Güvenlik ayarlarını ve kullanıcı hakları atamalarını değiştirdiğinizde oluşabilecek istemci, hizmet ve program uyumsuzlukları

Makale çevirileri Makale çevirileri
Makale numarası: 823659 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

Özet

Bu makalede, Windows NT 4.0 etki alanlarında, Windows 2000 etki alanlarında ve Windows Server 2003 etki alanlarında belirli güvenlik ayarlarını ve kullanıcı hakları atamalarını değiştirdiğiniz Microsoft Windows 95, Microsoft Windows 98, Microsoft Windows NT 4.0, Microsoft Windows 2000, Microsoft Windows XP Professional veya Microsoft Windows Server 2003 çalıştıran istemci bilgisayarlar arasında oluşabilecek uyumsuzluklar anlatılmaktadır.

Bu ayarları ve atamaları yerel ilkelerde ve grup ilkelerinde yapılandırarak, etki alanı denetleyicilerinde ve üye bilgisayarlarda güvenliğin sağlamlaştırılmasına yardımcı olabilirsiniz. Güvenliği artırmanın olumsuz yanı istemcilerle, hizmetlerle ve programlarla uyumsuzluklar ortaya çıkmasıdır.

Yanlış yapılandırılmış güvenlik ayarlarını fark etme duyarlılığı artırmak için, güvenlik ayarlarını Grup İlkesi Nesne Düzenleyicisi'ni kullanarak değiştirin. Grup İlkesi Nesne Düzenleyicisi'ni kullandığınızda, aşağıdaki işletim sistemlerinde kullanıcı hakları ataması geliştirilir:
  • Microsoft Windows XP Professional Service Pack 2 (SP2)
  • Microsoft Windows Server 2003 Service Pack 1 (SP1)
Gelişme, bir güvenlik ayarını veya kullanıcı hakları atamasını daha az uyumluluk sağlayan ve daha kısıtlayıcı bir değere ayarladığınızda görüntülenen ve bu makaleye bağlantı içeren bir iletişim kutusu da içerir. Aynı güvenlik ayarını veya kullanıcı hakları atamasını kayıt defterini veya güvenlik şablonlarını kullanarak değiştirirseniz, bunun etkisi ayarı Grup İlkesi Nesne Düzenleyicisi'nde değiştirmekle aynı olur; ancak, bu makaleye bağlantı içeren iletişim kutusu görünmez.

Bu makale belirli güvenlik ayarlarının veya kullanıcı hakları atamalarının etkilediği istemciler, programlar ve işlemlerle ilgili örnekler içerir. Ancak, örnekler etkilenen tüm Microsoft işletim sistemleri, tüm üçüncü taraf işletim sistemleri veya tüm program sürümleri için geçerli değildir. Bu makaleye güvenlik ayarlarının ve kullanıcı hakları atamalarının tümü eklenmemiştir.

Microsoft, güvenlikle ilgili yapılandırma değişikliklerinin uyumluluğunu bir üretim ortamına uygulamadan önce bir sınama ormanında doğrulamanızı önerir. Sınama ormanı aşağıdaki bakımlardan üretim ormanını yansıtmalıdır:
  • İstemci ve sunucu işletim sistemi sürümleri, istemci ve sunucu programları, hizmet paketi sürümleri, düzeltmeler, şema değişiklikleri, güvenlik grupları, grup üyelikleri, dosya sistemindeki nesnelerle ilgili izinler, paylaşılan klasörler, kayıt defteri, Active Directory dizin hizmeti, yerel ve Grup İlkesi ayarları ve nesne sayısı türü ve konumu
  • Gerçekleştirilen yönetimsel görevler, kullanılan yönetimsel araçlar ve yönetimsel görevleri gerçekleştirmek için kullanılan işletim sistemleri
  • Bilgisayar ve kullanıcı oturum açma kimlik doğrulaması; kullanıcılar tarafından, bilgisayarlar tarafından ve yöneticiler tarafından yapılan parola sıfırlamalar; gözatma; tüm hesap veya kaynak etki alanlarından tüm istemci işletim sistemlerinden tüm hesap ve kaynak etki alanlarındaki tüm istemci işletim sistemlerinde ACL Düzenleyicisi kullanılarak dosya sistemi için, paylaşılan klasörler için, kayıt defteri için ve Active Directory kaynakları için izinleri ayarlama; yönetici ve yönetici olmayan hesaplardan yazdırma dahil olmak üzere gerçekleştirilen işlemler

Windows Server 2003 SP1

Gpedit.msc'deki uyarılar

Müşterilerin ağlarında olumsuz etkileri olabilecek bir kullanıcı hakkını veya güvenlik seçeneğini düzenlediklerini fark etmelerine yardımcı olmak için, gpedit.msc'ye iki uyarı mekanizması eklenmiştir. Yöneticiler tüm kuruluşu olumsuz yönde etkileyebilecek bir kullanıcı hakkını düzenlediğinde, "yol ver" işaretine benzeyen yeni bir simge görürler. Microsoft Bilgi Bankası makalesi 823659'a bağlantı içeren bir uyarı iletisi de alırlar. Bu iletinin metni aşağıdaki gibidir:
Bu ayarı değiştirmek istemciler, hizmetler ve uygulamalarla uyumluluğu etkileyebilir. Daha fazla bilgi için bkz: <değiştirilmekte olan kullanıcı hakkı veya güvenlik seçeneği> (Q823659)
Bu BB makalesine GPEDIT.MSC'deki bir bağlantıdan yönlendirildiyseniz, sağlanan açıklamayı ve bu ayarı değiştirmenin olası etkisini okuduğunuzdan ve anladığınızdan ve emin olun. Aşağıda yeni uyarı metnini içeren kullanıcı haklarının bir listesi bulunmaktadır:
  • Bu bilgisayara ağ üzerinden erişme
  • Yerel olarak oturum açma
  • Çapraz denetimi atlama
  • Temsilci seçmek için güvenilecek bilgisayarları ve kullanıcıları etkinleştirme
Aşağıda uyarıyı ve bir açılan pencereyi içeren Güvenlik Seçenekleri listelenmiştir:
  • Etki Alanı Üyesi: Güvenli kanal verisini (her zaman) dijital olarak şifrele ya da imzala
  • Etki Alanı Üyesi: Güçlü (Windows 2000 veya daha yenisi) oturum anahtarı iste
  • Etki Alanı Denetleyicisi: LDAP sunucu imzalama gereksinimleri
  • Microsoft ağ sunucusu: İletişimi dijital olarak imzala (her zaman)
  • Ağ Erişimi: Adsız SID/Ad çevirisine izin ver
  • Ağ Erişimi: SAM hesap ve paylaşımlarının adsız numaralandırılmasına izin verme
  • Ağ güvenliği: LAN Manager Kimlik Doğrulama düzeyi
  • Denetle: Güvenlik denetimleri günlüğü tutulamazsa sistemi hemen kapat
  • Ağ Erişimi: LDAP istemci imzalama gereksinimleri

Daha fazla bilgi

Aşağıdaki bölümlerde Windows NT 4.0, Windows 2000 ve Windows Server 2003 etki alanlarında belirli ayarları değiştirdiğinizde oluşabilecek uyumsuzluklar açıklanmaktadır.

Kullanıcı hakları

  1. Bu bilgisayara ağ üzerinden erişme
    1. Arka plan

      Uzak Windows bilgisayarlar etkileşim becerisi için Bu bilgisayara ağ üzerinden erişme kullanıcı hakkı gerekir. Bu gibi ağ işlemlerine örnek olarak ortak bir etki alanı veya ormandaki etki alanı denetleyicileri arasında Active Directory çoğaltması, etki alanı denetleyicilerine kullanıcılardan ve bilgisayarlardan gelen kimlik doğrulama istekleri ve ağdaki uzak bilgisayarlarda bulunan paylaşılan klasörlere, yazıcılara ve diğer sistem hizmetlerine erişim verilebilir.

      Kullanıcılar, bilgisayarlar ve hizmet hesapları Bu bilgisayara ağ üzerinden erişme kullanıcı hakkını, bu kullanıcı hakkının verildiği bir güvenlik grubuna açıkça veya örtük olarak eklenerek veya gruptan çıkarılarak kazanabilir veya kaybedebilir. Örneğin, bir kullanıcı veya bilgisayar hesabı bir yönetici tarafından bir özel veya yerleşik güvenlik grubuna açıkça eklenebilir ya da işletim sistemi tarafından Domain Users, Authenticated Users veya Enterprise Domain Controllers gibi bir hesaplanmış güvenlik grubuna örtük olarak eklenebilir.

      Varsayılan olarak, Everyone veya tercihen Authenticated Users gibi hesaplanmış gruplar ve etki alanı denetleyicileri için Enterprise Domain Controllers grubu varsayılan etki alanı denetleyicisinin Grup İlkesi nesnesinde (GPO) tanımlanmışsa kullanıcı ve bilgisayar hesaplarına Bu bilgisayara ağ üzerinden erişme kullanıcı hakkı verilir.
    2. Riskli yapılandırmalar

      Zararlı olabilecek yapılandırma ayarları şunlardır:
      • Bu kullanıcı hakkından Enterprise Domain Controllers güvenlik grubunu kaldırma.
      • Authenticated Users grubunu veya kullanıcılara, bilgisayarlara ve hizmet hesaplarına ağ üzerinden bilgisayarlara bağlanma kullanıcı hakkı veren bir grubu kaldırma.
      • Bu kullanıcı hakkında tüm kullanıcıları ve bilgisayarları kaldırma.
    3. Bu kullanıcı hakkını verme nedenleri
      • Enterprise Domain Controllers grubuna Bu bilgisayara ağ üzerinden erişme kullanıcı hakkının verilmesi, aynı ormandaki etki alanı denetleyicileri arasında çoğaltmanın gerçekleşmesi için Active Directory çoğaltmasının sahip olması gereken kimlik doğrulama gereksinimlerini karşılar.
      • Bu kullanıcı hakkı kullanıcıların paylaşılan dosyalara, yazıcılara ve Active Directory dahil olmak üzere sistem hizmetlerine erişmesine olanak verir.
      • Bu kullanıcı hakkı kullanıcıların eski Microsoft Outlook Web Access (OWA) sürümlerini kullanarak postalarına erişmeleri için gereklidir.
    4. Bu kullanıcı hakkını kaldırma nedenleri
      • Bilgisayarlarını ağa bağlayabilen kullanıcılar izinlerine sahip oldukları uzak bilgisayarlardaki kaynaklara erişebilirler. Örneğin, bu kullanıcı hakkı bir kullanıcının paylaşılan yazıcılara ve klasörlere bağlanabilmesi için gereklidir. Bu kullanıcı hakkı Everyone grubuna verilmişse ve bazı paylaşılan klasörlerde hem paylaşım hem de NTFS dosya sistemi izinleri aynı grup okuma erişimine sahip olacak şekilde yapılandırılmışsa, herkes bu paylaşılan klasörlerdeki dosyaları görüntüleyebilir. Ancak bu durum yeni Windows Server 2003 yüklemelerinde olası değildir, çünkü Windows Server 2003'teki varsayılan paylaşım ve NTFS izinleri Everyone grubunu içermez. Microsoft Windows NT 4.0 veya Windows 2000'den yükseltilen sistemlerde bu açığın risk düzeyi daha yüksek olabilir, çünkü bu işletim sistemlerinin varsayılan paylaşım ve dosya sistemi izinleri Windows Server 2003'teki varsayılan izinler kadar kısıtlayıcı değildir.
      • Enterprise Domain Controllers grubunu bu kullanıcı hakkından kaldırmanın geçerli bir nedeni yoktur.
      • Everyone grubu genellikle Authenticated Users grubu tercih edilerek kaldırılır. Everyone grubu kaldırılmışsa, Authenticated Users grubuna bu kullanıcı hakkının verilmesi gerekir.
      • Windows 2000'e yükseltilen Windows NT 4.0 etki alanları Everyone, Authenticated Users veya Enterprise Domain Controllers gruplarına Bu bilgisayara ağ üzerinden erişme kullanıcı hakkını açıkça vermez. Bu nedenle, Everyone grubunu Windows NT 4.0 etki alanı ilkesinden kaldırdığınızda, Windows 2000'e yükseltmenizden sonra Active Directory çoğaltması bir "Erişim Reddedildi" hata iletisiyle başarısız olur. Windows Server 2003'teki Winnt32.exe, Windows NT 4.0 birincil etki alanı denetleyicilerini (PDC) yükselttiğinizde bu kullanıcı hakkını Enterprise Domain Controllers grubuna vererek bu hatalı yapılandırmayı önler. Grup İlkesi Nesne Düzenleyicisi'nde mevcut değilse, Enterprise Domain Controllers grubuna bu kullanıcı hakkını verin.
    5. Uyumluluk sorunlarına örnekler
      • Windows 2000 ve Windows Server 2003: Active Directory Şeması'nın, Yapılandırması'nın, Etki Alanı'nın, genel kataloğun veya Uygulama Bölümleri'nin çoğaltması, REPLMON ve REPADMIN gibi izleme araçları veya olay günlüğündeki çoğaltma olanları tarafından bildirildiği şekilde "Erişim Reddedildi" hatalarıyla başarısız olur.
      • Tüm Microsoft ağ işletim sistemleri: Kullanıcıya veya kullanıcının üyesi olduğu bir güvenlik grubuna bu kullanıcı hakkı verilmemişse, uzak ağ istemci bilgisayarlarından Kullanıcı Hesabı kimlik doğrulaması başarısız olur.
      • Tüm Microsoft ağ işletim sistemleri: Hesaba veya hesabın üyesi olduğu bir güvenlik grubuna bu kullanıcı hakkı verilmemişse, uzak ağ istemci bilgisayarlarından hesap kimlik doğrulaması başarısız olur. Bu senaryo kullanıcı hesapları, bilgisayar hesapları ve hizmet hesapları için geçerlidir.
      • Tüm Microsoft ağ işletim sistemleri: Bu kullanıcı hakkından tüm hesapların kaldırılması, tüm hesapların etki alanında oturum açmasını ve ağ kaynaklarına erişmesini engeller. Enterprise Domain Controllers, Everyone veya Authenticated Users gibi hesaplanmış gruplar kaldırılmışsa, ağ üzerinden uzak bilgisayarlara erişmek için hesaplara veya hesabın üyesi olduğu güvenlik gruplarına bu kullanıcı hakkını açıkça vermeniz gerekir. Bu senaryo tüm kullanıcı hesapları, tüm bilgisayar hesapları ve tüm hizmet hesapları için geçerlidir.
      • Tüm Microsoft ağ işletim sistemleri: Yerel kullanıcı hesap "boş" bir parola kullanır. Etki alanı ortamında yönetici hesaplarının boş parolalarla ağa bağlanmasına izin verilmez. Bu yapılandırmayla bir "Erişim Reddedildi" hata iletisi almanız beklenir.
  2. Yerel olarak oturum açmaya izin ver
    1. Arka plan

      Microsoft Windows tabanlı bir bilgisayarın konsolunda oturum açmaya çalışan (CTRL+ALT+DELETE oturum açma tuş sırasını kullanarak) kullanıcıların ve bir hizmet başlatmaya çalışan hesapların barındıran bilgisayarda yerel oturum açma ayrıcalıkları olması gerekir. Yerel oturum açma işlemlerine örnek olarak üye bilgisayarların veya kuruluş çapındaki etki alanı denetleyicilerinin konsollarında oturum açan yöneticiler ve ayrıcalıklı olmayan hesaplar kullanarak masaüstlerine erişmek için üye bilgisayarlarda oturum açan etki alanı kullanıcıları verilebilir. Uzak Masaüstü bağlantısı veya Terminal Hizmetleri kullanan kullanıcıların Windows 2000 veya Windows XP çalıştıran hedef bilgisayarlarda Yerel olarak oturum açmaya izin ver kullanıcı hakkına sahip olması gerekir, çünkü bu oturum açma modları barındıran bilgisayarda yerel kabul edilir. Terminal Server'ın etkinleştirilmiş olduğu bir sunucuda oturum açan ve bu kullanıcı hakkına sahip olmayan kullanıcılar, Terminal Hizmetleri üzerinden oturum açmaya izin ver kullanıcı hakkına sahiplerse Windows Server 2003 etki alanlarında yine de bir uzak etkileşimli oturum başlatabilirler.
    2. Riskli yapılandırmalar

      Zararlı olabilecek yapılandırma ayarları şunlardır:
      • Varsayılan etki alanı denetleyicileri ilkesinden Account Operators, Backup Operators, Print Operators veya Server Operators gibi yönetimsel güvenlik gruplarını ve yerleşik Administrators grubunu kaldırma.
      • Varsayılan etki alanı denetleyicileri ilkesinden etki alanındaki üye bilgisayarlarda ve etki alanı denetleyicilerinde bileşenler ve programlar tarafından kullanılan hizmet hesaplarını kaldırma.
      • Etki alanındaki üye bilgisayarların konsolunda oturum açan kullanıcıları ve güvenlik gruplarını kaldırma.
      • Üye bilgisayarların veya çalışma grubu bilgisayarlarının yerel Güvenlik Hesapları Yöneticisi (SAM) veritabanında tanımla hizmet hesaplarını kaldırma.
      • Bir etki alanı denetleyicisinde çalışan Terminal Hizmetleri üzerinden kimlik doğrulayan yerleşik olmayan yönetimsel hesapları kaldırma.
      • Everyone grubu aracılığıyla etki alanındaki tüm kullanıcı hesaplarını açıkça veya örtük olarak Yerel olarak oturum açmayı reddet oturum açma hakkına ekleme. Bu yapılandırma kullanıcıların etki alanındaki herhangi bir üye bilgisayarda veya herhangi bir etki alanı denetleyicisinde oturum açmalarını önler.
    3. Bu kullanıcı hakkını verme nedenleri
      • Kullanıcıların bir çalışma grubu bilgisayarının, üye bilgisayarın veya etki alanı denetleyicisinin konsoluna erişebilmeleri için Yerel olarak oturum açmaya izin ver hakkına sahip olmaları gerekir.
      • Kullanıcıların Windows 2000 tabanlı bir üye bilgisayarda veya etki alanı denetleyicisinde çalışan bir Terminal Hizmeti oturumu üzerinden oturum açabilmek için bu kullanıcı hakkına sahip olmaları gerekir.
    4. Bu kullanıcı hakkını kaldırma nedenleri
      • Konsol erişiminin meşru kullanıcı hesaplarıyla sınırlanmaması, yetkisiz kullanıcıların kötü amaçlı kod karşıdan yükleyip yürüterek kullanıcı haklarını değiştirmelerine olanak verebilir.
      • Yerel olarak oturum açmaya izin ver kullanıcı hakkının kaldırılması, etki alanı denetleyicileri ve uygulama sunucuları gibi bilgisayarların konsollarında yetkisiz oturum açılmasını engeller.
      • Bu oturum açma hakkının kaldırılması, etki alanı hesabı olmayan hesapların etki alanındaki üye bilgisayarların konsolundan oturum açmasını önler.
    5. Uyumluluk sorunlarına örnekler
      • Windows 2000 terminal sunucuları: Yerel olarak oturum açmaya izin ver kullanıcı hakkı kullanıcıların Windows 2000 terminal sunucularında oturum açması için gereklidir.
      • Windows NT 4.0, Windows 2000, Windows XP veya Windows Server 2003: Kullanıcı haklarının Windows NT 4.0, Windows 2000, Windows XP veya Windows Server 2003 çalıştıran bilgisayarların konsolunda oturum açması için bu kullanıcı hakkının verilmesi gerekir.
      • Windows NT 4.0 ve üstü: Windows NT 4.0 ve üstünü çalıştıran bilgisayarlarda, Yerel olarak oturum açmaya izin ver kullanıcı hakkını ekler ancak Yerel olarak oturum açmayı reddet oturum açma hakkını da açıkça veya örtük olarak verirseniz, hesaplar etki alanı denetleyicilerinin konsolunda oturum açamaz.
  3. Çapraz denetimi atlama
    1. Arka plan

      Çapraz denetimi atlama kullanıcı hakkı, kullanıcının Klasöre Çapraz Geçiş Yapma özel erişim izni olup olmadığı denetlenmeden NTFS dosya sistemindeki klasörlerde veya kayıt defterinde gezinmesine izin verir. Çapraz denetimi atlama kullanıcı hakkı kullanıcının bir klasörün içindekileri listelemesine izin vermez, yalnızca klasörlerinde çapraz geçiş yapmasına izin verir.
    2. Riskli yapılandırmalar

      Zararlı olabilecek yapılandırma ayarları şunlardır:
      • Dosya sistemindeki dosyalara ve klasörlere erişim izinleri olmayan Windows 2000 veya Windows Server 2003 tabanlı Terminal Hizmetleri bilgisayarlarında oturum açan yönetimsel olmayan hesapları kaldırma.
      • Everyone grubunu varsayılan olarak bu kullanıcı hakkına sahip olan güvenlik sorumluları listesinden kaldırma. Windows işletim sistemleri ve ayrıca bir çok program, bilgisayara meşru bir şekilde erişebilen herkesin Çapraz denetimi atlama kullanıcı hakkına sahip olacağı beklentisiyle tasarlanmıştır. Bu nedenle, Everyone grubunun varsayılan olarak bu kullanıcı hakkına sahip olan güvenlik sorumluları listesinden kaldırılması işletim sistemi kararsızlığına veya program hatasına neden olabilir. Bu ayarı varsayılan değerinde bırakmanız daha iyidir.
    3. Bu kullanıcı hakkını verme nedenleri

      Çapraz denetimi atlama kullanıcı hakkının varsayılan ayarı herkes çapraz denetimi atlayacak şekildedir. Deneyimli Windows sistem yöneticileri için bu beklenen davranıştır ve dosya sistemi erişim denetim listelerini (SACL) uygun şekilde yapılandırırlar. Varsayılan yapılandırmanın soruna neden olabileceği tek senaryo, izinleri yapılandıran yöneticinin davranışı almaması ve bir üst klasöre erişemeyen kullanıcıların bunun hiçbir alt klasörünün içeriğine erişemeyeceğini beklemesidir.
    4. Bu kullanıcı hakkını kaldırma nedenleri

      Güvenlik konusuna fazla önem veren kuruluşlar, dosya isteminde dosyalara ve klasörlere erişimi engellemeye çalışmak amacıyla Çapraz denetimi atlama kullanıcı hakkına sahip gruplardan Everyone grubunu ve hatta Users grubunu çıkarmaya meyledebilir.
    5. Uyumluluk sorunlarına örnekler
      • Windows 2000, Windows Server 2003: Windows 2000 veya Windows 20003 çalıştıran bilgisayarlarda Çapraz denetimi atlama kullanıcı hakkı kaldırılır veya yanlış yapılandırılırsa, SYSVOL klasöründeki Grup İlkesi ayarları etki alanındaki etki alanı denetleyicileri arasında çoğaltılmaz.
      • Windows 2000, Windows XP Professional, Windows Server 2003: Windows 2000, Windows XP Professional veya Windows Server 2003 çalıştıran bilgisayarlar, Çapraz denetimi atlama kullanıcı hakkı kaldırıl veya yanlış yapılandırılırsa, SYSVOL ağacından gerekli dosya sistemi izinleri kaldırıldığında 1000 ve 1202 numaralı olayları günlüğe kaydederler ve bilgisayar ilkesini ve kullanıcı ilkesini uygulamazlar.

        Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        290647 Olay Kimliği 1000, 1001 her beş dakikada bir Uygulama günlüğüne kaydediliyor
      • Windows 2000, Windows Server 2003: Windows 2000 veya Windows Server 2003 çalıştıran bilgisayarlarda, bir birimin özelliklerini görüntülediğinizde Windows Gezgini'nde Kota sekmesi görünmez.
      • Windows 2000: Windows 2000 terminal sunucusunda oturum açan yönetici dışı kullanıcılar aşağıdaki hata iletisini alabilir:
        Userinit.exe uygulama hatası. Uygulama düzgün olarak başlayamadı (0xc0000142). Uygulamayı sonlandırmak için Tamam'ı tıklatın.
        Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        272142 Terminal Hizmetleri'nde oturum açmayı denerken kullanıcıların oturumları otomatik olarak kapatılıyor
      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Bilgisayarlarında Windows NT 4.0, Windows 2000, Windows XP veya Windows Server 2003 çalışan kullanıcılar, kendilerine Çapraz denetimi atlama kullanıcı hakkı verilmemişse, paylaşılan klasörlere veya paylaşılan klasörlerdeki dosyalara erişemeyebilir ve "Erişim Reddedildi" hata iletileri alabilir.

        Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        277644 Kullanıcılar paylaşılan klasörlere erişmeye çalıştıklarında "Erişim Reddedildi" hata iletisi
      • Windows NT 4.0: Windows NT 4.0 tabanlı bilgisayarlarda, Çapraz denetimi atlama kullanıcı hakkının kaldırılması dosya kopyalama işleminin dosya akışlarını bırakmasına neden olur. Bu kullanıcı hakkını kaldırırsanız, bir dosya bir Windows veya Macintosh istemcisinden Macintosh Hizmetleri çalıştıran bir Windows NT 4.0 etki alanı denetleyicisine kopyalandığında, hedef dosya akışı kaybedilir ve dosya salt metin bir dosya olarak görünür.

        Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        172930 "Çapraz Denetimi Atlama" izninin kaldırılması dosya kopyalama işleminin akışları bırakmasına neden oluyor
      • Microsoft Windows 95, Microsoft Windows 98: Windows 95 veya Windows 98 çalıştıran bir istemci bilgisayarda, Authenticated Users grubuna Çapraz denetimi atlama kullanıcı hakkı verilmemişse, net use * /home komutu bir "Erişim Reddedildi" hata iletisiyle başarısız olur.
      • Outlook Web Access: Kendilerine Çapraz denetimi atlama kullanıcı hakkı verilmemişse, yönetici olmayanlar Microsoft Outlook Web Access'te oturum açamazlar ve bir "Erişim Reddedildi" hata iletisi alırlar.
Güvenlik Ayarları
  1. Denetle: Güvenlik denetimleri günlüğü tutulamazsa sistemi hemen kapat
    1. Arka plan
      • Denetle: Güvenlik denetimleri günlüğü tutulamazsa sistemi hemen kapat ayarı, güvenlik olaylarını günlüğe kaydedemediğinizde sistemin kapatılıp kapatılmayacağını belirler. Bu ayar, denetim sistemi denetlenebilir olayları günlüğe kaydedemediğinde bu olayların önlenmesi için Güvenilen Bilgisayar Güvenliği Değerlendirme Ölçütleri (Trusted Computer Security Evaluation Criteria, TCSEC) programının C2 değerlendirmesi ve (Bilgi Teknolojisi Güvenlik Değerlendirme için Ortak Ölçütler (Common Criteria for Information Technology Security Evaluation) açısından gereklidir. Denetim sistemi başarısız olursa, sistem kapatılır ve bir Dur hata iletisi görünür.
      • Bilgisayar güvenlik günlüğüne olay kaydedemezse, bir güvenlik olayından sonra inceleme için kullanılabilecek kritik deliller veya önemli sorun giderme bilgileri olmayabilir.
    2. Riskli yapılandırma

      Aşağıdaki, zararlı olabilecek bir yapılandırma ayarıdır: Denetle: Güvenlik denetimleri günlüğü tutulamazsa sistemi hemen kapat ayarı açık olması ve güvenlik olay günlüğünün boyutu Olay Görüntüleyicisi'ndeki Olayların üzerine yazma (günlüğü kendin temizle) seçeneği, Gerektiğinde olayların üzerine yaz seçeneği veya Sayı günden eski olanların üzerine yaz seçeneği ile kısıtlanması. Windows 2000, Windows 2000 Service Pack 1 (SP1), Windows 2000 SP2 veya Windows 2000 SP3'ün özgün yayım sürümlerini kullanan bilgisayarları etkileyen belirli riskler hakkında bilgi için "Uyumluluk Sorunlarına Örnekler" bölümüne bakın.
    3. Bu ayarı etkinleştirme nedenleri

      Bilgisayar güvenlik günlüğüne olay kaydedemezse, bir güvenlik olayından sonra inceleme için kullanılabilecek kritik deliller veya önemli sorun giderme bilgileri olmayabilir.
    4. Bu ayarı devre dışı bırakma nedenleri
      • Denetle: Güvenlik denetimleri günlüğü tutulamazsa sistemi hemen kapat ayarının etkinleştirilmesi, herhangi bir nedenle bir güvenlik denetimini günlüğe kaydedilemediğinde sistemi durdurur. Genellikle bir olay, güvenlik denetim günlüğü dolu olduğunda ve günlüğü tutma yöntemi Olayların üzerine yazma (günlüğü kendin temizle) seçeneği ya da Sayı günden eski olanların üzerine yaz seçeneği olduğunda günlüğe kaydedilemez.
      • Denetle: Güvenlik denetimleri günlüğü tutulamazsa sistemi hemen kapat ayarının etkinleştirmenin yönetim üzerindeki yükü, özellikle de güvenlik günlüğü için Olayların üzerine yazma (günlüğü kendin temizle) seçeneğini etkinleştirirseniz çok yüksek olabilir. Bu seçenek işletmen eylemlerinin tek tek sorumluluğunun belirlenmesini sağlar. Örneğin, bir yönetici yerleşik yönetici hesabını veya başka bir paylaşılan hesabı kullanarak denetimin etkin olduğu bir kuruluş birimindeki (OU) tüm kullanıcıların, bilgisayarların ve grupların izinlerini sıfırlayabilir ve sonra da bu izinleri sıfırladığını inkar edebilir. Ancak, ayarın etkinleştirilmesi sistemin verimliliğini azaltır, çünkü bir sunucu oturum açma olaylarıyla veya olay günlüğüne yazılan diğer güvenlik olaylarıyla aşırı yüklenilerek kapanmaya zorlanabilir. Ek olarak, kapanma düzgün yapılmadığından işletim sisteminde, programlarda veya verilerde onarılamaz hasarlar oluşabilir. NTFS düzgün olmayan bir sistem kapanması sırasında sistemin bütünlüğünün korunacağını garanti etse de, sistem yeniden başlatıldığında her programın her veri dosyasının hala kullanılabilir durunda olacağını garanti edemez
    5. Simgesel Ad:

      CrashOnAuditFail
    6. Kayıt Defteri Yolu:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)
    7. Uyumluluk sorunlarına örnekler
      • Windows 2000: Bir hata nedeniyle, Windows 2000, Windows 2000 SP1, Windows 2000 SP2 veya Windows Server SP3'ün özgün yayım sürümünü çalıştıran bilgisayarlar, güvenlik olay günlüğü için En büyük günlük boyutu seçeneğinde belirtilen boyuta ulaşılmadan olayları günlüğe kaydetmeyi durdurabilir. Bu hata Windows 2000 Service Pack 4'te (SP4) düzeltilmiştir. Bu ayarı etkinleştirmeyi düşünmeden önce Windows 2000 etki alanı denetleyicilerinizde Windows 2000 Service Pack 4'ün yüklü olduğundan emin olun.

        Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        312571 Olay günlüğü en büyük günlük boyutuna ulaşmadan olayları günlüğe kaydetmeyi durduruyor
      • Windows 2000, Windows Server 2003: Windows 2000 veya Windows Server 2003 çalıştıran bilgisayarlar, Denetle: Güvenlik denetimleri günlüğü tutulamazsa sistemi hemen kapat ayarı açıksa ve güvenlik günlüğü doluysa ve varolan bir olay günlüğü girişinin üzerine yazılamıyorsa yanıt vermeyi durdurabilir ve bir anda yeniden başlayabilir. Bilgisayar yeniden başladığında aşağıdaki Dur hata iletisi görünür:
        DUR: C0000244 {Denetim Başarısız}
        Güvenlik denetimi oluşturma girişimi başarısız oldu.
        Kurtarmak için bir yöneticinin oturum açması, güvenlik günlüğünü arşivlemesi (isteğe bağlı), güvenlik günlüğünü temizlemesi ve sonra bu seçeneği sıfırlaması (isteğe bağlı ve gerektiği şekilde) gerekir.
      • MS-DOS için Microsoft Ağ İstemcisi, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Bir etki alanında oturum açmaya çalışan yönetici olmayan kullanıcılar aşağıdaki hata iletisini alır:
        Hesabınız, bu bilgisayarı kullanmanızı engelleyecek şekilde yapılandırılmış. Lütfen başka bir bilgisayarı deneyin.
        Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        160783 Hata iletisi: Kullanıcılar bir iş istasyonunda oturum açamıyor
      • Windows 2000: Windows 2000 tabanlı bilgisayarlarda, yönetici olmayanlar uzaktan erişim sunucularında oturum açamazlar ve aşağıdakine benzer bir hata iletisi alırlar:
        Bilinmeyen kullanıcı veya hatalı parola
        Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        285665 Hata iletisi: Hesabınız, bu bilgisayarı kullanmanızı engelleyecek şekilde yapılandırılmış
      • Windows 2000: Windows 2000 etki alanı denetleyicilerinde, Siteler Arası İleti hizmeti (Ismserv.exe) durur ve yeniden başlatılamaz. DCDIAG hatayı "başarısız sınama hizmetleri ISMserv" olarak bildirir ve olay günlüğüne olay kimliği 1083 kaydedilir.
      • Windows 2000: Windows 2000 etki alanı denetleyicilerinde, Active Directory çoğaltması başarısız olur ve güvenlik olay günlüğü doluysa bir "Erişim Reddedildi" iletisi görüntülenir.
      • Microsoft Exchange 2000: Exchange 2000 çalıştıran sunucular bilgi deposu veritabanını bağlayamaz ve olay günlüğüne 2102 olayı kaydedilir.

        Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        314294 SeSecurityPrivilege Hakkı ve Policytest sorunları nedeniyle Exchange 2000 hata iletileri oluşturuluyor
      • Outlook, Outlook Web Access: Yönetici olmayanlar Microsoft Outlook veya Microsoft Outlook Web Access üzerinden postalarına erişemezler ve bir 503 hatası alırlar.
  2. Etki alanı denetleyicisi: LDAP sunucu imzalama gereksinimleri
    1. Arka plan

      Etki alanı denetleyicisi: LDAP sunucu imzalama gereksinimleri güvenlik ayarı, Basit Dizin Erişim Protokolü (LDAP) sunucusunun LDAP istemcilerinin veri imzalama anlaşması yapmasını isteyip istemeyeceğini belirler. Bu ilke ayarının olası değerleri:
      • Yok: Sunucuya bağlanmak için veri imzalama gerekmez. İstemci veri imzalama isterse, sunucu bunu destekler.
      • İmzalama gerekiyor: Aktarım Katmanı Güvenliği/Güvenli Yuva Katmanı (TLS/SSL) kullanılmıyorsa LDAP veri imzalama seçeneğinin sağlanması gerekir.
      • tanımsız Bu seçenek etkin veya devre dışı değildir.
    2. Riskli yapılandırmalar

      Zararlı olabilecek yapılandırma ayarları şunlardır:
      • İstemcilerin LDAP imzalamayı desteklemediği veya istemci tarafı LDAP imzalamanın istemcide etkinleştirilmediği ortamlarda İmzalama gerekiyor seçeneğini etkinleştirme
      • İstemcilerin LDAP imzalamayı desteklemediği veya istemci tarafı LDAP imzalamanın etkinleştirilmediği ortamlarda Windows 2000 veya Windows Server 2003 Hisecdc.inf güvenlik şablonunu uygulama
      • İstemcilerin LDAP imzalamayı desteklemediği veya istemci tarafı LDAP imzalamanın etkinleştirilmediği ortamlarda Windows 2000 veya Windows Server 2003 Hisecws.inf güvenlik şablonunu uygulama
    3. Bu ayarı etkinleştirme nedenleri

      İmzalanmamış ağ trafiği ortadaki adam saldırılarına maruz kalabilir (bir saldırgan istemci ile sunucu arasındaki paketleri yakalar, paketleri değiştirir ve sonra bunları sunucuya iletir). Bir LDAP sunucusunda bu davranış oluştuğunda, saldırgan sunucunun LDAP istemcisinden gelen gerçek dışı sorgulara dayalı kararlar vermesine neden olabilir. Bir şirket ağında, ağ altyapısını korumaya yardımcı olacak sağlam fiziksel güvenlik önlemleri uygulayarak bu riski azaltabilirsiniz. Internet Protokolü Güvenliği (IPSec) kimlik doğrulaması üstbilgi modu ortadaki adam saldırılarını son derece zorlaştırabilir. Kimlik doğrulama üstbilgisi modu, IP trafiği için karşılıklı kimlik doğrulama ve paket bütünlüğü denetimi gerçekleştirir.
    4. Bu ayarı devre dışı bırakma nedenleri
      • LDAP imzalamayı desteklemeyen istemciler, NTLM kimlik doğrulamasında anlaşılmışsa ve Windows 2000 etki alanı denetleyicilerine doğru hizmet paketleri yüklenmemişse, etki alanı denetleyicilerinde ve genel kataloglarda LDAP sorguları gerçekleştiremezler.
      • İstemcilerle sunucular arasındaki LDAP trafiğiyle ilgili ağ izlemeleri şifrelenerek LDAP görüşmelerini incelemeyi zorlaştırır.
      • Windows 2000 SP4, Windows XP veya Windows Server 2003 çalıştıran istemci bilgisayarlardan çalıştırılan LDAP imzalamayı destekleyen programlar kullanılarak yönetildiklerinde, Windows 2000 tabanlı sunucularda Windows 2000 Service Pack 3 (SP3) veya üstü yüklü olmalıdır. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        325465 Windows Server 2003 yönetimsel araçları kullanılırken Windows 2000 etki alanı denetleyicileri için Service Pack 3 veya sonraki sürümü gerekir
    5. Simgesel Ad:

      LDAPServerIntegrity
    6. Kayıt Defteri Yolu:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)
    7. Uyumluluk sorunlarına örnekler
      • Basit bağlamalar başarısız olur ve aşağıdaki hata iletisini alırsınız:
        Ldap_simple_bind_s() başarısız: Güçlü Kimlik Doğrulama Gerekli.
      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Windows 2000 SP4, Windows XP veya Windows Server 2003 çalıştıran istemcilerde, bazı Active Directory yönetim araçları, NTLM kimlik doğrulamasında anlaşıldığında Windows 2000'in SP3'ten önceki sürümlerini çalıştıran etki alanı denetleyicilerine karşı düzgün çalışmazlar.

        Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        325465 Windows Server 2003 yönetimsel araçları kullanılırken Windows 2000 etki alanı denetleyicileri için Service Pack 3 veya sonraki sürümü gerekir
      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Windows 2000 SP4, Windows XP veya Windows Server 2003 çalıştıran istemcilerde, Windows 2000'in SP3'ten önceki sürümlerini çalıştıran etki alanı denetleyicilerini hedefleyen bazı Active Directory yönetimsel araçları, IP adreslerini kullanıyorlarsa (örneğin, "dsa.msc /server=x.x.x.x", burada x.x.x.x bir IP adresidir) doğru çalışmazlar.

        Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        325465 Windows Server 2003 yönetimsel araçları kullanılırken Windows 2000 etki alanı denetleyicileri için Service Pack 3 veya sonraki sürümü gerekir
      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Windows 2000 SP4, Windows XP veya Windows Server 2003 çalıştıran istemcilerde, Windows 2000'in SP3'ten önceki sürümlerini çalıştıran etki alanı denetleyicileri hedefleyen bazı Active Directory yönetim araçları düzgün çalışmazlar.

        Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        325465 Windows Server 2003 yönetimsel araçları kullanılırken Windows 2000 etki alanı denetleyicileri için Service Pack 3 veya sonraki sürümü gerekir
  3. Etki alanı üyesi: Güçlü (Windows 2000 veya daha yenisi) oturum anahtarı iste
    1. Arka plan
      • Etki alanı üyesi: Güçlü (Windows 2000 veya daha yenisi) oturum anahtarı iste ayarı, güvenli ağ trafiğini güçlü, 128-bit bir oturum anahtarıyla şifreleyemeyen bir etki alanı denetleyicisine güvenli bir kanal oluşturulup oluşturulamayacağını belirler. Bu ayarın etkinleştirilmesi, güvenli kanal verileri sağlam bir anahtarla şifreleyemeyen herhangi bir eki alanı denetleyicisine güvenli bir kanal oluşturulmasını engeller. Bu ayarın devre dışı bırakılması 64-bit oturum anahtarlarına izin verir.
      • Bu ayarı bir üye iş istasyonunda veya sunucuda etkinleştirebilmeniz için, üyenin ait olduğu etki alanındaki tüm etki alanı denetleyicilerinin güvenli kanal verilerini güçlü, 128-bit bir anahtarla şifreleyebilmesi gerekir. Bu, tüm bu etki alanı denetleyicilerinin Windows 2000 veya üstünü çalıştırıyor olması gerektiğini anlamına gelir.
    2. Riskli yapılandırma

      Etki alanı üyesi: Güçlü (Windows 2000 veya daha yenisi) oturum anahtarı iste ayarını etkinleştirmek zararlı olabilecek bir yapılandırma ayarıdır.
    3. Bu ayarı etkinleştirme nedenleri
      • Üye bilgisayarlarla etki alanı denetleyicileri arasında güvenli kanal iletişimi oluşturmak için kullanılan oturum anahtarları, Windows 2000'de Microsoft işletim sistemlerinin önceki sürümlerinde olduklarından çok daha güçlüdür.
      • Mümkün olduğunda, güvenli kanal iletişimlerini kulak misafiri olma ve oturumu ele geçirme ağ saldırılarından korumaya yardımcı olması için bu daha güçlü oturum anahtarlarından yararlanmak iyi bir fikirdir. Kulak misafiri olma, ağ verilerinin aktarım sırasında okunduğu veya değiştirildiği kötü amaçlı bir saldırıdır. Veriler göndereni değiştirmek veya gizlemek ya da yeniden yönlendirmek için değiştirilebilir.
      Önemli Windows Server 2008 R2 veya Windows 7 çalıştırılan bir bilgisayar yalnızca güvenli kanallar kullanılıyorsa güçlü anahtarları destekler. Bu kısıtlama, Windows NT 4.0 tabanlı bir etki alanı ile Windows Server 2008 R2 tabanlı bir etki alanı arasındaki güven ilişkisini engeller. Bu kısıtlama ayrıca Windows 7 veya Windows Server 2008 R2 çalıştırılan bilgisayarların Windows NT 4.0 tabanlı etki alanı üyeliklerini (ve tersi) engeller.
    4. Bu ayarı devre dışı bırakma nedenleri

      Etki alanı Windows 2000, Windows XP veya Windows Server 2003 dışında işletim sistemleri çalıştıran üye bilgisayarlar içermektedir.
    5. Simgesel Ad:

      StrongKey
    6. Kayıt Defteri Yolu:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)
    7. Uyumluluk sorunlarına örnekler

      Windows NT 4.0: Windows NT 4.0 tabanlı bilgisayarlarda, NLTEST kullanılarak Windows NT 4.0 ve Windows 2000 etki alanları arasındaki güven ilişkilerinin güvenli kanallarının sıfırlanması "Erişim Reddedildi" hatasıyla başarısız olur:
      Birincil etki alanı ile güvenilen etki alanı arasındaki güven ilişkisi başarısız oldu.
  4. Etki alanı üyesi: Güvenli kanal verisini (her zaman) dijital olarak şifrele ya da imzala
    1. Arka plan
      • Etki alanı üyesi: Güvenli kanal verisini (her zaman) dijital olarak şifrele ya da imzala seçeneğinin etkinleştirilmesi, tüm güvenli kanal verilerini imzalayamayan veya şifreleyemeyen herhangi bir etki alanı denetleyicisiyle güvenli bir kanal oluşturulmasını engeller. Kimlik doğrulama trafiğini ortadaki adam saldırılarından, yeniden gönderme saldırılarından veya başka türde ağ saldırılarından korumaya yardımcı olmak için, Windows tabanlı bilgisayarlar bilgisayar hesaplarının kimliğini doğrulamak amacıyla Net Logon hizmeti üzerinden güvenli kanal olarak bilinen bir iletişim kanalı oluştururlar. Bir etki alanındaki bir kullanıcı uzak bir etki alanındaki bir ağ kaynağına bağlandığında da güvenli kanallar kullanılır. Bu çok etki alanlı kimlik doğrulama veya geçiş kimlik doğrulaması, bir etki alanına katılmış Windows tabanlı bir bilgisayarın kendi etki alanındaki ve tüm güvenilen etki alanlarındaki kullanıcı hesabı veritabanına erişmesini sağlar.
      • Bir üye bilgisayarda Etki alanı üyesi: Güvenli kanal verisini (her zaman) dijital olarak şifrele ya da imzala ayarının etkinleştirilmesi için, üyenin ait olduğu etki alanındaki tüm etki alanı denetleyicilerinin tüm güvenlik kanal verilerini imzalayabilmesi veya şifreleyebilmesi gerekir. Bu, tüm bu etki alanı denetleyicilerinin Windows NT 4.0 Service Pack 6a (SP6a) veya üstünü çalıştırıyor olması gerektiğini anlamına gelir.
      • Etki alanı üyesi: Güvenli kanal verisini (her zaman) dijital olarak şifrele ya da imzala ayarının etkinleştirilmesi otomatik olarak Etki alanı üyesi: Güvenli kanal verisini (uygun olduğunda) dijital olarak şifrele ayarını etkinleştirir.
    2. Riskli yapılandırma

      Tüm etki alanı denetleyicilerinin güvenli kanal verilerini imzalayamadığı veya şifreleyemediği etki alanlarında Etki alanı üyesi: Güvenli kanal verisini (her zaman) dijital olarak şifrele ya da imzala ayarının etkinleştirilmesi zararlı olabilecek bir yapılandırma ayarıdır.
    3. Bu ayarı etkinleştirme nedenleri

      İmzalanmamış ağ trafiği ortadaki adam saldırılarına maruz kalabilir (bir saldırgan istemci ile sunucu arasındaki paketleri yakalar ve sonra bunları sunucuya iletmeden önce değiştirir). Bu davranış bir Basit Dizin Erişim Protokolü (LDAP) sunucusunda gerçekleştiğinde, saldırgan istemcinin LDAP dizininden gelen gerçek dışı kayıtlara dayalı kararlar vermesine neden olabilir. Bir şirket ağında, ağ altyapısını korumaya yardımcı olacak sağlam fiziksel güvenlik önlemleri uygulayarak bu gibi bir saldırı riskini azaltabilirsiniz. Ek olarak, Internet Protokolü Güvenliği (IPSec) kimlik doğrulaması üstbilgi modu her türlü ortadaki adam saldırılarını son derece zorlaştırabilir. Bu mod, IP trafiği için karşılıklı kimlik doğrulama ve paket bütünlüğü denetimi gerçekleştirir.
    4. Bu ayarı devre dışı bırakma nedenleri
      • Yerel veya dış etki alanlarındaki bilgisayarlar şifreli güvenli kanalları desteklemektedir.
      • Etki alanındaki tüm etki alanı denetleyicileri şifreli güvenli kanalları desteklemek için gereken hizmet paketi sürüm düzeyinde değildir.
    5. Simgesel Ad:

      StrongKey
    6. Kayıt Defteri Yolu:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)
    7. Uyumluluk sorunlarına örnekler
      • Windows NT 4.0: Windows 2000 tabanlı üye bilgisayarlar Windows NT 4.0 etki alanlarına katılamaz ve aşağıdaki hata iletisini alır:
        Kullanıcı, bu istasyondan oturum açmaya yetkili değil.
        Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        281648 Hata iletisi: Kullanıcı, bu istasyondan oturum açmaya yetkili değil
      • Windows NT 4.0: Windows NT 4.0 etki alanları bir Windows 2000 etki alanıyla alt düzey bir güven oluşturamaz ve aşağıdaki hata iletisini alır:
        Kullanıcı, bu istasyondan oturum açmaya yetkili değil.
        Varolan alt düzey güvenler de güvenilen etki alanındaki kullanıcıların kimliğini doğrulayamayabilir. Bazı kullanıcılar etki alanında oturum açmada güçlükle karşılaşabilir ve istemcinin etki alanını bulamadığını belirten bir hata iletisi alabilir.
      • Windows XP: Windows NT 4.0 etki alanlarına katılmış Windows XP istemciler oturum açma girişimlerinin kimliğini doğrulayamaz ve aşağıdaki hata iletisini alabilir veya olay günlüğüne aşağıdaki olaylar kaydedilebilir:
        Etki alanı denetleyicisi çalışmıyor veya kullanılamaz durumda ya da bilgisayarınızın hesabı bulunamadığı için Windows etki alanına bağlanamıyor

        Olay 5723: BilgisayarAdı bilgisayarından oturum hazırlığı kimlik doğrulaması başarısızlıkla sonuçlandı. Güvenlik veritabanında başvurulan hesabın adı BilgisayarAdı. Aşağıdaki hata oluştu: Erişim reddedildi.

        Olay 3227: Etki Alanı Adı etki alanı için, Windows NT ya da Windows 2000 Etki Alanı Denetleyicisi Sunucu Adı oturum kuruluşu, Sunucu Adı Netlogon oturumuna imzalama ya da mühürleme işlemini desteklemediği için başarısızlıkla sonuçlandı. Etki alanı denetleyicisini yükseltin ya da bu makinede RequireSignOrSeal kayıt defteri girdisini 0 yapın.

        Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        318266 Windows XP İstemcisi Windows NT 4.0 Etki Alanında Oturum Açamıyor
      • Microsoft Ağı Microsoft Ağı istemcileri aşağıdaki hata iletilerinden birini alır:
        Oturum açma hatası: Bilinmeyen kullanıcı veya hatalı parola.
        Belirtilen oturum için kullanıcı oturum anahtarı yok.
  5. Microsoft ağ istemcisi: İletişimi dijital olarak imzala (her zaman)
    1. Arka plan

      Sunucu İleti Bloğu (SMB) birçok Microsoft işletim sistemi tarafından desteklenen kaynak paylaşım protokolüdür; temel giriş/çıkış sisteminin (NetBIOS) ve diğer birçok protokolün temelini oluşturur. SMB imzalama hem kullanıcının hem de verileri barındıran sunucunun kimliğini doğrular. Taraflardan biri kimlik doğrulama işlemini başaramazsa, veri iletimi gerçekleşmez.

      SMB imzalamanın etkinleştirilmesi SMB protokol anlaşması sırasında başlar. SMB imzalama ilkeleri bilgisayarın istemci iletişimlerini her zaman dijital olarak imzalayıp imzalamayacağını belirler.

      Windows 2000 SMB kimlik doğrulama protokolü karşılıklı kimlik doğrulamayı destekler. Karşılıklı kimlik doğrulama "ortadaki adam" saldırısını kapatır. Windows 2000 SMB kimlik doğrulama protokolü ileti kimlik doğrulamasını da destekler. İleti kimlik doğrulaması etkin ileti saldırılarını engellemeye yardımcı olur. Size bu kimlik doğrulamayı sağlamak için, SMB imzalama her SMB'ye bir dijital imza ekler. Hem istemci hem de sunucu dijital imzayı doğrular.

      SMB imzasını kullanmak için, SMB imzalamayı etkinleştirmeniz veya hem SMB istemcisinde hem de SMB sunucusunda SMB imzalamayı gerekli kılmanız gerekir. Sunucuda SMB imzalama etkinleştirildiyse, SMB imzalama için etkinleştirilen istemciler izleyen oturumların tümünde paket imzalama iletişim kuralını kullanır. Sunucuda SMB imzalama gerekli kılınırsa, istemcide SMB imzalama etkinleştirilmedikçe veya gerekli kılınmadıkça istemci oturum oluşturamaz.

      Yüksek güvenlik düzeyine sahip ağlarda dijital imzanın etkinleştirilmesi istemcilerin ve sunucuların kimliğine bürünmeyi engellemeye yardımcı olur. Bu tür kimliğe bürünme oturum ele geçirme olarak bilinir. İstemci veya sunucu ile aynı ağa erişimi olan bir saldırgan, oturum ele geçirme araçlarını süregiden bir oturumu kesmek, sonlandırmak veya çalmak için kullanır. Bir saldırgan imzasız SMB paketlerini ele geçirip değiştirebilir, trafiği değiştirebilir ve sonra ileterek sunucunun istenmeyen eylemler gerçekleştirmesini sağlayabilir. Alternatif olarak, saldırgan meşru bir kimlik doğrulamadan sonra sunucu veya istemci rolüne girebilir ve sonra verilere yetkisiz erişim elde edebilir.

      Windows 2000 Server, Windows 2000 Professional, Windows XP Professional veya Windows Server 2003 çalıştıran bilgisayarlarda dosya paylaşımı ve yazıcı paylaşımı için kullanılan SMB protokolü karşılıklı kimlik doğrulamayı destekler. Karşılıklı kimlik doğrulama oturum ele geçirme saldırılarını kapatır ve ileti kimlik doğrulamasını destekler. Böylece, ortadaki adam saldırılarını önler. SMB imzalama, bu kimlik doğrulamayı her SMB'ye bir dijital imza yerleştirerek sağlar. Ardından imza hem istemci hem de sunucu tarafından doğrulanır.

      Notlar
      • Tüm ağ trafiğini korumaya yardımcı olabilecek alternatif bir karşı önlem, IPSec ile dijital imzaları etkinleştirmektir. Sunucu CPU'ları üzerindeki performans etkisini en aza indirmek için kullanılabilecek, donanım tabanlı IPSec şifreleme ve imzalama hızlandırıcıları bulunmaktadır. SMB imzalama için kullanılabilecek böyle hızlandırıcılar yoktur.

        Daha fazla bilgi için, aşağıdaki Microsoft MSDN Web sitesinde "Digitally sign server communications" (Sunucu iletişimini dijital olarak imzalama) bölümüne bakın:
        http://msdn.microsoft.com/tr-tr/library/ms814149.aspx
        SMB imzalamayı Grup İlkesi Nesne Düzenleyicisi'ni kullanarak yapılandırın; çünkü geçersiz kılan bir etki alanı ilkesi varsa yerel kayıt defterindeki değişiklikler etkisizdir.
      • Windows 95, Windows 98 ve Windows 98 İkinci Sürüm'de, Dizin Hizmetleri İstemcisi NTLM kimlik doğrulaması kullanarak Windows Server 2003 sunucularıyla kimlik doğruladığında SMB imzalamayı kullanırlar. Ancak, bu istemciler bu sunucularla NTLMv2 kimlik doğrulaması kullanarak kimlik doğruladıklarında SMB imzalamayı kullanmazlar. Ek olarak, Windows 2000 sunucuları bu istemcilerden gelen SMB imzalama isteklerini yanıtlamaz. Bkz. madde 10: "Ağ güvenliği: LAN Manager kimlik doğrulama düzeyi".
    2. Riskli yapılandırma

      Aşağıdaki, zararlı olabilecek bir yapılandırma ayarıdır: Hem Microsoft ağ istemcisi: İletişimi dijital olarak imzala (her zaman) ayarını hem de Microsoft ağ istemcisi: İletişimi dijital olarak imzala (sunucu uygunsa) ayarını "Tanımlanmamış" veya devre dışı olarak bırakmak. Bu ayarlar, yeniden yönlendiricinin kimlik doğrulama sırasında parola şifrelemeyi desteklemeyen Microsoft ışı SMB sunucularına düz metin parolalar göndermesine izin verir.
    3. Bu ayarı etkinleştirme nedenleri

      Microsoft ağ istemcisi: İletişimi dijital olarak imzala (her zaman) ayarının etkinleştirilmesi, istemcilerin sunucularla iletişim kurarken SMB trafiğini imzalamalarını gerektirerek istemcileri oturum ele geçirme saldırılarına daha az açık olmasını sağlar.
    4. Bu ayarı devre dışı bırakma nedenleri
      • Microsoft ağ istemcisi: İletişimi dijital olarak imzala (her zaman) ayarının etkinleştirilmesi, istemcilerin SMB imzalamayı desteklemeyen hedef sunucularla iletişim kurmasını engeller.
      • Bilgisayarın tüm imzasız SMB iletişimini yoksayacak şekilde yapılandırılması eski programların ve işletim sistemlerinin bağlantı kurmasını engeller.
    5. Simgesel Ad:

      RequireSMBSignRdr
    6. Kayıt Defteri Yolu:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
    7. Uyumluluk sorunlarına örnekler
      • Windows NT 4.0: Bir Windows Server 2003 etki alanı ile bir Windows NT 4.0 etki alanı arasındaki güvenin güvenli kanalını NLTEST veya NETDOM kullanarak sıfırlayamazsınız ve bir "Erişim Reddedildi" hata iletisi alırsınız.
      • Windows XP: Windows XP istemcilerinden Windows 2000 tabanlı sunuculara ve Windows Server 2003 tabanlı sunuculara dosya kopyalama daha uzun sürebilir.
      • Bu ayarın etkinleştirilmiş olduğu bir istemcideki bir ağ sürücüsüne bağlanamazsınız ve aşağıdaki hata iletisini alırsınız:
        Kullanıcı, bu istasyondan oturum açmaya yetkili değil.
    8. Yeniden başlatma gereksinimleri

      Bilgisayarı veya İş İstasyonu hizmetini yeniden başlatın. Bunu yapmak için, bir komut isteminde aşağıdaki komutları yazın: Her komutu yazdıktan sonra ENTER tuşuna basın.
      net stop workstation
      net start workstation
  6. Microsoft ağ sunucusu: İletişimi dijital olarak imzala (her zaman)
    1. Arka plan
      • Sunucu İleti Bloğu (SMB) birçok Microsoft işletim sistemi tarafından desteklenen kaynak paylaşım protokolüdür; temel giriş/çıkış sisteminin (NetBIOS) ve diğer birçok protokolün temelini oluşturur. SMB imzalama hem kullanıcının hem de verileri barındıran sunucunun kimliğini doğrular. Taraflardan biri kimlik doğrulama işlemini başaramazsa, veri iletimi gerçekleşmez.

        SMB imzalamanın etkinleştirilmesi SMB protokol anlaşması sırasında başlar. SMB imzalama ilkeleri bilgisayarın istemci iletişimlerini her zaman dijital olarak imzalayıp imzalamayacağını belirler.

        Windows 2000 SMB kimlik doğrulama protokolü karşılıklı kimlik doğrulamayı destekler. Karşılıklı kimlik doğrulama "ortadaki adam" saldırısını kapatır. Windows 2000 SMB kimlik doğrulama protokolü ileti kimlik doğrulamasını da destekler. İleti kimlik doğrulaması etkin ileti saldırılarını engellemeye yardımcı olur. Size bu kimlik doğrulamayı sağlamak için, SMB imzalama her SMB'ye bir dijital imza ekler. Hem istemci hem de sunucu dijital imzayı doğrular.

        SMB imzasını kullanmak için, SMB imzalamayı etkinleştirmeniz veya hem SMB istemcisinde hem de SMB sunucusunda SMB imzalamayı gerekli kılmanız gerekir. Sunucuda SMB imzalama etkinleştirildiyse, SMB imzalama için etkinleştirilen istemciler izleyen oturumların tümünde paket imzalama iletişim kuralını kullanır. Sunucuda SMB imzalama gerekli kılınırsa, istemcide SMB imzalama etkinleştirilmedikçe veya gerekli kılınmadıkça istemci oturum oluşturamaz.

        Yüksek güvenlik düzeyine sahip ağlarda dijital imzanın etkinleştirilmesi istemcilerin ve sunucuların kimliğine bürünmeyi engellemeye yardımcı olur. Bu tür kimliğe bürünme oturum ele geçirme olarak bilinir. İstemci veya sunucu ile aynı ağa erişimi olan bir saldırgan, oturum ele geçirme araçlarını süregiden bir oturumu kesmek, sonlandırmak veya çalmak için kullanır. Bir saldırgan imzasız Alt Ağ Bant Genişliği (DBM) paketlerini ele geçirip değiştirebilir, trafiği değiştirebilir ve sonra ileterek sunucunun istenmeyen eylemler gerçekleştirmesini sağlayabilir. Alternatif olarak, saldırgan meşru bir kimlik doğrulamadan sonra sunucu veya istemci rolüne girebilir ve sonra verilere yetkisiz erişim elde edebilir.

        Windows 2000 Server, Windows 2000 Professional, Windows XP Professional veya Windows Server 2003 çalıştıran bilgisayarlarda dosya paylaşımı ve yazıcı paylaşımı için kullanılan SMB protokolü karşılıklı kimlik doğrulamayı destekler. Karşılıklı kimlik doğrulama oturum ele geçirme saldırılarını kapatır ve ileti kimlik doğrulamasını destekler. Böylece, ortadaki adam saldırılarını önler. SMB imzalama, bu kimlik doğrulamayı her SMB'ye bir dijital imza yerleştirerek sağlar. Ardından imza hem istemci hem de sunucu tarafından doğrulanır.
      • Tüm ağ trafiğini korumaya yardımcı olabilecek alternatif bir karşı önlem, IPSec ile dijital imzaları etkinleştirmektir. Sunucu CPU'ları üzerindeki performans etkisini en aza indirmek için kullanılabilecek, donanım tabanlı IPSec şifreleme ve imzalama hızlandırıcıları bulunmaktadır. SMB imzalama için kullanılabilecek böyle hızlandırıcılar yoktur.
      • Windows 95, Windows 98 ve Windows 98 İkinci Sürüm'de, Dizin Hizmetleri İstemcisi NTLM kimlik doğrulaması kullanarak Windows Server 2003 sunucularıyla kimlik doğruladığında SMB imzalamayı kullanırlar. Ancak, bu istemciler bu sunucularla NTLMv2 kimlik doğrulaması kullanarak kimlik doğruladıklarında SMB imzalamayı kullanmazlar. Ek olarak, Windows 2000 sunucuları bu istemcilerden gelen SMB imzalama isteklerini yanıtlamaz. Bkz. madde 10: "Ağ güvenliği: LAN Manager kimlik doğrulama düzeyi".
    2. Riskli yapılandırma

      Aşağıdaki, zararlı olabilecek bir yapılandırma ayarıdır: Microsoft ağ sunucusu: İletişimi dijital olarak imzala (her zaman) ayarının, yerel veya dış etki alanlarında bulunan uyumsuz Windows tabanlı ve üçüncü taraf işletim sistemi tabanlı istemci bilgisayarlar tarafından erişilen sunucularda ve etki alanı denetleyicilerinde etkinleştirilmesi
    3. Bu ayarı etkinleştirme nedenleri
      • Bu ayarı doğrudan kayıt defterinde veya Grup İlkesi ayarı aracılığıyla etkinleştiren tüm istemci bilgisayarlar SMB imzalamayı destekler. Diğer deyişle, bu ayarın etkin olduğu tüm istemci bilgisayarlar DS istemcisinin yüklü olduğu Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional ya da Windows Server 2003 çalıştırır.
      • Microsoft ağ sunucusu: İletişimi dijital olarak imzala (her zaman) devre dışı bırakılırsa, SMB imzalama tamamen devre dışı bırakılır. Tüm SMB imzalamanın tamamen devre dışı bırakılması bilgisayarları oturum ele geçirme saldırılarına karşı daha savunmasız bırakır.
    4. Bu ayarı devre dışı bırakma nedenleri
      • Bu ayarın etkinleştirilmesi istemci bilgisayarlarda dosya kopyalama ve ağ performansının daha yavaş olmasına neden olabilir.
      • Bu ayarın etkinleştirilmesi, SMB imzalama kullanamayan istemcilerin sunucularla ve etki alanı denetleyicileriyle iletişim kurmasını engeller. Bu, etki alanına katılma, kullanıcı ve bilgisayar kimliğini doğrulama veya programların ağa erişimi gibi işlemlerin başarısız olmasına neden olur.
    5. Simgesel Ad:

      RequireSMBSignServer
    6. Kayıt Defteri Yolu:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)
    7. Uyumluluk sorunlarına örnekler
      • Windows 95: Dizin Hizmetleri (DS) İstemcisinin yüklü olmadığı Windows 95 istemcileri, oturum açma kimlik doğrulamasında başarısız olur ve aşağıdaki hata iletisini alır:
        Sağladığınız etki alanı parolası hatalı veya oturum açma sunucusuna erişiminiz reddedildi.
        Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        811497 Windows 95 veya Windows NT 4.istemcisi Windows Server 2003 etki alanında oturum açtığında hata iletisi
      • Windows NT 4.0: Windows NT 4.0'ın Service Pack 3 (SP3) öncesi sürümlerini çalıştıran istemci bilgisayarlar oturum açma kimlik doğrulamasında başarısız olur ve aşağıdaki hata iletisini alır:
        Sistem size oturum açamadı. Kullanıcı ve etki alanı adlarının doğru olmasını sağlayıp parolanızı yeniden girin.
        Microsoft dışı bazı SMB sunucuları kimlik doğrulama sırasında yalnızca şifresiz parola değiş tokuşlarını destekler. (Bu değiş tokuşlar "düz metin" değiş tokuşları olarak da bilinir.) Windows NT 4.0 SP3 ile başlayarak, belirli bir kayıt defteri girişini eklemediğiniz sürece, SMB yeniden yönlendiricisi kimlik doğrulama sırasında şifrelenmemiş bir parola göndermez.
        Windows NT 4.0 SP 3 ve daha yeni sistemlerde SMB istemcisinin şifrelenmemiş parola kullanmasını etkinleştirmek için, kayıt defterini aşağıdaki şekilde değiştirin: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        Değer Adı: EnablePlainTextPassword
        Veri Türü: REG_DWORD
        Veri: 1

        İlgili konular hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
        224287 Hata iletisi: 1240 sistem hatası oluştu. Kullanıcı, bu istasyondan oturum açmaya yetkili değil.
        166730 Şifrelenmemiş parolalar Service Pack 3'ün SMB sunucularına bağlanamamasına neden olabilir
      • Windows Server 2003:Varsayılan olarak, Windows Server 2003 çalıştıran etki alanı denetleyicilerindeki güvenlik ayarları, etki alanı denetleyicisi iletişimlerinin kötü niyetli kullanıcılar tarafından kesilmesini veya bozulmasını önlemeye yardımcı olmak üzere tasarlanmıştır. Kullanıcıların Windows Server 2003 çalıştıran bir etki alanı denetleyicisiyle başarıyla iletişim kurabilmeleri için, istemci bilgisayarların SMB imzalama ve şifreleme veya güvenli kanal trafiği imzalama kullanmaları gerekir. Varsayılan olarak, Windows NT 4.0 Service Pack 2 (SP2) veya önceki sürümlerini çalıştıran istemcilerde ve Windows 95 çalıştıran istemcilerde SMB paket imzalama etkin değildir. Bu nedenle, bu istemciler Windows Server 2003 tabanlı bir etki alanı denetleyicisinde kimlik doğrulayamayabilir.
      • Windows 2000 ve Windows Server 2003 güvenlik ilkeleri: Özel yükleme gereksinimlerinize ve yapılandırmanıza bağlı olarak, Microsoft Yönetim Konsolu Grup İlkesi Düzenleyicisi ek bileşeni hiyerarşisinde, gerekli kapsamın en düşük varlığında aşağıdaki ilke ayarlarını ayarlamanızı öneririz:
        • Bilgisayar Yapılandırması\Windows Güvenlik Ayarları\Güvenlik Seçenekleri
        • Üçüncü taraf SMB sunucularına bağlanmak için şifresiz parola gönderme (Bu ayar Windows 2000 içindir.)
        • Microsoft ağ istemcisi: Üçüncü taraf SMB sunucularına şifresiz parola gönderme (Bu ayar Windows Server 2003 içindir.)

        Not Eski Samba sürümleri gibi bazı üçüncü taraf CIFS sunucularında şifreli parolaları kullanamazsınız.
      • Aşağıdaki istemciler Microsoft ağ sunucusu: İletişimi dijital olarak imzala (her zaman) ayarıyla uyumsuzdur:
        • Apple Computer, Inc., Mac OS X istemcileri
        • Microsoft MS-DOS ağı istemcileri (örneğin, Microsoft LAN Manager)
        • Microsoft Windows for Workgroups istemcileri
        • DS İstemcisi yüklü olmayan Microsoft Windows 95 istemcileri
        • SP3 veya üstü yüklü olmayan Microsoft Windows NT 4.0 tabanlı bilgisayarlar
        • Novell Netware 6 CIFS istemcileri
        • SMB imzalama desteği olmayan SAMBA SMB istemcileri
    8. Yeniden başlatma gereksinimleri

      Bilgisayarı veya Sunucu hizmetini yeniden başlatın. Bunu yapmak için, bir komut isteminde aşağıdaki komutları yazın: Her komutu yazdıktan sonra ENTER tuşuna basın.
      net stop server
      net start server
  7. Ağ erişimi: Adsız SID/Ad çevirisine izin ver
    1. Arka plan

      Ağ erişimi: Adsız SID/Ad çevirisine izin ver güvenlik ayarı, bir kullanıcının başka bir kullanıcıdan Güvenlik Kimlik Numarası (SID) isteyip isteyemeyeceğini belirler.
    2. Riskli yapılandırma

      Ağ erişimi: Adsız SID/Ad çevirisine izin ver ayarının etkinleştirilmesi zararlı olabilecek bir yapılandırma ayarıdır.
    3. Bu ayarı etkinleştirme nedenleri

      Ağ erişimi: Adsız SID/Ad çevirisine izin ver devre dışı bırakılırsa, eski işletim sistemleri veya uygulamalar Windows Server 2003 etki alanlarıyla iletişim kuramayabilir. Örneğin, aşağıdaki işletim sistemleri, hizmetler veya uygulamalar çalışmayabilir:
      • Windows NT 4.0 tabanlı Uzaktan Erişim Hizmeti sunucuları
      • Windows NT 3.x tabanlı veya Windows NT 4.0 tabanlı bilgisayarlarda çalışan Microsoft SQL Server
      • Windows NT 3.x etki alanlarında veya Windows NT 4.0 etki alanlarında bulunan Windows 2000 tabanlı bilgisayarlarda çalışan Uzaktan Erişim Hizmeti
      • Windows NT 3.x etki alanlarında veya Windows NT 4.0 etki alanlarında bulunan Windows 2000 tabanlı bilgisayarlarda çalışan SQL Server
      • Windows Server 2003 etki alanı denetleyicileri içeren hesap etki alanlarındaki kullanıcı hesaplarına dosyalara, paylaşılan klasörlere ve kayıt defteri nesnelerine erişim izni vermek isteyen Windows NT 4.0 kaynak etki alanı kullanıcıları
    4. Bu ayarı devre dışı bırakma nedenleri

      Bu ayar etkinleştirilirse, kötü amaçlı bir kullanıcı yaygın olarak bilinen Administrators SID'sini kullanarak yerleşik Administrator hesabının gerçek adını (hesap yeniden adlandırılmış olsa bile) elde edebilir. Sonra da bu kişi hesap adını bir parola tahmin saldırısı başlatmak için kullanabilir.
    5. Simgesel Ad: Yok
    6. Kayıt Defteri Yolu: Yok. Yol UI kodunda belirtilmiştir.
    7. Uyumluluk sorunlarına örnekler

      Windows NT 4.0: Paylaşılan klasörler, paylaşılan dosyalar ve kayıt defteri nesneleri dahil olmak üzere kaynaklar Windows Server 2003 etki alanı denetleyicileri içeren hesap etki alanlarında bulunan güvenlik sorumlularıyla korunuyorsa, Windows NT 4.0 kaynak etki alanlarındaki bilgisayarlar ACL düzenleyicisinde "Hesap Bilinmiyor" hata iletisini görüntüler.
  8. Ağ erişimi: SAM hesaplarının adsız numaralandırılmasına izin verme
    1. Arka plan
      • Ağ erişimi: SAM hesaplarının adsız numaralandırılmasına izin verme ayarı, bilgisayara yapılan anonim bağlantılar için hangi ek izinlerin verileceğini belirler. Windows, anonim kullanıcıların iş istasyonu ve sunucu Güvenlik Hesapları Yönetici (SAM) hesapları ve ağ paylaşımlarının adlarını numaralandırma gibi belirli etkinlikleri gerçekleştirmesine izin verir. Örneğin bir yönetici bu özelliği kullanarak, güvenilen bir etki alanında yer alan ve karşılıklı güven içermeyen kullanıcılara erişim izni verebilir. Anonim kullanıcı oturum açtıktan sonra, Ağ erişimi: Adsız kullanıcılara Everyone izinleri uygulansın ayarına veya nesnenin isteğe bağlı erişim denetim listesine (DACL) bağlı olarak, Everyone grubuyla aynı erişim izinlerine sahip olabilir.

        Anonim bağlantılar genellikle SMB oturumunun açıldığı sırada istemcilerin daha eski sürümleri (alt düzey istemciler) tarafından istenir. Bu durumlarda, bir ağ izlemesi gerçekleştirildiğinde SMB İşlem Kimliği'nin (PID) istemci yeniden yönlendiricisi (Windows 2000'de 0xFEFF veya Windows NT'de 0xCAFE ) olduğu görülür. RPC de anonim bağlantılar kurmaya çalışabilir.
      • Önemli Bu ayarın etki alanı denetleyicilerinde bir etkisi yoktur. Etki alanı denetleyicilerinde bu davranış, "Windows 2000 Öncesi Uyumluluk Erişimi" içinde "NT AUTHORITY\ANONYMOUS LOGON" bulundurularak denetlenir.
      • Windows 2000'de, benzer bir ayar olan Anonim Bağlantılar için Ek Kısıtlamalar ayarı
        RestrictAnonymous
        kayıt defteri değerini yönetir. Değerin konumu şudur:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
        RestrictAnonymous kayıt defteri değeri hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
        246261 Windows 2000'de RestrictAnonymous kayıt defteri değeri nasıl kullanılır
        143474 Anonim oturum açan kullanıcılara görüntülenen bilgileri kısıtlama
    2. Riskli yapılandırmalar:

      Ağ erişimi: SAM hesaplarının adsız numaralandırılmasına izin verme ayarının etkinleştirilmesi uyumluluk açısından zararlı olabilecek bir yapılandırma ayarıdır; devre dışı bırakılması da güvenlik açısından zararlı olabilecek bir yapılandırma ayarıdır.
    3. Bu ayarı etkinleştirme nedenleri

      Yetkisiz bir kullanıcı hesap adlarını listeleyebilir ve sonra bu bilgileri kullanarak parolaları tahmin etmeye çalışabilir veya sosyal mühendislik saldırıları gerçekleştirebilir. Sosyal mühendislik, insanları parolalarını veya başka tür güvenlik bilgilerini açıklayacak şekilde kandırma anlamına gelen bir terimdir.
    4. Bu ayarı devre dışı bırakma nedenleri

      Bu ayar etkinleştirilirse, Windows NT 4.0 etki alanlarıyla güven kurulması imkansız olur. Bu ayar ayrıca, sunucudaki kaynakları kullanmaya çalışan Windows NT 3.51 istemcileri ve Windows 95 istemcileri gibi alt düzey istemcilerde sorunlara neden olur.
    5. Simgesel Ad: RestrictAnonymousSAM
    6. Kayıt Defteri Yolu:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)
    7. Uyumluluk sorunlarına örnekler
    • SMS Network Discovery işletim sistemi bilgilerini alamaz ve OperatingSystemNameandVersion özelliğine "Bilinmiyor" yazar.
    • Windows 95, Windows 98: Windows 95 istemcileri ve Windows 98 istemcileri parolalarını değiştiremez.
    • Windows NT 4.0: Windows NT 4.0 tabanlı üye bilgisayarların kimliği doğrulanamaz.
    • Windows 95, Windows 98: Windows 95 tabanlı ve Windows 98 tabanlı bilgisayarların kimliği Microsoft etki alanı denetleyicileri tarafından doğrulanamaz.
    • Windows 95, Windows 98: Windows 95 tabanlı ve Windows 98 tabanlı bilgisayarlardaki kullanıcılar kullanıcı hesaplarının parolalarını değiştiremez.
  9. Ağ erişimi: SAM hesap ve paylaşımlarının adsız numaralandırmasına izin verme
    1. Arka plan
      • Ağ erişimi: SAM hesap ve paylaşımlarının adsız numaralandırmasına izin verme ayarı (RestrictAnonymous olarak da bilinir), Güvenlik Hesapları Yöneticisi (SAM) hesaplarının ve paylaşımlarının anonim olarak numaralandırılmasına izin verilip verilmeyeceğini belirler. Windows anonim kullanıcıların etki alanı hesaplarının (kullanıcılar, bilgisayarlar ve gruplar) ve ağ paylaşımlarının adlarını numaralandırma gibi belirli etkinlikleri gerçekleştirmesine izin verir. Bu özellik, bir yöneticinin güvenilen bir etki alanında yer alan ve karşılıklı güven içermeyen kullanıcılara erişim vermek istemesi gibi durumlar için uygundur. SAM hesaplarının ve paylaşımlarının anonim numaralandırılmasına izin vermek istemiyorsanız bu ayarı etkinleştirin.
      • Windows 2000'de, benzer bir ayar olan Anonim Bağlantılar için Ek Kısıtlamalar ayarı
        RestrictAnonymous
        kayıt defteri değerini yönetir. Bu değerin konumu şudur:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    2. Riskli yapılandırma

      Ağ erişimi: SAM hesap ve paylaşımlarının adsız numaralandırmasına izin verme ayarının etkinleştirilmesi zararlı olabilecek bir yapılandırma ayarıdır.
    3. Bu ayarı etkinleştirme nedenleri
      • Ağ erişimi: SAM hesap ve paylaşımlarının adsız numaralandırmasına izin verme ayarının etkinleştirilmesi, SAM hesaplarının ve paylaşımlarının anonim hesaplar kullanan kullanıcılar ve bilgisayarlar tarafından numaralandırılmasını engeller.
    4. Bu ayarı devre dışı bırakma nedenleri
      • Bu ayar etkinleştirilirse, yetkisiz bir kullanıcı hesap adlarını listeleyebilir ve sonra bu bilgileri kullanarak parolaları tahmin etmeye çalışabilir veya sosyal mühendislik saldırıları gerçekleştirebilir. Sosyal mühendislik, insanları parolalarını veya başka tür güvenlik bilgilerini açıklayacak şekilde kandırma anlamına gelen bir terimdir.
      • Bu ayar etkinleştirilirse, Windows NT 4.0 etki alanlarıyla güven kurulması imkansız olur. Bu ayar ayrıca, sunucudaki kaynakları kullanmaya çalışan Windows NT 3.51 ve Windows 95 istemcileri gibi alt düzey istemcilerde sorunlara neden olur.
      • Kaynak etki alanlarının kullanıcılarına erişim vermek imkansız olur, çünkü güvenen etki alanındaki yöneticiler diğer etki alanındaki hesapların listesini numaralandıramaz. Dosya ve yazdırma sunucularına anonim olarak erişen kullanıcılar bu sunuculardaki paylaşılan ağ kaynaklarını numaralandıramaz; kullanıcının paylaşılan klasörlerin ve yazıcıların listesini görebilmesi için önce kimlik doğrulaması gerekir.
    5. Simgesel Ad:

      RestrictAnonymous
    6. Kayıt Defteri Yolu:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
    7. Uyumluluk sorunlarına örnekler
      • Windows NT 4.0: Kullanıcıların etki alanındaki etki alanı denetleyicilerinde RestrictAnonymous etkinleştirildiğinde, kullanıcılar parolalarını Windows NT 4.0 iş istasyonlarından değiştiremez. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        198941 Kullanıcılar oturum açarken parola değiştiremiyor
      • Windows NT 4.0: Kullanıcı Yöneticisi'nde güvenilen Windows 2000 etki alanlarından Windows NT 4.0 yerel gruplarına kullanıcı veya genel grup ekleme aşağıdaki hata iletisiyle başarısız olur:
        Oturum açma isteklerine hizmet verebilecek hiçbir oturum açma sunucusu yok.
        Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        296405 "RestrictAnonymous" kayıt defteri değeri bir Windows 2000 etki alanına güveni bozabilir
      • Windows NT 4.0: Windows NT 4.0 tabanlı bilgisayarlar kurulum sırasında veya etki alanına katılma kullanıcı arabirimi kullanılarak etki alanlarına katılamaz.

        Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        184538 Hata iletisi: Bu etki alanı için bir denetleyici bulunamadı
      • Windows NT 4.0: Güvenilen etki alanında RestrictAnonymous etkinleştirildiğinde Windows NT 4.0 kaynak etki alanlarıyla alt düzey bir güven kurulması aşağıdaki hata iletisiyle başarısız olur:
        Bu etki alanı için etki alanı denetleyicisi bulunamadı.
        Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        178640 Güven ilişkisi kurulurken etki alanı denetleyicisi bulunamadı
      • Windows NT 4.0: Windows NT 4.0 tabanlı Terminal Server bilgisayarlarında oturum açan kullanıcılar, etki alanları için Kullanıcı Yöneticisi'nde tanımlanmış olan giriş dizini yerine varsayılan giriş dizinine bağlanır.

        Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        236185 SP4 veya üstü uygulandıktan sonra Terminal Server kullanıcı profilleri ve giriş klasörü yolları yoksayılıyor
      • Windows NT 4.0: Windows NT 4.0 yedek etki alanı denetleyicileri (BDC) Net Logon hizmetini başlatamaz, yedekleme tarayıcılarının listesini alamaz ve SAM veritabanını aynı etki alanındaki Windows 2000 veya Windows Server 2003 etki alanı denetleyicilerinden eşitleyemez.

        Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        293127 Bir Windows NT 4.0 BDC'sinin Net Logon hizmeti bir Windows 2000 etki alanında çalışmaz
      • Windows 2000: Windows NT 4.0 etki alanlarındaki Windows 2000 tabanlı üye bilgisayarlar, istemci bilgisayarın yerel güvenlik ilkesinde Açıkça verilmiş anonim izinler olmadan erişim yok ayarı etkinleştirilmişse dış etki alanlarındaki yazıcıları görüntüleyemez.

        Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        280329 Kullanıcı yazıcı özelliklerini yönetemiyor ve görüntüleyemiyor
      • Windows 2000: Windows 2000 etki alanı kullanıcıları Active Directory'den ağ yazıcıları ekleyemez; ancak, yazıcıları ağaç görünümünden seçtikten sonra ekleyebilirler.

        Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        318866 Genel katalog sunucusuna Güvenlik Toplama Paketi 1 (SRP1) yüklendikten sonra Outlook istemcileri genel adres listesini görüntüleyemiyor
      • Windows 2000: Windows 2000 tabanlı bilgisayarlarda, ACL Düzenleyicisi güvenilen Windows NT 4.0 etki alanlarından kullanıcı veya genel grup ekleyemez.

        Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        296403 RestrictAnonymous değeri karma etki alanlı bir ortamda güveni bozuyor
      • ADMT sürüm 2: Active Directory Geçiş Aracı (ADMT) sürüm 2 ile ormanlar arasında geçirilen kullanıcı hesapları için parola geçirme başarısız olur.

        Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        322981 ADMTv2 ile ormanlar arası parola geçirme sorunları nasıl giderilir
      • Outlook istemcileri: Genel adres listesi Microsoft Exchange Outlook istemcilerine boş görünür.

        Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        318866 Genel katalog sunucusuna Güvenlik Toplama Paketi 1 (SRP1) yüklendikten sonra Outlook istemcileri genel adres listesini görüntüleyemiyor
        321169 Windows XP'den bir Windows 2000 etki alanı denetleyicisine dosya kopyalarken SMB performansı düşük
      • SMS: Microsoft Systems Management Server (SMS) Network Discovery işletim sistemi bilgilerini alamaz. Bu nedenle, keşif verisi kaydının (DDR) SMS DDR özelliğinin OperatingSystemNameandVersion özelliğine "Bilinmiyor" yazar.

        Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        229769 Discovery Data Manager istemci yapılandırma isteklerinin ne zaman oluşturulacağını nasıl belirler
      • SMS: SMS Administrator User Wizard'ı kullanıcılara ve gruplara gözatmak için kullandığınızda hiçbir kullanıcı veya grup listelenmez. Ek olarak, Gelişmiş istemciler Management Point'le iletişim kuramaz. Management Point'te anonim erişim gerekir.

        Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        302413 Administrator User Wizard'da hiç kullanıcı veya grup listelenmiyor
      • SMS: SMS 2.0'da ve Remote Client Installation'da Network Discovery özelliğini Topology, client, and client operating systems (Topoloji, istemci ve istemci işletim sistemleri) ağ keşif seçeneği açık olarak kullanıyorsanız, bilgisayarlar bulunabilir ancak yüklenemez.

        Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        311257 Anonim bağlantılar kapalı olduğunda kaynaklar bulunamıyor
  10. Ağ güvenliği: LAN Manager kimlik doğrulama düzeyi
    1. Arka plan

      LAN Manager (LM) kimlik doğrulaması etki alanına katılma, ağ kaynaklarına erişim ve kullanıcı ve bilgisayar kimlik doğrulaması gibi ağ işlemleri için Windows istemcilerinin kimliğini doğrulamak amacıyla kullanılan protokoldür. LM kimlik doğrulama düzeyi, istemci ile sunucu bilgisayarlar arasında hangi sınama/yanıt kimlik doğrulama protokolünde anlaşılacağını belirler. Özellikle, LM kimlik doğrulama düzeyi istemcinin hangi kimlik doğrulama protokollerinde anlaşmayı deneyeceği veya sunucunun hangilerini kabul edeceğini belirler. LmCompatibilityLevel için ayarlanan düzey, ağda oturum açma için hangi sınama/yanıt kimlik doğrulama protokolünün kullanılacağını belirler. Bu değer istemcilerin kullandığı kimlik doğrulama protokolü düzeyini, üzerinde anlaşılan oturum güvenliği düzeyini ve sunucular tarafından kabul edilen kimlik doğrulama düzeyini aşağıdaki tabloya göre etkiler.

      Olası ayarlar aşağıdakileri içerir.
      Bu tabloyu kapaBu tabloyu aç
      DeğerAyarAçıklaması
      0 LM ve NTLM yanıtlarını gönderİstemciler LM ve NTLM kimlik doğrulamasını kullanır ve hiçbir zaman NTLMv2 oturum güvenliği kullanmaz; etki alanı denetleyicileri LM, NTLM ve NTLMv2 kimlik doğrulaması kabul eder.
      1LM ve NTLM gönder - anlaşma olursa NTLMv2 oturum güvenliğini kullanİstemciler LM ve NTLM kimlik doğrulamasını ve sunucu destekliyorsa NTLMv2 oturum güvenliğini kullanır; etki alanı denetleyicileri LM, NTLM ve NTLMv2 kimlik doğrulamasını kabul eder.
      2Yalnızca NTLM yanıtı gönderİstemciler yalnızca LM ve NTLM doğrulamasını ve sunucu destekliyorsa NTLMv2 oturum güvenliğini kullanır; etki alanı denetleyicileri LM, NTLM ve NTLMv2 kimlik doğrulamasını kabul eder.
      3Yalnızca NTLMv2 yanıtı gönderİstemciler yalnızca NTLMv2 doğrulamasını ve sunucu destekliyorsa NTLMv2 oturum güvenliğini kullanır; etki alanı denetleyicileri LM, NTLM ve NTLMv2 kimlik doğrulamasını kabul eder.
      4Yalnızca NTLMv2 yanıtı gönder/LM'yi reddetİstemciler yalnızca NTLMv2 kimlik doğrulamasını kullanır ve sunucu destekliyorsa NTLMv2 oturum güvenliğini kullanır. Etki alanı denetleyicileri LM'yi reddeder ve yalnızca NTLM ve NTLMv2 kimlik doğrulamasını kabul eder.
      5Yalnızca NTLMv2 yanıtı gönder/LM ve NTLM'yi reddetİstemciler yalnızca NTLMv2 kimlik doğrulamasını ve sunucu destekliyorsa NTLMv2 oturum güvenliğini kullanır; etki alanı denetleyicileri LM ve NTLM'yi reddeder (yalnızca NTLMv2 kimlik doğrulamasını kabul eder).
      Not Windows 95, Windows 98 ve Windows 98 İkinci Sürüm'de, Dizin Hizmetleri İstemcisi NTLM kimlik doğrulaması kullanarak Windows Server 2003 sunucularıyla kimlik doğruladığında SMB imzalamayı kullanırlar. Ancak, bu istemciler bu sunucularla NTLMv2 kimlik doğrulaması kullanarak kimlik doğruladıklarında SMB imzalamayı kullanmazlar. Ek olarak, Windows 2000 sunucuları bu istemcilerden gelen SMB imzalama isteklerini yanıtlamaz.

      LM kimlik doğrulama düzeyini denetleme NTLM'ye izin vermek için sunucudaki ilkeyi değiştirmeniz veya istemci bilgisayarı NTLMv2'yi destekleyecek şekilde yapılandırmanız gerekir.

      Bu ilke bağlanmak istediğiniz hedef bilgisayarda (5) Yalnızca NTLMv2 yanıtı gönder\LM ve NTLM'yi reddet olarak ayarlanmışsa, söz konusu bilgisayarda ayarı düşürmeniz ya da güvenliği bağlanmak için kullandığınız kaynak bilgisayarla aynı değere ayarlamanız gerekir.

      İstemciyi ve sunucuyu aynı düzeye ayarlamak için LAN Manager kimlik doğrulama düzeyi değiştirebileceğiniz doğru konumu bulun. LAN Manager kimlik doğrulama düzeyini ayarlayan ilkeyi bulduktan sonra, Windows'un önceki sürümlerini çalıştıran bilgisayarlara veya bu bilgisayarlardan bağlanmak istiyorsanız, değeri en azından (1) LM ve NTLM gönder - anlaşma olursa NTLMv2 oturum güvenliğini kullan düzeyine düşürün. Uyumsuz ayarlar kullanılmasının etkilerinden biri de, sunucu NTLMv2 (değer 5) gerektiriyorsa ama istemci yalnızca LM ve NTLMv1 (değer 0) kullanacak biçimde yapılandırılmışsa, kimlik doğrulaması yapmaya çalışan kullanıcı, parolanın hatalı olduğunu belirten ve hatalı parola sayacını artıran bir oturum açma hatasıyla karşılaşır. Hesap kilitleme yapılandırılmışsa, bu işlem sonunda kullanıcı kilitlenebilir.

      Örneğin, etki alanı denetleyicisinde aramanız veya etki alanı denetleyicisinin ilkelerine bakmanız gerekebilir.

      Etki alanı denetleyicisinde arama
      Not Aşağıdaki yordamı tüm etki alanı denetleyicilerinde yinelemeniz gerekebilir.
      1. Başlat'ı tıklatın, Programlar üzerine gelin ve sonra Yönetimsel Araçlar'ı tıklatın.
      2. Yerel Güvenlik Ayarları altında, Yerel İlkeler'i genişletin.
      3. Güvenlik Seçenekleri'ni tıklatın.
      4. Ağ Güvenliği: LAN Manager kimlik doğrulama düzeyi'ni çift tıklatın ve sonra listede uygun değeri tıklatın.
      Etkili Ayar ile Yerel Ayar aynıysa, ilke bu düzeyde değiştirilmiştir. Ayarlar farklıysa, etki alanı denetleyicisinin ilkesini denetleyerek Ağ Güvenliği: LAN Manager kimlik doğrulama düzeyi ayarının orada tanımlanıp tanımlanmadığını bulmanız gerekir. Orada tanımlanmamışsa, etki alanı denetleyicisinin ilkelerine bakın.

      Etki alanı denetleyicisinin ilkelerine bakma
      1. Başlat'ı tıklatın, Programlar üzerine gelin ve sonra Yönetimsel Araçlar'ı tıklatın.
      2. Etki Alanı Denetleyicisi Güvenliği ilkesinde, Güvenlik Ayarları'ın genişletin ve sonra Yerel İlkeler'i genişletin.
      3. Güvenlik Seçenekleri'ni tıklatın.
      4. Ağ Güvenliği: LAN Manager kimlik doğrulama düzeyi'ni çift tıklatın ve sonra listede uygun değeri tıklatın.
      Not
      • LAN Manager kimlik doğrulama düzeyini nerede yapılandırmanız gerektiğini belirlemek için site düzeyinde, etki alanı düzeyinde veya kuruluş birimi (OU) düzeyinde bağlanmış ilkeleri de denetlemeniz gerekebilir.
      • Bir Grup İlkesi ayarını varsayılan etki alanı ilkesi olarak uygularsanız, ilke etki alanındaki tüm bilgisayarlara uygulanır.
      • Bir Grup İlkesi ayarını varsayılan etki alanı denetleyicisinin ilkesi olarak ayarlarsanız, ilke yalnızca etki alanı denetleyicisinin OU'sundaki sunucular için geçerlidir.
      • LAN Manager kimlik doğrulama, düzeyini ilke uygulama hiyerarşisinde, gerekli kapsamın en düşük varlığında ayarlamak iyi bir fikirdir.
      Değişiklikleri yaptıktan sonra ilkeyi yenileyin. (Değişiklik yerel güvenlik ayarları düzeyinde yapıldıysa, değişiklik anında gerçekleştir. Ancak, sınama yapmadan önce istemcileri yeniden başlatmanız gerekir.)

      Varsayılan olarak, Grup İlkesi ayarları etki alanı denetleyicilerinde her beş dakikada bir güncelleştirilir. Windows 2000 ve üstünde ilke ayarlarının hemen güncelleştirilmesini zorlamak için gpupdate komutunu kullanın.

      Gpupdate /force komutu, güvenlik ayarları dahil olmak üzere yerel Grup İlkesi ayarlarını ve Active Directory dizin hizmetini temel alan Güvenlik İlkesi ayarlarını güncelleştirir. Bu komut, secedit komutu için artık kullanılmayan /refreshpolicy seçeneğinin yerini alır.

      Gpupdate komutu aşağıdaki sözdizimini kullanır:
      gpupdate [/target:{bilgisayar|kullanıcı}] [/force] [/wait:değer] [/logoff] [/boot]

      Tüm ilke ayarlarını el ile yeniden uygulamak için gpupdate komutunu kullanarak yeni Grup İlkesi nesnesini (GPO) uygulayın. Bunu yapmak için, komut satırına aşağıdaki komutu yazıp ENTER tuşuna basın:
      GPUpdate /Force
      İlke ayarının başarıyla uygulandığından emin olmak için uygulama olay günlüğüne bakın.

      Windows XP ve Windows Server 2003'te, etkin ayarı görmek için İlke Sonuç Kümesi ek bileşenini kullanabilirsiniz. Bunu yapmak için, Başlat'ı tıklatın, Çalıştır'ı tıklatın, rsop.msc yazın ve sonra Tamam'ı tıklatın.

      İlkede değişiklik yapmanızdan sonra sorun devam ederse, Windows tabanlı sunucuyu yeniden başlatın ve sorunun çözümlendiğini doğrulayın.

      Not Birden fazla Windows 2000 tabanlı etki alanı denetleyiciniz, Windows Server 2003 tabanlı etki alanı denetleyiciniz veya ikisi birden varsa, bu etki alanı denetleyicilerinin hemen güncelleştirilmiş değişikliklere sahip olması için Active Directory'yi çoğaltmanız gerekebilir.

      Alternatif olarak, ayar yerel güvenlik ilkesinde en düşük ayara getirilmiş gibi görünebilir. Ayarı bir güvenlik veritabanı kullanarak zorlayabiliyorsanız, alternatif olarak aşağıdaki kayıt defteri alt anahtarındaki LmCompatibilityLevel girişini düzenleyerek LAN Manager kimlik doğrulama düzeyini kayıt defterinde ayarlayabilirsiniz:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
      Windows Server 2003 yeni varsayılan ayarı olarak yalnızca NTLMv2 kullanır. Varsayılan olarak, Windows Server 2003 ve Windows 2000 Server SP3 tabanlı etki alanı denetleyicilerinde "Microsoft ağ sunucusu: İletişimi dijital olarak imzala (her zaman)" ilkesi etkindir. Bu ayar SMB sunucusunun SMB paket imzalama gerçekleştirmesini gerektirir. Windows Server 2003'teki değişiklikler, herhangi bir kuruluştaki etki alanı denetleyicilerinin, dosya sunucularının, ağ altyapısı sunucularının ve Web sunucularının güvenliğini en üst düzeye çıkarmak için farklı ayarlara sahip olmaları gerektiğinden yapılmıştır.

      NTLMv2 kimlik doğrulamasını ağınızda uygularsanız, etki alanındaki tüm bilgisayarların bu kimlik düzeyini kullanmak üzere ayarlandığından emin olmanız gerekir. Windows 95 veya Windows 98 ve Windows NT 4.0 için Active Directory İstemci Uzantıları'nı uygularsanız, istemci uzantıları NTLMv2 bulunan geliştirilmiş kimlik doğrulama özelliklerini kullanır. Aşağıdaki işletim sistemlerinden herhangi birini çalıştıran istemci bilgisayarlar Windows 2000 Grup İlkesi nesnelerinden etkilenmediğinden, bu istemcileri el ile yapılandırmanız gerekebilir:
      • Microsoft Windows NT 4.0
      • Microsoft Windows Millennium Edition
      • Microsoft Windows 98
      • Microsoft Windows 95
      Not Ağ güvenliği: Sonraki parola değişikliğinde LAN Manager sağlama değerini depolama ilkesini etkinleştirir veya NoLMHash kayıt defteri anahtarını ayarlarsanız, Dizin Hizmetleri İstemcisi yüklü olmayan Windows 95 tabanlı ve Windows 98 tabanlı istemciler bir parola değişikliğinden sonra etki alanında oturum açamaz.

      Novell Netware 6 gibi birçok üçüncü taraf CIFS sunucusu NTLMv2'yi tanımaz ve yalnızca NTLM'yi kullanır. Bu nedenle, 2'den yüksek düzeyle bağlantıya izin vermez.

      LAN Manager kimlik doğrulama düzeyinin el ile nasıl yapılandırılacağı hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
      147706 Windows NT'de LM kimlik doğrulaması nasıl devre dışı bırakılır
      175641 LMCompatibilityLevel ve etkileri
      299656 Windows'un parolanızın LAN Manager sağlama değerini Active Directory ve yerel SAM veritabanlarında depolaması nasıl engellenir
      312630 Outlook sürekli oturum açma kimlik bilgilerini istiyor
      LM kimlik doğrulama düzeyleri hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
      239869 NTLM 2 kimlik doğrulaması nasıl etkinleştirilir
    2. Riskli yapılandırmalar

      Zararlı olabilecek yapılandırma ayarları şunlardır:
      • Parolaları düz metin olarak gönderen ve NTLMv2 anlaşmasını reddeden kısıtlamasız ayarlar.
      • Uyumsuz istemcilerin ve etki alanı denetleyicilerinin ortak bir kimlik doğrulama protokolünde anlaşmasını engelleyen kısıtlayıcı ayarlar.
      • Windows NT 4.0'ın Service Pack 4 (SP4) öncesi sürümlerini çalıştıran üye bilgisayarlarda ve etki alanı denetleyicilerinde NTLMv2 kimlik doğrulamasını gerekli kılma.
      • Windows Dizin Hizmetleri İstemcisi yüklü olmayan Windows 95 istemcilerinde veya Windows 98 istemcilerinde NTLMv2 kimlik doğrulamasını gerekli kılma.
      • Windows Server 2003 veya Windows 2000 Service Pack 3 tabanlı bir bilgisayarda Microsoft Yönetim Konsolu Grup İlkesi Düzenleyicisi ek bileşeninde NTLMv2 oturum güvenliği gerektir onay kutusunu tıklatıp seçerseniz ve LAN Manager kimlik düzeyini 0'a düşürürseniz, bu iki ayar çakışır ve Secpol.msc dosyasında veya GPEdit.msc dosyasında aşağıdaki hata iletisini alabilirsiniz:
        Windows yerel ilke veritabanını açamıyor. Veritabanı açılmaya çalışılırken bilinmeyen bir hata oluştu.
        Güvenlik Yapılandırması ve Çözümlemesi Aracı hakkında daha fazla bilgi için, Windows 2000 veya Windows Server 2003 Yardım dosyalarına bakın.

        Windows 2000 ve Windows Server 2003'te güvenlik düzeylerinin nasıl çözümleneceği hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
        313203 Windows 2000'de sistem güvenliği nasıl çözümlenir
        816580 Windows Server 2003'te sistem güvenliği nasıl çözümlenir
    3. Bu Ayarı Değiştirme Nedenleri
      • Kuruluşunuzdaki istemciler ve etki alanı denetleyicileri tarafından desteklenen en düşük kimlik doğrulama protokolünü yükseltmek istiyorsanız.
      • Güvenliğin bir iş gerekliliği olduğu durumlarda, LM ve NTLM protokollerinde anlaşılmasına izin vermek istemiyorsanız.
    4. Bu ayarı devre dışı bırakma nedenleri

      İstemci veya sunucu kimlik doğrulama gereksinimlerinin veya her ikisinin ortak bir protokol üzerinden kimlik doğrulama yapılamayacak noktaya kadar yükseltilmiş olması.
    5. Simgesel Ad:

      LmCompatibilityLevel
    6. Kayıt Defteri Yolu:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
    7. Uyumluluk sorunlarına örnekler
      • Windows Server 2003: Varsayılan olarak, Windows Server 2003 NTLMv2 NTLM yanıtları gönderme ayarı etkindir. Bu nedenle, ilk yüklemeden sonra Windows NT 4.0 tabanlı bir kümeye veya LanManager V2.1 tabanlı sunuculara (örneğin, OS/2 Lanserver) bağlanmaya çalıştığınızda Windows Server 2003 "Erişim Reddedildi" hata iletisini alır. Bu sorun eski bir istemci sürümünden Windows Server 2003 tabanlı bir sunucuya bağlanmaya çalıştığınızda da oluşur.
      • Microsoft Windows 2000 Güvenlik Toplama Paketi 1'i (SRP1) yüklediniz. SRP1, NTLM sürüm 2'yi (NTLMv2) zorlar. Bu toplama paketi Windows 2000 Service Pack 2 (SP2) yayımlandıktan sonra yayımlanmıştır. SRP1 hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:

        311401 Ocak 2002 tarihli Windows 2000 Güvenlik Toplaması Paketi 1
      • Microsoft Outlook istemcilerinden, etki alanında oturum açmış durumda oldukları halde kimlik bilgileri istenebilir. Kullanıcılar kimlik bilgilerini girdiklerinde aşağıdaki hata iletisini alırlar:
        Girilen oturum açma bilgileri geçersiz. Kullanıcı ve etki alanı adlarının doğru olmasını sağlayıp parolanızı yeniden girin.
        Outlook'u başlattığınızda, Oturum Açma Ağ Güvenliği ayarınız Geçiş veya Parola Kimlik Doğrulaması olarak ayarlanmış olsa bile kimlik bilgileriniz sorulabilir. Doğru kimlik bilgilerini yazmanızdan sonra aşağıdaki hata iletisini alabilirsiniz:
        Girilen oturum açma bilgileri geçersiz.
        Bir Ağ İzleyicisi izlemesi yapılması, genel kataloğun 0x5 durum koduyla bir uzaktan yordam çağrısı (RPC) hatası verdiğini gösterebilir. 0x5 durumu "Erişim Reddedildi" anlamına gelir.
      • Windows 2000: Bir Ağ İzlemesi yakalaması yapılması, TCP/IP üzerinden NetBIOS (NetBT) sunucu ileti bloğu (SMB) oturumunda aşağıdaki hataları gösterebilir:
        SMB R Arama Dizini Dos hatası, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Geçersiz kullanıcı tanıtıcısı
      • Windows 2000: NTLMv2 Düzey 2 veya sonraki sürümüne sahip bir Windows 2000 etki alanına bir Windows NT 4.0 etki alanı tarafından güveniliyorsa, kaynak etki alanındaki Windows 2000 tabanlı üye bilgisayarlar kimlik doğrulama hataları yaşayabilir.

        Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        305379 Windows NT 4.0 etki alanında 2 üzeri NTLM 2 düzeylerine sahip Windows 2000'de kimlik doğrulama sorunları
      • Windows 2000 ve Windows XP: Varsayılan olarak, Windows 2000 ve Windows XP, LAN Manager Kimlik Doğrulama Düzeyi Yerel Güvenlik İlkesi seçeneğini 0 olarak ayarlar. 0 ayarı, "LM ve NTLM yanıtları gönder" anlamına gelir.

        Not Windows NT 4.0 tabanlı kümelerin yönetim için LM kullanması gerekir.
      • Windows 2000: Her iki düğüm de bir Windows NT 4.0 Service Pack 6a (SP6a) etki alanına dahilse, Windows 2000 kümeleri katılan bir düğümün kimliğini doğrulamaz.

        Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        305379 Windows NT 4.0 etki alanında 2 üzeri NTLM 2 düzeylerine sahip Windows 2000'de kimlik doğrulama sorunları
      • IIS Kilitleme Aracı (HiSecWeb), LMCompatibilityLevel değerini 5 ve RestrictAnonymous değerini 2 olarak ayarlar.
      • Macintosh Hizmetleri

        Kullanıcı Kimlik Doğrulama Modülü (UAM): Microsoft UAM (Kullanıcı Kimlik Doğrulama Modülü), Windows AFP (AppleTalk Dosyalama Protokolü) sunucularında oturum açmak için kullandığınız parolaları şifrelemek için bir yöntem sağlar. Apple User Authentication Module (UAM), yalnızca en düşük düzeyde şifreleme sağlar veya hiç şifreleme sağlamaz. Bu nedenle, parolanız LAN veya Internet üzerinde kolayca ele geçirilebilir. UAM gerekli olmamakla birlikte, Macintosh Hizmetleri çalıştıran Windows 2000 Server bilgisayarlarına şifreli kimlik doğrulama olanağı sağlar. Bu sürümü NTLMv2 128-bit şifreli kimlik doğrulama desteği ve MacOS X 10.1 uyumlu bir sürüm içerir.

        Varsayılan olarak, Windows Server 2003 Macintosh Hizmetleri sunucusu yalnızca Microsoft Kimlik Doğrulaması'na izin verir.

        Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
        834498 Macintosh istemcisi Windows Server 2003 üzerindeki Macintosh Hizmetleri'ne bağlanamıyor
        838331 Mac OS X kullanıcıları Windows Server 2003 tabanlı bir sunucu üzerindeki Macintosh paylaşılan klasörlerini açamıyor
      • Windows Server 2008, Windows Server 2003, Windows XP ve Windows 2000: LMCompatibilityLevel değerini 0 veya 1 olacak biçimde yapılandırıp daha sonra NoLMHash değerini 1 olarak yapılandırırsanız, uygulamaların ve bileşenlerin NTLM aracılığıyla erişimi reddedilebilir. Bu sorun, bilgisayar LM'yi etkinleştirecek ama LM olarak saklanan parolaları kullanmayacak şekilde yapılandırılmışsa oluşur.

        NoLMHash değerini 1 olacak şekilde yapılandırırsanız, LMCompatibilityLevel değerini de 2 ya da daha yüksek olacak şekilde yapılandırmalısınız.
  11. Ağ güvenliği: LDAP istemci imzalama gereksinimleri
    1. Arka plan

      Ağ güvenliği: LDAP istemci imzalama gereksinimleri ayarı, aşağıdaki şekilde Basit Dizin Erişim Protokolü (LDAP) BIND istekleri gönderen istemciler adına istenen veri imzalama düzeyini belirler:
      • Yok: LDAP BIND isteği çağıran tarafından belirlenen seçeneklerle oluşturulur.
      • İmzalamayı görüş: Güvenli Yuva Katmanı/Aktarım Katmanı Güvenliği (TLS\SSL) başlatılmamışsa; LDAP BIND isteği, çağrı yapanın belirttiği seçeneklere ek olarak ayarlanan LDAP veri imzalama seçeneği ile başlatılır. SSL/TLS başlatılmışsa, LDAP BIND isteği çağıranın belirttiği seçeneklerle başlatılır.
      • İmzalama gerekiyor: Bu, İmzalamayı görüş ile aynıdır. Ancak, LDAP sunucusunun ara saslBindInProgress yanıtı LDAP trafiği imzalanmasının gerekli olduğunu belirtmiyorsa, çağrıyı yapana LDAP BIND komutu isteğinin başarısız olduğu bildirilir.
    2. Riskli yapılandırma

      Ağ güvenliği: LDAP istemci imzalama gereksinimleri ayarının etkinleştirilmesi zararlı olabilecek bir yapılandırma ayarıdır. Sunucuyu LDAP imzaları isteyecek şekilde ayarlarsanız, istemcide de LDAP imzalamayı yapılandırmanız gerekir. İstemcinin LDAP imzaları kullanacak şekilde yapılandırılmaması sunucuyla iletişimi engeller; bu da kullanıcı kimlik doğrulamasının, Grup İlkesi ayarlarının ve diğer özelliklerin başarısız olmasına neden olur.
    3. Bu Ayarı Değiştirme Nedenleri

      İmzalanmamış ağ trafiği ortadaki adam saldırılarına maruz kalabilir (bir saldırgan istemci ile sunucular arasındaki paketleri yakalar, değiştirir ve sonra bunları sunucuya iletir). Bir LDAP sunucusunda bu davranış oluştuğunda, saldırgan sunucunun LDAP istemcisinden gelen gerçek dışı sorgulara dayalı yanıtlar vermesine neden olabilir. Bir şirket ağında, ağ altyapısını korumaya yardımcı olacak sağlam fiziksel güvenlik önlemleri uygulayarak bu riski azaltabilirsiniz. Ek olarak, IPSec kimlik doğrulama üstbilgileri aracılığıyla tüm ağ paketlerinde dijital imzalar kullanılması gerekli kılınarak her türlü ortadaki adam saldırıları son derece zor hale getirilebilir.
    4. Simgesel Ad:

      LDAPClientIntegrity
    5. Kayıt Defteri Yolu:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
  12. Olay Günlüğü: En fazla güvenlik günlüğü boyutu
    1. Arka plan

      Olay Günlüğü: En fazla güvenlik günlüğü boyutu güvenlik ayarı, güvenlik olay günlünün en büyük boyut sınırını belirtir. Bu günlüğün boyut üst sınırı 4 GB'dir. Bu ayarı bulmak için, Windows Ayarları'nı ve sonra Güvenlik Ayarları'nı genişletin
    2. Riskli yapılandırmalar

      Zararlı olabilecek yapılandırma ayarları şunlardır:
      • Denetle: Güvenlik denetimleri günlüğü tutulamazsa sistemi hemen kapat ayarı etkin olduğunda güvenlik günlüğü boyutunu ve güvenlik günlüğü saklama yöntemini kısıtlama. Daha ayrıntılı bilgi için bu makalenin "Denetle: Güvenlik denetimleri günlüğü tutulamazsa sistemi hemen kapat" bölümüne bakın.
      • Önemli güvenlik olaylarının üzerine yazılacak şekilde güvenlik günlüğü boyutunu kısıtlama.
    3. Bu Ayarı Artırma Nedenleri

      İş ve güvenlik gereksinimleri, ek güvenlik günlüğü ayrıntılarını işlemek için güvenlik günlüğü boyutunu artırmanızı veya güvenlik günlüklerini daha uzun süre saklamanızı gerektirebilir.
    4. Bu Ayarı Azaltma Nedenleri

      Olay Görüntüleyicisi günlükleri bellek eşlemeli dosyalardır. Bir olay günlüğünün en büyük boyutu, yerel bilgisayarda bulunan fiziksel bellek miktarı ve olay günlüğü işleminin kullanabildiği sanal bellek miktarı ile kısıtlanır. Günlük boyutunu Olay Görüntüleyicisi'nin kullanabildiği sanal bellek miktarından daha büyük bir değere artırmak, tutulabilecek günlük girişi sayısını artırmaz.
    5. Uyumluluk sorunlarına örnekler

      Windows 2000: Windows 2000'in Service Pack 4 (SP4) öncesi sürümlerini çalıştıran bilgisayarlar, Olayların üzerine yazma (günlüğü kendin temizle) seçeneği etkinleştirilmişse, Olay Görüntüleyicisi'ndeki En fazla günlük boyutu ayarında belirtilen boyuta ulaşmadan olayları olay günlüğüne yazmayı durdurabilir.

      Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
      312571 Olay günlüğü en büyük günlük boyutuna ulaşmadan olayları günlüğe kaydetmeyi durduruyor
  13. Olay Günlüğü: Güvenlik günlüğünü tut
    1. Arka plan

      Olay Günlüğü: Güvenlik günlüğünü tut güvenlik ayarı, güvenlik günlüğünün "sarma" yöntemini belirler. Bu ayarı bulmak için, Windows Ayarları'nı ve sonra Güvenlik Ayarları'nı genişletin
    2. Riskli yapılandırmalar

      Zararlı olabilecek yapılandırma ayarları şunlardır:
      • Üzerlerine yazılmadan önce günlüğe kaydedilen tüm güvenlik olaylarını saklamama
      • En fazla güvenlik günlüğü boyutu ayarını güvenlik ayarlarının üzerine yazılacak kadar küçük bir değerle yapılandırma
      • Denetle: Güvenlik denetimleri günlüğü tutulamazsa sistemi hemen kapat ayarı etkinken güvenlik günlüğü boyutunu ve güvenlik günlüğü saklama yöntemini kısıtlama.
    3. Bu ayarı etkinleştirme nedenleri

      Bu ayarı, yalnızca Her gün olayların üzerine yaz saklama yöntemini seçerseniz etkinleştirin. Olayları yoklayan bir olay bağıntı sistemi kullanıyorsanız, gün sayısının, yoklama sıklığının en az üç katı olmasını sağlayın. Bunu, başarısız yoklama döngülerine izin vermek için yapın.
  14. Ağ erişimi: Adsız kullanıcılara Everyone izinleri uygulansın
    1. Arka plan

      Varsayılan olarak, Ağ erişimi: Adsız kullanıcılara Everyone izinleri uygulansın ayarı Windows Server 2003'te Tanımlanmadı olarak ayarlanır. Varsayılan olarak, Windows Server 2003, Everyone grubuna Anonim Erişim simgesini eklemez.
    2. Uyumluluk Sorunlarına Örnekler

      Windows Server 2003 etki alanı hesap etki alanı ve Windows NT 4.0 etki alanı kaynak etki alanı olduğunda,
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
      anahtarının [REG_DWORD]=0x0 değeri Windows Server 2003 ile Windows NT 4.0 arasında güven oluşturmaya son verir. Bu, Windows NT 4.0'da hesap etki alanının Güvenilen olduğu ve Windows Server 2003 tarafında kaynak etki alanının Güvenen olduğu anlamına gelir. Bu davranış, Windows NT 4.0 üzerinde ilk anonim bağlantıdan sonra güveni başlatacak olan işleme Anonim SID'si içeren Everyone simgesiyle ACL uygulandığı için oluşur.
    3. Bu Ayarı Değiştirme Nedenleri

      Güven oluşturmayı mümkün kılmak için, değerin 0x1 olarak ayarlanması veya etki alanı denetleyicisinin OU'sunda bir GPO kullanılarak Ağ erişimi: Adsız kullanıcılara Everyone izinleri uygulansın - Etkin olarak ayarlanması gerekir.

      Not Diğer güvenlik ayarlarının çoğunun değeri, en güvenli durumları için 0x0 değerine inmek yerine yükselir. Daha güvenli bir uygulama, kayıt defterini tüm etki alanı denetleyicileri yerine birincil etki alanı denetleyicisi öykünücüsü üzerinde değiştirmektir. Birincil etki alanı denetleyicisi öykünücüsü herhangi bir nedenle taşınırsa, yeni sunucuda kayıt defterinin güncelleştirilmesi gerekir.

      Bu değer ayarlandıktan sonra yeniden başlatma gerekir.
    4. Kayıt Defteri Yolu
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
  15. NTLMv2 kimlik doğrulaması

    Oturum güvenliği

    Oturum güvenliği, istemci ve sunucu oturumları için en düşük güvenlik standartlarını belirler. Microsoft Yönetim Konsolu Grup İlkesi Düzenleyicisi ek bileşeninde aşağıdaki güvenlik ilkesi ayarlarının doğrulanması iyi bir fikirdir:
    • Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\Yerel İlkeler\Güvenlik Seçenekleri
    • Ağ güvenliği: NTLM SSP tabanlı (güvenli RPC dahil) sunucular için en az oturum güvenliği
    • Ağ güvenliği: NTLM SSP tabanlı (güvenli RPC dahil) istemciler için en az oturum güvenliği
    Bu ayarların seçenekleri şunlardır:
    • İleti bütünlüğünü gerektir
    • İleti gizliliği gerektir
    • NTLM sürüm 2 oturum güvenliği gerektir
    • 128-bit şifreleme kullanılmasını iste
    Varsayılan ayar Gereksinim yok'tur.

    Bu ilkeler, bir sunucuda bir istemci için uygulamadan uygulamaya iletişimlerdeki güvenlik standartlarının en düşüğünü belirler.

    Tarihsel olarak, Windows NT ağ oturumu açarken sınama/yanıt kimlik doğrulamasının aşağıdaki iki çeşidini desteklemiştir:
    • LM sınama/yanıt
    • NTLM sürüm 1 sınama/yanıt
    LM, istemci ve sunucuların yüklü tabanıyla birlikte çalıştırmaya olanak verir. NTLM istemci ve sunucular arasında bağlantı için geliştirilmiş güvenlik sağlar.

    Karşılık gelen kayıt defteri anahtarları aşağıdakilerdir:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

Saat eşitleme

Saat eşitleme başarısız oldu. Saat, etkilenen bir bilgisayarda 30 dakikadan daha fazla yanlış. İstemci bilgisayarın saatinin etki alanı denetleyicisinin saatiyle eşitlendiğinden emin olun.

SMB imzalama için geçici çözüm

Windows Server 2003 Service tabanlı bir etki alanıyla birlikte çalışan Windows NT 4.0 istemcilerine Pack 6a (SP6a) yüklemenizi öneririz. Windows 98 İkinci Sürüm, Windows 98 ve Windows 95 tabanlı istemcilerin NTLMv2 gerçekleştirmek için Dizin Hizmetleri İstemcisi çalıştırmaları gerekir. Windows NT 4.0 tabanlı istemcilerde Windows NT 4.0 SP6 yüklü değilse veya Windows 95, Windows 98 ve Windows 98SE tabanlı istemcilerde Dizin Hizmetleri İstemcisi yüklü değilse, etki alanının OU'sundaki varsayılan etki alanı denetleyicisinin ilke ayarında SMB imzalamayı devre dışı bırakın ve sonra bu ilkeyi etki alanı denetleyicisi barındıran tüm OU'lara bağlayın.

Windows 98 İkinci Sürüm, Windows 98 ve Windows 95 için Dizin Hizmetleri İstemcisi, Windows 2003 sunucularıyla NTLM kimlik doğrulaması altında SMB İmzalama gerçekleştirir ancak NTLMv2 kimlik doğrulaması altında gerçekleştirmez. Ek olarak, Windows 2000 sunucuları bu istemcilerden gelen SMB İmzalama isteklerini yanıtlamaz.

Microsoft tarafından önerilmemekle birlikte, bir etki alanında Windows Server 2003 çalıştıran tüm etki alanı denetleyicilerinde SMB imzalamanın gerekli kılınmasını önleyebilirsiniz. Bu güvenlik ayarını yapılandırmak için şu adımları izleyin:
  1. Varsayılan etki alanı denetleyicisinin ilkesini açın.
  2. Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\Yerel İlkeler\Güvenlik Seçenekleri klasörünü açın.
  3. Microsoft ağ sunucusu: İletişimi dijital olarak imzala (her zaman) ilke ayarını bulup tıklatın ve sonra Devre dışı'nı tıklatın.
Önemli Bu bölüm, yöntem veya görev kayıt defterini nasıl değiştireceğinizin anlatıldığı adımlar içermektedir. Ancak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle, bu adımları dikkatlice uyguladığınızdan emin olun. Ek koruma için, kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
322756 Windows XP'de kayıt defterini yedekleme ve geri yükleme
Alternatif olarak, kayıt defterini değiştirerek sunucuda SMB imzalamayı kapatın. Bunu yapmak için şu adımları izleyin:
  1. Başlat'ı tıklatın, Çalıştır'ı tıklatın, regedit yazın ve Tamam'ı tıklatın.
  2. Aşağıdaki alt anahtarı bulup tıklatın:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters
  3. enablesecuritysignature girişini tıklatın.
  4. Düzen menüsünde, Değiştir'i tıklatın.
  5. Değer verisi kutusuna 0 yazın ve Tamam'ı tıklatın.
  6. Kayıt Defteri Düzenleyicisi'nden çıkın.
  7. Bilgisayarı yeniden başlatın veya Sunucu hizmetini durdurup yeniden başlatın. Bunu yapmak için, bir komut isteminde aşağıdaki komutları yazın ve her komuttan sonra ENTER tuşuna basın:
    net stop server
    net start server
Not İstemci bilgisayarında karşılık gelen anahtar aşağıdaki kayıt defteri alt anahtarın bulunur:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters
Aşağıdaki liste, hata kodu numaralarının durum kodlarına çevirisini ve daha önce belirtilen hata iletisi metinlerine çevirisini içermektedir:
hata 5
ERROR_ACCESS_DENIED
Erişim reddedildi.
hata 1326
ERROR_LOGON_FAILURE
Oturum açma hatası: bilinmeyen kullanıcı adı veya hatalı parola.
hata 1788
ERROR_TRUSTED_DOMAIN_FAILURE
Birincil etki alanı ile güvenilen etki alanı arasındaki güven ilişkisi başarısız oldu.
hata 1789
ERROR_TRUSTED_RELATIONSHIP_FAILURE
Bu iş istasyonu ile birincil etki alanı arasındaki güven ilişkisi başarısız oldu.
Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
324802 Windows Server 2003'te sistem hizmetlerinin güvenliğini ayarlamak için Grup İlkeleri nasıl yapılandırılır
306771 Windows Server 2003 kümesini yapılandırdıktan sonra "Erişim reddedildi" hata iletisi
101747 Macintosh'a Microsoft kimlik doğrulaması nasıl yüklenir
161372 Windows NT'de SMB imzalama nasıl etkinleştirilir
236414 LMCompatibilityLevel yalnızca NTLM 2 kimlik doğrulamasına ayarlı olduğunda paylaşımlar kullanılamıyor
241338 İlk oturumu açan Windows NT LAN Manager sürüm 3 istemcisi sonraki oturum açma etkinliğini önlüyor
262890 Karma ortamda giriş dizini sürücü bağlantısı alınamıyor
308580 Alt düzey sunuculara giriş klasörü eşlemeleri oturum açma sırasında çalışmayabilir
285901 Uzaktan erişim, VPN ve RIS istemcileri yalnızca NTLM sürüm 2 kimlik doğrulamasını kabul etmek üzere yapılandırılmış bir sunucuda oturum açamıyor
816585 Windows Server 2003'te önceden tanımlanmış güvenlik şablonları nasıl uygulanır
820281 Exchange Server 2003'e Outlook 2003 HTTP Üzerinden RPC özelliğini kullanarak bağlandığınızda Windows hesabı kimlik bilgileri sağlamanız gerekir

Özellikler

Makale numarası: 823659 - Last Review: 13 Mayıs 2010 Perşembe - Gözden geçirme: 19.0
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 98 İkinci Sürüm
  • Microsoft Windows 95
  • Microsoft Ağ İstemcisi 3.1
  • Microsoft LAN Manager 4.2 Standard Edition
  • Apple Macintosh OS X
Anahtar Kelimeler: 
kbinfo KB823659

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com