Shrnutí
Nastavení zabezpečení a přiřazení uživatelských práv je možné změnit v místních zásadách a zásadách skupiny, aby se usnadnil zpřísnění zabezpečení řadičů domény a členských počítačů. Nevýhodou zvýšeného zabezpečení je ale zavedení nekompatibilností s klienty, službami a programy.
Tento článek popisuje nekompatibilitu, ke kterým může dojít v klientských počítačích se systémem Windows XP nebo starší verzí systému Windows, když změníte konkrétní nastavení zabezpečení a přiřazení uživatelských práv v doméně systému Windows Server 2003 nebo v dřívější doméně systému Windows Server. Informace o Zásady skupiny pro systém Windows 7, Windows Server 2008 R2 a Windows Server 2008 naleznete v následujících článcích:-
Informace o Windows 7 najdete v tématu Zásady skupiny správy it specialistů.
-
Informace o windows 7 a Windows Serveru 2008 R2 najdete v tématu Novinky v Zásady skupiny
Poznámka: Zbývající obsah v tomto článku je specifický pro systém Windows XP, Windows Server 2003 a starší verze systému Windows.
Windows XP
Pokud chcete zvýšit povědomí o nesprávně nakonfigurovaných nastaveních zabezpečení, změňte nastavení zabezpečení pomocí nástroje editor objektů Zásady skupiny. Při použití editoru objektů Zásady skupiny se přiřazení uživatelských práv vylepšují v následujících operačních systémech:
-
Windows XP Professional Service Pack 2 (SP2)
-
Windows Server 2003 Service Pack 1 (SP1)
Vylepšená funkce je dialogové okno, které obsahuje odkaz na tento článek. Toto dialogové okno se zobrazí, když změníte nastavení zabezpečení nebo přiřazení uživatelských práv na nastavení, které nabízí menší kompatibilitu a je více omezující. Pokud přímo změníte stejné nastavení zabezpečení nebo přiřazení uživatelských práv pomocí registru nebo pomocí šablon zabezpečení, je efekt stejný jako změna nastavení v editoru objektů Zásady skupiny. Dialogové okno obsahující odkaz na tento článek se však nezobrazí.
Tento článek obsahuje příklady klientů, programů a operací ovlivněných konkrétním nastavením zabezpečení nebo přiřazením uživatelských práv. Příklady ale nejsou autoritativní pro všechny operační systémy Microsoftu, pro všechny operační systémy třetích stran nebo pro všechny verze programů, kterých se to týká. V tomto článku nejsou zahrnutá všechna nastavení zabezpečení a přiřazení uživatelských práv. Doporučujeme ověřit kompatibilitu všech změn konfigurace souvisejících se zabezpečením v testovací doménové struktuře před jejich zavedením v produkčním prostředí. Testovací doménová struktura musí zrcadlit produkční doménovou strukturu následujícími způsoby:-
Verze operačního systému klienta a serveru, klientské a serverové programy, verze aktualizací Service Pack, opravy hotfix, změny schématu, skupiny zabezpečení, členství ve skupinách, oprávnění k objektům v systému souborů, sdílené složky, registr, adresářová služba Active Directory, místní nastavení a nastavení Zásady skupiny a typ a umístění počtu objektů
-
Prováděné úlohy správy, používané nástroje pro správu a operační systémy používané k provádění úloh správy
-
Prováděné operace, například:
-
Ověřování při přihlášení počítače a uživatele
-
Resetování hesla uživateli, počítači a správci
-
Procházení
-
Nastavení oprávnění pro systém souborů, pro sdílené složky, pro registr a pro prostředky služby Active Directory pomocí Editoru seznamu ACL ve všech klientských operačních systémech ve všech doménách účtů nebo prostředků ze všech klientských operačních systémů ze všech účtů nebo domén prostředků
-
Tisk z administrativních a nesprávních účtů
-
Windows Server 2003 SP1
Upozornění v gpedit.msc
Aby zákazníci věděli, že upravují uživatelská práva nebo možnost zabezpečení, které by mohly nepříznivě ovlivnit jejich síť, byly do nástroje gpedit.msc přidány dva mechanismy upozornění. Když správci upraví uživatelská práva, která můžou nepříznivě ovlivnit celý podnik, zobrazí se jim nová ikona, která se podobá znaku výnosu. Zobrazí se jim také zpráva s upozorněním, která obsahuje odkaz na článek znalostní báze Microsoft Knowledge Base 823659. Text této zprávy je následující:
Úprava tohoto nastavení může ovlivnit kompatibilitu s klienty, službami a aplikacemi. Další informace najdete v tématu <uživatelská práva nebo možnost zabezpečení, která se mění> (Q823659) Pokud jste byli přesměrováni na tento článek znalostní báze Knowledge Base z odkazu v nástroji Gpedit.msc, ujistěte se, že jste si přečetli a porozuměli poskytnutému vysvětlení a možnému vlivu změny tohoto nastavení. Následující seznam obsahuje uživatelská práva, která obsahují text upozornění:
-
Přístup k tomuto počítači ze sítě
-
Místní přihlášení
-
Obejít kontrolu procházení
-
Povolení důvěryhodných delegování počítačů a uživatelů
Následující seznam uvádí možnosti zabezpečení s upozorněním a automaticky otevíranou zprávou:
-
Člen domény: Digitálně šifrovat nebo podepsat data zabezpečeného kanálu (vždy)
-
Člen domény: Vyžadovat silný klíč relace (Windows 2000 nebo novější verze)
-
Řadič domény: Požadavky na podepisování serveru LDAP
-
Server sítě Microsoft: Digitálně podepsat komunikaci (vždy)
-
Přístup k síti: Umožňuje překlad anonymního identifikátoru SID nebo názvu.
-
Přístup k síti: Nepovolit anonymní výčet účtů SAM a sdílených složek
-
Zabezpečení sítě: Úroveň ověřování lan Manageru
-
Audit: Okamžitě vypněte systém, pokud nejde protokolovat audity zabezpečení.
-
Přístup k síti: Požadavky na podepisování klientů LDAP
Další informace
Následující části popisují nekompatibilitu, ke které může dojít při změně konkrétních nastavení v doménách systém Windows NT 4.0, doménách windows 2000 a doménách Windows Serveru 2003.
Uživatelská práva
Následující seznam popisuje uživatelská práva, identifikuje nastavení konfigurace, která mohou způsobit problémy, popisuje, proč byste měli použít uživatelská práva a proč můžete chtít odebrat uživatelská práva, a obsahuje příklady problémů s kompatibilitou, ke kterým může dojít při konfiguraci uživatelského práva.
-
Přístup k tomuto počítači ze sítě
-
Pozadí
Schopnost pracovat se vzdálenými počítači se systémem Windows vyžaduje přístup k tomuto počítači ze síťového uživatelského práva. Mezi příklady takových síťových operací patří:-
Replikace služby Active Directory mezi řadiči domény ve společné doméně nebo doménové struktuře
-
Požadavky na ověřování řadičů domény od uživatelů a počítačů
-
Přístup ke sdíleným složkám, tiskárnám a dalším systémovým službám umístěným ve vzdálených počítačích v síti
-
-
Rizikové konfigurace
Následují škodlivá nastavení konfigurace:-
Odebrání skupiny zabezpečení Podnikové řadiče domény z tohoto uživatelského práva
-
Odebrání skupiny Authenticated Users nebo explicitní skupiny, která umožňuje uživatelům, počítačům a účtům služeb uživatelské právo připojovat se k počítačům přes síť
-
Odebrání všech uživatelů a počítačů z tohoto uživatelského práva
-
-
Důvody udělení tohoto uživatelského práva
-
Udělení přístupu k tomuto počítači ze síťového uživatelského práva ke skupině Enterprise Domain Controllers splňuje požadavky na ověřování, které musí mít replikace služby Active Directory, aby mohla probíhat replikace mezi řadiči domény ve stejné doménové struktuře.
-
Toto uživatelské právo umožňuje uživatelům a počítačům přístup ke sdíleným souborům, tiskárnám a systémovým službám, včetně služby Active Directory.
-
Toto uživatelské právo je vyžadováno pro přístup uživatelů k poště pomocí starších verzí aplikace Microsoft Outlook Web Access (OWA).
-
-
Důvody pro odebrání tohoto uživatelského práva
-
Uživatelé, kteří mohou připojit své počítače k síti, mají přístup k prostředkům ve vzdálených počítačích, ke kterým mají oprávnění. Například toto uživatelské právo se vyžaduje, aby se uživatel připojil ke sdíleným tiskárnám a složkám. Pokud je toto uživatelské právo uděleno skupině Everyone a některé sdílené složky mají nakonfigurovaná oprávnění ke sdílené složce i systému souborů NTFS tak, aby stejná skupina měla přístup pro čtení, může soubory v těchto sdílených složkách zobrazit kdokoli. Je to však nepravděpodobná situace pro nové instalace systému Windows Server 2003, protože výchozí sdílená složka a oprávnění NTFS v systému Windows Server 2003 nezahrnují skupinu Všichni. U systémů upgradovaných z Microsoft systém Windows NT 4.0 nebo Windows 2000 může toto ohrožení zabezpečení mít vyšší úroveň rizika, protože výchozí sdílená složka a oprávnění systému souborů pro tyto operační systémy nejsou tak omezující jako výchozí oprávnění v systému Windows Server 2003.
-
Pro odebrání skupiny Enterprise Domain Controllers z tohoto uživatelského práva neexistuje žádný platný důvod.
-
Skupina Everyone se obecně odebrala ve prospěch skupiny Authenticated Users. Pokud je skupina Everyone odebrána, musí být skupině Authenticated Users uděleno toto uživatelské právo.
-
domény systém Windows NT 4.0, které jsou upgradovány na systém Windows 2000, explicitně neudělují přístup k tomuto počítači ze síťového uživatelského práva skupině Everyone, skupině Authenticated Users nebo skupině Enterprise Domain Controllers. Proto při odebrání skupiny Everyone ze zásad domény systém Windows NT 4.0 replikace služby Active Directory selže s chybovou zprávou "Přístup odepřen" po upgradu na systém Windows 2000. Winnt32.exe v systému Windows Server 2003 se této chybné konfiguraci vyhnete tím, že skupině Enterprise Domain Controllers udělíte toto uživatelské právo při upgradu primárních řadičů domény systém Windows NT 4.0. Udělte skupině Enterprise Domain Controllers toto uživatelské právo, pokud není k dispozici v editoru objektů Zásady skupiny.
-
-
Příklady problémů s kompatibilitou
-
Windows 2000 a Windows Server 2003: Replikace následujících oddílů selže s chybami Odepření přístupu, které hlásí monitorovací nástroje, jako jsou REPLMON a REPADMIN nebo události replikace v protokolu událostí.
-
Oddíl schématu služby Active Directory
-
Oddíl konfigurace
-
Oddíl domény
-
Oddíl globálního katalogu
-
Oddíl aplikace
-
-
Všechny síťové operační systémy Microsoftu: Ověřování uživatelských účtů ze vzdálených klientských počítačů sítě selže, pokud uživatel nebo skupina zabezpečení, do které je uživatel členem, nemá udělené toto uživatelské právo.
-
Všechny síťové operační systémy Microsoftu: Ověřování účtu ze vzdálených síťových klientů selže, pokud účet nebo skupina zabezpečení, ve které je účet členem, nemá udělené toto uživatelské právo. Tento scénář se týká uživatelských účtů, účtů počítačů a účtů služeb.
-
Všechny síťové operační systémy Microsoftu: Odebrání všech účtů z tohoto uživatelského práva zabrání jakémukoli účtu v přihlášení k doméně nebo v přístupu k síťovým prostředkům. Pokud jsou odebrané vypočítané skupiny, jako jsou řadiče podnikové domény, všichni uživatelé nebo ověření uživatelé, musíte explicitně udělit tomuto uživateli oprávnění k účtům nebo skupinám zabezpečení, jejichž členem je účet pro přístup ke vzdáleným počítačům přes síť. Tento scénář platí pro všechny uživatelské účty, pro všechny účty počítačů a pro všechny účty služeb.
-
Všechny síťové operační systémy Microsoftu: Účet místního správce používá "prázdné" heslo. Síťové připojení s prázdnými hesly není povolené pro účty správců v doménovém prostředí. Při této konfiguraci můžete očekávat, že se zobrazí chybová zpráva Přístup byl odepřen.
-
-
-
Povolit místní přihlášení
-
Pozadí
Uživatelé, kteří se pokouší přihlásit v konzole počítače se systémem Windows (pomocí klávesové zkratky CTRL+ALT+DELETE) a účty, které se pokoušejí spustit službu, musí mít na hostitelském počítači oprávnění k místnímu přihlášení. Mezi příklady místních přihlašovacích operací patří správci, kteří se přihlašují ke konzolám členských počítačů, nebo řadiče domény v podniku a doméně, kteří se přihlašují k členským počítačům pro přístup ke svým počítačům pomocí účtů bez oprávnění. Uživatelé, kteří používají připojení ke vzdálené ploše nebo Terminálovou službu, musí mít v cílových počítačích se systémem Windows 2000 nebo Windows XP oprávnění povolit místní přihlášení, protože tyto režimy přihlášení jsou považovány za místní pro hostitelský počítač. Uživatelé, kteří se přihlašují k serveru s povoleným terminálovým serverem a kteří nemají toto uživatelské právo, mohou i nadále spustit vzdálenou interaktivní relaci v doménách systému Windows Server 2003, pokud mají uživatelská práva Povolit přihlášení prostřednictvím Terminálové služby. -
Rizikové konfigurace
Následují škodlivá nastavení konfigurace:-
Odebrání skupin zabezpečení pro správu, včetně operátorů účtů, operátorů zálohování, operátorů tisku nebo serverových operátorů, a předdefinované skupiny Administrators ze zásad výchozího řadiče domény.
-
Odebrání účtů služeb používaných komponentami a programy na členských počítačích a na řadičích domény v doméně ze zásad výchozího řadiče domény.
-
Odebrání uživatelů nebo skupin zabezpečení, které se přihlašují ke konzole členských počítačů v doméně.
-
Odebrání účtů služeb definovaných v místní databázi správce účtů zabezpečení (SAM) členských počítačů nebo počítačů pracovní skupiny
-
Odebrání nezabudovaných účtů pro správu, které se ověřují přes Terminálovou službu spuštěnou na řadiči domény.
-
Přidání všech uživatelských účtů v doméně explicitně nebo implicitně prostřednictvím skupiny Everyone do práva Odepřít přihlášení místně. Tato konfigurace zabrání uživatelům v přihlášení k libovolnému členu počítače nebo k řadiči domény v doméně.
-
-
Důvody udělení tohoto uživatelského práva
-
Uživatelé musí mít oprávnění povolit místní přihlášení pro přístup ke konzole nebo ploše počítače pracovní skupiny, členského počítače nebo řadiče domény.
-
Uživatelé musí mít toto uživatelské právo k přihlášení přes relaci Terminálové služby, která je spuštěna v počítači nebo řadiči domény založeném na systému Windows 2000.
-
-
Důvody pro odebrání tohoto uživatelského práva
-
Pokud neomezujete přístup konzoly k legitimním uživatelským účtům, může to způsobit, že neoprávnění uživatelé stáhnou a spustí škodlivý kód, aby změnili svá uživatelská práva.
-
Odebrání oprávnění Povolit přihlášení místně uživatele zabraňuje neoprávněnému přihlášení k konzolám počítačů, jako jsou řadiče domény nebo aplikační servery.
-
Odebrání tohoto přihlašovacího práva brání účtům mimo doménu v přihlášení v konzole členských počítačů v doméně.
-
-
Příklady problémů s kompatibilitou
-
Terminálové servery systému Windows 2000: Aby se uživatelé mohli přihlásit k terminálovým serverům systému Windows 2000, je vyžadováno místní uživatelské právo povolit přihlášení.
-
systém Windows NT 4.0, Windows 2000, Windows XP nebo Windows Server 2003: Uživatelské účty musí mít toto uživatelské právo k přihlášení v konzole počítačů se systémem systém Windows NT 4.0, Windows 2000, Windows XP nebo Windows Server 2003.
-
systém Windows NT 4.0 a novějších verzích: Pokud na počítačích se systémem systém Windows NT 4.0 a novějším přidáte uživatelská práva Povolit přihlášení místně, ale implicitně nebo explicitně také udělíte místní přihlašovací právo Odepřít přihlášení, účty se nebudou moct přihlásit ke konzole řadičů domény.
-
-
-
Obejít kontrolu procházení
-
Pozadí
Uživatelské právo Obejít kontrolu procházení umožňuje uživateli procházet složky v systému souborů NTFS nebo v registru bez kontroly speciálního přístupového oprávnění složky Procházení. Uživatelské právo Obejít kontrolu procházení neumožňuje uživateli vypsat obsah složky. Umožňuje uživateli procházet pouze jeho složky. -
Rizikové konfigurace
Následují škodlivá nastavení konfigurace:-
Odebrání účtů bez oprávnění správce, které se přihlašují k počítačům Terminálové služby se systémem Windows 2000 nebo počítačů terminálové služby se systémem Windows Server 2003, které nemají oprávnění pro přístup k souborům a složkám v systému souborů.
-
Odebrání skupiny Everyone ze seznamu objektů zabezpečení, kteří mají toto uživatelské právo ve výchozím nastavení. Operační systémy Windows, a také mnoho programů, jsou navrženy s očekáváním, že každý, kdo má oprávněný přístup k počítači bude mít obejít procházení kontrolovat uživatelské právo. Odebrání skupiny Everyone ze seznamu objektů zabezpečení, kteří mají toto uživatelské právo ve výchozím nastavení, proto může vést k nestabilitě operačního systému nebo k selhání programu. Je lepší nechat toto nastavení ve výchozím nastavení.
-
-
Důvody udělení tohoto uživatelského práva
Výchozím nastavením uživatelského práva Obejít kontrolu procházení je umožnit komukoli obejít kontrolu procházení. Pro zkušené správce systému Windows se jedná o očekávané chování a odpovídajícím způsobem konfigurují seznamy řízení přístupu k systému souborů (SACL). Jediným scénářem, kdy výchozí konfigurace může vést k chybě, je situace, kdy správce, který konfiguruje oprávnění, nerozumí chování a očekává, že uživatelé, kteří nemají přístup k nadřazené složce, nebudou mít přístup k obsahu žádné podřízené složky. -
Důvody pro odebrání tohoto uživatelského práva
Pokud se chcete pokusit zabránit přístupu k souborům nebo složkám v systému souborů, můžou být organizace, které jsou velmi znepokojeny zabezpečením, v pokušení odebrat ze seznamu skupin, které mají uživatelské právo Obejít kontrolu procházení, skupinu Všichni nebo dokonce skupinu Uživatelé. -
Příklady problémů s kompatibilitou
-
Windows 2000, Windows Server 2003: Pokud je uživatelské právo Obejít kontrolu procházení odebráno nebo je chybně nakonfigurováno v počítačích se systémem Windows 2000 nebo Windows Server 2003, Zásady skupiny nastavení ve složce SYVOL nebude replikovat mezi řadiči domény v doméně.
-
Windows 2000, Windows XP Professional, Windows Server 2003: Počítače se systémem Windows 2000, Windows XP Professional nebo Windows Server 2003 budou protokolovat události 1000 a 1202 a nebudou moci použít zásady počítače a zásady uživatele, pokud jsou požadovaná oprávnění systému souborů odebrána ze stromu SYSVOL, pokud je odebráno nebo je nesprávně nakonfigurováno uživatelské právo obejít kontrolu procházení.
-
Windows 2000, Windows Server 2003: V počítačích se systémem Windows 2000 nebo Windows Server 2003 karta Kvóta v Průzkumníkovi Windows zmizí při zobrazení vlastností na svazku.
-
Systém Windows 2000: Uživatelé, kteří nejsou správci, kteří se přihlašují k terminálovému serveru systému Windows 2000, mohou obdržet následující chybovou zprávu:
Userinit.exe chyba aplikace. Aplikaci se nepodařilo správně inicializovat 0xc0000142 kliknutím na tlačítko OK aplikaci ukončete.
-
systém Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Uživatelé, na kterých běží systém Windows NT 4.0, Windows 2000, Windows XP nebo Windows Server 2003, nemusí mít přístup ke sdíleným složkám nebo souborům ve sdílených složkách a v případě, že jim není uděleno uživatelské právo Obejít kontrolu procházení, mohou obdržet chybové zprávy o odepření přístupu.
-
systém Windows NT 4.0: V počítačích se systémem systém Windows NT 4.0 odebrání uživatelského práva Obejít kontrolu procházení způsobí, že kopírování souboru zahodí datové proudy souborů. Pokud odeberete toto uživatelské právo, při zkopírování souboru z klienta systému Windows nebo z klienta systému Macintosh do řadiče domény systém Windows NT 4.0 se spuštěnými službami pro systém Macintosh dojde ke ztrátě datového proudu cílového souboru a soubor se zobrazí jako textový soubor.
-
Microsoft Windows 95, Microsoft Windows 98: V klientském počítači se systémem Windows 95 nebo Windows 98 příkaz net use * /home selže s chybovou zprávou "Přístup odepřen", pokud skupina Authenticated Users není udělena obcházky procházení kontrolovat uživatelské právo.
-
Outlook Web Access: Uživatelé, kteří nejsou správci, se nebudou moct přihlásit k aplikaci Microsoft Outlook Web Access a pokud jim není uděleno uživatelské právo obejít kontrolu procházení, zobrazí se jim chybová zpráva Přístup byl odepřen.
-
-
Nastavení zabezpečení
Následující seznam identifikuje nastavení zabezpečení a vnořený seznam obsahuje popis nastavení zabezpečení, identifikuje nastavení konfigurace, které může způsobit problémy, popisuje, proč byste měli použít nastavení zabezpečení, a potom popisuje důvody, proč můžete chtít nastavení zabezpečení odebrat. Vnořený seznam pak poskytuje symbolický název pro nastavení zabezpečení a cestu registru nastavení zabezpečení. Nakonec jsou k dispozici příklady problémů s kompatibilitou, ke kterým může dojít při konfiguraci nastavení zabezpečení.
-
Audit: Okamžitě vypněte systém, pokud nejde protokolovat audity zabezpečení.
-
Pozadí
-
Audit: Okamžitě vypněte systém, pokud nejde protokolovat nastavení auditů zabezpečení, určuje, jestli se systém vypne, pokud nemůžete protokolovat události zabezpečení. Toto nastavení je vyžadováno pro vyhodnocení C2 programu TCSEC (Trusted Computer Security Evaluation Criteria) a pro vyhodnocení zabezpečení informačních technologií common criteria for Information Technology, aby se zabránilo auditovatelným událostem, pokud systém auditu nemůže tyto události protokolovat. Pokud se auditovací systém nezdaří, systém se vypne a zobrazí se chybová zpráva Stop.
-
Pokud počítač nemůže zaznamenávat události do protokolu zabezpečení, důležité důkazy nebo důležité informace o řešení potíží nemusí být po incidentu zabezpečení k dispozici ke kontrole.
-
-
Riziková konfigurace
Toto je škodlivé nastavení konfigurace: Audit: Vypnout systém okamžitě, pokud není možné protokolovat auditování zabezpečení nastavení je zapnuta a velikost protokolu událostí zabezpečení je omezena možnost Nepřepisovat události (vymazat protokol ručně) možnost Přepsat události podle potřeby nebo Přepsat události starší než počet dnů možnost v Prohlížeč událostí. Informace o konkrétních rizicích pro počítače s původní vydanou verzí systému Windows 2000, Windows 2000 Service Pack 1 (SP1), Windows 2000 SP2 nebo Windows 2000 SP3 naleznete v části Příklady problémů s kompatibilitou. -
Důvody pro povolení tohoto nastavení
Pokud počítač nemůže zaznamenávat události do protokolu zabezpečení, důležité důkazy nebo důležité informace o řešení potíží nemusí být po incidentu zabezpečení k dispozici ke kontrole. -
Důvody pro zakázání tohoto nastavení
-
Povolení auditování: Vypnutí systému okamžitě, pokud nejde protokolovat nastavení auditů zabezpečení, zastaví systém, pokud z nějakého důvodu nejde protokolovat audit zabezpečení. Událost se obvykle nedá protokolovat, když je protokol auditu zabezpečení plný a pokud je zadaná metoda uchovávání informací buď možnost Nepřepisovat události (vymazat protokol ručně), nebo Přepsat události starší než počet dnů.
-
Administrativní zátěž při povolování auditování: Okamžitě vypnout systém, pokud nejde protokolovat nastavení auditů zabezpečení, může být velmi vysoká, zejména pokud pro protokol zabezpečení zapnete také možnost Nepřepisovat události (vymazat protokol ručně). Toto nastavení poskytuje individuální odpovědnost za akce operátorů. Správce může například resetovat oprávnění pro všechny uživatele, počítače a skupiny v organizační jednotce( OU), kde bylo auditování povoleno pomocí předdefinovaného účtu správce nebo jiného sdíleného účtu, a pak odepřít resetování těchto oprávnění. Povolením tohoto nastavení se ale sníží odolnost systému, protože server může být nucen ho vypnout tím, že ho zahltí událostmi přihlášení a dalšími událostmi zabezpečení, které se zapisují do protokolu zabezpečení. Vzhledem k tomu, že vypnutí není řádné, může dojít k nenapravitelnému poškození operačního systému, programů nebo dat. Systém souborů NTFS zaručuje zachování integrity systému souborů během nestandardních vypnutí systému, ale nemůže zaručit, že každý datový soubor pro každý program bude po restartování systému stále v použitelné podobě.
-
-
Symbolický název:
CrashOnAuditFail -
Cesta registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)
-
Příklady problémů s kompatibilitou
-
Windows 2000: Kvůli chybě můžou počítače s původní vydanou verzí systému Windows 2000, Windows 2000 SP1, Windows 2000 SP2 nebo Windows Server SP3 zastavit protokolování událostí před dosažením velikosti zadané v možnosti Maximální velikost protokolu pro protokol událostí zabezpečení. Tato chyba je opravena v aktualizaci Windows 2000 Service Pack 4 (SP4). Než budete zvažovat povolení tohoto nastavení, ujistěte se, že řadiče domény se systémem Windows 2000 mají nainstalovanou aktualizaci Windows 2000 Service Pack 4.
-
Windows 2000, Windows Server 2003: Počítače se systémem Windows 2000 nebo Windows Server 2003 může přestat reagovat a potom může spontánně restartovat, pokud audit: Vypnout systém okamžitě, pokud není možné protokolovat auditování zabezpečení nastavení je zapnuta, protokol zabezpečení je plný a existující položky protokolu událostí nelze přepsat. Po restartování počítače se zobrazí následující chybová zpráva Stop:
STOP: C0000244 {Audit se nezdařil}
Pokus o vygenerování auditu zabezpečení se nezdařil.Pokud chcete provést obnovení, musí se správce přihlásit, archivovat protokol zabezpečení (volitelné), vymazat protokol zabezpečení a potom tuto možnost resetovat (volitelné a podle potřeby).
-
Microsoft Network Client for MS-DOS, Windows 95, Windows 98, systém Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Non-administrators who try on to log on to a domain will the following error message:
Váš účet je nakonfigurovaný tak, aby vám zabránil v používání tohoto počítače. Zkuste jiný počítač.
-
Windows 2000: V počítačích se systémem Windows 2000 se nebudou moct přihlásit k serverům vzdáleného přístupu a zobrazí se jim chybová zpráva podobná této:
Neznámý uživatel nebo chybné heslo
-
Windows 2000: Na řadičích domény se systémem Windows 2000 se zastaví služba zasílání zpráv mezi lokalitami (Ismserv.exe) a nebude možné je restartovat. Nástroj DCDIAG oznámí chybu jako neúspěšné testovací služby ISMserv a v protokolu událostí se zaregistruje ID události 1083.
-
Windows 2000: Na řadičích domény se systémem Windows 2000 se replikace služby Active Directory nezdaří a pokud je protokol událostí zabezpečení plný, zobrazí se zpráva Přístup odepřen.
-
Microsoft Exchange 2000: Servery se systémem Exchange 2000 nebudou moci připojit databázi úložiště informací a událost 2102 bude zaregistrována v protokolu událostí.
-
Outlook, Outlook Web Access: Uživatelé, kteří nejsou správci, nebudou mít přístup ke své poště prostřednictvím aplikace Microsoft Outlook nebo prostřednictvím aplikace Microsoft Outlook Web Access a zobrazí se jim chyba 503.
-
-
-
Řadič domény: Požadavky na podepisování serveru LDAP
-
Pozadí
Nastavení zabezpečení Řadič domény: Požadavky na podepisování serveru LDAP určuje, jestli server LDAP (Lightweight Directory Access Protocol) vyžaduje, aby klienti LDAP vyjednali podepisování dat. Možné hodnoty pro toto nastavení zásad jsou následující:-
Žádné: Podepisování dat není nutné k vytvoření vazby se serverem. Pokud klient požaduje podepisování dat, server ho podporuje.
-
Vyžadovat podepisování: Možnost podepisování dat LDAP musí být vyjednána, pokud se nepoužívá protokol TLS/SSL (Transport Layer Security/Secure Socket Layer).
-
není definováno: Toto nastavení není povoleno nebo zakázáno.
-
-
Rizikové konfigurace
Následují škodlivá nastavení konfigurace:-
Povolení vyžadovat přihlášení v prostředích, kde klienti nepodporují podepisování LDAP nebo kde v klientovi není povolené podepisování PROTOKOLU LDAP na straně klienta
-
Použití šablony zabezpečení Systému Windows 2000 nebo Windows Server 2003 Hisecdc.inf v prostředích, kde klienti nepodporují podepisování PROTOKOLU LDAP nebo pokud není povoleno podepisování LDAP na straně klienta
-
Použití šablony zabezpečení Systému Windows 2000 nebo Windows Server 2003 Hisecws.inf v prostředích, kde klienti nepodporují podepisování PROTOKOLU LDAP nebo pokud není povoleno podepisování LDAP na straně klienta
-
-
Důvody pro povolení tohoto nastavení
Nepodepsané síťové přenosy jsou náchylné k útokům prostředníka, kdy útočník zachycuje pakety mezi klientem a serverem, upravuje pakety a pak je přeposílá na server. Když k tomuto chování dojde na serveru LDAP, útočník by mohl způsobit, že server bude rozhodovat na základě nepravdivých dotazů z klienta LDAP. Toto riziko můžete snížit v podnikové síti implementací silných fyzických bezpečnostních opatření, která pomáhají chránit síťovou infrastrukturu. Režim hlavičky ověřování protokolu IPSec (Internet Protocol Security) může pomoci zabránit útokům prostředníků. Režim hlavičky ověřování provádí vzájemné ověřování a integritu paketů pro provoz PROTOKOLU IP. -
Důvody pro zakázání tohoto nastavení
-
Klienti, kteří nepodporují podepisování protokolu LDAP, nebudou moci provádět dotazy LDAP na řadiče domény a globální katalogy, pokud je vyjednáno ověřování ntlm a nejsou nainstalovány správné aktualizace Service Pack na řadičích domény se systémem Windows 2000.
-
Trasování síťového provozu protokolu LDAP mezi klienty a servery bude šifrováno. To znesnadňuje prozkoumání konverzací LDAP.
-
Servery se systémem Windows 2000 musí mít aktualizaci Windows 2000 Service Pack 3 (SP3) nebo musí být nainstalovány, pokud jsou spravovány pomocí programů podporujících podepisování PROTOKOLU LDAP spuštěných z klientských počítačů se systémem Windows 2000 SP4, Windows XP nebo Windows Server 2003.
-
-
Symbolický název:
LdapServerIntegrity -
Cesta registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)
-
Příklady problémů s kompatibilitou
-
Jednoduché vazby selžou a zobrazí se následující chybová zpráva:
Ldap_simple_bind_s() selhalo: Vyžaduje se silné ověřování.
-
Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: V klientech se systémem Windows 2000 SP4, Windows XP nebo Windows Server 2003 nebudou některé nástroje pro správu služby Active Directory fungovat správně na řadičích domény se spuštěnou verzí systému Windows 2000, které jsou starší než SP3 při vyjednání ověřování NTLM.
-
Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: V klientech se systémem Windows 2000 SP4, Windows XP nebo Windows Server 2003 nebudou některé nástroje pro správu služby Active Directory, které cílí na řadiče domény se staršími verzemi systému Windows 2000 než SP3, fungovat správně, pokud používají IP adresy (například "dsa.msc /server=x.x.x.x", kde
x.x.x.x je IP adresa). -
Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: V klientech se systémem Windows 2000 SP4, Windows XP nebo Windows Server 2003 nebudou některé nástroje pro správu služby Active Directory, které cílí na řadiče domény se staršími verzemi systému Windows 2000 než SP3, fungovat správně.
-
-
-
Člen domény: Vyžadovat silný klíč relace (Windows 2000 nebo novější)
-
Pozadí
-
Nastavení klíče relace Člena domény: Vyžadovat silný klíč relace (Windows 2000 nebo novější) určuje, jestli se dá pomocí řadiče domény vytvořit zabezpečený kanál, který nemůže šifrovat zabezpečený kanál pomocí silného 128bitového klíče relace. Povolením tohoto nastavení zabráníte vytvoření zabezpečeného kanálu s jakýmkoli řadičem domény, který nemůže šifrovat data zabezpečeného kanálu pomocí silného klíče. Zakázání tohoto nastavení umožňuje 64bitové klíče relace.
-
Před povolením tohoto nastavení na členské pracovní stanici nebo na serveru musí být všechny řadiče domény v doméně, do které člen patří, schopné šifrovat data zabezpečeného kanálu pomocí silného 128bitového klíče. To znamená, že všechny tyto řadiče domény musí používat systém Windows 2000 nebo novější.
-
-
Riziková konfigurace
Povolení člena domény: Vyžadovat silné nastavení klíče relace (Windows 2000 nebo novější) je škodlivé nastavení konfigurace. -
Důvody pro povolení tohoto nastavení
-
Klíče relace, které se používají k navázání zabezpečené komunikace mezi členskými počítači a řadiči domény, jsou v systému Windows 2000 mnohem silnější než v dřívějších verzích operačních systémů Společnosti Microsoft.
-
Pokud je to možné, je vhodné využít tyto silnější klíče relace, které pomáhají chránit zabezpečenou komunikaci kanálu před odposloucháváním a před napadením relace síťovými útoky. Odposlouchávání je forma škodlivého útoku, kdy se síťová data čtou nebo mění při přenosu. Data je možné upravit tak, aby se skryli nebo změnili odesílateli nebo je přesměrovávala.
Důležité: Počítač se systémem Windows Server 2008 R2 nebo Windows 7 podporuje pouze silné klíče při použití zabezpečených kanálů. Toto omezení brání vztahu důvěryhodnosti mezi libovolnou doménou založenou na systém Windows NT 4.0 a doménou se systémem Windows Server 2008 R2. Toto omezení navíc blokuje členství v doméně založené na systém Windows NT 4.0 počítačů se systémem Windows 7 nebo Windows Server 2008 R2 a naopak.
-
-
Důvody pro zakázání tohoto nastavení
Doména obsahuje členské počítače, na kterých běží jiné operační systémy než Windows 2000, Windows XP nebo Windows Server 2003. -
Symbolický název:
StrongKey -
Cesta registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)
-
Příklady problémů s
kompatibilitou systém Windows NT 4.0: V počítačích se systémem systém Windows NT 4.0 se nezdaří resetování zabezpečených kanálů vztahů důvěryhodnosti mezi doménami systém Windows NT 4.0 a Windows 2000 s nltestem. Zobrazí se chybová zpráva o odepření přístupu:Vztah důvěryhodnosti mezi primární doménou a důvěryhodnou doménou se nezdařil.
Windows 7 a Server 2008 R2: Pro Windows 7 a novější verze a Windows Server 2008 R2 a novější verze se toto nastavení už nebude respektovat a silný klíč se vždy používá. Z tohoto důvodu už vztahy důvěryhodnosti s doménami systém Windows NT 4.0 nefungují.
-
-
Člen domény: Digitálně šifrovat nebo podepsat data zabezpečeného kanálu (vždy)
-
Pozadí
-
Povolení člena domény: Digitální šifrování nebo podepsání dat zabezpečeného kanálu (vždy) brání vytvoření zabezpečeného kanálu pomocí jakéhokoli řadiče domény, který nemůže podepsat nebo šifrovat všechna data zabezpečeného kanálu. Počítače se systémem Windows vytvářejí komunikační kanál, který se prostřednictvím služby Net Logon označuje jako zabezpečený kanál pro ověřování účtů počítačů, a pomáhá tak chránit ověřovací provoz před útoky typu man-in-the-middle, přehráním útoků a dalšími druhy síťových útoků. Zabezpečené kanály se používají také v případě, že se uživatel v jedné doméně připojí k síťovému prostředku ve vzdálené doméně. Toto vícedoménové ověřování (neboli předávací ověřování) umožňuje počítači se systémem Windows, který se připojil k doméně, mít přístup k databázi uživatelských účtů ve své doméně a ve všech důvěryhodných doménách.
-
Chcete-li povolit člena domény: Digitálně šifrovat nebo podepsat data zabezpečeného kanálu (vždy) na členském počítači, musí být všechny řadiče domény v doméně, do které člen patří, schopné podepsat nebo zašifrovat všechna data zabezpečeného kanálu. To znamená, že všechny tyto řadiče domény musí běžet systém Windows NT 4.0 s aktualizací Service Pack 6a (SP6a) nebo novější.
-
Povolení člena domény: Nastavení digitálně šifrovat nebo podepsat data zabezpečeného kanálu (vždy) automaticky povolí členovi domény: Digitálně šifrovat nebo podepsat data zabezpečeného kanálu (pokud je to možné).
-
-
Riziková konfigurace
Povolení člena domény: Nastavení digitálně šifrovat nebo podepsat data zabezpečeného kanálu (vždy) v doménách, kde ne všechny řadiče domény můžou podepsat nebo zašifrovat data zabezpečeného kanálu, je škodlivé nastavení konfigurace. -
Důvody pro povolení tohoto nastavení
Nepodepsané síťové přenosy jsou náchylné k útokům prostředníka, kdy útočník zachycuje pakety mezi serverem a klientem a potom je upraví před jejich předáním klientovi. Pokud k tomuto chování dochází na serveru PROTOKOLU LDAP (Lightweight Directory Access Protocol), může útočník způsobit, že klient bude rozhodovat na základě nepravdivých záznamů z adresáře LDAP. Můžete snížit riziko takového útoku na podnikovou síť implementací silných fyzických bezpečnostních opatření, která pomáhají chránit síťovou infrastrukturu. Kromě toho může implementace režimu hlavičky ověřování protokolu IPSec (Internet Protocol Security) pomoct zabránit útokům prostředníků. Tento režim provádí vzájemné ověřování a integritu paketů pro provoz PROTOKOLU IP. -
Důvody pro zakázání tohoto nastavení
-
Počítače v místních nebo externích doménách podporují šifrované zabezpečené kanály.
-
Ne všechny řadiče domény v doméně mají odpovídající úrovně revizí aktualizace Service Pack pro podporu šifrovaných zabezpečených kanálů.
-
-
Symbolický název:
StrongKey -
Cesta registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)
-
Příklady problémů s kompatibilitou
-
systém Windows NT 4.0: Členské počítače se systémem Windows 2000 se nebudou moci připojit k doménám systém Windows NT 4.0 a zobrazí se následující chybová zpráva:
Účet nemá oprávnění k přihlášení z této stanice.
Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
281648 Chybová zpráva: Účet nemá oprávnění k přihlášení z této stanice
-
systém Windows NT 4.0: domény systém Windows NT 4.0 nebudou moci vytvořit vztah důvěryhodnosti nižší úrovně s doménou systému Windows 2000 a zobrazí se následující chybová zpráva:
Účet nemá oprávnění k přihlášení z této stanice.
Stávající vztahy důvěryhodnosti nižší úrovně také nemusí ověřovat uživatele z důvěryhodné domény. Někteří uživatelé můžou mít problémy s přihlášením k doméně a může se jim zobrazit chybová zpráva s oznámením, že klient nemůže doménu najít.
-
Windows XP: Klienti systému Windows XP, kteří jsou připojeni k doménám systém Windows NT 4.0, nebudou moci ověřit pokusy o přihlášení a může se zobrazit následující chybová zpráva nebo mohou být v protokolu událostí registrovány následující události:
Systém Windows se nemůže připojit k doméně, protože řadič domény je mimo provoz nebo je jinak nedostupný nebo protože nebyl nalezen váš účet počítače.
-
Microsoft Network: Klienti microsoft network obdrží jednu z následujících chybových zpráv:
Chyba přihlášení: neznámé uživatelské jméno nebo chybné heslo.
Pro zadanou přihlašovací relaci neexistuje žádný klíč uživatelské relace.
-
-
-
Klient sítě Microsoft: Digitálně podepsat komunikaci (vždy)
-
Pozadí
Smb (Server Message Block) je protokol pro sdílení prostředků podporovaný mnoha operačními systémy Microsoftu. Je základem základního vstupního/výstupního systému sítě (NetBIOS) a mnoha dalších protokolů. Podepisování SMB ověřuje uživatele i server, který je hostitelem dat. Pokud proces ověřování selže na obou stranách, nedojde k přenosu dat. Povolení podepisování SMB se spustí během vyjednávání protokolu SMB. Zásady podepisování SMB určují, jestli počítač vždy digitálně podepisuje komunikaci klienta. Ověřovací protokol SMB systému Windows 2000 podporuje vzájemné ověřování. Vzájemné ověřování uzavírá útok typu man-in-the-middle. Ověřovací protokol SMB systému Windows 2000 také podporuje ověřování zpráv. Ověřování zpráv pomáhá zabránit útokům na aktivní zprávy. Aby bylo toto ověřování udělo, podepisování PROTOKOLU SMB vloží do každého protokolu SMB digitální podpis. Každý klient a server ověřují digitální podpis. Pokud chcete používat podepisování SMB, musíte povolit podepisování SMB nebo vyžadovat podepisování SMB na klientovi SMB i na serveru SMB. Pokud je na serveru povolené podepisování SMB, klienti, kteří mají povolené podepisování SMB, používají protokol podepisování paketů během všech dalších relací. Pokud se na serveru vyžaduje podepisování SMB, klient nemůže navázat relaci, pokud není klient povolený nebo nutný pro podepisování SMB. Povolení digitálního přihlašování v sítích s vysokým zabezpečením pomáhá zabránit zosobnění klientů a serverů. Tento druh zosobnění se označuje jako napadení relace. Útočník, který má přístup ke stejné síti jako klient nebo server, používá nástroje pro napadení relace k přerušení, ukončení nebo odcizení probíhající relace. Útočník by mohl zachytávat a upravovat nepodepsané pakety SMB, měnit provoz a přesměrovat je tak, aby server mohl provádět nežádoucí akce. Nebo se útočník může po legitimním ověření stát serverem nebo klientem a pak získat neoprávněný přístup k datům. Protokol SMB používaný ke sdílení souborů a ke sdílení tisku v počítačích se systémem Windows 2000 Server, Windows 2000 Professional, Windows XP Professional nebo Windows Server 2003 podporuje vzájemné ověřování. Vzájemné ověřování zavře útoky na napadení relace a podporuje ověřování zpráv. Proto zabraňuje útokům man-in-the-middle. Podepisování SMB poskytuje toto ověřování umístěním digitálního podpisu do každého protokolu SMB. Klient a server pak podpis ověřte. Poznámky-
Jako alternativní protiopatření můžete povolit digitální podpisy pomocí protokolu IPSec, abyste ochránili veškerý síťový provoz. Existují hardwarové akcelerátory pro šifrování a podepisování PROTOKOLU IPSec, které můžete použít k minimalizaci dopadu procesoru serveru na výkon. Pro podepisování SMB nejsou k dispozici žádné akcelerátory.Digitálně podepsat server komunikace na webu Microsoft MSDN. Nakonfigurujte podepisování protokolu SMB prostřednictvím editoru objektů Zásady skupiny, protože změna hodnoty místního registru nemá žádný vliv, pokud dojde k přepsání zásad domény.
Další informace naleznete v kapitole -
V systémech Windows 95, Windows 98 a Windows 98 Druhé vydání používá klient adresářových služeb podepisování PROTOKOLU SMB při ověřování na serverech s Windows Serverem 2003 pomocí ověřování NTLM. Tito klienti ale při ověřování na těchto serverech pomocí ověřování NTLMv2 nepoužívají podepisování SMB. Servery windows 2000 navíc nereagují na požadavky podepisování SMB z těchto klientů. Další informace naleznete v položce 10: "Zabezpečení sítě: Úroveň ověřování Lan Manager."
-
-
Riziková konfigurace
Toto je škodlivé nastavení konfigurace: Ponechte nastavení síťového klienta Microsoftu: Digitálně podepsat komunikaci (vždy) a síťového klienta Microsoftu: Digitálně podepsat komunikaci (pokud server souhlasí) nastavení "Není definováno" nebo zakázáno. Tato nastavení umožňují přesměrovači odesílat hesla ve formátu prostého textu na servery SMB jiné společnosti než Microsoft, které nepodporují šifrování hesla během ověřování. -
Důvody pro povolení tohoto nastavení
Povolení síťového klienta Microsoftu: Digitální podepisování komunikace (vždy) vyžaduje, aby klienti podepisovali provoz SMB při kontaktování serverů, které nevyžadují podepisování SMB. Díky tomu jsou klienti méně zranitelní vůči útokům na napadení relace. -
Důvody pro zakázání tohoto nastavení
-
Povolení síťového klienta Microsoftu: Digitální podepisování komunikace (vždy) brání klientům v komunikaci s cílovými servery, které nepodporují podepisování SMB.
-
Konfigurace počítačů tak, aby ignorovala veškerou nepodepsanou komunikaci SMB, brání dřívějším programům a operačním systémům v připojení.
-
-
Symbolický název:
RequireSMBSignRdr -
Cesta registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
-
Příklady problémů s kompatibilitou
-
systém Windows NT 4.0: Zabezpečený kanál vztahu důvěryhodnosti mezi doménou systému Windows Server 2003 a doménou systém Windows NT 4.0 nebude možné resetovat pomocí nástroje NLTEST nebo NETDOM a zobrazí se chybová zpráva o odepření přístupu.
-
Windows XP: Kopírování souborů z klientů systému Windows XP na servery se systémem Windows 2000 a servery se systémem Windows Server 2003 může trvat déle.
-
Nebudete moct namapovat síťovou jednotku z klienta s povoleným nastavením a zobrazí se následující chybová zpráva:
Účet nemá oprávnění k přihlášení z této stanice.
-
-
Požadavky na
restartování Restartujte počítač nebo restartujte službu Workstation. Uděláte to tak, že na příkazovém řádku zadáte následující příkazy. Po zadání každého příkazu stiskněte Enter.net stop workstation
net start workstation
-
-
Server sítě Microsoft: Digitálně podepsat komunikaci (vždy)
-
Pozadí
-
Smb (Server Messenger Block) je protokol pro sdílení prostředků podporovaný mnoha operačními systémy Microsoftu. Je základem základního vstupního/výstupního systému sítě (NetBIOS) a mnoha dalších protokolů. Podepisování SMB ověřuje uživatele i server, který je hostitelem dat. Pokud proces ověřování selže na obou stranách, nedojde k přenosu dat.
Povolení podepisování SMB se spustí během vyjednávání protokolu SMB. Zásady podepisování SMB určují, jestli počítač vždy digitálně podepisuje komunikaci klienta. Ověřovací protokol SMB systému Windows 2000 podporuje vzájemné ověřování. Vzájemné ověřování uzavírá útok typu man-in-the-middle. Ověřovací protokol SMB systému Windows 2000 také podporuje ověřování zpráv. Ověřování zpráv pomáhá zabránit útokům na aktivní zprávy. Aby bylo toto ověřování udělo, podepisování PROTOKOLU SMB vloží do každého protokolu SMB digitální podpis. Každý klient a server ověřují digitální podpis. Pokud chcete používat podepisování SMB, musíte povolit podepisování SMB nebo vyžadovat podepisování SMB na klientovi SMB i na serveru SMB. Pokud je na serveru povolené podepisování SMB, klienti, kteří mají povolené podepisování SMB, používají protokol podepisování paketů během všech dalších relací. Pokud se na serveru vyžaduje podepisování SMB, klient nemůže navázat relaci, pokud není klient povolený nebo nutný pro podepisování SMB. Povolení digitálního přihlašování v sítích s vysokým zabezpečením pomáhá zabránit zosobnění klientů a serverů. Tento druh zosobnění se označuje jako napadení relace. Útočník, který má přístup ke stejné síti jako klient nebo server, používá nástroje pro napadení relace k přerušení, ukončení nebo odcizení probíhající relace. Útočník by mohl zachytávat a upravovat nepodepsané pakety správce šířky pásma podsítě (SBM), upravit provoz a pak ho předat dál, aby server mohl provádět nežádoucí akce. Nebo se útočník může po legitimním ověření stát serverem nebo klientem a pak získat neoprávněný přístup k datům. Protokol SMB používaný ke sdílení souborů a ke sdílení tisku v počítačích se systémem Windows 2000 Server, Windows 2000 Professional, Windows XP Professional nebo Windows Server 2003 podporuje vzájemné ověřování. Vzájemné ověřování zavře útoky na napadení relace a podporuje ověřování zpráv. Proto zabraňuje útokům man-in-the-middle. Podepisování SMB poskytuje toto ověřování umístěním digitálního podpisu do každého protokolu SMB. Klient a server pak podpis ověřte. -
Jako alternativní protiopatření můžete povolit digitální podpisy pomocí protokolu IPSec, abyste ochránili veškerý síťový provoz. Existují hardwarové akcelerátory pro šifrování a podepisování PROTOKOLU IPSec, které můžete použít k minimalizaci dopadu procesoru serveru na výkon. Pro podepisování SMB nejsou k dispozici žádné akcelerátory.
-
V systémech Windows 95, Windows 98 a Windows 98 Druhé vydání používá klient adresářových služeb podepisování PROTOKOLU SMB při ověřování na serverech s Windows Serverem 2003 pomocí ověřování NTLM. Tito klienti ale při ověřování na těchto serverech pomocí ověřování NTLMv2 nepoužívají podepisování SMB. Servery windows 2000 navíc nereagují na požadavky podepisování SMB z těchto klientů. Další informace naleznete v položce 10: "Zabezpečení sítě: Úroveň ověřování Lan Manager."
-
-
Riziková konfigurace
Toto je škodlivé nastavení konfigurace: Povolení síťového serveru Microsoftu: Digitálně podepsat komunikaci (vždy) na serverech a řadičích domény, ke kterým přistupují nekompatibilní počítače se systémem Windows a klientské počítače založené na operačním systému třetích stran v místních nebo externích doménách. -
Důvody pro povolení tohoto nastavení
-
Podepisování PROTOKOLU SMB podporují všechny klientské počítače, které toto nastavení povolují přímo prostřednictvím registru nebo prostřednictvím nastavení Zásady skupiny. Jinými slovy, všechny klientské počítače s povoleným nastavením běží buď s nainstalovaným klientem DS, Windows 98, systém Windows NT 4.0, Windows 2000, Windows XP Professional nebo Windows Server 2003.
-
Pokud je síťový server Microsoftu: Komunikace s digitálním podepisováním (vždy) je zakázaná, podepisování SMB je zcela zakázané. Úplné zakázání všech podepisování PROTOKOLU SMB ponechává počítače zranitelnější vůči útokům, které přepadávají relace.
-
-
Důvody pro zakázání tohoto nastavení
-
Povolení tohoto nastavení může způsobit pomalejší kopírování souborů a výkon sítě na klientských počítačích.
-
Povolením tohoto nastavení zabráníte klientům, kteří nemohou vyjednat podepisování SMB, aby komunikovali se servery a řadiči domény. To způsobí selhání operací, jako jsou připojení k doméně, ověřování uživatelů a počítačů nebo síťový přístup programů.
-
-
Symbolický název:
RequireSMBSignServer -
Cesta registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)
-
Příklady problémů s kompatibilitou
-
Windows 95: Klienti systému Windows 95, kteří nemají nainstalovaného klienta adresářové služby (DS), selžou při ověřování přihlášení a zobrazí se následující chybová zpráva:
Zadané heslo domény není správné nebo byl odepřen přístup k přihlašovacímu serveru.
-
systém Windows NT 4.0: Klientské počítače se spuštěnou verzí systém Windows NT 4.0 starší než Service Pack 3 (SP3) selžou při ověřování přihlášení a zobrazí se následující chybová zpráva:
Systém vás nemohl přihlásit. Zkontrolujte správnost uživatelského jména a domény a zadejte heslo znovu.
Některé servery SMB jiné společnosti než Microsoft podporují pouze nešifrované výměny hesel během ověřování. (Tyto výměny se také označují jako výměny ve formátu prostého textu.) V případě systém Windows NT 4.0 SP3 a novějších verzí neodesílá přesměrovač SMB během ověřování na server SMB nešifrované heslo, pokud nepřidáte konkrétní položku registru.
Pokud chcete povolit nešifrovaná hesla pro klienta SMB v systémech systém Windows NT 4.0 SP 3 a novějších, upravte registr následujícím způsobem: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters Název hodnoty: EnablePlainTextPassword Datový typ: REG_DWORD Data: 1 -
Windows Server 2003: Ve výchozím nastavení jsou nastavení zabezpečení na řadičích domény se systémem Windows Server 2003 nakonfigurována tak, aby zabránila zachycení komunikace řadiče domény nebo manipulaci se zlými úmysly. Aby uživatelé mohli úspěšně komunikovat s řadičem domény se systémem Windows Server 2003, musí klientské počítače používat podepisování SMB i šifrování nebo podepisování provozu zabezpečeného kanálu. Ve výchozím nastavení nemají klienti se systémem systém Windows NT 4.0 s nainstalovanou aktualizací Service Pack 2 (SP2) nebo starší a klienti se systémem Windows 95 povolené podepisování paketů SMB. Proto tito klienti nemusí být schopni ověřit řadič domény se systémem Windows Server 2003.
-
Nastavení zásad systému Windows 2000 a Windows Server 2003: V závislosti na konkrétních potřebách a konfiguraci instalace doporučujeme nastavit následující nastavení zásad na nejnižší entitu nezbytného oboru v hierarchii modulu snap-in konzoly Microsoft Management Console Zásady skupiny Editor:
-
Konfigurace počítače\Zabezpečení Windows Nastavení\Možnosti zabezpečení
-
Odeslání nešifrovaného hesla pro připojení k serverům SMB třetích stran (toto nastavení je pro Windows 2000)
-
Klient sítě Microsoft: Odeslání nešifrovaného hesla na servery SMB třetích stran (toto nastavení je pro Windows Server 2003)
-
-
Následující klienti nejsou kompatibilní se síťovým serverem Microsoftu: Nastavení digitálního podepisování komunikace (vždy):
-
Klienti Apple Computer, Inc., Mac OS X
-
Klienti sítě Microsoft MS-DOS (například Microsoft LAN Manager)
-
Klienti Microsoft Windows for Workgroups
-
Klienti Microsoft Windows 95 bez nainstalovaného klienta DS
-
Počítače se systémem Microsoft systém Windows NT 4.0 bez nainstalované aktualizace SP3 nebo novější
-
Klienti Novell Netware 6 CIFS
-
Klienti SMB SAMBA, kteří nepodporují podepisování SMB
-
-
-
Požadavky na
restartování Restartujte počítač nebo restartujte službu Server. Uděláte to tak, že na příkazovém řádku zadáte následující příkazy. Po zadání každého příkazu stiskněte Enter.net stop server
net start server
-
-
Přístup k síti: Povolení anonymního překladu identifikátorů SID nebo názvů
-
Pozadí
Nastavení zabezpečení Přístup k síti: Povolit anonymní identifikátor SID nebo překlad názvů určuje, jestli anonymní uživatel může požadovat atributy SID (Security Identification Number) pro jiného uživatele. -
Riziková konfigurace
Povolení přístupu k síti: Povolení anonymního nastavení překladu identifikátorů SID nebo názvu je škodlivé nastavení konfigurace. -
Důvody pro povolení tohoto nastavení
Pokud je nastavení Přístupu k síti: Povolit anonymní identifikátor SID nebo překlad názvů zakázané, starší operační systémy nebo aplikace nemusí být schopné komunikovat s doménami Systému Windows Server 2003. Například následující operační systémy, služby nebo aplikace nemusí fungovat:-
servery služby vzdáleného přístupu založené na systém Windows NT 4.0
-
Microsoft SQL Server, které běží na počítačích se systémem systém Windows NT 3.x nebo systém Windows NT 4.0
-
Služba vzdáleného přístupu spuštěná v počítačích se systémem Windows 2000 umístěných v doménách systém Windows NT 3.x nebo doménách systém Windows NT 4.0
-
SQL Server, která běží na počítačích se systémem Windows 2000 umístěných v doménách systém Windows NT 3.x nebo v doménách systém Windows NT 4.0
-
Uživatelé v doméně prostředků systém Windows NT 4.0, kteří chtějí udělit oprávnění pro přístup k souborům, sdíleným složkám a objektům registru uživatelským účtům z domén účtů obsahujících řadiče domény se systémem Windows Server 2003
-
-
Důvody pro zakázání tohoto nastavení
Pokud je toto nastavení povolené, může uživatel se zlými úmysly použít známé identifikátor SID správců k získání skutečného názvu předdefinovaného účtu správce, a to i v případě, že byl účet přejmenován. Tato osoba by pak mohla pomocí názvu účtu zahájit útok založený na hádání hesla. -
Symbolický název: Není k dispozici
-
Cesta registru: Žádná. Cesta je zadána v kódu uživatelského rozhraní.
-
Příklady problémů s
kompatibilitou systém Windows NT 4.0: Počítače v doménách prostředků systém Windows NT 4.0 zobrazí v Editoru seznamů ACL chybovou zprávu Neznámý účet, pokud jsou prostředky, včetně sdílených složek, sdílených souborů a objektů registru, zabezpečené pomocí objektů zabezpečení, které se nacházejí v doménách účtů obsahujících řadiče domény se systémem Windows Server 2003.
-
-
Přístup k síti: Nepovolit anonymní výčet účtů SAM
-
Pozadí
-
Přístup k síti: Nepovolit anonymní výčet účtů SAM určuje, která další oprávnění budou udělena pro anonymní připojení k počítači. Systém Windows umožňuje anonymním uživatelům provádět určité aktivity, jako je výčet názvů pracovních stanic a účtů správce účtů zabezpečení serveru (SAM) a síťových sdílených složek. Správce to může například použít k udělení přístupu uživatelům v důvěryhodné doméně, která neudržuje reciproční vztah důvěryhodnosti. Po vytvoření relace může mít anonymní uživatel stejný přístup, který je udělen skupině Everyone na základě nastavení v části Přístup k síti: Oprávnění Povolit všem použít u nastavení anonymních uživatelů nebo volitelného seznamu řízení přístupu (DACL) objektu.
Při nastavování relace SMB obvykle starší verze klientů (klientů nižší úrovně) požadují anonymní připojení. V těchto případech trasování sítě ukazuje, že ID procesu SMB (PID) je přesměrovač klienta, například 0xFEFF v systému Windows 2000 nebo 0xCAFE v systém Windows NT. RPC se také může pokusit vytvořit anonymní připojení. -
Důležité: Toto nastavení nemá žádný vliv na řadiče domény. Na řadičích domény toto chování je řízen přítomnost "NT AUTHORITY\ANONYMOUS LOGON" v "Pre-Windows 2000 kompatibilní access".
-
V systému Windows 2000 spravuje podobné nastavení s názvem Další omezení pro anonymní připojení hodnotu registru RestrictAnonymous . Umístění této hodnoty je následující:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
-
-
Rizikové konfigurace
Povolení přístupu k síti: Nepovolit anonymní výčet nastavení účtů SAM je škodlivé nastavení konfigurace z hlediska kompatibility. Zakázání je škodlivé nastavení konfigurace z hlediska zabezpečení. -
Důvody pro povolení tohoto nastavení
Neoprávněný uživatel by mohl anonymně vypsat názvy účtů a pak tyto informace použít k pokusu o uhodnutí hesel nebo provedení sociálních technických útoků. Sociální inženýrství je žargon, který znamená, že podvedení lidí, aby odhalili svá hesla nebo nějakou formu bezpečnostních informací. -
Důvody pro zakázání tohoto nastavení
Pokud je toto nastavení povolené, není možné navázat vztahy důvěryhodnosti s doménami systém Windows NT 4.0. Toto nastavení také způsobuje problémy s klienty nižší úrovně (například klienty systém Windows NT 3.51 a klienty s Windows 95), kteří se pokoušejí používat prostředky na serveru. -
Symbolický název:
OmezitanonymousSAM -
Cesta registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)
-
Příklady problémů s kompatibilitou
-
Zjišťování sítě SMS nebude moci získat informace o operačním systému a ve vlastnosti OperatingSystemNameandVersion zapíše "Neznámý".
-
Windows 95, Windows 98: Klienti systému Windows 95 a klienti systému Windows 98 nebudou moci změnit svá hesla.
-
systém Windows NT 4.0: členské počítače se systémem systém Windows NT 4.0 nebudou moci být ověřeny.
-
Windows 95, Windows 98: Počítače se systémem Windows 95 a Windows 98 nebudou moci být ověřeny řadiči domény společnosti Microsoft.
-
Windows 95, Windows 98: Uživatelé v počítačích se systémem Windows 95 a Windows 98 nebudou moci změnit hesla pro své uživatelské účty.
-
-
Přístup k síti: Nepovolit anonymní výčet účtů SAM a sdílených složek
-
Pozadí
-
Přístup k síti: Nepovolit anonymní výčet účtů SAM a nastavení sdílených složek (označovaných také jako RestrictAnonymous) určuje, jestli je povolený anonymní výčet účtů správce účtů zabezpečení (SAM) a sdílených složek. Systém Windows umožňuje anonymním uživatelům provádět určité aktivity, jako je výčet názvů doménových účtů (uživatelů, počítačů a skupin) a síťových sdílených složek. To je praktické, například když chce správce udělit přístup uživatelům v důvěryhodné doméně, kteří neudržují reciproční vztah důvěryhodnosti. Pokud nechcete povolit anonymní výčet účtů SAM a sdílených složek, povolte toto nastavení.
-
V systému Windows 2000 spravuje podobné nastavení s názvem Další omezení pro anonymní připojení hodnotu registru RestrictAnonymous . Umístění této hodnoty je následující:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
-
-
Riziková konfigurace
Povolení přístupu k síti: Nepovolit anonymní výčet účtů SAM a nastavení sdílených složek je škodlivé nastavení konfigurace. -
Důvody pro povolení tohoto nastavení
-
Povolení přístupu k síti: Nepovolit anonymní výčet účtů SAM a nastavení sdílených složek zabraňuje výčtu účtů SAM a sdílených složek uživateli a počítači, které používají anonymní účty.
-
-
Důvody pro zakázání tohoto nastavení
-
Pokud je toto nastavení povolené, neoprávněný uživatel může anonymně vypsat názvy účtů a pak tyto informace použít k pokusu o uhodnutí hesel nebo provedení sociálních technických útoků. Sociální inženýrství je žargon, který znamená, že podvedení lidí, aby odhalili své heslo nebo nějakou formu bezpečnostních informací.
-
Pokud je toto nastavení povolené, nebude možné vytvořit vztahy důvěryhodnosti s doménami systém Windows NT 4.0. Toto nastavení také způsobí problémy s klienty nižší úrovně, jako jsou klienti systém Windows NT 3.51 a Windows 95, kteří se pokoušejí používat prostředky na serveru.
-
Přístup uživatelům domén prostředků nebude možné udělit, protože správci v důvěřující doméně nebudou moct vytvořit výčet seznamů účtů v jiné doméně. Uživatelé, kteří přistupují k souborovým a tiskovým serverům anonymně, nebudou moct na těchto serverech zobrazit seznam sdílených síťových prostředků. Uživatelé se musí ověřit, aby mohli zobrazit seznamy sdílených složek a tiskáren.
-
-
Symbolický název:
Restrictanonymous -
Cesta registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
-
Příklady problémů s kompatibilitou
-
systém Windows NT 4.0: Uživatelé nebudou moct změnit svá hesla z pracovních stanic systém Windows NT 4.0, pokud je na řadičích domény v doméně uživatelů povolená funkce RestrictAnonymous.
-
systém Windows NT 4.0: Přidání uživatelů nebo globálních skupin z důvěryhodných domén systému Windows 2000 do místních skupin systém Windows NT 4.0 ve Správci uživatelů se nezdaří a zobrazí se následující chybová zpráva:
V současné době nejsou k dispozici žádné přihlašovací servery pro zpracování žádosti o přihlášení.
-
systém Windows NT 4.0: počítače se systémem systém Windows NT 4.0 nebudou moci připojit domény během instalace nebo pomocí uživatelského rozhraní připojení k doméně.
-
systém Windows NT 4.0: Vytvoření vztahu důvěryhodnosti na nižší úrovni s doménami prostředků systém Windows NT 4.0 selže. Pokud je v důvěryhodné doméně povolená funkce RestrictAnonymous, zobrazí se následující chybová zpráva:
Nelze najít řadič domény pro tuto doménu.
-
systém Windows NT 4.0: Uživatelé, kteří se přihlašují k počítačům terminálového serveru se systémem systém Windows NT 4.0, budou mapovat na výchozí domovský adresář místo domovského adresáře, který je definován ve Správci uživatelů pro domény.
-
systém Windows NT 4.0: systém Windows NT 4.0 záložní řadiče domény (BDC) nebudou moci spustit službu Net Logon, získat seznam záložních prohlížečů nebo synchronizovat databázi SAM z řadičů domény se systémem Windows 2000 nebo Windows Server 2003 ve stejné doméně.
-
Windows 2000: Členské počítače se systémem Windows 2000 v doménách systém Windows NT 4.0 nebudou moci zobrazovat tiskárny v externích doménách, pokud je v místních zásadách zabezpečení klientského počítače povolené nastavení Bez přístupu bez explicitně anonymních oprávnění.
-
Windows 2000: Uživatelé domény windows 2000 nebudou moci přidat síťové tiskárny ze služby Active Directory; budou ale moct přidat tiskárny poté, co je vyberou ze stromového zobrazení.
-
Windows 2000: V počítačích se systémem Windows 2000 nebude možné přidat uživatele nebo globální skupiny z důvěryhodných domén systém Windows NT 4.0.
-
ADMT verze 2: Migrace hesel pro uživatelské účty migrované mezi doménovými strukturami pomocí nástroje ADMT (Active Directory Migration Tool) verze 2 selže.
Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:322981 Řešení potíží s migrací hesel mezi doménovými strukturami pomocí ADMTv2
-
Klienti outlooku: Globální seznam adres se klientům aplikace Microsoft Exchange Outlook zobrazí jako prázdný.
-
SMS: Zjišťování sítě serveru MICROSOFT Systems Management Server (SMS) nebude moci získat informace o operačním systému. Proto zapíše "Neznámý" ve vlastnosti OperatingSystemNameandVersion vlastnosti SMS DDR záznamu dat zjišťování (DDR).
-
SMS: Při procházení uživatelů a skupin pomocí Průvodce správcem serveru SMS nebudou uvedeni žádní uživatelé ani skupiny. Pokročilí klienti navíc nemohou komunikovat s bodem správy. V bodu správy je vyžadován anonymní přístup.
-
SMS: Pokud používáte funkci zjišťování sítě na serveru SMS 2.0 a ve vzdálené instalaci klienta s topologií, klientem a klientskými operačními systémy, je možné, že jsou počítače zjištěny, ale nemusí být nainstalovány.
-
-
-
Zabezpečení sítě: Úroveň ověřování Lan Manageru
-
Pozadí
Ověřování LAN Manager (LM) je protokol, který se používá k ověřování klientů Systému Windows pro síťové operace, včetně připojení k doméně, přístupu k síťovým prostředkům a ověřování uživatelů nebo počítačů. Úroveň ověřování LM určuje, který ověřovací protokol výzvy nebo odpovědi se vyjedná mezi klientskými a serverovými počítači. Konkrétně úroveň ověřování LM určuje, které ověřovací protokoly se klient pokusí vyjednat nebo který server přijme. Hodnota nastavená pro lmCompatibilityLevel určuje, který ověřovací protokol výzvy nebo odpovědi se používá pro přihlášení k síti. Tato hodnota ovlivňuje úroveň ověřovacího protokolu, kterou klienti používají, úroveň vyjednaného zabezpečení relace a úroveň ověřování přijímanou servery. Mezi možná nastavení patří následující:Hodnota
Nastavení
Popis
0
Odesílání odpovědí NTLM & LM
Klienti používají ověřování LM a NTLM a nikdy nepoužívat zabezpečení relace NTLMv2. Řadiče domény přijímají ověřování LM, NTLM a NTLMv2.
1
Odeslání protokolu LM & NTLM – při vyjednávání použijte zabezpečení relace NTLMv2.
Klienti používají ověřování LM a NTLM a používají zabezpečení relace NTLMv2, pokud ho server podporuje. Řadiče domény přijímají ověřování LM, NTLM a NTLMv2.
2
Odeslat pouze odpověď NTLM
Klienti používají pouze ověřování NTLM a používají zabezpečení relace NTLMv2, pokud ho server podporuje. Řadiče domény přijímají ověřování LM, NTLM a NTLMv2.
3
Odeslat pouze odpověď NTLMv2
Klienti používají pouze ověřování NTLMv2 a používají zabezpečení relace NTLMv2, pokud ho server podporuje. Řadiče domény přijímají ověřování LM, NTLM a NTLMv2.
4
Odeslat pouze odpověď NTLMv2 nebo odmítnout LM
Klienti používají pouze ověřování NTLMv2 a používají zabezpečení relace NTLMv2, pokud ho server podporuje. Řadiče domény odmítají lm a přijímají pouze ověřování NTLM a NTLMv2.
5
Odeslat pouze odpověď NTLMv2 nebo odmítnout lm & NTLM
Klienti používají pouze ověřování NTLMv2 a používají zabezpečení relace NTLMv2, pokud ho server podporuje. Řadiče domény odmítají ověřování LM a NTLM a přijímají pouze ověřování NTLMv2.
Poznámka: V systémech Windows 95, Windows 98 a Windows 98 Druhé vydání klient adresářové služby používá podepisování PROTOKOLU SMB při ověřování se servery Windows Server 2003 pomocí ověřování NTLM. Tito klienti ale při ověřování na těchto serverech pomocí ověřování NTLMv2 nepoužívají podepisování SMB. Servery windows 2000 navíc nereagují na požadavky podepisování SMB z těchto klientů.
Zkontrolujte úroveň ověřování LM: Chcete-li povolit protokol NTLM, je nutné změnit zásadu na serveru, nebo je nutné nakonfigurovat klientský počítač tak, aby podporoval protokol NTLMv2. Pokud je zásada nastavena na (5) Odeslat pouze odpověď NTLMv2\odmítnout LM & NTLM na cílovém počítači, ke kterému se chcete připojit, je třeba buď snížit nastavení v tomto počítači nebo nastavit zabezpečení na stejné nastavení, které je ve zdrojovém počítači, ze kterého se připojujete. Najděte správné umístění, kde můžete změnit úroveň ověřování LAN Manageru a nastavit tak klienta a server na stejnou úroveň. Jakmile najdete zásadu, která nastavuje úroveň ověřování lan manageru, pokud se chcete připojit k počítačům se staršími verzemi Windows a z počítačů se staršími verzemi Windows, snižte hodnotu na alespoň (1) Odeslat LM & NTLM – při vyjednávání použijte zabezpečení relace NTLM verze 2. Jedním z efektů nekompatibilních nastavení je to, že pokud server vyžaduje ntlmv2 (hodnota 5), ale klient je nakonfigurovaný tak, aby používal pouze lm a NTLMv1 (hodnota 0), dojde k chybě přihlášení, která má chybné heslo a zvyšuje chybný počet hesel. Pokud je nakonfigurované uzamčení účtu, může být uživatel nakonec uzamčený. Možná se budete muset podívat na řadič domény nebo možná budete muset prozkoumat zásady řadiče domény. Podívejte se na řadič domény. Poznámka: Bude pravděpodobně nutné opakovat následující postup na všech řadičích domény.-
Klepněte na tlačítko Start, přejděte na příkaz Programya klepněte na tlačítko Nástroje pro správu.
-
V části Místní nastavení zabezpečení rozbalte položku Místní zásady.
-
Klepněte na tlačítko Možnosti zabezpečení.
-
Poklikejte na úroveň ověřování Network Security: LAN Manager a potom klikněte na hodnotu v seznamu.
-
Klepněte na tlačítko Start, přejděte na příkaz Programya klepněte na tlačítko Nástroje pro správu.
-
V zásadách zabezpečení řadiče domény rozbalte položku Nastavení zabezpečení a potom rozbalte položku Místní zásady.
-
Klepněte na tlačítko Možnosti zabezpečení.
-
Poklikejte na úroveň ověřování Network Security: LAN Manager a potom klikněte na hodnotu v seznamu.
-
Možná budete muset také zkontrolovat zásady, které jsou propojené na úrovni lokality, na úrovni domény nebo na úrovni organizační jednotky ( OU), abyste zjistili, kde je potřeba nakonfigurovat úroveň ověřování LAN Manageru.
-
Pokud implementujete nastavení Zásady skupiny jako výchozí zásady domény, zásada se použije na všechny počítače v doméně.
-
Pokud implementujete nastavení Zásady skupiny jako výchozí zásadu řadiče domény, zásada se vztahuje pouze na servery v organizační jednotky řadiče domény.
-
Je vhodné nastavit úroveň ověřování LAN Manageru v nejnižší entitě nezbytného oboru v hierarchii aplikace zásad.
Windows Server 2003 má nové výchozí nastavení pro použití pouze NTLMv2. Ve výchozím nastavení řadiče domény se systémy Windows Server 2003 a Windows 2000 Server SP3 povolily zásadu "Síťový server Microsoft: Digitálně podepsat komunikaci (vždy)". Toto nastavení vyžaduje, aby server SMB prováděl podepisování paketů SMB. Změny systému Windows Server 2003 byly provedeny, protože řadiče domény, souborové servery, servery síťové infrastruktury a webové servery v libovolné organizaci vyžadují k maximalizaci zabezpečení různá nastavení.
Pokud chcete ve své síti implementovat ověřování NTLMv2, musíte se ujistit, že všechny počítače v doméně jsou nastavené tak, aby používaly tuto úroveň ověřování. Pokud použijete rozšíření klienta služby Active Directory pro systém Windows 95 nebo Windows 98 a systém Windows NT 4.0, používají rozšíření klienta vylepšené funkce ověřování, které jsou k dispozici v systému NTLMv2. Protože klientské počítače se spuštěným některým z následujících operačních systémů nejsou ovlivněny systémem Windows 2000 Zásady skupiny Objects, bude pravděpodobně nutné tyto klienty nakonfigurovat ručně:-
Microsoft systém Windows NT 4.0
-
Microsoft Windows Millennium Edition
-
Microsoft Windows 98
-
Microsoft Windows 95
Poznámka: Pokud povolíte zabezpečení sítě: Neukládejte hodnotu hash LAN Manageru při příštích zásadách změny hesla ani nastavte klíč registru NoLMHash , klienti se systémem Windows 95 a Windows 98, kteří nemají nainstalovaného klienta adresářových služeb, se po změně hesla nemohou přihlásit k doméně.
Mnoho serverů CIFS třetích stran, jako je Například Novell Netware 6, nezná NTLMv2 a používá pouze NTLM. Proto úrovně větší než 2 nepovolují připojení. Existují také klienti SMB třetích stran, kteří nepoužívají rozšířené zabezpečení relace. V těchto případech není brán v úvahu lmCompatiblityLevel serveru prostředků. Server pak tento starší požadavek zabalí a odešle ho řadiči domény uživatele. Nastavení na řadiči domény pak rozhodnou, jaké hodnoty hash se použijí k ověření požadavku a jestli splňují požadavky řadiče domény na zabezpečení.299656 Jak zabránit systému Windows v ukládání hodnoty hash hesla správce sítě LAN do služby Active Directory a místních databází SAM
2701704Událost auditu zobrazuje ověřovací balíček jako NTLMv1 místo NTLMv2 Další informace o úrovních ověřování LM získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
239869 Povolení ověřování NTLM 2
-
-
Rizikové konfigurace
Následují škodlivá nastavení konfigurace:-
Nastavení bez omezení, která odesílají hesla ve formátu prostého textu a která zamítají vyjednávání NTLMv2
-
Omezující nastavení, která brání nekompatibilním klientům nebo řadičům domény ve vyjednávání běžného ověřovacího protokolu
-
Vyžadování ověřování NTLMv2 na členských počítačích a řadičích domény se spuštěnou verzí systém Windows NT 4.0 starší než Service Pack 4 (SP4)
-
Vyžadování ověřování NTLMv2 v klientech Systému Windows 95 nebo v klientech systému Windows 98, kteří nemají nainstalovaného klienta adresářové služby systému Windows.
-
Pokud klepnutím zaškrtněte políčko Vyžadovat zabezpečení relace NTLMv2 v konzole Microsoft Management Console Zásady skupiny Editor snap-in v počítači se systémem Windows Server 2003 nebo Windows 2000 Service Pack 3 a snížit úroveň ověřování LAN Manager na 0, konflikt dvou nastavení a může se zobrazit následující chybová zpráva v souboru Secpol.msc nebo GPEdit.msc souboru:
Systém Windows nemůže otevřít databázi místních zásad. Při pokusu o otevření databáze došlo k neznámé chybě.
Další informace o nástroji Pro konfiguraci a analýzu zabezpečení naleznete v souborech nápovědy systému Windows 2000 nebo Windows Server 2003.
-
-
Důvody pro úpravu tohoto nastavení
-
Chcete zvýšit nejnižší společný ověřovací protokol podporovaný klienty a řadiči domény ve vaší organizaci.
-
Pokud je zabezpečené ověřování obchodním požadavkem, chcete zakázat vyjednávání protokolů LM a NTLM.
-
-
Důvody pro zakázání tohoto nastavení
Požadavky na ověřování klientů nebo serverů nebo obojí byly zvýšeny do bodu, kdy ověřování přes běžný protokol nemůže probíhat. -
Symbolický název:
LmCompatibilityLevel -
Cesta registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
-
Příklady problémů s kompatibilitou
-
Windows Server 2003: Ve výchozím nastavení je povoleno nastavení odesílání odpovědí NTLM systému Windows Server 2003 NTLMv2. Proto systém Windows Server 2003 obdrží po počáteční instalaci při pokusu o připojení ke clusteru se systémem systém Windows NT 4.0 nebo lanManager v2.1 servery založené na systému LanManager 4.0 chybová zpráva, například OS/2 Lanserver. K tomuto problému dochází také při pokusu o připojení ze starší verze klienta k serveru se systémem Windows Server 2003.
-
Nainstalujete balíček kumulativní aktualizace zabezpečení systému Windows 2000 1 (SRP1). SRP1 vynutí NTLM verze 2 (NTLMv2). Tento kumulativní balíček byl vydán po vydání aktualizace Windows 2000 Service Pack 2 (SP2).
-
Windows 7 a Windows Server 2008 R2: Mnoho serverů CIFS třetích stran, jako jsou servery Samba se systémem Novell Netware 6 nebo Linux, si nejsou vědomy ntlmv2 a používat pouze NTLM. Proto úrovně větší než 2 nepovolují připojení. V této verzi operačního systému se teď výchozí hodnota lmCompatibilityLevel změnila na 3. Když tedy upgradujete Windows, můžou tyto soubory třetích stran přestat fungovat.
-
Klienti aplikace Microsoft Outlook mohou být vyzváni k zadání přihlašovacích údajů, i když jsou již přihlášeni k doméně. Když uživatelé zadají své přihlašovací údaje, zobrazí se jim následující chybová zpráva: Windows 7 a Windows Server 2008 R2
Zadané přihlašovací údaje byly nesprávné. Ujistěte se, že máte správné uživatelské jméno a doménu, a pak znovu zadejte heslo.
Když spustíte Outlook, může se zobrazit výzva k zadání přihlašovacích údajů, i když je nastavení Zabezpečení přihlašovací sítě nastavené na Předávací nebo Ověřování heslem. Po zadání správných přihlašovacích údajů se může zobrazit následující chybová zpráva:
Zadané přihlašovací údaje byly nesprávné.
Trasování sledování sítě může ukazovat, že globální katalog vydal chybu vzdáleného volání procedur (RPC) se stavem 0x5. Stav 0x5 znamená Odepření přístupu.
-
Windows 2000: Záznam sledování sítě může v relaci smb (NetBIOS over TCP/IP) server message block (SMB) zobrazit následující chyby:
Chyba služby SMB R Search Directory Dos, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Neplatný identifikátor uživatele
-
Windows 2000: Pokud doména systému Windows 2000 se systémem NTLMv2 úrovně 2 nebo novější je důvěryhodná doménou systém Windows NT 4.0, mohou členské počítače se systémem Windows 2000 v doméně prostředků docházet k chybám ověřování.
-
Windows 2000 a Windows XP: Ve výchozím nastavení systému Windows 2000 a Windows XP nastavte možnost místní zásady zabezpečení na úrovni ověřování LAN Manager 0. Nastavení 0 znamená "Send LM and NTLM responses"
(Odeslat odpovědi LM a NTLM). Poznámka: systém Windows NT clustery založené na 4.0 musí používat LM pro správu. -
Windows 2000: Clustering systému Windows 2000 neověřuje spojovací uzel, pokud jsou oba uzly součástí domény systém Windows NT 4.0 Service Pack 6a (SP6a).
-
Nástroj Iis Lockdown (HiSecWeb) nastaví hodnotu LMCompatibilityLevel na 5 a hodnotu RestrictAnonymous na 2.
-
Služby pro Macintosh
User Authentication Module (UAM): Microsoft UAM (User Authentication Module) poskytuje metodu šifrování hesel, která používáte k přihlášení k serverům Windows AFP (AppleTalk Filing Protocol). Apple User Authentication Module (UAM) poskytuje pouze minimální nebo žádné šifrování. Proto může být vaše heslo snadno zachyceno v síti LAN nebo na internetu. I když služba UAM není povinná, poskytuje šifrované ověřování pro servery se systémem Windows 2000, na kterých běží služby pro systém Macintosh. Tato verze zahrnuje podporu 128bitového šifrovaného ověřování NTLMv2 a vydání kompatibilní s MacOS X 10.1. Ve výchozím nastavení povoluje server Windows Server 2003 Services for Macintosh pouze ověřování společnosti Microsoft. -
Windows Server 2008, Windows Server 2003, Windows XP a Windows 2000: Pokud nakonfigurujete hodnotu LMCompatibilityLevel na hodnotu 0 nebo 1 a potom nakonfigurujete hodnotu NoLMHash na hodnotu 1, může být přístup aplikací a komponent odepřen prostřednictvím protokolu NTLM. K tomuto problému dochází, protože počítač je nakonfigurován tak, aby povoloval LM, ale nepoužívat hesla uložená v lm.
Pokud nakonfigurujete hodnotu NoLMHash na hodnotu 1, je nutné nakonfigurovat hodnotu LMCompatibilityLevel na hodnotu 2 nebo vyšší.
-
-
-
Zabezpečení sítě: Požadavky na podepisování klientů LDAP
-
Pozadí
Nastavení požadavků na podepisování klientů LDAP určuje úroveň podepisování dat požadovanou jménem klientů, kteří vystavují požadavky BIND protokolu LDAP (Lightweight Directory Access Protocol) následujícím způsobem:-
Žádné: Požadavek LDAP BIND se vystaví s možnostmi zadanými volajícím.
-
Vyjednání podepisování: Pokud se protokol SSL/TLS (Secure Sockets Layer/Transport Layer Security) nespustil, zahájí se požadavek LDAP BIND se sadou možností podepisování dat LDAP a možnostmi zadanými volajícím. Pokud byl spuštěn protokol SSL/TLS, zahájí se požadavek LDAP BIND s možnostmi zadanými volajícím.
-
Vyžadovat podepisování: Je to stejné jako podepisování Negotiate. Pokud ale zprostředkující odpověď saslBindInProgress serveru LDAP neoznačuje, že se vyžaduje podepisování provozu LDAP, volajícímu se oznámí, že požadavek příkazu LDAP BIND selhal.
-
-
Riziková konfigurace
Povolení zabezpečení sítě: Nastavení požadavků na podepisování klientů LDAP je škodlivé nastavení konfigurace. Pokud nastavíte server tak, aby vyžadoval podpisy PROTOKOLU LDAP, musíte nakonfigurovat také podepisování PROTOKOLU LDAP na klientovi. Nenakonfigurovat klienta tak, aby používal podpisy LDAP, zabrání komunikaci se serverem. To způsobí selhání ověřování uživatelů, nastavení Zásady skupiny, přihlašovacích skriptů a dalších funkcí. -
Důvody pro úpravu tohoto nastavení
Nepodepsané síťové přenosy jsou náchylné k útokům prostředníka, kdy útočník zachycuje pakety mezi klientem a servery, upravuje je a pak je přeposílá na server. Pokud k tomu dojde na serveru LDAP, útočník by mohl způsobit, že server odpoví na základě nepravdivých dotazů z klienta LDAP. Toto riziko můžete snížit v podnikové síti implementací silných fyzických bezpečnostních opatření, která pomáhají chránit síťovou infrastrukturu. Kromě toho můžete pomoci zabránit všem druhům útoků typu man-in-the-middle vyžadováním digitálních podpisů u všech síťových paketů pomocí ověřovacích hlaviček protokolu IPSec. -
Symbolický název:
LdapClientIntegrity -
Cesta registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
-
-
Protokol událostí: Maximální velikost protokolu zabezpečení
-
Pozadí
Protokol událostí: Nastavení zabezpečení maximální velikosti protokolu zabezpečení určuje maximální velikost protokolu událostí zabezpečení. Tento protokol má maximální velikost 4 GB. Chcete-li toto nastavení vyhledat, rozbalte položku Nastavení systému Windows a potom rozbalte položku Nastavení zabezpečení. -
Rizikové konfigurace
Následují škodlivá nastavení konfigurace:-
Omezení velikosti protokolu zabezpečení a metody uchovávání protokolu zabezpečení, pokud je povoleno nastavení Audit: Okamžitě vypnout systém, pokud není možné protokolovat audity zabezpečení. Další podrobnosti najdete v části Audit: Okamžité vypnutí systému, pokud nejde protokolovat audity zabezpečení.
-
Omezení velikosti protokolu zabezpečení tak, aby se události zabezpečení, které jsou v zájmu, přepíšou.
-
-
Důvody pro zvýšení tohoto nastavení
Obchodní požadavky a požadavky na zabezpečení můžou diktovat, že zvětšíte velikost protokolu zabezpečení, abyste mohli zpracovávat další podrobnosti protokolu zabezpečení nebo uchovávat protokoly zabezpečení po delší dobu. -
Důvody pro snížení tohoto nastavení
Prohlížeč událostí protokoly jsou soubory mapované na paměť. Maximální velikost protokolu událostí je omezena množstvím fyzické paměti v místním počítači a virtuální pamětí, která je k dispozici pro proces protokolu událostí. Zvětšení velikosti protokolu nad rámec velikosti virtuální paměti, která je k dispozici pro Prohlížeč událostí, nezvýší počet udržovaných položek protokolu. -
Příklady problémů s
kompatibilitou Windows 2000: Počítače se spuštěnou verzí systému Windows 2000 starší než Service Pack 4 (SP4) mohou zastavit protokolování událostí v protokolu událostí před dosažením velikosti zadané v nastavení Maximální velikost protokolu v Prohlížeč událostí pokud je zapnuta možnost Nepřepisovat události (vymazat protokol ručně).
-
-
Protokol událostí: Uchování protokolu zabezpečení
-
Pozadí
Protokol událostí: Zachování nastavení zabezpečení protokolu zabezpečení určuje metodu zabalení protokolu zabezpečení. Chcete-li toto nastavení vyhledat, rozbalte položku Nastavení systému Windows a potom rozbalte položku Nastavení zabezpečení. -
Rizikové konfigurace
Následují škodlivá nastavení konfigurace:-
Selhání uchovávání všech protokolovaných událostí zabezpečení před jejich přepsáním
-
Konfigurace nastavení maximální velikosti protokolu zabezpečení je příliš malá, aby se události zabezpečení přepisují.
-
Omezení velikosti protokolu zabezpečení a metody uchovávání informací v době, kdy je povoleno nastavení zabezpečení Audit: Okamžitě vypnout systém, pokud není možné protokolovat audity zabezpečení
-
-
Důvody pro povolení tohoto nastavení
Toto nastavení povolte pouze v případě, že vyberete metodu uchovávání událostí přepsat podle dnů . Pokud používáte systém korelace událostí, který se dotazuje na události, ujistěte se, že počet dnů je alespoň třikrát častější. Uděláte to tak, že povolíte neúspěšné cykly hlasování.
-
-
Přístup k síti: Oprávnění Povolit všem uživatelům platit pro anonymní uživatele
-
Pozadí
Ve výchozím nastavení je nastavení Přístup k síti: Povolit všem uživatelům použít u anonymních uživatelů nastavení Není definováno v systému Windows Server 2003. Ve výchozím nastavení systém Windows Server 2003 nezahrnuje token anonymního přístupu ve skupině Everyone. -
Příklad problémů s
kompatibilitou Následující hodnotaHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous [REG_DWORD]=0x0 přeruší vytváření důvěryhodnosti mezi Systémy Windows Server 2003 a systém Windows NT 4.0, když je doménou účtu doména Systému Windows Server 2003 a doména systém Windows NT 4.0 je doména prostředku. To znamená, že doména účtu je důvěryhodná na systém Windows NT 4.0 a doména prostředku důvěřuje na straně Windows Serveru 2003. K tomuto chování dochází, protože proces spuštění vztahu důvěryhodnosti po počáteční anonymní připojení je seznam ACL'd s tokenem Everyone, který obsahuje anonymní identifikátor SID na systém Windows NT 4.0.
-
Důvody pro úpravu tohoto nastavení
Hodnota musí být nastavená na 0x1 nebo nastavená pomocí objektu zásad skupiny v organizační jednotky řadiče domény: Přístup k síti: Povolit všem oprávnění použít anonymní uživatele – Povoleno, aby bylo možné vytvořit vztah důvěryhodnosti. Poznámka: Většina ostatních nastavení zabezpečení se místo 0x0 v nejschůdnějším stavu vyhodnotí. Bezpečnějším postupem by bylo změnit registr v emulátoru primárního řadiče domény místo na všech řadičích domény. Pokud je role emulátoru primárního řadiče domény z nějakého důvodu přesunuta, je nutné aktualizovat registr na novém serveru. Po nastavení této hodnoty se vyžaduje restartování. -
Cesta registru
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
-
-
Ověřování NTLMv2
-
Zabezpečení
relace Zabezpečení relace určuje minimální standardy zabezpečení pro relace klienta a serveru. V modulu snap-in Microsoft Management Console Zásady skupiny Editor je vhodné ověřit následující nastavení zásad zabezpečení:-
Nastavení počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení
-
Zabezpečení sítě: Minimální zabezpečení relace pro servery založené na protokolu NTLM SSP (včetně zabezpečených RPC)
-
Zabezpečení sítě: Minimální zabezpečení relace pro klienty založené na protokolu NTLM SSP (včetně zabezpečeného RPC)
Možnosti pro tato nastavení jsou následující:
-
Vyžadování integrity zpráv
-
Vyžadování důvěrnosti zpráv
-
Vyžadovat zabezpečení relace NTLM verze 2
-
Vyžadovat 128bitové šifrování
Výchozí nastavení před Windows 7 není žádné požadavky. Počínaje Windows 7 se výchozí nastavení pro lepší zabezpečení změnilo na Vyžadovat 128bitové šifrování. V tomto výchozím nastavení se starší zařízení, která nepodporují 128bitové šifrování, nebudou moct připojit.
Tyto zásady určují minimální standardy zabezpečení pro komunikační relaci mezi aplikacemi na serveru klienta. Všimněte si, že i když jsou popsané jako platné nastavení, příznaky, které vyžadují integritu a důvěrnost zpráv, se při určování zabezpečení relace NTLM nepoužívají. V minulosti systém Windows NT podporuje následující dvě varianty ověřování typu výzva/odpověď pro přihlášení k síti:-
Výzva/odpověď lm
-
Výzva nebo odpověď protokolu NTLM verze 1
Lm umožňuje interoperabilitu s nainstalovanou základnou klientů a serverů. Protokol NTLM poskytuje lepší zabezpečení pro připojení mezi klienty a servery.
Odpovídající klíče registru jsou následující:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec" -
-
Rizikové konfigurace
Toto nastavení určuje, jak se budou zpracovávat síťové relace zabezpečené protokolem NTLM. To má vliv například na relace založené na protokolu RPC ověřené protokolem NTLM. Existují následující rizika:-
Použití starších metod ověřování než NTLMv2 usnadňuje útok na komunikaci kvůli jednodušším metodům hashování.
-
Použití šifrovacích klíčů nižších než 128bitové verze umožňuje útočníkům přerušit komunikaci pomocí útoků hrubou silou.
-
-
Synchronizace času
Synchronizace času se nezdařila. Na ovlivněném počítači je čas vypnutý o více než 30 minut. Ujistěte se, že jsou hodiny klientského počítače synchronizované s hodinami řadiče domény.
Alternativní řešení pro podepisování SMB
Doporučujeme nainstalovat aktualizaci Service Pack 6a (SP6a) na klienty systém Windows NT 4.0, kteří komunikují v doméně se systémem Windows Server 2003. Klienti se systémem Windows 98 Druhé vydání, klienti se systémem Windows 98 a klienti se systémem Windows 95 musí ke spuštění nástroje NTLMv2 spustit klienta adresářových služeb. Pokud klienti systém Windows NT 4.0 nemají nainstalované systém Windows NT 4.0 SP6 nebo pokud klienti se systémem Windows 95, klienti se systémem Windows 98 a klienti se systémem Windows 98SE nemají nainstalovaného klienta adresářových služeb, zakažte podepisování protokolu SMB ve výchozím nastavení zásad řadiče domény v organizační síti řadiče domény a pak tuto zásadu propojte se všemi organizačními jednotkami, které hostují řadiče domény.
Klient adresářových služeb pro systémy Windows 98 Druhé vydání, Windows 98 a Windows 95 provede podepisování protokolu SMB pomocí serverů s Windows 2003 pod ověřováním NTLM, ale ne pod ověřováním NTLMv2. Servery windows 2000 navíc nebudou reagovat na požadavky podepisování SMB z těchto klientů. I když to nedoporučujeme, můžete zabránit tomu, aby se podepisování SMB vyžadovalo na všech řadičích domény se systémem Windows Server 2003 v doméně. Toto nastavení zabezpečení nakonfigurujete takto:-
Otevřete výchozí zásadu řadiče domény.
-
Otevřete složku Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení.
-
Vyhledejte a klikněte na síťový server Společnosti Microsoft: Nastavení zásad digitálního podepisování komunikace (vždy) a potom klikněte na zakázáno.
Důležité: Tato část, metoda nebo úloha obsahuje kroky, které popisují, jak upravit registr. Při nesprávné úpravě registru však může dojít k vážným problémům. Proto se ujistěte, že postupujte podle těchto kroků pečlivě. Pokud chcete přidat ochranu, zálohujte registr před jeho úpravou. Pak můžete obnovit registr, pokud dojde k problému. Další informace o zálohování a obnovení registru získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
322756 Postup zálohování a obnovení registru ve Windows Alternativně vypněte podepisování SMB na serveru úpravou registru. Postupujte takto:
-
Klepněte na tlačítko Start, klepněte na tlačítko Spustit, zadejte příkaz regedit a klepněte na tlačítko OK.
-
Vyhledejte následující podklíč a klikněte na něj:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters -
Klikněte na položku enablesecuritysignature .
-
V nabídce Úpravy klepněte na příkaz Změnit.
-
Do pole Údaj hodnoty zadejte hodnotu 0 a klikněte na tlačítko OK.
-
Ukončete Editor registru.
-
Restartujte počítač nebo zastavte a restartujte službu Server. Uděláte to tak, že na příkazovém řádku zadáte následující příkazy a po zadání každého příkazu stisknete Enter:
net stop server net start server
Poznámka: Odpovídající klíč v klientském počítači je v následujícím podklíči registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters Následující seznam uvádí čísla přeložených kódů chyb na stavové kódy a doslovné chybové zprávy, které jsou zmíněny výše:
chyba 5
ERROR_ACCESS_DENIED Přístup byl odepřen.chyba 1326
ERROR_LOGON_FAILURE Chyba přihlášení: neznámé uživatelské jméno nebo chybné heslo.chyba 1788
ERROR_TRUSTED_DOMAIN_FAILURE Vztah důvěryhodnosti mezi primární doménou a důvěryhodnou doménou se nezdařil.chyba 1789
ERROR_TRUSTED_RELATIONSHIP_FAILURE Vztah důvěryhodnosti mezi touto pracovní stanicí a primární doménou se nezdařil.Další informace získáte v následujících článcích znalostní báze Microsoft Knowledge Base:
324802 Konfigurace zásad skupiny pro nastavení zabezpečení systémových služeb v systému Windows Server 2003
816585 Použití předdefinovaných šablon zabezpečení v systému Windows Server 2003