Υπολογιστή-πελάτη, υπηρεσία και πρόγραμμα θέματα μπορεί να προκύψει, εάν αλλάξετε ρυθμίσεις ασφαλείας και εκχωρήσεις δικαιωμάτων χρήστη

Σύνοψη

Ρυθμίσεις ασφαλείας και εκχωρήσεις δικαιωμάτων χρήστη μπορεί να αλλάξει σε τοπικές πολιτικές και πολιτικές ομάδας για να συμβάλετε στην ενίσχυση της ασφάλειας σε ελεγκτές τομέα και οι υπολογιστές-μέλη. Ωστόσο, το μειονέκτημα της ενισχυμένης ασφάλειας είναι η εισαγωγή σε ζητήματα ασυμβατότητας με υπολογιστές-πελάτες, υπηρεσίες και προγράμματα.

Αυτό το άρθρο περιγράφει ζητήματα ασυμβατότητας που ενδέχεται να προκύψει σε υπολογιστές-πελάτες που εκτελούν Windows XP ή προηγούμενη έκδοση των Windows, όταν τροποποιείτε συγκεκριμένες ρυθμίσεις ασφαλείας και εκχωρήσεις δικαιωμάτων χρήστη σε έναν τομέα του Windows Server 2003 ή μια προηγούμενη τομέα Windows Server.

Για πληροφορίες σχετικά με την πολιτική ομάδας για τα Windows 7, Windows Server 2008 R2 και Windows Server 2008, ανατρέξτε στα ακόλουθα άρθρα:Σημείωση: Το υπόλοιπο περιεχόμενο σε αυτό το άρθρο είναι ειδικά για τα Windows XP, Windows Server 2003 και προηγούμενες εκδόσεις των Windows.

Windows XP

Κάντε κλικ εδώ για να δείτε πληροφορίες που αφορούν τα Windows XP
Για την αύξηση της ευαισθητοποίησης των εσφαλμένες ρυθμίσεις παραμέτρων ασφαλείας, χρησιμοποιήστε το εργαλείο πρόγραμμα επεξεργασίας αντικειμένων πολιτικής ομάδας για να αλλάξετε τις ρυθμίσεις ασφαλείας. Όταν χρησιμοποιείτε το πρόγραμμα επεξεργασίας αντικειμένου πολιτικής ομάδας, εκχωρήσεις δικαιωμάτων χρήστη βελτιώνονται στα ακόλουθα λειτουργικά συστήματα:
  • Τα Windows XP Professional Service Pack 2 (SP2)
  • Τα Windows Server 2003 Service Pack 1 (SP1)
Η βελτιωμένη δυνατότητα είναι ένα παράθυρο διαλόγου που περιέχει μια σύνδεση σε αυτό το άρθρο. Το παράθυρο διαλόγου εμφανίζεται όταν αλλάζετε μια ρύθμιση ασφαλείας ή μια εκχώρηση δικαιωμάτων χρήστη με μια ρύθμιση που παρέχει λιγότερη συμβατότητα και έχει περισσότερους περιορισμούς. Εάν αλλάξετε απευθείας την ίδια ασφάλεια ρύθμιση ή εκχώρηση δικαιωμάτων χρήστη χρησιμοποιώντας το μητρώο ή με τη χρήση προτύπων ασφαλείας, το αποτέλεσμα είναι το ίδιο με την αλλαγή της ρύθμισης στο πρόγραμμα επεξεργασίας αντικειμένου πολιτικής ομάδας. Ωστόσο, το παράθυρο διαλόγου που περιέχει τη σύνδεση με αυτό το άρθρο δεν εμφανίζεται.

Αυτό το άρθρο περιέχει παραδείγματα προγραμμάτων-πελατών, προγραμμάτων και λειτουργιών που επηρεάζονται από συγκεκριμένες ρυθμίσεις ασφαλείας ή εκχωρήσεις δικαιωμάτων χρήστη. Ωστόσο, τα παραδείγματα δεν είναι αξιόπιστη για όλα τα λειτουργικά συστήματα της Microsoft, για όλα τα λειτουργικά συστήματα τρίτων κατασκευαστών ή για όλες τις εκδόσεις προγραμμάτων που επηρεάζονται. Δεν είναι όλες οι ρυθμίσεις ασφαλείας και εκχωρήσεις δικαιωμάτων χρήστη περιλαμβάνονται σε αυτό το άρθρο.

Συνιστάται να επικυρώσετε τη συμβατότητα όλων των αλλαγών παραμέτρων που σχετίζονται με την ασφάλεια σε ένα δοκιμαστικό σύμπλεγμα δομών προτού τις εισαγάγετε σε ένα περιβάλλον παραγωγής. Το δοκιμαστικό σύμπλεγμα δομών πρέπει να αντικατοπτρίζει το σύμπλεγμα δομών παραγωγής με τους εξής τρόπους:
  • Υπολογιστή-πελάτη και εκδόσεις λειτουργικού συστήματος διακομιστή, υπολογιστή-πελάτη και προγράμματα διακομιστή, εκδόσεις service pack, επείγουσες επιδιορθώσεις, αλλαγές σχήματος, ομάδες ασφαλείας, ιδιότητες μέλους ομάδας, δικαιώματα σε αντικείμενα στο σύστημα αρχείων, Κοινόχρηστοι φάκελοι, το μητρώο, υπηρεσία καταλόγου Active Directory, τοπικές και ρυθμίσεις πολιτικής ομάδας και αντικείμενο καταμέτρηση τύπο και τη θέση
  • Διαχειριστικές εργασίες που εκτελούνται, εργαλεία διαχείρισης που χρησιμοποιούνται και τα λειτουργικά συστήματα που χρησιμοποιούνται για την εκτέλεση εργασιών διαχείρισης
  • Λειτουργίες που εκτελούνται, όπως οι παρακάτω:
    • Ο έλεγχος ταυτότητας σύνδεσης χρήστη και υπολογιστή
    • Επαναφορά κωδικού πρόσβασης από τους χρήστες, υπολογιστές και από τους διαχειριστές
    • Περιήγηση
    • Ορισμός δικαιωμάτων για το σύστημα αρχείων, για κοινόχρηστους φακέλους, για το μητρώο και για πόρους της υπηρεσίας καταλόγου Active Directory, χρησιμοποιώντας το πρόγραμμα επεξεργασίας ACL σε όλα τα συστήματα λειτουργικού προγράμματος-πελάτη σε όλα λογαριασμού ή τομείς πόρων από όλα λειτουργικά συστήματα υπολογιστή-πελάτη από κάθε λογαριασμό ή τομέων πόρων
    • Εκτύπωση από διοικητικές και τους λογαριασμούς

Τα Windows Server 2003 SP1

Κάντε κλικ εδώ για να δείτε τις πληροφορίες που είναι ειδικά για Windows Server SP1

Προειδοποιήσεις στο Gpedit.msc

Για να σας βοηθήσει να γνωρίζουν ότι επεξεργάζονται ένα δικαίωμα χρήστη ή επιλογή ασφαλείας που θα μπορούσε να έχει αρνητικά επηρεάζουν το δίκτυό τους πελάτες, προστέθηκαν δύο μηχανισμοί προειδοποίησης στο gpedit.msc. Όταν οι διαχειριστές επεξεργάζονται ένα δικαίωμα χρήστη που μπορεί να επηρεάσει αρνητικά ολόκληρη εταιρεία, θα βλέπουν ένα νέο εικονίδιο που μοιάζει με ένα σύμβολο απόδοση. Επίσης θα λαμβάνουν ένα προειδοποιητικό μήνυμα που περιέχει μια σύνδεση για το άρθρο της Γνωσιακής Βάσης της Microsoft 823659. Το κείμενο αυτού του μηνύματος έχει ως εξής:
Τροποποίηση αυτής της ρύθμισης ενδέχεται να επηρεάσει τη συμβατότητα με προγράμματα-πελάτες, υπηρεσίες και εφαρμογές. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα < χρήστης δικαίωμα ασφαλείας επιλογή ή την τροποποίηση > (Q823659)
Εάν μεταβήκατε σε αυτό το άρθρο της Γνωσιακής βάσης από μια σύνδεση στο gpedit, βεβαιωθείτε ότι μπορείτε να διαβάσετε και να κατανοήσετε την εξήγηση που παρέχεται και τις πιθανές επιπτώσεις από την αλλαγή αυτής της ρύθμισης. Η ακόλουθη λίστα παραθέτει τα δικαιώματα χρήστη που περιέχουν το κείμενο προειδοποίησης:
  • Πρόσβαση αυτού του υπολογιστή από το δίκτυο
  • Τοπική σύνδεση
  • Παράκαμψη διέλευσης ελέγχου
  • Ενεργοποίηση υπολογιστές και χρήστες για αξιόπιστη αντιπροσώπευση
Η ακόλουθη λίστα παραθέτει επιλογές ασφαλείας που έχουν την προειδοποίηση και ένα αναδυόμενο μήνυμα:
  • Μέλος τομέα: Ψηφιακή κρυπτογράφηση ή υπογραφή δεδομένων ασφαλούς καναλιού (πάντα)
  • Μέλος τομέα: Απαιτείται strong (Windows 2000 ή νεότερη έκδοση) κλειδιού περιόδου λειτουργίας
  • Ελεγκτή τομέα: Απαιτήσεις υπογραφής διακομιστή LDAP
  • Διακομιστής δικτύου Microsoft: ψηφιακή υπογραφή κατά την επικοινωνία (πάντα)
  • Πρόσβαση δικτύου: Επιτρέπει την ανώνυμου Sid / μετάφραση ονόματος
  • Πρόσβαση δικτύου: Δεν επιτρέπεται η ανώνυμη απαρίθμηση SAM λογαριασμών και κοινόχρηστων στοιχείων
  • Ασφάλεια δικτύου: επίπεδο ελέγχου ταυτότητας LAN Manager
  • Έλεγχος: Τερματισμός του συστήματος αμέσως εάν δεν είναι δυνατή η καταχώρηση των ελέγχων ασφαλείας
  • Πρόσβαση στο δίκτυο: Απαιτήσεις υπογραφής πελάτη LDAP

Περισσότερες πληροφορίες

Οι ακόλουθες ενότητες περιγράφουν τα ζητήματα ασυμβατότητας που ενδέχεται να προκύψουν όταν τροποποιείτε συγκεκριμένες ρυθμίσεις σε τομείς Windows NT 4.0, τομείς Windows 2000 και τομείς Windows Server 2003.

Δικαιώματα χρήστη

Κάντε κλικ εδώ για να δείτε πληροφορίες σχετικά με τα δικαιώματα χρήστη
Η ακόλουθη λίστα περιγράφει ένα δικαίωμα χρήστη, προσδιορίζει τις ρυθμίσεις παραμέτρων που ενδέχεται να προκαλέσει ζητήματα, περιγράφει γιατί θα πρέπει να εφαρμόσετε το δικαίωμα χρήστη και γιατί μπορεί να θέλετε να καταργήσετε το δικαίωμα χρήστη, και παρέχει παραδείγματα των ζητημάτων συμβατότητας που ενδέχεται να προκύψουν όταν ρυθμίζεται το δικαίωμα χρήστη.
  1. Πρόσβαση αυτού του υπολογιστή από το δίκτυο
    1. Φόντο

      Η δυνατότητα αλληλεπίδρασης με απομακρυσμένους υπολογιστές με Windows απαιτεί το δικαίωμα χρήστη πρόσβαση αυτού του υπολογιστή από το δίκτυο . Παραδείγματα τέτοιων λειτουργιών δικτύου περιλαμβάνονται τα εξής:
      • Αναπαραγωγή της υπηρεσίας καταλόγου Active Directory μεταξύ ελεγκτών τομέα σε έναν κοινό τομέα ή σύμπλεγμα δομών
      • Οι αιτήσεις ελέγχου ταυτότητας σε ελεγκτές τομέα από χρήστες και υπολογιστές
      • Πρόσβαση σε κοινόχρηστους φακέλους, εκτυπωτές και άλλες υπηρεσίες συστήματος που βρίσκονται σε απομακρυσμένους υπολογιστές του δικτύου


      Οι χρήστες, οι υπολογιστές και οι λογαριασμοί χρήστη αποκτούν ή χάνουν το δικαίωμα χρήστη πρόσβαση αυτού του υπολογιστή από το δίκτυο , αποτελώντας προστεθεί ή καταργηθεί από μια ομάδα ασφαλείας που έχει εκχωρηθεί αυτό το δικαίωμα χρήστη άμεσα ή έμμεσα. Για παράδειγμα, ένας λογαριασμός χρήστη ή υπολογιστή μπορεί να έχει προστεθεί άμεσα σε μια προσαρμοσμένη ομάδα ασφαλείας ή ενσωματωμένη ομάδα ασφαλείας από ένα διαχειριστή ή μπορεί να έχει προστεθεί έμμεσα από το λειτουργικό σύστημα σε μια ομάδα ασφαλείας όπως οι Domain Users, Authenticated Users ή Enterprise Domain Controllers.

      Από προεπιλογή, λογαριασμούς χρήστη και υπολογιστή έχουν εκχωρηθεί στο χρήστη πρόσβαση αυτού του υπολογιστή από το δίκτυο δεξιά όταν υπολογιζόμενη ομάδες όπως όλοι ή, κατά προτίμηση, οι χρήστες με έλεγχο ταυτότητας και, για τους ελεγκτές τομέα, ομάδα Enterprise Domain Controllers, ορίζονται στους ελεγκτές τομέα προεπιλεγμένο αντικείμενο πολιτικής ομάδας (GPO).
    2. Επικίνδυνες ρυθμίσεις παραμέτρων

      Τα παρακάτω είναι επιβλαβείς ρύθμισης παραμέτρων:
      • Κατάργηση της ομάδας ασφαλείας Enterprise Domain Controllers από αυτό το δικαίωμα χρήστη
      • Κατάργηση της ομάδας Authenticated Users ή μιας αποκλειστικής ομάδας που επιτρέπει στους χρήστες, υπολογιστές και λογαριασμούς υπηρεσιών το δικαίωμα χρήστη για να συνδεθείτε με τους υπολογιστές στο δίκτυο
      • Κατάργηση όλων των χρηστών και υπολογιστών από αυτό το δικαίωμα χρήστη
    3. Λόγοι για την εκχώρηση αυτού του δικαιώματος χρήστη
      • Εκχώρηση του δικαιώματος χρήστη πρόσβαση αυτού του υπολογιστή από το δίκτυο στην ομάδα Enterprise Domain Controllers ικανοποιεί απαιτήσεις ελέγχου ταυτότητας που πρέπει να έχει η αναπαραγωγή της υπηρεσίας καταλόγου Active Directory για να πραγματοποιηθεί αναπαραγωγή μεταξύ ελεγκτών τομέα στο ίδιο σύμπλεγμα δομών.
      • Αυτό το δικαίωμα χρήστη επιτρέπει σε χρήστες και υπολογιστές να αποκτήσουν πρόσβαση σε κοινόχρηστα αρχεία, εκτυπωτές και υπηρεσίες συστήματος, συμπεριλαμβανομένης της υπηρεσίας καταλόγου Active Directory.
      • Αυτό το δικαίωμα χρήστη απαιτείται για τους χρήστες η πρόσβαση αλληλογραφία, χρησιμοποιώντας παλαιότερες εκδόσεις του Microsoft Outlook Web Access (OWA).
    4. Λόγοι για την κατάργηση αυτού του δικαιώματος χρήστη
      • Οι χρήστες που μπορούν να συνδέσουν τους υπολογιστές στο δίκτυο να αποκτήσετε πρόσβαση σε πόρους σε απομακρυσμένους υπολογιστές που διαθέτουν δικαιώματα για. Για παράδειγμα, αυτό το δικαίωμα χρήστη απαιτείται για ένα χρήστη για τη σύνδεση σε κοινόχρηστους εκτυπωτές και φακέλους. Αν έχει εκχωρηθεί αυτό το δικαίωμα χρήστη για τους φορητούς ομάδα, και εάν ορισμένοι κοινόχρηστοι φάκελοι διαθέτουν κοινόχρηστο στοιχείο και δικαιώματα συστήματος αρχείων NTFS έχει ρυθμιστεί έτσι ώστε η ίδια ομάδα να διαθέτει δικαιώματα ανάγνωσης, οποιοσδήποτε μπορεί να προβάλει αρχεία σε αυτούς τους κοινόχρηστους φακέλους. Ωστόσο, αυτή είναι μια απίθανη περίπτωση για πρόσφατες εγκαταστάσεις του Windows Server 2003, επειδή το προεπιλεγμένο κοινόχρηστο στοιχείο και τα δικαιώματα NTFS στον Windows Server 2003 δεν περιλαμβάνουν την ομάδα Everyone. Για συστήματα που έχουν αναβαθμιστεί από Microsoft Windows NT 4.0 ή Windows 2000, αυτό το θέμα ευπάθειας μπορεί να έχουν υψηλότερο επίπεδο κινδύνου, επειδή το προεπιλεγμένο κοινόχρηστο στοιχείο και τα δικαιώματα του συστήματος αρχείων για αυτά τα λειτουργικά συστήματα δεν είναι περιοριστικές τα προεπιλεγμένα δικαιώματα στον Windows Server 2003.
      • Δεν υπάρχει έγκυρη λόγος για την κατάργηση ομάδα Enterprise Domain Controllers από αυτό το δικαίωμα χρήστη.
      • Η ομάδα Everyone έχει καταργηθεί γενικά υπέρ της ομάδας Authenticated Users. Εάν καταργηθεί η ομάδα Everyone, την ομάδα Authenticated Users πρέπει να έχει αυτό το δικαίωμα χρήστη.
      • Τομείς των Windows NT 4.0 που έχουν αναβαθμιστεί σε Windows 2000 δεν παραχωρήσετε ρητά στο χρήστη πρόσβαση αυτού του υπολογιστή από το δίκτυο δεξιά προς την ομάδα Everyone, την ομάδα Authenticated Users ή στην ομάδα Enterprise Domain Controllers. Επομένως, όταν καταργήσετε την ομάδα Everyone από την πολιτική τομέα των Windows NT 4.0, η αναπαραγωγή υπηρεσίας καταλόγου Active Directory θα αποτύχει εμφανίζοντας ένα μήνυμα λάθους "Δεν επιτρέπεται η πρόσβαση" μετά την αναβάθμιση σε Windows 2000. Winnt32.exe του Windows Server 2003 αποφεύγει αυτή η λανθασμένη ρύθμιση παραμέτρων, εκχωρώντας Enterprise Domain Controllers ομάδα αυτό το δικαίωμα χρήστη, όταν αναβαθμίζετε ελεγκτές πρωτεύοντος τομέα Windows NT 4.0 (PDCs). Εκχωρήστε στην ομάδα Enterprise Domain Controllers αυτό το δικαίωμα, εάν δεν υπάρχει στον επεξεργαστή αντικειμένου πολιτικής ομάδας χρήστη.
    5. Παραδείγματα προβλημάτων συμβατότητας
      • Των Windows 2000 και Windows Server 2003: Αναπαραγωγή από τα ακόλουθα διαμερίσματα θα αποτύχει με σφάλματα "Δεν επιτρέπεται η πρόσβαση", όπως αναφέρεται από τα εργαλεία παρακολούθησης όπως τα REPLMON και REPADMIN ή αναπαραγωγής συμβάντα στο αρχείο καταγραφής συμβάντων.
        • Ενεργό διαμέρισμα καταλόγου σχήματος
        • Ρύθμιση παραμέτρων διαμερισμάτων
        • Διαμέρισμα τομέα
        • Διαμερίσματος καθολικού καταλόγου
        • Διαμέρισμα εφαρμογής
      • Microsoft όλα τα λειτουργικά συστήματα δικτύου: Ο έλεγχος ταυτότητας λογαριασμού χρήστη από υπολογιστές-πελάτες απομακρυσμένο δίκτυο θα αποτύχει, εκτός στο χρήστη ή μια ομάδα ασφαλείας της οποίας ο χρήστης είναι μέλος έχει εκχωρηθεί αυτό το δικαίωμα χρήστη.
      • Microsoft όλα τα λειτουργικά συστήματα δικτύου: Ο έλεγχος ταυτότητας λογαριασμού από υπολογιστές-πελάτες απομακρυσμένης δικτύου θα αποτύχει, εκτός στο λογαριασμό ή μια ομάδα ασφαλείας, ο λογαριασμός είναι μέλος έχει εκχωρηθεί αυτό το δικαίωμα χρήστη. Αυτό το σενάριο ισχύει σε λογαριασμούς χρήστη, λογαριασμούς υπολογιστή και για λογαριασμούς υπηρεσιών.
      • Microsoft όλα τα λειτουργικά συστήματα δικτύου: Κατάργηση όλων των λογαριασμών από αυτό το δικαίωμα χρήστη θα αποτρέψει οποιονδήποτε λογαριασμό να συνδεθεί στον τομέα ή την πρόσβαση σε πόρους του δικτύου. Εάν υπολογίζεται ομάδες όπως Enterprise Domain Controllers, Everyone ή Authenticated Users καταργούνται, πρέπει να παραχωρήσετε άμεσα αυτό το δικαίωμα χρήστη σε λογαριασμούς ή σε ομάδες ασφαλείας στις οποίες ο λογαριασμός είναι μέλος της, για να αποκτήσετε πρόσβαση σε απομακρυσμένους υπολογιστές μέσω του δικτύου. Αυτό το σενάριο ισχύει για όλους τους λογαριασμούς χρηστών, σε όλους τους λογαριασμούς υπολογιστή και για όλους τους λογαριασμούς υπηρεσιών.
      • Microsoft όλα τα λειτουργικά συστήματα δικτύου: Ο λογαριασμός τοπικού διαχειριστή χρησιμοποιεί έναν "κενό" κωδικό πρόσβασης. Δεν επιτρέπεται η σύνδεση στο δίκτυο με κενούς κωδικούς πρόσβασης για λογαριασμούς διαχειριστή σε περιβάλλον τομέα. Με αυτήν τη ρύθμιση, μπορείτε να περιμένετε να λάβετε ένα μήνυμα λάθους "Δεν επιτρέπεται η πρόσβαση".
  2. Δυνατότητα τοπικής σύνδεσης
    1. Φόντο

      Οι χρήστες που προσπαθούν να συνδεθούν στην κονσόλα ενός υπολογιστή που βασίζεται στα Windows (χρησιμοποιώντας τη συντόμευση πληκτρολογίου CTRL + ALT + DELETE) και οι λογαριασμοί που προσπαθούν να ξεκινήσουν μια υπηρεσία πρέπει να έχουν δικαιώματα τοπικής σύνδεσης στον κεντρικό υπολογιστή. Στα παραδείγματα λειτουργιών τοπικής σύνδεσης περιλαμβάνονται διαχειριστές που συνδέονται κονσόλες υπολογιστών-μελών ή ελεγκτών τομέα σε ολόκληρη την επιχείρηση και Χρήστες τομέα που συνδέονται με υπολογιστές-μέλη για την πρόσβαση σε επιφάνεια εργασίας τους, χρησιμοποιώντας λογαριασμούς χωρίς δικαιώματα. Οι χρήστες που χρησιμοποιούν μια σύνδεση απομακρυσμένης επιφάνειας εργασίας ή υπηρεσιών Terminal Services πρέπει να έχει ο χρήστης επιτρέπεται συνδεθείτε τοπικά δεξιά σε υπολογιστές προορισμού που χρησιμοποιούν Windows 2000 ή Windows XP, επειδή αυτές οι λειτουργίες σύνδεσης θεωρούνται τοπικές στον κεντρικό υπολογιστή. Οι χρήστες που συνδέονται σε ένα διακομιστή που έχει ενεργοποιημένο τον Terminal Server και που δεν έχουν αυτό το δικαίωμα χρήστη εξακολουθούν να αρχίσουν μιας απομακρυσμένης αλληλεπιδραστικής περιόδου λειτουργίας σε τομείς του Windows Server 2003 εάν έχουν το δικαίωμα χρήστη επιτρέπεται σύνδεση μέσω υπηρεσιών Terminal Services .
    2. Επικίνδυνες ρυθμίσεις παραμέτρων

      Τα παρακάτω είναι επιβλαβείς ρύθμισης παραμέτρων:
      • Κατάργηση ομάδες ασφαλείας διαχείρισης, συμπεριλαμβανομένων των χειριστών λογαριασμών, χειριστών αντιγράφων ασφαλείας, στους χειριστές εκτυπώσεων ή Server Operators, και στην ενσωματωμένη ομάδα διαχειριστών από την πολιτική του προεπιλεγμένου ελεγκτή τομέα.
      • Κατάργηση λογαριασμών υπηρεσιών οι οποίοι χρησιμοποιούνται από στοιχεία και προγράμματα σε υπολογιστές-μέλη και ελεγκτές τομέα του τομέα από την πολιτική του προεπιλεγμένου ελεγκτή τομέα.
      • Κατάργηση χρηστών ή ομάδων ασφαλείας που συνδέονται στην κονσόλα των υπολογιστών-μελών του τομέα.
      • Κατάργηση λογαριασμών υπηρεσιών οι οποίοι καθορίζονται στην τοπική βάση δεδομένων διαχείρισης λογαριασμών ασφαλείας (SAM) των υπολογιστών-μελών ή των υπολογιστών ομάδας εργασίας.
      • Κατάργηση μη ενσωματωμένη-λογαριασμών διαχειριστή που εκτελούν έλεγχο ταυτότητας στις υπηρεσίες Terminal Services που εκτελείται σε έναν ελεγκτή τομέα.
      • Προσθήκη όλους τους λογαριασμούς χρηστών στον τομέα, άμεσα ή έμμεσα μέσω Everyone ομάδα την Άρνηση σύνδεση τοπικά σύνδεσης προς τα δεξιά. Αυτή η ρύθμιση παραμέτρων θα εμποδίσει τους χρήστες να συνδεθούν σε οποιονδήποτε υπολογιστή-μέλος ή σε οποιονδήποτε ελεγκτή τομέα του τομέα.
    3. Λόγοι για την εκχώρηση αυτού του δικαιώματος χρήστη
      • Οι χρήστες πρέπει να έχουν το δικαίωμα χρήστη δυνατότητα τοπικής σύνδεσης για να αποκτήσετε πρόσβαση στην κονσόλα ή την επιφάνεια εργασίας ενός υπολογιστή ομάδας εργασίας, ενός υπολογιστή-μέλους ή ενός ελεγκτή τομέα.
      • Οι χρήστες πρέπει να έχουν αυτό το δικαίωμα χρήστη για να συνδεθείτε μέσω μιας περιόδου λειτουργίας υπηρεσιών Terminal Services που εκτελείται σε έναν ελεγκτή τομέα ή υπολογιστή-μέλος με Window 2000.
    4. Λόγοι για την κατάργηση αυτού του δικαιώματος χρήστη
      • Αποτυχία περιορισμού πρόσβασης κονσόλα σε αξιόπιστους λογαριασμούς χρήστη θα μπορούσε να οδηγήσει σε μη εξουσιοδοτημένους χρήστες τη λήψη και εκτέλεση επιβλαβούς κώδικα για την αλλαγή των δικαιωμάτων χρήστη.
      • Κατάργηση του δικαιώματος χρήστη δυνατότητα τοπικής σύνδεσης αποτρέπει τις μη εξουσιοδοτημένες συνδέσεις στις κονσόλες υπολογιστών, όπως οι ελεγκτές τομέα ή οι διακομιστές εφαρμογών.
      • Κατάργηση αυτού του δικαιώματος σύνδεσης αποτρέπει λογαριασμούς εκτός τομέα να συνδέονται στην κονσόλα των υπολογιστών-μελών του τομέα.
    5. Παραδείγματα προβλημάτων συμβατότητας
      • Διακομιστές τερματικού με Windows 2000: Το δικαίωμα χρήστη δυνατότητα τοπικής σύνδεσης είναι απαραίτητη για τους χρήστες για να συνδεθείτε με διακομιστές τερματικού με Windows 2000.
      • Των Windows NT 4.0, Windows 2000, Windows XP ή Windows Server 2003: Οι λογαριασμοί χρήστη πρέπει να έχει αυτό το δικαίωμα χρήστη για να συνδεθείτε στην κονσόλα υπολογιστών που εκτελούν τα Windows NT 4.0, Windows 2000, Windows XP ή Windows Server 2003.
      • Των Windows NT 4.0 και νεότερη έκδοση: Σε υπολογιστές που εκτελούν Windows NT 4.0 και νεότερες εκδόσεις, εάν προσθέσετε το δικαίωμα, χρήστη επιτρέπεται σύνδεση τοπικά αλλά μπορείτε, σιωπηρά ή ρητά επίσης να χορηγούν το δικαίωμα σύνδεσης δεν επιτρέπεται σύνδεση τοπικά , οι λογαριασμοί δεν θα είναι σε θέση να συνδεθεί με την κονσόλα των ελεγκτών τομέα.
  3. Παράκαμψη διέλευσης ελέγχου
    1. Φόντο

      Το δικαίωμα χρήστη παράκαμψης διέλευσης ελέγχου επιτρέπει στο χρήστη να περιηγηθεί στους φακέλους του συστήματος αρχείων NTFS ή στο μητρώο, χωρίς έλεγχο για το δικαίωμα ειδικής πρόσβασης Αλλαγής φακέλου . Το δικαίωμα χρήστη παράκαμψης διέλευσης ελέγχου δεν επιτρέπει στο χρήστη να παραθέσει τα περιεχόμενα ενός φακέλου. Αυτό επιτρέπει στο χρήστη να αλλάζει μόνο φακέλους.
    2. Επικίνδυνες ρυθμίσεις παραμέτρων

      Τα παρακάτω είναι επιβλαβείς ρύθμισης παραμέτρων:
      • Κατάργηση μη διοικητικών λογαριασμών που συνδέονται με υπολογιστές Terminal Services που βασίζεται σε Windows 2000 ή υπολογιστές Terminal Services που βασίζεται σε Windows Server 2003 που δεν έχουν δικαιώματα πρόσβασης σε αρχεία και φακέλους στο σύστημα αρχείων.
      • Κατάργηση της ομάδας Everyone από τη λίστα των αρχών ασφαλείας, οι οποίοι έχουν αυτόν το χρήστη δικαίωμα από προεπιλογή. Λειτουργικά συστήματα των Windows, καθώς επίσης και πολλά προγράμματα, έχουν σχεδιαστεί με την προσδοκία ότι όλα τα άτομα που έχουν νόμιμη πρόσβαση στον υπολογιστή θα διαθέτουν το δικαίωμα χρήστη παράκαμψης διέλευσης ελέγχου . Επομένως, κατάργηση της Everyone ομάδα από τη λίστα των αρχών ασφαλείας, οι οποίοι έχουν αυτό το δικαίωμα χρήστη από προεπιλογή θα μπορούσε να οδηγήσει σε αστάθεια του λειτουργικού συστήματος ή σε αποτυχία του προγράμματος. Είναι καλύτερα να αφήσετε αυτή τη ρύθμιση στην προεπιλεγμένη.
    3. Λόγοι για την εκχώρηση αυτού του δικαιώματος χρήστη

      Η προεπιλεγμένη ρύθμιση για το δικαίωμα χρήστη παράκαμψης διέλευσης ελέγχου είναι να επιτρέπεται σε όλους να παρακάμπτουν τον έλεγχο διέλευσης. Για έμπειρους διαχειριστές συστημάτων των Windows, αυτή είναι η αναμενόμενη συμπεριφορά και ρυθμίζουν τις παραμέτρους αρχείο λίστες ελέγχου πρόσβασης συστήματος (SACL) αντίστοιχα. Το μοναδικό σενάριο όπου η προεπιλεγμένη ρύθμιση παραμέτρων ενδέχεται να οδηγήσει σε αποτυχία είναι εάν ο διαχειριστής που ρυθμίζει τις παραμέτρους των δικαιωμάτων δεν κατανοήσει τη συμπεριφορά και αναμένει ότι οι χρήστες που δεν είναι δυνατό να αποκτήσετε πρόσβαση σε ένα γονικό φάκελο δεν θα είναι σε θέση να αποκτήσουν πρόσβαση στα περιεχόμενα οποιουδήποτε εξαρτημένου φακέλου.
    4. Λόγοι για την κατάργηση αυτού του δικαιώματος χρήστη

      Για να αποτρέψετε την πρόσβαση σε αρχεία ή τους φακέλους στο σύστημα αρχείων, εταιρείες που ανησυχούν ιδιαίτερα για την ασφάλεια ενδέχεται να στον πειρασμό να καταργήστε την ομάδα Everyone ή ακόμα και την ομάδα Users, από τη λίστα ομάδων που διαθέτουν το δικαίωμα χρήστη παράκαμψης διέλευσης ελέγχου .
    5. Παραδείγματα προβλημάτων συμβατότητας
      • Των Windows 2000, Windows Server 2003: Εάν το δικαίωμα χρήστη παράκαμψης διέλευσης ελέγχου έχει καταργηθεί ή ρυθμιστεί εσφαλμένα σε υπολογιστές που εκτελούν τα Windows 2000 ή Windows Server 2003, οι ρυθμίσεις πολιτικής ομάδας του φακέλου SYVOL δεν θα αναπαραχθούν μεταξύ των ελεγκτών τομέα του τομέα.
      • Των Windows 2000, Windows XP Professional, Windows Server 2003: Υπολογιστές που εκτελούν τα Windows 2000, Windows XP Professional ή Windows Server 2003 θα καταγράψουν τα συμβάντα 1000 και 1202 και δεν θα είναι σε θέση να εφαρμόσουν πολιτική υπολογιστή και πολιτική χρήστη όταν τα απαιτούμενα δικαιώματα συστήματος αρχείων καταργηθούν από τη δομή SYSVOL εάν το χρήστη Bypass traverse checking δεξιά έχει καταργηθεί ή ρυθμιστεί εσφαλμένα.

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

        290647 event ID 1000, 1001 καταγράφεται κάθε πέντε λεπτά στο αρχείο καταγραφής συμβάντων εφαρμογής

      • Των Windows 2000, Windows Server 2003: Σε υπολογιστές που εκτελούν τα Windows 2000 ή Windows Server 2003, η καρτέλα όριο δίσκου στην Εξερεύνηση των Windows θα εξαφανιστούν όταν προβάλετε ιδιότητες σε έναν τόμο.
      • Των Windows 2000: Μη διαχειριστές που συνδέονται σε ένα διακομιστή τερματικού των Windows 2000, ενδέχεται να λάβετε το ακόλουθο μήνυμα λάθους:
        Σφάλμα εφαρμογής Userinit.exe. Η εφαρμογή απέτυχε να προετοιμαστεί σωστά 0xc0000142, κάντε κλικ στο κουμπί OK για να τερματιστεί η εφαρμογή.
        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

        272142 οι χρήστες αποσυνδέονται αυτόματα κατά την προσπάθεια σύνδεσης με τις υπηρεσίες Terminal Services

      • Των Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Οι χρήστες των οποίων οι υπολογιστές εκτελούν Windows NT 4.0, Windows 2000, Windows XP ή Windows Server 2003 ενδέχεται να μην μπορείτε να αποκτήσετε πρόσβαση σε κοινόχρηστους φακέλους ή αρχεία σε κοινόχρηστους φακέλους και τους, εάν αυτά δεν έχουν εκχωρηθεί το δικαίωμα χρήστη Παράκαμψη διέλευσης ελέγχου , ενδέχεται να λάβετε μηνύματα λάθους "Δεν επιτρέπεται η πρόσβαση".


        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

        277644 μήνυμα λάθους "Δεν επιτρέπεται η πρόσβαση" όταν οι χρήστες προσπαθούν να αποκτήσουν πρόσβαση σε κοινόχρηστους φακέλους

      • Των Windows NT 4.0: Σε υπολογιστές με Windows NT 4.0, η κατάργηση του το δικαίωμα χρήστη παράκαμψης διέλευσης ελέγχου θα προκαλέσει την απόρριψη ροών αρχείων από την αντιγραφή αρχείου. Εάν καταργήσετε αυτό το δικαίωμα χρήστη, όταν ένα αρχείο αντιγράφεται από έναν υπολογιστή-πελάτη των Windows ή από έναν υπολογιστή-πελάτη Macintosh σε έναν ελεγκτή τομέα των Windows NT 4.0 που εκτελεί το Services for Macintosh, η ροή αρχείου προορισμού χάνεται και το αρχείο εμφανίζεται ως αρχείο απλού κειμένου.


        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

        172930 κατάργηση της "Παράκαμψης διέλευσης ελέγχου" προκαλεί την απόρριψη ροών από την αντιγραφή αρχείου

      • Τα Microsoft Windows 95, Microsoft Windows 98: Σε έναν υπολογιστή-πελάτη που εκτελεί Windows 95 ή Windows 98, το καθαρή χρήση * / home εντολή θα αποτύχει με μήνυμα λάθους "Δεν επιτρέπεται η πρόσβαση", εάν η ομάδα Authenticated Users δεν έχει εκχωρηθεί το δικαίωμα χρήστη παράκαμψης διέλευσης ελέγχου .
      • Το outlook Web Access: Χωρίς δικαιώματα διαχειριστή δεν θα είναι σε θέση να συνδεθείτε με το Microsoft Outlook Web Access και θα λάβουν ένα μήνυμα λάθους "Δεν επιτρέπεται η πρόσβαση" Εάν δεν έλαβαν το δικαίωμα χρήστη παράκαμψης διέλευσης ελέγχου .

Ρυθμίσεις ασφαλείας

Κάντε κλικ εδώ για να δείτε πληροφορίες σχετικά με τις ρυθμίσεις ασφαλείας
Η παρακάτω λίστα προσδιορίζει μια ρύθμιση ασφαλείας και η ένθετη λίστα παρέχει μια περιγραφή σχετικά με τη ρύθμιση ασφαλείας, προσδιορίζει τις ρυθμίσεις παραμέτρων που ενδέχεται να προκαλέσει ζητήματα, περιγράφει γιατί θα πρέπει να εφαρμόσετε τη ρύθμιση ασφαλείας και στη συνέχεια περιγράφει τους λόγους γιατί μπορεί να θέλετε να καταργήσετε τη ρύθμιση ασφαλείας. Η ένθετη λίστα, στη συνέχεια, παρέχει ένα συμβολικό όνομα για τη ρύθμιση ασφαλείας και τη διαδρομή μητρώου της ρύθμισης ασφαλείας. Τέλος, παρέχονται επίσης παραδείγματα των ζητημάτων συμβατότητας που ενδέχεται να προκύψουν κατά τη ρύθμιση ασφαλείας.
  1. Έλεγχος: Τερματισμός του συστήματος αμέσως εάν δεν είναι δυνατή η καταχώρηση των ελέγχων ασφαλείας
    1. Φόντο
      • Το ελέγχου: τερματισμός του συτήματος Εάν δεν είναι δυνατή η καταχώρηση των ελέγχων ασφαλείας η ρύθμιση καθορίζει εάν το σύστημα τερματίζεται αν δεν μπορείτε να συνδεθείτε συμβάντα ασφαλείας. Αυτή η ρύθμιση απαιτείται για την αξιολόγηση C2 του προγράμματος κριτήρια αξιολόγησης ασφαλείας (TCSEC) για αξιόπιστη υπολογιστή και για τα κοινά κριτήρια αξιολόγησης ασφαλείας τεχνολογιών πληροφορικής για να αποτρέψετε τα συμβάντα μπορούν να ελεγχθούν, εάν το σύστημα ελέγχου δεν είναι δυνατό να καταγράψει αυτά τα συμβάντα. Εάν το σύστημα ελέγχου αποτύχει, το σύστημα τερματίζεται και εμφανίζεται ένα μήνυμα λάθους διακοπής.
      • Εάν ο υπολογιστής δεν είναι δυνατό να καταγράφει συμβάντα στο αρχείο καταγραφής ασφαλείας, κρίσιμες ενδείξεις ή σημαντικές πληροφορίες δεν διατίθενται για αναθεώρηση μετά από ένα συμβάν ασφαλείας.
    2. Επικίνδυνες ρυθμίσεις παραμέτρων

      Το ακόλουθο είναι μια ρύθμιση παραμέτρων επιβλαβές: το ελέγχου: τερματισμός του συτήματος Εάν δεν είναι δυνατή η καταχώρηση των ελέγχων ασφαλείας ρύθμιση είναι ενεργοποιημένη και το μέγεθος του αρχείου καταγραφής ασφαλείας περιορίζεται από την επιλογή χωρίς αντικατάσταση των συμβάντων (μη αυτόματος καθαρισμός του αρχείου καταγραφής) , η επιλογή Αντικατάσταση συμβάντων ως απαιτείται ή η επιλογή Αντικατάσταση συμβάντων παλαιότερων από αριθμό ημερών στην Προβολή συμβάντων. Ανατρέξτε στην ενότητα "Παραδείγματα προβλημάτων συμβατότητας" για πληροφορίες σχετικά με συγκεκριμένους κινδύνους για υπολογιστές που χρησιμοποιούν την αρχική επίσημη έκδοση των Windows 2000, Windows 2000 Service Pack 1 (SP1), Windows 2000 SP2 ή Windows 2000 SP3.
    3. Λόγοι για να ενεργοποιήσετε αυτήν τη ρύθμιση

      Εάν ο υπολογιστής δεν είναι δυνατό να καταγράφει συμβάντα στο αρχείο καταγραφής ασφαλείας, κρίσιμες ενδείξεις ή σημαντικές πληροφορίες δεν διατίθενται για αναθεώρηση μετά από ένα συμβάν ασφαλείας.
    4. Λόγοι για την απενεργοποίηση αυτής της ρύθμισης
      • Ενεργοποίηση του ελέγχου: τερματισμός του συτήματος Εάν δεν είναι δυνατή η καταχώρηση των ελέγχων ασφαλείας ρύθμιση διακόπτει το σύστημα, εάν δεν είναι δυνατό να συνδεθεί ελέγχου ασφαλείας για οποιονδήποτε λόγο. Συνήθως, ένα συμβάν δεν είναι δυνατό να καταγραφεί όταν το αρχείο καταγραφής ασφαλείας είναι γεμάτο και όταν η καθορισμένη μέθοδος διατήρησης είναι η επιλογή χωρίς αντικατάσταση των συμβάντων (μη αυτόματος καθαρισμός του αρχείου καταγραφής) ή την επιλογή Αντικατάσταση συμβάντων παλαιότερων από αριθμό ημερών .
      • Επιβάρυνση του διαχειριστή λόγω της ενεργοποίησης της ελέγχου: τερματισμός του συτήματος Εάν δεν είναι δυνατή η καταχώρηση των ελέγχων ασφαλείας ρύθμιση μπορεί να είναι πολύ υψηλό, ειδικά εάν ενεργοποιήσετε επίσης την επιλογή χωρίς αντικατάσταση των συμβάντων (μη αυτόματος καθαρισμός του αρχείου καταγραφής) για το αρχείο καταγραφής ασφαλείας. Αυτή η ρύθμιση προβλέπει την προσωπική ευθύνη των ενεργειών του χειριστή. Για παράδειγμα, ένας διαχειριστής θα μπορούσε να Επαναφορά δικαιωμάτων σε όλους τους χρήστες, υπολογιστές και ομάδες σε μια οργανική μονάδα (OU), όπου ο έλεγχος ενεργοποιήθηκε χρησιμοποιώντας τον ενσωματωμένο λογαριασμό διαχειριστή ή άλλον κοινόχρηστο λογαριασμό και στη συνέχεια εμποδίσετε ότι αυτά επαναφέρετε αυτά τα δικαιώματα. Ωστόσο, η ενεργοποίηση της ρύθμισης μειώνει την ευρωστία του συστήματος επειδή ένας διακομιστής μπορεί να αναγκαστεί να τερματίσετε τη λειτουργία του κατακλύζοντάς το με συμβάντα σύνδεσης και άλλα συμβάντα ασφαλείας που καταγράφονται στο αρχείο καταγραφής ασφαλείας. Επιπλέον, επειδή ο τερματισμός γίνεται απότομα, μπορεί να προκαλέσει ανεπανόρθωτη ζημιά για το λειτουργικό σύστημα, προγράμματα ή δεδομένα. Ενώ το NTFS εγγυάται ότι η ακεραιότητα του συστήματος αρχείων διατηρείται κατά τη διάρκεια ενός απότομου τερματισμού του, δεν μπορεί να εγγυηθεί ότι κάθε αρχείο δεδομένων για κάθε πρόγραμμα θα εξακολουθεί να είναι σε χρησιμοποιήσιμη μορφή κατά την επανεκκίνηση του συστήματος.
    5. Συμβολικό όνομα:

      CrashOnAuditFail

    6. Διαδρομή μητρώου:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)
    7. Παραδείγματα προβλημάτων συμβατότητας
      • Των Windows 2000: Εξαιτίας ενός σφάλματος, οι υπολογιστές που χρησιμοποιούν την αρχική επίσημη έκδοση των Windows 2000, Windows 2000 SP1, του Windows 2000 SP2 ή Windows Server SP3 ενδέχεται να σταματήσει την καταγραφή συμβάντων όταν καλυφθεί το μέγεθος που καθορίζεται από την επιλογή μέγιστο μέγεθος αρχείου καταγραφής στο αρχείο καταγραφής συμβάντων ασφαλείας. Αυτό το σφάλμα είναι σταθερή στο Windows 2000 Service Pack 4 (SP4). Βεβαιωθείτε ότι οι ελεγκτές τομέα των Windows 2000 έχουν εγκατασταθεί προτού σκεφθείτε να ενεργοποιήσετε αυτήν τη ρύθμιση το Windows 2000 Service Pack 4.

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

        312571 το αρχείο καταγραφής συμβάντων σταματά να καταγράφει συμβάντα προτού φθάσει το μέγιστο μέγεθος αρχείου καταγραφής

      • Των Windows 2000, Windows Server 2003: Υπολογιστές που εκτελούν τα Windows 2000 ή Windows Server 2003 ενδέχεται να σταματήσει να ανταποκρίνεται και, στη συνέχεια, ενδέχεται να κάνουν επανεκκίνηση εάν το ελέγχου: τερματισμός του συτήματος Εάν δεν είναι δυνατή η καταχώρηση των ελέγχων ασφαλείας ρύθμιση είναι ενεργοποιημένη, το αρχείο καταγραφής ασφαλείας είναι πλήρες και δεν είναι δυνατό να αντικατασταθεί μια υπάρχουσα καταχώρηση στο αρχείο καταγραφής συμβάντων. Όταν γίνει επανεκκίνηση του υπολογιστή, εμφανίζεται το ακόλουθο μήνυμα λάθους Stop:
        STOP: C0000244 {ο έλεγχος απέτυχε}
        Η προσπάθεια δημιουργίας ελέγχου ασφαλείας απέτυχε.
        Για να ανακτήσετε, ένας διαχειριστής πρέπει να συνδεθείτε αρχειοθετήσετε το αρχείο καταγραφής ασφαλείας (προαιρετικό), εκκαθάριση του αρχείου καταγραφής ασφαλείας και, στη συνέχεια, να επαναφέρετε αυτήν την επιλογή (προαιρετική και ανάλογα με τις ανάγκες).
      • Microsoft Network Client for MS-DOS, τα Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Μη διαχειριστές που προσπαθούν να συνδεθούν σε έναν τομέα θα λάβουν το ακόλουθο μήνυμα λάθους:
        Ο λογαριασμός σας έχει ρυθμιστεί ώστε να αποφευχθεί η χρήση αυτού του υπολογιστή. Δοκιμάστε κάποιον άλλον υπολογιστή.
        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

        160783 μήνυμα λάθους: οι χρήστες δεν μπορούν να συνδεθούν ένα σταθμό εργασίας

      • Των Windows 2000: Σε υπολογιστές που βασίζονται στα Windows 2000, χωρίς δικαιώματα διαχειριστή δεν θα είναι σε θέση να συνδεθεί με διακομιστές απομακρυσμένης πρόσβασης και θα λάβουν ένα μήνυμα λάθους παρόμοιο με το ακόλουθο:
        Άγνωστο χρήστη ή εσφαλμένος κωδικός πρόσβασης
        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

        285665 μήνυμα λάθους: ο λογαριασμός σας έχει ρυθμιστεί ώστε να αποφευχθεί η χρήση αυτού του υπολογιστή

      • Των Windows 2000: Στους ελεγκτές τομέα των Windows 2000, η υπηρεσία ανταλλαγής μηνυμάτων μεταξύ τοποθεσιών (Ismserv.exe) θα σταματήσει και δεν είναι δυνατό να γίνει επανεκκίνηση. DCDIAG θα αναφέρει το σφάλμα ως "Αποτυχία δοκιμής υπηρεσίες ISMserv" και θα καταγραφεί το συμβάν ID 1083 στο αρχείο καταγραφής συμβάντων.
      • Των Windows 2000: Στους ελεγκτές τομέα των Windows 2000, η αναπαραγωγή υπηρεσίας καταλόγου Active Directory θα αποτύχει και θα εμφανιστεί ένα μήνυμα "Δεν επιτρέπεται η πρόσβαση", εάν το αρχείο καταγραφής ασφαλείας είναι πλήρες.
      • Microsoft Exchange 2000: Οι διακομιστές που χρησιμοποιούν Exchange 2000 δεν θα είναι σε θέση να μοντάρουν τη βάση δεδομένων χώρου αποθήκευσης πληροφοριών και θα καταγραφεί το συμβάν 2102 στο αρχείο καταγραφής συμβάντων.

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

        314294 μηνύματα λάθους Exchange 2000 δημιουργούνται λόγω δεξιά SeSecurityPrivilege και Policytest θέματα

      • Το outlook, το Outlook Web Access: Χωρίς δικαιώματα διαχειριστή δεν θα μπορούν να έχουν πρόσβαση τους αλληλογραφίας μέσω του Microsoft Outlook ή μέσω του Microsoft Outlook Web Access και θα λάβουν ένα σφάλμα 503.
  2. Ελεγκτής τομέα: απαιτήσεις υπογραφής διακομιστή LDAP
    1. Φόντο

      Ο ελεγκτής τομέα: απαιτήσεις υπογραφής διακομιστή LDAP η ρύθμιση ασφαλείας καθορίζει αν ο διακομιστής Lightweight Directory Access Protocol (LDAP) απαιτεί υπολογιστές-πελάτες LDAP να διαπραγματευτεί την υπογραφή δεδομένων. Οι πιθανές τιμές για αυτήν τη ρύθμιση πολιτικής είναι οι εξής:
      • Καμία: Δεν απαιτείται υπογραφή δεδομένων για τη σύνδεση με το διακομιστή. Εάν ο υπολογιστής-πελάτης ζητήσει υπογραφή δεδομένων, ο διακομιστής την υποστηρίζει.
      • Απαίτηση υπογραφής: Πρέπει να γίνει η διαπραγμάτευση της επιλογής υπογραφής δεδομένων LDAP εκτός και αν χρησιμοποιείται μεταφοράς επιπέδου ασφαλείας/Secure Socket Layer (TLS/SSL).
      • δεν έχει οριστεί: Αυτή η ρύθμιση δεν είναι ενεργοποιημένη ή απενεργοποιημένη.
    2. Επικίνδυνες ρυθμίσεις παραμέτρων

      Τα παρακάτω είναι επιβλαβείς ρύθμισης παραμέτρων:
      • Ενεργοποίηση απαιτούν υπογραφή σε περιβάλλοντα όπου οι υπολογιστές-πελάτες δεν υποστηρίζουν την υπογραφή LDAP ή όπου η υπογραφή υπολογιστή-πελάτη LDAP δεν είναι ενεργοποιημένη στον υπολογιστή-πελάτη
      • Εφαρμογή των Windows 2000 ή του προτύπου ασφαλείας Hisecdc.inf του Windows Server 2003 σε περιβάλλοντα όπου οι υπολογιστές-πελάτες δεν υποστηρίζουν την υπογραφή LDAP ή όπου η υπογραφή υπολογιστή-πελάτη LDAP δεν είναι ενεργοποιημένη
      • Εφαρμογή των Windows 2000 ή του προτύπου ασφαλείας Hisecws.inf του Windows Server 2003 σε περιβάλλοντα όπου οι υπολογιστές-πελάτες δεν υποστηρίζουν την υπογραφή LDAP ή όπου η υπογραφή υπολογιστή-πελάτη LDAP δεν είναι ενεργοποιημένη
    3. Λόγοι για να ενεργοποιήσετε αυτήν τη ρύθμιση

      Η ανυπόγραφη κυκλοφορία δικτύου είναι ευάλωτη σε επιθέσεις στη μέση, όπου ένας εισβολέας αποκτά πακέτα μεταξύ του υπολογιστή-πελάτη και του διακομιστή, τροποποιεί τα πακέτα και, στη συνέχεια, τα προωθεί στο διακομιστή. Όταν παρουσιαστεί αυτή η συμπεριφορά σε ένα διακομιστή LDAP, ένας εισβολέας θα μπορούσε να προκαλέσει ένα διακομιστή να λάβει αποφάσεις με βάση εσφαλμένα ερωτήματα από τον υπολογιστή-πελάτη LDAP. Μπορείτε να μειώσετε αυτόν τον κίνδυνο σε ένα εταιρικό δίκτυο, εφαρμόζοντας ισχυρά φυσικά μέτρα ασφαλείας για την προστασία της υποδομής του δικτύου. Λειτουργία κεφαλίδας ελέγχου ταυτότητας στο Internet Protocol security (IPSec) μπορεί να σας βοηθήσει να αποτρέψετε επιθέσεις στο μέσο. Η λειτουργία κεφαλίδας ελέγχου ταυτότητας εκτελεί αμοιβαίο έλεγχο ταυτότητας και ακεραιότητα πακέτων για κυκλοφορία IP.
    4. Λόγοι για την απενεργοποίηση αυτής της ρύθμισης
      • Υπολογιστές-πελάτες που δεν υποστηρίζουν την υπογραφή LDAP δεν θα είναι σε θέση να πραγματοποιήσουν ερωτήματα LDAP σε ελεγκτές τομέα και σε καθολικούς καταλόγους, αν ο έλεγχος ταυτότητας NTLM τίθεται σε διαπραγμάτευση και εάν δεν είναι εγκατεστημένα τα σωστά service pack σε ελεγκτές τομέα των Windows 2000.
      • Τα ίχνη δικτύου της κυκλοφορίας LDAP μεταξύ υπολογιστών-πελατών και διακομιστών θα κρυπτογραφηθούν. Αυτό καθιστά δύσκολη την εξέταση συνομιλιών LDAP.
      • Στους διακομιστές που βασίζονται στα Windows 2000, πρέπει να έχετε το Windows 2000 Service Pack 3 (SP3) ή εγκατεστημένα όταν διευθύνονται από προγράμματα που υποστηρίζουν την υπογραφή που LDAP εκτελούνται από υπολογιστές-πελάτες που εκτελούν το Windows 2000 SP4, Windows XP ή Windows Server 2003. Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

        Ελεγκτές τομέα 325465 των Windows 2000 απαιτούν το Service Pack 3 ή νεότερη έκδοση όταν χρησιμοποιούν εργαλεία διαχείρισης του Windows Server 2003

    5. Συμβολικό όνομα:

      LDAPServerIntegrity
    6. Διαδρομή μητρώου:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)
    7. Παραδείγματα προβλημάτων συμβατότητας
      • Απλές συνδέσεις θα αποτύχουν και θα λάβετε το ακόλουθο μήνυμα λάθους:
        Ldap_simple_bind_s() απέτυχε: Απαιτείται αυστηρός έλεγχος ταυτότητας.
      • Windows 2000 Service Pack 4 των Windows XP, Windows Server 2003: Σε υπολογιστές-πελάτες που λειτουργούν με Windows 2000 SP4, Windows XP ή Windows Server 2003, ορισμένα εργαλεία διαχείρισης της υπηρεσίας καταλόγου Active Directory δεν θα λειτουργήσουν σωστά σε ελεγκτές τομέα που χρησιμοποιούν εκδόσεις των Windows 2000 που είναι παλαιότερες από το SP3 κατά τη διαπραγμάτευση του ελέγχου ταυτότητας NTLM.

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

        Ελεγκτές τομέα 325465 των Windows 2000 απαιτούν το Service Pack 3 ή νεότερη έκδοση όταν χρησιμοποιούν εργαλεία διαχείρισης του Windows Server 2003

      • Windows 2000 Service Pack 4 των Windows XP, Windows Server 2003: Σε υπολογιστές-πελάτες που λειτουργούν με Windows 2000 SP4, Windows XP ή Windows Server 2003, ορισμένα εργαλεία διαχείρισης υπηρεσίας καταλόγου Active Directory που στοχεύουν ελεγκτές τομέα που χρησιμοποιούν εκδόσεις των Windows 2000 που είναι παλαιότερες από το SP3 δεν θα λειτουργήσουν σωστά εάν χρησιμοποιούν διευθύνσεις IP (για παράδειγμα, "dsa.msc/Server =x.x.x.x" όπου
        x.x.x.x είναι μια διεύθυνση IP).


        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

        Ελεγκτές τομέα 325465 των Windows 2000 απαιτούν το Service Pack 3 ή νεότερη έκδοση όταν χρησιμοποιούν εργαλεία διαχείρισης του Windows Server 2003

      • Windows 2000 Service Pack 4 των Windows XP, Windows Server 2003: Σε υπολογιστές-πελάτες που χρησιμοποιούν Windows 2000 SP4, Windows XP ή Windows Server 2003, ορισμένα εργαλεία διαχείρισης της υπηρεσίας καταλόγου Active Directory, με προορισμό ελεγκτές τομέα που χρησιμοποιούν εκδόσεις των Windows 2000 που είναι παλαιότερες από το SP3, δεν θα λειτουργήσουν σωστά.

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

        Ελεγκτές τομέα 325465 των Windows 2000 απαιτούν το Service Pack 3 ή νεότερη έκδοση όταν χρησιμοποιούν εργαλεία διαχείρισης του Windows Server 2003

  3. Μέλος τομέα: Απαιτείται ισχυρό κλειδί περιόδου λειτουργίας (Windows 2000 ή νεότερης έκδοσης)
    1. Φόντο
      • Το μέλος τομέα: Απαιτείται ισχυρό κλειδί περιόδου λειτουργίας (Windows 2000 ή νεότερη έκδοση) η ρύθμιση καθορίζει αν μπορεί να δημιουργηθεί ένα ασφαλές κανάλι με έναν ελεγκτή τομέα που δεν είναι δυνατή η κρυπτογράφηση της κυκλοφορίας ασφαλούς καναλιού με ένα κλειδί περιόδου λειτουργίας ισχυρό, 128-bit. Ενεργοποίηση αυτής της ρύθμισης αποτρέπει τη δημιουργία ενός ασφαλούς καναλιού με οποιονδήποτε ελεγκτή τομέα ο οποίος δεν είναι δυνατό να κρυπτογραφήσουν δεδομένα ασφαλούς καναλιού με ένα ισχυρό κλειδί. Απενεργοποίηση αυτής της ρύθμισης επιτρέπει κλειδιών περιόδου λειτουργίας 64-bit.
      • Για να ενεργοποιήσετε αυτήν τη ρύθμιση σε ένα σταθμό εργασίας-μέλος ή σε ένα διακομιστή, όλοι οι ελεγκτές τομέα στον τομέα στον οποίο ανήκει το μέλος θα πρέπει να είναι σε θέση να κρυπτογραφήσουν δεδομένα ασφαλούς καναλιού με ένα ισχυρό, 128-bit κλειδί. Αυτό σημαίνει ότι όλοι αυτοί οι ελεγκτές τομέα πρέπει να εκτελεί Windows 2000 ή νεότερη έκδοση.
    2. Επικίνδυνες ρυθμίσεις παραμέτρων

      Ενεργοποίηση το μέλος τομέα: Απαιτείται ισχυρό κλειδί περιόδου λειτουργίας (Windows 2000 ή νεότερη έκδοση) ρύθμιση είναι μια ρύθμιση παραμέτρων επιβλαβές.
    3. Λόγοι για να ενεργοποιήσετε αυτήν τη ρύθμιση
      • Κλειδιά περιόδου λειτουργίας που χρησιμοποιούνται για τη δημιουργία επικοινωνιών ασφαλούς καναλιού μεταξύ υπολογιστών-μελών και ελεγκτών τομέα είναι πολύ ισχυρότερες στα Windows 2000 παρά σε παλαιότερες εκδόσεις λειτουργικών συστημάτων της Microsoft.
      • Όταν είναι δυνατό, είναι καλή ιδέα να επωφεληθείτε από αυτά τα ισχυρότερα κλειδιά περιόδου λειτουργίας για την προστασία των επικοινωνιών ασφαλούς καναλιού από μη εξουσιοδοτημένη ανάγνωση μηνυμάτων και από εισβολές κακόβουλων χρηστών του δικτύου. Eavesdropping είναι μια μορφή κακόβουλης επίθεσης, όπου είναι για ανάγνωση ή έχει αλλοιωθεί κατά τη μεταφορά δεδομένων δικτύου. Τα δεδομένα μπορούν να τροποποιηθούν για την απόκρυψη ή την αλλαγή του αποστολέα ή την ανακατεύθυνσή τους.
      Σημαντικό Ένας υπολογιστής που εκτελεί Windows Server 2008 R2 ή Windows 7 υποστηρίζει μόνο ισχυρό κλειδιά, όταν χρησιμοποιούνται τα ασφαλή κανάλια. Αυτός ο περιορισμός εμποδίζει μια σχέση αξιοπιστίας μεταξύ κάθε τομέα που βασίζεται στα Windows NT 4.0 και κάθε τομέα που βασίζεται σε Windows Server 2008 R2. Επιπλέον, αυτός ο περιορισμός εμποδίζει τη συμμετοχή σε τομέα που βασίζεται στα Windows NT 4.0 από υπολογιστές που εκτελούν Windows 7 ή Windows Server 2008 R2, και το αντίστροφο.
    4. Λόγοι για την απενεργοποίηση αυτής της ρύθμισης

      Ο τομέας περιέχει υπολογιστές-μέλη που εκτελούν λειτουργικά συστήματα εκτός των Windows 2000, Windows XP ή Windows Server 2003.
    5. Συμβολικό όνομα:

      StrongKey
    6. Διαδρομή μητρώου:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)
    7. Παραδείγματα προβλημάτων συμβατότητας

      Των Windows NT 4.0: Σε υπολογιστές με Windows NT 4.0, η επαναφορά των ασφαλών καναλιών σχέσεων αξιοπιστίας μεταξύ των Windows NT 4.0 και τομείς των Windows 2000 με NLTEST αποτυγχάνει. Εμφανίζεται ένα μήνυμα λάθους "Δεν επιτρέπεται η πρόσβαση":
      Η σχέση αξιοπιστίας μεταξύ του πρωτεύοντος τομέα και του αξιόπιστου τομέα απέτυχε.

      Των Windows 7 και Server 2008 R2: Για τα Windows 7 και νεότερες εκδόσεις και Windows Server 2008 R2 και νεότερες εκδόσεις, η ρύθμιση αυτή δεν έχει τηρηθεί πλέον και το ισχυρό κλειδί χρησιμοποιείται πάντα. Λόγω του ότι, σχέσεις αξιοπιστίας με τομείς των Windows NT 4.0 δεν λειτουργούν πλέον.
  4. Μέλος τομέα: Ψηφιακή κρυπτογράφηση ή υπογραφή δεδομένων ασφαλούς καναλιού (πάντα)
    1. Φόντο
      • Ενεργοποίηση μέλος τομέα: Ψηφιακή κρυπτογράφηση ή υπογραφή δεδομένων ασφαλούς καναλιού (πάντα) αποτρέπει τη δημιουργία ενός ασφαλούς καναλιού με οποιονδήποτε ελεγκτή τομέα ο οποίος δεν είναι δυνατή η υπογραφή ή η κρυπτογράφηση όλων των δεδομένων ασφαλούς καναλιού. Για να προστατεύσετε την κυκλοφορία ελέγχου ταυτότητας από επιθέσεις στο μέσο, επιθέσεις αναπαραγωγής και άλλα είδη επιθέσεων δικτύου, οι υπολογιστές που βασίζονται στα Windows Δημιουργήστε ένα κανάλι επικοινωνίας που είναι γνωστό ως ένα ασφαλές κανάλι μέσω της υπηρεσίας Net Logon, για τον έλεγχο ταυτότητας λογαριασμών υπολογιστή. Ασφαλή κανάλια χρησιμοποιούνται επίσης όταν ένας χρήστης ενός τομέα συνδεθεί με έναν πόρο δικτύου ενός απομακρυσμένου τομέα. Αυτό πολλών τομέων έλεγχος ταυτότητας ή Έλεγχος ταυτότητας διαβίβασης, επιτρέπει σε έναν υπολογιστή που βασίζεται στα Windows που είναι μέλος τομέα, να έχουν πρόσβαση στη βάση δεδομένων λογαριασμού χρήστη, στον τομέα του και σε οποιουσδήποτε αξιόπιστους τομείς.
      • Για να ενεργοποιήσετε το μέλος τομέα: Ψηφιακή κρυπτογράφηση ή υπογραφή δεδομένων ασφαλούς καναλιού (πάντα) ρύθμιση σε έναν υπολογιστή-μέλος, όλοι οι ελεγκτές τομέα στον τομέα στον οποίο ανήκει το μέλος θα πρέπει να έχετε τη δυνατότητα υπογραφής ή κρυπτογράφησης όλων των δεδομένων ασφαλούς καναλιού. Αυτό σημαίνει ότι όλοι αυτοί οι ελεγκτές τομέα πρέπει να εκτελούν Windows NT 4.0 με το Service Pack 6a (SP6a) ή νεότερη έκδοση.
      • Ενεργοποίηση το μέλος τομέα: Ψηφιακή κρυπτογράφηση ή υπογραφή δεδομένων ασφαλούς καναλιού (πάντα) αυτόματη ρύθμιση επιτρέπει το μέλος τομέα: Ψηφιακή κρυπρογράφιση ή υπογραφή δεδομένων ασφαλούς καναλιού (όταν είναι δυνατό) ρύθμιση.
    2. Επικίνδυνες ρυθμίσεις παραμέτρων

      Ενεργοποίηση το μέλος τομέα: Ψηφιακή κρυπτογράφηση ή υπογραφή δεδομένων ασφαλούς καναλιού (πάντα) σε τομείς όπου δεν είναι όλοι οι ελεγκτές τομέα να υπογραφή ή να κρυπτογραφήσουν δεδομένα ασφαλούς καναλιού είναι μια ρύθμιση παραμέτρων επιβλαβές.
    3. Λόγοι για να ενεργοποιήσετε αυτήν τη ρύθμιση

      Η ανυπόγραφη κυκλοφορία δικτύου είναι ευαίσθητη απέναντι στις εισβολές στη μέση, όπου ένας εισβολέας αποκτά πακέτα μεταξύ του διακομιστή και του υπολογιστή-πελάτη και, στη συνέχεια, να τις τροποποιεί τα προωθεί στον υπολογιστή-πελάτη. Όταν παρουσιαστεί αυτή η συμπεριφορά σε ένα διακομιστή του πρωτοκόλλου Lightweight Directory Access Protocol (LDAP), ο εισβολέας θα μπορούσε να προκαλέσει ένας υπολογιστής-πελάτης να λάβει αποφάσεις με βάση εσφαλμένα ερωτήματα από τον κατάλογο LDAP. Μπορείτε να μειώσετε τον κίνδυνο μιας τέτοιας επίθεσης σε ένα εταιρικό δίκτυο, εφαρμόζοντας ισχυρά φυσικά μέτρα ασφαλείας για την προστασία της υποδομής του δικτύου. Επιπλέον, εφαρμογή ασφάλειας πρωτοκόλλου Internet (IPSec) λειτουργία κεφαλίδας ελέγχου ταυτότητας μπορεί να εμποδίσει επιθέσεις στο μέσο. Αυτή η λειτουργία εκτελεί αμοιβαίο έλεγχο ταυτότητας και ακεραιότητα πακέτων για κυκλοφορία IP.
    4. Λόγοι για την απενεργοποίηση αυτής της ρύθμισης
      • Υπολογιστές σε τοπικούς ή εξωτερικούς τομείς υποστήριξη κρυπτογραφημένων ασφαλών καναλιών.
      • Δεν έχουν όλοι οι ελεγκτές τομέα στον τομέα έχουν τα επίπεδα αναθεώρησης του κατάλληλου service pack για την υποστήριξη κρυπτογραφημένων ασφαλών καναλιών.
    5. Συμβολικό όνομα:

      StrongKey
    6. Διαδρομή μητρώου:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)
    7. Παραδείγματα προβλημάτων συμβατότητας
      • Των Windows NT 4.0: Υπολογιστές-μέλη με Windows 2000 δεν θα είναι σε θέση να συμμετάσχουν σε τομείς των Windows NT 4.0 και θα λάβουν το ακόλουθο μήνυμα λάθους:
        Ο λογαριασμός δεν έχει εξουσιοδότηση για σύνδεση από αυτόν το σταθμό.
        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

        281648 μήνυμα λάθους: Ο λογαριασμός δεν έχει εξουσιοδότηση για σύνδεση από αυτόν το σταθμό

      • Των Windows NT 4.0: Τομείς των Windows NT 4.0 δεν θα είναι σε θέση να δημιουργήσουν μια σχέση αξιοπιστίας προηγούμενης έκδοσης με έναν τομέα των Windows 2000 και θα λάβουν το ακόλουθο μήνυμα λάθους:
        Ο λογαριασμός δεν έχει εξουσιοδότηση για σύνδεση από αυτόν το σταθμό.
        Υπάρχουσες παλαιότερες σχέσεις αξιοπιστίας ενδέχεται επίσης δεν κάνει έλεγχο ταυτότητας χρηστών από τον αξιόπιστο τομέα. Ορισμένοι χρήστες μπορεί να έχουν προβλήματα που συνδέονται με τον τομέα και λαμβάνουν ένα μήνυμα σφάλματος που αναφέρει ότι ο υπολογιστής-πελάτης δεν είναι δυνατό να εντοπίσει τον τομέα.
      • Τα Windows XP: Οι υπολογιστές-πελάτες με Windows XP που είναι συνδεδεμένοι με τομείς των Windows NT 4.0 δεν θα είναι σε θέση να πραγματοποιήσουν έλεγχο ταυτότητας σε προσπάθειες σύνδεσης και ενδέχεται να λάβετε το ακόλουθο μήνυμα λάθους ή να καταχωρηθούν τα ακόλουθα συμβάντα στο αρχείο καταγραφής συμβάντων:
        Τα Windows δεν είναι δυνατό να συνδεθούν στον τομέα είτε επειδή ο ελεγκτής τομέα είναι εκτός λειτουργίας ή δεν είναι διαθέσιμος είτε επειδή δεν βρέθηκε ο λογαριασμός του υπολογιστή σας
        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

        318266 υπολογιστής-πελάτης A Windows XP δεν είναι δυνατό να συνδεθείτε σε έναν τομέα των Windows NT 4.0

      • Δικτύου Microsoft: Προγράμματα-πελάτες δικτύου της Microsoft θα λάβετε ένα από τα ακόλουθα μηνύματα λάθους:
        Αποτυχία σύνδεσης: Άγνωστο όνομα χρήστη ή εσφαλμένος κωδικός πρόσβασης.
        Δεν υπάρχει κλειδί περιόδου λειτουργίας χρήστη για την καθορισμένη περίοδο λειτουργίας σύνδεσης.
  5. Πρόγραμμα-πελάτης δικτύου Microsoft: ψηφιακή υπογραφή κατά την επικοινωνία (πάντα)
    1. Φόντο

      Μπλοκ μηνύματος διακομιστή (SMB) είναι το πρωτόκολλο κοινής χρήσης πόρων που υποστηρίζεται από πολλά λειτουργικά συστήματα της Microsoft. Είναι η βάση του βασικού συστήματος εισόδου/εξόδου δικτύου (NetBIOS) και πολλών άλλων πρωτοκόλλων. Η υπογραφή SMB ελέγχει την ταυτότητα του χρήστη και του διακομιστή που φιλοξενεί τα δεδομένα. Εάν δύο πλευρές αποτύχει η διαδικασία ελέγχου ταυτότητας, δεν θα γίνει μετάδοση δεδομένων.

      Ενεργοποίηση της υπογραφής SMB ξεκινά στη διάρκεια της διαπραγμάτευσης του πρωτοκόλλου SMB. Πολιτικές της υπογραφής SMB καθορίζουν αν ο υπολογιστής χρησιμοποιεί πάντοτε ψηφιακές υπογραφές επικοινωνίες υπολογιστών-πελατών.

      Το πρωτόκολλο ελέγχου ταυτότητας SMB των Windows 2000 υποστηρίζει αμοιβαίο έλεγχο ταυτότητας. Αμοιβαίος έλεγχος ταυτότητας τερματίζει μια εισβολή "man-in-the-middle". Το πρωτόκολλο ελέγχου ταυτότητας SMB των Windows 2000 υποστηρίζει επίσης τον έλεγχο ταυτότητας μηνυμάτων. Ο έλεγχος ταυτότητας μηνυμάτων βοηθά στην αποτροπή επιθέσεων ενεργού μηνύματος. Για να δώσετε αυτόν τον έλεγχο ταυτότητας, η υπογραφή SMB τοποθετεί μια ψηφιακή υπογραφή σε κάθε SMB. Ο υπολογιστής-πελάτης και ο διακομιστής επιβεβαιώνουν την ψηφιακή υπογραφή.

      Για να χρησιμοποιήσετε την υπογραφή SMB, πρέπει να ενεργοποιήσετε την υπογραφή SMB ή να απαιτήσετε την υπογραφή SMB υπολογιστή-πελάτη και στο διακομιστή SMB SMB. Εάν η υπογραφή SMB είναι ενεργοποιημένη σε ένα διακομιστή, οι υπολογιστές-πελάτες που έχουν επίσης ενεργοποιημένη την υπογραφή SMB χρησιμοποιούν το πρωτόκολλο πακέτου υπογραφών σε όλες τις επόμενες περιόδους λειτουργίας. Εάν η υπογραφή SMB απαιτείται σε ένα διακομιστή, ένας υπολογιστής-πελάτης δεν είναι δυνατό να δημιουργήσει μια περίοδο λειτουργίας, εκτός αν ο υπολογιστής-πελάτης έχει ενεργοποιηθεί ή να απαιτηθεί υπογραφή SMB.


      Ενεργοποίηση ψηφιακής υπογραφής σε δίκτυα υψηλής ασφάλειας βοηθά στην αποτροπή της απομίμησης υπολογιστών-πελατών και διακομιστών. Αυτός ο τύπος απομίμησης είναι γνωστός ως εισβολή σε περίοδο λειτουργίας. Ένας εισβολέας που έχει πρόσβαση στο ίδιο δίκτυο με τον υπολογιστή-πελάτη ή στο διακομιστή χρησιμοποιεί τα εργαλεία εισβολής για διακοπή, τον τερματισμό ή την κλοπή μιας περιόδου λειτουργίας σε εξέλιξη. Ένας εισβολέας θα μπορούσε να υποκλέψει και να τροποποιήσει τα ανυπόγραφα πακέτα SMB, να τροποποιήσει την κυκλοφορία, και, στη συνέχεια, να την διαβιβάσει έτσι ώστε ο διακομιστής να εκτελέσει τις ανεπιθύμητες ενέργειες. Εναλλακτικά, ο εισβολέας θα μπορούσε να θέσει του διακομιστή ή του υπολογιστή-πελάτη μετά από έναν νόμιμο έλεγχο ταυτότητας και να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε δεδομένα.

      Το πρωτόκολλο SMB που χρησιμοποιείται για την κοινή χρήση αρχείων και εκτυπωτών κοινής χρήσης σε υπολογιστές που λειτουργούν με Windows 2000 Server, Windows 2000 Professional, Windows XP Professional ή Windows Server 2003 υποστηρίζει αμοιβαίο έλεγχο ταυτότητας. Αμοιβαίος έλεγχος ταυτότητας κλείνει εισβολές κακόβουλων χρηστών και υποστηρίζει τον έλεγχο ταυτότητας μηνυμάτων. Επομένως, αποτρέπει επιθέσεις στο μέσο. Η υπογραφή SMB παρέχει αυτόν τον έλεγχο ταυτότητας τοποθετώντας μια ψηφιακή υπογραφή σε κάθε SMB. Το πρόγραμμα-πελάτη και του διακομιστή στη συνέχεια επαληθεύστε την υπογραφή.

      Σημειώσεις
      • Ως ένα εναλλακτικό αντίμετρο, μπορείτε να ενεργοποιήσετε ψηφιακές υπογραφές με την πολιτική IPSec για την προστασία του όλη την κυκλοφορία δικτύου. Υπάρχουν επιταχυντές που βασίζεται στο υλικό για κρυπτογράφηση IPSec και την υπογραφή που μπορείτε να χρησιμοποιήσετε για να ελαχιστοποιήσετε την επίδραση στην απόδοση από τη CPU του διακομιστή. Υπάρχουν τέτοια προγράμματα επιτάχυνσης που είναι διαθέσιμες για την υπογραφή SMB.

        Για περισσότερες πληροφορίες, ανατρέξτε στο κεφάλαιο ψηφιακή υπογραφή για επικοινωνίες διακομιστή στην τοποθεσία Web της Microsoft MSDN.

        Ρύθμιση των παραμέτρων υπογραφής SMB μέσω του προγράμματος επεξεργασίας αντικειμένου πολιτικής ομάδας διότι μια αλλαγή σε μια τοπική τιμή μητρώου έχει καμία επίδραση όταν υπάρχει πολιτική αντικατάστασης τομέα.
      • Στα Windows 95, Windows 98 και Windows 98 Δεύτερη έκδοση, το πρόγραμμα-πελάτης υπηρεσιών καταλόγου χρησιμοποιεί την υπογραφή SMB όταν ελέγχονται με διακομιστές Windows Server 2003 χρησιμοποιώντας τον έλεγχο ταυτότητας NTLM. Ωστόσο, αυτά τα προγράμματα-πελάτες δεν χρησιμοποιούν την υπογραφή SMB όταν εκτελούν έλεγχο ταυτότητας με αυτούς τους διακομιστές, χρησιμοποιώντας τον έλεγχο ταυτότητας NTLMv2. Επιπλέον, οι διακομιστές των Windows 2000 δεν ανταποκρίνονται σε αιτήσεις υπογραφής SMB από αυτά τα προγράμματα-πελάτες. Για περισσότερες πληροφορίες, δείτε το στοιχείο 10: "Ασφάλεια δικτύου: επίπεδο ελέγχου ταυτότητας Lan Manager."
    2. Επικίνδυνες ρυθμίσεις παραμέτρων

      Το ακόλουθο είναι μια ρύθμιση παραμέτρων επιβλαβείς: όταν αφήσετε το πρόγραμμα-πελάτης δικτύου Microsoft: ψηφιακή υπογραφή κατά την επικοινωνία (πάντα) ρύθμιση και το πρόγραμμα-πελάτης δικτύου Microsoft: ψηφιακή υπογραφή κατά την επικοινωνία (εάν συμφωνεί ο διακομιστής) οριστεί σε "Δεν έχει οριστεί" ρύθμιση ή να απενεργοποιηθεί. Αυτές οι ρυθμίσεις επιτρέπουν στο πρόγραμμα ανακατεύθυνσης να στείλει κωδικούς πρόσβασης απλού κειμένου σε διακομιστές SMB που δεν είναι της Microsoft, οι οποίοι δεν υποστηρίζουν κρυπτογράφηση κωδικού πρόσβασης κατά τη διάρκεια του ελέγχου ταυτότητας.
    3. Λόγοι για να ενεργοποιήσετε αυτήν τη ρύθμιση

      Ενεργοποίηση πρόγραμμα-πελάτης δικτύου Microsoft: ψηφιακή υπογραφή κατά την επικοινωνία (πάντα) απαιτεί υπολογιστές-πελάτες να προσθέσουν υπογραφή στην κυκλοφορία SMB κατά την επικοινωνία με διακομιστές που δεν απαιτούν υπογραφή SMB. Έτσι, οι υπολογιστές-πελάτες λιγότερο ευάλωτους σε εισβολές κακόβουλων χρηστών.
    4. Λόγοι για την απενεργοποίηση αυτής της ρύθμισης
      • Ενεργοποίηση πρόγραμμα-πελάτης δικτύου Microsoft: ψηφιακή υπογραφή κατά την επικοινωνία (πάντα) αποτρέπει την επικοινωνία με διακομιστές προορισμού, οι οποίοι δεν υποστηρίζουν την υπογραφή SMB υπολογιστές-πελάτες.
      • Ρύθμιση παραμέτρων υπολογιστών για να αγνοήσετε όλες τις ανυπόγραφες επικοινωνίες SMB αποτρέπει παλαιότερων προγραμμάτων και λειτουργικών συστημάτων από τη σύνδεση.
    5. Συμβολικό όνομα:

      RequireSMBSignRdr
    6. Διαδρομή μητρώου:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
    7. Παραδείγματα προβλημάτων συμβατότητας
      • Των Windows NT 4.0: Δεν θα μπορέσετε να επαναφέρετε το ασφαλές κανάλι μιας σχέσης αξιοπιστίας μεταξύ ενός τομέα Windows Server 2003 και ενός τομέα Windows NT 4.0, χρησιμοποιώντας το NLTEST ή το NETDOM και θα λάβετε ένα μήνυμα λάθους "Δεν επιτρέπεται η πρόσβαση".
      • Τα Windows XP: Αντιγραφή αρχείων από τα Windows XP υπολογιστών-πελατών σε διακομιστές που βασίζονται στα Windows 2000 και σε διακομιστές που βασίζονται σε Windows Server 2003, ενδέχεται να χρειαστεί περισσότερος χρόνος.
      • Δεν θα έχετε τη δυνατότητα να αντιστοιχίσετε μια μονάδα δίσκου δικτύου από έναν υπολογιστή-πελάτη με ενεργοποιημένη αυτήν τη ρύθμιση και θα λάβετε το ακόλουθο μήνυμα λάθους:
        Ο λογαριασμός δεν έχει εξουσιοδότηση για σύνδεση από αυτόν το σταθμό.
    8. Απαιτήσεις επανεκκίνησης

      Κάντε επανεκκίνηση του υπολογιστή ή κάντε επανεκκίνηση της υπηρεσίας σταθμού εργασίας. Για να γίνει αυτό, πληκτρολογήστε τις ακόλουθες εντολές σε μια γραμμή εντολών. Πιέστε το πλήκτρο Enter, αφού πληκτρολογήσετε κάθε εντολή.
      net stop σταθμού εργασίας
      net start workstation
  6. Διακομιστής δικτύου Microsoft: ψηφιακή υπογραφή κατά την επικοινωνία (πάντα)
    1. Φόντο
      • Μπλοκ Messenger διακομιστή (SMB) είναι το πρωτόκολλο κοινής χρήσης πόρων που υποστηρίζεται από πολλά λειτουργικά συστήματα της Microsoft. Είναι η βάση του βασικού συστήματος εισόδου/εξόδου δικτύου (NetBIOS) και πολλών άλλων πρωτοκόλλων. Η υπογραφή SMB ελέγχει την ταυτότητα του χρήστη και του διακομιστή που φιλοξενεί τα δεδομένα. Εάν δύο πλευρές αποτύχει η διαδικασία ελέγχου ταυτότητας, δεν θα γίνει μετάδοση δεδομένων.

        Ενεργοποίηση της υπογραφής SMB ξεκινά στη διάρκεια της διαπραγμάτευσης του πρωτοκόλλου SMB. Πολιτικές της υπογραφής SMB καθορίζουν αν ο υπολογιστής χρησιμοποιεί πάντοτε ψηφιακές υπογραφές επικοινωνίες υπολογιστών-πελατών.

        Το πρωτόκολλο ελέγχου ταυτότητας SMB των Windows 2000 υποστηρίζει αμοιβαίο έλεγχο ταυτότητας. Αμοιβαίος έλεγχος ταυτότητας τερματίζει μια εισβολή "man-in-the-middle". Το πρωτόκολλο ελέγχου ταυτότητας SMB των Windows 2000 υποστηρίζει επίσης τον έλεγχο ταυτότητας μηνυμάτων. Ο έλεγχος ταυτότητας μηνυμάτων βοηθά στην αποτροπή επιθέσεων ενεργού μηνύματος. Για να δώσετε αυτόν τον έλεγχο ταυτότητας, η υπογραφή SMB τοποθετεί μια ψηφιακή υπογραφή σε κάθε SMB. Ο υπολογιστής-πελάτης και ο διακομιστής επιβεβαιώνουν την ψηφιακή υπογραφή.

        Για να χρησιμοποιήσετε την υπογραφή SMB, πρέπει να ενεργοποιήσετε την υπογραφή SMB ή να απαιτήσετε την υπογραφή SMB υπολογιστή-πελάτη και στο διακομιστή SMB SMB. Εάν η υπογραφή SMB είναι ενεργοποιημένη σε ένα διακομιστή, οι υπολογιστές-πελάτες που έχουν επίσης ενεργοποιημένη την υπογραφή SMB χρησιμοποιούν το πρωτόκολλο πακέτου υπογραφών σε όλες τις επόμενες περιόδους λειτουργίας. Εάν η υπογραφή SMB απαιτείται σε ένα διακομιστή, ένας υπολογιστής-πελάτης δεν είναι δυνατό να δημιουργήσει μια περίοδο λειτουργίας, εκτός αν ο υπολογιστής-πελάτης έχει ενεργοποιηθεί ή να απαιτηθεί υπογραφή SMB.


        Ενεργοποίηση ψηφιακής υπογραφής σε δίκτυα υψηλής ασφάλειας βοηθά στην αποτροπή της απομίμησης υπολογιστών-πελατών και διακομιστών. Αυτός ο τύπος απομίμησης είναι γνωστός ως εισβολή σε περίοδο λειτουργίας. Ένας εισβολέας που έχει πρόσβαση στο ίδιο δίκτυο με τον υπολογιστή-πελάτη ή στο διακομιστή χρησιμοποιεί τα εργαλεία εισβολής για διακοπή, τον τερματισμό ή την κλοπή μιας περιόδου λειτουργίας σε εξέλιξη. Ένας εισβολέας θα μπορούσε να υποκλέψει και να τροποποιήσει τα ανυπόγραφα πακέτα διαχείριση εύρους ζώνης υποδικτύου (SBM), να τροποποιήσει την κυκλοφορία, και, στη συνέχεια, να την διαβιβάσει έτσι ώστε ο διακομιστής να εκτελέσει τις ανεπιθύμητες ενέργειες. Εναλλακτικά, ο εισβολέας θα μπορούσε να θέσει του διακομιστή ή του υπολογιστή-πελάτη μετά από έναν νόμιμο έλεγχο ταυτότητας και να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε δεδομένα.

        Το πρωτόκολλο SMB που χρησιμοποιείται για την κοινή χρήση αρχείων και εκτυπωτών κοινής χρήσης σε υπολογιστές που λειτουργούν με Windows 2000 Server, Windows 2000 Professional, Windows XP Professional ή Windows Server 2003 υποστηρίζει αμοιβαίο έλεγχο ταυτότητας. Αμοιβαίος έλεγχος ταυτότητας κλείνει εισβολές κακόβουλων χρηστών και υποστηρίζει τον έλεγχο ταυτότητας μηνυμάτων. Επομένως, αποτρέπει επιθέσεις στο μέσο. Η υπογραφή SMB παρέχει αυτόν τον έλεγχο ταυτότητας τοποθετώντας μια ψηφιακή υπογραφή σε κάθε SMB. Το πρόγραμμα-πελάτη και του διακομιστή στη συνέχεια επαληθεύστε την υπογραφή.
      • Ως ένα εναλλακτικό αντίμετρο, μπορείτε να ενεργοποιήσετε ψηφιακές υπογραφές με την πολιτική IPSec για την προστασία του όλη την κυκλοφορία δικτύου. Υπάρχουν επιταχυντές που βασίζεται στο υλικό για κρυπτογράφηση IPSec και την υπογραφή που μπορείτε να χρησιμοποιήσετε για να ελαχιστοποιήσετε την επίδραση στην απόδοση από τη CPU του διακομιστή. Υπάρχουν τέτοια προγράμματα επιτάχυνσης που είναι διαθέσιμες για την υπογραφή SMB.
      • Στα Windows 95, Windows 98 και Windows 98 Δεύτερη έκδοση, το πρόγραμμα-πελάτης υπηρεσιών καταλόγου χρησιμοποιεί την υπογραφή SMB όταν ελέγχονται με διακομιστές Windows Server 2003 χρησιμοποιώντας τον έλεγχο ταυτότητας NTLM. Ωστόσο, αυτά τα προγράμματα-πελάτες δεν χρησιμοποιούν την υπογραφή SMB όταν εκτελούν έλεγχο ταυτότητας με αυτούς τους διακομιστές, χρησιμοποιώντας τον έλεγχο ταυτότητας NTLMv2. Επιπλέον, οι διακομιστές των Windows 2000 δεν ανταποκρίνονται σε αιτήσεις υπογραφής SMB από αυτά τα προγράμματα-πελάτες. Για περισσότερες πληροφορίες, δείτε το στοιχείο 10: "Ασφάλεια δικτύου: επίπεδο ελέγχου ταυτότητας Lan Manager."
    2. Επικίνδυνες ρυθμίσεις παραμέτρων

      Το ακόλουθο είναι μια ρύθμιση παραμέτρων επιβλαβές: Ενεργοποίηση του διακομιστής δικτύου Microsoft: ψηφιακή υπογραφή κατά την επικοινωνία (πάντα) σε διακομιστές και ελεγκτές τομέα που είναι προσβάσιμοι από μη συμβατό υπολογιστές που βασίζονται στα Windows και υπολογιστές προγράμματος-πελάτη βασίζεται στο λειτουργικό σύστημα κατασκευαστών σε τοπικούς ή εξωτερικούς τομείς.
    3. Λόγοι για να ενεργοποιήσετε αυτήν τη ρύθμιση
      • Όλοι οι υπολογιστές-πελάτες που ενεργοποιούν αυτή τη ρύθμιση απευθείας μέσω του μητρώου ή μέσω της ρύθμισης πολιτικής ομάδας υποστηρίζουν την υπογραφή SMB. Με άλλα λόγια, όλοι οι υπολογιστές-πελάτες που έχουν αυτήν τη ρύθμιση ενεργοποιημένη εκτέλεση είτε των Windows 95 με την DS εγκατεστημένο πρόγραμμα-πελάτη, τα Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional ή Windows Server 2003.
      • Εάν διακομιστής δικτύου Microsoft: ψηφιακή υπογραφή κατά την επικοινωνία (πάντα) είναι απενεργοποιημένη, η υπογραφή SMB είναι πλήρως απενεργοποιημένη. Η πλήρης απενεργοποίηση όλων SMB υπογραφή αφήνει τους υπολογιστές περισσότερο ευάλωτα σε εισβολές κακόβουλων χρηστών.
    4. Λόγοι για την απενεργοποίηση αυτής της ρύθμισης
      • Ενεργοποίηση αυτής της ρύθμισης ενδέχεται να προκαλέσει μείωση της ταχύτητας δικτύου και αντίγραφο του αρχείου στον υπολογιστή-πελάτη υπολογιστές.
      • Ενεργοποίηση αυτής της ρύθμισης θα αποτρέψει υπολογιστές-πελάτες που δεν είναι δυνατή η διαπραγμάτευση της υπογραφής SMB από την επικοινωνία με διακομιστές και ελεγκτές τομέα. Αυτό προκαλεί λειτουργίες όπως συμμετοχές σε τομέα, ο έλεγχος ταυτότητας χρήστη και υπολογιστή ή πρόσβαση στο δίκτυο από προγράμματα αποτυχία.
    5. Συμβολικό όνομα:

      RequireSMBSignServer
    6. Διαδρομή μητρώου:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)
    7. Παραδείγματα προβλημάτων συμβατότητας
      • Των Windows 95: Οι υπολογιστές-πελάτες με Windows 95 που δεν έχουν εγκατεστημένο το πρόγραμμα-πελάτη υπηρεσιών καταλόγου (DS) θα αποτύχει ο έλεγχος ταυτότητας σύνδεσης και θα λάβουν το ακόλουθο μήνυμα λάθους:
        Ο κωδικός πρόσβασης τομέα που πληκτρολογήσατε δεν είναι σωστός ή επιτράπηκε η πρόσβαση στο διακομιστή σύνδεσης.
        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

        811497 μήνυμα λάθους κατά τη σύνδεση υπολογιστή-πελάτη των Windows 95 ή Windows NT 4.0 τομέα Windows Server 2003

      • Των Windows NT 4.0: Οι υπολογιστές-πελάτες που εκτελούν εκδόσεις των Windows NT 4.0 που είναι παλαιότερες από το Service Pack 3 (SP3) θα αποτύχει ο έλεγχος ταυτότητας σύνδεσης και θα λάβουν το ακόλουθο μήνυμα λάθους:
        Το σύστημα δεν ήταν δυνατό να συνδέσει μπορείτε. Βεβαιωθείτε ότι το όνομα χρήστη και τον τομέα σας είναι σωστές και, στη συνέχεια, πληκτρολογήστε ξανά τον κωδικό πρόσβασής σας.
        Ορισμένοι διακομιστές SMB που δεν είναι της Microsoft υποστηρίζουν μόνο τις ανταλλαγές κωδικού πρόσβασης χωρίς κρυπτογράφηση στη διάρκεια του ελέγχου ταυτότητας. (Αυτά ονομάζονται επίσης ανταλλάσει "απλού κειμένου".) Για τα Windows NT 4.0 SP3 και νεότερες εκδόσεις, το πρόγραμμα ανακατεύθυνσης SMB δεν αποστέλλει μια κωδικού πρόσβασης χωρίς κρυπτογράφηση κατά τη διάρκεια ελέγχου ταυτότητας σε ένα διακομιστή SMB εκτός αν προσθέσετε μια συγκεκριμένη καταχώρηση μητρώου.
        Για να ενεργοποιήσετε μη κρυπτογραφημένοι κωδικοί πρόσβασης για το πρόγραμμα-πελάτη SMB σε Windows NT 4.0 SP 3 και σε νεότερα συστήματα, τροποποιήστε το μητρώο ως εξής: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters

        Όνομα τιμής: EnablePlainTextPassword

        Τύπος δεδομένων: REG_DWORD

        Δεδομένα: 1


        Για περισσότερες πληροφορίες όσον αφορά σχετικά θέματα, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft:

        224287 μήνυμα λάθους: Παρουσιάστηκε σφάλμα συστήματος 1240. Ο λογαριασμός δεν έχει εξουσιοδότηση για σύνδεση από αυτόν το σταθμό.

        166730 μη κρυπτογραφημένοι κωδικοί πρόσβασης ενδέχεται να προκαλέσουν Service Pack 3 με διακομιστές SMB

      • Των Windows Server 2003: Από προεπιλογή, οι ρυθμίσεις ασφαλείας σε ελεγκτές τομέα που χρησιμοποιούν Windows Server 2003 έχουν ρυθμιστεί για την αποτροπή των επικοινωνιών ελεγκτών τομέα από την υποκλοπή ή την αλλοίωση από κακόβουλους χρήστες. Για την επικοινωνία των χρηστών με έναν ελεγκτή τομέα που εκτελεί Windows Server 2003, οι υπολογιστές-πελάτες πρέπει να χρησιμοποιούν τόσο την υπογραφή SMB και κρυπτογράφηση ή υπογραφή κυκλοφορίας ασφαλούς καναλιού. Από προεπιλογή, οι υπολογιστές-πελάτες που εκτελούν Windows NT 4.0 με Service Pack 2 (SP2) ή παλαιότερα εγκατεστημένο και οι υπολογιστές-πελάτες που χρησιμοποιούν Windows 95 δεν έχουν πακέτο ενεργοποιημένη την υπογραφή SMB. Επομένως, αυτά τα προγράμματα-πελάτες ενδέχεται να μην μπορούν να πραγματοποιήσουν έλεγχο ταυτότητας σε έναν ελεγκτή τομέα που βασίζεται σε Windows Server 2003.
      • Των Windows 2000 και Windows Server 2003 ρυθμίσεις πολιτικής: Ανάλογα με τις συγκεκριμένες ανάγκες εγκατάστασης και τη ρύθμιση παραμέτρων, συνιστούμε να ορίσετε τις ακόλουθες ρυθμίσεις πολιτικής στη χαμηλότερη οντότητα του απαιτούμενου πεδίου στην ιεραρχία συμπληρωματικού προγράμματος Microsoft Management Console Group Policy Editor:
        • Επιλογές των Windows\Ρυθμίσεις ασφαλείας του υπολογιστή ρυθμίσεις ασφαλείας
        • Αποστολή κωδικού πρόσβασης χωρίς κρυπτογράφηση στους διακομιστές SMB τρίτων κατασκευαστών (αυτή η ρύθμιση είναι για τα Windows 2000)
        • Το πρόγραμμα-πελάτης δικτύου Microsoft: Αποστολή κωδικού πρόσβασης χωρίς κρυπτογράφηση στους διακομιστές SMB τρίτων κατασκευαστών (αυτή η ρύθμιση είναι για τον Windows Server 2003)

        Σημείωση Σε ορισμένους διακομιστές CIFS τρίτων κατασκευαστών, όπως οι παλαιότερες εκδόσεις Samba, δεν μπορείτε να χρησιμοποιήσετε κρυπτογραφημένους κωδικούς πρόσβασης.
      • Τα παρακάτω προγράμματα-πελάτες δεν είναι συμβατά με το διακομιστής δικτύου Microsoft: ψηφιακή υπογραφή κατά την επικοινωνία (πάντα) ρύθμιση:
        • Οι υπολογιστές-πελάτες Apple Computer, Inc., Mac OS X
        • Προγράμματα-πελάτες δικτύου της Microsoft MS-DOS (για παράδειγμα, Microsoft LAN Manager)
        • Microsoft Windows for Workgroups υπολογιστές-πελάτες
        • Εγκατεστημένα προγράμματα-πελάτες Microsoft Windows 95 με το πρόγραμμα-πελάτη DS
        • Microsoft υπολογιστές που βασίζονται στα Windows NT 4.0 με SP3 ή νεότερη έκδοση εγκατεστημένο
        • Τα προγράμματα-πελάτες Novell Netware 6 CIFS
        • Οι υπολογιστές-πελάτες SMB της SAMBA ΧΩΡΊΣ που δεν έχουν υποστήριξη για υπογραφή SMB
    8. Απαιτήσεις επανεκκίνησης

      Κάντε επανεκκίνηση του υπολογιστή ή κάντε επανεκκίνηση της υπηρεσίας διακομιστή. Για να γίνει αυτό, πληκτρολογήστε τις ακόλουθες εντολές σε μια γραμμή εντολών. Πιέστε το πλήκτρο Enter, αφού πληκτρολογήσετε κάθε εντολή.
      net stop server
      net start server
  7. Πρόσβαση δικτύου: να επιτρέπεται η μετάφραση ανώνυμου SID/ονόματος
    1. Φόντο

      Το πρόσβαση δικτύου: να επιτρέπεται η μετάφραση ανώνυμου SID/ονόματος η ρύθμιση ασφαλείας καθορίζει αν ένας ανώνυμος χρήστης μπορεί να ζητήσει χαρακτηριστικά αριθμό αναγνωριστικού ασφαλείας (SID) για άλλο χρήστη.
    2. Επικίνδυνες ρυθμίσεις παραμέτρων

      Ενεργοποίηση το πρόσβαση δικτύου: να επιτρέπεται η μετάφραση ανώνυμου SID/ονόματος ρύθμιση είναι μια ρύθμιση παραμέτρων επιβλαβές.
    3. Λόγοι για να ενεργοποιήσετε αυτήν τη ρύθμιση

      Εάν το πρόσβαση δικτύου: να επιτρέπεται η μετάφραση ανώνυμου SID/ονόματος η ρύθμιση είναι απενεργοποιημένη, προηγούμενες λειτουργικά συστήματα ή εφαρμογές ενδέχεται να μην είναι σε θέση να επικοινωνούν με τους τομείς του Windows Server 2003. Για παράδειγμα, τα παρακάτω λειτουργικά συστήματα, υπηρεσίες ή εφαρμογές ενδέχεται να μην λειτουργεί:
      • Windows διακομιστές με NT 4.0 υπηρεσίας απομακρυσμένης πρόσβασης
      • Microsoft SQL Server που εκτελούνται σε υπολογιστές που βασίζονται σε 3.x Windows NT ή υπολογιστές που βασίζονται στα Windows NT 4.0
      • Υπηρεσία απομακρυσμένης πρόσβασης που εκτελείται σε υπολογιστές που βασίζονται σε Windows 2000 που βρίσκονται σε τομείς με Windows NT 3.x ή τομείς με Windows NT 4.0
      • SQL Server που εκτελείται σε υπολογιστές που βασίζονται σε Windows 2000 που βρίσκονται σε τομείς με Windows NT 3.x ή τομείς των Windows NT 4.0
      • Χρήστες του τομέα πόρων των Windows NT 4.0 που θέλετε να παραχωρήσετε δικαιώματα για πρόσβαση σε αρχεία, κοινόχρηστους φακέλους και αντικείμενα μητρώου σε λογαριασμούς χρηστών από τομείς λογαριασμών που περιέχουν ελεγκτές τομέα με Windows Server 2003
    4. Λόγοι για την απενεργοποίηση αυτής της ρύθμισης

      Εάν αυτή η ρύθμιση είναι ενεργοποιημένη, ένας κακόβουλος χρήστης θα μπορούσε να χρησιμοποιήσει το πολύ γνωστό SID Administrators για να αποκτήσει το πραγματικό όνομα του ενσωματωμένου λογαριασμού διαχειριστή, ακόμα και αν ο λογαριασμός έχει μετονομαστεί. Αυτό το άτομο, στη συνέχεια, θα μπορούσε να χρησιμοποιήσει το όνομα λογαριασμού για να ξεκινήσει μια απόπειρα εντοπισμού κωδικού πρόσβασης.
    5. Συμβολικό όνομα: Δ/Υ
    6. Διαδρομή μητρώου: Καμία. Η διαδρομή καθορίζεται σε κώδικα UI.
    7. Παραδείγματα προβλημάτων συμβατότητας

      Των Windows NT 4.0: Υπολογιστές με τομείς πόρων Windows NT 4.0 θα εμφανίσουν το μήνυμα "Άγνωστος λογαριασμός" στο πρόγραμμα επεξεργασίας ACL εάν πόρων, συμπεριλαμβανομένων των κοινόχρηστων φακέλων, κοινόχρηστα αρχεία και αντικειμένων μητρώου, έχουν ασφαλιστεί με αρχές ασφαλείας, οι οποίες βρίσκονται σε τομείς λογαριασμών που περιέχουν ελεγκτές τομέα με Windows Server 2003.
  8. Πρόσβαση δικτύου: να επιτρέπεται SAM ανώνυμη απαρίθμηση λογαριασμών
    1. Φόντο
      • Το πρόσβαση δικτύου: να επιτρέπεται SAM ανώνυμη απαρίθμηση λογαριασμών ρύθμιση καθορίζει ποια επιπλέον δικαιώματα θα παραχωρηθούν για ανώνυμες συνδέσεις στον υπολογιστή. Τα Windows επιτρέπουν στους ανώνυμους χρήστες να εκτελούν συγκεκριμένες δραστηριότητες, όπως η απαρίθμηση ονομάτων λογαριασμών διαχείρισης λογαριασμών ασφαλείας (SAM) του σταθμού εργασίας και διακομιστή και κοινόχρηστων στοιχείων δικτύου. Για παράδειγμα, ένας διαχειριστής μπορεί να χρησιμοποιήσει αυτό να παραχωρήσει πρόσβαση σε χρήστες ενός αξιόπιστου τομέα που δεν περιέχει αμοιβαία σχέση αξιοπιστίας. Όταν γίνεται μια περίοδο λειτουργίας, ένας ανώνυμος χρήστης μπορεί να έχουν την ίδια πρόσβαση που χορηγείται για τους φορητούς ομάδα με βάση τη ρύθμιση του πρόσβαση δικτύου: Αφήστε όλους τα δικαιώματα ισχύουν για ανώνυμους χρήστες ρύθμιση ή λίστα ελέγχου διακριτικής πρόσβασης (DACL) του αντικειμένου.

        Συνήθως, οι ανώνυμες συνδέσεις απαιτούνται από προηγούμενες εκδόσεις των προγραμμάτων-πελατών (παλαιότεροι υπολογιστές-πελάτες) κατά τη διάρκεια της εγκατάστασης της περιόδου λειτουργίας SMB. Σε αυτές τις περιπτώσεις, ένα ίχνος δικτύου δείχνει ότι το Αναγνωριστικό διαδικασίας SMB (PID) είναι το πρόγραμμα ανακατεύθυνσης του υπολογιστή-πελάτη όπως 0xFEFF στα Windows 2000 ή 0xCAFE στα Windows NT. RPC ενδέχεται επίσης να επιχειρήσει τη δημιουργία ανώνυμων συνδέσεων.
      • Σημαντικό Αυτή η ρύθμιση δεν έχει καμία επίδραση σε ελεγκτές τομέα. Στους ελεγκτές τομέα, αυτή η συμπεριφορά ελέγχεται από την παρουσία "NT ανώνυμη σύνδεση/ΣΎΝΔΕΣΗ" σε "Συμβατό με Access 2000 πριν τα Windows".
      • Στα Windows 2000, μια παρόμοια ρύθμιση που ονομάζεται Πρόσθετους περιορισμούς για τις ανώνυμες συνδέσεις διαχειρίζεται η τιμή μητρώου RestrictAnonymous . Η θέση αυτής της τιμής είναι ως εξής
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
        Για περισσότερες πληροφορίες σχετικά με την τιμή μητρώου RestrictAnonymous, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft:

        246261 Τρόπος χρήσης της τιμής μητρώου RestrictAnonymous στα Windows 2000

        143474 Περιορισμός πληροφοριών που είναι διαθέσιμες για χρήστες ανώνυμων συνδέσεων

    2. Επικίνδυνες ρυθμίσεις παραμέτρων

      Ενεργοποίηση του πρόσβαση στο δίκτυο: μην επιτρέπεται απαρίθμηση των SAM λογαριασμών ρύθμιση είναι μια ρύθμιση παραμέτρων επιβλαβείς από άποψη συμβατότητας. Απενεργοποίηση του είναι μια ρύθμιση παραμέτρων επιβλαβείς από πλευράς ασφαλείας.
    3. Λόγοι για να ενεργοποιήσετε αυτήν τη ρύθμιση

      Ένας μη εξουσιοδοτημένος χρήστης θα μπορούσε να παραθέσει ανώνυμα ονόματα λογαριασμών και, στη συνέχεια, να χρησιμοποιήσετε τις πληροφορίες για να επιχειρήσει να μαντέψει κωδικούς πρόσβασης ή να εκτελέσει επιθέσεις τύπου social engineering . Social engineering είναι μια ορολογία που σημαίνει εξαπάτηση άτομα ώστε να αποκαλύψουν τους κωδικούς πρόσβασής τους ή ορισμένες από τις πληροφορίες ασφαλείας.
    4. Λόγοι για την απενεργοποίηση αυτής της ρύθμισης

      Εάν ενεργοποιήσετε αυτήν τη ρύθμιση, είναι αδύνατο να δημιουργηθούν σχέσεις αξιοπιστίας με τομείς των Windows NT 4.0. Αυτή η ρύθμιση προκαλεί επίσης προβλήματα με υπολογιστές-πελάτες προηγούμενης έκδοσης (όπως τα προγράμματα-πελάτες των Windows NT 3.51 και οι υπολογιστές-πελάτες των Windows 95) που επιχειρούν να χρησιμοποιήσουν πόρους του διακομιστή.
    5. Συμβολικό όνομα:


      RestrictAnonymousSAM
    6. Διαδρομή μητρώου:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)
    7. Παραδείγματα προβλημάτων συμβατότητας
    • Ο εντοπισμός δικτύου SMS δεν θα είναι σε θέση να λαμβάνουν πληροφορίες λειτουργικού συστήματος και θα γράψει "Άγνωστη" στην ιδιότητα OperatingSystemNameandVersion.
    • Τα Windows 95, Windows 98: Υπολογιστές-πελάτες των Windows 95 και οι υπολογιστές-πελάτες των Windows 98 δεν θα μπορούν να αλλάξουν τους κωδικούς πρόσβασής τους.
    • Των Windows NT 4.0: Τα Windows NT 4.0 υπολογιστές-μέλη με δεν θα μπορούν να υποβληθούν σε έλεγχο ταυτότητας.
    • Τα Windows 95, Windows 98: Υπολογιστές των Windows 95 και Windows 98 δεν θα μπορούν να υποβληθούν σε έλεγχο ταυτότητας από ελεγκτές τομέα της Microsoft.
    • Τα Windows 95, Windows 98: Οι χρήστες σε υπολογιστές των Windows 95 και Windows 98 δεν θα μπορούν να αλλάξουν τους κωδικούς πρόσβασης για τους λογαριασμούς χρηστών.
  9. Πρόσβαση δικτύου: να επιτρέπεται SAM ανώνυμη απαρίθμηση λογαριασμών και κοινόχρηστων στοιχείων
    1. Φόντο
      • Το πρόσβαση δικτύου: να επιτρέπεται SAM ανώνυμη απαρίθμηση λογαριασμών και κοινόχρηστων στοιχείων ρύθμιση (επίσης γνωστή ως RestrictAnonymous) καθορίζει αν θα επιτρέπεται η ανώνυμη απαρίθμηση λογαριασμών διαχείρισης λογαριασμών ασφαλείας (SAM) και κοινόχρηστων στοιχείων. Τα Windows επιτρέπουν στους ανώνυμους χρήστες να εκτελούν συγκεκριμένες δραστηριότητες, όπως η απαρίθμηση ονομάτων λογαριασμών τομέα (χρήστες, υπολογιστές και ομάδες) και κοινόχρηστων στοιχείων δικτύου. Αυτό είναι χρήσιμο όταν, για παράδειγμα, όταν ένας διαχειριστής θέλει να παραχωρήσει πρόσβαση σε χρήστες ενός αξιόπιστου τομέα που δεν περιέχει αμοιβαία σχέση αξιοπιστίας. Εάν δεν θέλετε να επιτρέπεται η ανώνυμη απαρίθμηση λογαριασμών SAM και κοινόχρηστων στοιχείων, ενεργοποιήστε αυτήν τη ρύθμιση.
      • Στα Windows 2000, μια παρόμοια ρύθμιση που ονομάζεται Πρόσθετους περιορισμούς για τις ανώνυμες συνδέσεις διαχειρίζεται η τιμή μητρώου RestrictAnonymous . Η θέση αυτής της τιμής είναι ως εξής:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    2. Επικίνδυνες ρυθμίσεις παραμέτρων

      Ενεργοποίηση του πρόσβαση δικτύου: να επιτρέπεται SAM ανώνυμη απαρίθμηση λογαριασμών και κοινόχρηστων στοιχείων ρύθμιση είναι μια ρύθμιση παραμέτρων επιβλαβές.
    3. Λόγοι για να ενεργοποιήσετε αυτήν τη ρύθμιση
      • Ενεργοποίηση του πρόσβαση δικτύου: να επιτρέπεται SAM ανώνυμη απαρίθμηση λογαριασμών και κοινόχρηστων στοιχείων ρύθμιση εμποδίζει την απαρίθμηση των λογαριασμών SAM και κοινόχρηστων στοιχείων από χρήστες και υπολογιστές που χρησιμοποιούν ανώνυμους λογαριασμούς.
    4. Λόγοι για την απενεργοποίηση αυτής της ρύθμισης
      • Εάν αυτή η ρύθμιση είναι ενεργοποιημένη, ένας μη εξουσιοδοτημένος χρήστης θα μπορούσε να παραθέσει ανώνυμα ονόματα λογαριασμών και να χρησιμοποιήσει τις πληροφορίες για να επιχειρήσει να μαντέψει κωδικούς πρόσβασης ή να εκτελέσει επιθέσεις τύπου social engineering . Social engineering είναι μια ορολογία που σημαίνει εξαπάτηση άτομα ώστε να αποκαλύψουν τον κωδικό πρόσβασής τους ή ορισμένες από τις πληροφορίες ασφαλείας.
      • Εάν ενεργοποιήσετε αυτήν τη ρύθμιση, θα είναι αδύνατο να δημιουργηθούν σχέσεις αξιοπιστίας με τομείς των Windows NT 4.0. Αυτή η ρύθμιση θα προκαλέσει επίσης προβλήματα με υπολογιστές-πελάτες προηγούμενων όπως Windows NT 3.51 και Windows 95 υπολογιστές-πελάτες που επιχειρούν να χρησιμοποιήσουν πόρους του διακομιστή.
      • Θα είναι αδύνατο να παραχωρήσει πρόσβαση σε χρήστες τομέων πόρων, επειδή οι διαχειριστές του αξιόπιστου τομέα δεν θα είναι σε θέση να κάνουν απαρίθμηση λιστών λογαριασμών στον άλλο τομέα. Οι χρήστες που έχουν πρόσβαση σε διακομιστές αρχείων και εκτύπωσης ανώνυμα δεν θα είναι σε θέση να παραθέσουν τους κοινόχρηστους πόρους δικτύου σε αυτούς τους διακομιστές. Οι χρήστες πρέπει να πραγματοποιήσει έλεγχο ταυτότητας πριν μπορέσουν να προβάλουν τις λίστες κοινόχρηστων φακέλων και εκτυπωτών.
    5. Συμβολικό όνομα:

      RestrictAnonymous
    6. Διαδρομή μητρώου:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
    7. Παραδείγματα προβλημάτων συμβατότητας
      • Των Windows NT 4.0: Οι χρήστες δεν θα μπορούν να αλλάξουν τους κωδικούς πρόσβασής τους από σταθμούς εργασίας με Windows NT 4.0, όταν είναι ενεργοποιημένη η RestrictAnonymous σε ελεγκτές τομέα στον τομέα του χρήστη.
        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

        198941 οι χρήστες δεν είναι δυνατό να αλλάξει κωδικό πρόσβασης κατά τη σύνδεση

      • Των Windows NT 4.0: Προσθήκη χρηστών ή καθολικών ομάδων από αξιόπιστους τομείς των Windows 2000 σε τοπικές ομάδες των Windows NT 4.0 στο User Manager θα αποτύχει και θα εμφανιστεί το ακόλουθο μήνυμα λάθους:
        Δεν υπάρχουν αυτήν τη στιγμή δεν υπάρχουν διακομιστές σύνδεσης που είναι διαθέσιμες για να εξυπηρετήσουν την αίτηση σύνδεσης.
        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

        296405 η τιμή μητρώου "RestrictAnonymous" ενδέχεται να διακόψει τη σχέση αξιοπιστίας σε έναν τομέα των Windows 2000

      • Των Windows NT 4.0: Τα Windows NT 4.0 υπολογιστές δεν θα μπορούν να συμμετάσχουν σε τομείς στη διάρκεια της εγκατάστασης ή χρησιμοποιώντας το περιβάλλον εργασίας χρήστη συμμετοχής του τομέα.

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

        184538 μήνυμα λάθους: δεν ήταν δυνατή η εύρεση ελεγκτή για αυτόν τον τομέα

      • Των Windows NT 4.0: Δημιουργία μιας σχέσης αξιοπιστίας προηγούμενης έκδοσης με τομείς πόρων Windows NT 4.0 θα αποτύχει. Θα εμφανιστεί το ακόλουθο μήνυμα λάθους, όταν είναι ενεργοποιημένη η RestrictAnonymous στον αξιόπιστο τομέα:
        Δεν ήταν δυνατή η εύρεση ελεγκτή τομέα για αυτόν τον τομέα.
        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

        178640 δεν ήταν δυνατή εύρεση ελεγκτή τομέα κατά τη δημιουργία μιας σχέσης αξιοπιστίας

      • Των Windows NT 4.0: Οι χρήστες που συνδέονται με υπολογιστές Terminal Server που βασίζονται σε Windows NT 4.0 θα αντιστοιχιστούν στον προεπιλεγμένο κεντρικό κατάλογο αντί για τον κεντρικό κατάλογο που καθορίζεται στο User Manager για τομείς.

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

        236185 προφίλ χρήστη του terminal Server και οι διαδρομές κεντρικού φακέλου είναι παραβλέπονται μετά την εφαρμογή του SP4 ή νεότερη έκδοση

      • Των Windows NT 4.0: Ελεγκτές τομέα αντιγράφων ασφαλείας (BDC) με Windows NT 4.0 δεν θα είναι σε θέση να ξεκινήσουν την υπηρεσία Net Logon, να αποκτήσουν μια λίστα εφεδρικών προγραμμάτων περιήγησης ή να συγχρονίσουν τη βάση δεδομένων SAM από τα Windows 2000 ή από ελεγκτές τομέα του Windows Server 2003 στον ίδιο τομέα.

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

        293127 υπηρεσία σύνδεσης του δικτύου από έναν υπολογιστή BDC του Windows NT 4.0 δεν λειτουργεί σε έναν τομέα των Windows 2000

      • Των Windows 2000: Υπολογιστές-μέλη με Windows 2000 σε Windows NT 4.0 τομείς δεν θα μπορούν να προβάλουν εκτυπωτές σε εξωτερικούς τομείς, εάν είναι ενεργοποιημένη η ρύθμιση χωρίς πρόσβαση χωρίς ανώνυμη ρητά δικαιώματα στην τοπική πολιτική ασφαλείας του υπολογιστή-πελάτη.

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

        280329 χρήστη δεν είναι δυνατό να διαχειριστείτε ή προβολής ιδιοτήτων εκτυπωτή

      • Των Windows 2000: Δεν θα είναι σε θέση να προσθέσουν εκτυπωτές δικτύου από την υπηρεσία καταλόγου Active Directory, οι χρήστες του τομέα των Windows 2000 Ωστόσο, θα έχετε τη δυνατότητα να προσθέτουν εκτυπωτές αφού πρώτα τους επιλέξουν από την προβολή δέντρου.

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

        318866 προγράμματα-πελάτες outlook δεν είναι δυνατή η προβολή λίστας καθολικών διευθύνσεων μετά την εγκατάσταση του Security Rollup Package 1 (SRP1) σε διακομιστή καθολικού καταλόγου

      • Των Windows 2000: Σε υπολογιστές που βασίζονται στα Windows 2000, ACL Editor δεν θα είναι σε θέση να προσθέσει χρήστες ή καθολικές ομάδες από αξιόπιστούς τομείς με Windows NT 4.0.

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

        296403 τιμή του RestrictAnonymous παραβιάζει τη σχέση αξιοπιστίας σε ένα περιβάλλον μεικτού τομέα

      • ADMT, έκδοση 2: Η μετεγκατάσταση κωδικού πρόσβασης για λογαριασμούς χρηστών που μετεγκαθίστανται μεταξύ συμπλεγμάτων δομών με Active Directory Migration Tool (ADMT) έκδοση 2 θα αποτύχει.

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

        322981 Τρόπος αντιμετώπισης προβλημάτων μετεγκατάστασης κωδικού πρόσβασης εσωτερικό του συμπλέγματος δομών με το εργαλείο ADMTv2

      • Προγράμματα-πελάτες outlook: Η καθολική λίστα διευθύνσεων θα εμφανιστεί κενό για τα προγράμματα-πελάτες Microsoft Exchange στο Outlook.

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

        318866 προγράμματα-πελάτες outlook δεν είναι δυνατό να προβάλετε καθολική λίστα διευθύνσεων μετά την εγκατάσταση 1 πακέτο συλλογής ενημερωμένων εκδόσεων ασφαλείας (SR) σε διακομιστή καθολικού καταλόγου

        321169 αργές επιδόσεις SMB κατά την αντιγραφή αρχείων από τα Windows XP σε έναν ελεγκτή τομέα των Windows 2000

      • SMS: Ο εντοπισμός δικτύου Microsoft Systems Management Server (SMS), δεν θα μπορείτε να λάβετε πληροφορίες του λειτουργικού συστήματος. Επομένως, θα γράψει "Άγνωστη" στην ιδιότητα OperatingSystemNameandVersion της ιδιότητας SMS DDR της εγγραφής δεδομένων εντοπισμού (DDR).

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

        229769 πώς Discovery Data Manager καθορίζει πότε θα πρέπει να δημιουργήσετε μια αίτηση ρύθμισης παραμέτρων υπολογιστή-πελάτη

      • SMS: Όταν χρησιμοποιήσετε το SMS Administrator User Wizard για να αναζητήσετε χρήστες και ομάδες, θα παρατεθεί κανένας χρήστης ή ομάδα. Επιπλέον, για προχωρημένους, οι υπολογιστές-πελάτες δεν είναι δυνατό να επικοινωνήσει με το σημείο διαχείρισης. Η ανώνυμη πρόσβαση είναι απαραίτητο στο σημείο διαχείρισης.

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

        302413 χρήστες ή ομάδες παρατίθενται στον Οδηγό χρήστη διαχειριστή

      • SMS: Όταν χρησιμοποιείτε τη δυνατότητα "Εντοπισμός δικτύου" στα SMS 2.0 και απομακρυσμένη εγκατάσταση προγράμματος-πελάτη με την τοπολογία, πρόγραμμα-πελάτης, και τα λειτουργικά συστήματα υπολογιστών-πελατών δικτύου εντοπισμού ενεργοποιημένη επιλογή, υπολογιστές ενδέχεται να εντοπιστούν, αλλά ίσως δεν έχει εγκατασταθεί.


        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

        311257 δεν εντοπίζονται πόροι εάν είναι απενεργοποιημένες οι ανώνυμες συνδέσεις

  10. Ασφάλεια δικτύου: επίπεδο ελέγχου ταυτότητας Lan Manager
    1. Φόντο

      Ο έλεγχος ταυτότητας LAN Manager (LM) είναι το πρωτόκολλο που χρησιμοποιείται για τον έλεγχο ταυτότητας των Windows για υπολογιστές-πελάτες λειτουργίες δικτύου, συμπεριλαμβανομένων των συμμετοχές σε τομείς, πρόσβαση σε πόρους δικτύου και έλεγχος ταυτότητας χρήστη ή υπολογιστή. Το επίπεδο ελέγχου ταυτότητας LM καθορίζει ποιο πρωτόκολλο ελέγχου ταυτότητας πρόκλησης/απόκρισης τίθεται σε διαπραγμάτευση μεταξύ του υπολογιστή-πελάτη και του διακομιστή. Συγκεκριμένα, το επίπεδο ελέγχου ταυτότητας LM καθορίζει τα πρωτόκολλα ελέγχου ταυτότητας που ο υπολογιστής-πελάτης θα προσπαθήσει να διαπραγματευτεί ή που θα αποδεχτεί ο διακομιστής. Η τιμή που έχει οριστεί για τη ρύθμιση LmCompatibilityLevel καθορίζει ποιο πρωτόκολλο ελέγχου ταυτότητας πρόκλησης/απόκρισης χρησιμοποιείται για συνδέσεις δικτύου. Αυτή η τιμή επηρεάζει το επίπεδο του πρωτοκόλλου ελέγχου ταυτότητας που χρησιμοποιούν οι υπολογιστές-πελάτες, το επίπεδο της ασφάλειας περιόδου λειτουργίας που έχουν τεθεί υπό διαπραγμάτευση και το επίπεδο ελέγχου ταυτότητας που είναι αποδεκτό από τους διακομιστές.

      Πιθανές ρυθμίσεις περιλαμβάνουν τα εξής.
      ΤιμήΡύθμισηΠεριγραφή
      0Αποστολή αποκρίσεων LM & NTLMΥπολογιστές-πελάτες χρησιμοποιούν έλεγχο ταυτότητας LM και NTLM και δεν χρησιμοποιούν ποτέ ασφάλεια περιόδου λειτουργίας NTLMv2. Οι ελεγκτές τομέα αποδέχονται έλεγχο ταυτότητας LM, NTLM και NTLMv2.
      1Αποστολή LM & NTLM - χρήση ασφάλειας περιόδου λειτουργίας NTLMv2 εάν τεθεί σε διαπραγμάτευσηΟι υπολογιστές-πελάτες χρησιμοποιούν έλεγχο ταυτότητας LM και NTLM και χρησιμοποιούν την ασφάλεια περιόδου NTLMv2, εάν την υποστηρίζει ο διακομιστής. Οι ελεγκτές τομέα αποδέχονται έλεγχο ταυτότητας LM, NTLM και NTLMv2.
      2Αποστολή μόνο απόκρισης NTLMΟι πελάτες χρησιμοποιούν μόνο τον έλεγχο ταυτότητας NTLM και χρησιμοποιούν την ασφάλεια περιόδου NTLMv2, εάν την υποστηρίζει ο διακομιστής. Οι ελεγκτές τομέα αποδέχονται έλεγχο ταυτότητας LM, NTLM και NTLMv2.
      3Αποστολή μόνο αποκρίσεων NTLMv2Οι πελάτες χρησιμοποιούν μόνο τον έλεγχο ταυτότητας NTLMv2 και χρησιμοποιούν την ασφάλεια περιόδου NTLMv2, εάν την υποστηρίζει ο διακομιστής. Οι ελεγκτές τομέα αποδέχονται έλεγχο ταυτότητας LM, NTLM και NTLMv2.
      4Αποστολή μόνο απόκρισης NTLMv2 / απόρριψη LMΟι πελάτες χρησιμοποιούν μόνο τον έλεγχο ταυτότητας NTLMv2 και χρησιμοποιούν την ασφάλεια περιόδου NTLMv2, εάν την υποστηρίζει ο διακομιστής. Οι ελεγκτές τομέα αρνούνται LM και αποδέχονται μόνο ταυτότητας NTLM και NTLMv2.
      5Αποστολή μόνο απόκρισης NTLMv2 / απόρριψη LM & NTLMΟι πελάτες χρησιμοποιούν μόνο τον έλεγχο ταυτότητας NTLMv2 και χρησιμοποιούν την ασφάλεια περιόδου NTLMv2, εάν την υποστηρίζει ο διακομιστής. Οι ελεγκτές τομέα αρνούνται LM και NTLM και αποδέχονται μόνο τον έλεγχο ταυτότητας NTLMv2.
      Σημείωση Στα Windows 95, Windows 98 και Windows 98 Δεύτερη έκδοση, το πρόγραμμα-πελάτης υπηρεσιών καταλόγου χρησιμοποιεί την υπογραφή SMB όταν ελέγχονται με διακομιστές Windows Server 2003 χρησιμοποιώντας τον έλεγχο ταυτότητας NTLM. Ωστόσο, αυτά τα προγράμματα-πελάτες δεν χρησιμοποιούν την υπογραφή SMB όταν εκτελούν έλεγχο ταυτότητας με αυτούς τους διακομιστές, χρησιμοποιώντας τον έλεγχο ταυτότητας NTLMv2. Επιπλέον, οι διακομιστές των Windows 2000 δεν ανταποκρίνονται σε αιτήσεις υπογραφής SMB από αυτά τα προγράμματα-πελάτες.

      Ελέγξτε το επίπεδο ελέγχου ταυτότητας LM: Πρέπει να αλλάξετε την πολιτική στο διακομιστή για να επιτρέψετε το NTLM ή πρέπει να ρυθμίσετε τις παραμέτρους του υπολογιστή-πελάτη για να υποστηρίζει την επικοινωνία NTLMv2.

      Εάν η πολιτική έχει ρυθμιστεί σε (5) αποστολή NTLMv2 απόκρισης NTLMν2\άρνηση LM & NTLM στον υπολογιστή προορισμού που θέλετε να συνδεθείτε, θα πρέπει να μικρότερη ρύθμιση σε αυτόν τον υπολογιστή ή να ρυθμίσετε την ασφάλεια στην ίδια τιμή που βρίσκεται στον υπολογιστή προέλευσης που συνδέεστε.

      Βρείτε τη σωστή θέση όπου μπορείτε να αλλάξετε το LAN manager επίπεδο ελέγχου ταυτότητας για να ρυθμίσετε τον υπολογιστή-πελάτη και του διακομιστή στο ίδιο επίπεδο. Αφού εντοπίσετε την πολιτική που ορίζει το LAN manager επίπεδο ελέγχου ταυτότητας, εάν θέλετε να συνδεθείτε και από υπολογιστές που εκτελούν προηγούμενες εκδόσεις των Windows, μειώστε την τιμή τουλάχιστον (1) αποστολή LM & NTLM - χρήση NTLM έκδοση 2 ασφάλεια περιόδου λειτουργίας όταν. Μια επίδραση των μη συμβατών ρυθμίσεων είναι ότι εάν ο διακομιστής απαιτεί NTLMv2 (τιμή5), αλλά ο υπολογιστής-πελάτης είναι ρυθμισμένος να χρησιμοποιεί LM και NTLMv1 μόνο (τιμή 0), ο χρήστης ο οποίος επιχειρεί έλεγχο ταυτότητας αντιμετωπίζει σφάλμα αποτυχίας σύνδεσης που έχει εσφαλμένο κωδικό πρόσβασης και το οποίο αυξάνει την καταμέτρηση του εσφαλμένου κωδικού πρόσβασης. Εάν έχει ρυθμιστεί κλείδωμα του λογαριασμού, ο χρήστης μπορεί τελικά να αποκλειστεί.

      Για παράδειγμα, ίσως χρειαστεί να κάνετε αναζήτηση στον ελεγκτή τομέα ή πρέπει να εξετάζει πολιτικές του ελεγκτή τομέα.

      Αναζήτηση στον ελεγκτή τομέα

      Σημείωση Ίσως χρειαστεί να επαναλάβετε την ακόλουθη διαδικασία σε όλους τους ελεγκτές τομέα.
      1. Κάντε κλικ στο κουμπί Έναρξη, επιλέξτε την εντολή προγράμματακαι, στη συνέχεια, κάντε κλικ στην επιλογή Εργαλεία διαχείρισης.
      2. Σύμφωνα με τις Τοπικές ρυθμίσεις ασφαλείας, αναπτύξτε το στοιχείο Τοπικές πολιτικές.
      3. Κάντε κλικ στο κουμπί Επιλογές ασφαλείας.
      4. Κάντε διπλό κλικ στο Ασφάλεια δικτύου: επίπεδο ελέγχου ταυτότητας LAN manager, και στη συνέχεια επιλέξτε μια τιμή στη λίστα.

      Εάν η ρύθμιση και η τοπική ρύθμιση είναι ίδιες, η πολιτική έχει αλλάξει σε αυτό το επίπεδο. Εάν οι ρυθμίσεις είναι διαφορετικές, πρέπει να ελέγξετε την πολιτική του ελεγκτή τομέα για να προσδιορίσετε αν το Ασφάλεια δικτύου: επίπεδο ελέγχου ταυτότητας LAN manager ρύθμιση ορίζεται εκεί. Εάν δεν έχει καθοριστεί εκεί, εξετάστε πολιτικές του ελεγκτή τομέα.

      Εξέταση Οι πολιτικές του ελεγκτή τομέα
      1. Κάντε κλικ στο κουμπί Έναρξη, επιλέξτε την εντολή προγράμματακαι, στη συνέχεια, κάντε κλικ στην επιλογή Εργαλεία διαχείρισης.
      2. Στην πολιτική Ασφαλείας ελεγκτή τομέα , αναπτύξτε τις Ρυθμίσεις ασφαλείαςκαι, στη συνέχεια, αναπτύξτε το στοιχείο Τοπικές πολιτικές.
      3. Κάντε κλικ στο κουμπί Επιλογές ασφαλείας.
      4. Κάντε διπλό κλικ στο Ασφάλεια δικτύου: επίπεδο ελέγχου ταυτότητας LAN manager, και στη συνέχεια επιλέξτε μια τιμή στη λίστα.

      Note
      • Επίσης, ίσως χρειαστεί να ελέγξετε πολιτικές που είναι συνδεδεμένες σε επίπεδο τοποθεσίας, το επίπεδο του τομέα ή στην οργανική μονάδα (OU) επίπεδο για να προσδιορίσετε πού πρέπει να ρυθμίσετε το επίπεδο ελέγχου ταυτότητας του LAN manager.
      • Εάν υλοποιήσετε μια ρύθμιση πολιτικής ομάδας ως την προεπιλεγμένη πολιτική τομέα, η πολιτική εφαρμόζεται σε όλους τους υπολογιστές του τομέα.
      • Εάν υλοποιήσετε μια ρύθμιση πολιτικής ομάδας ως πολιτική του προεπιλεγμένου ελεγκτή τομέα, η πολιτική εφαρμόζεται μόνο στους διακομιστές των OU του ελεγκτή τομέα.
      • Είναι καλή ιδέα να ορίσετε το επίπεδο ελέγχου ταυτότητας του LAN manager στη χαμηλότερη οντότητα του απαιτούμενου πεδίου στην ιεραρχία πολιτικής εφαρμογών.

      Τα Windows Server 2003 έχει μια νέα προεπιλεγμένη ρύθμιση για να χρησιμοποιήσετε μόνο NTLMv2. Από προεπιλογή, Windows Server 2003 και ελεγκτές τομέα που βασίζεται σε Windows 2000 Server SP3 έχει ενεργοποιημένη την "διακομιστής δικτύου Microsoft: ψηφιακή υπογραφή κατά την επικοινωνία (πάντα)" πολιτικής. Αυτή η ρύθμιση απαιτεί διακομιστή SMB για την πραγματοποίηση υπογραφής πακέτου SMB. Αλλαγές στο Windows Server 2003 έγιναν επειδή οι ελεγκτές τομέα, διακομιστές αρχείων, οι διακομιστές υποδομής δικτύου και οι διακομιστές Web οποιασδήποτε εταιρείας απαιτούν διαφορετικές ρυθμίσεις για τη μεγιστοποίηση της ασφάλειάς τους.

      Εάν θέλετε να υλοποιήσετε τον έλεγχο ταυτότητας NTLMv2 στο δίκτυό σας, πρέπει να βεβαιωθείτε ότι όλοι οι υπολογιστές του τομέα έχουν ρυθμιστεί να χρησιμοποιούν αυτό το επίπεδο ελέγχου ταυτότητας. Εάν εφαρμόσετε Active Directory προγράμματος-πελάτη επεκτάσεις για τα Windows 95 ή Windows 98 και Windows NT 4.0, οι επεκτάσεις προγράμματος-πελάτη χρησιμοποιεί τις δυνατότητες βελτιωμένη ελέγχου ταυτότητας που είναι διαθέσιμες στο NTLMv2. Επειδή οι υπολογιστές-πελάτες που εκτελούν οποιοδήποτε από τα ακόλουθα λειτουργικά συστήματα δεν επηρεάζονται από τα αντικείμενα πολιτικής ομάδας των Windows 2000, ίσως χρειαστεί να ρυθμίσετε με μη αυτόματο τρόπο αυτά τα προγράμματα-πελάτες:
      • Microsoft Windows NT 4.0
      • Microsoft Windows Millennium Edition
      • Microsoft Windows 98
      • Τα Microsoft Windows 95
      Σημείωση Εάν ενεργοποιήσετε την Ασφάλεια δικτύου: να μην αποθηκευτεί η τιμή κατακερματισμού του LAN manager στην επόμενη αλλαγή κωδικού πρόσβασης πολιτικής ή το σύνολο του κλειδιού μητρώου NoLMHash , βασίζονται σε Windows 95 και Windows 98-προγράμματα-πελάτες που δεν έχουν εγκατεστημένο το πρόγραμμα-πελάτη της υπηρεσίες καταλόγου δεν είναι δυνατό να συνδεθείτε με τον τομέα μετά από αλλαγή κωδικού πρόσβασης.

      Πολλοί διακομιστές CIFS τρίτων κατασκευαστών, όπως ο Novell Netware 6, δεν γνωρίζει NTLMv2 και χρησιμοποιούν μόνο NTLM. Επομένως, επίπεδα που είναι μεγαλύτερα από 2 δεν επιτρέπουν τη σύνδεση. Υπάρχουν επίσης πελάτες SMB τρίτων κατασκευαστών που δεν χρησιμοποιούν ασφάλεια εκτεταμένης περιόδου λειτουργίας. Σε αυτές τις περιπτώσεις, η LmCompatiblityLevel από τον διακομιστή του πόρου δεν λαμβάνεται υπόψη. Ο διακομιστής στη συνέχεια πακέτα ασφαλείας για αυτήν την αίτηση παλαιού τύπου και την αποστέλλει στον ελεγκτή τομέα του χρήστη. Οι ρυθμίσεις στον ελεγκτή τομέα στη συνέχεια αποφασίσετε ποια κλειδιά κατακερματισμού που χρησιμοποιούνται για να επαληθεύσετε την αίτηση και κατά πόσον αυτές πληρούν τις απαιτήσεις ασφαλείας του ελεγκτή τομέα.

      Για περισσότερες πληροφορίες σχετικά με τη ρύθμιση με μη αυτόματο τρόπο του επιπέδου ελέγχου ταυτότητας του LAN manager, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft:

      147706 Τρόπος απενεργοποίησης του ελέγχου ταυτότητας LM στα Windows NT

      175641 τιμή LMCompatibilityLevel και τις επιπτώσεις

      299656 πώς να αποτρέψετε τα Windows από ένα LAN manager κατακερματισμού κωδικού πρόσβασης στην υπηρεσία καταλόγου Active Directory και τοπικές βάσεις δεδομένων SAM

      312630 το outlook εξακολουθεί να σας ζητά πιστοποιήσεις σύνδεσης

      2701704 Συμβάν ελέγχου εμφανίζει το πακέτο ελέγχου ταυτότητας ως NTLMv1 αντί NTLMv2
      Για περισσότερες πληροφορίες σχετικά με τα επίπεδα ελέγχου ταυτότητας LM, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

      239869 Τρόπος ενεργοποίησης του ελέγχου ταυτότητας NTLM 2

    2. Επικίνδυνες ρυθμίσεις παραμέτρων

      Τα παρακάτω είναι επιβλαβείς ρύθμισης παραμέτρων:
      • Περιοριστικές ρυθμίσεις με τις οποίες αποστέλλονται κωδικοί πρόσβασης σε απλό κείμενο και που απορρίπτουν τη διαπραγμάτευση NTLMv2
      • Περιοριστικές ρυθμίσεις που αποτρέπουν τη διαπραγμάτευση ενός κοινού πρωτοκόλλου ελέγχου ταυτότητας συμβατά προγράμματα-πελάτες ή ελεγκτές τομέα
      • Που απαιτούν έλεγχο ταυτότητας NTLMv2 σε υπολογιστές-μέλη και ελεγκτές τομέα που χρησιμοποιούν εκδόσεις των Windows NT 4.0 που είναι παλαιότερες από το Service Pack 4 (SP4)
      • Που απαιτούν έλεγχο ταυτότητας NTLMv2 σε υπολογιστές-πελάτες των Windows 95 ή σε υπολογιστές-πελάτες των Windows 98 που δεν διαθέτουν το Windows κατάλογο υπηρεσιών εγκατεστημένο πρόγραμμα-πελάτη.
      • Εάν κάνετε κλικ για να επιλέξετε το πλαίσιο ελέγχου της ασφάλειας περιόδου λειτουργίας NTLMv2 απαιτούν το συμπληρωματικό πρόγραμμα επεξεργασίας πολιτικής ομάδας της κονσόλας διαχείρισης της Microsoft σε έναν υπολογιστή που βασίζεται στα Windows 2000 Service Pack 3 ή Windows Server 2003 και κάτω του επιπέδου ελέγχου ταυτότητας του LAN manager στο 0, οι δύο ρυθμίσεις έρχονται σε διένεξη και ενδέχεται να λάβετε το ακόλουθο μήνυμα λάθους στο αρχείο Secpol.msc ή το αρχείο GPEdit.msc :
        Τα Windows δεν είναι δυνατό να ανοίξουν τη βάση δεδομένων τοπικής πολιτικής. Παρουσιάστηκε ένα άγνωστο σφάλμα κατά την προσπάθεια ανοίγματος της βάσης δεδομένων.
        Για περισσότερες πληροφορίες σχετικά με το εργαλείο ανάλυσης και ρύθμιση παραμέτρων ασφαλείας, ανατρέξτε στο θέμα των Windows 2000 ή τα αρχεία Βοήθειας του Windows Server 2003.

        Για περισσότερες πληροφορίες σχετικά με τον τρόπο ανάλυσης των επιπέδων ασφαλείας στα Windows 2000 και στον Windows Server 2003, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft:

        313203 Τρόπος ανάλυσης της ασφάλειας συστήματος στα Windows 2000

        816580 Τρόπος ανάλυσης της ασφάλειας συστήματος στα Windows Server 2003

    3. Λόγοι για να τροποποιήσετε αυτή τη ρύθμιση
      • Θέλετε να αυξήσετε το κατώτατο πρωτόκολλο ελέγχου ταυτότητας που υποστηρίζεται από τα προγράμματα-πελάτες και οι ελεγκτές τομέα της εταιρείας σας.
      • Όταν Ασφαλoύς ελέγχου ταυτότητας με επιχειρηματικές σας απαιτήσεις, που θέλετε να απαγορεύσετε τη διαπραγμάτευση των πρωτόκολλα NTLM και LM.
    4. Λόγοι για την απενεργοποίηση αυτής της ρύθμισης

      Πρόγραμμα-πελάτης απαιτήσεις ελέγχου ταυτότητας διακομιστή ή και τα δύο, έχουν αυξηθεί έως το σημείο όπου δεν μπορεί να πραγματοποιηθεί ο έλεγχος ταυτότητας σε ένα κοινό πρωτόκολλο.
    5. Συμβολικό όνομα:

      Τιμή LmCompatibilityLevel
    6. Διαδρομή μητρώου:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
    7. Παραδείγματα προβλημάτων συμβατότητας
      • Των Windows Server 2003: Από προεπιλογή, είναι ενεργοποιημένη η ρύθμιση των Windows Server 2003 NTLMv2 αποστολή ΜΌΝΟ αποκρίσεων. Επομένως, το Windows Server 2003 λαμβάνει το μήνυμα λάθους "Δεν επιτρέπεται η πρόσβαση" μετά την αρχική εγκατάσταση όταν προσπαθείτε να συνδεθείτε σε ένα σύμπλεγμα που βασίζεται σε Windows NT 4.0 ή σε διακομιστές που βασίζονται σε έκδοση 2.1 LanManager, όπως Lanserver OS/2. Αυτό το ζήτημα παρουσιάζεται επίσης όταν προσπαθήσετε να συνδεθείτε από έναν υπολογιστή-πελάτη προηγούμενης έκδοσης σε ένα διακομιστή που βασίζεται σε Windows Server 2003.
      • Μπορείτε να εγκαταστήσετε τα Windows 2000 Security Rollup Package 1 (SRP1). SRP1 επιβάλλει NTLM έκδοση 2 (NTLMv2). Αυτό το πακέτο συλλογής ενημερωμένων εκδόσεων κυκλοφόρησε μετά την κυκλοφορία του Windows 2000 Service Pack 2 (SP2). Για περισσότερες πληροφορίες σχετικά με το SRP1, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

        Πακέτο συλλογής ενημερωμένων εκδόσεων ασφαλείας 2000 των Windows 311401 1, Ιανουάριος 2002

      • Τα Windows 7 και Windows Server 2008 R2: πολλοί διακομιστές CIFS τρίτων κατασκευαστών, όπως οι διακομιστές Novell Netware 6 ή με βάση το Linux Samba, δεν γνωρίζετε NTLMv2 και χρησιμοποιούν μόνο NTLM. Επομένως, επίπεδα που είναι μεγαλύτερα από το "2" δεν επιτρέπουν τη σύνδεση. Τώρα σε αυτήν την έκδοση του λειτουργικού συστήματος, η προεπιλογή για τη ρύθμιση LmCompatibilityLevel έχει αλλάξει σε "3". Έτσι όταν κάνετε αναβάθμιση των Windows, αυτά τα filers τρίτων ενδέχεται να σταματήσει να λειτουργεί.
      • Οι υπολογιστές-πελάτες του Microsoft Outlook ενδέχεται να ζητηθούν πιστοποιήσεις ακόμα και όταν είναι ήδη συνδεδεμένοι στον τομέα. Όταν οι χρήστες δώσουν τις πιστοποιήσεις τους, λαμβάνουν το ακόλουθο μήνυμα λάθους: τα Windows 7 και Windows Server 2008 R2
        Οι πιστοποιήσεις σύνδεσης που δόθηκαν δεν είναι σωστές. Βεβαιωθείτε ότι το όνομα χρήστη και ο τομέας είναι σωστά και, στη συνέχεια, πληκτρολογήστε ξανά τον κωδικό πρόσβασής σας.
        Όταν ξεκινάτε το Outlook, ενδέχεται να εμφανιστεί για τα διαπιστευτήριά σας ακόμη και αν το επίπεδο ασφάλειας δικτύου σύνδεσης έχει οριστεί διέλευσης ή έλεγχο ταυτότητας μέσω κωδικού. Αφού πληκτρολογήσετε τις σωστές πιστοποιήσεις, ενδέχεται να λάβετε το ακόλουθο μήνυμα λάθους:
        Οι πιστοποιήσεις σύνδεσης που δόθηκαν δεν είναι σωστές.
        Ένα ίχνος παρακολούθησης δικτύου μπορεί να δείχνει ότι ο Καθολικός κατάλογος έχει εκδόσει σφάλμα απομακρυσμένης διαδικασίας κλήση (RPC) με κατάσταση 0x5. Μια κατάσταση 0x5 σημαίνει ότι "Πρόσβαση".
      • Των Windows 2000: Μια καταγραφή εποπτείας δικτύου ενδέχεται να εμφανίζει τα ακόλουθα σφάλματα στο το NetBIOS μέσω TCP/IP (NetBT) διακομιστή μήνυμα block (SMB) λειτουργίας:
        Σφάλμα SMB R αναζήτησης καταλόγου Dos, (5) αναγνωριστικό χρήστη (91) δεν είναι έγκυρο STATUS_LOGON_FAILURE ACCESS_DENIED (109)
      • Των Windows 2000: Εάν ένα τομέα των Windows 2000 με NTLMv2 επιπέδου 2 ή νεότερη έκδοση θεωρείται αξιόπιστος από έναν τομέα των Windows NT 4.0, οι υπολογιστές-μέλη με Windows 2000 του τομέα πόρων ενδέχεται να αντιμετωπίσουν σφάλματα ελέγχου ταυτότητας.


        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

        305379 προβλήματα ελέγχου ταυτότητας στα Windows 2000 με επίπεδα NTLM 2 ανώτερα από 2 σε έναν τομέα των Windows NT 4.0

      • Των Windows 2000 και Windows XP: Από προεπιλογή, τα Windows 2000 και Windows XP ορίστε την επιλογή "LAN Manager ελέγχου ταυτότητας επιπέδου τοπική πολιτική ασφαλείας" σε 0. Η ρύθμιση 0 σημαίνει "Αποστολή LM και NTLM αποκρίσεις."

        Σημείωση Τα Windows NT 4.0 με συμπλέγματα πρέπει να χρησιμοποιούν το LM για διαχείριση.
      • Των Windows 2000: Η υπηρεσία συμπλέγματος των Windows 2000 πραγματοποιεί έλεγχο ταυτότητας σε έναν κόμβο σύνδεσης στην εάν οι κόμβοι αποτελούν μέρος ενός των Windows NT 4.0 Service Pack 6a (SP6a) τομέα.

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

        305379 προβλήματα ελέγχου ταυτότητας στα Windows 2000 με επίπεδα NTLM 2 ανώτερα από 2 σε έναν τομέα των Windows NT 4.0

      • Το εργαλείο κλειδώματος των υπηρεσιών IIS (HiSecWeb) ορίζει την τιμή LMCompatibilityLevel στο 5 και η τιμή RestrictAnonymous σε 2.
      • Υπηρεσίες για Macintosh

        Λειτουργική μονάδα ελέγχου ταυτότητας χρήστη (UAM): Η Microsoft UAM (λειτουργική μονάδα ελέγχου ταυτότητας χρήστη) παρέχει μια μέθοδο για την κρυπτογράφηση των κωδικών πρόσβασης που χρησιμοποιείτε για να συνδεθείτε με διακομιστές των Windows AFP (πρωτόκολλο AppleTalk αρχειοθέτησης). Η λειτουργική μονάδα ελέγχου ταυτότητας χρήστη Apple (UAM) παρέχει μόνο ελάχιστη ή χωρίς κρυπτογράφηση. Επομένως, ο κωδικός πρόσβασής σας θα μπορούσε να εύκολα να υποκλαπεί στο LAN ή στο Internet. Αν και δεν απαιτείται η UAM, παρέχει κρυπτογραφημένος έλεγχος ταυτότητας για διακομιστές των Windows 2000 που εκτελούν υπηρεσίες για Macintosh. Αυτή η έκδοση περιλαμβάνει υποστήριξη για κρυπτογραφημένο έλεγχο ταυτότητας NTLMv2 128-bit και μια έκδοση 10.1 συμβατή με το MacOS X.

        Από προεπιλογή, οι υπηρεσίες Windows Server 2003 για Macintosh διακομιστή επιτρέπει μόνο τον έλεγχο ταυτότητας της Microsoft.


        Για περισσότερες πληροφορίες, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft:

        834498 πρόγραμμα-πελάτη Macintosh δεν είναι δυνατό να συνδεθεί με τις υπηρεσίες για Mac στον Windows Server 2003

        838331 οι χρήστες Mac OS X δεν είναι δυνατό να ανοίξετε κοινόχρηστους φακέλους Macintosh σε ένα διακομιστή που βασίζεται σε Windows Server 2003

      • Των Windows Server 2008, Windows Server 2003, Windows XP και των Windows 2000: Εάν ρυθμίσετε την τιμή LMCompatibilityLevel στο 0 ή 1 και κατόπιν ρυθμίσετε την τιμή NoLMHash στο 1, εφαρμογών και στοιχείων μπορεί να επιτρέπεται η πρόσβαση μέσω NTLM. Αυτό το ζήτημα προκύπτει επειδή ο υπολογιστής έχει ρυθμιστεί να επιτρέπει LM αλλά να μην χρησιμοποιεί κωδικούς πρόσβασης αποθηκευμένους στο LM.

        Εάν ρυθμίσετε την τιμή NoLMHash στο 1, πρέπει να ρυθμίσετε την τιμή LMCompatibilityLevel είναι 2 ή υψηλότερο.
  11. Ασφάλεια δικτύου: απαιτήσεις υπογραφής πελάτη LDAP
    1. Φόντο

      Το Ασφάλεια δικτύου: απαιτήσεις υπογραφής πελάτη LDAP η ρύθμιση καθορίζει το επίπεδο υπογραφής δεδομένων που απαιτείται από τους υπολογιστές-πελάτες που εκδίδουν Lightweight Directory Access Protocol (LDAP) ΣΎΝΔΕΣΗΣ ζητά ως εξής:
      • Κανένα: Η αίτηση LDAP BIND εκδίδεται με τις επιλογές που καθορίζονται από τον καλούντα.
      • Διαπραγμάτευση υπογραφής: Εάν το Secure Sockets Layer/Transport Layer Security (SSL/TLS) δεν έχει ξεκινήσει, η αίτηση LDAP BIND ξεκινά με επιλογής, ορίστε τις επιλογές που καθορίζονται από τον καλούντα επιπλέον υπογραφής δεδομένων LDAP. Εάν το SSL/TLS έχει ξεκινήσει, η αίτηση LDAP BIND ξεκινά με τις επιλογές που καθορίζονται από τον καλούντα.
      • Απαίτηση υπογραφής: αυτό είναι το ίδιο με Διαπραγμάτευση υπογραφής. Ωστόσο, εάν ο διακομιστής LDAP ενδιάμεση απόκριση saslBindInProgress δεν υποδηλώνει ότι απαιτείται υπογραφή κυκλοφορίας LDAP, ο καλών ενημερώνεται ότι η αίτηση εντολής LDAP BIND απέτυχε.
    2. Επικίνδυνες ρυθμίσεις παραμέτρων

      Ενεργοποίηση του Ασφάλεια δικτύου: απαιτήσεις υπογραφής πελάτη LDAP ρύθμιση είναι μια ρύθμιση παραμέτρων επιβλαβές. Εάν ρυθμίσετε το διακομιστή ώστε να απαιτεί υπογραφές LDAP, πρέπει επίσης να ρυθμίσετε τις παραμέτρους υπογραφής LDAP στον υπολογιστή-πελάτη. Εάν δεν ρυθμίσετε τον υπολογιστή-πελάτη ώστε να χρησιμοποιεί υπογραφές LDAP θα αποτραπεί η επικοινωνία με το διακομιστή. Αυτό έχει ως αποτέλεσμα τον έλεγχο ταυτότητας χρήστη, πολιτικής ομάδας ρυθμίσεις, δέσμες ενεργειών σύνδεσης και άλλες δυνατότητες να αποτύχει.
    3. Λόγοι για να τροποποιήσετε αυτή τη ρύθμιση

      Η ανυπόγραφη κυκλοφορία δικτύου είναι ευάλωτη σε επιθέσεις στη μέση, όπου ένας εισβολέας αποκτά πακέτα μεταξύ του υπολογιστή-πελάτη και των διακομιστών, τροποποιεί τους και, στη συνέχεια, τα προωθεί στο διακομιστή. Όταν συμβεί αυτό σε ένα διακομιστή LDAP, ένας εισβολέας θα μπορούσε να προκαλέσει ένα διακομιστή να αποκρίνεται με βάση εσφαλμένα ερωτήματα από τον υπολογιστή-πελάτη LDAP. Μπορείτε να μειώσετε αυτόν τον κίνδυνο σε ένα εταιρικό δίκτυο, εφαρμόζοντας ισχυρά φυσικά μέτρα ασφαλείας για την προστασία της υποδομής του δικτύου. Επιπλέον, μπορείτε να αποτρέψετε επιθέσεις στο μέσο κάθε είδους όταν απαιτούνται ψηφιακές υπογραφές σε όλα τα πακέτα δικτύου μέσω κεφαλίδων ελέγχου ταυτότητας IPSec.
    4. Συμβολικό όνομα:

      LDAPClientIntegrity
    5. Διαδρομή μητρώου:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
  12. Αρχείο καταγραφής συμβάντων: Μέγιστο μέγεθος αρχείου καταγραφής ασφαλείας
    1. Φόντο

      Το αρχείο καταγραφής συμβάντων: μέγιστο μέγεθος αρχείου καταγραφής ασφαλείας η ρύθμιση ασφαλείας καθορίζει το μέγιστο μέγεθος του αρχείου καταγραφής συμβάντων ασφαλείας. Αυτό το αρχείο καταγραφής έχει μέγιστο μέγεθος 4 GB. Για να εντοπίσετε αυτήν τη ρύθμιση, αναπτύξτε το στοιχείο
      Ρυθμίσεις των Windows, και στη συνέχεια, αναπτύξτε το στοιχείο Ρυθμίσεις ασφαλείας.
    2. Επικίνδυνες ρυθμίσεις παραμέτρων

      Τα παρακάτω είναι επιβλαβείς ρύθμισης παραμέτρων:
      • Ο περιορισμός του μεγέθους του αρχείου καταγραφής ασφαλείας και η μεθοδος διατήρησης του αρχείου καταγραφής ασφαλείας όταν το ελέγχου: τερματισμός του συτήματος Εάν δεν είναι δυνατή η καταχώρηση των ελέγχων ασφαλείας η ρύθμιση είναι ενεργοποιημένη. Δείτε το "ελέγχου: τερματισμός του συτήματος Εάν δεν είναι δυνατή η καταχώρηση των ελέγχων ασφαλείας" αυτού του άρθρου για περισσότερες λεπτομέρειες.
      • Ο περιορισμός του μεγέθους του αρχείου καταγραφής ασφαλείας, έτσι ώστε να γίνεται αντικατάσταση των συμβάντων ασφαλείας που ενδιαφέρουν.
    3. Λόγοι για να αυξήσετε αυτήν τη ρύθμιση

      Ανάγκες ασφαλείας ενδέχεται να υπαγορεύουν την αύξηση του μεγέθους του αρχείου καταγραφής ασφαλείας, για το χειρισμό πρόσθετων λεπτομερειών καταγραφής ασφαλείας ή τη διατήρηση αρχείων καταγραφής ασφαλείας για μεγαλύτερο χρονικό διάστημα.
    4. Λόγοι για τη μείωση αυτή η ρύθμιση

      Αρχεία καταγραφής της προβολής συμβάντων είναι αντιστοιχισμένα αρχεία μνήμης. Το μέγιστο μέγεθος ενός αρχείου καταγραφής συμβάντων περιορίζεται από την ποσότητα της φυσικής μνήμης του τοπικού υπολογιστή και από την εικονική μνήμη που είναι διαθέσιμη για τη διαδικασία καταγραφής συμβάντων. Αύξηση του μεγέθους του αρχείου καταγραφής πέρα από την ποσότητα εικονικής μνήμης που είναι διαθέσιμη στο πρόγραμμα προβολής συμβάντων δεν αυξάνει τον αριθμό των καταχωρήσεων αρχείου καταγραφής που διατηρούνται.
    5. Παραδείγματα προβλημάτων συμβατότητας

      Των Windows 2000: Οι υπολογιστές που εκτελούν εκδόσεις των Windows 2000 που είναι παλαιότερες από το Service Pack 4 (SP4) ενδέχεται να σταματήσει να καταγράφει συμβάντα στο αρχείο καταγραφής συμβάντων προτού φθάσει στο μέγεθος που έχει καθοριστεί στο μέγιστο μέγεθος αρχείου καταγραφής ρύθμιση στο πρόγραμμα προβολής συμβάντων, εάν είναι ενεργοποιημένη η επιλογή χωρίς αντικατάσταση των συμβάντων (μη αυτόματος καθαρισμός του αρχείου καταγραφής) .


      Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

      312571 το αρχείο καταγραφής συμβάντων σταματά να καταγράφει συμβάντα προτού φθάσει το μέγιστο μέγεθος αρχείου καταγραφής

  13. Αρχείο καταγραφής συμβάντων: Διατήρηση αρχείου καταγραφής ασφαλείας
    1. Φόντο

      Το αρχείο καταγραφής συμβάντων: διατήρηση αρχείου καταγραφής ασφαλείας η ρύθμιση ασφαλείας καθορίζει τη μέθοδο "αναδίπλωσης" για το αρχείο καταγραφής ασφαλείας. Για να εντοπίσετε αυτήν τη ρύθμιση, αναπτύξτε τις Ρυθμίσεις των Windowsκαι, στη συνέχεια, αναπτύξτε το στοιχείο Ρυθμίσεις ασφαλείας.
    2. Επικίνδυνες ρυθμίσεις παραμέτρων

      Τα παρακάτω είναι επιβλαβείς ρύθμισης παραμέτρων:
      • Αποτυχία διατήρησης όλων των καταγεγραμμένων συμβάντων ασφαλείας πριν από την αντικατάστασή τους
      • Ρύθμιση παραμέτρων το μέγιστο μέγεθος αρχείου καταγραφής ασφαλείας ρύθμιση πολύ μικρό ώστε να γίνεται αντικατάσταση των συμβάντων ασφαλείας
      • Ο περιορισμός της ασφαλείας καταγραφής μέγεθος και μέθοδος διατήρησης του ελέγχου: τερματισμός του συτήματος Εάν δεν είναι δυνατή η καταχώρηση των ελέγχων ασφαλείας η ρύθμιση ασφαλείας είναι ενεργοποιημένη
    3. Λόγοι για να ενεργοποιήσετε αυτήν τη ρύθμιση

      Ενεργοποιήσετε αυτήν τη ρύθμιση μόνο εάν επιλέξετε τη μέθοδο διατήρησης Αντικατάσταση των συμβάντων κατά ημέρες . Εάν χρησιμοποιείτε ένα σύστημα συσχετισμού συμβάντων που ανιχνεύει συμβάντα, βεβαιωθείτε ότι ο αριθμός των ημερών είναι τουλάχιστον τρεις φορές στο τριπλάσιο της συχνότητας. Κάνετε αυτό για να επιτρέψετε τη κύκλους ανίχνευσης που απέτυχαν.
  14. Πρόσβαση δικτύου: να επιτρέψετε σε όλους τους χρήστες δικαιώματα ισχύουν για ανώνυμους χρήστες
    1. Φόντο

      Από προεπιλογή, το πρόσβαση δικτύου: Αφήστε όλους τα δικαιώματα ισχύουν για ανώνυμους χρήστες ρύθμιση που Δεν ορίζεται στον Windows Server 2003. Από προεπιλογή, τα Windows Server 2003 δεν περιλαμβάνει το διακριτικό ανώνυμη πρόσβαση σε Everyone ομάδα.
    2. Παράδειγμα προβλημάτων συμβατότητας

      Η ακόλουθη τιμή του
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
      [REG_DWORD] = 0x0 αλλαγές η δημιουργία αξιοπιστίας μεταξύ του Windows Server 2003 και των Windows NT 4.0, όταν στον τομέα του Windows Server 2003 είναι λογαριασμός τομέα και στον τομέα των Windows NT 4.0 είναι ο τομέας πόρων. Αυτό σημαίνει ότι ο τομέας λογαριασμών θεωρείται αξιόπιστος στα Windows NT 4.0 και ο τομέας πόρων είναι αξιόπιστος στα πλευρά του Windows Server 2003. Αυτή η συμπεριφορά παρουσιάζεται επειδή η διαδικασία εκκίνησης της σχέσης αξιοπιστίας, μετά την αρχική ανώνυμη σύνδεση είναι η ACL θα με τον κώδικα που περιλαμβάνει το SID Anonymous στα Windows NT 4.0 Everyone.
    3. Λόγοι για να τροποποιήσετε αυτή τη ρύθμιση

      Η τιμή πρέπει να οριστεί σε 0x1 ή να οριστεί χρησιμοποιώντας ένα GPO OU του ελεγκτή τομέα για να: πρόσβαση δικτύου: Αφήστε όλους τα δικαιώματα ισχύουν για ανώνυμους χρήστες - δυνατότητα για να γίνει δυνατή η δημιουργίες αξιοπιστίας.

      Σημείωση Πιο άλλες ρυθμίσεις ασφαλείας αυξάνεται στην τιμή όχι σε 0x0 στην πιο ασφαλή τους κατάσταση. Μια πιο ασφαλής πρακτική θα ήταν η αλλαγή του μητρώου του εξομοιωτή πρωτεύοντα ελεγκτή τομέα αντί σε όλους τους ελεγκτές τομέα. Εάν το ρόλο εξομοιωτή ελεγκτή πρωτεύοντος τομέα μετακινηθεί για οποιονδήποτε λόγο, το μητρώο πρέπει να ενημερωθεί στο νέο διακομιστή.

      Όταν οριστεί αυτή η τιμή απαιτείται επανεκκίνηση.
    4. Διαδρομή μητρώου
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
  15. Τον έλεγχο ταυτότητας NTLMv2

    1. Ασφάλεια περιόδου λειτουργίας

      Ασφάλεια περιόδου λειτουργίας καθορίζει τα ελάχιστα πρότυπα ασφαλείας για περιόδους λειτουργίας υπολογιστή-πελάτη και διακομιστή. Είναι καλή ιδέα να επιβεβαιώσετε τις ακόλουθες ρυθμίσεις πολιτικής ασφαλείας συμπληρωματικού προγράμματος Microsoft Management Console Group Policy Editor:
      • Ασφαλείας\Τείχος Windows\Ρυθμίσεις ασφαλείας\Τοπικές Πολιτικές\επιλογές ασφαλείας
      • Ασφάλεια δικτύου: Ελάχιστη ασφάλεια περιόδου για το SSP του NTLM με βάση (συμπεριλαμβανομένου του ασφαλούς RPC) διακομιστές
      • Ασφάλεια δικτύου: Ελάχιστη ασφάλεια περιόδου για το SSP του NTLM με βάση (συμπεριλαμβανομένου του ασφαλούς RPC) υπολογιστές-πελάτες
      Οι επιλογές για αυτές τις ρυθμίσεις είναι οι εξής:
      • Απαιτείται ακεραιότητα μηνύματος
      • Απαίτηση για εμπιστευτικότητα μηνυμάτων
      • Απαιτούν NTLM έκδοση 2 ασφάλεια περιόδου λειτουργίας
      • Απαιτείται κρυπτογράφηση 128-bit
      Η προεπιλεγμένη ρύθμιση πριν από τα Windows 7 είναι χωρίς απαιτήσεις. Ξεκινώντας με τα Windows 7, η προεπιλογή άλλαξε κρυπτογράφησης απαιτεί 128-bit για βελτιωμένη ασφάλεια. Με αυτήν την προεπιλογή, συσκευές παλαιού τύπου που δεν υποστηρίζουν κρυπτογράφηση 128-bit θα είναι δυνατή η σύνδεση.

      Αυτές οι πολιτικές καθορίζουν τις ελάχιστες προδιαγραφές ασφαλείας μιας περιόδου επικοινωνίας εφαρμογής-με-εφαρμογή σε ένα διακομιστή για έναν υπολογιστή-πελάτη.

      Σημειώστε ότι παρόλο που περιγράφεται ως έγκυρες ρυθμίσεις, τις σημαίες για να απαιτείται ακεραιότητα μηνύματος και εμπιστευτικότητα δεν χρησιμοποιούνται όταν καθορίζεται η ασφάλεια περιόδου λειτουργίας NTLM.

      Από παλιά, τα Windows NT υποστηρίζουν δύο μεταβλητές ελέγχου ταυτότητας πρόκλησης/απόκρισης για συνδέσεις δικτύου:
      • Πρόκληση/απόκριση LM
      • NTLM έκδοση 1 πρόκληση/απόκριση
      LM επιτρέπει τη διαλειτουργικότητα με την εγκατεστημένη βάση των υπολογιστών-πελατών και διακομιστών. NTLM παρέχει βελτιωμένη ασφάλεια για συνδέσεις μεταξύ υπολογιστών-πελατών και διακομιστών.

      Τα αντίστοιχα κλειδιά μητρώου είναι οι εξής:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"
    2. Επικίνδυνες ρυθμίσεις παραμέτρων

      Αυτή η ρύθμιση ελέγχει τον τρόπο χειρισμού των περιόδων λειτουργίας δικτύου διασφαλίζονται μέσω NTLM. Αυτό επηρεάζει περίοδοι λειτουργίας που βασίζονται σε RPC με έλεγχο ταυτότητας με το πρόγραμμα NTLM, για παράδειγμα. Υπάρχουν οι εξής κίνδυνοι:
      • Χρήση παλαιότερων μεθόδων ελέγχου ταυτότητας από το NTLMv2 διευκολύνει την επικοινωνία σε επιθέσεις λόγω απλούστερη κλειδώματος μεθόδων που χρησιμοποιήθηκαν.
      • Χρήση κλειδιών κρυπτογράφησης που είναι μικρότερη από 128-bit επιτρέπει σε στους εισβολείς να διασπάσετε επικοινωνία χρησιμοποιώντας ισχύει στις περιπτώσεις βίαιων επιθέσεων.

Ο συγχρονισμός ώρας

Απέτυχε ο συγχρονισμός ώρας. Ο χρόνος είναι απενεργοποιημένος από περισσότερο από 30 λεπτά σε έναν υπολογιστή που επηρεάζεται. Βεβαιωθείτε ότι το ρολόι του υπολογιστή-πελάτη είναι συγχρονισμένος με το ρολόι του ελεγκτή τομέα.

Λύση για υπογραφή SMB

Κάντε κλικ εδώ για πληροφορίες σχετικά με τον εναλλακτικό τρόπο αντιμετώπισης ζητημάτων με την υπογραφή SMB
Σας συνιστούμε να εγκαταστήσετε το Service Pack 6a (SP6a) σε υπολογιστές-πελάτες των Windows NT 4.0 που συνεργάζονται σε έναν τομέα που βασίζεται σε Windows Server 2003. Οι υπολογιστές-πελάτες που βασίζονται στα Windows 98 Δεύτερη έκδοση, οι υπολογιστές-πελάτες που βασίζονται στα Windows 98 και υπολογιστές-πελάτες με Windows 95 πρέπει να εκτελέσετε το πρόγραμμα-πελάτης υπηρεσιών καταλόγου για την εκτέλεση NTLMv2. Εάν οι υπολογιστές-πελάτες που βασίζονται στα Windows NT 4.0 δεν έχουν εγκατεστημένο το Windows NT 4.0 SP6 ή αν βασίζεται σε Windows 95 υπολογιστές-πελάτες, οι υπολογιστές-πελάτες που βασίζονται στα Windows 98 και Windows 98SE υπολογιστές-πελάτες δεν έχουν εγκατασταθεί, το πρόγραμμα-πελάτης της υπηρεσίες καταλόγου απενεργοποιήστε την SMB είσοδος στην πολιτική του προεπιλεγμένου ελεγκτή τομέα σε OU του ελεγκτή τομέα και, στη συνέχεια, να συνδέσετε αυτήν την πολιτική με όλες τις οργανικές μονάδες που φιλοξενούν ελεγκτές τομέα.

Τον κατάλογο υπηρεσιών προγράμματος-πελάτη για Windows 98 Δεύτερη έκδοση, Windows 98 και Windows 95 θα εκτελέσει την υπογραφή SMB με διακομιστές Windows 2003, υπό τον έλεγχο ταυτότητας NTLM, αλλά όχι κάτω από τον έλεγχο ταυτότητας NTLMv2. Επιπλέον, οι διακομιστές των Windows 2000 δεν θα ανταποκριθεί σε αιτήσεις υπογραφής SMB από αυτά τα προγράμματα-πελάτες.

Αν και δεν το συνιστούμε, μπορείτε να αποτρέψετε την υπογραφή SMB από την υποχρέωση σε όλους τους ελεγκτές τομέα που εκτελούν Windows Server 2003 σε έναν τομέα. Για να ρυθμίσετε τις παραμέτρους αυτής της ρύθμισης ασφαλείας, ακολουθήστε τα εξής βήματα:
  1. Ανοίξτε την πολιτική του προεπιλεγμένου ελεγκτή τομέα.
  2. Ανοίξτε το φάκελο του Υπολογιστή\Ρυθμίσεις των Windows\Ρυθμίσεις ασφαλείας\Τοπικές Πολιτικές\επιλογές ασφαλείας .
  3. Εντοπίστε και, στη συνέχεια, κάντε κλικ στο κουμπί του διακομιστής δικτύου Microsoft: ψηφιακή υπογραφή κατά την επικοινωνία (πάντα) τη ρύθμιση πολιτικής, και στη συνέχεια κάντε κλικ στην επιλογή απενεργοποιημένη.
Σημαντικό Αυτή η ενότητα, μέθοδος ή εργασία περιέχει βήματα που σας καθοδηγούν να τροποποιήσετε το μητρώο. Ωστόσο, ενδέχεται να προκύψουν σοβαρά προβλήματα εάν δεν τροποποιήσετε σωστά το μητρώο. Επομένως, βεβαιωθείτε ότι ακολουθείτε προσεκτικά αυτά τα βήματα. Για επιπλέον προστασία, δημιουργήστε αντίγραφα ασφαλείας του μητρώου πριν να το τροποποιήσετε. Στη συνέχεια, μπορείτε να επαναφέρετε το μητρώο εάν προκύψει κάποιο ζήτημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
322756 Τρόπος δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου στα Windows
Εναλλακτικά, απενεργοποιήσετε την υπογραφή SMB στο διακομιστή, τροποποιώντας το μητρώο. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
  1. Κάντε κλικ στο κουμπί Έναρξη, επιλέξτε Εκτέλεση, πληκτρολογήστε regedit και, στη συνέχεια, κάντε κλικ στο κουμπί OK.
  2. Εντοπίστε και, στη συνέχεια, κάντε κλικ στο ακόλουθο δευτερεύον κλειδί:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters
  3. Κάντε κλικ στην καταχώρηση του enablesecuritysignature .
  4. Στο μενού Επεξεργασία, κάντε κλικ στο κουμπί Τροποποίηση.
  5. Στο πλαίσιο " δεδομένα τιμής ", πληκτρολογήστε 0και, στη συνέχεια, κάντε κλικ στο κουμπί OK.
  6. Κλείστε τον Επεξεργαστή μητρώου.
  7. Κάντε επανεκκίνηση του υπολογιστή, ή διακόψτε και, στη συνέχεια, ξεκινήστε πάλι την υπηρεσία διακομιστή. Για να γίνει αυτό, πληκτρολογήστε τις ακόλουθες εντολές σε μια γραμμή εντολών και, στη συνέχεια, πιέστε το πλήκτρο Enter αφού πληκτρολογήσετε κάθε εντολή:
    net stop server
    net start server
Σημείωση Το αντίστοιχο κλειδί του υπολογιστή-πελάτη είναι στο ακόλουθο δευτερεύον κλειδί μητρώου:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters
Η ακόλουθη λίστα παραθέτει τους κωδικούς σφάλματος μεταφρασμένο κωδικών κατάστασης και τα μηνύματα λάθους αυτολεξεί που αναφέρονται παραπάνω:
Σφάλμα 5
ERROR_ACCESS_DENIED

Δεν επιτρέπεται η πρόσβαση.
1326 Παρουσιάστηκε το σφάλμα

ERROR_LOGON_FAILURE

Αποτυχία σύνδεσης: Άγνωστο όνομα χρήστη ή εσφαλμένος κωδικός πρόσβασης.
Σφάλμα 1788

ERROR_TRUSTED_DOMAIN_FAILURE

Η σχέση αξιοπιστίας μεταξύ του πρωτεύοντος τομέα και του αξιόπιστου τομέα απέτυχε.
Σφάλμα 1789

ERROR_TRUSTED_RELATIONSHIP_FAILURE

Η σχέση εμπιστοσύνης μεταξύ αυτού του σταθμού εργασίας και του αξιόπιστου τομέα απέτυχε.
Για περισσότερες πληροφορίες, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft:

324802 Τρόπος ρύθμισης των παραμέτρων πολιτικών ομάδας για να ορίσετε την ασφάλεια για τις υπηρεσίες συστήματος στον Windows Server 2003

306771 "Δεν επιτρέπεται η πρόσβαση" μήνυμα λάθους μετά τη ρύθμιση παραμέτρων ενός συμπλέγματος του Windows Server 2003

101747 Τρόπος εγκατάστασης Microsoft ελέγχου ταυτότητας σε έναν Macintosh

161372 Τρόπος ενεργοποίησης της υπογραφής SMB στα Windows NT

236414 δεν είναι δυνατή η χρήση κοινόχρηστων στοιχείων LMCompatibilityLevel έχει οριστεί μόνο για έλεγχο ταυτότητας NTLM 2

241338 προγράμματος-πελάτη των Windows NT LAN Manager έκδοση 3 με την πρώτη σύνδεση εμποδίζει τη δραστηριότητα επόμενης σύνδεσης

262890 δεν είναι δυνατή η απόκτηση σύνδεσης μονάδας δίσκου κεντρικού καταλόγου σε μεικτό περιβάλλον

308580 αντιστοιχίσεις κεντρικού φακέλου σε διακομιστές ενδέχεται να μην λειτουργούν κατά τη σύνδεση

285901 απομακρυσμένης πρόσβασης, VPN και υπηρεσιών RIS υπολογιστές-πελάτες δεν είναι δυνατό να δημιουργήσουν περιόδους λειτουργίας με ένα διακομιστή που είναι ρυθμισμένοι για να δέχονται έλεγχο ταυτότητας μόνο NTLM έκδοσης 2

816585 Τρόπος εφαρμογής προκαθορισμένων προτύπων ασφαλείας στα Windows Server 2003

820281 , πρέπει να δώσετε πιστοποιήσεις λογαριασμού των Windows όταν συνδέεστε στον Exchange Server 2003 χρησιμοποιώντας το RPC του Outlook 2003 μέσω HTTP δυνατότητα

Ιδιότητες

Αναγνωριστικό άρθρου: 823659 - Τελευταία αναθεώρηση: 17 Ιαν 2017 - Αναθεώρηση: 1

Σχόλια