العميل والخدمة والبرنامج قضايا يمكن أن يحدث إذا قمت بتغيير إعدادات الأمان وتعيينات حقوق المستخدم

انتهاء دعم نظام التشغيل Windows XP

لقد أنهت شركة Microsoft دعم Windows XP في 8 أبريل، 2014. وقد أثر هذا التغيير على تحديثات البرامج لديك وخيارات الأمان الخاصة بك. تعرف على ما يعنيه ذلك فيما يتعلق بك وكيفية الحفاظ على حمايتك.

انتهي دعم Windows Server 2003 في 14 يوليو 2015!

أنهت شركة Microsoft دعم نظام التشغيل Windows Server 2003 في 14 يوليو 2015. لقد أثر هذا التغيير على تحديثات البرامج لديك وخيارات الأمان الخاصة بك. تعرف على ما يعنيه ذلك فيما يتعلق بك وكيفية الحفاظ على حمايتك.

هام: تمت ترجمة هذه المقالة باستخدام برامج مايكروسوفت للترجمة الآلية ومن المحتمل ان يتم تحريرها او تدقيقها بعد ذلك من خلال تكنولوجيا منصة مجموعات الترجمة(CTF) او من خلال مترجم بشري. تقدم لك شركة مايكروسوفت هذه المقالات المترجمة بشكل آلي او بالترجمة البشرية او بعد تحريرها وتدقيقها من قبل مجموعات الترجمة حتى تمكنكم من الوصول إلى جميع المقالات الموجودة في قواعد المعرفة لديها بلغات مختلفة. إلا أن المقالات المترجمة قد تحتوي على أخطاء في المفردات او بناء الجمل او النحو. وعليه، فإن شركة مايكروسوفت ليست مسؤولة عن اية أخطاء او عدم دقة في الترجمة او أية أضرار قد تحدث نتيجة أخطاء في ترجمة محتويات النص او استخدامه من قبل العملاء.

اضغط هنا لرابط المقالة باللغة الانجليزية823659
الموجز
يمكن تغيير إعدادات الأمان وتعيينات حقوق المستخدم في النهج المحلية ونهج المجموعات تضييق نطاق الأمان على أجهزة الكمبيوتر الأعضاء ووحدات التحكم بالمجال. ومع ذلك، هو الجانب السلبي لزيادة الأمن الأخذ بعدم التوافق مع العملاء والخدمات والبرامج.

توضح هذه المقالة أوجه التعارض التي يمكن أن تحدث على أجهزة الكمبيوتر العميلة التي تقوم بتشغيل Windows XP أو إصدار سابق من Windows، عندما تقوم بتغيير إعدادات أمان محددة وتعيينات حقوق المستخدم في مجال Windows Server 2003 أو مجال Windows Server سابقة.

لمزيد من المعلومات حول نهج المجموعة لنظام التشغيل Windows 7 ونظام التشغيل Windows Server 2008 R2 Windows Server 2008، راجع المقالات التالية: ملاحظة: المحتوى المتبقي في هذه المقالة خاصة بنظام التشغيل Windows XP أو Windows Server 2003 والإصدارات السابقة من Windows.

نظام التشغيل Windows XP

انقر هنا لمشاهدة المعلومات الخاصة بنظام التشغيل Windows XP
لزيادة الوعي بإعدادات أمان صحيح، استخدم أداة محرر كائن نهج المجموعة لتغيير إعدادات الأمان. عند استخدام "محرر كائن نهج المجموعة"، يتم تحسين تعيينات حقوق المستخدم على أنظمة التشغيل التالية:
  • Windows XP احترافي Service Pack 2 (SP2)
  • Windows Server 2003 Service Pack 1 (SP1)
ميزة المحسن هو مربع حوار يحتوي على ارتباط إلى هذه المقالة. يظهر مربع الحوار عند تغيير إعداد أمان أو تعيين حقوق مستخدم إلى إعداد يوفر توافق أقل وأكثر تقييداً. في حالة تغيير نفس الأمن الإعداد أو تعيين حقوق المستخدم مباشرة باستخدام السجل أو باستخدام قوالب الأمان، التأثير يماثل تغيير الإعداد في محرر كائن نهج المجموعة. ومع ذلك، لا يظهر مربع الحوار الذي يحتوي على الارتباط بهذه المقالة.

تحتوي هذه المقالة على أمثلة للعملاء والبرامج والعمليات التي تتأثر بتعيينات حقوق المستخدم أو إعدادات أمان محددة. غير أن الأمثلة غير مخول لكافة أنظمة التشغيل Microsoft لكافة أنظمة التشغيل الغير أو كافة إصدارات البرامج المتأثرة. ليست كافة إعدادات الأمان وتعيينات حقوق المستخدم المضمنة في هذه المقالة.

من المستحسن التحقق من التوافق لكافة تغييرات التكوين المتعلقة بالأمان في مجموعة اختبار قبل إدخالها في بيئة إنتاج. ويجب أن يعكس الغابة اختبار الغابة الإنتاج بالطرق التالية:
  • إصدارات نظام تشغيل الملقم والعميل، البرامج أندسيرفير العميل، إصدارات حزم الخدمة والإصلاحات العاجلة، تغييرات المخطط، سيكوريتيجروبس، عضويات مجموعة، الأذونات على الكائنات الموجودة في نظام الملفات، sharedfolders والسجل وخدمة دليل "Active Directory"، المحلية وإعدادات جروبوليسي والكائن ونوع عدد الموقع
  • المهام الإدارية التي يتم تنفيذها وأدمينيستراتيفيتولس التي تستخدم أنظمة التشغيل المستخدمة لمهام بيرفورمادمينيستراتيفي
  • العمليات التي يتم تنفيذها كالتالي:
    • مصادقة تسجيل دخول المستخدم والكمبيوتر
    • إعادة تعيين كلمة المرور بمستخدمي أجهزة الكمبيوتر، والمسؤولين
    • استعراض
    • تعيين الأذونات لنظام الملفات، للمجلدات المشتركة، للتسجيل ولموارد Active Directory باستخدام محرر ACL في كافة أنظمة التشغيل العميل في كل حساب أو مجالات الموارد من كافة أنظمة التشغيل العميلة من حساب كافة أو مجالات الموارد
    • الطباعة من الحسابات الإدارية والاعتيادية

Windows Server 2003 SP1

انقر هنا لمشاهدة المعلومات الخاصة بحزمة الخدمة SP1 من ملقم Windows

تحذيرات في Gpedit.msc

للمساعدة في جعل العملاء على علم بأن تحرير حق مستخدم أو خيار الأمان يمكن أن يؤثر بشكل يؤثر على شبكة الاتصال الخاصة بهم، سيرون أضيفت gpedit.msc. عند تحرير administrators حق مستخدم الذي يمكن أن يؤثر على المؤسسة أكملها، سيرون رمزاً جديداً يشبه علامة أفسح طريق. كما سيتلقون أيضا رسالة تحذير لها ارتباط بالمقالة قاعدة معارف Microsoft رقم 823659. يكون نص هذه الرسالة كما يلي:
قد يؤثر تعديل هذا الإعداد على التوافق مع العملاء والخدمات والتطبيقات. لمزيد من المعلومات، راجع <user right="" or="" security="" option="" being="" modified="">(Q823659)</user>
إذا تم توجيهك إلى هذه المقالة في قاعدة معارف من ارتباط في Gpedit.msc، تأكد من أن قراءة وفهم التفسير المتوفر والتأثير المحتمل لتغيير هذا الإعداد. وفيما يلي سرد "حقوق المستخدم" التي تحتوي على نص التحذير:
  • الوصول إلى هذا الكمبيوتر من شبكة الاتصال
  • تسجيل الدخول محلياً
  • تجاوز التدقيق الانتقالي
  • تمكين أجهزة الكمبيوتر والمستخدمين للتفويض الموثوق به
وفيما يلي سرد "خيارات الأمان" التي تشتمل على تحذير ورسالة منبثقة:
  • عضو المجال: رقمياً تشفير أو توقيع بيانات قناة مؤمنة (دائماً)
  • عضو المجال: يتطلب قوي (Windows 2000 أو إصدار أحدث) مفتاح جلسة العمل
  • وحدة التحكم بالمجال: متطلبات توقيع ملقم LDAP
  • ملقم شبكات اتصال Microsoft: توقيع الاتصالات رقمياً (دائماً)
  • الوصول إلى شبكة الاتصال: السماح Sid مجهول/ترجمة الاسم
  • الوصول إلى شبكة الاتصال: عدم السماح بالتعداد المجهول سام حسابات ومشاركات
  • أمان شبكة الاتصال: مستوى مصادقة إدارة LAN
  • تدوين: إيقاف تشغيل النظام فورا في حال عدم إمكانية تسجيل تدوين الأمان
  • الوصول إلى الشبكة: متطلبات توقيع عميل LDAP
معلومات أخرى
تصف المقاطع التالية أوجه التعارض التي يمكن أن تحدث عندما تقوم بتغيير إعدادات معينة في مجالات Windows NT 4.0 ومجالات Windows 2000 ومجالات Windows Server 2003.

حقوق المستخدم

انقر هنا لعرض معلومات حول حقوق المستخدم
القائمة التالية تصف حق مستخدم، تعريف إعدادات التكوين التي قد تسبب المشاكل، يصف لماذا يجب تطبيق حق المستخدم و لماذا قد تحتاج إلى إزالة حق المستخدم، ويوفر أمثلة على مشكلات التوافق التي قد تحدث عند تكوين حق المستخدم.
  1. الوصول إلى هذا الكمبيوتر من شبكة الاتصال
    1. الخلفية

      القدرة على التفاعل مع أجهزة الكمبيوتر المستندة إلى Windows عن بعد يتطلب حق المستخدم الوصول إلى هذا الكمبيوتر من شبكة الاتصال . تتضمن أمثلة على تلك العمليات الخاصة بالشبكة ما يلي:
      • النسخ المتماثل ل "Active Directory" بين وحدات تحكم المجال في مجال أم أو مجال عام
      • طلبات مصادقة لوحدات التحكم بالمجال من مستخدمين ومن أجهزة الكمبيوتر
      • الوصول إلى المجلدات والطابعات وخدمات الأنظمة الأخرى الموجودة على أجهزة الكمبيوتر البعيدة على الشبكة


      المستخدمون وأجهزة الكمبيوتر وحسابات الخدمة على حق أو تفقد حق الوصول إلى هذا الكمبيوتر من شبكة الاتصال المستخدم بصراحة أو ضمناً إضافتها أو إزالتها من مجموعة أمان تم منح حق المستخدم هذا. على سبيل المثال، حساب مستخدم أو حساب كمبيوتر يمكن بوضوح إضافة إلى مجموعة أمان مخصصة أو مجموعة أمان مضمنة بواسطة مسؤول أو قد ضمنياً تضاف بنظام التشغيل بمجموعة أمان محسوبة مثل مستخدمي المجال Authenticated Users أو وحدات تحكم المجال في المؤسسة.

      بشكل افتراضي، حسابات الكمبيوتر وحسابات المستخدم يتم منح المستخدم الوصول إلى هذا الكمبيوتر من شبكة الاتصال إلى اليمين عندما يتم تعريف مجموعات المحسوبة مثل Everyone أو، من الأفضل، Authenticated Users، وعن وحدات تحكم المجال، مجموعة Enterprise Domain Controllers، في وحدات التحكم بالمجال الافتراضي كائن نهج المجموعة (GPO).
    2. تكوينات غير آمنة

      فيما يلي بعض إعدادات التكوين الضارة:
      • إزالة مجموعة Enterprise Domain Controllers الأمان من حق المستخدم هذا
      • إزالة مجموعة Authenticated Users أو مجموعة صريحة يسمح حق المستخدم للاتصال بأجهزة الكمبيوتر عبر الشبكة المستخدمين وأجهزة الكمبيوتر وحسابات الخدمة
      • إزالة كافة المستخدمين وأجهزة الكمبيوتر من حق المستخدم هذا
    3. أسباب منح حق المستخدم هذا
      • يفي منح مجموعة Enterprise Domain Controllers حق المستخدم الوصول إلى هذا الكمبيوتر من شبكة الاتصال بمتطلبات المصادقة التي يجب النسخ المماثل Active Directory للنسخ المتماثل بين وحدات تحكم المجال في نفس المجال الأم.
      • يسمح حق المستخدم هذا المستخدمين وأجهزة الكمبيوتر الوصول إلى الملفات المشتركة والطابعات وخدمات النظام، بما في ذلك "خدمة active Directory".
      • مطلوب حق المستخدم هذا للمستخدمين بالوصول إلى البريد باستخدام إصدارات سابقة من Microsoft Outlook Web Access (OWA).
    4. أسباب إزالة حق المستخدم هذا
      • المستخدمين يمكنهم الاتصال على أجهزة الكمبيوتر الخاصة بهم بشبكة الاتصال الوصول إلى الموارد الموجودة على أجهزة الكمبيوتر البعيدة التي لديهم أذونات لها. على سبيل المثال، مطلوب حق المستخدم هذا لمستخدم للاتصال بالطابعات المشتركة على المجلدات. إذا تم منح حق المستخدم هذا إلى كل فرد المجموعة، وإذا كان بعض المجلدات المشتركة كل من المشاركة وأذونات نظام ملفات NTFS التي تم تكوينه بحيث نفس المجموعة على حق الوصول للقراءة، يمكن لأي شخص عرض الملفات في تلك المجلدات المشتركة. ومع ذلك، هذه حالة غير المحتمل لعمليات تثبيت حديثة ل Windows Server 2003 نظراً لمشاركة الافتراضي وأذونات NTFS في Windows Server 2003 لا تتضمن المجموعة Everyone. للأنظمة التي تمت ترقيتها من نظام التشغيل Microsoft Windows NT 4.0 أو Windows 2000، قد الحصانة مستوى أعلى من المخاطر لأن مشاركة الافتراضي وأذونات نظام الملفات لأنظمة التشغيل هذه ليست مقيدة كالأذونات الافتراضية في Windows Server 2003.
      • ليس هناك أي سبب وجيه لإزالة مجموعة Enterprise Domain Controllers من حق المستخدم هذا.
      • إزالة المجموعة بشكل عام لصالح مجموعة Authenticated Users. في حالة إزالة المجموعة، يجب منح المجموعة Authenticated Users حق المستخدم هذا.
      • لا على مجالات Windows NT 4.0 التي تمت ترقيتها إلى Windows 2000 منح المستخدم الوصول إلى هذا الكمبيوتر من شبكة الاتصال لمجموعة Everyone مجموعة Authenticated Users أو مجموعة Enterprise Domain Controllers حق صراحة. لذلك، عند إزالة المجموعة Everyone من نهج المجال Windows NT 4.0، سيفشل النسخ المماثل Active Directory مع رسالة خطأ "تم رفض الوصول" بعد الترقية إلى نظام التشغيل Windows 2000. يتجنب Winnt32.exe في Windows Server 2003 هذا التكوين عن طريق منح مجموعة Enterprise Domain Controllers حق المستخدم هذا عند الترقية إلى نظام التشغيل Windows NT 4.0 وحدات تحكم المجال الأساسية (Pdc). منح مجموعة Enterprise Domain Controllers حق إذا لم يكن موجوداً في محرر كائن نهج المجموعة المستخدم هذا.
    5. أمثلة على مشكلات التوافق
      • Windows 2000 و Windows Server 2003: سيفشل النسخ المماثل الأقسام التالية مع وجود خطأ "تم رفض الوصول" كما أفاد أدوات الرصد مثل REPLMON و REPADMIN أو النسخ المتماثل للأحداث في سجل الأحداث.
        • قسم "مخطط الدليل" النشط
        • قسم التكوين
        • قسم
        • قسم نشرة مصورة عمومية
        • قسم التطبيق
      • Microsoft كافة أنظمة تشغيل الشبكة:سوف تفشل مصادقة حساب المستخدم من أجهزة الكمبيوتر العميلة على الشبكة عن بعد ما لم يكن المستخدم أو مجموعة أمان التي يكون المستخدم عضوا تم منح حق المستخدم هذا.
      • Microsoft كافة أنظمة تشغيل الشبكة:تفشل عملية مصادقة الحساب من عملاء شبكة الاتصال البعيدة إلا الحساب أو مجموعة أمان التي يكون الحساب عضوا تم منح حق المستخدم هذا. ينطبق هذا السيناريو على حسابات المستخدمين وحسابات الكمبيوتر وحسابات الخدمة.
      • Microsoft كافة أنظمة تشغيل الشبكة:إزالة كافة الحسابات من حق المستخدم هذا إلى منع أي حساب من تسجيل الدخول إلى المجال أو من الوصول إلى موارد شبكة الاتصال. حالة المجموعات المحتسبة، مثل Enterprise Domain Controllers، يتم إزالة الكل أو Authenticated Users، يجب بشكل صريح منح حق المستخدم هذا لحسابات أو مجموعات الأمان يكون الحساب عضوا من الوصول إلى أجهزة الكمبيوتر البعيدة عبر الشبكة. ينطبق هذا السيناريو على كافة حسابات المستخدمين وكافة حسابات الكمبيوتر وحسابات خدمة كافة.
      • Microsoft كافة أنظمة تشغيل الشبكة:يستخدم حساب المسؤول المحلي كلمة مرور "فارغ". الاتصال بالشبكة باستخدام كلمات المرور الفارغة غير مسموح لحسابات المسؤولين في بيئة مجال. فبهذا التكوين، يمكنك توقع تلقي رسالة خطأ "تم رفض الوصول".
  2. السماح بتسجيل الدخول محلياً
    1. الخلفية

      حسابات الذين يسعون إلى بدء تشغيل خدمة والمستخدمين الذين يحاولون تسجيل الدخول في وحدة التحكم الخاصة بجهاز كمبيوتر يستند إلى Windows (باستخدام اختصار لوحة المفاتيح CTRL + ALT + DELETE) يجب أن يكون لديك امتيازات تسجيل الدخول محلياً على جهاز الكمبيوتر المضيف. تتضمن أمثلة على عمليات تسجيل الدخول المحلي المسؤولين الذين يقومون بتسجيل الدخول إلى وحدات التحكم لأجهزة الكمبيوتر الأعضاء أو وحدات تحكم المجال من خلال مستخدمي المؤسسة والمجال الذي قام بتسجيل الدخول إلى أجهزة الكمبيوتر الأعضاء الوصول إلى أسطح المكتب الخاصة بهم باستخدام حسابات ليس لديها امتيازات. يجب أن يكون المستخدمين الذين يتم استخدام الاتصال بسطح المكتب البعيد "أو" الخدمات الطرفية المستخدم السماح بتسجيل الدخول محلياً على أجهزة الكمبيوتر الوجهة التي تقوم بتشغيل Windows 2000 أو نظام التشغيل Windows XP لأن تعتبر هذه الأوضاع تسجيل الدخول المحلي لجهاز الكمبيوتر المضيف. المستخدمون الذين يقومون بتسجيل الدخول إلى ملقم أنه تم تمكين "ملقم المحطة الطرفية" و، الذين ليس لديهم حق المستخدم هذا يمكن تشغيل جلسة عمل تفاعلية بعيدة في مجالات Windows Server 2003 في حالة حصولهم حق المستخدم السماح بتسجيل الدخول عبر "خدمات المحطة الطرفية" .
    2. تكوينات غير آمنة

      فيما يلي بعض إعدادات التكوين الضارة:
      • إزالة مجموعات الأمان الإداري، بما في ذلك عوامل تشغيل الحساب أو Backup Operators، مشغلات الطباعة أو Server Operators، وفي مجموعة Administrators المضمنة من نهج وحدة تحكم المجال الافتراضي.
      • إزالة حسابات الخدمة التي يتم استخدام المكونات والبرامج الموجودة على أجهزة الكمبيوتر الأعضاء ووحدات التحكم بالمجال في المجال، من نهج وحدة تحكم المجال الافتراضي.
      • إزالة مستخدمين أو مجموعات أمان تسجيل الدخول إلى وحدة التحكم لأجهزة الكمبيوتر الأعضاء في المجال.
      • إزالة حسابات الخدمة التي تم تعريفها في قاعدة بيانات إدارة حسابات الأمان (SAM) المحلية لأجهزة الكمبيوتر الأعضاء أو أجهزة كمبيوتر مجموعة العمل.
      • إزالة الحسابات الإدارية-بناء التي تتم مصادقتها عبر "الخدمات الطرفية" التي يتم تشغيلها على وحدة تحكم مجال.
      • إضافة كافة حسابات المستخدمين في المجال بشكل صريح أو ضمني من خلال الجميع المجموعة رفض تسجيل الدخول محلياً حق تسجيل الدخول. سيمنع هذا التكوين المستخدمين من تسجيل الدخول إلى أي جهاز كمبيوتر عضو أو لأية وحدة تحكم مجال في المجال.
    3. أسباب منح حق المستخدم هذا
      • يجب على المستخدمين حق المستخدم السماح بتسجيل الدخول محلياً للوصول إلى وحدة التحكم أو سطح مكتب كمبيوتر مجموعة عمل أو جهاز كمبيوتر عضو أو وحدة تحكم بمجال.
      • يجب على المستخدمين حق المستخدم هذا تسجيل الدخول عبر جلسة عمل "الخدمات الطرفية" التي يتم تشغيلها على كمبيوتر يستند إلى Window 2000 عضو أو وحدة تحكم المجال.
    4. أسباب إزالة حق المستخدم هذا
      • قد يؤدي الفشل في تقييد الوصول إلى وحدة التحكم لحسابات المستخدمين الشرعيين المستخدمين غير المخولين تحميل وتنفيذ التعليمات البرمجية الضارة تغيير حقوق المستخدم الخاصة بهم.
      • تمنع إزالة حق المستخدم السماح بتسجيل الدخول محلياً على دخول غير معتمدة إلى وحدات التحكم لأجهزة الكمبيوتر، مثل وحدات التحكم بالمجال أو ملقمات التطبيقات.
      • تمنع إزالة حق تسجيل الدخول هذا المجال غير الحسابات من تسجيل الدخول إلى وحدة التحكم لأجهزة الكمبيوتر الأعضاء في المجال.
    5. أمثلة على مشكلات التوافق
      • ملقمات المحطة الطرفية في Windows 2000:مطلوب حق المستخدم السماح بتسجيل الدخول محلياً للمستخدمين لتسجيل الدخول إلى ملقمات المحطة الطرفية في Windows 2000.
      • نظام التشغيل Windows NT 4.0 أو Windows 2000، نظام التشغيل Windows XP أو Windows Server 2003:يجب منح حسابات المستخدمين حق المستخدم هذا لتسجيل الدخول إلى وحدة التحكم لأجهزة الكمبيوتر التي تشغل Windows NT 4.0، نظام التشغيل Windows 2000 أو Windows XP أو Windows Server 2003.
      • نظام التشغيل Windows NT 4.0 والإصدارات الأحدث:على أجهزة الكمبيوتر التي تشغل Windows NT 4.0 والإصدارات الأحدث، إذا قمت بإضافة المستخدم السماح بتسجيل الدخول محلياً إلى اليمين، لكن يمكنك بشكل صريح أو ضمني أيضا منح حق تسجيل الدخول رفض تسجيل الدخول محلياً ، الحسابات لا تتمكن من تسجيل الدخول إلى وحدة التحكم الخاصة بوحدات التحكم بالمجال.
  3. تجاوز التدقيق الانتقالي
    1. الخلفية

      يسمح حق المستخدم تجاوز عملية التحقق الاعتراضية للمستخدم باستعراض المجلدات في نظام الملفات NTFS أو في التسجيل دون التحقق من إذن الوصول الخاص اجتياز المجلد . لا يسمح حق المستخدم تجاوز التدقيق الانتقالي للمستخدم بسرد محتويات المجلد. يسمح للمستخدم باجتياز المجلدات الخاصة به.
    2. تكوينات غير آمنة

      فيما يلي بعض إعدادات التكوين الضارة:
      • إزالة الحسابات غير الإدارية التي تقوم بتسجيل الدخول إلى الخدمات الطرفية المستندة إلى Windows 2000 أو أجهزة كمبيوتر "الخدمات الطرفية" المستندة إلى Windows Server 2003 التي ليس لديك أذونات الوصول إلى الملفات والمجلدات في نظام الملفات.
      • إزالة المجموعة Everyone من قائمة حساب الأمان الأساسي التي يملك هذا الحق بشكل افتراضي. تم تصميم أنظمة تشغيل Windows، وكذلك برامج عديدة، مع توقع أي شخص يمكنه الوصول إلى الكمبيوتر قانونيا سيكون حق تجاوز التدقيق الانتقالي الخاص بالمستخدم. لذلك، إزالة الكل مجموعة من القائمة حساب الأمان الأساسي التي لديها حق المستخدم هذا بشكل افتراضي قد يؤدي إلى عدم استقرار نظام التشغيل أو فشل البرامج. أنه من الأفضل ترك هذا الإعداد الافتراضي الخاص به.
    3. أسباب منح حق المستخدم هذا

      الإعداد الافتراضي للمستخدم تجاوز عملية التحقق الاعتراضية الصحيح هو السماح لأي شخص تجاوز عملية التحقق الاعتراضية. هذا هو السلوك المتوقع لمسؤولي النظام Windows ذوي الخبرة، وتكوين ملف النظام قوائم التحكم بالوصول (Sacl) وفقا لذلك. هو السيناريو الوحيد الذي قد يؤدي التكوين الافتراضي إلى حدوث خطأ إذا كان المسؤول الذي يقوم بتكوين أذونات لا تفهم السلوك ويتوقع أن المستخدمين الذين لا يمكن الوصول إلى مجلد أصل لن قادراً على الوصول إلى محتويات أي من المجلدات التابعة.
    4. أسباب إزالة حق المستخدم هذا

      لمحاولة منع الوصول إلى الملفات أو المجلدات الموجودة في نظام الملفات، قد يميل المؤسسات مهتما جداً بأمان إلى إزالة المجموعة Everyone، أو حتى مجموعة Users، من قائمة المجموعات التي لديها حق المستخدم تجاوز عملية التحقق الاعتراضية .
    5. أمثلة على مشكلات التوافق
      • Windows 2000 و Windows Server 2003:في حالة إزالة حق المستخدم تجاوز عملية التحقق الاعتراضية أو يتم تكوينها على أجهزة الكمبيوتر التي تشغل Windows 2000 أو Windows Server 2003، لا سيكرر إعدادات "نهج المجموعة" الموجودة في المجلد SYVOL بين وحدات التحكم بالمجال في المجال.
      • Windows 2000، Windows XP Professional، Windows Server 2003:أجهزة كمبيوتر تعمل بنظام التشغيل Windows 2000 أو Windows XP Professional أو Windows Server 2003 بتسجيل الحدثين 1000 و 1202 ولن قادراً على تطبيق نهج الكمبيوتر ونهج المستخدم عند إزالة أذونات نظام الملفات المطلوبة من شجرة SYSVOL في حالة إزالة حق التجاوز الانتقالي التحقق من المستخدم أو تم تكوينها.

        لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
        290647 تسجيل معرف الحدث 1000 1001 كل خمس دقائق في سجل أحداث التطبيق
      • Windows 2000 و Windows Server 2003: سوف تختفي علامة التبويب " الحصة النسبية " في مستكشف Windows على أجهزة الكمبيوتر التي تشغل Windows 2000 أو Windows Server 2003، عند عرض خصائص وحدة تخزين.
      • Windows 2000: المسؤولين عدم الذي قام بتسجيل الدخول إلى ملقم المحطة طرفية ل Windows 2000 قد تظهر رسالة الخطأ التالية:
        حدث خطأ أثناء تطبيق Userinit.exe. فشل في التهيئة بشكل صحيح 0xc0000142 التطبيق انقر فوق "موافق" لإنهاء التطبيق.
        لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
        272142 تلقائياً تسجيل خروج المستخدمين عند محاولة تسجيل الدخول إلى "الخدمات الطرفية"
      • نظام التشغيل Windows NT 4.0، ونظام التشغيل Windows 2000 و Windows XP و Windows Server 2003:أجهزة الكمبيوتر التي تشغل Windows NT 4.0، نظام التشغيل Windows 2000 أو Windows XP أو Windows Server 2003 لا يمكن المستخدمين الوصول إلى المجلدات المشتركة أو الملفات الموجودة في المجلدات المشتركة، وقد تظهر رسائل الخطأ "تم رفض الوصول" إذا لم يتم منحهم حق المستخدم تجاوز عملية التحقق الاعتراضية .

        لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
        277644 ظهور رسالة الخطأ "تم رفض الوصول" عند محاولة المستخدمين الوصول إلى المجلدات المشتركة
      • نظام التشغيل Windows NT 4.0:على أجهزة الكمبيوتر المستندة إلى نظام التشغيل Windows NT 4.0، ستؤدي إزالة حق المستخدم تجاوز عملية التحقق الاعتراضية نسخة ملف إلى إسقاط التدفقات الملف. في حالة إزالة حق المستخدم هذا عند نسخ أحد ملفات من عميل Windows أو من عميل Macintosh إلى وحدة تحكم مجال Windows NT 4.0 الذي يقوم بتشغيل خدمات لماكنتوش، يتم فقدان دفق ملف الوجهة ويظهر الملف كملف نص فقط.

        لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
        172930 نسخ الملفات إلى إسقاط التدفقات يؤدي إزالة "تجاوز التدقيق الانتقالي"
      • Microsoft Windows 95، نظام التشغيل Microsoft Windows 98:على جهاز كمبيوتر عميل الذي يقوم بتشغيل Windows 95 أو Windows 98، استخدم net * منزلي سيفشل الأمر مع رسالة خطأ "تم رفض الوصول" إذا لم يتم منح المجموعة Authenticated Users حق المستخدم تجاوز عملية التحقق الاعتراضية .
      • Outlook Web Access:لن تتمكن من تسجيل الدخول إلى Microsoft Outlook Web Access دون المسؤولين، وسيتلقون رسالة خطأ "تم رفض الوصول" إذا لم يتم منحهم حق المستخدم تجاوز عملية التحقق الاعتراضية .

إعدادات الأمان

انقر هنا لمشاهدة مزيد من المعلومات حول إعدادات الأمان
تبين القائمة التالية إعداد أمان وقائمة متداخلة يوفر وصفاً حول إعداد الأمان، تعريف إعدادات التكوين التي قد تسبب المشاكل، يصف لماذا يجب تطبيق إعداد الأمان، ثم يصف أسباب لماذا قد تحتاج إلى إزالة إعداد الأمان. يوفر قائمة متداخلة ثم اسم رمزي لإعداد الأمان ومسار التسجيل إعداد الأمان. وأخيراً، تقدم أمثلة مشاكل التوافق التي قد تحدث عند تكوين إعداد الأمان.
  1. تدوين: إيقاف تشغيل النظام فورا في حال عدم إمكانية تسجيل تدوين الأمان
    1. الخلفية
      • تدوين: إيقاف تشغيل النظام فورا في حال عدم إمكانية تسجيل تدوين الأمان من تحديد ما إذا كان يتم إيقاف تشغيل النظام في حالة تعذر تسجيل أحداث الأمان. هذا الإعداد مطلوباً لتقييم C2 البرنامج الموثوق بها الكمبيوتر الأمن تقييم المعايير (TCSEC) و "معايير مشتركة" "تقييم أمان تكنولوجيا المعلومات" لمنع أحداث القابلة إذا لا يمكن تسجيل نظام تدوين هذه الأحداث. في حالة فشل نظام التدقيق، يتم إيقاف تشغيل النظام، وتظهر رسالة خطأ الإيقاف Stop.
      • إذا كان الكمبيوتر لا يمكن تسجيل الأحداث إلى سجل الأمان، دليل ضروري أو معلومات استكشاف الأخطاء وإصلاحها هامة قد لا تتوفر للمراجعة بعد حادث أمني.
    2. التكوينات

      التالي إعداد تكوين ضارة: تدوين: إيقاف تشغيل النظام فورا في حال عدم إمكانية تسجيل تدوين الأمان تشغيل الإعداد، وحجم سجل أحداث الأمان مقيدة بواسطة الخيار عدم الكتابة فوق الأحداث (مسح السجل يدوياً) ، خيار "الكتابة فوق الأحداث" حسب الحاجة ، أو الكتابة فوق الأحداث الأقدم من رقم الأيام الخيار في "عارض الأحداث". راجع القسم "أمثلة على مشكلات التوافق" للحصول على معلومات حول مخاطر معينة لأجهزة الكمبيوتر التي تعمل بالإصدار الأصلي الصادر لنظام التشغيل Windows 2000 أو Windows 2000 Service Pack 1 (SP1)، Windows 2000 SP2 أو Windows 2000 SP3.
    3. الأسباب لتمكين هذا الإعداد

      إذا كان الكمبيوتر لا يمكن تسجيل الأحداث إلى سجل الأمان، دليل ضروري أو معلومات استكشاف الأخطاء وإصلاحها هامة قد لا تتوفر للمراجعة بعد حادث أمني.
    4. أسباب تعطيل هذا الإعداد
      • تمكين تدوين: إيقاف تشغيل النظام فورا في حال عدم إمكانية تسجيل تدوين الأمان يتوقف إعداد النظام في حالة تعذر تسجيل تدوين أمان لأي سبب. عادة، لا يتم تسجيل حدث عندما يكون سجل تدوين الأمان الكامل وعندما يكون أسلوب الاحتفاظ المحدد به أما عدم الكتابة فوق الأحداث (مسح السجل يدوياً) الخيار أو الكتابة فوق الأحداث الأقدم من رقم الأيام خيار.
      • العبء الإداري لتمكين تدوين: إيقاف تشغيل النظام فورا في حال عدم إمكانية تسجيل تدوين الأمان يمكن أن يكون إعداد مرتفعة للغاية، خاصة إذا تم تشغيل الخيار عدم الكتابة فوق الأحداث (مسح السجل يدوياً) لسجل الأمان. يوفر هذا الإعداد للمساءلة الفردية إجراءات عامل التشغيل. على سبيل المثال، يمكن إعادة تعيين الأذونات على كافة المستخدمين وأجهزة الكمبيوتر والمجموعات في وحدة تنظيمية (OU) حيث تم تمكين التدقيق باستخدام حساب المسؤول المضمن أو حساب آخر مشترك مسؤول ورفض بعد ذلك أن إعادة تعيين هذه الأذونات. ومع ذلك، تمكين هذا الإعداد في ضعف قوة أداء النظام لأن ملقم قد يتم إجبار إيقاف بواسطة زيادة أحداث تسجيل الدخول وأحداث الأمان الأخرى التي تتم كتابتها إلى سجل الأمان. بالإضافة إلى ذلك، نظراً لإيقاف التشغيل بشكل غير أمن، قد يؤدي إلى ضرر يتعذر إصلاحه نظام التشغيل أو البرامج أو البيانات. وبينما يضمن NTFS الحفاظ على تكامل نظام الملفات أثناء إيقاف تشغيل نظام تكامل، لا يضمن أن يكون كل ملف بيانات، خاص بكل برنامج، في شكل قابل للاستخدام عند إعادة تشغيل النظام.
    5. الاسم الرمزي:

      CrashOnAuditFail

    6. مسار السجل:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)
    7. أمثلة على مشكلات التوافق
      • Windows 2000:نظراً لوجود خطأ، قد تتوقف أجهزة الكمبيوتر التي تعمل بالإصدار الأصلي الصادر لنظام التشغيل Windows 2000 أو Windows 2000 SP1، Windows 2000 SP2 أو Windows Server SP3 تسجيل الأحداث قبل الوصول إلى الحجم المحدد بالخيار الحد الأقصى لحجم السجل لسجل أحداث الأمان. تم إصلاح هذه الأخطاء في Windows 2000 Service Pack 4 (SP4). تأكد من أن Windows 2000 Service Pack 4 مثبت قبل النظر في تمكين هذا الإعداد على وحدات تحكم المجال Windows 2000 الخاصة بك.

        لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
        312571 توقف سجل الأحداث عن تسجيل الأحداث قبل الوصول إلى حجم السجل الأقصى
      • Windows 2000 و Windows Server 2003:أجهزة كمبيوتر تعمل بنظام التشغيل Windows 2000 أو Windows Server 2003 قد توقف عن الاستجابة وقد تلقائياً إعادة إذا تدوين: إيقاف تشغيل النظام فورا في حال عدم إمكانية تسجيل تدوين الأمان تشغيل الإعداد وسجل الأمان ممتلئ ولا يمكن الكتابة فوق إدخال موجود سجل الأحداث. عند إعادة تشغيل جهاز الكمبيوتر، تظهر رسالة خطأ الإيقاف Stop التالية:
        إيقاف: C0000244 {فشل التدقيق}
        فشلت محاولة لإنشاء تدوين أمان.
        لاسترداد، مسؤول يجب تسجيل الدخول وأرشفة سجل الأمان (اختياري) مسح سجل الأمان وثم إعادة تعيين هذا الخيار (اختياري وحسب الحاجة).
      • عميل شبكة اتصال Microsoft MS-DOS، Windows 95، نظام التشغيل Windows 98، Windows NT 4.0 و Windows 2000، Windows XP و Windows Server 2003:عدم-المسؤولين الذين يحاولون تسجيل الدخول إلى مجال ستتلقى رسالة الخطأ التالية:
        تم تكوين الحساب الخاص بك يمنعك من استخدام هذا الكمبيوتر. الرجاء محاولة كمبيوتر آخر.
        لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
        160783 رسالة الخطأ: يتعذر على المستخدمين تسجيل الدخول إلى محطة عمل
      • Windows 2000:على أجهزة الكمبيوتر المستندة إلى نظام التشغيل Windows 2000، لن تتمكن من تسجيل الدخول إلى ملقمات الوصول البعيد غير المسؤولين، وسيتلقون رسالة خطأ مشابهة لما يلي:
        مستخدم غير معروف أو كلمة مرور غير صالحة
        لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
        285665 رسالة الخطأ: تكوين الحساب الخاص بك يمنعك من استخدام هذا الكمبيوتر
      • Windows 2000:على وحدات تحكم مجال Windows 2000، ستتوقف خدمة "الرسائل بين المواقع" (Ismserv.exe) ولا يمكن إعادة تشغيله. سيبلغ DCDIAG عن خطأ مثل "فشل في اختبار الخدمات ISMserv"، وسيتم تسجيل معرف الحدث 1083 في سجل الأحداث.
      • Windows 2000:على وحدات تحكم مجال Windows 2000، سيفشل النسخ المماثل Active Directory، وستظهر رسالة "تم رفض الوصول" في حالة امتلاء سجل أحداث الأمان.
      • Microsoft Exchange 2000:لن تتمكن من تحميل قاعدة بيانات مخزن معلومات الخوادم التي تستخدم Exchange 2000، وسيتم تسجيل الحدث 2102 في سجل الأحداث.

        لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
        314294 يتم إنشاء رسائل الخطأ Exchange 2000 بسبب مشكلات اليمين ومشكلات Policytest
      • Outlook، Outlook الويب الوصول: لن قادراً على الوصول إلى البريد الإلكتروني الخاص به من خلال Microsoft Outlook أو برنامج Microsoft Outlook Web Access دون المسؤولين، وأنها ستتلقى خطأ 503.
  2. وحدة التحكم بالمجال: متطلبات توقيع ملقم LDAP
    1. الخلفية

      وحدة التحكم بالمجال: متطلبات توقيع خادم LDAP يحدد إعداد الأمان ما إذا كان ملقم بروتوكول الوصول الخفيف إلى الدليل (LDAP) يتطلب من عملاء LDAP التفاوض على توقيع البيانات. تعد القيم الممكنة لهذا النهج كما يلي:
      • بلا: توقيع البيانات غير مطلوب للربط مع الخادم. إذا طلب العميل توقيع بيانات، كان معتمداً من الملقم.
      • يتطلب التوقيع: يجب التفاوض حول خيار توقيع بيانات LDAP ما لم يستخدم "طبقة مأخذ التوصيل" الأمن/أمان طبقة النقل (TLS/SSL).
      • غير معرف: هذا الإعداد غير ممكنة أو معطلة.
    2. تكوينات غير آمنة

      فيما يلي بعض إعدادات التكوين الضارة:
      • مما يتطلب التوقيع في بيئات حيث العملاء لا تدعم توقيع LDAP أو حيث توقيع LDAP العميل غير ممكنة على العميل
      • تطبيق Windows 2000 أو Windows Server 2003 Hisecdc.inf قالب الأمان في بيئات حيث الأجهزة العميلة لا تدعم توقيع LDAP أو حيث توقيع LDAP العميل معطل
      • تطبيق Windows 2000 أو قالب الأمان واسطة Hisecws.inf 2003 ملقم Windows في بيئات حيث الأجهزة العميلة لا تدعم توقيع LDAP أو حيث توقيع LDAP العميل معطل
    3. الأسباب لتمكين هذا الإعداد

      يعتبر نقل البيانات عبر الشبكة عرضه لهجمات الرجل في الوسط حيث متطفل تلتقط بين العميل والخادم وتعديل الحزم وثم تعيد توجيهها إلى الخادم. عندما يحدث هذا السلوك على ملقم LDAP، يمكن أن يتسبب مهاجم في أن يقوم ملقم بإصدار قرارات بناء على استعلامات خاطئة من عميل LDAP. يمكنك تقليل هذه المخاطر في شبكات اتصال الشركات عن طريق تطبيق إجراءات أمان فعلية قوي لحماية البنية الأساسية للشبكة. وضع رأس مصادقة أمان (IPSec) "بروتوكول إنترنت" المساعدة في منع هجمات الرجل في الوسط. يجري وضع رأس المصادقة مصادقة متبادلة وتكاملاً الحزمة لحركة مرور IP.
    4. أسباب تعطيل هذا الإعداد
      • لن تتمكن من تنفيذ استعلامات LDAP على وحدات التحكم بالمجال وعلى الكتالوجات العامة في حالة التفاوض بخصوص مصادقة NTLM وكذلك في حالة عدم تثبيت حزم الخدمة الصحيحة على وحدات تحكم مجال Windows 2000 الأجهزة العميلة التي لا تدعم توقيع LDAP.
      • سيتم تشفير عمليات تتبع الشبكات الخاصة نقل بيانات LDAP فيما بين العملاء والملقمات. وهذا يجعل من الصعب على اختبار محادثات LDAP.
      • الخوادم التي تستند إلى Windows 2000 يجب أن يكون لديك Windows 2000 Service Pack 3 (SP3) أو تثبيتها عند إدارتها مع برامج دعم توقيع LDAP تعمل من أجهزة الكمبيوتر العميلة التي تقوم بتشغيل Windows Server 2003 أو نظام التشغيل Windows XP أو حزمة الخدمة Windows 2000 SP4. لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
        325465 تتطلب وحدات تحكم المجال Windows 2000 Service Pack 3 أو إصدار أحدث عند استخدام أدوات الإدارة في Windows Server 2003
    5. الاسم الرمزي:

      لدابسيرفيرينتيجريتي
    6. مسار السجل:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)
    7. أمثلة على مشكلات التوافق
      • ستفشل الروابط البسيطة، وسوف تتلقى رسالة الخطأ التالية:
        Ldap_simple_bind_s() فشل: مطلوب مصادقة قوية.
      • Windows 2000 Service Pack 4، Windows XP Windows Server 2003:على الأجهزة العميلة التي تقوم بتشغيل Windows Server 2003 أو نظام التشغيل Windows XP أو حزمة الخدمة Windows 2000 SP4، بعض أدوات الإدارة "Active Directory" لن تعمل بشكل صحيح على وحدات تحكم المجال التي تعمل بإصدارات من نظام التشغيل Windows 2000 التي تسبق SP3 عند التفاوض بخصوص مصادقة NTLM.

        لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
        325465 تتطلب وحدات تحكم المجال Windows 2000 Service Pack 3 أو إصدار أحدث عند استخدام أدوات الإدارة في Windows Server 2003
      • Windows 2000 Service Pack 4، Windows XP Windows Server 2003:على الأجهزة العميلة التي تقوم بتشغيل Windows Server 2003 أو نظام التشغيل Windows XP أو حزمة الخدمة Windows 2000 SP4، بعض أدوات الإدارة "Active Directory" التي تستهدف وحدات التحكم بالمجال التي تعمل بإصدارات من نظام التشغيل Windows 2000 التي أقدم من لن تعمل حزمة الخدمة sp3 الخاصة بشكل صحيح إذا كانت تستخدم عناوين IP (على سبيل المثال، "dsa.msc/server =x.x.x.x"حيث x.x.x.x عنوان IP).

        لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
        325465 تتطلب وحدات تحكم المجال Windows 2000 Service Pack 3 أو إصدار أحدث عند استخدام أدوات الإدارة في Windows Server 2003
      • Windows 2000 Service Pack 4، Windows XP Windows Server 2003:على الأجهزة العميلة التي تقوم بتشغيل Windows 2000 SP4 أو نظام التشغيل Windows XP أو Windows Server 2003، بعض أدوات الإدارة "Active Directory" التي تستهدف وحدات التحكم بالمجال التي تعمل بإصدارات من نظام التشغيل Windows 2000 التي أقدم من حزمة الخدمة SP3 لن تعمل بشكل صحيح.

        لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
        325465 تتطلب وحدات تحكم المجال Windows 2000 Service Pack 3 أو إصدار أحدث عند استخدام أدوات الإدارة في Windows Server 2003
  3. عضو المجال: يتطلب مفتاح جلسة عمل قوي (Windows 2000 أو الإصدارات اللاحقة)
    1. الخلفية
      • عضو المجال: يتطلب مفتاح جلسة عمل قوي (Windows 2000 أو الإصدارات اللاحقة) من تحديد ما إذا كان يمكن تأسيس قناة آمنة مع وحدة تحكم مجال بإمكانية تشفير نقل بيانات القناة الآمنة بمفتاح جلسة عمل قوي، 128 بت. يؤدي تمكين هذا الإعداد إلى منع إنشاء قناة آمنة بأية وحدة تحكم مجال بإمكانية تشفير بيانات القنوات الآمنة بمفتاح قوي. يسمح تعطيل هذا الإعداد مفاتيح الجلسة 64 بت.
      • قبل قيامك بتمكين هذا الإعداد على محطة عمل عضو أو على ملقم، كافة وحدات تحكم المجال في المجال الذي ينتمي إليه العضو يجب أن تكون قادرة على تشفير بيانات القنوات الآمنة بمفتاح قوي فئة 128 بت. وهذا يعني أن كافة وحدات التحكم بالمجال يجب تشغيل Windows 2000 أو الإصدارات اللاحقة.
    2. التكوينات

      تمكين عضو المجال: يتطلب مفتاح جلسة عمل قوي (Windows 2000 أو الإصدارات اللاحقة) الإعداد إعداد تكوين ضارة.
    3. الأسباب لتمكين هذا الإعداد
      • مفاتيح جلسة العمل المستخدمة لتأسيس اتصالات قناة آمنة بين أجهزة الكمبيوتر الأعضاء ووحدات التحكم بالمجال أقوى بكثير في نظام التشغيل Windows 2000 مما عليه في الإصدارات السابقة من أنظمة تشغيل Microsoft.
      • عندما يكون ذلك ممكناً، أنها لفكرة جيدة للاستفادة من مفاتيح جلسة العمل هذه أقوى لحماية الاتصالات عبر القنوات الآمنة من التنصت ومن هجمات الشبكة في جلسات. التصنت شكل هجوم ضار حيث يتم قراءة بيانات شبكة الاتصال أو بالعبور. يمكن تعديل البيانات لإخفاء أو لتغيير المرسل، أو إعادة توجيهها.
      هام يدعم كمبيوتر يعمل بنظام التشغيل Windows Server 2008 R2 أو Windows 7 مفاتيح القوى فقط عند استخدام القنوات الآمنة. يمنع هذا التقييد ثقة بين أي المجال المستندة إلى Windows NT 4.0 وأي مجال المستندة إلى نظام التشغيل Windows Server 2008 R2. بالإضافة إلى ذلك، يمنع هذا التقييد عضوية المجال المستندة إلى Windows NT 4.0 من أجهزة الكمبيوتر التي تشغل Windows 7 أو Windows Server 2008 R2، والعكس بالعكس.
    4. أسباب تعطيل هذا الإعداد

      يحتوي المجال على أجهزة الكمبيوتر الأعضاء التي تعمل بأنظمة تشغيل مختلفة عن Windows 2000 أو Windows XP أو Windows Server 2003.
    5. الاسم الرمزي:

      سترونجكيي
    6. مسار السجل:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)
    7. أمثلة على مشكلات التوافق

      نظام التشغيل Windows NT 4.0:إعادة تعيين القنوات الآمنة علاقات ثقة بين نظام التشغيل Windows NT 4.0 ومجالات Windows 2000 باستخدام NLTEST فشل في أجهزة الكمبيوتر المستندة إلى نظام التشغيل Windows NT 4.0. ظهور رسالة خطأ "تم رفض الوصول":
      فشل علاقة الثقة بين المجال الأساسي والمجال الموثوق به.

      ويندوز 7 و Server 2008 R2:ويندوز 7 والإصدارات الأحدث ونظام التشغيل Windows Server 2008 R2 والإصدارات الأحدث، هذا الإعداد يتم تسديدها بعد ويستخدم مفتاح قوي دائماً. ولهذا السبب، علاقات ثقة مع مجالات Windows NT 4.0 لا تعمل بعد الآن.
  4. عضو المجال: تشفير أو توقيع بيانات قناة مؤمنة (دائماً) رقمياً
    1. الخلفية
      • تمكين عضو المجال: تشفير أو توقيع بيانات قناة مؤمنة (دائماً) رقمياً يمنع إنشاء قناة آمنة بأية وحدة تحكم مجال لا يمكنه توقيع أو تشفير كافة بيانات القناة الآمنة. للمساعدة في حماية نقل بيانات المصادقة من هجمات الرجل في الوسط وهجمات إعادة التشغيل، وأنواع أخرى من الهجمات على شبكة الاتصال، أجهزة الكمبيوتر المستندة إلى Windows بإنشاء قناة اتصال يعرف قناة آمنة من خلال خدمة Net Logon لمصادقة حسابات الكمبيوتر. كما تستخدم القنوات الآمنة عند مستخدم في مجال الاتصال بمورد شبكة اتصال في مجال بعيد. هذا مصادقة متعددة المجالات، أو مصادقة المرور، يسمح جهاز كمبيوتر يستند إلى Windows وقد انضمت إلى مجال للوصول إلى قاعدة بيانات حسابات المستخدمين في هذا المجال وفي أي المجالات الموثوق بها.
      • لتمكين عضو المجال: تشفير أو توقيع بيانات قناة مؤمنة (دائماً) رقمياً الإعداد على كمبيوتر عضو، كافة وحدات تحكم المجال في المجال الذي ينتمي إليه العضو يجب أن يتمكن توقيع أو تشفير كافة بيانات القناة الآمنة. وهذا يعني أن كافة وحدات تحكم المجال المماثلة يجب تشغيل Windows NT 4.0 مع Service Pack 6a (SP6a) أو الإصدار الأحدث.
      • تمكين عضو المجال: تشفير أو توقيع بيانات قناة مؤمنة (دائماً) رقمياً الإعداد تلقائياً يتيح عضو المجال: تشفير أو توقيع بيانات قناة مؤمنة (عند الإمكان) رقمياً الإعداد.
    2. التكوينات

      تمكين عضو المجال: تشفير أو توقيع بيانات قناة مؤمنة (دائماً) رقمياً الإعداد في مجالات حيث يمكن توقيع أو تشفير بيانات القناة الآمنة ليست كافة وحدات التحكم بالمجال إعداد تكوين ضارة.
    3. الأسباب لتمكين هذا الإعداد

      يعتبر نقل البيانات عبر الشبكة عرضه لهجمات الرجل في الوسط، حيث تلتقط بين الملقم والعميل متطفل وقم بتعديلها، قبل توجيهها إلى العميل. عندما يحدث هذا السلوك على ملقم بروتوكول وصول الخفيف إلى دليل (LDAP)، يمكن أن يؤدي المتطفل عميل بإصدار قرارات بناء على سجلات خاطئة من دليل LDAP. يمكن تقليل مخاطر هجوم على إحدى شبكات شركة عن طريق تطبيق إجراءات أمان فعلية قوي لحماية البنية الأساسية للشبكة. بالإضافة إلى ذلك، تطبيق أمان "بروتوكول إنترنت" (IPSec) وضع رأس مصادقة المساعدة في منع هجمات الرجل في الوسط. يقوم هذا الوضع مصادقة متبادلة وتكاملاً الحزمة لحركة مرور IP.
    4. أسباب تعطيل هذا الإعداد
      • تعتمد أجهزة الكمبيوتر في المجالات المحلية أو الخارجية القنوات الآمنة المشفرة.
      • ليست كافة وحدات التحكم بالمجال في المجال لديك مستويات مراجعة حزمة الخدمة المناسبة لدعم القنوات الآمنة المشفرة.
    5. الاسم الرمزي:

      سترونجكيي
    6. مسار السجل:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)
    7. أمثلة على مشكلات التوافق
      • نظام التشغيل Windows NT 4.0: أجهزة الكمبيوتر الأعضاء المستندة إلى نظام التشغيل Windows 2000، لن تتمكن من الانضمام إلى مجالات Windows NT 4.0 وستتلقى رسالة الخطأ التالية:
        الحساب غير مخول لتسجيل الدخول من هذه المحطة.
        لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
        281648 رسالة الخطأ: الحساب غير مخول لتسجيل الدخول من هذه المحطة
      • نظام التشغيل Windows NT 4.0:لا يمكن تأسيس علاقة ثقة ذات مستوى منخفض مع مجال Windows 2000 مجالات Windows NT 4.0 وستتلقى رسالة الخطأ التالية:
        الحساب غير مخول لتسجيل الدخول من هذه المحطة.
        القائمة ذات المستوى المنخفض قد أيضا مصادقة المستخدمين من المجال الموثوق به. قد يضطر بعض المستخدمين مشكلات في تسجيل الدخول إلى المجال، وظهور رسالة خطأ تنص على أن العميل لا يمكن العثور على المجال.
      • نظام التشغيل Windows XP:لا يمكن لمصادقة محاولات تسجيل الدخول عملاء Windows XP المنضمة إلى مجالات Windows NT 4.0 وقد تظهر رسالة الخطأ التالية أو قد يتم تسجيل الأحداث التالية في سجل الأحداث:
        يتعذر على Windows الاتصال بالمجال لأن وحدة تحكم المجال معطلة أو غير متوفر أو سبب عدم إيجاد حساب للكمبيوتر الخاص بك

        الحدث 5723: إعداد الجلسة من الكمبيوتر اسم الكمبيوتر فشل في المصادقة. اسم الحساب المشار إليه في قاعدة بيانات الأمان اسم الكمبيوتر. حدث الخطأ التالي: تم رفض الوصول.

        حدث 3227: إعداد الجلسة إلى وحدة تحكم مجال Windows 2000 أو Windows NT اسم الملقم للمجال اسم المجال فشلت اسم الملقم لا يعتمد التوقيع أو الختم جلسة Netlogon. ترقية وحدة التحكم بالمجال، أو تعيين إدخال التسجيل RequireSignOrSeal على هذا الكمبيوتر إلى 0.

        لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
        318266 عميل Windows XP لا يمكن تسجيل الدخول إلى مجال Windows NT 4.0
      • شبكة اتصال Microsoft:عملاء شبكة اتصال Microsoft تتلقى إحدى رسائل الخطأ التالية:
        فشل تسجيل الدخول: اسم مستخدم غير معروف أو كلمة مرور غير صالحة.
        هناك يوجد مفتاح جلسة عمل مستخدم لجلسة عمل تسجيل الدخول المحددة.
  5. عميل شبكات اتصال Microsoft: توقيع الاتصالات رقمياً (دائماً)
    1. الخلفية

      هو كتلة رسالة الملقم (SMB) بروتوكول مشاركة الموارد معتمد من قبل العديد من أنظمة تشغيل Microsoft. وهو أساس نظام الإدخال/الإخراج الأساسي شبكة الاتصال (NetBIOS) والعديد من البروتوكولات الأخرى. يصادق توقيع SMB على كل من المستخدم والخادم الذي يستضيف البيانات. إذا فشلت عملية المصادقة لأي من الجانبين، لن يتم نقل البيانات.

      يبدأ توقيع smb أثناء تفاوض بروتوكول SMB. تحديد نهج توقيع SMB ما إذا كان الكمبيوتر توقيع اتصالات العميل دائماً رقمياً.

      يعتمد بروتوكول مصادقة Windows 2000 SMB المصادقة المتبادلة. وتصد المصادقة المتبادلة هجوم "الرجل-في-الوسط". يعتمد بروتوكول مصادقة Windows 2000 SMB أيضا مصادقة الرسائل. مصادقة الرسائل يساعد على منع هجمات الرسائل النشطة. لإعطاء هذه المصادقة، يضع توقيع SMB توقيع رقمي في كل SMB. العميل والخادم التحقق من التوقيع الرقمي.

      لاستخدام توقيع SMB، يجب تمكين توقيع SMB أو طلب توقيع SMB على كل من عميل SMB وملقم SMB. إذا تم تمكين توقيع SMB على ملقم، العملاء الممكنة للتوقيع بروتوكول توقيع الرزم أثناء كافة جلسات العمل اللاحقة استخدام SMB أيضا. إذا تم طلب توقيع SMB على ملقم، يتعذر على عميل تأسيس جلسة عمل ما لم يتم تمكين العميل أو يطلب منه توقيع SMB.

      يتيح تمكين التوقيع الرقمي في الشبكات عالية الأمان يساعد على منع الانتحال للعملاء والخوادم. يعرف هذا النوع من التمثيل التحكم في جلسات العمل. يستخدم مهاجم الذي لديه حق الوصول إلى نفس الشبكة مثل العميل أو الملقم أدوات التحكم في الجلسات لمقاطعة أو إنهاءها أو سرقة أي جلسة قيد التنفيذ. مهاجم يمكن اعتراض وتعديل رزم SMB غير الموقعة وتعديل نقل البيانات وإعادة توجيهها حيث يقوم الخادم بعض الإجراءات غير المرغوب فيها. أو يمكن أن تشكل كالخادم أو العميل بعد عملية مصادقة شرعية والوصول غير المصرح به إلى البيانات.

      يدعم بروتوكول SMB التي يتم استخدامها لمشاركة الملفات ومشاركة الطباعة في أجهزة الكمبيوتر التي تشغل Windows 2000 Server، Windows 2000 Professional أو Windows XP Professional أو Windows Server 2003 المصادقة المتبادلة. إغلاق جلسات هجمات المصادقة المتبادلة ودعم مصادقة الرسائل. ولذلك، منع هجمات الرجل في الوسط. يوفر توقيع SMB هذه المصادقة بوضع توقيع رقمي في كل SMB. العميل والخادم ثم التحقق من التوقيع.

      ملاحظات
      • كأحد الإجراءات الوقائية بديلة، يمكنك تمكين التواقيع الرقمية باستخدام IPSec للمساعدة في حماية كافة حركة مرور شبكة الاتصال. وتوجد برامج تسريع تعتمد على الأجهزة لتشفير IPSec والتوقيع يمكن استخدامها لتقليل تأثير الأداء من وحدة المعالجة المركزية للملقم. لا توجد توجد برامج تسريع المتوفرة لتوقيع SMB.

        لمزيد من المعلومات، راجع ملقم الاتصالات رقمياً الفصل على موقع Microsoft MSDN على ويب.

        تكوين توقيع SMB من خلال محرر كائن نهج المجموعة لتغيير قيمة تسجيل محلي ليس له أي تأثير إذا لم يكن هناك نهج مجال الرئيسي.
      • في نظام التشغيل Windows 95, Windows 98 و Windows 98 Second Edition، يستخدم "عميل خدمات الدليل" توقيع SMB عند المصادقة مع ملقمات Windows Server 2003 باستخدام مصادقة NTLM. ومع ذلك، لا تستخدم هذه الأجهزة العميلة توقيع SMB عند المصادقة مع هذه الملقمات باستخدام مصادقة NTLMv2. بالإضافة إلى ذلك، لا تستجيب ملقمات Windows 2000 إلى طلبات توقيع SMB من هذه الأجهزة العميلة. لمزيد من المعلومات، انظر البند 10: "أمان شبكة الاتصال: مستوى مصادقة إدارة Lan."
    2. التكوينات

      ما يلي إعداد تكوين ضارة: ترك كل من عميل شبكة اتصال Microsoft: توقيع الاتصالات رقمياً (دائماً) الإعداد و عميل شبكة اتصال Microsoft: توقيع الاتصالات رقمياً (عند موافقة الملقم) الإعداد إلى "غير معرف" أو معطلين. تسمح هذه الإعدادات معيد التوجيه إرسال كلمات مرور بالنص العادي إلى ملقمات SMB غير Microsoft لا تدعم تشفير كلمة المرور أثناء المصادقة.
    3. الأسباب لتمكين هذا الإعداد

      تمكين عميل شبكة اتصال Microsoft: توقيع الاتصالات رقمياً (دائماً) الأجهزة العميلة توقيع نقل بيانات SMB عند الاتصال بملقمات لا تتطلب توقيع SMB. هذا يجعل الأجهزة العميلة أقل تعرضا لعمليات الهجوم جلسات.
    4. أسباب تعطيل هذا الإعداد
      • تمكين عميل شبكة اتصال Microsoft: توقيع الاتصالات رقمياً (دائماً) منع أجهزة الكمبيوتر العميلة من الاتصال بالخوادم الهدف التي لا تدعم توقيع SMB.
      • تكوين أجهزة الكمبيوتر لتجاهل كافة اتصالات SMB غير الموقعة إلى منع البرامج وأنظمة التشغيل السابقة من الاتصال.
    5. الاسم الرمزي:

      ريكويريسمبسيجنردر
    6. مسار السجل:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
    7. أمثلة على مشكلات التوافق
      • نظام التشغيل Windows NT 4.0:لا يمكنك إعادة تعيين القناة الآمنة لثقة بين مجال Windows Server 2003 ومجال Windows NT 4.0 باستخدام NLTEST أو NETDOM، وسوف تتلقى رسالة خطأ "تم رفض الوصول".
      • نظام التشغيل Windows XP:نسخ الملفات من نظام التشغيل Windows XP عملاء للخوادم التي تستند إلى Windows 2000 والخوادم التي تستند إلى Windows Server 2003 قد وقتاً إضافيا.
      • لن تتمكن من تعيين محرك أقراص شبكة اتصال من عميل بتمكين هذا الإعداد، وسوف تتلقى رسالة الخطأ التالية:
        الحساب غير مخول لتسجيل الدخول من هذه المحطة.
    8. متطلبات إعادة التشغيل

      إعادة تشغيل الكمبيوتر أو إعادة تشغيل خدمة محطة العمل. للقيام بذلك، اكتب الأوامر التالية في موجه الأوامر. اضغط مفتاح الإدخال Enter بعد كتابة كل أمر.
      محطة عمل net stop
      محطة العمل ابدأ الصافي
  6. ملقم شبكات اتصال Microsoft: توقيع الاتصالات رقمياً (دائماً)
    1. الخلفية
      • هو server Messenger Block (SMB) بروتوكول مشاركة الموارد معتمد من قبل العديد من أنظمة تشغيل Microsoft. وهو أساس نظام الإدخال/الإخراج الأساسي شبكة الاتصال (NetBIOS) والعديد من البروتوكولات الأخرى. يصادق توقيع SMB على كل من المستخدم والخادم الذي يستضيف البيانات. إذا فشلت عملية المصادقة لأي من الجانبين، لن يتم نقل البيانات.

        يبدأ توقيع smb أثناء تفاوض بروتوكول SMB. تحديد نهج توقيع SMB ما إذا كان الكمبيوتر توقيع اتصالات العميل دائماً رقمياً.

        يعتمد بروتوكول مصادقة Windows 2000 SMB المصادقة المتبادلة. وتصد المصادقة المتبادلة هجوم "الرجل-في-الوسط". يعتمد بروتوكول مصادقة Windows 2000 SMB أيضا مصادقة الرسائل. مصادقة الرسائل يساعد على منع هجمات الرسائل النشطة. لإعطاء هذه المصادقة، يضع توقيع SMB توقيع رقمي في كل SMB. العميل والخادم التحقق من التوقيع الرقمي.

        لاستخدام توقيع SMB، يجب تمكين توقيع SMB أو طلب توقيع SMB على كل من عميل SMB وملقم SMB. إذا تم تمكين توقيع SMB على ملقم، العملاء الممكنة للتوقيع بروتوكول توقيع الرزم أثناء كافة جلسات العمل اللاحقة استخدام SMB أيضا. إذا تم طلب توقيع SMB على ملقم، يتعذر على عميل تأسيس جلسة عمل ما لم يتم تمكين العميل أو يطلب منه توقيع SMB.

        يتيح تمكين التوقيع الرقمي في الشبكات عالية الأمان يساعد على منع الانتحال للعملاء والخوادم. يعرف هذا النوع من التمثيل التحكم في جلسات العمل. يستخدم مهاجم الذي لديه حق الوصول إلى نفس الشبكة مثل العميل أو الملقم أدوات التحكم في الجلسات لمقاطعة أو إنهاءها أو سرقة أي جلسة قيد التنفيذ. مهاجم يمكن اعتراض وتعديل الحزم إدارة عرض النطاق الترددي في "الشبكة الفرعية" (SBM) غير الموقعة وتعديل نقل البيانات وإعادة توجيهها حيث يقوم الخادم بعض الإجراءات غير المرغوب فيها. أو يمكن أن تشكل كالخادم أو العميل بعد عملية مصادقة شرعية والوصول غير المصرح به إلى البيانات.

        يدعم بروتوكول SMB التي يتم استخدامها لمشاركة الملفات ومشاركة الطباعة في أجهزة الكمبيوتر التي تشغل Windows 2000 Server، Windows 2000 Professional أو Windows XP Professional أو Windows Server 2003 المصادقة المتبادلة. إغلاق جلسات هجمات المصادقة المتبادلة ودعم مصادقة الرسائل. ولذلك، منع هجمات الرجل في الوسط. يوفر توقيع SMB هذه المصادقة بوضع توقيع رقمي في كل SMB. العميل والخادم ثم التحقق من التوقيع.
      • كأحد الإجراءات الوقائية بديلة، يمكنك تمكين التواقيع الرقمية باستخدام IPSec للمساعدة في حماية كافة حركة مرور شبكة الاتصال. وتوجد برامج تسريع تعتمد على الأجهزة لتشفير IPSec والتوقيع يمكن استخدامها لتقليل تأثير الأداء من وحدة المعالجة المركزية للملقم. لا توجد توجد برامج تسريع المتوفرة لتوقيع SMB.
      • في نظام التشغيل Windows 95, Windows 98 و Windows 98 Second Edition، يستخدم "عميل خدمات الدليل" توقيع SMB عند المصادقة مع ملقمات Windows Server 2003 باستخدام مصادقة NTLM. ومع ذلك، لا تستخدم هذه الأجهزة العميلة توقيع SMB عند المصادقة مع هذه الملقمات باستخدام مصادقة NTLMv2. بالإضافة إلى ذلك، لا تستجيب ملقمات Windows 2000 إلى طلبات توقيع SMB من هذه الأجهزة العميلة. لمزيد من المعلومات، انظر البند 10: "أمان شبكة الاتصال: مستوى مصادقة إدارة Lan."
    2. التكوينات

      ما يلي إعداد تكوين ضارة: تمكين ملقم شبكة اتصال Microsoft: توقيع الاتصالات رقمياً (دائماً) على الخوادم وعلى وحدات التحكم بالمجال التي يتم الوصول إليها بواسطة أجهزة الكمبيوتر العميلة المستندة إلى نظام التشغيل الغير في المجالات المحلية أو الخارجية وأجهزة الكمبيوتر المستندة إلى Windows غير متوافق.
    3. الأسباب لتمكين هذا الإعداد
      • تدعم أجهزة الكمبيوتر العميلة التي تمكن هذا الإعداد من خلال التسجيل مباشرة أو عن طريق إعداد "نهج المجموعة" توقيع SMB. وبعبارة أخرى، كافة أجهزة الكمبيوتر العميلة تمكين هذا الإعداد تشغيل أما Windows 95 مع عميل DS تثبيت نظام التشغيل Windows 98، Windows NT 4.0، ونظام التشغيل Windows 2000 أو Windows XP Professional Windows Server 2003.
      • إذا ملقم شبكة اتصال Microsoft: توقيع الاتصالات رقمياً (دائماً) يتم تعطيل توقيع SMB تماما معطل. تعطيل كافة SMB تماما توقيع ترك أجهزة الكمبيوتر أكثر عرضه للهجمات في جلسات.
    4. أسباب تعطيل هذا الإعداد
      • يؤدي تمكين هذا الإعداد قد يسبب أبطأ ملف نسخة وأداء الشبكة على عميل أجهزة الكمبيوتر.
      • تمكين هذا الإعداد إلى منع الأجهزة العميلة التي لا يمكنها التفاوض في توقيع SMB من الاتصال بالخوادم ووحدات التحكم بالمجال. يؤدي هذا بالبرامج إلى فشل عمليات مثل عمليات الانضمام إلى المجال أو مصادقة المستخدم والكمبيوتر أو الوصول إلى شبكة الاتصال.
    5. الاسم الرمزي:

      ريقويريسمبسيجنسيرفير
    6. مسار السجل:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)
    7. أمثلة على مشكلات التوافق
      • Windows 95:عملاء windows 95 التي لم يتم تثبيت العميل خدمات الدليل (DS) سوف تفشل مصادقة تسجيل الدخول وستتلقى رسالة الخطأ التالية:
        كلمة المرور التي تم إدخالها غير صحيحة، أو تم رفض الوصول إلى ملقم تسجيل الدخول.
        لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
        811497 ظهور رسالة خطأ عند العميل Windows 95 أو Windows NT 4.0 بتسجيل الدخول إلى مجال Windows Server 2003
      • نظام التشغيل Windows NT 4.0: أجهزة الكمبيوتر العميلة التي تعمل بإصدارات من نظام التشغيل Windows NT 4.0 التي أقدم من حزمة الخدمة service Pack 3 (SP3) سوف تفشل مصادقة تسجيل الدخول وستتلقى رسالة الخطأ التالية:
        لم يتمكن النظام من تسجيل. تأكد من صحة اسم المستخدم والمجال ثم اكتب كلمة المرور مرة أخرى.
        تدعم بعض خوادم SMB غير Microsoft عمليات تبادل كلمات المرور غير المشفرة فقط أثناء المصادقة. (هذه التبادلات تعرف أيضا باسم "نص عادي" التبادل.) لنظام التشغيل Windows NT 4.0 SP3 والإصدارات الأحدث، معيد توجيه SMB إرسال كلمة مرور غير مشفرة أثناء المصادقة لخادم SMB إلا إذا قمت بإضافة إدخال سجل معين.
        لتمكين كلمات المرور غير المشفرة لعميل SMB في نظام التشغيل Windows NT 4.0 SP 3 والأنظمة الأحدث، تعديل التسجيل كما يلي: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        اسم القيمة: انابليبلاينتيكستباسوورد
        نوع البيانات: REG_DWORD
        البيانات: 1

        لمزيد من المعلومات حول المواضيع ذات الصلة، انقر فوق أرقام المقالات التالية لعرضها في "قاعدة المعارف ل Microsoft":
        224287 خطأ: حدث خطأ النظام 1240. الحساب غير مخول لتسجيل الدخول من هذه المحطة.
        166730 قد تتسبب كلمات المرور غير المشفرة Service Pack 3 فشل الاتصال بملقمات SMB
      • نظام التشغيل Windows Server 2003: بشكل افتراضي، يتم تكوين إعدادات الأمان على وحدات التحكم بالمجال التي تعمل على Windows Server 2003 للمساعدة على منع اتصالات وحدة تحكم المجال من اعتراضها أو العبث بها من قبل المستخدمين المؤذيين. للمستخدمين بالاتصال بنجاح مع وحدة تحكم مجال الذي يقوم بتشغيل Windows Server 2003، يجب أن تستخدم أجهزة الكمبيوتر العميلة توقيع SMB والتشفير أو توقيع نقل بيانات القناة الآمنة. بشكل افتراضي، تستخدم Windows NT 4.0 مع Service Pack 2 (SP2) أو إصدار سابق مثبت وعملاء التي تقوم بتشغيل Windows 95 لم يتم تمكين توقيع حزمة SMB. لذلك، هؤلاء العملاء لا يمكن مصادقة إلى وحدة تحكم مجال المستندة إلى Windows Server 2003.
      • إعدادات نهج نظام التشغيل Windows 2000 و Windows Server 2003: استناداً إلى احتياجات محددة التثبيت والتكوين، نوصي بتعيين إعدادات النهج التالية على أقل وحدة للنطاق الضروري في التسلسل الهرمي الأداة الإضافية محرر نهج المجموعة وحدة التحكم بالإدارة ل Microsoft:
        • جهاز الكمبيوتر \ إعدادات أمان خيارات
        • إرسال كلمة مرور غير مشفرة للاتصال مع ملقمات smb متوفرة من جهة خارجية (هذا الإعداد Windows 2000)
        • عميل شبكة اتصال Microsoft: إرسال كلمة مرور غير مشفرة إلى ملقمات smb متوفرة من جهة خارجية (هذا الإعداد Windows Server 2003)

        ملاحظة في بعض ملقمات CIFS خارجية، مثل الإصدارات القديمة من Samba، لا يمكنك استخدام كلمات المرور المشفرة.
      • العملاء التالية غير متوافقة مع ملقم شبكة اتصال Microsoft: توقيع الاتصالات رقمياً (دائماً) الإعداد:
        • أبل كمبيوتر، شركة، Mac OS إكسكلينتس
        • عملاء شبكة اتصال Microsoft MS-DOS (على سبيل المثال، Microsoft LAN Manager)
        • مايكروسوفت ويندوز ووركجروبسكلينتس
        • عملاء Microsoft Windows 95 دون دسكلينت تثبيت
        • مايكروسوفت كومبوتيرسويثوت المستندة إلى Windows NT 4.0 SP3 أو الإصدار الأحدث مثبتاً
        • عملاء Novell Netware 6 CIFS
        • عملاء برنامج SAMBA SMB التي ليس لديها دعم لتوقيع SMB
    8. متطلبات إعادة التشغيل

      إعادة تشغيل الكمبيوتر أو إعادة تشغيل خدمة الملقم. للقيام بذلك، اكتب الأوامر التالية في موجه الأوامر. اضغط مفتاح الإدخال Enter بعد كتابة كل أمر.
      net stop server
      net بدء الملقم
  7. الوصول إلى شبكة الاتصال: السماح بترجمة SID/Name المجهول
    1. الخلفية

      الوصول إلى شبكة الاتصال: السماح بترجمة SID/Name المجهول يحدد إعداد الأمان ما إذا كان يمكن لمستخدم مجهول طلب سمات رقم معرف الأمان (SID) لمستخدم آخر.
    2. التكوينات

      تمكين الوصول إلى شبكة الاتصال: السماح بترجمة SID/Name المجهول الإعداد إعداد تكوين ضارة.
    3. الأسباب لتمكين هذا الإعداد

      إذا كان الوصول إلى شبكة الاتصال: السماح بترجمة SID/Name المجهول الإعداد معطل، من قبل أنظمة التشغيل أو قد لا تكون التطبيقات قادرة على الاتصال بمجالات Windows Server 2003. على سبيل المثال، التطبيقات أو الخدمات أو أنظمة التشغيل التالية قد لا تعمل:
      • Windows الملقمات المستندة إلى NT 4.0 خدمة الوصول البعيد
      • Microsoft SQL Server التي يتم تشغيلها على أجهزة الكمبيوتر المستندة إلى نظام التشغيل Windows NT 4.0 أو نظام التشغيل Windows NT 3.x أجهزة
      • خدمة الوصول البعيد قيد التشغيل على أجهزة الكمبيوتر المستندة إلى نظام التشغيل Windows 2000 الموجودة في مجالات Windows NT 3.x أو مجالات Windows NT 4.0
      • SQL Server الذي يتم تشغيله على أجهزة الكمبيوتر المستندة إلى نظام التشغيل Windows 2000 التي تقع في مجالات Windows NT 3.x أو في مجالات Windows NT 4.0
      • المستخدمون في مجال موارد Windows NT 4.0 الذي تريد منحة أذونات الوصول إلى الملفات والمجلدات المشتركة وكائنات السجل إلى حسابات المستخدمين من مجالات الحسابات التي تحتوي على وحدات تحكم مجال Windows Server 2003
    4. أسباب تعطيل هذا الإعداد

      إذا تم تمكين هذا الإعداد، استخدام مستخدم ضار المسؤولين SID معروف جيدا للحصول على الاسم الحقيقي لحساب المسؤول المضمن، حتى إذا تمت إعادة تسمية الحساب. هذا الشخص بعد ذلك استخدام اسم الحساب لبدء هجوم لتخمين كلمة المرور.
    5. اسم رمزي: N/A
    6. مسار السجل: لا شيء. يتم تحديد المسار في رمز UI.
    7. أمثلة على مشكلات التوافق

      نظام التشغيل Windows NT 4.0:أجهزة الكمبيوتر الموجودة في مجالات موارد Windows NT 4.0 سيتم عرض رسالة الخطأ "حساب غير معروف" في "محرر ACL" إذا كانت الموارد، بما في ذلك المجلدات المشتركة والملفات المشتركة وكائنات السجل، قد تم تأمينها بواسطة حسابات الأمان الأساسية الموجودة في مجالات الحسابات التي تحتوي على وحدات تحكم مجال Windows Server 2003.
  8. الوصول إلى شبكة الاتصال: عدم السماح بالتعداد المجهول سام الحسابات
    1. الخلفية
      • الوصول إلى شبكة الاتصال: عدم السماح بالتعداد المجهول سام حسابات من تحديد الأذونات الإضافية التي سيتم منحها للاتصالات المجهولة بالكمبيوتر. يسمح Windows للمستخدمين المجهولين بأداء أنشطة معينة، مثل تعداد أسماء حسابات إدارة حسابات الأمان (SAM) محطة العمل والملقم ومشاركات الشبكة. على سبيل المثال، مسؤول استخدام هذا لمنح حق الوصول إلى مستخدمين في مجال موثوق به لا يحتفظ بثقة متبادلة. بعد إجراء جلسة عمل مستخدم مجهول قد نفس حق الوصول التي يتم منحها للجميع المجموعة استناداً إلى الإعداد الموجود في الوصول إلى شبكة الاتصال: تطبيق أذونات Everyone للمستخدمين المجهولين الإعداد أو قائمة التحكم بالوصول المستقل (DACL) للكائن.

        عادة، يتم طلب الاتصالات المجهولة بالإصدارات السابقة من العملاء (عملاء المستوى الأدنى) أثناء إعداد جلسة عمل SMB. في هذه الحالات، تتبع شبكة يظهر معرف العملية SMB (PID) أيضا معيد توجيه العميل مثل 0xFEFF في نظام التشغيل Windows 2000 أو 0xCAFE في نظام التشغيل Windows NT. RPC محاولة لجعل الاتصالات المجهولة.
      • هاملدى هذا الإعداد أي تأثير على وحدات تحكم المجال. على وحدات تحكم المجال، يتم التحكم في هذا السلوك بسبب وجود "NT AUTHORITY/تسجيل دخول" في "Access 2000 متوافق على الإصدار السابق ل windows".
      • في Windows 2000، إدارة إعداد مشابهة تسمى قيود إضافية "الاتصالات المجهولة"
        RestrictAnonymous
        قيمة التسجيل. موقع هذه القيمة كما يلي
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
        لمزيد من المعلومات حول قيمة التسجيل RestrictAnonymous، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
        246261 كيفية استخدام قيمة التسجيل RestrictAnonymous في نظام التشغيل Windows 2000
        143474 تقييد المعلومات المتوفرة للمستخدمين تسجيل الدخول المجهول
    2. تكوينات غير آمنة

      تمكين الوصول إلى شبكة الاتصال: عدم السماح بالتعداد المجهول سام حسابات الإعداد إعداد تكوين ضارة من منظور توافق. تعطيل إعداد تكوين ضارة من منظور أمني.
    3. الأسباب لتمكين هذا الإعداد

      أحد المستخدمين غير المعتمدين سرد أسماء الحسابات بشكل مجهول كما ثم استخدام المعلومات لمحاولة تخمين كلمات المرور أو لإجراء هجمات الهندسة الاجتماعية . الهندسة الاجتماعية هي مصطلح دارج خداع الأشخاص لكشف كلمات المرور أو بعض نماذج معلومات الأمان.
    4. أسباب تعطيل هذا الإعداد

      إذا تم تمكين هذا الإعداد، من المستحيل إنشاء علاقات ثقة مع مجالات Windows NT 4.0. يؤدي هذا الإعداد أيضا مشكلات مع عملاء المستوى الأدنى (مثل عملاء Windows NT 3.51 وعملاء Windows 95) الذين يحاولون استخدام موارد على الملقم.
    5. الاسم الرمزي:


      ريستريكتانونيموسام
    6. مسار السجل:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)
    7. أمثلة على مشكلات التوافق
    • لن تتمكن من الحصول على معلومات نظام التشغيل SMS اكتشاف الشبكة وسيتم كتابة "غير معروف" في خاصية أوبيراتينجسيستيمناميندفيرسيون.
    • Windows 95, Windows 98:لن تتمكن من تغيير كلمات المرور الخاصة بهم عملاء windows 95 وعملاء Windows 98.
    • نظام التشغيل Windows NT 4.0:لن إمكانية مصادقة Windows أجهزة الكمبيوتر الأعضاء المستندة إلى NT 4.0.
    • Windows 95, Windows 98:لم تتمكن قيام وحدات التحكم بالمجال ل Microsoft بمصادقة أجهزة الكمبيوتر المستندة إلى نظام التشغيل Windows 98 والمستنده إلى نظام التشغيل Windows 95.
    • Windows 95, Windows 98:لن تتمكن من تغيير كلمات المرور لحسابات المستخدمين المستخدمين على أجهزة الكمبيوتر المستندة إلى نظام التشغيل Windows 98 والمستنده إلى نظام التشغيل Windows 95.
  9. الوصول إلى شبكة الاتصال: عدم السماح بالتعداد المجهول سام حسابات ومشاركات
    1. الخلفية
      • الوصول إلى شبكة الاتصال: عدم السماح بالتعداد المجهول سام حسابات ومشاركات (المعروف أيضا RestrictAnonymous) يحدد ما إذا كان مسموحاً التعداد غير المعروف لحسابات إدارة حسابات الأمان (SAM) ومشاركات. يسمح Windows للمستخدمين المجهولين بأداء أنشطة معينة، مثل تعداد أسماء حسابات المجال (المستخدمين وأجهزة الكمبيوتر والمجموعات) ومشاركات الشبكة. يكون هذا ملائماً، على سبيل المثال، عندما يرغب مسؤول بمنح حق الوصول إلى مستخدمين في مجال موثوق به لا يحتفظ بثقة متبادلة. إذا أردت عدم السماح لمجهول بتعداد حسابات SAM والمشاركات الخاصة، تمكين هذا الإعداد.
      • في Windows 2000، إدارة إعداد مشابهة تسمى قيود إضافية "الاتصالات المجهولة"
        RestrictAnonymous
        قيمة التسجيل. موقع هذه القيمة كما يلي:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    2. التكوينات

      تمكين الوصول إلى شبكة الاتصال: عدم السماح بالتعداد المجهول سام حسابات ومشاركات الإعداد إعداد تكوين ضارة.
    3. الأسباب لتمكين هذا الإعداد
      • تمكين الوصول إلى شبكة الاتصال: عدم السماح بالتعداد المجهول سام حسابات ومشاركات يمنع تعداد حسابات SAM والمشاركات من قبل المستخدمين وأجهزة الكمبيوتر التي تستخدم حسابات مجهولة.
    4. أسباب تعطيل هذا الإعداد
      • إذا تم تمكين هذا الإعداد، قد على أحد المستخدمين غير المعتمدين سرد أسماء الحسابات بشكل مجهول وثم استخدام المعلومات لمحاولة تخمين كلمات المرور أو لإجراء هجمات الهندسة الاجتماعية . الهندسة الاجتماعية هي مصطلح دارج خداع الأشخاص لكشف كلمة المرور أو بعض نماذج معلومات الأمان.
      • إذا تم تمكين هذا الإعداد، لن يمكن إنشاء علاقات ثقة مع مجالات Windows NT 4.0. كما سيؤدي هذا الإعداد إلى حدوث مشكلات مع عملاء المستوى الأدنى مثل عملاء Windows NT 3.51 و Windows 95 الذين يحاولون استخدام موارد على الملقم.
      • وسوف يكون من المستحيل على منح الوصول لمستخدمين مجالات الموارد للمسؤولين في المجال المانح للثقة لن تكون قادراً على تعداد قوائم الحسابات في المجال الآخر. لن تتمكن من سرد موارد الشبكة المشتركة على هذه الخوادم المستخدمين الوصول إلى ملقمات الطباعة والملفات كمجهول. يجب على المستخدمين المصادقة قبل أن يتمكنوا من عرض قوائم المجلدات والطابعات.
    5. الاسم الرمزي:

      RestrictAnonymous
    6. مسار السجل:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
    7. أمثلة على مشكلات التوافق
      • نظام التشغيل Windows NT 4.0: لن تتمكن من تغيير كلمات المرور الخاصة بهم من محطات عمل Windows NT 4.0 في حالة تمكين RestrictAnonymous على وحدات تحكم المجال في مجال المستخدمين المستخدمين. لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
        198941 يتعذر على المستخدمين تغيير كلمة المرور عند تسجيل الدخول
      • نظام التشغيل Windows NT 4.0:فشل إضافة مستخدمين أو مجموعات عمومية من مجالات Windows 2000 موثوق بها للمجموعات المحلية إدارة المستخدمين في Windows NT 4.0، وتظهر رسالة الخطأ التالية:
        لا توجد حاليا أي ملقمات تسجيل دخول متوفرة لخدمة طلب تسجيل الدخول.
        لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
        296405 قيمة التسجيل "RestrictAnonymous" قد قطع الثقة بمجال Windows 2000
      • نظام التشغيل Windows NT 4.0:لن قادرة على الانضمام إلى مجالات أثناء الإعداد أو باستخدام واجهة المستخدم لربط مجال Windows أجهزة الكمبيوتر المستندة إلى نظام التشغيل NT 4.0.

        لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
        184538 خطأ: تعذر العثور على وحدة تحكم هذا المجال
      • نظام التشغيل Windows NT 4.0:سيفشل إنشاء ثقة ذات مستوى منخفض مع مجالات موارد Windows NT 4.0. تظهر رسالة الخطأ التالية عند تمكين RestrictAnonymous في المجال الموثوق به:
        تعذر العثور وحدة تحكم المجال لهذا المجال.
        لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
        178640 تعذر العثور على وحدة التحكم بالمجال عند إنشاء ثقة
      • نظام التشغيل Windows NT 4.0:المستخدمون بتسجيل الدخول إلى أجهزة كمبيوتر "ملقم المحطة الطرفية" المستندة إلى Windows NT 4.0 بالتعيين إلى الدليل الرئيسي الافتراضي بدلاً من الدليل الرئيسي المحدد في User Manager للمجالات.

        لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
        236185 ملفات تعريف المستخدمين ملقم المحطة الطرفية ومسارات المجلد الرئيسي يتم تجاهلها بعد تطبيق حزمة الخدمة SP4 أو أحدث
      • نظام التشغيل Windows NT 4.0:لن تتمكن من بدء تشغيل خدمة Net Logon أو الحصول على قائمة بالمستعرضات الاحتياطية، أو مزامنة قاعدة بيانات SAM من نظام التشغيل Windows 2000 أو Windows Server 2003 وحدات تحكم المجال في نفس المجال Windows NT 4.0 وحدات تحكم مجال احتياطية (Bdc).

        لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
        293127 لا تعمل خدمة Net Logon لنظام التشغيل Windows NT 4.0 BDC في مجال Windows 2000
      • Windows 2000:أجهزة الكمبيوتر الأعضاء المستندة إلى Windows 2000 في مجالات غير ستكون قادراً على عرض الطابعات في المجالات الخارجية إذا تم تمكين إعداد لا الوصول بدون أذونات صريحة في نهج الأمان المحلي للكمبيوتر العميل Windows NT 4.0.

        لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
        280329 لا يمكن إدارة مستخدم أو عرض خصائص الطابعة
      • Windows 2000:لن تتمكن من إضافة طابعات شبكة الاتصال من "Active Directory"؛ مستخدمي مجال Windows 2000 ومع ذلك، ستكون قادراً على إضافة طابعات بعد تحديدها من طريقة العرض الشجري.

        لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
        318866 لا عملاء outlook من عرض قائمة العناوين العمومية بعد تثبيت حزمة الأمان التراكمية 1 (SRP1) على ملقم الكتالوج العمومي
      • Windows 2000:على أجهزة الكمبيوتر المستندة إلى نظام التشغيل Windows 2000، محرر ACL لن تتمكن من إضافة مستخدمين أو مجموعات عمومية من مجالات Windows NT 4.0 الموثوقة.

        لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
        296403 القيمة RestrictAnonymous فواصل الثقة في بيئة مجال مختلط
      • ADMT الإصدار 2:ستفشل عملية الترحيل كلمة المرور لحسابات المستخدمين التي تم ترحيلها بين الغابات مع Active دليل الترحيل أداة (ADMT) الإصدار 2.

        لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
        322981 كيفية استكشاف أخطاء ترحيل كلمة المرور باستخدام ADMTv2
      • عملاء outlook:قائمة العناوين العمومية تظهر فارغة لعملاء Microsoft Exchange Outlook.

        لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
        318866 لا عملاء outlook من عرض قائمة العناوين العمومية بعد تثبيت 1 حزمة مجموعة التحديثات الأمنية (SR) على ملقم الكتالوج العمومي
        321169 بطء الأداء SMB عند نسخ الملفات من نظام التشغيل Windows XP إلى وحدة تحكم مجال Windows 2000
      • SMS:لن تتمكن من الحصول على معلومات نظام التشغيل Microsoft ملقم إدارة الأنظمة (SMS) "اكتشاف الشبكة". ولذلك، سيتم كتابة "غير معروف" في خاصية أوبيراتينجسيستيمناميندفيرسيون للخاصية SMS DDR لاكتشاف بيانات سجل (DDR).

        لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
        229769 كيفية إدارة البيانات اكتشاف تحديد متى يتم إنشاء طلب تكوين العميل
      • SMS: عند استخدام معالج مستخدم مسؤول SMS للاستعراض للمستخدمين والمجموعات، سيتم سرد أية مستخدمين أو مجموعات. بالإضافة إلى ذلك، لا يمكن الاتصال العملاء المتقدمة مع نقطة إدارة. لا يلزم على نقطة إدارة الوصول المجهول.

        لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
        302413 يتم سرد أية مستخدمين أو مجموعات في "المعالج المستخدم المسؤول"
      • SMS: عند استخدام ميزة "' اكتشاف الشبكة '" في الإصدار 2.0 من SMS وفي "تثبيت العميل البعيد" مع مخطط والعميل، وأنظمة تشغيل الأجهزة العميلة الشبكة اكتشاف الخيار قيد التشغيل، يمكن اكتشاف أجهزة الكمبيوتر ولكن قد لا يكون مثبتاً.

        لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
        311257 لا يتم اكتشاف الموارد في حالة إيقاف تشغيل الاتصالات المجهولة
  10. أمان شبكة الاتصال: مستوى مصادقة إدارة Lan
    1. الخلفية

      مصادقة LAN Manager (LM) هو البروتوكول الذي يتم استخدامه لمصادقة عملاء Windows لعمليات الشبكة، بما في ذلك عمليات الانضمام إلى المجال، الوصول إلى موارد شبكة الاتصال، ومصادقة المستخدم أو الكمبيوتر. مستوى مصادقة LM على تحديد بروتوكول مصادقة الارتياب/الاستجابة الذي يتم التفاوض بشأنها بين العميل وأجهزة كمبيوتر خادم. وبوجه خاص، يعمل مستوى مصادقة LM تحديد بروتوكولات المصادقة التي سيقوم العميل بمحاولة التفاوض معها أو التي سيقبلها الملقم. تحدد القيمة التي تم تعيينها ل LmCompatibilityLevel يستخدم أي بروتوكول مصادقة الارتياب/الاستجابة لتسجيلات دخول شبكة الاتصال. تؤثر هذه القيمة على مستوى بروتوكول المصادقة الذي يستخدمه العملاء، ومستوى أمان جلسة العمل الذي تم التفاوض عليه ومستوى المصادقة الذي تم قبوله من قبل ملقمات.

      الإعدادات الممكنة ما يلي:
      القيمةالإعدادالوصف
      0 إرسال الاستجابات lm و NTLM آندالعملاء استخدام مصادقة LM و NTLM ولا يستخدمون أمان جلسة العمل NTLMv2. تقبل وحدات تحكم المجال مصادقة LM و NTLM و NTLMv2.
      1إرسال LM آند NTLM-استخدام أمان جلسة عمل NTLMv2 في حال تم التفاوضالعملاء استخدام مصادقة LM و NTLM ويستخدمون أمان جلسة العمل NTLMv2 إذا كان معتمداً من الملقم. تقبل وحدات تحكم المجال مصادقة LM و NTLM و NTLMv2.
      2إرسال استجابة NTLM فقطالعملاء استخدام مصادقة NTLM فقط ويستخدمون أمان جلسة العمل NTLMv2 إذا كان معتمداً من الملقم. تقبل وحدات تحكم المجال مصادقة LM و NTLM و NTLMv2.
      3إرسال استجابة NTLMv2 فقطالعملاء استخدام مصادقة NTLMv2 فقط ويستخدمون أمان جلسة العمل NTLMv2 إذا كان معتمداً من الملقم. تقبل وحدات تحكم المجال مصادقة LM و NTLM و NTLMv2.
      4إرسال استجابة NTLMv2 فقط \ رفض استجابات LMالعملاء استخدام مصادقة NTLMv2 فقط ويستخدمون أمان جلسة العمل NTLMv2 إذا كان معتمداً من الملقم. وحدات تحكم المجال التي تم رفض استجابات LM وتقبل مصادقة NTLM و NTLMv2 فقط.
      5إرسال استجابة NTLMv2 فقط \ رفض lm و NTLM آندالعملاء استخدام مصادقة NTLMv2 فقط ويستخدمون أمان جلسة العمل NTLMv2 إذا كان معتمداً من الملقم. وحدات تحكم المجال LM و NTLM برفض وقبول مصادقة NTLMv2 فقط.
      ملاحظة في نظام التشغيل Windows 95, Windows 98 و Windows 98 Second Edition، يستخدم "عميل خدمات الدليل" توقيع SMB عند المصادقة مع ملقمات Windows Server 2003 باستخدام مصادقة NTLM. ومع ذلك، لا تستخدم هذه الأجهزة العميلة توقيع SMB عند المصادقة مع هذه الملقمات باستخدام مصادقة NTLMv2. بالإضافة إلى ذلك، لا تستجيب ملقمات Windows 2000 إلى طلبات توقيع SMB من هذه الأجهزة العميلة.

      التحقق من مستوى مصادقة LM: يجب تغيير النهج على الخادم للسماح NTLM أو يجب تكوين جهاز الكمبيوتر العميل يعتمد NTLMv2.

      إذا تم تعيين النهج ل فقط استجابة NTLMv2 إرسال lm و NTLM آند (5) على جهاز الكمبيوتر الهدف الذي تريد الاتصال، يجب تقليل الإعداد على جهاز الكمبيوتر هذا أو تعيين الأمان على نفس الإعداد الموجود على جهاز الكمبيوتر المصدر الذي تقوم بالاتصال منه.

      ابحث عن الموقع الصحيح حيث يمكنك تغيير LAN manager مستوى مصادقة لتعيين العميل والخادم على نفس المستوى. بعد العثور على النهج الذي يتم تعيين إدارة LAN مستوى المصادقة، إذا كنت تريد الاتصال من أجهزة الكمبيوتر التي تقوم بتشغيل إصدارات سابقة من Windows، تخفيض القيمة الأقل (1) إرسال LM آند NTLM-استخدام NTLM version 2 أمان جلسة العمل إذا تم التفاوض. أنه أحد تأثيرات الإعدادات غير المتوافقة إذا كان الخادم يتطلب NTLMv2 (القيمة 5)، ولكن تم تكوين العميل لاستخدام LM و NTLMv1 فقط (القيمة 0)، يواجه المستخدم الذي يحاول المصادقة فشل تسجيل دخول الذي يحتوي على كلمة مرور غير صحيحة وأن زيادة عدد كلمة مرور غير صالحة. إذا تم تكوين حساب تأمين السحب، قد أخيرا تأمين المستخدم.

      على سبيل المثال، قد يلزم إلقاء نظرة على وحدة التحكم بالمجال، أو قد تحتاج إلى فحص نهج وحدة تحكم المجال.

      البحث على وحدة تحكم المجال

      ملاحظة قد يلزم تكرار الإجراء التالي في كافة وحدات التحكم بالمجال.
      1. انقر فوق ابدأوأشر إلى البرامج، ومن ثم انقر فوق أدوات إدارية.
      2. ضمن إعدادات الأمان المحلي، قم بتوسيع النهج المحلية.
      3. انقر فوق خيارات الأمان.
      4. انقر نقراً مزدوجاً فوق "أمان شبكة الاتصال": مستوى مصادقة إدارة LAN، ثم انقر فوق قيمة في القائمة.

      إذا كان الإعداد الفعال والإعداد المحلي هي نفسها، تم تغيير النهج في هذا المستوى. إذا كانت الإعدادات مختلفة، يجب التحقق من نهج وحدة تحكم المجال لتحديد ما إذا كان "أمان شبكة الاتصال": مستوى مصادقة إدارة LAN الإعداد محدداً. في حالة عدم تحديد، فحص نهج وحدة تحكم المجال.

      فحصنهج وحدة تحكم المجال
      1. انقر فوق ابدأوأشر إلى البرامج، ومن ثم انقر فوق أدوات إدارية.
      2. في نهج أمان وحدة تحكم المجال ، قم بتوسيع إعدادات الأمان، ثم قم بتوسيع النهج المحلية.
      3. انقر فوق خيارات الأمان.
      4. انقر نقراً مزدوجاً فوق "أمان شبكة الاتصال": مستوى مصادقة إدارة LAN، ثم انقر فوق قيمة في القائمة.

      ملاحظة
      • قد يلزم أيضا التحقق من النهج المرتبطة على مستوى الموقع أو مستوى المجال أو الوحدة التنظيمية (OU) مستوى لتحديد أين يجب تكوين مستوى مصادقة إدارة LAN.
      • إذا قمت بتطبيق إعداد "نهج المجموعة" كنهج المجال الافتراضي، يتم تطبيق النهج على كافة أجهزة الكمبيوتر في المجال.
      • إذا قمت بتطبيق إعداد "نهج المجموعة" كنهج وحدة تحكم المجال الافتراضي، يتم تطبيق النهج فقط على الملقمات الموجودة في الوحدة التنظيمية لوحدة تحكم المجال.
      • أنها لفكرة جيدة لتعيين مستوى مصادقة إدارة LAN في أقل وحدة للنطاق الضروري في التسلسل الهرمي لتطبيق النهج.

      يحتوي Windows Server 2003 إعداد افتراضي جديد لاستخدام NTLMv2 فقط. بشكل افتراضي، تمكين Windows Server 2003 ووحدات تحكم المجال المستندة إلى Windows 2000 Server SP3 "ملقم شبكة اتصال Microsoft: توقيع الاتصالات رقمياً (دائماً)" نهج. يتطلب هذا الإعداد ملقم SMB لتنفيذ توقيع حزمة SMB.تم إجراء تغييرات على Windows Server 2003 لأن وحدات التحكم بالمجال ملقمات الملفات، وملقمات البنية الأساسية للشبكة وخوادم الويب في أية مؤسسة تتطلب إعدادات مختلفة لزيادة الأمان الخاص بها.

      إذا كنت تريد تطبيق مصادقة NTLMv2 في الشبكة، يجب التأكد من أن كافة أجهزة الكمبيوتر في المجال قد تم تعيينها لاستخدام مستوى المصادقة هذا. إذا قمت بتطبيق نشط الدليل العميل ملحقات ل Windows 95 أو Windows 98 و Windows NT 4.0، استخدم ملحقات العميل مصادقة تحسين الميزات المتوفرة في NTLMv2. لأن أجهزة الكمبيوتر العميلة التي تقوم بتشغيل أي من أنظمة التشغيل التالية لا تتأثر بكائنات نهج المجموعة ل Windows 2000، قد يلزم تكوين هذه الأجهزة العميلة يدوياً:
      • نظام التشغيل Microsoft Windows NT 4.0
      • Microsoft Windows Millennium Edition
      • نظام التشغيل Windows 98
      • نظام التشغيل Windows 95
      ملاحظة إذا قمت بتمكين أمان شبكة الاتصال: عدم تخزين قيمة تجزئة إدارة LAN عند التغيير التالي لكلمة المرور النهج أو تعيين مفتاح التسجيل نولمهاش ، المستندة إلى Windows 98 ونظام التشغيل Windows 95 العملاء الذين لم يتم تثبيت "عميل خدمات الدليل" لا يمكن تسجيل الدخول إلى المجال بعد تغيير كلمة مرور.

      لا يدركون NTLMv2 العديد من ملقمات CIFS خارجية مثل Novell Netware 6، واستخدام NTLM فقط. ولذلك، مستويات أكبر من 2 لا تسمح بالاتصال. وهناك أيضا الجهة الخارجية SMB العملاء الذين لا يستخدمون أمان جلسة العمل الموسعة. في هذه الحالات، لمكومباتيبليتيليفيل خادم المورد لا يؤخذ في الاعتبار. الملقم ثم حزم هذا الطلب القديم ويرسلها إلى وحدة "تحكم المجال المستخدم". ثم حدد الإعدادات الموجودة على "وحدة التحكم بالمجال" التجزئات التي تستخدم للتحقق من الطلب وما إذا كانت هذه الاجتماعات متطلبات الأمان "وحدة تحكم المجال".

      لمزيد من المعلومات حول كيفية تكوين مستوى مصادقة إدارة LAN يدوياً، انقر فوق أرقام المقالات التالية لعرضها في "قاعدة المعارف ل Microsoft":
      147706 كيفية تعطيل مصادقة LM على Windows NT
      175641 LMCompatibilityLevel وآثاره
      299656 كيفية منع Windows من تخزين تجزئة إدارة LAN كلمة المرور الخاصة بك في "خدمة active Directory" وقاعدة بيانات SAM محلية
      312630 استمرار outlook لمطالبتك ببيانات اعتماد تسجيل الدخول
      2701704يظهر حدث تدوين حزمة المصادقة ك NTLMv1 بدلاً من NTLMv2
      لمزيد من المعلومات حول مستويات مصادقة LM، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
      239869 كيفية تمكين مصادقة NTLM 2
    2. تكوينات غير آمنة

      فيما يلي بعض إعدادات التكوين الضارة:
      • الإعدادات التي تقوم بإرسال كلمات المرور في نص واضح والتي ترفض تفاوض NTLMv2
      • الإعدادات المقيدة التي تمنع العملاء غير المتوافقين أو وحدات تحكم المجال من التفاوض مع بروتوكول مصادقة شائع
      • تطلب مصادقة NTLMv2 على أجهزة الكمبيوتر الأعضاء ووحدات التحكم بالمجال التي تعمل بإصدارات من Windows NT 4.0 أقدم من حزمة الخدمة service Pack 4 (SP4)
      • تطلب مصادقة NTLMv2 على عملاء Windows 95 أو عملاء Windows 98 التي لا تحتوي عميل خدمات الدليل Windows المثبتة.
      • في حالة النقر لتحديد خانة الاختيار أمان جلسة عمل NTLMv2 تتطلب في الأداة الإضافية محرر نهج المجموعة وحدة التحكم بالإدارة ل Microsoft على Windows Server 2003 أو على كمبيوتر يستند إلى Windows 2000 Service Pack 3، وتخفيض مستوى مصادقة إدارة LAN إلى 0، تتعارض الإعدادات اثنين، وقد تتلقى رسالة الخطأ التالية في الملف Secpol.msc أو ملف GPEdit.msc:
        يتعذر على Windows فتح قاعدة بيانات النهج المحلي. حدث خطأ غير معروف أثناء محاولة فتح قاعدة البيانات.
        لمزيد من المعلومات حول أداة لتحليل وتكوين الأمان، راجع ملفات تعليمات Windows Server 2003 أو Windows 2000.

        لمزيد من المعلومات حول كيفية تحليل مستويات الأمان في Windows 2000 و Windows Server 2003، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
        313203 كيفية تحليل أمان النظام في نظام التشغيل Windows 2000
        816580 كيفية تحليل أمان النظام في Windows Server 2003
    3. أسباب لتعديل هذا الإعداد
      • تريد زيادة بروتوكول المصادقة الشائع الأدنى المعتمد بواسطة العملاء ووحدات التحكم بالمجال في المؤسسة الخاصة بك.
      • عندما تكون المصادقة الآمنة بين متطلبات عمل، تحتاج إلى عدم السماح بالتفاوض بشأن بروتوكول LM وبروتوكول NTLM.
    4. أسباب تعطيل هذا الإعداد

      تمت زيادة العميل أو متطلبات مصادقة الملقم أو الاثنين معا، بحيث لا يمكن حدوث مصادقة على بروتوكول شائع.
    5. الاسم الرمزي:

      LmCompatibilityLevel
    6. مسار السجل:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
    7. أمثلة على مشكلات التوافق
      • نظام التشغيل Windows Server 2003:بشكل افتراضي، يتم تمكين إعداد الاستجابات Windows Server 2003 NTLMv2 Send NTLM. لذلك، يتلقى Windows Server 2003 رسالة الخطأ "تم رفض الوصول" بعد التثبيت الأولى عند محاولة الاتصال بمجموعة يستند إلى نظام التشغيل Windows NT 4.0 أو ملقمات تستند إلى LanManager V2.1، مثل "لانسيرفير" OS/2. تحدث هذه المشكلة أيضا إذا كنت تحاول الاتصال من عميل بإصدار قديم إلى ملقم يستند إلى Windows Server 2003.
      • تثبيت Windows 2000 الأمان التراكمية حزمة 1 (SRP1).يفرض SRP1 NTLM، الإصدار 2 (NTLMv2). تم إصدار حزمة مجموعة التحديثات بعد إصدار Windows 2000 Service Pack 2 (SP2). لمزيد من المعلومات حول SRP1، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

        311401 Windows 2000 حزمة الأمان التراكمية 1، يناير 2002
      • ويندوز 7 و Windows Server 2008 R2: لا يدركون NTLMv2 العديد من ملقمات CIFS خارجية، مثل ملقمات Novell Netware 6 أو المستندة إلى نظام التشغيل Linux سامبا، واستخدام NTLM فقط. ولذلك، لا تسمح مستويات أكبر من '2' الاتصال. الآن في هذا الإصدار من نظام التشغيل، تم تغيير الافتراضي ل LmCompatibilityLevel إلى "3". حتى عندما تقوم بترقية Windows، قد تتوقف هذه دافعي طرف ثالث عن العمل.
      • عملاء Microsoft Outlook قد تتم مطالبتك ببيانات الاعتماد حتى ولو كانت مسبقاً بتسجيل الدخول إلى المجال. عندما يقوم المستخدمين بتوفير بيانات الاعتماد الخاصة بهم، يمكنهم تلقي رسالة الخطأ التالية: ويندوز 7 و Windows Server 2008 R2
        بيانات اعتماد تسجيل الدخول التي تم توفيرها غير صحيحة. تأكد من صحة اسم المستخدم والمجال ثم اكتب كلمة المرور مرة أخرى.
        عند بدء تشغيل Outlook، قد تطالب بإدخال بيانات الاعتماد الخاصة بك حتى إذا تم تعيين إعداد "أمان تسجيل الدخول إلى شبكة الاتصال" الخاصة بك للعبور أو "مصادقة كلمة المرور". بعد كتابة بيانات الاعتماد الصحيحة، قد تتلقى رسالة الخطأ التالية:
        بيانات اعتماد تسجيل الدخول التي تم توفيرها غير صحيحة.
        قد تظهر عملية تتبع "مراقب شبكة الاتصال" إصدار النشرة المصورة العمومية (RPC) استدعاء إجراء بعيد خطأ بحالة 0x5. حالة 0x5 تعني "تم رفض الوصول".
      • Windows 2000:التقاط "مراقب شبكة الاتصال" قد إظهار الأخطاء التالية في NetBIOS عبر TCP/IP (NetBT) جلسة عمل (SMB) لمنع رسالة الملقم:
        خطأ Dos دليل البحث R SMB، معرف مستخدم غير صالح (91) STATUS_LOGON_FAILURE ACCESS_DENIED (109) (5)
      • Windows 2000: إذا كان مجال Windows 2000 مع NTLMv2 المستوى 2 أو أحدث موثوق بها من قبل مجال Windows NT 4.0، أجهزة الكمبيوتر الأعضاء المستندة إلى Windows 2000 في مجال الموارد قد تواجه أخطاء المصادقة.

        لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
        305379 المشكلات المصادقة في Windows 2000 مع مستويات NTLM 2 أعلاه 2 في مجال Windows NT 4.0
      • Windows 2000 ونظام التشغيل Windows XP:بشكل افتراضي، نظام التشغيل Windows 2000 و Windows XP تعيين خيار LAN Manager مصادقة مستوى نهج الأمان المحلي إلى 0. إعداد 0 يعني "إرسال الاستجابات LM و NTLM."

        ملاحظة يجب استخدام Windows NT 4.0 تعتمد الكتل LM للإدارة.
      • Windows 2000: مجموعات Windows 2000 غير مصادقة عقده انضمام إذا كان كلا العقدتين جزءا من نظام التشغيل Windows NT 4.0 Service Pack 6 (أ) مجال (SP6a).

        لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
        305379 المشكلات المصادقة في Windows 2000 مع مستويات NTLM 2 أعلاه 2 في مجال Windows NT 4.0
      • أداة تأمين IIS (هيسيكويب) تعيين قيمة LMCompatibilityLevel إلى 5 والقيمه RestrictAnonymous على 2.
      • خدمات لماكنتوش

        الوحدة النمطية لمصادقة المستخدم (UAM): يوفر Microsoft UAM (الوحدة النمطية لمصادقة المستخدم) طريقة لتشفير كلمات المرور التي تستخدمها لتسجيل الدخول إلى ملقمات Windows AFP (البروتوكول AppleTalk Filing). الوحدة النمطية لمصادقة المستخدم (UAM) التفاح توفر حد أدنى أو عدم التشفير. لذلك، يمكن بسهولة اعتراض كلمة المرور الخاصة بك على شبكة الاتصال المحلية أو الإنترنت. على الرغم من أنه غير مطلوب UAM، إلا أنها توفر المصادقة المشفرة على ملقمات Windows 2000 تشغيل خدمات ل Macintosh. يتضمن هذا الإصدار دعما لمصادقة NTLMv2 128 بت المشفرة وإصدار متوافق مع 10.1 MacOS X.

        افتراضياً، تسمح خدمات Windows Server 2003 لملقم ماكنتوش مصادقة Microsoft فقط.

        لمزيد من المعلومات، انقر فوق أرقام المقالات التالية لعرض المقالات في قاعدة معارف Microsoft:
        834498 لا يمكن الاتصال عميل ماكنتوش بالخدمات لنظام التشغيل Mac على Windows Server 2003
        838331 لا يمكن مستخدمي Mac OS X من فتح المجلدات المشتركة ل Macintosh على ملقم يستند إلى Windows Server 2003
      • Windows Server 2008، نظام التشغيل Windows Server 2003 و Windows XP و Windows 2000: إذا قمت بتكوين LMCompatibilityLevel القيمة 0 أو 1 وقم بتكوين قيمة نولمهاش 1، التطبيقات والمكونات قد رفض الوصول عبر NTLM. تحدث هذه المشكلة نظراً لتكوين جهاز الكمبيوتر لتمكين LM ولكن ليس لاستخدام كلمات مرور LM المخزنة.

        إذا قمت بتكوين قيمة نولمهاش 1، يجب تكوين قيمة LMCompatibilityLevel 2 أو أعلى.
  11. أمان الشبكة: متطلبات توقيع عميل LDAP
    1. الخلفية

      أمان الشبكة: متطلبات توقيع عميل LDAP يحدد إعداد مستوى توقيع البيانات التي يتم طلبها بالنيابة عن العملاء ربط بروتوكول الوصول الخفيف إلى الدليل (LDAP) بإصدار طلبات كما يلي:
      • بلا: يتم إصدار طلب LDAP BIND بالخيارات المحددة من قبل المتصل.
      • التفاوض حول التوقيع: إذا لم تبدأ تأمين مأخذ التوصيل الطبقة/"أمان طبقة" النقل (SSL/TLS)، يتم بدء طلب BIND ل LDAP بواسطة تعيين الخيارات المحددة من قبل المتصل خيار توقيع بيانات LDAP. إذا تم بدء تشغيل SSL/TLS، يتم بدء طلب BIND ل LDAP بالخيارات المحددة من قبل المتصل.
      • يتطلب التوقيع: هذا هو نفس التفاوض حول التوقيع. ومع ذلك، إذا كان تنبيه ملقم LDAP عدم الإشارة إلى أن توقيع نقل بيانات LDAP مطلوب، الطالب قال فشل طلب الأمر BIND ل LDAP.
    2. التكوينات

      تمكين أمان الشبكة: متطلبات توقيع عميل LDAP الإعداد إعداد تكوين ضارة. إذا قمت بتعيين الخادم ليطلب تواقيع LDAP، يجب أيضا تكوين توقيع LDAP على العميل. يؤدي عدم تكوين العميل لاستخدام تواقيع LDAP إلى منع الاتصال بالخادم. يؤدي هذا مصادقة المستخدم ونهج المجموعة إعدادات البرامج النصية لتسجيل الدخول وميزات أخرى بالفشل.
    3. أسباب لتعديل هذا الإعداد

      يعتبر نقل البيانات عبر الشبكة عرضه لهجمات الرجل في الوسط حيث متطفل تلتقط بين العميل والخوادم وتعديلها وثم تعيد توجيهها إلى الخادم. عندما يحدث هذا على ملقم LDAP، يمكن أن يتسبب مهاجم في أن يقوم ملقم للاستجابة بناء على استعلامات خاطئة من عميل LDAP. يمكنك تقليل هذه المخاطر في شبكات اتصال الشركات عن طريق تطبيق إجراءات أمان فعلية قوي لحماية البنية الأساسية للشبكة. بالإضافة إلى ذلك، يمكنك المساعدة على منع كل أنواع هجمات الرجل في الوسط بطلب التواقيع الرقمية على كافة حزم الشبكة عن طريق رؤوس مصادقة IPSec.
    4. الاسم الرمزي:

      لدابكلينتينتيجريتي
    5. مسار السجل:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
  12. سجل الأحداث: حجم سجل الأمان الحد الأقصى
    1. الخلفية

      سجل الأحداث: الحد الأقصى لحجم سجل الأمان يحدد إعداد الأمان الحد الأقصى لحجم سجل أحداث الأمان. يحتوي هذا السجل كحد أقصى 4 غيغابايت. لتحديد هذا الإعداد، قم بتوسيع إعدادات Windowsثم قم بتوسيع إعدادات الأمان.
    2. تكوينات غير آمنة

      فيما يلي بعض إعدادات التكوين الضارة:
      • تقييد حجم سجل الأمان وطريقة استبقاء سجل الأمان عند تدوين: إيقاف تشغيل النظام فورا في حال عدم إمكانية تسجيل تدوين الأمان الإعداد. انظر "تدوين: إيقاف تشغيل النظام فورا في حال عدم إمكانية تسجيل تدوين الأمان" قسم من هذه المقالة للحصول على مزيد من التفاصيل.
      • تقييد حجم سجل الأمان حيث أن تتم الكتابة فوق أحداث الأمان موضع الاهتمام.
    3. أسباب زيادة هذا الإعداد

      قد تضطرك متطلبات الأمان والعمل على زيادة حجم سجل الأمان لمعالجة تفاصيل سجل أمان إضافية أو للاحتفاظ بسجلات الأمان لفترة أطول من الزمن.
    4. أسباب تقليل هذا الإعداد

      سجلات عارض الأحداث ملفات الذاكرة المعنونة. الحد الأقصى لحجم سجل أحداث مقيداً بمقدار الذاكرة الفعلية في الكمبيوتر المحلي والذاكرة الظاهرية المتوفرة لعملية سجل الأحداث. زيادة حجم السجل تتجاوز مقدار الذاكرة الظاهرية المتوفرة "عارض الأحداث" إلى زيادة عدد إدخالات السجل التي يتم الاحتفاظ بها.
    5. أمثلة على مشكلات التوافق

      Windows 2000:أجهزة الكمبيوتر التي تعمل بإصدارات من نظام التشغيل Windows 2000 التي أقدم من حزمة الخدمة service Pack 4 (SP4) قد يتوقف عن تسجيل الأحداث في سجل الأحداث قبل الوصول إلى الحجم المحدد في الحد الأقصى لحجم سجل الإعداد في "عارض الأحداث" في حالة تشغيل الخيار عدم الكتابة فوق الأحداث (مسح السجل يدوياً) .

      لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
      312571 توقف سجل الأحداث عن تسجيل الأحداث قبل الوصول إلى حجم السجل الأقصى
  13. سجل الأحداث: الاحتفاظ بسجل الأمان
    1. الخلفية

      سجل الأحداث: الاحتفاظ بسجل الأمان أسلوب "الالتفاف" لسجل الأمان يحدد إعداد الأمان. لتحديد هذا الإعداد، قم بتوسيع إعدادات Windowsثم قم بتوسيع إعدادات الأمان.
    2. تكوينات غير آمنة

      فيما يلي بعض إعدادات التكوين الضارة:
      • فشل الاحتفاظ تسجيل أحداث الأمان قبل أن يتم الكتابة فوق
      • تكوين الحد الأقصى حجم سجل الأمان إعداد صغيرة جداً بحيث تتم الكتابة فوق أحداث الأمان
      • سجل حجم واستبقاء أسلوب الأمان أثناء تقييد تدوين: إيقاف تشغيل النظام فورا في حال عدم إمكانية تسجيل تدوين الأمان تمكين إعداد الأمان
    3. الأسباب لتمكين هذا الإعداد

      تمكين هذا الإعداد فقط إذا قمت بتحديد أسلوب الاحتفاظ الكتابة فوق الأحداث حسب الأيام . إذا كنت تستخدم نظام ارتباط أحداث التي يستقصي عن أحداث، تأكد من أن عدد الأيام ثلاث مرات تكرار الاستقصاء. قم بهذا للسماح بدورات الاستقصاء الفاشلة.
  14. الوصول إلى شبكة الاتصال: تطبيق أذونات للمستخدمين المجهولين Everyone
    1. الخلفية

      بشكل افتراضي، الوصول إلى شبكة الاتصال: تطبيق أذونات Everyone للمستخدمين المجهولين تعيين غير معرف على Windows Server 2003. بشكل افتراضي، Windows Server 2003 لا يتضمن الرمز المميز "الوصول المجهول" كل شخص في المجموعة.
    2. مثال على مشكلات التوافق

      قيمة التالية
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
      [REG_DWORD] = 0 × 0 إنشاء الثقة بفواصل بين Windows Server 2003 و Windows NT 4.0، عند حساب المجال هو مجال Windows Server 2003 وهو مجال Windows NT 4.0 في مجال الموارد. وهذا يعني أن مجال الحساب موثوق به في نظام التشغيل Windows NT 4.0 والموارد المجال المانح للثقة على الجانب Windows Server 2003. يحدث هذا السلوك نظراً لأن عملية بدء الثقة بعد الاتصال المجهول الأولى ACL مع الرمز المميز الذي يتضمن SID مجهول في نظام التشغيل Windows NT 4.0 الجميع.
    3. أسباب لتعديل هذا الإعداد

      يجب أن تكون القيمة تعيين إلى 0x1 أو تعيينها باستخدام كائن نهج مجموعة على أو وحدة تحكم المجال أن: الوصول إلى شبكة الاتصال: تطبيق أذونات Everyone للمستخدمين المجهولين-ممكن للتمكين من إنشاء علاقة الثقة.

      ملاحظة إعدادات الأمان الأخرى ترتفع قيمة بدلاً من أسفل إلى 0 × 0 في حالتها الأكثر أمنا. سيكون الإجراء الأكثر أماناً لتغيير السجل على محاكي وحدة تحكم المجال الأساسية بدلاً من على كافة وحدات تحكم المجال. إذا تم نقل دور محاكي وحدة تحكم المجال الأساسية لأي سبب من الأسباب، يجب تحديث السجل على الخادم الجديد.

      مطلوب إعادة تشغيل بعد تعيين هذه القيمة.
    4. مسار التسجيل
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
  15. مصادقة NTLMv2

    1. أمان جلسة العمل

      يحدد أمان جلسة العمل بالمعايير الأمنية الدنيا لجلسات عمل العميل والخادم. أنها لفكرة جيدة للتحقق من إعدادات نهج الأمان التالية في الأداة الإضافية "محرر نهج المجموعة وحدة التحكم بالإدارة ل Microsoft":
      • جهاز الكمبيوتر \ إعدادات النهج المحلية \ خيارات الأمان
      • أمان شبكة الاتصال: الحد الأدنى لأمان جلسة العمل ل NTLM SSP بناء (بما في ذلك RPC الأمن) ملقمات
      • أمان شبكة الاتصال: الحد الأدنى لأمان جلسة العمل ل NTLM SSP بناء (بما في ذلك RPC الأمن) العملاء
      خيارات هذه الإعدادات كما يلي:
      • مطلوب تكامل الرسالة
      • مطلوب سرية الرسالة
      • تتطلب NTLM، الإصدار 2 أمان جلسة العمل
      • مطلوب تشفير 128 بت
      يعتبر الإعداد الافتراضي ويندوز 7 لم متطلبات. بدءاً من Windows 7، تغيير الإعداد الافتراضي طلب 128 بت لتحسين الوضع الأمني. بشكل افتراضي، تكون الأجهزة المتوارثة التي لا تدعم تشفير 128-بت غير قادر على الاتصال.

      تحدد تلك السياسات المعايير الأمنية الدنيا لجلسة عمل اتصالات تطبيق إلى تطبيق على خادم لعميل.

      من وجهة تاريخية، بدعم نظام التشغيل Windows NT المتغيرين التاليين لمصادقة الارتياب/الاستجابة لتسجيلات دخول شبكة الاتصال:
      • الارتياب/الاستجابة لم
      • الارتياب/الاستجابة ل NTLM، الإصدار 1
      يسمح LM بالتوافق مع قاعدة العملاء والملقمات المثبتة. يوفر NTLM أماناً محسنًا للاتصالات بين العملاء والملقمات.

      مفاتيح التسجيل المقابلة كما يلي:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"
    2. تكوينات غير آمنة

      يتحكم هذا الإعداد في كيفية معالجة جلسات العمل التي تم تأمينها باستخدام NTLM. يؤثر هذا على جلسات عمل تستند إلى RPC مصادقة NTLM، على سبيل المثال. هناك المخاطر التالية:
      • توقيع الاتصالات (تكامل) لا يجعل الاتصال عرضه للتعديل على السلك.
      • عدم تشفير الاتصال (السرية) يجعل الاتصال عرضه للتفتيش على السلك.
      • استخدام أساليب مصادقة الأقدم من NTLMv2 يسهل الاتصال للهجوم سبب أبسط أساليب التجزئة المستخدمة.
      • استخدام مفاتيح التشفير أقل من 128 بت تسمح للمهاجمين قطع الاتصال باستخدام الهجمات الضارية.

مزامنة الوقت

فشل مزامنة الوقت. لقد حان الوقت إيقاف بأكثر من 30 دقيقة على جهاز كمبيوتر متأثر. تأكد من أن ساعة جهاز الكمبيوتر العميل متزامنة مع ساعة وحدة تحكم المجال.

حل بديل لتوقيع SMB

انقر هنا للحصول على معلومات حول كيفية التغلب على المشكلات توقيع SMB
نحن ننصحك بتثبيت Service Pack 6a (SP6a) على عملاء Windows NT 4.0 التفاعل في مجال المستندة إلى Windows Server 2003. يجب تشغيل الأجهزة العميلة المستندة إلى نظام التشغيل Windows 98 Second Edition وعملاء نظام التشغيل Windows 98 وعملاء نظام التشغيل Windows 95 "عميل خدمات الدليل" لتنفيذ NTLMv2. عملاء نظام التشغيل Windows NT 4.0 لم يتم تثبيت SP6 4.0 Windows NT أو نظام التشغيل Windows 95 عملاء وعملاء نظام التشغيل Windows 98 أو Windows 98SE العميلة لم يتم تثبيت، "عميل خدمات الدليل" تعطيل SMB توقيع في الإعداد على أو وحدة تحكم المجال نهج وحدة تحكم المجال الافتراضية، وثم ربط هذا النهج بكافة وحدات تنظيمية التي تستضيف وحدات التحكم بالمجال.

دليل خدمات عميل ل Windows 98 الإصدار الثاني و Windows 98 و Windows 95 سيتم إجراء توقيع SMB مع ملقمات Windows 2003 تحت مصادقة NTLM، ولكن ليس تحت مصادقة NTLMv2. بالإضافة إلى ذلك، لن تستجيب ملقمات Windows 2000 إلى طلبات توقيع SMB من هذه الأجهزة العميلة.

على الرغم من أننا لا ننصح بذلك، يمكنك منع طلب على كافة وحدات تحكم المجال التي تقوم بتشغيل Windows Server 2003 في مجال توقيع SMB. لتكوين إعداد الأمان هذا، اتبع الخطوات التالية:
  1. فتح نهج وحدة تحكم المجال الافتراضي.
  2. افتح المجلد الكمبيوتر \ \ النهج المحلية \ خيارات الأمان .
  3. ثم انقر فوق ملقم شبكة اتصال Microsoft: توقيع الاتصالات رقمياً (دائماً) النهج، ثم انقر فوق معطل.
هام هذا المقطع أو أسلوب أو مهمة تحتوي على الخطوات التي توضح كيفية تعديل التسجيل. ومع ذلك، قد تحدث مشكلات خطيرة إذا قمت بتعديل السجل بشكل غير صحيح. لذلك، تأكد من اتباع هذه الخطوات بعناية. للحماية الإضافية، قم بعمل نسخة احتياطية من السجل قبل تعديله. بعد ذلك، يمكنك استعادة السجل في حالة حدوث مشكلة. لمزيد من المعلومات حول كيفية عمل نسخة احتياطية من السجل واستعادته، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
322756 كيفية عمل نسخة احتياطية من السجل واستعادته في نظام التشغيل Windows
بدلاً من ذلك، قم بتعطيل توقيع SMB على الملقم عن طريق تعديل السجل. للقيام بذلك، اتبع الخطوات التالية:
  1. انقر فوق ابدأ، ثم انقر فوق تشغيل، نوع regedit، ثم انقر فوق موافق.
  2. تحديد موقع وثم انقر فوق المفتاح الفرعي التالي:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters
  3. انقر فوق إدخال انابليسيكوريتيسيجناتوري .
  4. من القائمة تحرير ، انقر فوق تعديل.
  5. في قيمة البيانات ، اكتب 0، ثم انقر فوق موافق.
  6. إنهاء "محرر التسجيل".
  7. قم بإعادة تشغيل جهاز الكمبيوتر، أو إيقاف وقم بإعادة تشغيل خدمة الملقم. للقيام بذلك، اكتب الأوامر التالية في موجه الأوامر، ومن ثم اضغط Enter بعد كتابة كل أمر:
    net stop server
    net بدء الملقم
ملاحظة المفتاح المطابق على الكمبيوتر العميل في مفتاح التسجيل الفرعي التالي:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters
وفيما يلي سرد أرقام رمز خطأ مترجم لرموز الحالة ورسائل الخطأ الحرفية المذكورة سابقا:
خطأ 5
ERROR_ACCESS_DENIED
تم رفض الوصول.
خطأ 1326
ERROR_LOGON_FAILURE
فشل تسجيل الدخول: اسم مستخدم غير معروف أو كلمة مرور غير صالحة.
خطأ 1788
ERROR_TRUSTED_DOMAIN_FAILURE
فشل علاقة الثقة بين المجال الأساسي والمجال الموثوق به.
خطأ عام 1789
ERROR_TRUSTED_RELATIONSHIP_FAILURE
فشل علاقة الثقة بين محطة العمل هذه والمجال الأساسي.
لمزيد من المعلومات، انقر فوق أرقام المقالات التالية لعرض المقالات في قاعدة معارف Microsoft:
324802 كيفية تكوين "نهج المجموعة" لتعيين أمان لخدمات النظام في Windows Server 2003
306771 ظهور رسالة الخطأ "تم رفض الوصول" بعد تكوين مجموعة Windows Server 2003
101747 كيفية تثبيت مصادقة Microsoft على ماكنتوش
161372 كيفية تمكين SMB توقيع في نظام التشغيل Windows NT
236414 لا يمكن استخدام مشاركات مع LMCompatibilityLevel تعيين مصادقة NTLM 2 فقط
241338 عميل Windows NT LAN Manager الإصدار 3 تسجيل الدخول الأول بمنع نشاط تسجيل دخول تال
262890 غير قادر على الحصول على اتصال محرك أقراص الدليل الرئيسي في بيئة مختلطة
308580 احتمال فشل عمل تعيينات المجلد الرئيسي على ملقمات ذات مستوى منخفض أثناء تسجيل الدخول
285901 الوصول البعيد VPN و RIS العملاء لا يمكن تأسيس جلسات عمل مع ملقم تم تكوينه لقبول مصادقة NTLM الإصدار 2
816585 كيفية تطبيق قوالب الأمان المعرفة مسبقاً في Windows Server 2003
820281 يجب توفير بيانات اعتماد حساب Windows عند الاتصال ب Exchange Server 2003 باستخدام Outlook 2003 RPC عبر ميزة HTTP
المستخدم الأمان الصحيح إعداد التوافق التوافق التسجيل مجموعة أمن نهج acl حقوق gpedit pdce

تحذير: تمت ترجمة هذه المقالة تلقائيًا

خصائص

رقم الموضوع: 823659 - آخر مراجعة: 02/06/2014 06:51:00 - المراجعة: 28.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Workstation 4.0 Developer Edition, Microsoft Windows 98 Standard Edition, Microsoft Windows 95

  • kbinfo kbmt KB823659 KbMtar
تعليقات