигурации, которые могут вызвать проблемы, почему следует применять право пользователя и почему может потребоваться удалить право пользователя, а также приведены примеры проблем совместимости, которые могут возникнуть при настройке права пользователя.

1. Доступ к этому компьютеру из сети

   1. Фон
      
      Для взаимодействия с удаленными компьютерами под управлением Windows требуется доступ к этому компьютеру от пользователя сети. Примеры таких сетевых операций:

      • Репликация Active Directory между контроллерами домена в общем домене или лесу

      • Запросы проверки подлинности к контроллерам домена от пользователей и с компьютеров

      • Доступ к общим папкам, принтерам и другим системным службам, расположенным на удаленных компьютерах в сети

      
      
      Пользователи, компьютеры и учетные записи служб получают или теряют доступ к этому компьютеру от сетевого пользователя путем явного или неявного добавления или удаления из группы безопасности, которой предоставлено это право пользователя. Например, учетная запись пользователя или учетная запись компьютера может быть явно добавлена администратором в пользовательскую группу безопасности или встроенную группу безопасности или неявно добавлена операционной системой в вычисляемую группу безопасности, например "Пользователи домена", "Прошедшие проверку подлинности" или "Корпоративные контроллеры домена".
      
      По умолчанию учетные записи пользователей и учетные записи компьютеров имеют право доступа к этому компьютеру от сетевого пользователя, если вычисляемые группы, такие как "Все", или, желательно, прошедшие проверку подлинности пользователи, а для контроллеров домена — группа корпоративных контроллеров домена , определяются в контроллерах домена по умолчанию групповая политика Object (GPO).

   2. Рискованные конфигурации
      
      Ниже приведены вредоносные параметры конфигурации.

      • Удаление группы безопасности "Корпоративные контроллеры домена" с этого права пользователя

      • Удаление группы "Пользователи, прошедшие проверку подлинности" или явной группы, которая позволяет пользователям, компьютерам и учетным записям служб подключаться к компьютерам по сети.

      • Удаление всех пользователей и компьютеров с этого права пользователя

   3. Причины предоставления этому пользователю прав

      • Предоставление этому компьютеру доступа от сетевого пользователя к группе контроллеров домена предприятия удовлетворяет требованиям к проверке подлинности, которые должны быть у репликации Active Directory для репликации между контроллерами домена в одном лесу.

      • Это право пользователя позволяет пользователям и компьютерам получать доступ к общим файлам, принтерам и системным службам, включая Active Directory.

      • Это право пользователя требуется для доступа пользователей к почте с помощью ранних версий Microsoft Outlook Web Access (OWA).

   4. Причины удаления этого права пользователя

      • Пользователи, которые могут подключать свои компьютеры к сети, могут получать доступ к ресурсам на удаленных компьютерах, на которые у них есть разрешения. Например, это право пользователя требуется для подключения пользователя к общим принтерам и папкам. Если это право пользователя предоставлено группе "Все", а некоторые общие папки имеют разрешения общей папки и файловой системы NTFS, настроенные таким образом, чтобы у одной и той же группы был доступ на чтение, любой пользователь может просматривать файлы в этих общих папках. Однако это маловероятно для новых установок Windows Server 2003, так как общий ресурс по умолчанию и разрешения NTFS в Windows Server 2003 не включают группу "Все". Для систем, обновленных с Microsoft Windows NT 4.0 или Windows 2000, эта уязвимость может иметь более высокий уровень риска, так как общий ресурс по умолчанию и разрешения файловой системы для этих операционных систем не так строги, как разрешения по умолчанию в Windows Server 2003.

      • Нет допустимой причины для удаления группы контроллеров домена предприятия из этого права пользователя.

      • Обычно группа "Все" удаляется вместо группы "Прошедшие проверку подлинности пользователи". Если группа "Все" удалена, группе "Прошедшие проверку подлинности пользователи" должно быть предоставлено это право пользователя.

      • Windows NT 4.0, обновленные до Windows 2000, не предоставляют этому компьютеру явное право доступа от сетевого пользователя к группе "Все", группе "Прошедшие проверку подлинности пользователи" или группе "Контроллеры домена предприятия". Таким образом, при удалении группы "Все" из политики домена Windows NT 4.0 репликация Active Directory завершится ошибкой "Отказано в доступе" после обновления до Windows 2000. Winnt32.exe Windows Server 2003 позволяет избежать такой неправильной настройки, предоставив группе корпоративных контроллеров домена право этого пользователя при обновлении Windows NT основных контроллеров домена (PDC) Windows NT 4.0. Предоставьте группе корпоративных контроллеров домена право этого пользователя, если он отсутствует в редакторе групповая политика объектов.

   5. Примеры проблем совместимости

      • Windows 2000 и Windows Server 2003: репликация следующих разделов завершится ошибкой "Отказано в доступе", о чем сообщают средства мониторинга, такие как REPLMON и REPADMIN, или события репликации в журнале событий.

        • Раздел схемы Active Directory

        • Раздел конфигурации

        • Раздел домена

        • Раздел глобального каталога

        • Раздел приложения

      • Все сетевые операционные системы Майкрософт: проверка подлинности учетной записи пользователя с клиентских компьютеров удаленной сети завершится ошибкой, если пользователю или группе безопасности, участником которой является пользователь, не будет предоставлено это право пользователя.

      • Все сетевые операционные системы Майкрософт: проверка подлинности учетной записи от клиентов удаленной сети завершится ошибкой, если учетной записи или группе безопасности, членом которой является учетная запись, не будет предоставлено это право пользователя. Этот сценарий применяется к учетным записям пользователей, к учетным записям компьютеров и учетным записям служб.

      • Все сетевые операционные системы Майкрософт. Удаление всех учетных записей из этого права пользователя не позволит любой учетной записи войти в домен или получить доступ к сетевым ресурсам. При удалении вычисляемых групп, таких как корпоративные контроллеры домена, "Все" или "Прошедшие проверку подлинности пользователи", необходимо явно предоставить этому пользователю право на доступ к учетным записям или группам безопасности, участником которых является учетная запись, для доступа к удаленным компьютерам по сети. Этот сценарий применяется ко всем учетным записям пользователей, ко всем учетным записям компьютеров и ко всем учетным записям служб.

      • Все сетевые операционные системы Майкрософт: учетная запись локального администратора использует "пустой" пароль. Сетевое подключение с пустыми паролями запрещено для учетных записей администраторов в среде домена. В этой конфигурации можно ожидать получения сообщения об ошибке "Отказано в доступе".

2. Разрешить локальный вход

   1. Фон
      
      Пользователи, которые пытаются войти в консоль компьютера под управлением Windows (с помощью сочетания клавиш CTRL+ALT+DELETE) и учетные записи, которые пытаются запустить службу, должны иметь права локального входа на компьютере размещения. Примерами локальных операций входа в систему могут быть администраторы, которые входят в консоли компьютеров-членов, или контроллеры домена во всем предприятии и пользователи домена, которые входят на компьютеры-члены для доступа к своим рабочим столам с помощью непривилегированных учетных записей. Пользователи, использующие подключение к удаленному рабочему столу или службы терминалов, должны иметь право локального входа пользователя на конечных компьютерах под управлением Windows 2000 или Windows XP, так как эти режимы входа считаются локальными для компьютера размещения. Пользователи, которые выполняют вход на сервер с включенным сервером терминалов и не имеют этого права пользователя, по-прежнему могут запустить удаленный интерактивный сеанс в доменах Windows Server 2003, если у них есть право на вход с помощью служб терминалов.

   2. Рискованные конфигурации
      
      Ниже приведены вредоносные параметры конфигурации.

      • Удаление административных групп безопасности, включая операторы учетных записей, операторы резервного копирования, операторы печати или операторы сервера, а также встроенную группу администраторов из политики контроллера домена по умолчанию.

      • Удаление учетных записей служб, используемых компонентами и программами на компьютерах-членах и контроллерах домена в домене, из политики контроллера домена по умолчанию.

      • Удаление пользователей или групп безопасности, которые войдите в консоль компьютеров-членов в домене.

      • Удаление учетных записей служб, определенных в локальной базе данных диспетчера учетных записей безопасности (SAM) компьютеров-членов или компьютеров рабочей группы.

      • Удаление не встроенных административных учетных записей, которые выполняют проверку подлинности через службы терминалов, работающие на контроллере домена.

      • Добавление всех учетных записей пользователей в домене явным или неявным образом через группу "Все" в право локального входа в систему запрета. Эта конфигурация не позволит пользователям войти на любой компьютер-член или на любой контроллер домена в домене.

   3. Причины предоставления этому пользователю прав

      • Пользователи должны иметь право локального входа в систему для доступа к консоли или рабочему столу компьютера рабочей группы, компьютера-члена или контроллера домена.

      • Пользователи должны иметь это право на вход через сеанс служб терминалов, который выполняется на компьютере-члене windows 2000 или контроллере домена.

   4. Причины удаления этого права пользователя

      • Если не ограничить доступ к консоли допустимым учетным записям пользователей, неавторизованные пользователи скачиваются и выполняют вредоносный код, чтобы изменить их права пользователя.

      • Удаление права локального входа в систему позволяет предотвратить несанкционированный вход в консоли компьютеров, таких как контроллеры домена или серверы приложений.

      • Удаление этого права входа предотвращает вход учетных записей, не включаний в домен, на консоли компьютеров-членов в домене.

   5. Примеры проблем совместимости

      • Серверы терминалов Windows 2000. Для входа пользователей на серверы терминалов Windows 2000 требуется разрешение входа в систему локального пользователя.

      • Windows NT 4.0, Windows 2000, Windows XP или Windows Server 2003: учетным записям пользователя должно быть предоставлено право входа в консоль компьютеров под управлением Windows NT 4.0, Windows 2000, Windows XP или Windows Server 2003.

      • Windows NT 4.0 и более поздних версий. На компьютерах под управлением Windows NT 4.0 и более поздних версий, если вы добавляете право локального входа в систему, но неявно или явно также предоставляете право на локальный вход в систему, учетные записи не смогут войти в консоль контроллеров домена.

3. Обход проверки обхода

   1. Фон
      
      Обход обхода проверки прав пользователя позволяет пользователю просматривать папки в файловой системе NTFS или в реестре без проверки наличия специального разрешения на доступ к папке Traverse. Обход обхода проверки прав пользователя не позволяет пользователю выведите список содержимого папки. Он позволяет пользователю перемещаться только по папкам.

   2. Рискованные конфигурации
      
      Ниже приведены вредоносные параметры конфигурации.

      • Удаление учетных записей без администрирования, которые войдите на компьютеры служб терминалов под управлением Windows 2000 или компьютеры служб терминалов windows Server 2003, которые не имеют разрешений на доступ к файлам и папкам в файловой системе.

      • Удаление группы "Все" из списка субъектов безопасности, имеющих это право пользователя по умолчанию. Операционные системы Windows, а также многие программы, разработаны с учетом того, что любой пользователь, который может получить доступ к компьютеру, будет иметь право обхода пользователя. Таким образом, удаление группы "Все" из списка субъектов безопасности, имеющих это право пользователя по умолчанию, может привести к нестабильной работе операционной системы или сбою программы. Лучше оставить этот параметр по умолчанию.

   3. Причины предоставления этому пользователю прав
      
      По умолчанию обход обхода проверки прав пользователя разрешает любому пользователю обходить проверку обхода. Для опытных системных администраторов Windows это ожидаемое поведение, и они соответствующим образом настраивают списки управления доступом к файловой системе (SACL). Единственный сценарий, в котором конфигурация по умолчанию может привести к ошибке, — если администратор, который настраивает разрешения, не понимает поведение и ожидает, что пользователи, которые не смогут получить доступ к родительской папке, не смогут получить доступ к содержимому дочерних папок.

   4. Причины удаления этого права пользователя
      
      Чтобы попытаться запретить доступ к файлам или папкам в файловой системе, организациям, которые очень беспокоясь о безопасности, может потребоваться удалить группу "Все" или даже группу "Пользователи" из списка групп, у которых есть обход обхода проверки прав пользователя.

   5. Примеры проблем совместимости

      • Windows 2000, Windows Server 2003: если обход обхода проверки прав пользователя удален или неправильно настроен на компьютерах под управлением Windows 2000 или Windows Server 2003, параметры групповая политика в папке SYVOL не будут реплицироваться между контроллерами домена в домене.

      • Windows 2000, Windows XP Professional, Windows Server 2003: компьютеры под управлением Windows 2000, Windows XP Professional или Windows Server 2003 будут регистрировать события 1000 и 1202 и не смогут применять политику компьютера и политику пользователя при удалении необходимых разрешений файловой системы из дерева SYSVOL, если обход обхода обхода проверки прав пользователя удален или неправильно настроен.
        
         

      • Windows 2000, Windows Server 2003: на компьютерах под управлением Windows 2000 или Windows Server 2003 вкладка "Квота" в проводнике Windows исчезнет при просмотре свойств тома.

      • Windows 2000: пользователи без права администратора, войдите на сервер терминалов Windows 2000, могут получить следующее сообщение об ошибке:

        Userinit.exe приложения. Приложению не удалось правильно инициализировать 0xc0000142 кнопку "ОК", чтобы завершить работу приложения.

      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: пользователи, компьютеры которых работают под управлением Windows NT 4.0, Windows 2000, Windows XP или Windows Server 2003, могут не иметь доступа к общим папкам или файлам в общих папках, и они могут получать сообщения об ошибках "Отказано в доступе", если им не предоставлено право проверки обхода обхода пользователя.
        
        
         

      • Windows NT 4.0. На компьютерах Windows NT версии 4.0 удаление проверки прав пользователя обхода приведет к удалению файловых потоков при копировании файла. Если удалить это право пользователя, при копировании файла из клиента Windows или клиента Macintosh на контроллер домена Windows NT 4.0, на котором выполняются службы для Macintosh, конечный поток файлов будет потерян, а файл появится в виде текстового файла.

      • Microsoft Windows 95, Microsoft Windows 98: на клиентском компьютере под управлением Windows 95 или Windows 98 команда net use * /home завершится ошибкой "Отказано в доступе", если группе "Прошедшие проверку подлинности пользователи" не предоставлен обход обхода обхода проверки прав пользователя.

      • Outlook Web Access: пользователи, не являемые администраторами, не смогут войти в Microsoft Outlook Web Access и получат сообщение об ошибке "Отказано в доступе", если им не предоставлено право обхода пользователя.

Параметры безопасности

В следующем списке определяется параметр безопасности, а вложенный список содержит описание параметра безопасности, определяет параметры конфигурации, которые могут вызвать проблемы, описывает, почему следует применить параметр безопасности, а затем описывает причины, по которым может потребоваться удалить параметр безопасности. Затем вложенный список предоставляет символьное имя для параметра безопасности и путь к реестру параметра безопасности. Наконец, приведены примеры проблем совместимости, которые могут возникнуть при настройке параметра безопасности.

1. Аудит: немедленное завершение работы системы, если не удается зарегистрировать аудиты безопасности

   1. Фон

      • Аудит: немедленное завершение работы системы, если не удается зарегистрировать параметр аудита безопасности, определяет, завершается ли работа системы, если вы не можете зарегистрировать события безопасности. Этот параметр необходим для оценки C2 программы TCSEC и общих критериев оценки безопасности информационных технологий, чтобы предотвратить события, допускаемые аудитом, если система аудита не может занося эти события в журнал. Если система аудита завершается сбоем, система завершает работу и появляется сообщение об ошибке "Остановить".

      • Если компьютер не может записывать события в журнал безопасности, критически важные свидетельства или важные сведения об устранении неполадок могут быть недоступны для проверки после инцидента безопасности.

   2. Конфигурация с риском
      
      Ниже приведен вредоносный параметр конфигурации. Аудит: немедленное завершение работы системы, если не удается включить параметр аудита безопасности, а размер журнала событий безопасности ограничен параметром "Не перезаписывать события " (очистить журнал вручную) или "Перезаписать события по мере необходимости" или "Перезапись событий старше числа дней" в Просмотр событий. Сведения о конкретных рисках для компьютеров под управлением исходной выпущенной версии Windows 2000, Windows 2000 с пакетом обновления 1 (SP1), Windows 2000 с пакетом обновления 2 (SP1), Windows 2000 с пакетом обновления 2 (SP2) или Windows 2000 с пакетом обновления 3 (SP3) см. в разделе "Примеры проблем совместимости".

   3. Причины включения этого параметра
      
      Если компьютер не может записывать события в журнал безопасности, критически важные свидетельства или важные сведения об устранении неполадок могут быть недоступны для проверки после инцидента безопасности.

   4. Причины отключения этого параметра

      • Включение аудита: немедленное завершение работы системы, если не удается зарегистрировать параметр аудита безопасности, останавливает систему, если аудит безопасности не может быть зарегистрирован по какой-либо причине. Как правило, событие не может регистрироваться при заполнении журнала аудита безопасности и когда указанный метод хранения является либо параметром "Не перезаписывать события "Не перезаписывать события" (очистить журнал вручную), либо параметром "Перезаписать события старше числа дней".

      • Административная нагрузка при включении аудита: немедленное завершение работы системы, если не удается зарегистрировать параметр аудита безопасности, может быть очень высокой, особенно если вы также включаете параметр "Не перезаписывать события " (очистить журнал вручную) для журнала безопасности. Этот параметр обеспечивает индивидуальную ответственность за действия операторов. Например, администратор может сбросить разрешения для всех пользователей, компьютеров и групп в подразделении, где аудит был включен с помощью встроенной учетной записи администратора или другой общей учетной записи, а затем запретить сброс таких разрешений. Тем не менее включение параметра снижает надежность системы, так как сервер может быть принудительно выключен, перегваляет его событиями входа и другими событиями безопасности, которые записываются в журнал безопасности. Кроме того, поскольку завершение работы не является корректным, причиной может быть невосполнимый ущерб операционной системе, программам или данным. Хотя NTFS гарантирует, что целостность файловой системы будет поддерживаться во время несанкционированного завершения работы системы, она не гарантирует, что каждый файл данных для каждой программы по-прежнему будет в форме, которую можно использовать при перезапуске системы.

   5. Символьное имя:
      
      CrashOnAuditFail

   6. Путь к реестру:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

   7. Примеры проблем совместимости

      • Windows 2000: из-за ошибки компьютеры под управлением исходной выпущенной версии Windows 2000, Windows 2000 с пакетом обновления 1 (SP1), Windows 2000 с пакетом обновления 2 (SP2) или Windows Server с пакетом обновления 3 (SP3) могут остановить ведение журнала событий до того, как будет достигнут размер, указанный в параметре "Максимальный размер журнала" журнала событий безопасности. Эта ошибка исправлена в Windows 2000 с пакетом обновления 4 (SP4). Перед включением этого параметра убедитесь, что на контроллерах домена Windows 2000 установлен пакет обновления 4 для Windows 2000.
        
         

      • Windows 2000, Windows Server 2003: компьютеры под управлением Windows 2000 или Windows Server 2003 могут перестать отвечать, а затем могут перезапуститься, если аудит: немедленное завершение работы системы, если не удается включить параметр аудита безопасности, журнал безопасности заполнен, а существующая запись журнала событий не может быть перезаписана. При перезапуске компьютера появляется следующее сообщение об ошибке stop:

        STOP: C0000244 {Audit Failed}
        Не удалось создать аудит безопасности.

        Для восстановления администратор должен войти в систему, архивировать журнал безопасности (необязательно), очистить журнал безопасности, а затем сбросить этот параметр (необязательно и по мере необходимости).

      • Сетевой клиент Майкрософт для MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: пользователи без права администратора, которые пытаются войти в домен, получат следующее сообщение об ошибке:

        Ваша учетная запись настроена для предотвращения использования этого компьютера. Попробуйте другой компьютер.

      • Windows 2000: на компьютерах под управлением Windows 2000 не администраторы не смогут войти на серверы удаленного доступа и получат сообщение об ошибке, аналогичное следующему:

        Неизвестный пользователь или неверный пароль

      • Windows 2000: на контроллерах домена Windows 2000 служба межсайтовых сообщений (Ismserv.exe) будет остановлена и не может быть перезапущена. DCDIAG сообщает об ошибке как об ошибке ISMserv служб тестирования, а идентификатор события 1083 будет зарегистрирован в журнале событий.

      • Windows 2000: на контроллерах домена Windows 2000 репликация Active Directory завершится ошибкой, и при заполнении журнала событий безопасности появится сообщение "Отказано в доступе".

      • Microsoft Exchange 2000: серверы под управлением Exchange 2000 не смогут подключить базу данных хранилища информации, а событие 2102 будет зарегистрировано в журнале событий.

      • Outlook, Outlook Web Access: пользователи без права администратора не смогут получить доступ к своей почте через Microsoft Outlook или Microsoft Outlook Web Access, и они получат ошибку 503.

2. Контроллер домена: требования к подписывании сервера LDAP

   1. Фон
      
      Контроллер домена: параметр безопасности для подписи сервера LDAP определяет, требуется ли серверу LDAP для согласования подписи данных клиентами LDAP. Возможные значения для этого параметра политики:

      • Нет. Подписывание данных не требуется для привязки к серверу. Если клиент запрашивает подписывание данных, сервер его поддерживает.

      • Требовать подписывание: параметр подписи данных LDAP должен быть согласован, если не используется протокол TLS/SSL.

      • не определено: этот параметр не включен или отключен.

   2. Рискованные конфигурации
      
      Ниже приведены вредоносные параметры конфигурации.

      • Включение параметра Require signing in environments where clients do not support LDAP signing or where client-side LDAP signing is not enabled on the client

      • Применение шаблона безопасности Windows 2000 или Windows Server 2003 Hisecdc.inf в средах, где клиенты не поддерживают подписывание LDAP или если подписывание LDAP на стороне клиента не включено

      • Применение шаблона безопасности Windows 2000 или Windows Server 2003 Hisecws.inf в средах, где клиенты не поддерживают подписывание LDAP или если подпись LDAP на стороне клиента не включена.

   3. Причины включения этого параметра
      
      Сетевой трафик без знака подвержен атакам типа "злоумышленник в середине", когда злоумышленник фиксирует пакеты между клиентом и сервером, изменяет пакеты, а затем пересылает их на сервер. Если такое поведение происходит на сервере LDAP, злоумышленник может привести к тому, что сервер будет принимать решения, основанные на ложных запросах от клиента LDAP. Вы можете снизить этот риск в корпоративной сети, внедрив надежные меры физической безопасности для защиты сетевой инфраструктуры. Режим заголовка проверки подлинности ipSec может помочь предотвратить атаки типа "злоумышленник в середине". Режим заголовка проверки подлинности выполняет взаимную проверку подлинности и целостность пакетов для IP-трафика.

   4. Причины отключения этого параметра

      • Клиенты, не поддерживающие подписывание LDAP, не смогут выполнять запросы LDAP к контроллерам домена и к глобальным каталогам, если согласована проверка подлинности NTLM и если правильные пакеты обновления не установлены на контроллерах домена Windows 2000.

      • Сетевые трассировки трафика LDAP между клиентами и серверами будут зашифрованы. Это усложняет изучение бесед LDAP.

      • Серверы под управлением Windows 2000 должны иметь Windows 2000 с пакетом обновления 3 (SP3) или устанавливаться при администрировании с помощью программ, поддерживающих подписывание LDAP, которые выполняются с клиентских компьютеров под управлением Windows 2000 с пакетом обновления 4 (SP4), Windows XP или Windows Server 2003.  

   5. Символьное имя:
      
      LDAPServerIntegrity

   6. Путь к реестру:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

   7. Примеры проблем совместимости

      • Простые привязки завершались сбоем, и вы получите следующее сообщение об ошибке:

        Ldap_simple_bind_s() не удалось: требуется надежная проверка подлинности.

      • Windows 2000 с пакетом обновления 4 (SP4), Windows XP, Windows Server 2003: на клиентах под управлением Windows 2000 с пакетом обновления 4 (SP4), Windows XP или Windows Server 2003 некоторые средства администрирования Active Directory будут неправильно работать с контроллерами домена, работающими под управлением версий Windows 2000, предшествующих SP3 при согласовании проверки подлинности NTLM.
        
         

      • Windows 2000 с пакетом обновления 4 (SP4), Windows XP, Windows Server 2003: на клиентах под управлением Windows 2000 с пакетом обновления 4 (SP4), Windows XP или Windows Server 2003 некоторые средства администрирования Active Directory, предназначенные для контроллеров домена, работающих под управлением версий Windows 2000, предшествующих SP3, будут работать неправильно, если они используют IP-адреса (например, "dsa.msc /server=x.x.x.x"
        ,где x.x.x.x является IP-адресом).
        
        
         

      • Windows 2000 с пакетом обновления 4 (SP4), Windows XP, Windows Server 2003: на клиентах под управлением Windows 2000 с пакетом обновления 4 (SP4), Windows XP или Windows Server 2003 некоторые средства администрирования Active Directory, предназначенные для контроллеров домена, работающих под управлением версий Windows 2000, предшествующих sp3, будут работать неправильно.
        
         

3. Член домена: требуется надежный (Windows 2000 или более поздней версии) ключ сеанса

   1. Фон

      • Член домена: требовать строгого (Windows 2000 или более поздней версии) параметра сеанса определяет, можно ли установить безопасный канал с контроллером домена, который не может шифровать трафик безопасного канала с помощью строгого 128-разрядного сеансового ключа. Включение этого параметра не позволяет установить безопасный канал с любым контроллером домена, который не может шифровать данные безопасного канала с помощью надежного ключа. Отключение этого параметра позволяет использовать 64-разрядные ключи сеанса.

      • Перед включением этого параметра на рабочей станции-члене или на сервере все контроллеры домена в домене, к которым принадлежит член, должны иметь возможность шифровать данные безопасного канала с помощью надежного 128-разрядного ключа. Это означает, что все такие контроллеры домена должны работать под управлением Windows 2000 или более поздней версии.

   2. Конфигурация с риском
      
      Включение члена домена: требовать строгого параметра сеанса (Windows 2000 или более поздней версии) является вредоносным параметром конфигурации.

   3. Причины включения этого параметра

      • Ключи сеансов, используемые для обеспечения безопасного обмена данными между компьютерами-членами и контроллерами домена, в Windows 2000 гораздо надежнее, чем в более ранних версиях операционных систем Майкрософт.

      • Если это возможно, рекомендуется воспользоваться преимуществами этих более надежных ключей сеанса, чтобы защитить обмен данными по защищенным каналам от перехвата и перехвата сетевых атак сеансов. Перехват — это форма вредоносной атаки, когда сетевые данные считываются или изменяются при передаче. Данные можно изменить, чтобы скрыть или изменить отправителя или перенаправить их.

      Важно, что компьютер под управлением Windows Server 2008 R2 или Windows 7 поддерживает только надежные ключи при использовании безопасных каналов. Это ограничение предотвращает доверие между любым доменом на основе Windows NT 4.0 и любым доменом под управлением Windows Server 2008 R2. Кроме того, это ограничение блокирует Windows NT 4.0 на компьютерах под управлением Windows 7 или Windows Server 2008 R2 и наоборот.

   4. Причины отключения этого параметра
      
      Домен содержит компьютеры-члены, работающие под управлением операционных систем, отличных от Windows 2000, Windows XP или Windows Server 2003.

   5. Символьное имя:
      
      StrongKey

   6. Путь к реестру:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

   7. 
      
      Примеры проблем совместимости Windows NT 4.0. На компьютерах Windows NT 4.0 сбой сброса безопасных каналов отношений доверия между доменами Windows NT 4.0 и Windows 2000 с помощью NLTEST. Появится сообщение об ошибке "Отказано в доступе":

      Не удалось установить отношение доверия между основным доменом и доверенным доменом.
      
      Windows 7 и Server 2008 R2: для Windows 7 и более поздних версий и Windows Server 2008 R2 и более поздних версий этот параметр больше не учитывается, и надежный ключ используется всегда. Поэтому отношения доверия с доменами Windows NT 4.0 больше не работают.

4. Член домена: цифровое шифрование или подписание данных безопасного канала (всегда)

   1. Фон

      • Включение члена домена: цифровое шифрование или подписание данных безопасного канала (всегда) запрещает установку безопасного канала с любым контроллером домена, который не может подписывать или шифровать все данные безопасного канала. Чтобы защитить трафик проверки подлинности от атак типа "злоумышленник в середине", атак воспроизведения и других видов сетевых атак, компьютеры под управлением Windows создают канал связи, известный как безопасный канал через службу net Logon для проверки подлинности учетных записей компьютеров. Безопасные каналы также используются, когда пользователь в одном домене подключается к сетевому ресурсу в удаленном домене. Эта многодоменная проверка подлинности или сквозная проверка подлинности позволяет компьютеру под управлением Windows, присоединенному к домену, иметь доступ к базе данных учетной записи пользователя в своем домене и в любых доверенных доменах.

      • Чтобы включить параметр "Член домена: цифровое шифрование или подписание данных безопасного канала (всегда) на компьютере-члене, все контроллеры домена в домене, к которым принадлежит член, должны иметь возможность подписывать или шифровать все данные безопасного канала. Это означает, что все такие контроллеры домена должны работать Windows NT версии 4.0 с пакетом обновления 6a (SP6a) или более поздней версии.

      • Включение параметра "Член домена: цифровое шифрование или подписание данных безопасного канала (всегда) автоматически включает параметр "Член домена: цифровое шифрование или подписание данных безопасного канала(по возможности)".

   2. Конфигурация с риском
      
      Включение члена домена: цифровое шифрование или подписание данных безопасного канала (всегда) в доменах, где не все контроллеры домена могут подписывать или шифровать данные безопасного канала, является вредоносным параметром конфигурации.

   3. Причины включения этого параметра
      
      Сетевой трафик без знака подвержен атакам типа "злоумышленник в середине", когда злоумышленник фиксирует пакеты между сервером и клиентом, а затем изменяет их перед их пересылке клиенту. Если это происходит на сервере протокола LDAP, злоумышленник может привести к принятию клиентом решений, основанных на ложных записях из каталога LDAP. Вы можете снизить риск такой атаки на корпоративную сеть, внедрив надежные меры физической безопасности для защиты сетевой инфраструктуры. Кроме того, реализация режима заголовка проверки подлинности по протоколу IPSec может помочь предотвратить атаки типа "злоумышленник в середине". Этот режим выполняет взаимную проверку подлинности и целостность пакетов для IP-трафика.

   4. Причины отключения этого параметра

      • Компьютеры в локальных или внешних доменах поддерживают зашифрованные безопасные каналы.

      • Не все контроллеры домена в домене имеют соответствующие уровни редакции пакета обновления для поддержки зашифрованных безопасных каналов.

   5. Символьное имя:
      
      StrongKey

   6. Путь к реестру:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

   7. Примеры проблем совместимости

      • Windows NT 4.0: компьютеры-члены windows 2000 не смогут присоединяться к доменам Windows NT 4.0 и получат следующее сообщение об ошибке:

        Учетная запись не имеет прав на вход с этой станции.

        Для получения дополнительных сведений щелкните номер следующей статьи, чтобы просмотреть статью в базе знаний Майкрософт:

        281648 Сообщение об ошибке: учетная запись не имеет прав на вход с этой станции
         

      • Windows NT 4.0: домены Windows NT 4.0 не смогут установить доверие более высокого уровня к домену Windows 2000 и получат следующее сообщение об ошибке:

        Учетная запись не имеет прав на вход с этой станции.

        Существующие отношения доверия более высокого уровня также могут не выполнять проверку подлинности пользователей из доверенного домена. У некоторых пользователей могут возникнуть проблемы при входе в домен, и они могут получить сообщение об ошибке с сообщением о том, что клиенту не удается найти домен.

      • Windows XP: клиенты Windows XP, присоединенные к доменам Windows NT 4.0, не смогут проверить подлинность попыток входа и могут получить следующее сообщение об ошибке, или в журнале событий могут быть зарегистрированы следующие события:

        Windows не может подключиться к домену либо из-за того, что контроллер домена не работает или иным образом недоступен, либо из-за того, что учетная запись компьютера не найдена

      • Microsoft Network: клиенты Microsoft Network получат одно из следующих сообщений об ошибках:

        Сбой входа: неизвестное имя пользователя или неправильный пароль.

        Для указанного сеанса входа нет ключа сеанса пользователя.

5. Сетевой клиент Майкрософт: цифровая подпись сообщений (всегда)

   1. Фон
      
      Серверный блок сообщений (SMB) — это протокол общего доступа к ресурсам, поддерживаемый многими операционными системами Майкрософт. Это основа базовой системы ввода-вывода сети (NetBIOS) и многих других протоколов. Подписывание SMB выполняет проверку подлинности как пользователя, так и сервера, на котором размещены данные. Если ни одной из сторон не удается выполнить проверку подлинности, передача данных не выполняется.
      
      Включение подписи SMB начинается во время согласования протокола SMB. Политики подписывания SMB определяют, всегда ли компьютер цифрово подписывает клиентские сообщения.
      
      Протокол проверки подлинности SMB в Windows 2000 поддерживает взаимную проверку подлинности. Взаимная проверка подлинности закрывает атаку "злоумышленник в середине". Протокол проверки подлинности SMB в Windows 2000 также поддерживает проверку подлинности сообщений. Проверка подлинности сообщений помогает предотвратить активные атаки на сообщения. Чтобы выполнить эту проверку подлинности, подписывание SMB помещает цифровую подпись в каждый SMB. Каждый клиент и сервер проверяют цифровую подпись.
      
      Чтобы использовать подписывание SMB, необходимо включить подписывание SMB или требовать подписывание SMB как на клиенте SMB, так и на сервере SMB. Если на сервере включена подписывание SMB, клиенты, для которых также включена подписывание SMB, используют протокол подписи пакетов во время всех последующих сеансов. Если на сервере требуется подписывание SMB, клиент не может установить сеанс, если клиент не включен или не требуется для подписи SMB.
      
      
      Включение цифрового подписывания в сетях с высоким уровнем безопасности помогает предотвратить олицетворение клиентов и серверов. Такой тип олицетворения называется захватом сеанса. Злоумышленник, который имеет доступ к той же сети, что и клиент или сервер, использует средства перехвата сеанса для прерывания, завершения или кражи выполняющегося сеанса. Злоумышленник может перехватывать и изменять пакеты SMB без знака, изменять трафик, а затем перенаправлять его, чтобы сервер мог выполнять нежелательные действия. Кроме того, злоумышленник может быть назначен сервером или клиентом после проверки подлинности, а затем получить несанкционированный доступ к данным.
      
      Протокол SMB, используемый для общего доступа к файлам и общего доступа к печати на компьютерах под управлением Windows 2000 Server, Windows 2000 Professional, Windows XP Professional или Windows Server 2003, поддерживает взаимную проверку подлинности. Взаимная проверка подлинности закрывает атаки перехвата сеансов и поддерживает проверку подлинности сообщений. Таким образом, он предотвращает атаки типа "злоумышленник в середине". Подписывание SMB обеспечивает эту проверку подлинности путем размещения цифровой подписи в каждом SMB. Затем клиент и сервер проверяют подпись.
      
      Заметки

      • В качестве альтернативы противодействию можно включить цифровые подписи с помощью IPSec, чтобы защитить весь сетевой трафик. Существуют аппаратные ускорители для шифрования и подписывания IPSec, которые можно использовать для минимизации влияния ЦП сервера на производительность. Нет таких ускорителей, доступных для подписи SMB.
        
        Дополнительные сведения см. в разделе "Связь с сервером цифровой подписи" на веб-сайте Microsoft MSDN.
        
        Настройте подписывание SMB групповая политика редакторе объектов, так как изменение значения локального реестра не влияет на переопределяемую политику домена.

      • В Windows 95, Windows 98 и Windows 98 Second Edition клиент служб каталогов использует подписывание SMB при проверке подлинности на серверах Windows Server 2003 с использованием проверки подлинности NTLM. Однако эти клиенты не используют подписывание SMB при проверке подлинности на этих серверах с помощью проверки подлинности NTLMv2. Кроме того, серверы Windows 2000 не отвечают на запросы подписи SMB от этих клиентов. Дополнительные сведения см. в разделе 10 "Сетевая безопасность: уровень проверки подлинности Lan Manager".

   2. Конфигурация с риском
      
      Ниже приведен вредоносный параметр конфигурации: оставить параметр сетевого клиента Майкрософт: параметр digitally sign communications (always) и сетевой клиент Майкрософт: digitally sign communications (if server agrees) setting set to Not Defined (Не определено) или disabled. Эти параметры позволяют перенаправлению отправлять пароли в виде обычного текста на сторонние серверы SMB, которые не поддерживают шифрование паролей во время проверки подлинности.

   3. Причины включения этого параметра
      
      Включение сетевого клиента Майкрософт: для подписывания сообщений (всегда) требуется, чтобы клиенты подписывались на трафик SMB при связи с серверами, для которых не требуется подписывание SMB. Это делает клиенты менее уязвимыми к атакам перехвата сеансов.

   4. Причины отключения этого параметра

      • Включение сетевого клиента Майкрософт. Цифровая подпись (всегда) запрещает клиентам взаимодействовать с целевыми серверами, которые не поддерживают подписывание SMB.

      • Настройка компьютеров для игнорирования всех сообщений SMB без знака предотвращает подключение предыдущих программ и операционных систем.

   5. Символьное имя:
      
      RequireSMBSignRdr

   6. Путь к реестру:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

   7. Примеры проблем совместимости

      • Windows NT 4.0. Вы не сможете сбросить безопасный канал доверия между доменом Windows Server 2003 и доменом Windows NT 4.0 с помощью NLTEST или NETDOM, и вы получите сообщение об ошибке "Отказано в доступе".

      • Windows XP: копирование файлов из клиентов Windows XP на серверы под управлением Windows 2000 и на серверы под управлением Windows Server 2003 может занять больше времени.

      • Вы не сможете сопоставить сетевой диск с клиентом с включенным этим параметром, и вы получите следующее сообщение об ошибке:

        Учетная запись не имеет прав на вход с этой станции.

   8. Требования к перезапуску
      
      Перезапустите компьютер или перезапустите службу рабочей станции. Для этого введите следующие команды в командной строке. После ввода каждой команды нажмите клавишу ВВОД.

      net stop workstation
      рабочая станция net start

6. Сетевой сервер Майкрософт: цифровая подпись (всегда)

   1. Фон

      • Server Messenger Block (SMB) — это протокол общего доступа к ресурсам, поддерживаемый многими операционными системами Майкрософт. Это основа базовой системы ввода-вывода сети (NetBIOS) и многих других протоколов. Подписывание SMB выполняет проверку подлинности как пользователя, так и сервера, на котором размещены данные. Если ни одной из сторон не удается выполнить проверку подлинности, передача данных не выполняется.
        
        Включение подписи SMB начинается во время согласования протокола SMB. Политики подписывания SMB определяют, всегда ли компьютер цифрово подписывает клиентские сообщения.
        
        Протокол проверки подлинности SMB в Windows 2000 поддерживает взаимную проверку подлинности. Взаимная проверка подлинности закрывает атаку "злоумышленник в середине". Протокол проверки подлинности SMB в Windows 2000 также поддерживает проверку подлинности сообщений. Проверка подлинности сообщений помогает предотвратить активные атаки на сообщения. Чтобы выполнить эту проверку подлинности, подписывание SMB помещает цифровую подпись в каждый SMB. Каждый клиент и сервер проверяют цифровую подпись.
        
        Чтобы использовать подписывание SMB, необходимо включить подписывание SMB или требовать подписывание SMB как на клиенте SMB, так и на сервере SMB. Если на сервере включена подписывание SMB, клиенты, для которых также включена подписывание SMB, используют протокол подписи пакетов во время всех последующих сеансов. Если на сервере требуется подписывание SMB, клиент не может установить сеанс, если клиент не включен или не требуется для подписи SMB.
        
        
        Включение цифрового подписывания в сетях с высоким уровнем безопасности помогает предотвратить олицетворение клиентов и серверов. Такой тип олицетворения называется захватом сеанса. Злоумышленник, который имеет доступ к той же сети, что и клиент или сервер, использует средства перехвата сеанса для прерывания, завершения или кражи выполняющегося сеанса. Злоумышленник может перехватывать и изменять неподписанных пакетов диспетчера пропускной способности подсети (SBM), изменять трафик, а затем перенаправлять его, чтобы сервер мог выполнять нежелательные действия. Кроме того, злоумышленник может быть назначен сервером или клиентом после проверки подлинности, а затем получить несанкционированный доступ к данным.
        
        Протокол SMB, используемый для общего доступа к файлам и общего доступа к печати на компьютерах под управлением Windows 2000 Server, Windows 2000 Professional, Windows XP Professional или Windows Server 2003, поддерживает взаимную проверку подлинности. Взаимная проверка подлинности закрывает атаки перехвата сеансов и поддерживает проверку подлинности сообщений. Таким образом, он предотвращает атаки типа "злоумышленник в середине". Подписывание SMB обеспечивает эту проверку подлинности путем размещения цифровой подписи в каждом SMB. Затем клиент и сервер проверяют подпись.

      • В качестве альтернативы противодействию можно включить цифровые подписи с помощью IPSec, чтобы защитить весь сетевой трафик. Существуют аппаратные ускорители для шифрования и подписывания IPSec, которые можно использовать для минимизации влияния ЦП сервера на производительность. Нет таких ускорителей, доступных для подписи SMB.

      • В Windows 95, Windows 98 и Windows 98 Second Edition клиент служб каталогов использует подписывание SMB при проверке подлинности на серверах Windows Server 2003 с использованием проверки подлинности NTLM. Однако эти клиенты не используют подписывание SMB при проверке подлинности на этих серверах с помощью проверки подлинности NTLMv2. Кроме того, серверы Windows 2000 не отвечают на запросы подписи SMB от этих клиентов. Дополнительные сведения см. в разделе 10 "Сетевая безопасность: уровень проверки подлинности Lan Manager".

   2. Конфигурация с риском
      
      Ниже приведен вредоносный параметр конфигурации: включение сетевого сервера Майкрософт: настройка цифровой подписи связи (всегда) на серверах и контроллерах домена, доступ к которые имеют несовместимые компьютеры под управлением Windows и клиентские компьютеры сторонних операционных систем в локальных или внешних доменах.

   3. Причины включения этого параметра

      • Все клиентские компьютеры, которые позволяют включить этот параметр непосредственно через реестр или групповая политика, поддерживают подписывание SMB. Другими словами, на всех клиентских компьютерах с включенным параметром выполняется Windows 95 с установленным клиентом DS, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional или Windows Server 2003.

      • Если сетевой сервер Майкрософт: связь с цифровой подписью (всегда) отключена, подписывание SMB полностью отключено. Полностьюе отключение подписывания SMB сделает компьютеры более уязвимыми к атакам перехвата сеансов.

   4. Причины отключения этого параметра

      • Включение этого параметра может привести к замедлению копирования файлов и производительности сети на клиентских компьютерах.

      • Включение этого параметра не позволит клиентам, которые не могут согласовывать подписывание SMB, взаимодействовать с серверами и контроллерами домена. Это приводит к сбою таких операций, как присоединение к домену, проверка подлинности пользователей и компьютеров или сетевой доступ программ.

   5. Символьное имя:
      
      RequireSMBSignServer

   6. Путь к реестру:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

   7. Примеры проблем совместимости

      • Windows 95: клиенты Windows 95, на которых не установлен клиент служб каталогов (DS), завершались сбоем при входе в систему и получат следующее сообщение об ошибке:

        Указанный пароль домена указан неправильно, или доступ к серверу входа запрещен.

      • Windows NT 4.0: клиентские компьютеры с версиями Windows NT 4.0, предшествующими пакету обновления 3 (SP3), не смогут выполнить проверку подлинности при входе в систему и получат следующее сообщение об ошибке:

        Системе не удалось войти в систему. Убедитесь, что имя пользователя и домен указаны правильно, а затем снова введите пароль.

        Некоторые серверы SMB, отличные от Майкрософт, поддерживают только незашифрованный обмен паролями во время проверки подлинности. (Эти обмены также называются обменами обычным текстом.) Для Windows NT 4.0 с пакетом обновления 3 (SP3) и более поздних версий перенаправление SMB не отправляет незашифрованный пароль во время проверки подлинности на сервер SMB, если только вы не добавите определенную запись реестра.
        Чтобы включить незашифрованные пароли для клиента SMB в Windows NT 4.0 с пакетом обновления 3 (SP3) и более поздних версиях, измените реестр следующим образом
        
        : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters Имя значения: EnablePlainTextPassword
        
        Тип данных: REG_DWORD
        
        Данные: 1
        
         

      • Windows Server 2003. По умолчанию параметры безопасности на контроллерах домена под управлением Windows Server 2003 настроены для предотвращения перехвата или незаконного изменения сообщений контроллера домена злоумышленниками. Чтобы пользователи могли успешно взаимодействовать с контроллером домена под управлением Windows Server 2003, клиентские компьютеры должны использовать как подписывание SMB, так и шифрование или подписывание трафика безопасного канала. По умолчанию на клиентах под управлением Windows NT версии 4.0 с пакетом обновления 2 (SP2) или более ранней версии, а на клиентах под управлением Windows 95 не включена подписывание пакетов SMB. Таким образом, эти клиенты не смогут выполнить проверку подлинности на контроллере домена под управлением Windows Server 2003.

      • Параметры политики Windows 2000 и Windows Server 2003. В зависимости от конкретных потребностей и конфигурации установки рекомендуется задать следующие параметры политики в нижней сущности требуемой области в иерархии оснастки редактора групповая политика консоли управления Майкрософт:

        • Конфигурация компьютера\Безопасность Windows Параметры\Параметры безопасности

        • Отправка незашифрованного пароля для подключения к сторонним серверам SMB (этот параметр предназначен для Windows 2000)

        • Сетевой клиент Майкрософт: отправка незашифрованного пароля на сторонние серверы SMB (этот параметр предназначен для Windows Server 2003).

        
        Обратите внимание, что на некоторых сторонних серверах CIFS, таких как более старые версии Samba, нельзя использовать зашифрованные пароли.

      • Следующие клиенты несовместимы с сетевым сервером Майкрософт: параметр обмена данными с цифровой подписью (всегда):

        • Клиенты Apple Computer, Inc., Mac OS X

        • Сетевые клиенты Microsoft MS-DOS (например, Microsoft LAN Manager)

        • Клиенты Microsoft Windows для рабочих групп

        • Клиенты Microsoft Windows 95 без установленного DS-клиента

        • Компьютеры Windows NT Microsoft 4.0 без установки с пакетом обновления 3 (SP3) или более поздней версии

        • Новые клиенты CIFS Для Netware 6

        • Клиенты SAMBA SMB, не поддерживающие подписывание SMB

   8. Требования к перезапуску
      
      Перезапустите компьютер или перезапустите службу сервера. Для этого введите следующие команды в командной строке. После ввода каждой команды нажмите клавишу ВВОД.

      net stop server
      net start server

7. Сетевой доступ: разрешить анонимный перевод идентификаторов безопасности и имен

   1. Фон
      
      Параметр безопасности "Сетевой доступ: разрешить анонимный перевод sid/Name" определяет, может ли анонимный пользователь запрашивать атрибуты идентификации безопасности (SID) для другого пользователя.

   2. Конфигурация с риском
      
      Включение сетевого доступа: разрешить анонимный параметр преобразования sid/Name является вредоносным параметром конфигурации.

   3. Причины включения этого параметра
      
      Если параметр сетевого доступа: разрешить анонимный перевод sid/Name отключен, более ранние операционные системы или приложения могут не иметь возможности взаимодействовать с доменами Windows Server 2003. Например, следующие операционные системы, службы или приложения могут не работать:

      • Windows NT серверы служб удаленного доступа на основе 4.0

      • Microsoft SQL Server, работающих на Windows NT компьютерах на базе 3.x или Windows NT 4.0.

      • Служба удаленного доступа, запущенная на компьютерах под управлением Windows 2000, расположенных в доменах Windows NT 3.x или Windows NT 4.0

      • SQL Server на компьютерах под управлением Windows 2000, расположенных в доменах Windows NT 3.x или Windows NT 4.0

      • Пользователи в домене ресурсов Windows NT 4.0, которые хотят предоставить разрешения на доступ к файлам, общим папкам и объектам реестра учетным записям пользователей из доменов учетных записей, содержащих контроллеры домена Windows Server 2003

   4. Причины отключения этого параметра
      
      Если этот параметр включен, злоумышленник может использовать хорошо известный идентификатор безопасности администраторов для получения реального имени встроенной учетной записи администратора, даже если учетная запись была переименована. Затем этот пользователь может использовать имя учетной записи для инициации атаки с угадать пароль.

   5. Символьное имя: Н/А

   6. Путь к реестру: Нет. Путь указывается в коде пользовательского интерфейса.

   7. 
      
      Примеры проблем совместимости Windows NT 4.0. Компьютеры в доменах ресурсов Windows NT 4.0 будут отображать сообщение об ошибке "Учетная запись неизвестна" в редакторе ACL, если ресурсы, включая общие папки, общие файлы и объекты реестра, защищены с помощью субъектов безопасности, которые находятся в доменах учетных записей, содержащих контроллеры домена Windows Server 2003.

8. Сетевой доступ: не разрешать анонимное перечисление учетных записей SAM

   1. Фон

      • Сетевой доступ: не разрешать анонимное перечисление учетных записей SAM определяет, какие дополнительные разрешения будут предоставлены для анонимных подключений к компьютеру. Windows позволяет анонимным пользователям выполнять определенные действия, такие как перечисление имен рабочих станций и учетных записей диспетчера учетных записей безопасности сервера (SAM) и сетевых общих папок. Например, администратор может использовать его для предоставления доступа пользователям в доверенном домене, который не поддерживает взаимное доверие. После создания сеанса анонимный пользователь может иметь тот же доступ, который предоставляется группе "Все" в зависимости от параметра сетевого доступа: разрешить всем применять разрешения к параметрам анонимных пользователей или списку управления доступом на уровне пользователей (DACL) объекта.
        
        Как правило, анонимные подключения запрашиваются более ранними версиями клиентов (клиенты более ранней версии) во время настройки сеанса SMB. В таких случаях сетевая трассировка показывает, что идентификатор процесса SMB (PID) является перенаправлением клиента, например 0xFEFF в Windows 2000 или 0xCAFE в Windows NT. RPC также может попытаться установить анонимные подключения.

      • Важно, что этот параметр не влияет на контроллеры домена. На контроллерах домена это поведение контролируется наличием NT AUTHORITY\ANONYMOUS LOGON в access, совместимом с Windows 2000.

      • В Windows 2000 аналогичный параметр с именем "Дополнительные ограничения для анонимных подключений" управляет значением реестра RestrictAnonymous . Расположение этого значения выглядит следующим образом.

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA  

   2. Рискованные конфигурации
      
      Включение сетевого доступа: не разрешать анонимное перечисление параметров учетных записей SAM является вредоносным параметром конфигурации с точки зрения совместимости. Отключение этого параметра является вредоносным с точки зрения безопасности.

   3. Причины включения этого параметра
      
      Неавторизованный пользователь может анонимно перечислить имена учетных записей, а затем использовать эти сведения, чтобы попытаться угадать пароли или выполнить атаки социальных сетей. Социальное проектирование — это jargon, который означает, что люди могут раскрыть свои пароли или в какой-либо форме информации о безопасности.

   4. Причины отключения этого параметра
      
      Если этот параметр включен, установить отношения доверия с доменами Windows NT 4.0 невозможно. Этот параметр также вызывает проблемы с клиентами более высокого уровня (например, Windows NT 3.51 и клиентами Windows 95), которые пытаются использовать ресурсы на сервере.

   5. Символьное имя:
      
      
      RestrictAnonymousSAM

   6. Путь к реестру:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

   7. Примеры проблем совместимости

   • Обнаружение сети SMS не сможет получить сведения об операционной системе и напишет "Unknown" в свойстве OperatingSystemNameandVersion.

   • Windows 95, Windows 98: клиенты Windows 95 и клиенты Windows 98 не смогут изменять свои пароли.

   • Windows NT 4.0: Windows NT-компьютеры на основе 4.0 не смогут выполнять проверку подлинности.

   • Windows 95, Windows 98: компьютеры под управлением Windows 95 и Windows 98 не смогут выполнять проверку подлинности контроллерами домена Майкрософт.

   • Windows 95, Windows 98: пользователи на компьютерах под управлением Windows 95 и Windows 98 не смогут изменять пароли для своих учетных записей пользователей.

9. Сетевой доступ: не разрешать анонимное перечисление учетных записей и общих папок SAM

   1. Фон

      • Сетевой доступ: запретить анонимное перечисление учетных записей и общих папок SAM (также известное как RestrictAnonymous) определяет, разрешено ли анонимное перечисление учетных записей и общих папок диспетчера учетных записей безопасности (SAM). Windows позволяет анонимным пользователям выполнять определенные действия, такие как перечисление имен учетных записей домена (пользователей, компьютеров и групп) и сетевых общих папок. Это удобно, например, если администратор хочет предоставить доступ пользователям в доверенном домене, который не поддерживает взаимное доверие. Если вы не хотите разрешать анонимное перечисление учетных записей SAM и общих папок, включите этот параметр.

      • В Windows 2000 аналогичный параметр с именем "Дополнительные ограничения для анонимных подключений" управляет значением реестра RestrictAnonymous . Расположение этого значения выглядит следующим образом:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

   2. Конфигурация с риском
      
      Включение сетевого доступа: не разрешать анонимное перечисление учетных записей SAM и общих папок, является вредоносным параметром конфигурации.

   3. Причины включения этого параметра

      • Включение сетевого доступа. Не разрешайте анонимное перечисление учетных записей SAM и общих папок, чтобы запретить перечисление учетных записей и общих папок SAM пользователями и компьютерами, которые используют анонимные учетные записи.

   4. Причины отключения этого параметра

      • Если этот параметр включен, неавторизованный пользователь может анонимно перечислить имена учетных записей, а затем использовать эти сведения, чтобы попытаться угадать пароли или выполнить социальные атаки. Социальные инженеры — это jargon, который означает, что люди должны показать свой пароль или информацию о безопасности в какой-либо форме.

      • Если этот параметр включен, установить отношения доверия с доменами Windows NT 4.0 будет невозможно. Этот параметр также вызывает проблемы с клиентами более высокого уровня, такими как Windows NT 3.51 и Windows 95, которые пытаются использовать ресурсы на сервере.

      • Предоставить доступ пользователям доменов ресурсов будет невозможно, так как администраторы в домене доверия не смогут перечислить списки учетных записей в другом домене. Пользователи, которые имеют анонимный доступ к файлам и серверам печати, не смогут вывести список общих сетевых ресурсов на этих серверах. Пользователи должны выполнить проверку подлинности, прежде чем они смогут просматривать списки общих папок и принтеров.

   5. Символьное имя:
      
      RestrictAnonymous

   6. Путь к реестру:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

   7. Примеры проблем совместимости

      • Windows NT 4.0: пользователи не смогут изменять свои пароли с рабочих станций Windows NT 4.0, если на контроллерах домена пользователя включен параметр RestrictAnonymous.

      • Windows NT 4.0. Добавление пользователей или глобальных групп из доверенных доменов Windows 2000 в локальные группы Windows NT 4.0 в Диспетчере пользователей завершится ошибкой, и появится следующее сообщение об ошибке:

        В настоящее время нет доступных серверов входа для обслуживания запроса на вход.

      • Windows NT 4.0: Windows NT компьютеры на основе 4.0 не смогут присоединяться к доменам во время установки или с помощью пользовательского интерфейса присоединения к домену.

      • Windows NT 4.0: установка доверия на более низким уровне с Windows NT доменами ресурсов версии 4.0 завершится ошибкой. При включении RestrictAnonymous в доверенном домене появится следующее сообщение об ошибке:

        Не удалось найти контроллер домена для этого домена.

      • Windows NT 4.0. Пользователи, войдите на компьютеры сервера терминалов Windows NT 4.0, будут сопоставляться с домашним каталогом по умолчанию, а не с домашним каталогом, определенным в диспетчере пользователей для доменов.

      • Windows NT 4.0: контроллеры домена резервного копирования Windows NT 4.0 не смогут запустить службу net Logon, получить список браузеров резервного копирования или синхронизировать базу данных SAM из Windows 2000 или с контроллеров домена Windows Server 2003 в том же домене.

      • Windows 2000: компьютеры-члены под управлением Windows 2000 в доменах Windows NT 4.0 не смогут просматривать принтеры во внешних доменах, если в локальной политике безопасности клиентского компьютера включен параметр "Нет доступа без явно анонимных разрешений".

      • Windows 2000: пользователи домена Windows 2000 не смогут добавлять сетевые принтеры из Active Directory; однако они смогут добавлять принтеры после выбора их в представлении в виде дерева.

      • Windows 2000: на компьютерах под управлением Windows 2000 редактор ACL не сможет добавлять пользователей или глобальные группы из доверенных доменов Windows NT 4.0.

      • ADMT версии 2. Миграция паролей для учетных записей пользователей, которые переносятся между лесами с помощью средства миграции Active Directory (ADMT) версии 2, завершится ошибкой.
        
        Для получения дополнительных сведений щелкните номер следующей статьи, чтобы просмотреть статью в базе знаний Майкрософт:

        322981 Устранение неполадок миграции паролей между лесами с помощью ADMTv2

      • Клиенты Outlook: глобальный список адресов будет пустым для клиентов Microsoft Exchange Outlook.

      • SMS: microsoft Systems Management Server (SMS) Network Discovery не сможет получить сведения об операционной системе. Таким образом, он будет записывать "Unknown" в свойстве OperatingSystemNameandVersion свойства SMS DDR записи данных обнаружения (DDR).

      • SMS. При использовании мастера пользователя администратора SMS для просмотра пользователей и групп пользователи и группы не будут перечислены. Кроме того, расширенные клиенты не могут взаимодействовать с точкой управления. Для точки управления требуется анонимный доступ.

      • SMS: при использовании функции обнаружения сети в SMS 2.0 и в удаленной установке клиента с включенной функцией обнаружения сети топологии, клиентских и клиентских операционных систем компьютеры могут быть обнаружены, но не установлены.

10. Сетевая безопасность: уровень проверки подлинности Lan Manager

    1. Фон
       
       Проверка подлинности lan Manager (LM) — это протокол, используемый для проверки подлинности клиентов Windows для сетевых операций, включая присоединение к домену, доступ к сетевым ресурсам и проверку подлинности пользователей или компьютеров. Уровень проверки подлинности LM определяет, какой протокол проверки подлинности запроса и ответа согласовывается между клиентом и серверными компьютерами. В частности, уровень проверки подлинности LM определяет, какие протоколы проверки подлинности будет пытаться согласовать клиент или принимает ли сервер. Значение, заданное для LmCompatibilityLevel, определяет, какой протокол проверки подлинности запроса/ответа используется для сетевых входов. Это значение влияет на уровень протокола проверки подлинности, используемый клиентами, уровень согласованной безопасности сеанса и уровень проверки подлинности, принятый серверами.
       
       Возможные параметры:

       Значение	Параметр	Описание
       0	Отправка ответов LM & NTLM	Клиенты используют проверку подлинности LM и NTLM и никогда не используют сеансовую безопасность NTLMv2. Контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2.
       1	Отправка LM & NTLM — использование безопасности сеанса NTLMv2 при согласовании	Клиенты используют проверку подлинности LM и NTLM, а также сеансовую безопасность NTLMv2, если сервер ее поддерживает. Контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2.
       2	Отправка только ответа NTLM	Клиенты используют только проверку подлинности NTLM и используют сеансовую безопасность NTLMv2, если сервер ее поддерживает. Контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2.
       3	Отправка только ответа NTLMv2	Клиенты используют только проверку подлинности NTLMv2 и используют сеансовую безопасность NTLMv2, если сервер ее поддерживает. Контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2.
       4	Отправка ответа NTLMv2 только или отказ LM	Клиенты используют только проверку подлинности NTLMv2 и используют сеансовую безопасность NTLMv2, если сервер ее поддерживает. Контроллеры домена отклоняет LM и принимают только проверку подлинности NTLM и NTLMv2.
       5	Отправка ответа NTLMv2 только или отказ LM & NTLM	Клиенты используют только проверку подлинности NTLMv2 и используют сеансовую безопасность NTLMv2, если сервер ее поддерживает. Контроллеры домена отклоняет LM и NTLM и принимают только проверку подлинности NTLMv2.

       Обратите внимание, что в Windows 95, Windows 98 и Windows 98 Second Edition клиент служб каталогов использует подписывание SMB при проверке подлинности на серверах Windows Server 2003 с использованием проверки подлинности NTLM. Однако эти клиенты не используют подписывание SMB при проверке подлинности на этих серверах с помощью проверки подлинности NTLMv2. Кроме того, серверы Windows 2000 не отвечают на запросы подписи SMB от этих клиентов.
       
       Проверьте уровень проверки подлинности LM: необходимо изменить политику на сервере, чтобы разрешить NTLM, или настроить клиентский компьютер для поддержки NTLMv2.
       
       Если для политики задано значение (5) Отправлять только ответ NTLMv2\отказаться от LM & NTLM на целевом компьютере, к которому вы хотите подключиться, необходимо либо снизить параметр на этом компьютере, либо установить для параметра безопасности тот же параметр, что и на исходном компьютере, с которого выполняется подключение.
       
       Найдите правильное расположение, в котором можно изменить уровень проверки подлинности диспетчера локальной сети, чтобы задать для клиента и сервера одинаковый уровень. После того как вы найдете политику, которая настраивает уровень проверки подлинности диспетчера локальной сети, если вы хотите подключиться к компьютерам под управлением более ранних версий Windows и с них, онизите значение по крайней мере (1) Send LM & NTLM — при согласовании используйте сеансовую безопасность NTLM версии 2. Одним из результатов несовместимых параметров является то, что если серверу требуется NTLMv2 (значение 5), но клиент настроен на использование только LM и NTLMv1 (значение 0), пользователь, который пытается выполнить проверку подлинности, не может войти в систему с неправильным паролем и увеличивает число неправильных паролей. Если блокировка учетной записи настроена, пользователь в конечном итоге может быть заблокирован.
       
       Например, может потребоваться просмотреть контроллер домена или проверить политики контроллера домена.
       
       Просмотр контроллера домена
       
       Обратите внимание, что может потребоваться повторить следующую процедуру на всех контроллерах домена.

       1. Нажмите кнопку "Пуск", наведите указатель мыши на "Программы" и выберите пункт " Администрирование".

       2. В разделе "Локальные параметры безопасности" разверните узел "Локальные политики".

       3. Нажмите кнопку "Параметры безопасности".

       4. Дважды щелкните "Безопасность сети: уровень проверки подлинности диспетчера локальной сети" и выберите значение в списке.

       
       Если действующие параметры и локальные параметры совпадают, политика была изменена на этом уровне. Если параметры отличаются, необходимо проверить политику контроллера домена, чтобы определить, определен ли там параметр уровня проверки подлинности диспетчера локальной сети. Если он не определен там, проверьте политики контроллера домена.
       
       Проверка политик контроллера домена

       1. Нажмите кнопку "Пуск", наведите указатель мыши на "Программы" и выберите пункт " Администрирование".

       2. В политике безопасности контроллера домена разверните раздел "Параметры безопасности", а затем — "Локальные политики".

       3. Нажмите кнопку "Параметры безопасности".

       4. Дважды щелкните "Безопасность сети: уровень проверки подлинности диспетчера локальной сети" и выберите значение в списке.

       
       Примечание

       • Кроме того, может потребоваться проверить политики, связанные на уровне сайта, домена или подразделения, чтобы определить, где необходимо настроить уровень проверки подлинности диспетчера локальной сети.

       • Если вы реализуете параметр групповая политика в качестве политики домена по умолчанию, политика применяется ко всем компьютерам в домене.

       • Если вы реализуете групповая политика в качестве политики контроллера домена по умолчанию, политика применяется только к серверам в подразделении контроллера домена.

       • Рекомендуется задать уровень проверки подлинности диспетчера локальной сети в нижней сущности необходимой области в иерархии приложений политики.

       Windows Server 2003 имеет новый параметр по умолчанию для использования только NTLMv2. По умолчанию контроллеры домена под управлением Windows Server 2003 и Windows 2000 Server с пакетом обновления 3 (SP3) включили политику "Сетевой сервер Майкрософт: цифровая подпись (всегда)". Для этого параметра сервер SMB должен выполнять подписывание пакетов SMB. Изменения в Windows Server 2003 были внесены, так как контроллеры домена, файловые серверы, серверы сетевой инфраструктуры и веб-серверы в любой организации требуют разных параметров для обеспечения максимальной безопасности.
       
       Если вы хотите реализовать проверку подлинности NTLMv2 в сети, убедитесь, что все компьютеры в домене настроены для использования этого уровня проверки подлинности. При применении клиентских расширений Active Directory для Windows 95 или Windows 98 и Windows NT 4.0 расширения клиента используют улучшенные функции проверки подлинности, доступные в NTLMv2. Так как клиентские компьютеры под управлением любой из следующих операционных систем не затрагиваются объектами Windows 2000 групповая политика, может потребоваться вручную настроить эти клиенты:

       • Microsoft Windows NT 4.0

       • Microsoft Windows Millennium Edition

       • Microsoft Windows 98

       • Microsoft Windows 95

       Примечание. Если включена сетевая безопасность : не храните значение хэша диспетчера локальной сети в следующей политике изменения пароля или задайте раздел реестра NoLMHash , клиенты под управлением Windows 95 и Windows 98, на которых не установлен клиент служб каталогов, не смогут войти в домен после изменения пароля.
       
       Многие сторонние серверы CIFS, такие как Novell Netware 6, не знают о NTLMv2 и используют только NTLM. Таким образом, уровни больше 2 не допускают возможность подключения. Существуют также сторонние клиенты SMB, которые не используют расширенную безопасность сеансов. В таких случаях LmCompatiblityLevel сервера ресурсов не будет учитываться. Затем сервер упаковывает этот устаревший запрос и отправляет его контроллеру домена пользователя. Затем параметры контроллера домена определяют, какие хэши используются для проверки запроса и соответствует ли они требованиям безопасности контроллера домена.
       
        

       299656 Как запретить Windows хранить хэш пароля диспетчера локальной сети в Active Directory и локальных базах данных SAM
        

       2701704Событие аудита отображает пакет проверки подлинности как NTLMv1 вместо NTLMv2. Дополнительные сведения об уровнях проверки подлинности LM см. в следующей статье, чтобы просмотреть статью в базе знаний Майкрософт:

       239869 Включение проверки подлинности NTLM 2
        

    2. Рискованные конфигурации
       
       Ниже приведены вредоносные параметры конфигурации.

       • Неконтейтерные параметры, которые отправляют пароли в виде открытого текста и запрещают согласование NTLMv2

       • Ограничивающие параметры, которые препятствуют согласованию общего протокола проверки подлинности несовместимыми клиентами или контроллерами домена

       • Требование проверки подлинности NTLMv2 на компьютерах-членах и контроллерах домена под управлением версий Windows NT 4.0, предшествующих пакету обновления 4 (SP4)

       • Требование проверки подлинности NTLMv2 на клиентах Windows 95 или на клиентах Windows 98, на которых не установлен клиент служб каталогов Windows.

       • Если установить флажок require NTLMv2 session security (Требовать безопасность сеанса NTLMv2) в оснастке редактора консоли управления Microsoft групповая политика на компьютере под управлением Windows Server 2003 или Windows 2000 с пакетом обновления 3 , а уровень проверки подлинности диспетчера локальной сети будет ниже 0, эти два параметра конфликтуют, и вы можете получить следующее сообщение об ошибке в файле Secpol.msc или файле GPEdit.msc:

         Windows не может открыть базу данных локальной политики. При попытке открыть базу данных произошла неизвестная ошибка.

         Дополнительные сведения о средстве настройки безопасности и анализа см. в файлах справки windows 2000 или Windows Server 2003.

    3. Причины изменения этого параметра

       • Вы хотите увеличить самый низкий общий протокол проверки подлинности, поддерживаемый клиентами и контроллерами домена в организации.

       • Если безопасная проверка подлинности является бизнес-требованием, необходимо запретить согласование протоколов LM и NTLM.

    4. Причины отключения этого параметра
       
       Требования к проверке подлинности клиента или сервера (или и то, и другое) были увеличены до того момента, когда проверка подлинности по общему протоколу не может выполняться.

    5. Символьное имя:
       
       LmCompatibilityLevel

    6. Путь к реестру:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. Примеры проблем совместимости

       • Windows Server 2003: по умолчанию включен параметр ответов NTLMv2 для отправки NTLM в Windows Server 2003. Таким образом, Windows Server 2003 получает сообщение об ошибке "Отказано в доступе" после первоначальной установки при попытке подключения к кластеру на основе Windows NT 4.0 или к серверам LanManager версии 2.1, таким как OS/2 Lanserver. Эта проблема также возникает при попытке подключения клиента более ранней версии к серверу под управлением Windows Server 2003.

       • Вы устанавливаете накопительный пакет безопасности Windows 2000 1 (SRP1). SRP1 принудительно применяет NTLM версии 2 (NTLMv2). Этот накопительный пакет был выпущен после выпуска Windows 2000 с пакетом обновления 2 (SP2).
          

       • Windows 7 и Windows Server 2008 R2: многие сторонние серверы CIFS, такие как серверы Samba на базе Novell Netware 6 или Linux, не знают о NTLMv2 и используют только NTLM. Таким образом, уровни больше "2" не допускают подключения. Теперь в этой версии операционной системы значение по умолчанию для LmCompatibilityLevel изменено на "3". Поэтому при обновлении Windows эти сторонние файловые файлы могут перестать работать.

       • Клиентам Microsoft Outlook может быть предложено ввести учетные данные, даже если они уже вошли в домен. Когда пользователи предоставляют свои учетные данные, они получают следующее сообщение об ошибке: Windows 7 и Windows Server 2008 R2.

         Предоставленные учетные данные для входа неверны. Убедитесь, что имя пользователя и домен указаны правильно, а затем снова введите пароль.

         При запуске Outlook может появиться запрос на ввод учетных данных, даже если для параметра безопасности сети входа задано значение Passthrough или Password Authentication. После ввода правильных учетных данных может появиться следующее сообщение об ошибке:

         Указаны неправильные учетные данные для входа.

         Трассировка сетевого монитора может показать, что глобальный каталог выдан сбой удаленного вызова процедуры (RPC) с состоянием 0x5. Состояние 0x5 означает "Отказано в доступе".

       • Windows 2000: запись сетевого монитора может отображать следующие ошибки в сеансе netBIOS через блок сообщений сервера TCP/IP (NetBT) (SMB):

         Ошибка dos каталога поиска SMB R, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Недопустимый идентификатор пользователя

       • Windows 2000: если домен Windows 2000 с NTLMv2 уровня 2 или более поздней версии является доверенным для домена Windows NT 4.0, на компьютерах-членах Windows 2000 в домене ресурсов могут возникать ошибки проверки подлинности.

       • Windows 2000 и Windows XP: по умолчанию Windows 2000 и Windows XP задают для параметра локальной политики безопасности уровня проверки подлинности LAN Manager значение 0. Значение 0 означает "Отправить ответы LM и NTLM".
         
         Обратите Windows NT, что кластеры на основе 4.0 должны использовать LM для администрирования.

       • Windows 2000: кластеризация Windows 2000 не проверяет подлинность присоединяемого узла, если оба узла являются частью домена Windows NT 4.0 с пакетом обновления 6a (SP6a).

       • Средство блокировки IIS (HiSecWeb) задает для значения LMCompatibilityLevel значение 5, а для параметра RestrictAnonymous — значение 2.

       • Службы для Macintosh
         
         Модуль проверки подлинности пользователей (UAM): Microsoft UAM (модуль проверки подлинности пользователей) предоставляет метод шифрования паролей, используемых для входа на серверы Windows AFP (протокол appleTalk. Модуль проверки подлинности пользователей Apple (UAM) обеспечивает минимальное шифрование или отсутствие шифрования. Таким образом, пароль можно легко перехватить в локальной сети или в Интернете. Хотя UAM не требуется, он обеспечивает зашифрованную проверку подлинности для серверов Windows 2000, на которых выполняются службы для Macintosh. Эта версия включает поддержку 128-разрядной зашифрованной проверки подлинности NTLMv2 и совместимого с MacOS X 10.1 выпуска.
         
         По умолчанию сервер служб Windows Server 2003 для Macintosh разрешает только проверку подлинности Майкрософт.
          

       • Windows Server 2008, Windows Server 2003, Windows XP и Windows 2000: если вы настроите значение LMCompatibilityLevel на 0 или 1, а затем настроите значение NoLMHash на 1, приложениям и компонентам может быть отказано в доступе через NTLM. Эта проблема возникает из-за того, что компьютер настроен на включение LM, но не на использование хранимых паролей LM.
         
         Если значение NoLMHash равно 1, необходимо настроить значение LMCompatibilityLevel на 2 или более позднее.

11. Сетевая безопасность: требования к подписывании клиента LDAP

    1. Фон
       
       Параметр "Сетевая безопасность: требования к подписи клиента LDAP" определяет уровень подписи данных, запрашиваемой от имени клиентов, которые выполниют запросы LDAP BIND следующим образом:

       • Нет. Запрос LDAP BIND выдается с заданными вызывающим объектом вариантами.

       • Согласование подписи. Если протокол SSL/TLS не запущен, запрос LDAP BIND инициируется с параметром подписывания данных LDAP, установленным в дополнение к указанным вызывающим параметрам. Если запущен протокол SSL/TLS, запрос LDAP BIND инициируется с заданными вызывающим объектом вариантами.

       • Требовать подписывание: это то же самое, что и подписывание Negotiate. Однако если промежуточный ответ saslBindInProgress сервера LDAP не указывает на то, что требуется подписывание трафика LDAP, вызывающий объект сообщает о сбое командного запроса LDAP BIND.

    2. Конфигурация с риском
       
       Включение параметра "Безопасность сети: требование подписывания клиента LDAP" является вредоносным параметром конфигурации. Если для сервера задано обязательное использование подписей LDAP, необходимо также настроить подпись LDAP на клиенте. Если клиент не настроит использование подписей LDAP, обмен данными с сервером будет запрещен. Это приводит к сбою проверки подлинности пользователя, групповая политика параметров, сценариев входа и других функций.

    3. Причины изменения этого параметра
       
       Сетевой трафик без знака подвержен атакам типа "злоумышленник в середине", когда злоумышленник фиксирует пакеты между клиентом и серверами, изменяет их, а затем пересылает на сервер. Если это происходит на сервере LDAP, злоумышленник может вызвать ответ сервера на основе ложных запросов от клиента LDAP. Вы можете снизить этот риск в корпоративной сети, внедрив надежные меры физической безопасности для защиты сетевой инфраструктуры. Кроме того, вы можете предотвратить атаки типа "злоумышленник в середине", требуя цифровые подписи для всех сетевых пакетов с помощью заголовков проверки подлинности IPSec.

    4. Символьное имя:
       
       LDAPClientIntegrity

    5. Путь к реестру:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

12. Журнал событий: максимальный размер журнала безопасности

    1. Фон
       
       Журнал событий: параметр безопасности максимального размера журнала безопасности указывает максимальный размер журнала событий безопасности. Максимальный размер этого журнала составляет 4 ГБ. Чтобы найти этот параметр, разверните раздел
       "Параметры Windows", а затем — "Параметры безопасности".

    2. Рискованные конфигурации
       
       Ниже приведены вредоносные параметры конфигурации.

       • Ограничение размера журнала безопасности и метода хранения журнала безопасности при немедленном завершении работы системы, если не удается включить параметр аудита безопасности. Дополнительные сведения см. в разделе "Аудит: немедленное завершение работы системы, если не удается зарегистрировать аудиты безопасности".

       • Ограничение размера журнала безопасности для перезаписи интересующих событий безопасности.

    3. Причины для увеличения этого параметра
       
       Бизнес-требования и требования к безопасности могут потребовать увеличения размера журнала безопасности для обработки дополнительных сведений журнала безопасности или хранения журналов безопасности в течение более длительного периода времени.

    4. Причиной уменьшения этого параметра Просмотр событий
       
       являются файлы, сопоставленные с памятью. Максимальный размер журнала событий ограничивается объемом физической памяти на локальном компьютере и виртуальной памятью, доступной процессу журнала событий. Увеличение размера журнала за пределами объема виртуальной памяти, доступной для Просмотр событий, не приводит к увеличению числа записей журнала, которые поддерживаются.

    5. Примеры проблем совместимости
       
       Windows 2000: компьютеры под управлением версий Windows 2000, предшествующих пакету обновления 4 (SP4), могут прекратить ведение журнала событий в журнале событий, прежде чем достичь размера, указанного в параметре "Максимальный размер журнала" в Просмотр событий если включен параметр "Не перезаписывать события "Не перезаписывать" (очистить журнал вручную).
       
       
        

13. Журнал событий: сохранение журнала безопасности

    1. Фон
       
       Журнал событий: сохранение параметра безопасности журнала безопасности определяет метод упаковки для журнала безопасности. Чтобы найти этот параметр, разверните раздел "Параметры Windows", а затем — "Параметры безопасности".

    2. Рискованные конфигурации
       
       Ниже приведены вредоносные параметры конфигурации.

       • Не удалось сохранить все зарегистрированные события безопасности перед их перезаписи

       • Настройка слишком малого параметра максимального размера журнала безопасности для перезаписи событий безопасности

       • Ограничение размера журнала безопасности и метода хранения во время аудита: немедленное завершение работы системы, если не удается включить параметр безопасности аудита безопасности

    3. Причины включения этого параметра
       
       Включите этот параметр только в том случае, если выбран метод хранения перезаписи событий по дням. При использовании системы корреляции событий, которая опрашивает события, убедитесь, что количество дней по крайней мере в три раза больше частоты опроса. Сделайте это, чтобы разрешить неудачные циклы опроса.

14. Сетевой доступ: разрешить всем пользователям применять разрешения к анонимным пользователям

    1. Фон
       
       По умолчанию для параметра "Сетевой доступ: разрешить всем пользователям применять разрешения к анонимным пользователям" установлено значение "Не определено" в Windows Server 2003. По умолчанию Windows Server 2003 не включает маркер анонимного доступа в группу "Все".

    2. Пример проблем совместимости
       
       Следующее значение:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous [REG_DWORD]=0x0 нарушает создание доверия между Windows Server 2003 и Windows NT 4.0, когда домен Windows Server 2003 является доменом учетной записи, а домен Windows NT 4.0 — доменом ресурсов. Это означает, что домен учетной записи является доверенным Windows NT версии 4.0, а домен ресурсов — на стороне Windows Server 2003. Это происходит из-за того, что процесс запуска доверия после первоначального анонимного подключения является ACL с маркером "Все", который включает анонимный идентификатор безопасности в Windows NT 4.0.

    3. Причины изменения этого параметра
       
       Значение должно быть установлено 0x1 или задано с помощью объекта групповой политики в подразделении контроллера домена, чтобы быть: Сетевой доступ: Разрешить всем разрешениям применяться к анонимным пользователям — включено для создания доверия.
       
       Обратите внимание, что большинство других параметров безопасности вместо того, чтобы 0x0 в наиболее защищенном состоянии. Более безопасной практикой является изменение реестра в эмуляторе основного контроллера домена, а не на всех контроллерах домена. Если роль эмулятора основного контроллера домена перемещается по какой-либо причине, реестр необходимо обновить на новом сервере.
       
       После установки этого значения требуется перезагрузка.

    4. Путь к реестру

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

15. Проверка подлинности NTLMv2

    1. Безопасность сеанса
       
       Безопасность сеансов определяет минимальные стандарты безопасности для сеансов клиента и сервера. Рекомендуется проверить следующие параметры политики безопасности в оснастке редактора групповая политика microsoft Management Console:

       • Параметры компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности

       • Сетевая безопасность: минимальная безопасность сеансов для серверов NTLM SSP (включая защищенные RPC)

       • Сетевая безопасность: минимальная безопасность сеансов для клиентов на основе NTLM SSP (включая безопасные RPC)

       Ниже приведены параметры для этих параметров.

       • Требовать целостность сообщений

       • Требовать конфиденциальность сообщений

       • Требовать безопасность сеанса NTLM версии 2

       • Требовать 128-разрядное шифрование

       Параметр по умолчанию, предшествующий Windows 7, не является требованием. Начиная с Windows 7, значение по умолчанию изменено на "Требовать 128-разрядное шифрование" для повышения безопасности. При этом по умолчанию устаревшие устройства, которые не поддерживают 128-разрядное шифрование, не смогут подключиться.
       
       Эти политики определяют минимальные стандарты безопасности для сеанса обмена данными между приложениями на сервере для клиента.
       
       Обратите внимание, что флаги, которые требуют целостности и конфиденциальности сообщений, хотя и описываются как допустимые параметры, не используются при проверке безопасности сеанса NTLM.
       
       Исторически Windows NT поддерживает следующие два варианта проверки подлинности запроса и ответа для сетевых входов:

       • LM challenge/response

       • Запрос/ответ NTLM версии 1

       LM обеспечивает взаимодействие с установленной базой клиентов и серверов. NTLM обеспечивает повышенную безопасность подключений между клиентами и серверами.
       
       Ниже приведены соответствующие разделы реестра.

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

    2. Рискованные конфигурации
       
       Этот параметр определяет, как будут обрабатываться сетевые сеансы, защищенные с помощью NTLM. Это влияет, например, на сеансы на основе RPC, прошедшие проверку подлинности с помощью NTLM. Существуют следующие риски:

       • Использование более старых методов проверки подлинности, чем NTLMv2, упрощает атаку обмена данными из-за более простых методов хэширования.

       • Использование менее 128-разрядных ключей шифрования позволяет злоумышленникам нарушить обмен данными с помощью атак методом подбора.

Синхронизация времени

Сбой синхронизации времени. Время отключено более чем на 30 минут на затронутом компьютере. Убедитесь, что часы клиентского компьютера синхронизированы с часами контроллера домена.

Обходное решение для подписи SMB

Рекомендуется установить пакет обновления 6a (SP6a) на клиентах Windows NT 4.0, которые взаимодействуют в домене под управлением Windows Server 2003. Клиенты На базе Windows 98 Second Edition, клиенты под управлением Windows 98 и Windows 95 должны запускать клиент служб каталогов для выполнения NTLMv2. Если на Windows NT 4.0 не установлен клиент служб каталогов Windows NT 4.0 с пакетом обновления 6 (SP6) или если клиенты под управлением Windows 95, клиенты под управлением Windows 98 и клиенты windows 98SE не установлены клиент служб каталогов, отключите подписывание SMB в параметре политики контроллера домена по умолчанию в подразделении контроллера домена, а затем свяжите эту политику со всеми подразделениями, которые размещают контроллеры домена.

Клиент служб каталогов для Windows 98 Second Edition, Windows 98 и Windows 95 будет выполнять подписывание SMB с серверами Windows 2003 с проверкой подлинности NTLM, но не с проверкой подлинности NTLMv2. Кроме того, серверы Windows 2000 не будут отвечать на запросы подписи SMB от этих клиентов.

Хотя мы не рекомендуем это делать, вы можете запретить подписывание SMB на всех контроллерах домена под управлением Windows Server 2003 в домене. Чтобы настроить этот параметр безопасности, выполните следующие действия.

1. Откройте политику контроллера домена по умолчанию.

2. Откройте папку "Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности".

3. Найдите и щелкните параметр политики сетевого сервера Майкрософт: цифровая подпись (всегда) и нажмите кнопку "Отключено".

Важно, что в этом разделе, методе или задаче содержатся инструкции по изменению реестра. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы тщательно выполните эти действия. Чтобы добавить защиту, создайте резервную копию реестра перед его изменением. Затем можно восстановить реестр в случае возникновения проблемы. Чтобы получить дополнительные сведения о резервном копировании и восстановлении реестра, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

322756 Как создать резервную копию и восстановить реестр в Windows. Кроме того, отключите вход SMB на сервере, изменив реестр. Для этого выполните указанные ниже действия.

1. Нажмите кнопку "Пуск", нажмите кнопку "Выполнить", введите regedit и нажмите кнопку "ОК".

2. Найдите и щелкните следующий подраздел:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

3. Щелкните запись enablesecuritysignature .

4. В меню "Правка " нажмите кнопку "Изменить".

5. В поле данных "Значение " введите 0 и нажмите кнопку "ОК".

6. Закройте редактор реестра.

7. Перезапустите компьютер или остановите, а затем перезапустите службу сервера. Для этого введите следующие команды в командной строке и нажмите клавишу ВВОД после ввода каждой команды:
   net stop server
   net start server

Обратите внимание, что соответствующий ключ на клиентском компьютере находится в следующем подразделе реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters Ниже перечислены переведенные коды ошибок в коды состояния и дословные сообщения об ошибках, упомянутые ранее:

Для получения дополнительных сведений щелкните следующие номера статей, чтобы просмотреть статьи в базе знаний Майкрософт:

324802 Настройка групповых политик для настройки безопасности системных служб в Windows Server 2003

816585 Применение стандартных шаблонов безопасности в Windows Server 2003