Klienta, služby a program problémy může dojít, pokud změníte nastavení zabezpečení a přiřazení uživatelských práv

Souhrn

V místní zásady a zásady skupiny k pomoci zvýšit zabezpečení řadiče domény a členské počítače můžete změnit nastavení zabezpečení a přiřazení uživatelských práv. Nevýhodou zvýšeného zabezpečení je však zavedení nekompatibilit s klienty, službami a programy.

Tento článek popisuje nekompatibility, které mohou nastat v klientských počítačích se systémem Windows XP nebo starší verzi systému Windows, při změně určitých nastavení zabezpečení a přiřazení uživatelských práv v doméně systému Windows Server 2003 nebo starší verze systému Windows Server domény.

Informace o Zásady skupiny pro systém Windows 7, Windows Server 2008 R2 a Windows Server 2008 naleznete v následujících článcích:

  • V systému Windows 7 naleznete v tématu

  • Windows 7 a Windows Server 2008 R2 získáte v tématu

  • Windows Server 2008 naleznete

Poznámka: Zbývající obsah v tomto článku je specifické pro systém Windows XP, Windows Server 2003 a dřívějších verzích systému Windows.

Systém Windows XP

Zvýšit povědomí o nesprávně nakonfigurovaných nastavení zabezpečení, použijte nástroj Editor objektů Zásady skupiny můžete změnit nastavení zabezpečení. Při použití modulu snap-in Editor objektů Zásady skupiny jsou přizpůsobeny přiřazení uživatelských práv v následujících operačních systémech:

  • Systém Windows XP Professional Service Pack 2 (SP2)

  • Windows Server 2003 Service Pack 1 (SP1)

Rozšířené funkce, je dialogové okno obsahující odkaz na tento článek. Při změně nastavení zabezpečení nebo přiřazení uživatelských práv nastavení, která by přinášela menší kompatibilitu a více omezení, zobrazí se dialogové okno. Pokud změníte přímo stejné přiřazení zabezpečení uživatele nebo nastavení práv pomocí registru nebo pomocí šablony zabezpečení, efekt je stejný jako změna nastavení v modulu snap-in Editor objektů Zásady skupiny. Dialogové okno obsahující odkaz na tento článek se však nezobrazí.

Tento článek obsahuje příklady klientů, programy a činnosti, které jsou ovlivněny určitými nastaveními zabezpečení nebo přiřazení uživatelských práv. Příklady jsou však není autoritativní pro všechny operační systémy společnosti Microsoft, pro všechny operační systémy jiných výrobců nebo pro všechny verze programů, které jsou ovlivněny. V tomto článku jsou zahrnuty všechny nastavení zabezpečení a přiřazení uživatelských práv.

Doporučujeme ověřit kompatibilitu všechny změny týkající se zabezpečení konfigurace v testovací doménové struktuře, před zavést v prostředí výroby. Testovací doménová struktura musí odrážet výrobní doménovou strukturu následujícími způsoby:

  • Verzích operačních systémů klienta a serveru, klientské a serverové aplikace, verze aktualizací service pack, opravy hotfix, změny schématu, skupiny zabezpečení, členství ve skupinách, oprávnění u objektů v systému souborů, sdílené složky, registr, adresář služby Active Directory služby, místní a nastavení Zásady skupiny a objektu počet, typ a umístění

  • Úkoly správy, které jsou prováděny, nástroje pro správu, které jsou používány a operační systémy používané pro úlohy správy

  • Operace, které provádějí následující:

    • Ověřování uživatele a počítače při přihlášení

    • Obnovení hesla uživatelů, počítačů a správci

    • Procházení

    • Nastavení oprávnění pro systém souborů, sdílené složky v registru a k prostředkům služby Active Directory pomocí editoru ACL ve všech klientských operačních systémů ve všech doménách účtu nebo prostředků ze všech klientských operačních systémů ze všech účtů nebo prostředku domény

    • Tisk z administrativních a běžné účty

Windows Server 2003 SP1

Upozornění v Gpedit.msc

K lepšímu vědom, že úpravy uživatelských práv nebo možnost zabezpečení, která by mohla mít nepříznivý vliv na jejich síť zákazníků, byly přidány dva varovné mechanismy k gpedit.msc. Když správce upraví uživatelská práva, která může nepříznivě ovlivnit celý podnik, uvidí novou ikonu, která se podobá výstražné značky. Správci se rovněž zobrazí upozornění obsahující odkaz na článek znalostní báze Microsoft Knowledge Base 823659. Text této zprávy je následující:

Změna tohoto nastavení může ovlivnit kompatibilitu s klienty, službami a aplikacemi. Další informace naleznete v tématu < uživatelských práv nebo možnosti zabezpečení upravuje > (Q823659) Pokud byli jste přesměrováni na tento článek znalostní báze pomocí odkazu v Gpedit.msc, ujistěte se, číst a porozumět poskytnuté vysvětlení a možného účinku při změně tohoto nastavení. Následující uživatelská práva, která obsahují text upozornění:

  • Přístup k tomuto počítači ze sítě

  • Místní přihlášení

  • Obejít křížovou kontrolu

  • Umožňují počítačům a uživatelům důvěryhodné delegování pro

Možnosti zabezpečení, které obsahují upozornění a zprávy jsou následující:

  • Člen domény: Digitálně zašifrovat nebo podepsat data zabezpečeného kanálu (vždy)

  • Člen domény: Vyžadovat silné (Windows 2000 nebo vyšší verze) klíče relace

  • Řadič domény: Požadavky podepisování serveru LDAP

  • Server sítě Microsoft: digitálně podepsat komunikaci (vždy)

  • Přístup k síti: Umožňuje anonymní Sid / překlad názvu

  • Přístup k síti: Nepovolit anonymní tvorbu výčtu SAM účtů a sdílených položek

  • Zabezpečení sítě: úroveň ověřování LAN Manager

  • Audit: Vypnutí systému okamžitě, je-li možno protokolovat auditování zabezpečení

  • Zabezpečení sítě: Požadavky podepisování klienta LDAP

Další informace

Následující část popisuje nekompatibility, které mohou nastat při změně určitých nastavení v doménách systému Windows NT 4.0 domén systému Windows 2000 a doménami systému Windows Server 2003.

Uživatelská práva

Následující seznam popisuje uživatelská práva, určuje nastavení konfigurace, které mohou způsobit problémy, popisuje, proč byste měli použít uživatelské právo a proč může být vhodné odebrat uživatelské právo a poskytuje příklady problémů s kompatibilitou může dojít, pokud uživatel doprava je nakonfigurován.

  1. Přístup k tomuto počítači ze sítě

    1. Pozadí

      Schopnost komunikovat se vzdálenými počítači se systémem Windows vyžaduje uživatelské právo přistupovat k tomuto počítači ze sítě . Příklady takových operací patří:

      • Replikace mezi řadiči domény ve společné doméně nebo doménové struktuře služby Active Directory

      • Požadavky na ověření řadiči domény od uživatelů a počítačů

      • Přístup do sdílené složky, tiskárny a dalších systémových služeb, které jsou umístěny ve vzdálených počítačích v síti



      Uživatelů, počítačů a účtů služeb získat nebo ztratit přístup k počítači ze sítě uživatelské právo tím, že je explicitně nebo implicitně přidáni nebo odebráni ze skupiny zabezpečení, které bylo uděleno toto uživatelské právo. Například uživatelský účet nebo účet počítače může být explicitně přidat skupinu zabezpečení vlastní nebo předdefinované skupiny zabezpečení správce nebo může být implicitně přidán operačním systémem do vypočítané skupiny zabezpečení například Domain Users, chcete-li ověřit Users nebo Enterprise Domain Controllers.

      Ve výchozím nastavení uživatelské účty a účty počítačů jsou udělil přístup k tomuto počítači ze sítě uživatelské právo, pokud vypočítané skupiny takový jako Everyone nebo, pokud možno, Authenticated Users a pro řadiče domény, skupiny Enterprise Domain Controllers , jsou definovány v řadičích domény výchozí Zásady skupiny objektu (GPO).

    2. Riziková konfigurace

      Následuje nastavení konfigurace škodlivé:

      • Odebrání tohoto uživatelského práva skupině Enterprise Domain Controllers zabezpečení

      • Odebrání skupiny Authenticated Users nebo explicitní skupině, která umožňuje uživatelů, počítačů a účtů služeb uživatelské právo k připojení k počítačům v síti

      • Odebrání tohoto uživatelského práva všem uživatelům a počítačům

    3. Důvody k udělení tohoto uživatelského práva

      • Udělit přístup k počítači ze sítě uživatelské právo skupině Enterprise Domain Controllers splňuje požadavky na ověření, které musí být replikace služby Active Directory replikace mezi řadiči domény ve stejném doménová struktura.

      • Toto uživatelské právo umožňuje uživatelům a počítačům umožňuje získat přístup k sdílené soubory, tiskárny a systémové služby, včetně služby Active Directory.

      • Toto uživatelské právo je vyžadováno pro uživatelům přístup k poště pomocí dřívější verze aplikace Microsoft Outlook Web Access (OWA).

    4. Důvody k odebrání tohoto uživatelského práva

      • Uživatelé, kteří mohou připojit své počítače k síti můžete přistupovat k prostředkům ve vzdálených počítačích, které mají oprávnění pro. Například toto uživatelské právo je vyžadováno pro uživatele k připojení sdílené tiskárny a složky. Pokud toto uživatelské právo uděleno Everyone skupiny, a pokud mají některé sdílené složky sdílené položce a oprávnění systému souborů NTFS je nakonfigurován tak, aby stejné skupiny má přístup pro čtení, může kdokoli zobrazit soubory v těchto složkách. Nicméně to je nepravděpodobná situace v případě nových instalací systému Windows Server 2003, protože výchozí nastavení sdílení a oprávnění systému souborů NTFS v systému Windows Server 2003 neobsahují skupinu Everyone. Pro systémy, které jsou inovovány ze systému Microsoft Windows NT 4.0 nebo Windows 2000 tuto chybu zabezpečení mohou mít vyšší úroveň rizika, protože výchozí nastavení sdílení a oprávnění systému souborů pro tyto operační systémy nejsou tak omezující jako výchozí oprávnění v Windows Server 2003.

      • Neexistuje žádný rozumný důvod k odebrání tohoto uživatelského práva skupině Enterprise Domain Controllers.

      • Skupina Everyone je zpravidla odebrána ve prospěch skupiny Authenticated Users. Pokud je skupina Everyone odebrána, musí být skupině Authenticated Users uděleno toto uživatelské právo.

      • Domény systému Windows NT 4.0, které jsou inovovány na systém Windows 2000 není explicitně uděleno přistupovat k tomuto počítači ze sítě uživatelské právo na skupinu Everyone, skupina Authenticated Users nebo Enterprise Domain Controllers skupiny. Proto pokud odeberete skupinu Everyone ze zásad domény systému Windows NT 4.0, replikace služby Active Directory se nezdaří s chybovou zprávou "Přístup byl odepřen" po upgradu na systém Windows 2000. Winnt32.exe v systému Windows Server 2003 se vyhýbá této chybě nastavení tak, že uděluje že skupině Enterprise Domain Controllers skupiny toto uživatelské právo při inovaci systému Windows NT 4.0 primární řadiče domény (PDC). Skupina Enterprise Domain Controllers udělte toto uživatelské právo, pokud není přítomen v editoru objektů Zásady skupiny.

    5. Příklady potíží s kompatibilitou

      • Systému Windows 2000 a Windows Server 2003: Následující oddíly replikace se nezdaří s chyby "Přístup odepřen" vykázání jako REPLMON a REPADMIN nebo replikaci události v protokolu událostí nástroje pro sledování.

        • Aktivní oddíl adresáře schématu

        • Oddíl konfigurace

        • Oddíl domény

        • Oddílu globálního katalogu

        • Oddíl aplikace

      • Microsoft všechny síťové operační systémy: Ověření uživatelského účtu ze vzdálených klientských počítačů v síti se nezdaří, pokud nebylo uživateli nebo skupině zabezpečení, jejímž je uživatel členem, uděleno toto uživatelské právo.

      • Microsoft všechny síťové operační systémy: Ověření účtu ze vzdálených klientů v síti se nezdaří, pokud nebylo účtu nebo skupině zabezpečení, jejímž je účet členem, uděleno toto uživatelské právo. Tento scénář se týká uživatelské účty, účty počítače a účty služeb.

      • Microsoft všechny síťové operační systémy: Odebrání tohoto uživatelského práva všech účtů zabrání kterémukoli účtu v přihlášení k doméně nebo přístup k síťovým prostředkům. Pokud vypočítané skupiny Enterprise Domain Controllers, Everyone nebo Authenticated Users je odebrán, je nutné explicitně udělit toto uživatelské právo na účty nebo skupiny zabezpečení, které tento účet je členem skupiny přístup ke vzdáleným počítačům v síti. Tento scénář se týká všech uživatelských účtů, všechny účty počítačů a všechny účty služeb.

      • Microsoft všechny síťové operační systémy: Místní účet správce používá heslo "prázdné". Pro účty správce v prostředí domény není povoleno připojení k síti s prázdnými hesly. Při této konfiguraci můžete očekávat, že se zobrazí chybová zpráva "Přístup odepřen".

  2. Povolit místní přihlášení

    1. Pozadí

      Uživatelé, kteří se snaží přihlásit ke konzole počítače se systémem Windows (pomocí klávesové zkratky CTRL + ALT + DELETE) a účty, které se pokouší spustit službu, musí mít oprávnění k místnímu přihlášení v hostitelském počítači. Příklady operací místního přihlášení správce, kteří se přihlašují ke konzolám členských počítačů a řadičů domény v rámci rozlehlé sítě a domény uživatele, kteří se přihlašují ke členským počítačům přístup k jejich plochám pomocí účty bez oprávnění. Uživatelé, kteří používají program připojení ke vzdálené ploše nebo Terminálové služby musí mít Povolení místního přihlášení uživatele přímo v cílových počítačích se systémem Windows 2000 nebo Windows XP, protože tyto režimy přihlášení jsou považovány za místní hostitelský počítač. Uživatelé, kteří se přihlašují k serveru s povolenou terminálového serveru a nedisponují tímto uživatelským právem, mohou přesto spustit vzdálenou interaktivní relaci v doménách systému Windows Server 2003, pokud mají právo Povolit přihlášení prostřednictvím Terminálové služby uživatele.

    2. Riziková konfigurace

      Následuje nastavení konfigurace škodlivé:

      • Odebrání skupin správy zabezpečení, včetně Account Operators, Backup Operators, Print Operators či Server Operators a předdefinované skupiny Administrators z výchozího řadiče domény zásady.

      • Odebrání účtů služeb používaných součástmi a programy v členských počítačích a řadičích domény z řadiče domény výchozí zásady.

      • Odebrání uživatelů nebo skupin zabezpečení, které přihlášení ke konzole členských počítačů v doméně.

      • Odebrání účtů služeb, které jsou definovány v místní databázi správce zabezpečení účtů (SAM) členských počítačů nebo počítačů pracovní skupiny.

      • Odstranění není vytvořena-účtů správce, kteří se ověřují prostřednictvím Terminálové služby, který je spuštěn v řadiči domény.

      • Přidání všech uživatelských účtů v doméně explicitně nebo implicitně prostřednictvím Everyone skupiny, Odepřít místní přihlášení přihlašovacího práva. Tato konfigurace zabrání uživatelům v přihlášení k jakémukoli členskému počítači nebo libovolného řadiče domény v doméně.

    3. Důvody k udělení tohoto uživatelského práva

      • Uživatelé musí mít přístup ke konzole nebo na plochu počítače pracovní skupiny, členské počítače nebo řadiče domény uživatelské právo Povolit místní přihlášení .

      • Uživatelé musí mít toto uživatelské právo přihlásit se prostřednictvím relace Terminálové služby spuštěné v počítači se systémem Windows 2000 člena nebo řadiči domény.

    4. Důvody k odebrání tohoto uživatelského práva

      • Selhání na oprávněné uživatele omezit přístup ke konzole může vést k neoprávněným uživatelům stahování a spouštění škodlivého kódu, chcete-li změnit svá uživatelská práva.

      • Odebrání uživatelského práva Povolit místní přihlášení zabrání neoprávněným přihlášením ke konzolám počítačů, například řadičů domény nebo aplikačních serverů.

      • Odebrání tohoto přihlašovacího práva zabrání účtům mimo doménu přihlášení ke konzole členských počítačů v doméně.

    5. Příklady potíží s kompatibilitou

      • Terminálové servery Windows 2000: Uživatelské právo Povolit místní přihlášení je vyžadováno pro uživatele pro přihlášení k terminálovým serverům Windows 2000.

      • Systému Windows NT 4.0, Windows 2000, Windows XP nebo Windows Server 2003: Uživatelské účty musí být uděleno toto uživatelské právo přihlásit ke konzole počítače se systémem Windows NT 4.0, Windows 2000, Windows XP nebo Windows Server 2003.

      • Systému Windows NT 4.0 a novější: V počítačích se systémem Windows NT 4.0 a novější, pokud přidáte uživatelské právo, Povolení místního přihlášení ale implicitně nebo explicitně udělit přihlašovací právo Odepřít místní přihlášení , účty nebudou moci přihlásit ke konzole domény řadiče.

  3. Obejít křížovou kontrolu

    1. Pozadí

      Uživatelské právo Obejít křížovou kontrolu umožňuje uživateli procházet složky v systému souborů NTFS nebo v registru, aniž by bylo kontrolováno zvláštní přístupové oprávnění Procházet složkou . Obejít křížovou kontrolu uživatelské právo neumožňuje uživateli zobrazit obsah složky. Umožňuje uživateli procházet pouze jeho složky.

    2. Riziková konfigurace

      Následuje nastavení konfigurace škodlivé:

      • Odebrání účtů bez oprávnění správce, které přihlášení do počítače se systémem Windows 2000 Terminálové služby nebo počítače systémem Windows Server 2003 Terminálové služby, které nemají oprávnění k přístupu k souborům a složkám v systému souborů.

      • Odebrání skupiny Everyone ze seznamu objektů zabezpečení, kteří mají toto uživatelské právo ve výchozím nastavení. Operační systémy Windows a také mnoho programů jsou navrženy s předpokladem, že každý, kdo má oprávněný přístup počítači bude mít uživatelské právo Obejít křížovou kontrolu . Proto odebrání Everyone skupinu ze seznamu zaregistrovaných objektů zabezpečení ve výchozím nastavení mají toto uživatelské právo může vést k nestabilitě operačního systému nebo selhání programu. Je lepší ponechat toto nastavení na výchozí.

    3. Důvody k udělení tohoto uživatelského práva

      Je výchozí nastavení uživatelského práva Obejít křížovou kontrolu dovoluje komukoli obejít kontrolu procházení. Zkušení správci systému Windows to je očekávané chování a odpovídajícím způsobem konfiguraci seznamů řízení přístupu systému souborů (SACL). Jediný scénář, kde výchozí konfigurace může vést k nehodě, je-li správce, který konfiguruje oprávnění nerozumí chování a očekává, že uživatelé, kteří nelze získat přístup k nadřazené složky nebudou moci přistupovat k obsahu dítěte složky.

    4. Důvody k odebrání tohoto uživatelského práva

      Chcete-li zabránit přístupu na soubory nebo složky v systému souborů, organizace, které jsou velmi důležité zabezpečení, mohou zvážit odebrání skupiny Everyone nebo dokonce skupině Users ze seznamu skupin, které mají Obejít křížovou kontrolu uživatelské právo.

    5. Příklady potíží s kompatibilitou

      • Windows 2000, Windows Server 2003: Pokud je uživatelské právo Obejít křížovou kontrolu je odebráno nebo chybně nastaveno v počítačích se systémem Windows 2000 nebo Windows Server 2003, nebudou nastavení Zásady skupiny ve složce SYVOL replikovány mezi řadiči domény v doméně.

      • Windows 2000, Windows XP Professional, Windows Server 2003: Počítače se systémem Windows 2000, Windows XP Professional nebo Windows Server 2003 bude protokolovat události 1000 a 1202 a nebudou moci použít zásady počítače a uživatele, když požadovaná oprávnění systému souborů jsou odebrána ze stromu SYSVOL Pokud obtoku křížovou kontrolu uživatelské právo je odebráno nebo chybně nastaveno.

        Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

        událost ID 1000, 1001 je zaznamenána v protokolu událostí aplikace každých pět minut
         

      • Windows 2000, Windows Server 2003: V počítačích se systémem Windows 2000 nebo Windows Server 2003 se nezobrazí karta kvóta v programu Průzkumník Windows, při prohlížení vlastností svazku.

      • Systému Windows 2000: Všichni uživatelé, kteří se přihlásí k terminálovému serveru systému Windows 2000 obdržet následující chybovou zprávu:

        Chyba aplikace Userinit.exe. Aplikace se nezdařila inicializace 0xc0000142 klepněte na tlačítko OK k ukončení aplikace.

      • Systému Windows NT 4.0, Windows 2000, Windows XP a Windows Server 2003: Uživatelé počítačů se systémem Windows NT 4.0, Windows 2000, Windows XP nebo Windows Server 2003, nemusí být možné získat přístup k sdíleným složkám nebo souborům ve sdílených složkách a mohou obdržet chybové zprávy "Přístup odepřen", pokud jim není uděleno Obejít křížovou Kontrola uživatelských práv.


        Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

        "Přístup odepřen" chybová zpráva při pokusu o přístup ke sdíleným složkám
         

      • Systému Windows NT 4.0: V počítačích se systémem Windows NT 4.0 způsobí odebrání uživatelského práva Obejít křížovou kontrolu při kopírování souborů datových proudů. Pokud odeberete toto uživatelské právo při kopírování souboru z klienta systému Windows nebo z počítače Macintosh na řadič domény systému Windows NT 4.0 se službou Services for Macintosh, dojde ke ztrátě cílový datový proud souboru a soubor se zobrazí jako textový soubor.

      • Microsoft Windows 95, Microsoft Windows 98: V klientském počítači se systémem Windows 95 nebo Windows 98 net použití * / home příkaz se nezdaří s chybovou zprávou "Přístup byl odepřen", pokud není skupině Authenticated Users uděleno uživatelské právo Obejít křížovou kontrolu .

      • Aplikace outlook Web Access: Všichni uživatelé nebudou moci přihlásit k aplikaci Outlook Web Access a obdrží chybovou zprávu "Přístup odepřen", pokud jim není uděleno uživatelské právo Obejít křížovou kontrolu .

Nastavení zabezpečení

Následující seznam určuje nastavení zabezpečení a vnořené seznam obsahuje popis nastavení zabezpečení, určuje nastavení konfigurace, které může způsobit problémy, popisuje, proč by měl použít nastavení zabezpečení a pak popisuje důvody, proč můžete chtít odebrat nastavení zabezpečení. Vnořený seznam pak poskytuje symbolický název pro nastavení zabezpečení a nastavení zabezpečení cestu registru. Konečně příklady jsou uvedeny pro problémy s kompatibilitou, které mohou nastat při konfiguraci nastavení zabezpečení.

  1. Audit: Vypnutí systému okamžitě, je-li možno protokolovat auditování zabezpečení

    1. Pozadí

      • Audit: vypnutí systému okamžitě, je-li možno protokolovat audity zabezpečení nastavení určuje, zda se systém vypne, pokud nelze protokolovat události zabezpečení. Toto nastavení je požadováno pro důvěryhodné počítače zabezpečení hodnocení kritéria (TCSEC) program C2 hodnocení a Common Criteria for Information Technology Security Evaluation třeba zabránit auditovatelným událostem, pokud systém nelze přihlásit tyto události. Pokud systém auditování selže, je systém vypnut a zobrazí se chybová zpráva Stop.

      • Pokud počítač nemůže zaznamenávat události do protokolu zabezpečení, kritické důkaz nebo důležité informace o řešení problémů nemusí být k dispozici ke kontrole incidentu zabezpečení.

    2. Riziková konfigurace

      Následuje nastavení konfigurace škodlivé: Audit: vypnout systém okamžitě, je-li možno protokolovat audity zabezpečení nastavení je zapnuto a velikost protokolu událostí zabezpečení je omezen Nepřepisovat události (protokol vymazávat ručně) možnost, možnost Přepsat události podle potřeby nebo možností Přepisovat události starší než x dní v prohlížeči událostí. Naleznete v části "Příklady potíží s kompatibilitou" informace o specifických rizicích pro počítače s původní vydanou verzi systému Windows 2000, Windows 2000 Service Pack 1 (SP1), Windows 2000 SP2 nebo Windows 2000 SP3.

    3. Důvody k povolení tohoto nastavení

      Pokud počítač nemůže zaznamenávat události do protokolu zabezpečení, kritické důkaz nebo důležité informace o řešení problémů nemusí být k dispozici ke kontrole incidentu zabezpečení.

    4. Důvody k zakázání tohoto nastavení

      • Povolení Audit: vypnutí systému okamžitě, je-li možno protokolovat audity zabezpečení nastavení přestane systém, pokud z nějakého důvodu nelze protokolovat auditování zabezpečení. Událost obvykle nemůže zaznamenána, pokud je protokol auditování zabezpečení je plný a pokud je jeho způsob uchovávání možnost Nepřepisovat události (protokol vymazávat ručně) nebo Přepisovat události starší než x dní .

      • Administrativní zátěž povolení auditu: vypnutí systému okamžitě, je-li možno protokolovat auditování zabezpečení nastavení může být velmi vysoká, zejména pokud také zapnout možnost Nepřepisovat události (protokol vymazávat ručně) pro protokol zabezpečení. Toto nastavení poskytuje individuální zodpovědnosti za akce operátora. Například správce může obnovit výchozí nastavení oprávnění pro uživatele, počítače a skupiny v organizační jednotce (OU) kde bylo povoleno auditování, pomocí účtu správce nebo jiného sdíleného účtu a potom popřít, že takové oprávnění. Povolení tohoto nastavení však snižuje robustnost systému, protože server může být donucen k vypnutí tak, že bude zaplaven událostmi přihlášení a jinými událostmi zabezpečení, které jsou zapsány do protokolu zabezpečení. Navíc vzhledem k tomu, že jedná o vynucené vypnutí, může způsobit nenapravitelné poškození operačního systému, programů nebo data. Zatímco systém souborů NTFS garantuje integritu systému souborů během k vypnutí vynuceném systému, nedokáže už zaručit po restartu systému bude každý datový soubor každého programu v použitelném podobě.

    5. Symbolický název:

      CrashOnAuditFail

    6. Cesta v registru:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

    7. Příklady potíží s kompatibilitou

      • Systému Windows 2000: Počítače s původní vydanou verzi systému Windows 2000, Windows 2000 s aktualizací SP1, Windows 2000 SP2 nebo Windows Server SP3 může z důvodu chyby zastavení protokolování událostí před velikost, která je uvedena v možnosti maximální velikost protokolu zabezpečení Protokol událostí je dosaženo. Tato chyba je opravena v aktualizaci Windows 2000 Service Pack 4 (SP4). Ujistěte se, že systém Windows 2000 Service Pack 4 nainstalována před povolením tohoto nastavení řadiče domény systému Windows 2000.

        Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

        v protokolu událostí zastaví protokolování událostí před dosažením maximální velikosti protokolu
         

      • Windows 2000, Windows Server 2003: Počítače se systémem Windows 2000 nebo Windows Server 2003 může přestat reagovat a mohou se samovolně restartovat, pokud Audit: vypnout systém okamžitě, je-li možno protokolovat auditování zabezpečení nastavení zapnuto, je protokol zabezpečení plný a existující nelze přepsat položku protokolu událostí. Po restartování počítače, zobrazí se následující chybová zpráva Stop:

        STOP: C0000244 {Neúspěšný Audit}
        Pokus o generování auditování zabezpečení se nezdařilo.

        Chcete-li obnovit, Správce musí přihlásit, archivovat protokol zabezpečení (nepovinné), vymazat protokol zabezpečení a vynulovat tuto možnost (volitelně, podle potřeby).

      • Klient sítě Microsoft pro MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Všichni uživatelé, kteří se pokusí přihlásit k doméně se zobrazí následující chybová zpráva:

        Váš účet je nakonfigurován zabránit použití tohoto počítače. Zkuste jiný počítač.

      • Systému Windows 2000: V počítačích se systémem Windows 2000 bez oprávnění správce nebude moci přihlásit k serverům pro vzdálený přístup a obdrží chybovou zprávu, která je podobná následující:

        Neznámý uživatel nebo chybné heslo

        Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

        chybová zpráva: váš účet je nakonfigurován zabránit v použití tohoto počítače
         

      • Systému Windows 2000: Služba mezisíťového zasílání zpráv (Ismserv.exe) v řadičích domény systému Windows 2000, bude ukončena a nelze ji restartovat. Nástroj DCDIAG ohlásí chybu "nepodařilo test služeb ISMserv" a událost ID 1083 bude registrován v protokolu událostí.

      • Systému Windows 2000: V řadičích domén systému Windows 2000 se nezdaří replikace služby Active Directory a zobrazí zprávu "Přístup byl odepřen", pokud zaplnění protokolu událostí zabezpečení.

      • Microsoft Exchange 2000: Servery se systémem Exchange 2000 nebudou moci připojit databáze úložiště informací a do protokolu událostí bude registrována událost 2102.

      • Aplikace outlook, Outlook Web Access: Všichni uživatelé nebudou mít přístup ke své poště pomocí aplikace Microsoft Outlook nebo Microsoft Outlook Web Access a zobrazí se chyba 503.

  2. Řadič domény: Požadavky podepisování serveru LDAP

    1. Pozadí

      Řadič domény: Požadavky podepisování serveru LDAP nastavení zabezpečení určuje, zda server Lightweight Directory Access Protocol (LDAP) vyžaduje klienty vyjednat podepisování dat LDAP. Možné hodnoty pro toto nastavení jsou následující:

      • Žádné: Podepisování dat není nutný k vytvoření vazby se serverem. Pokud klient požaduje podepisování dat, je server podporuje.

      • Požaduje podepsání: Pokud Transport Layer Security/Secure Socket Layer (protokol TLS/SSL) je používán nutné vyjednat možnost podepisování dat LDAP.

      • není definován: Toto nastavení není povoleno nebo zakázáno.

    2. Riziková konfigurace

      Následuje nastavení konfigurace škodlivé:

      • Povolení Požaduje podepsání v prostředí, v kterých klienti nepodporují podpis serveru LDAP nebo podpis serveru LDAP na straně klienta není povolen v klientském počítači

      • Použití systému Windows 2000 nebo Windows Server 2003 Hisecdc.inf šablony zabezpečení v prostředích, v kterých klienti nepodporují podpis serveru LDAP nebo není povolen podpis serveru LDAP na straně klienta

      • Použití systému Windows 2000 nebo šablony zabezpečení systému Windows Server 2003 Hisecws.inf v prostředí, v kterých klienti nepodporují podpis serveru LDAP nebo není povolen podpis serveru LDAP na straně klienta

    3. Důvody k povolení tohoto nastavení

      Nepodepsaný síťový provoz je náchylný k útoku man-in-the-middle kde zachytává neoprávněná osoba pakety mezi klientem a serverem, tyto pakety mění a pak je posílá na server. Pokud k tomuto chování dochází na serveru LDAP, útočník by mohl způsobit, že server pro rozhodování, které jsou založeny na podvržených dotazech klienta LDAP. Toto riziko lze v podnikové síti lze snížit implementací důrazných fyzických bezpečnostních opatření k ochraně síťové infrastruktury. Režim ověřování hlavičky pomocí protokol IPSec (IPSec) můžete předejít útoku man-in-the-middle. Režim ověřování hlavičky provádí vzájemné ověření a kontroluje integritu paketů komunikace IP.

    4. Důvody k zakázání tohoto nastavení

      • Klienti, kteří nepodporují podpis serveru LDAP, nebudete moci provádět dotazy LDAP u řadičů domény a globálních katalogů, pokud je vyjednáno ověřování NTLM a nejsou-li správné aktualizace service Pack nainstalována v řadičích domény systému Windows 2000.

      • Stopy síťové komunikace LDAP mezi klienty a servery budou šifrovány. Díky tomu je obtížné zkoumání komunikace LDAP.

      • Servery se systémem Windows 2000 musí mít systém Windows 2000 Service Pack 3 (SP3) nebo pokud jsou podávány s programy, že podpora podpis LDAP, které jsou spouštěny z klientské počítače se systémem Windows 2000 SP4, Windows XP nebo Windows Server 2003 nainstalován. Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:

        Nastavení vyžadují řadiče domény Windows 2000 Service Pack 3 nebo vyšší při použití nástrojů pro správu systému Windows Server 2003
         

    5. Symbolický název:

      LDAPServerIntegrity klíče

    6. Cesta v registru:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

    7. Příklady potíží s kompatibilitou

      • Jednoduchá vazba selže a zobrazí následující chybová zpráva:

        Ldap_simple_bind_s() se nezdařilo: požadováno silné ověřování.

      • Windows 2000 Service Pack 4, Windows XP a Windows Server 2003: V klientech se systémem Windows 2000 SP4, Windows XP nebo Windows Server 2003, nebudou fungovat některé nástroje správy služby Active Directory u řadičů domén s verzí aktualizace systému Windows 2000 nižší než SP3 správně při ověřování NTLM ověřování je vyjednáno.

        Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

        Nastavení vyžadují řadiče domény Windows 2000 Service Pack 3 nebo vyšší při použití nástrojů pro správu systému Windows Server 2003
         

      • Windows 2000 Service Pack 4, Windows XP a Windows Server 2003: V klientech se systémem Windows 2000 SP4, Windows XP nebo Windows Server 2003, některé nástroje správy služby Active Directory této cílové řadiče domény se systémem verze systému Windows 2000, které jsou nižší než SP3 nebude fungovat správně, pokud jsou pomocí adres IP (například "dsa.msc/server =x.x.x.x" kde
        x.x.x.x je adresa IP).


        Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

        Nastavení vyžadují řadiče domény Windows 2000 Service Pack 3 nebo vyšší při použití nástrojů pro správu systému Windows Server 2003
         

      • Windows 2000 Service Pack 4, Windows XP a Windows Server 2003: V klientech se systémem Windows 2000 SP4, Windows XP nebo Windows Server 2003, některé nástroje správy služby Active Directory této cílové řadiče domény se systémem verze systému Windows 2000, které jsou nižší než SP3 nebude pracovat správně.

        Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

        Nastavení vyžadují řadiče domény Windows 2000 Service Pack 3 nebo vyšší při použití nástrojů pro správu systému Windows Server 2003
         

  3. Člen domény: Vyžadovat silný klíč relace (Windows 2000 nebo vyšší)

    1. Pozadí

      • Člen domény: Vyžadovat silný klíč relace (Windows 2000 nebo novější) nastavení určuje, zda může být vytvořen zabezpečený kanál s řadičem domény, který nedokáže šifrovat komunikaci zabezpečeného kanálu s klíčem silného, 128-bit relace. Povolení tohoto nastavení zabrání vytvoření zabezpečeného kanálu s řadičem domény, který nemůže šifrovat data zabezpečeného kanálu pomocí silného klíče. Zakázání tohoto nastavení umožní klíče relace 64-bit.

      • Než povolíte toto nastavení na členské pracovní stanici nebo na serveru, musí být všechny řadiče domény v doméně, která patří tento člen, schopny šifrovat data zabezpečeného kanálu s klíčem silného, 128-bit. To znamená, že všechny tyto řadiče domény musí používat systém Windows 2000 nebo novější.

    2. Riziková konfigurace

      Povolení člen domény: Vyžadovat silný klíč relace (Windows 2000 nebo novější) nastavení je nastavení konfigurace škodlivé.

    3. Důvody k povolení tohoto nastavení

      • Klíče relace, které se používají k navázání zabezpečeného kanálu komunikace mezi členských počítačů a řadičů domény jsou mnohem silnější v systému Windows 2000 než v dřívějších verzích operačních systémů společnosti Microsoft.

      • Pokud je to možné, je vhodné využít výhod těchto silných klíčů relace k ochraně komunikace v zabezpečeném kanálu z odposlechu a podepisovali sítě. Odposlouchávání je forma útoku kde síťová data čtena nebo měněna po cestě. Data lze změnit, skrýt nebo změnit odesílatel nebo přesměrovat.

      Důležité: Počítač se systémem Windows Server 2008 R2 nebo Windows 7 podporuje pouze silného klíče, pokud používají zabezpečené kanály. Toto omezení zabrání vztah důvěryhodnosti mezi všechny domény se systémem Windows NT 4.0 a všechny domény se systémem Windows Server 2008 R2. Navíc toto omezení blokuje členství domény se systémem Windows NT 4.0 z počítače se systémem Windows 7 nebo Windows Server 2008 R2, a naopak.

    4. Důvody k zakázání tohoto nastavení

      Doména obsahuje členské počítače se systémem jiné operační systémy než Windows 2000, Windows XP nebo Windows Server 2003.

    5. Symbolický název:

      StrongKey

    6. Cesta v registru:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

    7. Příklady potíží s kompatibilitou

      Systému Windows NT 4.0: V počítačích se systémem Windows NT 4.0 nové nastavení zabezpečených kanálů vztahů důvěryhodnosti mezi systémem Windows NT 4.0 a doménami systému Windows 2000 příkazem NLTEST a ZOBRAZÍ se nezdaří. Zobrazí se chybová zpráva "Přístup odepřen":

      Vztah důvěryhodnosti mezi primární doménou a důvěryhodnou doménou selhal.

      Windows 7 a Server 2008 R2: Pro Windows 7 a novější verze systému Windows Server 2008 R2 a novější verze toto nastavení není dodržet déle a vždy používá silného klíče. Proto se vztahy důvěryhodnosti s doménami systému Windows NT 4.0 nefungují správně již.

  4. Člen domény: digitálně zašifrovat nebo podepsat data zabezpečeného kanálu (vždy)

    1. Pozadí

      • Povolení člen domény: digitálně zašifrovat nebo podepsat data zabezpečeného kanálu (vždy) zabrání vytvoření zabezpečeného kanálu s řadičem domény, který nemůže podepsat nebo šifrovat veškerá data zabezpečeného kanálu. K ochraně komunikace ověřování před útoky man-in-the-middle útoky s použitím přehrání a jiné druhy útoků na sítě, počítače se systémem Windows, vytvořit komunikační kanál, který je známý jako zabezpečeného kanálu pomocí služby přihlašování k ověřování účtů počítačů. Zabezpečené kanály se také používají při připojení k síťovému prostředku ve vzdálené doméně uživatele v jedné doméně. Toto ověřování s více doménami nebo předávací ověřováníumožňuje počítači se systémem Windows, který se připojil k doméně získat přístup k databázi uživatelských účtů v doméně a všech důvěryhodných doménách.

      • Chcete-li povolit člen domény: digitálně zašifrovat nebo podepsat data zabezpečeného kanálu (vždy) nastavení v členském počítači, všechny řadiče domény v doméně, která patří tento člen musí být schopny podepisovat nebo šifrovat veškerá data zabezpečeného kanálu. To znamená, že všechny tyto řadiče domény musí být systémem Windows NT 4.0 s Service Pack 6a (SP6a) nebo novější.

      • Povolení člen domény: digitálně zašifrovat nebo podepsat data zabezpečeného kanálu (vždy) nastavení automaticky povolí člen domény: digitálně zašifrovat nebo podepsat data zabezpečeného kanálu (Pokud je to možné) nastavení.

    2. Riziková konfigurace

      Povolení člen domény: digitálně zašifrovat nebo podepsat data zabezpečeného kanálu (vždy) nastavení v doménách, kde všechny řadiče domény lze podepsat nebo šifrovat data zabezpečeného kanálu, je nastavení konfigurace škodlivé.

    3. Důvody k povolení tohoto nastavení

      Nepodepsaný síťový provoz je náchylný k útoku man-in-the-middle, kde zachytává neoprávněná osoba pakety mezi serverem a klientem a tyto pakety mění před jejich odesláním klientovi. Pokud k tomuto chování dochází na serveru Lightweight Directory Access Protocol (LDAP), útočník by mohl způsobit klienta pro rozhodování, které jsou založeny na podvržených záznamech z adresáře LDAP. Riziko takového útoku v podnikové síti lze snížit implementací důrazných fyzických bezpečnostních opatření k ochraně síťové infrastruktury. Navíc implementace protokol IPSec (IPSec) režim ověřování hlavičky může pomoci zabránit útokům man-in-the-middle. Tento režim provádí vzájemné ověření a kontroluje integritu paketů komunikace IP.

    4. Důvody k zakázání tohoto nastavení

      • Počítače v místních nebo externích doménách nepodporují šifrování zabezpečených kanálů.

      • Ne všechny řadiče domén v doméně mají odpovídající úrovně aktualizací service pack pro podporu šifrování zabezpečených kanálů.

    5. Symbolický název:

      StrongKey

    6. Cesta v registru:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

    7. Příklady potíží s kompatibilitou

      • Systému Windows NT 4.0: Počítače se systémem Windows 2000 členy nebudou moci připojit k doménám systému Windows NT 4.0 a zobrazí následující chybová zpráva:

        Účet nemá povoleno přihlásit se z této stanice.

        Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

        chybová zpráva: účet nemá povoleno přihlásit se z této stanice
         

      • Systému Windows NT 4.0: Domény systému Windows NT 4.0 nebudou moci vytvořit vztah důvěryhodnosti s doménou systému Windows 2000 a zobrazí následující chybová zpráva:

        Účet nemá povoleno přihlásit se z této stanice.

        Existující vztahy důvěryhodnosti nižší úrovně také nemusí ověřit uživatele z důvěryhodné domény. Někteří uživatelé mohou mít potíže přihlášení do domény a mohou obdržet chybovou zprávu, která uvádí, že klient nemůže nalézt doménu.

      • Systému Windows XP: Klienti systému Windows XP přidaní do domén systému Windows NT 4.0 nebudou moci ověřit pokusy o přihlášení a může se zobrazit následující chybová zpráva nebo mohou být zaznamenány následující události v protokolu událostí:

        Systém Windows se nemůže připojit k doméně, protože řadič domény je vypnutý nebo je jinak nedostupný nebo váš účet počítače nebyl nalezen.

      • Sítě Microsoft: Klienti Microsoft Network se zobrazí jedna z následujících chybových zpráv:

        Přihlašovací chyba: Neznámé uživatelské jméno nebo špatné heslo.

        Zadané přihlašovací relaci neexistuje uživatelský klíč relace.

  5. Klient sítě Microsoft: digitálně podepsat komunikaci (vždy)

    1. Pozadí

      Blok zprávy serveru (SMB) je protokol sdílení prostředků, který je podporován mnoha operačními systémy společnosti Microsoft. Je základem základního vstupně výstupního systému (NetBIOS) a řady dalších protokolů. Podepisování paketů SMB ověřuje uživatele a server, který hostuje data. Proces ověřování selže obou stranách nedojde k přenosu dat

      Povolení podepisování paketů SMB začne během vyjednávání protokolu SMB. Zásady podepisování paketů SMB je zjistit, zda počítač vždy digitálně podepíše klientské komunikace.

      Ověřovací protokol SMB systému Windows 2000 podporuje vzájemné ověřování. Vzájemné ověřování ukončí případný útok "man-in-the-middle". Ověřovací protokol SMB systému Windows 2000 podporuje také ověřování zpráv. Ověřování zpráv pomáhá zabránit útokům prostřednictvím aktivních zpráv. Vám toto ověřování, podepisování paketů SMB vloží digitální podpis do každého paketu SMB. Klient a server ověřit digitální podpis.

      Chcete-li používat podepisování paketů SMB, musí povolit podepisování SMB nebo požadovat podepisování SMB na serveru SMB i klient SMB. Pokud je podepisování bloků SMB je povolena na serveru, klienti, kteří jsou také povoleny pro použití podepisování paketů během všech následných relací podepisování protokolu SMB. Pokud je podepisování bloků SMB na serveru je vyžadován, nemůže klient vytvořit relaci, pokud klient není povoleno nebo požadováno podepisování paketů SMB.


      Povolení digitálního podepisování v sítích s vysokým zabezpečením pomáhá zabránit zosobnění klientů a serverů. Tento druh zosobnění je označován jako tiché přesměrování relace. Útočník, který má přístup ke stejné síti jako klient nebo server používá nástroje tichého přesměrování k přerušení, ukončení nebo převzetí probíhající relace. Útočník by mohl zachytit a změnit nepodepsané pakety SMB, změnit přenášený a pak je odeslat, aby server provedl nechtěné akce. Nebo, útočník by mohl představovat po legitimní ověření serveru nebo klienta a poté získat neoprávněný přístup k datům.

      Protokol SMB, který slouží pro sdílení souborů a tiskáren v počítačích se systémem Windows 2000 Server, Windows 2000 Professional, Windows XP Professional nebo Windows Server 2003 podporuje vzájemné ověřování. Vzájemné ověřování ukončí případné útoky tichého převzetí relace a podporuje ověřování zpráv. Proto zabraňuje útokům man-in-the-middle. Umístěním digitální podpis do každého paketu SMB podepisování paketů SMB poskytuje toto ověření. Klient a server potom ověřit podpis.

      Poznámky

      • Jako jiné možné opatření můžete povolit digitální podpisy pomocí protokolu IPSec k ochraně všechny síťové přenosy. Existují hardwarové akcelerátory pro protokol IPSec šifrování a podepisování, které můžete použít k minimalizaci dopadu na výkon procesoru serveru. Existují takové akcelerátory jsou k dispozici pro podepisování paketů SMB.

        Další informace naleznete v kapitole na webu Microsoft MSDN.

        Konfigurace, protože změna místního registru hodnotu nemá žádný účinek, pokud je přepisujících zásad domény podepisování paketů SMB pomocí modulu snap-in Editor objektů Zásady skupiny.

      • V systému Windows 95, Windows 98 a Windows 98 Druhé vydání používá klient adresářových služeb, podepisování paketů SMB během ověřování se servery Windows Server 2003 pomocí ověřování NTLM. Tito klienti však nepoužívají podepisování paketů SMB při ověřování s těmito servery pomocí ověřování NTLM verze 2. Servery Windows 2000 navíc nereagují na požadavky klientů podepisování paketů SMB. Další informace naleznete v tématu položky 10: "zabezpečení sítě: úroveň ověřování Lan Manager."

    2. Riziková konfigurace

      Následuje nastavení konfigurace škodlivé: opustit i Klient sítě Microsoft: digitálně podepsat komunikaci (vždy) nastavení a Klient sítě Microsoft: digitálně podepsat komunikaci (Pokud server souhlasí) nastavena na hodnotu " Nedefinováno"nebo zakázán. Tato nastavení umožní přesměrovači zaslat hesla v prostém textu na servery Microsoft SMB, které nepodporují šifrování hesla během ověřování.

    3. Důvody k povolení tohoto nastavení

      Povolení Klient sítě Microsoft: digitálně podepsat komunikaci (vždy) jsou nuceni podepsat komunikaci SMB při kontaktování serverů, které nevyžadují podepisování paketů SMB. Díky klienti méně zranitelní vůči útokům na relace.

    4. Důvody k zakázání tohoto nastavení

      • Povolení Klient sítě Microsoft: digitálně podepsat komunikaci (vždy) brání klientům v komunikaci s cílovými servery, které nepodporují podepisování paketů SMB.

      • Konfigurace počítačů pro ignorování veškeré nepodepsané komunikace SMB zabrání starší operační systémy a programy připojení.

    5. Symbolický název:

      RequireSMBSignRdr

    6. Cesta v registru:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

    7. Příklady potíží s kompatibilitou

      • Systému Windows NT 4.0: Nebudete moci obnovení zabezpečeného kanálu důvěryhodnosti mezi doménou systému Windows Server 2003 a doménou systému Windows NT 4.0 pomocí příkazů NLTEST či NETDOM a zobrazí se chybová zpráva "Přístup odepřen".

      • Systému Windows XP: Kopírování souborů ze systému Windows XP klientů na servery se systémem Windows 2000 a servery se systémem Windows Server 2003 může trvat déle.

      • Nebudete moci toto nastavení povoleno mapování síťové jednotky v klientovi aplikace a zobrazí se následující chybová zpráva:

        Účet nemá povoleno přihlásit se z této stanice.

    8. Požadavky na restartování

      Restartujte počítač nebo restartujte službu pracovní stanice. Chcete-li to provést, zadejte následující příkazy na příkazovém řádku. Po zadání každého příkazu stiskněte klávesu Enter.

      příkaz net stop pracovní stanice
      net start workstation

  6. Server sítě Microsoft: digitálně podepsat komunikaci (vždy)

    1. Pozadí

      • Server Messenger Block (SMB) je protokol sdílení prostředků, který je podporován mnoha operačními systémy společnosti Microsoft. Je základem základního vstupně výstupního systému (NetBIOS) a řady dalších protokolů. Podepisování paketů SMB ověřuje uživatele a server, který hostuje data. Proces ověřování selže obou stranách nedojde k přenosu dat

        Povolení podepisování paketů SMB začne během vyjednávání protokolu SMB. Zásady podepisování paketů SMB je zjistit, zda počítač vždy digitálně podepíše klientské komunikace.

        Ověřovací protokol SMB systému Windows 2000 podporuje vzájemné ověřování. Vzájemné ověřování ukončí případný útok "man-in-the-middle". Ověřovací protokol SMB systému Windows 2000 podporuje také ověřování zpráv. Ověřování zpráv pomáhá zabránit útokům prostřednictvím aktivních zpráv. Vám toto ověřování, podepisování paketů SMB vloží digitální podpis do každého paketu SMB. Klient a server ověřit digitální podpis.

        Chcete-li používat podepisování paketů SMB, musí povolit podepisování SMB nebo požadovat podepisování SMB na serveru SMB i klient SMB. Pokud je podepisování bloků SMB je povolena na serveru, klienti, kteří jsou také povoleny pro použití podepisování paketů během všech následných relací podepisování protokolu SMB. Pokud je podepisování bloků SMB na serveru je vyžadován, nemůže klient vytvořit relaci, pokud klient není povoleno nebo požadováno podepisování paketů SMB.


        Povolení digitálního podepisování v sítích s vysokým zabezpečením pomáhá zabránit zosobnění klientů a serverů. Tento druh zosobnění je označován jako tiché přesměrování relace. Útočník, který má přístup ke stejné síti jako klient nebo server používá nástroje tichého přesměrování k přerušení, ukončení nebo převzetí probíhající relace. Útočník může zachytit a změnit nepodepsané pakety správce šířky pásma podsítě (SBM), změnit přenášený a pak je odeslat, aby server provedl nechtěné akce. Nebo, útočník by mohl představovat po legitimní ověření serveru nebo klienta a poté získat neoprávněný přístup k datům.

        Protokol SMB, který slouží pro sdílení souborů a tiskáren v počítačích se systémem Windows 2000 Server, Windows 2000 Professional, Windows XP Professional nebo Windows Server 2003 podporuje vzájemné ověřování. Vzájemné ověřování ukončí případné útoky tichého převzetí relace a podporuje ověřování zpráv. Proto zabraňuje útokům man-in-the-middle. Umístěním digitální podpis do každého paketu SMB podepisování paketů SMB poskytuje toto ověření. Klient a server potom ověřit podpis.

      • Jako jiné možné opatření můžete povolit digitální podpisy pomocí protokolu IPSec k ochraně všechny síťové přenosy. Existují hardwarové akcelerátory pro protokol IPSec šifrování a podepisování, které můžete použít k minimalizaci dopadu na výkon procesoru serveru. Existují takové akcelerátory jsou k dispozici pro podepisování paketů SMB.

      • V systému Windows 95, Windows 98 a Windows 98 Druhé vydání používá klient adresářových služeb, podepisování paketů SMB během ověřování se servery Windows Server 2003 pomocí ověřování NTLM. Tito klienti však nepoužívají podepisování paketů SMB při ověřování s těmito servery pomocí ověřování NTLM verze 2. Servery Windows 2000 navíc nereagují na požadavky klientů podepisování paketů SMB. Další informace naleznete v tématu položky 10: "zabezpečení sítě: úroveň ověřování Lan Manager."

    2. Riziková konfigurace

      Následuje nastavení konfigurace škodlivé: povolení server sítě Microsoft: digitálně podepsat komunikaci (vždy) na serverech a řadičích domén, ke kterým přistupují nekompatibilní počítače se systémem Windows a třetí strany na základě operačního systému klientské počítače v místních nebo externích doménách.

    3. Důvody k povolení tohoto nastavení

      • Všechny klientské počítače, které toto nastavení přímo pomocí registru nebo pomocí nastavení Zásady skupiny povolit podporu podepisování SMB. Jinými slovy všechny klientské počítače, které mají toto nastavení povoleno, systém Windows 95 s nainstalovaným klientem adresářové služby systému Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional nebo Windows Server 2003.

      • Pokud server sítě Microsoft: digitálně podepsat komunikaci (vždy) je zakázáno, podepisování paketů SMB je zcela zakázáno. Úplné zakázání všech SMB podepisování činí, počítače více zranitelné podepisovali.

    4. Důvody k zakázání tohoto nastavení

      • Povolení tohoto nastavení může způsobit pomalejší soubor kopírovat a výkonu v síti v klientském počítači.

      • Povolení tohoto nastavení zabrání klientům, které nemohou vyjednat v komunikaci se servery a řadiče domény podepisování paketů SMB. To způsobí, že operací, jako je přidání do domény, ověřování uživatelů a počítačů nebo síťový přístup programů k selhání.

    5. Symbolický název:

      RequireSMBSignServer

    6. Cesta v registru:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

    7. Příklady potíží s kompatibilitou

      • Systému Windows 95: Klienti systému Windows 95, které nemají nainstalovaného klienta adresářové služby (DS) se nezdaří ověření při přihlášení a zobrazí následující chybová zpráva:

        Vámi zadané heslo domény je nesprávný nebo byl odepřen přístup k přihlašovacímu serveru.

        Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

        při klienta Windows 95 nebo Windows NT 4.0 přihlásí k doméně systému Windows Server 2003 zobrazí chybová zpráva
         

      • Systému Windows NT 4.0: Klientské počítače se systémem verze systému Windows NT 4.0, které jsou starší než Service Pack 3 (SP3) se nezdaří ověření při přihlášení a zobrazí se následující chybová zpráva:

        Systém vás nemohl přihlásit. Přesvědčte se, zda vaše uživatelské jméno a doména jsou správné a potom znovu zadejte heslo.

        Některé servery Microsoft SMB, podporují během ověřování výměny pouze nezašifrovaných hesel. (Tyto výměny označované také jako "prostý text" výměnu.) Pro systém Windows NT 4.0 SP3 a novější verze přesměrovač SMB neodešle nezašifrované heslo během ověřování serveru SMB Pokud přidat položky registru.
        Chcete-li povolit nezašifrovaná hesla pro klienta SMB v systému Windows NT 4.0 SP3 a novější systémy, upravit registr následujícím způsobem: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters

        Název hodnoty: EnablePlainTextPassword

        Datový typ: REG_DWORD

        Data: 1


        Další informace o příbuzných tématech získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:

        chybová zpráva: došlo k systémové chybě 1240. Účet nemá povoleno přihlásit se z této stanice.

      • Systému Windows Server 2003: Ve výchozím nastavení zabezpečení na řadičích domény se systémem Windows Server 2003 nakonfigurována tak, aby komunikací řadiče domény zachycení nebo zfalšována uživatelem se zlými úmysly. Uživatelé úspěšně komunikovat s řadiči domény se systémem Windows Server 2003 musí klientské počítače používat oba SMB podepisování a šifrování nebo podepisování provozu zabezpečeného kanálu. Ve výchozím nastavení klienti, kteří se systémem Windows NT 4.0 s aktualizací Service Pack 2 (SP2) nebo dřívější verzí a klienti se systémem Windows 95 nemají povoleno podepisování paketů SMB. Proto tito klienti pravděpodobně moci přihlásit k řadiči domény se systémem Windows Server 2003.

      • Nastavení zásad systému Windows 2000 a Windows Server 2003: V závislosti na konkrétních instalačních potřebách a konfiguraci doporučujeme nastavení následujících zásad na nejnižší entitu nezbytného rámce v hierarchii modulu snap-in konzola Microsoft Management Console Zásady skupiny Editor:

        • Počítač Konfigurace počítače\Nastavení zabezpečení systému Windows\možnosti

        • Odesílaní nezašifrovaného hesla pro připojení k serverům SMB třetích stran (Toto nastavení je v systému Windows 2000)

        • Klient sítě Microsoft: Odesílat nešifrovaná hesla serverům SMB třetích stran (Toto nastavení je pro systém Windows Server 2003)


        Poznámka: Na některých serverech CIFS jiných výrobců, například na starších verzích serveru Samba nelze používat zašifrovaná hesla.

      • Následující klienti nejsou kompatibilní s server sítě Microsoft: digitálně podepsat komunikaci (vždy) nastavení:

        • Klienti Mac OS X společnosti Apple Computer, Inc.

        • Klienti sítě Microsoft MS-DOS (například Microsoft LAN Manager)

        • Microsoft Windows for Workgroups klienti

        • Klienti systému Microsoft Windows 95 bez klienta adresářové služby nainstalován

        • Microsoft nainstalován v počítačích se systémem Windows NT 4.0 SP3 nebo novější

        • Klienty Novell Netware 6 CIFS

        • Klienti SMB systému SAMBA, které nemají podporu podepisování SMB

    8. Požadavky na restartování

      Restartujte počítač nebo restartujte službu serveru. Chcete-li to provést, zadejte následující příkazy na příkazovém řádku. Po zadání každého příkazu stiskněte klávesu Enter.

      příkaz net stop server
      příkaz net start server

  7. Přístup k síti: Povolit anonymní překlad SID/názvu

    1. Pozadí

      Přístup k síti: Povolit anonymní překlad SID/názvu nastavení zabezpečení určuje, zda může anonymní uživatel vyžádat atributy zabezpečení identifikační číslo (SID) jiného uživatele.

    2. Riziková konfigurace

      Povolení přístup k síti: Povolit anonymní překlad SID/názvu nastavení je nastavení konfigurace škodlivé.

    3. Důvody k povolení tohoto nastavení

      Pokud přístup k síti: Povolit anonymní překlad SID/názvu nastavena na hodnotu zakázáno, starší operační systémy nebo aplikace nebudou moci komunikovat s doménami systému Windows Server 2003. Nemusí například fungovat následující operační systémy, služby nebo aplikace:

      • Systém Windows NT 4.0 založené služby vzdáleného přístupu serverů

      • Microsoft SQL Server, které jsou spuštěny v počítačích se systémem Windows NT 3.x nebo počítačů se systémem Windows NT 4.0

      • Služby vzdáleného přístupu, která je spuštěna v počítačích se systémem Windows 2000, které jsou umístěny v doméně systému Windows NT 3.x nebo Windows NT 4.0 domén

      • SQL Server, který běží v počítačích se systémem Windows 2000, které jsou umístěny v doméně systému Windows NT 3.x nebo v doménách systému Windows NT 4.0

      • Uživatelé v doméně prostředků systému Windows NT 4.0, kteří chtějí udělit oprávnění pro přístup k souborů, sdílené složky a objektů registru uživatelské účty z domény účtů obsahujících řadiče domén systému Windows Server 2003

    4. Důvody k zakázání tohoto nastavení

      Pokud je toto nastavení povoleno, uživatel se zlými úmysly použít dobře známý SID správci získat skutečné jméno předdefinovaného účtu správce, i v případě, že účet byl přejmenován. Tato osoba pak použít název účtu k zahájení útoku hádáním hesla.

    5. Symbolický název: NENÍ K DISPOZICI

    6. Cesta v registru: Žádný. Cesta je určena v kódu uživatelského rozhraní.

    7. Příklady potíží s kompatibilitou

      Systému Windows NT 4.0: Počítače v systému Windows NT 4.0 domény prostředků zobrazí chybovou zprávu "Neznámý účet" v editoru ACL Pokud prostředky, včetně sdílených složek, sdílených souborů a objektů registru, jsou zabezpečeny pomocí objektů zabezpečení, které jsou uloženy v účtu domény, který obsahovat řadiče domény systému Windows Server 2003.

  8. Přístup k síti: Nepovolit anonymní tvorbu výčtu SAM účtů

    1. Pozadí

      • Přístup k síti: Nepovolit anonymní tvorbu výčtu SAM účtů nastavení určuje, jaká další oprávnění budou udělena anonymním připojením k počítači. Systém Windows umožňuje anonymním uživatelům provádět určité aktivity, jako je například výčet názvů účtů workstation a server správce zabezpečení účtů (SAM) a sdílených položek v síti. Například správce slouží to k udělit přístup uživatelům v důvěryhodné doméně, která nezachovává vzájemnou důvěryhodnost. Po navázání relace se anonymní uživatel může mít stejný přístup, která je udělena Everyone skupiny na základě nastavení v přístup k síti: použít oprávnění skupiny Everyone anonymním uživatelům nastavení nebo volitelného přístup ovládacího prvku seznamu (DACL) objektu.

        Obvykle požaduje anonymní připojení starších verzí systému nižší úrovně (klienti) během nastavení relace SMB. V těchto případech ukazuje trasování v síti, že SMB ID procesu (PID) je že přesměrovač klienta například 0xFEFF v systému Windows 2000 nebo 0xCAFE v systému Windows NT. RPC může také pokusit o anonymní připojení.

      • Důležité Toto nastavení nemá žádný vliv na řadiče domény. V řadičích domény toto chování je řízena přítomnost "NT AUTHORITY\ANONYMOUS LOGON" v "Pre-Windows 2000 compatible Access".

      • V systému Windows 2000 spravuje podobné nastavení, nazvané Další omezení anonymních připojení hodnotu registru RestrictAnonymous . Umístění této hodnoty je následující

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA Další informace o hodnotě registru RestrictAnonymous získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

        postup použití hodnoty registru RestrictAnonymous v systému Windows 2000
         

        omezení informací dostupných pro přihlášené anonymní uživatele
         

    2. Riziková konfigurace

      Povolení přístup k síti: Nepovolit anonymní tvorbu výčtu SAM účtů nastavení je nastavení konfigurace škodlivé z hlediska kompatibility. Jeho vypnutí je nastavení konfigurace škodlivé z hlediska zabezpečení.

    3. Důvody k povolení tohoto nastavení

      Neoprávněný uživatel by mohl anonymně vypsat názvy účtů a potom použít tuto informaci k pokusu o uhádnutí hesel či provedení útoků sociálního inženýrství . Sociální inženýrství je žargonu zabezpečení přičemž lidí k prozrazení jejich hesel nebo jiných informací o zabezpečení.

    4. Důvody k zakázání tohoto nastavení

      Pokud je toto nastavení povoleno, je možné vytvořit vztahy důvěryhodnosti s doménami systému Windows NT 4.0. Toto nastavení také způsobí potíže s klienty nižší úrovně (například klienti systému Windows NT 3.51 a Windows 95), které se pokoušejí použít prostředky na serveru.

    5. Symbolický název:


      RestrictAnonymousSAM

    6. Cesta v registru:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

    7. Příklady potíží s kompatibilitou

    • Služba SMS Network Discovery nebude moci získat informace o operačním systému a zapíše do vlastnosti OperatingSystemNameandVersion hodnotu "Neznámé".

    • Systému Windows 95, Windows 98: Klienti systému Windows 95 a Windows 98 nebudou moci změnit svá hesla.

    • Systému Windows NT 4.0: Systém Windows NT 4.0, na členské počítače nebudou moci být ověřeny.

    • Systému Windows 95, Windows 98: V počítačích Windows 95 i Windows 98 nebudou moci být ověřeny řadiči domén společnosti Microsoft.

    • Systému Windows 95, Windows 98: Uživatelé v počítačích Windows 95 i Windows 98 nebudou moci změnit hesla pro uživatelské účty.

  9. Přístup k síti: Nepovolit anonymní tvorbu výčtu SAM účtů a sdílených položek

    1. Pozadí

      • Přístup k síti: Nepovolit anonymní tvorbu výčtu SAM účtů a sdílených položek (známé také jako RestrictAnonymous) určuje, zda je povolen anonymní výčet účtů správce zabezpečení účtů (SAM) a sdílených položek. Systém Windows umožňuje anonymním uživatelům provádět určité aktivity, jako je například výčet názvů doménových účtů (uživatelů, počítačů a skupin) a sdílených položek v síti. To je vhodné například pokud chce správce udělit přístup uživatelům v důvěryhodné doméně, která nezachovává vzájemnou důvěryhodnost. Pokud nechcete povolit anonymní výčet účtů SAM a sdílených položek, povolte toto nastavení.

      • V systému Windows 2000 spravuje podobné nastavení, nazvané Další omezení anonymních připojení hodnotu registru RestrictAnonymous . Umístění této hodnoty je následující:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

    2. Riziková konfigurace

      Povolení přístup k síti: Nepovolit anonymní tvorbu výčtu SAM účtů a sdílených položek nastavení je nastavení konfigurace škodlivé.

    3. Důvody k povolení tohoto nastavení

      • Povolení přístup k síti: Nepovolit anonymní tvorbu výčtu SAM účtů a sdílených položek zabrání výčet účtů SAM a sdílených položek uživatelům a počítačům, které používají anonymní účty.

    4. Důvody k zakázání tohoto nastavení

      • Pokud je toto nastavení povoleno, mohl neoprávněný uživatel anonymně vypsat názvy účtů a potom použít tuto informaci k pokusu o uhádnutí hesel či provedení útoků sociálního inženýrství . Sociální inženýrství je žargonu zabezpečení přičemž lidí k prozrazení hesel nebo jiných informací o zabezpečení.

      • Pokud je toto nastavení povoleno, bude možné vytvořit vztahy důvěryhodnosti s doménami systému Windows NT 4.0. Toto nastavení také způsobí potíže s klienty nižší úrovně, jako jsou například klienti systému Windows NT 3.51 a Windows 95, kteří se pokoušejí použít prostředky na serveru.

      • Je možné udělit přístup uživatelům domény prostředků, protože správce v důvěřující doméně nebude moci vypsat seznam účtů v druhé doméně. Uživatelé, kteří přistupují anonymně souborové a tiskové servery nebudou moci zobrazit sdílené síťové prostředky na těchto serverech. Uživatelé musí ověřit před zobrazením seznamu sdílených složek a tiskáren.

    5. Symbolický název:

      RestrictAnonymous

    6. Cesta v registru:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

    7. Příklady potíží s kompatibilitou

      • Systému Windows NT 4.0: Uživatelé nebudou moci změnit svá hesla z pracovních stanic se systémem Windows NT 4.0, pokud je Nastavení RestrictAnonymous povoleno v řadičích domén v doméně uživatelů.

      • Systému Windows NT 4.0: Přidání uživatele nebo globální skupiny z důvěryhodných domén systému Windows 2000 do místních skupin systému Windows NT 4.0 ve Správci uživatelů se nezdaří a zobrazí následující chybová zpráva:

        Nyní nejsou k dispozici pro vyřízení žádosti o přihlášení žádné přihlašovací servery.

      • Systému Windows NT 4.0: Počítače se systémem NT 4.0 Windows nebude moci připojit k doménám během instalace nebo pomocí uživatelského rozhraní spojení domény.

      • Systému Windows NT 4.0: Vytvoření vztahu důvěryhodnosti s doménami prostředků systému Windows NT 4.0 se nezdaří. Pokud je Nastavení RestrictAnonymous povoleno v důvěryhodné doméně, zobrazí se následující chybová zpráva:

        Nelze najít řadič domény pro tuto doménu.

      • Systému Windows NT 4.0: Uživatelé, kteří se přihlásí do počítače se systémem Windows NT 4.0 Terminal Server bude mapován na výchozí domovský adresář namísto domovského adresáře, který je definován ve Správci uživatelů pro domény.

      • Systému Windows NT 4.0: Systém Windows NT 4.0 záložní řadiče domény (BDC) nebude možné spustit službu přihlašování k síti, získat seznam záložních prohlížečů nebo synchronizovat databázi SAM ze systému Windows 2000 nebo Windows Server 2003 řadiče domény ve stejné doméně.

      • Systému Windows 2000: Systémem Windows 2000 členských počítačů v doménách nebudou moci zobrazit tiskárny v externích doménách, pokud je povoleno nastavení bez přístupu výslovně anonymních uživatelů bez oprávnění v místních zásadách zabezpečení v klientském počítači systému Windows NT 4.0.

      • Systému Windows 2000: Uživatelé domény systému Windows 2000 nebudou moci přidat síťové tiskárny pomocí služby Active Directory; budou však moci přidat tiskárny je vyberou ze stromového zobrazení.

      • Systému Windows 2000: ACL Editor nebude moci přidat uživatele nebo globální skupiny z důvěryhodných domén systému Windows NT 4.0 v počítačích se systémem Windows 2000.

      • Nástroj ADMT verze 2: Migrace hesla pro uživatelské účty, které jsou migrovány mezi doménovými strukturami s přenesení nástroj ADMT (Active Directory) verze 2, se nezdaří.

        Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

        jak řešit migraci hesel mezi strukturami se ADMTv2

      • Klienti aplikace outlook: Globální seznam adres se zobrazí prázdný klientům Microsoft Exchange Outlook.

        Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

        SMB pomalý výkon při kopírování souborů ze systému Windows XP na řadič domény systému Windows 2000

      • SMS: Zjištění sítě Microsoft Systems Management Server (SMS) nelze získat informace o operačním systému. Proto bude zapisovat "Neznámý" do vlastnosti OperatingSystemNameandVersion hodnotu vlastnosti SMS DDR záznamu dat zjišťování (DDR).

      • SMS: Použijete-li průvodce SMS Správce uživatelů můžete vyhledat uživatele a skupiny, budou uvedeny žádní uživatelé ani skupiny. Rozšíření klienti navíc nemůže komunikovat s bodem správy. Anonymní přístup je vyžadována pro bod správy.

      • SMS: Pokud používáte funkci Network Discovery serveru SMS 2.0 a v instalaci vzdáleného klienta se zapnutou možností topologie, klient a klientské operační systémy , počítače mohou být zjištěny, ale nemusejí být nainstalovány.

  10. Zabezpečení sítě: úroveň ověřování Lan Manager

    1. Pozadí

      Ověřování systému LAN Manager (LM) je protokol, který slouží k ověřování klientů systému Windows pro síťové operace, včetně spojení domény přístup k prostředkům v síti a ověření uživatele nebo počítače. Úroveň ověřování LM určuje, který ověřovací protokol typu výzva a odpověď je vyjednáno mezi klientem a počítači serveru. Úroveň ověřování LM konkrétně určuje protokoly pro ověřování klienta se pokusí vyjednat nebo server přijme. Hodnota, která je nastavena v položce LmCompatibilityLevel určuje, který ověřovací protokol typu výzva a odpověď se používá pro přihlášení k síti. Tato hodnota ovlivňuje úroveň protokolu ověřování, které používají klienti, úroveň vyjednaného zabezpečení relace a úroveň ověřování přijímanou servery.

      Možná nastavení jsou následující.

      Hodnota

      Nastavení

      Popis

      0

      Odeslat odpovědi LM & NTLM

      Klienti používají ověřování LM a NTLM a nikdy nepoužívají zabezpečení relace NTLM verze 2. Řadiče domén přijímají ověřování LM, NTLM a NTLM verze 2.

      1

      Odeslat LM & NTLM - v případě vyjednání použít zabezpečení relace NTLM verze 2

      Klienti používají ověřování LM a NTLM a použít zabezpečení relace NTLMv2, pokud je server podporuje. Řadiče domén přijímají ověřování LM, NTLM a NTLM verze 2.

      2

      Odesílat pouze odpovědi NTLM

      Klienti používají pouze ověřování NTLM a zabezpečení relace NTLM verze 2 Pokud je server podporuje. Řadiče domén přijímají ověřování LM, NTLM a NTLM verze 2.

      3

      Odesílat pouze odpovědi NTLM verze 2

      Klienti používají pouze ověřování NTLM verze 2 a zabezpečení relace NTLM verze 2 Pokud je server podporuje. Řadiče domén přijímají ověřování LM, NTLM a NTLM verze 2.

      4

      Odesílat pouze odpovědi NTLM verze 2 a odmítat odpovědi LM

      Klienti používají pouze ověřování NTLM verze 2 a zabezpečení relace NTLM verze 2 Pokud je server podporuje. Řadiče domény odmítat odpovědi LM a přijímají pouze ověřování NTLM a NTLM verze 2.

      5

      Odesílat pouze odpovědi NTLM verze 2 a odmítat odpovědi LM & NTLM

      Klienti používají pouze ověřování NTLM verze 2 a zabezpečení relace NTLM verze 2 Pokud je server podporuje. Řadiče domény odmítají ověřování LM a NTLM a přijímají pouze ověřování NTLM verze 2.

      Poznámka: V systému Windows 95, Windows 98 a Windows 98 Druhé vydání používá klient adresářových služeb, podepisování paketů SMB během ověřování se servery Windows Server 2003 pomocí ověřování NTLM. Tito klienti však nepoužívají podepisování paketů SMB při ověřování s těmito servery pomocí ověřování NTLM verze 2. Servery Windows 2000 navíc nereagují na požadavky klientů podepisování paketů SMB.

      Zkontrolovat úroveň ověřování LM: Je nutné změnit tuto zásadu na serveru povolit NTLM nebo je nutné nakonfigurovat klientský počítač pro podporu protokolu NTLM verze 2.

      Pokud zásady je nastavena na (5) ověřování NTLMv2 odeslat pouze odpovědi odmítat odpovědi LM & NTLM v cílovém počítači, který chcete připojit, musí buď snížit nastavení v tomto počítači nebo nastavit zabezpečení na stejnou hodnotu nastavení, která je ve zdrojovém počítači se conn ecting z.

      Nalezněte správné umístění, kde můžete změnit LAN manager úroveň ověřování klienta a serveru na stejné úrovni. Po nalezení zásady, které je nastavení úrovně ověřování systému LAN manager pro připojení z počítačů, které používají dřívější verze systému Windows a chcete-li, snižte hodnotu na alespoň (1) Odeslat LM & NTLM - použít NTLM verze 2 zabezpečení relace Pokud vyjednávání. Nekompatibilní nastavení jedním z efektů je, že pokud server vyžaduje ověřování NTLMv2 (hodnota 5), ale klient je nakonfigurován pro použití LM a NTLMv1 pouze (hodnota 0), uživatel při pokusu o ověření dojde k chybě přihlášení, který má špatné heslo a který zvýší špatné Počet hesel. Pokud je nakonfigurováno uzamčení účtu, uživatel může být uzamčení.

      Například bude pravděpodobně třeba hledat v řadiči domény nebo bude pravděpodobně nutné zkontrolovat zásady řadiče domény.

      Podívejte se na řadič domény

      Poznámka: Je třeba zopakovat následující postup na všech řadičích domény.

      1. Klepněte na tlačítko Start, přejděte na příkaz programya potom klepněte na položku Nástroje pro správu.

      2. V části Místní nastavení zabezpečenírozbalte položku Místní zásady.

      3. Klepněte na tlačítko Možnosti zabezpečení.

      4. Poklepejte na zabezpečení sítě: úroveň ověřování LAN managera potom klepněte na hodnotu v seznamu.


      Pokud místní nastavení a nastavení jsou stejné, změnilo zásad na této úrovni. Pokud jsou tato nastavení různá, je nutné zkontrolovat zásadu řadiče domény k určení, zda zabezpečení sítě: úroveň ověřování LAN manager není definováno nastavení. Pokud není definováno není, podívejte se na zásady řadiče domény.

      Prozkoumat zásady řadiče domény

      1. Klepněte na tlačítko Start, přejděte na příkaz programya potom klepněte na položku Nástroje pro správu.

      2. V zásady Zabezpečení řadiče domény rozbalte položku Nastavení zabezpečenía potom rozbalte položku Místní zásady.

      3. Klepněte na tlačítko Možnosti zabezpečení.

      4. Poklepejte na zabezpečení sítě: úroveň ověřování LAN managera potom klepněte na hodnotu v seznamu.


      Note

      • Také bude pravděpodobně nutné zkontrolovat zásady, které jsou propojeny na úrovni serveru, úrovni domény nebo organizační jednotky (OU) úrovni, chcete-li zjistit, kde je nutné nakonfigurovat úroveň ověřování systému LAN manager.

      • Pokud implementujete nastavení Zásady skupiny jako výchozí zásadu domény, zásady platí pro všechny počítače v doméně.

      • Pokud implementujete nastavení Zásady skupiny jako výchozí řadič domény zásady, zásady se vztahuje pouze na serverech v organizační jednotce řadiče domény.

      • Je vhodné nastavit úroveň ověřování systému LAN manager na nejnižší entitu nezbytného rámce v hierarchii použití zásad.

      Windows Server 2003 má nové výchozí nastavení použít pouze protokol NTLMv2. Ve výchozím nastavení, Windows Server 2003 a řadiče domény se systémem Windows 2000 Server SP3 povolili "server sítě Microsoft: digitálně podepsat komunikaci (vždy)" zásady. Toto nastavení vyžaduje, aby server SMB podepisování paketů SMB. Byly provedeny změny systému Windows Server 2003, protože řadiče domény, souborové servery, servery síťové infrastruktury a webové servery v kterékoli organizaci vyžadují jiné nastavení, aby maximalizoval jejich zabezpečení.

      Pokud chcete implementovat ověřování NTLM verze 2 v síti, musí zkontrolujte, zda všechny počítače v doméně jsou nastaveny na používání této úrovně ověřování. Pokud použijete Active Directory klienta rozšíření pro Windows 95 nebo Windows 98 a Windows NT 4.0, rozšíření klienta pomocí vylepšené funkce, které jsou k dispozici v protokolu NTLM verze 2. Protože klientské počítače, které používají některý z následujících operačních systémů nejsou ovlivněny objekty Zásady skupiny systému Windows 2000, bude pravděpodobně nutné tyto klienty nakonfigurovat ručně:

      • Microsoft Windows NT 4.0

      • Microsoft Windows Millennium Edition

      • Microsoft Windows 98

      • Microsoft Windows 95

      Poznámka: Pokud povolíte zabezpečení sítě: Neukládat hodnotu hash systému LAN manager při příští změně hesla zásad nebo nastavení registru klíč NoLMHash , nelze systém Windows 95 a Windows 98 klienti, kteří nemají nainstalovaného klienta adresářových služeb Přihlaste se k doméně po provedení změny hesla.

      Mnoho serverů CIFS jiných výrobců, jako například Novell Netware 6, nevědí o NTLM verze 2 a používá pouze protokol NTLM. Úrovně vyšší než 2 tedy nedovolují připojení. Existují také klienti SMB třetích stran, které nepoužívají zabezpečení relace extended. V těchto případech je LmCompatiblityLevel prostředku serveru nebere v úvahu. Server pak balíky toto starší požadavek a odešle do řadiče domény uživatele. Nastavení v řadiči domény, potom rozhodnout, jaké hodnoty hash se používají k ověření požadavku a zda jsou tyto splňují požadavky na zabezpečení řadiče domény.

      Další informace o postupu ruční konfigurace úrovně ověřování systému LAN manager získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

      Jak zakázání ověřování LM v systému Windows NT
       

      jak zabránit systému Windows v ukládání hodnoty hash LAN manager hesla v adresáři služby Active Directory a místních databázích SAM
       

      aplikace outlook bude nadále výzvu k zadání pověření pro přihlášení
       

      Události auditu ověřovací balíček zobrazí jako NTLMv1 namísto NTLM verze 2 Další informace o úrovních ověřování LM získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

      Jak povolení ověřování protokolem NTLM 2
       

    2. Riziková konfigurace

      Následuje nastavení konfigurace škodlivé:

      • Neomezující nastavení, který odesílání hesel ve formě prostého textu a odmítají vyjednávání protokolu NTLM verze 2

      • Omezující nastavení, která brání nekompatibilním klientům a řadiče domény ve vyjednávání běžný ověřovací protokol

      • Požadování ověřování NTLM verze 2 v členských počítačích a řadičích domény se systémem verze systému Windows NT 4.0, které jsou starší než Service Pack 4 (SP4)

      • Klienti systému Windows 95 nebo Windows 98 klienti, kteří nemají nainstalovaného klienta adresářových služeb systému Windows vyžadující ověřování NTLM verze 2.

      • Pokud zaškrtnete políčko Požadovat zabezpečení relací NTLMv2 v modulu snap-in konzola Microsoft Management Console Zásady skupiny Editor v systému Windows Server 2003 nebo počítače se systémem Windows 2000 Service Pack 3 a nižší úroveň ověřování systému LAN manager 0 konfliktu dvou nastavení a může se zobrazit následující chybová zpráva v souboru Secpol.msc nebo GPEdit.msc:

        Systém Windows nemůže otevřít databázi místních zásad. Došlo k neznámé chybě při pokusu o otevření databáze.

        Další informace o konfiguraci zabezpečení a analýzy nástroj naleznete v systému Windows 2000 nebo soubory nápovědy systému Windows Server 2003.

    3. Důvody ke změně tohoto nastavení

      • Chcete zvýšit nejnižší společný ověřovací protokol podporovaný klienty a řadiči domény v organizaci.

      • Pokud je zabezpečené ověřování obchodní nutností, je potřeba zakázat vyjednávání LM a NTLM protokoly.

    4. Důvody k zakázání tohoto nastavení

      Klientské požadavky na ověření serveru nebo obojí, byly zvýšeny až k bodu, kde nemůže dojít k ověření přes společný protokol.

    5. Symbolický název:

      LmCompatibilityLevel

    6. Cesta v registru:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. Příklady potíží s kompatibilitou

      • Systému Windows Server 2003: Ve výchozím nastavení je povolena systému Windows Server 2003 odesílat odpovědi NTLMV2 nastavení. Proto systém Windows Server 2003 obdrží chybovou zprávu "Přístup odepřen" po počáteční instalaci při pokusu o připojení ke clusteru se systémem Windows NT 4.0 a servery se systémem LanManager V2.1, například OS/2 Lanserver. K tomuto problému také dochází při pokusu o připojení k serveru se systémem Windows Server 2003 z dřívější verze klienta.

      • Nainstalujete aktualizaci Windows 2000 Security Rollup Package 1 (SRP1). SRP1 Vynutí ověřování NTLM verze 2 (NTLMv2). Tento kumulativní balíček byla vydána po vydání aktualizace Windows 2000 Service Pack 2 (SP2). Další informace o balíčku SRP1 získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:

        Windows 2000 Security Rollup Package 1. ledna 2002
         

      • Windows 7 a Windows Server 2008 R2: mnoho serverů CIFS jiných výrobců, jako například Novell Netware 6 nebo Samba Linux-based servery nejsou vědomi NTLM verze 2 a používá pouze protokol NTLM. Úrovně vyšší než "2", tedy nedovolují připojení. V této verzi operačního systému je nyní ve výchozím nastavení LmCompatibilityLevel byl změněn na "3". Proto při upgradu systému Windows tyto třetí strany filtrech mohou přestat fungovat.

      • Klienti aplikace Microsoft Outlook může být vyzván k zadání pověření, přestože je již přihlášen do domény. Když uživatelé zadat svá pověření, zobrazí následující chybová zpráva: systém Windows 7 a Windows Server 2008 R2

        Uvedená přihlašovací pověření byla chybná. Přesvědčte se, zda uživatelské jméno a doména jsou správné a potom znovu zadejte heslo.

        Když spustíte aplikaci Outlook, můžete být vyzváni k zadání pověření i v případě, že vaše zabezpečení při přihlašování do sítě je nastavení průchodu nebo ověření hesla. Po zadání správných pověření se může zobrazit následující chybová zpráva:

        Uvedená přihlašovací pověření byla chybná.

        Sledování sítě může zobrazit, že globální katalog vydal chybu vzdáleného volání (procedur RPC) se stavem 0x5. Stav 0x5 znamená "Přístup byl odepřen".

      • Systému Windows 2000: Program Sledování sítě může zobrazit následující chyby v rozhraní NetBIOS nad protokolem TCP/IP (NetBT) server message block (SMB) relace:

        SMB R hledání adresáře Dos error, (5) (91) uživatel neplatný identifikátor STATUS_LOGON_FAILURE ACCESS_DENIED (109)

      • Systému Windows 2000: Pokud domény Windows 2000 s ověřováním NTLMv2 úrovně 2 nebo vyšší je důvěryhodné domény systému Windows NT 4.0, systémem Windows 2000 členské počítače v doméně prostředků může docházet k chybám ověřování.

      • Windows 2000 a Windows XP: Výchozím nastavením systému Windows 2000 a Windows XP možnost LAN Manager Authentication úroveň místní zásady zabezpečení na hodnotu 0. Hodnota 0 znamená "Odeslat odpovědi LM a NTLM odpovědi."

        Poznámka: Systém Windows NT 4.0, na clustery používaly LM pro správu.

      • Systému Windows 2000: Služba clusterů systému Windows 2000 neověří připojující se uzel, pokud jsou oba uzly součástí systému Windows NT 4.0 Service Pack 6a (SP6a) domény.

      • Nástroj IIS Lockdown (HiSecWeb) nastaví hodnotu LMCompatibilityLevel na 5 a klíč RestrictAnonymous na hodnotu 2.

      • Služby pro systém Macintosh

        Modul ověřování uživatele (UAM): Modul Microsoft UAM (User Authentication Module) poskytuje metodu šifrování hesel používaných k přihlášení k serverům Windows AFP (AppleTalk Filing Protocol). Apple uživatelský ověřovací modul UAM poskytuje pouze minimální nebo žádné šifrování. Proto heslo může snadno zachytit v síti LAN nebo v Internetu. Ačkoli modul UAM není vyžadován, poskytuje šifrované ověřování pro servery systému Windows 2000, spuštění služby pro systém Macintosh. Tato verze obsahuje podporu pro šifrované ověřování NTLM verze 2 128 bitů a o MacOS X 10.1 kompatibilní verzi.

        Ve výchozím služby systému Windows Server 2003 pro server pro systém Macintosh umožňuje pouze Microsoft Authentication.


        Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

        klient Macintosh nemůže připojit k službě Services for Mac v systému Windows Server 2003

      • Systému Windows Server 2008, Windows Server 2003, Windows XP a Windows 2000: Pokud nakonfigurujete hodnotu LMCompatibilityLevel na hodnotu 0 nebo 1 a potom nakonfigurujete hodnotu NoLMHash na 1, aplikací a komponent může být odepřen přístup prostřednictvím protokolu NTLM. K tomuto problému dochází, protože počítač je nakonfigurován Povolit LM, ale nikoli pomocí LM uložená hesla.

        Pokud nakonfigurujete hodnotu NoLMHash na 1, je nutné nakonfigurovat hodnotu LMCompatibilityLevel na 2 nebo vyšší.

  11. Zabezpečení sítě: Požadavky podepisování klienta LDAP

    1. Pozadí

      Zabezpečení sítě: Požadavky podepisování klienta LDAP nastavení určuje úroveň podepisování dat požadovanou vydávat VAZBU Lightweight Directory Access Protocol (LDAP), které klientům požadavků následujícím způsobem:

      • Žádné: požadavek LDAP BIND je vydán s možností určených volajícím.

      • Vyjednat podepisování: Pokud protokol SSL (Secure Sockets Layer) / Transport Layer Security (SSL/TLS) nebyla spuštěna, bude požadavek LDAP BIND vyvolán s možnosti kromě možností určených volajícím podepisování dat LDAP. Pokud byl spuštěn protokol SSL/TLS, bude požadavek LDAP BIND iniciován s možností určených volajícím.

      • Požaduje podepsání: to je stejné jako Vyjednat podepisování. Pokud však odezva saslBindInProgress serveru LDAP neindikuje, že je požadováno podepisování provozu LDAP, volající je oznámeno, že požadavek příkazu BIND protokolu LDAP se nezdařilo.

    2. Riziková konfigurace

      Povolení zabezpečení sítě: Požadavky podepisování klienta LDAP nastavení je nastavení konfigurace škodlivé. Pokud nastavíte server vyžadovat podpisy LDAP, je nutné nakonfigurovat podepisování protokolu LDAP na straně klienta. Není konfigurace klienta k použití protokolu LDAP podpisy zabrání komunikaci se serverem. To způsobí, že ověření uživatele, Zásady skupiny nastavení, přihlašovací skripty a další funkce selhání.

    3. Důvody ke změně tohoto nastavení

      Nepodepsaný síťový provoz je náchylný k útoku man-in-the-middle kde zachytává neoprávněná osoba pakety mezi klientem a servery upravuje jejich a předá je na server. V tomto případě na serveru LDAP, útočník by mohl způsobit, že server odpovídat na základě podvržených dotazů klienta LDAP. Toto riziko lze v podnikové síti lze snížit implementací důrazných fyzických bezpečnostních opatření k ochraně síťové infrastruktury. Kromě toho můžete předejít útoku man-in-the-middle všeho druhu vyžadovány digitální podpisy na všechny síťové pakety prostřednictvím ověřovacích hlaviček protokolu IPSec.

    4. Symbolický název:

      LDAPClientIntegrity

    5. Cesta v registru:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

  12. Protokol událostí: Maximální velikost protokolu zabezpečení

    1. Pozadí

      Protokol událostí: maximální velikost protokolu zabezpečení nastavení zabezpečení určuje maximální velikost protokolu událostí zabezpečení. Tento protokol má maximální velikost 4 GB. Chcete-li najít toto nastavení, rozbalte
      Nastavení systému Windowsa potom rozbalte položku Nastavení zabezpečení.

    2. Riziková konfigurace

      Následuje nastavení konfigurace škodlivé:

      • Omezení velikosti a metody uchování protokolu zabezpečení při auditu: vypnutí systému okamžitě, je-li možno protokolovat auditování zabezpečení je nastavení povoleno. Viz "auditu: vypnutí systému okamžitě, je-li možno protokolovat auditování zabezpečení" části tohoto článku Další podrobnosti.

      • Omezení velikosti protokolu zabezpečení tak, že jsou přepsány události zabezpečení.

    3. Důvody ke zvýšení tohoto nastavení

      Požadavky mohou diktovat, že, zvýšení velikosti protokolu zabezpečení zpracování detailů zvyšuje zabezpečení protokolu nebo chcete-li zachovat zabezpečení protokolů pro delší časové období.

    4. Důvody ke snížení tohoto nastavení

      Protokoly Prohlížeče událostí jsou soubory namapované v paměti. Maximální velikost protokolu událostí je omezena velikost fyzické paměti v počítači a virtuální paměti, která je k dispozici ke zpracování protokolu událostí. Zvýšení velikosti protokolu přesahuje velikost virtuální paměti, která je k dispozici prohlížeč událostí nezvýší počet položek protokolu, které jsou zachovány.

    5. Příklady potíží s kompatibilitou

      Systému Windows 2000: Počítače se systémem verze systému Windows 2000, které jsou starší než Service Pack 4 (SP4) mohou přestat protokolování událostí před dosažením velikosti zadané v maximální velikost protokolu nastavení v prohlížeči událostí, pokud Nepřepisovat události v protokolu událostí (protokol vymazávat ručně) je zapnuta možnost.


      Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

      v protokolu událostí zastaví protokolování událostí před dosažením maximální velikosti protokolu
       

  13. Protokol událostí: Doba uchování protokolu zabezpečení

    1. Pozadí

      Protokol událostí: Doba uchování protokolu zabezpečení nastavení zabezpečení určuje metodu "zabalení" protokolu zabezpečení. Chcete-li najít toto nastavení, rozbalte položku Nastavení systému Windowsa potom rozbalte položku Nastavení zabezpečení.

    2. Riziková konfigurace

      Následuje nastavení konfigurace škodlivé:

      • Neuchování všech zaznamenaných událostí zabezpečení před nebudou přepsány

      • Konfigurace nastavení příliš malá, takže jsou přepsány události zabezpečení maximální velikost protokolu zabezpečení

      • Omezení zabezpečení protokolu velikosti a metody uchování auditu: vypnutí systému okamžitě, je-li možno protokolovat auditování zabezpečení nastavení zabezpečení povoleno

    3. Důvody k povolení tohoto nastavení

      Toto nastavení povolte pouze v případě, že vyberete metodu uchování Přepisovat události podle data . Pokud používáte systém korelace událostí, který získává informace o události, ujistěte se, že počet dnů je nejméně třikrát frekvence dotazování. Tím umožníte cykly chybných dotazů proveďte.

  14. Přístup k síti: udělení oprávnění skupiny Everyone pro anonymní uživatele

    1. Pozadí

      Ve výchozím nastavení přístup k síti: použít oprávnění skupiny Everyone anonymním uživatelům je nastavena na Není definována v systému Windows Server 2003. Ve výchozím nastavení, systém Windows Server 2003 nezahrnuje token anonymního přístupu do Everyone skupiny.

    2. Příklad potíží s kompatibilitou

      Hodnota

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous[REG_DWORD] = 0x0 poruší vztah důvěryhodnosti vytvořený mezi Windows Server 2003 a Windows NT 4.0, pokud domény Windows Server 2003 je účet domény a domény systému Windows NT 4.0 domény prostředků. To znamená, že doména účtů důvěryhodná pro systém Windows NT 4.0 a doména prostředků je Důvěřující na straně systému Windows Server 2003. K tomuto chování dochází, protože proces po počátečním anonymním připojení ACL důvěryhodnosti by se všemi token, který obsahuje anonymní SID v systému Windows NT 4.0.

    3. Důvody ke změně tohoto nastavení

      Hodnota musí být nastavena na 0x1 nebo nastavit pomocí objektu zásad skupiny v řadiči domény organizační jednotky se: přístup k síti: použít oprávnění skupiny Everyone pro anonymní uživatele - povoleno aby bylo možné vytvořit vztah důvěryhodnosti.

      Poznámka: Většina ostatních nastavení zabezpečení se zvedla v hodnotě namísto na 0x0 jako nejvíce zabezpečeného stavu. Bezpečnější způsob by představovala změna registru emulátoru primárního řadiče domény namísto ve všech řadičích domény. Pokud z nějakého důvodu je přesunuta roli primárního řadiče domény emulátoru, třeba na novém serveru aktualizován registr.

      Po nastavení této hodnoty je vyžadováno restartování.

    4. Cesta registru

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

  15. Ověřování NTLM verze 2

    1. Relace zabezpečení

      Zabezpečení relace určuje minimální standardy zabezpečení relací klientů a serverů. Je vhodné ověřit následující nastavení zásady zabezpečení modulu snap-in konzola Microsoft Management Console Zásady skupiny Editor:

      • Konfigurace systému Windows\Nastavení zabezpečení\Místní Zásady\možnosti

      • Zabezpečení sítě: Minimální zabezpečení relace pro NTLM SSP základě (včetně zabezpečení RPC) serverů

      • Zabezpečení sítě: Minimální zabezpečení relace pro NTLM SSP základě (včetně zabezpečení RPC) klientů

      Možnosti pro toto nastavení jsou následující:

      • Požadovat integritu zprávy

      • Požadovat důvěrnost zprávy

      • Vyžadovat ověřování NTLM verze 2 zabezpečení relace

      • Vyžadovat 128bitové šifrování

      Ve výchozím nastavení před Windows 7 je žádné požadavky. Počínaje systémem Windows 7, výchozí nastavení změněno na Vyžadovat 128bitové šifrování pro lepší zabezpečení. Toto výchozí nastavení starší zařízení, která nepodporují šifrování 128-bit bude moci připojit.

      Tyto zásady určují pro klienta minimální standardy zabezpečení pro aplikace aplikace komunikační relaci na serveru.

      Všimněte si, že ačkoli popsané jako platné nastavení, požadovat integrity a důvěrnosti zpráv příznaky nejsou použity při zabezpečení relace NTLM.

      Systém Windows NT historicky podporoval následující dvě varianty ověřování Výzva a odpověď pro přihlášení k síti:

      • LM – výzva a odezva

      • Verze 1 NTLM typu výzva a odpověď

      LM umožňuje součinnost s instalovanou základnou klientů a serverů. Protokol NTLM poskytuje lepší zabezpečení připojení mezi klienty a servery.

      Odpovídající klíče registru jsou následující:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

    2. Riziková konfigurace

      Toto nastavení určuje způsob zpracování síťových relací, které jsou zabezpečeny pomocí protokolu NTLM. To ovlivní relace vzdáleného volání procedur ověřování pomocí NTLM, např. Existují následující rizika:

      • Použití starší metody ověřování než ověřování NTLMv2 usnadňuje útoku z důvodu jednodušší hash metod komunikace.

      • Pomocí nižší než 128bitové šifrovací klíče umožňuje útočníkům přerušení komunikace pomocí útoku hrubou silou.

Synchronizace času

Synchronizace času se nezdařila. Čas je ve více než 30 minut v daném počítači vypnuto. Ujistěte se, že klientský počítač hodiny synchronizovány s hodinami řadiče domény.

Řešení pro podepisování paketů SMB

Doporučujeme instalovat Service Pack 6a (SP6a) na klienty Windows NT 4.0, kteří spolupracují v doméně se systémem Windows Server 2003. Klienty se systémem Windows 98 Druhé vydání, klienti se systémem Windows 98 a klientů se systémem Windows 95 musí spustit klienta adresářových služeb k provedení ověřování NTLMv2. Není-li klienti se systémem Windows NT 4.0 nainstalována aktualizace Windows NT 4.0 SP6 nebo klientů se systémem Windows 95, klienti se systémem Windows 98 a Windows 98SE klientů nemají nainstalovaného klienta služby Directory zakažte SMB podepisování ve výchozí doméně nastavení v řadiči domény zásady řadiče na organizační jednotku a potom připojit tuto zásadu ke všem organizačním jednotkám, které hostují řadiče domény.

Klient adresářových služeb pro Windows 98 Druhé vydání, Windows 98 a Windows 95 provede podepisování paketů SMB se servery Windows 2003 v rámci ověřování NTLM, ale nikoli v rámci ověřování NTLMv2. Kromě toho servery systému Windows 2000, nebude odpovídat na požadavky podepisování paketů SMB z těchto klientů.

Ačkoli to nedoporučujeme, můžete zabránit nutnosti na všech řadičích domény se systémem Windows Server 2003 v doméně podepisování paketů SMB. Chcete-li nakonfigurovat toto nastavení zabezpečení, postupujte takto:

  1. Otevřete výchozího řadiče domény zásady.

  2. Otevřete složku Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní Zásady\možnosti .

  3. Vyhledejte a klepněte server sítě Microsoft: digitálně podepsat komunikaci (vždy) nastavení zásad a poté klepněte na položku Zakázáno.

Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru mohou nastat závažné problémy Proto se ujistěte, že budete opatrně postupovat podle těchto kroků Pro zvýšení ochrany před úpravou zálohujte registr. Pokud dojde k potížím, pak můžete registr obnovit ze zálohy. Pro další informace o zálohování a obnovení registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:

postup zálohování a obnovení registru v systému WindowsJe také možné vypnete podepisování SMB na serveru pomocí úpravy registru. Chcete-li to provést, postupujte takto:

  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz regedita klepněte na tlačítko OK.

  2. Vyhledejte následující podklíč a klikněte na něj:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

  3. Klepněte na položku enablesecuritysignature .

  4. V nabídce Úpravy klepněte na příkaz změnit.

  5. V poli Údaj hodnoty zadejte hodnotu 0a klepněte na tlačítko OK.

  6. Ukončete Editor registru.

  7. Restartujte počítač nebo zastavte a znovu spusťte službu Server. Chcete-li to provést, zadejte na příkazovém řádku následující příkazy a po zadání každého příkazu stiskněte klávesu Enter:
    příkaz net stop server
    příkaz net start server

Poznámka: Odpovídající klíč v klientském počítači se nachází v následujícím podklíči registru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\ParametersNásledující seznam obsahuje čísla kódů chyb přeložený na kódy stavů a doslovné znění chybové zprávy, které byly uvedeny dříve:

Chyba 5
ERROR_ACCESS_DENIED

Přístup byl odepřen.

Chyba 1326

ERROR_LOGON_FAILURE

Přihlašovací chyba: Neznámé uživatelské jméno nebo špatné heslo.

Chyba 1788

ERROR_TRUSTED_DOMAIN_FAILURE

Vztah důvěryhodnosti mezi primární doménou a důvěryhodnou doménou selhal.

chybě 1789

ERROR_TRUSTED_RELATIONSHIP_FAILURE

Vztah důvěryhodnosti mezi touto pracovní stanicí a primární doménou selhal.

Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

jak nakonfigurovat zásady skupiny nastavení zabezpečení systémových služeb v systému Windows Server 2003
 

postup povolení podepisování paketů SMB ve Windows NT
 

způsob použití předdefinovaných šablon zabezpečení v systému Windows Server 2003
 

je nutné zadat pověření účtu systému Windows při připojení k serveru Exchange Server 2003 pomocí aplikace Outlook 2003 vzdáleného volání Procedur přes protokol HTTP

Potřebujete další pomoc?

Rozšiřte své znalosti a dovednosti
Projít školení
Získejte nové funkce jako první
Připojit se k programu Microsoft Insider

Byly tyto informace užitečné?

Děkujeme za váš názor!

Děkujeme vám za váš názor! Pravděpodobně bude užitečné, když vás spojíme s některým z našich agentů podpory Office.

×