Prihláste sa s kontom Microsoft
Prihláste sa alebo si vytvorte konto.
Dobrý deň,
Vyberte iné konto.
Máte viacero kont
Vyberte konto, s ktorým sa chcete prihlásiť.

Zhrnutie

Nastavenia zabezpečenia a priradenia používateľských práv je možné zmeniť v lokálnych politikách a skupinových politikách, aby sa sprísnilo zabezpečenie radičov domén a členských počítačov. Nevýhodou zvýšeného zabezpečenia je však zavedenie nekompatibilít s klientmi, službami a programami.

Tento článok popisuje nekompatibility, ktoré sa môžu vyskytnúť v klientskych počítačoch so systémom Windows XP alebo v staršej verzii Windowsu, keď zmeníte konkrétne nastavenia zabezpečenia a priradenia používateľských práv v doméne Windows Servera 2003 alebo v staršej doméne Windows Servera.

Informácie o skupinová politika pre Windows 7, Windows Server 2008 R2 a Windows Server 2008 nájdete v nasledujúcich článkoch:

Poznámka: Zostávajúci obsah v tomto článku je špecifický pre Windows XP, Windows Server 2003 a staršie verzie Windowsu.

Windows XP

Ak chcete zvýšiť povedomie o nesprávne nakonfigurovaných nastaveniach zabezpečenia, zmeňte nastavenia zabezpečenia pomocou nástroja skupinová politika Object Editor. Pri používaní editora objektov skupinová politika sú priradenia používateľských práv vylepšené v nasledujúcich operačných systémoch:

  • Windows XP Professional Service Pack 2 (SP2)

  • Windows Server 2003 Service Pack 1 (SP1)

Vylepšená funkcia je dialógové okno, ktoré obsahuje prepojenie na tento článok. Dialógové okno sa zobrazí, keď zmeníte nastavenie zabezpečenia alebo priradenie používateľských práv na nastavenie, ktoré ponúka menšiu kompatibilitu a je prísnejšie. Ak priamo zmeníte rovnaké nastavenie zabezpečenia alebo priradenie používateľských práv pomocou databázy Registry alebo pomocou šablón zabezpečenia, efekt bude rovnaký ako zmena nastavenia v editore objektov skupinová politika. Dialógové okno, ktoré obsahuje prepojenie na tento článok, sa však nezobrazí.

Tento článok obsahuje príklady klientov, programov a operácií, ktoré sú ovplyvnené konkrétnymi nastaveniami zabezpečenia alebo priradeniami používateľských práv. Príklady však nie sú smerodajné pre všetky operačné systémy spoločnosti Microsoft, pre všetky operačné systémy tretích strán alebo pre všetky verzie programov, ktoré sa to týka. Tento článok neobsahuje všetky nastavenia zabezpečenia a priradenia používateľských práv.

Pred ich zavedením do produkčného prostredia odporúčame overiť kompatibilitu všetkých zmien konfigurácie súvisiacich so zabezpečením v testovacej doménovej štruktúre. Skúšobný les musí odrážať produkčný les nasledujúcimi spôsobmi:

  • Verzie operačného systému klienta a servera, klientske a serverové programy, verzie balíkov Service Pack, rýchle opravy, zmeny schémy, skupiny zabezpečenia, členstvá v skupine, povolenia pre objekty v systéme súborov, zdieľané priečinky, databáza Registry, adresárová služba Active Directory, lokálne a skupinová politika nastavenia a typ a umiestnenie počtu objektov

  • Vykonané správcovské úlohy, nástroje na správu, ktoré sa používajú, a operačné systémy, ktoré sa používajú na vykonávanie správcovských úloh

  • Vykonané operácie, napríklad:

    • Overenie prihlásenia do počítača a používateľa

    • Vytváranie nových hesiel používateľmi, počítačmi a správcami

    • Prehľadávania

    • Nastavenie povolení pre systém súborov, pre zdieľané priečinky, databázu Registry a pre zdroje služby Active Directory pomocou editora ACL vo všetkých operačných systémoch klienta vo všetkých doménach kont alebo zdrojov zo všetkých operačných systémov klientov zo všetkých domén konta alebo zdrojov

    • Tlač zo správcovských a nesusediacich kont

Windows Server 2003 SP1

Upozornenia v súbore Gpedit.msc

Aby si zákazníci uvedomili, že upravujú používateľské právo alebo možnosť zabezpečenia, ktorá by mohla mať nepriaznivý vplyv na ich sieť, na gpedit.msc boli pridané dva mechanizmy upozornenia. Keď správcovia upravia právo používateľa, ktoré môže nepriaznivo ovplyvniť celý podnik, zobrazí sa im nová ikona, ktorá pripomína znamienko výnosu. Zobrazí sa im aj upozornenie s prepojením na článok databázy Microsoft Knowledge Base 823659. Text tejto správy je takýto:

Úprava tohto nastavenia môže ovplyvniť kompatibilitu s klientmi, službami a aplikáciami. Ďalšie informácie nájdete v téme <práva používateľa alebo možnosti zabezpečenia, ktoré sa upravujú> (Q823659) Ak ste boli presmerovaní na tento článok databázy Knowledge Base prostredníctvom prepojenia na lokalite Gpedit.msc, uistite sa, že ste si prečítali poskytnuté vysvetlenia a pochopili možné účinky zmeny tohto nastavenia. V nasledujúcom zozname sú uvedené používateľské práva, ktoré obsahujú text upozornenia:

  • Prístup k tomuto počítaču zo siete

  • Lokálne prihlásenie

  • Obísť kontrolu prechodu

  • Povolenie dôveryhodného delegovanie v počítačoch a používateľoch

V nasledujúcom zozname sú uvedené možnosti zabezpečenia s upozornením a kontextové hlásenie:

  • Člen domény: Digitálne šifrovanie alebo podpísanie údajov zabezpečeného kanála (vždy)

  • Člen domény: Vyžaduje sa silný kľúč relácie (Windows 2000 alebo novšia verzia)

  • Radič domény: Požiadavky na podpisovanie servera LDAP

  • Sieťový server spoločnosti Microsoft: Digitálne podpisovanie komunikácie (vždy)

  • Prístup k sieti: Umožňuje anonymný sid / názov prekladu

  • Prístup k sieti: Nepovoliť anonymné enumerácie sam kont a akcií

  • Zabezpečenie siete: Úroveň overenia správcom SIETE LAN

  • Audit: Okamžite vypnite systém, ak nie je možné zapisovať do denníka audity zabezpečenia

  • Prístup k sieti: Požiadavky na podpisovanie klienta LDAP

Ďalšie informácie

Nasledujúce časti popisujú nekompatibility, ktoré sa môžu vyskytnúť pri zmene konkrétnych nastavení v doménach systém Windows NT 4.0, doménach windowsu 2000 a Windows Serveri 2003.

Používateľské práva

Nasledujúci zoznam popisuje právo používateľa, identifikuje nastavenia konfigurácie, ktoré môžu spôsobiť problémy, popisuje, prečo by ste mali použiť právo používateľa a prečo možno budete chcieť odstrániť právo používateľa, a uvádza príklady problémov s kompatibilitou, ktoré sa môžu vyskytnúť pri konfigurácii práva používateľa.

  1. Prístup k tomuto počítaču zo siete

    1. Pozadí

      Možnosť pracovať so vzdialenými počítačmi s Windowsom vyžaduje prístup k tomuto počítaču priamo od používateľa siete. Príklady takýchto sieťových operácií:

      • Replikácia služby Active Directory medzi radičmi domény v spoločnej doméne alebo doménovej štruktúre

      • Požiadavky na overenie radičov domény od používateľov a z počítačov

      • Prístup k zdieľaným priečinkom, tlačiarňam a ďalším systémovým službám, ktoré sú umiestnené vo vzdialených počítačoch v sieti



      Používatelia, počítače a kontá služieb získajú alebo stratia prístup k tomuto počítaču z práva používateľa siete tým, že budú explicitne alebo implicitne pridaní alebo odstránení zo skupiny zabezpečenia, ktorým bolo udelené toto právo používateľa. Napríklad používateľské konto alebo konto počítača môže správca explicitne pridať do vlastnej skupiny zabezpečenia alebo vstavanej skupiny zabezpečenia alebo ju môže operačný systém implicitne pridať do vypočítanej skupiny zabezpečenia, ako sú napríklad Používatelia domény, Overení používatelia alebo Radiče podnikovej domény.

      Používateľské kontá a počítačové kontá majú predvolene prístup k tomuto počítaču od sieťového používateľa priamo pri vypočítaných skupinách, ako sú napríklad Všetci alebo, najlepšie Overení používatelia, a pre radiče domény je skupina radičov podnikovej domény definovaná v predvolených radičoch domény skupinová politika object (GPO).

    2. Riskantné konfigurácie

      Toto sú škodlivé nastavenia konfigurácie:

      • Odstránenie skupiny zabezpečenia podnikových radičov domény priamo od tohto používateľa

      • Odstránenie skupiny Overení používatelia alebo explicitnej skupiny, ktorá umožňuje používateľom, počítačom a kontám služieb používateľovi právo pripojiť sa k počítačom cez sieť

      • Odstránenie všetkých používateľov a počítačov priamo z tohto používateľa

    3. Dôvody na udelenie práva tomuto používateľovi

      • Udelenie prístupu tomuto počítaču zo sieťového používateľa do skupiny podnikových radičov domény spĺňa požiadavky na overovanie, ktoré musí mať replikácia služby Active Directory na replikáciu medzi radičmi domény v rovnakej doménovej štruktúre.

      • Toto používateľské právo umožňuje používateľom a počítačom získať prístup k zdieľaným súborom, tlačiarňam a systémových službám vrátane služby Active Directory.

      • Toto používateľské právo sa vyžaduje, aby používatelia mali prístup k pošte pomocou starších verzií aplikácie Microsoft Outlook Web Access (OWA).

    4. Dôvody na odstránenie tohto používateľa

      • Používatelia, ktorí môžu pripojiť svoje počítače k sieti, majú prístup k prostriedkom na vzdialených počítačoch, pre ktoré majú povolenia. Toto právo používateľa sa napríklad vyžaduje, aby sa používateľ pripojil k zdieľaným tlačiarňam a priečinkom. Ak je toto používateľské právo udelené skupine Všetci a niektoré zdieľané priečinky majú povolenia na zdieľanie aj systém súborov NTFS nakonfigurované tak, aby mala rovnaká skupina prístup na čítanie, každý môže zobrazovať súbory v týchto zdieľaných priečinkoch. Je to však nepravdepodobná situácia pre nové inštalácie Systému Windows Server 2003, pretože predvolené zdieľanie a povolenia NTFS v systéme Windows Server 2003 nezahŕňajú skupinu Všetci. V prípade systémov, ktoré sa inovujú zo systému Microsoft systém Windows NT 4.0 alebo Windows 2000, môže mať toto riziko vyššiu úroveň rizika, pretože predvolené zdieľanie a povolenia systému súborov pre tieto operačné systémy nie sú také obmedzujúce ako predvolené povolenia v systéme Windows Server 2003.

      • Neexistuje žiadny platný dôvod na odstránenie skupiny podnikových radičov domény z tohto práva používateľa.

      • Skupina Všetci sa vo všeobecnosti odstráni v prospech skupiny Overení používatelia. Ak odstránite skupinu Všetci, skupine Overení používatelia musí byť udelené toto právo používateľa.

      • systém Windows NT 4.0 domén, ktoré sa inovujú na Windows 2000, explicitne neudeľujú access tomuto počítaču zo siete priamo skupine Všetci, skupine Overení používatelia alebo skupine Podnikoví radiči domén. Preto keď odstránite skupinu Všetci z politiky domény systém Windows NT 4.0, replikácia služby Active Directory zlyhá s chybovým hlásením "Prístup odmietnutý" po inovácii na Windows 2000. Winnt32.exe v systéme Windows Server 2003 sa vyhne tejto chybnej konfigurácii tým, že udelí skupine podnikových radičov domény tohto používateľa právo pri inovácii systém Windows NT 4.0 primárnych radičov domény (PDCs). Udeľte skupine podnikových radičov domén toto právo, ak nie je prítomná v editore objektov skupinová politika.

    5. Príklady problémov s kompatibilitou

      • Windows 2000 a Windows Server 2003: Replikácia nasledujúcich oblastí zlyhá s chybami Odmietnutý prístup, ako je uvedené v nástrojoch monitorovania, ako sú napríklad REPLMON a REPADMIN alebo replikačné udalosti v denníku udalostí.

        • Oblasť schémy služby Active Directory

        • Oblasť konfigurácie

        • Oblasť domény

        • Oblasť globálneho katalógu

        • Oblasť aplikácie

      • Všetky sieťové operačné systémy spoločnosti Microsoft: Overenie používateľského konta zo vzdialených sieťových klientskych počítačov zlyhá, pokiaľ používateľovi alebo skupine zabezpečenia, ktorých je používateľ členom, nebude udelené toto právo používateľa.

      • Všetky sieťové operačné systémy spoločnosti Microsoft: Overenie konta zo vzdialených sieťových klientov zlyhá, pokiaľ kontu alebo skupine zabezpečenia, do ktorých je konto členom, nebude udelené toto právo používateľa. Tento scenár sa vzťahuje na používateľské kontá, počítačové kontá a kontá služieb.

      • Všetky sieťové operačné systémy spoločnosti Microsoft: Odstránenie všetkých kont z tohto práva používateľa zabráni každému kontu v prihlásení do domény alebo prístupe k sieťovým zdrojom. Ak sa vypočítané skupiny, ako sú napríklad podnikoví radiče domén, všetci alebo overení používatelia, musíte explicitne udeliť tomuto používateľovi právo na kontá alebo skupiny zabezpečenia, ktorých je konto členom na prístup k vzdialeným počítačom cez sieť. Tento scenár sa vzťahuje na všetky používateľské kontá, na všetky kontá počítačov a na všetky kontá služieb.

      • Všetky sieťové operačné systémy spoločnosti Microsoft: Konto lokálneho správcu používa prázdne heslo. Sieťové pripojenie s prázdnymi heslami nie je povolené pre kontá správcu v prostredí domény. Pri tejto konfigurácii môžete očakávať chybové hlásenie Prístup odmietnutý.

  2. Povoliť lokálne prihlásenie

    1. Pozadí

      Používatelia, ktorí sa pokúšajú prihlásiť v konzole počítača s Windowsom (pomocou klávesovej skratky CTRL + ALT + DELETE) a kontá, ktoré sa pokúšajú spustiť službu, musia mať oprávnenia lokálneho prihlásenia v hostiteľskom počítači. Príkladmi lokálnych prihlasovacích operácií sú správcovia, ktorí sa prihlasujú do konzol členských počítačov, alebo radiče domény v celom podniku a používatelia domény, ktorí sa prihlasujú do členských počítačov, aby získali prístup k svojim počítačom pomocou neprivilegovaných kont. Používatelia, ktorí používajú pripojenie vzdialenej pracovnej plochy alebo terminálové služby, musia mať lokálne zapnuté prihlásenie povoliť používateľa priamo v cieľových počítačoch so systémom Windows 2000 alebo Windows XP, pretože tieto režimy prihlásenia sa považujú za lokálne pre hostiteľský počítač. Používatelia, ktorí sa prihlasujú na server, ktorý má povolený terminálový server a ktorí nemajú toto používateľské právo, môžu aj naďalej spustiť vzdialenú interaktívnu reláciu v doménach Systému Windows Server 2003, ak majú právo povoliť prihlásenie prostredníctvom terminálových služieb.

    2. Riskantné konfigurácie

      Toto sú škodlivé nastavenia konfigurácie:

      • Odstránenie správcovských skupín zabezpečenia vrátane operátorov kont, operátorov zálohovania, operátorov tlače alebo operátorov servera a vstavanej skupiny správcov z politiky predvoleného radiča domény.

      • Odstránenie kont služieb používaných súčasťami a programami v členských počítačoch a na radičoch domény v doméne z politiky predvoleného radiča domény.

      • Odstraňujú sa používatelia alebo skupiny zabezpečenia, ktoré sa prihlasujú do konzoly počítačov členov v doméne.

      • Odstraňujú sa kontá služby definované v lokálnej databáze správcu kont zabezpečenia (SAM) počítačov členov alebo počítačov pracovných skupín.

      • Odstránenie vstavaných správcovských kont, ktoré sa overujú cez terminálové služby spustené na radiči domény.

      • Pridanie všetkých používateľských kont v doméne explicitne alebo implicitne prostredníctvom skupiny Všetci do práva na lokálne prihlásenie odmietnuť. Táto konfigurácia zabráni používateľom prihlásiť sa do ľubovoľného členského počítača alebo do ľubovoľného radiča domény v doméne.

    3. Dôvody na udelenie práva tomuto používateľovi

      • Používatelia musia mať povolenie prihlásenia lokálne používateľa právo na prístup ku konzole alebo pracovnej ploche počítača pracovnej skupiny, člena počítača alebo radiča domény.

      • Používatelia musia mať tohto používateľa právo prihlásiť sa cez reláciu terminálových služieb, ktorá je spustená v počítači s členmi systému Windows 2000 alebo radiči domény.

    4. Dôvody na odstránenie tohto používateľa

      • Ak sa nepodarí obmedziť prístup konzoly k legitímnym používateľským kontám, neoprávnení používatelia si môžu stiahnuť a spustiť škodlivý kód na zmenu ich používateľských práv.

      • Odstránenie práva povoliť prihlásenie lokálneho používateľa zabráni neoprávneným prihláseniam na konzolách počítačov, ako sú napríklad radiče domény alebo aplikačné servery.

      • Odstránenie tohto prihlasovacieho práva zabráni kontám, ktoré nie sú doménami, prihlásiť sa do konzoly počítačov členov v doméne.

    5. Príklady problémov s kompatibilitou

      • Terminálové servery systému Windows 2000: Na prihlásenie na terminálové servery systému Windows 2000 sa vyžaduje povolenie prihlásenia lokálneho používateľského práva.

      • systém Windows NT 4.0, Windows 2000, Windows XP alebo Windows Server 2003: Používateľské kontá musia mať toto používateľské právo prihlásiť sa v konzole počítačov so systémom systém Windows NT 4.0, Windows 2000, Windows XP alebo Windows Server 2003.

      • systém Windows NT 4.0 a novších: Ak v počítačoch so systémom systém Windows NT 4.0 a novším pridáte právo lokálneho používateľa povoliť prihlásenie, ale implicitne alebo explicitne udelíte právo na lokálne prihlásenie odmietnuť, kontá sa nebudú môcť prihlásiť do konzoly radičov domény.

  3. Obísť kontrolu prechodu

    1. Pozadí

      Obídenie prechádzať kontrolu používateľa právo umožňuje používateľovi prehľadávať priečinky v systéme súborov NTFS alebo v databáze Registry bez kontroly Traverse zložky špeciálny prístup povolenie. Právo používateľa na kontrolu prechodu obídením nepovoľuje používateľovi uviesť obsah priečinka. Umožňuje používateľovi prechádzať iba cez jeho priečinky.

    2. Riskantné konfigurácie

      Toto sú škodlivé nastavenia konfigurácie:

      • Odstránenie kont, ktoré nie sú správcovské a prihlasujú sa do počítačov terminálových služieb systému Windows 2000 alebo počítačov terminálových služieb systému Windows Server 2003, ktoré nemajú povolenia na prístup k súborom a priečinkom v systéme súborov.

      • Odstráni sa skupina Všetci zo zoznamu subjektov zabezpečenia, ktorí majú tohto používateľa predvolene správne. Operačné systémy Windows, a tiež mnoho programov, sú navrhnuté s očakávaním, že každý, kto môže legitímne prístup k počítaču bude mať obídenie prechádzať kontrolu užívateľa právo. Preto odstránenie skupiny Všetci zo zoznamu subjektov zabezpečenia, ktorí majú tohto používateľa v predvolenom nastavení správne, môže viesť k nestabilite operačného systému alebo k zlyhaniu programu. Je lepšie, ak toto nastavenie ponecháte predvolene.

    3. Dôvody na udelenie práva

      tomuto používateľovi Predvolené nastavenie pre obídenie prechádzať kontrolu používateľa právo je umožniť komukoľvek obísť prechádzať kontrolu. Pre skúsených správcov systému Windows ide o očakávané správanie a podľa toho nakonfigurujú zoznamy riadenia prístupu k systému súborov (SACL). Jediný scenár, kedy môže predvolená konfigurácia viesť k nehode, je, ak správca, ktorý konfiguruje povolenia, nerozumie správaniu a očakáva, že používatelia, ktorí nemajú prístup k nadradeným priečinkom, nebudú mať prístup k obsahu žiadnych podriadených priečinkov.

    4. Dôvody na odstránenie tohto

      používateľa Ak chcete zabrániť prístupu k súborom alebo priečinkom v systéme súborov, organizácie, ktoré sa veľmi obávajú o zabezpečenie, môžu byť v pokušení odstrániť skupinu Všetci alebo dokonca skupinu Používatelia zo zoznamu skupín, ktoré majú obídenie prechádzať kontrolou používateľa vpravo.

    5. Príklady problémov s kompatibilitou

      • Windows 2000, Windows Server 2003: Ak obídenie prechádzať kontrolu používateľa právo je odstránený alebo je nesprávne nakonfigurovaný v počítačoch so systémom Windows 2000 alebo Windows Server 2003, skupinová politika nastavenia v priečinku SYVOL nebude replikovať medzi radičmi domény v doméne.

      • Windows 2000, Windows XP Professional, Windows Server 2003: Počítače so systémom Windows 2000, Windows XP Professional alebo Windows Server 2003 zaznamenajú udalosti 1000 a 1202 a nebudú môcť použiť politiku počítača a politiku používateľa, keď sa z stromu SYSVOL odstránia požadované povolenia systému súborov, ak sa odstráni alebo sa nesprávne konfiguruje kontrola prechodu obídenia používateľa.

         

      • Windows 2000, Windows Server 2003: V počítačoch s Windowsom 2000 alebo Windows Serverom 2003 karta Kvóta vo Windows Prieskumníkovi zmizne, keď zobrazíte vlastnosti na zväzku.

      • Windows 2000: Správcom, ktorí sa neprihlasujú na terminálový server systému Windows 2000, sa môže zobraziť nasledujúce chybové hlásenie:

        Userinit.exe chyba aplikácie. Aplikácii sa nepodarilo správne inicializovať 0xc0000142 kliknutím na tlačidlo OK ukončite aplikáciu.

      • systém Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Používatelia, ktorých počítače používajú systém Windows NT 4.0, Windows 2000, Windows XP alebo Windows Server 2003, nemusia mať prístup k zdieľaným priečinkom alebo súborom v zdieľaných priečinkoch a ak im nie je udelené právo obídenie prechádzať kontrolou používateľa, môže sa im zobraziť chybové hlásenie Prístup odmietnutý.


         

      • systém Windows NT 4.0: V počítačoch so systémom systém Windows NT 4.0 odstránenie obídenia prechádzania cez prechod doprava používateľovi spôsobí, že kópia súboru presunie streamy súborov. Ak odstránite toto právo používateľa, keď sa súbor skopíruje z klienta systému Windows alebo z klienta Macintosh do radiča domény systém Windows NT 4.0, ktorý používa služby pre Macintosh, cieľový stream súboru sa stratí a súbor sa zobrazí ako súbor iba s textom.

      • Microsoft Windows 95, Microsoft Windows 98: V klientskom počítači so systémom Windows 95 alebo Windows 98, čisté použitie * / home príkaz zlyhá s "Prístup odmietnutý" chybové hlásenie, ak skupina Overení používatelia nie je udelená obídenie prechádzať kontrolu používateľa právo.

      • Outlook Web Access: Používatelia, ktorí nie sú správcami, sa nebudú môcť prihlásiť do aplikácie Microsoft Outlook Web Access a v prípade, že im nie je udelené povolenie obísť kontrolu používateľa, sa im zobrazí chybové hlásenie Prístup odmietnutý.

Nastavenie zabezpečenia

Nasledujúci zoznam identifikuje nastavenie zabezpečenia a vnorený zoznam obsahuje popis nastavenia zabezpečenia, identifikuje nastavenia konfigurácie, ktoré môžu spôsobiť problémy, popisuje, prečo by ste mali použiť nastavenie zabezpečenia, a potom popisuje dôvody, prečo možno budete chcieť odstrániť nastavenie zabezpečenia. Vnorený zoznam potom poskytuje symbolický názov nastavenia zabezpečenia a cestu k databáze Registry nastavenia zabezpečenia. Nakoniec sa uvádzajú príklady problémov s kompatibilitou, ktoré sa môžu vyskytnúť pri konfigurácii nastavenia zabezpečenia.

  1. Audit: Okamžite vypnite systém, ak nie je možné zapisovať do denníka audity zabezpečenia

    1. Pozadie

      • Audit: Vypnúť systém okamžite, ak nie je možné zapisovať do denníka audity zabezpečenia nastavenie určuje, či systém vypne, ak nemôžete zapisovať udalosti zabezpečenia. Toto nastavenie sa vyžaduje pre hodnotenie C2 programu Trusted Computer Security Evaluation Criteria (TCSEC) a na vyhodnocovanie spoločných kritérií zabezpečenia informačných technológií na zabránenie auditovateľným udalostiam, ak systém auditu nedokáže tieto udalosti zaznamenať. Ak systém auditovania zlyhá, systém sa vypne a zobrazí sa chybové hlásenie Stop.

      • Ak počítač nedokáže zaznamenať udalosti do denníka zabezpečenia, po incidente zabezpečenia nemusia byť k dispozícii na kontrolu kritické dôkazy alebo dôležité informácie o riešení problémov.

    2. Riskantná konfigurácia

      Toto je škodlivé nastavenie konfigurácie: Audit: Okamžite vypnite systém, ak nie je možné zapisovať do denníka nastavenie auditov zabezpečenia a veľkosť denníka udalostí zabezpečenia je obmedzená možnosťou Neprepísať udalosti (vymazať manuálne vymazať denník), možnosťou Prepísať udalosti podľa potreby alebo možnosťou Prepísať udalosti staršie ako počet dní v Zobrazovač udalostí. Informácie o konkrétnych rizikách pre počítače s pôvodnou vydanou verziou Systému Windows 2000, Windows 2000 Service Pack 1 (SP1), Windows 2000 SP2 alebo Windows 2000 SP3 nájdete v časti Príklady problémov s kompatibilitou.

    3. Dôvody na povolenie tohto nastavenia

      Ak počítač nedokáže zaznamenať udalosti do denníka zabezpečenia, po incidente zabezpečenia nemusia byť k dispozícii na kontrolu kritické dôkazy alebo dôležité informácie o riešení problémov.

    4. Dôvody na vypnutie tohto nastavenia

      • Povolenie auditu: Okamžite vypnite systém, ak nie je možné zapisovať do denníka audity zabezpečenia, systém sa zastaví, ak sa z akéhokoľvek dôvodu nedá zaznamenať audit zabezpečenia. Udalosť sa zvyčajne nedá zaznamenať, keď je denník auditu zabezpečenia plný a jeho zadaná metóda uchovávania je buď možnosť Neprepísať udalosti (vymazať denník manuálne) alebo možnosť Prepísať udalosti staršie ako počet dní.

      • Administratívne zaťaženie spojené s povolením auditu: Okamžité vypnutie systému, ak nie je možné zaznamenať nastavenie auditov zabezpečenia, môže byť veľmi vysoké, najmä ak pre denník zabezpečenia zapnete možnosť Neprepisovať udalosti (vymazať denník manuálne). Toto nastavenie stanovuje individuálnu zodpovednosť za činnosti operátorov. Správca môže napríklad obnoviť povolenia pre všetkých používateľov, počítače a skupiny v organizačnej jednotke, v ktorej bolo auditovanie povolené pomocou vstavaného konta správcu alebo iného zdieľaného konta, a potom zamietnuť, aby takéto povolenia obnovil. Povolením nastavenia sa však zníži robustnosť systému, pretože server môže byť nútený vypnúť ho drvivou väčšinou pri prihlasovaní a s inými udalosťami zabezpečenia, ktoré sú zapísané do denníka zabezpečenia. Okrem toho, pretože vypnutie nie je pôvabné, nenapraviteľné poškodenie operačného systému, programov alebo údajov môže mať za následok. Kým NTFS zaručuje, že integrita systému súborov je zachovaná počas neželané vypnutie systému, nemôže zaručiť, že každý údajový súbor pre každý program bude stále v použiteľnej podobe pri reštartovaní systému.

    5. Symbolický názov:

      CrashOnAuditFail

    6. Cesta k databáze Registry:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

    7. Príklady problémov s kompatibilitou

      • Windows 2000: Z dôvodu chyby môžu počítače s pôvodnou vydanou verziou systému Windows 2000, Windows 2000 SP1, Windows 2000 SP2 alebo Windows Server SP3 zastaviť zapisovanie udalostí do denníka pred dosiahnutím veľkosti zadanej v možnosti Maximálna veľkosť denníka pre denník udalostí zabezpečenia. Táto chyba je opravená vo Windowse 2000 Service Pack 4 (SP4). Skôr než zvážite povolenie tohto nastavenia, uistite sa, že radiče domény systému Windows 2000 majú nainštalovaný balík Windows 2000 Service Pack 4.

         

      • Windows 2000, Windows Server 2003: Počítače so systémom Windows 2000 alebo Windows Server 2003 môžu prestať reagovať a potom sa môžu spontánne reštartovať, ak je zapnutý audit: Okamžite vypnite systém, ak nie je možné zapisovať do denníka nastavenia auditov zabezpečenia, denník zabezpečenia je plný a existujúca položka denníka udalostí sa nedá prepísať. Po reštartovaní počítača sa zobrazí nasledujúce chybové hlásenie Stop:

        STOP: C0000244 {Audit zlyhal}
        Pokus o vygenerovanie auditu zabezpečenia zlyhal.

        Ak ju chcete obnoviť, správca sa musí prihlásiť, archivovať denník zabezpečenia (voliteľné), vymazať denník zabezpečenia a potom túto možnosť obnoviť (voliteľné a podľa potreby).

      • Microsoft Network Client pre MS-DOS, Windows 95, Windows 98, systém Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Správcovia, ktorí sa pokúšajú prihlásiť do domény, dostanú nasledujúce chybové hlásenie:

        Vaše konto je nakonfigurované tak, aby vám zabránilo v používaní tohto počítača. Skúste iný počítač.

      • Windows 2000: V počítačoch s Windowsom 2000 sa používatelia, ktorí nie sú správcami, nebudú môcť prihlásiť na servery vzdialeného prístupu a zobrazí sa im chybové hlásenie podobné nasledujúcemu:

        Neznámy používateľ alebo nesprávne heslo

      • Windows 2000: V radičoch domény systému Windows 2000 sa služba Intersite Messaging (Ismserv.exe) zastaví a nedá sa reštartovať. DCDIAG nahlási chybu ako "failed test services ISMserv" a identifikácia udalosti 1083 bude zaregistrovaná v denníku udalostí.

      • Windows 2000: V radičoch domény systému Windows 2000 replikácia služby Active Directory zlyhá a ak je denník udalostí zabezpečenia plný, zobrazí sa hlásenie "Prístup odmietnutý".

      • Microsoft Exchange 2000: Servery so systémom Exchange 2000 nebudú môcť pripojiť databázu ukladacieho priestoru informácií a udalosť 2102 bude zaregistrovaná v denníku udalostí.

      • Outlook, Outlook Web Access: Používatelia, ktorí nie sú správcami, nebudú mať prístup k svojej pošte cez Microsoft Outlook ani cez Microsoft Outlook Web Access a zobrazí sa im chyba 503.

  2. Radič domény: Požiadavky na podpisovanie servera LDAP

    1. Pozadí

      Radič domény: Nastavenie zabezpečenia požiadaviek na podpisovanie servera LDAP určuje, či server LDAP (Lightweight Directory Access Protocol) vyžaduje klientov LDAP na vyjednať podpisovanie údajov. Možné hodnoty pre toto nastavenie politiky sú nasledovné:

      • Žiadne: Podpisovanie údajov sa nevyžaduje na väzbu so serverom. Ak klient požaduje podpisovanie údajov, server ich podporuje.

      • Vyžadovať podpisovanie: Ak sa nepoužíva protokol TLS/SSL (Transport Layer Security/Secure Socket Layer), musí byť dohodnutá možnosť podpisovania údajov LDAP.

      • nie je definované: Toto nastavenie nie je povolené alebo zakázané.

    2. Riskantné konfigurácie

      Toto sú škodlivé nastavenia konfigurácie:

      • Povolenie vyžadovať prihlásenie do prostredí, kde klienti nepodporujú podpisovanie LDAP alebo kde v klientovi nie je povolené podpisovanie LDAP na strane klienta

      • Použitie šablóny zabezpečenia Windows 2000 alebo Windows Server 2003 Hisecdc.inf v prostrediach, v ktorých klienti nepodporujú podpisovanie LDAP alebo kde nie je povolené podpisovanie LDAP na strane klienta

      • Použitie šablóny zabezpečenia Windows 2000 alebo Windows Server 2003 Hisecws.inf v prostrediach, v ktorých klienti nepodporujú podpisovanie LDAP alebo kde nie je povolené podpisovanie LDAP na strane klienta

    3. Dôvody na povolenie tohto nastavenia

      Nepodpísaný sieťový prenos je náchylný na útoky typu man-in-the-middle, pri ktorých votrelec zachytáva pakety medzi klientom a serverom, upravuje pakety a potom ich prepošle na server. Keď sa na serveri LDAP vyskytne toto správanie, útočník môže spôsobiť, že server bude rozhodovať na základe nepravdivých dotazov z klienta LDAP. Toto riziko v podnikovej sieti môžete znížiť implementáciou silných fyzických bezpečnostných opatrení na ochranu sieťovej infraštruktúry. Režim hlavičky overenia protokolu IPSec (Internet Protocol security) môže zabrániť útokom typu man-in-the-middle. Režim hlavičky overovania vykonáva vzájomné overovanie a integritu paketov pre prenosy IP.

    4. Dôvody na vypnutie tohto nastavenia

      • Klienti, ktorí nepodporujú podpisovanie LDAP, nebudú môcť vykonávať dotazy LDAP voči radičom domény a globálnym katalógom, ak sa prerokuje overovanie NTLM a ak v radičoch domény systému Windows 2000 nie sú nainštalované správne balíky Service Pack.

      • Sieťové sledovania prenosu LDAP medzi klientmi a servermi budú šifrované. To sťažuje preskúmanie konverzácií LDAP.

      • Servery so systémom Windows 2000 musia mať windows 2000 Service Pack 3 (SP3) alebo nainštalovaný, keď sú spravované s programami, ktoré podporujú podpisovanie LDAP spúšťané z klientskych počítačov so systémom Windows 2000 SP4, Windows XP alebo Windows Server 2003.  

    5. Symbolický názov:

      LDAPServerIntegrity (LDAPServerIntegrity)

    6. Cesta k databáze Registry:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

    7. Príklady problémov s kompatibilitou

      • Jednoduché väzby zlyhajú a zobrazí sa nasledujúce chybové hlásenie:

        Ldap_simple_bind_s() zlyhalo: Vyžaduje sa silné overovanie.

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: V klientoch so systémom Windows 2000 SP4, Windows XP alebo Windows Server 2003 nebudú niektoré nástroje správy služby Active Directory správne pracovať s radičmi domény, ktoré používajú verzie systému Windows 2000, ktoré sú staršie ako SP3 pri vyjednávaní overovania NTLM.

         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: V klientoch so systémom Windows 2000 SP4, Windows XP alebo Windows Server 2003 niektoré nástroje správy služby Active Directory, ktoré sa zameriavajú na radiče domény, ktoré používajú verzie systému Windows 2000 staršie ako SP3, nebudú fungovať správne, ak používajú IP adresy (napríklad: "dsa.msc /server=x.x.x.x", kde
        x.x.x.x je IP adresa).


         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: V klientoch so systémom Windows 2000 SP4, Windows XP alebo Windows Server 2003 niektoré nástroje správy služby Active Directory, ktoré sa zameriavajú na radiče domény, ktoré používajú verzie systému Windows 2000 staršie ako SP3, nebudú fungovať správne.

         

  3. Člen domény: Vyžaduje sa silný kľúč relácie (Windows 2000 alebo novšia verzia)

    1. Pozadie

      • Člen domény: Vyžadovanie silného nastavenia kľúča relácie (Windows 2000 alebo novšia verzia) určuje, či je možné vytvoriť zabezpečený kanál pomocou radiča domény, ktorý nemôže šifrovať zabezpečený prenos kanálov pomocou silného 128-bitového kľúča relácie. Zapnutím tohto nastavenia sa zabráni vytvoreniu zabezpečeného kanála s ľubovoľným radičom domény, ktorý nemôže šifrovať údaje zabezpečeného kanála pomocou silného kľúča. Zakázanie tohto nastavenia umožňuje 64-bitové klávesy relácie.

      • Pred povolením tohto nastavenia na pracovnej stanici člena alebo na serveri musia byť všetky radiče domény v doméne, do ktorej člen patrí, schopné šifrovať údaje zabezpečeného kanála pomocou silného 128-bitového kľúča. To znamená, že všetky tieto radiče domény musia mať windows 2000 alebo novšiu verziu.

    2. Riskantná konfigurácia

      Povolenie člena domény: Nastavenie silného kľúča relácie (Windows 2000 alebo novšia verzia) je škodlivé nastavenie konfigurácie.

    3. Dôvody na povolenie tohto nastavenia

      • Kľúče relácie, ktoré sa používajú na vytvorenie zabezpečenej komunikácie medzi členskými počítačmi a radičmi domény, sú v systéme Windows 2000 oveľa silnejšie ako v starších verziách operačných systémov Microsoft.

      • Ak je to možné, je dobré využiť tieto silnejšie kľúče relácie na ochranu zabezpečenej komunikácie kanála pred odpočúvaním a z relácie únos sieťových útokov. Odpočúvanie je forma škodlivého útoku, pri ktorom sa údaje siete čítajú alebo menia pri prenose. Údaje možno upraviť tak, aby skryli alebo zmenili odosielateľa alebo ho presmerovali.

      Dôležité Počítač so systémom Windows Server 2008 R2 alebo Windows 7 podporuje pri používaní zabezpečených kanálov len silné kľúče. Toto obmedzenie zabraňuje dôveryhodnosti medzi akoukoľvek doménou založenou na systém Windows NT 4.0 a ľubovoľnou doménou založenou na systéme Windows Server 2008 R2. Okrem toho toto obmedzenie blokuje členstvo v doméne založenej na systém Windows NT 4.0 počítačov so systémom Windows 7 alebo Windows Server 2008 R2 a naopak.

    4. Dôvody na vypnutie tohto nastavenia

      Doména obsahuje počítače s členmi, v ktorých sú spustené iné operačné systémy ako Windows 2000, Windows XP alebo Windows Server 2003.

    5. Symbolický názov:

      StrongKey (SilnýKľúč)

    6. Cesta k databáze Registry:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

    7. Príklady problémov

      s kompatibilitou systém Windows NT 4.0: V počítačoch s systém Windows NT 4.0 zlyhá obnovenie zabezpečených kanálov vzťahov dôvery medzi doménami systém Windows NT 4.0 a Windows 2000 s NLTEST. Zobrazí sa chybové hlásenie Prístup odmietnutý:

      Vzťah dôvery medzi primárnou doménou a dôveryhodnou doménou zlyhal.

      Windows 7 a Server 2008 R2: Pre Windows 7 a novšie verzie a Windows Server 2008 R2 a novšie verzie, toto nastavenie nie je poctený dlhšie a silný kľúč sa používa vždy. Z tohto dôvodu dôveryhodnosti s doménami systém Windows NT 4.0 už nefungujú.

  4. Člen domény: Digitálne šifrovanie alebo podpísanie údajov zabezpečeného kanála (vždy)

    1. Pozadie

      • Povolenie člena domény: Digitálne šifrovanie alebo podpísanie údajov zabezpečeného kanála (vždy) zabraňuje vytvoreniu zabezpečeného kanála s ľubovoľným radičom domény, ktorý nemôže podpísať alebo zašifrovať všetky údaje zabezpečeného kanála. Na ochranu overovacích prenosov pred útokmi typu man-in-the-middle, replay útokmi a inými druhmi sieťových útokov počítače s Windowsom vytvárajú komunikačný kanál, ktorý sa prostredníctvom služby Net Logon nazýva zabezpečený kanál na overenie počítačových kont. Zabezpečené kanály sa používajú aj vtedy, keď sa používateľ v jednej doméne pripojí k sieťovému prostriedku vo vzdialenej doméne. Toto viacdoménové overovanie alebo odovzdávajúce overovanie umožňuje počítaču so systémom Windows, ktorý sa pripojil k doméne, prístup k databáze používateľských kont vo svojej doméne a v akejkoľvek dôveryhodnej doméne.

      • Ak chcete povoliť člena domény: Nastavenie údajov zabezpečeného kanála (vždy) digitálne šifrovať alebo podpisovať v počítači s členmi, všetky radiče domény v doméne, do ktorej člen patrí, musia mať možnosť podpísať alebo šifrovať všetky údaje zabezpečeného kanála. To znamená, že všetky tieto radiče domény musia byť spustené systém Windows NT 4.0 s balíkom Service Pack 6a (SP6a) alebo novším.

      • Povolenie člena domény: Nastavenie digitálneho šifrovania alebo podpísania údajov zabezpečeného kanála (vždy) automaticky umožní členovi domény: Digitálne šifrovanie alebo podpísanie údajov zabezpečeného kanála (ak je to možné) nastavenie.

    2. Riskantná konfigurácia

      Povolenie člena domény: Digitálne šifrovanie alebo podpísanie údajov zabezpečeného kanála (vždy) v doménach, kde nie všetci radiči domény môžu podpísať alebo šifrovať údaje zabezpečeného kanála, je škodlivým nastavením konfigurácie.

    3. Dôvody na povolenie tohto nastavenia

      Nepodpísaný sieťový prenos je náchylný na útoky typu man-in-the-middle, kde votrelec zachytáva pakety medzi serverom a klientom a potom ich upraví pred ich preposlaním klientovi. Keď sa toto správanie vyskytuje na serveri LDAP (Lightweight Directory Access Protocol), votrelec môže spôsobiť, že klient rozhodne, ktoré sú založené na nepravdivých záznamoch z adresára LDAP. Riziko takéhoto útoku na podnikovú sieť môžete znížiť implementáciou silných fyzických bezpečnostných opatrení na ochranu sieťovej infraštruktúry. Okrem toho implementácia režimu hlavičiek overenia internetového protokolu (IPSec) môže zabrániť útokom typu man-in-the-middle. Tento režim vykonáva vzájomné overovanie a integritu paketov pre prenosy IP.

    4. Dôvody na vypnutie tohto nastavenia

      • Počítače v lokálnych alebo externých doménach podporujú šifrované zabezpečené kanály.

      • Nie všetky radiče domény majú príslušné úrovne revízie balíka Service Pack na podporu šifrovaných zabezpečených kanálov.

    5. Symbolický názov:

      StrongKey (SilnýKľúč)

    6. Cesta k databáze Registry:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

    7. Príklady problémov s kompatibilitou

      • systém Windows NT 4.0: Členské počítače s Windowsom 2000 sa nebudú môcť pripojiť k doméne systém Windows NT 4.0 a zobrazí sa nasledujúce chybové hlásenie:

        Konto nie je oprávnené prihlásiť sa z tejto stanice.

        Ak chcete získať ďalšie informácie, kliknite na nasledujúce číslo článku a pozrite si článok v databáze Microsoft Knowledge Base:

        281648 Chybové hlásenie: Konto nie je oprávnené prihlásiť sa z tejto stanice
         

      • systém Windows NT 4.0: domény systém Windows NT 4.0 nebudú môcť vytvoriť dôveru na úrovni nadol s doménou systému Windows 2000 a zobrazí sa nasledujúce chybové hlásenie:

        Konto nie je oprávnené prihlásiť sa z tejto stanice.

        Existujúce dôveryhodnosti na úrovni down-level tiež nemusia overiť používateľov z dôveryhodnej domény. Niektorým používateľom sa môžu vyskytnúť problémy pri prihlasovaní do domény a môže sa zobraziť chybové hlásenie s informáciou, že klient nemôže nájsť doménu.

      • Windows XP: Klienti systému Windows XP, ktorí sú pripojení k doménam systém Windows NT 4.0, nebudú môcť overiť pokusy o prihlásenie a môže sa zobraziť nasledujúce chybové hlásenie alebo môžu byť v denníku udalostí zaregistrované nasledujúce udalosti:

        Systém Windows sa nemôže pripojiť k doméne, pretože radič domény je nedostupný alebo je inak nedostupný, alebo sa nenašlo konto počítača

      • Microsoft Network: Klientom siete Microsoft Network sa zobrazí niektoré z týchto chybových hlásení:

        Prihlásenie zlyhalo: neznáme meno používateľa alebo nesprávne heslo.

        Pre zadanú reláciu prihlásenia nie je k dispozícii žiadny kľúč relácie používateľa.

  5. Sieťový klient spoločnosti Microsoft: Digitálne podpisovanie komunikácie (vždy)

    1. Pozadí

      Server Message Block (SMB) je protokol zdieľania zdrojov, ktorý podporujú mnohé operačné systémy spoločnosti Microsoft. Je základom základného sieťového vstupného/výstupného systému (NetBIOS) a mnohých ďalších protokolov. Podpisovanie SMB overuje používateľa aj server, ktorý hosťuje údaje. Ak niektorá zo strán zlyhá proces overenia, prenos údajov sa nevykoná.

      Povolenie podpisovania SMB sa začína počas rokovaní o protokole SMB. Politiky podpisovania SMB určujú, či počítač vždy digitálne podpisuje komunikáciu klienta.

      Overovací protokol SMB systému Windows 2000 podporuje vzájomné overovanie. Vzájomné overovanie uzatvára útok "man-in-the-middle". Overovací protokol SMB systému Windows 2000 podporuje aj overovanie správ. Overovanie správ pomáha predchádzať útokom aktívnych správ. Ak chcete toto overenie poskytnúť, podpis SMB vloží digitálny podpis do každej SMB. Každý klient a server overia digitálny podpis.

      Ak chcete používať podpisovanie SMB, musíte povoliť podpisovanie SMB alebo vyžadovať podpisovanie SMB v klientovi SMB aj na serveri SMB. Ak je na serveri povolené podpisovanie SMB, klienti, ktorí majú povolené podpisovanie SMB, používajú protokol podpisovania paketov počas všetkých nasledujúcich relácií. Ak sa vyžaduje podpisovanie SMB na serveri, klient nemôže vytvoriť reláciu, pokiaľ klient nie je povolený alebo potrebný na podpisovanie SMB.


      Povolenie digitálneho prihlasovania do sietí s vysokým zabezpečením pomáha zabrániť zosobneniu klientov a serverov. Tento druh zosobnenia je známy ako relácia únos. Útočník, ktorý má prístup k rovnakej sieti ako klient alebo server, používa nástroje na únos relácie na prerušenie, ukončenie alebo krádež prebiehajúcej relácie. Útočník mohol zachytiť a upraviť nepodpísané pakety SMB, upraviť prenosy a potom ho preposlať tak, aby server mohol vykonávať nechcené akcie. Alebo útočník môže predstavovať ako server alebo ako klient po legitímnom overení a potom získať neoprávnený prístup k údajom.

      Protokol SMB, ktorý sa používa na zdieľanie súborov a zdieľanie tlače v počítačoch so systémom Windows 2000 Server, Windows 2000 Professional, Windows XP Professional alebo Windows Server 2003, podporuje vzájomné overovanie. Vzájomné overovanie zatvorí útoky relácie únosu a podporuje overovanie správ. Preto zabraňuje útokom typu man-in-the-middle. Podpisovanie SMB poskytuje toto overenie umiestnením digitálneho podpisu do každej SMB. Klient a server potom overia podpis.

      Poznámky

      • Ako alternatívne protiopatrenia môžete povoliť digitálne podpisy pomocou protokolu IPSec, aby ste pomohli ochrániť všetky sieťové prenosy. Existujú hardvérové urýchľovače šifrovania IPSec a podpisovania, ktoré môžete použiť na minimalizovanie vplyvu procesora servera na výkon. Neexistujú žiadne takéto urýchľovače, ktoré sú k dispozícii pre podpisovanie SMB.

        Ďalšie informácie nájdete v kapitole o komunikácii digitálneho podpisu servera na webovej lokalite microsoft MSDN.

        Konfigurácia podpisovania SMB prostredníctvom editora objektov skupinová politika, pretože zmena hodnoty lokálnej databázy Registry nemá žiadny vplyv, ak existuje prepísaná politika domény.

      • V systémoch Windows 95, Windows 98 a Windows 98 Second Edition používa klient adresárových služieb podpisovanie SMB pri overovaní pomocou serverov Windows Server 2003 pomocou overovania NTLM. Títo klienti však nepoužívajú podpisovanie SMB pri overovaní pomocou týchto serverov pomocou overovania NTLMv2. Servery systému Windows 2000 navyše nereagujú na žiadosti o podpisovanie SMB od týchto klientov. Ďalšie informácie nájdete v položke 10: Zabezpečenie siete: Úroveň overenia správcom siete Lan Manager.

    2. Riskantná konfigurácia

      Toto je škodlivé nastavenie konfigurácie: Opustenie sieťového klienta spoločnosti Microsoft: nastavenie digitálneho podpisovania komunikácie (vždy) a sieťového klienta spoločnosti Microsoft: Nastavenie digitálneho podpisovania komunikácie (ak server súhlasí) nastavené na možnosť Nedefinované alebo vypnuté. Tieto nastavenia umožňujú presmerovaniu odosielať heslá vo formáte obyčajného textu serverom mimo SMB, ktoré nepodporujú šifrovanie hesla počas overovania.

    3. Dôvody na povolenie tohto nastavenia

      Povolenie sieťového klienta spoločnosti Microsoft: Digitálne podpisovanie komunikácie (vždy) vyžaduje, aby klienti podpísali prenosY SMB pri kontaktovaní serverov, ktoré nevyžadujú podpisovanie SMB. To robí klientov menej citlivé na relácie únos útoky.

    4. Dôvody na vypnutie tohto nastavenia

      • Povolenie sieťového klienta spoločnosti Microsoft: Digitálne podpísanie komunikácie (vždy) zabraňuje klientom komunikovať s cieľovými servermi, ktoré nepodporujú podpisovanie SMB.

      • Konfigurácia počítačov na ignorovanie všetkej nepodpísanej komunikácie SMB zabraňuje pripojeniu starších programov a operačných systémov.

    5. Symbolický názov:

      RequireSMBSignRdr

    6. Cesta k databáze Registry:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

    7. Príklady problémov s kompatibilitou

      • systém Windows NT 4.0: Nebudete môcť obnoviť zabezpečený kanál dôveryhodnosti medzi doménou Systému Windows Server 2003 a doménou systém Windows NT 4.0 pomocou NLTEST alebo NETDOM a zobrazí sa chybové hlásenie Prístup odmietnutý.

      • Windows XP: Kopírovanie súborov z klientov systému Windows XP na servery so systémom Windows 2000 a servery so systémom Windows Server 2003 môže trvať dlhšie.

      • Nebudete môcť priradiť sieťovú jednotku z klienta s týmto nastavením povoleným a zobrazí sa nasledujúce chybové hlásenie:

        Konto nie je oprávnené prihlásiť sa z tejto stanice.

    8. Požiadavky na

      reštartovanie Reštartujte počítač alebo reštartujte službu Workstation. Ak to chcete urobiť, zadajte do príkazového riadka nasledujúce príkazy. Po zadaní jednotlivých príkazov stlačte kláves Enter.

      pracovná stanica
      net stop pracovná stanica net start

  6. Sieťový server spoločnosti Microsoft: Digitálne podpisovanie komunikácie (vždy)

    1. Pozadie

      • Server Messenger Block (SMB) je protokol zdieľania zdrojov, ktorý podporujú mnohé operačné systémy spoločnosti Microsoft. Je základom základného sieťového vstupného/výstupného systému (NetBIOS) a mnohých ďalších protokolov. Podpisovanie SMB overuje používateľa aj server, ktorý hosťuje údaje. Ak niektorá zo strán zlyhá proces overenia, prenos údajov sa nevykoná.

        Povolenie podpisovania SMB sa začína počas rokovaní o protokole SMB. Politiky podpisovania SMB určujú, či počítač vždy digitálne podpisuje komunikáciu klienta.

        Overovací protokol SMB systému Windows 2000 podporuje vzájomné overovanie. Vzájomné overovanie uzatvára útok "man-in-the-middle". Overovací protokol SMB systému Windows 2000 podporuje aj overovanie správ. Overovanie správ pomáha predchádzať útokom aktívnych správ. Ak chcete toto overenie poskytnúť, podpis SMB vloží digitálny podpis do každej SMB. Každý klient a server overia digitálny podpis.

        Ak chcete používať podpisovanie SMB, musíte povoliť podpisovanie SMB alebo vyžadovať podpisovanie SMB v klientovi SMB aj na serveri SMB. Ak je na serveri povolené podpisovanie SMB, klienti, ktorí majú povolené podpisovanie SMB, používajú protokol podpisovania paketov počas všetkých nasledujúcich relácií. Ak sa vyžaduje podpisovanie SMB na serveri, klient nemôže vytvoriť reláciu, pokiaľ klient nie je povolený alebo potrebný na podpisovanie SMB.


        Povolenie digitálneho prihlasovania do sietí s vysokým zabezpečením pomáha zabrániť zosobneniu klientov a serverov. Tento druh zosobnenia je známy ako relácia únos. Útočník, ktorý má prístup k rovnakej sieti ako klient alebo server, používa nástroje na únos relácie na prerušenie, ukončenie alebo krádež prebiehajúcej relácie. Útočník by mohol zachytiť a upraviť nepodpísané pakety Správcu šírky pásma podsiete (SBM), upraviť prenosy a potom ho preposlať tak, aby server mohol vykonávať nechcené akcie. Alebo útočník môže predstavovať ako server alebo ako klient po legitímnom overení a potom získať neoprávnený prístup k údajom.

        Protokol SMB, ktorý sa používa na zdieľanie súborov a zdieľanie tlače v počítačoch so systémom Windows 2000 Server, Windows 2000 Professional, Windows XP Professional alebo Windows Server 2003, podporuje vzájomné overovanie. Vzájomné overovanie zatvorí útoky relácie únosu a podporuje overovanie správ. Preto zabraňuje útokom typu man-in-the-middle. Podpisovanie SMB poskytuje toto overenie umiestnením digitálneho podpisu do každej SMB. Klient a server potom overia podpis.

      • Ako alternatívne protiopatrenia môžete povoliť digitálne podpisy pomocou protokolu IPSec, aby ste pomohli ochrániť všetky sieťové prenosy. Existujú hardvérové urýchľovače šifrovania IPSec a podpisovania, ktoré môžete použiť na minimalizovanie vplyvu procesora servera na výkon. Neexistujú žiadne takéto urýchľovače, ktoré sú k dispozícii pre podpisovanie SMB.

      • V systémoch Windows 95, Windows 98 a Windows 98 Second Edition používa klient adresárových služieb podpisovanie SMB pri overovaní pomocou serverov Windows Server 2003 pomocou overovania NTLM. Títo klienti však nepoužívajú podpisovanie SMB pri overovaní pomocou týchto serverov pomocou overovania NTLMv2. Servery systému Windows 2000 navyše nereagujú na žiadosti o podpisovanie SMB od týchto klientov. Ďalšie informácie nájdete v položke 10: Zabezpečenie siete: Úroveň overenia správcom siete Lan Manager.

    2. Riskantná konfigurácia

      Toto je škodlivé nastavenie konfigurácie: Povolenie sieťového servera spoločnosti Microsoft: Nastavenie digitálnej komunikácie (vždy) na serveroch a na radičoch domén, ku ktorým majú prístup nekompatibilné počítače so systémom Windows a klientske počítače s operačným systémom tretích strán v lokálnych alebo externých doménach.

    3. Dôvody na povolenie tohto nastavenia

      • Podpisovanie SMB podporujú všetky klientske počítače, ktoré umožňujú toto nastavenie priamo prostredníctvom databázy Registry alebo prostredníctvom nastavenia skupinová politika. Inými slovami, všetky klientske počítače s týmto nastavením spustené buď Windows 95 s nainštalovaným klientom DS, Windows 98, systém Windows NT 4.0, Windows 2000, Windows XP Professional alebo Windows Server 2003.

      • Ak je sieťový server spoločnosti Microsoft: Digitálne podpisovanie komunikácie (vždy) je zakázané, podpisovanie SMB je úplne zakázané. Úplné vypnutie všetkých SMB podpisovanie ponecháva počítače zraniteľnejšie voči relácii únos útoky.

    4. Dôvody na vypnutie tohto nastavenia

      • Povolenie tohto nastavenia môže v klientskych počítačoch spôsobiť pomalšie kopírovanie súborov a výkon siete.

      • Zapnutím tohto nastavenia zabránite klientom, ktorí nemôžu vyjednať podpisovanie SMB, komunikovať so servermi a radičmi domény. To spôsobí zlyhanie operácií, ako sú napríklad pripojenia k doméne, overenie používateľa a počítača alebo prístup programov k sieti.

    5. Symbolický názov:

      RequireSMBSignServer

    6. Cesta k databáze Registry:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

    7. Príklady problémov s kompatibilitou

      • Windows 95: Klienti systému Windows 95, ktorí nemajú nainštalovaného klienta adresárových služieb (DS), zlyhajú pri prihlasovaní a zobrazí sa nasledujúce chybové hlásenie:

        Zadané heslo domény nie je správne alebo bol odmietnutý prístup k prihlasovaciemu serveru.

      • systém Windows NT 4.0: Klientske počítače so spustenými verziami systém Windows NT 4.0, ktoré sú staršie ako Balík Service Pack 3 (SP3), zlyhajú pri prihlasovaní a zobrazia sa nasledujúce chybové hlásenie:

        Systém vás nemohol prihlásiť. Skontrolujte, či je vaše meno používateľa a doména správne, a potom znova zadajte heslo.

        Niektoré servery SMB, ktoré nie sú od spoločnosti Microsoft, podporujú počas overovania iba nešifrované výmeny hesiel. (Tieto výmeny sa označujú aj ako výmeny vo formáte obyčajného textu.) V prípade systém Windows NT 4.0 SP3 a novších verzií presmerovanie SMB neodosiela počas overovania na server SMB nezašifrované heslo, pokiaľ nepridáte konkrétnu položku databázy Registry.
        Ak chcete povoliť nezašifrované heslá pre klienta SMB v systémoch systém Windows NT 4.0 SP 3 a novších systémoch, upravte databázu Registry takto: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters

        Názov hodnoty: EnablePlainTextPassword

        Typ údajov: REG_DWORD

        Údaje: 1

         

      • Windows Server 2003: Predvolene sú nastavenia zabezpečenia v radičoch domény, ktoré používajú Windows Server 2003, nakonfigurované tak, aby sa zabránilo tomu, že komunikácia radiča domény bude zachytená alebo sfalšovaná zlomyseľnými používateľmi. Ak chcú používatelia úspešne komunikovať s radičom domény so systémom Windows Server 2003, klientske počítače musia používať podpisovanie SMB aj šifrovanie alebo podpisovanie prenosu zabezpečeného kanála. Predvolene klienti, ktorí spúšťajú systém Windows NT 4.0 s nainštalovaným balíkom Service Pack 2 (SP2) alebo staršími verziami, a klienti so systémom Windows 95 nemajú povolené podpisovanie paketov SMB. Preto je možné, že títo klienti nebudú môcť vykonať overenie na radiči domény so systémom Windows Server 2003.

      • Nastavenia politiky pre Windows 2000 a Windows Server 2003: V závislosti od vašich konkrétnych potrieb a konfigurácie inštalácie odporúčame nastaviť nasledujúce nastavenia politiky na najnižšej entite potrebného rozsahu v hierarchii modulu editora skupinová politika Editora microsoft Management Console:

        • Konfigurácia počítača\Windows Zabezpečenie Nastavenia\Možnosti zabezpečenia

        • Odoslanie nezašifrovaného hesla na pripojenie k serverom SMB tretej strany (toto nastavenie je pre Windows 2000)

        • Sieťový klient spoločnosti Microsoft: Odoslanie nezašifrovaného hesla na servery SMB tretej strany (toto nastavenie je pre Windows Server 2003)


        Poznámka: V niektorých serveroch CIFS tretích strán, ako sú staršie verzie Samba, nemôžete používať šifrované heslá.

      • Nasledovní klienti nie sú kompatibilní so sieťovým serverom spoločnosti Microsoft: Nastavenie digitálneho podpisovania komunikácie (vždy):

        • Klienti Apple Computer, Inc., Mac OS X

        • Sieťoví klienti systému Microsoft MS-DOS (napríklad Microsoft LAN Manager)

        • Klienti Microsoft Windowsu pre pracovné skupiny

        • Klienti systému Microsoft Windows 95 bez nainštalovaného klienta DS

        • Microsoft systém Windows NT 4.0-based computers without SP3 or later installed

        • Novell Netware 6 CIFS klientov

        • Klienti SAMBA SMB, ktorí nepodporujú podpisovanie SMB

    8. Požiadavky na

      reštartovanie Reštartujte počítač alebo reštartujte službu Servera. Ak to chcete urobiť, zadajte do príkazového riadka nasledujúce príkazy. Po zadaní jednotlivých príkazov stlačte kláves Enter.

      net stop server
      net start server

  7. Prístup k sieti: Povolenie anonymného prekladu sid/názvov

    1. Pozadí

      Prístup k sieti: Nastavenie zabezpečenia pre anonymný identifikátor SID/názov prekladu určuje, či anonymný používateľ môže požiadať o atribúty identifikátora SID (Security Identification Number) pre iného používateľa.

    2. Riskantná konfigurácia

      Povolenie sieťového prístupu: Nastavenie povolenia anonymného prekladu sid/názvov je škodlivé nastavenie konfigurácie.

    3. Dôvody na povolenie tohto nastavenia

      Ak je prístup k sieti: Povolenie anonymného prekladu sid/názvov vypnuté, staršie operačné systémy alebo aplikácie nemusia byť schopné komunikovať s doménami Windows Servera 2003. Napríklad nasledujúce operačné systémy, služby alebo aplikácie nemusia fungovať:

      • systém Windows NT servery služby vzdialeného prístupu založené na serveri 4.0

      • Microsoft SQL Server, ktoré sú spustené v počítačoch s systém Windows NT 3.x alebo počítačoch s systém Windows NT 4.0

      • Služba vzdialeného prístupu, ktorá je spustená v počítačoch s Windowsom 2000, ktoré sú umiestnené v doménach systém Windows NT 3.x alebo systém Windows NT 4.0 doménach

      • SQL Server, ktorý je spustený v počítačoch s Windowsom 2000, ktoré sú umiestnené v doménach systém Windows NT 3.x alebo v doménach systém Windows NT 4.0

      • Používatelia v doméne zdrojov systém Windows NT 4.0, ktorí chcú udeliť povolenia na prístup k súborom, zdieľaným priečinkom a objektom databázy Registry používateľským kontám z domén kont, ktoré obsahujú radiče domény systému Windows Server 2003

    4. Dôvody na vypnutie tohto nastavenia

      Ak je toto nastavenie povolené, zlomyseľný používateľ môže použiť známy identifikátor SID správcov na získanie skutočného názvu vstavaného konta správcu, a to aj v prípade, že konto bolo premenované. Táto osoba by potom mohla použiť názov konta na začatie útoku hádania hesiel.

    5. Symbolický názov: Nie je k

    6. Cesta k databáze Registry: Žiadne. Cesta je zadaná v kóde používateľského rozhrania.

    7. Príklady problémov

      s kompatibilitou systém Windows NT 4.0: Počítače v doménach zdrojov systém Windows NT 4.0 zobrazia chybové hlásenie Neznáme konto v editore ACL, ak sú zdroje vrátane zdieľaných priečinkov, zdieľaných súborov a objektov databázy Registry zabezpečené objektmi zabezpečenia, ktoré sa nachádzajú v doménach konta, ktoré obsahujú radiče domény systému Windows Server 2003.

  8. Prístup k sieti: Nepovoliť anonymné enumerácie kont SAM

    1. Pozadie

      • Sieťový prístup: Nepovoliť anonymné enumerácie sam kont nastavenia určuje, ktoré ďalšie povolenia budú udelené pre anonymné pripojenia k počítaču. Systém Windows umožňuje anonymným používateľom vykonávať určité činnosti, ako je napríklad enumerácia názvov pracovných staníc a kont správcu zabezpečenia servera (SAM) a sieťových zdieľaných položiek. Správca môže túto možnosť použiť napríklad na udelenie prístupu používateľom v dôveryhodnej doméne, ktorá si neudržiava vzájomnú dôveru. Po uskutočnení relácie môže mať anonymný používateľ rovnaký prístup, ktorý je udelený skupine Všetci na základe nastavenia v prístupe k sieti: Povoliť všetkým povolenia sa vzťahujú na nastavenie anonymných používateľov alebo na zoznam riadenia prístupu podľa vlastného uváženia (DACL) objektu.

        Anonymné pripojenia zvyčajne požadujú staršie verzie klientov (klienti na úrovni down) počas nastavenia relácie SMB. V takýchto prípadoch sledovanie siete ukazuje, že ID procesu SMB (PID) je presmerovač klienta, napríklad 0xFEFF vo Windowse 2000 alebo 0xCAFE v systém Windows NT. RPC sa tiež môže pokúsiť vytvoriť anonymné pripojenia.

      • Dôležité: Toto nastavenie nemá žiadny vplyv na radiče domény. Na radičoch domény je toto správanie riadené prítomnosťou "NT AUTHORITY\ANONYMOUS LOGON" v "Pre-Windows 2000 kompatibilný Prístup".

      • Vo Windowse 2000 podobné nastavenie s názvom Ďalšie obmedzenia pre anonymné pripojenia spravuje hodnotu databázy Registry RestrictAnonymous . Umiestnenie tejto hodnoty je nasledovné

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA  

    2. Riskantné konfigurácie

      Povolenie prístupu k sieti: Nepovoliť anonymné enumerácie sam kont nastavenia je škodlivé nastavenie konfigurácie z hľadiska kompatibility. Zakázanie je škodlivé nastavenie konfigurácie z hľadiska zabezpečenia.

    3. Dôvody na povolenie tohto nastavenia

      Neoprávnený používateľ mohol anonymne uviesť názvy kont a potom použiť informácie, aby sa pokúsil uhádnuť heslá alebo vykonať útoky sociálneho inžinierstva. Sociálne inžinierstvo je žargón, ktorý znamená oklamať ľudí, aby odhalili svoje heslá alebo nejakú formu bezpečnostných informácií.

    4. Dôvody na vypnutie tohto nastavenia

      Ak je toto nastavenie povolené, nie je možné vytvoriť dôveryhodné hodnoty s doménami systém Windows NT 4.0. Toto nastavenie tiež spôsobuje problémy s klientmi na down-level (napríklad systém Windows NT 3,51 klientov a windows 95 klientov), ktoré sa snažia používať prostriedky na serveri.

    5. Symbolický názov:


      ObmedziťAnonymnýSAM

    6. Cesta k databáze Registry:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

    7. Príklady problémov s kompatibilitou

    • Služba SMS Network Discovery nebude môcť získať informácie o operačnom systéme a zapíše do vlastnosti OperatingSystemNameandVersion výraz Neznáme.

    • Windows 95, Windows 98: Klienti systému Windows 95 a klienti s Windowsom 98 nebudú môcť meniť svoje heslá.

    • systém Windows NT 4.0: systém Windows NT 4.0-založené členské počítače nebudú môcť byť overené.

    • Počítače so systémom Windows 95, Windows 98: Počítače so systémom Windows 95 a Windows 98 nebudú môcť overiť radiče domény spoločnosti Microsoft.

    • Windows 95, Windows 98: Používatelia počítačov so systémom Windows 95 a Windows 98 nebudú môcť zmeniť heslá svojich používateľských kont.

  9. Prístup k sieti: Nepovoliť anonymné enumerácia kont SAM a zdieľaných položiek

    1. Pozadie

      • Prístup do siete: Nepovoliť anonymné enumerácie sam kont a akcií nastavenia (tiež známy ako RestrictAnonymous) určuje, či anonymné enumerácia security accounts manager (SAM) kont a akcií je povolené. Windows umožňuje anonymným používateľom vykonávať určité aktivity, ako je napríklad enumerácia názvov kont domény (používateľov, počítačov a skupín) a sieťových podielov. Je to praktické napríklad vtedy, keď chce správca udeliť prístup používateľom v dôveryhodnej doméne, ktorá si neudržiava vzájomnú dôveru. Ak nechcete povoliť anonymné enumerácie sam kont a akcií, povoľte toto nastavenie.

      • Vo Windowse 2000 podobné nastavenie s názvom Ďalšie obmedzenia pre anonymné pripojenia spravuje hodnotu databázy Registry RestrictAnonymous . Umiestnenie tejto hodnoty je nasledovné:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

    2. Riskantná konfigurácia

      Povolenie prístupu k sieti: Nepovoliť anonymné enumerácie sam kont a zdieľania nastavenie je škodlivé nastavenie konfigurácie.

    3. Dôvody na povolenie tohto nastavenia

      • Povolenie prístupu k sieti: Nepovoliť anonymné enumerácie sam kont a zdieľania nastavenie zabraňuje enumerácii sam kont a zdieľania používateľmi a počítačmi, ktoré používajú anonymné kontá.

    4. Dôvody na vypnutie tohto nastavenia

      • Ak je toto nastavenie povolené, neoprávnený používateľ mohol anonymne uviesť názvy kont a potom použiť informácie na uhádovanie hesiel alebo na vykonanie útokov sociálneho inžinierstva. Sociálne inžinierstvo je žargón, ktorý znamená oklamať ľudí, aby odhalili svoje heslo alebo nejakú formu bezpečnostných informácií.

      • Ak je toto nastavenie povolené, nebude možné vytvoriť dôveryhodné hodnoty s doménami systém Windows NT 4.0. Toto nastavenie tiež spôsobí problémy s klientmi na úrovni down-level, ako sú napríklad klienti systém Windows NT 3.51 a Windows 95, ktorí sa pokúšajú použiť prostriedky na serveri.

      • Nebude možné udeliť prístup používateľom zdrojových domén, pretože správcovia v dôverujúcej doméne nebudú môcť vyčísliť zoznamy kont v inej doméne. Používatelia, ktorí pristupujú k súborom a tlačia servery anonymne, nebudú môcť na týchto serveroch zobraziť zoznam zdieľaných sieťových prostriedkov. Pred zobrazením zoznamov zdieľaných priečinkov a tlačiarní musia používatelia vykonať overenie.

    5. Symbolický názov:

      Obmedziťanonymné

    6. Cesta k databáze Registry:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

    7. Príklady problémov s kompatibilitou

      • systém Windows NT 4.0: Používatelia nebudú môcť zmeniť svoje heslá z pracovných staníc systém Windows NT 4.0, keď je v doméne používateľov zapnutá funkcia RestrictAnonymous na radičoch domén.

      • systém Windows NT 4.0: Pridanie používateľov alebo globálnych skupín z dôveryhodných domén systému Windows 2000 do lokálnych skupín systém Windows NT 4.0 v správcovi používateľov zlyhá a zobrazí sa nasledujúce chybové hlásenie:

        Momentálne nie sú k dispozícii žiadne prihlasovacie servery na obsluhu požiadavky na prihlásenie.

      • systém Windows NT 4.0: počítače so systémom systém Windows NT 4.0 sa nebudú môcť pripojiť k doménám počas inštalácie ani pomocou používateľského rozhrania pripojenia k doméne.

      • systém Windows NT 4.0: Vytvorenie dôveryhodnosti na úrovni nadol s doménami zdrojov systém Windows NT 4.0 zlyhá. Keď je v dôveryhodnej doméne povolená funkcia RestrictAnonymous, zobrazí sa nasledujúce chybové hlásenie:

        Nepodarilo sa nájsť radič domény pre túto doménu.

      • systém Windows NT 4.0: Používatelia, ktorí sa prihlásia do počítačov terminálového servera systém Windows NT 4.0, sa priradia k predvolenému domovs adresáru namiesto domovského adresára, ktorý je definovaný v správcovi používateľov pre domény.

      • systém Windows NT 4.0: systém Windows NT 4.0 radiče záložnej domény (BDC) nebudú môcť spustiť službu Net Logon, získať zoznam záložných prehliadačov alebo synchronizovať databázu SAM z Windowsu 2000 alebo z radičov domény Systému Windows Server 2003 v rovnakej doméne.

      • Windows 2000: Členské počítače s Windowsom 2000 v doménach systém Windows NT 4.0 nebudú môcť zobraziť tlačiarne v externých doménach, ak je v lokálnej politike zabezpečenia klientskeho počítača povolené nastavenie Žiadny prístup bez explicitne anonymných povolení.

      • Windows 2000: Používatelia domény systému Windows 2000 nebudú môcť pridávať sieťové tlačiarne zo služby Active Directory. Tlačiarne však budú môcť pridať až po ich výbere v stromovom zobrazení.

      • Windows 2000: V počítačoch s Windowsom 2000 nebude editor ACL môcť pridávať používateľov ani globálne skupiny z dôveryhodných domén systém Windows NT 4.0.

      • ADMT verzia 2: Migrácia hesiel pre používateľské kontá migrované medzi doménovými štruktúrami pomocou nástroja na migráciu služby Active Directory (ADMT) verzie 2 zlyhá.

        Ak chcete získať ďalšie informácie, kliknite na nasledujúce číslo článku a pozrite si článok v databáze Microsoft Knowledge Base:

        322981 Riešenie problémov s migráciou interlesných hesiel pomocou ADMTv2

      • Klienti Outlooku: Globálny zoznam adries sa klientom Microsoft Exchange Outlooku zobrazí prázdny.

      • SMS: Microsoft Systems Management Server (SMS) Network Discovery nebude môcť získať informácie o operačnom systéme. Preto sa do vlastnosti OperatingSystemNameandVersion vlastnosti SMS DDR záznamu údajov zisťovania (DDR) zapíše "Unknown" (Neznáme).

      • SMS: Ak na prehľadávanie používateľov a skupín použijete Sprievodcu správcom SMS správy, nebudú uvedení žiadni používatelia ani skupiny. Navyše pokročilí klienti nemôžu komunikovať s bodom správy. V bode spravovania sa vyžaduje anonymný prístup.

      • SMS: Ak používate funkciu Zisťovanie siete v SMS 2.0 a v inštalácii vzdialeného klienta so zapnutou možnosťou zisťovania topológie, klienta a klientskych operačných systémov, počítače sa môžu zistiť, ale nemusia byť nainštalované.

  10. Zabezpečenie siete: Úroveň overenia správcom siete Lan Manager

    1. Pozadí

      Overovanie pomocou nástroja LAN Manager (LM) je protokol, ktorý sa používa na overovanie klientov systému Windows pre sieťové operácie vrátane pripojení k doméne, prístupu k sieťovým zdrojom a overovania používateľa alebo počítača. Úroveň overenia LM určuje, ktorý protokol overenia výzvy/odpovede sa vyjednal medzi klientom a serverovými počítačmi. Konkrétne úroveň overenia LM určuje, ktoré overovacie protokoly sa klient pokúsi vyjednať alebo ktoré server prijme. Hodnota nastavená pre LmCompatibilityLevel určuje, ktorý protokol overenia výzvy/odpovede sa používa pre prihlásenia do siete. Táto hodnota ovplyvňuje úroveň overovacieho protokolu, ktorý klienti používajú, úroveň dohodnutej úrovne zabezpečenia relácie a úroveň overovania akceptovanú servermi.

      Možné nastavenia zahŕňajú nasledujúce nastavenia.

      Hodnota

      Nastavenie

      Popis

      0

      Odosielanie odpovedí LM & NTLM

      Klienti používajú overovanie LM a NTLM a nikdy nepoužívajú zabezpečenie relácie NTLMv2. Radiče domény akceptujú overovanie LM, NTLM a NTLMv2.

      1

      Odoslať LM & NTLM - použitie zabezpečenia relácie NTLMv2 v prípade rokovaní

      Klienti používajú overovanie LM a NTLM a ak ho server podporuje, použite zabezpečenie relácie NTLMv2. Radiče domény akceptujú overovanie LM, NTLM a NTLMv2.

      2

      Odoslať iba odpoveď NTLM

      Klienti používajú iba overovanie NTLM a používajú zabezpečenie relácie NTLMv2, ak ho server podporuje. Radiče domény akceptujú overovanie LM, NTLM a NTLMv2.

      3

      Odoslať iba odpoveď NTLMv2

      Klienti používajú iba overovanie NTLMv2 a používajú zabezpečenie relácie NTLMv2, ak ho server podporuje. Radiče domény akceptujú overovanie LM, NTLM a NTLMv2.

      4

      Odoslať odpoveď NTLMv2/odmietnuť LM

      Klienti používajú iba overovanie NTLMv2 a používajú zabezpečenie relácie NTLMv2, ak ho server podporuje. Radiče domény odmietajú LM a akceptujú iba overovanie NTLM a NTLMv2.

      5

      Odoslať odpoveď NTLMv2 alebo odmietnuť LM & NTLM

      Klienti používajú iba overovanie NTLMv2 a používajú zabezpečenie relácie NTLMv2, ak ho server podporuje. Radiče domény odmietajú LM a NTLM a akceptujú iba overovanie NTLMv2.

      Poznámka: V systéme Windows 95, Windows 98 a Windows 98 druhé vydanie, adresárové služby klient používa SMB podpisovanie pri overovaní s Windows Server 2003 servery pomocou overovania NTLM. Títo klienti však nepoužívajú podpisovanie SMB pri overovaní pomocou týchto serverov pomocou overovania NTLMv2. Servery systému Windows 2000 navyše nereagujú na žiadosti o podpisovanie SMB od týchto klientov.

      Skontrolujte úroveň overenia LM: Ak chcete povoliť NTLM, musíte zmeniť politiku na serveri alebo nakonfigurovať klientsky počítač na podporu systému NTLMv2.

      Ak je politika nastavená na (5) Odoslať odpoveď NTLMv2 only\refuse LM & NTLM v cieľovom počítači, ku ktorému sa chcete pripojiť, musíte znížiť nastavenie v danom počítači alebo nastaviť zabezpečenie na rovnaké nastavenie, ktoré sa nachádza v zdrojovom počítači, z ktorom sa pripájate.

      Nájdite správne umiestnenie, kde môžete zmeniť úroveň overenia správcu siete LAN a nastaviť klienta a server na rovnakú úroveň. Po nájdení politiky, ktorá nastavuje úroveň overovania správcu LAN, ak sa chcete pripojiť k počítačom so staršími verziami systému Windows a z nich, znížte hodnotu aspoň na (1) Odoslať LM & NTLM – použite zabezpečenie relácie NTLM verzie 2, ak sa dohodne. Jedným z efektov nekompatibilných nastavení je, že ak server vyžaduje NTLMv2 (hodnota 5), ale klient je nakonfigurovaný na používanie iba LM a NTLMv1 (hodnota 0), používateľ, ktorý sa pokúsi overenie dôjde k zlyhaniu prihlásenia, ktoré má zlé heslo a zvyšuje zlé heslo počet. Ak je uzamknutie konta nakonfigurované, používateľ môže byť nakoniec uzamknutý.

      Možno sa budete musieť pozrieť napríklad na radič domény alebo budete musieť preskúmať politiky radiča domény.

      Pozrite sa na radič

      domény Poznámka: Možno budete musieť zopakovať nasledujúci postup na všetkých radičoch domény.

      1. Kliknite na tlačidlo Štart, ukážte na položku Programy a potom kliknite na položku Nástroje na správu.

      2. V časti Nastavenie lokálneho zabezpečenia rozbaľte položku Lokálne politiky.

      3. Kliknite na položku Možnosti zabezpečenia.

      4. Dvakrát kliknite na položku Zabezpečenie siete: úroveň overenia správcom siete LAN a potom kliknite na hodnotu v zozname.


      Ak sú platné nastavenie a miestne nastavenie rovnaké, politika sa zmenila na tejto úrovni. Ak sú nastavenia iné, musíte skontrolovať politiku radiča domény, aby ste zistili, či je v ňom definované nastavenie úrovne overenia network security: LAN manager. Ak tam nie je definovaná, preskúmajte politiky radiča domény.

      Preskúmanie politík radiča domény

      1. Kliknite na tlačidlo Štart, ukážte na položku Programy a potom kliknite na položku Nástroje na správu.

      2. V politike zabezpečenia radiča domény rozbaľte položku Nastavenia zabezpečenia a potom rozbaľte položku Lokálne politiky.

      3. Kliknite na položku Možnosti zabezpečenia.

      4. Dvakrát kliknite na položku Zabezpečenie siete: úroveň overenia správcom siete LAN a potom kliknite na hodnotu v zozname.


      Poznámka

      • Možno budete musieť skontrolovať aj politiky, ktoré sú prepojené na úrovni lokality, na úrovni domény alebo na úrovni organizačnej jednotky (OU), aby ste určili, kde je potrebné nakonfigurovať úroveň overovania správcu SIETE LAN.

      • Ak ako predvolenú politiku domény implementujete nastavenie skupinová politika, politika sa použije na všetky počítače v doméne.

      • Ak ako politiku predvoleného radiča domény implementujete nastavenie skupinová politika, politika sa vzťahuje len na servery v OU radiča domény.

      • Je vhodné nastaviť úroveň overenia správcu siete LAN v najnižšej entite potrebného rozsahu v hierarchii aplikácií politiky.

      Windows Server 2003 má nové predvolené nastavenie na používanie iba NTLMv2. Windows Server 2003 a Windows 2000 Server SP3 predvolene povolili politiku "Sieťový server spoločnosti Microsoft: Digitálne podpisovanie komunikácie (vždy)". Toto nastavenie vyžaduje, aby server SMB vykonával podpisovanie paketov SMB. Zmeny v systéme Windows Server 2003 boli vykonané, pretože radiče domény, súborové servery, servery sieťovej infraštruktúry a webové servery v ľubovoľnej organizácii vyžadujú rôzne nastavenia, aby sa maximalizovalo ich zabezpečenie.

      Ak chcete vo svojej sieti implementovať overovanie NTLMv2, musíte sa uistiť, že všetky počítače v doméne sú nastavené na používanie tejto úrovne overovania. Ak použijete klientske rozšírenia služby Active Directory pre Windows 95 alebo Windows 98 a systém Windows NT 4.0, klientske rozšírenia používajú vylepšené funkcie overovania, ktoré sú k dispozícii v NTLMv2. Keďže klientske počítače, ktoré používajú niektorý z nasledujúcich operačných systémov, nie sú ovplyvnené windowsom 2000 skupinová politika objects, možno bude potrebné nakonfigurovať týchto klientov manuálne:

      • Microsoft systém Windows NT 4.0

      • Microsoft Windows Millennium Edition

      • Microsoft Windows 98

      • Microsoft Windows 95

      Poznámka: Ak povolíte sieťové zabezpečenie: Neukladáte hodnotu hash správcu SIETE LAN na ďalšej politike zmeny hesla alebo nastavte kľúč databázy Registry NoLMHash , klientov so systémom Windows 95 a Windows 98, ktorí nemajú nainštalovaného klienta adresárových služieb, sa po zmene hesla nemôžu prihlásiť do domény.

      Mnohé servery CIFS tretích strán, ako je napríklad Novell Netware 6, si nie sú vedomí NTLMv2 a používajú iba NTLM. Úrovne väčšie ako 2 preto nepovoľujú pripojenie. Existujú aj klienti SMB tretích strán, ktorí nepoužívajú rozšírené zabezpečenie relácie. V takýchto prípadoch sa nevezme do úvahy LmCompatiblityLevel servera prostriedkov. Server potom zbalí túto staršiu požiadavku a odošle ju do radiča používateľskej domény. Nastavenia radiča domény potom rozhodujú o tom, ktoré hodnoty hash sa použijú na overenie požiadavky a či spĺňajú požiadavky zabezpečenia radiča domény.

       

      299656 Ako zabrániť Windowsu uložiť hash vášho hesla správcu SIETE LAN v službe Active Directory a lokálnych databázach SAM
       

      2701704Udalosť auditu zobrazuje balík overenia ako NTLMv1 namiesto NTLMv2 Ak chcete získať ďalšie informácie o úrovniach overovania LM, kliknutím na nasledujúce číslo článku zobrazte článok v databáze Microsoft Knowledge Base:

      239869 Ako povoliť overovanie NTLM 2
       

    2. Riskantné konfigurácie

      Toto sú škodlivé nastavenia konfigurácie:

      • Nerestriktívne nastavenia, ktoré odosielajú heslá v jasnom texte a ktoré popierajú rokovania NTLMv2

      • Reštriktívne nastavenia, ktoré bránia nekompatibilným klientom alebo radičom domény v rokovaní o spoločnom protokole overovania

      • Vyžaduje sa overovanie NTLMv2 v počítačoch s členmi a radičoch domény, ktoré používajú verzie systém Windows NT 4.0, ktoré sú staršie ako balík Service Pack 4 (SP4)

      • Vyžaduje sa overovanie NTLMv2 v klientoch s Windowsom 95 alebo v klientoch s Windowsom 98, ktoré nemajú nainštalovaného klienta adresárových služieb Systému Windows.

      • Ak kliknete na začiarknutie políčka Vyžadovať zabezpečenie relácie NTLMv2 v konzole Microsoft Management Console skupinová politika Editor v počítači s windows serverom 2003 alebo Windows 2000 Service Pack 3 a znížite úroveň overenia správcu LAN na 0, tieto dve nastavenia sú v konflikte a v súbore Secpol.msc alebo v súbore GPEdit.msc sa môže zobraziť nasledujúce chybové hlásenie:

        Windows nemôže otvoriť lokálnu databázu politiky. Pri pokuse o otvorenie databázy sa vyskytla neznáma chyba.

        Ďalšie informácie o nástroji Konfigurácia a analýza zabezpečenia nájdete v súboroch Pomocníka pre Windows 2000 alebo Windows Server 2003.

    3. Dôvody na úpravu tohto nastavenia

      • Chcete zvýšiť najnižší spoločný protokol overovania, ktorý podporujú klienti a radiče domény vo vašej organizácii.

      • Ak je zabezpečené overovanie obchodnou požiadavkou, chcete zakázať vyjednávanie protokolov LM a NTLM.

    4. Dôvody na vypnutie tohto nastavenia

      Požiadavky na overenie klienta alebo servera alebo obe požiadavky sa zvýšili do bodu, keď overovanie prostredníctvom spoločného protokolu nemôže nastať.

    5. Symbolický názov:

      LmCompatibilityLevel

    6. Cesta k databáze Registry:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. Príklady problémov s kompatibilitou

      • Windows Server 2003: Predvolene je povolené nastavenie odosielania odpovedí NTLM systému Windows Server 2003 NTLMv2. Preto Windows Server 2003 zobrazí chybové hlásenie "Prístup odmietnutý" po počiatočnej inštalácii pri pokuse o pripojenie k systém Windows NT 4.0-založené klastra alebo LanManager V2.1-založené servery, ako je napríklad OS/2 Lanserver. Tento problém sa vyskytuje aj pri pokuse o pripojenie zo staršej verzie klienta na server so systémom Windows Server 2003.

      • Nainštalujete balík Windows 2000 Security Rollup Package 1 (SRP1). SRP1 vynúti NTLM verzie 2 (NTLMv2). Tento balík súhrnu bol vydaný po vydaní balíka Windows 2000 Service Pack 2 (SP2).
         

      • Windows 7 a Windows Server 2008 R2: Mnoho tretích strán CIFS servery, ako je Novell Netware 6 alebo Linux-založené Samba servery, nie sú vedomí NTLMv2 a používať iba NTLM. Preto úrovne väčšie ako 2 nepovoľujú pripojenie. Teraz v tejto verzii operačného systému, predvolené pre LmCompatibilityLevel bola zmenená na "3". Takže pri inovácii Windowsu môžu tieto súbory tretích strán prestať fungovať.

      • Klientom Microsoft Outlooku sa môže zobraziť výzva na zadanie poverení, aj keď sú už prihlásení do domény. Keď používatelia zadajú svoje poverenia, zobrazí sa im nasledujúce chybové hlásenie: Windows 7 a Windows Server 2008 R2

        Zadané prihlasovacie poverenia boli nesprávne. Skontrolujte správnosť mena používateľa a domény a potom znova zadajte heslo.

        Pri spustení Outlooku sa môže zobraziť výzva na zadanie poverení aj vtedy, ak je nastavenie zabezpečenia siete prihlásenia nastavené na možnosť Odovzdávať alebo Overiť heslom. Po zadaní správnych poverení sa môže zobraziť nasledujúce chybové hlásenie:

        Zadané prihlasovacie poverenia boli nesprávne.

        Sledovanie sledovanie siete môže ukázať, že globálny katalóg vydal vzdialené volanie procedúr (RPC) chyba so stavom 0x5. Stav 0x5 znamená Odmietnutý prístup.

      • Windows 2000: Sledovanie siete zachytenie môže zobraziť nasledujúce chyby v NetBIOS cez TCP/IP (NetBT) server správy blok (SMB) relácie:

        Chyba úlohy vyhľadávania adresára SMB R, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Neplatný identifikátor používateľa

      • Windows 2000: Ak doména systému Windows 2000 s NTLMv2 2 alebo novšou verziou dôveruje doméne systém Windows NT 4.0, v členských počítačoch so systémom Windows 2000 v doméne zdrojov sa môžu vyskytnúť chyby overenia.

      • Windows 2000 a Windows XP: Windows 2000 a Windows XP predvolene nastavujú možnosť lokálnej politiky zabezpečenia na úrovni overenia správcu SIETE LAN na hodnotu 0. Nastavenie 0 znamená Odosielanie odpovedí LM a NTLM.

        Všimnite si, systém Windows NT klastre založené na 4.0 musia používať LM na správu.

      • Windows 2000: Klastrovanie systému Windows 2000 neoveruje pripájací uzol, ak sú oba uzly súčasťou domény systém Windows NT 4.0 Service Pack 6a (SP6a).

      • Nástroj IIS Lockdown (HiSecWeb) nastaví hodnotu LMCompatibilityLevel na 5 a hodnotu RestrictAnonymous na hodnotu 2.

      • Služby pre Macintosh

        Modul overovania používateľa (UAM): Microsoft UAM (Modul overovania používateľa) poskytuje metódu šifrovania hesiel, ktoré používate na prihlásenie na servery Windows AFP (AppleTalk Filing Protocol). Modul UAM (Apple User Authentication Module) poskytuje iba minimálne alebo žiadne šifrovanie. Heslo preto možno jednoducho zachytiť na sieti LAN alebo na internete. Hoci sa UAM nevyžaduje, poskytuje šifrované overovanie serverom systému Windows 2000, ktoré spúšťajú služby pre Macintosh. Táto verzia obsahuje podporu pre 128-bitové šifrované overovanie NTLMv2 a vydanie kompatibilné so systémom MacOS X 10.1.

        Predvolene server Windows Server 2003 Services for Macintosh povoľuje iba overovanie spoločnosti Microsoft.
         

      • Windows Server 2008, Windows Server 2003, Windows XP a Windows 2000: Ak nakonfigurujete hodnotu LMCompatibilityLevel na hodnotu 0 alebo 1 a potom nakonfigurujete hodnotu NoLMHash na hodnotu 1, aplikácie a súčasti môžu byť odmietnuté prostredníctvom NTLM. Tento problém sa vyskytuje, pretože počítač je nakonfigurovaný na povolenie LM, ale nie na používanie hesiel uložených v LM.

        Ak nakonfigurujete hodnotu NoLMHash na hodnotu 1, musíte nakonfigurovať hodnotu LMCompatibilityLevel na hodnotu 2 alebo vyššiu.

  11. Zabezpečenie siete: Požiadavky na podpisovanie klienta LDAP

    1. Pozadí

      Zabezpečenie siete: Nastavenie požiadaviek na podpisovanie klienta LDAP určuje úroveň podpisovania údajov požadovanú v mene klientov, ktorí vydávajú požiadavky BIND (Lightweight Directory Access Protocol) bind:

      • Žiadne: Požiadavka LDAP BIND sa vydáva s možnosťami zadanými volajúcim.

      • Vyjednanie podpisovania: Ak sa nespustil protokol SSL/TLS (Secure Sockets Layer/Transport Layer Security), požiadavka LDAP BIND sa inicializuje s možnosťou podpisovania údajov LDAP spolu s možnosťami zadanými volajúcim. Ak sa spustila SSL/TLS, požiadavka LDAP BIND sa spustí s možnosťami zadanými volajúcim.

      • Vyžadovať podpisovanie: Toto je to isté ako vyjednať podpisovanie. Ak však prechodná odpoveď saslBindInProgress servera LDAP nenaznačuje, že sa vyžaduje podpisovanie prenosu LDAP, volajúcemu sa zobrazí hlásenie, že požiadavka príkazu LDAP BIND zlyhala.

    2. Riskantná konfigurácia

      Povolenie sieťového zabezpečenia: Nastavenie požiadaviek na podpisovanie klienta LDAP je škodlivé nastavenie konfigurácie. Ak nastavíte server tak, aby vyžadoval podpisy LDAP, musíte nakonfigurovať aj prihlasovanie LDAP v klientovi. Nekonfigurovanie klienta na používanie podpisov LDAP zabráni komunikácii so serverom. To spôsobí zlyhanie overenia používateľa, nastavení skupinová politika, prihlasovacích skriptov a ďalších funkcií.

    3. Dôvody na úpravu tohto nastavenia

      Nepodpísaný sieťový prenos je náchylný na útoky typu man-in-the-middle, pri ktorých votrelec zachytáva pakety medzi klientom a servermi, upravuje ich a potom ich prepošle na server. Keď k tomu dôjde na serveri LDAP, útočník môže spôsobiť server reagovať na základe falošných dotazov z klienta LDAP. Toto riziko v podnikovej sieti môžete znížiť implementáciou silných fyzických bezpečnostných opatrení na ochranu sieťovej infraštruktúry. Okrem toho môžete zabrániť všetkým druhom útokov typu "man-in-the-middle" tým, že budete potrebovať digitálne podpisy na všetkých sieťových paketoch prostredníctvom hlavičiek overovania IPSec.

    4. Symbolický názov:

      LDAPClientIntegrity (LDAPClientIntegrity)

    5. Cesta k databáze Registry:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

  12. Denník udalostí: Maximálna veľkosť denníka zabezpečenia

    1. Pozadí

      Denník udalostí: Nastavenie zabezpečenia maximálnej veľkosti denníka zabezpečenia určuje maximálnu veľkosť denníka udalostí zabezpečenia. Tento denník má maximálnu veľkosť 4 GB. Ak chcete vyhľadať toto nastavenie, rozbaľte
      položku Nastavenia systému Windows a potom rozbaľte položku Nastavenie zabezpečenia.

    2. Riskantné konfigurácie

      Toto sú škodlivé nastavenia konfigurácie:

      • Obmedzenie veľkosti denníka zabezpečenia a metódy uchovávania denníka zabezpečenia v prípade, že audit: okamžite vypnite systém, ak nie je možné zapisovať do denníka nastavenie auditov zabezpečenia. Ďalšie podrobnosti nájdete v časti Audit: Okamžité vypnutie systému, ak nie je možné zapisovať audity zabezpečenia do denníka.

      • Obmedzenie veľkosti denníka zabezpečenia tak, aby sa prepísali udalosti zabezpečenia, ktoré sú zaujímavé.

    3. Dôvody na zvýšenie tohto nastavenia

      Obchodné a bezpečnostné požiadavky môžu určovať, že zvýšite veľkosť denníka zabezpečenia na spracovanie ďalších podrobností denníka zabezpečenia alebo na dlhšie obdobie uchovávania denníkov zabezpečenia.

    4. Dôvody na zmenšenie tohto nastavenia

      Zobrazovač udalostí denníky sú súbory priradené k pamäti. Maximálna veľkosť denníka udalostí je obmedzená množstvom fyzickej pamäte v lokálnom počítači a virtuálnou pamäťou, ktorá je k dispozícii pre proces denníka udalostí. Zväčšenie veľkosti denníka nad rámec množstva virtuálnej pamäte, ktoré je k dispozícii pre Zobrazovač udalostí nezvyšuje počet zachovaných položiek denníka.

    5. Príklady problémov

      s kompatibilitou Windows 2000: Počítače so spustenými verziami systému Windows 2000, ktoré sú staršie ako balík Service Pack 4 (SP4), môžu zastaviť zapisovanie udalostí do denníka udalostí pred dosiahnutím veľkosti zadanej v nastavení maximálnej veľkosti denníka v Zobrazovač udalostí, ak je zapnutá možnosť Neprepisovať udalosti (manuálne vymazať denník).


       

  13. Denník udalostí: Zachovanie denníka zabezpečenia

    1. Pozadí

      Denník udalostí: Nastavenie zabezpečenia denníka zabezpečenia určuje metódu obtekania pre denník zabezpečenia. Ak chcete vyhľadať toto nastavenie, rozbaľte položku Nastavenia systému Windows a potom rozbaľte položku Nastavenie zabezpečenia.

    2. Riskantné konfigurácie

      Toto sú škodlivé nastavenia konfigurácie:

      • Nepodarilo sa zachovať všetky zaznamenané udalosti zabezpečenia pred prepísaním.

      • Konfigurácia nastavenia maximálnej veľkosti denníka zabezpečenia je príliš malá, aby sa prepísali udalosti zabezpečenia

      • Obmedzenie veľkosti denníka zabezpečenia a metódy uchovávania počas auditovania: Okamžite vypnite systém, ak nie je možné zapisovať do denníka nastavenia zabezpečenia auditov zabezpečenia

    3. Dôvody na povolenie tohto nastavenia

      Toto nastavenie povoľte iba vtedy, ak vyberiete metódu uchovávania prepísania udalostí podľa dní . Ak používate korelačný systém udalostí, ktorý odosiela ankety pre udalosti, uistite sa, že počet dní je aspoň trojnásobok frekvencie ankety. Tento postup použite, ak chcete povoliť neúspešné cykly ankety.

  14. Prístup k sieti: Povolenie pre všetkých používateľov sa vzťahuje na anonymných používateľov

    1. Pozadí

      Predvolene je nastavenie Sieťový prístup: Povolenie všetci použiť na anonymných používateľov nastavenie nie je definované v systéme Windows Server 2003. Windows Server 2003 predvolene nezahŕňa anonymný prístupový token do skupiny Všetci.

    2. Príklad problémov

      s kompatibilitou Nasledujúca hodnota

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous [REG_DWORD]=0x0 preruší vytváranie dôvery medzi Windows Serverom 2003 a systém Windows NT 4.0, keď je doménou systému Windows Server 2003 doména konta a doména systém Windows NT 4.0 je doménou zdroja. To znamená, že doména konta je dôveryhodná v systém Windows NT 4.0 a doména prostriedkov dôveruje na strane Windows Servera 2003. K tomuto správaniu dochádza, pretože proces spustenia dôveryhodnosti po počiatočnom anonymnom pripojení je ACL'd s tokenom Všetci, ktorý obsahuje anonymný identifikátor SID v systém Windows NT 4.0.

    3. Dôvody na úpravu tohto nastavenia

      Hodnota musí byť nastavená na 0x1 alebo nastavená pomocou objektu GPO v OU radiča domény, ktorý má byť: Prístup k sieti: Povolenie Všetci sa vzťahuje na anonymných používateľov – povolené, aby bolo možné vytvoriť dôveryhodné hodnoty.

      Poznámka: Väčšina ostatných nastavení zabezpečenia ísť nahor v hodnote, nie nadol na 0x0 v ich najviac zabezpečenom stave. Bezpečnejším postupom by bolo zmeniť databázu Registry na emulátore primárneho radiča domény namiesto všetkých radičov domény. Ak sa rola emulátora primárneho radiča domény z akéhokoľvek dôvodu premiestni, databáza Registry sa musí aktualizovať na novom serveri.

      Po nastavení tejto hodnoty sa vyžaduje reštartovanie.

    4. Cesta k databáze Registry

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

  15. Overovanie NTLMv2

    1. Zabezpečenie

      relácie Zabezpečenie relácie určuje minimálne štandardy zabezpečenia pre relácie klienta a servera. V module Microsoft Management Console skupinová politika Editor je vhodné overiť nasledujúce nastavenia politiky zabezpečenia:

      • Computer Settings\Windows Settings\Security Settings\Local Policies\Security Options

      • Zabezpečenie siete: Minimálne zabezpečenie relácie pre servery ntlm SSP (vrátane zabezpečených RPC) serverov

      • Zabezpečenie siete: Minimálne zabezpečenie relácie pre klientov založených na NTLM SSP (vrátane zabezpečených RPC)

      Možnosti pre tieto nastavenia sú nasledovné:

      • Vyžadovať integritu správy

      • Požadovať dôvernosť správy

      • Vyžadovať zabezpečenie relácie NTLM verzie 2

      • Vyžadovať 128-bitové šifrovanie

      Predvolené nastavenie pred Windowsom 7 je Bez požiadaviek. Od Windowsu 7 sa predvolené nastavenie zmenilo na možnosť Vyžadovať 128-bitové šifrovanie na zlepšenie zabezpečenia. Pri tomto predvolenom nastavení sa staršie zariadenia, ktoré nepodporia 128-bitové šifrovanie, nebudú môcť pripojiť.

      Tieto politiky určujú minimálne štandardy zabezpečenia pre reláciu komunikácie medzi aplikáciami na serveri klienta.

      Všimnite si, že hoci sú príznaky, ktoré vyžadujú integritu správy a dôvernosť, sa pri určení zabezpečenia relácie NTLM nepoužívajú.

      V minulosti systém Windows NT podporuje nasledujúce dva varianty overovania výziev a odpovedí pre prihlásenia do siete:

      • Výzva/odpoveď LM

      • VÝZVA/odpoveď NTLM verzie 1

      LM umožňuje interoperabilitu s nainštalovanou základňou klientov a serverov. NTLM poskytuje lepšie zabezpečenie pre pripojenia medzi klientmi a servermi.

      Príslušné kľúče databázy Registry sú nasledovné:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

    2. Riskantné konfigurácie

      Toto nastavenie určuje spôsob spracovania sieťových relácií zabezpečených pomocou ntlm. Ovplyvňuje to napríklad relácie založené na RPC overené pomocou NTLM. Existujú nasledujúce riziká:

      • Použitie starších metód overovania ako NTLMv2 zjednodušuje komunikáciu útokom z dôvodu jednoduchších použitých metód hashovania.

      • Používanie šifrovacích kľúčov nižších ako 128-bitová verzia umožňuje útočníkom prerušiť komunikáciu pomocou útokov hrubou silou.

Časová synchronizácia

Synchronizácia času zlyhala. V postihnutom počítači je čas vypnutý o viac ako 30 minút. Skontrolujte, či sú hodiny klientskeho počítača synchronizované s hodinami radiča domény.

Alternatívne riešenie pri podpisovaní SMB

Balík Service Pack 6a (SP6a) odporúčame nainštalovať do klientov systém Windows NT 4.0, ktorí interoperujú v doméne založenej na systéme Windows Server 2003. Klienti so systémom Windows 98 Second Edition, klienti so systémom Windows 98 a klienti so systémom Windows 95 musia na vykonanie systému NTLMv2 spustiť klienta adresárových služieb. Ak klienti s systém Windows NT 4.0 nemajú nainštalovaný systém Windows NT 4.0 SP6 alebo ak klienti so systémom Windows 95, klienti so systémom Windows 98 a klienti so systémom Windows 98SE nemajú nainštalovaného klienta adresárových služieb, vypnite prihlásenie SMB do nastavenia politiky predvoleného radiča domény v službe OU radiča domény a potom prepojte túto politiku so všetkými používateľmi OU, ktorí radiče domény hosťujú.

Klient adresárových služieb pre Druhé vydanie systému Windows 98, Windows 98 a Windows 95 vykoná podpisovanie SMB so servermi systému Windows 2003 v rámci overovania NTLM, ale nie v rámci overovania NTLMv2. Servery systému Windows 2000 navyše nebudú reagovať na žiadosti o podpisovanie SMB od týchto klientov.

Hoci to neodporúčame, môžete zabrániť vyžadovaniu podpisu SMB vo všetkých radičoch domén, ktoré používajú Windows Server 2003 v doméne. Ak chcete nakonfigurovať toto nastavenie zabezpečenia, postupujte takto:

  1. Otvorte politiku predvoleného radiča domény.

  2. Otvorte priečinok Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options.

  3. Vyhľadajte a kliknite na sieťový server spoločnosti Microsoft: nastavenie politiky digitálneho podpisovania komunikácie (vždy) a potom kliknite na položku Vypnuté.

Dôležité: Táto časť, metóda alebo úloha obsahuje kroky, ktoré vám oznámia, ako upraviť databázu Registry. Ak však databázu Registry upravíte nesprávne, môžu sa vyskytnúť vážne problémy. Preto sa uistite, že tieto kroky dodržiavajte opatrne. Ak chcete zvýšiť ochranu, databázu Registry si pred vykonaním úprav zálohujte. Potom môžete obnoviť databázu Registry, ak sa vyskytne problém. Ďalšie informácie o zálohovaní a obnovení databázy Registry zobrazíte kliknutím na nasledujúce číslo článku v databáze Microsoft Knowledge Base:

322756 Ako zálohovať a obnoviť databázu Registry vo Windowse Prípadne vypnite SMB podpisovanie na serveri úpravou databázy Registry. Ak to chcete urobiť, postupujte podľa týchto krokov:

  1. Kliknite na tlačidlo Štart, potom na položku Spustiť, zadajte príkaz regedit a potom kliknite na tlačidlo OK.

  2. Vyhľadajte a kliknite na nasledujúci podkľúč:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

  3. Kliknite na položku enablesecuritysignature .

  4. V ponuke Upraviť kliknite na položku Upraviť.

  5. Do poľa Údaje hodnoty zadajte hodnotu 0 a potom kliknite na tlačidlo OK.

  6. Ukončite editor databázy Registry.

  7. Reštartujte počítač alebo zastavte a reštartujte službu Servera. Ak to chcete urobiť, do príkazového riadka zadajte nasledujúce príkazy a po zadaní jednotlivých príkazov stlačte kláves Enter:
    net stop server
    net start server

Poznámka: Zodpovedajúci kľúč v klientskom počítači sa nachádza v nasledujúcom podkľúči databázy Registry:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters V nasledujúcom zozname sú uvedené preložené čísla kódov chýb do kódov stavu a doslovné chybové hlásenia, ktoré sú uvedené vyššie:

chyba 5


ERROR_ACCESS_DENIED Prístup bol odmietnutý.

chyba 1326



ERROR_LOGON_FAILURE Prihlásenie zlyhalo: neznáme meno používateľa alebo nesprávne heslo.

chyba 1788



ERROR_TRUSTED_DOMAIN_FAILURE Vzťah dôvery medzi primárnou doménou a dôveryhodnou doménou zlyhal.

chyba 1789



ERROR_TRUSTED_RELATIONSHIP_FAILURE Vzťah dôvery medzi touto pracovnou stanicou a primárnou doménou zlyhal.

Ak chcete získať ďalšie informácie, kliknite na nasledujúce čísla článku a zobrazte články v databáze Microsoft Knowledge Base:

324802 Konfigurácia skupinových politík na nastavenie zabezpečenia systémových služieb v systéme Windows Server 2003

816585 Používanie preddefinovaných šablón zabezpečenia v systéme Windows Server 2003

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.

Boli tieto informácie užitočné?

Aká je podľa vás jazyková kvalita textu?
Čo sa vám páčilo, prípadne čo nie?
Stlačením tlačidla Odoslať sa vaše pripomienky použijú na zlepšenie produktov a služieb spoločnosti Microsoft. Váš správca IT bude môcť tieto údaje zhromažďovať. Vyhlásenie o ochrane osobných údajov.

Ďakujeme za vaše pripomienky!

×