يمكن أن تحدث مشاكل في العميل والخدمة والبرامج إذا قمت بتغيير إعدادات الأمان وتعيينات حقوق المستخدم

‏‏Windows XP

لزيادة الوعي بإعدادات الأمان التي تم تكوينها بشكل خاطئ، استخدم أداة "محرر العناصر" نهج المجموعة لتغيير إعدادات الأمان. عند استخدام نهج المجموعة Object Editor، يتم تحسين تعيينات حقوق المستخدم على أنظمة التشغيل التالية:

• Windows XP Professional Service Pack 2 (SP2)

• Windows Server 2003 Service Pack 1 (SP1)

الميزة المحسنة هي مربع حوار يحتوي على ارتباط إلى هذه المقالة. يظهر مربع الحوار عند تغيير إعداد أمان أو تعيين حقوق المستخدم إلى إعداد يوفر توافقا أقل وأكثر تقييدا. إذا قمت بتغيير إعداد الأمان نفسه أو تعيين حقوق المستخدم مباشرة باستخدام السجل أو باستخدام قوالب الأمان، يكون التأثير هو نفسه تغيير الإعداد في نهج المجموعة "محرر العناصر". ومع ذلك، لا يظهر مربع الحوار الذي يحتوي على الارتباط إلى هذه المقالة.

تحتوي هذه المقالة على أمثلة للعملاء والبرامج والعمليات التي تتأثر بإعدادات أمان معينة أو تعيينات حقوق المستخدم. ومع ذلك، فإن الأمثلة ليست موثوقة لجميع أنظمة تشغيل Microsoft، أو لجميع أنظمة التشغيل الخارجية، أو لجميع إصدارات البرامج المتأثرة. لا يتم تضمين كافة إعدادات الأمان وتعيينات حقوق المستخدم في هذه المقالة.

نوصي بالتحقق من توافق جميع تغييرات التكوين المتعلقة بالأمان في غابة اختبار قبل تقديمها في بيئة إنتاج. يجب أن تعكس غابة الاختبار غابة الإنتاج بالطرق التالية:

• إصدارات نظام تشغيل العميل والخادم، برامج العميل والخادم، إصدارات حزمة الخدمة، الإصلاحات العاجلة، تغييرات المخطط، مجموعات الأمان، عضويات المجموعة، الأذونات على العناصر في نظام الملفات، المجلدات المشتركة، السجل، خدمة دليل Active Directory، الإعدادات المحلية والإعدادات نهج المجموعة، ونوع عدد العناصر وموقعها

• المهام الإدارية التي يتم تنفيذها والأدوات الإدارية المستخدمة وأنظمة التشغيل المستخدمة لتنفيذ المهام الإدارية

• العمليات التي يتم تنفيذها، مثل ما يلي:

  • مصادقة تسجيل الدخول إلى الكمبيوتر والمستخدم

  • إعادة تعيين كلمة المرور من قبل المستخدمين وأجهزة الكمبيوتر والمسؤولين

  • الان

  • تعيين أذونات لنظام الملفات، وللمجلدات المشتركة، وللسجل، ولموارد Active Directory باستخدام محرر ACL في كافة أنظمة تشغيل العميل في كافة مجالات الحساب أو الموارد من كافة أنظمة تشغيل العميل من كافة مجالات الحساب أو الموارد

  • الطباعة من الحسابات الإدارية وغير الإدارية

Windows Server 2003 SP1

حقوق المستخدم

تصف القائمة التالية المستخدم الصحيح، وتحدد إعدادات التكوين التي قد تسبب مشاكل، وتصف سبب تطبيق المستخدم بشكل صحيح ولماذا قد ترغب في إزالة المستخدم من اليمين، وتوفر أمثلة على مشكلات التوافق التي قد تحدث عند تكوين حق المستخدم.

1. الوصول إلى هذا الكمبيوتر من الشبكة

   1. الخلفيه
      
      تتطلب القدرة على التفاعل مع أجهزة الكمبيوتر البعيدة المستندة إلى Windows الوصول إلى هذا الكمبيوتر من مستخدم الشبكة مباشرة. تتضمن الأمثلة على عمليات الشبكة هذه ما يلي:

      • النسخ المتماثل ل Active Directory بين وحدات التحكم بالمجال في مجال أو غابة مشتركة

      • طلبات المصادقة إلى وحدات التحكم بالمجال من المستخدمين ومن أجهزة الكمبيوتر

      • الوصول إلى المجلدات المشتركة والطابعات وخدمات النظام الأخرى الموجودة على أجهزة الكمبيوتر البعيدة على الشبكة

      
      
      يحصل المستخدمون وأجهزة الكمبيوتر وحسابات الخدمة أو يفقدون حق الوصول إلى هذا الكمبيوتر من مستخدم الشبكة من خلال إضافته بشكل صريح أو ضمني أو إزالته من مجموعة أمان تم منحها حق هذا المستخدم. على سبيل المثال، قد تتم إضافة حساب مستخدم أو حساب كمبيوتر بشكل صريح إلى مجموعة أمان مخصصة أو مجموعة أمان مضمنة من قبل مسؤول، أو قد تتم إضافتها ضمنيا من قبل نظام التشغيل إلى مجموعة أمان محسوبة مثل "مستخدمو المجال" أو "المستخدمون المصادق عليهم" أو "وحدات تحكم مجال المؤسسة".
      
      بشكل افتراضي، يتم منح حسابات المستخدمين وحسابات الكمبيوتر حق الوصول إلى هذا الكمبيوتر من مستخدم الشبكة عندما يتم تعريف المجموعات المحسوبة مثل "الجميع" أو "المستخدمون المصادق عليهم" وبالنسبة إلى وحدات التحكم بالمجال، مجموعة "وحدات تحكم مجال المؤسسة"، في وحدات التحكم بالمجال الافتراضية نهج المجموعة Object (GPO).

   2. التكوينات
      
      المحفوفة بالمخاطر فيما يلي إعدادات تكوين ضارة:

      • إزالة مجموعة أمان وحدات تحكم مجال المؤسسة من هذا المستخدم إلى اليمين

      • إزالة مجموعة المستخدمين المصادق عليهم أو مجموعة صريحة تسمح للمستخدمين وأجهزة الكمبيوتر وحسابات الخدمة للمستخدم بالاتصال بأجهزة الكمبيوتر عبر الشبكة

      • إزالة كافة المستخدمين وأجهزة الكمبيوتر من هذا المستخدم إلى اليمين

   3. أسباب منح هذا المستخدم حق

      • إن منح حق الوصول إلى هذا الكمبيوتر من مستخدم الشبكة إلى مجموعة "وحدات تحكم مجال المؤسسة" يفي بمتطلبات المصادقة التي يجب أن يكون لدى النسخ المتماثل ل Active Directory لكي يحدث النسخ المتماثل بين وحدات التحكم بالمجال في نفس الغابة.

      • يسمح هذا المستخدم للمستخدمين وأجهزة الكمبيوتر بالوصول إلى الملفات المشتركة والطابعات وخدمات النظام، بما في ذلك Active Directory.

      • هذا حق المستخدم مطلوب للمستخدمين للوصول إلى البريد باستخدام الإصدارات المبكرة من Microsoft Outlook Web Access (OWA).

   4. أسباب إزالة هذا المستخدم بشكل صحيح

      • يمكن للمستخدمين الذين يمكنهم توصيل أجهزة الكمبيوتر الخاصة بهم بالشبكة الوصول إلى الموارد على أجهزة الكمبيوتر البعيدة التي لديهم أذونات لها. على سبيل المثال، هذا المستخدم مطلوب لمستخدم للاتصال بالطابعات المشتركة والمجلدات. إذا تم منح حق المستخدم هذا للمجموعة "الجميع"، وإذا تم تكوين أذونات نظام ملفات Share وNTFS لبعض المجلدات المشتركة بحيث يكون لدى المجموعة نفسها حق الوصول للقراءة، يمكن لأي شخص عرض الملفات في تلك المجلدات المشتركة. ومع ذلك، هذا الوضع غير محتمل للتثبيتات الجديدة ل Windows Server 2003 لأن المشاركة الافتراضية وأذونات NTFS في Windows Server 2003 لا تتضمن مجموعة الجميع. بالنسبة للأنظمة التي تمت ترقيتها من Microsoft Windows NT 4.0 أو Windows 2000، قد تكون هذه الثغرة الأمنية ذات مستوى أعلى من المخاطر لأن المشاركة الافتراضية وأذونات نظام الملفات لأنظمة التشغيل هذه ليست مقيدة مثل الأذونات الافتراضية في Windows Server 2003.

      • لا يوجد سبب صالح لإزالة مجموعة "وحدات تحكم مجال المؤسسة" من هذا المستخدم إلى اليمين.

      • تتم إزالة مجموعة "الجميع" بشكل عام لصالح مجموعة "المستخدمون المصادق عليهم". إذا تمت إزالة المجموعة "الجميع"، يجب منح مجموعة "المستخدمون المصادق عليهم" حق هذا المستخدم.

      • لا تمنح مجالات Windows NT 4.0 التي تمت ترقيتها إلى Windows 2000 الوصول إلى هذا الكمبيوتر بشكل صريح من مستخدم الشبكة إلى مجموعة "الجميع" أو مجموعة "المستخدمين المصادق عليهم" أو مجموعة "وحدات تحكم مجال المؤسسة". لذلك، عند إزالة المجموعة "الجميع" من نهج مجال Windows NT 4.0، سيفشل النسخ المتماثل ل Active Directory مع رسالة الخطأ "تم رفض الوصول" بعد الترقية إلى Windows 2000. Winnt32.exe في Windows Server 2003 يتجنب هذا التكوين الخاطئ عن طريق منح مجموعة "وحدات تحكم مجال المؤسسة" هذا المستخدم مباشرة عند ترقية وحدات التحكم بالمجال الأساسية ل Windows NT 4.0 (PDCs). منح مجموعة "وحدات تحكم مجال المؤسسة" حق هذا المستخدم إذا لم يكن موجودا في "محرر عناصر نهج المجموعة".

   5. أمثلة على مشاكل التوافق

      • Windows 2000 وWindows Server 2003: سيفشل النسخ المتماثل للأقسام التالية مع أخطاء "رفض الوصول" كما تم الإبلاغ عنها بواسطة أدوات المراقبة مثل REPLMON و REPADMIN أو أحداث النسخ المتماثل في سجل الأحداث.

        • قسم مخطط Active Directory

        • قسم التكوين

        • قسم المجال

        • قسم الكتالوج العمومي

        • قسم التطبيق

      • كافة أنظمة تشغيل شبكة Microsoft: ستفشل مصادقة حساب المستخدم من أجهزة كمبيوتر عميل الشبكة البعيدة ما لم يتم منح المستخدم أو مجموعة الأمان التي يكون المستخدم عضوا فيها حق هذا المستخدم.

      • كافة أنظمة تشغيل شبكة Microsoft: ستفشل مصادقة الحساب من عملاء الشبكة البعيدة ما لم يتم منح الحساب أو مجموعة الأمان التي يكون الحساب عضوا فيها حق هذا المستخدم. ينطبق هذا السيناريو على حسابات المستخدمين وحسابات الكمبيوتر وحسابات الخدمة.

      • كافة أنظمة تشغيل شبكة Microsoft: ستؤدي إزالة كافة الحسابات من حق هذا المستخدم إلى منع أي حساب من تسجيل الدخول إلى المجال أو من الوصول إلى موارد الشبكة. إذا تمت إزالة المجموعات المحسوبة مثل "وحدات تحكم مجال المؤسسة" أو "الجميع" أو "المستخدمون المصادق عليهم"، فيجب منح هذا المستخدم صراحة الحق في الحسابات أو لمجموعات الأمان التي يكون الحساب عضوا فيها للوصول إلى أجهزة الكمبيوتر البعيدة عبر الشبكة. ينطبق هذا السيناريو على جميع حسابات المستخدمين، وعلى جميع حسابات الكمبيوتر، وعلى جميع حسابات الخدمة.

      • كافة أنظمة تشغيل شبكة Microsoft: يستخدم حساب المسؤول المحلي كلمة مرور "فارغة". لا يسمح بالاتصال بالشبكة باستخدام كلمات مرور فارغة لحسابات المسؤولين في بيئة مجال. باستخدام هذا التكوين، يمكنك أن تتوقع تلقي رسالة خطأ "تم رفض الوصول".

2. السماح بتسجيل الدخول محليا

   1. الخلفيه
      
      يجب أن يكون للمستخدمين الذين يحاولون تسجيل الدخول إلى وحدة التحكم في كمبيوتر يستند إلى Windows (باستخدام اختصار لوحة المفاتيح CTRL+ALT+DELETE) والحسابات التي تحاول بدء تشغيل خدمة امتيازات تسجيل الدخول المحلية على كمبيوتر الاستضافة. تتضمن أمثلة عمليات تسجيل الدخول المحلية المسؤولين الذين يقومون بتسجيل الدخول إلى وحدات تحكم أجهزة الكمبيوتر الأعضاء، أو وحدات التحكم بالمجال في جميع أنحاء المؤسسة ومستخدمي المجال الذين يقومون بتسجيل الدخول إلى أجهزة الكمبيوتر الأعضاء للوصول إلى أجهزة سطح المكتب الخاصة بهم باستخدام حسابات غير مميزة. يجب أن يكون لدى المستخدمين الذين يستخدمون اتصال سطح المكتب البعيد أو خدمات المحطة الطرفية سجل السماح للمستخدم محليا مباشرة على أجهزة الكمبيوتر الوجهة التي تعمل بنظام التشغيل Windows 2000 أو Windows XP لأن أوضاع تسجيل الدخول هذه تعتبر محلية للكمبيوتر المضيف. لا يزال بإمكان المستخدمين الذين يقومون بتسجيل الدخول إلى خادم تم تمكين "خادم المحطة الطرفية" والذين ليس لديهم حق هذا المستخدم بدء جلسة عمل تفاعلية عن بعد في مجالات Windows Server 2003 إذا كان لديهم "السماح بتسجيل الدخول" من خلال مستخدم الخدمات الطرفية.

   2. التكوينات
      
      المحفوفة بالمخاطر فيما يلي إعدادات تكوين ضارة:

      • إزالة مجموعات الأمان الإدارية، بما في ذلك عوامل تشغيل الحساب وعوامل تشغيل النسخ الاحتياطي وعوامل تشغيل الطباعة أو عوامل تشغيل الخادم ومجموعة المسؤولين المضمنة من نهج وحدة التحكم بالمجال الافتراضي.

      • إزالة حسابات الخدمة التي تستخدمها المكونات والبرامج على أجهزة الكمبيوتر الأعضاء ووحدات التحكم بالمجال في المجال من نهج وحدة التحكم بالمجال الافتراضي.

      • إزالة المستخدمين أو مجموعات الأمان التي تسجل الدخول إلى وحدة تحكم أجهزة الكمبيوتر الأعضاء في المجال.

      • إزالة حسابات الخدمة المعرفة في قاعدة بيانات Security Accounts Manager (SAM) المحلية لأجهزة الكمبيوتر الأعضاء أو أجهزة كمبيوتر مجموعة العمل.

      • إزالة الحسابات الإدارية غير المضمنة التي تتم مصادقتها عبر خدمات المحطة الطرفية التي تعمل على وحدة تحكم بالمجال.

      • إضافة كافة حسابات المستخدمين في المجال بشكل صريح أو ضمني من خلال المجموعة "الجميع" إلى "رفض تسجيل الدخول محليا" إلى اليمين. سيمنع هذا التكوين المستخدمين من تسجيل الدخول إلى أي كمبيوتر عضو أو إلى أي وحدة تحكم بالمجال في المجال.

   3. أسباب منح هذا المستخدم حق

      • يجب أن يكون لدى المستخدمين سجل السماح على حق المستخدم محليا في الوصول إلى وحدة التحكم أو سطح المكتب لكمبيوتر مجموعة عمل أو كمبيوتر عضو أو وحدة تحكم بالمجال.

      • يجب أن يكون للمستخدمين حق هذا المستخدم في تسجيل الدخول عبر جلسة عمل خدمات المحطة الطرفية التي تعمل على كمبيوتر عضو أو وحدة تحكم بالمجال مستندة إلى نافذة 2000.

   4. أسباب إزالة هذا المستخدم بشكل صحيح

      • قد يؤدي الفشل في تقييد وصول وحدة التحكم إلى حسابات المستخدمين الشرعية إلى تنزيل وتنفيذ تعليمات برمجية ضارة للمستخدمين غير المصرح لهم لتغيير حقوق المستخدم الخاصة بهم.

      • تمنع إزالة سجل السماح على حق المستخدم محليا تسجيل الدخول غير المصرح به على وحدات التحكم بأجهزة الكمبيوتر، مثل وحدات التحكم بالمجال أو خوادم التطبيقات.

      • تمنع إزالة حق تسجيل الدخول هذا الحسابات غير التابعة للمجال من تسجيل الدخول في وحدة تحكم أجهزة الكمبيوتر الأعضاء في المجال.

   5. أمثلة على مشاكل التوافق

      • خوادم المحطة الطرفية ل Windows 2000: تسجيل الدخول محليا مطلوب للمستخدمين لتسجيل الدخول إلى خوادم المحطة الطرفية ل Windows 2000.

      • Windows NT 4.0 أو Windows 2000 أو Windows XP أو Windows Server 2003: يجب منح حسابات المستخدمين هذا المستخدم حق تسجيل الدخول في وحدة تحكم أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows NT 4.0 أو Windows 2000 أو Windows XP أو Windows Server 2003.

      • Windows NT 4.0 والإطارات الأحدث: على أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows NT 4.0 والإي وقت لاحق، إذا أضفت سجل السماح على المستخدم المحلي مباشرة، ولكنك ضمنيا أو بشكل صريح أيضا منحت رفض تسجيل الدخول محليا، فلن تتمكن الحسابات من تسجيل الدخول إلى وحدة تحكم وحدات التحكم بالمجال.

3. تجاوز التحقق من الاجتياز

   1. الخلفيه
      
      يسمح مستخدم التحقق من اجتياز التجاوز للمستخدم بالاستعراض عبر المجلدات في نظام ملفات NTFS أو في السجل دون التحقق من إذن الوصول الخاص إلى "مجلد اجتياز". لا يسمح حق المستخدم للتحقق من اجتياز التجاوز للمستخدم بإدراج محتويات مجلد. يسمح للمستخدم باجتياز مجلداته فقط.

   2. التكوينات
      
      المحفوفة بالمخاطر فيما يلي إعدادات تكوين ضارة:

      • إزالة الحسابات غير الإدارية التي تسجل دخولها إلى أجهزة كمبيوتر الخدمات الطرفية المستندة إلى Windows 2000 أو أجهزة كمبيوتر الخدمات الطرفية المستندة إلى Windows Server 2003 التي لا تملك أذونات للوصول إلى الملفات والمجلدات في نظام الملفات.

      • إزالة المجموعة "الجميع" من قائمة أساسيات الأمان الذين لديهم حق هذا المستخدم بشكل افتراضي. تم تصميم أنظمة تشغيل Windows، والعديد من البرامج أيضا، مع توقع أن أي شخص يمكنه الوصول إلى الكمبيوتر بشكل شرعي سيكون لديه حق التحقق من تجاوز المستخدم. لذلك، قد تؤدي إزالة مجموعة "الجميع" من قائمة أساسيات الأمان الذين لديهم حق هذا المستخدم بشكل افتراضي إلى عدم استقرار نظام التشغيل أو فشل البرنامج. من الأفضل ترك هذا الإعداد في الإعداد الافتراضي الخاص به.

   3. أسباب منح هذا المستخدم حق
      
      الإعداد الافتراضي لمستخدم التجاوز للتحقق من الاجتياز هو السماح لأي شخص بتجاوز التحقق من الاجتياز. بالنسبة لمسؤولي نظام Windows ذوي الخبرة، هذا هو السلوك المتوقع، وهم يقومون بتكوين قوائم التحكم في الوصول إلى نظام الملفات (SACLs) وفقا لذلك. السيناريو الوحيد الذي قد يؤدي فيه التكوين الافتراضي إلى حدوث عطل هو إذا لم يفهم المسؤول الذي يقوم بتكوين الأذونات السلوك ويتوقع أن المستخدمين الذين لا يمكنهم الوصول إلى مجلد أصل لن يتمكنوا من الوصول إلى محتويات أي مجلدات تابعة.

   4. أسباب إزالة هذا المستخدم بشكل صحيح
      
      لمحاولة منع الوصول إلى الملفات أو المجلدات في نظام الملفات، قد تميل المؤسسات التي تهتم بالأمان إلى إزالة مجموعة "الجميع"، أو حتى مجموعة "المستخدمين"، من قائمة المجموعات التي لديها حق التحقق من "تجاوز" للمستخدم.

   5. أمثلة على مشاكل التوافق

      • Windows 2000 وWindows Server 2003: إذا تمت إزالة حق التحقق من اجتياز التجاوز أو تم تكوينه بشكل خاطئ على أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows 2000 أو Windows Server 2003، فلن يتم نسخ إعدادات نهج المجموعة في مجلد SYVOL بين وحدات التحكم بالمجال في المجال.

      • Windows 2000 أو Windows XP Professional أو Windows Server 2003: ستقوم أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows 2000 أو Windows XP Professional أو Windows Server 2003 بتسجيل الأحداث 1000 و1202 ولن تتمكن من تطبيق نهج الكمبيوتر ونهج المستخدم عند إزالة أذونات نظام الملفات المطلوبة من شجرة SYSVOL إذا تمت إزالة حق التحقق من اجتياز تجاوز المستخدم أو تم تكوينه بشكل خاطئ.
        
         

      • Windows 2000 وWindows Server 2003: على أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows 2000 أو Windows Server 2003، ستختفي علامة التبويب "الحصة النسبية " في "مستكشف Windows" عند عرض الخصائص على وحدة تخزين.

      • Windows 2000: قد يتلقى غير المسؤولين الذين يسجلون الدخول إلى خادم طرفي يعمل بنظام التشغيل Windows 2000 رسالة الخطأ التالية:

        Userinit.exe خطأ في التطبيق. فشل تهيئة التطبيق بشكل صحيح 0xc0000142 انقر فوق "موافق" لإنهاء التطبيق.

      • Windows NT 4.0 أو Windows 2000 أو Windows XP أو Windows Server 2003: قد لا يتمكن المستخدمون الذين تعمل أجهزة الكمبيوتر لديهم من تشغيل Windows NT 4.0 أو Windows 2000 أو Windows XP أو Windows Server 2003 من الوصول إلى المجلدات أو الملفات المشتركة على المجلدات المشتركة، وقد يتلقون رسائل الخطأ "تم رفض الوصول" إذا لم يتم منح المستخدم حق اجتياز التجاوز.
        
        
         

      • Windows NT 4.0: على أجهزة الكمبيوتر المستندة إلى Windows NT 4.0، ستؤدي إزالة مستخدم التحقق من اجتياز التجاوز إلى إسقاط نسخة ملف من تدفقات الملفات. إذا قمت بإزالة هذا المستخدم بشكل صحيح، عند نسخ ملف من عميل Windows أو من عميل Macintosh إلى وحدة تحكم مجال Windows NT 4.0 التي تقوم بتشغيل Services for Macintosh، يتم فقدان دفق الملف الوجهة، ويظهر الملف كملف نصي فقط.

      • Microsoft Windows 95 وMicrosoft Windows 98: على كمبيوتر عميل يعمل بنظام التشغيل Windows 95 أو Windows 98، سيفشل الأمر net use * /home مع رسالة الخطأ "Access Denied" إذا لم يتم منح مجموعة المستخدمين المصادق عليهم حق التحقق من اجتياز تجاوز المستخدم.

      • Outlook Web Access: لن يتمكن غير المسؤولين من تسجيل الدخول إلى Microsoft Outlook Web Access، وسيتلقى هؤلاء رسالة خطأ "تم رفض الوصول" إذا لم يتم منحهم حق التحقق من تجاوز التخطي.

إعدادات الأمان

تعرف القائمة التالية إعداد أمان، وتوفر القائمة المتداخلة وصفا حول إعداد الأمان، وتحدد إعدادات التكوين التي قد تسبب مشاكل، وتصف سبب تطبيق إعداد الأمان، ثم تصف الأسباب التي قد تجعلك ترغب في إزالة إعداد الأمان. ثم توفر القائمة المتداخلة اسما رمزيا لإعداد الأمان ومسار التسجيل لإعداد الأمان. وأخيرا، يتم توفير أمثلة على مشكلات التوافق التي قد تحدث عند تكوين إعداد الأمان.

1. التدقيق: إيقاف تشغيل النظام على الفور إذا لم يتمكن من تسجيل عمليات تدقيق الأمان

   1. الخلفية

      • التدقيق: إيقاف تشغيل النظام على الفور إذا تعذر تسجيل إعدادات تدقيق الأمان يحدد ما إذا كان النظام متوقفا عن التشغيل إذا لم تتمكن من تسجيل أحداث الأمان. هذا الإعداد مطلوب لتقييم C2 لبرنامج معايير تقييم أمان الكمبيوتر الموثوق به (TCSEC) ولمعايير مشتركة لتقييم أمان تكنولوجيا المعلومات لمنع الأحداث القابلة للتدقيق إذا لم يتمكن نظام التدقيق من تسجيل هذه الأحداث. إذا فشل نظام التدقيق، يتم إيقاف تشغيل النظام، وتظهر رسالة خطأ "إيقاف".

      • إذا تعذر على الكمبيوتر تسجيل الأحداث في سجل الأمان، فقد لا تتوفر الأدلة الهامة أو معلومات استكشاف الأخطاء وإصلاحها الهامة للمراجعة بعد وقوع حادث أمان.

   2. تكوين
      
      محفوف بالمخاطر فيما يلي إعداد تكوين ضار: التدقيق: إيقاف تشغيل النظام فورا إذا تعذر تسجيل إعداد تدقيقات الأمان قيد التشغيل، ويتم تقييد حجم سجل أحداث الأمان بواسطة خيار عدم الكتابة فوق الأحداث (مسح السجل يدويا) أو الخيار "الكتابة فوق الأحداث حسب الحاجة" أو الخيار "الكتابة فوق الأحداث الأقدم من عدد الأيام" في عارض الأحداث. راجع قسم "أمثلة مشاكل التوافق" للحصول على معلومات حول مخاطر محددة لأجهزة الكمبيوتر التي تقوم بتشغيل الإصدار الأصلي الذي تم إصداره من Windows 2000 أو Windows 2000 Service Pack 1 (SP1) أو Windows 2000 SP2 أو Windows 2000 SP3.

   3. أسباب تمكين هذا الإعداد
      
      إذا تعذر على الكمبيوتر تسجيل الأحداث في سجل الأمان، فقد لا تتوفر الأدلة الهامة أو معلومات استكشاف الأخطاء وإصلاحها الهامة للمراجعة بعد وقوع حادث أمان.

   4. أسباب تعطيل هذا الإعداد

      • تمكين التدقيق: يؤدي إيقاف تشغيل النظام على الفور إذا تعذر تسجيل إعدادات تدقيق الأمان إلى إيقاف النظام إذا تعذر تسجيل تدقيق الأمان لأي سبب من الأسباب. بشكل عام، لا يمكن تسجيل حدث عندما يكون سجل تدقيق الأمان ممتلئا وعندما يكون أسلوب الاستبقاء المحدد إما خيار عدم الكتابة فوق الأحداث (مسح السجل يدويا) أو الخيار "الكتابة فوق الأحداث الأقدم من عدد الأيام".

      • يمكن أن يكون العبء الإداري لتمكين التدقيق: إيقاف تشغيل النظام على الفور إذا تعذر تسجيل إعداد تدقيقات الأمان مرتفعا جدا، خاصة إذا قمت أيضا بتشغيل خيار عدم الكتابة فوق الأحداث (مسح السجل يدويا) لسجل الأمان. يوفر هذا الإعداد المساءلة الفردية عن إجراءات المشغل. على سبيل المثال، يمكن للمسؤول إعادة تعيين الأذونات على كافة المستخدمين وأجهزة الكمبيوتر والمجموعات في وحدة تنظيمية (OU) حيث تم تمكين التدقيق باستخدام حساب المسؤول المضمن أو حساب مشترك آخر ثم رفض إعادة تعيين مثل هذه الأذونات. ومع ذلك، فإن تمكين الإعداد يقلل من قوة النظام لأنه قد يتم فرض إيقاف تشغيل الخادم بسبب غمره بأحداث تسجيل الدخول وأحداث الأمان الأخرى المكتوبة في سجل الأمان. بالإضافة إلى ذلك، نظرا لأن إيقاف التشغيل غير آمن، فقد ينتج عن ذلك تلف لا يمكن إصلاحه لنظام التشغيل أو البرامج أو البيانات. بينما يضمن NTFS الحفاظ على تكامل نظام الملفات أثناء إيقاف تشغيل النظام غير الآمن، فإنه لا يمكنه ضمان أن كل ملف بيانات لكل برنامج سيظل في شكل قابل للاستخدام عند إعادة تشغيل النظام.

   5. الاسم الرمزي:
      
      Crashonauditfail

   6. مسار التسجيل:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

   7. أمثلة على مشاكل التوافق

      • Windows 2000: بسبب وجود خطأ، قد تتوقف أجهزة الكمبيوتر التي تقوم بتشغيل الإصدار الأصلي الذي تم إصداره من Windows 2000 أو Windows 2000 SP1 أو Windows 2000 SP2 أو Windows Server SP3 عن تسجيل الأحداث قبل الوصول إلى الحجم المحدد في الخيار "الحد الأقصى لحجم السجل" لسجل أحداث الأمان. تم تصحيح هذا الخطأ في Windows 2000 Service Pack 4 (SP4). تأكد من تثبيت Windows 2000 Service Pack 4 على وحدات التحكم في مجال Windows 2000 قبل أن تفكر في تمكين هذا الإعداد.
        
         

      • Windows 2000 وWindows Server 2003: قد تتوقف أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows 2000 أو Windows Server 2003 عن الاستجابة، ثم قد تعيد التشغيل بشكل تلقائي إذا تم تشغيل التدقيق: إيقاف تشغيل النظام على الفور إذا تعذر تسجيل إعداد تدقيق الأمان، وكان سجل الأمان ممتلئا، ولا يمكن الكتابة فوق إدخال سجل أحداث موجود. عند إعادة تشغيل الكمبيوتر، تظهر رسالة الخطأ "إيقاف" التالية:

        STOP: C0000244 {Audit Failed}
        فشلت محاولة إنشاء تدقيق أمان.

        للاسترداد، يجب على المسؤول تسجيل الدخول وأرشفة سجل الأمان (اختياري) ومسح سجل الأمان ثم إعادة تعيين هذا الخيار (اختياري حسب الحاجة).

      • Microsoft Network Client ل MS-DOS وWindows 95 وWindows 98 وWindows NT 4.0 وWindows 2000 وWindows XP وWindows Server 2003: سيتلقى غير المسؤولين الذين يحاولون تسجيل الدخول إلى مجال رسالة الخطأ التالية:

        تم تكوين حسابك لمنعك من استخدام هذا الكمبيوتر. الرجاء تجربة كمبيوتر آخر.

      • Windows 2000: على أجهزة الكمبيوتر المستندة إلى Windows 2000، لن يتمكن غير المسؤولين من تسجيل الدخول إلى خوادم الوصول عن بعد، وسيتلقون رسالة خطأ مشابهة للرسالة التالية:

        مستخدم غير معروف أو كلمة مرور غير صحيحة

      • Windows 2000: على وحدات التحكم بالمجال في Windows 2000، سيتم إيقاف خدمة المراسلة بين المواقع (Ismserv.exe) ولا يمكن إعادة تشغيلها. سيبلغ DCDIAG عن الخطأ على أنه "خدمات الاختبار الفاشلة ISMserv"، وسيتم تسجيل معرف الحدث 1083 في سجل الأحداث.

      • Windows 2000: على وحدات تحكم مجال Windows 2000، سيفشل النسخ المتماثل ل Active Directory، وستظهر رسالة "تم رفض الوصول" إذا كان سجل أحداث الأمان ممتلئا.

      • Microsoft Exchange 2000: لن تتمكن الخوادم التي تقوم بتشغيل Exchange 2000 من تحميل قاعدة بيانات مخزن المعلومات، وسيتم تسجيل الحدث 2102 في سجل الأحداث.

      • Outlook وOutlook Web Access: لن يتمكن غير المسؤولين من الوصول إلى بريدهم الإلكتروني من خلال Microsoft Outlook أو من خلال Microsoft Outlook Web Access، وسيتلقون خطأ 503.

2. وحدة التحكم بالمجال: متطلبات توقيع خادم LDAP

   1. الخلفيه
      
      وحدة التحكم بالمجال: يحدد إعداد أمان متطلبات توقيع خادم LDAP ما إذا كان خادم بروتوكول الوصول إلى الدليل الخفيف (LDAP) يتطلب من عملاء LDAP التفاوض على توقيع البيانات. القيم المحتملة لإعداد النهج هذا هي كما يلي:

      • بلا: توقيع البيانات غير مطلوب للربط بالخادم. إذا طلب العميل توقيع البيانات، فإن الخادم يدعمها.

      • يتطلب التوقيع: يجب التفاوض على خيار توقيع بيانات LDAP ما لم يتم استخدام أمان طبقة النقل/طبقة مأخذ التوصيل الآمنة (TLS/SSL).

      • غير معرف: هذا الإعداد غير ممكن أو معطل.

   2. التكوينات
      
      المحفوفة بالمخاطر فيما يلي إعدادات تكوين ضارة:

      • تمكين المطالبة بتسجيل الدخول في البيئات التي لا يدعم فيها العملاء توقيع LDAP أو حيث لا يتم تمكين توقيع LDAP من جانب العميل على العميل

      • تطبيق قالب أمان Windows 2000 أو Windows Server 2003 Hisecdc.inf في البيئات التي لا يدعم فيها العملاء توقيع LDAP أو حيث لا يتم تمكين توقيع LDAP من جانب العميل

      • تطبيق قالب أمان Windows 2000 أو Windows Server 2003 Hisecws.inf في البيئات التي لا يدعم فيها العملاء توقيع LDAP أو حيث لا يتم تمكين توقيع LDAP من جانب العميل

   3. أسباب تمكين هذا الإعداد
      
      نسبة استخدام الشبكة غير الموقعة عرضة لهجمات الدخيل في الوسط حيث يلتقط المتطفل الحزم بين العميل والخادم، ويعدل الحزم، ثم يعيد توجيهها إلى الخادم. عند حدوث هذا السلوك على خادم LDAP، قد يتسبب المهاجم في اتخاذ الخادم قرارات تستند إلى استعلامات خاطئة من عميل LDAP. يمكنك تقليل هذه المخاطر في شبكة الشركة من خلال تنفيذ تدابير أمان مادية قوية للمساعدة في حماية البنية الأساسية للشبكة. يمكن أن يساعد وضع رأس مصادقة بروتوكول الإنترنت (IPSec) في منع الهجمات بين الهجمات. يقوم وضع رأس المصادقة بإجراء المصادقة المتبادلة وتكامل حزم البيانات لحركة مرور IP.

   4. أسباب تعطيل هذا الإعداد

      • لن يتمكن العملاء الذين لا يدعمون توقيع LDAP من تنفيذ استعلامات LDAP مقابل وحدات التحكم بالمجال وضد الكتالوجات العمومية إذا تم التفاوض على مصادقة NTLM وإذا لم يتم تثبيت حزم الخدمة الصحيحة على وحدات التحكم بالمجال في Windows 2000.

      • سيتم تشفير تتبعات الشبكة لحركة مرور LDAP بين العملاء والخوادم. وهذا يجعل من الصعب فحص محادثات LDAP.

      • يجب أن تحتوي الخوادم المستندة إلى Windows 2000 على Windows 2000 Service Pack 3 (SP3) أو مثبتة عند إدارتها مع البرامج التي تدعم توقيع LDAP التي يتم تشغيلها من أجهزة كمبيوتر العميل التي تعمل بنظام التشغيل Windows 2000 SP4 أو Windows XP أو Windows Server 2003.  

   5. الاسم الرمزي:
      
      LDAPServerIntegrity

   6. مسار التسجيل:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

   7. أمثلة على مشاكل التوافق

      • ستفشل عمليات الربط البسيطة، وستتلقى رسالة الخطأ التالية:

        فشل Ldap_simple_bind_s() : المصادقة القوية مطلوبة.

      • Windows 2000 Service Pack 4 أو Windows XP أو Windows Server 2003: على العملاء الذين يقومون بتشغيل Windows 2000 SP4 أو Windows XP أو Windows Server 2003، لن تعمل بعض أدوات إدارة Active Directory بشكل صحيح مقابل وحدات التحكم بالمجال التي تقوم بتشغيل إصدارات Windows 2000 التي تكون أقدم من SP3 عند التفاوض على مصادقة NTLM.
        
         

      • Windows 2000 Service Pack 4 أو Windows XP أو Windows Server 2003: على العملاء الذين يقومون بتشغيل Windows 2000 SP4 أو Windows XP أو Windows Server 2003، لن تعمل بعض أدوات إدارة Active Directory التي تستهدف وحدات التحكم بالمجال التي تقوم بتشغيل إصدارات Windows 2000 الأقدم من SP3 بشكل صحيح إذا كانت تستخدم عناوين IP (على سبيل المثال، "dsa.msc /server=x.x.x.x.x" حيث
        x.x.x.x هو عنوان IP).
        
        
         

      • Windows 2000 Service Pack 4 أو Windows XP أو Windows Server 2003: على العملاء الذين يقومون بتشغيل Windows 2000 SP4 أو Windows XP أو Windows Server 2003، لن تعمل بعض أدوات إدارة Active Directory التي تستهدف وحدات التحكم بالمجال التي تقوم بتشغيل إصدارات Windows 2000 السابقة ل SP3 بشكل صحيح.
        
         

3. عضو المجال: طلب مفتاح جلسة عمل قوي (Windows 2000 أو أحدث)

   1. الخلفية

      • عضو المجال: يحدد إعداد مفتاح جلسة العمل Strong (Windows 2000 أو أحدث) ما إذا كان يمكن إنشاء قناة آمنة باستخدام وحدة تحكم بالمجال لا يمكنها تشفير حركة مرور القناة الآمنة باستخدام مفتاح جلسة عمل قوي 128 بت. يؤدي تمكين هذا الإعداد إلى منع إنشاء قناة آمنة مع أي وحدة تحكم بالمجال لا يمكنها تشفير بيانات القناة الآمنة باستخدام مفتاح قوي. يؤدي تعطيل هذا الإعداد إلى السماح لمفاتيح جلسة عمل 64 بت.

      • قبل تمكين هذا الإعداد على محطة عمل عضو أو على خادم، يجب أن تكون جميع وحدات التحكم بالمجال في المجال الذي ينتمي إليه العضو قادرة على تشفير بيانات القناة الآمنة باستخدام مفتاح قوي 128 بت. وهذا يعني أن جميع وحدات التحكم بالمجال هذه يجب أن تعمل بنظام التشغيل Windows 2000 أو إصدار أحدث.

   2. تكوين
      
      محفوف بالمخاطر تمكين عضو المجال: يتطلب إعداد مفتاح جلسة عمل قوي (Windows 2000 أو أحدث) إعداد تكوين ضار.

   3. أسباب تمكين هذا الإعداد

      • مفاتيح جلسة العمل المستخدمة لإنشاء اتصالات قناة آمنة بين أجهزة الكمبيوتر الأعضاء ووحدات التحكم بالمجال أقوى بكثير في Windows 2000 مما كانت عليه في الإصدارات السابقة من أنظمة تشغيل Microsoft.

      • عندما يكون ذلك ممكنا، من المستحسن الاستفادة من مفاتيح جلسة العمل الأقوى هذه للمساعدة في حماية اتصالات القناة الآمنة من التنصت ومن هجمات شبكة سرقة الجلسة. التنصت هو شكل من أشكال الهجوم الضار حيث تتم قراءة بيانات الشبكة أو تغييرها أثناء النقل. يمكن تعديل البيانات لإخفاء المرسل أو تغييره، أو لإعادة توجيهه.

      يدعم الكمبيوتر المهم الذي يقوم بتشغيل Windows Server 2008 R2 أو Windows 7 المفاتيح القوية فقط عند استخدام قنوات آمنة. يمنع هذا التقييد الثقة بين أي مجال يستند إلى Windows NT 4.0 وأي مجال يستند إلى Windows Server 2008 R2. بالإضافة إلى ذلك، يمنع هذا التقييد عضوية المجال المستندة إلى Windows NT 4.0 لأجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows 7 أو Windows Server 2008 R2، والعكس بالعكس.

   4. أسباب تعطيل هذا الإعداد
      
      يحتوي المجال على أجهزة كمبيوتر أعضاء تقوم بتشغيل أنظمة تشغيل أخرى غير Windows 2000 أو Windows XP أو Windows Server 2003.

   5. الاسم الرمزي:
      
      StrongKey

   6. مسار التسجيل:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

   7. أمثلة على مشاكل
      
      التوافق Windows NT 4.0: على أجهزة الكمبيوتر المستندة إلى Windows NT 4.0، تفشل إعادة تعيين القنوات الآمنة لعلاقات الثقة بين مجالات Windows NT 4.0 وWindows 2000 مع NLTEST. تظهر رسالة خطأ "تم رفض الوصول":

      فشلت علاقة الثقة بين المجال الأساسي والمجال الموثوق به.
      
      Windows 7 وServer 2008 R2: بالنسبة إلى Windows 7 والإصدارات الأحدث وWindows Server 2008 R2 والإصدارات الأحدث، لم يعد هذا الإعداد محترما ويتم استخدام المفتاح القوي دائما. ولهذا السبب، لا تعمل علاقات الثقة مع مجالات Windows NT 4.0 بعد الآن.

4. عضو المجال: تشفير بيانات القناة الآمنة رقميا أو توقيعها (دائما)

   1. الخلفية

      • تمكين عضو المجال: يؤدي تشفير بيانات القناة الآمنة رقميا أو توقيعها (دائما) إلى منع إنشاء قناة آمنة مع أي وحدة تحكم بالمجال لا يمكنها توقيع جميع بيانات القناة الآمنة أو تشفيرها. للمساعدة في حماية نسبة استخدام الشبكة للمصادقة من الهجمات التي تتم في الوسط، والهجمات من جديد، وأنواع أخرى من هجمات الشبكة، تنشئ أجهزة الكمبيوتر المستندة إلى Windows قناة اتصال تعرف باسم قناة آمنة من خلال خدمة Net Logon لمصادقة حسابات الكمبيوتر. يتم أيضا استخدام قنوات آمنة عندما يتصل مستخدم في مجال واحد بمورد شبكة اتصال في مجال بعيد. تسمح هذه المصادقة متعددة المجالات، أو المصادقة التمريرية، للكمبيوتر المستند إلى Windows الذي انضم إلى مجال بالوصول إلى قاعدة بيانات حساب المستخدم في مجاله وفي أي مجالات موثوق بها.

      • لتمكين عضو المجال: تشفير بيانات القناة الآمنة رقميا أو توقيعها (دائما) على كمبيوتر عضو، يجب أن تكون جميع وحدات التحكم بالمجال في المجال الذي ينتمي إليه العضو قادرة على توقيع جميع بيانات القناة الآمنة أو تشفيرها. وهذا يعني أن جميع وحدات التحكم في المجال هذه يجب أن تعمل بنظام التشغيل Windows NT 4.0 مع حزمة الخدمة 6a (SP6a) أو أحدث.

      • تمكين عضو المجال: يمكن إعداد تشفير بيانات القناة الآمنة رقميا أو توقيعها (دائما) عضو المجال تلقائيا: تشفير بيانات القناة الآمنة رقميا أو توقيعها (عندما يكون ذلك ممكنا).

   2. تكوين
      
      محفوف بالمخاطر تمكين عضو المجال: يعد تشفير بيانات القناة الآمنة رقميا أو توقيعها (دائما) في المجالات حيث لا يمكن لجميع وحدات التحكم بالمجال توقيع بيانات القناة الآمنة أو تشفيرها إعداد تكوين ضار.

   3. أسباب تمكين هذا الإعداد
      
      نسبة استخدام الشبكة غير الموقعة عرضة لهجمات الدخيل في الوسط، حيث يلتقط المتطفل الحزم بين الخادم والعميل ثم يعدلها قبل إعادة توجيهها إلى العميل. عند حدوث هذا السلوك على خادم بروتوكول الوصول إلى الدليل الخفيف (LDAP)، قد يتسبب المتطفل في اتخاذ العميل قرارات تستند إلى سجلات خاطئة من دليل LDAP. يمكنك تقليل خطر مثل هذا الهجوم على شبكة الشركة من خلال تنفيذ تدابير أمان مادية قوية للمساعدة في حماية البنية الأساسية للشبكة. بالإضافة إلى ذلك، يمكن أن يساعد تنفيذ وضع رأس مصادقة بروتوكول الإنترنت (IPSec) في منع الهجمات التي تنفذ في الوسط. يقوم هذا الوضع بإجراء المصادقة المتبادلة وتكامل حزم البيانات لحركة مرور IP.

   4. أسباب تعطيل هذا الإعداد

      • تدعم أجهزة الكمبيوتر في المجالات المحلية أو الخارجية القنوات الآمنة المشفرة.

      • ليس لدى جميع وحدات التحكم بالمجال في المجال مستويات مراجعة حزمة الخدمة المناسبة لدعم القنوات الآمنة المشفرة.

   5. الاسم الرمزي:
      
      StrongKey

   6. مسار التسجيل:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

   7. أمثلة على مشاكل التوافق

      • Windows NT 4.0: لن تتمكن أجهزة الكمبيوتر الأعضاء المستندة إلى Windows 2000 من الانضمام إلى مجالات Windows NT 4.0 وستتلقى رسالة الخطأ التالية:

        الحساب غير مخول لتسجيل الدخول من هذه المحطة.

        لمزيد من المعلومات، انقر فوق رقم المقالة التالية لعرض المقالة في قاعدة معارف Microsoft:

        281648 رسالة خطأ: الحساب غير مخول لتسجيل الدخول من هذه المحطة
         

      • Windows NT 4.0: لن تتمكن مجالات Windows NT 4.0 من تأسيس ثقة على مستوى أدنى مع مجال Windows 2000 وستتلقى رسالة الخطأ التالية:

        الحساب غير مخول لتسجيل الدخول من هذه المحطة.

        قد لا تقوم الثقة الموجودة ذات المستوى الأدنى أيضا بمصادقة المستخدمين من المجال الموثوق به. قد يواجه بعض المستخدمين مشاكل في تسجيل الدخول إلى المجال، وقد يتلقون رسالة خطأ تفيد بأنه يتعذر على العميل العثور على المجال.

      • Windows XP: لن يتمكن عملاء Windows XP المنضمين إلى مجالات Windows NT 4.0 من مصادقة محاولات تسجيل الدخول وقد يتلقون رسالة الخطأ التالية، أو قد يتم تسجيل الأحداث التالية في سجل الأحداث:

        يتعذر على Windows الاتصال بالمجال إما لأن وحدة التحكم بالمجال معطلة أو غير متوفرة أو بسبب عدم العثور على حساب الكمبيوتر الخاص بك

      • Microsoft Network: سيتلقى عملاء Microsoft Network إحدى رسائل الخطأ التالية:

        فشل تسجيل الدخول: اسم مستخدم غير معروف أو كلمة مرور غير صحيحة.

        لا يوجد مفتاح جلسة عمل المستخدم لجلسة تسجيل الدخول المحددة.

5. عميل شبكة Microsoft: توقيع الاتصالات رقميا (دائما)

   1. الخلفيه
      
      Server Message Block (SMB) هو بروتوكول مشاركة الموارد الذي تدعمه العديد من أنظمة تشغيل Microsoft. وهو أساس نظام الإدخال/الإخراج الأساسي للشبكة (NetBIOS) والعديد من البروتوكولات الأخرى. توقيع SMB يصادق على كل من المستخدم والخادم الذي يستضيف البيانات. إذا فشل أي من الجانبين في عملية المصادقة، فلن يحدث نقل البيانات.
      
      يبدأ تمكين توقيع SMB أثناء التفاوض على بروتوكول SMB. تحدد نهج توقيع SMB ما إذا كان الكمبيوتر دائما يقوم بالتوقيع رقميا على اتصالات العميل.
      
      يدعم بروتوكول مصادقة Windows 2000 SMB المصادقة المتبادلة. تغلق المصادقة المتبادلة هجوم "man-in-in-middle". يدعم بروتوكول مصادقة Windows 2000 SMB أيضا مصادقة الرسالة. تساعد مصادقة الرسالة على منع هجمات الرسائل النشطة. لمنحك هذه المصادقة، يضع توقيع SMB توقيعا رقميا في كل SMB. يتحقق كل من العميل والخادم من التوقيع الرقمي.
      
      لاستخدام توقيع SMB، يجب تمكين توقيع SMB أو طلب توقيع SMB على كل من عميل SMB وخادم SMB. إذا تم تمكين توقيع SMB على خادم، فإن العملاء الذين تم تمكينهم أيضا للتوزيع SMB يستخدمون بروتوكول توقيع الحزمة أثناء جميع جلسات العمل اللاحقة. إذا كان توقيع SMB مطلوبا على خادم، فلن يتمكن العميل من إنشاء جلسة عمل ما لم يتم تمكين العميل أو طلبه من أجل توقيع SMB.
      
      
      يساعد تمكين تسجيل الدخول الرقمي في الشبكات عالية الأمان على منع انتحال العملاء والخوادم. يعرف هذا النوع من الانتحال باسم سرقة الجلسة. يستخدم المهاجم الذي لديه حق الوصول إلى نفس الشبكة مثل العميل أو الخادم أدوات سرقة جلسة العمل لمقاطعة جلسة عمل قيد التقدم أو إنهائها أو سرقتها. يمكن للمهاجم اعتراض حزم SMB غير الموقعة وتعديلها، وتعديل نسبة استخدام الشبكة، ثم إعادة توجيهها بحيث يمكن للخادم تنفيذ إجراءات غير مرغوب فيها. أو، يمكن للمهاجم أن يشكل كخادم أو كعميل بعد مصادقة شرعية ثم يحصل على وصول غير مصرح به إلى البيانات.
      
      يدعم بروتوكول SMB المستخدم لمشاركة الملفات ومشاركة الطباعة في أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows 2000 Server أو Windows 2000 Professional أو Windows XP Professional أو Windows Server 2003 المصادقة المتبادلة. تقوم المصادقة المتبادلة بإغلاق هجمات سرقة الجلسة وتدعم مصادقة الرسالة. لذلك، فإنه يمنع هجمات رجل في الوسط. يوفر توقيع SMB هذه المصادقة عن طريق وضع توقيع رقمي في كل SMB. ثم يتحقق العميل والخادم من التوقيع.
      
      تلاحظ

      • كضال بديل، يمكنك تمكين التواقيع الرقمية باستخدام IPSec للمساعدة في حماية جميع نسبة استخدام الشبكة. هناك مسرعات مستندة إلى الأجهزة لتشفير IPSec وتوقيعها التي يمكنك استخدامها لتقليل تأثير الأداء من وحدة المعالجة المركزية للخادم. لا توجد مثل هذه المسرعات المتوفرة للتوزيع على SMB.
        
        لمزيد من المعلومات، راجع الفصل "توقيع اتصالات الخادم رقميا " على موقع Microsoft MSDN على الويب.
        
        تكوين تسجيل SMB من خلال محرر الكائن نهج المجموعة لأن التغيير إلى قيمة تسجيل محلية ليس له أي تأثير إذا كان هناك نهج مجال تجاوز.

      • في Windows 95 وWindows 98 وWindows 98 Second Edition، يستخدم عميل خدمات الدليل توقيع SMB عند المصادقة مع خوادم Windows Server 2003 باستخدام مصادقة NTLM. ومع ذلك، لا يستخدم هؤلاء العملاء توقيع SMB عند المصادقة مع هذه الخوادم باستخدام مصادقة NTLMv2. بالإضافة إلى ذلك، لا تستجيب خوادم Windows 2000 لطلبات توقيع SMB من هؤلاء العملاء. لمزيد من المعلومات، راجع العنصر 10: "أمان الشبكة: مستوى مصادقة Lan Manager".

   2. تكوين
      
      محفوف بالمخاطر فيما يلي إعداد تكوين ضار: ترك كل من عميل شبكة Microsoft: إعداد توقيع الاتصالات رقميا (دائما) عميل شبكة Microsoft: إعداد توقيع الاتصالات رقميا (إذا وافق الخادم) المعين إلى "غير معرف" أو معطل. تسمح هذه الإعدادات لموجه التوجيه بإرسال كلمات مرور نص عادي إلى خوادم SMB غير التابعة ل Microsoft التي لا تدعم تشفير كلمة المرور أثناء المصادقة.

   3. أسباب تمكين هذا الإعداد
      
      تمكين عميل شبكة Microsoft: يتطلب توقيع الاتصالات رقميا (دائما) من العملاء توقيع حركة مرور SMB عند الاتصال بالخوادم التي لا تتطلب توقيع SMB. وهذا يجعل العملاء أقل عرضة لهجمات سرقة الجلسات.

   4. أسباب تعطيل هذا الإعداد

      • تمكين عميل شبكة Microsoft: يمنع توقيع الاتصالات رقميا (دائما) العملاء من الاتصال بالخوادم الهدف التي لا تدعم توقيع SMB.

      • يؤدي تكوين أجهزة الكمبيوتر لتجاهل كافة اتصالات SMB غير الموقعة إلى منع البرامج وأنظمة التشغيل السابقة من الاتصال.

   5. الاسم الرمزي:
      
      RequireSMBSignRdr

   6. مسار التسجيل:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

   7. أمثلة على مشاكل التوافق

      • Windows NT 4.0: لن تتمكن من إعادة تعيين القناة الآمنة للثقة بين مجال Windows Server 2003 ومجال Windows NT 4.0 باستخدام NLTEST أو NETDOM، وستتلقى رسالة خطأ "تم رفض الوصول".

      • Windows XP: قد يستغرق نسخ الملفات من عملاء Windows XP إلى الخوادم المستندة إلى Windows 2000 وإلى الخوادم المستندة إلى Windows Server 2003 المزيد من الوقت.

      • لن تتمكن من تعيين محرك أقراص شبكة من عميل مع تمكين هذا الإعداد، وستتلقى رسالة الخطأ التالية:

        الحساب غير مخول لتسجيل الدخول من هذه المحطة.

   8. متطلبات
      
      إعادة التشغيل أعد تشغيل الكمبيوتر، أو أعد تشغيل خدمة محطة العمل. للقيام بذلك، اكتب الأوامر التالية في موجه الأوامر. اضغط على مفتاح الإدخال Enter بعد كتابة كل أمر.

      محطة
      عمل net stop محطة عمل البدء الصافية

6. خادم شبكة Microsoft: توقيع الاتصالات رقميا (دائما)

   1. الخلفية

      • Server Messenger Block (SMB) هو بروتوكول مشاركة الموارد الذي تدعمه العديد من أنظمة تشغيل Microsoft. وهو أساس نظام الإدخال/الإخراج الأساسي للشبكة (NetBIOS) والعديد من البروتوكولات الأخرى. توقيع SMB يصادق على كل من المستخدم والخادم الذي يستضيف البيانات. إذا فشل أي من الجانبين في عملية المصادقة، فلن يحدث نقل البيانات.
        
        يبدأ تمكين توقيع SMB أثناء التفاوض على بروتوكول SMB. تحدد نهج توقيع SMB ما إذا كان الكمبيوتر دائما يقوم بالتوقيع رقميا على اتصالات العميل.
        
        يدعم بروتوكول مصادقة Windows 2000 SMB المصادقة المتبادلة. تغلق المصادقة المتبادلة هجوم "man-in-in-middle". يدعم بروتوكول مصادقة Windows 2000 SMB أيضا مصادقة الرسالة. تساعد مصادقة الرسالة على منع هجمات الرسائل النشطة. لمنحك هذه المصادقة، يضع توقيع SMB توقيعا رقميا في كل SMB. يتحقق كل من العميل والخادم من التوقيع الرقمي.
        
        لاستخدام توقيع SMB، يجب تمكين توقيع SMB أو طلب توقيع SMB على كل من عميل SMB وخادم SMB. إذا تم تمكين توقيع SMB على خادم، فإن العملاء الذين تم تمكينهم أيضا للتوزيع SMB يستخدمون بروتوكول توقيع الحزمة أثناء جميع جلسات العمل اللاحقة. إذا كان توقيع SMB مطلوبا على خادم، فلن يتمكن العميل من إنشاء جلسة عمل ما لم يتم تمكين العميل أو طلبه من أجل توقيع SMB.
        
        
        يساعد تمكين تسجيل الدخول الرقمي في الشبكات عالية الأمان على منع انتحال العملاء والخوادم. يعرف هذا النوع من الانتحال باسم سرقة الجلسة. يستخدم المهاجم الذي لديه حق الوصول إلى نفس الشبكة مثل العميل أو الخادم أدوات سرقة جلسة العمل لمقاطعة جلسة عمل قيد التقدم أو إنهائها أو سرقتها. يمكن للمهاجم اعتراض وتعديل حزم إدارة النطاق الترددي للشبكة الفرعية (SBM) غير الموقعة، وتعديل نسبة استخدام الشبكة، ثم إعادة توجيهها بحيث يمكن للخادم تنفيذ إجراءات غير مرغوب فيها. أو، يمكن للمهاجم أن يشكل كخادم أو كعميل بعد مصادقة شرعية ثم يحصل على وصول غير مصرح به إلى البيانات.
        
        يدعم بروتوكول SMB المستخدم لمشاركة الملفات ومشاركة الطباعة في أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows 2000 Server أو Windows 2000 Professional أو Windows XP Professional أو Windows Server 2003 المصادقة المتبادلة. تقوم المصادقة المتبادلة بإغلاق هجمات سرقة الجلسة وتدعم مصادقة الرسالة. لذلك، فإنه يمنع هجمات رجل في الوسط. يوفر توقيع SMB هذه المصادقة عن طريق وضع توقيع رقمي في كل SMB. ثم يتحقق العميل والخادم من التوقيع.

      • كضال بديل، يمكنك تمكين التواقيع الرقمية باستخدام IPSec للمساعدة في حماية جميع نسبة استخدام الشبكة. هناك مسرعات مستندة إلى الأجهزة لتشفير IPSec وتوقيعها التي يمكنك استخدامها لتقليل تأثير الأداء من وحدة المعالجة المركزية للخادم. لا توجد مثل هذه المسرعات المتوفرة للتوزيع على SMB.

      • في Windows 95 وWindows 98 وWindows 98 Second Edition، يستخدم عميل خدمات الدليل توقيع SMB عند المصادقة مع خوادم Windows Server 2003 باستخدام مصادقة NTLM. ومع ذلك، لا يستخدم هؤلاء العملاء توقيع SMB عند المصادقة مع هذه الخوادم باستخدام مصادقة NTLMv2. بالإضافة إلى ذلك، لا تستجيب خوادم Windows 2000 لطلبات توقيع SMB من هؤلاء العملاء. لمزيد من المعلومات، راجع العنصر 10: "أمان الشبكة: مستوى مصادقة Lan Manager".

   2. تكوين
      
      محفوف بالمخاطر فيما يلي إعداد تكوين ضار: تمكين خادم شبكة Microsoft: توقيع إعدادات الاتصالات رقميا (دائما) على الخوادم ووحدات التحكم بالمجال التي يتم الوصول إليها من قبل أجهزة كمبيوتر غير متوافقة مستندة إلى Windows وأجهزة كمبيوتر عميل مستندة إلى نظام تشغيل تابع لجهة خارجية في المجالات المحلية أو الخارجية.

   3. أسباب تمكين هذا الإعداد

      • تدعم جميع أجهزة الكمبيوتر العميلة التي تمكن هذا الإعداد مباشرة من خلال السجل أو من خلال إعداد نهج المجموعة توقيع SMB. بمعنى آخر، تعمل جميع أجهزة الكمبيوتر العميلة التي تم تمكين هذا الإعداد عليها إما Windows 95 مع تثبيت عميل DS أو Windows 98 أو Windows NT 4.0 أو Windows 2000 أو Windows XP Professional أو Windows Server 2003.

      • إذا كان خادم شبكة Microsoft: يتم تعطيل اتصالات التوقيع رقميا (دائما)، فيتم تعطيل توقيع SMB تماما. يؤدي تعطيل جميع عمليات توقيع SMB تماما إلى جعل أجهزة الكمبيوتر أكثر عرضة لهجمات سرقة الجلسة.

   4. أسباب تعطيل هذا الإعداد

      • قد يؤدي تمكين هذا الإعداد إلى بطء أداء نسخ الملفات والشبكة على أجهزة الكمبيوتر العميلة.

      • سيؤدي تمكين هذا الإعداد إلى منع العملاء الذين لا يمكنهم التفاوض على توقيع SMB من الاتصال بالخوادم ووحدات التحكم بالمجال. يؤدي ذلك إلى فشل عمليات مثل عمليات ربط المجال أو مصادقة المستخدم والكمبيوتر أو الوصول إلى الشبكة بواسطة البرامج.

   5. الاسم الرمزي:
      
      RequireSMBSignServer

   6. مسار التسجيل:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

   7. أمثلة على مشاكل التوافق

      • Windows 95: سيفشل عملاء Windows 95 الذين لم يتم تثبيت عميل خدمات الدليل (DS) في مصادقة تسجيل الدخول وسيتلقون رسالة الخطأ التالية:

        كلمة مرور المجال التي قمت بتوفيرها غير صحيحة، أو تم رفض الوصول إلى خادم تسجيل الدخول.

      • Windows NT 4.0: ستفشل أجهزة الكمبيوتر العميلة التي تقوم بتشغيل إصدارات Windows NT 4.0 الأقدم من حزمة الخدمة 3 (SP3) في مصادقة تسجيل الدخول وستتلقى رسالة الخطأ التالية:

        تعذر على النظام تسجيل دخولك. تأكد من صحة اسم المستخدم والمجال، ثم اكتب كلمة المرور مرة أخرى.

        تدعم بعض خوادم SMB غير التابعة ل Microsoft عمليات تبادل كلمات المرور غير المشفرة فقط أثناء المصادقة. (تعرف هذه التبادلات أيضا بتبادلات "النص العادي".) بالنسبة إلى Windows NT 4.0 SP3 والإصدارات الأحدث، لا يرسل معاد توجيه SMB كلمة مرور غير مشفرة أثناء المصادقة إلى خادم SMB ما لم تقم بإضافة إدخال تسجيل معين.
        لتمكين كلمات المرور غير المشفرة لعميل SMB على Windows NT 4.0 SP 3 والأنظمة الأحدث، قم بتعديل السجل كما يلي: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        
        اسم القيمة: EnablePlainTextPassword
        
        نوع البيانات: REG_DWORD
        
        البيانات: 1
        
         

      • Windows Server 2003: بشكل افتراضي، يتم تكوين إعدادات الأمان على وحدات التحكم بالمجال التي تقوم بتشغيل Windows Server 2003 للمساعدة في منع اعتراض اتصالات وحدة التحكم بالمجال أو العبث بها من قبل مستخدمين ضارين. لكي يتمكن المستخدمون من التواصل بنجاح مع وحدة تحكم بالمجال التي تقوم بتشغيل Windows Server 2003، يجب على أجهزة الكمبيوتر العميلة استخدام كل من توقيع SMB والتشفير أو توقيع حركة مرور القناة الآمنة. بشكل افتراضي، العملاء الذين يقومون بتشغيل Windows NT 4.0 مع حزمة الخدمة 2 (SP2) أو المثبتة سابقا والعملاء الذين يقومون بتشغيل Windows 95 ليس لديهم توقيع حزمة SMB ممكنة. لذلك، قد لا يتمكن هؤلاء العملاء من المصادقة على وحدة التحكم بالمجال المستندة إلى Windows Server 2003.

      • إعدادات نهج Windows 2000 وWindows Server 2003: استنادا إلى احتياجات التثبيت والتكوين المحددين، نوصي بتعيين إعدادات النهج التالية في أقل كيان من النطاق الضروري في التسلسل الهرمي للأداة الإضافية لمحرر نهج المجموعة Microsoft Management Console:

        • تكوين الكمبيوتر\أمن Windows Settings\Security Options

        • إرسال كلمة مرور غير مشفرة للاتصال بخوادم SMB التابعة لجهة خارجية (هذا الإعداد ل Windows 2000)

        • عميل شبكة Microsoft: إرسال كلمة مرور غير مشفرة إلى خوادم SMB التابعة لجهة خارجية (هذا الإعداد ل Windows Server 2003)

        
        ملاحظة في بعض خوادم CIFS التابعة لجهة خارجية، مثل إصدارات Samba القديمة، لا يمكنك استخدام كلمات المرور المشفرة.

      • العملاء التاليون غير متوافقين مع خادم شبكة Microsoft: إعداد توقيع الاتصالات رقميا (دائما):

        • عملاء Apple Computer, Inc., Mac OS X

        • عملاء شبكة MICROSOFT MS-DOS (على سبيل المثال، Microsoft LAN Manager)

        • عملاء Microsoft Windows for Workgroups

        • عملاء Microsoft Windows 95 دون تثبيت عميل DS

        • أجهزة الكمبيوتر المستندة إلى Microsoft Windows NT 4.0 دون تثبيت SP3 أو أحدث

        • عملاء Novell Netware 6 CIFS

        • عملاء SAMBA SMB الذين لا يدعمون توقيع SMB

   8. متطلبات
      
      إعادة التشغيل أعد تشغيل الكمبيوتر، أو أعد تشغيل خدمة الخادم. للقيام بذلك، اكتب الأوامر التالية في موجه الأوامر. اضغط على مفتاح الإدخال Enter بعد كتابة كل أمر.

      خادم
      إيقاف net خادم البدء الصافي

7. الوصول إلى الشبكة: السماح بترجمة SID/Name مجهولة

   1. الخلفيه
      
      الوصول إلى الشبكة: يحدد السماح بإعداد أمان ترجمة SID/Name المجهول ما إذا كان يمكن لمستخدم مجهول طلب سمات رقم تعريف الأمان (SID) لمستخدم آخر.

   2. تكوين
      
      محفوف بالمخاطر تمكين الوصول إلى الشبكة: السماح بإعداد ترجمة SID/Name مجهول هو إعداد تكوين ضار.

   3. أسباب تمكين هذا الإعداد
      
      إذا كان الوصول إلى الشبكة: السماح بإعداد ترجمة SID/Name مجهول معطل، فقد لا تتمكن أنظمة التشغيل أو التطبيقات السابقة من الاتصال بمجالات Windows Server 2003. على سبيل المثال، قد لا تعمل أنظمة التشغيل أو الخدمات أو التطبيقات التالية:

      • خوادم خدمة الوصول عن بعد المستندة إلى Windows NT 4.0

      • Microsoft SQL Server التي تعمل على أجهزة الكمبيوتر المستندة إلى Windows NT 3.x أو أجهزة الكمبيوتر المستندة إلى Windows NT 4.0

      • خدمة الوصول عن بعد التي تعمل على أجهزة الكمبيوتر المستندة إلى Windows 2000 الموجودة في مجالات Windows NT 3.x أو مجالات Windows NT 4.0

      • SQL Server التي تعمل على أجهزة الكمبيوتر المستندة إلى Windows 2000 الموجودة في مجالات Windows NT 3.x أو في مجالات Windows NT 4.0

      • المستخدمون في مجال موارد Windows NT 4.0 الذين يرغبون في منح أذونات للوصول إلى الملفات والمجلدات المشتركة وعناصر التسجيل لحسابات المستخدمين من مجالات الحسابات التي تحتوي على وحدات تحكم بالمجال في Windows Server 2003

   4. أسباب تعطيل هذا الإعداد
      
      إذا تم تمكين هذا الإعداد، يمكن لمستخدم ضار استخدام معرف الأمان للمسؤولين المعروف للحصول على الاسم الحقيقي لحساب المسؤول المضمن، حتى لو تمت إعادة تسمية الحساب. يمكن لهذا الشخص بعد ذلك استخدام اسم الحساب لبدء هجوم تخمين كلمة المرور.

   5. الاسم الرمزي: N/A

   6. مسار التسجيل: بلا. تم تحديد المسار في التعليمات البرمجية لواجهة المستخدم.

   7. أمثلة على مشاكل
      
      التوافق Windows NT 4.0: أجهزة الكمبيوتر في مجالات موارد Windows NT 4.0 ستعرض رسالة الخطأ "حساب غير معروف" في محرر ACL إذا تم تأمين الموارد، بما في ذلك المجلدات المشتركة والملفات المشتركة وعناصر التسجيل، مع أساسيات الأمان الموجودة في مجالات الحساب التي تحتوي على وحدات تحكم بالمجال Windows Server 2003.

8. الوصول إلى الشبكة: عدم السماح بالتعداد المجهول لحسابات SAM

   1. الخلفية

      • الوصول إلى الشبكة: لا تسمح بتعداد حسابات SAM المجهول يحدد الأذونات الإضافية التي سيتم منحها للاتصالات المجهولة بالكمبيوتر. يسمح Windows للمستخدمين المجهولين بتنفيذ أنشطة معينة، مثل تعداد أسماء حسابات محطة العمل وحسابات Server Security Accounts Manager (SAM) ومشاركات الشبكة. على سبيل المثال، يمكن للمسؤول استخدام هذا لمنح حق الوصول للمستخدمين في مجال موثوق به لا يحافظ على ثقة متبادلة. بمجرد إجراء جلسة عمل، قد يكون للمستخدم المجهول نفس الوصول الذي يتم منحه إلى مجموعة "الجميع" استنادا إلى الإعداد في الوصول إلى الشبكة: اسمح لتطبيق أذونات "الجميع" على إعداد المستخدمين المجهولين أو قائمة التحكم بالوصول (DACL) الخاصة بالعنصر.
        
        عادة ما يتم طلب الاتصالات المجهولة من قبل إصدارات سابقة من العملاء (عملاء المستوى الأدنى) أثناء إعداد جلسة SMB. في هذه الحالات، يظهر تتبع الشبكة أن معرف عملية SMB (PID) هو موجه العميل مثل 0xFEFF في Windows 2000 أو 0xCAFE في Windows NT. قد يحاول RPC أيضا إجراء اتصالات مجهولة.

      • من المهم أن هذا الإعداد ليس له أي تأثير على وحدات التحكم بالمجال. على وحدات التحكم بالمجال، يتم التحكم في هذا السلوك من خلال وجود "NT AUTHORITY\ANONYMOUS LOGON" في "Access متوافق مع ما قبل Windows 2000".

      • في Windows 2000، يقوم إعداد مشابه يسمى "قيود إضافية للاتصالات المجهولة" بإدارة قيمة التسجيل RestrictAnonymous . موقع هذه القيمة كما يلي

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA  

   2. التكوينات
      
      المحفوفة بالمخاطر تمكين الوصول إلى الشبكة: عدم السماح بالتعداد المجهول لإعدادات حسابات SAM هو إعداد تكوين ضار من منظور التوافق. تعطيله هو إعداد تكوين ضار من منظور الأمان.

   3. أسباب تمكين هذا الإعداد
      
      يمكن للمستخدم غير المصرح به سرد أسماء الحسابات بشكل مجهول ثم استخدام المعلومات لمحاولة تخمين كلمات المرور أو لتنفيذ هجمات الهندسة الاجتماعية. الهندسة الاجتماعية عبارة عن مصطلحات تعني خداع الأشخاص للكشف عن كلمات المرور الخاصة بهم أو بعض أشكال المعلومات الأمنية.

   4. أسباب تعطيل هذا الإعداد
      
      إذا تم تمكين هذا الإعداد، فمن المستحيل إنشاء علاقات ثقة مع مجالات Windows NT 4.0. يسبب هذا الإعداد أيضا مشاكل مع العملاء ذوي المستوى الأدنى (مثل عملاء Windows NT 3.51 وعملاء Windows 95) الذين يحاولون استخدام الموارد على الخادم.

   5. الاسم الرمزي:
      
      
      RestrictAnonymousSAM

   6. مسار التسجيل:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

   7. أمثلة على مشاكل التوافق

   • لن يتمكن SMS Network Discovery من الحصول على معلومات نظام التشغيل وسيكتب "غير معروف" في خاصية OperatingSystemNameandVersion.

   • Windows 95 وWindows 98: لن يتمكن عملاء Windows 95 وعملاء Windows 98 من تغيير كلمات المرور الخاصة بهم.

   • Windows NT 4.0: لن تتمكن أجهزة الكمبيوتر الأعضاء المستندة إلى Windows NT 4.0 من المصادقة.

   • Windows 95 وWindows 98: لن تتمكن وحدات تحكم مجال Microsoft من المصادقة على أجهزة الكمبيوتر المستندة إلى Windows 95 وWindows 98.

   • Windows 95 وWindows 98: لن يتمكن المستخدمون على أجهزة الكمبيوتر المستندة إلى Windows 95 وWindows 98 من تغيير كلمات المرور لحسابات المستخدمين الخاصة بهم.

9. الوصول إلى الشبكة: لا تسمح بتعداد مجهول لحسابات ومشاركات SAM

   1. الخلفية

      • الوصول إلى الشبكة: لا تسمح بالتعداد المجهول لحسابات SAM وإعدادات المشاركات (المعروف أيضا باسم RestrictAnonymous) يحدد ما إذا كان يتم السماح بالتعداد المجهول لحسابات ومشاركات إدارة حسابات الأمان (SAM). يسمح Windows للمستخدمين المجهولين بتنفيذ أنشطة معينة، مثل تعداد أسماء حسابات المجال (المستخدمين وأجهزة الكمبيوتر والمجموعات) ومشاركات الشبكة. هذا مناسب، على سبيل المثال، عندما يريد المسؤول منح حق الوصول للمستخدمين في مجال موثوق به لا يحافظ على ثقة متبادلة. إذا كنت لا تريد السماح بتعداد مجهول لحسابات SAM والمشاركات، فقم بتمكين هذا الإعداد.

      • في Windows 2000، يقوم إعداد مشابه يسمى "قيود إضافية للاتصالات المجهولة" بإدارة قيمة التسجيل RestrictAnonymous . موقع هذه القيمة كما يلي:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

   2. تكوين
      
      محفوف بالمخاطر تمكين الوصول إلى الشبكة: عدم السماح بالتعداد المجهول لحسابات SAM وإعدادات المشاركات هو إعداد تكوين ضار.

   3. أسباب تمكين هذا الإعداد

      • تمكين الوصول إلى الشبكة: لا تسمح بالتعداد المجهول لحسابات SAM وإعدادات المشاركات لمنع تعداد حسابات SAM ومشاركتها من قبل المستخدمين وأجهزة الكمبيوتر التي تستخدم حسابات مجهولة.

   4. أسباب تعطيل هذا الإعداد

      • إذا تم تمكين هذا الإعداد، يمكن لمستخدم غير مصرح له سرد أسماء الحسابات بشكل مجهول ثم استخدام المعلومات لمحاولة تخمين كلمات المرور أو لتنفيذ هجمات الهندسة الاجتماعية. الهندسة الاجتماعية عبارة عن مصطلحات تعني خداع الأشخاص للكشف عن كلمة المرور الخاصة بهم أو شكل من أشكال المعلومات الأمنية.

      • إذا تم تمكين هذا الإعداد، فسيكون من المستحيل إنشاء علاقات ثقة مع مجالات Windows NT 4.0. سيؤدي هذا الإعداد أيضا إلى حدوث مشاكل مع عملاء المستوى الأدنى مثل عملاء Windows NT 3.51 وWindows 95 الذين يحاولون استخدام الموارد على الخادم.

      • سيكون من المستحيل منح حق الوصول إلى مستخدمي مجالات الموارد لأن المسؤولين في المجال الموثوق بهم لن يتمكنوا من تعداد قوائم الحسابات في المجال الآخر. لن يتمكن المستخدمون الذين يصلون إلى خوادم الملفات والطباعة بشكل مجهول من سرد موارد الشبكة المشتركة على تلك الخوادم. يجب على المستخدمين المصادقة قبل أن يتمكنوا من عرض قوائم المجلدات والطابعات المشتركة.

   5. الاسم الرمزي:
      
      Restrictanonymous

   6. مسار التسجيل:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

   7. أمثلة على مشاكل التوافق

      • Windows NT 4.0: لن يتمكن المستخدمون من تغيير كلمات المرور الخاصة بهم من محطات عمل Windows NT 4.0 عند تمكين RestrictAnonymous على وحدات التحكم بالمجال في مجال المستخدمين.

      • Windows NT 4.0: ستفشل إضافة مستخدمين أو مجموعات عمومية من مجالات Windows 2000 الموثوق بها إلى مجموعات Windows NT 4.0 المحلية في User Manager، وستظهر رسالة الخطأ التالية:

        لا توجد حاليا أي خوادم لتسجيل الدخول متوفرة لخدمة طلب تسجيل الدخول.

      • Windows NT 4.0: لن تتمكن أجهزة الكمبيوتر المستندة إلى Windows NT 4.0 من الانضمام إلى المجالات أثناء الإعداد أو باستخدام واجهة مستخدم الانضمام إلى المجال.

      • Windows NT 4.0: سيفشل تأسيس ثقة على مستوى أدنى مع مجالات موارد Windows NT 4.0. ستظهر رسالة الخطأ التالية عند تمكين RestrictAnonymous على المجال الموثوق به:

        تعذر العثور على وحدة التحكم بالمجال لهذا المجال.

      • Windows NT 4.0: سيقوم المستخدمون الذين يسجلون الدخول إلى أجهزة كمبيوتر خادم طرفية مستندة إلى Windows NT 4.0 بتعيين الدليل الرئيسي الافتراضي بدلا من الدليل الرئيسي المعرف في User Manager للمجالات.

      • Windows NT 4.0: لن تتمكن وحدات تحكم مجال النسخ الاحتياطي ل Windows NT 4.0 (BDCs) من بدء تشغيل خدمة تسجيل الدخول إلى Net، أو الحصول على قائمة بمستعرضات النسخ الاحتياطي، أو مزامنة قاعدة بيانات SAM من Windows 2000 أو من وحدات التحكم بالمجال في Windows Server 2003 في المجال نفسه.

      • Windows 2000: لن تتمكن أجهزة الكمبيوتر الأعضاء المستندة إلى Windows 2000 في مجالات Windows NT 4.0 من عرض الطابعات في المجالات الخارجية إذا تم تمكين "عدم الوصول" بدون إعداد أذونات مجهولة بشكل صريح في نهج الأمان المحلي لكمبيوتر العميل.

      • Windows 2000: لن يتمكن مستخدمو مجال Windows 2000 من إضافة طابعات الشبكة من Active Directory؛ ومع ذلك، سيتمكنون من إضافة الطابعات بعد تحديدها من طريقة عرض الشجرة.

      • Windows 2000: على أجهزة الكمبيوتر المستندة إلى Windows 2000، لن يتمكن محرر ACL من إضافة مستخدمين أو مجموعات عمومية من مجالات Windows NT 4.0 الموثوق بها.

      • ADMT الإصدار 2: سيفشل ترحيل كلمة المرور لحسابات المستخدمين التي يتم ترحيلها بين الغابات باستخدام الإصدار 2 من أداة ترحيل Active Directory (ADMT).
        
        لمزيد من المعلومات، انقر فوق رقم المقالة التالية لعرض المقالة في قاعدة معارف Microsoft:

        322981 كيفية استكشاف أخطاء ترحيل كلمة المرور بين الغابة وإصلاحها باستخدام ADMTv2

      • عملاء Outlook: ستظهر قائمة العناوين العمومية فارغة لعملاء Microsoft Exchange Outlook.

      • SMS: لن يتمكن Microsoft Systems Management Server (SMS) Network Discovery من الحصول على معلومات نظام التشغيل. لذلك، فإنه سيكتب "غير معروف" في خاصية OperatingSystemNameandVersion لخاصية DDR SMS لسجل بيانات الاكتشاف (DDR).

      • SMS: عند استخدام "معالج مستخدم مسؤول SMS" للاستعراض بحثا عن المستخدمين والمجموعات، لن يتم إدراج أي مستخدمين أو مجموعات. بالإضافة إلى ذلك، لا يمكن للعملاء المتقدمين الاتصال بنقطة الإدارة. الوصول المجهول مطلوب في "نقطة الإدارة".

      • SMS: عند استخدام ميزة "اكتشاف الشبكة" في SMS 2.0 وفي "تثبيت العميل عن بعد" مع تشغيل خيار اكتشاف شبكة أنظمة التشغيل الخاصة بالعميل والعميل، قد يتم اكتشاف أجهزة الكمبيوتر ولكن قد لا يتم تثبيتها.

10. أمان الشبكة: مستوى مصادقة Lan Manager

    1. الخلفيه
       
       مصادقة LAN Manager (LM) هي البروتوكول المستخدم لمصادقة عملاء Windows لعمليات الشبكة، بما في ذلك عمليات ربط المجالات والوصول إلى موارد الشبكة ومصادقة المستخدم أو الكمبيوتر. يحدد مستوى مصادقة LM بروتوكول مصادقة التحدي/الاستجابة الذي يتم التفاوض عليه بين العميل وأجهزة كمبيوتر الخادم. على وجه التحديد، يحدد مستوى مصادقة LM بروتوكولات المصادقة التي سيحاول العميل التفاوض عليها أو التي سيقبلها الخادم. تحدد القيمة التي تم تعيينها ل LmCompatibilityLevel بروتوكول مصادقة التحدي/الاستجابة المستخدم لتسجيل الدخول إلى الشبكة. تؤثر هذه القيمة على مستوى بروتوكول المصادقة الذي يستخدمه العملاء، ومستوى أمان جلسة العمل الذي تم التفاوض عليه، ومستوى المصادقة المقبولة من قبل الخوادم.
       
       تتضمن الإعدادات المحتملة ما يلي.

       ‏‏القيمة	الإعداد	الوصف
       0	إرسال استجابات LM & NTLM	يستخدم العملاء مصادقة LM وNTLM ولا يستخدمون أمان جلسة عمل NTLMv2 أبدا. تقبل وحدات التحكم بالمجال مصادقة LM وNTLM وNTLMv2.
       1	إرسال LM & NTLM - استخدام أمان جلسة NTLMv2 إذا تم التفاوض عليه	يستخدم العملاء مصادقة LM وNTLM، ويستخدمون أمان جلسة عمل NTLMv2 إذا كان الخادم يدعمها. تقبل وحدات التحكم بالمجال مصادقة LM وNTLM وNTLMv2.
       2	إرسال استجابة NTLM فقط	يستخدم العملاء مصادقة NTLM فقط ويستخدمون أمان جلسة عمل NTLMv2 إذا كان الخادم يدعمها. تقبل وحدات التحكم بالمجال مصادقة LM وNTLM وNTLMv2.
       3	إرسال استجابة NTLMv2 فقط	يستخدم العملاء مصادقة NTLMv2 فقط ويستخدمون أمان جلسة عمل NTLMv2 إذا كان الخادم يدعمها. تقبل وحدات التحكم بالمجال مصادقة LM وNTLM وNTLMv2.
       4	إرسال استجابة NTLMv2 فقط/رفض LM	يستخدم العملاء مصادقة NTLMv2 فقط ويستخدمون أمان جلسة عمل NTLMv2 إذا كان الخادم يدعمها. ترفض وحدات التحكم بالمجال LM وتقبل مصادقة NTLM وNTLMv2 فقط.
       5	إرسال استجابة NTLMv2 فقط/رفض LM & NTLM	يستخدم العملاء مصادقة NTLMv2 فقط ويستخدمون أمان جلسة عمل NTLMv2 إذا كان الخادم يدعمها. ترفض وحدات التحكم بالمجال LM وNTLM ولا تقبل سوى مصادقة NTLMv2.

       ملاحظة في Windows 95 وWindows 98 وWindows 98 Second Edition، يستخدم عميل خدمات الدليل توقيع SMB عند المصادقة مع خوادم Windows Server 2003 باستخدام مصادقة NTLM. ومع ذلك، لا يستخدم هؤلاء العملاء توقيع SMB عند المصادقة مع هذه الخوادم باستخدام مصادقة NTLMv2. بالإضافة إلى ذلك، لا تستجيب خوادم Windows 2000 لطلبات توقيع SMB من هؤلاء العملاء.
       
       تحقق من مستوى مصادقة LM: يجب تغيير النهج على الخادم للسماح ل NTLM، أو يجب تكوين كمبيوتر العميل لدعم NTLMv2.
       
       إذا تم تعيين النهج إلى (5) إرسال استجابة NTLMv2 فقط\رفض LM & NTLM على الكمبيوتر الهدف الذي تريد الاتصال به، يجب عليك إما خفض الإعداد على هذا الكمبيوتر أو تعيين الأمان إلى نفس الإعداد الموجود على الكمبيوتر المصدر الذي تتصل منه.
       
       ابحث عن الموقع الصحيح حيث يمكنك تغيير مستوى مصادقة إدارة LAN لتعيين العميل والخادم إلى المستوى نفسه. بعد العثور على النهج الذي يقوم بتعيين مستوى مصادقة إدارة LAN، إذا كنت تريد الاتصال بأجهزة الكمبيوتر التي تعمل بإصدارات سابقة من Windows وإلها، فقل القيمة إلى (1) إرسال LM & NTLM - استخدم أمان جلسة عمل NTLM من الإصدار 2 إذا تم التفاوض عليه. أحد تأثيرات الإعدادات غير المتوافقة هو أنه إذا كان الخادم يتطلب NTLMv2 (القيمة 5)، ولكن تم تكوين العميل لاستخدام LM وNTLMv1 فقط (القيمة 0)، يواجه المستخدم الذي يحاول المصادقة فشل تسجيل الدخول الذي يحتوي على كلمة مرور غير صحيحة، مما يؤدي إلى زيادة عدد كلمات المرور غير الصالحة. إذا تم تكوين تأمين الحساب، فقد يتم تأمين المستخدم في النهاية.
       
       على سبيل المثال، قد تحتاج إلى البحث في وحدة التحكم بالمجال، أو قد تحتاج إلى فحص نهج وحدة التحكم بالمجال.
       
       انظر إلى وحدة التحكم
       
       بالمجال ملاحظة، قد تحتاج إلى تكرار الإجراء التالي على كافة وحدات التحكم بالمجال.

       1. انقر فوق "ابدأ"، وأشر إلى "البرامج"، ثم انقر فوق "أدوات إدارية".

       2. ضمن إعدادات الأمان المحلية، قم بتوسيع النهج المحلية.

       3. انقر فوق "خيارات الأمان".

       4. انقر نقرا مزدوجا فوق أمان الشبكة: مستوى مصادقة مدير LAN، ثم انقر فوق قيمة في القائمة.

       
       إذا كان الإعداد الفعال والإعداد المحلي متماثلين، فقد تم تغيير النهج على هذا المستوى. إذا كانت الإعدادات مختلفة، يجب عليك التحقق من نهج وحدة التحكم بالمجال لتحديد ما إذا كان أمان الشبكة: يتم تحديد إعداد مستوى مصادقة مدير LAN هناك. إذا لم يتم تعريفه هناك، فتحقق من نهج وحدة التحكم بالمجال.
       
       فحص نهج وحدة التحكم بالمجال

       1. انقر فوق "ابدأ"، وأشر إلى "البرامج"، ثم انقر فوق "أدوات إدارية".

       2. في نهج أمان وحدة التحكم بالمجال ، قم بتوسيع إعدادات الأمان، ثم قم بتوسيع النهج المحلية.

       3. انقر فوق "خيارات الأمان".

       4. انقر نقرا مزدوجا فوق أمان الشبكة: مستوى مصادقة مدير LAN، ثم انقر فوق قيمة في القائمة.

       
       ملاحظه

       • قد تحتاج أيضا إلى التحقق من النهج المرتبطة على مستوى الموقع أو مستوى المجال أو مستوى الوحدة التنظيمية (OU) لتحديد المكان الذي يجب تكوين مستوى مصادقة مدير LAN فيه.

       • إذا قمت بتنفيذ إعداد نهج المجموعة كنهج المجال الافتراضي، فسيتم تطبيق النهج على كافة أجهزة الكمبيوتر الموجودة في المجال.

       • إذا قمت بتنفيذ إعداد نهج المجموعة كنهج وحدة تحكم المجال الافتراضية، فإن النهج ينطبق فقط على الخوادم في الوحدة التنظيمية لوحدة التحكم بالمجال.

       • من المستحسن تعيين مستوى مصادقة إدارة LAN في أقل كيان من النطاق الضروري في التسلسل الهرمي لتطبيق النهج.

       يحتوي Windows Server 2003 على إعداد افتراضي جديد لاستخدام NTLMv2 فقط. بشكل افتراضي، قامت وحدات التحكم بالمجال المستندة إلى Windows Server 2003 وWindows 2000 Server SP3 بتمكين نهج "خادم شبكة Microsoft: توقيع الاتصالات رقميا (دائما)". يتطلب هذا الإعداد أن يقوم خادم SMB بتنفيذ توقيع حزمة SMB. تم إجراء تغييرات على Windows Server 2003 لأن وحدات التحكم بالمجال وخوادم الملفات وخوادم البنية الأساسية للشبكة وخوادم الويب في أي مؤسسة تتطلب إعدادات مختلفة لزيادة أمانها إلى أقصى حد.
       
       إذا كنت تريد تنفيذ مصادقة NTLMv2 في الشبكة، يجب التأكد من تعيين كافة أجهزة الكمبيوتر الموجودة في المجال لاستخدام مستوى المصادقة هذا. إذا قمت بتطبيق ملحقات عميل Active Directory ل Windows 95 أو Windows 98 وWindows NT 4.0، فإن ملحقات العميل تستخدم ميزات المصادقة المحسنة المتوفرة في NTLMv2. نظرا لأن أجهزة الكمبيوتر العميلة التي تقوم بتشغيل أي من نظام التشغيل التالي لا تتأثر ب Windows 2000 نهج المجموعة Objects، فقد تحتاج إلى تكوين هؤلاء العملاء يدويا:

       • Microsoft Windows NT 4.0

       • Microsoft Windows Linux Edition

       • Microsoft Windows 98

       • Microsoft Windows 95

       ملاحظة إذا قمت بتمكين أمان الشبكة: لا تخزن قيمة تجزئة إدارة LAN على نهج تغيير كلمة المرور التالي أو قم بتعيين مفتاح التسجيل NoLMHash ، لا يمكن للعملاء المستندين إلى Windows 95 والمستندين إلى Windows 98 الذين لم يتم تثبيت عميل خدمات الدليل تسجيل الدخول إلى المجال بعد تغيير كلمة المرور.
       
       العديد من خوادم CIFS التابعة لجهة خارجية، مثل نوفل Netware 6، ليست على علم ب NTLMv2 وتستخدم NTLM فقط. لذلك، لا تسمح المستويات الأكبر من 2 بالاتصال. هناك أيضا عملاء SMB تابعون لجهة خارجية لا يستخدمون أمان جلسة العمل الموسعة. في هذه الحالات، لا يتم أخذ LmCompatiblityLevel لخادم الموارد في الاعتبار. ثم يقوم الخادم بحزم هذا الطلب القديم وإرساله إلى وحدة تحكم مجال المستخدم. ثم تقرر الإعدادات الموجودة على وحدة التحكم بالمجال ما هي التتجزئة المستخدمة للتحقق من الطلب وما إذا كانت تفي بمتطلبات أمان وحدة التحكم بالمجال.
       
        

       299656 كيفية منع Windows من تخزين تجزئة إدارة LAN لكلمة المرور الخاصة بك في Active Directory وقواعد بيانات SAM المحلية
        

       2701704يعرض حدث التدقيق حزمة المصادقة ك NTLMv1 بدلا من NTLMv2 لمزيد من المعلومات حول مستويات مصادقة LM، انقر فوق رقم المقالة التالية لعرض المقالة في قاعدة معارف Microsoft:

       239869 كيفية تمكين مصادقة NTLM 2
        

    2. التكوينات
       
       المحفوفة بالمخاطر فيما يلي إعدادات تكوين ضارة:

       • الإعدادات غير المعقدة التي ترسل كلمات المرور في نص واضح والتي ترفض التفاوض على NTLMv2

       • الإعدادات التقييدية التي تمنع العملاء غير المتوافقين أو وحدات التحكم بالمجال من التفاوض على بروتوكول مصادقة مشترك

       • طلب مصادقة NTLMv2 على أجهزة الكمبيوتر الأعضاء ووحدات التحكم بالمجال التي تقوم بتشغيل إصدارات Windows NT 4.0 الأقدم من حزمة الخدمة 4 (SP4)

       • يتطلب مصادقة NTLMv2 على عملاء Windows 95 أو على عملاء Windows 98 الذين لم يتم تثبيت عميل خدمات Windows Directory.

       • إذا نقرت لتحديد خانة الاختيار "طلب أمان جلسة عمل NTLMv2" في الأداة الإضافية "محرر إدارة Microsoft" نهج المجموعة على كمبيوتر يستند إلى Windows Server 2003 أو Windows 2000 Service Pack 3، وقمت بخفض مستوى مصادقة مدير LAN إلى 0، تعارض الإعدادين، وقد تتلقى رسالة الخطأ التالية في ملف Secpol.msc أو ملف GPEdit.msc:

         يتعذر على Windows فتح قاعدة بيانات النهج المحلي. حدث خطأ غير معروف عند محاولة فتح قاعدة البيانات.

         لمزيد من المعلومات حول "أداة تكوين الأمان والتحليل"، راجع ملفات تعليمات Windows 2000 أو Windows Server 2003.

    3. أسباب تعديل هذا الإعداد

       • تريد زيادة بروتوكول المصادقة الأقل شيوعا الذي يدعمه العملاء ووحدات التحكم بالمجال في مؤسستك.

       • عندما تكون المصادقة الآمنة أحد متطلبات العمل، فأنت تريد عدم السماح بالتفاوض على بروتوكولي LM وNTLM.

    4. أسباب تعطيل هذا الإعداد
       
       تم زيادة متطلبات مصادقة العميل أو الخادم، أو كليهما، إلى النقطة التي لا يمكن أن تحدث فيها المصادقة عبر بروتوكول شائع.

    5. الاسم الرمزي:
       
       LmCompatibilityLevel

    6. مسار التسجيل:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. أمثلة على مشاكل التوافق

       • Windows Server 2003: بشكل افتراضي، يتم تمكين إعداد استجابات Windows Server 2003 NTLMv2 Send NTLM. لذلك، يتلقى Windows Server 2003 رسالة الخطأ "تم رفض الوصول" بعد التثبيت الأولي عند محاولة الاتصال بنظام مجموعة يستند إلى Windows NT 4.0 أو إلى الخوادم المستندة إلى LanManager V2.1، مثل OS/2 Lanserver. تحدث هذه المشكلة أيضا إذا حاولت الاتصال من عميل إصدار سابق إلى خادم يستند إلى Windows Server 2003.

       • تثبيت حزمة مجموعة الأمان 1 ل Windows 2000 (SRP1). يفرض SRP1 الإصدار 2 من NTLM (NTLMv2). تم إصدار حزمة الطرح هذه بعد إصدار Windows 2000 Service Pack 2 (SP2).
          

       • Windows 7 وWindows Server 2008 R2: لا تكون العديد من خوادم CIFS التابعة لجهات خارجية، مثل خوادم NTLMv2 المستندة إلى Linux أو خوادم Samba المستندة إلى Linux، على دراية ب NTLMv2 وتستخدم NTLM فقط. لذلك، لا تسمح المستويات الأكبر من "2" بالاتصال. الآن في هذا الإصدار من نظام التشغيل، تم تغيير الإعداد الافتراضي ل LmCompatibilityLevel إلى "3". لذلك عند ترقية Windows، قد يتوقف ملفو الجهات الخارجية عن العمل.

       • قد تتم مطالبة عملاء Microsoft Outlook ببيانات الاعتماد على الرغم من تسجيل دخولهم بالفعل إلى المجال. عندما يقوم المستخدمون بتوفير بيانات الاعتماد الخاصة بهم، فإنهم يتلقون رسالة الخطأ التالية: Windows 7 وWindows Server 2008 R2

         بيانات اعتماد تسجيل الدخول التي تم توفيرها غير صحيحة. تأكد من صحة اسم المستخدم والمجال، ثم اكتب كلمة المرور مرة أخرى.

         عند بدء تشغيل Outlook، قد تتم مطالبتك ببيانات الاعتماد الخاصة بك حتى إذا تم تعيين إعداد أمان شبكة تسجيل الدخول إلى Passthrough أو إلى مصادقة كلمة المرور. بعد كتابة بيانات الاعتماد الصحيحة، قد تتلقى رسالة الخطأ التالية:

         بيانات اعتماد تسجيل الدخول التي تم توفيرها غير صحيحة.

         قد يظهر تتبع Network Monitor أن الكتالوج العمومي أصدر خطأ استدعاء إجراء عن بعد (RPC) بحالة 0x5. تعني حالة 0x5 "تم رفض الوصول".

       • Windows 2000: قد يظهر التقاط Network Monitor الأخطاء التالية في جلسة عمل رسالة خادم NetBIOS عبر TCP/IP (NetBT):

         خطأ SMB R Search Directory Dos، (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) معرف مستخدم غير صالح

       • Windows 2000: إذا كان مجال Windows 2000 مع NTLMv2 Level 2 أو إصدار أحدث موثوقا به من قبل مجال Windows NT 4.0، فقد تواجه أجهزة الكمبيوتر الأعضاء المستندة إلى Windows 2000 في مجال الموارد أخطاء في المصادقة.

       • Windows 2000 وWindows XP: بشكل افتراضي، يقوم Windows 2000 وWindows XP بتعيين خيار نهج الأمان المحلي على مستوى مصادقة LAN Manager إلى 0. الإعداد 0 يعني "إرسال استجابات LM وNTLM".
         
         ملاحظة، يجب أن تستخدم المجموعات المستندة إلى Windows NT 4.0 LM للإدارة.

       • Windows 2000: لا يصادق نظام مجموعة Windows 2000 عقدة الانضمام إذا كانت كلتا العقدتين جزءا من مجال Windows NT 4.0 Service Pack 6a (SP6a).

       • تعين أداة تأمين IIS (HiSecWeb) قيمة LMCompatibilityLevel إلى 5 والقيمة RestrictAnonymous إلى 2.

       • خدمات Macintosh
         
         الوحدة النمطية لمصادقة المستخدم (UAM): توفر وحدة Microsoft UAM (وحدة مصادقة المستخدم) طريقة لتشفير كلمات المرور التي تستخدمها لتسجيل الدخول إلى خوادم WINDOWS RESTART (بروتوكول ملفات AppleTalk). توفر الوحدة النمطية لمصادقة مستخدم Apple (UAM) الحد الأدنى فقط من التشفير أو لا توفره. لذلك، يمكن بسهولة اعتراض كلمة المرور الخاصة بك على LAN أو على الإنترنت. على الرغم من أن UAM غير مطلوب، فإنه يوفر مصادقة مشفرة لخوادم Windows 2000 التي تقوم بتشغيل Services for Macintosh. يتضمن هذا الإصدار دعم المصادقة المشفرة NTLMv2 128 بت وإصدار متوافق مع MacOS X 10.1.
         
         بشكل افتراضي، تسمح خدمات Windows Server 2003 لخادم Macintosh بمصادقة Microsoft فقط.
          

       • Windows Server 2008 وWindows Server 2003 وWindows XP وWindows 2000: إذا قمت بتكوين قيمة LMCompatibilityLevel لتكون 0 أو 1 ثم قمت بتكوين قيمة NoLMHash لتكون 1، فقد يتم رفض الوصول إلى التطبيقات والمكونات من خلال NTLM. تحدث هذه المشكلة بسبب تكوين الكمبيوتر لتمكين LM ولكن ليس لاستخدام كلمات المرور المخزنة LM.
         
         إذا قمت بتكوين قيمة NoLMHash لتكون 1، يجب تكوين قيمة LMCompatibilityLevel لتكون 2 أو أعلى.

11. أمان الشبكة: متطلبات توقيع عميل LDAP

    1. الخلفيه
       
       أمان الشبكة: يحدد إعداد متطلبات توقيع عميل LDAP مستوى توقيع البيانات المطلوب نيابة عن العملاء الذين يصدرون طلبات BIND لبروتوكول الوصول إلى الدليل الخفيف (LDAP) كما يلي:

       • بلا: يتم إصدار طلب LDAP BIND مع الخيارات المحددة من قبل المتصل.

       • التفاوض على التوقيع: إذا لم يتم بدء تشغيل أمان طبقة مآخذ التوصيل الآمنة/طبقة النقل (SSL/TLS)، يتم بدء طلب LDAP BIND مع تعيين خيار توقيع بيانات LDAP بالإضافة إلى الخيارات المحددة من قبل المتصل. إذا تم بدء تشغيل SSL/TLS، يتم بدء طلب LDAP BIND بالخيارات المحددة من قبل المتصل.

       • يتطلب التوقيع: هذا هو نفس توقيع التفاوض. ومع ذلك، إذا كانت استجابة saslBindInProgress المتوسطة لخادم LDAP لا تشير إلى أن توقيع حركة مرور LDAP مطلوب، يتم إعلام المتصل بفشل طلب أمر LDAP BIND.

    2. تكوين
       
       محفوف بالمخاطر تمكين أمان الشبكة: إعداد متطلبات توقيع عميل LDAP هو إعداد تكوين ضار. إذا قمت بتعيين الخادم لطلب توقيعات LDAP، يجب أيضا تكوين توقيع LDAP على العميل. سيؤدي عدم تكوين العميل لاستخدام تواقيع LDAP إلى منع الاتصال بالخادم. يؤدي ذلك إلى فشل مصادقة المستخدم وإعدادات نهج المجموعة والبرامج النصية لتسجيل الدخول والميزات الأخرى.

    3. أسباب تعديل هذا الإعداد
       
       نسبة استخدام الشبكة غير الموقعة عرضة لهجمات الدخيل في الوسط حيث يلتقط المتطفل الحزم بين العميل والخوادم، ويعدلها، ثم يعيد توجيهها إلى الخادم. عند حدوث ذلك على خادم LDAP، قد يتسبب المهاجم في استجابة الخادم استنادا إلى استعلامات خاطئة من عميل LDAP. يمكنك تقليل هذه المخاطر في شبكة الشركة من خلال تنفيذ تدابير أمان مادية قوية للمساعدة في حماية البنية الأساسية للشبكة. بالإضافة إلى ذلك، يمكنك المساعدة في منع جميع أنواع الهجمات بين الشبكات من خلال طلب تواقيع رقمية على جميع حزم الشبكة عن طريق رؤوس مصادقة IPSec.

    4. الاسم الرمزي:
       
       LDAPClientIntegrity

    5. مسار التسجيل:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

12. سجل الأحداث: الحد الأقصى لحجم سجل الأمان

    1. الخلفيه
       
       سجل الأحداث: يحدد إعداد أمان حجم سجل الأمان الأقصى الحد الأقصى لحجم سجل أحداث الأمان. يبلغ الحد الأقصى لحجم هذا السجل 4 غيغابايت. لتحديد موقع هذا الإعداد، قم بتوسيع
       إعدادات Windows، ثم قم بتوسيع إعدادات الأمان.

    2. التكوينات
       
       المحفوفة بالمخاطر فيما يلي إعدادات تكوين ضارة:

       • تقييد حجم سجل الأمان وأسلوب استبقاء سجل الأمان عند تمكين التدقيق: إيقاف تشغيل النظام على الفور إذا تعذر تسجيل إعداد تدقيقات الأمان. راجع القسم "تدقيق: إيقاف تشغيل النظام على الفور إذا تعذر تسجيل عمليات تدقيق الأمان" في هذه المقالة للحصول على مزيد من التفاصيل.

       • تقييد حجم سجل الأمان بحيث تتم الكتابة فوق أحداث الأمان ذات الأهمية.

    3. أسباب زيادة هذا الإعداد
       
       قد تملي متطلبات العمل والأمان زيادة حجم سجل الأمان لمعالجة تفاصيل سجل الأمان الإضافية أو الاحتفاظ بسجلات الأمان لفترة أطول من الوقت.

    4. أسباب إنقاص هذا الإعداد
       
       عارض الأحداث السجلات هي الملفات المعينة للذاكرة. يتم تقييد الحد الأقصى لحجم سجل الأحداث بمقدار الذاكرة الفعلية في الكمبيوتر المحلي والذاكرة الظاهرية المتوفرة لعملية سجل الأحداث. لا تؤدي زيادة حجم السجل إلى ما هو أبعد من مقدار الذاكرة الظاهرية المتوفرة عارض الأحداث إلى زيادة عدد إدخالات السجل التي يتم الاحتفاظ بها.

    5. أمثلة على مشاكل
       
       التوافق Windows 2000: قد توقف أجهزة الكمبيوتر التي تقوم بتشغيل إصدارات Windows 2000 أقدم من حزمة الخدمة 4 (SP4) تسجيل الأحداث في سجل الأحداث قبل الوصول إلى الحجم المحدد في إعداد الحد الأقصى لحجم السجل في عارض الأحداث إذا تم تشغيل الخيار "عدم الكتابة فوق الأحداث (مسح السجل يدويا).
       
       
        

13. سجل الأحداث: الاحتفاظ بسجل الأمان

    1. الخلفيه
       
       يحدد سجل الأحداث: الاحتفاظ بإعداد أمان سجل الأمان أسلوب "الالتفاف" لسجل الأمان. لتحديد موقع هذا الإعداد، قم بتوسيع إعدادات Windows، ثم قم بتوسيع إعدادات الأمان.

    2. التكوينات
       
       المحفوفة بالمخاطر فيما يلي إعدادات تكوين ضارة:

       • فشل الاحتفاظ بكافة أحداث الأمان المسجلة قبل الكتابة فوقها

       • تكوين إعداد الحد الأقصى لحجم سجل الأمان صغير جدا بحيث تتم الكتابة فوق أحداث الأمان

       • تقييد حجم سجل الأمان وطريقة الاستبقاء أثناء التدقيق: إيقاف تشغيل النظام على الفور إذا تعذر تسجيل إعداد أمان تدقيقات الأمان

    3. أسباب تمكين هذا الإعداد
       
       قم بتمكين هذا الإعداد فقط إذا قمت بتحديد أسلوب الاستبقاء "الكتابة فوق الأحداث حسب الأيام ". إذا كنت تستخدم نظام ارتباط حدث يقوم بالاستقصاءات للأحداث، فتأكد من أن عدد الأيام هو ثلاثة أضعاف تكرار الاستقصاء على الأقل. قم بذلك للسماح بدورات الاستقصاء الفاشلة.

14. الوصول إلى الشبكة: السماح لتطبيق أذونات الجميع على المستخدمين المجهولين

    1. الخلفيه
       
       بشكل افتراضي، يتم تعيين الوصول إلى الشبكة: السماح للجميع بتطبيق أذونات على إعداد المستخدمين المجهولين إلى "غير معرف" على Windows Server 2003. بشكل افتراضي، لا يتضمن Windows Server 2003 الرمز المميز للوصول المجهول في المجموعة "الجميع".

    2. مثال على مشاكل
       
       التوافق القيمة التالية

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous [REG_DWORD]=0x0 يكسر إنشاء الثقة بين Windows Server 2003 وWindows NT 4.0، عندما يكون مجال Windows Server 2003 هو مجال الحساب ومجال Windows NT 4.0 هو مجال الموارد. وهذا يعني أن مجال الحساب موثوق به على Windows NT 4.0 ومجال الموارد موثوق به على جانب Windows Server 2003. يحدث هذا السلوك لأن عملية بدء الثقة بعد الاتصال المجهول الأولي هي ACL'd مع الرمز المميز للجميع الذي يتضمن SID مجهول على Windows NT 4.0.

    3. أسباب تعديل هذا الإعداد
       
       يجب تعيين القيمة إلى 0x1 أو تعيينها باستخدام عنصر نهج المجموعة على الوحدة التنظيمية لوحدة التحكم بالمجال لتكون: الوصول إلى الشبكة: اسمح للجميع بالتطبيق على المستخدمين المجهولين - ممكن لجعل عمليات إنشاء الثقة ممكنة.
       
       لاحظ أن معظم إعدادات الأمان الأخرى تذهب إلى الأعلى في القيمة بدلا من أن تصل إلى 0x0 في حالتها الأكثر أمانا. ومن الممارسات الأكثر أمانا تغيير السجل على محاكي وحدة التحكم بالمجال الأساسي بدلا من جميع وحدات التحكم بالمجال. إذا تم نقل دور محاكي وحدة التحكم بالمجال الأساسي لأي سبب من الأسباب، يجب تحديث السجل على الخادم الجديد.
       
       مطلوب إعادة تشغيل بعد تعيين هذه القيمة.

    4. مسار التسجيل

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

15. مصادقة NTLMv2

    1. أمان
       
       جلسة العمل يحدد أمان الجلسة الحد الأدنى لمعايير الأمان لجلسات عمل العميل والخادم. من الجيد التحقق من إعدادات نهج الأمان التالية في أداة Microsoft Management Console نهج المجموعة Editor الإضافية:

       • إعدادات الكمبيوتر\إعدادات Windows\إعدادات الأمان\النهج المحلية\خيارات الأمان

       • أمان الشبكة: الحد الأدنى لأمان جلسة العمل لخوادم NTLM SSP المستندة إلى (بما في ذلك RPC الآمنة)

       • أمان الشبكة: الحد الأدنى لأمان جلسة العمل لعملاء NTLM SSP المستندين إلى (بما في ذلك RPC الآمنة)

       فيما يلي خيارات هذه الإعدادات:

       • طلب تكامل الرسالة

       • المطالبة بسرية الرسائل

       • طلب أمان جلسة عمل الإصدار 2 من NTLM

       • يتطلب تشفير 128 بت

       الإعداد الافتراضي قبل Windows 7 ليس متطلبات. بدءا من Windows 7، تم تغيير الإعداد الافتراضي إلى "يتطلب تشفير 128 بت" لتحسين الأمان. باستخدام هذا الإعداد الافتراضي، لن تتمكن الأجهزة القديمة التي لا تدعم التشفير 128 بت من الاتصال.
       
       تحدد هذه النهج الحد الأدنى من معايير الأمان لجلسة اتصالات من تطبيق إلى تطبيق على خادم لعميل.
       
       لاحظ أنه على الرغم من وصفها بالإعدادات الصالحة، لا يتم استخدام العلامات التي تتطلب تكامل الرسالة والسرية عند تحديد أمان جلسة عمل NTLM.
       
       تاريخيا، دعم Windows NT المتغيرين التاليين من مصادقة التحدي/الاستجابة لتسجيلات الدخول إلى الشبكة:

       • تحدي/استجابة LM

       • NTLM الإصدار 1 من التحدي/الاستجابة

       يسمح LM بإمكانية التشغيل التفاعلي مع قاعدة العملاء والخوادم المثبتة. يوفر NTLM أمانا محسنا للاتصالات بين العملاء والخوادم.
       
       مفاتيح التسجيل المقابلة هي كما يلي:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

    2. التكوينات
       
       المحفوفة بالمخاطر يتحكم هذا الإعداد في كيفية معالجة جلسات عمل الشبكة المؤمنة باستخدام NTLM. يؤثر هذا على جلسات العمل المستندة إلى RPC المصادق عليها باستخدام NTLM، على سبيل المثال. هناك المخاطر التالية:

       • يؤدي استخدام أساليب مصادقة أقدم من NTLMv2 إلى تسهيل الهجوم على الاتصال بسبب أساليب التجزئة البسيطة المستخدمة.

       • يتيح استخدام مفاتيح التشفير الأقل من 128 بت للمهاجمين قطع الاتصال باستخدام هجمات القوة الغاشمة.

مزامنة الوقت

فشل مزامنة الوقت. يكون الوقت متوقفا عن التشغيل لأكثر من 30 دقيقة على كمبيوتر متأثر. تأكد من مزامنة ساعة الكمبيوتر العميل مع ساعة وحدة التحكم بالمجال.

حل بديل للتوزيع SMB

نوصي بتثبيت Service Pack 6a (SP6a) على عملاء Windows NT 4.0 الذين يتداخلون في مجال يستند إلى Windows Server 2003. يجب على العملاء المستندين إلى الإصدار الثاني من Windows 98 والعملاء المستندين إلى Windows 98 والعملاء المستندين إلى Windows 95 تشغيل عميل خدمات الدليل لتنفيذ NTLMv2. إذا لم يكن العملاء المستندون إلى Windows NT 4.0 مثبتين على Windows NT 4.0 SP6 أو إذا لم يكن العملاء المستندين إلى Windows 95 والعملاء المستندين إلى Windows 98 والعملاء المستندين إلى Windows 98SE مثبتين على عميل خدمات الدليل، فقم بتعطيل تسجيل SMB في إعداد نهج وحدة التحكم بالمجال الافتراضي على الوحدة التنظيمية لوحدة التحكم بالمجال، ثم قم بربط هذا النهج بكافة الوحدات التنظيمية التي تستضيف وحدات التحكم بالمجال.

سيقوم عميل خدمات الدليل للإصدار الثاني من Windows 98 وWindows 98 وWindows 95 بتسجيل SMB باستخدام خوادم Windows 2003 ضمن مصادقة NTLM، ولكن ليس ضمن مصادقة NTLMv2. بالإضافة إلى ذلك، لن تستجيب خوادم Windows 2000 لطلبات توقيع SMB من هؤلاء العملاء.

على الرغم من أننا لا نوصي بذلك، يمكنك منع طلب تسجيل SMB على جميع وحدات التحكم بالمجال التي تقوم بتشغيل Windows Server 2003 في مجال. لتكوين إعداد الأمان هذا، اتبع الخطوات التالية:

1. افتح نهج وحدة التحكم بالمجال الافتراضي.

2. افتح المجلد Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options.

3. حدد موقع خادم شبكة Microsoft ثم انقر فوقه: إعداد نهج توقيع الاتصالات رقميا (دائما)، ثم انقر فوق "معطل".

هام يحتوي هذا المقطع أو الأسلوب أو المهمة على خطوات تخبرك بكيفية تعديل السجل. ومع ذلك، قد تحدث مشاكل خطيرة إذا قمت بتعديل السجل بشكل غير صحيح. لذلك، تأكد من اتباع هذه الخطوات بعناية. لمزيد من الحماية، قم بإجراء نسخ احتياطي للسجل قبل تعديله. بعد ذلك، يمكنك استعادة السجل في حالة حدوث مشكلة. لمزيد من المعلومات حول كيفية إجراء نسخ احتياطي للسجل واستعادته، انقر فوق رقم المقالة التالي لعرض المقالة في قاعدة معارف Microsoft:

322756 كيفية إجراء نسخ احتياطي للسجل واستعادته في Windows بدلا من ذلك، قم بإيقاف تشغيل تسجيل SMB على الخادم عن طريق تعديل السجل. للقيام بذلك، اتبع هذه الخطوات:

1. انقر فوق "ابدأ"، وانقر فوق "تشغيل"، واكتب regedit، ثم انقر فوق "موافق".

2. حدد موقع المفتاح الفرعي التالي ثم انقر فوقه:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

3. انقر فوق إدخال enablesecuritysignature .

4. في القائمة "تحرير "، انقر فوق "تعديل".

5. في مربع بيانات "القيمة "، اكتب 0، ثم انقر فوق "موافق".

6. إنهاء محرر السجل.

7. أعد تشغيل الكمبيوتر، أو أوقف تشغيل خدمة الخادم ثم أعد تشغيلها. للقيام بذلك، اكتب الأوامر التالية في موجه الأوامر، ثم اضغط على مفتاح الإدخال Enter بعد كتابة كل أمر:
   خادم
   إيقاف net خادم البدء الصافي

لاحظ أن المفتاح المقابل على كمبيوتر العميل موجود في المفتاح الفرعي للسجل التالي:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters يسرد التالي أرقام رموز الخطأ المترجمة إلى رموز الحالة وإلى رسائل الخطأ الحرفية المذكورة سابقا:

لمزيد من المعلومات، انقر فوق أرقام المقالات التالية لعرض المقالات في قاعدة معارف Microsoft:

324802 كيفية تكوين نهج المجموعة لتعيين الأمان لخدمات النظام في Windows Server 2003

816585 كيفية تطبيق قوالب الأمان المعرفة مسبقا في Windows Server 2003