Ζητήματα προγράμματος-πελάτη, υπηρεσίας και προγράμματος ενδέχεται να προκύψουν, αν αλλάξετε τις ρυθμίσεις ασφαλείας και τις αντιστοιχίσεις δικαιωμάτων χρήστη

Windows XP

Για να αυξήσετε την επίγνωση των ρυθμίσεων ασφαλείας που έχουν ρυθμιστεί εσφαλμένα, χρησιμοποιήστε το εργαλείο επεξεργασίας αντικειμένων Πολιτική ομάδας για να αλλάξετε τις ρυθμίσεις ασφαλείας. Όταν χρησιμοποιείτε Πολιτική ομάδας Object Editor, οι αντιστοιχίσεις δικαιωμάτων χρήστη βελτιώνονται στα ακόλουθα λειτουργικά συστήματα:

• Windows XP Professional Service Pack 2 (SP2)

• Windows Server 2003 Service Pack 1 (SP1)

Η βελτιωμένη δυνατότητα είναι ένα παράθυρο διαλόγου που περιέχει μια σύνδεση προς αυτό το άρθρο. Το παράθυρο διαλόγου εμφανίζεται όταν αλλάζετε μια ρύθμιση ασφαλείας ή μια εκχώρηση δικαιωμάτων χρήστη σε μια ρύθμιση που προσφέρει λιγότερη συμβατότητα και είναι πιο περιοριστική. Εάν αλλάξετε απευθείας την ίδια ρύθμιση ασφαλείας ή την εκχώρηση δικαιωμάτων χρήστη χρησιμοποιώντας το μητρώο ή χρησιμοποιώντας πρότυπα ασφαλείας, το εφέ είναι το ίδιο με την αλλαγή της ρύθμισης στο Πολιτική ομάδας Πρόγραμμα επεξεργασίας αντικειμένων. Ωστόσο, δεν εμφανίζεται το παράθυρο διαλόγου που περιέχει τη σύνδεση προς αυτό το άρθρο.

Αυτό το άρθρο περιέχει παραδείγματα προγραμμάτων-πελατών, προγραμμάτων και λειτουργιών που επηρεάζονται από συγκεκριμένες ρυθμίσεις ασφαλείας ή εκχωρήσεις δικαιωμάτων χρήστη. Ωστόσο, τα παραδείγματα δεν είναι έγκυρα για όλα τα λειτουργικά συστήματα της Microsoft, για όλα τα λειτουργικά συστήματα τρίτων κατασκευαστών ή για όλες τις εκδόσεις προγραμμάτων που επηρεάζονται. Δεν περιλαμβάνονται όλες οι ρυθμίσεις ασφαλείας και οι αντιστοιχίσεις δικαιωμάτων χρήστη σε αυτό το άρθρο.

Συνιστάται να επικυρώσετε τη συμβατότητα όλων των αλλαγών ρύθμισης παραμέτρων που σχετίζονται με την ασφάλεια σε ένα δοκιμαστικό δάσος πριν τις εισαγάγετε σε ένα περιβάλλον παραγωγής. Το δοκιμαστικό δάσος πρέπει να αντικατοπτρίζει το δάσος παραγωγής με τους εξής τρόπους:

• Εκδόσεις λειτουργικού συστήματος υπολογιστή-πελάτη και διακομιστή, προγράμματα-πελάτες και διακομιστές, εκδόσεις service pack, άμεσες επιδιορθώσεις, αλλαγές σχήματος, ομάδες ασφαλείας, ιδιότητες μέλους ομάδας, δικαιώματα για αντικείμενα στο σύστημα αρχείων, κοινόχρηστους φακέλους, μητρώο, υπηρεσία καταλόγου Active Directory, τοπικές ρυθμίσεις και ρυθμίσεις Πολιτική ομάδας και τύπος πλήθους αντικειμένων και θέση

• Εργασίες διαχείρισης που εκτελούνται, εργαλεία διαχείρισης που χρησιμοποιούνται και λειτουργικά συστήματα που χρησιμοποιούνται για την εκτέλεση εργασιών διαχείρισης

• Λειτουργίες που εκτελούνται, όπως οι εξής:

  • Έλεγχος ταυτότητας υπολογιστή και χρήστη

  • Επαναφορά κωδικού πρόσβασης από χρήστες, υπολογιστές και από διαχειριστές

  • Περιήγηση

  • Ορισμός δικαιωμάτων για το σύστημα αρχείων, για κοινόχρηστους φακέλους, για το μητρώο και για πόρους της υπηρεσίας καταλόγου Active Directory με χρήση του προγράμματος επεξεργασίας ACL σε όλα τα λειτουργικά συστήματα προγράμματος-πελάτη σε όλους τους τομείς λογαριασμών ή πόρων από όλα τα λειτουργικά συστήματα προγράμματος-πελάτη από όλους τους τομείς λογαριασμών ή πόρων

  • Εκτύπωση από διαχειριστικούς και μη διαχειριστικούς λογαριασμούς

Windows Server 2003 SP1

Δικαιώματα χρήστη

Η παρακάτω λίστα περιγράφει ένα δικαίωμα χρήστη, προσδιορίζει τις ρυθμίσεις παραμέτρων που μπορεί να προκαλέσουν προβλήματα, περιγράφει γιατί πρέπει να εφαρμόσετε το δικαίωμα χρήστη και γιατί μπορεί να θέλετε να καταργήσετε το δικαίωμα χρήστη και παρέχει παραδείγματα ζητημάτων συμβατότητας που ενδέχεται να προκύψουν κατά τη ρύθμιση των παραμέτρων του δικαιώματος χρήστη.

1. Πρόσβαση σε αυτόν τον υπολογιστή από το δίκτυο

   1. Φόντο
      
      Η δυνατότητα αλληλεπίδρασης με απομακρυσμένους υπολογιστές που βασίζονται στα Windows απαιτεί την Πρόσβαση σε αυτόν τον υπολογιστή από το δικαίωμα χρήστη δικτύου. Παραδείγματα τέτοιων λειτουργιών δικτύου είναι τα εξής:

      • Αναπαραγωγή της υπηρεσίας καταλόγου Active Directory μεταξύ ελεγκτών τομέα σε έναν κοινό τομέα ή δάσος

      • Αιτήσεις ελέγχου ταυτότητας σε ελεγκτές τομέα από χρήστες και υπολογιστές

      • Πρόσβαση σε κοινόχρηστους φακέλους, εκτυπωτές και άλλες υπηρεσίες συστήματος που βρίσκονται σε απομακρυσμένους υπολογιστές στο δίκτυο

      
      
      Οι χρήστες, οι υπολογιστές και οι λογαριασμοί υπηρεσίας αποκτούν ή χάνουν την Πρόσβαση σε αυτόν τον υπολογιστή από το δικαίωμα χρήστη δικτύου, με ρητή ή σιωπηρή προσθήκη ή κατάργηση από μια ομάδα ασφαλείας στην οποία έχει εκχωρηθεί δικαίωμα αυτού του χρήστη. Για παράδειγμα, ένας λογαριασμός χρήστη ή ένας λογαριασμός υπολογιστή μπορεί να προστεθεί ρητά σε μια προσαρμοσμένη ομάδα ασφαλείας ή σε μια ενσωματωμένη ομάδα ασφαλείας από ένα διαχειριστή ή μπορεί να προστεθεί σιωπηρά από το λειτουργικό σύστημα σε μια υπολογιστική ομάδα ασφαλείας, όπως Χρήστες τομέα, Χρήστες με έλεγχο ταυτότητας ή Ελεγκτές τομέα enterprise.
      
      Από προεπιλογή, οι λογαριασμοί χρηστών και οι λογαριασμοί υπολογιστή εκχωρούνται στην Access σε αυτόν τον υπολογιστή από το χρήστη δικτύου, απευθείας όταν υπολογίζονται ομάδες όπως όλοι ή, κατά προτίμηση, οι "Χρήστες με έλεγχο ταυτότητας" και, για τους ελεγκτές τομέα, η ομάδα "Ελεγκτές τομέα enterprise", ορίζονται στους προεπιλεγμένους ελεγκτές τομέα Πολιτική ομάδας object (GPO).

   2. Επικίνδυνες ρυθμίσεις παραμέτρων
      
      Ακολουθούν επιβλαβείς ρυθμίσεις παραμέτρων:

      • Κατάργηση της ομάδας ασφαλείας enterprise domain controllers από αυτό το δικαίωμα χρήστη

      • Κατάργηση της ομάδας "Χρήστες με έλεγχο ταυτότητας" ή μιας ρητής ομάδας που επιτρέπει στους χρήστες, τους υπολογιστές και τους λογαριασμούς υπηρεσίας το δικαίωμα του χρήστη να συνδέεται σε υπολογιστές μέσω δικτύου

      • Κατάργηση όλων των χρηστών και των υπολογιστών από αυτόν το χρήστη

   3. Λόγοι για να εκχωρήσετε σε αυτόν το χρήστη δικαίωμα

      • Η εκχώρηση στην Access αυτού του υπολογιστή από το χρήστη δικτύου του δικαιώματος στην ομάδα Enterprise Domain Controllers ικανοποιεί τις απαιτήσεις ελέγχου ταυτότητας που πρέπει να έχει η αναπαραγωγή της υπηρεσίας καταλόγου Active Directory για την αναπαραγωγή μεταξύ ελεγκτών τομέα στο ίδιο δάσος.

      • Αυτό το δικαίωμα χρήστη επιτρέπει στους χρήστες και τους υπολογιστές να έχουν πρόσβαση σε κοινόχρηστα αρχεία, εκτυπωτές και υπηρεσίες συστήματος, συμπεριλαμβανομένης της υπηρεσίας καταλόγου Active Directory.

      • Αυτό το δικαίωμα χρήστη απαιτείται για την πρόσβαση των χρηστών στην αλληλογραφία, χρησιμοποιώντας παλαιότερες εκδόσεις του Microsoft Outlook Web Access (OWA).

   4. Λόγοι κατάργησης αυτού του δικαιώματος χρήστη

      • Οι χρήστες που μπορούν να συνδέσουν τους υπολογιστές τους στο δίκτυο μπορούν να αποκτήσουν πρόσβαση σε πόρους απομακρυσμένων υπολογιστών για τους οποίους έχουν δικαιώματα. Για παράδειγμα, αυτό το δικαίωμα χρήστη απαιτείται για τη σύνδεση ενός χρήστη σε κοινόχρηστους εκτυπωτές και σε φακέλους. Εάν αυτό το δικαίωμα χρήστη εκχωρηθεί στην ομάδα Όλοι και εάν ορισμένοι κοινόχρηστοι φάκελοι έχουν δικαιώματα κοινής χρήσης και συστήματος αρχείων NTFS ρυθμισμένα έτσι ώστε η ίδια ομάδα να έχει πρόσβαση ανάγνωσης, ο καθένας μπορεί να προβάλει αρχεία σε αυτούς τους κοινόχρηστους φακέλους. Ωστόσο, αυτή είναι μια απίθανη κατάσταση για νέες εγκαταστάσεις του Windows Server 2003, επειδή το προεπιλεγμένο κοινόχρηστο στοιχείο και τα δικαιώματα NTFS στον Windows Server 2003 δεν περιλαμβάνουν την ομάδα "Όλοι". Για τα συστήματα που έχουν αναβαθμιστεί από τα Microsoft Windows NT 4.0 ή τα Windows 2000, αυτή η ευπάθεια μπορεί να έχει υψηλότερο επίπεδο κινδύνου, επειδή τα προεπιλεγμένα δικαιώματα κοινόχρηστου στοιχείου και συστήματος αρχείων για αυτά τα λειτουργικά συστήματα δεν είναι τόσο περιοριστικά όσο τα προεπιλεγμένα δικαιώματα στον Windows Server 2003.

      • Δεν υπάρχει έγκυρος λόγος για την κατάργηση της ομάδας Enterprise Domain Controllers από αυτό το δικαίωμα χρήστη.

      • Η ομάδα "Όλοι" γενικά καταργείται υπέρ της ομάδας "Εξουσιοδοτημένοι χρήστες". Εάν καταργηθεί η ομάδα "Όλοι", πρέπει να εκχωρηθεί δικαίωμα σε αυτόν το χρήστη στην ομάδα "Εξουσιοδοτημένοι χρήστες".

      • Οι τομείς Windows NT 4.0 που έχουν αναβαθμιστεί σε Windows 2000 δεν εκχωρούν ρητά στην Access αυτόν τον υπολογιστή από το χρήστη του δικτύου δικαίωμα στην ομάδα Όλοι, στην ομάδα Χρήστες με έλεγχο ταυτότητας ή στην ομάδα Ελεγκτές τομέα enterprise. Επομένως, όταν καταργείτε την ομάδα "Όλοι" από την πολιτική τομέα των Windows NT 4.0, η αναπαραγωγή της υπηρεσίας καταλόγου Active Directory θα αποτύχει με ένα μήνυμα σφάλματος "Δεν επιτρέπεται η πρόσβαση" μετά την αναβάθμιση στα Windows 2000. Winnt32.exe στον Windows Server 2003 αποφεύγει αυτήν την εσφαλμένη ρύθμιση παραμέτρων, εκχωρώντας στην ομάδα "Ελεγκτές τομέα enterprise" αυτόν το χρήστη απευθείας κατά την αναβάθμιση των πρωτευόντων ελεγκτών τομέα (PDCs) των Windows NT 4.0. Εκχωρήστε στην ομάδα Enterprise Domain Controllers αυτό το χρήστη σωστά εάν δεν υπάρχει στο πρόγραμμα επεξεργασίας αντικειμένων Πολιτική ομάδας.

   5. Παραδείγματα προβλημάτων συμβατότητας

      • Windows 2000 και Windows Server 2003: Η αναπαραγωγή των ακόλουθων διαμερισμάτων θα αποτύχει με σφάλματα "Δεν επιτρέπεται η πρόσβαση", όπως αναφέρονται από εργαλεία παρακολούθησης όπως το REPLMON και το REPADMIN ή τα συμβάντα αναπαραγωγής στο αρχείο καταγραφής συμβάντων.

        • Διαμέρισμα σχήματος υπηρεσίας καταλόγου Active Directory

        • Διαμέρισμα ρύθμισης παραμέτρων

        • Διαμέρισμα τομέα

        • Καθολικό διαμέρισμα καταλόγου

        • Διαμέρισμα εφαρμογής

      • Όλα τα λειτουργικά συστήματα δικτύου της Microsoft: Ο έλεγχος ταυτότητας λογαριασμού χρήστη από απομακρυσμένους υπολογιστές-πελάτες δικτύου θα αποτύχει, εκτός εάν ο χρήστης ή μια ομάδα ασφαλείας στην οποία ο χρήστης είναι μέλος έχει λάβει αυτό το δικαίωμα χρήστη.

      • Όλα τα λειτουργικά συστήματα δικτύου της Microsoft: Ο έλεγχος ταυτότητας λογαριασμού από προγράμματα-πελάτες απομακρυσμένου δικτύου θα αποτύχει, εκτός εάν ο λογαριασμός ή μια ομάδα ασφαλείας στην οποία είναι μέλος έχει εκχωρηθεί αυτό το δικαίωμα χρήστη. Αυτό το σενάριο ισχύει για λογαριασμούς χρηστών, λογαριασμούς υπολογιστή και λογαριασμούς υπηρεσίας.

      • Όλα τα λειτουργικά συστήματα δικτύου Της Microsoft: Η κατάργηση όλων των λογαριασμών από αυτό το δικαίωμα χρήστη θα αποτρέψει τη σύνδεση οποιουδήποτε λογαριασμού στον τομέα ή την πρόσβαση σε πόρους δικτύου. Εάν καταργούνται οι ομάδες που υπολογίζονται, όπως οι Ελεγκτές τομέα Enterprise, Everyone ή Authenticated Users, πρέπει να εκχωρήσετε ρητά σε αυτόν το χρήστη δικαίωμα σε λογαριασμούς ή σε ομάδες ασφαλείας στις οποίες ο λογαριασμός είναι μέλος για πρόσβαση σε απομακρυσμένους υπολογιστές μέσω του δικτύου. Αυτό το σενάριο ισχύει για όλους τους λογαριασμούς χρηστών, για όλους τους λογαριασμούς υπολογιστή και για όλους τους λογαριασμούς υπηρεσίας.

      • Όλα τα λειτουργικά συστήματα δικτύου της Microsoft: Ο τοπικός λογαριασμός διαχειριστή χρησιμοποιεί έναν "κενό" κωδικό πρόσβασης. Η συνδεσιμότητα δικτύου με κενούς κωδικούς πρόσβασης δεν επιτρέπεται για λογαριασμούς διαχειριστή σε περιβάλλον τομέα. Με αυτήν τη ρύθμιση παραμέτρων, μπορείτε να αναμένετε να λάβετε ένα μήνυμα σφάλματος "Δεν επιτρέπεται η πρόσβαση".

2. Να επιτρέπεται η σύνδεση τοπικά

   1. Φόντο
      
      Οι χρήστες που προσπαθούν να συνδεθούν στην κονσόλα ενός υπολογιστή που βασίζεται στα Windows (χρησιμοποιώντας τη συντόμευση πληκτρολογίου CTRL+ALT+DELETE) και οι λογαριασμοί που προσπαθούν να ξεκινήσουν μια υπηρεσία πρέπει να έχουν δικαιώματα τοπικής σύνδεσης στον υπολογιστή παροχής φιλοξενίας. Παραδείγματα τοπικών λειτουργιών σύνδεσης είναι οι διαχειριστές που συνδέονται στις κονσόλες των υπολογιστών-μελών ή οι ελεγκτές τομέα σε ολόκληρη την επιχείρηση και τους χρήστες τομέα που συνδέονται σε υπολογιστές-μέλη για να αποκτήσουν πρόσβαση στις επιφάνειες εργασίας τους χρησιμοποιώντας λογαριασμούς χωρίς δικαιώματα. Οι χρήστες που χρησιμοποιούν σύνδεση απομακρυσμένης επιφάνειας εργασίας ή υπηρεσίες τερματικού πρέπει να έχουν την επιλογή Να επιτρέπεται η σύνδεση τοπικού χρήστη απευθείας σε υπολογιστές προορισμού που εκτελούν Windows 2000 ή Windows XP, επειδή αυτές οι λειτουργίες σύνδεσης θεωρούνται τοπικές στον υπολογιστή φιλοξενίας. Οι χρήστες που συνδέονται σε ένα διακομιστή που έχει ενεργοποιημένο τον Terminal Server και δεν έχουν αυτό το δικαίωμα χρήστη εξακολουθούν να μπορούν να ξεκινήσουν μια απομακρυσμένη αλληλεπιδραστική περίοδο λειτουργίας στους τομείς του Windows Server 2003, εάν έχουν δικαίωμα χρήστη Να επιτρέπεται η σύνδεση μέσω των υπηρεσιών terminal services.

   2. Επικίνδυνες ρυθμίσεις παραμέτρων
      
      Ακολουθούν επιβλαβείς ρυθμίσεις παραμέτρων:

      • Κατάργηση ομάδων ασφαλείας διαχείρισης, συμπεριλαμβανομένων των τελεστών λογαριασμών, των τελεστών αντιγράφων ασφαλείας, των τελεστών εκτύπωσης ή των τελεστών διακομιστή και της ενσωματωμένης ομάδας διαχειριστών από την πολιτική του προεπιλεγμένου ελεγκτή τομέα.

      • Κατάργηση λογαριασμών υπηρεσίας που χρησιμοποιούνται από στοιχεία και από προγράμματα σε υπολογιστές-μέλη και σε ελεγκτές τομέα στον τομέα από την πολιτική του προεπιλεγμένου ελεγκτή τομέα.

      • Κατάργηση χρηστών ή ομάδων ασφαλείας που συνδέονται στην κονσόλα των υπολογιστών-μελών στον τομέα.

      • Κατάργηση λογαριασμών υπηρεσίας που ορίζονται στην τοπική βάση δεδομένων Διαχείρισης λογαριασμών ασφαλείας (SAM) των υπολογιστών-μελών ή των υπολογιστών της ομάδας εργασίας.

      • Κατάργηση μη ενσωματωμένων λογαριασμών διαχείρισης που πραγματοποιούν έλεγχο ταυτότητας μέσω των υπηρεσιών τερματικού που εκτελούνται σε έναν ελεγκτή τομέα.

      • Προσθήκη όλων των λογαριασμών χρηστών στον τομέα ρητά ή σιωπηρά μέσω της ομάδας "Όλοι" στο δικαίωμα τοπικής σύνδεσης "Απόρριψη σύνδεσης". Αυτή η ρύθμιση παραμέτρων θα εμποδίσει τους χρήστες να συνδεθούν σε οποιονδήποτε υπολογιστή-μέλος ή σε οποιονδήποτε ελεγκτή τομέα στον τομέα.

   3. Λόγοι για να εκχωρήσετε σε αυτόν το χρήστη δικαίωμα

      • Οι χρήστες πρέπει να έχουν το δικαίωμα Να επιτρέπεται η σύνδεση τοπικού χρήστη για να αποκτήσουν πρόσβαση στην κονσόλα ή στην επιφάνεια εργασίας ενός υπολογιστή ομάδας εργασίας, ενός υπολογιστή-μέλους ή ενός ελεγκτή τομέα.

      • Οι χρήστες πρέπει να έχουν αυτό το δικαίωμα σύνδεσης κατά τη διάρκεια μιας περιόδου λειτουργίας των υπηρεσιών terminal services που εκτελείται σε υπολογιστή-μέλος ή ελεγκτή τομέα που βασίζεται σε Windows 2000.

   4. Λόγοι κατάργησης αυτού του δικαιώματος χρήστη

      • Εάν δεν περιορίσετε την πρόσβαση κονσόλας σε νόμιμους λογαριασμούς χρηστών, μπορεί να πραγματοποιηθεί λήψη και εκτέλεση κακόβουλου κώδικα από μη εξουσιοδοτημένους χρήστες, για να αλλάξουν τα δικαιώματα χρήστη τους.

      • Κατάργηση του δικαιώματος "Να επιτρέπεται η σύνδεση στον τοπικό χρήστη" αποτρέπει μη εξουσιοδοτημένες συνδέσεις στις κονσόλες υπολογιστών, όπως ελεγκτές τομέα ή διακομιστές εφαρμογών.

      • Η κατάργηση αυτού του δικαιώματος σύνδεσης αποτρέπει τη σύνδεση λογαριασμών που δεν ανήκουν σε τομέα στην κονσόλα των υπολογιστών-μελών στον τομέα.

   5. Παραδείγματα προβλημάτων συμβατότητας

      • Διακομιστές τερματικού Windows 2000: Απαιτείται το δικαίωμα σύνδεσης τοπικού χρήστη για να συνδεθούν οι χρήστες στους διακομιστές τερματικού των Windows 2000.

      • Windows NT 4.0, Windows 2000, Windows XP ή Windows Server 2003: Πρέπει να εκχωρηθεί σε αυτόν το χρήστη δικαίωμα σύνδεσης στους λογαριασμούς χρηστών από την κονσόλα υπολογιστών που εκτελούν Windows NT 4.0, Windows 2000, Windows XP ή Windows Server 2003.

      • Windows NT 4.0 και νεότερες εκδόσεις: Σε υπολογιστές που εκτελούν Windows NT 4.0 και νεότερες εκδόσεις, εάν προσθέσετε το δικαίωμα Αποδοχή σύνδεσης τοπικού χρήστη, αλλά επίσης εκχωρήσετε ρητά ή έμμεσα στη σύνδεση "Να μην επιτρέπεται η σύνδεση τοπικά", οι λογαριασμοί δεν θα μπορούν να συνδεθούν στην κονσόλα των ελεγκτών τομέα.

3. Παράκαμψη ελέγχου μετακίνησης

   1. Φόντο
      
      Η παράκαμψη του ελέγχου διέλευσης από το δικαίωμα χρήστη επιτρέπει στο χρήστη να περιηγείται σε φακέλους στο σύστημα αρχείων NTFS ή στο μητρώο χωρίς να ελέγξει για το ειδικό δικαίωμα πρόσβασης του φακέλου Traverse. Η παράκαμψη του ελέγχου διέλευσης από το χρήστη προς τα δεξιά δεν επιτρέπει στο χρήστη να παραθέτει τα περιεχόμενα ενός φακέλου. Επιτρέπει στο χρήστη να διέρχεται μόνο από τους φακέλους του.

   2. Επικίνδυνες ρυθμίσεις παραμέτρων
      
      Ακολουθούν επιβλαβείς ρυθμίσεις παραμέτρων:

      • Κατάργηση μη διαχειριστικών λογαριασμών που συνδέονται σε υπολογιστές υπηρεσιών τερματικού που βασίζονται σε Windows 2000 ή σε υπολογιστές υπηρεσιών τερματικού που βασίζονται σε Windows Server 2003 και δεν έχουν δικαιώματα πρόσβασης σε αρχεία και φακέλους στο σύστημα αρχείων.

      • Κατάργηση της ομάδας "Όλοι" από τη λίστα των κύριων αρχής ασφαλείας που έχουν αυτόν το χρήστη σωστά από προεπιλογή. Τα λειτουργικά συστήματα των Windows, καθώς και πολλά προγράμματα, έχουν σχεδιαστεί με την προσδοκία ότι οποιοσδήποτε έχει νόμιμη πρόσβαση στον υπολογιστή θα έχει δικαίωμα παράκαμψης ελέγχου χρήστη. Επομένως, η κατάργηση της ομάδας "Όλοι" από τη λίστα των κύριων εταιριδίων ασφαλείας που έχουν αυτόν το χρήστη δικαίωμα από προεπιλογή θα μπορούσε να οδηγήσει σε αστάθεια του λειτουργικού συστήματος ή σε αποτυχία του προγράμματος. Είναι καλύτερα να αφήσετε αυτήν τη ρύθμιση στην προεπιλογή της.

   3. Λόγοι για να εκχωρήσετε σε αυτόν το χρήστη δικαίωμα
      
      Η προεπιλεγμένη ρύθμιση για το δικαίωμα παράκαμψης του ελέγχου διέλευσης χρήστη είναι να επιτρέπεται σε οποιονδήποτε να παρακάμπτει τον έλεγχο διέλευσης. Για έμπειρους διαχειριστές συστήματος Των Windows, αυτή είναι η αναμενόμενη συμπεριφορά και ρυθμίζουν ανάλογα τις παραμέτρους των λιστών ελέγχου πρόσβασης (SACLs) του συστήματος αρχείων. Το μόνο σενάριο όπου η προεπιλεγμένη ρύθμιση παραμέτρων μπορεί να οδηγήσει σε ατύχημα είναι εάν ο διαχειριστής που ρυθμίζει τα δικαιώματα δεν κατανοήσει τη συμπεριφορά και αναμένει ότι οι χρήστες που δεν μπορούν να αποκτήσουν πρόσβαση σε έναν γονικό φάκελο δεν θα μπορούν να αποκτήσουν πρόσβαση στα περιεχόμενα των θυγατρικών φακέλων.

   4. Λόγοι κατάργησης αυτού του δικαιώματος
      
      χρήστη Για να προσπαθήσετε να αποτρέψετε την πρόσβαση στα αρχεία ή τους φακέλους στο σύστημα αρχείων, οι οργανισμοί που ανησυχούν πολύ για την ασφάλεια μπορεί να μπουν στον πειρασμό να καταργήσουν την ομάδα "Όλοι" ή ακόμα και την ομάδα "Χρήστες", από τη λίστα των ομάδων που έχουν την παράκαμψη για τον έλεγχο του χρήστη προς τα δεξιά.

   5. Παραδείγματα προβλημάτων συμβατότητας

      • Windows 2000, Windows Server 2003: Αν το δικαίωμα παράκαμψης του ελέγχου διέλευσης χρήστη καταργηθεί ή έχει εσφαλμένες παραμέτρους σε υπολογιστές που εκτελούν Windows 2000 ή Windows Server 2003, Πολιτική ομάδας ρυθμίσεις στο φάκελο SYVOL δεν θα αναπαράγονται μεταξύ των ελεγκτών τομέα στον τομέα.

      • Windows 2000, Windows XP Professional, Windows Server 2003: Οι υπολογιστές που εκτελούν Windows 2000, Windows XP Professional ή Windows Server 2003 θα καταγράψουν συμβάντα 1000 και 1202 και δεν θα μπορούν να εφαρμόσουν πολιτική υπολογιστή και πολιτική χρήστη, όταν καταργηθούν τα απαιτούμενα δικαιώματα συστήματος αρχείων από το δέντρο SYSVOL, εάν καταργηθεί ή δεν έχει ρυθμιστεί σωστά το δικαίωμα χρήστη για τον έλεγχο διέλευσης παράκαμψης.
        
         

      • Windows 2000, Windows Server 2003: Σε υπολογιστές που εκτελούν Windows 2000 ή Windows Server 2003, η καρτέλα "Όριο " στην Εξερεύνηση των Windows εξαφανίζεται κατά την προβολή ιδιοτήτων σε έναν τόμο.

      • Windows 2000: Οι μη διαχειριστές που συνδέονται σε ένα διακομιστή τερματικού Windows 2000 ενδέχεται να λάβουν το ακόλουθο μήνυμα σφάλματος:

        Userinit.exe σφάλμα εφαρμογής. Η προετοιμασία της εφαρμογής απέτυχε 0xc0000142 κάντε κλικ στο κουμπί OK για να τερματίσετε την εφαρμογή.

      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Οι χρήστες των οποίων οι υπολογιστές εκτελούν Windows NT 4.0, Windows 2000, Windows XP ή Windows Server 2003 ενδέχεται να μην μπορούν να αποκτήσουν πρόσβαση σε κοινόχρηστους φακέλους ή αρχεία σε κοινόχρηστους φακέλους και ενδέχεται να λάβουν μηνύματα σφάλματος "Δεν επιτρέπεται η πρόσβαση", εάν δεν τους εκχωρηθεί η παράκαμψη ελέγχου δικαιωμάτων χρήστη.
        
        
         

      • Windows NT 4.0: Σε υπολογιστές με Windows NT 4.0, η κατάργηση της παράκαμψης διέλευσης από τα δεξιά του χρήστη θα προκαλέσει την απόθεση ροών αρχείων από ένα αντίγραφο αρχείου. Εάν καταργήσετε αυτό το χρήστη σωστά, όταν ένα αρχείο αντιγράφεται από έναν υπολογιστή-πελάτη Windows ή από ένα πρόγραμμα-πελάτη Macintosh σε έναν ελεγκτή τομέα Windows NT 4.0 που εκτελεί υπηρεσίες για Macintosh, η ροή του αρχείου προορισμού χάνεται και το αρχείο εμφανίζεται ως αρχείο μόνο για κείμενο.

      • Microsoft Windows 95, Microsoft Windows 98: Σε έναν υπολογιστή-πελάτη που εκτελεί Windows 95 ή Windows 98, η εντολή net use * /home θα αποτύχει με ένα μήνυμα σφάλματος "Δεν επιτρέπεται η πρόσβαση", εάν δεν εκχωρηθεί στην ομάδα "Εξουσιοδοτημένοι χρήστες" η εντολή Παράκαμψη μετακίνησης κατά τον έλεγχο χρήστη προς τα δεξιά.

      • Outlook Web Access: Οι μη διαχειριστές δεν θα μπορούν να συνδεθούν στο Microsoft Outlook Web Access και θα λάβουν το μήνυμα σφάλματος "Δεν επιτρέπεται η πρόσβαση", εάν δεν τους εκχωρηθεί το δικαίωμα ελέγχου διέλευσης παράκαμψης.

Ρυθμίσεις ασφαλείας

Η παρακάτω λίστα προσδιορίζει μια ρύθμιση ασφαλείας και η ένθετης λίστα παρέχει μια περιγραφή σχετικά με τη ρύθμιση ασφαλείας, προσδιορίζει τις ρυθμίσεις παραμέτρων που μπορεί να προκαλέσουν προβλήματα, περιγράφει τους λόγους για τους οποίους πρέπει να εφαρμόσετε τη ρύθμιση ασφαλείας και, στη συνέχεια, περιγράφει τους λόγους για τους οποίους μπορεί να θέλετε να καταργήσετε τη ρύθμιση ασφαλείας. Στη συνέχεια, η ένθετος λίστα παρέχει ένα συμβολικό όνομα για τη ρύθμιση ασφαλείας και τη διαδρομή μητρώου της ρύθμισης ασφαλείας. Τέλος, παρέχονται παραδείγματα ζητημάτων συμβατότητας που ενδέχεται να προκύψουν όταν έχει ρυθμιστεί η ρύθμιση ασφαλείας.

1. Έλεγχος: Άμεση διακοπή λειτουργίας συστήματος εάν δεν είναι δυνατή η καταγραφή ελέγχων ασφαλείας

   1. Φόντο

      • Η ρύθμιση Έλεγχος: Τερματισμός λειτουργίας συστήματος αμέσως εάν δεν είναι δυνατή η καταγραφή των ελέγχων ασφαλείας καθορίζει εάν το σύστημα τερματίζεται, εάν δεν μπορείτε να καταγράψετε συμβάντα ασφαλείας. Αυτή η ρύθμιση είναι απαραίτητη για την αξιολόγηση C2 του προγράμματος Αξιόπιστων κριτηρίων αξιολόγησης ασφάλειας υπολογιστή (TCSEC) και για τα κοινά κριτήρια αξιολόγησης ασφάλειας τεχνολογίας πληροφοριών για την αποτροπή συμβάντων με δυνατότητα ελέγχου, εάν το σύστημα ελέγχου δεν μπορεί να καταγράψει αυτά τα συμβάντα. Εάν το σύστημα ελέγχου αποτύχει, το σύστημα τερματίζεται και εμφανίζεται ένα μήνυμα σφάλματος Διακοπή.

      • Εάν ο υπολογιστής δεν μπορεί να καταγράψει συμβάντα στο αρχείο καταγραφής ασφαλείας, τα κρίσιμα αποδεικτικά στοιχεία ή οι σημαντικές πληροφορίες αντιμετώπισης προβλημάτων ενδέχεται να μην είναι διαθέσιμα για έλεγχο μετά από ένα περιστατικό ασφαλείας.

   2. Ρύθμιση παραμέτρων επικίνδυνων κινδύνων
      
      Η ακόλουθη είναι μια επιβλαβής ρύθμιση παραμέτρων: Η ρύθμιση Έλεγχος: Τερματισμός λειτουργίας συστήματος αμέσως εάν δεν είναι δυνατή η καταγραφή των ελέγχων ασφαλείας είναι ενεργοποιημένη και το μέγεθος του αρχείου καταγραφής συμβάντων ασφαλείας περιορίζεται από την επιλογή Να μην αντιγραφούν τα συμβάντα (μη αυτόματο αρχείο καταγραφής), η επιλογή Αντικατάσταση συμβάντων ανάλογα με τις ανάγκες ή η επιλογή Αντικατάσταση συμβάντων παλαιότερων από τις αριθμητικές ημέρες στο πρόγραμμα προβολής συμβάντων. Ανατρέξτε στην ενότητα "Παραδείγματα προβλημάτων συμβατότητας" για πληροφορίες σχετικά με συγκεκριμένους κινδύνους για υπολογιστές που εκτελούν την αρχική έκδοση των Windows 2000, Windows 2000 Service Pack 1 (SP1), Windows 2000 SP2 ή Windows 2000 SP3.

   3. Λόγοι ενεργοποίησης αυτής της ρύθμισης
      
      Εάν ο υπολογιστής δεν μπορεί να καταγράψει συμβάντα στο αρχείο καταγραφής ασφαλείας, τα κρίσιμα αποδεικτικά στοιχεία ή οι σημαντικές πληροφορίες αντιμετώπισης προβλημάτων ενδέχεται να μην είναι διαθέσιμα για έλεγχο μετά από ένα περιστατικό ασφαλείας.

   4. Λόγοι απενεργοποίησης αυτής της ρύθμισης

      • Ενεργοποίηση του ελέγχου: Η λειτουργία του συστήματος αμέσως, εάν δεν είναι δυνατή η καταγραφή των ελέγχων ασφαλείας, διακόπτει το σύστημα, εάν δεν είναι δυνατή η καταγραφή ελέγχου ασφαλείας για οποιονδήποτε λόγο. Συνήθως, ένα συμβάν δεν μπορεί να καταγραφεί όταν το αρχείο καταγραφής ασφαλείας είναι πλήρες και όταν η καθορισμένη μέθοδος διατήρησης είναι είτε η επιλογή Να μην αντιγραφούν τα συμβάντα (μη αυτόματο αρχείο καταγραφής) είτε η επιλογή Αντικατάσταση συμβάντων παλαιότερων από τον αριθμό ημερών.

      • Ο διοικητικός φόρτος της ενεργοποίησης της ρύθμισης Έλεγχος: Άμεση τερματισμός λειτουργίας συστήματος εάν δεν είναι δυνατή η καταγραφή των ελέγχων ασφαλείας μπορεί να είναι πολύ υψηλός, ειδικά εάν ενεργοποιήσετε επίσης την επιλογή Να μην αντιγραφούν τα συμβάντα (μη αυτόματος έλεγχος καταγραφής) για το αρχείο καταγραφής ασφαλείας. Αυτή η ρύθμιση παρέχει ατομική λογοδοσία για τις ενέργειες του τελεστή. Για παράδειγμα, ένας διαχειριστής θα μπορούσε να επαναφέρει δικαιώματα σε όλους τους χρήστες, τους υπολογιστές και τις ομάδες σε μια εταιρική μονάδα (OU) όπου ο έλεγχος ενεργοποιήθηκε με τη χρήση του ενσωματωμένου λογαριασμού διαχειριστή ή άλλου κοινόχρηστου λογαριασμού και, στη συνέχεια, να αρνηθεί ότι επαναφέρει αυτά τα δικαιώματα. Ωστόσο, η ενεργοποίηση της ρύθμισης μειώνει την αξιοπιστία του συστήματος, επειδή ένας διακομιστής μπορεί να αναγκαστεί να τερματιστεί κατακλύζοντάς τον με συμβάντα σύνδεσης και με άλλα συμβάντα ασφαλείας που έχουν συνταχθεί στο αρχείο καταγραφής ασφαλείας. Επιπλέον, επειδή ο τερματισμός λειτουργίας δεν είναι ομαλή, ενδέχεται να προκύψει ανεπανόρθωτη βλάβη στο λειτουργικό σύστημα, τα προγράμματα ή τα δεδομένα. Παρόλο που το NTFS εγγυάται ότι η ακεραιότητα του συστήματος αρχείων διατηρείται κατά τη διάρκεια ενός μη εύρυθμου τερματισμού λειτουργίας του συστήματος, δεν μπορεί να εγγυηθεί ότι κάθε αρχείο δεδομένων για κάθε πρόγραμμα θα εξακολουθεί να είναι σε εύχρηστη μορφή κατά την επανεκκίνηση του συστήματος.

   5. Συμβολικό όνομα:
      
      CrashOnAuditFail

   6. Διαδρομή μητρώου:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

   7. Παραδείγματα προβλημάτων συμβατότητας

      • Windows 2000: Εξαιτίας ενός σφάλματος, οι υπολογιστές που εκτελούν την αρχική έκδοση των Windows 2000, Windows 2000 SP1, Windows 2000 SP2 ή Windows Server SP3 ενδέχεται να διακόψουν τα συμβάντα καταγραφής πριν συμπληρωθεί το μέγεθος που καθορίζεται στην επιλογή Μέγιστο μέγεθος αρχείου καταγραφής για το αρχείο καταγραφής ασφαλείας. Αυτό το σφάλμα έχει διορθωθεί στο Windows 2000 Service Pack 4 (SP4). Βεβαιωθείτε ότι στους ελεγκτές τομέα των Windows 2000 είναι εγκατεστημένα τα Windows 2000 Service Pack 4, προτού εξετάσετε το ενδεχόμενο ενεργοποίησης αυτής της ρύθμισης.
        
         

      • Windows 2000, Windows Server 2003: Οι υπολογιστές που εκτελούν Windows 2000 ή Windows Server 2003 ενδέχεται να σταματήσουν να αποκρίνονται και, στη συνέχεια, να επανεκκινηθούν αυθόρμητα εάν η ρύθμιση Έλεγχος: Τερματισμός λειτουργίας του συστήματος αμέσως εάν δεν είναι δυνατή η καταγραφή των ελέγχων ασφαλείας είναι ενεργοποιημένη, το αρχείο καταγραφής ασφαλείας είναι πλήρες και δεν είναι δυνατή η αντικατάσταση μιας υπάρχουσας καταχώρησης αρχείου καταγραφής συμβάντων. Όταν γίνει επανεκκίνηση του υπολογιστή, εμφανίζεται το ακόλουθο μήνυμα σφάλματος Διακοπή:

        STOP: C0000244 {Audit Failed}
        Μια προσπάθεια δημιουργίας ελέγχου ασφαλείας απέτυχε.

        Για να γίνει αποκατάσταση, ο διαχειριστής πρέπει να συνδεθεί, να αρχειοθετήσει το αρχείο καταγραφής ασφαλείας (προαιρετικό), να διαγράψει το αρχείο καταγραφής ασφαλείας και, στη συνέχεια, να επαναφέρει αυτή την επιλογή (προαιρετικό και ανάλογα με τις ανάγκες).

      • Microsoft Network Client για MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Οι μη διαχειριστές που προσπαθούν να συνδεθούν σε έναν τομέα θα λάβουν το ακόλουθο μήνυμα σφάλματος:

        Οι παράμετροι του λογαριασμού σας έχουν ρυθμιστεί ώστε να αποτρέπουν τη χρήση αυτού του υπολογιστή. Δοκιμάστε έναν άλλο υπολογιστή.

      • Windows 2000: Σε υπολογιστές με Windows 2000, οι μη διαχειριστές δεν θα μπορούν να συνδεθούν σε διακομιστές απομακρυσμένης πρόσβασης και θα λάβουν ένα μήνυμα σφάλματος παρόμοιο με το εξής:

        Άγνωστος χρήστης ή εσφαλμένος κωδικός πρόσβασης

      • Windows 2000: Στους ελεγκτές τομέα των Windows 2000, η υπηρεσία ανταλλαγής μηνυμάτων (Ismserv.exe) θα σταματήσει και δεν θα είναι δυνατή η επανεκκίνηση. Το DCDIAG θα αναφέρει το σφάλμα ως "failed test services ISMserv" και το αναγνωριστικό συμβάντος 1083 θα καταχωρηθεί στο αρχείο καταγραφής συμβάντων.

      • Windows 2000: Στους ελεγκτές τομέα των Windows 2000, η αναπαραγωγή της υπηρεσίας καταλόγου Active Directory θα αποτύχει και θα εμφανιστεί το μήνυμα "Δεν επιτρέπεται η πρόσβαση", εάν το αρχείο καταγραφής συμβάντων ασφαλείας είναι πλήρες.

      • Microsoft Exchange 2000: Οι διακομιστές που εκτελούν το Exchange 2000 δεν θα έχουν τη δυνατότητα μονταρίσματος της βάσης δεδομένων του χώρου αποθήκευσης πληροφοριών και το συμβάν 2102 θα καταχωρηθεί στο αρχείο καταγραφής συμβάντων.

      • Outlook, Outlook Web Access: Οι μη διαχειριστές δεν θα μπορούν να έχουν πρόσβαση στην αλληλογραφία τους μέσω του Microsoft Outlook ή μέσω του Microsoft Outlook Web Access και θα λάβουν ένα σφάλμα 503.

2. Ελεγκτής τομέα: Απαιτήσεις υπογραφής διακομιστή LDAP

   1. Φόντο
      
      Ο ελεγκτής τομέα: Η ρύθμιση ασφαλείας απαιτήσεων υπογραφής διακομιστή LDAP καθορίζει εάν ο διακομιστής ελαφριού πρωτοκόλλου πρόσβασης καταλόγου (LDAP) απαιτεί υπολογιστές-πελάτες LDAP για τη διαπραγμάτευση της υπογραφής δεδομένων. Οι πιθανές τιμές για αυτήν τη ρύθμιση πολιτικής είναι οι εξής:

      • Κανένα: Η υπογραφή δεδομένων δεν είναι απαραίτητη για τη σύνδεση με το διακομιστή. Εάν ο υπολογιστής-πελάτης ζητήσει υπογραφή δεδομένων, ο διακομιστής τα υποστηρίζει.

      • Απαιτείται υπογραφή: Η επιλογή υπογραφής δεδομένων LDAP πρέπει να αποτελέσει αντικείμενο διαπραγμάτευσης, εκτός εάν χρησιμοποιείται το Transport Layer Security/Secure Socket Layer (TLS/SSL).

      • δεν έχει οριστεί: Αυτή η ρύθμιση δεν είναι ενεργοποιημένη ή απενεργοποιημένη.

   2. Επικίνδυνες ρυθμίσεις παραμέτρων
      
      Ακολουθούν επιβλαβείς ρυθμίσεις παραμέτρων:

      • Ενεργοποίηση:Απαιτείται είσοδος σε περιβάλλοντα όπου οι υπολογιστές-πελάτες δεν υποστηρίζουν υπογραφή LDAP ή όπου η υπογραφή LDAP από την πλευρά του προγράμματος-πελάτη δεν είναι ενεργοποιημένη στο πρόγραμμα-πελάτη

      • Εφαρμογή του προτύπου ασφαλείας Windows 2000 ή Windows Server 2003 Hisecdc.inf σε περιβάλλοντα όπου οι υπολογιστές-πελάτες δεν υποστηρίζουν υπογραφή LDAP ή όπου η υπογραφή LDAP από την πλευρά του προγράμματος-πελάτη δεν είναι ενεργοποιημένη

      • Εφαρμογή του προτύπου ασφαλείας Windows 2000 ή Windows Server 2003 Hisecws.inf σε περιβάλλοντα όπου οι υπολογιστές-πελάτες δεν υποστηρίζουν υπογραφή LDAP ή όπου η υπογραφή LDAP από την πλευρά του προγράμματος-πελάτη δεν είναι ενεργοποιημένη

   3. Λόγοι ενεργοποίησης αυτής της ρύθμισης
      
      Η ανυπόγραφη κίνηση δικτύου είναι επιρρεπής σε επιθέσεις ενδιάμεσου χρήστη, όπου ένας εισβολέας καταγράφει πακέτα μεταξύ του υπολογιστή-πελάτη και του διακομιστή, τροποποιεί τα πακέτα και, στη συνέχεια, τα προωθεί στο διακομιστή. Όταν παρουσιάζεται αυτή η συμπεριφορά σε ένα διακομιστή LDAP, ένας εισβολέας θα μπορούσε να προκαλέσει τη λήψη αποφάσεων από ένα διακομιστή που βασίζονται σε ψευδή ερωτήματα από το πρόγραμμα-πελάτη LDAP. Μπορείτε να μειώσετε αυτόν τον κίνδυνο σε ένα εταιρικό δίκτυο εφαρμόζοντας ισχυρά φυσικά μέτρα ασφαλείας για την προστασία της υποδομής του δικτύου. Η λειτουργία κεφαλίδας ελέγχου ταυτότητας ασφάλειας πρωτοκόλλου Internet (IPSec) μπορεί να βοηθήσει στην αποτροπή επιθέσεων ενδιάμεσων ατόμων. Η λειτουργία κεφαλίδας ελέγχου ταυτότητας εκτελεί αμοιβαίο έλεγχο ταυτότητας και ακεραιότητα πακέτων για την κυκλοφορία IP.

   4. Λόγοι απενεργοποίησης αυτής της ρύθμισης

      • Οι υπολογιστές-πελάτες που δεν υποστηρίζουν υπογραφή LDAP δεν θα έχουν τη δυνατότητα να εκτελέσουν ερωτήματα LDAP σε ελεγκτές τομέα και έναντι καθολικών καταλόγων, εάν πραγματοποιηθεί διαπραγμάτευση του ελέγχου ταυτότητας NTLM και εάν δεν έχουν εγκατασταθεί τα σωστά service pack σε ελεγκτές τομέα των Windows 2000.

      • Οι ανιχνεύσεις δικτύου της κίνησης LDAP μεταξύ προγραμμάτων-πελατών και διακομιστών θα κρυπτογραφούνται. Αυτό καθιστά δύσκολη την εξέταση συνομιλιών LDAP.

      • Οι διακομιστές που βασίζονται σε Windows 2000 πρέπει να έχουν Windows 2000 Service Pack 3 (SP3) ή να εγκαθίστανται όταν διαχειρίζονται με προγράμματα που υποστηρίζουν υπογραφή LDAP τα οποία εκτελούνται από υπολογιστές-πελάτες που εκτελούν Windows 2000 SP4, Windows XP ή Windows Server 2003.  

   5. Συμβολικό όνομα:
      
      LDAPServerIntegrity

   6. Διαδρομή μητρώου:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

   7. Παραδείγματα προβλημάτων συμβατότητας

      • Οι απλές συνδέσεις θα αποτύχουν και θα λάβετε το ακόλουθο μήνυμα σφάλματος:

        Ldap_simple_bind_s() απέτυχε: Απαιτείται ισχυρός έλεγχος ταυτότητας.

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Σε υπολογιστές-πελάτες που εκτελούν Windows 2000 SP4, Windows XP ή Windows Server 2003, ορισμένα εργαλεία διαχείρισης της υπηρεσίας καταλόγου Active Directory δεν θα λειτουργούν σωστά έναντι ελεγκτών τομέα που εκτελούν εκδόσεις των Windows 2000 που είναι παλαιότερες από το SP3 κατά τη διαπραγμάτευση του ελέγχου ταυτότητας NTLM.
        
         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Σε υπολογιστές-πελάτες που εκτελούν Windows 2000 SP4, Windows XP ή Windows Server 2003, ορισμένα εργαλεία διαχείρισης της υπηρεσίας καταλόγου Active Directory που στοχεύουν ελεγκτές τομέα που εκτελούν εκδόσεις των Windows 2000 που είναι παλαιότερες από το SP3 δεν θα λειτουργούν σωστά εάν χρησιμοποιούν διευθύνσεις IP (για παράδειγμα, "dsa.msc /server=x.x.x.x" όπου
        x.x.x.x είναι μια διεύθυνση IP).
        
        
         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Σε υπολογιστές-πελάτες που εκτελούν Windows 2000 SP4, Windows XP ή Windows Server 2003, ορισμένα εργαλεία διαχείρισης της υπηρεσίας καταλόγου Active Directory που στοχεύουν ελεγκτές τομέα που εκτελούν εκδόσεις των Windows 2000 που είναι παλαιότερες από το SP3 δεν θα λειτουργούν σωστά.
        
         

3. Μέλος τομέα: Απαιτείται ισχυρό κλειδί περιόδου λειτουργίας (Windows 2000 ή νεότερη έκδοση)

   1. Φόντο

      • Η ρύθμιση Για μέλος τομέα: Απαιτείται ισχυρή ρύθμιση κλειδιού περιόδου λειτουργίας (Windows 2000 ή νεότερη έκδοση) καθορίζει εάν μπορεί να δημιουργηθεί ένα ασφαλές κανάλι με έναν ελεγκτή τομέα που δεν μπορεί να κρυπτογραφήσει την ασφαλή κυκλοφορία του καναλιού με ένα ισχυρό κλειδί περιόδου λειτουργίας 128 bit. Η ενεργοποίηση αυτής της ρύθμισης αποτρέπει τη δημιουργία ενός ασφαλούς καναλιού με οποιονδήποτε ελεγκτή τομέα που δεν μπορεί να κρυπτογραφήσει ασφαλή δεδομένα καναλιού με ένα ισχυρό κλειδί. Η απενεργοποίηση αυτής της ρύθμισης επιτρέπει τα πλήκτρα περιόδου λειτουργίας 64 bit.

      • Για να μπορέσετε να ενεργοποιήσετε αυτήν τη ρύθμιση σε ένα σταθμό εργασίας μέλους ή σε ένα διακομιστή, όλοι οι ελεγκτές τομέα στον τομέα στον οποίο ανήκει το μέλος πρέπει να είναι σε θέση να κρυπτογραφήσουν ασφαλή δεδομένα καναλιού με ένα ισχυρό κλειδί 128 bit. Αυτό σημαίνει ότι όλοι αυτοί οι ελεγκτές τομέα πρέπει να εκτελούν Windows 2000 ή νεότερη έκδοση.

   2. Ρύθμιση παραμέτρων επικίνδυνων κινδύνων
      
      Η ενεργοποίηση του κλειδιού περιόδου λειτουργίας "Domain member: Require strong (Windows 2000 ή νεότερη έκδοση) είναι μια επιβλαβής ρύθμιση παραμέτρων.

   3. Λόγοι ενεργοποίησης αυτής της ρύθμισης

      • Τα κλειδιά περιόδου λειτουργίας που χρησιμοποιούνται για τη δημιουργία ασφαλών επικοινωνιών καναλιού μεταξύ των υπολογιστών-μελών και των ελεγκτών τομέα είναι πολύ ισχυρότερα στα Windows 2000 από ό,τι στις προηγούμενες εκδόσεις των λειτουργικών συστημάτων της Microsoft.

      • Όταν είναι δυνατό, είναι καλή ιδέα να επωφεληθείτε από αυτά τα ισχυρότερα πλήκτρα περιόδου λειτουργίας για να προστατεύσετε τις ασφαλείς επικοινωνίες καναλιού από την υποκλοπή και από επιθέσεις δικτύου πειρατείας περιόδου λειτουργίας. Η υποκλοπή είναι μια μορφή κακόβουλης επίθεσης όπου τα δεδομένα δικτύου διαβάζονται ή τροποποιούνται κατά τη μεταφορά. Τα δεδομένα μπορούν να τροποποιηθούν για να αποκρύψετε ή να αλλάξετε τον αποστολέα ή για να τα ανακατευθύνετε.

      Σημαντικό Ένας υπολογιστής που εκτελεί Windows Server 2008 R2 ή Windows 7 υποστηρίζει μόνο ισχυρά πλήκτρα όταν χρησιμοποιούνται ασφαλή κανάλια. Αυτός ο περιορισμός αποτρέπει την αξιοπιστία οποιουδήποτε τομέα που βασίζεται σε Windows NT 4.0 και οποιουδήποτε τομέα που βασίζεται σε Windows Server 2008 R2. Επιπλέον, αυτός ο περιορισμός αποκλείει την ιδιότητα μέλους τομέα που βασίζεται στα Windows NT 4.0 σε υπολογιστές που εκτελούν Windows 7 ή Windows Server 2008 R2 και το αντίστροφο.

   4. Λόγοι απενεργοποίησης αυτής της ρύθμισης
      
      Ο τομέας περιέχει υπολογιστές-μέλη που εκτελούν λειτουργικά συστήματα εκτός των Windows 2000, των Windows XP ή του Windows Server 2003.

   5. Συμβολικό όνομα:
      
      StrongKey

   6. Διαδρομή μητρώου:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

   7. Παραδείγματα προβλημάτων
      
      συμβατότητας Windows NT 4.0: Σε υπολογιστές με Windows NT 4.0, η επαναφορά ασφαλών καναλιών σχέσεων αξιοπιστίας μεταξύ των τομέων windows NT 4.0 και Windows 2000 με NLTEST αποτυγχάνει. Εμφανίζεται ένα μήνυμα σφάλματος "Δεν επιτρέπεται η πρόσβαση":

      Η σχέση αξιοπιστίας μεταξύ του πρωτεύοντα τομέα και του αξιόπιστου τομέα απέτυχε.
      
      Windows 7 και Server 2008 R2: Για τα Windows 7 και νεότερες εκδόσεις και τον Windows Server 2008 R2 και νεότερες εκδόσεις, αυτή η ρύθμιση δεν τηρείται πλέον και χρησιμοποιείται πάντα το ισχυρό κλειδί. Εξαιτίας αυτού, οι αξιόπιστες εκδόσεις με τομείς Windows NT 4.0 δεν λειτουργούν πλέον.

4. Μέλος τομέα: Ψηφιακή κρυπτογράφηση ή υπογραφή δεδομένων ασφαλούς καναλιού (πάντα)

   1. Φόντο

      • Ενεργοποίηση μέλους τομέα: Η ψηφιακή κρυπτογράφηση ή υπογραφή δεδομένων ασφαλούς καναλιού (always) αποτρέπει τη δημιουργία ενός ασφαλούς καναλιού με οποιονδήποτε ελεγκτή τομέα που δεν μπορεί να υπογράψει ή να κρυπτογραφήσει όλα τα ασφαλή δεδομένα καναλιού. Για να προστατεύσουν την κίνηση ελέγχου ταυτότητας από επιθέσεις ενδιάμεσου χρήστη, επιθέσεις επανάληψης και άλλα είδη επιθέσεων δικτύου, οι υπολογιστές που βασίζονται στα Windows δημιουργούν ένα κανάλι επικοινωνίας που είναι γνωστό ως ασφαλές κανάλι μέσω της υπηρεσίας Net Logon για τον έλεγχο ταυτότητας λογαριασμών υπολογιστή. Τα ασφαλή κανάλια χρησιμοποιούνται επίσης όταν ένας χρήστης σε έναν τομέα συνδέεται σε έναν πόρο δικτύου σε έναν απομακρυσμένο τομέα. Αυτός ο έλεγχος ταυτότητας πολλών τομέων ή ο έλεγχος ταυτότητας διαβίβασης επιτρέπει σε έναν υπολογιστή που βασίζεται στα Windows, ο οποίος έχει συνδεθεί σε έναν τομέα, να έχει πρόσβαση στη βάση δεδομένων του λογαριασμού χρήστη στον τομέα του και σε οποιουσδήποτε αξιόπιστους τομείς.

      • Για να ενεργοποιήσετε τη ρύθμιση Μέλος τομέα: Κρυπτογραφήστε ή υπογράψτε ψηφιακά δεδομένα ασφαλούς καναλιού (πάντα) σε έναν υπολογιστή-μέλος, όλοι οι ελεγκτές τομέα στον τομέα στον οποίο ανήκει το μέλος πρέπει να μπορούν να υπογράφουν ή να κρυπτογραφούν όλα τα ασφαλή δεδομένα καναλιού. Αυτό σημαίνει ότι όλοι αυτοί οι ελεγκτές τομέα πρέπει να εκτελούν Windows NT 4.0 με Service Pack 6a (SP6a) ή νεότερη έκδοση.

      • Ενεργοποίηση του μέλους τομέα: Η ρύθμιση Ψηφιακή κρυπτογράφηση ή υπογραφή δεδομένων ασφαλούς καναλιού (πάντα) ενεργοποιεί αυτόματα τη ρύθμιση Μέλος τομέα: Ψηφιακή κρυπτογράφηση ή υπογραφή δεδομένων ασφαλούς καναλιού (όταν είναι δυνατό).

   2. Ρύθμιση παραμέτρων επικίνδυνων κινδύνων
      
      Ενεργοποίηση του μέλους τομέα: Η ψηφιακή κρυπτογράφηση ή υπογραφή δεδομένων ασφαλούς καναλιού (πάντα) σε τομείς όπου δεν μπορούν όλοι οι ελεγκτές τομέα να υπογράψουν ή να κρυπτογραφήσουν ασφαλή δεδομένα καναλιού είναι μια επιβλαβής ρύθμιση παραμέτρων.

   3. Λόγοι ενεργοποίησης αυτής της ρύθμισης
      
      Η ανυπόγραφη κίνηση δικτύου είναι επιρρεπής σε επιθέσεις ενδιάμεσου χρήστη, όπου ένας εισβολέας καταγράφει πακέτα μεταξύ του διακομιστή και του υπολογιστή-πελάτη και, στη συνέχεια, τα τροποποιεί πριν τα προωθήσει στο πρόγραμμα-πελάτη. Όταν παρουσιάζεται αυτή η συμπεριφορά σε ένα διακομιστή ελαφριού πρωτοκόλλου πρόσβασης καταλόγου (LDAP), ο εισβολέας θα μπορούσε να προκαλέσει τη λήψη αποφάσεων από έναν υπολογιστή-πελάτη που βασίζονται σε ψευδείς εγγραφές από τον κατάλογο LDAP. Μπορείτε να μειώσετε τον κίνδυνο μιας τέτοιας επίθεσης σε ένα εταιρικό δίκτυο, εφαρμόζοντας ισχυρά φυσικά μέτρα ασφαλείας για την προστασία της υποδομής του δικτύου. Επιπλέον, η εφαρμογή της λειτουργίας κεφαλίδας ελέγχου ταυτότητας ασφάλειας πρωτοκόλλου Internet (IPSec) μπορεί να βοηθήσει στην αποτροπή επιθέσεων ενδιάμεσων ατόμων. Αυτή η λειτουργία εκτελεί αμοιβαίο έλεγχο ταυτότητας και ακεραιότητα πακέτων για την κυκλοφορία IP.

   4. Λόγοι απενεργοποίησης αυτής της ρύθμισης

      • Οι υπολογιστές σε τοπικούς ή εξωτερικούς τομείς υποστηρίζουν κρυπτογραφημένα ασφαλή κανάλια.

      • Δεν διαθέτουν όλοι οι ελεγκτές τομέα στον τομέα τα κατάλληλα επίπεδα αναθεώρησης service pack για την υποστήριξη κρυπτογραφημένων ασφαλών καναλιών.

   5. Συμβολικό όνομα:
      
      StrongKey

   6. Διαδρομή μητρώου:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

   7. Παραδείγματα προβλημάτων συμβατότητας

      • Windows NT 4.0: Οι υπολογιστές-μέλη που βασίζονται σε Windows 2000 δεν θα μπορούν να συμμετάσχουν σε τομείς Windows NT 4.0 και θα λάβουν το ακόλουθο μήνυμα σφάλματος:

        Ο λογαριασμός δεν επιτρέπεται να συνδεθεί από αυτόν τον σταθμό.

        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του παρακάτω άρθρου για να προβάλετε το άρθρο στη Γνωσιακή βάση της Microsoft:

        281648 Μήνυμα σφάλματος: Ο λογαριασμός δεν είναι εξουσιοδοτημένος για σύνδεση από αυτόν τον σταθμό
         

      • Windows NT 4.0: Οι τομείς Windows NT 4.0 δεν θα μπορούν να δημιουργήσουν αξιοπιστία κάτω επιπέδου με έναν τομέα Windows 2000 και θα λάβουν το ακόλουθο μήνυμα σφάλματος:

        Ο λογαριασμός δεν επιτρέπεται να συνδεθεί από αυτόν τον σταθμό.

        Οι υπάρχουσες αξιόπιστες εκδόσεις αξιοπιστίας κάτω επιπέδου ενδέχεται επίσης να μην διαθέτουν έλεγχο ταυτότητας των χρηστών από τον αξιόπιστο τομέα. Ορισμένοι χρήστες ενδέχεται να έχουν προβλήματα σύνδεσης στον τομέα και ενδέχεται να λάβουν ένα μήνυμα σφάλματος που αναφέρει ότι ο υπολογιστής-πελάτης δεν μπορεί να βρει τον τομέα.

      • Windows XP: Οι υπολογιστές-πελάτες με Windows XP που είναι συνδεδεμένοι σε τομείς Windows NT 4.0 δεν θα έχουν τη δυνατότητα ελέγχου ταυτότητας των προσπαθειών σύνδεσης και ενδέχεται να λάβουν το ακόλουθο μήνυμα σφάλματος ή τα ακόλουθα συμβάντα ενδέχεται να έχουν καταχωρηθεί στο αρχείο καταγραφής συμβάντων:

        Τα Windows δεν μπορούν να συνδεθούν στον τομέα, είτε επειδή ο ελεγκτής τομέα είναι εκτός λειτουργίας είτε δεν είναι διαθέσιμος με άλλο τρόπο ή επειδή ο λογαριασμός του υπολογιστή σας δεν βρέθηκε

      • Microsoft Network: Τα προγράμματα-πελάτες του Microsoft Network θα λάβουν ένα από τα ακόλουθα μηνύματα σφάλματος:

        Αποτυχία σύνδεσης: άγνωστο όνομα χρήστη ή εσφαλμένος κωδικός πρόσβασης.

        Δεν υπάρχει κλειδί περιόδου λειτουργίας χρήστη για την καθορισμένη περίοδο λειτουργίας σύνδεσης.

5. Πρόγραμμα-πελάτης δικτύου της Microsoft: Ψηφιακή υπογραφή επικοινωνιών (πάντα)

   1. Φόντο
      
      Το Μπλοκ μηνυμάτων διακομιστή (SMB) είναι το πρωτόκολλο κοινής χρήσης πόρων που υποστηρίζεται από πολλά λειτουργικά συστήματα της Microsoft. Είναι η βάση του βασικού συστήματος εισόδου/εξόδου δικτύου (NetBIOS) και πολλών άλλων πρωτοκόλλων. Η υπογραφή SMB πραγματοποιεί έλεγχο ταυτότητας τόσο για το χρήστη όσο και για το διακομιστή που φιλοξενεί τα δεδομένα. Εάν οποιαδήποτε πλευρά αποτύχει στη διαδικασία ελέγχου ταυτότητας, δεν θα γίνει μετάδοση δεδομένων.
      
      Η ενεργοποίηση της υπογραφής SMB ξεκινά κατά τη διαπραγμάτευση του πρωτοκόλλου SMB. Οι πολιτικές υπογραφής SMB καθορίζουν εάν ο υπολογιστής υπογράφει πάντα ψηφιακά τις επικοινωνίες των υπολογιστών-πελατών.
      
      Το πρωτόκολλο ελέγχου ταυτότητας SMB των Windows 2000 υποστηρίζει αμοιβαίο έλεγχο ταυτότητας. Ο αμοιβαίος έλεγχος ταυτότητας κλείνει μια επίθεση "άνθρωπος στη μέση". Το πρωτόκολλο ελέγχου ταυτότητας SMB των Windows 2000 υποστηρίζει επίσης έλεγχο ταυτότητας μηνυμάτων. Ο έλεγχος ταυτότητας μηνυμάτων συμβάλλει στην αποτροπή ενεργών επιθέσεων μηνυμάτων. Για να σας παρέχει αυτόν τον έλεγχο ταυτότητας, η υπογραφή SMB τοποθετεί μια ψηφιακή υπογραφή σε κάθε SMB. Κάθε πρόγραμμα-πελάτης και ο διακομιστής επαληθεύουν την ψηφιακή υπογραφή.
      
      Για να χρησιμοποιήσετε υπογραφή SMB, πρέπει να ενεργοποιήσετε την υπογραφή SMB ή να απαιτήσετε υπογραφή SMB τόσο στο πρόγραμμα-πελάτη SMB όσο και στο διακομιστή SMB. Εάν η υπογραφή SMB είναι ενεργοποιημένη σε ένα διακομιστή, τα προγράμματα-πελάτες που είναι επίσης ενεργοποιημένα για υπογραφή SMB χρησιμοποιούν το πρωτόκολλο υπογραφής πακέτων κατά τη διάρκεια όλων των επόμενων περιόδων λειτουργίας. Εάν απαιτείται υπογραφή SMB σε ένα διακομιστή, δεν είναι δυνατή η δημιουργία περιόδου λειτουργίας από έναν υπολογιστή-πελάτη, εκτός εάν ο υπολογιστής-πελάτης είναι ενεργοποιημένος ή απαιτείται για την υπογραφή SMB.
      
      
      Η ενεργοποίηση της ψηφιακής εισόδου σε δίκτυα υψηλής ασφάλειας συμβάλλει στην αποτροπή της απομίμησης πελατών και διακομιστών. Αυτό το είδος απομίμησης είναι γνωστό ως αεροπειρατεία περιόδου λειτουργίας. Ένας εισβολέας που έχει πρόσβαση στο ίδιο δίκτυο με τον υπολογιστή-πελάτη ή το διακομιστή χρησιμοποιεί εργαλεία αεροπειρατείας περιόδου λειτουργίας για να διακόψει, να τερματίσει ή να κλέψει μια περίοδο λειτουργίας που βρίσκεται σε εξέλιξη. Ένας εισβολέας θα μπορούσε να υποκλέψει και να τροποποιήσει μη υπογεγραμμένα πακέτα SMB, να τροποποιήσει την κυκλοφορία και, στη συνέχεια, να την προωθήσει, έτσι ώστε ο διακομιστής να μπορεί να εκτελέσει ανεπιθύμητες ενέργειες. Εναλλακτικά, ο εισβολέας μπορεί να είναι ο διακομιστής ή ο πελάτης μετά από έναν νόμιμο έλεγχο ταυτότητας και, στη συνέχεια, να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε δεδομένα.
      
      Το πρωτόκολλο SMB που χρησιμοποιείται για κοινή χρήση αρχείων και για κοινή χρήση εκτύπωσης σε υπολογιστές που εκτελούν Windows 2000 Server, Windows 2000 Professional, Windows XP Professional ή Windows Server 2003 υποστηρίζει αμοιβαίο έλεγχο ταυτότητας. Ο αμοιβαίος έλεγχος ταυτότητας κλείνει τις επιθέσεις πειρατείας περιόδου λειτουργίας και υποστηρίζει έλεγχο ταυτότητας μηνυμάτων. Ως εκ τούτου, αποτρέπει τις επιθέσεις του ανθρώπου στη μέση. Η υπογραφή SMB παρέχει αυτόν τον έλεγχο ταυτότητας τοποθετώντας μια ψηφιακή υπογραφή σε κάθε SMB. Στη συνέχεια, ο υπολογιστής-πελάτης και ο διακομιστής επαληθεύουν την υπογραφή.
      
      Σημειώσεις

      • Ως εναλλακτικό αντίμετρα, μπορείτε να ενεργοποιήσετε τις ψηφιακές υπογραφές με IPSec για να συμβάλετε στην προστασία όλης της κίνησης του δικτύου. Υπάρχουν επιταχυντές που βασίζονται στο υλικό για κρυπτογράφηση IPSec και υπογραφή που μπορείτε να χρησιμοποιήσετε για να ελαχιστοποιήσετε τις επιπτώσεις στις επιδόσεις από τη CPU του διακομιστή. Δεν υπάρχουν τέτοιοι επιταχυντές που να είναι διαθέσιμοι για υπογραφή SMB.
        
        Για περισσότερες πληροφορίες, ανατρέξτε στο κεφάλαιο Επικοινωνία με τον διακομιστή ψηφιακής υπογραφής στην τοποθεσία web του Microsoft MSDN.
        
        Ρυθμίστε τις παραμέτρους υπογραφής SMB μέσω του προγράμματος επεξεργασίας αντικειμένων Πολιτική ομάδας, επειδή μια αλλαγή σε μια τοπική τιμή μητρώου δεν έχει κανένα αποτέλεσμα εάν υπάρχει μια παρακάμπτεισα πολιτική τομέα.

      • Στα Windows 95, τα Windows 98 και τα Windows 98 Second Edition, το πρόγραμμα-πελάτης υπηρεσιών καταλόγου χρησιμοποιεί υπογραφή SMB κατά τον έλεγχο ταυτότητας με διακομιστές Windows Server 2003 χρησιμοποιώντας έλεγχο ταυτότητας NTLM. Ωστόσο, αυτά τα προγράμματα-πελάτες δεν χρησιμοποιούν υπογραφή SMB κατά τον έλεγχο ταυτότητας με αυτούς τους διακομιστές χρησιμοποιώντας έλεγχο ταυτότητας NTLMv2. Επιπλέον, οι διακομιστές Windows 2000 δεν ανταποκρίνονται σε αιτήματα υπογραφής SMB από αυτά τα προγράμματα-πελάτες. Για περισσότερες πληροφορίες, ανατρέξτε στο στοιχείο 10: "Ασφάλεια δικτύου: Επίπεδο ελέγχου ταυτότητας Lan Manager".

   2. Ρύθμιση παραμέτρων επικίνδυνων κινδύνων
      
      Η ακόλουθη είναι μια επιβλαβής ρύθμιση παραμέτρων: Αφήνοντας τόσο τη ρύθμιση Του προγράμματος-πελάτη δικτύου της Microsoft: Ρύθμιση ψηφιακής υπογραφής (πάντα) όσο και το πρόγραμμα-πελάτης δικτύου της Microsoft: Η ρύθμιση Ψηφιακή υπογραφή επικοινωνιών (εάν συμφωνεί ο διακομιστής) έχει οριστεί σε "Δεν ορίζεται" ή είναι απενεργοποιημένη. Αυτές οι ρυθμίσεις επιτρέπουν στον ανακατευθυντή να στέλνει κωδικούς πρόσβασης απλού κειμένου σε διακομιστές εκτός microsoft SMB που δεν υποστηρίζουν κρυπτογράφηση κωδικού πρόσβασης κατά τον έλεγχο ταυτότητας.

   3. Λόγοι ενεργοποίησης αυτής της ρύθμισης
      
      Ενεργοποίηση του προγράμματος-πελάτη δικτύου της Microsoft: Οι επικοινωνίες ψηφιακής υπογραφής (πάντα) απαιτούν από τους υπολογιστές-πελάτες να υπογράφουν την κίνηση SMB όταν επικοινωνούν με διακομιστές που δεν απαιτούν υπογραφή SMB. Αυτό καθιστά τους πελάτες λιγότερο ευάλωτους σε επιθέσεις αεροπειρατείας περιόδου λειτουργίας.

   4. Λόγοι απενεργοποίησης αυτής της ρύθμισης

      • Ενεργοποίηση του προγράμματος-πελάτη δικτύου της Microsoft: Οι επικοινωνίες ψηφιακής υπογραφής (always) εμποδίζουν την επικοινωνία των υπολογιστών-πελατών με διακομιστές προορισμού που δεν υποστηρίζουν υπογραφή SMB.

      • Η ρύθμιση παραμέτρων των υπολογιστών για παράβλεψη όλων των ανυπόγραφων επικοινωνιών SMB αποτρέπει τη σύνδεση προηγούμενων προγραμμάτων και λειτουργικών συστημάτων.

   5. Συμβολικό όνομα:
      
      RequireSMBSignRdr

   6. Διαδρομή μητρώου:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

   7. Παραδείγματα προβλημάτων συμβατότητας

      • Windows NT 4.0: Δεν θα μπορείτε να επαναφέρετε το ασφαλές κανάλι αξιοπιστίας μεταξύ ενός τομέα Windows Server 2003 και ενός τομέα Windows NT 4.0 χρησιμοποιώντας το NLTEST ή το NETDOM και θα λάβετε ένα μήνυμα σφάλματος "Δεν επιτρέπεται η πρόσβαση".

      • Windows XP: Η αντιγραφή αρχείων από προγράμματα-πελάτες windows XP σε διακομιστές που βασίζονται σε Windows 2000 και σε διακομιστές που βασίζονται σε Windows Server 2003 ενδέχεται να διαρκέσει περισσότερο χρόνο.

      • Δεν θα μπορείτε να αντιστοιχίσετε μια μονάδα δίσκου δικτύου από έναν υπολογιστή-πελάτη με αυτήν τη ρύθμιση ενεργοποιημένη και θα λάβετε το ακόλουθο μήνυμα σφάλματος:

        Ο λογαριασμός δεν επιτρέπεται να συνδεθεί από αυτόν τον σταθμό.

   8. Απαιτήσεις επανεκκίνησης
      
      Επανεκκινήστε τον υπολογιστή ή επανεκκινήστε την υπηρεσία Workstation. Για να το κάνετε αυτό, πληκτρολογήστε τις ακόλουθες εντολές σε μια γραμμή εντολών. Πατήστε το πλήκτρο Enter αφού πληκτρολογήσετε κάθε εντολή.

      σταθμός εργασίας
      net stop net start workstation

6. Διακομιστής δικτύου της Microsoft: Ψηφιακή υπογραφή επικοινωνιών (πάντα)

   1. Φόντο

      • Το Server Messenger Block (SMB) είναι το πρωτόκολλο κοινής χρήσης πόρων που υποστηρίζεται από πολλά λειτουργικά συστήματα της Microsoft. Είναι η βάση του βασικού συστήματος εισόδου/εξόδου δικτύου (NetBIOS) και πολλών άλλων πρωτοκόλλων. Η υπογραφή SMB πραγματοποιεί έλεγχο ταυτότητας τόσο για το χρήστη όσο και για το διακομιστή που φιλοξενεί τα δεδομένα. Εάν οποιαδήποτε πλευρά αποτύχει στη διαδικασία ελέγχου ταυτότητας, δεν θα γίνει μετάδοση δεδομένων.
        
        Η ενεργοποίηση της υπογραφής SMB ξεκινά κατά τη διαπραγμάτευση του πρωτοκόλλου SMB. Οι πολιτικές υπογραφής SMB καθορίζουν εάν ο υπολογιστής υπογράφει πάντα ψηφιακά τις επικοινωνίες των υπολογιστών-πελατών.
        
        Το πρωτόκολλο ελέγχου ταυτότητας SMB των Windows 2000 υποστηρίζει αμοιβαίο έλεγχο ταυτότητας. Ο αμοιβαίος έλεγχος ταυτότητας κλείνει μια επίθεση "άνθρωπος στη μέση". Το πρωτόκολλο ελέγχου ταυτότητας SMB των Windows 2000 υποστηρίζει επίσης έλεγχο ταυτότητας μηνυμάτων. Ο έλεγχος ταυτότητας μηνυμάτων συμβάλλει στην αποτροπή ενεργών επιθέσεων μηνυμάτων. Για να σας παρέχει αυτόν τον έλεγχο ταυτότητας, η υπογραφή SMB τοποθετεί μια ψηφιακή υπογραφή σε κάθε SMB. Κάθε πρόγραμμα-πελάτης και ο διακομιστής επαληθεύουν την ψηφιακή υπογραφή.
        
        Για να χρησιμοποιήσετε υπογραφή SMB, πρέπει να ενεργοποιήσετε την υπογραφή SMB ή να απαιτήσετε υπογραφή SMB τόσο στο πρόγραμμα-πελάτη SMB όσο και στο διακομιστή SMB. Εάν η υπογραφή SMB είναι ενεργοποιημένη σε ένα διακομιστή, τα προγράμματα-πελάτες που είναι επίσης ενεργοποιημένα για υπογραφή SMB χρησιμοποιούν το πρωτόκολλο υπογραφής πακέτων κατά τη διάρκεια όλων των επόμενων περιόδων λειτουργίας. Εάν απαιτείται υπογραφή SMB σε ένα διακομιστή, δεν είναι δυνατή η δημιουργία περιόδου λειτουργίας από έναν υπολογιστή-πελάτη, εκτός εάν ο υπολογιστής-πελάτης είναι ενεργοποιημένος ή απαιτείται για την υπογραφή SMB.
        
        
        Η ενεργοποίηση της ψηφιακής εισόδου σε δίκτυα υψηλής ασφάλειας συμβάλλει στην αποτροπή της απομίμησης πελατών και διακομιστών. Αυτό το είδος απομίμησης είναι γνωστό ως αεροπειρατεία περιόδου λειτουργίας. Ένας εισβολέας που έχει πρόσβαση στο ίδιο δίκτυο με τον υπολογιστή-πελάτη ή το διακομιστή χρησιμοποιεί εργαλεία αεροπειρατείας περιόδου λειτουργίας για να διακόψει, να τερματίσει ή να κλέψει μια περίοδο λειτουργίας που βρίσκεται σε εξέλιξη. Ένας εισβολέας θα μπορούσε να αναχαιτίσει και να τροποποιήσει μη υπογεγραμμένα πακέτα Διαχείρισης εύρους ζώνης δικτύου (SBM), να τροποποιήσει την κυκλοφορία και, στη συνέχεια, να την προωθήσει, έτσι ώστε ο διακομιστής να μπορεί να εκτελέσει ανεπιθύμητες ενέργειες. Εναλλακτικά, ο εισβολέας μπορεί να είναι ο διακομιστής ή ο πελάτης μετά από έναν νόμιμο έλεγχο ταυτότητας και, στη συνέχεια, να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε δεδομένα.
        
        Το πρωτόκολλο SMB που χρησιμοποιείται για κοινή χρήση αρχείων και για κοινή χρήση εκτύπωσης σε υπολογιστές που εκτελούν Windows 2000 Server, Windows 2000 Professional, Windows XP Professional ή Windows Server 2003 υποστηρίζει αμοιβαίο έλεγχο ταυτότητας. Ο αμοιβαίος έλεγχος ταυτότητας κλείνει τις επιθέσεις πειρατείας περιόδου λειτουργίας και υποστηρίζει έλεγχο ταυτότητας μηνυμάτων. Ως εκ τούτου, αποτρέπει τις επιθέσεις του ανθρώπου στη μέση. Η υπογραφή SMB παρέχει αυτόν τον έλεγχο ταυτότητας τοποθετώντας μια ψηφιακή υπογραφή σε κάθε SMB. Στη συνέχεια, ο υπολογιστής-πελάτης και ο διακομιστής επαληθεύουν την υπογραφή.

      • Ως εναλλακτικό αντίμετρα, μπορείτε να ενεργοποιήσετε τις ψηφιακές υπογραφές με IPSec για να συμβάλετε στην προστασία όλης της κίνησης του δικτύου. Υπάρχουν επιταχυντές που βασίζονται στο υλικό για κρυπτογράφηση IPSec και υπογραφή που μπορείτε να χρησιμοποιήσετε για να ελαχιστοποιήσετε τις επιπτώσεις στις επιδόσεις από τη CPU του διακομιστή. Δεν υπάρχουν τέτοιοι επιταχυντές που να είναι διαθέσιμοι για υπογραφή SMB.

      • Στα Windows 95, τα Windows 98 και τα Windows 98 Second Edition, το πρόγραμμα-πελάτης υπηρεσιών καταλόγου χρησιμοποιεί υπογραφή SMB κατά τον έλεγχο ταυτότητας με διακομιστές Windows Server 2003 χρησιμοποιώντας έλεγχο ταυτότητας NTLM. Ωστόσο, αυτά τα προγράμματα-πελάτες δεν χρησιμοποιούν υπογραφή SMB κατά τον έλεγχο ταυτότητας με αυτούς τους διακομιστές χρησιμοποιώντας έλεγχο ταυτότητας NTLMv2. Επιπλέον, οι διακομιστές Windows 2000 δεν ανταποκρίνονται σε αιτήματα υπογραφής SMB από αυτά τα προγράμματα-πελάτες. Για περισσότερες πληροφορίες, ανατρέξτε στο στοιχείο 10: "Ασφάλεια δικτύου: Επίπεδο ελέγχου ταυτότητας Lan Manager".

   2. Ρύθμιση παραμέτρων επικίνδυνων κινδύνων
      
      Ακολουθεί μια επιβλαβής ρύθμιση παραμέτρων: Ενεργοποίηση του διακομιστή δικτύου της Microsoft: Ρύθμιση ψηφιακών υπογραφών επικοινωνιών (πάντα) σε διακομιστές και ελεγκτές τομέα στους οποίους η πρόσβαση γίνεται από μη συμβατούς υπολογιστές windows και υπολογιστές-πελάτες τρίτων κατασκευαστών που βασίζονται σε λειτουργικό σύστημα, σε τοπικούς ή εξωτερικούς τομείς.

   3. Λόγοι ενεργοποίησης αυτής της ρύθμισης

      • Όλοι οι υπολογιστές-πελάτες που ενεργοποιούν αυτήν τη ρύθμιση απευθείας μέσω του μητρώου ή μέσω της ρύθμισης Πολιτική ομάδας υποστηρίζουν υπογραφή SMB. Με άλλα λόγια, όλοι οι υπολογιστές-πελάτες στους οποίους είναι ενεργοποιημένη αυτή η ρύθμιση εκτελούνται είτε τα Windows 95 με εγκατεστημένο το πρόγραμμα-πελάτη DS, τα Windows 98, τα Windows NT 4.0, τα Windows 2000, τα Windows XP Professional ή τον Windows Server 2003.

      • Εάν διακομιστής δικτύου της Microsoft: Η ψηφιακή υπογραφή επικοινωνιών (πάντα) είναι απενεργοποιημένη, η υπογραφή SMB απενεργοποιείται εντελώς. Η πλήρης απενεργοποίηση όλων των υπογραφών SMB αφήνει τους υπολογιστές πιο ευάλωτους σε επιθέσεις αεροπειρατείας περιόδου λειτουργίας.

   4. Λόγοι απενεργοποίησης αυτής της ρύθμισης

      • Η ενεργοποίηση αυτής της ρύθμισης μπορεί να προκαλέσει πιο αργή αντιγραφή αρχείων και επιδόσεις δικτύου σε υπολογιστές-πελάτες.

      • Η ενεργοποίηση αυτής της ρύθμισης θα εμποδίσει τους υπολογιστές-πελάτες που δεν μπορούν να διαπραγματευτούν την υπογραφή SMB να επικοινωνούν με διακομιστές και με ελεγκτές τομέα. Αυτό έχει ως αποτέλεσμα την αποτυχία λειτουργιών, όπως οι σύνδεσμοι τομέα, ο έλεγχος ταυτότητας χρήστη και υπολογιστή ή η πρόσβαση στο δίκτυο από προγράμματα.

   5. Συμβολικό όνομα:
      
      RequireSMBSignServer

   6. Διαδρομή μητρώου:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

   7. Παραδείγματα προβλημάτων συμβατότητας

      • Windows 95: Τα προγράμματα-πελάτες Windows 95 που δεν έχουν εγκατεστημένο το πρόγραμμα-πελάτη υπηρεσιών καταλόγου (DS) θα αποτύχουν στον έλεγχο ταυτότητας σύνδεσης και θα λάβουν το ακόλουθο μήνυμα σφάλματος:

        Ο κωδικός πρόσβασης τομέα που παρείχατε δεν είναι σωστός ή η πρόσβαση στο διακομιστή σύνδεσης απορρίφθηκε.

      • Windows NT 4.0: Οι υπολογιστές-πελάτες που εκτελούν εκδόσεις των Windows NT 4.0 που είναι παλαιότερες από το Service Pack 3 (SP3) θα αποτύχουν στον έλεγχο ταυτότητας σύνδεσης και θα λάβουν το ακόλουθο μήνυμα σφάλματος:

        Δεν ήταν δυνατή η σύνδεση του συστήματος. Βεβαιωθείτε ότι το όνομα χρήστη και ο τομέας σας είναι σωστά και, στη συνέχεια, πληκτρολογήστε ξανά τον κωδικό πρόσβασής σας.

        Ορισμένοι διακομιστές SMB που δεν ανήκουν στη Microsoft υποστηρίζουν μόνο μη κρυπτογραφημένες ανταλλαγές κωδικών πρόσβασης κατά τον έλεγχο ταυτότητας. (Αυτές οι ανταλλαγές είναι γνωστές και ως ανταλλαγές "απλού κειμένου".) Για τα Windows NT 4.0 SP3 και νεότερες εκδόσεις, ο ανακατευθυντής SMB δεν αποστέλλει μη κρυπτογραφημένο κωδικό πρόσβασης κατά τον έλεγχο ταυτότητας σε ένα διακομιστή SMB, εκτός εάν προσθέσετε μια συγκεκριμένη καταχώρηση μητρώου.
        Για να ενεργοποιήσετε μη κρυπτογραφημένους κωδικούς πρόσβασης για το πρόγραμμα-πελάτη SMB σε Windows NT 4.0 SP 3 και νεότερα συστήματα, τροποποιήστε το μητρώο ως εξής: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        
        Όνομα τιμής: EnablePlainTextPassword
        
        Τύπος δεδομένων: REG_DWORD
        
        Data: 1
        
         

      • Windows Server 2003: Από προεπιλογή, οι ρυθμίσεις ασφαλείας στους ελεγκτές τομέα που εκτελούν τον Windows Server 2003 έχουν ρυθμιστεί έτσι ώστε να αποτρέπουν την υποκλοπή ή την αλλοίωση των επικοινωνιών των ελεγκτών τομέα από κακόβουλους χρήστες. Για να επικοινωνήσουν οι χρήστες με επιτυχία με έναν ελεγκτή τομέα που εκτελεί τον Windows Server 2003, οι υπολογιστές-πελάτες πρέπει να χρησιμοποιούν υπογραφή SMB και κρυπτογράφηση ή ασφαλή υπογραφή κυκλοφορίας καναλιού. Από προεπιλογή, τα προγράμματα-πελάτες που εκτελούν Τα Windows NT 4.0 με Service Pack 2 (SP2) ή παλαιότερη έκδοση εγκατεστημένα και τα προγράμματα-πελάτες που εκτελούν τα Windows 95 δεν έχουν ενεργοποιημένη την υπογραφή πακέτων SMB. Επομένως, αυτοί οι υπολογιστές-πελάτες ενδέχεται να μην έχουν τη δυνατότητα ελέγχου ταυτότητας σε έναν ελεγκτή τομέα που βασίζεται στον Windows Server 2003.

      • Ρυθμίσεις πολιτικής για τα Windows 2000 και τον Windows Server 2003: Ανάλογα με τις συγκεκριμένες ανάγκες εγκατάστασης και τις παραμέτρους της εγκατάστασης, συνιστάται να ορίσετε τις ακόλουθες ρυθμίσεις πολιτικής στη χαμηλότερη οντότητα του απαραίτητου εύρους στην ιεραρχία συμπληρωματικών προγραμμάτων του Προγράμματος διαχείρισης της Microsoft Πολιτική ομάδας πρόγραμμα επεξεργασίας:

        • Ρυθμίσεις παραμέτρων υπολογιστή\Ασφάλεια των Windows Ρυθμίσεις\Επιλογές ασφαλείας

        • Αποστολή μη κρυπτογραφημένου κωδικού πρόσβασης για σύνδεση σε διακομιστές SMB τρίτων (αυτή η ρύθμιση αφορά τα Windows 2000)

        • Πρόγραμμα-πελάτης δικτύου της Microsoft: Αποστολή μη κρυπτογραφημένου κωδικού πρόσβασης σε διακομιστές SMB τρίτων (αυτή η ρύθμιση αφορά τον Windows Server 2003)

        
        Σημείωση Σε ορισμένους διακομιστές CIFS τρίτων, όπως παλαιότερες εκδόσεις Samba, δεν μπορείτε να χρησιμοποιήσετε κρυπτογραφημένους κωδικούς πρόσβασης.

      • Τα παρακάτω προγράμματα-πελάτες δεν είναι συμβατά με το διακομιστή δικτύου της Microsoft: Ρύθμιση επικοινωνίας ψηφιακής υπογραφής (πάντα):

        • Υπολογιστές-πελάτες Apple, Inc., Mac OS X

        • Προγράμματα-πελάτες δικτύου Microsoft MS-DOS (για παράδειγμα, Microsoft LAN Manager)

        • Προγράμματα-πελάτες Microsoft Windows για ομάδες εργασίας

        • Προγράμματα-πελάτες Microsoft Windows 95 χωρίς εγκατεστημένο το πρόγραμμα-πελάτη DS

        • Υπολογιστές με Microsoft Windows NT 4.0 χωρίς εγκατεστημένο το SP3 ή νεότερη έκδοση

        • Προγράμματα-πελάτες Novell Netware 6 CIFS

        • Προγράμματα-πελάτες SAMBA SMB που δεν έχουν υποστήριξη για υπογραφή SMB

   8. Απαιτήσεις επανεκκίνησης
      
      Επανεκκινήστε τον υπολογιστή ή επανεκκινήστε την υπηρεσία διακομιστή. Για να το κάνετε αυτό, πληκτρολογήστε τις ακόλουθες εντολές σε μια γραμμή εντολών. Πατήστε το πλήκτρο Enter αφού πληκτρολογήσετε κάθε εντολή.

      διακομιστής
      net stop διακομιστής net start

7. Πρόσβαση στο δίκτυο: Να επιτρέπεται η ανώνυμη μετάφραση SID/Name

   1. Φόντο
      
      Η ρύθμιση ασφαλείας Να επιτρέπεται η ανώνυμη μετάφραση SID/Name καθορίζει εάν ένας ανώνυμος χρήστης μπορεί να ζητήσει χαρακτηριστικά αναγνωριστικού αριθμού ασφαλείας (SID) για άλλο χρήστη.

   2. Ρύθμιση παραμέτρων επικίνδυνων κινδύνων
      
      Η ενεργοποίηση της ρύθμισης Πρόσβαση δικτύου: Να επιτρέπεται η ανώνυμη μετάφραση SID/Name είναι μια επιβλαβής ρύθμιση παραμέτρων.

   3. Λόγοι ενεργοποίησης αυτής της ρύθμισης
      
      Εάν η ρύθμιση Πρόσβαση δικτύου: Να επιτρέπεται η ανώνυμη μετάφραση SID/Name είναι απενεργοποιημένη, τα παλαιότερα λειτουργικά συστήματα ή εφαρμογές ενδέχεται να μην μπορούν να επικοινωνήσουν με τομείς του Windows Server 2003. Για παράδειγμα, τα ακόλουθα λειτουργικά συστήματα, υπηρεσίες ή εφαρμογές ενδέχεται να μην λειτουργούν:

      • Διακομιστές υπηρεσίας απομακρυσμένης πρόσβασης που βασίζονται σε Windows NT 4.0

      • Microsoft SQL Server που εκτελούνται σε υπολογιστές Windows NT 3.x ή υπολογιστές με Windows NT 4.0

      • Υπηρεσία απομακρυσμένης πρόσβασης που εκτελείται σε υπολογιστές windows 2000 που βρίσκονται σε τομείς Windows NT 3.x ή σε τομείς Windows NT 4.0

      • SQL Server που εκτελείται σε υπολογιστές windows 2000 που βρίσκονται σε τομείς Windows NT 3.x ή σε τομείς Windows NT 4.0

      • Χρήστες στον τομέα πόρων των Windows NT 4.0 που θέλουν να εκχωρήσουν δικαιώματα πρόσβασης σε αρχεία, κοινόχρηστους φακέλους και αντικείμενα μητρώου σε λογαριασμούς χρηστών από τομείς λογαριασμών που περιέχουν ελεγκτές τομέα του Windows Server 2003

   4. Λόγοι απενεργοποίησης αυτής της ρύθμισης
      
      Εάν αυτή η ρύθμιση είναι ενεργοποιημένη, ένας κακόβουλος χρήστης θα μπορούσε να χρησιμοποιήσει το γνωστό SID διαχειριστών για να αποκτήσει το πραγματικό όνομα του ενσωματωμένου λογαριασμού διαχειριστή, ακόμα και αν ο λογαριασμός έχει μετονομαστεί. Αυτό το άτομο θα μπορούσε, στη συνέχεια, να χρησιμοποιήσει το όνομα του λογαριασμού για να ξεκινήσει μια επίθεση εικασίας κωδικού πρόσβασης.

   5. Συμβολικό όνομα: Δ/Υ

   6. Διαδρομή μητρώου: Καμία. Η διαδρομή καθορίζεται στον κώδικα περιβάλλοντος εργασίας χρήστη.

   7. Παραδείγματα προβλημάτων
      
      συμβατότητας Windows NT 4.0: Οι υπολογιστές στους τομείς πόρων των Windows NT 4.0 θα εμφανίσουν το μήνυμα σφάλματος "Άγνωστος λογαριασμός" στο πρόγραμμα επεξεργασίας ACL, εάν οι πόροι, συμπεριλαμβανομένων των κοινόχρηστων φακέλων, των κοινόχρηστων αρχείων και των αντικειμένων μητρώου, ασφαλίζονται με τις αρχές ασφαλείας που βρίσκονται σε τομείς λογαριασμών που περιέχουν ελεγκτές τομέα του Windows Server 2003.

8. Πρόσβαση στο δίκτυο: Να μην επιτρέπεται η ανώνυμη απαρίθμηση λογαριασμών SAM

   1. Φόντο

      • Η ρύθμιση Πρόσβαση δικτύου: Να μην επιτρέπεται η ανώνυμη απαρίθμηση της ρύθμισης λογαριασμών SAM καθορίζει ποια πρόσθετα δικαιώματα θα εκχωρούνται για ανώνυμες συνδέσεις στον υπολογιστή. Τα Windows επιτρέπουν στους ανώνυμους χρήστες να εκτελούν συγκεκριμένες δραστηριότητες, όπως η απαρίθμηση των ονομάτων των λογαριασμών του Workstation και του διακομιστή Security Accounts Manager (SAM) και των κοινόχρηστων στοιχείων δικτύου. Για παράδειγμα, ένας διαχειριστής μπορεί να το χρησιμοποιήσει αυτό για να εκχωρήσει πρόσβαση σε χρήστες σε έναν αξιόπιστο τομέα που δεν διατηρεί αμοιβαία αξιοπιστία. Αφού πραγματοποιηθεί μια περίοδος λειτουργίας, ένας ανώνυμος χρήστης μπορεί να έχει την ίδια πρόσβαση που εκχωρείται στην ομάδα Όλοι με βάση τη ρύθμιση της επιλογής Πρόσβαση στο δίκτυο: Να επιτρέπεται σε όλους τα δικαιώματα να εφαρμόζονται σε ανώνυμους χρήστες που ρυθμίστηκαν ή στη διακριτική λίστα ελέγχου πρόσβασης (DACL) του αντικειμένου.
        
        Συνήθως, οι ανώνυμες συνδέσεις ζητούνται από προηγούμενες εκδόσεις των πελατών (προγράμματα-πελάτες χαμηλού επιπέδου) κατά τη ρύθμιση της περιόδου λειτουργίας SMB. Σε αυτές τις περιπτώσεις, μια ανίχνευση δικτύου δείχνει ότι το αναγνωριστικό διεργασίας SMB (PID) είναι ο ανακατευθυντής προγράμματος-πελάτη, όπως ο 0xFEFF στα Windows 2000 ή 0xCAFE στα Windows NT. Το RPC μπορεί επίσης να προσπαθήσει να κάνει ανώνυμες συνδέσεις.

      • Σημαντικό Αυτή η ρύθμιση δεν επηρεάζει τους ελεγκτές τομέα. Στους ελεγκτές τομέα, αυτή η συμπεριφορά ελέγχεται από την παρουσία του στοιχείου "NT AUTHORITY\ANONYMOUS LOGON" στην "Συμβατή Access πριν από τα Windows 2000".

      • Στα Windows 2000, μια παρόμοια ρύθμιση που ονομάζεται Πρόσθετοι περιορισμοί για ανώνυμες συνδέσεις διαχειρίζεται την τιμή μητρώου RestrictAnonymous . Η θέση αυτής της τιμής είναι η εξής

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA  

   2. Επικίνδυνες ρυθμίσεις παραμέτρων
      
      Ενεργοποίηση της πρόσβασης στο δίκτυο: Η ρύθμιση Να μην επιτρέπεται η ανώνυμη απαρίθμηση λογαριασμών SAM είναι μια επιβλαβής ρύθμιση παραμέτρων από την άποψη της συμβατότητας. Η απενεργοποίηση είναι μια επιβλαβής ρύθμιση παραμέτρων από την άποψη της ασφάλειας.

   3. Λόγοι ενεργοποίησης αυτής της ρύθμισης
      
      Ένας μη εξουσιοδοτημένος χρήστης θα μπορούσε να καταχωρήσει ανώνυμα ονόματα λογαριασμών και, στη συνέχεια, να χρησιμοποιήσει τις πληροφορίες για να προσπαθήσει να μαντέψει κωδικούς πρόσβασης ή να εκτελέσει επιθέσεις κοινωνικής μηχανικής. Η κοινωνική μηχανική είναι μια ορολογία που σημαίνει να εξαπατάτε τους ανθρώπους ώστε να αποκαλύπτουν τους κωδικούς πρόσβασής τους ή κάποια μορφή πληροφοριών ασφαλείας.

   4. Λόγοι απενεργοποίησης αυτής της ρύθμισης
      
      Εάν αυτή η ρύθμιση είναι ενεργοποιημένη, δεν είναι δυνατό να καθοριστούν αξιόπιστες εκδόσεις με τομείς Windows NT 4.0. Αυτή η ρύθμιση προκαλεί επίσης προβλήματα με προγράμματα-πελάτες χαμηλού επιπέδου (όπως προγράμματα-πελάτες Windows NT 3.51 και προγράμματα-πελάτες Windows 95) που προσπαθούν να χρησιμοποιήσουν πόρους στο διακομιστή.

   5. Συμβολικό όνομα:
      
      
      RestrictAnonymousSAM

   6. Διαδρομή μητρώου:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

   7. Παραδείγματα προβλημάτων συμβατότητας

   • Ο εντοπισμός δικτύου SMS δεν θα είναι σε θέση να λάβει πληροφορίες λειτουργικού συστήματος και θα γράψει "Άγνωστο" στην ιδιότητα OperatingSystemNameandVersion.

   • Windows 95, Windows 98: Οι υπολογιστές-πελάτες windows 95 και τα προγράμματα-πελάτες windows 98 δεν θα μπορούν να αλλάξουν τους κωδικούς πρόσβασής τους.

   • Windows NT 4.0: Δεν θα είναι δυνατή η επαλήθευση των υπολογιστών-μελών που βασίζονται σε Windows NT 4.0.

   • Windows 95, Windows 98: Οι υπολογιστές με Windows 95 και Windows 98 δεν θα μπορούν να ελέγχονται από ελεγκτές τομέα της Microsoft.

   • Windows 95, Windows 98: Οι χρήστες σε υπολογιστές με Windows 95 και Windows 98 δεν θα μπορούν να αλλάξουν τους κωδικούς πρόσβασης για τους λογαριασμούς χρηστών τους.

9. Πρόσβαση στο δίκτυο: Να μην επιτρέπεται η ανώνυμη απαρίθμηση λογαριασμών και κοινόχρηστων στοιχείων SAM

   1. Φόντο

      • Πρόσβαση στο δίκτυο: Μην επιτρέπεται η ανώνυμη απαρίθμηση των λογαριασμών ΚΑΙ των κοινόχρηστων στοιχείων SAM (γνωστή και ως RestrictAnonymous) καθορίζει εάν επιτρέπεται η ανώνυμη απαρίθμηση λογαριασμών και κοινόχρηστων στοιχείων της Διαχείρισης λογαριασμών ασφαλείας (SAM). Τα Windows επιτρέπουν στους ανώνυμους χρήστες να εκτελούν συγκεκριμένες δραστηριότητες, όπως η απαρίθμηση των ονομάτων των λογαριασμών τομέα (χρήστες, υπολογιστές και ομάδες) και των κοινόχρηστων στοιχείων δικτύου. Αυτό είναι βολικό, για παράδειγμα, όταν ένας διαχειριστής θέλει να εκχωρήσει πρόσβαση σε χρήστες ενός αξιόπιστου τομέα που δεν διατηρεί αμοιβαία αξιοπιστία. Εάν δεν θέλετε να επιτρέπεται η ανώνυμη απαρίθμηση λογαριασμών SAM και κοινόχρηστων στοιχείων, ενεργοποιήστε αυτήν τη ρύθμιση.

      • Στα Windows 2000, μια παρόμοια ρύθμιση που ονομάζεται Πρόσθετοι περιορισμοί για ανώνυμες συνδέσεις διαχειρίζεται την τιμή μητρώου RestrictAnonymous . Η θέση αυτής της τιμής είναι η εξής:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

   2. Ρύθμιση παραμέτρων επικίνδυνων κινδύνων
      
      Ενεργοποίηση της πρόσβασης στο δίκτυο: Η ρύθμιση Να μην επιτρέπεται η ανώνυμη απαρίθμηση λογαριασμών και κοινόχρηστων στοιχείων SAM είναι μια επιβλαβής ρύθμιση παραμέτρων.

   3. Λόγοι ενεργοποίησης αυτής της ρύθμισης

      • Ενεργοποίηση της πρόσβασης δικτύου: Η ρύθμιση Να μην επιτρέπεται η ανώνυμη απαρίθμηση λογαριασμών ΚΑΙ κοινόχρηστων στοιχείων SAM αποτρέπει την απαρίθμηση λογαριασμών και κοινόχρηστων στοιχείων SAM από χρήστες και υπολογιστές που χρησιμοποιούν ανώνυμους λογαριασμούς.

   4. Λόγοι απενεργοποίησης αυτής της ρύθμισης

      • Εάν αυτή η ρύθμιση είναι ενεργοποιημένη, ένας μη εξουσιοδοτημένος χρήστης θα μπορούσε ανώνυμα να παραθέτει ονόματα λογαριασμών και, στη συνέχεια, να χρησιμοποιήσει τις πληροφορίες για να προσπαθήσει να μαντέψει κωδικούς πρόσβασης ή να εκτελέσει επιθέσεις κοινωνικής μηχανικής. Η κοινωνική μηχανική είναι μια ορολογία που σημαίνει να εξαπατάτε τους ανθρώπους ώστε να αποκαλύπτουν τον κωδικό πρόσβασής τους ή κάποια μορφή πληροφοριών ασφαλείας.

      • Εάν αυτή η ρύθμιση είναι ενεργοποιημένη, δεν θα είναι δυνατή η δημιουργία αξιόπιστων υπηρεσιών με τομείς Windows NT 4.0. Αυτή η ρύθμιση θα προκαλέσει επίσης προβλήματα με προγράμματα-πελάτες χαμηλού επιπέδου, όπως τα προγράμματα-πελάτες Windows NT 3.51 και Windows 95, που προσπαθούν να χρησιμοποιήσουν πόρους στο διακομιστή.

      • Θα είναι αδύνατο να εκχωρήσετε πρόσβαση σε χρήστες τομέων πόρων, επειδή οι διαχειριστές του αξιόπιστου τομέα δεν θα μπορούν να απαριθμήσουν λίστες λογαριασμών στον άλλο τομέα. Οι χρήστες που έχουν πρόσβαση σε αρχεία και διακομιστές εκτύπωσης ανώνυμα δεν θα έχουν τη δυνατότητα να καταχωρούν τους κοινόχρηστους πόρους δικτύου σε αυτούς τους διακομιστές. Οι χρήστες πρέπει να κάνουν έλεγχο ταυτότητας για να προβάλουν τις λίστες κοινόχρηστων φακέλων και εκτυπωτών.

   5. Συμβολικό όνομα:
      
      Restrictanonymous

   6. Διαδρομή μητρώου:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

   7. Παραδείγματα προβλημάτων συμβατότητας

      • Windows NT 4.0: Οι χρήστες δεν θα μπορούν να αλλάξουν τους κωδικούς πρόσβασής τους από σταθμούς εργασίας Windows NT 4.0 όταν είναι ενεργοποιημένος ο RestrictAnonymous σε ελεγκτές τομέα στον τομέα των χρηστών.

      • Windows NT 4.0: Η προσθήκη χρηστών ή καθολικών ομάδων από αξιόπιστους τομείς των Windows 2000 σε τοπικές ομάδες των Windows NT 4.0 στη Διαχείριση χρηστών θα αποτύχει και θα εμφανιστεί το ακόλουθο μήνυμα σφάλματος:

        Προς το παρόν, δεν υπάρχουν διακομιστές σύνδεσης διαθέσιμοι για την εξυπηρέτηση της αίτησης σύνδεσης.

      • Windows NT 4.0: Οι υπολογιστές με Windows NT 4.0 δεν θα μπορούν να συμμετάσχουν σε τομείς κατά την εγκατάσταση ή χρησιμοποιώντας το περιβάλλον εργασίας χρήστη συμμετοχής σε τομέα.

      • Windows NT 4.0: Η δημιουργία μιας αξιοπιστίας κάτω επιπέδου με τους τομείς πόρων των Windows NT 4.0 θα αποτύχει. Το ακόλουθο μήνυμα σφάλματος θα εμφανιστεί όταν είναι ενεργοποιημένος ο RestrictAnonymous στον αξιόπιστο τομέα:

        Δεν ήταν δυνατή η εύρεση ελεγκτή τομέα για αυτόν τον τομέα.

      • Windows NT 4.0: Οι χρήστες που συνδέονται σε υπολογιστές διακομιστή τερματικού που βασίζονται σε Windows NT 4.0 θα αντιστοιχίζονται στον προεπιλεγμένο οικιακό κατάλογο αντί για τον οικιακό κατάλογο που έχει οριστεί στο User Manager για τομείς.

      • Windows NT 4.0: Οι ελεγκτές τομέα αντιγράφων ασφαλείας των Windows NT 4.0 (BDCs) δεν θα μπορούν να εκκινήσουν την υπηρεσία Net Logon, να αποκτήσουν μια λίστα με προγράμματα περιήγησης αντιγράφων ασφαλείας ή να συγχρονίσουν τη βάση δεδομένων SAM από τα Windows 2000 ή από ελεγκτές τομέα του Windows Server 2003 στον ίδιο τομέα.

      • Windows 2000: Οι υπολογιστές-μέλη που βασίζονται σε Windows 2000 σε τομείς Windows NT 4.0 δεν θα μπορούν να προβάλουν εκτυπωτές σε εξωτερικούς τομείς, εάν η ρύθμιση Χωρίς πρόσβαση χωρίς ρητά ανώνυμα δικαιώματα είναι ενεργοποιημένη στην τοπική πολιτική ασφαλείας του υπολογιστή-πελάτη.

      • Windows 2000: Οι χρήστες τομέα των Windows 2000 δεν θα μπορούν να προσθέσουν εκτυπωτές δικτύου από την υπηρεσία καταλόγου Active Directory. Ωστόσο, θα μπορούν να προσθέσουν εκτυπωτές αφού τους επιλέξουν από την προβολή δέντρου.

      • Windows 2000: Σε υπολογιστές με Windows 2000, το πρόγραμμα επεξεργασίας ACL δεν θα μπορεί να προσθέσει χρήστες ή καθολικές ομάδες από αξιόπιστους τομείς Windows NT 4.0.

      • ADMT έκδοση 2: Η μετεγκατάσταση με κωδικό πρόσβασης για λογαριασμούς χρηστών που μετεγκαθίστανται μεταξύ δασών με το Εργαλείο μετεγκατάστασης υπηρεσίας καταλόγου Active Directory (ADMT) έκδοση 2 θα αποτύχει.
        
        Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του παρακάτω άρθρου για να προβάλετε το άρθρο στη Γνωσιακή βάση της Microsoft:

        322981 Τρόπος αντιμετώπισης προβλημάτων μετεγκατάστασης κωδικών πρόσβασης μεταξύ δασών με το ADMTv2

      • Προγράμματα-πελάτες του Outlook: Η καθολική λίστα διευθύνσεων θα εμφανίζεται κενή στα προγράμματα-πελάτες του Microsoft Exchange Outlook.

      • SMS: Ο εντοπισμός δικτύου του Microsoft Systems Management Server (SMS) δεν θα είναι σε θέση να λάβει τις πληροφορίες του λειτουργικού συστήματος. Επομένως, θα γράψει "Άγνωστο" στην ιδιότητα OperatingSystemNameandVersion της ιδιότητας SMS DDR της εγγραφής δεδομένων εντοπισμού (DDR).

      • SMS: Όταν χρησιμοποιείτε τον Οδηγό χρήστη διαχειριστή SMS για να αναζητήσετε χρήστες και ομάδες, δεν θα εμφανίζονται χρήστες ή ομάδες. Επιπλέον, τα προγράμματα-πελάτες για προχωρημένους δεν μπορούν να επικοινωνήσουν με το σημείο διαχείρισης. Στο Σημείο διαχείρισης απαιτείται ανώνυμη πρόσβαση.

      • SMS: Όταν χρησιμοποιείτε τη δυνατότητα εντοπισμού δικτύου στο SMS 2.0 και στην εγκατάσταση απομακρυσμένου προγράμματος-πελάτη με ενεργοποιημένη την επιλογή εντοπισμού δικτύου τοπολογίας, προγράμματος-πελάτη και προγράμματος-πελάτη, οι υπολογιστές ενδέχεται να εντοπιστούν αλλά να μην εγκατασταθούν.

10. Ασφάλεια δικτύου: Επίπεδο ελέγχου ταυτότητας Lan Manager

    1. Φόντο
       
       Ο έλεγχος ταυτότητας LAN Manager (LM) είναι το πρωτόκολλο που χρησιμοποιείται για τον έλεγχο ταυτότητας των υπολογιστών-πελατών των Windows για λειτουργίες δικτύου, συμπεριλαμβανομένων των συνδέσμων τομέα, της πρόσβασης σε πόρους δικτύου και του ελέγχου ταυτότητας χρήστη ή υπολογιστή. Το επίπεδο ελέγχου ταυτότητας LM καθορίζει ποιο πρωτόκολλο ελέγχου ταυτότητας πρόκλησης/απόκρισης αποτελεί αντικείμενο διαπραγμάτευσης μεταξύ του υπολογιστή-πελάτη και των υπολογιστών διακομιστή. Συγκεκριμένα, το επίπεδο ελέγχου ταυτότητας LM καθορίζει ποια πρωτόκολλα ελέγχου ταυτότητας θα προσπαθήσει να διαπραγματευτεί ο υπολογιστής-πελάτης ή ποια θα αποδεχθεί ο διακομιστής. Η τιμή που έχει οριστεί για το LmCompatibilityLevel καθορίζει ποιο πρωτόκολλο ελέγχου ταυτότητας πρόκλησης/απόκρισης χρησιμοποιείται για συνδέσεις δικτύου. Αυτή η τιμή επηρεάζει το επίπεδο του πρωτοκόλλου ελέγχου ταυτότητας που χρησιμοποιούν οι υπολογιστές-πελάτες, το επίπεδο ασφάλειας περιόδου λειτουργίας που αποτέλεσε αντικείμενο διαπραγμάτευσης και το επίπεδο ελέγχου ταυτότητας που έγινε αποδεκτό από τους διακομιστές.
       
       Στις πιθανές ρυθμίσεις περιλαμβάνονται οι εξής.

       Τιμή	Ρύθμιση	Περιγραφή
       0	Αποστολή απαντήσεων LM & NTLM	Οι υπολογιστές-πελάτες χρησιμοποιούν έλεγχο ταυτότητας LM και NTLM και δεν χρησιμοποιούν ποτέ ασφάλεια περιόδου λειτουργίας NTLMv2. Οι ελεγκτές τομέα αποδέχονται έλεγχο ταυτότητας LM, NTLM και NTLMv2.
       1	Send LM & NTLM - use NTLMv2 session security if negotiated	Τα προγράμματα-πελάτες χρησιμοποιούν έλεγχο ταυτότητας LM και NTLM και χρησιμοποιούν ασφάλεια περιόδου λειτουργίας NTLMv2 εάν ο διακομιστής το υποστηρίζει. Οι ελεγκτές τομέα αποδέχονται έλεγχο ταυτότητας LM, NTLM και NTLMv2.
       2	Αποστολή μόνο απόκρισης NTLM	Οι υπολογιστές-πελάτες χρησιμοποιούν έλεγχο ταυτότητας NTLM μόνο και χρησιμοποιούν ασφάλεια περιόδου λειτουργίας NTLMv2, εάν ο διακομιστής το υποστηρίζει. Οι ελεγκτές τομέα αποδέχονται έλεγχο ταυτότητας LM, NTLM και NTLMv2.
       3	Αποστολή μόνο απόκρισης NTLMv2	Οι υπολογιστές-πελάτες χρησιμοποιούν έλεγχο ταυτότητας NTLMv2 μόνο και χρησιμοποιούν ασφάλεια περιόδου λειτουργίας NTLMv2 εάν ο διακομιστής τον υποστηρίζει. Οι ελεγκτές τομέα αποδέχονται έλεγχο ταυτότητας LM, NTLM και NTLMv2.
       4	Αποστολή μόνο απόκρισης NTLMv2/απόρριψη LM	Οι υπολογιστές-πελάτες χρησιμοποιούν έλεγχο ταυτότητας NTLMv2 μόνο και χρησιμοποιούν ασφάλεια περιόδου λειτουργίας NTLMv2 εάν ο διακομιστής τον υποστηρίζει. Οι ελεγκτές τομέα αρνούνται το LM και αποδέχονται μόνο έλεγχο ταυτότητας NTLM και NTLMv2.
       5	Αποστολή μόνο απόκρισης NTLMv2/απόρριψη LM & NTLM	Οι υπολογιστές-πελάτες χρησιμοποιούν έλεγχο ταυτότητας NTLMv2 μόνο και χρησιμοποιούν ασφάλεια περιόδου λειτουργίας NTLMv2 εάν ο διακομιστής τον υποστηρίζει. Οι ελεγκτές τομέα αρνούνται το LM και το NTLM και αποδέχονται μόνο έλεγχο ταυτότητας NTLMv2.

       Σημείωση Στα Windows 95, τα Windows 98 και τα Windows 98 Second Edition, το πρόγραμμα-πελάτης υπηρεσιών καταλόγου χρησιμοποιεί υπογραφή SMB κατά τον έλεγχο ταυτότητας με διακομιστές του Windows Server 2003 χρησιμοποιώντας έλεγχο ταυτότητας NTLM. Ωστόσο, αυτά τα προγράμματα-πελάτες δεν χρησιμοποιούν υπογραφή SMB κατά τον έλεγχο ταυτότητας με αυτούς τους διακομιστές χρησιμοποιώντας έλεγχο ταυτότητας NTLMv2. Επιπλέον, οι διακομιστές Windows 2000 δεν ανταποκρίνονται σε αιτήματα υπογραφής SMB από αυτά τα προγράμματα-πελάτες.
       
       Ελέγξτε το επίπεδο ελέγχου ταυτότητας LM: Πρέπει να αλλάξετε την πολιτική στο διακομιστή για να επιτρέψετε το NTLM ή πρέπει να ρυθμίσετε τις παραμέτρους του υπολογιστή-πελάτη ώστε να υποστηρίζει NTLMv2.
       
       Εάν η πολιτική έχει οριστεί σε (5) Αποστολή μόνο απόκρισης NTLMv2\απόρριψη LM & NTLM στον υπολογιστή προορισμού στον οποίο θέλετε να συνδεθείτε, πρέπει είτε να μειώσετε τη ρύθμιση σε αυτόν τον υπολογιστή είτε να ορίσετε την ασφάλεια στην ίδια ρύθμιση που υπάρχει στον υπολογιστή προέλευσης από τον οποίο συνδέεστε.
       
       Βρείτε τη σωστή θέση όπου μπορείτε να αλλάξετε το επίπεδο ελέγχου ταυτότητας διαχείρισης LAN για να ορίσετε το πρόγραμμα-πελάτη και το διακομιστή στο ίδιο επίπεδο. Αφού βρείτε την πολιτική που ορίζει το επίπεδο ελέγχου ταυτότητας διαχείρισης LAN, εάν θέλετε να συνδεθείτε από και προς υπολογιστές που εκτελούν παλαιότερες εκδόσεις των Windows, μειώστε την τιμή σε τουλάχιστον (1) Αποστολή LM & NTLM - χρησιμοποιήστε την ασφάλεια περιόδου λειτουργίας NTLM έκδοσης 2, εάν υπάρχει διαπραγμάτευση. Ένα αποτέλεσμα των μη συμβατών ρυθμίσεων είναι ότι εάν ο διακομιστής απαιτεί NTLMv2 (τιμή 5), αλλά ο υπολογιστής-πελάτης έχει ρυθμιστεί ώστε να χρησιμοποιεί μόνο LM και NTLMv1 (τιμή 0), ο χρήστης που δοκιμάζει τον έλεγχο ταυτότητας αντιμετωπίζει ένα σφάλμα σύνδεσης που έχει εσφαλμένο κωδικό πρόσβασης και αυτό αυξάνει το εσφαλμένο πλήθος κωδικών πρόσβασης. Εάν έχει ρυθμιστεί ο αποκλεισμός λογαριασμού, ο χρήστης μπορεί τελικά να κλειδωθεί.
       
       Για παράδειγμα, ίσως χρειαστεί να ανατρέξετε στον ελεγκτή τομέα ή ίσως χρειαστεί να εξετάσετε τις πολιτικές του ελεγκτή τομέα.
       
       Αναζητήστε τον ελεγκτή
       
       τομέα Σημείωση Ίσως χρειαστεί να επαναλάβετε την ακόλουθη διαδικασία σε όλους τους ελεγκτές τομέα.

       1. Κάντε κλικ στο κουμπί Έναρξη, τοποθετήστε το δείκτη του ποντικιού στην επιλογή Προγράμματα και, στη συνέχεια, κάντε κλικ στην επιλογή Εργαλεία διαχείρισης.

       2. Στην περιοχή Τοπικές ρυθμίσεις ασφαλείας, αναπτύξτε το στοιχείο Τοπικές πολιτικές.

       3. Κάντε κλικ στο στοιχείο Επιλογές ασφάλειας.

       4. Κάντε διπλό κλικ στην επιλογή Ασφάλεια δικτύου: Επίπεδο ελέγχου ταυτότητας διαχείρισης LAN και, στη συνέχεια, κάντε κλικ σε μια τιμή από τη λίστα.

       
       Εάν η ρύθμιση αποτελεσματικότητας και η τοπική ρύθμιση είναι ίδιες, η πολιτική έχει αλλάξει σε αυτό το επίπεδο. Εάν οι ρυθμίσεις είναι διαφορετικές, πρέπει να ελέγξετε την πολιτική του ελεγκτή τομέα για να προσδιορίσετε εάν έχει οριστεί εκεί η ρύθμιση επιπέδου ελέγχου ταυτότητας ασφάλειας δικτύου: LAN manager. Εάν δεν οριστεί εκεί, εξετάστε τις πολιτικές του ελεγκτή τομέα.
       
       Εξέταση των πολιτικών του ελεγκτή τομέα

       1. Κάντε κλικ στο κουμπί Έναρξη, τοποθετήστε το δείκτη του ποντικιού στην επιλογή Προγράμματα και, στη συνέχεια, κάντε κλικ στην επιλογή Εργαλεία διαχείρισης.

       2. Στην πολιτική ασφαλείας ελεγκτή τομέα , αναπτύξτε τις Ρυθμίσεις ασφαλείας και, στη συνέχεια, αναπτύξτε την επιλογή Τοπικές πολιτικές.

       3. Κάντε κλικ στο στοιχείο Επιλογές ασφάλειας.

       4. Κάντε διπλό κλικ στην επιλογή Ασφάλεια δικτύου: Επίπεδο ελέγχου ταυτότητας διαχείρισης LAN και, στη συνέχεια, κάντε κλικ σε μια τιμή από τη λίστα.

       
       Σημείωση

       • Ίσως χρειαστεί επίσης να ελέγξετε τις πολιτικές που είναι συνδεδεμένες σε επίπεδο τοποθεσίας, σε επίπεδο τομέα ή σε επίπεδο οργανικής μονάδας (OU), για να προσδιορίσετε πού πρέπει να ρυθμίσετε τις παραμέτρους του επιπέδου ελέγχου ταυτότητας διαχειριστή LAN.

       • Εάν εφαρμόσετε μια ρύθμιση Πολιτική ομάδας ως προεπιλεγμένη πολιτική τομέα, η πολιτική εφαρμόζεται σε όλους τους υπολογιστές στον τομέα.

       • Εάν εφαρμόσετε μια ρύθμιση Πολιτική ομάδας ως πολιτική του προεπιλεγμένου ελεγκτή τομέα, η πολιτική ισχύει μόνο για τους διακομιστές στην OU του ελεγκτή τομέα.

       • Είναι καλή ιδέα να ορίσετε το επίπεδο ελέγχου ταυτότητας διαχειριστή LAN στη χαμηλότερη οντότητα του απαραίτητου εύρους στην ιεραρχία εφαρμογών πολιτικής.

       Ο Windows Server 2003 διαθέτει μια νέα προεπιλεγμένη ρύθμιση για τη χρήση μόνο NTLMv2. Από προεπιλογή, οι ελεγκτές τομέα που βασίζονται σε Windows Server 2003 και Windows 2000 Server SP3 έχουν ενεργοποιήσει την πολιτική "Διακομιστής δικτύου Της Microsoft: Ψηφιακή υπογραφή επικοινωνιών (πάντα)". Αυτή η ρύθμιση απαιτεί από το διακομιστή SMB να εκτελεί υπογραφή πακέτων SMB. Πραγματοποιήθηκαν αλλαγές στον Windows Server 2003, επειδή οι ελεγκτές τομέα, οι διακομιστές αρχείων, οι διακομιστές υποδομής δικτύου και οι διακομιστές Web σε οποιονδήποτε οργανισμό απαιτούν διαφορετικές ρυθμίσεις για τη μεγιστοποίηση της ασφάλειάς τους.
       
       Εάν θέλετε να εφαρμόσετε έλεγχο ταυτότητας NTLMv2 στο δίκτυό σας, πρέπει να βεβαιωθείτε ότι όλοι οι υπολογιστές στον τομέα έχουν ρυθμιστεί ώστε να χρησιμοποιούν αυτό το επίπεδο ελέγχου ταυτότητας. Εάν εφαρμόσετε επεκτάσεις προγράμματος-πελάτη Active Directory για Windows 95 ή Windows 98 και Windows NT 4.0, οι επεκτάσεις προγράμματος-πελάτη χρησιμοποιούν τις βελτιωμένες δυνατότητες ελέγχου ταυτότητας που είναι διαθέσιμες στο NTLMv2. Επειδή οι υπολογιστές-πελάτες που εκτελούν οποιοδήποτε από τα παρακάτω λειτουργικά συστήματα δεν επηρεάζονται από τα Windows 2000 Πολιτική ομάδας Αντικείμενα, ίσως χρειαστεί να ρυθμίσετε με μη αυτόματο τρόπο αυτές τις παραμέτρους για αυτά τα προγράμματα-πελάτες:

       • Microsoft Windows NT 4.0

       • Microsoft Windows Millennium Edition

       • Microsoft Windows 98

       • Microsoft Windows 95

       Σημείωση Εάν ενεργοποιήσετε την ασφάλεια δικτύου: Μην αποθηκεύετε την τιμή κατακερματισμού του LAN manager στην επόμενη πολιτική αλλαγής κωδικού πρόσβασης ή μην ορίζετε το κλειδί μητρώου NoLMHash , προγράμματα-πελάτες που βασίζονται σε Windows 95 και Windows 98 και δεν έχουν εγκατεστημένο το πρόγραμμα-πελάτη υπηρεσιών καταλόγου δεν μπορούν να συνδεθούν στον τομέα μετά από μια αλλαγή κωδικού πρόσβασης.
       
       Πολλοί διακομιστές CIFS άλλων κατασκευαστών, όπως η Novell Netware 6, δεν γνωρίζουν το NTLMv2 και χρησιμοποιούν μόνο NTLM. Επομένως, τα επίπεδα που είναι μεγαλύτερα από 2 δεν επιτρέπουν τη σύνδεση. Υπάρχουν επίσης προγράμματα-πελάτες SMB τρίτων που δεν χρησιμοποιούν ασφάλεια εκτεταμένης περιόδου λειτουργίας. Σε αυτές τις περιπτώσεις, δεν λαμβάνεται υπόψη το LmCompatiblityLevel του διακομιστή πόρων. Στη συνέχεια, ο διακομιστής συσκευάζει αυτό το αίτημα παλαιού τύπου και το στέλνει στον ελεγκτή τομέα χρήστη. Οι ρυθμίσεις στον ελεγκτή τομέα, στη συνέχεια, αποφασίζουν ποιοι κατακερματισοί χρησιμοποιούνται για την επαλήθευση της αίτησης και εάν πληρούν τις απαιτήσεις ασφαλείας του ελεγκτή τομέα.
       
        

       299656 Τρόπος αποτροπής των Windows από την αποθήκευση ενός κατακερματισμού του κωδικού πρόσβασης διαχειριστή LAN στις βάσεις δεδομένων Active Directory και local SAM
        

       2701704Το συμβάν ελέγχου εμφανίζει ένα πακέτο ελέγχου ταυτότητας ως NTLMv1 αντί για NTLMv2 Για περισσότερες πληροφορίες σχετικά με τα επίπεδα ελέγχου ταυτότητας LM, κάντε κλικ στον αριθμό του παρακάτω άρθρου για να προβάλετε το άρθρο στη Γνωσιακή βάση της Microsoft:

       239869 Τρόπος ενεργοποίησης του ελέγχου ταυτότητας NTLM 2
        

    2. Επικίνδυνες ρυθμίσεις παραμέτρων
       
       Ακολουθούν επιβλαβείς ρυθμίσεις παραμέτρων:

       • Μη περιοριστικές ρυθμίσεις που στέλνουν κωδικούς πρόσβασης σε cleartext και που αρνούνται τη διαπραγμάτευση NTLMv2

       • Περιοριστικές ρυθμίσεις που εμποδίζουν μη συμβατούς υπολογιστές-πελάτες ή ελεγκτές τομέα από τη διαπραγμάτευση ενός κοινού πρωτοκόλλου ελέγχου ταυτότητας

       • Απαιτείται έλεγχος ταυτότητας NTLMv2 σε υπολογιστές-μέλη και ελεγκτές τομέα που εκτελούν εκδόσεις των Windows NT 4.0 που είναι παλαιότερες από το Service Pack 4 (SP4)

       • Απαιτείται έλεγχος ταυτότητας NTLMv2 σε προγράμματα-πελάτες Windows 95 ή σε προγράμματα-πελάτες Windows 98 που δεν έχουν εγκατεστημένο το πρόγραμμα-πελάτη των υπηρεσιών καταλόγου των Windows.

       • Εάν κάνετε κλικ για να επιλέξετε το πλαίσιο ελέγχου Να απαιτείται ασφάλεια περιόδου λειτουργίας NTLMv2 στο συμπληρωματικό πρόγραμμα επεξεργασίας της Κονσόλας διαχείρισης της Microsoft Πολιτική ομάδας σε έναν υπολογιστή που βασίζεται σε Windows Server 2003 ή Windows 2000 Service Pack 3 και μειώσετε το επίπεδο ελέγχου ταυτότητας διαχειριστή LAN σε 0, οι δύο ρυθμίσεις έρχονται σε διένεξη και ενδέχεται να λάβετε το ακόλουθο μήνυμα σφάλματος στο αρχείο Secpol.msc ή στο αρχείο GPEdit.msc:

         Τα Windows δεν μπορούν να ανοίξουν τη βάση δεδομένων τοπικής πολιτικής. Παρουσιάστηκε ένα άγνωστο σφάλμα κατά την προσπάθεια ανοίγματος της βάσης δεδομένων.

         Για περισσότερες πληροφορίες σχετικά με το Εργαλείο ρύθμισης παραμέτρων και ανάλυσης ασφαλείας, ανατρέξτε στα αρχεία Βοήθειας των Windows 2000 ή του Windows Server 2003.

    3. Λόγοι τροποποίησης αυτής της ρύθμισης

       • Θέλετε να αυξήσετε το χαμηλότερο κοινό πρωτόκολλο ελέγχου ταυτότητας που υποστηρίζεται από υπολογιστές-πελάτες και ελεγκτές τομέα στον οργανισμό σας.

       • Όπου ο ασφαλής έλεγχος ταυτότητας είναι μια επιχειρηματική απαίτηση, θέλετε να μην επιτρέπονται οι διαπραγματεύσεις για τα πρωτόκολλα LM και NTLM.

    4. Λόγοι απενεργοποίησης αυτής της ρύθμισης
       
       Οι απαιτήσεις ελέγχου ταυτότητας υπολογιστή-πελάτη ή διακομιστή ή και τα δύο έχουν αυξηθεί στο σημείο όπου δεν είναι δυνατός ο έλεγχος ταυτότητας μέσω ενός κοινού πρωτοκόλλου.

    5. Συμβολικό όνομα:
       
       LmCompatibilityLevel

    6. Διαδρομή μητρώου:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. Παραδείγματα προβλημάτων συμβατότητας

       • Windows Server 2003: Από προεπιλογή, η ρύθμιση αποστολής απαντήσεων NTLM του Windows Server 2003 NTLMv2 είναι ενεργοποιημένη. Επομένως, ο Windows Server 2003 λαμβάνει το μήνυμα σφάλματος "Δεν επιτρέπεται η πρόσβαση" μετά την αρχική εγκατάσταση, όταν προσπαθείτε να συνδεθείτε σε ένα σύμπλεγμα windows NT 4.0 ή σε διακομιστές που βασίζονται σε LanManager V2.1, όπως os/2 Lanserver. Αυτό το πρόβλημα παρουσιάζεται επίσης εάν προσπαθήσετε να συνδεθείτε από ένα πρόγραμμα-πελάτη προηγούμενης έκδοσης σε ένα διακομιστή που βασίζεται σε Windows Server 2003.

       • Εγκαθιστάτε το Πακέτο συνάθροισης ασφαλείας 1 (SRP1) των Windows 2000. SRP1 forces NTLM version 2 (NTLMv2). Αυτό το πακέτο συνάθροισης κυκλοφόρησε μετά την κυκλοφορία του Windows 2000 Service Pack 2 (SP2).
          

       • Windows 7 και Windows Server 2008 R2: Πολλοί διακομιστές CIFS τρίτων, όπως διακομιστές Novell Netware 6 ή Samba που βασίζονται σε Linux, δεν γνωρίζουν το NTLMv2 και χρησιμοποιούν μόνο NTLM. Επομένως, τα επίπεδα που είναι μεγαλύτερα από το "2" δεν επιτρέπουν τη σύνδεση. Τώρα, σε αυτή την έκδοση του λειτουργικού συστήματος, η προεπιλογή για το LmCompatibilityLevel άλλαξε σε "3". Επομένως, κατά την αναβάθμιση των Windows, αυτά τα αρχεία τρίτων κατασκευαστών ενδέχεται να σταματήσουν να λειτουργούν.

       • Ενδέχεται να ζητηθούν διαπιστευτήρια στα προγράμματα-πελάτες του Microsoft Outlook, παρόλο που είναι ήδη συνδεδεμένα στον τομέα. Όταν οι χρήστες παρέχουν τα διαπιστευτήριά τους, λαμβάνουν το ακόλουθο μήνυμα σφάλματος: Windows 7 και Windows Server 2008 R2

         Τα διαπιστευτήρια σύνδεσης που παρέχονται δεν ήταν σωστά. Βεβαιωθείτε ότι το όνομα χρήστη και ο τομέας σας είναι σωστά και, στη συνέχεια, πληκτρολογήστε ξανά τον κωδικό πρόσβασής σας.

         Κατά την εκκίνηση του Outlook, ενδέχεται να σας ζητηθούν τα διαπιστευτήριά σας, ακόμα και αν η ρύθμιση Ασφάλειας δικτύου σύνδεσης έχει οριστεί σε Διαβίβαση ή Έλεγχος ταυτότητας με κωδικό πρόσβασης. Αφού πληκτρολογήσετε τα σωστά διαπιστευτήριά σας, ενδέχεται να λάβετε το ακόλουθο μήνυμα σφάλματος:

         Τα διαπιστευτήρια σύνδεσης που παρέχονται δεν ήταν σωστά.

         Μια ανίχνευση εποπτείας δικτύου μπορεί να δείχνει ότι ο καθολικός κατάλογος εξέδωσε ένα σφάλμα κλήσης απομακρυσμένης διαδικασίας (RPC) με κατάσταση 0x5. Η κατάσταση του 0x5 σημαίνει "Δεν επιτρέπεται η πρόσβαση".

       • Windows 2000: Μια καταγραφή εποπτείας δικτύου μπορεί να εμφανίσει τα ακόλουθα σφάλματα στο NetBIOS μέσω περιόδου λειτουργίας μπλοκ μηνυμάτων διακομιστή TCP/IP (NetBT):

         Σφάλμα SMB R Search Directory Dos, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Μη έγκυρο αναγνωριστικό χρήστη

       • Windows 2000: Εάν ένας τομέας Windows 2000 με NTLMv2 Επιπέδου 2 ή νεότερη έκδοση θεωρείται αξιόπιστος από έναν τομέα Windows NT 4.0, οι υπολογιστές-μέλη που βασίζονται σε Windows 2000 στον τομέα πόρων ενδέχεται να αντιμετωπίσουν σφάλματα ελέγχου ταυτότητας.

       • Windows 2000 και Windows XP: Από προεπιλογή, τα Windows 2000 και τα Windows XP ορίζουν την επιλογή Τοπικής πολιτικής ασφαλείας επιπέδου ελέγχου ταυτότητας LAN Σε επίπεδο LAN σε 0. Μια ρύθμιση 0 σημαίνει "Αποστολή απαντήσεων LM και NTLM".
         
         Σημείωση Τα συμπλέγματα που βασίζονται στα Windows NT 4.0 πρέπει να χρησιμοποιούν LM για τη διαχείριση.

       • Windows 2000: Η δημιουργία συμπλέγματος των Windows 2000 δεν πραγματοποιεί έλεγχο ταυτότητας για έναν κόμβο σύνδεσης, εάν και οι δύο κόμβοι αποτελούν μέρος ενός τομέα Windows NT 4.0 Service Pack 6a (SP6a).

       • Το εργαλείο κλειδώματος IIS (HiSecWeb) ορίζει την τιμή LMCompatibilityLevel σε 5 και την τιμή RestrictAnonymous σε 2.

       • Υπηρεσίες για Macintosh
         
         Λειτουργική μονάδα ελέγχου ταυτότητας χρήστη (UAM): Η Λειτουργική μονάδα ελέγχου ταυτότητας χρήστη (Microsoft UAM) παρέχει μια μέθοδο για την κρυπτογράφηση των κωδικών πρόσβασης που χρησιμοποιείτε για να συνδεθείτε σε διακομιστές Windows AFP (AppleTalk Filing Protocol). Η Μονάδα ελέγχου ταυτότητας χρηστών της Apple (UAM) παρέχει μόνο ελάχιστη ή καμία κρυπτογράφηση. Επομένως, ο κωδικός πρόσβασής σας θα μπορούσε εύκολα να αναχαιτιστεί στο LAN ή στο Internet. Παρόλο που το UAM δεν είναι απαραίτητο, παρέχει κρυπτογραφημένο έλεγχο ταυτότητας σε διακομιστές Windows 2000 που εκτελούν υπηρεσίες για Macintosh. Αυτή η έκδοση περιλαμβάνει υποστήριξη για κρυπτογραφημένο έλεγχο ταυτότητας NTLMv2 128 bit και έκδοση συμβατή με MacOS X 10.1.
         
         Από προεπιλογή, ο διακομιστής Windows Server 2003 Services for Macintosh επιτρέπει μόνο τον Έλεγχο ταυτότητας της Microsoft.
          

       • Windows Server 2008, Windows Server 2003, Windows XP και Windows 2000: Εάν ρυθμίσετε τις παραμέτρους της τιμής LMCompatibilityLevel σε 0 ή 1 και, στη συνέχεια, ρυθμίσετε τις παραμέτρους της τιμής NoLMHash σε 1, ενδέχεται να μην επιτρέπεται η πρόσβαση σε εφαρμογές και στοιχεία μέσω NTLM. Αυτό το πρόβλημα παρουσιάζεται επειδή ο υπολογιστής έχει ρυθμιστεί ώστε να ενεργοποιεί το LM αλλά να μην χρησιμοποιεί κωδικούς πρόσβασης αποθηκευμένους σε LM.
         
         Εάν ρυθμίσετε τις παραμέτρους της τιμής NoLMHash ώστε να είναι 1, πρέπει να ρυθμίσετε τις παραμέτρους της τιμής LMCompatibilityLevel σε 2 ή νεότερη τιμή.

11. Ασφάλεια δικτύου: Απαιτήσεις υπογραφής προγράμματος-πελάτη LDAP

    1. Φόντο
       
       Η ρύθμιση Απαιτήσεις υπογραφής προγράμματος-πελάτη LDAP καθορίζει το επίπεδο της υπογραφής δεδομένων που ζητείται εκ μέρους των υπολογιστών-πελατών που εκδίδουν αιτήσεις BIND ελαφριού πρωτοκόλλου πρόσβασης καταλόγου (LDAP) ως εξής:

       • Καμία: Η αίτηση LDAP BIND εκδίδεται με τις επιλογές που καθορίζονται από τον καλούντα.

       • Υπογραφή διαπραγμάτευσης: Εάν η ασφάλεια Secure Sockets Layer/Transport Layer Security (SSL/TLS) δεν έχει ξεκινήσει, η αίτηση LDAP BIND ξεκινά με την επιλογή υπογραφής δεδομένων LDAP που έχει οριστεί επιπλέον των επιλογών που καθορίζονται από τον καλούντα. Εάν έχει ξεκινήσει SSL/TLS, η αίτηση LDAP BIND ξεκινά με τις επιλογές που καθορίζονται από τον καλούντα.

       • Απαιτείται υπογραφή: Αυτό είναι το ίδιο με την υπογραφή Της Διαπραγμάτευσης. Ωστόσο, εάν η ενδιάμεση απόκριση saslBindInProgress του διακομιστή LDAP δεν υποδεικνύει ότι απαιτείται υπογραφή κυκλοφορίας LDAP, ο καλών ενημερώνεται ότι η αίτηση εντολής LDAP BIND απέτυχε.

    2. Ρύθμιση παραμέτρων επικίνδυνων κινδύνων
       
       Ενεργοποίηση της ρύθμισης Απαιτήσεων υπογραφής προγράμματος-πελάτη LDAP είναι μια επιβλαβής ρύθμιση παραμέτρων. Εάν ορίσετε το διακομιστή έτσι ώστε να απαιτεί υπογραφές LDAP, πρέπει επίσης να ρυθμίσετε τις παραμέτρους υπογραφής LDAP στον υπολογιστή-πελάτη. Η μη ρύθμιση παραμέτρων του προγράμματος-πελάτη για χρήση υπογραφών LDAP θα αποτρέψει την επικοινωνία με το διακομιστή. Αυτό έχει ως αποτέλεσμα την αποτυχία ελέγχου ταυτότητας χρήστη, ρυθμίσεων Πολιτική ομάδας, δεσμών ενεργειών σύνδεσης και άλλων δυνατοτήτων.

    3. Λόγοι τροποποίησης αυτής της ρύθμισης
       
       Η ανυπόγραφη κίνηση δικτύου είναι επιρρεπής σε επιθέσεις ενδιάμεσου χρήστη, όπου ένας εισβολέας καταγράφει πακέτα μεταξύ του υπολογιστή-πελάτη και των διακομιστών, τα τροποποιεί και, στη συνέχεια, τα προωθεί στο διακομιστή. Όταν συμβαίνει αυτό σε ένα διακομιστή LDAP, ένας εισβολέας θα μπορούσε να προκαλέσει την απόκριση ενός διακομιστή βάσει ψευδών ερωτημάτων από το πρόγραμμα-πελάτη LDAP. Μπορείτε να μειώσετε αυτόν τον κίνδυνο σε ένα εταιρικό δίκτυο εφαρμόζοντας ισχυρά φυσικά μέτρα ασφαλείας για την προστασία της υποδομής του δικτύου. Επιπλέον, μπορείτε να αποτρέψετε κάθε είδους επιθέσεις ενδιάμεσων ατόμων, απαιτώντας ψηφιακές υπογραφές σε όλα τα πακέτα δικτύου μέσω κεφαλίδων ελέγχου ταυτότητας IPSec.

    4. Συμβολικό όνομα:
       
       LDAPClientIntegrity

    5. Διαδρομή μητρώου:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

12. Αρχείο καταγραφής συμβάντων: Μέγιστο μέγεθος αρχείου καταγραφής ασφαλείας

    1. Φόντο
       
       Το αρχείο καταγραφής συμβάντων: Η ρύθμιση ασφαλείας μέγιστου μεγέθους αρχείου καταγραφής ασφαλείας καθορίζει το μέγιστο μέγεθος του αρχείου καταγραφής συμβάντων ασφαλείας. Αυτό το αρχείο καταγραφής έχει μέγιστο μέγεθος 4 GB. Για να εντοπίσετε αυτήν τη ρύθμιση, αναπτύξτε
       τις Ρυθμίσεις των Windows και, στη συνέχεια, αναπτύξτε το στοιχείο Ρυθμίσεις ασφαλείας.

    2. Επικίνδυνες ρυθμίσεις παραμέτρων
       
       Ακολουθούν επιβλαβείς ρυθμίσεις παραμέτρων:

       • Περιορισμός του μεγέθους του αρχείου καταγραφής ασφαλείας και της μεθόδου διατήρησης αρχείου καταγραφής ασφαλείας, όταν είναι ενεργοποιημένη η ρύθμιση Έλεγχος: Τερματισμός λειτουργίας συστήματος αμέσως εάν δεν είναι δυνατή η καταγραφή των ελέγχων ασφαλείας. Ανατρέξτε στην ενότητα "Έλεγχος: Άμεση διακοπή λειτουργίας συστήματος εάν δεν είναι δυνατή η καταγραφή ελέγχων ασφαλείας" αυτού του άρθρου για περισσότερες λεπτομέρειες.

       • Περιορισμός του μεγέθους του αρχείου καταγραφής ασφαλείας, ώστε να αντικατασταθούν τα συμβάντα ασφαλείας που παρουσιάζουν ενδιαφέρον.

    3. Λόγοι για να αυξήσετε αυτήν τη ρύθμιση
       
       Οι επιχειρηματικές απαιτήσεις και οι απαιτήσεις ασφαλείας ενδέχεται να υπαγορεύουν την αύξηση του μεγέθους του αρχείου καταγραφής ασφαλείας για το χειρισμό πρόσθετων λεπτομερειών του αρχείου καταγραφής ασφαλείας ή για τη διατήρηση των αρχείων καταγραφής ασφαλείας για μεγαλύτερο χρονικό διάστημα.

    4. Λόγοι για τη μείωση αυτής της ρύθμισης
       
       πρόγραμμα προβολής συμβάντων αρχεία καταγραφής είναι αρχεία με αντιστοίχιση μνήμης. Το μέγιστο μέγεθος ενός αρχείου καταγραφής συμβάντων περιορίζεται από την ποσότητα της φυσικής μνήμης στον τοπικό υπολογιστή και από την εικονική μνήμη που είναι διαθέσιμη στη διαδικασία καταγραφής συμβάντων. Η αύξηση του μεγέθους του αρχείου καταγραφής πέρα από την ποσότητα της εικονικής μνήμης που είναι διαθέσιμη σε πρόγραμμα προβολής συμβάντων δεν αυξάνει τον αριθμό των καταχωρήσεων καταγραφής που διατηρούνται.

    5. Παραδείγματα προβλημάτων
       
       συμβατότητας Windows 2000: Οι υπολογιστές που εκτελούν εκδόσεις των Windows 2000 που είναι παλαιότερες από το Service Pack 4 (SP4) ενδέχεται να σταματήσουν να καταγράφουν συμβάντα στο αρχείο καταγραφής πριν φτάσουν στο μέγεθος που καθορίζεται στη ρύθμιση Μέγιστο μέγεθος αρχείου καταγραφής στο πρόγραμμα προβολής συμβάντων, εάν είναι ενεργοποιημένη η επιλογή Χωρίς αντικατάσταση συμβάντων (μη αυτόματη κατάργηση καταγραφής).
       
       
        

13. Αρχείο καταγραφής συμβάντων: Διατήρηση αρχείου καταγραφής ασφαλείας

    1. Φόντο
       
       Η ρύθμιση Ασφαλείας αρχείου καταγραφής συμβάντων: Διατήρηση αρχείου καταγραφής ασφαλείας καθορίζει τη μέθοδο "αναδίπλωσης" για το αρχείο καταγραφής ασφαλείας. Για να εντοπίσετε αυτήν τη ρύθμιση, αναπτύξτε τις Ρυθμίσεις των Windows και, στη συνέχεια, αναπτύξτε το στοιχείο Ρυθμίσεις ασφαλείας.

    2. Επικίνδυνες ρυθμίσεις παραμέτρων
       
       Ακολουθούν επιβλαβείς ρυθμίσεις παραμέτρων:

       • Αποτυχία διατήρησης όλων των καταγεγραμμένων συμβάντων ασφαλείας πριν αντικατασταθούν

       • Ρύθμιση παραμέτρων της ρύθμισης Μέγιστο μέγεθος αρχείου καταγραφής ασφαλείας πολύ μικρή, ώστε να αντικατασταθούν τα συμβάντα ασφαλείας

       • Περιορισμός του μεγέθους του αρχείου καταγραφής ασφαλείας και της μεθόδου διατήρησης ενώ είναι ενεργοποιημένη η ρύθμιση ασφαλείας Έλεγχος: Τερματισμός λειτουργίας συστήματος αμέσως εάν δεν είναι δυνατή η καταγραφή ελέγχων ασφαλείας

    3. Λόγοι ενεργοποίησης αυτής της ρύθμισης
       
       Ενεργοποιήστε αυτήν τη ρύθμιση μόνο εάν επιλέξετε τη μέθοδο διατήρησης των συμβάντων Αντικατάσταση κατά ημέρες . Εάν χρησιμοποιείτε ένα σύστημα συσχέτισης συμβάντων που πραγματοποιεί ψηφοφορίες για συμβάντα, βεβαιωθείτε ότι ο αριθμός των ημερών είναι τουλάχιστον τρεις φορές η συχνότητα της ψηφοφορίας. Κάντε το αυτό για να επιτρέψετε τους αποτυχημένους κύκλους ψηφοφορίας.

14. Πρόσβαση στο δίκτυο: Να επιτρέπεται σε όλους τα δικαιώματα να ισχύουν για ανώνυμους χρήστες

    1. Φόντο
       
       Από προεπιλογή, η ρύθμιση Πρόσβαση στο δίκτυο: Να επιτρέπεται σε όλους τα δικαιώματα να εφαρμόζονται σε ανώνυμους χρήστες έχει οριστεί σε Δεν ορίζεται στον Windows Server 2003. Από προεπιλογή, ο Windows Server 2003 δεν περιλαμβάνει το διακριτικό "Ανώνυμη πρόσβαση" στην ομάδα "Όλοι".

    2. Παράδειγμα προβλημάτων
       
       συμβατότητας Η ακόλουθη τιμή του

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous [REG_DWORD]=0x0 διακόπτει τη δημιουργία αξιοπιστίας μεταξύ του Windows Server 2003 και των Windows NT 4.0, όταν ο τομέας του Windows Server 2003 είναι ο τομέας λογαριασμού και ο τομέας των Windows NT 4.0 είναι ο τομέας πόρων. Αυτό σημαίνει ότι ο τομέας του λογαριασμού είναι αξιόπιστος στα Windows NT 4.0 και ο τομέας πόρων θεωρείται αξιόπιστος από την πλευρά του Windows Server 2003. Αυτή η συμπεριφορά παρουσιάζεται επειδή η διαδικασία έναρξης της αξιοπιστίας μετά την αρχική ανώνυμη σύνδεση είναι ACL'd με το διακριτικό "Όλοι" που περιλαμβάνει το Ανώνυμο SID στα Windows NT 4.0.

    3. Λόγοι τροποποίησης αυτής της ρύθμισης
       
       Η τιμή πρέπει να οριστεί σε 0x1 ή να οριστεί με τη χρήση GPO στο OU του ελεγκτή τομέα ως: Πρόσβαση στο δίκτυο: Να επιτρέπεται σε όλους τα δικαιώματα να ισχύουν για ανώνυμους χρήστες - Ενεργοποιήθηκε για να γίνουν δυνατές οι δημιουργίες αξιοπιστίας.
       
       Σημείωση Οι περισσότερες άλλες ρυθμίσεις ασφαλείας αναβαθμίζονται σε αξία αντί να καταλήγουν σε 0x0 στην πιο ασφαλή κατάστασή τους. Μια πιο ασφαλής πρακτική θα ήταν να αλλάξετε το μητρώο στον εξομοιωτή πρωτεύοντα ελεγκτή τομέα αντί για όλους τους ελεγκτές τομέα. Εάν μετακινηθεί ο ρόλος εξομοιωτή πρωτεύοντος ελεγκτή τομέα για οποιονδήποτε λόγο, το μητρώο πρέπει να ενημερωθεί στο νέο διακομιστή.
       
       Απαιτείται επανεκκίνηση μετά τον ορισμό αυτής της τιμής.

    4. Διαδρομή μητρώου

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

15. Έλεγχος ταυτότητας NTLMv2

    1. Ασφάλεια περιόδου λειτουργίας
       
       Η ασφάλεια περιόδου λειτουργίας καθορίζει τα ελάχιστα πρότυπα ασφαλείας για περιόδους λειτουργίας υπολογιστή-πελάτη και διακομιστή. Είναι καλή ιδέα να επαληθεύσετε τις ακόλουθες ρυθμίσεις πολιτικής ασφαλείας στο συμπληρωματικό πρόγραμμα "Κονσόλα διαχείρισης της Microsoft" Πολιτική ομάδας πρόγραμμα επεξεργασίας:

       • Ρυθμίσεις υπολογιστή\Ρυθμίσεις των Windows\Ρυθμίσεις ασφαλείας\Τοπικές πολιτικές\Επιλογές ασφαλείας

       • Ασφάλεια δικτύου: Ελάχιστη ασφάλεια περιόδου λειτουργίας για διακομιστές που βασίζονται σε NTLM SSP (συμπεριλαμβανομένων των ασφαλών διακομιστών RPC)

       • Ασφάλεια δικτύου: Ελάχιστη ασφάλεια περιόδου λειτουργίας για προγράμματα-πελάτες που βασίζονται σε SSP NTLM (συμπεριλαμβανομένων των ασφαλών πελατών RPC)

       Οι επιλογές για αυτές τις ρυθμίσεις είναι οι εξής:

       • Απαίτηση ακεραιότητας μηνυμάτων

       • Απαίτηση εμπιστευτικότητας μηνυμάτων

       • Απαιτείται ασφάλεια περιόδου λειτουργίας NTLM έκδοσης 2

       • Να απαιτείται κρυπτογράφηση 128 bit

       Η προεπιλεγμένη ρύθμιση πριν από τα Windows 7 είναι Χωρίς απαιτήσεις. Από τα Windows 7, η προεπιλογή άλλαξε σε Να απαιτείται κρυπτογράφηση 128 bit για βελτιωμένη ασφάλεια. Με αυτήν την προεπιλογή, δεν θα είναι δυνατή η σύνδεση συσκευών παλαιού τύπου που δεν υποστηρίζουν κρυπτογράφηση 128 bit.
       
       Αυτές οι πολιτικές καθορίζουν τα ελάχιστα πρότυπα ασφαλείας για μια περίοδο λειτουργίας επικοινωνίας από εφαρμογή σε εφαρμογή σε ένα διακομιστή για έναν υπολογιστή-πελάτη.
       
       Σημειώστε ότι παρόλο που περιγράφονται ως έγκυρες ρυθμίσεις, οι σημαίες που απαιτούν ακεραιότητα μηνυμάτων και εμπιστευτικότητα δεν χρησιμοποιούνται όταν καθορίζεται η ασφάλεια περιόδου λειτουργίας NTLM.
       
       Ιστορικά, τα Windows NT έχουν υποστηρίξει τις ακόλουθες δύο παραλλαγές του ελέγχου ταυτότητας πρόκλησης/απόκρισης για συνδέσεις δικτύου:

       • Πρόκληση/απόκριση LM

       • Πρόκληση/απόκριση NTLM έκδοση 1

       Το LM επιτρέπει τη διαλειτουργικότητα με την εγκατεστημένη βάση των πελατών και των διακομιστών. Το NTLM παρέχει βελτιωμένη ασφάλεια για συνδέσεις μεταξύ προγραμμάτων-πελατών και διακομιστών.
       
       Τα αντίστοιχα κλειδιά μητρώου είναι τα εξής:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

    2. Επικίνδυνες ρυθμίσεις παραμέτρων
       
       Αυτή η ρύθμιση ελέγχει τον τρόπο χειρισμού των περιόδων λειτουργίας δικτύου που προστατεύονται με χρήση NTLM. Αυτό επηρεάζει, για παράδειγμα, περιόδους λειτουργίας που βασίζονται σε RPC με έλεγχο ταυτότητας με NTLM. Υπάρχουν οι ακόλουθοι κίνδυνοι:

       • Η χρήση παλαιότερων μεθόδων ελέγχου ταυτότητας από το NTLMv2 διευκολύνει την επίθεση στην επικοινωνία, λόγω των απλούστερων μεθόδων κατακερμάτων που χρησιμοποιούνται.

       • Η χρήση κλειδιών κρυπτογράφησης χαμηλότερων των 128 bit επιτρέπει στους εισβολείς να διακόψουν την επικοινωνία χρησιμοποιώντας επιθέσεις ωμής βίας.

Συγχρονισμός χρόνου

Ο συγχρονισμός χρόνου απέτυχε. Ο χρόνος είναι απενεργοποιημένος κατά περισσότερο από 30 λεπτά σε έναν επηρεαζόμενο υπολογιστή. Βεβαιωθείτε ότι το ρολόι του υπολογιστή-πελάτη είναι συγχρονισμένο με το ρολόι του ελεγκτή τομέα.

Λύση για την υπογραφή SMB

Συνιστάται να εγκαταστήσετε το Service Pack 6a (SP6a) σε υπολογιστές-πελάτες Windows NT 4.0 που κάνουν διαλειτουργικότητα σε έναν τομέα που βασίζεται σε Windows Server 2003. Τα προγράμματα-πελάτες που βασίζονται σε Windows 98, προγράμματα-πελάτες που βασίζονται σε Windows 98 και προγράμματα-πελάτες που βασίζονται σε Windows 95 πρέπει να εκτελέσουν το πρόγραμμα-πελάτη υπηρεσιών καταλόγου για να εκτελέσουν NTLMv2. Εάν στα προγράμματα-πελάτες που βασίζονται σε Windows NT 4.0 δεν είναι εγκατεστημένα τα Windows NT 4.0 SP6 ή αν στο πρόγραμμα-πελάτη που βασίζεται σε Windows 95, προγράμματα-πελάτες που βασίζονται σε Windows 98 και προγράμματα-πελάτες που βασίζονται σε Windows 98SE δεν έχει εγκατασταθεί το πρόγραμμα-πελάτης υπηρεσιών καταλόγου, απενεργοποιήστε την είσοδο SMB στη ρύθμιση πολιτικής του προεπιλεγμένου ελεγκτή τομέα στην OU του ελεγκτή τομέα και, στη συνέχεια, συνδέστε αυτή την πολιτική σε όλους τους OUs που φιλοξενούν ελεγκτές τομέα.

Το πρόγραμμα-πελάτης υπηρεσιών καταλόγου για Windows 98 Second Edition, Windows 98 και Windows 95 θα εκτελέσει υπογραφή SMB με διακομιστές Windows 2003 υπό έλεγχο ταυτότητας NTLM, αλλά όχι υπό έλεγχο ταυτότητας NTLMv2. Επιπλέον, οι διακομιστές Windows 2000 δεν θα ανταποκρίνονται σε αιτήσεις υπογραφής SMB από αυτά τα προγράμματα-πελάτες.

Παρόλο που δεν το συνιστούμε, μπορείτε να αποτρέψετε την απαίτηση υπογραφής SMB σε όλους τους ελεγκτές τομέα που εκτελούν τον Windows Server 2003 σε έναν τομέα. Για να ρυθμίσετε τις παραμέτρους αυτής της ρύθμισης ασφαλείας, ακολουθήστε τα παρακάτω βήματα:

1. Ανοίξτε την πολιτική του προεπιλεγμένου ελεγκτή τομέα.

2. Ανοίξτε το φάκελο Ρυθμίσεις υπολογιστή\Ρυθμίσεις των Windows\Ρυθμίσεις ασφαλείας\Τοπικές πολιτικές\Επιλογές ασφαλείας.

3. Εντοπίστε και, στη συνέχεια, κάντε κλικ στη ρύθμιση πολιτικής Διακομιστής δικτύου της Microsoft: Ψηφιακή υπογραφή επικοινωνιών (πάντα) και, στη συνέχεια, κάντε κλικ στην επιλογή Απενεργοποιημένη.

Σημαντικό Αυτή η ενότητα, μέθοδος ή εργασία περιέχει βήματα που σας καθοδηγούν στον τρόπο τροποποίησης του μητρώου. Ωστόσο, εάν τροποποιήσετε εσφαλμένα το μητρώο, ενδέχεται να προκύψουν σοβαρά προβλήματα. Επομένως, φροντίστε να ακολουθήσετε προσεκτικά αυτά τα βήματα. Για πρόσθετη προστασία, δημιουργήστε ένα αντίγραφο ασφαλείας του μητρώου πριν το τροποποιήσετε. Στη συνέχεια, μπορείτε να επαναφέρετε το μητρώο εάν παρουσιαστεί πρόβλημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου, κάντε κλικ στον αριθμό του παρακάτω άρθρου για να προβάλετε το άρθρο στη Γνωσιακή βάση της Microsoft:

322756 Τρόπος δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου στα Windows Εναλλακτικά, απενεργοποιήστε την υπογραφή SMB στο διακομιστή τροποποιώντας το μητρώο. Για να το κάνετε αυτό, ακολουθήστε αυτά τα βήματα:

1. Κάντε κλικ στο κουμπί Έναρξη, επιλέξτεΕκτέλεση, πληκτρολογήστε regedit και, στη συνέχεια, κάντε κλικ στο κουμπί OK.

2. Εντοπίστε και, στη συνέχεια, κάντε κλικ στο ακόλουθο δευτερεύον κλειδί:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

3. Κάντε κλικ στην καταχώρηση enablesecuritysignature .

4. Στο μενού Επεξεργασία , κάντε κλικ στην επιλογή Τροποποίηση.

5. Στο πλαίσιο Δεδομένα τιμής , πληκτρολογήστε 0 και, στη συνέχεια, κάντε κλικ στο κουμπί OK.

6. Κλείστε τον Επεξεργαστή Μητρώου.

7. Επανεκκινήστε τον υπολογιστή ή διακόψτε και, στη συνέχεια, επανεκκινήστε την υπηρεσία διακομιστή. Για να το κάνετε αυτό, πληκτρολογήστε τις ακόλουθες εντολές σε μια γραμμή εντολών και, στη συνέχεια, πατήστε το πλήκτρο Enter αφού πληκτρολογήσετε κάθε εντολή:
   διακομιστής
   net stop διακομιστής net start

Σημείωση Το αντίστοιχο κλειδί στον υπολογιστή-πελάτη βρίσκεται στο ακόλουθο δευτερεύον κλειδί μητρώου:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters Παρακάτω παρατίθενται οι μεταφρασμένοι αριθμοί κωδικών σφάλματος στους κωδικούς κατάστασης και στα αυτολεξεί μηνύματα σφάλματος που αναφέρονται παραπάνω:

Για περισσότερες πληροφορίες, κάντε κλικ στους αριθμούς των ακόλουθων άρθρων για να προβάλετε τα άρθρα στη Γνωσιακή βάση της Microsoft:

324802 Πώς μπορείτε να ρυθμίσετε τις παραμέτρους πολιτικών ομάδας για να ορίσετε την ασφάλεια για τις υπηρεσίες συστήματος στον Windows Server 2003

816585 Τρόπος εφαρμογής προκαθορισμένων προτύπων ασφαλείας στον Windows Server 2003