Thi?t đ?t b?o m?t và quy?n ngư?i dùng bài t?p có th? đư?c thay đ?i trong chính sách đ?a phương và các chính sách nhóm đ? giúp th?t ch?t an ninh trên b? b? ki?m soát mi?n và tài kho?n c?a máy tính. Tuy nhiên, như?c đi?m tăng cư?ng an ninh là gi?i thi?u không tương h?p v? sau v?i khách hàng, các b?n ghi d?ch v? và chương tr?nh.
Bài vi?t này mô t? không tương h?p v? sau có th? x?y ra trên các khách hàng máy tính đang ch?y Windows XP ho?c m?t phiên b?n c? hơn c?a Windows, khi b?n thay đ?i cài đ?t chuyên bi?t b?o m?t c? th? và bài t?p quy?n ngư?i dùng trong m?t tên mi?n Windows Server 2003 ho?c m?t tên mi?n Windows Server trư?c đó.
Đ? bi?t thông tin v? nhóm chính sách cho Windows 7, Windows Server 2008 R2 và Windows Server 2008, h?y xem các bài vi?t sau đây:
Đ? tăng s? nh?n th?c v? an ninh sai cài đ?t chuyên bi?t, s? d?ng công c? ch?nh s?a đ?i tư?ng chính sách nhóm đ? thay đ?i thi?t đ?t b?o m?t. Khi b?n s? d?ng tr?nh ch?nh s?a đ?i tư?ng chính sách nhóm, quy?n ngư?i dùng t?p đư?c tăng cư?ng trên hệ điều hành sau:
Windows XP chuyên nghi?p Service Pack 2 (SP2)
Windows Server 2003 Gói b?n ghi d?ch v? 1 (SP1)
Các tính năng nâng cao là m?t h?p có ch?a m?t liên k?t đ?n bài vi?t này. hộp thoại s? xu?t hi?n khi b?n thay đ?i m?t b?o m?t thi?t l?p ho?c gán quy?n ngư?i dùng đ?n m?t thi?t l?p mà cung c?p ít kh? năng tương h?p v? sau và là h?n ch? hơn. N?u b?n tr?c ti?p thay đ?i phân cùng b?o m?t thi?t l?p ho?c quy?n ngư?i dùng công b?ng cách s? d?ng ki?m nh?p ho?c b?ng cách s? d?ng an ninh m?u, có hi?u l?c là gi?ng như thay đ?i các thi?t l?p trong ch?nh s?a đ?i tư?ng chính sách nhóm. Tuy nhiên, h?p có ch?a liên k?t đ?n bài vi?t này không xu?t hi?n.
Bài vi?t này ch?a các ví d? c?a khách hàng, chương tr?nh, và các ho?t đ?ng b? ?nh hư?ng b?i cài đ?t chuyên bi?t b?o m?t c? th? ho?c quy?n ngư?i dùng t?p. Tuy nhiên, các ví d? là không đ?c quy?n cho t?t c? các hệ điều hành Microsoft, cho t?t c? các hệ điều hành bên th? ba ho?c cho t?t c? các phiên b?n chương tr?nh b? ?nh hư?ng. Không ph?i t?t c? thi?t đ?t b?o m?t và gán quy?n ngư?i dùng đư?c bao g?m trong bài vi?t này.
Chúng tôi khuyên r?ng b?n ki?m tra tính tương h?p v? sau c?a t?t c? các thay đ?i c?u h?nh liên quan đ?n an ninh trong m?t khu r?ng th? nghi?m trư?c khi b?n gi?i thi?u h? trong m?t môi trư?ng s?n xu?t. R?ng th? nghi?m ph?i gương r?ng s?n xu?t theo các cách sau:
Phiên b?n hệ điều hành khách hàng và máy ch?, khách hàng và
chương tr?nh máy ch? b?n ghi d?ch v? gói phiên b?n, hotfix, thay đ?i lư?c đ?, an ninh
Nhóm nhóm thành viên, quy?n trên các đ?i tư?ng trong h? th?ng t?p, chia s?
m?c tin thư thoại ki?m nh?p, các b?n ghi d?ch v? m?c tin thư thoại Thư mục Họat động, đ?a phương và nhóm
Thi?t đ?t chính sách, và lo?i tính đ?i tư?ng và v? trí
Tác v? qu?n tr? đư?c th?c hi?n, hành chính
công c? đư?c s? d?ng và hệ điều hành đư?c s? d?ng đ? th?c hi?n
tác v? qu?n tr?
Ho?t đ?ng đư?c th?c hi?n, ch?ng h?n như sau:
Máy tính và ngư?i s? d?ng xác th?c kí nh?p
Đ?t l?i m?t kh?u c?a ngư?i s? d?ng, máy tính, và qu?n tr? viên
Tr?nh duy?t
Thi?t l?p quy?n truy c?p h? th?ng t?p, cho chia s? m?c tin thư thoại, ki?m nh?p, và cho các tài nguyên Thư mục Họat động b?ng cách s? d?ng tr?nh so?n th?o ACL trong t?t c? các hệ điều hành khách trong t?t c? các tài kho?n ho?c tên mi?n tài nguyên t? t?t c? các hệ điều hành khách t? t?t c? tài kho?n ho?c tên mi?n tài nguyên
In t? tài kho?n qu?n tr? viên và nonadministrative
Đ? giúp làm cho khách hàng bi?t r?ng h? đang ch?nh s?a m?t quy?n ngư?i dùng ho?c tùy ch?n b?o m?t có th? có b?t l?i ?nh hư?ng đ?n m?ng lư?i c?a h?, hai cơ ch? c?nh báo đ? đư?c thêm vào đ? gpedit.msc. Khi qu?n tr? viên ch?nh s?a m?t quy?n ngư?i dùng có th? ?nh hư?ng đ?n toàn b? doanh nghi?p, h? s? th?y m?t bi?u tư?ng m?i tương t? như m?t d?u ki?m hi?u năng su?t. H? c?ng s? nh?n đư?c m?t thông báo c?nh báo có m?t liên k?t đ?n bài vi?t Cơ s? tri th?c Microsoft 823659. Các văn b?n c?a thư này là như sau:
S?a đ?i cài đ?t chuyên bi?t này có th? ?nh hư?ng đ?n kh? năng tương h?p v? sau v?i khách hàng, các b?n ghi d?ch v? và các ?ng d?ng. Đ? bi?t thêm thông tin, h?y xem <user right="" or="" security="" option="" being="" modified="">(Q823659)</user>
N?u b?n đ? đư?c chuy?n đ?n bài vi?t cơ s? ki?n th?c này t? m?t liên k?t trong Gpedit.msc, h?y ch?c ch?n r?ng b?n đ?c và hi?u nh?ng l?i gi?i thích đư?c cung c?p và hi?u qu? có th? thay đ?i cài đ?t chuyên bi?t này. Dư?i đây danh sách các quy?n c?a ngư?i dùng ch?a văn b?n c?nh báo:
Truy c?p vào máy tính này t? m?ng
kí nh?p đ?a phương
B? qua đi qua ki?m tra
Cho phép máy tính và ngư?i dùng cho đoàn đ?i bi?u đáng tin c?y
Dư?i đây danh sách các tùy ch?n b?o m?t đ? c?nh báo và m?t tin thư thoại b?t lên:
Thành viên tên mi?n: K? thu?t s? m? hóa ho?c kí nh?p an toàn kênh d? li?u (luôn luôn)
Thành viên tên mi?n: Yêu c?u m?nh m? (Windows 2000 ho?c phiên b?n m?i hơn) ch?a khóa phiên
Ph?n sau đây mô t? không tương h?p v? sau có th? x?y ra khi b?n thay đ?i các thi?t l?p c? th? trong tên mi?n Windows NT 4.0, Windows 2000 tên mi?n và tên mi?n Windows Server 2003.
Danh sách sau đây mô t? m?t quy?n ngư?i dùng, xác đ?nh cài đ?t chuyên bi?t c?u h?nh có th? gây ra v?n đ?, mô t? l? do t?i sao b?n nên áp d?ng cho ngư?i dùng quy?n và t?i sao b?n có th? mu?n xoá quy?n s? d?ng, và cung c?p các ví d? v? các v?n đ? tương h?p v? sau có th? x?y ra khi ngư?i dùng ph?i đư?c c?u h?nh.
Truy c?p vào máy tính này t? m?ng
N?n
Kh? năng tương tác v?i máy tính t? xa d?a-trên-Windows yêu c?u quy?n ngư?i dùng truy c?p vào máy tính này t? m?ng . Ví d? v? các ho?t đ?ng m?ng lư?i bao g?m:
Sao chép m?c tin thư thoại ho?t đ?ng gi?a b? ki?m soát mi?n trong m?t tên mi?n ph? bi?n ho?c r?ng
Yêu c?u ch?ng th?c đ? b? ki?m soát mi?n t? ngư?i dùng và máy tính
S? d?ng c?p dùng chung, máy in, và các b?n ghi d?ch v? h? th?ng khác n?m trên các máy tính t? xa trên m?ng
Ngư?i s? d?ng, máy tính và tài kho?n b?n ghi d?ch v? đ?t đư?c hay m?t quy?n ngư?i dùng truy c?p vào máy tính này t? m?ng b?ng cách r? ràng ho?c ng?m thêm ho?c Loại bỏ khỏi Nhóm b?o m?t đ? đư?c c?p quy?n ngư?i dùng này. Ví d?, tài kho?n ngư?i dùng trương m?c máy tính ngư?i qu?n tr? có th? đư?c thêm vào m?t r? ràng đ? m?t nhóm bảo mật tu? ch?nh ho?c m?t nhóm đư?c xây d?ng trong an ninh, ho?c có th? đư?c thêm b?i hệ điều hành hoàn toàn ? m?t nhóm bảo mật tính ch?ng h?n như ngư?i s? d?ng tên mi?n, xác th?c ngư?i dùng, ho?c b? b? ki?m soát mi?n c?a doanh nghi?p.
theo m?c đ?nh, tài kho?n ngư?i dùng và máy tính tài kho?n đư?c c?p cho ngư?i dùng truy c?p vào máy tính này t? m?ng ngay khi tính nhóm như t?t c? m?i ngư?i ho?c, t?t hơn, ngư?i dùng Authenticated, và b? b? ki?m soát mi?n, nhóm b? ki?m soát mi?n doanh nghi?p, đư?c xác đ?nh trong b? b? ki?m soát mi?n m?c đ?nh đ?i tư?ng chính sách nhóm (GPO).
C?u h?nh nguy hi?m
Sau đây là các cài đ?t chuyên bi?t c?u h?nh có h?i:
Lo?i b? các nhóm xác th?c ngư?i dùng ho?c m?t
Nhóm r? ràng cho phép ngư?i s? d?ng, máy tính và b?n ghi d?ch v? tài kho?n ngư?i dùng
quy?n đ? k?t n?i v?i máy tính trên m?ng
Lo?i b? t?t c? các ngư?i dùng và máy tính t? ngư?i dùng này
quy?n
L? do đ? c?p quy?n ngư?i dùng này
C?p quy?n truy c?p vào máy tính này t? m?ng ngư?i dùng nhóm b? ki?m soát mi?n doanh nghi?p đáp ?ng xác th?c yêu c?u ho?t đ?ng m?c tin thư thoại sao chép ph?i có đ? nhân r?ng đ? x?y ra gi?a b? ki?m soát mi?n trong r?ng cùng m?t.
Ngư?i dùng này ph?i cho phép ngư?i dùng và máy tính
truy c?p chia s? t?p, máy in và h? th?ng b?n ghi d?ch v?, bao g?m c? ho?t đ?ng
m?c tin thư thoại.
Quy?n ngư?i dùng này là c?n thi?t cho ngư?i dùng truy c?p
thư b?ng cách s? d?ng phiên b?n trư?c đó c?a Microsoft Outlook Web Access (OWA).
L? do đ? lo?i b? các quy?n ngư?i dùng này
Ngư?i s? d?ng có th? k?t n?i máy tính c?a h? đ? các
m?ng có th? truy c?p tài nguyên trên máy tính t? xa mà h? có quy?n
cho. Ví d?, ngư?i dùng này ph?i là c?n thi?t cho m?t ngư?i s? d?ng đ? k?t n?i đ? chia s?
Máy in và m?c tin thư thoại. N?u ngư?i dùng này ph?i đư?c c?p cho t?t c? m?i ngư?i trong nhóm,
và n?u m?t s? m?c tin thư thoại dùng chung có c? hai chia s? và NTFS cho phép h? th?ng t?p.
c?u h?nh đ? cùng m?t nhóm có quy?n truy c?p đ?c, b?t c? ai có th? xem các t?p tin trong
nh?ng c?p dùng chung. Tuy nhiên, đây là m?t t?nh hu?ng không cho tươi
cài đ?t chuyên bi?t Windows Server 2003 v? chia s? m?c đ?nh và các NTFS
Các đi?u kho?n trong Windows Server 2003 không bao g?m t?t c? m?i ngư?i trong nhóm. Cho
H? th?ng đư?c nâng c?p t? Microsoft Windows NT 4.0 hay Windows 2000, đi?u này
d? b? t?n thương có th? có m?t m?c đ? cao c?a r?i ro v? m?c đ?nh chia s? và
quy?n truy c?p h? th?ng t?p cho các hệ điều hành không ph?i là h?n ch? như
các quy?n m?c đ?nh trong Windows Server 2003.
Có là không có l? do h?p l? đ? lo?i b? các doanh nghi?p
B? đi?u khi?n tên mi?n nhóm t? này ngư?i s? d?ng đúng.
T?t c? m?i ngư?i trong nhóm thư?ng b? lo?i b? trong l?i c?a
Các nhóm xác th?c ngư?i dùng. N?u t?t c? m?i ngư?i trong nhóm đư?c l?y ra, các
Xác th?c ngư?i dùng nhóm ph?i đư?c gán quy?n ngư?i dùng này.
Tên mi?n Windows NT 4.0 đư?c nâng c?p lên Windows 2000 không r? ràng c?p ngư?i dùng truy c?p vào máy tính này t? m?ng ngay cho t?t c? m?i ngư?i trong nhóm, nhóm xác th?c ngư?i dùng ho?c nhóm b? ki?m soát mi?n c?a doanh nghi?p. V? v?y, khi b?n lo?i b? t?t c? m?i ngư?i trong nhóm t? chính sách tên mi?n Windows NT 4.0, ho?t đ?ng m?c tin thư thoại sao chép s? không thành công v?i m?t thông báo l?i "Truy c?p t? ch?i" sau khi b?n nâng c?p lên Windows 2000. Winnt32.exe trong Windows Server 2003 tránh l?i c?u này b?ng c?p b? ki?m soát mi?n doanh nghi?p nhóm quy?n ngư?i dùng này khi b?n nâng c?p b? ki?m soát mi?n chính Windows NT 4.0 (PDCs). m?c g?p nhóm doanh nghi?p b? ki?m soát mi?n này ngư?i s? d?ng đúng n?u nó không ph?i là hi?n nay trong ch?nh s?a đ?i tư?ng chính sách nhóm.
Ví d? v? các v?n đ? tương h?p v? sau
Windows 2000 và Windows Server 2003: Sao chép các phân vùng sau đây s? th?t b?i v?i l?i "Truy c?p t? ch?i" theo báo cáo b?ng cách giám sát các công c? như REPLMON và REPADMIN ho?c sao chép các s? ki?n trong trư?ng h?p kí nh?p.
Ho?t đ?ng m?c tin thư thoại lư?c đ? phân vùng
C?u h?nh phân vùng
Phân vùng mi?n
Toàn c?u danh m?c phân vùng
?ng d?ng phân vùng
T?t c? Microsoft hệ điều hành m?ng:Xác th?c tài kho?n ngư?i dùng t? m?ng t? xa máy tính khách hàng s? không tr? khi ngư?i dùng ho?c nhóm bảo mật ngư?i dùng là thành viên c?a đ? đư?c c?p quy?n ngư?i dùng này.
T?t c? Microsoft hệ điều hành m?ng:Tài kho?n xác th?c t? các khách hàng t? xa m?ng s? không tr? khi các tài kho?n ho?c m?t nhóm bảo mật tài kho?n là m?t thành viên c?a đ? đư?c c?p ngư?i dùng này ngay. K?ch b?n này áp d?ng cho tài kho?n ngư?i dùng, đ? máy tính tài kho?n và tài kho?n b?n ghi d?ch v?.
T?t c? Microsoft hệ điều hành m?ng:Lo?i b? t?t c? tài kho?n t? quy?n ngư?i dùng này s? ngăn ch?n b?t k? tài kho?n kí nh?p vào tên mi?n ho?c truy c?p vào tài nguyên m?ng. N?u tính nhóm ch?ng h?n như b? b? ki?m soát mi?n c?a doanh nghi?p, t?t c? m?i ngư?i, ho?c xác th?c ngư?i dùng s? b? lo?i b?, ph?i b?n r? ràng c?p quy?n ngư?i dùng này vào tài kho?n ho?c nhóm bảo mật tài kho?n là m?t thành viên đ? truy c?p vào máy tính t? xa qua m?ng. K?ch b?n này áp d?ng cho t?t c? tài kho?n ngư?i dùng, t?t c? máy tính tài kho?n, và t?t c? các tài kho?n b?n ghi d?ch v?.
T?t c? Microsoft hệ điều hành m?ng:tài kho?n qu?n tr? viên c?c b? s? d?ng m?t m?t kh?u "tr?ng". K?t n?i m?ng v?i tr?ng m?t kh?u không đư?c phép cho qu?n tr? viên tài kho?n trong m?t môi trư?ng tên mi?n. V?i c?u h?nh này, b?n có th? mong đ?i đ? nh?n đư?c m?t thông báo l?i "Truy c?p t? ch?i".
Cho phép kí nh?p trên đ?a phương
N?n
Ngư?i s? d?ng đang c? g?ng đ? kí nh?p vào giao di?n đi?u khi?n c?a m?t máy tính d?a trên Windows (b?ng cách s? d?ng phím l?i tắt CTRL + ALT + DELETE) và các tài kho?n ngư?i đang c? g?ng đ? B?t đ?u m?t b?n ghi d?ch v? ph?i có đ?c quy?n kí nh?p đ?a phương trên máy tính lưu tr?. Ví d? v? các ho?t đ?ng kí nh?p đ?a phương bao g?m ngư?i đang kí nh?p vào bàn giao ti?p c?a thành viên máy tính ho?c b? ki?m soát mi?n trong su?t c? doanh nghi?p và tên mi?n ngư?i dùng nh?ng ngư?i đang kí nh?p vào tài kho?n c?a máy tính đ? truy c?p vào máy tính đ? bàn c?a h? b?ng cách s? d?ng tài kho?n không có đ?c quy?n qu?n tr?. Ngư?i s? d?ng có s? d?ng m?t Kết nối Bàn làm việc Từ xa ho?c b?n ghi d?ch v? đ?u cu?i ph?i có ngư?i dùng cho phép kí nh?p đ?a phương ngay trên máy tính đích đang ch?y Windows 2000
ho?c Windows XP
b?i v? các ch? đ? kí nh?p đư?c coi là đ?a phương đ? máy tính lưu tr?. Ngư?i dùng
nh?ng ngư?i đang kí nh?p vào m?t máy ch? mà có máy ch? đ?u cu?i cho phép và nh?ng ngư?i không
có này ngư?i dùng ph?i có th? v?n c?n B?t đ?u m?t phiên tương tác t? xa trong Windows
Tên mi?n máy ch? 2003 n?u h? có ngư?i dùng cho phép kí nh?p thông qua b?n ghi d?ch v? đ?u cu?i ph?i.
C?u h?nh nguy hi?m
Sau đây là các cài đ?t chuyên bi?t c?u h?nh có h?i:
Lo?i b? các nhóm bảo mật qu?n tr?, bao g?m tài kho?n s? d?ng, s? d?ng sao lưu, in qu?c gia s? d?ng ho?c s? d?ng máy ch?, và nhóm ngư?i qu?n tr? đư?c xây d?ng trong t? c?a b? ki?m soát mi?n m?c đ?nh chính sách.
Lo?i b? b?n ghi d?ch v? tài kho?n đư?c s? d?ng b?i các thành ph?n và chương tr?nh trên máy tính thành viên và trên b? ki?m soát mi?n trong mi?n t? chính sách c?a b? ki?m soát mi?n m?c đ?nh.
Lo?i b? ngư?i dùng ho?c nhóm bảo mật kí nh?p vào
giao di?n đi?u khi?n thành viên máy tính trong tên mi?n.
Lo?i b? b?n ghi d?ch v? tài kho?n đư?c xác đ?nh trong b? máy cơ s? d? li?u đ?a phương b?o m?t tài kho?n qu?n l? (SAM) c?a các thành viên máy tính ho?c nhóm làm vi?c máy tính.
Lo?i b? tài không-xây d?ng-trong qu?n tr? kho?n cá trong b?n ghi d?ch v? đ?u cu?i đang ch?y trên m?t b? đi?u khi?n tên mi?n.
Thêm t?t c? các tài kho?n ngư?i dùng trong tên mi?n m?t cách r? ràng
ho?c hoàn toàn thông qua t?t c? m?i ngư?i trong nhóm đ? t? ch?i kí nh?p đ?a phương kí nh?p đúng. C?u h?nh này s? ngăn ch?n ngư?i dùng kí nh?p
vào b?t k? thành viên máy tính ho?c b?t k? ki?m soát mi?n trong tên mi?n.
L? do đ? c?p quy?n ngư?i dùng này
Ngư?i dùng ph?i có quy?n ngư?i dùng cho phép kí nh?p đ?a phương đ? truy c?p vào giao di?n đi?u khi?n ho?c bàn làm vi?c c?a m?t nhóm làm vi?c
máy tính, máy tính thành viên ho?c m?t b? đi?u khi?n tên mi?n.
Ngư?i dùng ph?i có quy?n ngư?i dùng này đ? kí nh?p vào trong m?t phiên b?n ghi d?ch v? Thi?t b? cu?i đang ch?y trên m?t máy tính d?a trên c?a s? 2000 thành viên ho?c b? đi?u khi?n tên mi?n.
L? do đ? lo?i b? các quy?n ngư?i dùng này
S? th?t b?i đ? h?n ch? truy c?p vào giao di?n đi?u khi?n đ? h?p pháp
tài kho?n ngư?i dùng có th? d?n đ?n trái phép ngư?i dùng t?i v? và th?c hi?n
m? đ?c h?i đ? thay đ?i quy?n ngư?i dùng c?a h?.
Lo?i b? cho phép kí nh?p đ?a phương dùng ph?i ngăn trái phép logons trên bàn giao ti?p c?a
Máy vi tính, ch?ng h?n như b? đi?u khi?n tên mi?n ho?c máy phục vụ ứng dụng.
Lo?i b? các quy?n kí nh?p này ngăn c?n không tên mi?n
tài kho?n kí nh?p t?i giao di?n đi?u khi?n c?a tài kho?n c?a máy tính trong các
tên mi?n.
Ví d? v? các v?n đ? tương h?p v? sau
Máy ch? đ?u cu?i Windows 2000:Ngư?i cho phép kí nh?p đ?a phương dùng ph?i là c?n thi?t cho ngư?i dùng đ? kí nh?p vào Windows 2000
thi?t b? đ?u cu?i máy ch?.
Windows NT 4.0, Windows 2000, Windows XP ho?c Windows Server 2003:Trương m?c ngư?i dùng ph?i đư?c gán quy?n ngư?i dùng này đ? kí nh?p vào giao di?n đi?u khi?n c?a máy tính đang ch?y Windows NT 4.0, Windows 2000, Windows XP ho?c Windows Server 2003.
Windows NT 4.0 và sau đó:Trên máy tính đang ch?y Windows NT 4.0 và sau đó, n?u b?n thêm quy?n ngư?i dùng cho phép kí nh?p trên t?i đ?a phương nhưng b?n hoàn toàn ho?c m?t cách r? ràng c?ng c?p quy?n kí nh?p t? ch?i kí nh?p t?i đ?a phương , các tài kho?n s? không th? kí nh?p vào các
giao di?n đi?u khi?n c?a b? b? ki?m soát mi?n.
B? qua đi qua ki?m tra
N?n
Ngư?i b? qua đi qua ki?m tra dùng đúng cho phép ngư?i dùng duy?t qua các m?c tin thư thoại trong các NTFS
h? th?ng t?p ho?c ki?m nh?p mà không ki?m tra cho phép truy c?p đ?c bi?t Đi qua m?c tin thư thoại . Ngư?i b? qua đi qua ki?m tra dùng quy?n không cho phép ngư?i s? d?ng danh sách các n?i dung c?a m?t m?c tin thư thoại. Nó cho phép ngư?i dùng đ? đi qua ch? các c?p.
C?u h?nh nguy hi?m
Sau đây là các cài đ?t chuyên bi?t c?u h?nh có h?i:
Lo?i b? ph?ng không hành chính các tài kho?n kí nh?p vào máy tính d?a trên Windows 2000 Terminal Services ho?c b?n ghi d?ch v? đ?u cu?i Windows Server 2003 d?a trên máy tính mà không có quy?n đ? truy c?p các t?p tin và m?c tin thư thoại trong h? th?ng t?p.
Lo?i b? t?t c? m?i ngư?i trong nhóm t? danh sách các chủ thể an toàn thông tin ngư?i có viên này ph?i theo m?c đ?nh. hệ điều hành Windows, và c?ng nhi?u chương tr?nh, đư?c thi?t k? v?i hy v?ng r?ng ai đó có th? h?p pháp truy c?p vào máy tính s? có ngư?i b? qua đi qua ki?m tra dùng đúng. V? v?y, lo?i b? t?t c? m?i ngư?i trong nhóm t? danh sách là chủ thể an toàn thông tin ngư?i có quy?n này ngư?i dùng theo m?c đ?nh có th? d?n đ?n s? m?t ?n đ?nh hệ điều hành ho?c đ? chương tr?nh th?t b?i. Nó là t?t hơn r?ng b?n đ? l?i thi?t l?p này lúc m?c đ?nh c?a nó.
L? do đ? c?p quy?n ngư?i dùng này
Các thi?t l?p m?c đ?nh cho ngư?i b? qua đi qua ki?m tra dùng đúng là đ? cho phép b?t c? ai đ? vư?t qua đi qua ki?m tra. Cho
có kinh nghi?m người quản trị hệ thống Windows, đây là hành vi mong đ?i, và
h? đ?t c?u h?nh đi?u khi?n danh sách truy nh?p h? th?ng t?p (SACLs) cho phù h?p. Ch?
k?ch b?n mà c?u h?nh m?c đ?nh có th? d?n đ?n m?t r?i ro là n?u các
qu?n tr? viên đ? c?u h?nh cho phép không hi?u hành vi và
Hy v?ng r?ng nh?ng ngư?i s? d?ng không th? truy c?p vào m?t m?c tin thư thoại ph? huynh s? không th? truy c?p vào
n?i dung c?a b?t k? m?c tin thư thoại con.
L? do đ? lo?i b? các quy?n ngư?i dùng này
C? g?ng đ? ngăn ch?n truy c?p các t?p tin ho?c m?c tin thư thoại trong h? th?ng t?p, t? ch?c đang r?t quan tâm v? b?o m?t có th? b? cám d? đ? lo?i b? t?t c? m?i ngư?i trong nhóm, ho?c th?m chí các Nhóm ngư?i dùng, t? danh sách các nhóm có ngư?i b? qua đi qua ki?m tra dùng đúng.
Ví d? v? các v?n đ? tương h?p v? sau
Windows 2000, Windows Server 2003:N?u ngư?i b? qua đi qua ki?m tra dùng ph?i đư?c g? b? ho?c là sai trên máy tính
ch?y Windows 2000 ho?c Windows Server 2003, cài đ?t chuyên bi?t chính sách nhóm trong SYVOL
m?c tin thư thoại s? không sao chép gi?a b? ki?m soát mi?n trong tên mi?n.
Windows 2000, Windows XP Professional, Windows Server 2003:Máy tính đang ch?y Windows 2000, Windows XP Professional ho?c Windows Server 2003 s? đăng s? ki?n 1000 và 1202 và s? không th? áp d?ng chính sách máy tính và các chính sách ngư?i dùng khi quy?n truy c?p h? th?ng t?p c?n thi?t đư?c lo?i b? t? cây SYSVOL n?u ngư?i đi qua b? qua ki?m tra dùng ph?i đư?c g? b? ho?c sai.
Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
ID s? ki?n 1000, 1001 kí nh?p m?i năm phút trong Nh?t k? s? ki?n ?ng d?ng
Windows 2000, Windows Server 2003: Trên máy tính đang ch?y Windows 2000 ho?c Windows Server
năm 2003, các Dung lư?ng tab trong Window Explorer s? bi?n m?t khi
b?n xem thu?c tính trên m?t ổ đĩa.
Windows 2000: Ph?ng Không qu?n tr? viên kí nh?p vào m?t máy ch? đ?u cu?i Windows 2000
có th? nh?n đư?c thông báo l?i sau:
Userinit.exe
l?i ?ng d?ng. ?ng d?ng không th? kh?i đ?ng đúng 0xc0000142
b?m có đ? ch?m d?t các ?ng d?ng.
Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
Ngư?i dùng t? đ?ng kí nh?p khi c? g?ng kí nh?p vào b?n ghi d?ch v? đ?u cu?i
Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003:Ngư?i dùng có máy tính đang ch?y Windows NT 4.0, Windows 2000, Windows XP ho?c Windows Server 2003 có th? không th? truy nh?p c?p dùng chung ho?c các t?p tin vào m?c tin thư thoại đư?c chia s?, và h? có th? nh?n đư?c thông báo l?i "Truy c?p t? ch?i" n?u h? không c?p quy?n ngư?i dùng b? qua đi qua ki?m tra .
Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
Thông báo l?i "Truy c?p ch?i" khi ngư?i dùng c? g?ng truy c?p vào m?c tin thư thoại dùng chung
Windows NT 4.0:Trên máy tính d?a trên Windows NT 4.0, lo?i b? c?a b? qua đi qua ki?m tra đúng s? gây ra m?t đ?ng g?i t?p tin đ? th? t?p tin ngu?n. N?u b?n
lo?i b? quy?n ngư?i dùng này, khi m?t t?p tin đư?c sao chép t? m?t khách hàng Windows ho?c t? m?t
Macintosh khách hàng lên b? ki?m soát mi?n Windows NT 4.0 ch?y b?n ghi d?ch v?
cho Macintosh, d?ng t?p tin đích là b? m?t, và các t?p tin xu?t hi?n như là m?t
t?p văn b?n ch?.
Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
Lo?i b? các "Bypass đi qua ki?m tra" làm sao t?p đ? đư?ng th?
Microsoft Windows 95, Microsoft Windows 98:Trên m?t khách hàng máy tính đang ch?y Windows 95 ho?c Windows 98, các lư?i s? d?ng * / trang chủ l?nh s? không thành công v?i m?t "truy c?p
B? t? ch?i"báo l?i n?u đ?i xác th?c ngư?i dùng không ph?i là c?p quy?n ngư?i dùng b? qua đi qua ki?m tra .
Outlook Web Access:Qu?n tr? viên không s? không th? kí nh?p vào Microsoft Outlook Web Access, và h? s? nh?n đư?c m?t thông báo l?i "Truy c?p t? ch?i" n?u h? không đư?c c?p quy?n ngư?i dùng b? qua đi qua ki?m tra .
Danh sách sau đây xác đ?nh cài đ?t chuyên bi?t b?o m?t, và danh sách l?ng nhau cung c?p m?t mô t? v? cài đ?t chuyên bi?t b?o m?t, xác đ?nh cài đ?t chuyên bi?t c?u h?nh mà có th? gây ra v?n đ?, mô t? l? do t?i sao b?n nên áp d?ng cài đ?t chuyên bi?t b?o m?t, và sau đó mô t? l? do t?i sao b?n có th? mu?n lo?i b? thi?t đ?t b?o m?t. Danh sách l?ng nhau sau đó cung c?p m?t tên tư?ng trưng cho các thi?t l?p b?o m?t và đư?ng d?n ki?m nh?p c?a các thi?t l?p b?o m?t. Cu?i cùng, ví d? đư?c cung c?p kh? năng tương h?p v? sau các v?n đ? có th? x?y ra khi cài đ?t chuyên bi?t b?o m?t đư?c đ?t c?u h?nh.
Ki?m tra: T?t h? th?ng ngay l?p t?c n?u không th? kí nh?p ki?m tra an ninh
N?n
Các ki?m tra: t?t h? th?ng ngay l?p t?c n?u không th? kí nh?p an ninh ki?m tra cài đ?t chuyên bi?t xác đ?nh li?u h? th?ng t?t n?u b?n không th? đăng s? ki?n an ninh. Thi?t đ?t này đư?c yêu c?u cho chương tr?nh đáng tin c?y tiêu chí đánh giá b?o m?t máy tính (TCSEC) C2 đánh giá và các tiêu chí ph? bi?n cho các th?m đ?nh an ninh công ngh? thông tin đ? ngăn ch?n s? ki?n ngôn n?u h? th?ng ki?m toán không th? kí nh?p nh?ng s? ki?n. N?u h? th?ng ki?m toán không thành công, H? th?ng đóng c?a, và m?t d?ng thông báo l?i xu?t hi?n.
N?u máy tính không th? ghi l?i các s? ki?n đ? các
s? ghi b?o m?t, b?ng ch?ng quan tr?ng ho?c thông tin kh?c ph?c s? c? quan tr?ng
không có s?n đ? xem xét sau khi m?t s? c? an ninh.
C?u h?nh nguy hi?m
Sau đây là m?t t?p c?u h?nh có h?i: các ki?m tra: t?t h? th?ng ngay l?p t?c n?u không th? kí nh?p an ninh ki?m tra cài đ?t chuyên bi?t đư?c b?t, và kích thư?c c?a s? ghi s? ki?n an ninh đ? đư?c c? đ?nh b?i không ghi đè lên s? ki?n (r? ràng kí nh?p theo cách th? công) tùy ch?n, tùy ch?n ghi đè lên các s? ki?n như c?n thi?t , ho?c Ghi đè lên các s? ki?n l?n hơn s? Ngày tùy ch?n trong tr?nh Tr?nh xem s? ki?n. Xem các "ví d? c?a tính tương h?p v? sau
V?n đ?"ph?n cho các thông tin v? các r?i ro c? th? cho máy tính
ch?y các phiên b?n phát hành ban đ?u c?a Windows 2000, Windows 2000 b?n ghi d?ch v?
Pack 1 (SP1), Windows 2000 SP2 ho?c Windows 2000 SP3.
L? do đ? cho phép thi?t đ?t này
N?u máy tính không th? ghi l?i các s? ki?n vào Nh?t k? b?o m?t, b?ng ch?ng quan tr?ng ho?c thông tin kh?c ph?c s? c? quan tr?ng có th? không có s?n đ? xem xét sau khi m?t s? c? an ninh.
L? do đ? vô hi?u hoá cài đ?t chuyên bi?t này
Cho phép các ki?m toán: t?t h? th?ng ngay l?p t?c n?u không th? kí nh?p an ninh ki?m tra cài đ?t chuyên bi?t d?ng h? th?ng n?u m?t ki?m toán b?o m?t không th? đư?c kí nh?p
b?t k? l? do nào. Thông thư?ng, m?t s? ki?n không th? đư?c kí nh?p khi Nh?t k? ki?m tra an ninh
đ?y đ? và khi phương pháp lưu gi? đ? ch? đ?nh là m?t trong hai tùy ch?n không ghi đè lên s? ki?n (r? ràng kí nh?p theo cách th? công) ho?c Ghi đè lên các s? ki?n l?n hơn s? Ngày tùy ch?n.
Gánh n?ng hành chính t?o đi?u ki?n cho các ki?m tra: t?t h? th?ng ngay l?p t?c n?u không th? kí nh?p an ninh ki?m tra cài đ?t chuyên bi?t có th? r?t cao, đ?c bi?t là n?u b?n c?ng b?t tùy ch?n không ghi đè lên s? ki?n (r? ràng kí nh?p b?ng tay) cho s? ghi b?o m?t. Thi?t l?p này cung c?p cho các trách nhi?m cá nhân c?a nhà đi?u hành hành đ?ng. Ví d?, ngư?i qu?n tr? có th? đ?t l?i mức cấp phép trên t?t c? ngư?i dùng, máy tính, và các nhóm trong m?t đơn v? t? ch?c (OU) nơi ki?m toán đư?c kích ho?t b?ng cách s? d?ng tài kho?n ngư?i qu?n tr? cài s?n ho?c khác chia s? tài kho?n và sau đó t? ch?i h? đ?t l?i quy?n như v?y. Tuy nhiên, cho phép các thi?t l?p làm gi?m m?nh m? c?a h? th?ng v? m?t máy ch? có th? b? bu?c ph?i đóng c?a b?i quá nó v?i s? ki?n kí nh?p và các s? ki?n an ninh khác đư?c ghi vào s? ghi b?o m?t. Ngoài ra, b?i v? các không ph?i là duyên dáng, các thi?t h?i không th? kh?c ph?c đ? hệ điều hành, chương tr?nh ho?c d? li?u có th? d?n đ?n. M?c dù NTFS đ?m b?o tính toàn v?n c?a h? th?ng t?p đư?c duy tr? trong m?t t?t ungraceful h? th?ng, nó không th? đ?m b?o r?ng m?i t?p tin d? li?u cho m?i chương tr?nh s? v?n trong m?t h?nh th?c s? d?ng khi h? th?ng kh?i đ?ng l?i.
Windows 2000:V? m?t l?i, máy tính đang ch?y phiên b?n phát hành ban đ?u c?a Windows 2000, Windows 2000 SP1, Windows 2000 SP2 ho?c Windows Server SP3 có th? ngăn ch?n s? ki?n kí nh?p trư?c khi kích thư?c đư?c ch? đ?nh trong các tùy ch?n kích c? s? ghi t?i đa cho s? ghi s? ki?n an ninh đư?c đ?t t?i. L?i này đư?c c? đ?nh
trong Windows 2000 Service Pack 4 (SP4). H?y ch?c ch?n r?ng tên mi?n c?a b?n Windows 2000
b? đi?u khi?n có Windows 2000 Service Pack 4 cài đ?t chuyên bi?t trư?c khi b?n xem xét
cho phép thi?t đ?t này.
Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
S? ghi s? ki?n d?ng ghi nh?t k? s? ki?n trư?c khi đ?t kích thư?c t?i đa kí nh?p
Windows 2000, Windows Server 2003:Máy tính đang ch?y Windows 2000 ho?c Windows Server 2003 có th?
ng?ng đáp ?ng và kh?i đ?ng sau đó có th? t? phát l?i n?u các ki?m tra: t?t h? th?ng ngay l?p t?c n?u không th? kí nh?p an ninh ki?m tra cài đ?t chuyên bi?t đư?c b?t, s? ghi b?o m?t là đ?y đ? và m?t m?c nh?p s? ghi s? ki?n hi?n t?i không th? đư?c ghi đè. Khi máy tính kh?i đ?ng l?i, thông báo l?i d?ng sau s? xu?t hi?n:
NG?NG: C0000244
{Ki?m tra th?t b?i} M?t n? l?c đ? t?o ra m?t b?o m?t ki?m toán không thành công.
Đ? khôi ph?c, ngư?i qu?n tr? ph?i kí nh?p vào, lưu tr? s? ghi b?o m?t (tùy ch?n),
xóa s? ghi b?o m?t, và sau đó đ?t l?i tu? ch?n này (tùy ch?n và là c?n thi?t).
Máy s? d?ng m?ng Microsoft cho MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003:Ph?ng Không qu?n tr? viên c? g?ng đ? kí nh?p vào m?t tên mi?n s? nh?n đư?c các
thông báo l?i sau:
Tài kho?n c?a b?n đư?c c?u h?nh đ?
ngăn c?n b?n t? vi?c s? d?ng máy tính này. H?y th? khác
máy tính.
Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
Thông báo l?i: ngư?i dùng không th? kí nh?p vào m?t máy tr?m
Windows 2000:Trên máy tính d?a trên Windows 2000, không ph?i là ngư?i qu?n tr? s? không th? kí nh?p vào máy ch? truy nh?p t? xa, và h? s? nh?n đư?c m?t thông báo l?i tương t? như sau đây:
Ngư?i dùng không bi?t hay x?u
m?t kh?u
Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
Thông báo l?i: tài kho?n c?a b?n đư?c c?u h?nh đ? ngăn c?n b?n t? vi?c s? d?ng máy tính này
Windows 2000:Trên b? ki?m soát mi?n Windows 2000, Intersite tin thư thoại b?n ghi d?ch v? (Ismserv.exe) s? t?t máy và không th? đư?c kh?i đ?ng l?i. DCDIAG s? báo cáo các l?i như là "không thành công th? nghi?m b?n ghi d?ch v? ISMserv", và t? ch?c s? ki?n ID 1083 s? ki?m nh?p trong trư?ng h?p kí nh?p.
Windows 2000:Trên b? ki?m soát mi?n Windows 2000, ho?t đ?ng m?c tin thư thoại sao chép s? không thành công, và m?t thông báo "Truy c?p t? ch?i" s? xu?t hi?n n?u s? ghi s? ki?n b?o m?t đ?y đ?.
Microsoft Exchange 2000:Máy ch? đang ch?y Exchange 2000 s? không th? g?n k?t b? máy cơ s? d? li?u lưu tr? thông tin, và s? ki?n 2102 s? ki?m nh?p trong trư?ng h?p kí nh?p.
Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
Exchange 2000 l?i đư?c t?o ra b?i v? SeSecurityPrivilege quy?n và các v?n đ? Policytest
Outlook, Outlook Web Access: Qu?n tr? viên không s? không th? truy c?p thư c?a h? thông qua
Microsoft Outlook ho?c thông qua Microsoft Outlook Web Access, và h? s?
nh?n đư?c m?t l?i 503.
B? đi?u khi?n tên mi?n: h? ph?c v? LDAP yêu c?u kí nh?p
N?n
Các đi?u khi?n vùng: h? ph?c v? LDAP k? yêu c?u cài đ?t chuyên bi?t b?o m?t xác đ?nh cho dù máy ch? nh? Directory Access Protocol (LDAP) mà yêu c?u khách hàng LDAP thương lư?ng d? li?u kí nh?p. Các giá tr? có th? cho thi?t đ?t chính sách này là như sau:
Không có: D? li?u kí nh?p không b?t bu?c ph?i liên k?t v?i máy ch?. N?u các
khách hàng yêu c?u d? li?u kí nh?p, các máy ch? h? tr? nó.
Yêu c?u đăng nh?p: Tùy ch?n kí nh?p d? li?u LDAP ph?i đư?c thương lư?ng tr? khi giao thông v?n t?i
L?p b?o m?t/Secure Socket Layer (TLS/SSL) đang đư?c s? d?ng.
không đư?c đ?nh ngh?a: Thi?t l?p này không đư?c kích ho?t ho?c vô hi?u hoá.
C?u h?nh nguy hi?m
Sau đây là các cài đ?t chuyên bi?t c?u h?nh có h?i:
Cho phép yêu c?u đăng trong môi trư?ng nơi mà khách hàng không h? tr? LDAP k? ho?c
nơi client-side LDAP k? không đư?c phép trên máy tính khách
Áp d?ng Windows 2000 ho?c Windows Server
2003 Hisecdc.inf an ninh m?u trong môi trư?ng nơi các khách hàng không
h? tr? LDAP đăng ho?c nơi client-side LDAP k? là không
kích ho?t
Áp d?ng Windows 2000 ho?c Windows Server
2003 Hisecws.inf an ninh m?u trong môi trư?ng nơi các khách hàng không
h? tr? LDAP đăng ho?c nơi client-side LDAP k? là không
kích ho?t
L? do đ? cho phép thi?t đ?t này
Đi?u m?ng lư?i giao thông là d? b? t?n công ngư?i đàn ông ? gi?a nơi m?t k? xâm nh?p b?t gói d? li?u gi?a máy tính khách và máy ch?, s?a đ?i các gói d? li?u, và sau đó chuy?n h? đ?n máy ch?. Khi hành vi này x?y ra trên m?t máy ch? LDAP, k? t?n công có th? gây ra m?t máy ch? đ? đưa ra quy?t đ?nh d?a trên các truy v?n sai t? khách hàng LDAP. B?n có th? làm gi?m nguy cơ này trong m?t m?ng công ty b?ng cách th?c hi?n các bi?n pháp an ninh v?t l? m?nh m? đ? giúp b?o v? cơ s? h? t?ng m?ng. Ch? đ? tiêu đ? xác th?c b?o m?t (IPSec) Giao th?c Internet có th? giúp ngăn ch?n ngư?i đàn ông ? gi?a cu?c t?n công. Xác th?c đ?u ch? đ? th?c hi?n xác th?c l?n nhau và tích h?p gói cho lưu lư?ng truy c?p IP.
L? do đ? vô hi?u hoá cài đ?t chuyên bi?t này
Khách hàng không h? tr? LDAP k? s? không
có th? đ? th?c hi?n truy v?n LDAP v?i b? b? ki?m soát mi?n và ch?ng l?i toàn c?u
catalog n?u NTLM xác th?c đàm phán và n?u các b?n ghi d?ch v? chính xác gói
không đư?c cài đ?t chuyên bi?t trên b? ki?m soát mi?n Windows 2000.
M?ng lư?i các d?u ki?m v?t c?a LDAP giao thông gi?a khách hàng và máy ch? s? đư?c m? hóa. Đi?u này làm cho nó khó khăn đ? ki?m tra LDAP cu?c h?i tho?i.
D?a trên Windows 2000 máy ch? ph?i có Windows 2000 Service Pack 3 (SP3) ho?c cài đ?t chuyên bi?t khi h? đư?c qu?n l? v?i các chương tr?nh h? tr? LDAP đăng mà đang ch?y t? khách hàng máy tính ch?y Windows 2000 SP4, Windows XP ho?c Windows Server 2003. Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
Windows 2000 Service Pack 4, Windows XP, Windows Server 2003:Trên máy s? d?ng đang ch?y Windows 2000 SP4, Windows XP ho?c Windows Server 2003, m?t s? công c? qu?n l? Thư mục Họat động không s? ho?t đ?ng đúng v?i b? b? ki?m soát mi?n đang ch?y phiên b?n Windows 2000 s?m hơn SP3 khi NTLM xác th?c thương lư?ng.
Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
Yêu c?u b? ki?m soát mi?n Windows 2000 Service Pack 3 ho?c sau khi s? d?ng công c? qu?n l? Windows Server 2003
Windows 2000 Service Pack 4, Windows XP, Windows Server 2003:Trên khách hàng đang ch?y Windows 2000 SP4, Windows XP ho?c Windows Server 2003, qu?n l? ho?t đ?ng m?c tin thư thoại m?t s? công c? mà b? ki?m soát mi?n m?c tiêu đang ch?y phiên b?n c?a Windows 2000 có trư?c đó hơn SP3 s? không ho?t đ?ng đúng n?u h? đang s? d?ng đ?a ch? IP (ví d?: "dsa.msc /server =x.x.x.x"nơi x.x.x.x là m?t đ?a ch? IP).
Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
Yêu c?u b? ki?m soát mi?n Windows 2000 Service Pack 3 ho?c sau khi s? d?ng công c? qu?n l? Windows Server 2003
Windows 2000 Service Pack 4, Windows XP, Windows Server 2003:Vào các khách hàng đang ch?y Windows 2000 SP4, Windows XP ho?c Windows Server 2003, m?t s? công c? qu?n l? ho?t đ?ng m?c tin thư thoại m?c tiêu đó b? b? ki?m soát mi?n đang ch?y phiên b?n Windows 2000 s?m hơn SP3 s? không ho?t đ?ng m?t cách chính xác.
Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
Yêu c?u b? ki?m soát mi?n Windows 2000 Service Pack 3 ho?c sau khi s? d?ng công c? qu?n l? Windows Server 2003
Thành viên tên mi?n: yêu c?u m?nh m? (Windows 2000 ho?c m?i hơn) phiên phím
N?n
Các thành viên tên mi?n: yêu c?u m?nh m? (Windows 2000 ho?c m?i hơn) phiên phím cài đ?t chuyên bi?t xác đ?nh cho dù m?t secure channel có th? đư?c thi?t l?p
v?i m?t b? b? ki?m soát mi?n không th? m?t m? hóa an toàn kênh giao thông v?i m?t
Phiên làm vi?c m?nh m?, 128-bit chính. Cho phép thi?t đ?t này ngăn c?n vi?c thi?t l?p m?t
Kênh b?o m?t v?i b?t k? b? ki?m soát mi?n không th? m?t m? hóa an toàn kênh
d? li?u v?i m?t ch?a khóa m?nh m?. Vô hi?u hoá cài đ?t chuyên bi?t này cho phép 64-bit phiên phím.
Trư?c khi b?n có th? b?t cài đ?t chuyên bi?t này vào m?t thành viên
tr?m làm vi?c ho?c trên m?t máy ch?, t?t c? các b? ki?m soát mi?n trong tên mi?n mà các
thành viên thu?c v? ph?i có kh? năng m? hóa kênh b?o m?t d? li?u v?i m?t m?nh m?,
128-bit chính. Đi?u này có ngh?a r?ng t?t c? các b? đi?u khi?n tên mi?n như v?y ph?i ch?y
Windows 2000 ho?c m?i hơn.
C?u h?nh nguy hi?m
Cho phép các thành viên tên mi?n: yêu c?u m?nh m? (Windows 2000 ho?c m?i hơn) phiên phím cài đ?t chuyên bi?t là m?t t?p c?u h?nh có h?i.
L? do đ? cho phép thi?t đ?t này
Khóa phím đư?c s? d?ng đ? thi?t l?p an toàn
Kênh thông tin liên h? gi?a các thành viên máy tính và các b? b? ki?m soát mi?n có nhi?u
m?nh m? hơn trong Windows 2000 hơn h? đang có trong các phiên b?n trư?c c?a Microsoft
hệ điều hành.
Khi có th?, nó là m?t ? tư?ng t?t đ? chi?m ưu th? c?a các phím phiên làm vi?c m?nh m? hơn đ? giúp b?o v? an toàn kênh truy?n thông nghe tr?m và phiên cư?p t?n công m?ng. Eavesdropping là m?t h?nh th?c đ?c h?i t?n công nơi m?ng d? li?u đư?c đ?c ho?c là
thay đ?i trong quá c?nh. Các d? li?u có th? đư?c thay đ?i đ? ?n ho?c thay đ?i ngư?i g?i,
ho?c đ? chuy?n hư?ng nó.
Quan tr?ng M?t máy tính đang ch?y Windows Server 2008 R2 ho?c Windows 7 h? tr? ch? m?nh phím khi an toàn kênh đư?c s? d?ng. H?n ch? này ngăn ch?n m?t s? tin tư?ng gi?a b?t k? mi?n d?a trên Windows NT 4.0 và b?t k? mi?n d?a trên Windows Server 2008 R2. Ngoài ra, h?n ch? này ch?n thành viên mi?n Windows NT 4.0 d?a trên máy tính đang ch?y Windows 7 ho?c Windows Server 2008 R2, và ngư?c l?i.
L? do đ? vô hi?u hoá cài đ?t chuyên bi?t này
Tên mi?n có ch?a máy tính thành viên đang ch?y hệ điều hành khác hơn so v?i Windows 2000, Windows XP ho?c Windows Server 2003.
Windows NT 4.0:Trên máy tính d?a trên Windows NT 4.0, đ?t l?i an toàn kênh tin tư?ng m?i quan h? gi?a Windows NT 4.0 và Windows 2000 tên mi?n v?i NLTEST không thành công. M?t thông báo l?i "Truy c?p t? ch?i" s? xu?t hi?n:
S? tin tư?ng
m?i quan h? gi?a tên mi?n chính và mi?n đáng tin c?y
đ? th?t b?i.
Windows 7 và Server 2008 R2:Đ?i v?i Windows 7 và phiên b?n m?i hơn và Windows Server 2008 R2 và phiên b?n m?i hơn, thi?t đ?t này không vinh danh n?a và chính m?nh m? đư?c s? d?ng luôn luôn. Do đó, các tín thác v?i tên mi?n Windows NT 4.0 không làm vi?c n?a.
Thành viên tên mi?n: k? thu?t s? m? hóa ho?c kí nh?p an toàn kênh d? li?u (luôn luôn)
N?n
Cho phép thành viên tên mi?n: k? thu?t s? m? hóa ho?c kí nh?p an toàn kênh d? li?u (luôn luôn) ngăn c?n vi?c thi?t l?p m?t kênh b?o m?t v?i b?t k? b? ki?m soát mi?n không th? kí nh?p ho?c m?t m? hóa t?t c? d? li?u an toàn kênh. Đ? giúp b?o v? xác th?c lưu lư?ng truy c?p t? ngư?i đàn ông ? gi?a cu?c t?n công, phát l?i các cu?c t?n công, và các lo?i khác c?a cu?c t?n công m?ng, máy tính d?a trên Windows t?o ra m?t kênh giao ti?p đư?c g?i là m?t kênh b?o m?t thông qua b?n ghi d?ch v? kí nh?p m?ng xác th?c tài kho?n máy tính. An toàn kênh c?ng đư?c s? d?ng khi m?t ngư?i dùng trong m?t tên mi?n k?t n?i tài nguyên m?ng mi?n t? xa. Này multidomain xác th?c, ho?c đ?t xác th?c, cho phép m?t máy tính d?a trên Windows đ? gia nh?p vào m?t tên mi?n ph?i
truy c?p vào b? máy cơ s? d? li?u tài kho?n ngư?i dùng trong tên mi?n c?a m?nh và trong b?t k? tên mi?n đáng tin c?y.
Đ? kích ho?t các thành viên tên mi?n: k? thu?t s? m? hóa ho?c kí nh?p an toàn kênh d? li?u (luôn luôn) cài đ?t chuyên bi?t trên m?t máy tính thành viên, t?t c? các b? ki?m soát mi?n trong tên mi?n thành viên thu?c v? ph?i có kh? năng đ? kí nh?p ho?c m?t m? hóa t?t c? d? li?u an toàn kênh. Đi?u này có ngh?a r?ng t?t c? các b? đi?u khi?n tên mi?n như v?y ph?i ch?y Windows NT 4.0 v?i gói b?n ghi d?ch v? 6a (SP6a) ho?c sau đó.
Cho phép các thành viên tên mi?n: k? thu?t s? m? hóa ho?c kí nh?p an toàn kênh d? li?u (luôn luôn) thi?t l?p t? đ?ng cho phép các thành viên tên mi?n: k? thu?t s? m? hóa ho?c đăng d? li?u an toàn kênh (khi có th?) thi?t l?p.
C?u h?nh nguy hi?m
Cho phép các thành viên tên mi?n: k? thu?t s? m? hóa ho?c kí nh?p an toàn kênh d? li?u (luôn luôn) thi?t l?p tên mi?n mà không ph?i t?t c? các b? b? ki?m soát mi?n có th? kí nh?p ho?c
m?t m? hóa an toàn kênh d? li?u là m?t t?p c?u h?nh có h?i.
L? do đ? cho phép thi?t đ?t này
Đi?u m?ng lư?i giao thông là d? b? t?n công ngư?i đàn ông ? gi?a, nơi m?t k? xâm nh?p b?t gói tin gi?a các máy ch? và khách hàng và sau đó s?a đ?i chúng trư?c khi chuy?n ti?p cho khách hàng. Khi hành vi này x?y ra trên m?t máy ch? nh? Directory Access Protocol (LDAP), nh?ng k? xâm nh?p có th? gây ra m?t khách hàng đ? đưa ra quy?t đ?nh d?a trên các h? sơ gi? t? m?c tin thư thoại LDAP. B?n có th? làm gi?m nguy cơ c?a m?t cu?c t?n công trên m?t m?ng công ty b?ng cách th?c hi?n các bi?n pháp an ninh v?t l? m?nh m? đ? giúp b?o v? cơ s? h? t?ng m?ng. Ngoài ra, vi?c th?c hi?n các Giao th?c Internet b?o m?t (IPSec) xác th?c đ?u trang ch? đ? có th? giúp ngăn ch?n ngư?i đàn ông ? gi?a cu?c t?n công. Ch? đ? này th?c hi?n xác th?c l?n nhau và tích h?p gói cho lưu lư?ng truy c?p IP.
L? do đ? vô hi?u hoá cài đ?t chuyên bi?t này
Các máy tính trong l?nh v?c đ?a phương ho?c bên ngoài h? tr? kênh b?o m?t m? hóa.
Không ph?i t?t c? các b? ki?m soát mi?n trong mi?n có các
c?p c?a phiên b?n gói b?n ghi d?ch v? thích h?p đ? h? tr? m? hóa an toàn
Kênh.
Thông báo l?i: các tài kho?n không có quy?n kí nh?p t? này station
Windows NT 4.0:Tên mi?n Windows NT 4.0 s? không th? thi?t l?p m?t ni?m tin xu?ng c?p v?i m?t tên mi?n Windows 2000 và s? nh?n đư?c thông báo l?i sau:
Tài kho?n không có quy?n kí nh?p t? này
tr?m.
Hi?n có xu?ng c?p tín thác có th? c?ng không xác th?c ngư?i dùng t? tên mi?n đáng tin c?y. M?t s? ngư?i dùng có th? có v?n đ? kí nh?p vào tên mi?n, và h? có th? nh?n đư?c m?t thông báo l?i cho bi?t r?ng khách hàng không th? t?m th?y các tên mi?n.
Windows XP:Khách hàng c?a Windows XP đư?c gia nh?p vào tên mi?n Windows NT 4.0 s? không th? xác th?c kí nh?p n? l?c và có th? nh?n đư?c thông báo l?i sau, ho?c các s? ki?n sau đây có th? đư?c ki?m nh?p trong s? ghi s? ki?n:
Windows không th? n?i đ?n mi?n ho?c v? các
b? đi?u khi?n tên mi?n là xu?ng ho?c n?u không có s?n ho?c v? máy tính c?a b?n
tài kho?n không đư?c t?m th?y
S? ki?n
5723: Thi?t l?p phiên t? máy tính ComputerName th?t b?i khi xác th?c. Tên c?a các tài kho?n đư?c tham chi?u trong an ninh
b? máy cơ s? d? li?u ComputerName. Các l?i sau
x?y ra: truy c?p b? t? ch?i.
S? ki?n 3227: Thi?t l?p phiên làm vi?c Windows NT ho?c các c?a s?
năm 2000 b? ki?m soát mi?n tên máy (ứng dụng) phục vụ tên mi?n Tên mi?n không thành công v? Máy ch?
Tên h? tr? đăng ho?c niêm phong Netlogon phiên.
Nâng c?p b? ki?m soát mi?n, ho?c thi?t l?p các m?c nh?p registry RequireSignOrSeal trên
máy tính này đ?n 0.
Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
M?t khách hàng Windows XP không th? kí nh?p vào m?t tên mi?n Windows NT 4.0
Microsoft m?ng:Microsoft Network khách hàng s? nh?n đư?c m?t trong các thông báo l?i sau đây:
kí nh?p th?t b?i: không bi?t tên người dùng hay x?u
m?t kh?u.
Có là không có ch?a khóa phiên ngư?i dùng cho các
Phiên kí nh?p đư?c ch? đ?nh.
Máy s? d?ng m?ng Microsoft: được kí theo số thức truy?n thông (luôn luôn)
N?n
Máy ch? tin thư thoại ch?n (giao th?c SMB) là giao th?c chia s? tài nguyên đư?c h? tr? b?i nhi?u hệ điều hành Microsoft. Nó là n?n t?ng c?a m?ng cơ b?n đ?u vào/đ?u ra h? th?ng (NetBIOS) và nhi?u các giao th?c khác. SMB đăng authenticates c? ngư?i dùng và máy ch? lưu tr? d? li?u. N?u hai bên không quá tr?nh xác th?c, truy?n d? li?u s? không x?y ra.
Cho phép SMB đăng B?t đ?u trong SMB giao th?c đàm phán. Các chính sách k? SMB xác đ?nh cho dù máy tính luôn luôn k? thu?t s? d?u ki?m hi?u thông tin khách hàng.
Giao th?c xác th?c Windows 2000 SMB h? tr? xác th?c l?n nhau. Xác th?c l?n nhau đóng m?t cu?c t?n công "ngư?i đàn ông-trong-the-Trung". Giao th?c xác th?c Windows 2000 SMB c?ng h? tr? tin thư thoại xác th?c. Thông báo xác th?c giúp ngăn ng?a t?n công ho?t đ?ng tin thư thoại.
Đ? cung c?p cho b?n này xác th?c, SMB k? đ?t m?t ch? k? k? thu?t s? vào SMB m?i. Khách hàng và máy ch? m?i xác nh?n ch? k? k? thu?t s?.
Đ? s? d?ng giao th?c SMB đăng, b?n ph?i s? SMB k? ho?c yêu c?u SMB đăng trên c? SMB client và SMB server.
N?u SMB k? đư?c kích ho?t trên m?t máy ch?, khách hàng c?ng đư?c kích ho?t cho SMB kí nh?p s? d?ng gói đăng giao th?c trong t?t c? các bu?i.
N?u SMB k? đư?c yêu c?u trên m?t máy ch?, m?t khách hàng không th? thi?t l?p m?t phiên làm vi?c tr? khi khách hàng cho phép ho?c yêu c?u đ?i v?i SMB đăng.
Cho phép k? k? thu?t s? trong các m?ng b?o m?t cao giúp ngăn ng?a m?o danh c?a khách hàng và máy ch?. Lo?i m?o danh đư?c g?i là phiên cư?p. M?t k? t?n công nh?ng ngư?i có quy?n truy c?p vào cùng m?t m?ng như các khách hàng ho?c các máy ch? s? d?ng phiên cư?p công c? đ? làm gián đo?n, k?t thúc, ho?c ăn c?p m?t phiên làm vi?c trong ti?n tr?nh. M?t k? t?n công có th? ngăn ch?n S?a đ?i d?u ki?m SMB gói, s?a đ?i giao thông và sau đó chuy?n ti?p nó v? v?y mà các máy ch? có th? th?c hi?n hành đ?ng không mong mu?n. Ho?c, nh?ng k? t?n công có th? gây ra như các máy ch? ho?c khách hàng sau khi xác th?c h?p pháp và sau đó truy c?p trái phép vào d? li?u.
Giao th?c SMB đư?c s? d?ng cho chia s? t?p và chia s? in trong máy tính đang ch?y Windows 2000 Server, Windows 2000 Professional, Windows XP Professional ho?c Windows Server 2003 h? tr? xác th?c l?n nhau. Xác th?c l?n nhau đóng phiên cư?p t?n công và h? tr? tin thư thoại xác th?c. V? v?y, nó ngăn ch?n ngư?i đàn ông ? gi?a cu?c t?n công. SMB k? cung c?p xác th?c này b?ng cách đ?t m?t ch? k? k? thu?t s? trong m?i SMB. Khách hàng và máy ch? sau đó ki?m tra ch? k?.
Ghi chú
Như m?t countermeasure thay th?, b?n có th? kích ho?t các ch? k? k? thu?t s? v?i IPSec đ? giúp b?o v? m?ng t?t c? lưu lư?ng truy c?p. Không có ph?n c?ng d?a trên máy gia t?c cho m?t m? hoá IPSec và kí h?p đ?ng mà b?n có th? s? d?ng đ? gi?m thi?u tác đ?ng hi?u qu? t? các máy ch? CPU. Không có không có tăng t?c như v?y mà có s?n cho SMB đăng.
C?u h?nh SMB đăng thông qua ch?nh s?a đ?i tư?ng chính sách nhóm v? m?t s? thay đ?i đ?n m?t giá tr? ki?m nh?p đ?a phương không có hi?u l?c n?u có m?t chính sách tên mi?n tr?ng.
Trong Windows 95, Windows 98 và Windows 98 Second Edition, khách hàng b?n ghi d?ch v? m?c tin thư thoại s? d?ng SMB k? khi nó authenticates v?i Windows Server 2003 máy ch? b?ng cách s? d?ng NTLM xác th?c. Tuy nhiên, các khách hàng không s? d?ng SMB k? k?t khi h? xác th?c v?i các máy ch? b?ng cách s? d?ng xác th?c NTLMv2. Ngoài ra, máy ch? Windows 2000 không đáp ?ng v?i SMB k? yêu c?u t? các khách hàng. Đ? bi?t thêm thông tin, h?y xem m?c 10: "an ninh m?ng: m?ng Lan qu?n l? xác th?c c?p."
C?u h?nh nguy hi?m
Sau đây là m?t t?p c?u h?nh có h?i: đ? l?i c? hai các máy s? d?ng m?ng Microsoft: được kí theo số thức truy?n thông (luôn luôn) cài đ?t chuyên bi?t và máy s? d?ng m?ng Microsoft: được kí theo số thức truy?n thông (n?u máy ch? đ?ng ?) cài đ?t chuyên bi?t thi?t l?p đ? "Không xác đ?nh" ho?c vô hi?u hoá. Các thi?t đ?t này cho phép redirector g?i m?t kh?u văn b?n thu?n tu? đ?n máy ch? không Microsoft SMB không h? tr? m? hóa m?t kh?u trong khi xác th?c.
L? do đ? cho phép thi?t đ?t này
Cho phép máy s? d?ng m?ng Microsoft: được kí theo số thức truy?n thông (luôn luôn) yêu c?u khách hàng đ? đăng SMB giao thông khi liên h? v?i máy ch? mà không c?n SMB đăng. Đi?u này làm cho khách hàng ít d? b? t?n thương phiên cư?p t?n công.
L? do đ? vô hi?u hoá cài đ?t chuyên bi?t này
Cho phép máy s? d?ng m?ng Microsoft: được kí theo số thức truy?n thông (luôn luôn) ngăn c?n khách hàng t? giao ti?p v?i máy ch? đích không h? tr? giao th?c SMB đăng.
C?u h?nh máy tính đ? b? qua t?t c? d?u ki?m SMB
thông tin liên h? ngăn ch?n trư?c đó chương tr?nh và hệ điều hành t?
k?t n?i.
Windows NT 4.0:B?n s? không th? đ?t l?i kênh m?t s? tin tư?ng gi?a m?t tên mi?n Windows Server 2003 và m?t tên mi?n Windows NT 4.0, an toàn b?ng cách s? d?ng NLTEST ho?c NETDOM, và b?n s? nh?n đư?c m?t thông báo l?i "Truy c?p t? ch?i".
Windows XP:Sao chép t?p tin t? Windows XP khách hàng đ?n các máy ch? D?a trên Windows 2000 và Windows Server 2003 d?a trên máy ch? có th? m?t nhi?u th?i gian.
B?n s? không th? b?n đ? m?t ổ đĩa mạng t? m?t
Các khách hàng v?i thi?t đ?t này đư?c kích ho?t, và b?n s? nh?n đư?c các l?i sau
thông báo:
Tài kho?n không có quy?n kí nh?p t?
tr?m này.
Kh?i đ?ng l?i yêu c?u
Kh?i đ?ng l?i máy tính, ho?c kh?i đ?ng l?i b?n ghi d?ch v? tr?m làm vi?c. Đ? làm đi?u này, g? l?nh sau t?i d?u ki?m nh?c l?nh. Nh?n Enter sau khi b?n g? l?nh m?i.
net stop máy tr?m net B?t đ?u máy tr?m
Máy ch? m?ng Microsoft: được kí theo số thức truy?n thông (luôn luôn)
N?n
H? ph?c v? Messenger kh?i (giao th?c SMB) là giao th?c chia s? tài nguyên đư?c h? tr? b?i nhi?u hệ điều hành Microsoft. Nó là n?n t?ng c?a m?ng cơ b?n đ?u vào/đ?u ra h? th?ng (NetBIOS) và nhi?u các giao th?c khác. SMB đăng authenticates c? ngư?i dùng và máy ch? lưu tr? d? li?u. N?u hai bên không quá tr?nh xác th?c, truy?n d? li?u s? không x?y ra.
Cho phép SMB đăng B?t đ?u trong SMB giao th?c đàm phán. Các chính sách k? SMB xác đ?nh cho dù máy tính luôn luôn k? thu?t s? d?u ki?m hi?u thông tin khách hàng.
Giao th?c xác th?c Windows 2000 SMB h? tr? xác th?c l?n nhau. Xác th?c l?n nhau đóng m?t cu?c t?n công "ngư?i đàn ông-trong-the-Trung". Giao th?c xác th?c Windows 2000 SMB c?ng h? tr? tin thư thoại xác th?c. Thông báo xác th?c giúp ngăn ng?a t?n công ho?t đ?ng tin thư thoại.
Đ? cung c?p cho b?n này xác th?c, SMB k? đ?t m?t ch? k? k? thu?t s? vào SMB m?i. Khách hàng và máy ch? m?i xác nh?n ch? k? k? thu?t s?.
Đ? s? d?ng giao th?c SMB đăng, b?n ph?i s? SMB k? ho?c yêu c?u SMB đăng trên c? SMB client và SMB server.
N?u SMB k? đư?c kích ho?t trên m?t máy ch?, khách hàng c?ng đư?c kích ho?t cho SMB kí nh?p s? d?ng gói đăng giao th?c trong t?t c? các bu?i.
N?u SMB k? đư?c yêu c?u trên m?t máy ch?, m?t khách hàng không th? thi?t l?p m?t phiên làm vi?c tr? khi khách hàng cho phép ho?c yêu c?u đ?i v?i SMB đăng.
Cho phép k? k? thu?t s? trong các m?ng b?o m?t cao giúp ngăn ng?a m?o danh c?a khách hàng và máy ch?. Lo?i m?o danh đư?c g?i là phiên cư?p. M?t k? t?n công nh?ng ngư?i có quy?n truy c?p vào cùng m?t m?ng như các khách hàng ho?c các máy ch? s? d?ng phiên cư?p công c? đ? làm gián đo?n, k?t thúc, ho?c ăn c?p m?t phiên làm vi?c trong ti?n tr?nh. M?t k? t?n công có th? ngăn ch?n S?a đ?i d?u ki?m qu?n l? băng thông m?ng con (SBM) gói, s?a đ?i giao thông và sau đó chuy?n ti?p nó v? v?y mà các máy ch? có th? th?c hi?n hành đ?ng không mong mu?n. Ho?c, nh?ng k? t?n công có th? gây ra như các máy ch? ho?c khách hàng sau khi xác th?c h?p pháp và sau đó truy c?p trái phép vào d? li?u.
Giao th?c SMB đư?c s? d?ng cho chia s? t?p và chia s? in trong máy tính đang ch?y Windows 2000 Server, Windows 2000 Professional, Windows XP Professional ho?c Windows Server 2003 h? tr? xác th?c l?n nhau. Xác th?c l?n nhau đóng phiên cư?p t?n công và h? tr? tin thư thoại xác th?c. V? v?y, nó ngăn ch?n ngư?i đàn ông ? gi?a cu?c t?n công. SMB k? cung c?p xác th?c này b?ng cách đ?t m?t ch? k? k? thu?t s? trong m?i SMB. Khách hàng và máy ch? sau đó ki?m tra ch? k?.
Như m?t countermeasure thay th?, b?n có th? kích ho?t các ch? k? k? thu?t s? v?i IPSec đ? giúp b?o v? m?ng t?t c? lưu lư?ng truy c?p. Không có ph?n c?ng d?a trên máy gia t?c cho m?t m? hoá IPSec và kí h?p đ?ng mà b?n có th? s? d?ng đ? gi?m thi?u tác đ?ng hi?u qu? t? các máy ch? CPU. Không có không có tăng t?c như v?y mà có s?n cho SMB đăng.
Trong Windows 95, Windows 98 và Windows 98 Second Edition, khách hàng b?n ghi d?ch v? m?c tin thư thoại s? d?ng SMB k? khi nó authenticates v?i Windows Server 2003 máy ch? b?ng cách s? d?ng NTLM xác th?c. Tuy nhiên, các khách hàng không s? d?ng SMB k? k?t khi h? xác th?c v?i các máy ch? b?ng cách s? d?ng xác th?c NTLMv2. Ngoài ra, máy ch? Windows 2000 không đáp ?ng v?i SMB k? yêu c?u t? các khách hàng. Đ? bi?t thêm thông tin, h?y xem m?c 10: "an ninh m?ng: m?ng Lan qu?n l? xác th?c c?p."
C?u h?nh nguy hi?m
Sau đây là m?t t?p c?u h?nh có h?i: cho phép các h? ph?c v? m?ng Microsoft: được kí theo số thức truy?n thông (luôn luôn) cài đ?t chuyên bi?t trên máy ch? và trên b? ki?m soát mi?n đư?c truy c?p b?i không tương h?p v? sau Windows d?a trên máy tính và máy tính bên th? ba d?a trên hệ điều hành khách trong l?nh v?c đ?a phương ho?c bên ngoài.
L? do đ? cho phép thi?t đ?t này
T?t c? các máy tính khách hàng cho phép thi?t đ?t này
tr?c ti?p thông qua nhà ki?m nh?p ho?c thông qua các thi?t l?p chính sách nhóm h? tr? SMB
vi?c ki?m nh?p. Nói cách khác, t?t c? các máy tính khách hàng có thi?t đ?t này đư?c kích ho?t
ch?y Windows 95 ho?c v?i khách DS hàng cài đ?t chuyên bi?t, Windows 98, Windows NT 4.0,
Windows 2000, Windows XP Professional ho?c Windows Server 2003.
N?u Microsoft m?ng máy ch?: được kí theo số thức truy?n thông (luôn luôn) là vô hi?u hóa, SMB k? hoàn toàn t?t. Hoàn toàn
vô hi?u hoá t?t c? SMB k? r?i kh?i máy tính d? b? t?n công phiên
cu?c t?n công.
L? do đ? vô hi?u hoá cài đ?t chuyên bi?t này
Cho phép thi?t đ?t này có th? gây ra ch?m hơn t?p tin sao chép
và m?ng lư?i hi?u su?t trên máy tính khách.
Cho phép thi?t đ?t này s? ngăn c?n khách hàng đó
không th? thương lư?ng SMB đăng t? giao ti?p v?i máy ch? và tên mi?n
b? đi?u khi?n. Đi?u này gây ra các ho?t đ?ng ch?ng h?n như tên mi?n tham gia, ngư?i dùng và máy tính
xác th?c, ho?c m?ng truy c?p c?a chương tr?nh th?t b?i.
Windows 95:Windows 95 khách hàng mà không có khách hàng m?c tin thư thoại b?n ghi d?ch v? (DS) cài đ?t chuyên bi?t s? không xác th?c kí nh?p và s? nh?n đư?c thông báo l?i sau:
M?t kh?u mi?n b?n cung c?p không ph?i là
chính xác, ho?c truy c?p đ? kí nh?p c?a b?n máy ch? đ? b? t? ch?i.
Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
Thông báo l?i khi Windows 95 ho?c Windows NT 4.0 khách hàng kí nh?p Windows Server 2003 tên mi?n
Windows NT 4.0: Khách hàng máy tính đang ch?y phiên b?n c?a Windows NT 4.0 mà
là s?m hơn so v?i Service Pack 3 (SP3) s? không xác th?c kí nh?p và s?
nh?n đư?c thông báo l?i sau:
H? th?ng có th? không
kí nh?p b?n. H?y ch?c ch?n r?ng tên người dùng và tên mi?n c?a b?n là chính xác, sau đó g? c?a b?n
m?t kh?u m?t l?n n?a.
M?t s? máy ch? không Microsoft SMB h? tr? ch? trao đ?i không đư?c m? hóa m?t kh?u trong khi xác th?c. (Nh?ng đ?i c?n đư?c g?i là "văn b?n thu?n tu?" trao đ?i.) Đ?i v?i Windows NT 4.0 SP3 và phiên b?n m?i hơn, SMB redirector không g?i m?t kh?u không đư?c m? hóa trong khi xác th?c t?i h? ph?c v? SMB tr? khi b?n thêm m?t m?c c? th? ki?m nh?p. Đ? kích ho?t m? hóa m?t kh?u cho khách hàng SMB trên Windows NT 4.0 SP 3 và các h? th?ng m?i, ch?nh s?a registry như sau: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters Giá tr? tên: EnablePlainTextPassword Ki?u d? li?u: REG_DWORD D? li?u: 1
Đ? bi?t thêm chi ti?t v? ch? đ? liên quan, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
M? hóa m?t kh?u có th? gây ra các Service Pack 3 không k?t n?i t?i h? ph?c v? SMB
Windows Server 2003: theo m?c đ?nh, cài đ?t chuyên bi?t b?o m?t trên b? ki?m soát mi?n ch?y Windows Server 2003 đư?c c?u h?nh đ? giúp ngăn ng?a thông tin b? đi?u khi?n tên mi?n kh?i b? ch?n ho?c gi? m?o b?i ngư?i s? d?ng đ?c h?i. Cho ngư?i dùng đ? giao ti?p thành công v?i m?t b? đi?u khi?n tên mi?n đó ch?y Windows Server 2003, khách hàng máy tính ph?i s? d?ng c? hai SMB k? và m? hóa ho?c kênh b?o m?t lưu lư?ng truy c?p kí nh?p. theo m?c đ?nh, khách hàng ch?y Windows NT 4.0 v?i Service Pack 2 (SP2) ho?c cài đ?t chuyên bi?t trư?c đó và khách hàng ch?y Windows 95 không có SMB gói đăng đư?c kích ho?t. V? v?y, các khách hàng có th? không th? xác th?c lên b? ki?m soát mi?n Windows Server 2003 d?a trên.
cài đ?t chuyên bi?t chính sách Windows 2000 và Windows Server 2003: Tùy thu?c vào nhu c?u c? th? cài đ?t chuyên bi?t và c?u h?nh c?a b?n, chúng tôi đ? ngh? r?ng b?n đ?t các thi?t đ?t chính sách sau các th?c th? th?p nh?t c?a các ph?m vi c?n thi?t trong so?n chính sách nhóm Microsoft Management Console snap-trong h? th?ng phân c?p:
Tùy ch?n Settings\Security b?o m?t máy tính Configuration\Windows
G?i không m? hóa m?t kh?u đ? k?t n?i v?i bên th? ba SMB máy ch? (cài đ?t này là dành cho Windows 2000)
Máy s? d?ng m?ng Microsoft: g?i không m? hóa m?t kh?u đ? bên th? ba SMB máy ch? (cài đ?t này là dành cho Windows Server 2003)
Lưu ? Trong m?t s? máy ch? CIFS bên th? ba, ch?ng h?n như phiên b?n Samba c?, b?n không th? s? d?ng m? hóa m?t kh?u.
Các khách hàng là không tương h?p v? sau v?i các h? ph?c v? m?ng Microsoft: được kí theo số thức truy?n thông (luôn luôn) cài đ?t:
Apple Computer, Inc, Mac OS X
khách hàng
Microsoft MS-DOS m?ng lư?i khách hàng (ví d?,
Microsoft LAN Manager)
Microsoft Windows cho nhóm làm vi?c
khách hàng
Microsoft Windows 95 khách hàng mà không có DS
Khách hàng cài đ?t chuyên bi?t
Microsoft Windows NT 4.0 d?a trên máy tính
cài đ?t chuyên bi?t mà không có SP3 ho?c sau này
Novell Netware 6 CIFS khách hàng
SAMBA SMB khách hàng mà không có h? tr? cho SMB đăng
Kh?i đ?ng l?i yêu c?u
Kh?i đ?ng l?i máy tính, ho?c kh?i đ?ng l?i b?n ghi d?ch v? h? ph?c v?. Đ? làm đi?u này, g? l?nh sau t?i d?u ki?m nh?c l?nh. Nh?n Enter sau khi b?n g? l?nh m?i.
net stop máy ch? net B?t đ?u máy ch?
M?ng truy c?p: cho phép vô danh SID/tên d?ch
N?n
Các m?ng truy c?p: cho phép vô danh SID/tên d?ch cài đ?t chuyên bi?t b?o m?t xác đ?nh cho dù m?t ngư?i dùng d?u ki?m tên có th? yêu c?u
B?o m?t nh?n d?ng s? (SID) thu?c tính cho ngư?i dùng khác.
C?u h?nh nguy hi?m
Cho phép các m?ng truy c?p: cho phép vô danh SID/tên d?ch thi?t l?p là m?t t?p c?u h?nh có h?i.
L? do đ? cho phép thi?t đ?t này
N?u các m?ng truy c?p: cho phép vô danh SID/tên d?ch cài đ?t chuyên bi?t là tàn t?t, trư?c đó hệ điều hành ho?c các ?ng d?ng
không th? giao ti?p v?i Windows Server 2003 tên mi?n. Ví d?:
hệ điều hành, b?n ghi d?ch v? ho?c ?ng d?ng sau đây có th? không làm vi?c:
Windows NT 4.0 d?a trên truy nh?p t? xa b?n ghi d?ch v?
máy ch?
Microsoft SQL Server đang ch?y trên Windows NT 3.x d?a trên máy tính ho?c máy tính d?a trên Windows NT 4.0
Dịch vụ Access t? xa đang ch?y trên máy tính d?a trên Windows 2000 đư?c đ?t trong Windows NT 3.x tên mi?n ho?c tên mi?n Windows NT 4.0
SQL Server đang ch?y trên máy tính d?a trên Windows 2000 có v? trí trong Windows NT 3.x tên mi?n ho?c tên mi?n Windows NT 4.0
Ngư?i dùng trong tên mi?n tài nguyên Windows NT 4.0 ngư?i mu?n
c?p quy?n truy c?p vào t?p tin, m?c tin thư thoại dùng chung và ki?m nh?p đ?i tư?ng ngư?i dùng
tài kho?n t? tài kho?n tên mi?n có ch?a Windows Server 2003 tên mi?n
b? đi?u khi?n
L? do đ? vô hi?u hoá cài đ?t chuyên bi?t này
N?u thi?t l?p này đư?c kích ho?t, m?t đ?c h?i có th? s? SID n?i ti?ng c?a qu?n tr? viên đ? có đư?c tên th?t c?a các tài kho?n ngư?i qu?n tr? đư?c xây d?ng trong, ngay c? khi các tài kho?n đ? đư?c đ?i tên. Ngư?i đó có th? s? d?ng tên tài kho?n đ? B?t đ?u m?t cu?c t?n công đoán m?t kh?u.
Bi?u tư?ng tên: N/A
ki?m nh?p đư?ng d?n: Không có. Đư?ng d?n đư?c ch? đ?nh trong giao di?n ngư?i dùng m?.
Ví d? v? các v?n đ? tương h?p v? sau
Windows NT 4.0:Các máy tính trong Windows NT 4.0 resource tên mi?n s? hi?n th? thông báo l?i "Tài kho?n không r?" trong ACL Editor n?u tài nguyên, bao g?m c? c?p dùng chung, chia s? t?p tin và ki?m nh?p đ?i tư?ng, đư?c b?o đ?m v?i chủ thể an toàn thông tin cư trú trong các tài kho?n tên mi?n có ch?a b? ki?m soát mi?n Windows Server 2003.
M?ng truy c?p: không cho phép các li?t kê vô danh c?a SAM tài kho?n
N?n
Các m?ng truy c?p: không cho phép các li?t kê vô danh c?a SAM tài kho?n thi?t l?p xác đ?nh nh?ng đi?u kho?n b? sung s? đư?c c?p cho các k?t n?i vô danh v?i máy tính. Windows cho phép ngư?i dùng vô danh đ? th?c hi?n các ho?t đ?ng nh?t đ?nh, ch?ng h?n như li?t kê tên c?a tài kho?n an ninh tài kho?n qu?n l? (SAM) máy tr?m và máy ch? và m?ng chia s?. Ví d?, ngư?i qu?n tr? có th? s? d?ng đi?u này đ? c?p quy?n truy c?p cho ngư?i dùng trong m?t tên mi?n đáng tin c?y không duy tr? m?t ni?m tin t?nh. Sau khi m?t phiên làm vi?c đư?c th?c hi?n, m?t ngư?i dùng d?u ki?m tên có th? truy c?p cùng m?t đó c?p cho t?t c? m?i ngư?i trong nhóm d?a trên các thi?t l?p trong các m?ng truy c?p: đ? cho m?i ngư?i quy?n áp d?ng cho ngư?i dùng vô danh cài đ?t chuyên bi?t ho?c danh m?c ki?m soát truy c?p theo ? mu?n (DACL) c?a đ?i tư?ng.
Thông thư?ng, chưa xác đ?nh ngư?i k?t n?i đư?c yêu c?u c?a các phiên b?n trư?c c?a khách hàng (xu?ng c?p khách hàng) trong SMB phiên làm vi?c thi?t l?p. Trong nh?ng trư?ng h?p này, m?t d?u ki?m v?t m?ng cho th?y SMB quá tr?nh ID (PID) là khách hàng, ch?ng h?n như 0xFEFF trong Windows 2000 ho?c 0xCAFE trong Windows NT. RPC redirector c?ng có th? th? đ? làm cho các k?t n?i ?n danh.
Quan tr?ngcài đ?t chuyên bi?t này đ? không có tác đ?ng trên tên mi?n
b? đi?u khi?n. Trên b? ki?m soát mi?n, hành vi này đư?c đi?u khi?n b?i s? hi?n di?n c?a "NT AUTHORITY\ANONYMOUS đăng nh?p" trong "Pre-Windows năm 2000 tương h?p v? sau truy c?p".
Trong Windows 2000, m?t thi?t l?p tương t? g?i là Các h?n ch? b? sung cho các k?t n?i chưa xác đ?nh ngư?i qu?n l? các
RestrictAnonymous
giá tr? ki?m nh?p. V? trí c?a giá tr? này là như sau
H?n ch? thông tin có s?n cho ngư?i dùng kí nh?p vô danh
C?u h?nh nguy hi?m
Cho phép các m?ng truy c?p: không cho phép các li?t kê vô danh c?a SAM tài kho?n thi?t l?p là m?t t?p c?u h?nh có h?i t? m?t quan đi?m kh? năng tương h?p v? sau. Vô hi?u hóa nó là m?t t?p c?u h?nh có h?i t? m?t góc đ? an ninh.
L? do đ? cho phép thi?t đ?t này
M?t ngư?i s? d?ng trái phép có th? n?c danh li?t kê tên tài kho?n và sau đó s? d?ng các thông tin đ? c? g?ng đ? đoán m?t kh?u ho?c đ? th?c hi?n cu?c t?n công k? thu?t x? h?i . X? h?i k? thu?t là bi?t ng? có ngh?a là tricking ngư?i ti?t l? c?a h?
m?t kh?u ho?c m?t s? h?nh th?c thông tin b?o m?t.
L? do đ? vô hi?u hoá cài đ?t chuyên bi?t này
N?u thi?t l?p này đư?c kích ho?t, nó là không th? thành l?p ?y thác có tên mi?n Windows NT 4.0. Thi?t l?p này c?ng gây ra các v?n đ? v?i các khách hàng xu?ng c?p (ch?ng h?n như Windows NT 3.51 khách hàng và khách hàng Windows 95) đang c? g?ng đ? s? d?ng ngu?n tài nguyên trên máy ch?.
Khám phá m?ng tin thư thoại SMS s? không th? có đư?c
ho?t đ?ng Thông tin Hệ thống và s? vi?t "Không bi?t" trong các
OperatingSystemNameandVersion b?t đ?ng s?n.
Windows 95, Windows 98:Khách hàng Windows 95 và Windows 98 khách hàng s? không th? thay đ?i m?t kh?u c?a h?.
Windows NT 4.0:Windows NT 4.0 d?a trên thành viên máy tính s? không th? đư?c xác th?c.
Windows 95, Windows 98:Máy tính d?a trên Windows 95 và Windows 98-based s? không th? đư?c xác th?c b?i b? đi?u khi?n mi?n c?a Microsoft.
Windows 95, Windows 98:Ngư?i dùng trên máy tính d?a trên Windows 95 và Windows 98-based s? không th? thay đ?i m?t kh?u cho tài kho?n ngư?i dùng c?a h?.
M?ng truy c?p: không cho phép các li?t kê vô danh c?a SAM tài kho?n và chia s?
N?n
Các m?ng truy c?p: không cho phép các li?t kê vô danh c?a SAM tài kho?n và chia s? thi?t l?p (c?ng đư?c g?i là RestrictAnonymous) xác đ?nh cho dù chưa xác đ?nh ngư?i li?t kê b?o m?t tài kho?n
Tài kho?n qu?n l? (SAM) và chia s? đư?c cho phép. Windows cho phép ngư?i dùng vô danh
th?c hi?n các ho?t đ?ng nh?t đ?nh, ch?ng h?n như li?t kê các tên mi?n tài kho?n
(ngư?i s? d?ng, máy tính, và các nhóm) và m?ng chia s?. Đi?u này là thu?n ti?n, cho
Ví d?, khi m?t qu?n tr? viên mu?n c?p quy?n truy c?p cho ngư?i dùng ? m?t đáng tin c?y
tên mi?n không duy tr? m?t ni?m tin đ?i ?ng. N?u b?n không mu?n cho phép
Chưa xác đ?nh ngư?i đ?m SAM tài kho?n và chia s?, cho phép thi?t đ?t này.
Trong Windows 2000, m?t thi?t l?p tương t? g?i là Các h?n ch? b? sung cho các k?t n?i chưa xác đ?nh ngư?i qu?n l? các
RestrictAnonymous
giá tr? ki?m nh?p. V? trí c?a giá tr? này là như sau:
Cho phép các m?ng truy c?p: không cho phép các li?t kê vô danh c?a SAM tài kho?n và chia s? thi?t l?p là m?t t?p c?u h?nh có h?i.
L? do đ? cho phép thi?t đ?t này
Cho phép các m?ng truy c?p: không cho phép các li?t kê vô danh c?a SAM tài kho?n và chia s? thi?t đ?t ngăn thß?? tß?? thiß??t bß?ï SAM tài kho?n và chia s? c?a ngư?i s? d?ng
và máy tính đang s? d?ng tài kho?n chưa xác đ?nh ngư?i.
L? do đ? vô hi?u hoá cài đ?t chuyên bi?t này
N?u thi?t l?p này đư?c kích ho?t, m?t ngư?i s? d?ng trái phép
có th? n?c danh li?t kê tên tài kho?n và sau đó s? d?ng các thông tin đ? c? g?ng
đoán m?t kh?u ho?c đ? th?c hi?n cu?c t?n công k? thu?t x? h?i . X? h?i k? thu?t là bi?t ng? có ngh?a là tricking ngư?i ti?t l? c?a h?
m?t kh?u ho?c m?t s? h?nh th?c thông tin b?o m?t.
N?u thi?t l?p này đư?c kích ho?t, nó s? không th?
đ? thi?t l?p ?y thác có tên mi?n Windows NT 4.0. Thi?t đ?t này s? c?ng gây ra
v?n đ? v?i khách hàng xu?ng c?p ch?ng h?n như Windows 95 và Windows NT 3.51 khách hàng
mà đang c? g?ng s? d?ng ngu?n tài nguyên trên máy ch?.
Nó s? không th? c?p quy?n truy c?p cho ngư?i dùng tên mi?n tài nguyên b?i v? ngư?i qu?n tr? mi?n tin tư?ng s? không th? li?t kê danh sách các tài kho?n trong mi?n khác. Ngư?i s? d?ng truy c?p các t?p tin và in máy ch? n?c danh s? không th? li?t kê các tài nguyên m?ng chia s? trên các máy ch?. Nh?ng ngư?i s? d?ng ph?i xác nh?n trư?c khi h? có th? xem danh sách các c?p dùng chung và máy in.
Windows NT 4.0: Ngư?i dùng s? không th? thay đ?i m?t kh?u c?a h? t? Windows NT
4.0 máy tr?m khi RestrictAnonymous đư?c kích ho?t trên b? ki?m soát mi?n trong tên mi?n c?a ngư?i dùng. Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
Ngư?i dùng không th? thay đ?i m?t kh?u khi kí nh?p
Windows NT 4.0:Thêm ngư?i dùng ho?c nhóm toàn c?u t? đáng tin c?y Windows 2000 tên mi?n Windows NT 4.0 đ?a phương nhóm trong qu?n l? ngư?i dùng s? không thành công, và thông báo l?i sau s? xu?t hi?n:
Hi?n có không có máy ch? kí nh?p
có s?n đ? ph?c v? yêu c?u kí nh?p.
Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
Giá tr? ki?m nh?p "RestrictAnonymous" có th? phá v? s? tin tư?ng vào m?t tên mi?n Windows 2000
Windows NT 4.0:Windows NT 4.0 d?a trên máy tính s? không th? tham gia các tên mi?n trong thi?t l?p ho?c b?ng cách s? d?ng giao di?n ngư?i dùng tham gia c?a tên mi?n.
Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
Thông báo l?i: không t?m th?y m?t b? đi?u khi?n cho tên mi?n này
Windows NT 4.0:Thi?t l?p m?t ni?m tin xu?ng c?p v?i Windows NT 4.0 resource tên mi?n s? th?t b?i. Thông báo l?i sau s? xu?t hi?n khi RestrictAnonymous đư?c kích ho?t trên tên mi?n đáng tin c?y:
Có th? không
t?m th?y b? đi?u khi?n tên mi?n cho tên mi?n này.
Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
Không th? t?m th?y các b? đi?u khi?n tên mi?n khi thi?t l?p m?t s? tin tư?ng
Windows NT 4.0:Ngư?i s? d?ng kí nh?p vào máy tính d?a trên Windows NT 4.0 máy ch? đ?u cu?i s? b?n đ? vào m?c tin thư thoại trang chủ m?c đ?nh thay v? m?c tin thư thoại đư?c xác đ?nh trong ngư?i dùng qu?n l? cho các tên mi?n.
Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
thông tin người dùng thi?t b? đ?u cu?i máy ch? và đư?ng d?n m?c tin thư thoại nhà đư?c b? qua sau khi áp d?ng SP4 ho?c m?i hơn
Windows NT 4.0:B? b? ki?m soát mi?n sao lưu Windows NT 4.0 (BDCs) s? không th? kh?i đ?ng b?n ghi d?ch v? kí nh?p m?ng, có đư?c m?t danh sách các tr?nh duy?t sao lưu ho?c đ?ng b? hóa b? máy cơ s? d? li?u SAM t? Windows 2000 ho?c t? b? ki?m soát mi?n Windows Server 2003 trong cùng m?t tên mi?n.
Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
b?n ghi d?ch v? kí nh?p m?ng c?a m?t Windows NT 4.0 BDC không ho?t đ?ng trong m?t tên mi?n Windows 2000
Windows 2000:Máy tính d?a trên Windows 2000 thành viên trong tên mi?n Windows NT 4.0 s? không có kh? năng đ? xem máy in trong mi?n bên ngoài n?u cài đ?t chuyên bi?t không có truy c?p mà không có quy?n truy c?p m?t cách r? ràng chưa xác đ?nh ngư?i đư?c kích ho?t trong chính sách b?o m?t c?c b? c?a khách hàng
máy tính.
Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
Ngư?i dùng không th? qu?n l? ho?c xem thu?c tính máy in
Windows 2000:Windows 2000 tên mi?n ngư?i dùng s? không th? thêm máy in m?ng t? Active Directory; Tuy nhiên, h? s? có th? đ? thêm máy in sau khi h? đ? ch?n chúng t? xem d?ng cây.
Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
máy tính khách Outlook không th? xem danh sách đ?a ch? toàn c?u sau khi b?n cài đ?t chuyên bi?t b?o m?t Rollup gói 1 (SRP1) trên máy ch? toàn c?u c?a hàng
Windows 2000:Trên máy tính d?a trên Windows 2000, biên t?p viên ACL s? không th? thêm ngư?i dùng ho?c nhóm toàn c?u t? tên mi?n đáng tin c?y c?a Windows NT 4.0.
Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
máy tính khách Outlook không th? xem danh sách đ?a ch? toàn c?u sau khi b?n cài đ?t chuyên bi?t b?o m?t Rollup gói 1 (SR) trên máy ch? toàn c?u c?a hàng
Hi?u su?t SMB ch?m khi b?n sao chép t?p tin t? Windows XP lên b? ki?m soát mi?n Windows 2000
Tin thư thoại SMS:Khám phá m?ng Microsoft h? th?ng qu?n lí máy ch? (SMS) s? không th? có đư?c thông tin hệ điều hành. V? v?y, nó s? vi?t "Không bi?t" trong các tài s?n OperatingSystemNameandVersion b?t đ?ng s?n tin thư thoại SMS DDR khám phá bản ghi dữ liệu (DDR).
Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
Làm th? nào khám phá d? li?u qu?n l? xác đ?nh khi t?o ra m?t khách hàng yêu c?u c?u h?nh
Tin thư thoại SMS: Khi b?n s? d?ng thu?t s? ngư?i dùng qu?n tr? viên c?a tin thư thoại SMS đ? tr?nh duy?t cho ngư?i dùng và nhóm, không có ngư?i dùng ho?c nhóm s? đư?c li?t kê. Ngoài ra, nâng cao khách hàng không th? giao ti?p v?i đ? qu?n l?. Chưa xác đ?nh ngư?i truy c?p là c?n thi?t vào th?i đi?m qu?n l?.
Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
Không có ngư?i dùng ho?c nhóm đư?c li?t kê trong thu?t s? ngư?i dùng qu?n tr? viên
Tin thư thoại SMS: Khi b?n đang s? d?ng tính năng khám phá m?ng tin thư thoại SMS 2.0 và
trong cài đ?t chuyên bi?t khách hàng t? xa v?i c?u trúc liên k?t, khách hàng, và khách hàng hệ điều hành m?ng lư?i phát hi?n b?t, máy tính có th? đư?c phát hi?n
nhưng có th? không đư?c cài đ?t chuyên bi?t.
Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
Tài nguyên không phát hi?n ra n?u k?t n?i chưa xác đ?nh ngư?i b? t?t
An ninh m?ng: m?ng Lan qu?n l? xác th?c c?p
N?n
Xác th?c m?ng LAN qu?n l? (LM) là giao th?c đư?c s? d?ng đ? xác th?c khách hàng Windows cho m?ng ho?t đ?ng, bao g?m c? tên mi?n tham gia, truy c?p vào tài nguyên m?ng, và xác th?c ngư?i dùng hay máy tính. M?c đ? xác th?c LM quy?t đ?nh mà thách th?c/ph?n ?ng giao th?c xác th?c thương lư?ng gi?a máy tính khách và máy ch? máy tính. C? th?, m?c đ? xác th?c LM quy?t đ?nh mà giao th?c xác th?c mà khách hàng s? c? g?ng đàm phán ho?c các máy ch? s? ch?p nh?n. Giá tr? đư?c thi?t l?p cho LmCompatibilityLevel xác đ?nh thách th?c/ph?n ?ng giao th?c xác th?c đư?c s? d?ng cho m?ng logons. Giá tr? này ?nh hư?ng đ?n m?c đ? giao th?c xác th?c khách hàng s? d?ng, m?c đ? b?o m?t phiên đàm phán, và m?c đ? xác th?c đư?c ch?p nh?n b?i các máy ch?.
Có th? cài đ?t chuyên bi?t bao g?m.
Thu g?n b?ng nàyBung r?ng b?ng này
Giá tr?
Thi?t l?p
Mô t?
0
G?i h?i đáp LM & NTLM
Khách hàng s? d?ng LM và NTLM xác th?c và không bao gi? s? d?ng NTLMv2 phiên giao d?ch b?o m?t. B? ki?m soát mi?n ch?p nh?n xác th?c LM, NTLM, và NTLMv2.
Khách hàng s? d?ng LM và NTLM xác th?c, và s? d?ng NTLMv2 phiên b?o m?t n?u các máy ch? h? tr? nó. B? ki?m soát mi?n ch?p nh?n xác th?c LM, NTLM, và NTLMv2.
2
G?i NTLM tr? l?i ch?
Khách hàng s? d?ng NTLM xác th?c ch? và s? d?ng NTLMv2 phiên b?o m?t n?u các máy ch? h? tr? nó. B? ki?m soát mi?n ch?p nh?n xác th?c LM, NTLM, và NTLMv2.
3
G?i NTLMv2 tr? l?i ch?
Khách hàng s? d?ng NTLMv2 xác th?c ch? và s? d?ng NTLMv2 phiên b?o m?t n?u các máy ch? h? tr? nó. B? ki?m soát mi?n ch?p nh?n xác th?c LM, NTLM, và NTLMv2.
4
G?i NTLMv2 ph?n ?ng ch? / t? ch?i LM
Khách hàng s? d?ng NTLMv2 xác th?c ch? và s? d?ng NTLMv2 phiên b?o m?t n?u các máy ch? h? tr? nó. B? ki?m soát mi?n t? ch?i LM và ch?p nh?n ch? NTLM và NTLMv2 xác th?c.
5
G?i NTLMv2 ph?n ?ng ch? / t? ch?i LM & NTLM
Khách hàng s? d?ng NTLMv2 xác th?c ch? và s? d?ng NTLMv2 phiên b?o m?t n?u các máy ch? h? tr? nó. B? ki?m soát mi?n t? ch?i LM và NTLM và ch?p nh?n ch? NTLMv2 xác th?c.
Lưu ? Trong Windows 95, Windows 98 và Windows 98 Second Edition, khách hàng b?n ghi d?ch v? m?c tin thư thoại s? d?ng SMB k? khi nó authenticates v?i Windows Server 2003 máy ch? b?ng cách s? d?ng NTLM xác th?c. Tuy nhiên, các khách hàng không s? d?ng SMB k? k?t khi h? xác th?c v?i các máy ch? b?ng cách s? d?ng xác th?c NTLMv2. Ngoài ra, máy ch? Windows 2000 không đáp ?ng v?i SMB k? yêu c?u t? các khách hàng.
Ki?m tra đ? LM xác th?c: B?n ph?i thay đ?i các chính sách trên máy ch? cho phép NTLM, ho?c b?n ph?i đ?t c?u h?nh máy tính khách hàng đ? h? tr? NTLMv2.
N?u các chính sách đư?c đ?t (5) NTLMv2 g?i ph?n ?ng only\refuse LM & NTLM trên máy tính m?c tiêu mà b?n mu?n đ? k?t n?i v?i, b?n ph?i th?p hơn cài đ?t chuyên bi?t trên máy tính ho?c thi?t l?p b?o m?t đ? cùng cài đ?t chuyên bi?t trên máy tính ngu?n b?n đang k?t n?i t?.
T?m th?y v? trí chính xác nơi b?n có th? thay đ?i ngư?i qu?n l? m?ng LAN xác th?c c?p đ? thi?t l?p các khách hàng và máy ch? đ? cùng c?p. Sau khi b?n t?m th?y chính sách thi?t l?p m?ng LAN qu?n l? m?c đ? xác th?c, n?u b?n mu?n k?t n?i đ?n và đi t? máy tính đang ch?y phiên b?n trư?c c?a Windows, gi?m giá tr? t?i thi?u (1) g?i LM & NTLM - s? d?ng NTLM Phiên b?n 2 phiên b?o m?t n?u thương lư?ng. M?t hi?u ?ng cài đ?t chuyên bi?t không tương h?p v? sau là n?u các máy ch? yêu c?u NTLMv2 (tr? giá 5), nhưng các khách hàng đư?c c?u h?nh đ? s? d?ng LM và NTLMv1 duy nh?t (giá tr? 0), kinh nghi?m ngư?i dùng đ? c? g?ng xác th?c kí nh?p th?t b?i mà có m?t m?t kh?u x?u và r?ng increments s? m?t kh?u x?u. N?u khoá trương m?c ra đư?c c?u h?nh, ngư?i s? d?ng cu?i cùng có th? đư?c khóa ra.
Ví d?, b?n có th? c?n ph?i nh?n vào b? đi?u khi?n tên mi?n, ho?c b?n có th? ki?m tra chính sách c?a b? đi?u khi?n tên mi?n.
Nh?n vào b? đi?u khi?n tên mi?n
Lưu ? B?n có th? c?n ph?i l?p l?i các th? t?c sau đây trên t?t c? các b? đi?u khi?n tên mi?n.
B?m chu?t B?t đ?u, tr? đ?n Chương tr?nh, và sau đó nh?p vào Công c? qu?n tr?.
Theo cài đ?t chuyên bi?t b?o m?t c?c b?, m? r?ng Chính sách đ?a phương.
B?m chu?t Tùy ch?n b?o m?t.
Nh?p đúp vào An ninh m?ng: M?c đ? xác th?c m?ng LAN qu?n l?, và sau đó b?m vào m?t giá tr? trong danh sách.
N?u các thi?t l?p có hi?u qu? và các thi?t l?p đ?a phương là như nhau, các chính sách đ? đư?c thay đ?i ? c?p đ? này. N?u các cài đ?t chuyên bi?t khác nhau, b?n ph?i ki?m tra c?a b? đi?u khi?n tên mi?n chính sách đ? xác đ?nh li?u các an ninh m?ng: m?ng LAN qu?n l? xác th?c c?p thi?t l?p đư?c xác đ?nh có. N?u nó không đư?c xác đ?nh có, ki?m tra chính sách c?a b? đi?u khi?n tên mi?n.
Ki?m trab? đi?u khi?n tên mi?n chính sách
B?m chu?t B?t đ?u, tr? đ?n Chương tr?nh, và sau đó nh?p vào Công c? qu?n tr?.
Trong các B?o m?t đi?u khi?n tên mi?n chính sách, m? r?ng Thi?t đ?t b?o m?t, và sau đó m? r?ng Chính sách đ?a phương.
B?m chu?t Tùy ch?n b?o m?t.
Nh?p đúp vào an ninh m?ng: m?ng LAN qu?n l? xác th?c c?p, và sau đó b?m vào m?t giá tr? trong danh sách.
Lưu ?
B?n c?ng có th? ki?m tra chính sách đư?c liên k?t ? c?p đ? web site, tên mi?n c?p ho?c các đơn v? t? ch?c (OU) c?p đ? xác đ?nh nơi b?n ph?i đ?t c?u h?nh đ? xác th?c qu?n l? m?ng LAN.
N?u b?n th?c hi?n m?t thi?t l?p chính sách nhóm chính sách tên mi?n m?c đ?nh, các chính sách đư?c áp d?ng cho t?t c? các máy tính trong tên mi?n.
N?u b?n th?c hi?n m?t thi?t l?p chính sách nhóm là b? ki?m soát mi?n m?c đ?nh chính sách, chính sách này ch? áp d?ng cho các máy ch? trong b? ki?m soát mi?n OU.
Nó là m?t ? tư?ng t?t đ? thi?t l?p m?ng LAN qu?n l? m?c đ? xác th?c trong các th?c th? th?p nh?t c?a các ph?m vi c?n thi?t trong h? th?ng phân c?p ứng dụng chính sách.
Làm m?i các chính sách sau khi b?n th?c hi?n b?t k? thay đ?i. (N?u thay đ?i đư?c th?c hi?n ? m?c thi?t đ?t b?o m?t c?c b?, s? thay đ?i là ngay l?p t?c. Tuy nhiên, b?n ph?i kh?i đ?ng l?i các khách hàng trư?c khi b?n th? nghi?m.)
theo m?c đ?nh, cài đ?t chuyên bi?t chính sách nhóm đư?c C?p Nh?t trên b? ki?m soát mi?n m?i năm phút. Ngay l?p t?c l?c lư?ng b?n C?p Nh?t c?a các chính sách cài đ?t chuyên bi?t trên Windows 2000 ho?c m?i hơn, s? d?ng l?nh gpupdate .
L?nh gpupdate /force C?p nh?t các đ?a phương nhóm chính sách cài đ?t chuyên bi?t và cài đ?t chuyên bi?t chính sách nhóm d?a trên b?n ghi d?ch v? m?c tin thư thoại Thư mục Họat động, bao g?m cài đ?t chuyên bi?t b?o m?t. L?nh này thay th? các tùy ch?n hi?n nay /refreshpolicy cho secedit l?nh.
Áp d?ng đ?i tư?ng chính sách Nhóm M?i (GPO) b?ng cách s? d?ng l?nh gpupdate đ? t? n?p đơn xin l?i t?t c? các cài đ?t chuyên bi?t chính sách. Đ? làm đi?u này, g? như sau t?i d?u ki?m nh?c l?nh, và sau đó nh?n Enter:
GPUpdate /Force
Nh?n vào b?n ghi s? ki?n ?ng d?ng đ? đ?m b?o r?ng các thi?t l?p chính sách đư?c áp d?ng thành công.
Trên Windows XP và Windows Server 2003, b?n có th? s? d?ng các k?t qu? t?p c?a chính sách snap-in đ? xem các thi?t l?p có hi?u qu?. Đ? làm đi?u này, h?y nh?p vàoB?t đ?u, b?m vào Ch?y, lo?i RSOP.msc, và sau đó nh?p vào Ok.
N?u v?n đ? v?n t?n t?i sau khi b?n th?c hi?n thay đ?i đ? chính sách này, kh?i đ?ng l?i máy ch? D?a-trên-Windows, và sau đó xác nh?n r?ng các v?n đ? đư?c gi?i quy?t.
Lưu ? N?u b?n có nhi?u mi?n Windows 2000 d?a trên b? đi?u khi?n, b? đi?u khi?n mi?n d?a trên Windows Server 2003, ho?c c? hai, b?n có th? ph?i sao chép m?c tin thư thoại ho?t đ?ng đ? đ?m b?o r?ng các b? đi?u khi?n tên mi?n có nh?ng thay đ?i C?p Nh?t ngay l?p t?c.
Ngoài ra, các thi?t l?p dư?ng như có th? đư?c thi?t l?p đ? thi?t l?p th?p nh?t trong chính sách b?o m?t c?c b?. N?u b?n có th? th?c thi cài đ?t chuyên bi?t b?ng phương ti?n c?a m?t b? máy cơ s? d? li?u b?o m?t, b?n có th? ho?c đ?t m?ng LAN qu?n l? m?c đ? xác th?c trong s? ki?m nh?p b?ng cách ch?nh s?a các m?c LmCompatibilityLevel trong registry subkey sau đây:
Windows Server 2003 có m?t thi?t l?p m?c đ?nh m?i đ? s? d?ng NTLMv2 ch?. theo m?c đ?nh, Windows Server 2003 và b? đi?u khi?n mi?n d?a trên Windows 2000 Server SP3 đ? cho phép các "Microsoft m?ng máy ch?: được kí theo số thức truy?n thông (luôn luôn)" chính sách. Thi?t đ?t này đ?i h?i máy ch? SMB đ? th?c hi?n SMB gói đăng.
Thay đ?i đ?i v?i Windows Server 2003 đ? đư?c th?c hi?n b?i v? b? đi?u khi?n tên mi?n, máy ch? t?p tin, H? ph?c v? cơ s? h? t?ng m?ng và Máy ch? Web trong b?t k? t? ch?c yêu c?u các cài đ?t chuyên bi?t khác nhau đ? t?i đa hóa an ninh c?a h?.
N?u b?n mu?n th?c hi?n NTLMv2 xác th?c trong m?ng c?a b?n, b?n ph?i đ?m b?o r?ng t?t c? các máy tính trong vùng đư?c thi?t l?p đ? s? d?ng c?p đ? xác th?c này. N?u b?n áp d?ng ho?t đ?ng m?c tin thư thoại khách hàng ti?n ích m? r?ng cho Windows 95 ho?c Windows 98 và Windows NT 4.0, Ti?n ích m? r?ng c?a khách hàng s? d?ng các tính năng c?i thi?n xác th?c mà có s?n trong NTLMv2. B?i v? khách hàng máy tính đang ch?y b?t k? hệ điều hành sau không b? ?nh hư?ng b?i các đ?i tư?ng chính sách nhóm Windows 2000, b?n có th? ph?i t? c?u h?nh các khách hàng:
Microsoft Windows NT 4.0
Microsoft Windows Millennium Edition
Microsoft Windows 98
Microsoft Windows 95
Lưu ? N?u b?n s? các An ninh m?ng: không lưu tr? m?ng LAN qu?n l? giá tr? băm ngày ti?p theo các thay đ?i m?t kh?u chính sách, ho?c thi?t l?p các NoLMHash khóa s? ki?m nh?p, khách hàng d?a trên Windows 95 và Windows 98-based không có khách hàng b?n ghi d?ch v? m?c tin thư thoại cài đ?t chuyên bi?t không th? kí nh?p vào tên mi?n sau khi m?t s? thay đ?i m?t kh?u.
Nhi?u bên th? ba CIFS máy ch?, ch?ng h?n như Novell Netware 6, không ph?i là nh?n th?c c?a NTLMv2 và ch? s? d?ng NTLM. V? v?y, m?c đ? l?n hơn 2 cho phép các k?t n?i.
Đ? bi?t thêm chi ti?t v? làm th? nào đ? c?u h?nh m?ng LAN qu?n l? xác th?c c?p, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
Làm th? nào đ? ngăn ch?n Windows t? lưu tr? m?t băm qu?n l? m?ng LAN c?a b?n m?t kh?u trong Thư mục Họat động và SAM đ?a phương b? máy cơ s? d? li?u
Thi?t l?p h?n ch? ngăn ch?n không tương h?p v? sau
khách hàng ho?c b? ki?m soát mi?n t? đàm phán m?t giao th?c xác th?c ph? bi?n
Yêu c?u xác th?c NTLMv2 trên thành viên máy tính
và b? b? ki?m soát mi?n đang ch?y phiên b?n c?a Windows NT 4.0 mà
s?m hơn so v?i Service Pack 4 (SP4)
Yêu c?u xác th?c NTLMv2 vào Windows 95
khách hàng ho?c khách hàng Windows 98 không có m?c tin thư thoại Windows
b?n ghi d?ch v? khách hàng cài đ?t chuyên bi?t.
N?u b?n b?m đ? ch?n các Yêu c?u NTLMv2 phiên an ninh hộp kiểm trong các Microsoft Management Console so?n chính sách nhóm snap-in trên m?t Windows Server 2003 ho?c Windows 2000 Service Pack 3 d?a trên máy tính, và b?n gi?m m?c đ? xác th?c qu?n l? m?ng LAN đ?n 0, hai thi?t l?p xung đ?t, và b?n có th? nh?n đư?c thông báo l?i sau trong t?p tin Secpol.msc ho?c t?p tin GPEdit.msc:
Windows không th? m? b? máy cơ s? d? li?u chính sách c?c b?. M?t l?i không xác đ?nh x?y ra khi c? g?ng đ? m? b? máy cơ s? d? li?u.
Đ? bi?t thêm chi ti?t v? c?u h?nh b?o m?t và công c? phân tích, xem t?p tin tr? giúp Windows Server 2003 ho?c Windows 2000.
Đ? bi?t thêm chi ti?t v? làm th? nào đ? phân tích m?c b?o m?t trên Windows 2000 và Windows Server 2003, h?y nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
Windows Server 2003:theo m?c đ?nh, các câu tr? l?i c?a s? máy ch? 2003 NTLMv2 g?i NTLM cài đ?t chuyên bi?t đư?c kích ho?t. V? v?y, Windows Server 2003 nh?n đư?c thông báo l?i "Truy c?p t? ch?i" sau khi cài đ?t chuyên bi?t ban đ?u khi b?n c? g?ng đ? k?t n?i m?t c?m d?a trên Windows NT 4.0, v?i LanManager V2.1 d?a trên máy ch?, ch?ng h?n như OS/2 Lanserver. V?n đ? này c?ng x?y ra n?u b?n c? g?ng k?t n?i t? m?t máy tính khách Phiên b?n trư?c đó v?i m?t máy ch? D?a trên Windows Server 2003.
B?n cài đ?t chuyên bi?t Windows 2000 an ninh Rollup gói 1 (SRP1).SRP1 l?c lư?ng NTLM Phiên b?n 2 (NTLMv2). Gói này đư?c phát hành sau khi phát hành Windows 2000 Service Pack 2 (SP2). Đ? bi?t thêm chi ti?t v? SRP1, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
Windows 2000 an ninh Rollup gói 1, tháng 1 năm 2002
Windows 7 và Windows Server 2008 R2: nhi?u bên th? ba CIFS máy ch?, ch?ng h?n như Novell Netware 6 ho?c d?a trên Linux Samba Server, không ph?i là nh?n th?c c?a NTLMv2 và ch? s? d?ng NTLM. V? v?y, m?c đ? l?n hơn "2" cho phép các k?t n?i. Bây gi? trong phiên b?n này c?a hệ điều hành, m?c đ?nh cho LmCompatibilityLevel đư?c thay đ?i đ? "3". V? v?y khi b?n nâng c?p Windows, các filers bên th? ba có th? ng?ng ho?t đ?ng.
Khách hàng Microsoft Outlook có th? đư?c nh?c cho thông tin kí nh?p ngay c? khi h? đ? kí nh?p vào tên mi?n. Khi ngư?i dùng cung c?p thông tin kí nh?p c?a h?, h? nh?n đư?c thông báo l?i sau: Windows 7 và Windows Server 2008 R2
?y nhi?m kí nh?p đư?c cung c?p là không chính xác. H?y ch?c ch?n r?ng tên người dùng và tên mi?n c?a b?n là chính xác, sau đó g? l?i m?t kh?u c?a b?n.
Khi b?n B?t đ?u Outlook, b?n có th? đư?c nh?c cho thông tin kí nh?p c?a b?n ngay c? khi thi?t l?p an ninh m?ng kí nh?p c?a b?n đư?c thi?t l?p đ? Passthrough ho?c xác th?c m?t kh?u. Sau khi b?n nh?p ?y nhi?m c?a b?n đúng, b?n có th? nh?n đư?c thông báo l?i sau:
Thông tin kí nh?p đư?c cung c?p là không chính xác.
M?t d?u ki?m v?t m?ng màn h?nh có th? hi?n th? các c?a hàng toàn c?u phát hành m?t th? t?c t? xa (RPC) cu?c g?i l?i v?i trạm đậu 0x5. trạm đậu 0x5 có ngh?a là "Truy c?p ch?i."
Windows 2000:Ch?p màn h?nh m?ng có th? hi?n th? các l?i sau đây trong các NetBIOS trên TCP/IP (NetBT) máy ch? tin thư thoại ch?n (giao th?c SMB) phiên:
SMB R t?m m?c tin thư thoại Dos l?i, nh?n d?ng ngư?i s? d?ng không h?p l? (91) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (5)
Windows 2000: N?u m?t tên mi?n Windows 2000 v?i NTLMv2 c?p đ? 2 ho?c cao hơn là đáng tin c?y
b?i m?t tên mi?n Windows NT 4.0, Windows 2000 d?a trên thành viên máy tính trong các ngu?n tài nguyên
tên mi?n có th? g?p l?i xác th?c.
Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
V?n đ? xác th?c trong Windows 2000 v?i NTLM 2 tr?nh đ? trên 2 trong m?t tên mi?n Windows NT 4.0
Windows 2000 và Windows XP: theo m?c đ?nh, Windows 2000 và Windows XP thi?t l?p tùy ch?n m?ng LAN Manager xác th?c c?p đ?a phương chính sách b?o m?t-0. M?t thi?t l?p 0 có ngh?a là "g?i LM và NTLM ph?n ?ng."
Lưu ? Windows NT 4.0 d?a trên c?m ph?i s? d?ng LM v? qu?n l?.
Windows 2000: Windows 2000 c?m không xác th?c m?t nút ch?n m?t tham gia n?u
c? hai nút ch?n m?t là m?t ph?n c?a m?t gói b?n ghi d?ch v? Windows NT 4.0 6a (SP6a) tên mi?n.
Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
V?n đ? xác th?c trong Windows 2000 v?i NTLM 2 tr?nh đ? trên 2 trong m?t tên mi?n Windows NT 4.0
Công c? Lockdown IIS (HiSecWeb) thi?t l?p giá tr? LMCompatibilityLevel 5 và giá tr? RestrictAnonymous cho 2.
Các b?n ghi d?ch v? cho Macintosh
Ngư?i dùng xác th?c Module (UAM): Microsoft UAM (mô-đun xác th?c ngư?i s? d?ng) cung c?p m?t phương pháp đ? m? hóa m?t kh?u mà b?n s? d?ng đ? kí nh?p vào máy ch? Windows AFP (AppleTalk Filing Protocol).
Apple ngư?i dùng xác th?c mô-đun (UAM) cung c?p ch? t?i thi?u ho?c không m?t m? hoá. V? v?y, m?t kh?u c?a b?n m?t cách d? dàng có th? đư?c ngăn ch?n trên m?ng LAN ho?c trên Internet.
M?c dù UAM là không c?n thi?t, nó cung c?p m? hóa xác th?c cho máy ch? Windows 2000 có th? ch?y b?n ghi d?ch v? cho Macintosh.
Phiên b?n này bao g?m h? tr? cho NTLMv2 128-bit đư?c m? hóa xác th?c và m?t b?n phát hành 10,1-tương thích MacOS X.
theo m?c đ?nh, Windows Server 2003 b?n ghi d?ch v? cho Macintosh server cho phép ch? Microsoft Authentication.
Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
Ngư?i dùng Mac OS X không th? m? Macintosh chia s? m?c tin thư thoại trên m?t Windows Server 2003 d?a trên máy ch?
Windows Server 2008, Windows Server 2003, Windows XP, và Windows 2000: N?u b?n c?u h?nh LMCompatibilityLevel giá tr? là 0 ho?c 1 và sau đó c?u h?nh giá tr? NoLMHash ph?i 1, ?ng d?ng và các ph? ki?n có th? b? t? ch?i truy c?p thông qua NTLM. V?n đ? này x?y ra b?i v? các máy tính đư?c c?u h?nh đ? cho phép LM nhưng không s? d?ng LM lưu tr? m?t kh?u.
Các an ninh m?ng: LDAP khách hàng k? yêu c?u thi?t l?p s? xác đ?nh m?c đ? d? li?u kí nh?p đư?c yêu c?u trên
thay m?t cho khách hàng v?n đ? nh? Directory Access Protocol (LDAP) mà gi?i h?n trên
yêu c?u như sau:
Không: The LDAP liên k?t yêu c?u đư?c phát hành v?i ngư?i g?i, quy đ?nh
tùy ch?n.
Yêu c?u kí nh?p: đây là gi?ng như đàm phán đăng. Tuy nhiên, n?u h? ph?c v? LDAP c?a trung gian saslBindInProgress
ph?n ?ng không ch? ra r?ng LDAP lưu lư?ng truy c?p kí nh?p là c?n thi?t, ngư?i g?i
nói r?ng yêu c?u l?nh LDAP gi?i h?n trên th?t b?i.
C?u h?nh nguy hi?m
Cho phép các an ninh m?ng: LDAP khách hàng k? yêu c?u thi?t l?p là m?t t?p c?u h?nh có h?i. N?u b?n thi?t l?p h? ph?c v? LDAP ch? k? yêu c?u, b?n c?ng ph?i đ?t c?u h?nh LDAP k? trên máy tính khách. Không c?u h?nh khách hàng s? d?ng ch? k? LDAP s? ngăn không cho giao ti?p v?i máy ch?. Đi?u này gây ra xác th?c ngư?i dùng, chính sách nhóm cài đ?t chuyên bi?t, k?ch b?n kí nh?p, và các tính năng khác đ? th?t b?i.
L? do đ? s?a đ?i cài đ?t chuyên bi?t này
Đi?u m?ng lư?i giao thông là d? b? t?n công ngư?i đàn ông ? gi?a nơi m?t k? xâm nh?p b?t gói tin gi?a khách hàng và các máy ch?, s?a đ?i chúng, và sau đó chuy?n h? đ?n máy ch?. Khi đi?u này x?y ra trên m?t máy ch? LDAP, k? t?n công có th? gây ra m?t máy ch? đ? đáp ?ng d?a trên các truy v?n sai t? khách hàng LDAP. B?n có th? làm gi?m nguy cơ này trong m?t m?ng công ty b?ng cách th?c hi?n các bi?n pháp an ninh v?t l? m?nh m? đ? giúp b?o v? cơ s? h? t?ng m?ng. Ngoài ra, b?n có th? giúp ngăn ch?n t?t c? các lo?i ngư?i đàn ông ? gi?a cu?c t?n công b?ng cách yêu c?u k? thu?t s? ch? k? trên t?t c? các gói d? li?u m?ng b?ng phương ti?n c?a IPSec xác th?c tiêu đ?.
Các s? ki?n đăng nh?p: kích c? s? ghi b?o m?t t?i đa cài đ?t chuyên bi?t b?o m?t xác đ?nh kích thư?c t?i đa c?a các s? ki?n an ninh
kí nh?p. S? ghi này có kích thư?c t?i đa 4 GB. Đ? xác đ?nh v? trí cài đ?t chuyên bi?t này, m? r?ng Cài đặt Windows, và sau đó m? r?ng An ninh
cài đ?t chuyên bi?t.
C?u h?nh nguy hi?m
Sau đây là các cài đ?t chuyên bi?t c?u h?nh có h?i:
H?n ch? kích c? s? ghi b?o m?t và an ninh
đăng phương pháp duy tr? khi các ki?m tra: t?t h? th?ng ngay l?p t?c n?u không th? kí nh?p an ninh ki?m tra cài đ?t chuyên bi?t đư?c kích ho?t. Xem các "ki?m tra: t?t h? th?ng ngay l?p t?c n?u không th? kí nh?p ki?m tra an ninh" ph?n c?a bài vi?t này đ? bi?t thêm chi ti?t.
H?n ch? kích c? s? ghi b?o m?t v? v?y r?ng an ninh
s? ki?n c?a quan đư?c ghi đè.
L? do đ? tăng thi?t đ?t này
Yêu c?u kinh doanh và an ninh có th? dictate r?ng b?n
tăng kích c? s? ghi b?o m?t đ? x? l? các chi ti?t kí nh?p an ninh b? sung ho?c đ?n
gi? l?i các b?n ghi b?o m?t trong m?t th?i gian dài.
L? do đ? làm gi?m các thi?t đ?t này
S? ki?n ngư?i xem b?n ghi có b? nh? ánh x? t?p tin. T?i đa
Kích thư?c c?a m?t s? ki?n kí nh?p đ? đư?c c? đ?nh b?i s? lư?ng các b? nh? v?t l? trong các
máy tính c?c b? và b? nh? ?o dành cho s? ghi s? ki?n
quá tr?nh. Tăng kích thư?c kí nh?p vư?t quá s? lư?ng b? nh? ?o là
có s?n cho các s? ki?n ngư?i xem không tăng s? lư?ng kí nh?p m?c có
duy tr?.
Ví d? v? các v?n đ? tương h?p v? sau
Windows 2000:Máy tính đang ch?y phiên b?n Windows 2000
s?m hơn so v?i Service Pack 4 (SP4) có th? d?ng ghi nh?t k? s? ki?n trong trư?ng h?p kí nh?p trư?c khi
đ?t kích thư?c đư?c quy đ?nh trong các thi?t l?p t?i đa kí nh?p kích thư?c trong tr?nh Tr?nh xem s? ki?n N?u tùy ch?n không ghi đè lên s? ki?n (r? ràng kí nh?p theo cách th? công) đư?c b?t.
Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
H?n ch? b?o m?t kí nh?p kích thư?c và duy tr?
Các phương pháp trong khi các ki?m tra: t?t h? th?ng ngay l?p t?c n?u không th? kí nh?p an ninh ki?m tra cài đ?t chuyên bi?t b?o m?t đư?c kích ho?t
L? do đ? cho phép thi?t đ?t này
S? thi?t đ?t này ch? khi b?n ch?n các Ghi đè lên các s? ki?n c?a ngày phương pháp lưu tr?. N?u b?n s? d?ng m?t h? th?ng tương quan s? ki?n cu?c thăm d? cho các s? ki?n, đ?m b?o r?ng s? ngày là ít nh?t là ba l?n t?n s? thăm d? ? ki?n. Làm đi?u này cho phép thăm d? ? ki?n không chu k?.
M?ng truy c?p: cho t?t c? m?i ngư?i quy?n áp d?ng cho ngư?i dùng vô danh
N?n
theo m?c đ?nh, các m?ng truy c?p: đ? cho m?i ngư?i quy?n áp d?ng cho ngư?i dùng vô danh thi?t l?p đư?c thi?t l?p đ? Không xác đ?nh trên Windows Server 2003. theo m?c đ?nh, Windows Server 2003 không bao g?m m? thông báo chưa xác đ?nh ngư?i truy c?p trong t?t c? m?i ngư?i trong nhóm.
[REG_DWORD] = 0x0 phá v? thành l?p s? tin tư?ng gi?a Windows Server 2003 và Windows NT 4.0, khi các tên mi?n Windows Server 2003 là tên mi?n tài kho?n và tên mi?n Windows NT 4.0 là tên mi?n tài nguyên. Đi?u này có ngh?a r?ng tên mi?n tài kho?n là đáng tin c?y trên Windows NT 4.0 và tên mi?n tài nguyên là tư?ng bên Windows Server 2003. Hành vi này x?y ra v? quá tr?nh B?t đ?u s? tin tư?ng sau khi k?t n?i vô danh ban đ?u là ACL nào v?i m?i ngư?i m? thông báo bao g?m SID chưa xác đ?nh ngư?i trên Windows NT 4.0.
L? do đ? s?a đ?i cài đ?t chuyên bi?t này
Giá tr? ph?i đư?c thi?t l?p đ? 0x1 ho?c thi?t l?p b?ng cách s? d?ng m?t GPO trên b? đi?u khi?n tên mi?n OU ph?i: m?ng truy c?p: đ? cho m?i ngư?i quy?n áp d?ng cho ngư?i dùng vô danh - cho phép đ? làm cho sáng t?o s? tin tư?ng có th?.
Lưu ? H?u h?t các thi?t đ?t b?o m?t đi lên trong giá tr? thay v? xu?ng 0x0 ? trạm đậu đ?t b?o đ?m c?a h?. M?t th?c hành an toàn hơn s? ph?i thay đ?i s? ki?m nh?p trên gi? l?p đi?u khi?n tên mi?n chính thay v? trên t?t c? các b? đi?u khi?n tên mi?n. N?u vai tr? gi? l?p đi?u khi?n tên mi?n chính di chuy?n v? l? do nào, vi?c ki?m nh?p ph?i đư?c C?p Nh?t trên máy ch? m?i.
Kh?i đ?ng l?i là b?t bu?c sau khi giá tr? này đư?c thi?t l?p.
Phiên làm vi?c an ninh s? xác đ?nh các tiêu chu?n b?o m?t t?i thi?u cho khách hàng và máy ch? phiên. Nó là m?t ? tư?ng t?t đ? ki?m tra các thi?t l?p chính sách b?o m?t sau đây trong so?n chính sách nhóm Microsoft Management Console snap-in:
Máy tính Settings\Windows Settings\Security Policies Policies\Security l?a ch?n
An ninh m?ng: T?i thi?u phiên b?o m?t cho máy ch? NTLM SSP d?a (bao g?m c? an toàn RPC)
An ninh m?ng: T?i thi?u phiên b?o m?t cho khách hàng NTLM SSP d?a (bao g?m c? an toàn RPC)
Các tùy ch?n cho các cài đ?t chuyên bi?t này là như sau:
Yêu c?u thông báo tính toàn v?n
Yêu c?u thông báo b?o m?t
Đ?i h?i NTLM Phiên b?n 2 phiên an ninh
Yêu c?u m? hóa 128-bit
cài đ?t chuyên bi?t m?c đ?nh là không có yêu c?u.
Các chính sách này xác đ?nh các tiêu chu?n b?o m?t t?i thi?u cho m?t phiên ?ng d?ng ?ng d?ng liên l?c trên m?t máy ch? cho m?t khách hàng.
Trong l?ch s?, Windows NT có h? tr? các phiên b?n sau hai thách th?c/ph?n ?ng xác th?c cho m?ng logons:
LM thách th?c/ph?n ?ng
NTLM Phiên b?n 1 thách th?c/ph?n ?ng
LM cho phép kh? năng tương tác v?i các cơ s? cài đ?t chuyên bi?t c?a khách hàng và máy ch?. NTLM cung c?p c?i ti?n b?o m?t cho các k?t n?i gi?a khách hàng và máy ch?.
Đ?ng b? hóa th?i gian không. Th?i gian là t?t theo nhi?u hơn 30 phút trên m?t máy tính b? ?nh hư?ng. H?y ch?c ch?n r?ng máy tính khách hàng đ?ng h? đư?c đ?ng b? hoá v?i đ?ng h? c?a b? đi?u khi?n tên mi?n.
Chúng tôi đ? ngh? b?n cài đ?t chuyên bi?t gói b?n ghi d?ch v? 6a (SP6a) vào các khách hàng c?a Windows NT 4.0 interoperate trong m?t mi?n d?a trên Windows Server 2003. Windows 98 Second Edition d?a trên khách hàng, khách hàng d?a trên Windows 98, và d?a trên Windows 95 khách hàng ph?i ch?y khách hàng b?n ghi d?ch v? m?c tin thư thoại đ? th?c hi?n NTLMv2. N?u khách hàng d?a trên Windows NT 4.0 không có Windows NT 4.0 SP6 cài đ?t chuyên bi?t ho?c n?u khách hàng d?a trên Windows 95, khách hàng d?a trên Windows 98 và Windows 98SE d?a trên khách hàng làm không có khách hàng b?n ghi d?ch v? m?c tin thư thoại cài, vô hi?u hóa SMB kí nh?p chính sách c?a b? ki?m soát mi?n m?c đ?nh cài đ?t chuyên bi?t trên b? đi?u khi?n tên mi?n OU, và sau đó liên k?t chính sách này đ? t?t c? Anh t? ch?c b? ki?m soát mi?n.
m?c tin thư thoại b?n ghi d?ch v? khách hàng cho Windows 98 Second Edition, Windows 98 và Windows 95 s? th?c hi?n SMB k? k?t v?i các máy ch? Windows 2003 theo NTLM xác th?c, nhưng không theo NTLMv2 xác th?c. Ngoài ra, máy ch? Windows 2000 s? không đáp ?ng yêu c?u giao th?c SMB đăng t? các khách hàng.
M?c dù chúng tôi không khuyên b?n nên nó, b?n có th? ngăn ch?n SMB đăng t? đư?c yêu c?u trên t?t c? các b? đi?u khi?n tên mi?n đó ch?y Windows Server 2003 trong m?t tên mi?n. Đ? đ?t c?u h?nh cài đ?t chuyên bi?t b?o m?t này, h?y làm theo các bư?c sau:
M? b? ki?m soát mi?n m?c đ?nh chính sách.
M? m?c tin thư thoại Máy tính Configuration\Windows Settings\Security Policies Policies\Security tùy ch?n .
Xác đ?nh v? trí và sau đó nh?p vào các h? ph?c v? m?ng Microsoft: được kí theo số thức truy?n thông (luôn luôn) cài đ?t chuyên bi?t chính sách, và sau đó nh?p vào Khuy?t t?t.
Quan tr?ng Ph?n, phương pháp ho?c tác v? này ch?a các bư?c cho b?n bi?t làm th? nào đ? s?a đ?i s? ki?m nh?p. Tuy nhiên, v?n đ? nghiêm tr?ng có th? x?y ra n?u b?n s?a đ?i registry không chính xác. V? v?y, h?y ch?c ch?n r?ng b?n làm theo các bư?c sau m?t cách c?n th?n. Đ? b?o v? b? sung, sao lưu s? ki?m nh?p trư?c khi b?n s?a đ?i nó. Sau đó, b?n có th? khôi ph?c s? ki?m nh?p n?u m?t v?n đ? x?y ra. Đ? bi?t thêm chi ti?t v? làm th? nào đ? sao lưu và khôi phục s? ki?m nh?p, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
Trong các D? li?u giá tr? h?p, lo?i 0, và sau đó nh?p vào Ok.
Thoát kh?i Registry Editor.
Kh?i đ?ng l?i máy tính, ho?c t?t máy và sau đó kh?i đ?ng l?i b?n ghi d?ch v? h? ph?c v?. Đ? làm đi?u này, g? l?nh sau t?i d?u ki?m nh?c l?nh, và sau đó nh?n Enter sau khi b?n g? m?i l?nh: net stop máy ch? net B?t đ?u máy ch?
Lưu ? Phím tương ?ng trên máy tính khách hàng là trong registry subkey sau đây:
ID c?a bài: 823659 - L?n xem xét sau cùng: 01 Tháng Tư 2013 - Xem xét l?i: 7.0
Áp d?ng
Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise x64 Edition
Microsoft Windows XP Professional
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Professional Edition
Microsoft Windows NT Server 4.0 Standard Edition
Microsoft Windows NT Workstation 4.0 Developer Edition
Microsoft Windows 98 Standard Edition
Microsoft Windows 95
T? khóa:
kbinfo kbmt KB823659 KbMtvi
Máy d?ch
QUAN TRỌNG: Bài vi?t này đư?c d?ch b?ng ph?n m?m d?ch máy c?a Microsoft ch? không ph?i do con ngư?i d?ch. Microsoft cung c?p các bài vi?t do con ngư?i d?ch và c? các bài vi?t do máy d?ch đ? b?n có th? truy c?p vào t?t c? các bài vi?t trong Cơ s? Ki?n th?c c?a chúng tôi b?ng ngôn ng? c?a b?n. Tuy nhiên, bài vi?t do máy d?ch không ph?i lúc nào c?ng hoàn h?o. Lo?i bài vi?t này có th? ch?a các sai sót v? t? v?ng, cú pháp ho?c ng? pháp, gi?ng như m?t ngư?i nư?c ngoài có th? m?c sai sót khi nói ngôn ng? c?a b?n. Microsoft không ch?u trách nhi?m v? b?t k? s? thi?u chính xác, sai sót ho?c thi?t h?i nào do vi?c d?ch sai n?i dung ho?c do ho?t đ?ng s? d?ng c?a khách hàng gây ra. Microsoft c?ng thư?ng xuyên c?p nh?t ph?n m?m d?ch máy này.
Nh?p chu?t vào đây đ? xem b?n ti?ng Anh c?a bài vi?t này: 823659
Quay l?i đ?u trang
