Teď jste offline a čekáte, až se znova připojí internet.

Klient, služba a program problémy může dojít, pokud změníte nastavení zabezpečení a přiřazení uživatelských práv

Podpora Windows XP byla ukončena.

Společnost Microsoft ukončila dne 8. dubna 2014 podporu Windows XP. Tato změna ovlivnila aktualizace softwaru a možnosti zabezpečení. Další informace o tom, co to pro vás znamená a jak zajistit ochranu.

Podpora pro Windows Server 2003 byla ukončena 14. července 2015

Společnost Microsoft ukončila podporu pro Windows Server 2003 dne 14. července 2015. Tato změna ovlivnila aktualizace softwaru a možnosti zabezpečení. Další informace o tom, co to pro vás znamená a jak zajistit ochranu.

DŮLEŽITÉ: Tento článek je přeložen pomocí softwaru na strojový překlad Microsoft. Nepřesný či chybný překlad lze opravit prostřednictvím technologie Community Translation Framework (CTF). Microsoft nabízí strojově přeložené, komunitou dodatečně upravované články, a články přeložené lidmi s cílem zajistit přístup ke všem článkům v naší znalostní bázi ve více jazycích. Strojově přeložené a dodatečně upravované články mohou obsahovat chyby ve slovníku, syntaxi a gramatice. Společnost Microsoft není odpovědná za jakékoliv nepřesnosti, chyby nebo škody způsobené nesprávným překladem obsahu nebo jeho použitím našimi zákazníky. Více o CTF naleznete na http://support.microsoft.com/gp/machine-translation-corrections/cs.

Projděte si také anglickou verzi článku: 823659
Souhrn
V místní zásady a zásady skupiny k pomoci zvýšit zabezpečení řadiče domény a členské počítače můžete změnit nastavení zabezpečení a přiřazení uživatelských práv. Nevýhodou zvýšeného zabezpečení je však zavedení nekompatibilit s klienty, službami a programy.

Tento článek popisuje nekompatibility, které mohou nastat v klientských počítačích se systémem Windows XP nebo starší verzi systému Windows, při změně určitých nastavení zabezpečení a přiřazení uživatelských práv v doméně systému Windows Server 2003 nebo dřívější doménu systému Windows Server.

Informace o Zásady skupiny pro systém Windows 7, Windows Server 2008 R2 a Windows Server 2008 naleznete v následujících článcích:Poznámka: Zbývající obsah v tomto článku je specifické pro systém Windows XP, Windows Server 2003 a starších verzích systému Windows.

Windows XP

Klepnutím sem zobrazíte informace, které jsou specifické pro systém Windows XP
Zvýšit povědomí o nesprávně nakonfigurovaných nastavení zabezpečení, použijte nástroj Editor objektů Zásady skupiny můžete změnit nastavení zabezpečení. Při použití modulu snap-in Editor objektů Zásady skupiny jsou přizpůsobeny přiřazení uživatelských práv v následujících operačních systémech:
  • Systém Windows XP Professional Service Pack 2 (SP2)
  • Windows Server 2003 Service Pack 1 (SP1)
Rozšířené funkce, je dialogové okno obsahující odkaz na tento článek. Při změně nastavení zabezpečení nebo přiřazení uživatelských práv k nastavení, která by přinášela menší kompatibilitu a více omezení, zobrazí se dialogové okno. Pokud změníte přímo stejné přiřazení zabezpečení nastavení práv pomocí registru nebo pomocí šablony zabezpečení, účinek je stejný jako změna nastavení v modulu snap-in Editor objektů Zásady skupiny. Dialogové okno obsahující odkaz na tento článek se však nezobrazí.

Tento článek obsahuje příklady klientů, programy a operace, které jsou ovlivněny určitými nastaveními zabezpečení nebo přiřazení uživatelských práv. Příklady jsou však není autoritativní pro všechny operační systémy společnosti Microsoft, pro všechny operační systémy jiných výrobců nebo pro všechny verze programů, které jsou ovlivněny. V tomto článku jsou zahrnuty všechny nastavení zabezpečení a přiřazení uživatelských práv.

Doporučujeme zkontrolovat kompatibilitu všechny změny týkající se zabezpečení konfigurace v testovací doménové struktuře než zavést v prostředí výroby. Testovací doménová struktura musí odrážet výrobní doménovou strukturu následujícími způsoby:
  • Verze operačních systémů klientů a serverů, klientských programů andserver, verze aktualizací service pack, opravy hotfix, změny schématu, securitygroups, členství ve skupinách, oprávnění u objektů systému souborů, sharedfolders, registru, služby Active Directory, místní a nastavení GroupPolicy a objektu, počet, typ a umístění
  • Úkoly správy, které jsou prováděny, administrativetools, které se používají a operační systémy, které se používají pro úkoly performadministrative
  • Operace, které provádějí následující:
    • Ověřování uživatele a počítače při přihlášení
    • Obnovení hesla uživatele, počítače a správci
    • Procházení
    • Nastavení oprávnění pro systém souborů, pro sdílené složky, registru a k prostředkům služby Active Directory pomocí editoru ACL ve všech klientských operačních systémů v účtu nebo doménách prostředků ze všech klientských operačních systémů ze všech účtů nebo domény prostředků
    • Tisk z administrativních a běžné účty

Windows Server 2003 SP1

Klepnutím sem zobrazíte informace, které jsou specifické pro aktualizaci SP1 systému Windows Server

Upozornění v Gpedit.msc

K lepšímu vědom, že úpravy uživatelských práv nebo možnosti zabezpečení, která by mohla mít nepříznivý vliv na jejich síť zákazníků, byly přidány dva varovné mechanismy k gpedit.msc. Když správce upraví uživatelská práva, která může nepříznivě ovlivnit celý podnik, uvidí novou ikonu, která se podobá výstražné značky. Správci se rovněž zobrazí upozornění obsahující odkaz na článek znalostní báze Microsoft Knowledge Base 823659. Text této zprávy je následující:
Změna tohoto nastavení může ovlivnit kompatibilitu s klienty, službami a aplikacemi. Další informace naleznete v tématu <user right="" or="" security="" option="" being="" modified="">(Q823659)</user>
Pokud byli jste přesměrováni na tento článek znalostní báze Knowledge Base pomocí odkazu v Gpedit.msc, ujistěte se, číst a porozumět poskytnuté vysvětlení a možného účinku při změně tohoto nastavení. Následující uživatelská práva, která obsahují text upozornění:
  • Přístup k tomuto počítači ze sítě
  • Místní přihlášení
  • Obejít křížovou kontrolu
  • Umožňují počítačům a uživatelům důvěryhodné delegování pro
Možnosti zabezpečení, které obsahují upozornění a zprávy jsou následující:
  • Člen domény: Digitálně zašifrovat nebo podepsat data zabezpečeného kanálu (vždy)
  • Člen domény: Vyžadovat silné (Windows 2000 nebo vyšší verze) klíče relace
  • Řadiče domény: Požadavky podepisování serveru LDAP
  • Server sítě Microsoft: digitálně podepsat komunikaci (vždy)
  • Přístup k síti: Umožňuje anonymní Sid / překlad názvu
  • Přístup k síti: Nepovolit anonymní tvorbu výčtu SAM účtů a sdílených položek
  • Zabezpečení sítě: úroveň ověřování pro systém LAN Manager
  • Audit: Vypněte systém okamžitě, je-li možno protokolovat auditování zabezpečení
  • Přístup k síti: Požadavky podepisování klienta LDAP
Další informace
Následující část popisuje nekompatibility, které mohou nastat při změně určitých nastavení v doménách systému Windows NT 4.0 domén systému Windows 2000 a domény Windows Server 2003.

Uživatelská práva

Klepnutím sem zobrazíte informace o uživatelských právech
Následující seznam popisuje uživatelská práva, určí nastavení konfigurace, které mohou způsobit problémy, popisuje, proč byste měli použít uživatelské právo a proč může být vhodné odebrat uživatelské právo a obsahuje příklady problémy s kompatibilitou, které mohou nastat, pokud je uživatelské právo k konfigurován.
  1. Přístup k tomuto počítači ze sítě
    1. Pozadí

      Schopnost komunikovat se vzdálenými počítači se systémem Windows vyžaduje uživatelské právopřistupovat k tomuto počítači ze sítě . Příklady takových operací patří:
      • Replikace mezi řadiči domény ve společné doméně nebo doménové struktuře služby Active Directory
      • Požadavky na ověření řadiči domény od uživatelů a počítačů
      • Přístup do sdílené složky, tiskárny a dalších systémových služeb, které jsou umístěny ve vzdálených počítačích v síti


      Uživatelů, počítačů a účtů služeb získat nebo ztratit přístup k počítači ze sítě uživatelské právo tím, že je explicitně nebo implicitně přidáni nebo odebráni ze skupiny zabezpečení, které bylo uděleno toto uživatelské právo. Uživatelský účet nebo účet počítače může být explicitně přidat skupinu zabezpečení vlastní nebo předdefinované skupiny zabezpečení správce nebo může být implicitně přidán operačním systémem do vypočítané skupiny zabezpečení, jako je například Domain Users, Authenticated Users nebo Enterprise Domain Controllers Chcete-li.

      Ve výchozím nastavení, uživatelské účty a účty počítačů jsou udělena uživateli přistupovat k tomuto počítači ze sítědoprava Pokud vypočítaný skupin jako jsou Everyone nebo, pokud možno, Authenticated Users a pro řadiče domény, skupina Enterprise Domain Controllers, jsou definovány v řadičích domény výchozí Zásady skupiny objektu (GPO).
    2. Riziková konfigurace

      Škodlivé konfigurační nastavení jsou následující:
      • Odebrání tohoto uživatelského práva skupině Enterprise Domain Controllers zabezpečení
      • Odebrání skupiny Authenticated Users nebo explicitní skupině, která umožňuje uživatelů, počítačů a účtů služeb uživatelské právo k připojení k počítačům v síti
      • Odebrání tohoto uživatelského práva všech uživatelů a počítačů
    3. Důvody k udělení tohoto uživatelského práva
      • Grantingthepřistupovat k tomuto počítači ze sítě uživatelské právo skupině Enterprise Domain Controllers splňuje požadavky na ověření, které musí mít replikace služby Active Directory pro replikaci dat mezi řadiči domény ve stejné doménové struktuře.
      • Toto uživatelské právo umožňuje uživatelům a počítačům umožňuje získat přístup k sdílené soubory, tiskárny a systémové služby, včetně služby Active Directory.
      • Toto uživatelské právo je vyžadováno pro uživatele pro přístup k poště pomocí starší verze aplikace Microsoft Outlook Web Access (OWA).
    4. Důvody k odebrání tohoto uživatelského práva
      • Uživatelé, kteří mohou připojit své počítače k síti můžete přistupovat k prostředkům ve vzdálených počítačích, které mají oprávnění pro. Například toto uživatelské právo je vyžadováno pro připojení sdílené tiskárny a složky uživatele. Pokud je toto uživatelské právo uděleno Everyone skupiny, a pokud mají některé sdílené složky, sdílení a oprávnění systému souborů NTFS je nakonfigurován tak, aby stejné skupiny má přístup pro čtení, může kdokoli zobrazit soubory v těchto složkách. Toto je nicméně nepravděpodobná situace v případě nových instalací systému Windows Server 2003 protože výchozí nastavení sdílení a oprávnění systému souborů NTFS v systému Windows Server 2003 neobsahují skupinu Everyone. U systémů, které jsou inovovány ze systému Microsoft Windows NT 4.0 nebo Windows 2000 tuto chybu zabezpečení mají vyšší stupeň rizika, protože výchozí nastavení sdílení a oprávnění systému souborů pro tyto operační systémy nejsou tak omezující jako výchozí oprávnění v systému Windows Server 2003.
      • Neexistuje žádný rozumný důvod k odebrání tohoto uživatelského práva skupině Enterprise Domain Controllers.
      • Skupina Everyone je zpravidla odebrána ve prospěch skupiny Authenticated Users. Pokud je odebrána skupina Everyone, musí skupině Authenticated Users uděleno toto uživatelské právo.
      • Domény systému Windows NT 4.0, které jsou inovovány na systém Windows 2000 není explicitně uděleno přistupovat k tomuto počítači ze sítě uživatelské právo na skupinu Everyone, skupina Authenticated Users nebo skupině Enterprise Domain Controllers. Proto pokud odeberete skupinu Everyone ze zásad domény systému Windows NT 4.0, se nezdaří replikace služby Active Directory s chybovou zprávou "Přístup byl odepřen" po upgradu na systém Windows 2000. Winnt32.exe systému Windows Server 2003 se vyhýbá této chybě nastavení tak, že uděluje že skupině Enterprise Domain Controllers skupiny toto uživatelské právo při inovaci systému Windows NT 4.0 primární řadiče domény (PDC). Skupina Enterprise Domain Controllers udělte toto uživatelské právo, pokud to není k dispozici v editoru objektů Zásady skupiny.
    5. Příklady potíží s kompatibilitou
      • Systému Windows 2000 a Windows Server 2003: Následující oddíly replikace se nezdaří s "přístup byl odepřen" vykázání jako REPLMON a REPADMIN nebo replikaci události do protokolu událostí nástroje pro sledování.
        • Aktivní oddíl adresáře schématu
        • Oddíl konfigurace
        • Oddíl domény
        • Oddíl globálního katalogu
        • Oddíl aplikace
      • Microsoft všechny síťové operační systémy:Ověření uživatelského účtu ze vzdálených klientských počítačů v síti se nezdaří, pokud nebylo uživateli nebo skupině zabezpečení, jejímž je uživatel členem, uděleno toto uživatelské právo.
      • Microsoft všechny síťové operační systémy:Ověření účtu ze vzdálených klientů v síti se nezdaří, pokud nebylo účtu nebo skupině zabezpečení, jejímž je účet členem, uděleno toto uživatelské právo. Tento scénář se týká uživatelské účty, účty počítače a účty služeb.
      • Microsoft všechny síťové operační systémy:Odebrání tohoto uživatelského práva všech účtů zabrání kterémukoli účtu v přihlášení k doméně nebo přístup k síťovým prostředkům. Pokud vypočítané skupiny Enterprise Domain Controllers, odebrání Everyone nebo Authenticated Users, je nutné explicitně udělit toto uživatelské právo na účty nebo skupiny zabezpečení, které tento účet je členem skupiny přístup ke vzdáleným počítačům v síti. Tento scénář se týká všech uživatelských účtů, všechny účty počítačů a všechny účty služeb.
      • Microsoft všechny síťové operační systémy:Místní účet správce používá heslo "prázdné". Pro účty správce v prostředí domény není povoleno připojení k síti s prázdnými hesly. Při této konfiguraci můžete očekávat, že se zobrazí chybová zpráva "Přístup odepřen".
  2. Povolit místní přihlášení
    1. Pozadí

      Uživatelé, kteří se snaží přihlásit ke konzole počítače se systémem Windows (pomocí klávesové zkratky CTRL + ALT + DELETE) a na účty, které se pokouší spustit službu musí mít oprávnění k místnímu přihlášení v hostitelském počítači. Příklady operací místního přihlášení jsou správci, kteří se přihlašují ke konzolám členských počítačů nebo řadiče domény v rámci rozlehlé sítě a domén uživatelů, kteří se přihlašují k členským počítačům přístup k jejich plochy pomocí neprivilegovaných účtů. Uživatelé, kteří používají připojení vzdálené plochy nebo Terminálové služby musí mítPovolení místního přihlášení uživatele přímo v cílových počítačích se systémem Windows 2000 nebo Windows XP, protože tyto režimy přihlášení jsou považovány za místním hostitelským počítačem. Uživatelé, kteří se přihlašují k serveru s povolenou Terminálovou službou a nedisponují tímto uživatelským právem mohou přesto spustit vzdálenou interaktivní relaci v doménách systému Windows Server 2003 mají právo Povolit přihlášení prostřednictvím Terminálové služby .
    2. Riziková konfigurace

      Škodlivé konfigurační nastavení jsou následující:
      • Odebrání skupin správy zabezpečení, včetně Account Operators, Backup Operators, Print Operators či Server Operators a předdefinované skupiny Administrators z řadiče domény výchozí zásady.
      • Odebrání účtů služeb používaných součástmi a programy v členských počítačích a řadičích domény z řadiče domény výchozí zásady domény.
      • Odebrání uživatele nebo skupiny zabezpečení, které přihlášení ke konzole členských počítačů v doméně.
      • Odebrání účtů služeb, které jsou definovány v místní databázi správce zabezpečení účtů (SAM) členských počítačů nebo počítačů pracovní skupiny.
      • Odebrání non postaveny in pro správu účtů, které se ověřují prostřednictvím Terminálové služby, který je spuštěn v řadiči domény.
      • Přidání všech uživatelských účtů v doméně explicitně nebo implicitně prostřednictvím Everyone skupiny, Odepřít místní přihlášení přihlašovacího práva. Tato konfigurace zabrání uživatelům v přihlášení k jakémukoli členskému počítači nebo libovolného řadiče domény v doméně.
    3. Důvody k udělení tohoto uživatelského práva
      • Uživatelé musí mít přístup ke konzole nebo na plochu počítače pracovní skupiny, členské počítače nebo řadiče domény uživatelské právo Povolit místní přihlášení .
      • Uživatelé musí mít toto uživatelské právo přihlásit se pomocí relace Terminálové služby spuštěné v počítači systémem Windows 2000 člena nebo řadiči domény.
    4. Důvody k odebrání tohoto uživatelského práva
      • Selhání na oprávněné uživatele omezit přístup ke konzole může vést k neoprávněným uživatelům stahování a spouštění škodlivého kódu, chcete-li změnit svá uživatelská práva.
      • Odebrání uživatelské právo Povolit místní přihlášení zabrání neoprávněným přihlášením ke konzolám počítačů, například řadičů domény nebo aplikačních serverů.
      • Odebrání toto přihlašovací právo zabrání účtům mimo doménu přihlášení ke konzole členských počítačů v doméně.
    5. Příklady potíží s kompatibilitou
      • Terminálové servery Windows 2000:Uživatelské právo Povolit místní přihlášení je vyžadováno pro přihlášení k terminálovým serverům Windows 2000 uživatelů.
      • Systému Windows NT 4.0, Windows 2000, Windows XP nebo Windows Server 2003:Uživatelské účty musí být uděleno toto uživatelské právo přihlásit ke konzole počítače se systémem Windows NT 4.0, Windows 2000, Windows XP nebo Windows Server 2003.
      • Systému Windows NT 4.0 a novější:V počítačích se systémem Windows NT 4.0 a vyšší, pokud přidáte uživatelské právo Povolit místní přihlášení , ale implicitně nebo explicitně udělit přihlašovací právo Odepřít místní přihlášení , účty nebudou moci přihlásit ke konzole řadiče domény.
  3. Obejít křížovou kontrolu
    1. Pozadí

      Uživatelské právo Obejít křížovou kontrolu umožňuje uživateli procházet složky v systému souborů NTFS nebo v registru, aniž by bylo kontrolováno zvláštní přístupové oprávnění Procházet složkou . Uživatelské právo Obejít křížovou kontroluneumožňuje uživateli zobrazit obsah složky. Umožňuje uživateli procházet pouze jeho složky.
    2. Riziková konfigurace

      Škodlivé konfigurační nastavení jsou následující:
      • Odebrání-pro správu účtů, které přihlášení do počítače se systémem Windows 2000 Terminálovou službu nebo počítače systémem Windows Server 2003 Terminálové služby, které nemají oprávnění k přístupu k souborům a složkám v systému souborů.
      • Odebrání skupiny Everyone ze seznamu objektů zabezpečení, kteří mají toto uživatelské právo ve výchozím nastavení. Operační systémy Windows a také mnoho programů jsou navrženy s předpokladem, že každý, kdo má oprávněný přístup počítači bude mít uživatelské právoObejít křížovou kontrolu. Proto Everyone odebrání skupiny ze seznamu zaregistrovaných objektů zabezpečení, které ve výchozím nastavení mají toto právo může vést k nestabilitě operačního systému nebo selhání programu. Je lepší ponechat toto nastavení na výchozí.
    3. Důvody k udělení tohoto uživatelského práva

      Je výchozí nastavení uživatelského práva Obejít křížovou kontrolu dovoluje komukoli obejít kontrolu procházení. Zkušení správci systému Windows to je očekávané chování a odpovídajícím způsobem konfiguraci seznamů řízení přístupu systému souborů (SACL). Jediný scénář, kde výchozí konfigurace může vést k nehodě, je-li správce, který konfiguruje oprávnění nerozumí chování a očekává, že uživatelé nemohou získat přístup k nadřazené složky nebudou moci přistupovat k obsahu podřízených složek.
    4. Důvody k odebrání tohoto uživatelského práva

      Chcete-li zabránit přístup souborům a složkám v systému souborů, organizace, které jsou velmi důležité zabezpečení mohou zvážit odebrání skupiny Everyone nebo dokonce skupině Users ze seznamu skupin, které mají uživatelské právoObejít křížovou kontrolu .
    5. Příklady potíží s kompatibilitou
      • Windows 2000, Windows Server 2003:Pokud je uživatelské právo Obejít křížovou kontrolu je odebráno nebo chybně nastaveno v počítačích se systémem Windows 2000 nebo Windows Server 2003, nebudou nastavení Zásady skupiny ve složce SYVOL replikovány mezi řadiči domény v doméně.
      • Systému Windows 2000, Windows XP Professional, Windows Server 2003:Počítače se systémem Windows 2000, Windows XP Professional nebo Windows Server 2003 bude protokolovat události 1000 a 1202 a nebudou moci použít zásady počítače a uživatele, pokud požadovaná oprávnění systému souborů jsou odebrány ze stromu SYSVOL, pokud Obejít křížovou kontrolu uživatelské právo je odebráno nebo chybně nastaveno.

        Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
        290647 Událost s ID 1000 a 1001 je zaznamenána v protokolu událostí aplikace každých pět minut
      • Windows 2000, Windows Server 2003: V počítačích se systémem Windows 2000 nebo Windows Server 2003 na kartu Přidělená kvóta v programu Průzkumník Windows zmizí při prohlížení vlastností svazku.
      • Systému Windows 2000: Všichni uživatelé, kteří se přihlásí k terminálovému serveru systému Windows 2000 obdržet následující chybovou zprávu:
        Chyba aplikace Userinit.exe. Aplikace se nezdařila inicializace 0xc0000142 klepněte na tlačítko OK můžete ukončit aplikace.
        Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
        272142 Uživatelé automaticky odhlášeni při pokusu o přihlášení ke službě Terminal Services
      • Systému Windows NT 4.0, Windows 2000, Windows XP a Windows Server 2003:Uživatelé počítačů se systémem Windows NT 4.0, Windows 2000, Windows XP nebo Windows Server 2003, nemusí být možné získat přístup k sdíleným složkám nebo souborům ve sdílených složkách a mohou obdržet chybové zprávy "Přístup odepřen", pokud jim není uděleno uživatelské právo Obejít křížovou kontrolu .

        Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
        277644 Při pokusu o přístup ke sdíleným složkám se zobrazí chybová zpráva "Přístup byl odepřen"
      • Systému Windows NT 4.0:V počítačích se systémem Windows NT 4.0 způsobí odebrání uživatelského práva Obejít křížovou kontrolu při kopírování souborů datových proudů. Pokud odeberete toto uživatelské právo při kopírování souboru z klienta systému Windows nebo z počítače Macintosh na řadič domény systému Windows NT 4.0 se službou Services for Macintosh, dojde ke ztrátě cílového souboru datového proudu a soubor se zobrazí jako textový soubor.

        Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
        172930 Odstranění "Obejít křížovou kontrolu" způsobí, že proudy při kopírování
      • Microsoft Windows 95, Microsoft Windows 98:V klientském počítači se systémem Windows 95 nebo Windows 98 net use * / home příkaz se nezdaří s chybovou zprávou "Přístup byl odepřen", pokud není skupině Authenticated Users uděleno uživatelské právo Obejít křížovou kontrolu .
      • Aplikace outlook Web Access:Všichni uživatelé nebudou moci přihlásit k aplikaci Outlook Web Access a obdrží chybovou zprávu "Přístup odepřen", pokud jim není uděleno uživatelské právo Obejít křížovou kontrolu .

Nastavení zabezpečení

Klepnutím sem zobrazíte informace o nastavení zabezpečení
Následující seznam určuje nastavení zabezpečení a vnořené seznam obsahuje popis nastavení zabezpečení určuje nastavení konfigurace, které může způsobit problémy, popisuje, proč by měl použít nastavení zabezpečení a pak popisuje důvody, proč můžete chtít odebrat nastavení zabezpečení. Vnořený seznam pak poskytuje symbolický název nastavení zabezpečení a nastavení zabezpečení cestu registru. Nakonec příklady jsou uvedeny pro problémy s kompatibilitou, které mohou nastat, pokud je nakonfigurováno nastavení zabezpečení.
  1. Audit: Vypněte systém okamžitě, je-li možno protokolovat auditování zabezpečení
    1. Pozadí
      • Audit: vypnutí systému okamžitě, je-li možno protokolovat auditování zabezpečení nastavení určuje, zda se systém vypne, pokud nelze protokolovat události zabezpečení. Toto nastavení je povinné pro C2 hodnocení programu důvěryhodné počítače zabezpečení hodnotící kritéria (TCSEC) a Common Criteria for Information Technology Security Evaluation zabránit auditovatelným událostem, pokud systém nelze protokolovat události. Pokud selhání auditování systému, vypnutí systému a zobrazí se chybová zpráva Stop.
      • Pokud počítač nemůže zaznamenávat události do protokolu zabezpečení, důležitých důkazů nebo důležité informace o řešení problémů nemusí být k dispozici ke kontrole incidentu zabezpečení.
    2. Riziková konfigurace

      Následuje nastavení konfigurace škodlivé: Audit: vypnutí systému okamžitě, je-li možno protokolovat auditování zabezpečení nastavení je zapnuto a velikost protokolu událostí zabezpečení je omezena možnost Nepřepisovat události (protokol vymazávat ručně) možnost Přepsat události podle potřeby nebo Přepisovat události starší než číslo dny možnost v programu Prohlížeč událostí. Naleznete v části "Příklady potíží s kompatibilitou" informace o specifických rizicích pro počítače s původní vydanou verzi systému Windows 2000, Windows 2000 Service Pack 1 (SP1), Windows 2000 SP2 nebo Windows 2000 SP3.
    3. Důvody k povolení tohoto nastavení

      Pokud počítač nemůže zaznamenávat události do protokolu zabezpečení, důležitých důkazů nebo důležité informace o řešení problémů nemusí být k dispozici ke kontrole incidentu zabezpečení.
    4. Důvody k zakázání tohoto nastavení
      • Povolení Audit: vypnutí systému okamžitě, je-li možno protokolovat auditování zabezpečení nastavení přestane systém, pokud není možné protokolovat auditování zabezpečení, z jakéhokoli důvodu. Obvykle nemůže být zaznamenána událost Pokud je protokol auditování zabezpečení je plný a pokud je jeho způsob uchovávání buď možnost Nepřepisovat události (protokol vymazávat ručně) nebo Přepisovat události starší než číslo dny možnost.
      • Administrativní zátěž povolení Audit: vypnutí systému okamžitě, je-li možno protokolovat auditování zabezpečení nastavení může být velmi vysoká, zejména pokud také zapnout možnost Nepřepisovat události (protokol vymazávat ručně) pro protokol zabezpečení. Toto nastavení poskytuje individuální zodpovědnosti za akce operátora. Správce může například obnovit výchozí nastavení oprávnění pro uživatele, počítače a skupiny v organizační jednotce (OU) kde bylo povoleno auditování, pomocí účtu správce nebo jiného sdíleného účtu a potom popřít, že tato oprávnění. Povolení tohoto nastavení však snižuje robustnost systému, protože server může být donucen k vypnutí tak, že bude zaplaven událostmi přihlášení a jinými událostmi zabezpečení, které jsou zapisovány do protokolu zabezpečení. Navíc vzhledem k tomu, že jedná o vynucené vypnutí, může způsobit nenapravitelné škody na operační systém, programy nebo data. Zatímco systém souborů NTFS garantuje integritu systému souborů během vypnutí vynuceném systému, nedokáže už zaručit po restartu systému bude každý datový soubor každého programu v použitelném podobě.
    5. Symbolický název:

      CrashOnAuditFail

    6. Cesta v registru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)
    7. Příklady potíží s kompatibilitou
      • Systému Windows 2000:Počítače s původní vydanou verzi systému Windows 2000, Windows 2000 SP1, Windows 2000 SP2 nebo Windows Server SP3 může z důvodu chyby zastavení protokolování událostí ještě před dosažením velikosti zadané v možnosti maximální velikost protokolu pro protokol událostí. Tato chyba je opravena v aktualizaci Windows 2000 Service Pack 4 (SP4). Ujistěte se, že řadiče domény Windows 2000 před povolením tohoto nastavení nainstalována aktualizace Windows 2000 Service Pack 4.

        Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
        312571 V protokolu událostí se zastaví protokolování před dosažením maximální velikosti protokolu událostí
      • Windows 2000, Windows Server 2003:Počítače se systémem Windows 2000 nebo Windows Server 2003 může přestat reagovat a mohou se samovolně restartovat, pokud Audit: vypnutí systému okamžitě, je-li možno protokolovat auditování zabezpečení zapnuto nastavení protokol zabezpečení je plný a nemůže být přepsán existující položky protokolu událostí. Po restartování počítače, zobrazí se následující chybová zpráva Stop:
        STOP: C0000244 {Neúspěšný Audit}
        Pokus o generování auditování zabezpečení se nezdařilo.
        Chcete-li obnovit, Správce musí přihlásit, archivovat protokol zabezpečení (nepovinné), vymazat protokol zabezpečení a vynulovat tuto možnost (volitelně, podle potřeby).
      • Klient sítě Microsoft pro MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003:Všichni uživatelé, kteří se pokusí přihlásit k doméně, zobrazí se následující chybová zpráva:
        Váš účet je nakonfigurován zabránit použití tohoto počítače. Zkuste jiný počítač.
        Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
        160783 Chybová zpráva: nelze přihlášení k pracovní stanici
      • Systému Windows 2000:V počítačích se systémem Windows 2000 bez oprávnění správce, nebudete moci přihlásit k serverům pro vzdálený přístup a obdrží chybovou zprávu, která je podobná následující:
        Neznámý uživatel nebo chybné heslo
        Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
        285665 Chybová zpráva: váš účet je nakonfigurován tak, aby neumožnil práci s tímto počítačem
      • Systému Windows 2000:Služba mezisíťového zasílání zpráv (Ismserv.exe) v řadičích domény systému Windows 2000, bude ukončena a nelze ji restartovat. Nástroj DCDIAG ohlásí chybu "se nezdařil test služeb ISMserv" a událost ID 1083 bude registrován v protokolu událostí.
      • Systému Windows 2000:V řadičích domény systému Windows 2000 se nezdaří replikace služby Active Directory a zobrazí se zpráva "Přístup odepřen", pokud zaplnění protokolu událostí zabezpečení.
      • Microsoft Exchange 2000:Servery se systémem Exchange 2000 nebudou moci připojit databáze úložiště informací a do protokolu událostí bude registrována událost 2102.

        Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
        314294 SeSecurityPrivilege a problémy Policytest jsou generovány chybové zprávy serveru Exchange 2000
      • Outlook, Outlook Web Access: Všichni uživatelé nebudou mít přístup ke své poště pomocí aplikace Microsoft Outlook nebo Microsoft Outlook Web Access a zobrazí se chyba 503.
  2. Řadič domény: Požadavky podepisování serveru LDAP
    1. Pozadí

      Řadič domény: Požadavky podepisování serveru LDAPnastavení zabezpečení určuje, zda server Lightweight Directory Access Protocol (LDAP) vyžaduje klienty vyjednat podepisování dat LDAP. Možné hodnoty pro toto nastavení jsou následující:
      • Žádné: Podepisování dat není nutný k vytvoření vazby se serverem. Pokud klient požaduje podepisování dat, je server podporuje.
      • Požaduje podepsání: Pokud Transport Layer Security/Secure Socket Layer (protokol TLS/SSL) nutné vyjednat možnost podepisování dat LDAP.
      • není definováno: Toto nastavení není povoleno nebo zakázáno.
    2. Riziková konfigurace

      Škodlivé konfigurační nastavení jsou následující:
      • Povolení vyžadovat podepisování v prostředí, v kterých klienti nepodporují podpis serveru LDAP nebo podpis serveru LDAP na straně klienta není povolen v klientovi
      • Použití systému Windows 2000 nebo Windows Server 2003 Hisecdc.inf šablony zabezpečení v prostředích, kterých klienti nepodporují podpis serveru LDAP nebo není povolen podpis serveru LDAP na straně klienta
      • Použití systému Windows 2000 nebo šablony zabezpečení systému Windows Server 2003 Hisecws.inf v prostředí, v kterých klienti nepodporují podpis serveru LDAP nebo není povolen podpis serveru LDAP na straně klienta
    3. Důvody k povolení tohoto nastavení

      Nepodepsaný síťový provoz je náchylný k útoku man-in-the-middle kde zachytává neoprávněná osoba pakety mezi klientem a serverem, tyto pakety mění a pak je posílá na server. Pokud k tomuto chování dochází na serveru LDAP, útočník by mohl způsobit, že server pro rozhodování, které jsou založeny na podvržených dotazech klienta LDAP. Toto riziko lze v podnikové síti lze snížit implementací důrazných fyzických bezpečnostních opatření, které pomohou ochránit síťovou infrastrukturu. Režim ověřování hlavičky pomocí protokol IPSec (IPSec) můžete předejít útoku man-in-the-middle. Režim ověřování hlavičky provádí vzájemné ověření a kontroluje integritu paketů komunikace IP.
    4. Důvody k zakázání tohoto nastavení
      • Klienti, kteří nepodporují podpis serveru LDAP, nebudete moci provádět dotazy LDAP u řadičů domény a globálních katalogů, pokud je vyjednáno ověřování NTLM a správné aktualizace service Pack nejsou nainstalován v řadičích domény systému Windows 2000.
      • Stopy síťové komunikace LDAP mezi klienty a servery budou šifrovány. To je obtížné zkoumání komunikace LDAP.
      • Servery se systémem Windows 2000 musí mít systém Windows 2000 Service Pack 3 (SP3) nebo pokud jsou podávány s programy, že podpora podpis LDAP, které jsou spouštěny z klientské počítače se systémem Windows 2000 SP4, Windows XP nebo Windows Server 2003 nainstalován. Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
        325465 Vyžadují řadiče domény se systémem Windows 2000 Service Pack 3 nebo vyšší při použití nástrojů pro správu systému Windows Server 2003
    5. Symbolický název:

      LDAPServerIntegrity klíče
    6. Cesta v registru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)
    7. Příklady potíží s kompatibilitou
      • Jednoduchá vazba selže a zobrazí se následující chybová zpráva:
        Ldap_simple_bind_s() se nezdařilo: požadováno silné ověřování.
      • Systému Windows 2000 Service Pack 4, Windows XP a Windows Server 2003:V klientech se systémem Windows 2000 SP4, Windows XP nebo Windows Server 2003 nebudou správně fungovat některé nástroje správy služby Active Directory u řadičů domény se systémem verze systému Windows 2000, které jsou nižší než SP3, pokud je vyjednáno ověřování NTLM.

        Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
        325465 Vyžadují řadiče domény se systémem Windows 2000 Service Pack 3 nebo vyšší při použití nástrojů pro správu systému Windows Server 2003
      • Systému Windows 2000 Service Pack 4, Windows XP a Windows Server 2003:V klientech se systémem Windows 2000 SP4, Windows XP nebo Windows Server 2003, některé nástroje správy služby Active Directory, které se zaměřují na řadičích domény se systémem verze systému Windows 2000, které jsou nižší než SP3 nebude fungovat správně, pokud používají adresy IP (například "dsa.msc/server =x.x.x.x"kde x.x.x.x je adresa IP).

        Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
        325465 Vyžadují řadiče domény se systémem Windows 2000 Service Pack 3 nebo vyšší při použití nástrojů pro správu systému Windows Server 2003
      • Systému Windows 2000 Service Pack 4, Windows XP a Windows Server 2003:V klientech se systémem Windows 2000 SP4, Windows XP nebo Windows Server 2003, některé nástroje správy služby Active Directory této cílové řadiče domény se systémem verze systému Windows 2000, které jsou nižší než SP3 nebude pracovat správně.

        Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
        325465 Vyžadují řadiče domény se systémem Windows 2000 Service Pack 3 nebo vyšší při použití nástrojů pro správu systému Windows Server 2003
  3. Člen domény: Vyžadovat silný klíč relace (Windows 2000 nebo vyšší)
    1. Pozadí
      • Člen domény: Vyžadovat silný klíč relace (Windows 2000 nebo novější) nastavení určuje, zda lze vytvořit zabezpečený kanál s řadičem domény, který nedokáže šifrovat komunikaci zabezpečeného kanálu klíč relace silného, 128-bit. Povolení tohoto nastavení zabrání vytvoření zabezpečeného kanálu s řadičem domény, který nemůže šifrovat data zabezpečeného kanálu pomocí silného klíče. Zakázání tohoto nastavení umožní klíče relace 64-bit.
      • Před povolením tohoto nastavení na členské pracovní stanici nebo na serveru, musí být všechny řadiče domény v doméně, která patří tento člen, schopny šifrovat data zabezpečeného kanálu pomocí silného klíče 128 bitů. To znamená, že všechny takové řadiče domén musí používat systém Windows 2000 nebo novější.
    2. Riziková konfigurace

      Povolení člen domény: Vyžadovat silný klíč relace (Windows 2000 nebo novější) nastavení je nastavení konfigurace škodlivé.
    3. Důvody k povolení tohoto nastavení
      • Klíče relace, které se používají k vytvoření zabezpečeného kanálu komunikace mezi členských počítačů a řadičů domény jsou mnohem silnější v systému Windows 2000 než v předchozích verzích operačních systémů společnosti Microsoft.
      • Pokud je to možné, je vhodné využít výhod těchto silných klíčů relace k ochraně komunikace zabezpečeného kanálu z odposlechu a podepisovali sítě.Odposlouchávání je forma útoku kde síťová data čtena nebo měněna po cestě. Data lze změnit, skrýt nebo změnit odesílatel nebo přesměrovat.
      Důležité Počítač se systémem Windows Server 2008 R2 nebo Windows 7 podporuje pouze silného klíče používají zabezpečené kanály. Toto omezení zabrání vztah důvěryhodnosti mezi všechny domény se systémem Windows NT 4.0 a všechny domény se systémem Windows Server 2008 R2. Navíc toto omezení blokuje členství domény se systémem Windows NT 4.0 z počítače se systémem Windows 7 nebo Windows Server 2008 R2, a naopak.
    4. Důvody k zakázání tohoto nastavení

      Doména obsahuje členské počítače s jiným operačním systémem než Windows 2000, Windows XP nebo Windows Server 2003.
    5. Symbolický název:

      StrongKey
    6. Cesta v registru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)
    7. Příklady potíží s kompatibilitou

      Systému Windows NT 4.0:V počítačích se systémem Windows NT 4.0 nové nastavení zabezpečených kanálů vztahů důvěryhodnosti mezi systémem Windows NT 4.0 a doménami systému Windows 2000 příkazem NLTEST a ZOBRAZÍ se nezdaří. Zobrazí se chybová zpráva "Přístup odepřen":
      Vztah důvěryhodnosti mezi primární doménou a důvěryhodnou doménou se nezdařilo.

      Windows 7 a Server 2008 R2:Pro Windows 7 a novější verze systému Windows Server 2008 R2 a novější verze toto nastavení není proplacená anylonger a silného klíče se vždy používá. Proto se vztahy důvěryhodnosti s doménami systému Windows NT 4.0 nefungují správně již.
  4. Člen domény: digitálně zašifrovat nebo podepsat data zabezpečeného kanálu (vždy)
    1. Pozadí
      • Povolení člen domény: digitálně zašifrovat nebo podepsat data zabezpečeného kanálu (vždy)zabrání vytvoření zabezpečeného kanálu s řadičem domény, který nemůže podepsat nebo šifrovat veškerá data zabezpečeného kanálu. Počítače se systémem Windows k ochraně komunikace ověřování z útoku man-in-the-middle, opakované útoky a jiné druhy útoků na sítě, vytvořit komunikační kanál, který je známý jako zabezpečeného kanálupomocí služby přihlašování k ověřování účtů počítačů. Zabezpečené kanály se také používají při připojení k síťovému prostředku ve vzdálené doméně uživatele v jedné doméně. Ověřování s více doménami nebopředávací ověřováníumožňuje počítači se systémem Windows, který se připojil k doméně, mít přístup k databázi uživatelských účtů v doméně a všech důvěryhodných doménách.
      • Chcete-li povolit člen domény: digitálně zašifrovat nebo podepsat data zabezpečeného kanálu (vždy) nastavení v členském počítači, všechny řadiče domény v doméně, která patří tento člen musí být schopny podepisovat nebo šifrovat veškerá data zabezpečeného kanálu. To znamená, že všechny takové řadiče domény musí být systémem Windows NT 4.0 s Service Pack 6a (SP6a) nebo novější.
      • Povolení člen domény: digitálně zašifrovat nebo podepsat data zabezpečeného kanálu (vždy) nastavení automaticky povolí člen domény: digitálně zašifrovat nebo podepsat data zabezpečeného kanálu (Pokud je to možné) nastavení.
    2. Riziková konfigurace

      Povolení člen domény: digitálně zašifrovat nebo podepsat data zabezpečeného kanálu (vždy) nastavení v doménách, kde všechny řadiče domény lze podepsat nebo šifrovat data zabezpečeného kanálu, je nastavení konfigurace škodlivé.
    3. Důvody k povolení tohoto nastavení

      Nepodepsaný síťový provoz je náchylný k útoku man-in-the-middle, kde zachytává neoprávněná osoba pakety mezi serverem a klientem a tyto pakety mění před jejich odesláním klientovi. Pokud k tomuto chování dochází na serveru Lightweight Directory Access Protocol (LDAP), útočník by mohl způsobit klienta pro rozhodování, které jsou založeny na podvržených záznamech z adresáře LDAP. Riziko takového útoku v podnikové síti lze snížit implementací důrazných fyzických bezpečnostních opatření, které pomohou ochránit síťovou infrastrukturu. Navíc provádění protokol IPSec (IPSec) režim ověřování hlavičky může zabránit útoku man-in-the-middle. Tento režim provádí vzájemné ověření a kontroluje integritu paketů komunikace IP.
    4. Důvody k zakázání tohoto nastavení
      • Počítače v místních nebo externích doménách nepodporují šifrování zabezpečených kanálů.
      • Ne všechny řadiče domén v doméně mají odpovídající úrovně aktualizací service pack pro podporu šifrování zabezpečených kanálů.
    5. Symbolický název:

      StrongKey
    6. Cesta v registru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)
    7. Příklady potíží s kompatibilitou
      • Systému Windows NT 4.0: Počítače se systémem Windows 2000 členy nebudou moci připojit k doménám systému Windows NT 4.0 a zobrazí následující chybová zpráva:
        Účet nemá povoleno přihlásit se z této stanice.
        Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
        281648 Chybová zpráva: účet nemá povoleno přihlásit se z této stanice
      • Systému Windows NT 4.0:Domény Windows NT 4.0 nebudou moci vytvořit vztah důvěryhodnosti s doménou systému Windows 2000 a zobrazí následující chybová zpráva:
        Účet nemá povoleno přihlásit se z této stanice.
        Existující vztahy důvěryhodnosti nižší úrovně také nemusí ověřit uživatele z důvěryhodné domény. Někteří uživatelé mohou mít potíže s přihlášením k doméně a mohou obdržet chybovou zprávu, která uvádí, že klient nemůže nalézt doménu.
      • Systém Windows XP:Klienti systému Windows XP přidaní do domén systému Windows NT 4.0 nebudou moci ověřit pokusy o přihlášení a může se zobrazit následující chybová zpráva nebo může být zaznamenány následující události v protokolu událostí:
        Systém Windows se nemůže připojit k doméně, protože řadič domény je vypnutý nebo je jinak nedostupný nebo váš účet počítače nebyl nalezen.

        Událost 5723: Nastavení relace z počítače Název_počítače ověření se nezdařilo. Název databáze zabezpečení odkazuje na účet je Název_počítače. Došlo k následující chybě: přístup byl odepřen.

        Událost. 3227: Nastavení relace v systému Windows NT nebo řadič domény Windows 2000 Název serveru pro doménu Název domény se nezdařila, protože Název serveru nepodporuje podepisování nebo pečetění relace Netlogon. Inovace řadiče domény nebo nastavení registru RequireSignOrSeal na tomto počítači na hodnotu 0.

        Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
        318266 Klienta systému Windows XP se nemohou přihlásit k doméně systému Windows NT 4.0
      • Microsoft Network:Klienti Microsoft Network se zobrazí jedna z následujících chybových zpráv:
        Přihlašovací chyba: Neznámé uživatelské jméno nebo špatné heslo.
        Zadaný přihlašovací relaci neexistuje uživatelský klíč relace.
  5. Klient sítě Microsoft: digitálně podepsat komunikaci (vždy)
    1. Pozadí

      Blok zprávy serveru (SMB) je protokol sdílení prostředků, který je podporován mnoha operačními systémy společnosti Microsoft. Je základem základního vstupně výstupního systému (NetBIOS) a řady dalších protokolů. Podepisování paketů SMB ověřuje uživatele a server, který hostuje data. Proces ověřování selže obou stranách nedojde k přenosu dat

      Povolení podepisování paketů SMB začne během vyjednávání protokolu SMB. Zásady podepisování paketů SMB určují, zda počítač vždy digitálně podepisuje komunikaci klienta.

      Ověřovací protokol SMB systému Windows 2000 podporuje vzájemné ověřování. Vzájemné ověřování ukončí případný útok "man-in-the-middle". Ověřovací protokol SMB systému Windows 2000 podporuje také ověřování zpráv. Ověřování zpráv pomáhá zabránit útokům na aktivní zprávy. Vám toto ověřování, podepisování paketů SMB vloží digitální podpis do každého paketu SMB. Klient a server ověřit digitální podpis.

      Chcete-li používat podepisování paketů SMB, musí povolit podepisování paketů SMB nebo vyžadují klienta SMB i na serveru SMB podepisování paketů SMB. Pokud je podepisování bloků SMB je povolena na serveru, klienti, kteří jsou také povoleny pro použití podepisování paketů během všech následných relací podepisování protokolu SMB. Pokud je podepisování bloků SMB na serveru je vyžadován, nemůže klient vytvořit relaci, pokud klient není povoleno nebo požadováno podepisování paketů SMB.

      Povolení digitálního podepisování v sítích s vysokým zabezpečením pomáhá zabránit zosobnění klientů a serverů. Tento druh zosobnění je označován jakotiché přesměrování relace. Útočník, který má přístup ke stejné síti jako klient nebo server používá nástroje tichého přesměrování k přerušení, ukončení nebo převzetí probíhající relace. Útočník by mohl zachytit a změnit nepodepsané pakety SMB, změnit přenášený a pak je odeslat, aby server provedl nechtěné akce. Nebo, útočník by mohl představovat po legitimní ověření serveru nebo klienta a poté získat neoprávněný přístup k datům.

      Protokol SMB, který slouží pro sdílení souborů a tiskáren v počítačích se systémem Windows 2000 Server, Windows 2000 Professional, Windows XP Professional nebo Windows Server 2003 podporuje vzájemné ověřování. Vzájemné ověřování ukončí případné útoky tichého převzetí relace a podporuje ověřování zpráv. Proto znemožňuje útoku man-in-the-middle. Umístěním digitální podpis do každého paketu SMB podepisování paketů SMB poskytuje toto ověření. Klient a server potom ověřit podpis.

      Poznámky
      • Jako jiné možné opatření můžete povolit digitální podpisy chránit všechny síťové přenosy IPSec. Existují hardwarové akcelerátory pro protokol IPSec šifrování a podepisování, které lze použít k minimalizaci dopadu na výkon procesoru serveru. Existují takové akcelerátory jsou k dispozici pro podepisování paketů SMB.

        Další informace naleznete v tématu Digitálně podepsat serverovou komunikaci kapitola na webu Microsoft MSDN.

        Konfigurace, protože změna místního registru hodnota nemá žádný vliv, dojde přepsání zásad domény podepisování paketů SMB pomocí modulu snap-in Editor objektů Zásady skupiny.
      • V systému Windows 95, Windows 98 a Windows 98 Druhé vydání používá klient adresářových služeb, podepisování paketů SMB během ověřování se servery Windows Server 2003 pomocí ověřování NTLM. Tito klienti nepoužívají podepisování paketů SMB při ověřování s těmito servery pomocí ověřování NTLM verze 2. Servery Windows 2000 navíc nereagují na požadavky klientů podepisování paketů SMB. Další informace naleznete v tématu položky 10: "zabezpečení sítě: úroveň ověřování pro systém Lan Manager."
    2. Riziková konfigurace

      Následuje nastavení konfigurace škodlivé: opustit i Klient sítě Microsoft: digitálně podepsat komunikaci (vždy) nastavení a Klient sítě Microsoft: digitálně podepsat komunikaci (Pokud server souhlasí) nastavení nastavena na "Nedefinováno" nebo zakázán. Tato nastavení umožní přesměrovači zaslat hesla v prostém textu serverům Microsoft SMB, které nepodporují šifrování hesla během ověřování.
    3. Důvody k povolení tohoto nastavení

      Povolení Klient sítě Microsoft: digitálně podepsat komunikaci (vždy)jsou nuceni podepsat komunikaci SMB při kontaktování serverů, které nevyžadují podepisování paketů SMB. Díky klienti méně zranitelní vůči útokům na relace.
    4. Důvody k zakázání tohoto nastavení
      • Povolení Klient sítě Microsoft: digitálně podepsat komunikaci (vždy) brání klientům v komunikaci s cílovými servery, které nepodporují podepisování paketů SMB.
      • Konfigurace počítače ignorovat všechny nepodepsané komunikace SMB zabrání starší operační systémy a programy připojení.
    5. Symbolický název:

      RequireSMBSignRdr
    6. Cesta v registru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
    7. Příklady potíží s kompatibilitou
      • Systému Windows NT 4.0:Není možné obnovení zabezpečeného kanálu důvěryhodnosti mezi doménou systému Windows Server 2003 a doménou systému Windows NT 4.0 pomocí příkazů NLTEST či NETDOM a zobrazí se chybová zpráva "Přístup odepřen".
      • Systém Windows XP:Kopírování souborů ze systému Windows XP klientů k serverům se systémem Windows 2000 a servery se systémem Windows Server 2003 může trvat déle.
      • Nelze namapovat síťovou jednotku z klienta s tímto nastavením povoleným a zobrazí se následující chybová zpráva:
        Účet nemá povoleno přihlásit se z této stanice.
    8. Požadavky na restartování

      Restartujte počítač nebo restartujte službu pracovní stanice. Chcete-li to provést, zadejte následující příkazy na příkazovém řádku. Po zadání každého příkazu stiskněte klávesu Enter.
      net stop pracovní stanice
      net start workstation
  6. Server sítě Microsoft: digitálně podepsat komunikaci (vždy)
    1. Pozadí
      • Server Messenger Block (SMB) je protokol sdílení prostředků, který je podporován mnoha operačními systémy společnosti Microsoft. Je základem základního vstupně výstupního systému (NetBIOS) a řady dalších protokolů. Podepisování paketů SMB ověřuje uživatele a server, který hostuje data. Proces ověřování selže obou stranách nedojde k přenosu dat

        Povolení podepisování paketů SMB začne během vyjednávání protokolu SMB. Zásady podepisování paketů SMB určují, zda počítač vždy digitálně podepisuje komunikaci klienta.

        Ověřovací protokol SMB systému Windows 2000 podporuje vzájemné ověřování. Vzájemné ověřování ukončí případný útok "man-in-the-middle". Ověřovací protokol SMB systému Windows 2000 podporuje také ověřování zpráv. Ověřování zpráv pomáhá zabránit útokům na aktivní zprávy. Vám toto ověřování, podepisování paketů SMB vloží digitální podpis do každého paketu SMB. Klient a server ověřit digitální podpis.

        Chcete-li používat podepisování paketů SMB, musí povolit podepisování paketů SMB nebo vyžadují klienta SMB i na serveru SMB podepisování paketů SMB. Pokud je podepisování bloků SMB je povolena na serveru, klienti, kteří jsou také povoleny pro použití podepisování paketů během všech následných relací podepisování protokolu SMB. Pokud je podepisování bloků SMB na serveru je vyžadován, nemůže klient vytvořit relaci, pokud klient není povoleno nebo požadováno podepisování paketů SMB.

        Povolení digitálního podepisování v sítích s vysokým zabezpečením pomáhá zabránit zosobnění klientů a serverů. Tento druh zosobnění je označován jakotiché přesměrování relace. Útočník, který má přístup ke stejné síti jako klient nebo server používá nástroje tichého přesměrování k přerušení, ukončení nebo převzetí probíhající relace. Útočník by mohl zachytit a změnit nepodepsané pakety správce šířky pásma podsítě (SBM), změnit přenášený a pak je odeslat, aby server provedl nechtěné akce. Nebo, útočník by mohl představovat po legitimní ověření serveru nebo klienta a poté získat neoprávněný přístup k datům.

        Protokol SMB, který slouží pro sdílení souborů a tiskáren v počítačích se systémem Windows 2000 Server, Windows 2000 Professional, Windows XP Professional nebo Windows Server 2003 podporuje vzájemné ověřování. Vzájemné ověřování ukončí případné útoky tichého převzetí relace a podporuje ověřování zpráv. Proto znemožňuje útoku man-in-the-middle. Umístěním digitální podpis do každého paketu SMB podepisování paketů SMB poskytuje toto ověření. Klient a server potom ověřit podpis.
      • Jako jiné možné opatření můžete povolit digitální podpisy chránit všechny síťové přenosy IPSec. Existují hardwarové akcelerátory pro protokol IPSec šifrování a podepisování, které lze použít k minimalizaci dopadu na výkon procesoru serveru. Existují takové akcelerátory jsou k dispozici pro podepisování paketů SMB.
      • V systému Windows 95, Windows 98 a Windows 98 Druhé vydání používá klient adresářových služeb, podepisování paketů SMB během ověřování se servery Windows Server 2003 pomocí ověřování NTLM. Tito klienti nepoužívají podepisování paketů SMB při ověřování s těmito servery pomocí ověřování NTLM verze 2. Servery Windows 2000 navíc nereagují na požadavky klientů podepisování paketů SMB. Další informace naleznete v tématu položky 10: "zabezpečení sítě: úroveň ověřování pro systém Lan Manager."
    2. Riziková konfigurace

      Následuje nastavení konfigurace škodlivé: povolení server sítě Microsoft: digitálně podepsat komunikaci (vždy)na serverech a řadičích domén, ke kterým přistupují nekompatibilní počítače se systémem Windows a počítačů klienta se systémem operačního systému jiného výrobce v místních nebo externích doménách.
    3. Důvody k povolení tohoto nastavení
      • Všechny klientské počítače, které toto nastavení přímo pomocí registru nebo pomocí nastavení Zásady skupiny povolit podporu podepisování SMB. Jinými slovy všechny klientské počítače, které mají toto nastavení povoleno, systém Windows 95 s nainstalovaným klientem adresářové služby systému Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional nebo Windows Server 2003.
      • Pokud server sítě Microsoft: digitálně podepsat komunikaci (vždy) je zakázáno, podepisování paketů SMB je zcela zakázáno. Úplné zakázání všech SMB podepisování činí, počítače více zranitelné podepisovali.
    4. Důvody k zakázání tohoto nastavení
      • Povolení tohoto nastavení může způsobit pomalejší soubor kopírovat a výkonu v síti na klientské počítače.
      • Povolení tohoto nastavení zabrání klientům, které nemohou vyjednat v komunikaci se servery a řadiče domény podepisování paketů SMB. To způsobí, že operací, jako je přidání do domény, ověřování uživatelů a počítačů nebo síťový přístup programů k selhání.
    5. Symbolický název:

      RequireSMBSignServer
    6. Cesta v registru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)
    7. Příklady potíží s kompatibilitou
      • Windows 95:Klienti systému Windows 95, které nemají nainstalován klient adresářové služby (DS) se nezdaří ověření při přihlášení a zobrazí následující chybová zpráva:
        Vámi zadané heslo domény je nesprávný nebo byl odepřen přístup k přihlašovacímu serveru.
        Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
        811497 Při klienta Windows 95 nebo Windows NT 4.0 přihlásí k doméně systému Windows Server 2003 zobrazí chybová zpráva
      • Systému Windows NT 4.0: Klientské počítače se systémem verze systému Windows NT 4.0, které jsou starší než Service Pack 3 (SP3) se nezdaří ověření při přihlášení a zobrazí se následující chybová zpráva:
        Systém vás nemohl přihlásit. Ujistěte se, že vaše uživatelské jméno a doména jsou správné a potom znovu zadejte heslo.
        Některé servery Microsoft SMB, podporují během ověřování výměny pouze nezašifrovaných hesel. (Tyto výměny označované také jako "prostý text" výměnu.)Pro systém Windows NT 4.0 SP3 a novější verze přesměrovač SMB neodešle nezašifrované heslo při ověřování serveru SMB Pokud přidat položku registru.
        Chcete-li povolit nezašifrovaná hesla klienta SMB v systému Windows NT 4.0 SP3 a novější systémy, upravit registr následujícím způsobem: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        Název hodnoty: EnablePlainTextPassword
        Datový typ: REG_DWORD
        Data: 1

        Další informace o příbuzných tématech získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
        224287 Chybová zpráva: došlo k systémové chybě 1240. Účet nemá povoleno přihlásit se z této stanice.
        166730 Nezašifrovaná hesla může způsobit selhání připojení k serverům SMB Service Pack 3
      • Windows Server 2003: Ve výchozím nastavení zabezpečení na řadičích domény se systémem Windows Server 2003 nakonfigurována tak, aby komunikací řadiče domény zachycení nebo zfalšována uživatelem se zlými úmysly. Uživatelé komunikovat s řadičem domény se systémem Windows Server 2003 musí klientské počítače používat oba SMB podepisování a šifrování nebo podepisování provozu zabezpečeného kanálu. Ve výchozím klienti, kteří se systémem Windows NT 4.0 s aktualizací Service Pack 2 (SP2) nebo dřívější verzí a klienti se systémem Windows 95 nemají povoleno podepisování paketů SMB. Proto tito klienti pravděpodobně moci přihlásit k řadiči domény se systémem Windows Server 2003.
      • Nastavení zásad systému Windows 2000 a Windows Server 2003: V závislosti na konkrétních instalačních potřebách a konfiguraci doporučujeme nastavení následujících zásad na nejnižší entitu nezbytného rámce v hierarchii modulu snap-in konzola Microsoft Management Console Zásady skupiny Editor:
        • Počítač Konfigurace počítače\Nastavení zabezpečení systému Windows\možnosti
        • Odesílaní nezašifrovaného hesla pro připojení k serverům SMB třetích stran (Toto nastavení je v systému Windows 2000)
        • Klient sítě Microsoft: Odesílat nešifrovaná hesla serverům SMB třetích stran (Toto nastavení je pro systém Windows Server 2003)

        Poznámka: Na některých serverech CIFS jiných výrobců, například na starších verzích serveru Samba nelze používat zašifrovaná hesla.
      • Následující klienti nejsou kompatibilní s server sítě Microsoft: digitálně podepsat komunikaci (vždy) nastavení:
        • Apple Computer, Inc., Mac OS Xclients
        • Klienti sítě Microsoft MS-DOS (například Microsoft LAN Manager)
        • Microsoft Windows pro Workgroupsclients
        • Klienti systému Microsoft Windows 95 bez DSClient nainstalována
        • Microsoft computerswithout se systémem Windows NT 4.0 SP3 nebo novější
        • CIFS systému Novell Netware, klienti
        • Klienti SMB systému SAMBA, které nemají podporu podepisování SMB
    8. Požadavky na restartování

      Restartujte počítač nebo restartujte službu serveru. Chcete-li to provést, zadejte následující příkazy na příkazovém řádku. Po zadání každého příkazu stiskněte klávesu Enter.
      net stop server
      net start server
  7. Přístup k síti: Povolit anonymní překlad SID/názvu
    1. Pozadí

      Přístup k síti: Povolit anonymní překlad SID/názvu nastavení zabezpečení určuje, zda může anonymní uživatel vyžádat atributy číslo identifikace zabezpečení (SID) jiného uživatele.
    2. Riziková konfigurace

      Povolení přístup k síti: Povolit anonymní překlad SID/názvu nastavení je nastavení konfigurace škodlivé.
    3. Důvody k povolení tohoto nastavení

      Pokud přístup k síti: Povolit anonymní překlad SID/názvu nastavena na hodnotu zakázáno, starší operační systémy nebo aplikace nebudou moci komunikovat s doménami systému Windows Server 2003. Nemusejí například fungovat následující operační systémy, služby nebo aplikace:
      • Servery založené na NT 4.0 služby vzdáleného přístupu systému Windows
      • Microsoft SQL Server, které jsou spuštěné v systému Windows NT 3.x počítačů nebo počítačů se systémem Windows NT 4.0
      • Služby vzdáleného přístupu, která je spuštěna v počítačích se systémem Windows 2000, které jsou umístěny v doméně systému Windows NT 3.x nebo Windows NT 4.0 domén
      • SQL Server, který běží v počítačích se systémem Windows 2000, které jsou umístěny v doméně systému Windows NT 3.x nebo v doménách systému Windows NT 4.0
      • Uživatelé v doméně prostředků systému Windows NT 4.0, kteří chtějí udělit oprávnění k přístupu k souborů, sdílené složky a objektů registru uživatelské účty z domény účtů obsahujících řadiče domén systému Windows Server 2003
    4. Důvody k zakázání tohoto nastavení

      Pokud je toto nastavení povoleno, uživateli se zlými úmysly použít dobře známý SID správců získat skutečné jméno předdefinovaného účtu správce, i v případě, že účet byl přejmenován. Tato osoba pak použít název účtu k zahájení útoku hádáním hesla.
    5. Symbolický název: NENÍ K DISPOZICI
    6. Cesta v registru: Žádný. Cesta je určena v kódu uživatelského rozhraní.
    7. Příklady potíží s kompatibilitou

      Systému Windows NT 4.0:Počítače v doménách prostředků systému Windows NT 4.0 zobrazí v editoru ACL chybovou zprávu "Neznámý účet" zdrojů, včetně sdílených složek, sdílených souborů a objektů registru, jsou zabezpečena pomocí objektů zabezpečení, které se nacházejí v doménách účtů obsahujících řadiče domén systému Windows Server 2003.
  8. Přístup k síti: Nepovolit anonymní tvorbu výčtu SAM účtů
    1. Pozadí
      • Přístup k síti: Nepovolit anonymní tvorbu výčtu SAM účtů nastavení určuje, jaká další oprávnění budou udělena anonymním připojením k počítači. Systém Windows umožňuje anonymním uživatelům provádět určité aktivity, jako je například výčet názvů účtů workstation a server správce zabezpečení účtů (SAM) a sdílených položek v síti. Například správce slouží to k udělit přístup uživatelům v důvěryhodné doméně, která nezachovává vzájemnou důvěryhodnost. Po navázání relace se anonymní uživatel může mít stejný přístup, která je udělena Everyone skupiny na základě nastavení v přístup k síti: Let Everyone permissions apply to anonymous users nastavení nebo seznam řízení přístupu (DACL) objektu.

        Obvykle se požaduje anonymní připojení starších verzí systému nižší úrovně (klienti) během nastavení relace SMB. V těchto případech ukazuje trasování v síti, že SMB ID procesu (PID) je že přesměrovač klienta například 0xFEFF v systému Windows 2000 nebo 0xCAFE v systému Windows NT. RPC může pokusit také o anonymní připojení.
      • Důležité:Toto nastavení nemá žádný vliv na řadiče domény. V řadičích domény toto chování je řízena přítomnost "NT AUTHORITY\ANONYMOUS LOGON" v "Pre-Windows 2000 compatible Access".
      • V systému Windows 2000 spravuje podobné nastavení, nazvané Další omezení anonymních připojení
        RestrictAnonymous
        Hodnota registru. Umístění této hodnoty je následující
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
        Další informace o hodnotě registru RestrictAnonymous získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
        246261 Postup při použití hodnoty registru RestrictAnonymous v systému Windows 2000
        143474 Omezení informací dostupných pro přihlášené anonymní uživatele
    2. Riziková konfigurace

      Povolení přístup k síti: Nepovolit anonymní tvorbu výčtu SAM účtůnastavení je nastavení konfigurace škodlivé z hlediska kompatibility. Jeho zakázání je nastavení konfigurace škodlivé z hlediska zabezpečení.
    3. Důvody k povolení tohoto nastavení

      Neoprávněný uživatel by mohl anonymně vypsat názvy účtů a potom použít tuto informaci k pokusu o uhádnutí hesel či k provedení útoku sociálního inženýrství . Sociální inženýrství je žargonu zabezpečení přičemž lidí k prozrazení hesel nebo jiných informací o zabezpečení.
    4. Důvody k zakázání tohoto nastavení

      Pokud je toto nastavení povoleno, je možné vytvořit vztahy důvěryhodnosti s doménami systému Windows NT 4.0. Toto nastavení také způsobí potíže s klienty nižší úrovně (například klienti systému Windows NT 3.51 a Windows 95, klienti), které se pokoušejí použít prostředky na serveru.
    5. Symbolický název:


      RestrictAnonymousSAM
    6. Cesta v registru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)
    7. Příklady potíží s kompatibilitou
    • Služba SMS Network Discovery nebude moci získat informace o operačním systému a zapíše do vlastnosti OperatingSystemNameandVersion hodnotu "Neznámé".
    • Windows 95, Windows 98:Klienti systému Windows 95 a Windows 98 nebudou moci změnit svá hesla.
    • Systému Windows NT 4.0:Systém Windows NT 4.0, na členské počítače nebudou moci být ověřeny.
    • Windows 95, Windows 98:Počítačů založených na systému Windows 95 a Windows 98 nebudou moci být ověřeny řadiči domén společnosti Microsoft.
    • Windows 95, Windows 98:Uživatelé počítačů založených na systému Windows 95 a Windows 98 nebudou moci změnit hesla pro uživatelské účty.
  9. Přístup k síti: Nepovolit anonymní tvorbu výčtu SAM účtů a sdílených položek
    1. Pozadí
      • Přístup k síti: Nepovolit anonymní tvorbu výčtu SAM účtů a sdílených položek (známé také jako RestrictAnonymous) určuje, zda je povolen anonymní výčet účtů správce zabezpečení účtů (SAM) a sdílených položek. Systém Windows umožňuje anonymním uživatelům provádět určité aktivity, jako je například výčet názvů doménových účtů (uživatelů, počítačů a skupin) a sdílených položek v síti. To je vhodné například pokud chce správce udělit přístup uživatelům v důvěryhodné doméně, která nezachovává vzájemnou důvěryhodnost. Pokud nechcete povolit anonymní výčet účtů SAM a sdílených položek, povolte toto nastavení.
      • V systému Windows 2000 spravuje podobné nastavení, nazvanéDalší omezení anonymních připojení
        RestrictAnonymous
        Hodnota registru. Umístění této hodnoty je asfollows:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    2. Riziková konfigurace

      Povolenípřístup k síti: Nepovolit anonymní tvorbu výčtu SAM účtů a sdílených položek nastavení je nastavení konfigurace škodlivé.
    3. Důvody k povolení tohoto nastavení
      • Povolení přístup k síti: Nepovolit anonymní tvorbu výčtu SAM účtů a sdílených položek zabrání výčet účtů SAM a sdílených položek uživatelům a počítačům, které používají anonymní účty.
    4. Důvody k zakázání tohoto nastavení
      • Pokud je toto nastavení povoleno, mohl neoprávněný uživatel anonymně vypsat názvy účtů a potom použít tuto informaci k pokusu o uhádnutí hesel či k provedení útoku sociálního inženýrství . Sociální inženýrství je žargonu zabezpečení přičemž lidí k prozrazení hesel nebo jiných informací o zabezpečení.
      • Pokud je toto nastavení povoleno, bude možné vytvořit vztahy důvěryhodnosti s doménami systému Windows NT 4.0. Toto nastavení také způsobí potíže s klienty nižší úrovně, jako jsou například klienti systému Windows NT 3.51 a Windows 95, kteří se pokoušejí použít prostředky na serveru.
      • Je možné udělit přístup uživatelům z domény prostředků, protože správce v důvěřující doméně nebude moci vypsat seznam účtů v druhé doméně. Uživatele, kteří přistupují anonymně souborové a tiskové servery nebudou moci zobrazit sdílené síťové prostředky na těchto serverech. Uživatelé musí ověřit před zobrazením seznamu sdílených složek a tiskáren.
    5. Symbolický název:

      RestrictAnonymous
    6. Cesta v registru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
    7. Příklady potíží s kompatibilitou
      • Systému Windows NT 4.0: Uživatelé nebudou moci změnit svá hesla z pracovních stanic se systémem Windows NT 4.0, pokud je Nastavení RestrictAnonymous povoleno v řadičích domén v doméně uživatelů. Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
        198941 Uživatelé nemohou měnit heslo při přihlášení
      • Systému Windows NT 4.0:Přidání uživatele nebo globální skupiny z důvěryhodných domén systému Windows 2000 do místních skupin systému Windows NT 4.0 ve Správci uživatelů se nezdaří a zobrazí se následující chybová zpráva:
        Neexistují žádné přihlašovací servery, které jsou k dispozici pro vyřízení žádosti o přihlášení.
        Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
        296405 Hodnotu registru "RestrictAnonymous" může porušit vztah důvěryhodnosti k doméně systému Windows 2000
      • Systému Windows NT 4.0:Windows počítače se systémem NT 4.0 nebudou moci připojit k doménám během instalace nebo pomocí uživatelského rozhraní spojení domény.

        Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
        184538 Chybová zpráva: nebyl nalezen řadič pro tuto doménu
      • Systému Windows NT 4.0:Vytvoření vztahu důvěryhodnosti s doménami prostředků systému Windows NT 4.0 se nezdaří. Pokud jeNastavení RestrictAnonymous povoleno v důvěryhodné doméně, zobrazí se následující chybová zpráva:
        Nelze najít řadič domény pro tuto doménu.
        Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
        178640 Nelze najít řadič domény při vytváření vztahu důvěryhodnosti
      • Systému Windows NT 4.0:Uživatelé, kteří se přihlásí do počítače se systémem Windows NT 4.0 Terminal Server bude mapován na výchozí domovský adresář namísto domovského adresáře, který je definován ve Správci uživatelů pro domény.

        Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
        236185 Terminálovém serveru uživatelské profily a cesty domovských složek jsou ignorované po použití aktualizace SP4 nebo novější
      • Systému Windows NT 4.0:Systém Windows NT 4.0 záložní řadiče domény (BDC), nebude možné spustit službu přihlašování k síti, získat seznam záložních prohlížečů nebo synchronizovat databázi SAM ze systému Windows 2000 nebo z řadiče domény Windows Server 2003 ve stejné doméně.

        Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
        293127 Služba Přihlašování k síti systému Windows NT 4.0 záložní řadič domény v doméně systému Windows 2000 nefunguje.
      • Systému Windows 2000:Systémem Windows 2000 členských počítačů v doménách systému Windows NT 4.0 nebudou moci zobrazit tiskárny v externích doménách, pokud je povoleno nastaveníbez přístupu výslovně anonymních uživatelů bez oprávnění v místních zásadách zabezpečení v klientském počítači.

        Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
        280329 Uživatel nemůže spravovat nebo zobrazit vlastnosti tiskárny
      • Systému Windows 2000:Uživatelé domény systému Windows 2000 nebudou moci přidat síťové tiskárny pomocí služby Active Directory; budou však moci přidat tiskárny je vyberou ze stromového zobrazení.

        Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
        318866 Klienti aplikace Outlook nemohou zobrazit globální seznam adres, po instalaci aktualizace Security Rollup Package 1 (SRP1) na serveru globálního katalogu
      • Systému Windows 2000:ACL Editor nebude moci přidat uživatele nebo globální skupiny z důvěryhodných domén systému Windows NT 4.0 v počítačích se systémem Windows 2000.

        Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
        296403 Hodnota RestrictAnonymous přerušuje vztah důvěryhodnosti v prostředí smíšených domén
      • Nástroj ADMT verze 2:Migrace hesla pro uživatelské účty, které jsou migrovány mezi doménovými strukturami se přenesení nástroj ADMT (Active Directory) verze 2, se nezdaří.

        Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
        322981 Řešení potíží s migrací hesla mezi doménovými strukturami se ADMTv2
      • Klienti aplikace outlook:Globální seznam adres se zobrazí prázdný klientům Microsoft Exchange Outlook.

        Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
        318866 Klienti aplikace Outlook nemohou zobrazit globální seznam adres, po instalaci na server globálního katalogu Security Rollup Package 1 (SR)
        321169 Pomalý výkon protokolu SMB při kopírování souborů ze systému Windows XP do jiného řadiče domény systému Windows 2000
      • SMS:Zjištění sítě Microsoft Systems Management Server (SMS) nelze získat informace o operačním systému. Proto bude psát "Neznámý" do vlastnosti OperatingSystemNameandVersion hodnotu vlastnosti SMS DDR záznamu dat discovery (DDR).

        Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
        229769 Jak Discovery Data Manager určuje, kdy má generovat požadavek na konfiguraci klienta
      • SMS:Použijete-li Průvodce SMS Správce uživatelů můžete vyhledat uživatele a skupiny, budou uvedeny žádní uživatelé ani skupiny. Rozšíření klienti navíc nemůže komunikovat s bodem správy. Anonymní přístup je vyžadována pro bod správy.

        Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
        302413 Žádní uživatelé ani skupiny jsou uvedeny v Průvodci Správce uživatelů
      • SMS: Pokud používáte funkci Network Discovery serveru SMS 2.0 a v instalaci vzdáleného klienta se zapnutou možností topologie, klient a klientské operační systémy , počítače mohou být zjištěny, ale nemusejí být nainstalovány.

        Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
        311257 Prostředky nejsou zjištěny, pokud je vypnuto anonymní připojení
  10. Zabezpečení sítě: úroveň ověřování pro systém Lan Manager
    1. Pozadí

      Ověřování systému LAN Manager (LM) je protokol, který slouží k ověřování klientů systému Windows pro síťové operace, včetně spojení domény přístup k prostředkům v síti a ověření uživatele nebo počítače. Úroveň ověřování LM určuje, který ověřovací protokol typu výzva a odpověď je vyjednáno mezi klientem a server počítače. Úroveň ověřování LM konkrétně určuje protokoly pro ověřování klienta se pokusí vyjednat nebo server přijme. Hodnota, která je nastavena v položce LmCompatibilityLevel určuje, který ověřovací protokol typu výzva a odpověď se používá pro přihlášení k síti. Tato hodnota ovlivňuje úroveň ověřovací protokol, který používají klienti, úroveň vyjednaného zabezpečení relace a úroveň ověřování přijímanou servery.

      Možná nastavení jsou následující.
      HodnotaNastaveníPopis
      0 Odeslat odpovědi LM a NTLM &Klienti používají ověřování LM a NTLM a nikdy nepoužívají zabezpečení relace NTLM verze 2. Řadiče domény přijímají ověřování LM, NTLM a NTLM verze 2.
      1Odeslat LM & NTLM – v případě vyjednání použít zabezpečení relace NTLM verze 2Klienti používají ověřování LM a NTLM a zabezpečení relace NTLM verze 2 používají, pokud je server podporuje. Řadiče domény přijímají ověřování LM, NTLM a NTLM verze 2.
      2Odesílat pouze odpovědi NTLMKlienti používají pouze ověřování NTLM a zabezpečení relace NTLM verze 2 Pokud je server podporuje. Řadiče domény přijímají ověřování LM, NTLM a NTLM verze 2.
      3Odesílat pouze odpovědi NTLM verze 2Klienti používají pouze ověřování NTLM verze 2 a zabezpečení relace NTLM verze 2 Pokud je server podporuje. Řadiče domény přijímají ověřování LM, NTLM a NTLM verze 2.
      4Odesílat pouze odpovědi NTLM verze 2 a odmítat odpovědi LMKlienti používají pouze ověřování NTLM verze 2 a zabezpečení relace NTLM verze 2 Pokud je server podporuje. Řadiče domény odmítat odpovědi LM a přijímají pouze ověřování NTLM a NTLM verze 2.
      5Odesílat pouze odpovědi NTLM verze 2 a odmítat LM a NTLM &Klienti používají pouze ověřování NTLM verze 2 a zabezpečení relace NTLM verze 2 Pokud je server podporuje. Řadiče domény odmítají ověřování LM a NTLM a přijímají pouze ověřování NTLM verze 2.
      Poznámka: V systému Windows 95, Windows 98 a Windows 98 Druhé vydání používá klient adresářových služeb, podepisování paketů SMB během ověřování se servery Windows Server 2003 pomocí ověřování NTLM. Tito klienti nepoužívají podepisování paketů SMB při ověřování s těmito servery pomocí ověřování NTLM verze 2. Servery Windows 2000 navíc nereagují na požadavky klientů podepisování paketů SMB.

      Zkontrolovat úroveň ověřování LM: Je nutné změnit zásady na tomto serveru povolit NTLM nebo je nutné nakonfigurovat klientský počítač pro podporu protokolu NTLM verze 2.

      Pokud zásady je nastavena pouze (5) odesílat NTLMv2 odpovědi odmítat odpovědi LM & NTLM cílového počítače, který chcete připojit, musí buď snížit nastavení v tomto počítači nebo nastavit zabezpečení na stejnou hodnotu nastavení, která je ve zdrojovém počítači, ze kterého se připojujete.

      Nalezněte správné umístění, kde můžete změnit LAN manager úroveň ověřování klienta a serveru na stejnou úroveň. Po nalezení zásady, které je nastavení úrovně ověřování systému LAN manager pro připojení z počítačů, které používají dřívější verze systému Windows a chcete-li, snižte hodnotu na alespoň (1) Odeslat LM & NTLM - použití NTLM verze 2 zabezpečení relace, pokud je vyjednáno. Nekompatibilní nastavení jedním z efektů je, že pokud server vyžaduje ověřování NTLMv2 (hodnota 5), ale klient je nakonfigurován pro použití LM a NTLMv1 pouze (hodnota 0), uživatel při pokusu o ověření dojde k chybě přihlášení obsahující chybné heslo, které zvýší počet chybné heslo. Pokud je nakonfigurováno uzamčení účtu, uživatel může být uzamčení.

      Například bude pravděpodobně třeba hledat v řadiči domény nebo bude pravděpodobně nutné zkontrolovat zásady řadiče domény.

      Podívejte se na řadiči domény

      Poznámka: Je třeba zopakovat následující postup na všech řadičích domény.
      1. Klepněte na tlačítko Start, přejděte na příkaz programya potom klepněte na položku Nástroje pro správu.
      2. V okně Místní nastavení zabezpečenírozbalte položku Místní zásady.
      3. Klepněte na položku Možnosti zabezpečení.
      4. Poklepejte na zabezpečení sítě: úroveň ověřování systému LAN managera potom klepněte na hodnotu v seznamu.

      Pokud místní nastavení a nastavení jsou stejné, v zásadě se změnila na této úrovni. Pokud jsou tato nastavení různá, je nutné zkontrolovat zásadu řadiče domény k určení, zdazabezpečení sítě: úroveň ověřování systému LAN managernastavení je definováno tam. Pokud není definováno není, zkontrolujte zásady řadiče domény.

      Prozkoumejtezásady řadiče domény
      1. Klepněte na tlačítko Start, přejděte na příkaz programya potom klepněte na položku Nástroje pro správu.
      2. Zásady Zabezpečení řadiče domény rozbalte položku Nastavení zabezpečenía potom rozbalte položku Místní zásady.
      3. Klepněte na položku Možnosti zabezpečení.
      4. Poklepejte na zabezpečení sítě: úroveň ověřování systému LAN managera potom klepněte na hodnotu v seznamu.

      Poznámka:
      • Také bude pravděpodobně nutné zkontrolovat zásady, které jsou propojeny na úrovni serveru, úrovni domény nebo organizační jednotky (OU) úrovni, chcete-li zjistit, kde je nutné nakonfigurovat úroveň ověřování systému LAN manager.
      • Pokud implementujete nastavení Zásady skupiny jako výchozí zásadu domény zásady platí pro všechny počítače v doméně.
      • Pokud implementujete nastavení Zásady skupiny jako řadiče domény výchozí zásady, zásada se vztahuje pouze na serverech v organizační jednotce řadiče domény.
      • Je vhodné nastavit úroveň ověřování systému LAN manager na nejnižší entitu nezbytného rámce v hierarchii použití zásad.

      Po provedení všech změn aktualizujte tuto zásadu. (Pokud je změna provedena na úrovni nastavení místního zabezpečení, tato změna je okamžitá. Však musíte restartovat klienty před testem je.)

      Ve výchozím nastavení Zásady skupiny aktualizovány v řadičích domény každých pět minut. Chcete-li vynutit okamžitou aktualizaci nastavení zásad v systému Windows 2000 nebo novější, pomocí příkazu gpupdate .

      Příkaz gpupdate/force aktualizuje nastavení místní Zásady skupiny a nastavení Zásady skupiny, které vycházejí z adresářové služby Active Directory včetně nastavení zabezpečení. Tento příkaz nahrazuje dnes již zastaralý parametr/refreshpolicy příkazu secedit možnost.

      Příkaz gpupdate používá následující syntaxi:
      gpupdate [/ target: {počítač|uživatel}] [/ Force] [/ wait:Hodnota] [Logoff] [Boot]

      Použijte nový objekt Zásady skupiny (GPO) pomocí příkazugpupdate ručně znovu použít všechna nastavení zásad. Chcete-li to provést, zadejte na příkazovém řádku následující příkaz a stiskněte klávesu Enter:
      GPUpdate/Force
      Prohlédněte a ujistěte se, že byla úspěšně použita nastavení zásad protokolu událostí aplikace.

      V systému Windows XP a Windows Server 2003 můžete použít modul snap-in Výsledná sada zásad naleznete v tématu nastavení. Chcete-li to provést, klepněte na tlačítkoStart, klepněte na tlačítko Spustit, typ RSoP.msca potom klepněte na tlačítko OK.

      Pokud problém přetrvává po provedení změny zásad, restartujte server založené na systému Windows a ověřte, zda je problém vyřešen.

      Poznámka: Pokud používáte více řadičů domény se systémem Windows 2000 a řadiče domény se systémem Windows Server 2003, bude pravděpodobně pro replikaci služby Active Directory k ověření, zda tyto řadiče domény aktualizované změny okamžitě.

      Případně nastavení se zdá být nastavena na nejnižší nastavení v místních zásadách zabezpečení. Pokud toto nastavení lze vynutit pomocí databáze zabezpečení, můžete případně nastavit úroveň ověřování systému LAN manager v registru úpravou položkyLmCompatibilityLevel v tomto podklíči registru:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
      Windows Server 2003 má nové výchozí nastavení pro použití výhradně protokolu NTLM verze 2. Windows Server 2003 a řadiče domény se systémem Windows 2000 Server SP3 mají standardně "server sítě Microsoft: digitálně podepsat komunikaci (vždy)" zásad. Toto nastavení vyžaduje, aby server SMB podepisování paketů SMB.Byly provedeny změny systému Windows Server 2003, protože řadiče domény, souborové servery, servery síťové infrastruktury a webové servery v kterékoli organizaci vyžadují jiné nastavení jejich zabezpečení.

      Pokud chcete implementovat ověřování NTLM verze 2 v síti, musí zkontrolujte, zda všechny počítače v doméně jsou nastaveny na používání této úrovně ověřování. Pokud použijete Active Directory klienta rozšíření pro Windows 95 nebo Windows 98 a Windows NT 4.0, rozšíření klienta pomocí vylepšené funkce, které jsou k dispozici v protokolu NTLM verze 2. Vzhledem k tomu, že nemá vliv na klientské počítače, které používají některý z následujících operačních systémů Windows 2000 Zásady skupiny objekty, bude pravděpodobně nutné tyto klienty nakonfigurovat ručně:
      • Microsoft Windows NT 4.0
      • Microsoft Windows Millennium Edition
      • Microsoft Windows 98
      • Microsoft Windows 95
      Poznámka: Je-li zabezpečení sítě: Neukládat hodnotu hash systému LAN manager při příští změně hesla zásad nebo nastavení registru klíč NoLMHash , založených na systému Windows 95 a Windows 98 klienti, kteří nemají nainstalovaného klienta adresářových služeb nemůže připojit k doméně po provedení změny hesla.

      Mnoho serverů CIFS jiných výrobců, jako například Novell Netware 6, nezná protokol NTLM verze 2 a používá pouze protokol NTLM. Úrovně vyšší než 2 tedy nedovolují připojení.

      Další informace o postupu ruční konfigurace úrovně ověřování systému LAN manager získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
      147706 Zakázání ověřování LM v systému Windows NT
      175641 LMCompatibilityLevel a jeho důsledky
      299656 Jak zabránit systému Windows v uložení hodnoty hash LAN manager hesla v adresáři služby Active Directory a místních databázích SAM
      312630 Aplikace Outlook bude nadále výzvu k zadání pověření pro přihlášení
      Další informace o úrovních ověřování LM získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
      239869 Povolení ověřování protokolem NTLM 2
    2. Riziková konfigurace

      Škodlivé konfigurační nastavení jsou následující:
      • Neomezující nastavení, který odesílání hesel ve formě prostého textu a odmítají vyjednávání protokolu NTLM verze 2
      • Omezující nastavení, která brání nekompatibilním klientům a řadiče domény ve vyjednávání běžný ověřovací protokol
      • Požadování ověřování NTLM verze 2 v členských počítačích a řadičích domény se systémem verze systému Windows NT 4.0, které jsou starší než Service Pack 4 (SP4)
      • Klienti systému Windows 95 nebo Windows 98 klienti, kteří nemají nainstalovaného klienta adresářových služeb systému Windows vyžadující ověřování NTLM verze 2.
      • Pokud zaškrtnete políčko Požadovat zabezpečení relací NTLMv2 v modulu snap-in konzola Microsoft Management Console Zásady skupiny Editor v systému Windows Server 2003 nebo počítače se systémem Windows 2000 Service Pack 3 a nižší úroveň ověřování systému LAN manager na hodnotu 0, konfliktu dvou nastavení a může se zobrazit následující chybová zpráva v souboru Secpol.msc nebo GPEdit.msc:
        Systém Windows nemůže otevřít databázi místních zásad. Došlo k neznámé chybě při pokusu o otevření databáze.
        Další informace o konfiguraci zabezpečení a analytický nástroj naleznete v systému Windows 2000 nebo soubory nápovědy systému Windows Server 2003.

        Další informace o postupu při analýze úrovně zabezpečení v systému Windows 2000 a Windows Server 2003 získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
        313203 Jak analyzovat zabezpečení v systému Windows 2000
        816580 Jak analyzovat zabezpečení v systému Windows Server 2003
    3. Důvody ke změně tohoto nastavení
      • Chcete zvýšit nejnižší společný ověřovací protokol podporovaný klienty a řadiči domény ve vaší organizaci.
      • Pokud je zabezpečené ověřování obchodní nutností, je potřeba zakázat vyjednávání LM a NTLM protokoly.
    4. Důvody k zakázání tohoto nastavení

      Klientské požadavky na ověření serveru nebo obojí, byly zvýšeny až k bodu, kde nemůže dojít k ověření přes společný protokol.
    5. Symbolický název:

      LmCompatibilityLevel
    6. Cesta v registru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
    7. Příklady potíží s kompatibilitou
      • Windows Server 2003:Ve výchozím nastavení je povolena systému Windows Server 2003 odesílat odpovědi NTLMV2 nastavení. Proto systém Windows Server 2003 obdrží chybovou zprávu "Přístup odepřen" po počáteční instalaci při pokusu o připojení ke clusteru se systémem Windows NT 4.0 a servery se systémem LanManager V2.1, například OS/2 Lanserver. K tomuto problému také dochází při pokusu o připojení k serveru se systémem Windows Server 2003 z klienta starší verze.
      • Nainstalujete aktualizaci Windows 2000 Security Rollup Package 1 (SRP1).SRP1 Vynutí ověřování NTLM verze 2 (NTLMv2). Tento kumulativní balíček byla vydána po vydání aktualizace Windows 2000 Service Pack 2 (SP2). Další informace o balíčku SRP1 získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:

        311401 Opravný balíček Systém Windows 2000 Security Rollup Package 1. ledna 2002
      • Windows 7 a Windows Server 2008 R2: mnoho serverů CIFS jiných výrobců, například Novell Netware 6 nebo Samba Linux-based servery nepodporují protokol NTLM verze 2 a používá pouze protokol NTLM. Úrovně vyšší než "2", tedy nedovolují připojení. V této verzi operačního systému je nyní výchozí LmCompatibilityLevel byl změněn na "3". Proto při upgradu systému Windows tyto třetí strany filtrech mohou přestat fungovat.
      • Klienti aplikace Microsoft Outlook může zobrazit výzva pro pověření i když je již přihlášen do domény. Když uživatelé zadat svá pověření, se zobrazí následující chybová zpráva: systém Windows 7 a Windows Server 2008 R2
        Uvedená přihlašovací pověření byla chybná. Zkontrolujte uživatelské jméno a doména jsou správné a potom znovu zadejte heslo.
        Když spustíte aplikaci Outlook, můžete být vyzváni k zadání pověření i v případě, že vaše zabezpečení při přihlašování do sítě je nastavení průchodu nebo ověření hesla. Po zadání správných pověření se může zobrazit následující chybová zpráva:
        Uvedená přihlašovací pověření byla chybná.
        Sledování sítě může zobrazit, že globální katalog vydal chybu vzdáleného volání (procedur RPC) se stavem 0x5. Stav 0x5 znamená "Přístup byl odepřen".
      • Systému Windows 2000:Program Sledování sítě může zobrazit následující chyby v rozhraní NetBIOS nad protokolem TCP/IP (NetBT) server message block (SMB) relace:
        SMB R hledání adresáře Dos error, (5) (91) uživatel neplatný identifikátor STATUS_LOGON_FAILURE ACCESS_DENIED (109)
      • Systému Windows 2000: Pokud domény Windows NT 4.0 je důvěryhodné domény systému Windows 2000 s ověřováním NTLMv2 úrovně 2 nebo vyšší, systémem Windows 2000 členské počítače v doméně prostředků může docházet k chybám ověření.

        Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
        305379 Potíže s ověřováním v systému Windows 2000 s protokolem NTLM 2 úrovně vyšší než 2 v doméně systému Windows NT 4.0
      • Windows 2000 a Windows XP:Výchozím nastavením systému Windows 2000 a Windows XP 0 možnost LAN Manager ověřování úroveň místní zásady zabezpečení. Hodnota 0 znamená "Odeslat odpovědi LM a NTLM odpovědi."

        Poznámka: Systém Windows NT 4.0, na clustery používaly LM pro správu.
      • Systému Windows 2000: Služba clusterů systému Windows 2000 neověří připojující se uzel, pokud jsou oba uzly součástí systému Windows NT 4.0 Service Pack 6a (SP6a) domény.

        Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
        305379 Potíže s ověřováním v systému Windows 2000 s protokolem NTLM 2 úrovně vyšší než 2 v doméně systému Windows NT 4.0
      • Nástroj IIS Lockdown (HiSecWeb) nastaví hodnotu LMCompatibilityLevel na 5 a klíč RestrictAnonymous na hodnotu 2.
      • Služby pro systém Macintosh

        Modul ověřování uživatele (UAM): Modul Microsoft UAM (User Authentication Module) poskytuje metodu šifrování hesel používaných k přihlášení k serverům Windows AFP (AppleTalk Filing Protocol). Apple uživatelský ověřovací modul UAM poskytuje pouze minimální nebo žádné šifrování. Proto heslo může snadno zachytit v síti LAN nebo v Internetu. Ačkoli modul UAM není vyžadován, poskytuje šifrované ověřování pro servery systému Windows 2000, spuštění služby pro systém Macintosh. Tato verze obsahuje podporu pro šifrované ověřování NTLM verze 2 128 bitů a o MacOS X 10.1 kompatibilní verzi.

        Ve výchozím služby systému Windows Server 2003 pro server pro systém Macintosh umožňuje pouze Microsoft Authentication.

        Další informace získáte klepnutím na následující čísla článků znalostní báze Microsoft Knowledge Base:
        834498 Klient Macintosh nemůže připojit k službě Services for Mac v systému Windows Server 2003
        838331 Uživatelé systému Mac OS X nemohou otevřít sdílené složky Macintosh na serveru se systémem Windows Server 2003
      • Windows Server 2008, Windows Server 2003, Windows XP a Windows 2000: Pokud nakonfigurujete hodnotu LMCompatibilityLevel na hodnotu 0 nebo 1 a potom nakonfigurujte hodnotu NoLMHash na 1, aplikací a komponent může být odepřen přístup prostřednictvím protokolu NTLM. K tomuto problému dochází, protože počítač je nakonfigurován Povolit LM, ale nikoli pomocí LM uložená hesla.

        Pokud nakonfigurujete hodnotu NoLMHash na 1, je nutné nakonfigurovat hodnotu LMCompatibilityLevel na 2 nebo vyšší.
  11. Zabezpečení sítě: Požadavky podepisování klienta LDAP
    1. Pozadí

      Zabezpečení sítě: Požadavky podepisování klienta LDAP nastavení určuje úroveň podepisování dat požadovanou vydávat VAZBU Lightweight Directory Access Protocol (LDAP), které klientům požadavků následujícím způsobem:
      • None: požadavek LDAP BIND je vydán s možností určených volajícím.
      • Vyjednat podepisování: Pokud protokol SSL (Secure Sockets Layer) / Transport Layer Security (SSL/TLS) nebyla spuštěna, bude požadavek LDAP BIND vyvolán s možnosti kromě možností určených volajícím podepisování dat LDAP. Pokud byl spuštěn protokol SSL/TLS, bude požadavek LDAP BIND vyvolán s možností určených volajícím.
      • Požaduje podepsání: to je stejné jako Vyjednat podepisování. Pokud však odezva saslBindInProgress serveru LDAP neindikuje, že je požadováno podepisování přenosu LDAP, volající je oznámeno, že požadavek příkazu BIND protokolu LDAP se nezdařilo.
    2. Riziková konfigurace

      Povolení zabezpečení sítě: Požadavky podepisování klienta LDAPnastavení je nastavení konfigurace škodlivé. Pokud nastavíte server vyžadovat podpisy LDAP, je nutné nakonfigurovat podepisování protokolu LDAP na straně klienta. Není konfigurace klienta k použití protokolu LDAP podpisy zabrání komunikaci se serverem. To způsobí, že ověření uživatele, Zásady skupiny nastavení, přihlašovací skripty a další funkce selhání.
    3. Důvody ke změně tohoto nastavení

      Nepodepsaný síťový provoz je náchylný k útoku man-in-the-middle kde narušitele pakety mezi klientem a servery, upravit je a pak je posílá na server. V tomto případě na serveru LDAP, útočník by mohl způsobit, že server odpovídat na základě podvržených dotazů klienta LDAP. Toto riziko lze v podnikové síti lze snížit implementací důrazných fyzických bezpečnostních opatření, které pomohou ochránit síťovou infrastrukturu. Kromě toho můžete předejít útoku man-in-the-middle všeho druhu vyžadovány digitální podpisy na všechny síťové pakety prostřednictvím ověřování hlavičky protokolu IPSec.
    4. Symbolický název:

      LDAPClientIntegrity
    5. Cesta v registru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
  12. Protokol událostí: Maximální velikost protokolu zabezpečení
    1. Pozadí

      Protokol událostí: maximální velikost protokolu zabezpečení nastavení zabezpečení určuje maximální velikost protokolu událostí zabezpečení. Tento protokol obsahuje maximální velikost 4 GB. Chcete-li toto nastavení, rozbalte položku Nastavení systému Windowsa potom rozbalte položku Nastavení zabezpečení.
    2. Riziková konfigurace

      Škodlivé konfigurační nastavení jsou následující:
      • Omezení velikosti a metody uchování protokolu zabezpečení při Audit: vypnutí systému okamžitě, je-li možno protokolovat auditování zabezpečení je nastavení povoleno. Viz "Audit: vypnutí systému okamžitě, je-li možno protokolovat auditování zabezpečení" části tohoto článku pro další informace.
      • Omezení velikosti protokolu zabezpečení tak, že budou přepsány události zabezpečení.
    3. Důvody ke zvýšení tohoto nastavení

      Požadavky mohou diktovat, že zvýšení velikosti protokolu zabezpečení zpracování detailů zvyšuje zabezpečení protokolu nebo chcete-li zachovat zabezpečení protokolů pro delší časové období.
    4. Důvody ke snížení tohoto nastavení

      Protokoly Prohlížeče událostí jsou soubory namapované v paměti. Maximální velikost protokolu událostí je omezena velikost fyzické paměti v počítači a virtuální paměti, která je k dispozici ke zpracování protokolu událostí. Zvýšení velikosti protokolu přesahuje velikost virtuální paměti, která je k dispozici prohlížeč událostí nezvýší počet položek protokolu, které jsou zachovány.
    5. Příklady potíží s kompatibilitou

      Systému Windows 2000:Počítače se systémem verze systému Windows 2000, které jsou starší než Service Pack 4 (SP4) mohou přestat protokolování událostí do protokolu událostí před dosažením velikosti zadané v maximální velikost protokolu v prohlížeči událostí nastavení, pokud je zapnutá možnost Nepřepisovat události (protokol vymazávat ručně) .

      Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
      312571 V protokolu událostí se zastaví protokolování před dosažením maximální velikosti protokolu událostí
  13. Protokol událostí: Doba uchování protokolu zabezpečení
    1. Pozadí

      Protokol událostí: Doba uchování protokolu zabezpečení nastavení zabezpečení určuje metodu "zabalení" protokolu zabezpečení. Chcete-li toto nastavení, rozbalte položku Nastavení systému Windowsa potom rozbalte položku Nastavení zabezpečení.
    2. Riziková konfigurace

      Škodlivé konfigurační nastavení jsou následující:
      • Neuchování všech zaznamenaných událostí zabezpečení před nebudou přepsány
      • Konfigurace nastavení příliš malá, aby přepsány události zabezpečení maximální velikost protokolu zabezpečení
      • Zabezpečení velikosti a metody uchování protokolu při omezení Audit: vypnout systém okamžitě, je-li možno protokolovat auditování zabezpečení nastavení zabezpečení povoleno
    3. Důvody k povolení tohoto nastavení

      Toto nastavení povolte pouze v případě, že vyberete metodu uchování Přepisovat události podle data . Pokud používáte systém korelace událostí, který získává informace o události, ujistěte se, že počet dnů je nejméně třikrát frekvence dotazování. Tím umožníte cykly chybných dotazů proveďte.
  14. Přístup k síti: udělení oprávnění skupiny Everyone pro anonymní uživatele
    1. Pozadí

      Standardně přístup k síti: použít oprávnění skupiny Everyone anonymním uživatelům je nastavena na Není definována v systému Windows Server 2003. Podle výchozího nastavení systém Windows Server 2003 nezahrnuje token anonymního přístupu do Everyone skupiny.
    2. Příklad potíží s kompatibilitou

      Hodnota
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
      [REG_DWORD] = 0x0 poruší vztah důvěryhodnosti vytvořený mezi Windows Server 2003 a Windows NT 4.0, pokud domény Windows Server 2003 je účet domény a domény systému Windows NT 4.0 domény prostředků. To znamená, že doména účtů důvěryhodná pro systém Windows NT 4.0 a doména prostředků je důvěřující na straně Windows Server 2003. K tomuto chování dochází, protože proces řízení přístupu po počátečním anonymním připojení vztahu důvěryhodnosti by se všemi token anonymního identifikátoru SID v systému Windows NT 4.0, který obsahuje.
    3. Důvody ke změně tohoto nastavení

      Hodnota musí být nastavena na hodnotu 0x1 nebo nastavit pomocí objektu zásad skupiny v řadiči domény organizační jednotky se: Network access: Let Everyone permissions apply to anonymous users - povoleno aby bylo možné vytvořit vztah důvěryhodnosti.

      Poznámka: Většina ostatních nastavení zabezpečení se zvedla v hodnotě namísto na 0x0 jako nejvíce zabezpečeného stavu. Bezpečnější způsob by představovala změna registru emulátoru primárního řadiče domény místo na všech řadičích domény. Pokud z nějakého důvodu je přesunuta roli primárního řadiče domény emulátoru, třeba na novém serveru aktualizován registr.

      Po nastavení této hodnoty je vyžadováno restartování.
    4. Cesta registru
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
  15. Ověřování NTLM verze 2

    Relace zabezpečení

    Zabezpečení relace určuje minimální standardy zabezpečení relací klientů a serverů. Je vhodné ověřit následující nastavení zásady zabezpečení v modulu snap-in konzola Microsoft Management Console Zásady skupiny Editor:
    • Konfigurace systému Windows\Nastavení zabezpečení\Místní Zásady\možnosti
    • Zabezpečení sítě: Minimální zabezpečení relací serverů na základě NTLM SSP (včetně zabezpečení RPC)
    • Zabezpečení sítě: Minimální zabezpečení relací klientů na základě NTLM SSP (včetně zabezpečení RPC)
    Možnosti nastavení jsou následující:
    • Požadovat integritu zprávy
    • Požadovat důvěrnost zprávy
    • NTLM verze 2 požadovat zabezpečení relací
    • Vyžadovat 128bitové šifrování
    Výchozí nastavení je žádné požadavky.

    Tyto zásady určují minimální standardy zabezpečení pro aplikace aplikace komunikační relaci na serveru pro klienta.

    Systém Windows NT historicky podporoval následující dvě varianty ověřování Výzva a odpověď pro přihlášení k síti:
    • LM – výzva a odezva
    • Verze 1 protokolem NTLM typu výzva a odpověď
    LM umožňuje součinnost s instalovanou základnou klientů a serverů. Protokol NTLM poskytuje lepší zabezpečení připojení mezi klienty a servery.

    Odpovídající klíče registru jsou následující:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

Synchronizace času

Synchronizace času se nezdařila. Čas je mimo morethan 30 minut v daném počítači. Ujistěte se, že klientský počítač hodiny synchronizovány s hodinami řadiče domény.

Řešení pro podepisování paketů SMB

Klepnutím sem získáte informace o tom, jak vyřešit problémy podepisování paketů SMB
Doporučujeme nainstalovat Service Pack 6a (SP6a) na klienty systému Windows NT 4.0, kteří spolupracují v doméně se systémem Windows Server 2003. Klienty se systémem Windows 98 Druhé vydání, klienti se systémem Windows 98 a klientů se systémem Windows 95 musí spustit klienta adresářových služeb, provádět ověřování NTLMv2. Pokud klienti se systémem Windows NT 4.0 není nainstalována aktualizace Windows NT 4.0 SP6 nebo -li klienti se systémem Windows 95, klienti se systémem Windows 98 a Windows 98SE klientů se klienta adresářových služeb nenainstalovali, zakažte podepisování paketů SMB ve zásadu výchozího řadiče domény v řadiči domény organizační jednotky a potom připojit tuto zásadu ke všem organizačním jednotkám, které hostují řadiče domény.

Klient adresářových služeb pro Windows 98 Druhé vydání, Windows 98 a Windows 95 provede podepisování paketů SMB se servery Windows 2003 v rámci ověřování NTLM, ale nikoli v rámci ověřování NTLMv2. Kromě toho servery systému Windows 2000 nebude odpovídat na požadavky na podepisování SMB z těchto klientů.

Ačkoli to nedoporučujeme, můžete zabránit podepisování paketů SMB na všech řadičích domény v doméně se systémem Windows Server 2003. Chcete-li nakonfigurovat toto nastavení zabezpečení, postupujte takto:
  1. Otevřete zásady výchozího řadiče domény.
  2. Otevřete složku Počítač Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní Zásady\možnosti zabezpečení .
  3. Vyhledejte a klepněte server sítě Microsoft: digitálně podepsat komunikaci (vždy) nastavení zásad a poté klepněte na přepínač zakázáno.
Důležité Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru však mohou nastat závažné problémy. Proto postupujte přesně podle následujících kroků. Pro zvýšení ochrany proveďte před úpravami zálohu registru. Pokud pak dojde k potížím, budete moci registr obnovit. Další informace o zálohování a obnovení registru získáte v článku znalostní báze Microsoft Knowledge Base:
322756 Postup zálohování a obnovení registru v systému Windows
Je také možné vypnete podepisování SMB na serveru pomocí úpravy registru. Postupujte následujícím způsobem
  1. Klepněte na tlačítko Start, klepněte na tlačítko Spustit, typ regedita potom klepněte na tlačítko OK.
  2. Vyhledejte a klepněte na následující podklíč:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters
  3. Klepněte na položku enablesecuritysignature .
  4. V nabídce Úpravy klepněte na příkaz změnit.
  5. V údaj hodnoty zadejte 0a potom klepněte na tlačítko OK.
  6. Ukončete Editor registru.
  7. Restartujte počítač nebo zastavte a znovu spusťte službu Server. To lze provést v příkazovém řádku zadejte následující příkazy a po zadání každého příkazu stiskněte klávesu Enter:
    net stop server
    net start server
Poznámka: Odpovídající klíč v klientském počítači se nachází v následujícím podklíči registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters
Stavové kódy a doslovné znění chybové zprávy, které byly dříve uvedeny číselné kódy translatederror jsou následující:
Chyba 5
ERROR_ACCESS_DENIED
Přístup byl odepřen.
Chyba 1326
ERROR_LOGON_FAILURE
Přihlašovací chyba: Neznámé uživatelské jméno nebo špatné heslo.
Chyba 1788
ERROR_TRUSTED_DOMAIN_FAILURE
Vztah důvěryhodnosti mezi primární doménou a důvěryhodnou doménou se nezdařilo.
Chyba. 1789
ERROR_TRUSTED_RELATIONSHIP_FAILURE
Vztah důvěryhodnosti mezi touto pracovní stanicí a primární doménou selhal.
Další informace získáte klepnutím na následující čísla článků znalostní báze Microsoft Knowledge Base:
324802 Jak nakonfigurovat zásady skupiny k nastavení zabezpečení systémových služeb v systému Windows Server 2003
306771 Po konfiguraci clusteru Windows Server 2003 se zobrazí chybová zpráva "Přístup odepřen"
101747 Postup instalace ověřování Microsoft v počítačích Macintosh
161372 Postup povolení podepisování paketů SMB ve Windows NT
236414 Nelze použít sdílené položky LMCompatibilityLevel nastavena pouze ověřování protokolem NTLM 2
241338 Klient systému Windows NT LAN Manager verze 3 s prvním přihlášení brání následné přihlášení aktivity
262890 Nelze získat připojení jednotky domovského adresáře ve smíšeném prostředí
308580 Mapování domovských adresářů k serverům systému nemusí fungovat během přihlášení
285901 RIS, vzdálený přístup a VPN klienti nemohou vytvořit relace se serverem, který je nakonfigurován na příjem pouze ověřování NTLM verze 2
816585 Způsob použití předdefinovaných šablon zabezpečení v systému Windows Server 2003
820281 Při připojení k serveru Exchange Server 2003 pomocí aplikace Outlook 2003 vzdáleného volání Procedur přes protokol HTTP, je nutné zadat pověření účtu systému Windows
uživatel práva zabezpečení nastavení compat kompatibilita registru zabezpečené skupiny zásad acl práva gpedit pdce

Upozornění: Tento článek je přeložený automaticky

Vlastnosti

ID článku: 823659 - Poslední kontrola: 08/03/2013 07:54:00 - Revize: 27.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Workstation 4.0 Developer Edition, Microsoft Windows 98 Standard Edition, Microsoft Windows 95

  • kbinfo kbmt KB823659 KbMtcs
Váš názor
sync=""> var varAutoFirePV = 1; var varClickTracking = 1; var varCustomerTracking = 1; var Route = "76500"; var Ctrl = ""; document.write(" /html>