Преминаване към основното съдържание
Поддръжка
Влизане с Microsoft
Влезте или създайте акаунт.
Здравейте,
Изберете друг акаунт.
Имате няколко акаунта
Изберете акаунта, с който искате да влезете.

Резюме

Настройките за защита и присвояванията на потребителски права могат да бъдат променени в локалните правила и груповите правила, за да ви помогнат да затягате защитата на домейнови контролери и компютри членове. Недостатъкът на повишената защита обаче е въвеждането на несъвместимости с клиенти, услуги и програми.

Тази статия описва несъвместимости, които могат да възникнат на клиентски компютри с Windows XP или по-стара версия на Windows, когато променяте конкретни настройки на защитата и присвоявания на потребителски права в домейн на Windows Server 2003 или по-стар домейн на Windows Server.

За информация относно групови правила за Windows 7, Windows Server 2008 R2 и Windows Server 2008 вижте следните статии:

Забележка: Оставащото съдържание в тази статия е специфично за Windows XP, Windows Server 2003 и по-стари версии на Windows.

Windows XP

За да увеличите информираността за неправилно конфигурирани настройки за защита, използвайте инструмента групови правила редактора на обекти, за да промените настройките за защита. Когато използвате групови правила Object Editor, присвояванията на потребителски права се подобряват в следните операционни системи:

  • Windows XP Professional Service Pack 2 (SP2)

  • Windows Server 2003 Service Pack 1 (SP1)

Подобрената функция е диалогов прозорец, който съдържа връзка към тази статия. Диалоговият прозорец се показва, когато промените настройка за защита или присвояване на потребителски права на настройка, която предлага по-малко съвместимост и е по-ограничаваща. Ако директно промените същата настройка за защита или присвояване на потребителски права с помощта на системния регистър или с помощта на шаблони за защита, ефектът е същият като промяната на настройката в редактора на обекти групови правила. Обаче диалоговият прозорец, който съдържа връзката към тази статия не се появява.

Тази статия съдържа примери за клиенти, програми и операции, които са засегнати от конкретни настройки за защита или присвояване на потребителски права. Примерите обаче не са достоверни за всички операционни системи на Microsoft, за всички операционни системи на други разработчици или за всички версии на програми, които са засегнати. Не всички настройки за защита и присвояване на потребителски права са включени в тази статия.

Препоръчваме ви да проверите съвместимостта на всички свързани със защитата промени в конфигурацията в тестова гора, преди да ги представите в производствена среда. Тестовата гора трябва да отразява производствената гора по следните начини:

  • Версии на клиентски и сървърни операционни системи, клиентски и сървърни програми, версии на сервизни пакети, горещи поправки, промени в схеми, групи за защита, членства в групи, разрешения за обекти във файловата система, споделени папки, системния регистър, справочната услуга на Active Directory, локални и групови правила настройки и тип и местоположение на брой обекти

  • Административни задачи, които се изпълняват, административни инструменти, които се използват, и операционни системи, които се използват за изпълнение на административни задачи

  • Изпълнявани операции, като например следните:

    • Удостоверяване при влизане на компютър и потребител

    • Нулирания на пароли от потребители, от компютри и от администратори

    • Търсят

    • Задаване на разрешения за файловата система, за споделени папки, за системния регистър и за ресурси на Active Directory с помощта на ACL редактора във всички клиентски операционни системи във всички домейни на акаунти или ресурси от всички клиентски операционни системи от всички домейни на акаунти или ресурси

    • Печат от административни и неадминистративни акаунти

Windows Server 2003 SP1

Предупреждения в Gpedit.msc

За да се помогне на клиентите да разберат, че редактират потребителско право или опция за защита, които могат да повлияят неблагоприятно на тяхната мрежа, към gpedit.msc са добавени два механизма за предупреждение. Когато администраторите редактират потребителско право, което може да повлияе неблагоприятно на цялото предприятие, те ще видят нова икона, наподобяваща знак за доходност. Те също така ще получат предупредително съобщение, което има връзка към статията в базата знания на Microsoft, 823659. Текстът на това съобщение е следният:

Модифицирането на тази настройка може да повлияе на съвместимостта с клиенти, услуги и приложения. За повече информация вижте <правото на потребителя или опцията за защита, която се променя> (Q823659) Ако сте били пренасочени към тази статия от базата знания от връзка в Gpedit.msc, уверете се, че сте прочели и разбрали даденото обяснение и възможния ефект от промяната на тази настройка. По-долу са изредени потребителските права, които съдържат текста на предупреждението:

  • Достъп до този компютър от мрежата

  • Локално влизане

  • Проверка за заобикаляне на пресичане

  • Разрешаване на компютри и потребители за надеждно делегиране

По-долу са изредени опциите за защита, които имат предупреждението и изскачащо съобщение:

  • Член на домейна: Цифрово шифроване или подписване на защитени данни за канал (винаги)

  • Член на домейн: Изисква се силен (Windows 2000 или по-нова версия) сесиен ключ

  • Домейнов контролер: Изисквания за подписване на LDAP сървър

  • Мрежов сървър на Microsoft: Съобщения с цифров подпис (винаги)

  • Мрежов достъп: Позволява превод на анонимен Sid/име

  • Мрежов достъп: Не позволявай анонимно изброяване на SAM акаунти и споделяния

  • Мрежова защита: Ниво на удостоверяване в LAN Manager

  • Проверка: Незабавно изключване на системата, ако не може да се регистрират проверки за защита

  • Мрежов достъп: Изисквания за подписване на LDAP клиент

Още информация

Следващите раздели описват несъвместимости, които могат да възникнат, когато промените определени настройки в домейни на Windows NT 4.0, домейни на Windows 2000 и домейни на Windows Server 2003.

Потребителски права

Списъкът по-долу описва правото на потребителя, идентифицира конфигурационните настройки, които може да предизвикат проблеми, описва защо трябва да приложите правото на потребителя и защо може да искате да премахнете правото на потребителя, и дава примери за проблеми със съвместимостта, които може да възникнат, когато е конфигурирано правото на потребителя.

  1. Достъп до този компютър от мрежата

    1. Фон

      Възможността за взаимодействие с отдалечени компютри, базирани на Windows, изисква достъп до този компютър от правото на мрежовия потребител. Примери за такива мрежови операции включват следното:

      • Репликация на Active Directory между домейнови контролери в общ домейн или гора

      • Заявки за удостоверяване към домейнови контролери от потребители и от компютри

      • Достъп до споделени папки, принтери и други системни услуги, които се намират на отдалечени компютри в мрежата



      Потребителите, компютрите и акаунтите за услуги получават или губят достъпа до този компютър от правото на мрежовия потребител, като бъдат изрично или неявно добавени или премахнати от група за защита, която е получила това потребителско право. Например потребителски акаунт или акаунт на компютър може да бъде изрично добавен към потребителска група за защита или вградена група за защита от администратор или може да бъде неявно добавен от операционната система към компютърна група за защита, като например "Потребители на домейн", "Удостоверени потребители" или "Корпоративни домейнови контролери".

      По подразбиране на потребителските акаунти и акаунтите на компютъра се предоставя Достъп до този компютър от мрежовия потребител право, когато се изчисляват групи като Всеки или, за предпочитане, удостоверени потребители и, за домейнови контролери, групата корпоративни домейнови контролери, се дефинират в домейновите контролери по подразбиране групови правила Object (GPO).

    2. Рискови конфигурации

      Следните настройки са опасни за конфигурацията:

      • Премахване на групата за защита "Корпоративни домейнови контролери" от това право за потребител

      • Премахване на групата "Удостоверени потребители" или изрична група, която позволява на потребителите, компютрите и акаунтите за услуги да се свързват с компютри по мрежата

      • Премахване на всички потребители и компютри от този потребител

    3. Причини да дадете право на този потребител

      • Предоставянето на достъп до този компютър от мрежовия потребител право на групата "Корпоративни домейнови контролери" отговаря на изисквания за удостоверяване, които трябва да има репликация на Active Directory, за да възникне репликация между домейнови контролери в една и съща гора.

      • Това потребителско право позволява на потребителите и компютрите достъп до споделени файлове, принтери и системни услуги, включително Active Directory.

      • Това право на потребителя е задължително, за да могат потребителите да осъществяват достъп до пощата с помощта на ранните версии на Microsoft Outlook Web Access (OWA).

    4. Причини за премахване на това потребителско право

      • Потребителите, които могат да свържат компютрите си към мрежата, имат достъп до ресурси на отдалечени компютри, за които имат разрешения. Например това право на потребител е задължително, за да може потребителят да се свързва със споделени принтери и папки. Ако това потребителско право е предоставено на групата "Всеки" и ако някои споделени папки имат разрешения за споделяне и NTFS файлова система, конфигурирани така, че една и съща група да има достъп за четене, всеки може да преглежда файлове в тези споделени папки. Това обаче е малко вероятна ситуация за нови инсталации на Windows Server 2003, тъй като споделянето по подразбиране и разрешенията за NTFS в Windows Server 2003 не включват групата "Всеки". За системи, които са надстроени от Microsoft Windows NT 4.0 или Windows 2000, тази уязвимост може да има по-високо ниво на риск, тъй като споделянето по подразбиране и разрешенията за файловата система за тези операционни системи не са толкова ограничаващи, колкото разрешенията по подразбиране в Windows Server 2003.

      • Няма валидна причина за премахването на групата "Корпоративни домейнови контролери" от това право за потребител.

      • Групата "Всеки" обикновено се премахва в полза на групата "Удостоверени потребители". Ако групата "Всеки" бъде премахната, на групата "Удостоверени потребители" трябва да бъде предоставено това потребителско право.

      • Домейни на Windows NT 4.0, които са надстроени до Windows 2000, не дават изрично право на достъп до този компютър от мрежата потребител на групата Всеки, групата удостоверени потребители или група на корпоративни домейнови контролери. Затова когато премахнете групата "Всеки" от правилата за домейн на Windows NT 4.0, репликацията на Active Directory ще бъде неуспешна със съобщение за грешка "Отказан достъп" след надстройване до Windows 2000. Winnt32.exe в Windows Server 2003 избягва тази неправилна конфигурация чрез предоставяне на групата корпоративни домейнови контролери този потребител право, когато надстройвате Windows NT 4.0 първични домейнови контролери (PDCs). Дайте на групата корпоративни домейнови контролери право на този потребител, ако той не присъства в редактора на групови правила обекти.

    5. Примери за проблеми със съвместимостта

      • Windows 2000 и Windows Server 2003: Репликацията на следните дялове ще бъде неуспешна с грешки "Отказан достъп", съобщени от инструменти за наблюдение, като например REPLMON и REPADMIN или събития за репликация в регистъра на събитията.

        • Дял със схема на Active Directory

        • Конфигурационен дял

        • Домейнов дял

        • Глобален каталожен дял

        • Дял на приложение

      • Всички мрежови операционни системи на Microsoft: Удостоверяването на потребителския акаунт от клиентски компютри с отдалечена мрежа ще е неуспешно, освен ако потребителят или групата за защита, на която потребителят е член, не получи това потребителско право.

      • Всички мрежови операционни системи на Microsoft: Удостоверяването на акаунт от отдалечени мрежови клиенти ще бъде неуспешно, освен ако акаунтът или групата за защита, на която акаунтът е член, не е предоставено това потребителско право. Този сценарий се отнася за потребителски акаунти, за акаунти на компютър и за акаунти на услуги.

      • Всички мрежови операционни системи на Microsoft: Премахването на всички акаунти от това право на потребител ще попречи на всеки акаунт да влезе в домейна или да получи достъп до мрежовите ресурси. Ако са премахнати изчислени групи като корпоративни домейнови контролери, всеки или удостоверени потребители, трябва изрично да дадете на този потребител право на акаунти или групи за защита, на които акаунтът е член, за достъп до отдалечени компютри по мрежата. Този сценарий се отнася за всички потребителски акаунти, за всички акаунти на компютъра и за всички акаунти за услуги.

      • Всички мрежови операционни системи на Microsoft: Локалният акаунт на администратор използва "празна" парола. Мрежовата връзка с празни пароли не е разрешена за акаунти на администратори в среда на домейн. С тази конфигурация можете да очаквате да получите съобщение за грешка "Отказан достъп".

  2. Локална възможност за влизане

    1. Фон

      Потребителите, които се опитват да влязат в конзолата на компютър, базиран на Windows (с помощта на клавишната комбинация CTRL+ALT+DELETE) и акаунтите, които се опитват да стартират услуга, трябва да имат локални привилегии за влизане на хост компютъра. Примери за локални операции за влизане включват администратори, които влизат в конзолите на компютрите членове, или домейнови контролери в рамките на предприятието и потребителите на домейни, които влизат в компютрите членове за достъп до своите работни плотове с помощта на акаунти, които не са привилегировани. Потребителите, които използват връзка с отдалечен работен плот или терминални услуги, трябва да имат право да влизат локално на компютри местоназначение, на които се изпълнява Windows 2000 или Windows XP, тъй като тези режими на влизане се считат за локални на хост компютъра. Потребителите, които са влезли в сървър, който има разрешен терминален сървър и които нямат право за този потребител, все още могат да стартират отдалечена интерактивна сесия в домейни на Windows Server 2003, ако имат право да разрешават влизане чрез терминалните услуги.

    2. Рискови конфигурации

      Следните настройки са опасни за конфигурацията:

      • Премахване на административни групи за защита, включително оператори за акаунти, оператори за архивиране, оператори за печат или оператори на сървър и вградена група администратори от правилата на домейновия контролер по подразбиране.

      • Премахване на акаунти на услуги, които се използват от компоненти и програми на компютри членове и домейнови контролери в домейна от правилата по подразбиране на домейновия контролер.

      • Премахване на потребители или групи за защита, които влизат в конзолата на компютрите членове в домейна.

      • Премахване на акаунти за услуги, които са дефинирани в локалната база данни на Security Accounts Manager (SAM) на компютри членове или компютри на работни групи.

      • Премахване на вградени административни акаунти, които се удостоверяват чрез терминални услуги, които се изпълняват на домейнов контролер.

      • Добавяне на всички потребителски акаунти в домейна явно или неявно чрез групата "Всеки" към правото на локално влизане Отказване. Тази конфигурация ще попречи на потребителите да влизат в който и да е компютър член или в домейнов контролер в домейна.

    3. Причини да дадете право на този потребител

      • Потребителите трябва да имат право за локално влизане да имат достъп до конзолата или работния плот на компютър на работна група, компютър член или домейнов контролер.

      • Потребителите трябва да имат това потребителско право да влизат в сесия на терминалните услуги, която се изпълнява на компютър с членове на Windows 2000 или домейнов контролер.

    4. Причини за премахване на това потребителско право

      • Отказът да се ограничи достъпът на конзолата до законни потребителски акаунти може да доведе до изтегляне и изпълнение на злонамерен код от неупълномощени потребители, за да се променят техните потребителски права.

      • Премахването на правото за локално влизане на потребителя предотвратява неупълномощено влизане в конзолите на компютрите, като например домейнови контролери или сървъри за приложения.

      • Премахването на това право за влизане не позволява на акаунти, които не са домейн, да влизат в конзолата на компютрите членове в домейна.

    5. Примери за проблеми със съвместимостта

      • Терминални сървъри на Windows 2000: Изисква се правото за локално влизане на потребителите, за да могат потребителите да влизат в терминалните сървъри на Windows 2000.

      • Windows NT 4.0, Windows 2000, Windows XP или Windows Server 2003: Потребителските акаунти трябва да получат това потребителско право да влизат от конзолата на компютри, работещи с Windows NT 4.0, Windows 2000, Windows XP или Windows Server 2003.

      • Windows NT 4.0 и по-нови версии: На компютри, работещи с Windows NT 4.0 и по-нови версии, ако добавите право Позволи влизане локално потребител, но вие неявно или изрично предоставяте правото за локално влизане Отказване на влизане, акаунтите няма да могат да влизат в конзолата на домейнови контролери.

  3. Проверка за заобикаляне на пресичане

    1. Фон

      Заобикалянето на проверката за преминаване на правото на потребителя позволява на потребителя да преглежда папки във файловата система NTFS или в системния регистър, без да проверява за разрешение за специален достъп до traverse папка. Заобикаляне проверката на потребителските права не позволява на потребителя да изброи съдържанието на папка. Това позволява на потребителя да преминава през само папките си.

    2. Рискови конфигурации

      Следните настройки са опасни за конфигурацията:

      • Премахване на неадминистраторски акаунти, които влизат в компютри, базирани на терминални услуги на Windows 2000 или компютри, базирани на терминални услуги на Windows Server 2003, които нямат разрешения за достъп до файлове и папки във файловата система.

      • Премахване на групата "Всеки" от списъка с субекти на защита, които имат право за този потребител по подразбиране. Операционните системи Windows, както и много програми, са проектирани с очакването, че всеки, който има легитимен достъп до компютъра, ще има право да проверява за заобикаляне на потребителя. Следователно премахването на групата "Всеки" от списъка с субекти на защита, които имат право за този потребител по подразбиране, може да доведе до нестабилност на операционната система или до грешка в програмата. По-добре е да оставите тази настройка по подразбиране.

    3. Причини да дадете право

      на този потребител Настройката по подразбиране за проверката на заобикаляне за преминаване на потребителя е да позволите на всеки да заобиколи проверката за преминаване. За опитни системни администратори на Windows това е очакваното поведение и съответно конфигурират списъци за управление на достъпа до файловата система (SACLs). Единственият сценарий, при който конфигурацията по подразбиране може да доведе до многоточие, е ако администраторът, който конфигурира разрешенията, не разбира поведението и очаква потребителите, които нямат достъп до родителска папка, да нямат достъп до съдържанието на дъщерните папки.

    4. Причини за премахване на това потребителско право

      За да се опитате да предотвратите достъпа до файловете или папките във файловата система, организациите, които са много загрижени за защитата, може да бъдат изкушени да премахнат групата "Всеки" или дори групата "Потребители" от списъка с групи, които имат проверка на право за заобикаляне на пресичането на потребителя.

    5. Примери за проблеми със съвместимостта

      • Windows 2000, Windows Server 2003: Ако заобикаляне проверката право на потребителя е премахнат или е неправилно конфигуриран на компютри, работещи с Windows 2000 или Windows Server 2003, групови правила настройки в папката SYVOL няма да репликира между домейнови контролери в домейна.

      • Windows 2000, Windows XP Professional, Windows Server 2003: Компютри, работещи с Windows 2000, Windows XP Professional или Windows Server 2003, ще регистрират събития 1000 и 1202 и няма да могат да прилагат правилата за компютъра и потребителските правила, когато необходимите разрешения за файловата система се премахнат от SYSVOL дърво, ако проверката на заобикалянето на проверката на потребителя е премахната или е неправилно конфигурирана.

         

      • Windows 2000, Windows Server 2003: На компютри, работещи под Windows 2000 или Windows Server 2003, разделът Квота в Windows Explorer ще изчезне, когато видите свойствата на том.

      • Windows 2000: Не администратори, които влизат в терминален сървър на Windows 2000, може да получат следното съобщение за грешка:

        Userinit.exe грешка в приложение. Приложението не успя да се инициализира правилно 0xc0000142 щракнете върху OK, за да прекратите приложението.

      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Потребителите, чиито компютри работят с Windows NT 4.0, Windows 2000, Windows XP или Windows Server 2003, може да нямат достъп до споделени папки или файлове в споделени папки и може да получат съобщения за грешка "Отказан достъп", ако не им е дадено право за проверка на заобикалянето за преминаване на потребителя.


         

      • Windows NT 4.0: На компютри, базирани на Windows NT 4.0, премахването на проверката за заобикаляне, проверявайки право на потребителя, ще доведе до пускане на файлови потоци от копие. Ако премахнете това право на потребител, когато даден файл се копира от клиент на Windows или от клиент на Macintosh в домейнов контролер на Windows NT 4.0, който изпълнява услуги за Macintosh, файловият поток местоназначение се губи и файлът се показва като файл само за текст.

      • Microsoft Windows 95, Microsoft Windows 98: На клиентски компютър, работещ под Windows 95 или Windows 98, net use * /home команда ще бъде неуспешна със съобщение за грешка "Отказан достъп", ако групата удостоверени потребители не е предоставена заобикаляне на проверката право на потребителя.

      • Outlook Web Access: Потребителите, които не са администратори, няма да могат да влязат в Microsoft Outlook Web Access и ще получат съобщение за грешка "Отказан достъп", ако не им е дадено право за проверка на заобикалянето за преминаване на потребителя.

Настройки за защита

Следващият списък идентифицира настройка за защита, а вложения списък предоставя описание за настройката за защита, идентифицира конфигурационните настройки, които може да предизвикат проблеми, описва защо трябва да приложите настройката за защита и след това описва причините, поради които може да искате да премахнете настройката за защита. След това вложените списъци предоставят символично име за настройката за защита и пътя на системния регистър на настройката за защита. И накрая са предоставени примери за проблеми със съвместимостта, които може да възникнат, когато е конфигурирана настройката за защита.

  1. Проверка: Незабавно изключване на системата, ако не може да се регистрират проверки за защита

    1. „Фон“

      • Настройката Проверка: Изключване на системата незабавно, ако не можете да регистрирате проверка на защитата определя дали системата се изключва, ако не можете да регистрирате събития за защита. Тази настройка е необходима за оценката C2 на програмата "Критерии за оценка на сигурността на надеждните компютри" (TCSEC) и за общите критерии за оценка на защитата на информационните технологии, за да се предотвратят събития, които могат да бъдат одитирани, ако системата за проверка не може да регистрира тези събития. Ако системата за проверка е неуспешна, системата се изключва и се показва съобщение за стоп грешка.

      • Ако компютърът не може да запише събития в регистрационния файл на защитата, важни доказателства или важна информация за отстраняване на неизправности може да не са налични за преглед след инцидент със защитата.

    2. Рисковано конфигуриране

      Настройката за опасно конфигуриране е: Настройката Проверка: Незабавно изключване на системата, ако не можете да регистрирате проверките на защитата е включена, а размерът на регистъра на събитията за защита се ограничава от опцията Да не се презаписват събития (изчистете регистрационния файл ръчно), опцията Презаписване на събития при необходимост или опцията Презаписване на събития, по-стари от брой дни, в Визуализатор на събития. Вижте раздела "Примери за проблеми със съвместимостта" за информация относно конкретните рискове за компютри, работещи с оригиналната издадена версия на Windows 2000, Windows 2000 Service Pack 1 (SP1), Windows 2000 SP2 или Windows 2000 SP3.

    3. Причини за разрешаване на тази настройка

      Ако компютърът не може да запише събития в регистрационния файл на защитата, важни доказателства или важна информация за отстраняване на неизправности може да не са налични за преглед след инцидент със защитата.

    4. Причини за забраняване на тази настройка

      • Разрешаване на проверката: Незабавно изключване на системата, ако настройката не може да регистрира проверките на защитата спира системата, ако по някаква причина не може да се регистрира проверка на защитата. Обикновено събитие не може да бъде регистрирано, когато регистрационният файл за проверка на защитата е пълен и когато зададеният от него метод за задържане е или опцията Да не се презаписват събития (изчистете регистрационния файл ръчно), или опцията Презаписване на събития, по-стари от брой дни.

      • Административната тежест при разрешаването на проверката: незабавно изключване на системата, ако не може да се регистрират проверките за защита, може да бъде много висока, особено ако включите опцията Да не се презаписват събития (изчистете регистрационния файл ръчно) за регистрационния файл на защитата. Тази настройка предоставя индивидуална отчетност на действията на операторите. Например администратор може да нулира разрешенията за всички потребители, компютри и групи в организационна единица (ОЕ), където проверката е разрешена с помощта на вградения акаунт на администратор или друг споделен акаунт и след това да откаже, че са нулирали тези разрешения. Въпреки това разрешаването на настройката намалява устойчивостта на системата, тъй като сървърът може да се наложи принудително да се изключи, като я затрупа със събития за влизане и с други събития за защита, които са записани в регистрационния файл на защитата. Освен това, тъй като изключването не е грациозно, непоправима повреда на операционната система, програмите или данните може да доведе до това. Въпреки че NTFS гарантира, че целостта на файловата система се поддържа по време на неправилно изключване на системата, това не може да гарантира, че всеки файл с данни за всяка програма все още ще бъде в използваема форма, когато системата се рестартира.

    5. Символно име:

      CrashOnAuditFail

    6. Път до системния регистър:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

    7. Примери за проблеми със съвместимостта

      • Windows 2000: Поради грешка компютрите, на които се изпълнява оригиналната издадена версия на Windows 2000, Windows 2000 SP1, Windows 2000 SP2 или Windows Server SP3, може да спрат да регистрират събития преди зададения в опцията Максимален размер на регистрационния файл за регистъра на събитията за защитата. Тази грешка е коригирана в Windows 2000 Service Pack 4 (SP4). Уверете се, че вашите домейнови контролери на Windows 2000 имат инсталиран Windows 2000 Service Pack 4, преди да помислите за разрешаване на тази настройка.

         

      • Windows 2000, Windows Server 2003: Компютри, работещи с Windows 2000 или Windows Server 2003, може да спрат да отговарят и след това може спонтанно да рестартират, ако настройката Проверка: Незабавно изключване на системата, ако не можете да регистрирате проверките на защитата, регистрационният файл на защитата е пълен и съществуващ запис в регистъра на събитията не може да бъде презаписан. Когато компютърът се рестартира, се появява следното съобщение за стоп грешка:

        STOP: C0000244 {Неуспешна проверка}
        Неуспешен опит за генериране на проверка на защитата.

        За да възстановите, администраторът трябва да влезе, да архивира регистрационния файл на защитата (незадължително), да изчисти регистрационния файл на защитата и след това да нулира тази опция (по желание и при необходимост).

      • Мрежов клиент на Microsoft за MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: не администратори, които се опитват да влязат в домейн, ще получат следното съобщение за грешка:

        Акаунтът ви е конфигуриран да не използвате този компютър. Опитайте с друг компютър.

      • Windows 2000: На компютри с Windows 2000, които не са администратори, няма да могат да влизат в сървъри за отдалечен достъп и ще получат съобщение за грешка, подобно на следното:

        Неизвестна потребителска или неправилна парола

      • Windows 2000: В домейнови контролери на Windows 2000 междусайтовата услуга за съобщения (Ismserv.exe) ще спре и не може да се рестартира. DCDIAG ще съобщи за грешката като "неуспешни тестови услуги ISMserv", а ИД на събитие 1083 ще бъде регистриран в регистъра на събитията.

      • Windows 2000: В домейнови контролери на Windows 2000 репликацията на Active Directory ще бъде неуспешна и ще се появи съобщение "Отказан достъп", ако регистрационният файл на събитията за защита е пълен.

      • Microsoft Exchange 2000: Сървърите, на които се изпълнява Exchange 2000, няма да могат да монтират базата данни за съхранение на информация, а събитие 2102 ще бъде регистрирано в регистъра на събитията.

      • Outlook, Outlook Web Access: Не администраторите няма да имат достъп до своята поща чрез Microsoft Outlook или чрез Microsoft Outlook Web Access и ще получат грешка 503.

  2. Домейнов контролер: Изисквания за подписване на LDAP сървър

    1. Фон

      Домейнов контролер: LDAP сървърът изисква изисквания за защита, определя дали Lightweight Directory Access Protocol (LDAP) сървърът изисква LDAP клиенти, за да се договарят за подписване на данни. Възможните стойности за тази настройка на правила са следните:

      • Няма: Не се изисква подписване на данни за свързване със сървъра. Ако клиентът поиска подписване на данни, сървърът го поддържа.

      • Изисква подписване: Трябва да се договори опцията за подписване на LDAP данни, освен ако не се използва слой за защита на транспортния слой/слой със защитени сокети (TLS/SSL).

      • не е дефинирана: Тази настройка не е разрешена или забранена.

    2. Рискови конфигурации

      Следните настройки са опасни за конфигурацията:

      • Разрешаване на Изискване за влизане в среди, където клиентите не поддържат подписване с LDAP или при които подписването на LDAP от страна на клиента не е разрешено на клиента

      • Прилагане на шаблона за защита На Windows 2000 или Windows Server 2003 Hisecdc.inf в среди, където клиентите не поддържат подписване на LDAP или когато подписването на LDAP от страна на клиента не е разрешено

      • Прилагане на шаблона за защита На Windows 2000 или Windows Server 2003 Hisecws.inf в среди, където клиентите не поддържат LDAP подписване или когато подписването на LDAP от страна на клиента не е разрешено

    3. Причини за разрешаване на тази настройка

      Неподписаният мрежов трафик е податлив на атаки от човек в средата, при които нарушител улавя пакети между клиента и сървъра, променя пакетите и след това ги препраща към сървъра. Когато това поведение възниква на LDAP сървър, атакуващ може да доведе до вземане на решения, които се базират на неверни заявки от LDAP клиент. Можете да понижите този риск в корпоративната мрежа, като приложите силни мерки за физическа защита, за да помогнете за защитата на мрежовата инфраструктура. Режимът на заглавка на удостоверяване за защита на интернет протокол (IPSec) може да помогне за предотвратяване на атаки от тип "човек по средата". Режимът на заглавки за удостоверяване извършва взаимно удостоверяване и цялост на пакетите за IP трафик.

    4. Причини за забраняване на тази настройка

      • Клиенти, които не поддържат подписване на LDAP, няма да могат да изпълняват LDAP заявки срещу домейнови контролери и глобални каталози, ако се договори NTLM удостоверяване и ако правилните сервизни пакети не са инсталирани на домейнови контролери на Windows 2000.

      • Проследяванията на мрежата от LDAP трафик между клиенти и сървъри ще бъдат шифровани. Това затруднява преглеждане на LDAP разговори.

      • Сървърите, базирани на Windows 2000, трябва да имат Windows 2000 Service Pack 3 (SP3) или да са инсталирани, когато се администрира с програми, поддържащи подписване на LDAP, които се изпълняват от клиентски компютри, изпълняващи Windows 2000 SP4, Windows XP или Windows Server 2003.  

    5. Символно име:

      LDAPServerIntegrity

    6. Път до системния регистър:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

    7. Примери за проблеми със съвместимостта

      • Простите обвързвания ще са неуспешни и ще получите следното съобщение за грешка:

        Ldap_simple_bind_s() не успя: изисква се строго удостоверяване.

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: На клиенти, които работят с Windows 2000 SP4, Windows XP или Windows Server 2003, някои инструменти за администриране на Active Directory няма да работят правилно срещу домейнови контролери, които работят с версии на Windows 2000, които са по-стари от SP3, когато се преговаря за NTLM удостоверяване.

         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: На клиенти с Windows 2000 SP4, Windows XP или Windows Server 2003 някои инструменти за администриране на Active Directory, които са предназначени за домейнови контролери, работещи с версии на Windows 2000, които са по-стари от SP3, няма да работят правилно, ако използват IP адреси (например "dsa.msc /server=x.x.x.x", където
        x.x.x.x е IP адрес).


         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: На клиенти, които работят с Windows 2000 SP4, Windows XP или Windows Server 2003, някои инструменти за администриране на Active Directory, които са насочени към домейнови контролери, работещи с версии на Windows 2000, които са по-стари от SP3, няма да работят правилно.

         

  3. Член на домейна: Изисква се силен (Windows 2000 или по-нова версия) ключ за сесия

    1. „Фон“

      • Членът на домейна: Изисква силна (Windows 2000 или по-нова) настройка на сесиен ключ определя дали защитен канал може да бъде създаден с домейнов контролер, който не може да шифрова защитен трафик на канал със силен, 128-битов сесиен ключ. Разрешаването на тази настройка предотвратява създаването на защитен канал с всеки домейнов контролер, който не може да шифрова защитени данни на канал със силен ключ. Забраняването на тази настройка позволява 64-битови сесийни ключове.

      • Преди да разрешите тази настройка на работна станция за членове или на сървър, всички домейнови контролери в домейна, към който принадлежи членът, трябва да могат да шифроват защитени данни на канал със силен 128-битов ключ. Това означава, че всички такива домейнови контролери трябва да работят с Windows 2000 или по-нова версия.

    2. Рисковано конфигуриране

      Разрешаване на члена на домейна: Настройката за ключ на сесия изисква силна (Windows 2000 или по-нова версия) е вредна настройка на конфигурацията.

    3. Причини за разрешаване на тази настройка

      • Ключовете за сесията, които се използват за установяване на защитени комуникации с каналите между компютрите членове и домейнови контролери, са много по-силни в Windows 2000, отколкото в по-старите версии на операционните системи на Microsoft.

      • Когато е възможно, е добра идея да се възползвате от тези по-силни сесийни ключове, за да защитите защитените комуникации в каналите от подслушване и от атаки в мрежа за похитване на сесия. Подслушването е форма на злонамерена атака, при която данните на мрежата се четат или променят при пренос. Данните могат да бъдат модифицирани да скриват или да променят подателя или да ги пренасочват.

      Важно Компютър, на който се изпълнява Windows Server 2008 R2 или Windows 7, поддържа само силни клавиши, когато се използват защитени канали. Това ограничение предотвратява доверие между всеки домейн, базиран на Windows NT 4.0, и всеки домейн, базиран на Windows Server 2008 R2. Освен това това ограничение блокира базирани на Windows NT 4.0 членство в домейн на компютри, работещи под Windows 7 или Windows Server 2008 R2, и обратно.

    4. Причини за забраняване на тази настройка

      Домейнът съдържа компютри членове, които работят с операционни системи, различни от Windows 2000, Windows XP или Windows Server 2003.

    5. Символно име:

      StrongKey

    6. Път до системния регистър:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

    7. Примери за проблеми

      със съвместимостта Windows NT 4.0: На компютри, базирани на Windows NT 4.0, нулирането на защитени канали на взаимоотношения на доверие между домейни на Windows NT 4.0 и Windows 2000 с NLTEST е неуспешно. Появява се съобщение за грешка "Отказан достъп":

      Неуспешна взаимоотношение с гарант между основния и надеждния домейн.

      Windows 7 и Server 2008 R2: За Windows 7 и по-нови версии и Windows Server 2008 R2 и по-нови версии тази настройка вече не се спазва и винаги се използва силен ключ. Поради това гарантите с домейни на Windows NT 4.0 вече не работят.

  4. Член на домейна: Цифрово шифроване или подписване на защитени данни за канал (винаги)

    1. „Фон“

      • Разрешаване на член на домейна: Цифрово шифроването или подписването на защитени данни за канала (винаги) предотвратява създаването на защитен канал с всеки домейнов контролер, който не може да подписва или шифрова всички защитени данни на канала. За да помогнат за защитата на трафика на удостоверяване от атаки от тип "човек по средата", повторно изпълнение на атаки и други видове мрежови атаки, компютрите, базирани на Windows, създават комуникационен канал, който е известен като защитен канал чрез услугата за влизане в мрежата за удостоверяване на компютърни акаунти. Защитените канали се използват и когато потребител в един домейн се свърже към мрежов ресурс в отдалечен домейн. Това многодомейново удостоверяване или транзитно удостоверяване позволява на компютър, базиран на Windows, който се е присъединил към домейн, да има достъп до базата данни за потребителските акаунти в своя домейн и във всички надеждни домейни.

      • За да разрешите члена на домейна: Настройката за цифрово шифроване или подписване на защитените данни за канала (винаги) на компютър член, всички домейнови контролери в домейна, към който принадлежи членът, трябва да могат да подписват или шифроват всички защитени данни за канала. Това означава, че всички такива домейнови контролери трябва да изпълняват Windows NT 4.0 със Service Pack 6a (SP6a) или по-нова версия.

      • Разрешаване на члена на домейна: Настройката Цифрово шифровай или подписвай защитените данни за канала (винаги) автоматично разрешава члена на домейна: Настройката Цифрово шифроване или подписване на защитени данни на канал (когато е възможно).

    2. Рисковано конфигуриране

      Разрешаване на члена на домейна: Настройката за цифрово шифроване или подписване на защитени данни за канал (винаги) в домейни, където не всички домейнови контролери могат да подписват или шифроват защитени данни за канал, е вредна настройка на конфигурацията.

    3. Причини за разрешаване на тази настройка

      Неподписаният мрежов трафик е податлив на атаки от човек в средата, където нарушител улавя пакети между сървъра и клиента и след това ги променя, преди да ги препрати към клиента. Когато това поведение възниква на lightweight Directory Access Protocol (LDAP) сървър, нарушителят може да накара клиента да взема решения, които се базират на фалшиви записи от LDAP указателя. Можете да понижите риска от такава атака в корпоративна мрежа, като приложите силни мерки за физическа сигурност, за да помогнете за защитата на мрежовата инфраструктура. Освен това прилагането на заглавен режим за защита на интернет протокол (IPSec) може да помогне за предотвратяване на атаки тип "човек в средата". Този режим извършва взаимно удостоверяване и цялост на пакетите за IP трафик.

    4. Причини за забраняване на тази настройка

      • Компютрите в локални или външни домейни поддържат шифровани защитени канали.

      • Не всички домейнови контролери в домейна имат съответните нива на редакция на сервизния пакет за поддръжка на шифровани защитени канали.

    5. Символно име:

      StrongKey

    6. Път до системния регистър:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

    7. Примери за проблеми със съвместимостта

      • Windows NT 4.0: Компютрите с членове, базирани на Windows 2000, няма да могат да се присъединят към домейни на Windows NT 4.0 и ще получат следното съобщение за грешка:

        Акаунтът не е упълномощен да влиза от тази станция.

        За повече информация щракнете върху следния номер на статия в базата знания на Microsoft:

        281648 Съобщение за грешка: Акаунтът не е упълномощен да влиза от тази станция
         

      • Windows NT 4.0: Домейните на Windows NT 4.0 няма да могат да установят доверие от по-високо ниво с домейн за Windows 2000 и ще получат следното съобщение за грешка:

        Акаунтът не е упълномощен да влиза от тази станция.

        Съществуващите гаранти от по-високо ниво също може да не удостоверят потребителите от надеждния домейн. Някои потребители може да имат проблеми с влизането в домейна и може да получат съобщение за грешка, което гласи, че клиентът не може да намери домейна.

      • Windows XP: Клиентите на Windows XP, които са присъединени към домейни на Windows NT 4.0, няма да могат да удостоверяват опитите за влизане и може да получат следното съобщение за грешка или следните събития може да са регистрирани в регистъра на събитията:

        Windows не може да се свърже с домейна, защото домейн контролерът е изключен или по друг начин не е наличен, или защото акаунтът на компютъра не е намерен

      • Microsoft Network: Клиентите на Microsoft Network ще получат едно от следните съобщения за грешка:

        Неуспешно влизане: неизвестно потребителско име или неправилна парола.

        Няма ключ на потребителска сесия за указаната сесия за влизане.

  5. Мрежов клиент на Microsoft: Комуникации с цифров подпис (винаги)

    1. Фон

      Блокът от съобщения на сървъра (SMB) е протоколът за споделяне на ресурси, който се поддържа от много операционни системи на Microsoft. Това е основата на мрежовата основна входно-изходна система (NetBIOS) и много други протоколи. Подписването на SMB удостоверява както потребителя, така и сървъра, който хоства данните. Ако някоя от страните не успее процеса на удостоверяване, няма да възникне предаване на данни.

      Разрешаването на подписването на SMB започва по време на преговорите по протокола SMB. Правилата за подписване на SMB определят дали компютърът винаги подписва цифрово клиентските комуникации.

      Протоколът за SMB удостоверяване на Windows 2000 поддържа взаимно удостоверяване. Взаимното удостоверяване затваря атака "човек по средата". Протоколът за SMB удостоверяване на Windows 2000 също поддържа удостоверяване на съобщения. Удостоверяването на съобщение помага за предотвратяване на активни атаки на съобщения. За да ви даде това удостоверяване, подписването на SMB поставя цифров подпис във всеки SMB. Всеки от клиента и сървъра проверява цифровия подпис.

      За да използвате SMB подписване, трябва да разрешите подписването на SMB или да изисквате SMB подписване както на SMB клиента, така и на SMB сървъра. Ако подписването на SMB е разрешено на сървър, клиентите, които също са разрешени за подписване на SMB, използват протокола за подписване на пакети по време на всички следващи сесии. Ако се изисква подписване на SMB на сървър, клиентът не може да установи сесия, освен ако клиентът не е разрешен или задължителен за подписване на SMB.


      Разрешаването на цифровото влизане в мрежи с висока защита помага да се предотврати въплъщаването на клиенти и сървъри. Този вид въплъщаване е известно като похитване на сесия. Атакуващ, който има достъп до същата мрежа като клиента или сървъра, използва инструменти за похитване на сесия, за да прекъсне, прекрати или открадне текуща сесия. Атакуващ може да прихване и модифицира неподписани SMB пакети, да промени трафика и след това да го препрати, така че сървърът може да изпълнява нежелани действия. Или атакуващият може да представлява сървъра или клиента след легитимно удостоверяване и след това да получи неупълномощен достъп до данните.

      Протоколът SMB, който се използва за споделяне на файлове и за споделяне на печат на компютри с Windows 2000 Server, Windows 2000 Professional, Windows XP Professional или Windows Server 2003, поддържа взаимно удостоверяване. Взаимното удостоверяване затваря атаки от похитване на сесия и поддържа удостоверяване на съобщение. Затова предотвратява атаките от човек по средата. Подписването на SMB предоставя това удостоверяване чрез поставяне на цифров подпис във всеки SMB. След това клиентът и сървърът потвърждават подписа.

      Бележки

      • Като алтернативна противодействие можете да разрешите цифрови подписи с IPSec, за да защитите целия мрежов трафик. Има базирани на хардуер ускорители за IPSec шифроване и подписване, които можете да използвате, за да намалите въздействието на производителността от процесора на сървъра. Няма такива ускорители, които да са налични за подписване на SMB.

        За повече информация вж. главите за комуникация със сървър за цифрово подписване в уеб сайта на Microsoft MSDN.

        Конфигурирайте SMB влизането чрез редактора на групови правила обекти, защото промяната на стойността в локалния регистър не оказва влияние, ако има заместващи правила за домейни.

      • В Windows 95, Windows 98 и Второ издание на Windows 98 клиентът на справочни услуги използва SMB подписване, когато се удостовери със сървъри на Windows Server 2003 с помощта на NTLM удостоверяване. Обаче тези клиенти не използват SMB подписване, когато те се удостоверяват с тези сървъри с помощта на NTLMv2 удостоверяване. Освен това сървърите на Windows 2000 не отговарят на искания за подписване на SMB от тези клиенти. За повече информация вж. елемент 10: "Мрежова защита: Ниво на удостоверяване на Lan Manager".

    2. Рисковано конфигуриране

      По-долу е зададена настройка за опасно конфигуриране: Оставяне на мрежовия клиент на Microsoft: Настройка за комуникации с цифрово подписване (винаги) и мрежов клиент на Microsoft: Комуникацията с цифров подпис (ако сървърът е съгласен) е зададена на "Не е дефинирана" или забранена. Тези настройки позволяват на пренасочването да изпраща пароли с обикновен текст на SMB сървъри, които не са на Microsoft и не поддържат шифроване с парола по време на удостоверяване.

    3. Причини за разрешаване на тази настройка

      Разрешаване на мрежов клиент на Microsoft: Комуникациите с цифров подпис (винаги) изискват клиентите да подписват SMB трафик, когато се свързват със сървъри, които не изискват SMB подписване. Това прави клиентите по-малко уязвими за атаки при похитване на сесия.

    4. Причини за забраняване на тази настройка

      • Разрешаване на мрежов клиент на Microsoft: Цифровото подписване на комуникации (винаги) не позволява на клиентите да комуникират с целеви сървъри, които не поддържат подписване на SMB.

      • Конфигурирането на компютрите да игнорират всички неподписани SMB комуникации предотвратява свързването на по-стари програми и операционни системи.

    5. Символно име:

      RequireSMBSignRdr

    6. Път до системния регистър:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

    7. Примери за проблеми със съвместимостта

      • Windows NT 4.0: Няма да можете да нулирате защитения канал на доверие между домейн на Windows Server 2003 и домейн на Windows NT 4.0 с помощта на NLTEST или NETDOM и ще получите съобщение за грешка "Отказан достъп".

      • Windows XP: Копирането на файлове от клиенти на Windows XP на сървъри, базирани на Windows 2000 и на сървъри, базирани на Windows Server 2003, може да отнеме повече време.

      • Няма да можете да съпоставите мрежов диск от клиент с разрешена тази настройка и ще получите следното съобщение за грешка:

        Акаунтът не е упълномощен да влиза от тази станция.

    8. Изисквания за

      рестартиране Рестартирайте компютъра или рестартирайте услугата Workstation. За да направите това, въведете следните команди в команден прозорец. Натиснете Enter, след като въведете всяка команда.

      net stop workstation
      net start workstation

  6. Мрежов сървър на Microsoft: Съобщения с цифров подпис (винаги)

    1. „Фон“

      • Server Messenger Block (SMB) е протокол за споделяне на ресурси, който се поддържа от много операционни системи на Microsoft. Това е основата на мрежовата основна входно-изходна система (NetBIOS) и много други протоколи. Подписването на SMB удостоверява както потребителя, така и сървъра, който хоства данните. Ако някоя от страните не успее процеса на удостоверяване, няма да възникне предаване на данни.

        Разрешаването на подписването на SMB започва по време на преговорите по протокола SMB. Правилата за подписване на SMB определят дали компютърът винаги подписва цифрово клиентските комуникации.

        Протоколът за SMB удостоверяване на Windows 2000 поддържа взаимно удостоверяване. Взаимното удостоверяване затваря атака "човек по средата". Протоколът за SMB удостоверяване на Windows 2000 също поддържа удостоверяване на съобщения. Удостоверяването на съобщение помага за предотвратяване на активни атаки на съобщения. За да ви даде това удостоверяване, подписването на SMB поставя цифров подпис във всеки SMB. Всеки от клиента и сървъра проверява цифровия подпис.

        За да използвате SMB подписване, трябва да разрешите подписването на SMB или да изисквате SMB подписване както на SMB клиента, така и на SMB сървъра. Ако подписването на SMB е разрешено на сървър, клиентите, които също са разрешени за подписване на SMB, използват протокола за подписване на пакети по време на всички следващи сесии. Ако се изисква подписване на SMB на сървър, клиентът не може да установи сесия, освен ако клиентът не е разрешен или задължителен за подписване на SMB.


        Разрешаването на цифровото влизане в мрежи с висока защита помага да се предотврати въплъщаването на клиенти и сървъри. Този вид въплъщаване е известно като похитване на сесия. Атакуващ, който има достъп до същата мрежа като клиента или сървъра, използва инструменти за похитване на сесия, за да прекъсне, прекрати или открадне текуща сесия. Атакуващ може да прихване и модифицира неподписани подмрежа трафик manager (SBM) пакети, промяна на трафика и след това го препрати, така че сървърът може да изпълнява нежелани действия. Или атакуващият може да представлява сървъра или клиента след легитимно удостоверяване и след това да получи неупълномощен достъп до данните.

        Протоколът SMB, който се използва за споделяне на файлове и за споделяне на печат на компютри с Windows 2000 Server, Windows 2000 Professional, Windows XP Professional или Windows Server 2003, поддържа взаимно удостоверяване. Взаимното удостоверяване затваря атаки от похитване на сесия и поддържа удостоверяване на съобщение. Затова предотвратява атаките от човек по средата. Подписването на SMB предоставя това удостоверяване чрез поставяне на цифров подпис във всеки SMB. След това клиентът и сървърът потвърждават подписа.

      • Като алтернативна противодействие можете да разрешите цифрови подписи с IPSec, за да защитите целия мрежов трафик. Има базирани на хардуер ускорители за IPSec шифроване и подписване, които можете да използвате, за да намалите въздействието на производителността от процесора на сървъра. Няма такива ускорители, които да са налични за подписване на SMB.

      • В Windows 95, Windows 98 и Второ издание на Windows 98 клиентът на справочни услуги използва SMB подписване, когато се удостовери със сървъри на Windows Server 2003 с помощта на NTLM удостоверяване. Обаче тези клиенти не използват SMB подписване, когато те се удостоверяват с тези сървъри с помощта на NTLMv2 удостоверяване. Освен това сървърите на Windows 2000 не отговарят на искания за подписване на SMB от тези клиенти. За повече информация вж. елемент 10: "Мрежова защита: Ниво на удостоверяване на Lan Manager".

    2. Рисковано конфигуриране

      По-долу е зададена настройка за опасно конфигуриране: Разрешаване на мрежовия сървър на Microsoft: Настройка на комуникациите с цифрово подписване (винаги) на сървъри и на домейнови контролери, до които се осъществява достъп от несъвместими компютри, базирани на Windows, и клиентски компютри, базирани на операционна система на друг производител, в локални или външни домейни.

    3. Причини за разрешаване на тази настройка

      • Всички клиентски компютри, които разрешават тази настройка директно от системния регистър или чрез настройката на групови правила поддържат подписване на SMB. С други думи, всички клиентски компютри, които имат тази настройка, работят или с Windows 95 с инсталиран DS клиент, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional или Windows Server 2003.

      • Ако мрежовият сървър на Microsoft: Комуникациите с цифров подпис (винаги) са забранени, подписването на SMB е напълно забранено. Пълното забраняване на всички SMB подписи оставя компютрите по-уязвими към атаки със завличане на сесия.

    4. Причини за забраняване на тази настройка

      • Разрешаването на тази настройка може да доведе до по-бавно копиране на файлове и производителност на мрежата на клиентските компютри.

      • Разрешаването на тази настройка ще попречи на клиенти, които не могат да договарят подписването на SMB от комуникация със сървъри и с домейнови контролери. Това води до неуспешен достъп до операции като съединения на домейн, удостоверяване на потребител и компютър или мрежов достъп от програми.

    5. Символно име:

      RequireSMBSignServer

    6. Път до системния регистър:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

    7. Примери за проблеми със съвместимостта

      • Windows 95: Клиентите на Windows 95, които нямат инсталиран клиент на Directory Services (DS), ще не успеят да влязат и ще получат следното съобщение за грешка:

        Предоставената от вас парола за домейна не е правилна или достъпът до вашия сървър за влизане е отказан.

      • Windows NT 4.0: Клиентските компютри, работещи с версии на Windows NT 4.0, които са по-стари от Service Pack 3 (SP3), ще не успеят да влязат и ще получат следното съобщение за грешка:

        Системата не може да ви регистрира. Уверете се, че вашето потребителско име и домейнът ви са правилни, след което въведете отново паролата си.

        Някои SMB сървъри, които не са на Microsoft, поддържат само нешифровани обмен на пароли по време на удостоверяване. (Тези разменяния, наричани още "обикновен текст", обменят се.) За Windows NT 4.0 SP3 и по-нови версии SMB пренасочването не изпраща нешифрована парола по време на удостоверяване към SMB сървър, освен ако не добавите определен запис в системния регистър.
        За да разрешите нешифровани пароли за SMB клиента на Windows NT 4.0 SP 3 и по-нови системи, променете системния регистър по следния начин: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters

        Име на стойност: EnablePlainTextPassword

        Тип данни: REG_DWORD

        Данни: 1

         

      • Windows Server 2003: По подразбиране настройките за защита на домейнови контролери, които работят с Windows Server 2003, са конфигурирани да предотвратяват прихващане или променяне на комуникации с домейнов контролер от злонамерени потребители. За да комуникират успешно потребителите с домейнов контролер, който работи с Windows Server 2003, клиентските компютри трябва да използват SMB подписване и шифроване или подписване на защитен трафик на канал. По подразбиране клиентите, които изпълняват Windows NT 4.0 със Service Pack 2 (SP2) или по-стара версия и клиенти, които работят с Windows 95, нямат разрешен SMB подписване на пакети. Следователно тези клиенти може да не успеете да удостоверите домейнов контролер, базиран на Windows Server 2003.

      • Настройки на правилата за Windows 2000 и Windows Server 2003: В зависимост от вашите конкретни нужди и конфигурация за инсталиране ви препоръчваме да зададете следните настройки на правила на най-ниската единица с необходим обхват в конзолата на Microsoft за управление групови правила йерархията от конзолни добавки на редактора:

        • Конфигурация на компютъра\Защита в Windows Настройки\Опции за защита

        • Изпращане на нешифрована парола за свързване към SMB сървъри на други разработчици (тази настройка е за Windows 2000)

        • Мрежов клиент на Microsoft: Изпращане на нешифрована парола на SMB сървъри на други разработчици (тази настройка е за Windows Server 2003)


        Забележка: В някои CIFS сървъри на други производители, като например по-стари версии Samba не можете да използвате шифровани пароли.

      • Следните клиенти са несъвместими с мрежовия сървър на Microsoft: Настройка за цифрово подписване на комуникации (винаги):

        • Apple Computer, Inc., Клиенти на Mac OS X

        • Мрежови клиенти на Microsoft MS-DOS (например Microsoft LAN Manager)

        • Клиенти на Microsoft Windows за работни групи

        • Клиенти на Microsoft Windows 95 без инсталиран DS клиент

        • Компютри, базирани на Microsoft Windows NT 4.0, без инсталиран SP3 или по-нова версия

        • Novell Netware 6 CIFS клиенти

        • SAMBA SMB клиенти, които нямат поддръжка за SMB подписване

    8. Изисквания за

      рестартиране Рестартирайте компютъра или рестартирайте услугата на сървъра. За да направите това, въведете следните команди в команден прозорец. Натиснете Enter, след като въведете всяка команда.

      net stop server
      net start server

  7. Достъп до мрежата: Позволяване на анонимен SID/превод на име/име

    1. Фон

      Достъп до мрежата: Позволяване на анонимен SID/име превод защита настройка определя дали анонимен потребител може да поиска атрибути на идентификационния номер за защита (SID) за друг потребител.

    2. Рисковано конфигуриране

      Разрешаване на мрежовия достъп: Разрешаването на анонимен SID/name превод настройка е опасно конфигурационна настройка.

    3. Причини за разрешаване на тази настройка

      Ако мрежовата достъп: Разрешаване на анонимен SID/име превод настройка е забранена, по-старите операционни системи или приложения може да не успеете да комуникирате с домейни на Windows Server 2003. Например следните операционни системи, услуги или приложения може да не работят:

      • Базирани на Windows NT 4.0 сървъри за услуги за отдалечен достъп

      • Microsoft SQL Server, които работят на компютри, базирани на Windows NT 3.x, или компютри, базирани на Windows NT 4.0

      • Услуга за отдалечен достъп, която се изпълнява на компютри, базирани на Windows 2000, които се намират в домейни на Windows NT 3.x или домейни на Windows NT 4.0

      • SQL Server, който се изпълнява на компютри, базирани на Windows 2000, които се намират в домейни на Windows NT 3.x или в домейни на Windows NT 4.0

      • Потребители в домейн за ресурси на Windows NT 4.0, които искат да предоставят разрешения за достъп до файлове, споделени папки и обекти от системния регистър на потребителски акаунти от домейни на акаунти, които съдържат домейнови контролери на Windows Server 2003

    4. Причини за забраняване на тази настройка

      Ако тази настройка е разрешена, злонамерен потребител може да използва добре познатите администратори SID за получаване на истинското име на вградения акаунт на администратор, дори ако акаунтът е преименуван. Това лице може да използва името на акаунта, за да започне атака, отгатваща паролата.

    5. Символно име: Няма

    6. Път до системния регистър: няма. Пътят е зададен в кода на потребителския интерфейс.

    7. Примери за проблеми

      със съвместимостта Windows NT 4.0: Компютрите в домейни с ресурси на Windows NT 4.0 ще показват съобщението за грешка "Неизвестен акаунт" в редактора на ACL, ако ресурси, включително споделени папки, споделени файлове и обекти на системния регистър, са защитени с субекти на защитата, които се намират в домейни на акаунти, съдържащи домейнови контролери на Windows Server 2003.

  8. Мрежов достъп: Не позволявай анонимно изброяване на SAM акаунти

    1. „Фон“

      • Достъп до мрежата: Не позволявай анонимно изброяване на SAM акаунти настройка определя кои допълнителни разрешения ще бъдат дадени за анонимни връзки към компютъра. Windows позволява на анонимните потребители да извършват определени дейности, като изброяване на имената на работните станции и акаунтите на Security Accounts Manager (SAM) на сървъра, както и на мрежовите дялове. Например администраторът може да използва това, за да предостави достъп на потребители в надежден домейн, който не поддържа взаимна сигурност. След като бъде направена сесия, анонимният потребител може да има същия достъп, който се предоставя на групата "Всеки" въз основа на настройката в "Достъп до мрежата": Разрешаване на всички да се прилагат към настройката за анонимни потребители или към списъка за контрол на потребителския достъп (DACL) на обекта.

        Обикновено анонимните връзки се изискват от по-стари версии на клиенти (клиенти от по-високо ниво) по време на инсталирането на SMB сесия. В тези случаи проследяването на мрежата показва, че ИД на процеса на SMB (PID) е пренасочване на клиента, като например 0xFEFF в Windows 2000 или 0xCAFE в Windows NT. RPC може също да се опита да направи анонимни връзки.

      • Важно Тази настройка не оказва влияние върху домейнови контролери. На домейнови контролери това поведение се управлява от наличието на "NT AUTHORITY\ANONYMOUS LOGON" в "Съвместим с Access преди Windows 2000".

      • В Windows 2000 подобна настройка, наречена Допълнителни ограничения за анонимни връзки, управлява стойността на системния регистър RestrictAnonymous . Местоположението на тази стойност е както следва

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA  

    2. Рискови конфигурации

      Разрешаване на мрежовия достъп: Не позволявайте анонимно изброяване на sam акаунти настройка е настройка за опасно конфигуриране от гледна точка на съвместимост. Забраняването му е настройка за опасно конфигуриране от гледна точка на защитата.

    3. Причини за разрешаване на тази настройка

      Неупълномощен потребител може анонимно да изброи имената на акаунтите и след това да използва информацията, за да се опита да отгатне пароли или да извърши атаки от социални инженери. Социалното инженерство е жаргон, което означава да подмамите хората да разкрият паролите си или някаква форма на информация за защитата.

    4. Причини за забраняване на тази настройка

      Ако тази настройка е разрешена, не е възможно да се установят гаранти с домейни на Windows NT 4.0. Тази настройка също така причинява проблеми с клиенти от по-високо ниво (например клиенти на Windows NT 3.51 и клиенти на Windows 95), които се опитват да използват ресурси на сървъра.

    5. Символно име:


      RestrictAnonymousSAM

    6. Път до системния регистър:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

    7. Примери за проблеми със съвместимостта

    • Откриването на SMS мрежа няма да може да получи информация за операционната система и ще пише "Неизвестно" в свойството OperatingSystemNameandVersion.

    • Windows 95, Windows 98: Клиентите на Windows 95 и клиентите на Windows 98 няма да могат да променят паролите си.

    • Windows NT 4.0: Компютрите членове, базирани на Windows NT 4.0, няма да могат да бъдат удостоверени.

    • Windows 95, Windows 98: Компютрите, базирани на Windows 95 и Windows 98, няма да могат да бъдат удостоверени от домейнови контролери на Microsoft.

    • Windows 95, Windows 98: Потребителите на компютри, базирани на Windows 95 и Windows 98, няма да могат да променят паролите за своите потребителски акаунти.

  9. Мрежов достъп: Не позволявай анонимно изброяване на SAM акаунти и споделяния

    1. „Фон“

      • Достъп до мрежата: Не позволявай анонимно изброяване на SAM акаунти и настройки за споделяне (известни също като RestrictAnonymous) определя дали анонимното изброяване на акаунти и дялове на Security Accounts Manager (SAM) е разрешено. Windows позволява на анонимните потребители да извършват определени дейности, като изброяване на имената на акаунтите на домейна (потребители, компютри и групи) и на мрежовите дялове. Това е удобно, когато например администратор иска да предостави достъп на потребители в надежден домейн, който не поддържа реципрочно доверие. Ако не искате да разрешите анонимно изброяване на SAM акаунти и акции, разрешете тази настройка.

      • В Windows 2000 подобна настройка, наречена Допълнителни ограничения за анонимни връзки, управлява стойността на системния регистър RestrictAnonymous . Местоположението на тази стойност е както следва:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

    2. Рисковано конфигуриране

      Разрешаване на мрежовия достъп: Не позволявайте анонимно изброяване на АКАУНТИ за SAM и настройката за споделяне е вредна настройка на конфигурацията.

    3. Причини за разрешаване на тази настройка

      • Разрешаване на мрежовия достъп: Не позволявайте анонимно изброяване на акаунти и настройки за споделяне на SAM предотвратява изброяването на SAM акаунти и дялове от потребители и компютри, които използват анонимни акаунти.

    4. Причини за забраняване на тази настройка

      • Ако тази настройка е разрешена, неупълномощен потребител може анонимно да изброи имената на акаунтите и след това да използва информацията, за да се опита да отгатне пароли или да извърши атаки от социални инженери. Социалното инженерство е жаргон, което означава да подмамите хората да разкрият паролата си или някаква форма на информация за защитата.

      • Ако тази настройка е разрешена, ще бъде невъзможно да се установят гаранти с домейни на Windows NT 4.0. Тази настройка ще предизвика проблеми с клиенти от по-високо ниво, като например Windows NT 3.51 и клиенти на Windows 95, които се опитват да използват ресурси на сървъра.

      • Ще бъде невъзможно да се даде достъп на потребителите на домейни за ресурси, тъй като администраторите в надеждния домейн няма да могат да изброяват списъци с акаунти в другия домейн. Потребителите, които имат анонимен достъп до сървърите за файлове и печат, няма да могат да изброят ресурсите на споделената мрежа на тези сървъри. Потребителите трябва да се удостоверят, преди да могат да преглеждат списъците със споделени папки и принтери.

    5. Символно име:

      Ограничаване Понименно

    6. Път до системния регистър:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

    7. Примери за проблеми със съвместимостта

      • Windows NT 4.0: Потребителите няма да могат да променят паролите си от работни станции на Windows NT 4.0, когато RestrictAnonymous е разрешено на домейнови контролери в домейна на потребителите.

      • Windows NT 4.0: Добавянето на потребители или глобални групи от надеждни домейни на Windows 2000 към локалните групи на Windows NT 4.0 в потребителския диспечер ще бъде неуспешно и ще се появи следното съобщение за грешка:

        В момента няма налични сървъри за влизане, които да обслужват искането за влизане.

      • Windows NT 4.0: Компютрите, базирани на Windows NT 4.0, няма да могат да се присъединяват към домейни по време на инсталирането или с помощта на потребителския интерфейс за присъединяване към домейн.

      • Windows NT 4.0: Установяването на доверие от високо ниво с домейни за ресурси на Windows NT 4.0 ще бъде неуспешно. Следното съобщение за грешка ще се появи, когато RestrictAnonymous е разрешено в надежден домейн:

        Не може да се намери домейнов контролер за този домейн.

      • Windows NT 4.0: Потребителите, които влизат в компютри с терминален сървър, базиран на Windows NT 4.0, ще се съпоставят с началната директория по подразбиране вместо началната директория, която е дефинирана в User Manager за домейни.

      • Windows NT 4.0: Домейнови контролери за архивиране на Windows NT 4.0 (BDCs) няма да могат да стартират услугата Net Logon, да получат списък с архивни браузъри или да синхронизират SAM базата данни от Windows 2000 или домейнови контролери на Windows Server 2003 в същия домейн.

      • Windows 2000: Компютри с членове, базирани на Windows 2000 в домейни на Windows NT 4.0, няма да могат да преглеждат принтери във външни домейни, ако настройката Няма достъп без изрично анонимни разрешения е разрешена в локалните правила за защита на клиентския компютър.

      • Windows 2000: Потребителите на домейни в Windows 2000 няма да могат да добавят мрежови принтери от Active Directory; въпреки това те ще могат да добавят принтери, след като ги изберат от изгледа на дърво.

      • Windows 2000: На компютри, базирани на Windows 2000, ACL редакторът няма да може да добавя потребители или глобални групи от надеждни домейни на Windows NT 4.0.

      • ADMT версия 2: Мигриране с парола за потребителски акаунти, които се мигрират между гори с версия 2 на инструмента за мигриране на Active Directory (ADMT).

        За повече информация щракнете върху следния номер на статия в базата знания на Microsoft:

        322981 Как се отстраняват проблеми с междугорската миграция на пароли с ADMTv2

      • Клиенти на Outlook: Глобалният адресен списък ще изглежда празен за клиенти на Microsoft Exchange Outlook.

      • SMS: Откриването на мрежа на Microsoft Systems Management Server (SMS) няма да може да получи информация за операционната система. Затова ще пише "Неизвестно" в свойството OperatingSystemNameandVersion на свойството SMS DDR на записа за данни за откриване (DDR).

      • SMS: Когато използвате съветника за sms администратор потребител за търсене на потребители и групи, няма да бъдат включени потребители или групи. Освен това разширени клиенти не могат да комуникират с точката на управление. В точката за управление се изисква анонимен достъп.

      • SMS: Когато използвате функцията за откриване на мрежа в SMS 2.0 и в отдалечено инсталиране на клиенти с включена опция за откриване на мрежа на операционни системи за топология, клиент и клиент, компютрите може да бъдат открити, но може да не бъдат инсталирани.

  10. Мрежова защита: Ниво на удостоверяване в Lan Manager

    1. Фон

      Удостоверяването на LAN Manager (LM) е протоколът, който се използва за удостоверяване на клиенти на Windows за мрежови операции, включително присъединяване към домейн, достъп до мрежови ресурси и удостоверяване на потребител или компютър. Нивото на LM удостоверяване определя кой протокол за удостоверяване на предизвикателство/отговор се договаря между клиента и компютрите на сървъра. По-конкретно, LM нивото на удостоверяване определя кои протоколи за удостоверяване ще се опита клиентът да се опита да договори или че сървърът ще приеме. Стойността, която е зададена за LmCompatibilityLevel определя кой протокол за проверка/отговор се използва за влизане в мрежата. Тази стойност засяга нивото на протокола за удостоверяване, което клиентите използват, нивото на защита на сесията, договорени и нивото на удостоверяване, прието от сървърите.

      Възможните настройки включват следното:

      Стойност

      Настройка

      Описание

      0

      Изпращане на LM & NTLM отговори

      Клиентите използват LM и NTLM удостоверяване и никога не използват NTLMv2 защита на сесията. Домейн контролерите приемат удостоверяване LM, NTLM и NTLMv2.

      1

      Send LM & NTLM - use NTLMv2 session security if negotiated

      Клиентите използват LM и NTLM удостоверяване и използват NTLMv2 защита на сесията, ако сървърът го поддържа. Домейн контролерите приемат удостоверяване LM, NTLM и NTLMv2.

      2

      Изпращане само на NTLM отговор

      Клиентите използват само NTLM удостоверяване и използват NTLMv2 защита на сесията, ако сървърът го поддържа. Домейн контролерите приемат удостоверяване LM, NTLM и NTLMv2.

      3

      Изпращане само на отговор NTLMv2

      Клиентите използват само NTLMv2 удостоверяване и използват NTLMv2 защита на сесията, ако сървърът го поддържа. Домейн контролерите приемат удостоверяване LM, NTLM и NTLMv2.

      4

      Изпращане само на NTLMv2 отговор/отказ от LM

      Клиентите използват само NTLMv2 удостоверяване и използват NTLMv2 защита на сесията, ако сървърът го поддържа. Домейнови контролери отказват LM и приемат само NTLM и NTLMv2 удостоверяване.

      5

      Изпращане само на NTLMv2 отговор/отказ от LM & NTLM

      Клиентите използват само NTLMv2 удостоверяване и използват NTLMv2 защита на сесията, ако сървърът го поддържа. Домейнови контролери отказват LM и NTLM и приемат само NTLMv2 удостоверяване.

      Забележка В Windows 95, Windows 98 и Второ издание на Windows 98 клиентът на справочни услуги използва SMB подписване, когато се удостовери със сървъри на Windows Server 2003 с помощта на NTLM удостоверяване. Обаче тези клиенти не използват SMB подписване, когато те се удостоверяват с тези сървъри с помощта на NTLMv2 удостоверяване. Освен това сървърите на Windows 2000 не отговарят на искания за подписване на SMB от тези клиенти.

      Проверете нивото на LM удостоверяване: Трябва да промените правилата на сървъра, за да разрешите NTLM, или трябва да конфигурирате клиентския компютър да поддържа NTLMv2.

      Ако правилата са настроени на (5) Изпращане на отговор NTLMv2 само\отказ от LM & NTLM на целевия компютър, към който искате да се свържете, трябва или да намалите настройката на този компютър, или да зададете на защитата същата настройка, която е на компютъра източник, от който се свързвате.

      Намерете правилното местоположение, където можете да промените нивото на удостоверяване на LAN диспечера, за да настроите клиента и сървъра на едно и също ниво. След като намерите правила, които настройват нивото на удостоверяване на LAN диспечера, ако искате да се свържете към и от компютри, работещи с по-ранни версии на Windows, намалете стойността на поне (1) Изпращане на LM & NTLM – използвайте NTLM версия 2 защита на сесията, ако е уговорено. Един от ефектите на несъвместими настройки е, че ако сървърът изисква NTLMv2 (стойност 5), но клиентът е конфигуриран да използва само LM и NTLMv1 (стойност 0), потребителят, който опитва удостоверяването, получи грешка при влизане, която има неправилна парола и увеличава броя на неправилните пароли. Ако е конфигурирано блокиране на акаунт, потребителят може евентуално да бъде заключен.

      Например може да се наложи да погледнете на домейновия контролер или може да се наложи да прегледате правилата на домейновия контролер.

      Погледнете в домейновия контролер

      Забележка: Може да се наложи да повторите процедурата по-долу на всички домейнови контролери.

      1. Щракнете върху Старт, посочете Програми и след това щракнете върху Административни инструменти.

      2. Под Локални настройки за защита разгънете Локални правила.

      3. Щракнете върху Опции за защита.

      4. Щракнете двукратно върху Мрежова защита: Ниво на удостоверяване на LAN ръководител и след това щракнете върху стойност в списъка.


      Ако ефективната настройка и локалната настройка са еднакви, правилата са променени на това ниво. Ако настройките са различни, трябва да проверите правилата на домейновия контролер, за да определите дали настройката за мрежова защита: lan manager ниво на удостоверяване е дефинирана там. Ако не е дефинирано там, прегледайте правилата на домейновия контролер.

      Прегледайте правилата на домейновия контролер

      1. Щракнете върху Старт, посочете Програми и след това щракнете върху Административни инструменти.

      2. В правилата за защита на домейновия контролер разгънете Настройки на защитата и след това разгънете Локални правила.

      3. Щракнете върху Опции за защита.

      4. Щракнете двукратно върху Мрежова защита: Ниво на удостоверяване на LAN ръководител и след това щракнете върху стойност в списъка.


      Забележка

      • Може също да се наложи да проверите правилата, които са свързани на ниво сайт, ниво на домейн или ниво организационна единица (OU), за да определите къде трябва да конфигурирате нивото на удостоверяване на LAN ръководителя.

      • Ако внедрите настройка за групови правила като домейн по подразбиране, правилата се прилагат към всички компютри в домейна.

      • Ако реализирате настройка на групови правила като правила по подразбиране домейн контролер, правилата се отнася само за сървъри в OU на домейновия контролер.

      • Добра идея е да зададете нивото на удостоверяване на LAN диспечера в най-ниското ниво на необходимия обхват в йерархията на приложенията на правилата.

      Windows Server 2003 има нова настройка по подразбиране, за да използва само NTLMv2. По подразбиране базираните на Windows Server 2003 и Windows 2000 Server SP3 домейнови контролери са разрешили правилата "Мрежов сървър на Microsoft: Цифрово подписване на комуникации (винаги)". Тази настройка изисква SMB сървърът да изпълнява подписване на SMB пакети. Направени са промени в Windows Server 2003, защото домейнови контролери, файлови сървъри, сървъри с мрежова инфраструктура и уеб сървъри във всяка организация изискват различни настройки, за да се увеличи защитата им.

      Ако искате да внедрите NTLMv2 удостоверяване във вашата мрежа, трябва да се уверите, че всички компютри в домейна са настроени да използват това ниво на удостоверяване. Ако приложите разширения на клиент на Active Directory за Windows 95 или Windows 98 и Windows NT 4.0, разширенията на клиента използват подобрените функции за удостоверяване, които са налични в NTLMv2. Тъй като клиентските компютри, работещи с някоя от следните операционни системи, не са засегнати от Windows 2000 групови правила обекти, може да се наложи да конфигурирате ръчно тези клиенти:

      • Microsoft Windows NT 4.0

      • Microsoft Windows Millennium Edition

      • Microsoft Windows 98

      • Microsoft Windows 95

      Забележка Ако разрешите мрежовата защита: Не съхранявайте стойността за хеширане на LAN manager при правила за промяна на следващата парола или задайте ключ от системния регистър NoLMHash , базирани на Windows 95 и базирани на Windows 98 клиенти, които нямат инсталиран клиента за справочни услуги, не могат да влязат в домейна след промяна на паролата.

      Много CIFS сървъри на други разработчици, като например Novell Netware 6, не са наясно с NTLMv2 и използват само NTLM. Следователно нивата, по-големи от 2, не позволяват свързване. Има и SMB клиенти от други разработчици, които не използват разширена защита на сесията. В тези случаи LmCompatiblityLevel на сървъра за ресурси не се взема предвид. След това сървърът пакетирате това наследено искане и го изпраща на потребителския домейнов контролер. Настройките на домейновия контролер след това решете какви хешове се използват за проверка на искането и дали отговарят на изискванията за защита на домейновия контролер.

       

      299656 Как да забраните на Windows да съхранява хеш на вашата парола от LAN ръководител в Active Directory и локални SAM бази данни
       

      2701704Събитието за проверка показва пакета за удостоверяване като NTLMv1 вместо NTLMv2 За повече информация относно нивата на LM удостоверяване щракнете върху следния номер на статия в базата знания на Microsoft:

      239869 Как да разрешите удостоверяване на NTLM 2
       

    2. Рискови конфигурации

      Следните настройки са опасни за конфигурацията:

      • Неограничени настройки, които изпращат пароли в ясен текст и които отказват преговори за NTLMv2

      • Ограничителни настройки, които пречат на несъвместими клиенти или домейнови контролери да договарят общ протокол за удостоверяване

      • Изискване на NTLMv2 удостоверяване на компютри членове и домейнови контролери, които работят с версии на Windows NT 4.0, които са по-стари от Service Pack 4 (SP4)

      • Изискване на NTLMv2 удостоверяване на клиенти на Windows 95 или клиенти на Windows 98, които нямат инсталиран клиента на Windows Directory Services.

      • Ако щракнете, за да отметнете квадратчето Изисквай NTLMv2 защита на сесията в конзолата на Microsoft за управление групови правила конзолната добавка на редактора на компютър, базиран на Windows Server 2003 или Windows 2000 Service Pack 3, и намалите нивото на удостоверяване на LAN manager на 0, конфликта между двете настройки и може да получите следното съобщение за грешка във файла Secpol.msc или файла GPEdit.msc:

        Windows не може да отвори локалната база данни с правила. Възникна неизвестна грешка при опит за отваряне на базата данни.

        За повече информация относно инструмента за конфигуриране и анализ на защитата вж. помощните файлове за Windows 2000 или Windows Server 2003.

    3. Причини за промяна на тази настройка

      • Искате да увеличите най-ниския общ протокол за удостоверяване, който се поддържа от клиенти и домейнови контролери във вашата организация.

      • Когато защитеното удостоверяване е бизнес изискване, искате да забраните преговорите по LM и NTLM протоколите.

    4. Причини за забраняване на тази настройка

      Изискванията за удостоверяване на клиента или сървъра или и двете са увеличени до точката, където не може да възникне удостоверяване по общ протокол.

    5. Символно име:

      LmCompatibilityLevel

    6. Път до системния регистър:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. Примери за проблеми със съвместимостта

      • Windows Server 2003: По подразбиране настройката за изпращане на NTLM отговори при изпращане на NTLM на Windows Server 2003 NTLMv2 е разрешена. Затова Windows Server 2003 получава съобщение за грешка "Отказан достъп" след първоначалното инсталиране, когато се опитате да се свържете с базиран на Windows NT 4.0 клъстер или LanManager V2.1 сървъри, като например OS/2 Lanserver. Този проблем възниква и ако се опитате да се свържете от по-ранна версия клиент към сървър, базиран на Windows Server 2003.

      • Инсталирате Windows 2000 сборен пакет за актуализация на защитата 1 (SRP1). SRP1 изисква NTLM версия 2 (NTLMv2). Този сборен пакет е издаден след издаването на Windows 2000 Service Pack 2 (SP2).
         

      • Windows 7 и Windows Server 2008 R2: Много други CIFS сървъри, като например novell Netware 6 или базирани на Linux сървъри Samba, не са наясно с NTLMv2 и използват само NTLM. Следователно нивата, по-големи от "2", не позволяват свързване. Сега в тази версия на операционната система настройката по подразбиране за LmCompatibilityLevel е променена на "3". Така че когато надстройвате Windows, тези файлови разработчици може да спрат да работят.

      • Клиентите на Microsoft Outlook могат да бъдат подканени за идентификационни данни, въпреки че вече са влезли в домейна. Когато потребителите предоставят своите идентификационни данни, те получават следното съобщение за грешка: Windows 7 и Windows Server 2008 R2

        Предоставените идентификационни данни за влизане са неправилни. Уверете се, че вашето потребителско име и домейн са правилни, след което въведете отново паролата си.

        Когато стартирате Outlook, може да бъдете подканени за вашите идентификационни данни, дори ако настройката за мрежова защита при влизане е зададена на "Транзитно" или "Удостоверяване с парола". След като въведете правилните си идентификационни данни, може да получите следното съобщение за грешка:

        Предоставените идентификационни данни за влизане са неправилни.

        Проследяването на мрежов монитор може да покаже, че глобалният каталог е издал отказ при извикване на отдалечена процедура (RPC) със състояние на 0x5. Състояние на 0x5 означава "Достъпът е отказан".

      • Windows 2000: Заснемането на мрежов монитор може да покаже следните грешки в сесията на netBIOS през TCP/IP (NetBT) сървърен блок за съобщения (SMB):

        SMB R Грешка в Dos указател за търсене, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Невалиден потребителски идентификатор

      • Windows 2000: Ако домейн на Windows 2000 с NTLMv2 ниво 2 или по-нова версия е надежден от домейн на Windows NT 4.0, компютрите членове, базирани на Windows 2000 в ресурсния домейн, може да изпитат грешки при удостоверяване.

      • Windows 2000 и Windows XP: По подразбиране Windows 2000 и Windows XP задават опцията Локални правила за защита на lan Manager ниво на защита на 0. Настройка 0 означава "Изпращане на LM и NTLM отговори".

        Забележка Клъстерите, базирани на Windows NT 4.0, трябва да използват LM за администриране.

      • Windows 2000: Клъстерирането на Windows 2000 не удостоверява присъединяване възел, ако и двата възела са част от домейн Windows NT 4.0 Service Pack 6a (SP6a).

      • Инструментът за заключване на IIS (HiSecWeb) задава стойността LMCompatibilityLevel на 5 и стойността RestrictAnonymous на 2.

      • Услуги за Macintosh

        Модул за удостоверяване на потребител (UAM): Microsoft UAM (модул за удостоверяване на потребител) предоставя метод за шифроване на паролите, които използвате за влизане в сървъри на АФП на Windows (AppleTalk filing Protocol). Модулът за удостоверяване на потребител на Apple (UAM) предоставя само минимално или никакво шифроване. Следователно паролата ви лесно може да бъде прихваната в ЛОКАЛНА мрежа или в интернет. Въпреки че UAM не се изисква, той предоставя шифровано удостоверяване за сървъри на Windows 2000, които изпълняват услуги за Macintosh. Тази версия включва поддръжка за 128-битово шифровано удостоверяване NTLMv2 и издание, съвместимо с MacOS X 10.1.

        По подразбиране сървърът на Услугите на Windows Server 2003 for Macintosh позволява само удостоверяване на Microsoft.
         

      • Windows Server 2008, Windows Server 2003, Windows XP и Windows 2000: Ако конфигурирате стойността на LMCompatibilityLevel да бъде 0 или 1 и след това конфигурирате стойността noLMHash да бъде 1, достъпът на приложенията и компонентите може да бъде отказан чрез NTLM. Този проблем възниква, защото компютърът е конфигуриран да разрешава LM, но не и да използва LM съхранени пароли.

        Ако конфигурирате стойността на NoLMHash да бъде 1, трябва да конфигурирате стойността на LMCompatibilityLevel да бъде 2 или по-висока.

  11. Мрежова защита: Изисквания за подписване на LDAP клиент

    1. Фон

      Мрежова защита: Настройката Изисквания за подписване на LDAP клиент определя нивото на подписване на данни, което се изисква от името на клиенти, които издават заявки за ОБВЪРЗВАне на Lightweight Directory Access Protocol (LDAP), както следва:

      • Няма: Заявката LDAP BIND се издава със зададените от повикващия опции.

      • Съгласуване на подписването: Ако защитата на слоя със защитени сокети/защитата на транспортния слой (SSL/TLS) не е стартирана, заявката LDAP BIND се инициира с набора от опции за подписване на LDAP данни в допълнение към опциите, зададени от повикващия. Ако SSL/TLS е стартиран, заявката LDAP BIND се инициира с опциите, зададени от повикващия.

      • Изискване на подписване: Това е същото като Съгласуване на подписването. Ако обаче междинният отговор saslBindInProgress на LDAP сървъра не показва, че се изисква подписване на LDAP трафик, повикващият се казва, че искането за команда LDAP BIND е неуспешно.

    2. Рисковано конфигуриране

      Разрешаване на мрежовата защита: Настройката за изисквания за подписване на LDAP клиент е опасна настройка на конфигурацията. Ако настроите сървъра да изисква LDAP подписи, трябва също да конфигурирате подписването на LDAP в клиента. Ако не конфигурирате клиента да използва LDAP подписи, това ще попречи на комуникацията със сървъра. Това води до неуспешно удостоверяване на потребител, настройки на групови правила, скриптове за влизане и други функции.

    3. Причини за промяна на тази настройка

      Неподписаният мрежов трафик е податлив на атаки от човек в средата, при които нарушител улавя пакети между клиента и сървърите, променя ги и след това ги препраща към сървъра. Когато това се случи на LDAP сървър, атакуващият може да накара сървъра да отговори на базата на фалшиви заявки от LDAP клиента. Можете да понижите този риск в корпоративната мрежа, като приложите силни мерки за физическа защита, за да помогнете за защитата на мрежовата инфраструктура. Освен това можете да помогнете за предотвратяването на всички видове атаки от типа "човек в средата", като изисквате цифрови подписи на всички мрежови пакети с помощта на заглавките за удостоверяване IPSec.

    4. Символно име:

      LDAPClientIntegrity

    5. Път до системния регистър:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

  12. Регистър на събитията: максимален размер на регистрационния файл за защита

    1. Фон

      Регистър на събитията: Настройката за максимален размер на защитата на регистрационния файл за защита задава максималния размер на регистъра на събитията за защита. Този регистрационен файл е с максимален размер от 4 ГБ. За да намерите тази настройка, разгънете
      Настройки на Windows и след това разгънете Настройки за защита.

    2. Рискови конфигурации

      Следните настройки са опасни за конфигурацията:

      • Ограничаване на размера на регистрационния файл на защитата и метода за задържане на регистрационни файлове на защитата, когато настройката Проверка: Изключване на системата веднага, ако не можете да регистрирате проверки за защита е разрешена. Вижте раздела "Проверка: Незабавно изключване на системата, ако не може да се регистрират проверките на защитата" на тази статия за повече подробности.

      • Ограничаване на размера на регистрационния файл на защитата, така че събитията, които представляват интерес за защитата, да се презаписват.

    3. Причини да увеличите тази настройка

      Изискванията за бизнес и защита може да налагат да увеличите размера на регистрационния файл за защита, за да обработите допълнителни подробности за регистрационния файл на защитата или да запазите регистрационните файлове на защитата за по-дълъг период от време.

    4. Причини да намалите тази настройка

      Визуализатор на събития регистрационните файлове са нанесени файлове в паметта. Максималният размер на регистрационния файл на събитията се ограничава от размера на физическата памет в локалния компютър и от виртуалната памет, която е достъпна за процеса на регистриране на събитията. Увеличаването на размера на регистрационния файл отвъд размера на виртуалната памет, която е налична за Визуализатор на събития не увеличава броя на записите в регистрационния файл, които се поддържат.

    5. Примери за проблеми

      със съвместимостта Windows 2000: Компютри, работещи с версии на Windows 2000, които са по-стари от Service Pack 4 (SP4), може да спрат да записват събития в регистрационния файл на събитията, преди да достигнат размера, който е зададен в настройката максимален размер на регистрационния файл в Визуализатор на събития ако опцията Не записвай събитията (изчистете регистрационния файл ръчно) е включена.


       

  13. Регистър на събитията: Запазване на регистрационния файл на защитата

    1. Фон

      Регистър на събитията: Запазване на настройката за защита на регистрационния файл за защита определя метода "пренасяне" за регистрационния файл на защитата. За да намерите тази настройка, разгънете Настройки на Windows и след това разгънете Настройки за защита.

    2. Рискови конфигурации

      Следните настройки са опасни за конфигурацията:

      • Неуспешно запазване на всички регистрирани събития за защита, преди да бъдат презаписани

      • Конфигурирането на настройката за максимален размер на регистрационния файл за защита е твърде малко, така че да се презаписват събития за защита

      • Ограничаване на размера на регистрационния файл на защитата и метода на задържане, докато проверката: незабавно изключване на системата, ако не можете да регистрирате проверка на защитата настройка е разрешена

    3. Причини за разрешаване на тази настройка

      Разрешете тази настройка само ако изберете метода за задържане Презаписване на събитията по дни . Ако използвате система за корелация на събития, която проверява за събития, уверете се, че броят на дните е най-малко три пъти по-голям от честотата на запитването. Направете това, за да позволите неуспешни цикли на запитването.

  14. Мрежов достъп: Разрешаване на всички да прилагат разрешения за анонимни потребители

    1. Фон

      По подразбиране настройката Достъп до мрежата: Разрешаване на всички да се прилагат разрешения за анонимни потребители е зададена на Не е дефинирано в Windows Server 2003. По подразбиране Windows Server 2003 не включва маркера за анонимен достъп в групата "Всеки".

    2. Пример за проблеми със

      съвместимостта Следната стойност на

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous [REG_DWORD]=0x0 прекъсва създаването на доверие между Windows Server 2003 и Windows NT 4.0, когато домейнът на Windows Server 2003 е домейнът на акаунта, а домейнът на Windows NT 4.0 е домейнът на ресурса. Това означава, че домейнът на акаунта е надежден в Windows NT 4.0 и ресурсният домейн е Надежден от страна на Windows Server 2003. Това поведение възниква, защото процесът за стартиране на доверие след първоначалната анонимна връзка е ACL'd с маркер всеки, който включва анонимни SID на Windows NT 4.0.

    3. Причини за промяна на тази настройка

      Стойността трябва да бъде зададена да 0x1 или да се зададе с помощта на GPO на организационната единица на домейновия контролер, за да бъде: Достъп до мрежата: Позволяване на всички да се прилагат за анонимни потребители – разрешено, за да е възможно създаването на доверие.

      Забележка Повечето други настройки за защита се задават по стойност, а не надолу до 0x0 в най-защитеното си състояние. По-сигурна практика би било да промените системния регистър на основния емулатор на домейнов контролер, а не на всички домейнови контролери. Ако ролята на емулатор на основния домейнов контролер е преместена по някаква причина, системният регистър трябва да се актуализира на новия сървър.

      След задаването на тази стойност се изисква рестартиране.

    4. Път до системния регистър

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

  15. NTLMv2 удостоверяване

    1. Защита на сесията

      Защитата на сесията определя минималните стандарти за защита за клиентски и сървърни сесии. Добра идея е да проверите следните настройки на правилата за защита в конзолната добавка на microsoft Management Console групови правила Редактор:

      • Настройки на компютъра\Настройки на Windows\Настройки за защита\Локални правила\Опции за защита

      • Мрежова защита: Минимална защита на сесията за NTLM SSP базирани (включително защитени RPC) сървъри

      • Мрежова защита: Минимална защита на сесията за клиенти, базирани на NTLM SSP (включително защитени RPC)

      Опциите за тези настройки са следните:

      • Изискване на целостта на съобщението

      • Изискване на поверителност на съобщението

      • Изискване на защита на сесията на NTLM версия 2

      • Изисква 128-битово шифроване

      Настройката по подразбиране преди Windows 7 е Без изисквания. Започвайки с Windows 7, стойността по подразбиране е променена на Изисквай 128-битово шифроване за подобрена защита. С тази по подразбиране наследени устройства, които не поддържат 128-битово шифроване, няма да могат да се свържат.

      Тези правила определят минималните стандарти за защита за комуникация между приложения на сървър за клиент.

      Имайте предвид, че въпреки че са описани като валидни настройки, флаговете, които изискват целостта и поверителността на съобщенията, не се използват, когато се определя защитата на NTLM сесията.

      В миналото Windows NT поддържа следните два варианта на удостоверяване за предизвикателство/отговор за влизане в мрежата:

      • LM предизвикателство/отговор

      • NTLM версия 1 предизвикателство/отговор

      LM позволява работна съвместимост с инсталираната база от клиенти и сървъри. NTLM предоставя подобрена защита за връзки между клиенти и сървъри.

      Съответните ключове от системния регистър са следните:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

    2. Рискови конфигурации

      Тази настройка определя как ще се обработват мрежовите сесии, защитени с помощта на NTLM. Това засяга например базираните на RPC сесии, удостоверени с NTLM. Има следните рискове:

      • Използването на по-стари методи за удостоверяване от NTLMv2 улеснява атаката поради по-простите методи за хеширане.

      • Използването на шифроващи ключове, по-ниски от 128-битовата версия, позволява на хакерите да прекъснат комуникацията с помощта на груби атаки.

Синхронизиране на времето

Синхронизирането на времето е неуспешно. Времето е изключено с повече от 30 минути на засегнатия компютър. Уверете се, че часовникът на компютъра клиент е синхронизиран с часовника на домейновия контролер.

Заобиколно решение за подписване на SMB

Препоръчваме да инсталирате Service Pack 6a (SP6a) на клиенти на Windows NT 4.0, които работят с домейн, базиран на Windows Server 2003. Клиентите, базирани на второ издание на Windows 98, клиентите, базирани на Windows 98, и клиентите, базирани на Windows 95, трябва да изпълняват клиента на справочни услуги, за да изпълняват NTLMv2. Ако клиентите, базирани на Windows NT 4.0, нямат инсталиран Windows NT 4.0 SP6 или ако клиентите, базирани на Windows 95, клиентите, базирани на Windows 98, и клиентите, базирани на Windows 98SE, нямат инсталиран клиента за справочни услуги, забранете SMB влизането в настройката на правилата на домейновия контролер по подразбиране на организационната единица на домейновия контролер и след това свържете тези правила към всички потребители, които хостват домейнови контролери.

Клиентът на справочни услуги за Второ издание на Windows 98, Windows 98 и Windows 95 ще извърши SMB подписване със сървъри на Windows 2003 под NTLM удостоверяване, но не и под NTLMv2 удостоверяване. Освен това сървърите на Windows 2000 няма да отговарят на искания за подписване на SMB от тези клиенти.

Въпреки че не го препоръчваме, можете да предотвратите SMB подписването да се изисква на всички домейнови контролери, които работят с Windows Server 2003 в домейн. За да конфигурирате тази настройка за защита, изпълнете следните стъпки:

  1. Отворете правилата по подразбиране на домейновия контролер.

  2. Отворете папката Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options.

  3. Намерете и след това щракнете върху мрежовия сървър на Microsoft: Настройката на правила за цифрово подписване на комуникациите (винаги) и след това щракнете върху Дезактивирано.

Важно Този раздел, метод или задача съдържа стъпки, които ви казват как да промените системния регистър. Ако обаче промените системния регистър неправилно, е възможно да възникнат сериозни проблеми. Затова следвайте тези стъпки внимателно. За допълнителна защита архивирайте системния регистър, преди да го промените. След това можете да възстановите системния регистър, ако възникне проблем. За повече информация как да архивирате и възстановите системния регистър щракнете върху следния номер на статия в базата знания на Microsoft:

322756 Как да архивирате и възстановите системния регистър в Windows Като алтернатива, изключете SMB подписването на сървъра, като промените системния регистър. За да направите това, следвайте тези стъпки:

  1. Щракнете върху Старт, щракнете върху Изпълнение, въведете regedit и след това щракнете върху OK.

  2. Намерете и след това щракнете върху следния подключ:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

  3. Щракнете върху записа enablesecuritysignature .

  4. В менюто Редактиране щракнете върху Модифицирай.

  5. В полето Данни за стойността въведете 0 и след това щракнете върху OK.

  6. Излезте от редактора на системния регистър.

  7. Рестартирайте компютъра или спрете и след това рестартирайте услугата на сървъра. За да направите това, въведете следните команди в команден прозорец и след това натиснете Enter, след като въведете всяка команда:
    net stop server
    net start server

Забележка Съответният ключ на клиентския компютър е в следния подключ от системния регистър:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters По-долу са изброени преведените кодове на грешки в кодовете на състоянието и дословните съобщения за грешка, които са споменати по-рано:

грешка 5


ERROR_ACCESS_DENIED Достъпът е отказан.

грешка 1326



ERROR_LOGON_FAILURE Грешка при влизане: неизвестно потребителско име или неправилна парола.

грешка 1788



ERROR_TRUSTED_DOMAIN_FAILURE Неуспешна взаимоотношение с гарант между основния и надеждния домейн.

грешка 1789



ERROR_TRUSTED_RELATIONSHIP_FAILURE Неуспешна връзка на доверие между тази работна станция и основния домейн.

За повече информация щракнете върху следните номера на статии, за да видите статиите в базата знания на Microsoft:

324802 Как да конфигурирате групови правила, за да зададете защита за системни услуги в Windows Server 2003

816585 Как се прилагат предварително дефинирани шаблони за защита в Windows Server 2003

Нуждаете ли се от още помощ?

Искате ли още опции?

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Общностите ви помагат да задавате и отговаряте на въпроси, да давате обратна връзка и да получавате информация от експерти с богати знания.

Беше ли полезна тази информация?

Доколко сте доволни от качеството на езика?
Какво е повлияло на вашия потребителски опит?
Като натиснете „Подаване“, вашата обратна връзка ще се използва за подобряване на продуктите и услугите на Microsoft. Вашият ИТ администратор ще може да събира тези данни. Декларация за поверителност.

Благодарим ви за обратната връзка!

×