Клиент, услуги и въпроси, програмата може да възникне, ако промените настройките за защита и потребителски права задачи

Работете навсякъде от всяко устройство с Microsoft 365

Надстройте до Microsoft 365, за да работите навсякъде с най-новите функции и актуализации.

Надстройване сега

Резюме

Настройки на защитата и потребителски права задачи може да се промени в локални правила и групови правила за засилване на защитата на домейн контролери и компютри. Обаче Недостатъкът на подобрена защита е въвеждането на несъвместимост с клиенти, услуги и програми.

Тази статия описва несъответствия, които могат да възникнат на клиентски компютри, работещи под Windows XP или по-ранна версия на Windows, когато промените настройките за сигурност на специфични и потребителски права задачи в Windows Server 2003 домейн или по-стари Windows Сървър на домейн.

За информация относно груповите правила за Windows 7, Windows Server 2008 R2 и Windows Server 2008 вижте следните статии:

  • За Windows 7 вижте

  • За Windows 7 и Windows Server 2008 R2 вижте

  • За Windows Server 2008 вижте

Забележка: Съдържанието на останалите в тази статия се отнася за Windows XP, Windows Server 2003 и по-ранни версии на Windows.

Windows XP

За повишаване на неправилно сигурност настройки, използвайте инструмента за групови правила за промяна на настройките за защита. Когато използвате групови правила, са подобрени потребителски права задачи на следните операционни системи:

  • Windows XP Professional Service Pack 2 (SP2)

  • Windows Server 2003 Service Pack 1 (SP1)

Разширени функции се диалогов прозорец, който съдържа връзка към тази статия. Появява се диалоговият прозорец, когато промените настройката за защита или присвояване на потребителски права за настройка, която предлага по-малко съвместимост и ограничения. Ако директно промените същата защита настройка или потребителски права задача с помощта на системния регистър или шаблони за защита, ефектът е същият като промените настройката на групови правила. Обаче, който съдържа връзка към тази статия не се появи диалогов прозорец.

Тази статия съдържа примери на клиенти, програми и операции, които са засегнати от настройките за сигурност на специфични или потребителски права задачи. Обаче примери не са точно за всички операционни системи на Microsoft, за всички други операционни системи или за всички версии на програми, които са засегнати. Не всички настройки на защитата и потребителски права задачи са включени в тази статия.

Препоръчително е да Проверете съвместимостта на всички промени в конфигурацията, свързани със сигурността в гората тест, преди да ги въведат в производствена среда. Тест на гората трябва да отразяват производство гората по следния начин:

  • Версии на операционната система на клиента и сървъра, клиента и сървъра програми, сервизен пакет версии, спешни корекции, промени в схемата, групите за защита, групите, разрешения на обекти в файловата система на споделени папки, системния регистър, Active Directory директория услуги, местните и настройките на груповите правила и брой тип обект и местоположение

  • Административни задачи, които се изпълняват, административни инструменти, които се използват и операционни системи, които се използват за изпълнение на административни задачи

  • Операции, които се изпълняват, като следните:

    • Компютър и влизане удостоверяване на потребителя

    • Нулира паролата от потребители, компютри и администратори

    • Сърфиране

    • Задаване на разрешения за файловата система за споделени папки, системния регистър и за Active Directory ресурси с помощта на редактора на ACL във всички клиентски операционни системи във всички области на акаунт или ресурси от всички клиентски операционни системи от всички акаунти или ресурс домейни

    • Печат от административни и nonadministrative сметки

Windows Server 2003 SP1

Предупреждения за Gpedit.msc

Да знае, че те редактирате потребителско право или опцията за защита, които могат да имат неблагоприятно върху мрежата си клиенти, два предупреждение механизми са добавени към gpedit.msc. Когато администраторите редактирате потребителско право, може да засегне цялото предприятие, те ще видите нова икона, подобно на знак за предимство. Те ще се появи предупредително съобщение, което съдържа връзка към статия от базата знания на Microsoft 823659. Текстът на това съобщение е както следва:

Промяната на тази настройка може да засегне съвместимост с клиенти, услуги и приложения. За повече информация вижте < надясно или сигурност опцията потребител модифицира > (Q823659) Ако сте били насочени към тази статия от базата знания от връзка в Gpedit.msc, уверете се, че да прочетете и разберете предоставя обяснение и възможните ефекти от промяната на тази настройка. По-долу са изброени потребителски права, които съдържат предупреждение текст:

  • Достъп до този компютър от мрежата

  • Локално влизане в системата

  • Проверка за байпас напречна

  • Разрешаване на компютри и потребители за надеждни делегиране

По-долу са изброени опции за защита, предупреждение и изскачащи съобщения:

  • Член на домейн: Цифрово криптиране или знак защитен канал данни (винаги)

  • Член на домейн: Изискват силен (Windows 2000 или по-нова версия) сесиен ключ

  • Домейнов контролер: Изисквания за подписване в LDAP сървър –

  • Microsoft мрежов сървър: цифрово подписване на съобщения (винаги)

  • Мрежов достъп: Позволява анонимен Sid / преобразуване на имената

  • Мрежов достъп: Позволява анонимен изброяване на SAM акаунти и дялове

  • Защита на мрежата: удостоверяване на LAN Manager ниво

  • Проверка: Изключете незабавно, ако не можете да влезете проверки на защитата

  • Мрежов достъп: Изисквания за подписване в LDAP клиент –

Допълнителна информация

Следващите раздели описват несъответствия, които могат да възникнат, когато промените определени настройки в Windows NT 4.0 домейни, домейните Windows 2000 и Windows Server 2003 домейн.

Потребителски права

Следният списък описва потребителско право, определя настройките, които могат да причинят проблеми, описва защо трябва да приложите потребителя точно и защо може да искате да премахнете потребителя право и предоставя примери за проблеми със съвместимостта, които може да възникне, когато потребителят правото е конфигуриран.

  1. Достъп до този компютър от мрежата

    1. Фон

      Възможността за взаимодействие с отдалечени компютри, базирани на Windows изисква право за потребителски достъп до този компютър от мрежата . Примери за такива мрежови операции включват следното:

      • Репликация на Active Directory Домейн контролерите в общ домейн или гора

      • Заявките за удостоверяване на домейн контролери от потребители и компютри

      • Достъп до споделени папки, принтери и други системни услуги, които се намират на отдалечени компютри в мрежата



      Потребители, компютри и сервизни акаунти получи или не очаквате достъп до този компютър от мрежата потребител е изрично или мълчаливо добавят или премахват от група за защита, която е предоставено право този потребител. Например потребителски акаунт на компютъра с акаунт изрично може да се добавят към група по избор или вградена защита от администратор или може да се добави автоматично от операционната система за компютърна защита като потребители в домейна, удостоверени Потребителите или домейн контролери на предприятие.

      По подразбиране потребителски акаунти и акаунти на компютъра се предоставя достъп до този компютър от мрежата точно когато изчислява групи като всеки или за предпочитане, установявам истината потребител и за домейн контролери, групата домейн контролери на предприятие , дефинирани по подразбиране домейн контролерите обект на групови правила (GPO).

    2. Рисковано конфигурации

      Вредни настройките са следните:

      • Премахване на група за защита на домейн контролери на предприятие от точно този потребител

      • Премахване на групата удостоверени потребители или изрично група, която позволява на потребителите, компютри и сервизни акаунти правото на потребителя да се свържете с компютрите в мрежата

      • Премахване на всички потребители и компютри от този потребителски права

    3. Причини да предостави на този потребител

      • Потребителски достъп до този компютър от мрежата правото на групата домейн контролери на предприятие отговаря удостоверяване изискванията, които репликация на Active Directory трябва да имате за репликация възниква между домейн контролери в същата гора.

      • Този потребителски права позволява на потребители и компютри за достъп до споделени файлове, принтери и системни услуги, включително Active Directory.

      • Това право на потребителя се изисква за потребителите за достъп до поща чрез ранни версии на Microsoft Outlook Web Access (OWA).

    4. Причини, за да премахнете този потребител право

      • Потребителите, които да се свържете компютъра си към мрежа достъп до ресурсите на отдалечени компютри, които имат разрешения. Например точно този потребител е необходими на потребителя да се свържете към споделени принтери и папки. Ако този потребителски права е предоставено на всички групи, и ако някои споделени папки за споделяне и разрешенията за NTFS конфигурирани така, че същата група има достъп за четене, всеки може да видите файлове в тези споделени папки. Това обаче е случай за първоначалната инсталация на Windows Server 2003, защото по подразбиране дял и NTFS разрешенията в Windows Server 2003 включва групата "всеки". За системи, които са надградени от Microsoft Windows NT 4.0 или Windows 2000 тази уязвимост може да има по-високо ниво на риска, защото по подразбиране дял и файловата система разрешения за тези операционни системи не са толкова рестриктивен, като разрешенията по подразбиране в Windows Server 2003.

      • Няма валидна причина за премахване на домейн контролери на предприятие група от този потребителски права.

      • Обикновено групата "всеки" се премахва в полза на групата удостоверени потребители. Ако групата "всеки" се премахва, групата удостоверени потребители трябва да има правото този потребител.

      • Windows NT 4.0 домейни, които са надградени до Windows 2000 не изрично предоставят достъп до този компютър от мрежата на потребителя право на групата "всеки", удостоверени потребители група или домейн контролери на предприятие група. Затова Когато премахнете групата "всеки" от правило за домейн на Windows NT 4.0, репликация в Active Directory ще се провали със съобщение за грешка "Достъпът отказан" след надстройване до Windows 2000. Winnt32.exe в Windows Server 2003 избягва тази неправилна чрез предоставяне на домейн контролери на предприятие група право този потребител, когато надстройвате Windows NT 4.0 основния домейн контролер (професионално). Предоставят домейн контролери на предприятие група този потребителски права, ако то не съществува в обекта редактора на групови правила.

    5. Примери за проблеми със съвместимостта

      • Windows 2000 и Windows Server 2003: Репликация на следните дялове ще се провали с грешка "Достъпът отказан" по мониторинг инструменти като REPLMON и REPADMIN или репликация събития в регистъра на събитията.

        • Active Directory Schema дял

        • Конфигуриране на дял

        • Домейн дял

        • Глобален каталог дял

        • Дял за приложения

      • Всички Microsoft Мрежови операционни системи: Потребителски акаунт удостоверяването от отдалечената мрежа клиентски компютри няма потребител или потребител е член на група за защита е получила правото този потребител.

      • Всички Microsoft Мрежови операционни системи: Сметка удостоверяването от отдалечената мрежа клиенти няма акаунт или акаунт е член на групата за защита е получила точно този потребител. Тази ситуация се отнася за потребителски акаунти, компютърни акаунти и сервизни акаунти.

      • Всички Microsoft Мрежови операционни системи: Премахване на всички акаунти от точно този потребител ще предотврати всеки акаунт от влизане в домейн или достъп до мрежови ресурси. Ако изчислена групи домейн контролери на предприятие, се премахват всички или удостоверени потребители, трябва изрично давате правото потребителски акаунти или групи за защита, че акаунтът е член на достъп до отдалечени компютри по мрежата. Тази ситуация се отнася за всички потребителски акаунти, всички акаунти на компютъра и всички сервизни акаунти.

      • Всички Microsoft Мрежови операционни системи: Акаунтът на локалния администратор използва "празна" парола. Забранено е мрежовата връзка с празни пароли за администраторските акаунти в среда на домейн. С тази конфигурация можете да очаквате да получите съобщение за грешка "Достъпът отказан".

  2. Разрешаване на локално влизане

    1. Фон

      Потребителите, които се опитвате да влезете в конзолата на компютър, базиран на Windows (като използвате клавишната комбинация CTRL + ALT + DELETE) и акаунти, който се опитвате да стартирате услугата трябва да има местни влизане привилегии хостинг на компютъра. Местни влизане операции включват администратори, които са влезете с конзоли абонатни компютри или домейн контролери в домейн за предприятия и потребители, които са влезете за достъп до работния плот с помощта на компютри привилегировани акаунти. Потребителите, които използват отдалечен работен плот или терминални услуги трябва да Разреши локално влизане потребителя на местоназначението компютри с Windows 2000 или Windows XP защото тези влизане режими се считат за местни хостинг на компютъра. Потребителите, които са влизане на сървър, че е активиран терминален сървър и нямат право този потребител да още стартира интерактивна сесия на отдалечен в Windows Server 2003 домейн ако имат позволи влизане посредством терминални услуги потребителски права.

    2. Рисковано конфигурации

      Вредни настройките са следните:

      • Премахване на административни права групи, включително акаунт оператори, оператори на архивиране, печат оператори или оператори на сървъри и групата на администраторите на вградените от правилата по подразбиране домейн контролер.

      • Премахване на акаунти за услуги, които се използват от компоненти и програми на компютри и домейн контролери в домейн от правилата по подразбиране домейн контролер.

      • Премахване на потребители или групи за защита, влезте в конзолата на компютри в домейна.

      • Премахване на акаунти за услуги, които са зададени в локален Security Accounts Manager (SAM) базата данни на компютри или на компютри от работната група.

      • Премахване на non вградени в администраторски акаунти, които са удостоверяването терминални услуги, която работи на домейн контролер.

      • Добавяне на всички потребителски акаунти в домейна изрично или мълчаливо през всеки група за локално влизане Deny logon точно. Тази конфигурация ще попречи на потребителите да влезете в компютъра всеки член или домейнов контролер на домейн.

    3. Причини да предостави на този потребител

      • Потребителите трябва да Разреши локално влизане потребител право на достъп до конзолата или работния плот на компютъра работна група, член компютър или домейнов контролер.

      • Потребителите трябва да имат право този потребител да влезете през сесията за терминални услуги, която се изпълнява на компютъра под Прозорец 2000 член или домейнов контролер.

    4. Причини, за да премахнете този потребител право

      • Празна конзола Официален потребителски акаунти може да доведе до неупълномощени потребители изтегляне и изпълнение на злонамерен код да променят своите потребителски права.

      • Премахване на позволи локално влизане в потребителски права предотвратява неупълномощени влизания в конзолата на компютъра, като домейнови контролери или сървъри.

      • Премахването на това право за влизане не позволява акаунти за домейн да влезете в конзолата на компютри в домейна.

    5. Примери за проблеми със съвместимостта

      • Терминални сървъри Windows 2000: Разреши локално влизане в потребителски права е необходимо на потребителите да влезете в Windows 2000 терминални сървъри.

      • Windows NT 4.0, Windows 2000, Windows XP или Windows Server 2003: Потребителските акаунти трябва да има потребителски правото да влезете в конзолата на компютри, работещи под Windows NT 4.0, Windows 2000, Windows XP или Windows Server 2003.

      • Windows NT 4.0 и по-късно: На компютри, работещи под Windows NT 4.0 и по-късно, ако добавите позволи локално влизане потребителя, но мълчаливо или изрично да предоставят Откажи влизане локално влизане право, акаунти няма да можете да влезете в конзолата на домейн контролери.

  3. Проверка за байпас напречна

    1. Фон

      Проверка за байпас напречна потребителски права позволява на потребителя да преглеждате папки в NTFS файловата система или системния регистър без проверка за разрешението За прехвърляне на папка специален достъп. Проверка за байпас напречна потребителски права не позволява на потребителя да списък на съдържанието на папката. Това позволява на потребителя да преминават само си папки.

    2. Рисковано конфигурации

      Вредни настройките са следните:

      • Премахване на неадминистративни акаунти, влезте в терминалните услуги на Windows 2000-базирани компютри или терминалните услуги на Windows Server 2003-базирани компютри, които нямат права за достъп до файловете и папките във файловата система.

      • Премахване на групата "всеки" от списъка с механизми за защита, които имат този потребител точно по подразбиране. Операционни системи Windows и също много програми, са създадени с очаквания, че всеки, който законно достъп до компютъра ще има проверка за байпас напречна потребителски права. Затова премахването на всички група от списъка на механизми за защита, които имат право този потребител по подразбиране може да доведе до нестабилност на операционната система или отказ на програмата. По-добре е да оставите тази настройка по подразбиране.

    3. Причини да предостави на този потребител

      По подразбиране за проверка за байпас напречна потребителски права е да позволи на всеки да заобиколи проверката за прехвърляне. За опитни Windows системни администратори това е обичайната процедура и да конфигурирате файл система за достъп до списъците за контрол (SACLs) съответно. Единственият сценарий, когато конфигурацията по подразбиране може да доведе до злополука е, ако администраторът, който се конфигурира разрешения не разбират поведението и очаква, че потребителите, които нямат достъп до родителската папка няма да можете да отворите съдържанието на детето папки.

    4. Причини, за да премахнете този потребител право

      За да опитате да се предотврати достъпа до файлове или папки във файловата система, организации, които се безпокоят за сигурност ще поискат да премахнете групата "всеки", или дори групата потребители от списъка с групи, които имат Bypass проверката за прехвърляне потребителски права.

    5. Примери за проблеми със съвместимостта

      • Windows 2000, Windows Server 2003: Ако проверка за байпас напречна потребителски права е премахната или е конфигуриран правилно на компютри, работещи под Windows 2000 или Windows Server 2003, настройките на груповите правила в папката SYVOL ще се възпроизвеждат Домейн контролерите на домейна.

      • Windows 2000, Windows XP Professional, Windows Server 2003: Компютри, работещи под Windows 2000, Windows XP Professional или Windows Server 2003 ще регистрира събития 1000 и 1202 и няма да можете да приложите правилата за компютъра и потребителски правила при изисква разрешенията са премахнати от SYSVOL дърво, ако заобикаляне проверка на потребителя право за прехвърляне е премахнат или е конфигуриран правилно.

        За повече информация щракнете върху следния номер на статия в базата знания на Microsoft:

        събитие ID 1000, 1001 се записва в регистрационния файл на приложението на всеки пет минути
         

      • Windows 2000, Windows Server 2003: На компютри, работещи под Windows 2000 или Windows Server 2003 раздела квота в Windows Explorer ще изчезне, когато разглеждате свойствата на Том.

      • Windows 2000: Non-администратори, които влезете в терминален сървър с Windows 2000, може да получите следното съобщение за грешка:

        Userinit.exe приложение грешка. Приложението не успя да се инициализира правилно 0xc0000142 щракнете върху OK, за да прекратите приложението.

      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Потребители, чиито компютри работещи под Windows NT 4.0, Windows 2000, Windows XP или Windows Server 2003 може да не можете да осъществите достъп до споделени папки или файлове на споделени папки, и те може да получите съобщения за грешка "Достъпът отказан", ако те не са предоставени байпас за прехвърляне проверка на потребителски права.


        За повече информация щракнете върху следния номер на статия в базата знания на Microsoft:

        "Достъпът отказан" съобщение за грешка при поискване за достъп до споделени папки
         

      • Windows NT 4.0: На компютри, базирани на Windows NT 4.0 премахването на проверка за байпас напречна потребителски права води до файл копие да пуснете файла потоци. Ако премахнете този потребител право, когато се копира от клиент на Windows или на Macintosh клиент за Windows NT 4.0 домейнов контролер, който изпълнява услугите за Macintosh, целевият файл поток е изгубен и файлът се показва като текстов файл.

      • Microsoft Windows 95, Microsoft Windows 98: На клиентския компютър, работещ под Windows 95 или Windows 98 мрежа употреба * / Начало команда е неуспешно със съобщение за грешка "Достъпът отказан", ако групата удостоверени потребители не е предоставено право на проверка за байпас напречна потребител.

      • Outlook Web Access: Non-администраторите няма да можете да влезете в Microsoft Outlook Web Access и те ще получите съобщение за грешка "Достъпът отказан", ако те не са получили проверка за байпас напречна потребителя право.

Настройки за защита

Следният списък показва настройка на защитата, както и вложени списък предоставя описание за настройка на защитата определя настройките, които могат да причинят проблеми, описва защо трябва да приложите настройката за сигурност и след това се описва причини защо Можете да премахнете настройка на защитата. Вложени списък след това издава символична име за настройка на защитата и пътя на настройка на защитата. И накрая примери са предоставени на проблеми със съвместимостта, които могат да възникнат, когато настройката за защита е конфигуриран.

  1. Проверка: Изключете незабавно, ако не можете да влезете проверки на защитата

    1. Фон

      • Одит: изключете незабавно, ако не можете да влезете проверки на защитата определя дали системата спиране, ако не можете да влезете сигурност събития. Тази настройка е задължителна за надежден компютър Security оценка критерии (TCSEC) програма C2 оценка и общите критерии за оценка за защита на информационните технологии за предотвратяване на събития, ако проверка на системата не може да регистрира тези събития. Ако не система, системата се изключва и се появява съобщение за стоп грешка.

      • Ако компютърът не записва събития в регистрационния файл на защитата, критични данни или важна информация не може да бъде за преглед след произшествие.

    2. Рисковано конфигурация

      Ето вредни конфигурационна настройка: одит: изключете незабавно, ако не можете да влезете проверки на защитата настройка е включена и размера на регистрационния файл на защитата е ограничен от заменя събития (Изчисти регистрационния файл ръчно) опция, опцията за презапис събития като необходимо или опцията за Презапис събития по-стара от броя дни в Event Viewer. Вижте раздела "Примери за проблеми за съвместимост" за информация относно конкретни рискове за компютри с оригиналната версия на Windows 2000, Windows 2000 Service Pack 1 (SP1), Windows 2000 SP2 или Windows 2000 SP3.

    3. Причини, за да разрешите тази настройка

      Ако компютърът не записва събития в регистрационния файл на защитата, критични данни или важна информация не може да бъде за преглед след произшествие.

    4. Причини, за да изключите тази настройка

      • Разрешаване на одит: изключете незабавно, ако не можете да влезете проверки на защитата настройка спира системата, ако проверка на защитата не може да се регистрира по някаква причина. Обикновено не може да се регистрира събитие, когато регистрационния файл за проверка на защитата е пълен и когато срокът за съхранение методът е опцията заменя събития (Изчисти регистрационния файл ръчно) или опцията за Презапис събития по-стара от броя дни .

      • Административната даде възможност проверка: изключете незабавно, ако не можете да влезете проверки на защитата настройка може да бъде много висока, особено ако включите опцията заменя събития (Изчисти регистрационния файл ръчно) за регистрационния файл на защитата. Тази настройка осигурява отделна отчетност на оператора действия. Например администраторът може да Нулирайте разрешенията за всички потребители, компютри и групи в организационна единица (ОЕ), когато проверката е разрешено чрез акаунт на администратор или други споделени акаунт и откаже, че те проучване разрешения. Обаче разрешаване на настройката за намаляване стабилността на системата, тъй като сървър може да бъде принудена да изключите от преобладаващите влизане събития и други защита събития се записват в регистрационния файл на защитата. Освен това тъй като изключването не е успешно, може да доведе непоправимо увреждане на операционната система, програми или данни. Докато NTFS гарантира, че целостта на файловата система се поддържа по време на изключването тромав система, не може да гарантира, че всеки файл с данни за всяка програма ще бъдат във форма, използваема при рестартиране на системата.

    5. Символична име:

      CrashOnAuditFail

    6. Път на системния регистър:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

    7. Примери за проблеми със съвместимостта

      • Windows 2000: Поради грешка компютри с оригиналната версия на Windows 2000, Windows 2000 SP1, Windows 2000 SP2 или Windows Server SP3 може да спре регистрирането на събития преди размера, указан в опцията максимален размер на регистрационен файл за защита събитията се достигне. Тази грешка е разрешен в Windows 2000 Service Pack 4 (SP4). Уверете се, че вашата Windows 2000 домейн контролери имат инсталиран, преди да разгледа включването на тази опция Windows 2000 Service Pack 4.

        За повече информация щракнете върху следния номер на статия в базата знания на Microsoft:

        събитията спира регистриране на събития преди достигане на размера на регистрационния
         

      • Windows 2000, Windows Server 2003: Компютри, работещи под Windows 2000 или Windows Server 2003 може да спре да отговаря и след това спонтанно може да рестартира, ако одит: изключете незабавно, ако не можете да влезете проверки на защитата настройка е включена, регистрационният файл на защитата е пълен и съществуващ не може да бъде заместен запис в регистрационния файл за събития. При рестартиране на компютъра се появява следното съобщение за стоп грешка:

        СТОП: C0000244 {неуспешна проверка}
        Неуспешен опит за генериране на проверка на защитата.

        За възстановяване, администратор трябва да влезете, Архив регистрационен файл на защитата (по избор), изчистване на регистрационния файл на защитата и след това да върнете тази опция (по избор и при необходимост).

      • Мрежа на Microsoft клиент за MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Без администратори, които се опитват да влезете в домейна ще получите следното съобщение за грешка:

        Вашият акаунт е конфигуриран да ви попречи да използвате този компютър. Опитайте друг компютър.

      • Windows 2000: На компютри с Windows 2000 са администратори няма да можете да влезете в сървъри за отдалечен достъп и ще получите съобщение за грешка, подобно на следното:

        Неизвестен потребител или неправилна парола

        За повече информация щракнете върху следния номер на статия в базата знания на Microsoft:

        съобщение за грешка: Вашият акаунт е конфигуриран да ви попречи да използвате този компютър
         

      • Windows 2000: В Windows 2000 домейн контролери Intersite съобщения (Ismserv.exe) ще спре и не може да бъде рестартиран. DCDIAG съобщава за тази грешка "failed тест услуги ISMserv" и event ID 1083 ще бъдат регистрирани в регистрационния файл.

      • Windows 2000: Windows 2000 домейн контролери репликация на Active Directory ще се провали и ще се появи съобщение "Достъпът е отказан", ако събитията на защитата е пълен.

      • Microsoft Exchange 2000: Сървъри, работещи под Exchange 2000 няма да може да се монтира на база данни за съхранение на информация, и ще бъде събитие 2102 регистрирани в регистрационния файл.

      • Outlook, Outlook Web Access: Non-администраторите няма да можете да получите достъп до техните поща чрез Microsoft Outlook или Microsoft Outlook Web Access и ще получите грешка 503.

  2. Домейнов контролер: изисквания за подписване в LDAP сървър

    1. Фон

      Домейнов контролер: изисквания за подписване в LDAP сървър настройка на защитата определя дали достъп протокол Directory (LDAP) сървър изисква LDAP клиенти да се договаря подписване на данни. Възможни стойности за тази настройка на правила са както следва:

      • Няма: Данни за влизане не е необходимо да се свързват със сървъра. Ако клиентът поиска данни за влизане, сървъра го поддържа.

      • Изисква подписване: Опцията LDAP подписване на данни трябва да договори, освен ако не се използва транспортен слой сигурност/Secure Socket Layer (TLS/SSL).

      • не е дефинирано: Тази настройка не е разрешена или забранена.

    2. Рисковано конфигурации

      Вредни настройките са следните:

      • Активирането изисква подписване в среди, когато клиентите не поддържат подписване в LDAP или когато клиентски LDAP подписване не е разрешена на клиента

      • Прилагане Windows 2000 или Windows Server 2003 Hisecdc.inf сигурност шаблон в среди, където клиентите не поддържат подписване в LDAP или когато клиентски LDAP подписване не е разрешен

      • Прилагане Windows 2000 или Windows Server 2003 Hisecws.inf сигурност шаблон в среди, където клиентите не поддържат подписване в LDAP или когато клиентски LDAP подписване не е разрешен

    3. Причини, за да разрешите тази настройка

      Неподписаният мрежов трафик е податлив на човек в средата атаки, когато нарушителят прихваща пакети между клиента и сървъра, променя пакетите и след това ги препраща към сървъра. Когато това се случи на LDAP сървър, атакуващият може да доведе до сървърът да взема решения, базирани на фалшиви заявки от LDAP клиента. Можете да намалите този риск в корпоративна мрежа чрез сигурна физическа сигурност мерки за защита на мрежова инфраструктура. Заглавка режима за удостоверяване на интернет протокола за защита (IPSec) може да попречи на човек в средата атаки. Заглавка на режима за удостоверяване извършва взаимно удостоверяване и целостта на пакети за IP трафик.

    4. Причини, за да изключите тази настройка

      • Клиенти, които не поддържат подписване в LDAP няма да могат да изпълняват LDAP заявки срещу домейн контролери и глобални каталози, ако е договорена NTLM удостоверяване и правилната сервизни пакети не са инсталирани на Windows 2000 домейн контролери.

      • Ще бъдат шифровани мрежови проследявания LDAP трафик между клиенти и сървъри. Това е трудно да проучи LDAP разговори.

      • Сървъри, работещи под Windows 2000 трябва да е инсталиран Windows 2000 Service Pack 3 (SP3) или когато те се управляват с програми, поддръжка LDAP подписване, които се изпълняват от клиентски компютри, работещи под Windows 2000 SP4, Windows XP или Windows Server 2003. За повече информация щракнете върху следния номер на статия в базата знания на Microsoft:

        Windows 2000 домейн контролери изискват Service Pack 3 или по-късно при използване на инструменти за администриране на Windows Server 2003
         

    5. Символична име:

      LDAPServerIntegrity

    6. Път на системния регистър:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

    7. Примери за проблеми със съвместимостта

      • Свързвания ще се провали и ще получите следното съобщение за грешка:

        Неуспешно Ldap_simple_bind_s(): необходимо е строго удостоверяване.

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: За клиентите, работещи под Windows 2000 SP4, Windows XP или Windows Server 2003, някои инструменти за администриране на Active Directory няма да функционира правилно с домейн контролери, работещи версии на Windows 2000, преди SP3 при NTLM Удостоверяването е договорена.

        За повече информация щракнете върху следния номер на статия в базата знания на Microsoft:

        Windows 2000 домейн контролери изискват Service Pack 3 или по-късно при използване на инструменти за администриране на Windows Server 2003
         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: За клиентите, работещи под Windows 2000 SP4, Windows XP или Windows Server 2003, някои инструменти за администриране на Active Directory, които са насочени домейн контролери, работещи версии на Windows 2000, които са по-стари от SP3 няма да функционира правилно, ако те са с помощта на IP адреси (например "dsa.msc служа =x.x.x.x" където
        x.x.x.x е IP адрес).


        За повече информация щракнете върху следния номер на статия в базата знания на Microsoft:

        Windows 2000 домейн контролери изискват Service Pack 3 или по-късно при използване на инструменти за администриране на Windows Server 2003
         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: За клиентите, работещи под Windows 2000 SP4, Windows XP или Windows Server 2003, някои инструменти за администриране на Active Directory, целеви домейн контролери, работещи версии на Windows 2000, които са по-стари от SP3 няма да функционира правилно.

        За повече информация щракнете върху следния номер на статия в базата знания на Microsoft:

        Windows 2000 домейн контролери изискват Service Pack 3 или по-късно при използване на инструменти за администриране на Windows Server 2003
         

  3. Член на домейн: изискват силно сесиен ключ (Windows 2000 или следваща версия)

    1. Фон

      • Член на домейн: изискват силно (Windows 2000 или по-късно) сесиен ключ определя дали сигурен канал може да се установи с домейн контролер, който не може да шифровате защитен канал трафик със сигурна, 128-битово сесиен ключ. Включването на тази опция позволява създаването на защитена връзка с домейнов контролер, който не може да шифровате защитен канал за данни с ключ за сигурна. Изключване на тази настройка позволява сесия за 64-битови ключове.

      • Преди да можете да разрешите тази настройка на член работна станция или сървър, всички домейн контролери в домейна, който принадлежи член трябва да можете да шифровате защитен канал данни със сигурна, 128-битов ключ. Това означава, че всички домейн контролери трябва да изпълнява Windows 2000 или по-късно.

    2. Рисковано конфигурация

      Разрешаване на член на домейн: изискват силно сесиен ключ (Windows 2000 или по-късно) е вреден конфигурационна настройка.

    3. Причини, за да разрешите тази настройка

      • Сесийни ключове, които се използват за установяване на защитен канал комуникация между компютри и контролери на домейни са много по-силни в Windows 2000, отколкото в по-ранни версии на операционни системи на Microsoft.

      • Когато е възможно, е добре да се възползвате от тези по-силни сесия ключове за защита защитен канал комуникации от подслушване и сесия отвличане мрежови атаки. Подслушване е вид зловреден код, където мрежата данните се чете или е променено при предаването. Данните могат да бъдат модифицирани да скриете или за промяна на подателя или да го пренасочи.

      Важно: Компютър, работещ под Windows Server 2008 R2 или Windows 7 поддържа само силно ключове при използване на канали. Това ограничение не позволява на доверие между всеки домейн, базиран на Windows NT 4.0 и всеки домейн, базиран на Windows Server 2008 R2. Освен това, това ограничение блокира членство в домейна, базиран на Windows NT 4.0 на компютри, работещи под Windows 7 или Windows Server 2008 R2, и обратно.

    4. Причини, за да изключите тази настройка

      Домейна съдържа компютри, работещи под операционна система Windows 2000, Windows XP или Windows Server 2003.

    5. Символична име:

      StrongKey

    6. Път на системния регистър:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

    7. Примери за проблеми със съвместимостта

      Windows NT 4.0: На компютри, базирани на Windows NT 4.0 връщането на канали на връзките между Windows NT 4.0 и Windows 2000 домейн с NLTEST е неуспешно. Появява се съобщение за грешка "Достъпът отказан":

      Връзката на доверие между главния домейн и надежден домейн е неуспешно.

      Windows 7 и Server 2008 R2: За Windows 7 и по-нови версии и Windows Server 2008 R2 и по-нови версии тази настройка не е често повече и винаги се използва силно ключ. Поради това гаранти с Windows NT 4.0 домейни не работят по-дълго.

  4. Член на домейн: цифрово криптиране или знак защитен канал данни (винаги)

    1. Фон

      • Разрешаване на член на домейн: цифрово криптиране или знак защитен канал данни (винаги) предотвратява създаването на защитена връзка с домейнов контролер, който не може да влезе или шифроване на всички данни на защитен канал. Да защитите удостоверяване трафик от човек в средата атаки, провеждането на атаки и други видове мрежови атаки, създаване на комуникационен канал, който е известен като сигурен канал чрез услугата Net Logon към компютри, базирани на Windows удостоверяване на компютъра акаунти. Канали се използват, когато потребител в един домейн се свързва с мрежов ресурс в отдалечен домейн. Този multidomain удостоверяване или транзитно удостоверяване, позволява на Windows базиран компютър, който се присъедини към домейн за достъп до базата данни с потребителски акаунт в домейна си и всички надеждни домейни.

      • За да разрешите член на домейн: цифрово криптиране или знак защитен канал данни (винаги) настройка на член на компютър, всички домейн контролери в домейна, който принадлежи член трябва да може да подписване или шифроване на всички данни на защитен канал. Това означава, че всички тези домейнови контролери трябва да се изпълнява Windows NT 4.0 със Service Pack 6a (SP6a) или по-късно.

      • Разрешаване на член на домейн: цифрово криптиране или знак защитен канал данни (винаги) настройка автоматично позволява член на домейн: цифрово криптиране или знак защитен канал данни (ако е възможно) настройка.

    2. Рисковано конфигурация

      Разрешаване на член на домейн: цифрово криптиране или знак защитен канал данни (винаги) в области, където не всички домейн контролери да подписване или шифроване на данни сигурен канал е вреден конфигурационна настройка.

    3. Причини, за да разрешите тази настройка

      Неподписаният мрежов трафик е податлив на човек на-атаки, когато нарушителят прихваща пакети между сървъра и клиента и след това ги променя преди да ги изпрати на клиента. В този случай на сървъра протокол за лек достъп до указател (LDAP) нарушителят може да доведе до клиента да взема решения, базирани на фалшиви записи от LDAP directory. Можете да намалите риска от атака в корпоративна мрежа чрез сигурна физическа сигурност мерки за защита на мрежова инфраструктура. Освен това прилагане на защита на интернет протокол (IPSec) заглавка на режима за удостоверяване може да попречи на човек в средата атаки. Директорийната взаимно удостоверяване и целостта на пакети за IP трафик.

    4. Причини, за да изключите тази настройка

      • Компютри в локалната или външни домейни поддържа шифровани канали.

      • Не всички домейн контролери на домейни необходимо нива на редакция съответния сервизен пакет да поддържа шифровани канали.

    5. Символична име:

      StrongKey

    6. Път на системния регистър:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

    7. Примери за проблеми със съвместимостта

      • Windows NT 4.0: Windows 2000 компютри няма да можете да се присъедини към домейн на Windows NT 4.0 и ще се появи следното съобщение за грешка:

        Акаунтът не е упълномощен да влиза от тази станция.

        За повече информация щракнете върху следния номер на статия в базата знания на Microsoft:

        съобщение за грешка: акаунт няма разрешение да влезете от тази станция
         

      • Windows NT 4.0: Windows NT 4.0 домейни няма да можете да се създаде ниво на доверие с Windows 2000 домейн и ще получите следното съобщение за грешка:

        Акаунтът не е упълномощен да влиза от тази станция.

        Съществуващите ниво гаранти също може да не се удостоверява потребителите от надежден домейн. Някои потребители може да имат проблеми при влизане в домейн и те може да получите съобщение за грешка, уведомяващо, че клиентът не може да намери домейна.

      • Windows XP: Windows XP клиенти, които са присъединени към домейн на Windows NT 4.0, няма да можете да се удостоверят опити за влизане и може да получите следното съобщение за грешка или следните събития могат да бъдат регистрирани в регистрационния файл за събития:

        Windows не може да се свърже с домейна, защото домейн контролера не работи или е недостъпен или защото вашият акаунт на компютъра не е намерен

      • Мрежа на Microsoft: Microsoft Network клиенти ще получите един от следните съобщения за грешка:

        Грешка при влизане: неизвестно потребителско име или неправилна парола.

        Няма потребителски сесиен ключ за указаната сесия за влизане.

  5. Microsoft мрежов клиент: цифрово подписване на съобщения (винаги)

    1. Фон

      Сървър съобщение Block (SMB) е ресурс протокол, който се поддържа от множество операционни системи на Microsoft. Това е в основата на мрежова базова входно изходна система (NetBIOS) и много други протоколи. Подписването на SMB удостоверява потребителя и сървъра, който хоства данните. Ако двете страни не процеса на удостоверяване, предаване на данни няма да се случи.

      Разрешаване на SMB подписване започва по време на SMB протокол за предаване на данни. Правилата за подписване на SMB определят дали компютърът винаги цифрово знаци комуникации.

      Протокол за удостоверяване на Windows 2000 SMB поддържа взаимно удостоверяване. Взаимно удостоверяване затваря атака "човек на на средата". Протокол за удостоверяване на Windows 2000 SMB поддържа удостоверяване на съобщение. Съобщение за удостоверяване помага за предотвратяване на атаки активни съобщение. Да ви даде това удостоверяване, подписването на SMB поставя цифров подпис на всеки SMB. Клиентът и сървърът проверка на цифровия подпис.

      За да използвате подписването на SMB, трябва да разрешите подписването на SMB или изискват SMB подписването на SMB клиента и сървъра на SMB. Ако подписването на SMB е разрешена на сървъра, клиентите, които също са разрешени за SMB подписване използва пакет подписването на протокола при всички следващи сесии. Ако подписването на SMB е необходима на сървър, клиент не може да установи сесия, ако клиентът е разрешено или за подписването на SMB.


      Разрешаване на цифрово подписване в мрежи, високо ниво на защита помага за предотвратяване на въплъщение на клиенти и сървъри. Този вид въплъщение е известен като сесия отвличане. Нападател, който има достъп до същата мрежа като клиент или сървър използва сесия отвличане инструменти да прекъсне, край или откраднат сесия в момента. Хакер може да прихванат промените неподписани SMB пакети, промените трафик и след това я така, че сървърът може да изпълняват нежелани действия. Или нападател може да представлява като сървър или клиент след удостоверяване на Официален и след това да получи неупълномощен достъп до данни.

      SMB протокол, който се използва за споделяне на файлове и печат споделяне на компютри, работещи под Windows 2000 Server, Windows 2000 Professional, Windows XP Professional или Windows Server 2003 поддържа взаимно удостоверяване. Взаимно удостоверяване сесия отвличане атаки се затваря и съдържа съобщение за удостоверяване. Затова не позволява човек в средата атаки. Подписването на SMB предоставя това удостоверяване чрез поставяне на цифров подпис във всеки SMB. Клиентът и сървърът Проверете подпис.

      Бележки

      • Като алтернативна противодействие можете да разрешите цифрови подписи с IPSec да защитите целия мрежов трафик. Има хардуерни ускорители за IPSec криптиране и подписване, които можете да използвате, за да се сведе до минимум влиянието върху производителността от Процесора на сървъра. Няма такъв ускорители, за подписването на SMB.

        За повече информация вижте секцията за уеб сайта на Microsoft MSDN.

        Конфигуриране на подписването на SMB чрез групови правила поради промяна в локалния системен регистър стойност няма никакъв ефект, ако има основната правило за домейн.

      • В Windows 95, Windows 98 и Windows 98 Second Edition Directory Services Client използва подписването на SMB, когато той удостоверява с Windows Server 2003 сървъри чрез NTLM удостоверяване. Обаче тези клиенти не използвайте SMB подписването, когато те се удостоверяват с тези сървъри чрез NTLMv2 удостоверяване. Освен това Windows 2000 сървъри не отговарят на SMB подписване заявки от тези клиенти. За повече информация вижте точка 10: "защита на мрежата: Lan Manager ниво удостоверяване."

    2. Рисковано конфигурация

      Ето вредни конфигурационна настройка: оставяйки и двете Microsoft мрежов клиент: цифрово подписване на съобщения (винаги) настройка и Microsoft мрежов клиент: Подпиши комуникации (ако сървърът е съгласна) настройката " Не е определена"или забранено. Тези настройки позволява пренасочване да изпрати обикновен текст парола Microsoft SMB сървъри, които не поддържат криптиране парола удостоверяване.

    3. Причини, за да разрешите тази настройка

      Разрешаване на Microsoft мрежов клиент: цифрово подписване на съобщения (винаги) изисква клиентите да влезе SMB трафик, когато се свържете със сървъри, които не изискват подписването на SMB. Това прави клиенти по-уязвими към сесия отвличане атаки.

    4. Причини, за да изключите тази настройка

      • Разрешаване на Microsoft мрежов клиент: цифрово подписване на съобщения (винаги) позволява комуникация със сървъри, които не поддържат подписването на SMB клиенти.

      • Конфигуриране на компютри, за да игнорирате всички неподписани SMB съобщения предотвратява по-стари операционни системи и програми за свързване.

    5. Символична име:

      RequireSMBSignRdr

    6. Път на системния регистър:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

    7. Примери за проблеми със съвместимостта

      • Windows NT 4.0: Няма да можете да възстановите защитен канал на доверие между Windows Server 2003 и Windows NT 4.0 домейн чрез NLTEST или NETDOM, и ще получите съобщение за грешка "Достъпът отказан".

      • Windows XP: Копиране на файлове от Windows XP клиенти под Windows 2000 сървъри и сървъри, работещи под Windows Server 2003 може да отнеме повече време.

      • Няма да можете да назначаване на мрежово устройство от клиент с тази настройка е разрешена, и ще получите следното съобщение за грешка:

        Акаунтът не е упълномощен да влиза от тази станция.

    8. Изисквания за рестартиране

      Рестартирайте компютъра и рестартирайте услугата за работна станция. За да направите това, въведете следните команди в командния ред. Натиснете Enter след всяка команда.

      net stop станция
      net start станция

  6. Microsoft мрежов сървър: цифрово подписване на съобщения (винаги)

    1. Фон

      • Сървър Messenger Block (SMB) е ресурс протокол, който се поддържа от множество операционни системи на Microsoft. Това е в основата на мрежова базова входно изходна система (NetBIOS) и много други протоколи. Подписването на SMB удостоверява потребителя и сървъра, който хоства данните. Ако двете страни не процеса на удостоверяване, предаване на данни няма да се случи.

        Разрешаване на SMB подписване започва по време на SMB протокол за предаване на данни. Правилата за подписване на SMB определят дали компютърът винаги цифрово знаци комуникации.

        Протокол за удостоверяване на Windows 2000 SMB поддържа взаимно удостоверяване. Взаимно удостоверяване затваря атака "човек на на средата". Протокол за удостоверяване на Windows 2000 SMB поддържа удостоверяване на съобщение. Съобщение за удостоверяване помага за предотвратяване на атаки активни съобщение. Да ви даде това удостоверяване, подписването на SMB поставя цифров подпис на всеки SMB. Клиентът и сървърът проверка на цифровия подпис.

        За да използвате подписването на SMB, трябва да разрешите подписването на SMB или изискват SMB подписването на SMB клиента и сървъра на SMB. Ако подписването на SMB е разрешена на сървъра, клиентите, които също са разрешени за SMB подписване използва пакет подписването на протокола при всички следващи сесии. Ако подписването на SMB е необходима на сървър, клиент не може да установи сесия, ако клиентът е разрешено или за подписването на SMB.


        Разрешаване на цифрово подписване в мрежи, високо ниво на защита помага за предотвратяване на въплъщение на клиенти и сървъри. Този вид въплъщение е известен като сесия отвличане. Нападател, който има достъп до същата мрежа като клиент или сървър използва сесия отвличане инструменти да прекъсне, край или откраднат сесия в момента. Хакер може да прихванат промените неподписани подмрежа трафик мениджър (SBM) пакети, промените трафик и след това я така, че сървърът може да изпълняват нежелани действия. Или нападател може да представлява като сървър или клиент след удостоверяване на Официален и след това да получи неупълномощен достъп до данни.

        SMB протокол, който се използва за споделяне на файлове и печат споделяне на компютри, работещи под Windows 2000 Server, Windows 2000 Professional, Windows XP Professional или Windows Server 2003 поддържа взаимно удостоверяване. Взаимно удостоверяване сесия отвличане атаки се затваря и съдържа съобщение за удостоверяване. Затова не позволява човек в средата атаки. Подписването на SMB предоставя това удостоверяване чрез поставяне на цифров подпис във всеки SMB. Клиентът и сървърът Проверете подпис.

      • Като алтернативна противодействие можете да разрешите цифрови подписи с IPSec да защитите целия мрежов трафик. Има хардуерни ускорители за IPSec криптиране и подписване, които можете да използвате, за да се сведе до минимум влиянието върху производителността от Процесора на сървъра. Няма такъв ускорители, за подписването на SMB.

      • В Windows 95, Windows 98 и Windows 98 Second Edition Directory Services Client използва подписването на SMB, когато той удостоверява с Windows Server 2003 сървъри чрез NTLM удостоверяване. Обаче тези клиенти не използвайте SMB подписването, когато те се удостоверяват с тези сървъри чрез NTLMv2 удостоверяване. Освен това Windows 2000 сървъри не отговарят на SMB подписване заявки от тези клиенти. За повече информация вижте точка 10: "защита на мрежата: Lan Manager ниво удостоверяване."

    2. Рисковано конфигурация

      Ето вредни конфигурационна настройка: разрешаване Microsoft мрежов сървър: цифрово подписване на съобщения (винаги) настройката на сървърите и домейн контролери, които са достъпни от несъвместими компютри, базирани на Windows и други операционна система клиентски компютри в локалната или външни домейни.

    3. Причини, за да разрешите тази настройка

      • Всички клиентски компютри, разрешете тази настройка директно чрез системния регистър или настройката на груповите правила за поддръжка подписването на SMB. С други думи всички клиентски компютри, които имат тази настройка е разрешена изпълнение или Windows 95 с DS инсталиран клиент, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional или Windows Server 2003.

      • Ако Microsoft мрежов сървър: цифрово подписване на съобщения (винаги) е забранена, подписването на SMB е изцяло забранен. Деактивирането напълно всички SMB подписване оставя компютри по-уязвими към сесия отвличане атаки.

    4. Причини, за да изключите тази настройка

      • Разрешаването на тази настройка може да доведе до бавно файл копие и мрежовата производителност на клиентски компютри.

      • Разрешаването на тази настройка ще попречи на клиенти, които не могат да договорят SMB подписване комуникацията със сървърите и домейн контролерите. Това води до операции, като се присъедини към домейн, удостоверяване на потребителя и компютъра или мрежовия достъп от програми, за да се провали.

    5. Символична име:

      RequireSMBSignServer

    6. Път на системния регистър:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

    7. Примери за проблеми със съвместимостта

      • Windows 95: Windows 95 клиенти, които нямат инсталиран клиент на Directory Services (DS) ще бъде неуспешно влизане удостоверяване и ще се появи следното съобщение за грешка:

        Домейн паролата ви не е правилно или е отказан достъп до вашия сървър за влизане.

        За повече информация щракнете върху следния номер на статия в базата знания на Microsoft:

        съобщение за грешка, когато Windows 95 или Windows NT 4.0 клиент влиза в Windows Server 2003 домейн
         

      • Windows NT 4.0: Клиентски компютри, които се изпълняват версии на Windows NT 4.0, които са по-стари от Service Pack 3 (SP3) ще бъде неуспешно влизане удостоверяване и ще се появи следното съобщение за грешка:

        Системата не може да влезете в. Уверете се, че потребителското име и домейнът са правилни, след което въведете паролата отново.

        Някои Microsoft SMB сървъри поддържат само обмен на парола за удостоверяване. (Тези борси известна още като "обикновен текст" борси.) За Windows NT 4.0 SP3 и по-нови версии SMB пренасочване не изпрати парола удостоверяване SMB сървъра сте добавили конкретни системния регистър.
        За да разрешите нешифрована парола за SMB клиента в Windows NT 4.0 SP 3 и по-нови системи, модифициране на системния регистър, както следва: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters

        Име на стойността: EnablePlainTextPassword

        Тип данни: REG_DWORD

        Данни: 1


        За допълнителна информация по сходни теми щракнете върху следния номер на статия в базата знания на Microsoft:

        съобщение за грешка: Възникна системна грешка 1240. Акаунтът не е упълномощен да влезете от тази станция.

      • Windows Server 2003: По подразбиране настройките за защита на домейн контролери, работещи под Windows Server 2003 са конфигурирани за предотвратяване на домейн контролера съобщения прихваща или променян от злонамерени потребители. За потребителите да комуникират успешно с домейн контролера, който се изпълнява Windows Server 2003, клиентски компютри трябва да използвате и подписването на SMB и шифроване или подписване на защитен канал трафик. По подразбиране Клиентите, работещи под Windows 95 и клиенти, стартирайте Windows NT 4.0 Service Pack 2 (SP2) или по-рано инсталирани нямат SMB пакет подписване разрешени. Затова тези клиенти може да не успеете да удостоверяване на Windows Server 2003 домейн контролер.

      • Настройките за правила на Windows 2000 и Windows Server 2003: В зависимост от вашите нужди конкретна инсталация и конфигурация препоръчително е да зададете следните настройки за правила на обекта ниска необходимите обхват в йерархията на модула Microsoft Management Console редактора на групови правила:

        • Settings\Security опции за защита на компютъра Configuration\Windows

        • Изпрати парола за свързване на SMB сървъри (това е Windows 2000)

        • Microsoft мрежов клиент: парола за изпращане на SMB сървъри (тази настройка е за Windows Server 2003)


        Забележка: В някои CIFS сървъри, като например по-стари версии на Samba не можете да използвате шифровани пароли.

      • Следните клиенти са несъвместими с Microsoft мрежов сървър: цифрово подписване на съобщения (винаги) настройка:

        • Apple Computer, Inc., Mac OS X клиенти

        • Клиенти на Microsoft MS-DOS мрежа (например Microsoft LAN Manager)

        • Microsoft Windows за работни групи клиенти

        • Клиенти на Microsoft Windows 95 без DS клиент инсталиран

        • Microsoft, инсталирани на компютри, базирани на Windows NT 4.0 без SP3 или по-късно

        • Novell Netware 6 CIFS клиенти

        • SAMBA SMB клиентски програми, които нямат поддръжка за подписването на SMB

    8. Изисквания за рестартиране

      Рестартирайте компютъра и рестартирайте сървърната услуга. За да направите това, въведете следните команди в командния ред. Натиснете Enter след всяка команда.

      net stop server
      net start server

  7. Мрежов достъп: позволява анонимен SID/име превод

    1. Фон

      Network access: позволява анонимен SID/име превод настройка на защитата определя дали Анонимен потребител може да поиска защита идентификационен номер (SID) атрибути за друг потребител.

    2. Рисковано конфигурация

      Разрешаване на Network access: позволява анонимен SID/име превод е вреден конфигурационна настройка.

    3. Причини, за да разрешите тази настройка

      Ако мрежов достъп: позволява анонимен SID/име превод е забранено, по-стари операционни системи или приложения може да не успеете да комуникира с Windows Server 2003 домейн. Например следните операционни системи, услуги или приложения може да не работи:

      • Windows NT 4.0-базирани услуги за отдалечен достъп сървъри

      • Microsoft SQL Server, работещи под Windows NT 3.x компютри или компютри с Windows NT 4.0

      • Услуги за отдалечен достъп, който работи на компютри, базирани на Windows 2000, които се намират на Windows NT 4.0 или Windows NT 3.x домейни

      • SQL сървър, който работи на компютри, базирани на Windows 2000, които се намират в Windows NT 3.x домейн или домейни Windows NT 4.0

      • Потребители в Windows NT 4.0 ресурс домейн, който искате да предоставите разрешения за достъп до файлове, споделени папки и обекти на системния регистър за потребителски акаунти от акаунт домейни, които съдържат Windows Server 2003 домейн контролери

    4. Причини, за да изключите тази настройка

      Ако тази настройка е активирана, злонамерен потребител може да използва известни SID на администраторите да получите истинското име на вграден акаунт на администратор, дори ако акаунтът е бил преименуван. Това лице може да използва името на акаунта да започне парола познае атаки.

    5. Символична име: НЯМА ДАННИ

    6. Път на системния регистър: Няма. Пътят е посочено в ПИ код.

    7. Примери за проблеми със съвместимостта

      Windows NT 4.0: Компютри в Windows NT 4.0 ресурс домейни ще покаже съобщение за грешка "Неизвестен акаунт" в редактора на ACL, ако ресурси, включително споделени папки, споделени файлове и системния регистър обекти са свързани с механизми за защита, които се намират в акаунт домейни съдържа Windows Server 2003 домейн контролери.

  8. Мрежов достъп: не позволява анонимен изброяване на сам акаунти

    1. Фон

      • Network access: позволява анонимен изброяване на сам сметки определя кои допълнителни разрешения ще се предоставят за анонимни връзки към компютъра. Windows позволява на анонимни потребители да извършват определени действия, като например преброяване на имената на акаунти за работна станция и сървър Security Accounts Manager (SAM) и на споделени мрежови устройства. Например администраторът може да използва това да предостави достъп на потребители в надежден домейн, който не поддържа реципрочно доверие. След сесията е, Анонимен потребител може да има същия достъп, която се предоставя на всички групи въз основа на настройката в мрежов достъп: Нека всички права важат за анонимни потребители настройка или списъка с контрол на потребителски достъп (DACL) на обект.

        Обикновено анонимни връзки се изисква по-ранни версии на клиенти (ниво клиенти) по време на инсталирането на SMB сесия. В тези случаи мрежово проследяване показва, че SMB процеса Идентификатор (PID) е пренасочвателят на клиентския компютър като 0xFEFF в Windows 2000 или 0xCAFE в Windows NT. RPC може също да се опита да направи анонимни връзки.

      • Важно Тази настройка не оказва влияние върху домейн контролери. На домейн контролери това поведение се определя от наличието на "NT AUTHORITY\ANONYMOUS влизане" в "Версии преди Windows 2000 съвместим достъп".

      • В Windows 2000 подобна настройка нарича Допълнителни ограничения за анонимни връзки управлява стойността RestrictAnonymous в системния регистър. Тази стойност е както следва

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA За повече информация относно стойността RestrictAnonymous в системния регистър щракнете върху следните номера на статии в базата знания на Microsoft:

        как да се използва стойността RestrictAnonymous в системния регистър в Windows 2000
         

        ограничаване информация за Анонимен потребител
         

    2. Рисковано конфигурации

      Разрешаване на Network access: позволява анонимен изброяване на сам сметки е вреден конфигурационна настройка от гледна точка на съвместимост. Деактивирането на това е вреден конфигурация от гледна точка на сигурността.

    3. Причини, за да разрешите тази настройка

      Неупълномощен потребител може да анонимно списък с имена на акаунти и след това използвайте информацията за Познай пароли или да извършите управление атаки. Социален Инженеринг е жаргон, това означава разиграва хора в разкриване на техните пароли или някаква форма на информацията за защита.

    4. Причини, за да изключите тази настройка

      Ако тази настройка е активирана, е възможно да се установи гаранти с Windows NT 4.0 домейни. Тази настройка също причинява проблеми с ниво клиенти (например клиентите Windows 95 и Windows NT 3.51 клиенти), които се опитват да използват ресурсите на сървъра.

    5. Символична име:


      RestrictAnonymousSAM

    6. Път на системния регистър:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

    7. Примери за проблеми със съвместимостта

    • SMS за откриване на мрежа, няма да можете да получите информация за операционната система и ще запише в свойството OperatingSystemNameandVersion "неизвестен".

    • Windows 95, Windows 98: Клиентите на Windows 95 и Windows 98 клиенти няма да могат да променят паролите си.

    • Windows NT 4.0: Windows NT 4.0 компютри няма да могат да бъдат удостоверени.

    • Windows 95, Windows 98: Базиран на Windows 95 и Windows 98-базирани компютри няма да могат да бъдат удостоверени от Microsoft домейн контролери.

    • Windows 95, Windows 98: Потребители на компютри, базирани на Windows 95 и Windows 98 базирани няма да могат да променят паролите за своите потребителски акаунти.

  9. Мрежов достъп: позволява анонимен изброяване на SAM акаунти и дялове

    1. Фон

      • Network access: позволява анонимен изброяване на SAM акаунти и дялове (известен още като RestrictAnonymous) определя дали е разрешено анонимни изброяване Security Accounts Manager (SAM) и дялове. Windows позволява на анонимни потребители да извършват определени действия, като например преброяване на имената на акаунти в домейн (потребители, компютри и групи) и на споделени мрежови устройства. Това е удобно, например, когато администраторът иска да дадете достъп на потребители в надежден домейн, който не поддържа реципрочно доверие. Ако не искате да позволява анонимен изброяване на SAM акаунти и дялове, разрешете тази настройка.

      • В Windows 2000 подобна настройка нарича Допълнителни ограничения за анонимни връзки управлява стойността RestrictAnonymous в системния регистър. Местоположението на тази стойност е както следва:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

    2. Рисковано конфигурация

      Разрешаване на Network access: позволява анонимен изброяване на SAM акаунти и дялове е вреден конфигурационна настройка.

    3. Причини, за да разрешите тази настройка

      • Разрешаване на Network access: позволява анонимен изброяване на SAM акаунти и дялове настройка не позволява изброяване сам и дялове от потребители и компютри, които използват анонимни сметки.

    4. Причини, за да изключите тази настройка

      • Ако тази настройка е активирана, неупълномощен потребител може да анонимно списък с имена на акаунти и след това използвайте информацията за Познай пароли или да извършите управление атаки. Социален Инженеринг е жаргон, това означава разиграва хора в разкрива паролата си или някаква форма на информацията за защита.

      • Ако тази настройка е активирана, ще бъде невъзможно да се установи гаранти с Windows NT 4.0 домейни. Тази настройка също води до проблеми с ниво клиенти като Windows NT 3.51 и Windows 95 клиенти, които се опитват да използват ресурсите на сървъра.

      • Ще бъде невъзможно да предостави достъп на потребители на домейни ресурс защото администраторите в областта на доверие няма да може да регистрира списъци на акаунтите в друг домейн. Потребителите, които имат достъп до файла и сървъри анонимно няма да можете да намерите списък на споделени мрежови ресурси в тези сървъри. Потребителите трябва да се удостоверят, преди да видите списък на споделени папки и принтери.

    5. Символична име:

      RestrictAnonymous

    6. Път на системния регистър:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

    7. Примери за проблеми със съвместимостта

      • Windows NT 4.0: Потребителите няма да могат да променят паролите си от Windows NT 4.0 работни станции, когато RestrictAnonymous е включен в домейн контролери в домейна на потребителите.

      • Windows NT 4.0: Добавяне на потребители или групи на глобални от надеждни домейни Windows 2000 Windows NT 4.0 местни групи в диспечера на потребителя ще се провали и ще се появи следното съобщение за грешка:

        В момента няма влизане сървъри за влизане заявката за услуга.

      • Windows NT 4.0: Windows NT 4.0 компютри няма да може да се присъедини към домейн по време на инсталирането или чрез потребителски интерфейс за присъединяване към домейн.

      • Windows NT 4.0: Създаване на доверие ниво с Windows NT 4.0 resource домейни няма. Следното съобщение за грешка ще се появи, когато RestrictAnonymous е включен в надежден домейн:

        Не е намерен домейнов контролер за този домейн.

      • Windows NT 4.0: Потребителите, които влезете в терминален сървър, базиран на Windows NT 4.0 компютри ще карта по подразбиране началната директория вместо началната директория, който е зададен в диспечера на потребителя за домейни.

      • Windows NT 4.0: Windows NT 4.0 backup домейн контролери (BDCs) няма да може да стартира услугата Net Logon, Получете списък на браузъри, архивиране или синхронизирате базата данни SAM от Windows 2000 или Windows Server 2003 домейн контролери в същия домейн.

      • Windows 2000: Windows 2000 компютри в Windows NT 4.0 домейни няма да можете да видите принтери външни домейни, ако достъп без изрично анонимни разрешения настройка е активирана в правила за локалната защита на клиентския компютър.

      • Windows 2000: Потребителите на Windows 2000 домейн няма да можете да добавите мрежови принтери от Active Directory; Те обаче ще можете да добавите принтери, след като те ги изберете от изгледа на дървото.

      • Windows 2000: На компютри с Windows 2000 ACL редактор няма да можете да добавите потребители или групи на глобални от надеждни домейни на Windows NT 4.0.

      • ADMT версия 2: Мигриране на паролата за потребителски акаунти, които се мигрират между гори с Active Directory Migration инструмент (ADMT) версия 2 ще бъде неуспешно.

        За повече информация щракнете върху следния номер на статия в базата знания на Microsoft:

        как да отстранявате Beta между гори парола за ADMTv2

      • Outlook клиенти: Глобален адресен списък ще се появи празен към Microsoft Exchange Outlook клиенти.

        За повече информация щракнете върху следния номер на статия в базата знания на Microsoft:

        бавно SMB производителност при копиране на файлове от Windows XP до Windows 2000 домейн контролери

      • SMS: Откриване на мрежа на Microsoft Systems Management Server (SMS) няма да можете да получите информация за операционната система. Следователно той ще запише "Неизвестен" в свойството OperatingSystemNameandVersion SMS DDR собственост на откриване на запис на данни (DDR).

      • SMS: Когато използвате съветника за SMS администратор потребител за търсене на потребители и групи, ще бъдат включени не потребители или групи. Освен това разширени клиенти може да комуникира с точка за управление. Анонимен достъп е необходимо точка на управление.

      • SMS: Когато използвате функцията за откриване на мрежа в SMS 2.0 и отдалечено инсталиране на клиент топология, клиент и клиентските операционни системи мрежа откриване опция е включена, компютри могат да бъдат открити, но не може да се инсталира.

  10. Защита на мрежата: Lan Manager ниво удостоверяване

    1. Фон

      Удостоверяване на LAN Manager (LM) е протокол, който се използва за удостоверяване на Windows клиенти за мрежови операции, включително домейн връзки, достъп до мрежови ресурси и удостоверяване на потребител или компютър. Ниво на удостоверяване LM определя кой протокол за удостоверяване на запитване/отговор се договаря между клиента и сървъра компютри. По-конкретно LM ниво на удостоверяване определя кой протоколи за удостоверяване, които клиентът ще се опита да договори или сървърът ще приема. Стойността, която е зададена за LmCompatibilityLevel определя кой протокол за удостоверяване на запитване/отговор се използва за влизане в мрежата. Тази стойност се отразява нивото на протокол за удостоверяване, които използват клиенти, ниво на сесийна защита договори и нивото на удостоверяване от сървъри.

      Възможни настройки включват следното.

      Стойност

      Настройка

      Описание

      0

      Изпращане на LM и NTLM отговори

      Клиентите използват LM и NTLM удостоверяване и никога не използва NTLMv2 сесийна защита. Домейн контролерите приемат LM, NTLM и NTLMv2 удостоверяване.

      1

      Изпращане на LM и NTLM - използване на сесийна защита NTLMv2 договорена

      Клиентите използват LM и NTLM удостоверяване и използва NTLMv2 сесийна защита, ако сървъра го поддържа. Домейн контролерите приемат LM, NTLM и NTLMv2 удостоверяване.

      2

      NTLM отговор само

      Клиентите използват NTLM удостоверяване само и използва NTLMv2 сесийна защита, ако сървъра го поддържа. Домейн контролерите приемат LM, NTLM и NTLMv2 удостоверяване.

      3

      NTLMv2 отговор само

      Клиентите използват NTLMv2 само удостоверяване и използва NTLMv2 сесийна защита, ако сървърът поддържа. Домейн контролерите приемат LM, NTLM и NTLMv2 удостоверяване.

      4

      NTLMv2 отговор само / refuse LM

      Клиентите използват NTLMv2 само удостоверяване и използва NTLMv2 сесийна защита, ако сървърът поддържа. Домейн контролерите отказват LM и приемат само NTLM и NTLMv2 удостоверяване.

      5

      NTLMv2 отговор само / отказват LM и NTLM

      Клиентите използват NTLMv2 само удостоверяване и използва NTLMv2 сесийна защита, ако сървърът поддържа. Домейн контролерите отказват LM и NTLM и приемат само NTLMv2 удостоверяване.

      Забележка: В Windows 95, Windows 98 и Windows 98 Second Edition Directory Services Client използва подписването на SMB, когато той удостоверява с Windows Server 2003 сървъри чрез NTLM удостоверяване. Обаче тези клиенти не използвайте SMB подписването, когато те се удостоверяват с тези сървъри чрез NTLMv2 удостоверяване. Освен това Windows 2000 сървъри не отговарят на SMB подписване заявки от тези клиенти.

      Проверете LM ниво на удостоверяване: Трябва да промените правилата на сървъра да разреши NTLM или трябва да конфигурирате клиентския компютър да поддържа NTLMv2.

      Ако е зададено на (5) Изпрати NTLMv2 отговор only\refuse LM и NTLM на целевия компютър, който искате да се свържете, трябва да намалите настройката на компютъра или задайте защитата на същата настройка, която е на компютъра източник, че сте кон съответства от.

      Намерете правилното място, където можете да промените на LAN manager ниво удостоверяване за задаване на клиента и сървъра на същото ниво. След като намерите метода, който е настройка на LAN manager ниво удостоверяване, ако искате да се свържете към и от компютри, работещи с предишни версии на Windows, по-ниска стойност за поне (1) изпращане на LM и NTLM - използва NTLM версия 2 сесийна защита Ако договори. Един ефект от несъвместими настройки е, че ако сървърът изисква NTLMv2 (стойност 5), но клиентът е конфигуриран да използва LM и NTLMv1 само (стойност 0), потребителят, който се опитва удостоверяване опит неуспешно, има лош парола и че стъпки лошо брой на парола. Ако е конфигуриран акаунт се заключва, потребителят може евентуално е заключен.

      Например може да се наложи да търсите в домейн контролера, или може да се наложи да проучи правилата за домейнов контролер.

      Търсене на домейнов контролер

      Забележка: Може да се наложи да повторите следната процедура на всички домейн контролери.

      1. Щракнете върху Старт, посочете програмии след това щракнете върху Административни инструменти.

      2. В Локалните настройки за защитаразгънете Локални правила.

      3. Щракнете върху Опции за защита.

      4. Щракнете двукратно върху мрежова защита: LAN manager ниво удостоверяванеи след това щракнете върху стойност в списъка.


      Ако ефективно настройка и настройка на локални правила е променена на това ниво. Ако настройките са различни, трябва да проверите правилата за домейнов контролер за определяне дали мрежова защита: LAN manager ниво удостоверяване настройка е дефинирано там. Ако не е дефиниран там, прегледайте правилата за домейнов контролер.

      Проверете правила за домейнов контролер

      1. Щракнете върху Старт, посочете програмии след това щракнете върху Административни инструменти.

      2. В правилата за Защита на домейн контролер Разширете Настройки за защитаи след това разгънете Локални правила.

      3. Щракнете върху Опции за защита.

      4. Щракнете двукратно върху мрежова защита: LAN manager ниво удостоверяванеи след това щракнете върху стойност в списъка.


      Note

      • Също така трябва да проверите правилата, които са свързани с нивото на сайта, ниво домейн или организационна единица (ОЕ) ниво, за да определите къде трябва да конфигурирате LAN manager ниво удостоверяване.

      • Ако решите да реализирате настройка на груповите правила като правило за домейн по подразбиране, тя се прилага към всички компютри в домейна.

      • Ако решите да реализирате настройка на груповите правила, като правила по подразбиране домейн контролер, правилата се отнася само за сървъри в домейн контролера OU.

      • Това е добре да зададете LAN manager ниво на удостоверяване в обекта ниска необходимите обхват в йерархията на правилата за приложение.

      Windows Server 2003 е нов по подразбиране да използва NTLMv2 само. По подразбиране Windows Server 2003 и Windows 2000 Server SP3 домейн контролери разрешили "Microsoft мрежов сървър: цифрово подписване на съобщения (винаги)" правила. Тази настройка изисква SMB сървъра се извършва подписването на SMB пакети. Тъй като домейн контролери, файлови сървъри, мрежова инфраструктура сървъри и уеб сървъри във всяка организация изисква различни настройки, за да увеличите сигурността са направени промени в Windows Server 2003.

      Ако искате да реализирате NTLMv2 удостоверяване в мрежата, трябва да се уверите, че всички компютри в домейна са настроени да използват това ниво на удостоверяване. Ако приложите Active Directory клиентски разширения за Windows 95 или Windows 98 и Windows NT 4.0, клиентски разширения използва удостоверяване на подобрени функции, които са налични в NTLMv2. Тъй като клиентски компютри, работещи под някоя от следните операционната система не са засегнати от Windows 2000 обекти с групови правила, може да се наложи ръчно да конфигурирате тези клиенти:

      • Microsoft Windows NT 4.0

      • Microsoft Windows Millennium Edition

      • Microsoft Windows 98

      • Microsoft Windows 95

      Забележка: Ако разрешите защита на мрежата: съхранява LAN manager hash стойност на следваща смяна на парола правила или набор NoLMHash ключ на системния регистър, базирани на Windows 95 и Windows 98 на база клиенти, които нямат инсталиран клиент директория услуги не Влезте в домейна след смяна на паролата.

      Много производители CIFS сървъри, като Novell Netware 6, не са наясно NTLMv2 и използва NTLM само. Затова нива над 2 не позволяват връзка. Също така има други SMB клиенти, които не използват разширени сесийна защита. В тези случаи LmCompatiblityLevel на ресурсите на сървъра не се вземат предвид. На сървъра, след което пакети на тази заявка за стари и изпраща потребителски домейн контролер. Настройки на домейн контролера реша какво кълцам се използват за проверка на искането и дали те са изискванията на домейновия контролер защита.

      За повече информация как да конфигурирате ръчно LAN manager ниво удостоверяване щракнете върху следните номера на статии в базата знания на Microsoft:

      как се деактивира LM автентификация на Windows NT
       

      как да попречат на Windows да запазване на LAN manager хеш на паролата в Active Directory и локални сам бази данни
       

      outlook продължава да ви подканва за идентификационни данни за влизане
       

      Проверка на събитията показва пакет за удостоверяване NTLMv1 вместо NTLMv2 За повече информация относно LM authentication нива щракнете върху следния номер на статия в базата знания на Microsoft:

      как да активирате NTLM 2 автентификация
       

    2. Рисковано конфигурации

      Вредни настройките са следните:

      • Nonrestrictive настройки, изпратете пароли в нешифрован текст и че отказва NTLMv2 съгласуване

      • Ограничителни настройки, които предотвратяват несъвместим клиенти или домейн контролери в договарянето Общ протокол за удостоверяване

      • Изисква NTLMv2 удостоверяване на компютри и домейн контролери, работещи версии на Windows NT 4.0, които са по-стари от Service Pack 4 (SP4)

      • Изисква NTLMv2 удостоверяване на клиенти за Windows 95 или Windows 98 клиенти, които нямат Windows Directory Services инсталиран клиент.

      • Ако поставите отметка в квадратчето Изисквай NTLMv2 сесийна защита в Microsoft Management Console редактора на групови правила в модула за Windows Server 2003 или Windows 2000 Service Pack 3 на компютър, и да намалите LAN manager ниво удостоверяване 0 конфликт две настройки а вие може да получите следното съобщение за грешка в Secpol.msc или GPEdit.msc файла:

        Windows не може да отвори базата данни на локалните правила. Възникна неизвестна грешка при опит за отваряне на базата данни.

        За повече информация за конфигуриране на защитата и инструмент за анализ вижте Windows 2000 или Windows Server 2003 помощни файлове.

    3. Причини, за да промените тази настройка

      • Искате да увеличите ниска Общ протокол за удостоверяване, който се поддържа от клиенти и домейн контролери в организацията.

      • Когато защитено удостоверяване на бизнес изискване, искате да забраните предаване на LM и NTLM протоколи.

    4. Причини, за да изключите тази настройка

      Клиент или изисквания за удостоверяване на сървъра или и двете, е увеличен до мястото, където може да възникне удостоверяване по общ протокол.

    5. Символична име:

      LmCompatibilityLevel

    6. Път на системния регистър:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. Примери за проблеми със съвместимостта

      • Windows Server 2003: По подразбиране на Windows Server 2003 NTLMv2 изпрати NTLM отговори настройка е активирана. Затова Windows Server 2003 получава съобщение за грешка "Достъпът отказан" след първоначалната инсталация при опит за свързване към клъстер, базирани на Windows NT 4.0 или LanManager V2.1 базирани сървъри, като например OS/2 Lanserver. Този проблем възниква при опит за свързване от по-ранна версия на клиента на сървър, работещ под Windows Server 2003.

      • Инсталиране на Windows 2000 Security кумулативен пакет 1 (SRP1). SRP1 кара NTLM версия 2 (NTLMv2). Този пакет е издаден след пускането на Windows 2000 Service Pack 2 (SP2). За повече информация относно SRP1 щракнете върху следния номер на статия в базата знания на Microsoft:

        Windows 2000 Security пакет 1 януари 2002 г.
         

      • Windows 7 и Windows Server 2008 R2: много CIFS сървъри, като Novell Netware 6 или базирани на Linux Samba сървъри, не са наясно NTLMv2 и използва NTLM само. Затова нива над "2" не позволяват връзка. Сега в тази версия на операционната система по подразбиране за LmCompatibilityLevel е променено "3". Така когато надстроите Windows, filers тези трети страни може да спре да работи.

      • Клиентите на Microsoft Outlook може да получите подкана за идентификационни данни, въпреки че вече сте влезли в домейна. Когато потребителите предоставят своите идентификационни данни, те се появи следното съобщение за грешка: Windows 7 и Windows Server 2008 R2

        Предоставените идентификационни данни влизане са неправилни. Уверете се, че потребителското име и домейна са правилни, след което въведете паролата отново.

        При стартиране на Outlook, можете да получите подкана за вашите идентификационни данни, дори ако настройката на защитено влизане в мрежата е транзитно или за удостоверяване с парола. След като въведете вашите идентификационни данни за правилно, можете да получите следното съобщение за грешка:

        Предоставена за влизане са неправилни.

        Проследяване за наблюдение на мрежата може да покаже, че глобалния каталог издава отказ за извикване на отдалечена процедура със състояние на 0x5. Състояние на 0x5 означава "Достъпът е отказан".

      • Windows 2000: Заснемане на наблюдение на мрежата могат да имат следните грешки в NetBIOS през TCP/IP (NetBT) сървър съобщение block (SMB) сесия:

        SMB R търсене директория Dos грешка (5) STATUS_LOGON_FAILURE ACCESS_DENIED (109) (91) невалиден потребителски идентификатор

      • Windows 2000: Ако Windows 2000 домейн NTLMv2 ниво 2 или по-късно е надежден от домейн на Windows NT 4.0, Windows 2000 компютри в домейна на ресурса могат да възникнат грешки при удостоверяване.

      • Windows 2000 и Windows XP: По подразбиране Windows 2000 и Windows XP задайте опцията LAN Manager удостоверяване на ниво на правила за локалната защита на 0. Настройка на 0 означава "Изпращане на LM и NTLM отговори."

        Забележка: Windows NT 4.0, базирани на клъстери трябва да използват LM за администриране.

      • Windows 2000: Групиране на Windows 2000 не удостоверяване свързващи възел, ако и двете възли са част от Windows NT 4.0 Service Pack 6a (SP6a) домейн.

      • Инструмент за заключване IIS (HiSecWeb) определя на lmcompatibilitylevel 5 и стойността на RestrictAnonymous 2.

      • Услуги за Macintosh

        Удостоверяване модул (UAM): Microsoft UAM (удостоверяване модул) осигурява възможност за шифроване на пароли, които използвате за влизане в Windows АФП (AppleTalk подаване протокол) сървъри. Apple потребителски удостоверяване модул (UAM) предоставя минимално или без шифроване. Затова паролата може да се прихваща лесно в локалната мрежа или в интернет. Въпреки че UAM не е задължително, тя предоставя шифровано удостоверяване за Windows 2000 сървъри, които се изпълняват услугите за Macintosh. Тази версия включва поддръжка за NTLMv2 128-битово шифровано удостоверяване и MacOS X 10.1-съвместима версия.

        По подразбиране Windows Server 2003 услугите за Macintosh сървър позволява само удостоверяване на Microsoft.


        За повече информация щракнете върху следните номера на статии в базата знания на Microsoft:

        Macintosh клиент не може да се свърже с услуги за Mac в Windows Server 2003

      • Windows Server 2008, Windows Server 2003, Windows XP и Windows 2000: Ако конфигурирате на lmcompatibilitylevel 0 или 1 и след това да конфигурирате NoLMHash стойност 1, приложения и компоненти може да бъде отказан достъп до NTLM. Този проблем възниква, тъй като компютърът е конфигуриран да активирате LM, но да не използват LM съхранени пароли.

        Ако конфигурирате NoLMHash стойност 1, трябва да конфигурирате на lmcompatibilitylevel 2 или по-нова версия.

  11. Защита на мрежата: изисквания за подписване в LDAP клиент

    1. Фон

      Защита на мрежата: изисквания за подписване в LDAP клиент определя нивото на данни за влизане, се изисква от името на клиенти, които издават достъп протокол Directory (LDAP) СВЪРЗВАТ изисква както следва:

      • Няма: обвързване на LDAP заявка се издава повикващия определени опции.

      • Договаря подписване: Ако Secure Sockets Layer/защита на транспортния слой (SSL/TLS) не е стартирана, обвързване на LDAP заявката започва с подписване на набор от опции в допълнение към опциите на повикващия зададена LDAP данни. Ако е стартиран SSL/TLS, обвързване на LDAP заявката започва със повикващия определени опции.

      • Изисквай подписване: това е същото като договаря подписване. Обаче ако LDAP сървър междинни saslBindInProgress отговор не означава, че подписване в LDAP трафик се изисква, повикващия е казва, че командата обвързване на LDAP заявката е неуспешна.

    2. Рисковано конфигурация

      Разрешаване на защита на мрежата: изисквания за подписване в LDAP клиент е вреден конфигурационна настройка. Ако сте сървъра да изисква LDAP подписи, трябва също да конфигурирате LDAP подписване на клиента. Не конфигуриране на клиента да използва LDAP подписи не позволяват комуникация със сървъра. Това води до удостоверяване на потребителя, груповите настройки, logon ръкопис и други функции за неуспешно.

    3. Причини, за да промените тази настройка

      Неподписаният мрежов трафик е податлив на човек в средата атаки, когато нарушителят прихваща пакети между клиента и сървъри, ги променя и след това ги препраща към сървъра. Когато това се случи на LDAP сървър, атакуващият може да доведе до сървър да отговори въз основа на фалшиви заявки от LDAP клиента. Можете да намалите този риск в корпоративна мрежа чрез сигурна физическа сигурност мерки за защита на мрежова инфраструктура. Освен това можете да предотвратите всички видове човек в средата атаки като изисква цифрови подписи за всички мрежови пакети чрез IPSec удостоверяването заглавки.

    4. Символична име:

      LDAPClientIntegrity

    5. Път на системния регистър:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

  12. Събитията: Максимален размер регистър на защитата

    1. Фон

      На събитията: максимален размер на регистрационен файл на защита настройка на защитата определя максималния размер на регистрационния файл на защитата. Този регистрационен файл е максимален размер от 4 ГБ. За да намерите тази настройка, разгънете
      Настройки на Windowsи Настройките за защита.

    2. Рисковано конфигурации

      Вредни настройките са следните:

      • Ограничаване на размера на регистрите за сигурност и защита регистрационен задържане метод при проверка: изключете незабавно, ако не можете да влезете проверки на защитата е разрешена. Вижте "одит: изключете незабавно, ако не можете да влезете проверки на защитата" на тази статия за повече информация.

      • Ограничаване на размера на регистрите за защита така, че защитата събития от интерес са заместени.

    3. Причини за увеличаване на тази настройка

      Изисквания за безопасност и бизнес може да налага увеличаване на размера на регистрите сигурност с допълнителна защита регистрационни данни или да запазите защитата регистрационни файлове за по-дълъг период от време.

    4. Причините за намаляване на тази настройка

      Преглед на събития са добавени файлове. Максималният размер на регистрационния файл е ограничен от размера на физическата памет в локалния компютър и виртуалната памет, която е достъпна за процеса на регистрационния файл за събития. Увеличаване на размера на регистрационния файл извън размера на виртуалната памет, който е достъпен за преглед на събития не увеличавате броя на записите, които се поддържат.

    5. Примери за проблеми със съвместимостта

      Windows 2000: Компютри, работещи версии на Windows 2000, които са по-стари от Service Pack 4 (SP4) може да спрете регистрирането на събития в регистъра на събитията преди достигане на размера, който е указан в максимален размер на регистрационен файл настройка в Event Viewer, ако заменя събития (изчистете регистър ръчно) опцията е включена.


      За повече информация щракнете върху следния номер на статия в базата знания на Microsoft:

      събитията спира регистриране на събития преди достигане на размера на регистрационния
       

  13. Събитията: Запази регистрационен файл на защитата

    1. Фон

      На събитията: запази регистрационен файл на защитата настройка на защитата определя "преминаване" метод за регистрационния файл на защитата. За да намерите тази настройка, разширете Настройки на Windowsи след това разгънете Настройките за защита.

    2. Рисковано конфигурации

      Вредни настройките са следните:

      • Не успя да запази всички регистрирани събития за сигурност преди да бъдат заместени

      • Конфигуриране на максимален размер на регистрационен файл на сигурност настройки твърде малка защита събития са заместени

      • Ограничаване на регистрационния файл размер и задържане на метод за защита при проверка: изключете незабавно, ако не можете да влезете проверки на защитата сигурност е разрешена

    3. Причини, за да разрешите тази настройка

      Разрешете тази настройка само ако сте избрали презапис събития от дни задържане метод. Ако използвате система за корелация събития, анкети за събития, уверете се, че броят на дните е поне три пъти честотата на запитване. Направете това за неуспешните запитване цикли.

  14. Мрежов достъп: всеки разрешения важат за анонимни потребители

    1. Фон

      По подразбиране мрежов достъп: Нека всички права важат за анонимни потребители настройка е настроен да Не е дефинирано в Windows Server 2003. По подразбиране Windows Server 2003 не съдържа маркер за анонимен достъп във всеки група.

    2. Пример за проблеми със съвместимостта

      Следната стойност на

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous[REG_DWORD] = 0x0 паузи създаване на доверие между Windows Server 2003 и Windows NT 4.0, когато Windows Server 2003 домейн е акаунт и домейн Windows NT 4.0 е ресурс. Това означава, че е надежден домейн акаунт в Windows NT 4.0 и домейн ресурси доверявайки на страната на Windows Server 2003. Този проблем възниква, защото процес да започне доверие след първоначалното анонимно свързване ACL ще с всеки знак, който включва анонимен SID на Windows NT 4.0.

    3. Причини, за да промените тази настройка

      Стойността трябва да бъде настроен на 0x1 или чрез GPO на домейнов контролер те да бъдат: мрежов достъп: Нека всички права важат за анонимни потребители - разрешено за възможно творения доверие.

      Забележка: Повечето други настройки за защита отиде в стойност вместо до 0x0 в най-защитена състояние. По-сигурна практика би било да се промени на системния регистър на основния домейн контролер емулатор вместо на всички домейн контролери. Ако по някаква причина се премества на основния домейн контролер емулатор ролята, трябва да се актуализира регистъра на новия сървър.

      След като се зададе тази стойност се изисква рестартиране.

    4. Път на системния регистър

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

  15. NTLMv2 удостоверяване

    1. Сесийна защита

      Сесийна защита определя минималните стандарти за сигурност за клиента и сървъра. Това е добре да проверите следните настройки за правила за защита в Microsoft Management Console редактора на групови правила в модула:

      • Компютърът Settings\Windows Settings\Security Settings\Local Policies\Security опции

      • Защита на мрежата: Минимум сесийна защита на NTLM SSP базата (включително защитени RPC) сървъри

      • Защита на мрежата: Минимум сесийна защита на NTLM SSP базата (включително защитени RPC) клиенти

      Опциите за тези настройки са както следва:

      • Изискват целостността на съобщенията

      • Изискват поверителността на съобщенията

      • Изисква NTLM версия 2 сесийна защита

      • Изисквай 128-битово шифроване

      По подразбиране преди Windows 7 е изисквания. Започвайки от Windows 7, се промени да изисква 128-битово шифроване за подобряване на сигурността. С този по подразбиране стари устройства, които не поддържат 128-битово шифроване няма да може да се свържете.

      Тези правила определят минималните стандарти за сигурност за приложения комуникации сесия на сървър за клиент.

      Имайте предвид, че въпреки че описан валидни настройки, флаговете цялостност и поверителността не се използват при сесийна защита NTLM.

      В миналото Windows NT е поддържа следните два варианта на запитване/отговор за мрежа влизане:

      • Запитване/отговор на LM

      • Запитване/отговор на NTLM версия 1

      LM позволява съвместимост с инсталирано оборудване от клиенти и сървъри. NTLM предоставя подобрена защита за връзки между клиенти и сървъри.

      Съответните ключове на системния регистър са както следва:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

    2. Рисковано конфигурации

      Тази настройка определя как мрежата сесии, защитени с NTLM ще бъде обработвана. Това се отразява RPC базирани сесии удостоверени с NTLM, например. Съществуват следните рискове:

      • Използване на по-стари методи за удостоверяване от NTLMv2 улеснява комуникацията атака поради прости хеширане методи.

      • Използване на по-ниска от 128-битово шифроване позволява атаки прекъсване комуникация груб сила атаки.

Време за синхронизация

Неуспешно синхронизиране на времето. Време е изключен от повече от 30 минути на заразения компютър. Уверете се, че часовника на клиентския компютър се синхронизира с домейн контролера часовник.

Решение за подписването на SMB

Препоръчваме ви да инсталирате Service Pack 6a (SP6a) в Windows NT 4.0 Клиентите, които взаимодействат в домейна, базиран на Windows Server 2003. Базиран на Windows 98 Second Edition клиенти, клиенти под Windows 98 и Windows 95 клиентите трябва да изпълните Directory Services Client да извършите NTLMv2. Ако Windows NT 4.0 Клиентите нямат Windows NT 4.0 SP6 инсталиран или клиенти, базирани на Windows 95, Windows 98 клиентите и Windows 98SE клиентите не са инсталирани, Directory Services Client забрани SMB влизане в домейн по подразбиране контролер на правилата за създаване на домейн контролера на ОЕ и след това свържете тази политика към всички OU, хост контролери на домейни.

Directory Services клиент за Windows 98 Second Edition, Windows 98 и Windows 95 ще извърши подписването на SMB Windows 2003 сървъри под NTLM удостоверяване, но не под NTLMv2 удостоверяване. Освен това Windows 2000 сървъри не отговарят на подписването на SMB заявки от тези клиенти.

Въпреки че не препоръчваме това, можете да предотвратите подписването на SMB от се изисква на всички домейн контролери, работещи под Windows Server 2003 в домейн. За да конфигурирате тази настройка за защита, изпълнете следните стъпки:

  1. Отворете правилата по подразбиране домейн контролер.

  2. Отворете папката Computer Configuration\Windows Settings\Security Settings\Local Policies\Security опции .

  3. Намерете и след това щракнете върху Microsoft мрежов сървър: цифрово подписване на съобщения (винаги) настройка на правила и щракнете върху забранено.

Важно: Този раздел, метод или задача съдържат информация за модифициране на системния регистър. Въпреки това при неправилно модифициране на регистъра може да възникнат сериозни проблеми. Поради тази причина, трябва внимателно да изпълните тези стъпки. За допълнителна защита направете резервно копие на регистъра, преди да го промените. След това, ако възникне проблем, можете да възстановите системния регистър. За повече информация как да направите резервно копие и как да извършите възстановяване на системния регистър, щракнете върху следния номер на статия, за да видите статията в базата със знания на Microsoft:

Освен това изключете SMB подписване на сървъра чрез модифициране на системния регистър. За да направите това, изпълнете следните стъпки:

  1. Щракнете върху Старт, щракнете върху изпълнение, въведете regeditи щракнете върху OK.

  2. Намерете и след това щракнете върху следния подключ:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

  3. Щракнете върху записа enablesecuritysignature .

  4. В менюто Редактиране щракнете върху Промяна.

  5. В полето данни за стойността въведете 0и след това щракнете върху OK.

  6. Затворете редактора на системния регистър.

  7. Рестартирайте компютъра, или спрете и рестартирайте сървърната услуга. За да направите това, въведете следните команди в командния ред и натиснете Enter след всяка команда:
    net stop server
    net start server

Забележка: Съответния клавиш на клиентския компютър се намира в следния подключ на системния регистър:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\ParametersПо-долу са преведени грешка кодовете кодове за състояние и буквално съобщения, които са споменати по-горе:

грешка 5
ERROR_ACCESS_DENIED

Достъпът е отказан.

грешка 1326

ERROR_LOGON_FAILURE

Грешка при влизане: неизвестно потребителско име или неправилна парола.

грешка 1788

ERROR_TRUSTED_DOMAIN_FAILURE

Връзката на доверие между главния домейн и надежден домейн е неуспешно.

грешка 1789

ERROR_TRUSTED_RELATIONSHIP_FAILURE

Връзката на доверие между тази работна станция и основния домейн се провали.

За повече информация щракнете върху следните номера на статии в базата знания на Microsoft:

как се конфигурира групови правила за задаване на защита за системни услуги в Windows Server 2003
 

как да влезете в Windows NT SMB
 

как да приложите шаблони за предварително сигурността в Windows Server 2003
 

трябва да предоставите идентификационни данни на акаунт на Windows при свързване към Exchange Server 2003 с помощта на Outlook 2003 RPC по HTTP

Нуждаете се от още помощ?

Разширете уменията си
Преглед на обучението
Получавайте първи новите функции
Присъединете се към Microsoft приобщени

Беше ли полезна тази информация?

Благодарим ви за обратната връзка!

Благодарим ви за вашата обратна връзка. Изглежда, че ще бъде полезно да ви свържем с един от нашите агенти по поддръжката на Office.

×