Töötate praegu ühenduseta, ootame Interneti-ühenduse taasloomist

Klient, teenindus ja programm probleeme võib tekkida, kui turvasätted ja kasutajaõiguste määranguid muutmine

Windows XP tugi on lõppenud.

Microsoft lõpetas Windows XP tugiteenuse pakkumise 8. aprillil 2014. Muudatus mõjutas teie tarkvaravärskendusi ja turbesuvandeid. Lugege, mida see teie jaoks tähendab ja kuidas saate kaitset säilitada.

Windows Server 2003 tugi lõppes 14. juulil 2015.

Microsoft lõpetas Windows Server 2003 toe 14. juulil 2015. Muudatus mõjutas teie tarkvaravärskendusi ja turbesuvandeid. Lugege, mida see teie jaoks tähendab ja kuidas saate kaitset säilitada.

NB! Artikkel on tõlgitud Microsofti masintõlketarkvaraga ja seda saab parandada Kogukonnapõhise tõlkeraamistiku (CTF) tehnoloogiaga. Microsoft pakub masintõlgitud, kogukonna järeltöödeldud ja inimtõlgitud artikleid, et anda mitmekeelne juurdepääs kõigile meie teabebaasi artiklitele. Masintõlgitud ja järeltöödeldud artiklites võib olla sõnavara-, süntaksi- ja/või grammatikavigu. Microsoft ei vastuta mingite ebatäpsuste, tõrgete ega kahjude eest, mis on tulenenud sisu valest tõlkest või selle kasutamisest meie klientide poolt. Lisateavet CTF-i kohta leiate aadressilt http://support.microsoft.com/gp/machine-translation-corrections/et.

Artikli ingliskeelse versiooni kuvamiseks klõpsake siin: 823659
Kokkuvõte
Turvaseaded ja kasutajaõiguste määranguid saab muuta kohalike poliitikate ja rühmapoliitikad aidata tugevda turvalisust domeenikontrollerid ja liikme arvutis. Siiski nõuetekohase kasutamise puuduseks on vastuolud kasutusele kliendid, teenused ja programmid.

Selles artiklis kirjeldatakse mittevastavused, mis võivad tekkida kliendi arvutisse, kus töötab Windows XP või Windowsi varasema väljaande spetsiaalsed turvasätted ja kasutajaõiguste määranguid domeeniga Windows Server 2003 või varasemas Windowsi serveri domeen muutmisel.

Teavet rühma poliitika Windows 7, Windows Server 2008 R2 ja Windows Server 2008 leiate järgmised artiklid: Märkus: Ülejäänud sisu käesolevas artiklis on omane Windows XP, Windows Server 2003 ja Windowsi varasemates versioonides.

Windows XP

Siit leiad teavet, mis on seotud Windows XP
Valesti turvasätted teadlikkuse suurendamiseks kasutada rühmapoliitika objektiredaktorit vahend turvasätete muutmine. Rühmapoliitikaobjekti redaktori kasutamisel on kasutajaõiguste määranguid suurem järgmistest operatsioonisüsteemidest:
  • Windows XP Professional Service Pack 2 (SP2)
  • Windows Server 2003 Service Pack 1 (SP1)
Täiustatud funktsioon on dialoogiboksi, mis sisaldab selle artikli linki. Kuvatakse dialoogiboks kui muudad tagatise seadmise või kasutajate õiguste määramine on piiravam ja vähem ühilduvuse tasemele. Kui muudate sama tagatise kehtestamine või kasutaja õiguste määramine otse registri abil või turvalisus mallide abil, mõju on sama, mis muutmine säte Group Policy Object Editor. Siiski ei kuvata dialoogiboksi, mis sisaldab selle artikli linki.

See artikkel sisaldab näiteid kliente, programmid ja toimingud, mida mõjutavad konkreetsed turvasätteid või kasutajaõiguste määranguid. Näiteid ei arvestataks kõiki Microsofti operatsioonisüsteemide, kõik muu operatsioonisüsteemide või kõik programmi versiooni, mida see mõjutab. Kõik turvasätted ja kasutajaõiguste määranguid sisalduvad käesolevas artiklis.

Soovitame kõik turvalisusega seotud konfiguratsiooni muudatusi katse metsa ühilduvuse kinnitamiseks enne need sisse tootmiskeskkonnas. Katse metsa peab peegel tootmise metsa järgmiselt:
  • Kliendi ja serveri operatsioonisüsteemi versiooni, andserver klientprogrammid, service pack versioonid, käigultparandused, skeemimuutused, securitygroups, grupi liige, õigusi objektide failisüsteem, sharedfolders, registris, Active Directory kataloogiteenust, kohalike ja GroupPolicy seaded ja objekti arvestada tüüp ja asukoht
  • Haldusülesannete täitmisel, mis on läbi, administrativetools, mida kasutatakse ja operatsioonisüsteemid, mida kasutatakse performadministrative ülesandeid
  • Teostatakse järgmisi toiminguid:
    • Arvuti ja kasutaja sisselogimise autentimise
    • Parooli lähtestamised, kasutajad, arvutid ja administraatorid
    • Sirvimine
    • Failisüsteemi õiguste seadmine jaoks jagatud kaustad, registri ja Active Directory ressursside ACL redaktori abil kõik klientarvutite opsüsteemid konto või ressursi domeene kõik klientarvutite opsüsteemid kõik kontolt või ressursi domeenid
    • Haldus-ja nonadministrative trükkimine

Windows Server 2003 SP1

Siit leiad teavet, mis on seotud Windows Serveri SP1

Hoiatused Gpedit.msc

Hotelli teab, et nad redigeerivad kasutaja õigust või turvalisuse variant, mis oleks võinud negatiivselt mõjutada oma võrgu aidata liideti kaks hoiatamise mehhanismi gpedit.msc. Kui administraatorid muuta kasutaja õigust, mis võib kahjustada kogu ettevõtte, näevad nad uus ikoon, mis sarnaneb saagis märk. Nad saavad hoiatuse, mis on link Microsofti teadmusbaasi artiklit 823659. Selle sõnumi tekst on järgmine:
Selle sätte muutmine võib mõjutada klientide, teenuste ja rakenduste ühilduvuse. Lisateabe saamiseks vaadake teemat <user right="" or="" security="" option="" being="" modified="">(Q823659)</user>
Kui sa olid suunatud teadmusbaasi artiklit link Gpedit.msc, veenduge, et lugeda ja mõista seletuste ja selle sätte võimalikku mõju. Sisaldama hoiatavat teksti kasutaja õiguste loetelu:
  • Juurdepääs sellele arvutile võrgu
  • Logib end kohalikult
  • Ära kasuta traverse kontrollimine
  • Arvutid ja kasutajad usaldusväärsete delegatsioon
Järgneb loend on hoiatuse ja pop-up sõnum turbesuvandeid:
  • Domeeni liige: Digitaalselt krüptida või logige turvalise kanali andmed (alati)
  • Domeeni liige: Nõuavad tugevat (Windows 2000 või uuem versioon) sessiooni võtme
  • Domeenikontroller: LDAP server allkirja nõuded
  • Microsoft network server: digitaalallkirjastamine side (alati)
  • Juurdepääs võrgule: Võimaldab anonüümne Sid / nime tõlkimine
  • Juurdepääs võrgule: Luba anonüümne loendamine SAM kontod ja aktsiate
  • Võrgu turvalisus: LAN Manageri autentimist tase
  • Audit: Sulgeda süsteemi kohe kui ei saa sisse logida julgestusauditite
  • Juurdepääs võrgule: LDAP kliendi allkirja nõuded
Lisateave
Järgmistes punktides kirjeldatakse mittevastavused, mis võivad tekkida teatud sätteid domeenid Windows NT 4.0, Windows 2000 domeenide ja Windows Server 2003 domeenid.

Kasutaja õigused

Siit leiad teavet kasutaja õigused
Järgmine loend kirjeldab kasutaja õigust, määrab konfiguratsiooniseaded, mis võib tekitada probleeme, kirjeldab, miks tuleks rakendada kasutaja õige ja miks eemaldada kasutaja õigust ja tuuakse näiteid ühilduvusprobleeme, mis võivad tekkida õigus kasutajate konfigureerimisel.
  1. Juurdepääs sellele arvutile võrgu
    1. Taust

      Oskus suhelda Windowsiga kaugarvutitega nõuab juurdepääsu võrgust arvuti kasutaja õigust. Sellise võrgustiku tegevuste näited on järgmised:
      • Replikatsiooni Active Directory domeenikontrollerid ühine domeeni või metsa vahel
      • Autentimistaotlusele domeenikontrolleritega kasutajad ja arvutid
      • Juurdepääs ühiskasutusega kaustu, printereid ja muud süsteemi teenuseid, mis asuvad võrgus olevate kaugarvutite


      Kasutajate, arvutite ja teenusekontode kasu või kaotada juurdepääsu võrgust arvuti kasutaja õigust olles otseselt või kaudselt lisada või eemaldada selle kasutajale õiguse andnud turberühma. Näiteks kasutaja või arvuti kontot võib selgesõnaliselt lisada kohandatud turberühma või sisseehitatud turberühma administraator või kaudselt lisatava operatsioonisüsteem arvutatud turberühma domeeni kasutajad, autenditud kasutajate või ettevõtte domeenikontrollerid.

      Vaikimisi Kasutajakontod ja arvuti kontod antakse juurdepääs võrgust arvuti kasutaja just siis, kui arvutatud rühmadele nagu igaüks või, eelistatavalt, autenditud kasutajatele ja domeenikontrollerid, grupi ettevõte domeenikontrollerid on määratletud vaikimisi domeenikontrollerid rühma poliitika objekti (GPO).
    2. Riskantne koosseisud

      Kahjulike konfiguratsiooni seaded on järgmised:
      • See kasutaja õigus ettevõtte domeenikontrolleritesse turvarühma eemaldamine
      • Eemaldamine on autenditud kasutajate rühmale või selgesõnalise rühma, mis võimaldab kasutajad, arvutid ja teenusekontode kasutaja õigused arvutiga ühenduse loomiseks arvutitega üle võrgu
      • Sellel kasutajal õigus kõigile kasutajatele ja arvutitele eemaldamine
    3. Põhjust anda kasutajale õiguse
      • Ettevõtte domeenikontrollerid rühma juurdepääsu võrgust arvuti kasutaja õiguse andmist vastab autentimise nõuetele mida aktiivse kataloogi kopeerimine on replikatsiooni vahel domeenikontrollerid asuvad samas metsas.
      • Sellel kasutajal õigus võimaldab failide, printerite ja süsteemi teenuste, sealhulgas Active Directory kasutajad ja arvutid.
      • See kasutaja õigus on vajalik kasutajatel meili varasemates versioonides Microsoft Outlook Web Access (OWA) abil.
    4. Põhjusi kõrvaldada selle kasutajale õiguse
      • Kasutajad, kes tohivad luua ühenduse oma arvutite võrku kaugarvutitega, mille jaoks neil on luba ressurssidele juurdepääsu. Näiteks nõutakse selle kasutajale õiguse kasutajal luua ühenduse ühiskasutusega printerid ja kaustad. Kui sellel kasutajal õigus antakse kõik rühma, ja kui mõned ühiskasutusega kaustad on aktsia ja NTFS failisüsteemi lubadest konfigureeritud nii, et sama rühma lugemisõigus, igaüks saab vaadata faile need ühiskasutusega kaustad. Siiski, see on ebatõenäoline olukord värske seadmete Windows Server 2003 vaikimisi aktsia ja NTFS õigused Windows Server 2003 sisaldab rühm kõik. Süsteemid, mis on täiendatud Microsoft Windows NT 4.0 või Windows 2000, see haavatavus võib olla suuremat ohtu, kuna vaike osa ja need opsüsteemid süsteemi failiõigusi ei piira vaikeõigusi Windows Server 2003.
      • Puudub mõjuv põhjus ettevõtte domeenikontrollerid rühma eemaldamiseks selle kasutaja õige.
      • Rühm kõik eemaldatakse tavaliselt kasuks autenditud kasutajate rühmale. Kui rühm kõik on eemaldatud, on autenditud kasutajate rühmale tuleb anda selle kasutajale õiguse.
      • Windows NT 4.0 domeenid, mis on täiendatud Windows 2000 ei selgesõnaliselt andma juurdepääsu võrgust arvuti kasutaja rühm kõik, on autenditud kasutajate rühmale või ettevõtte domeenikontrollerid rühma. Seetõttu eemaldamisel ning kõik saavad Windows NT 4.0 domeeni poliitika, aktiivse kataloogi kopeerimine nurjub "Juurdepääs keelatud" veateate pärast versiooniuuendust Windows 2000. Winnt32.exe Windows Server 2003 väldib see vale konfiguratsioon andes ettevõtte domeenikontrollerid rühmitada selle kasutajale õiguse versiooniuuenduse installimisel Windows NT 4.0 domeenikontrollerite esmane (PDCs). Anda ettevõtte domeenikontrollerid rühma sellel kasutajal õigus, kui ta ei ole kohal Group Policy Object Editor.
    5. Ühilduvusprobleemide näited
      • Windows 2000 ja Windows Server 2003: Järgmiste sektsioonide replikatsiooni ebaõnnestub tõrkega "Juurdepääs keelatud" teatas järelevalve vahendeid, nagu REPLMON ja REPADMIN ja replikatsioon sündmuselogi.
        • Active Directory skeemi sektsioon
        • Konfiguratsiooni sektsiooni
        • Domeen partitsioon
        • Globaalse kataloogi sektsioon
        • Rakenduse sektsioon
      • Kõik Microsofti võrgu operatsioonisüsteemidele:Kasutaja konto autentimine kaugvõrgus kliendi arvutitega nurjub, kui kasutaja või turberühma, mis kasutaja on liige ei ole antud kasutaja õigust.
      • Kõik Microsofti võrgu operatsioonisüsteemidele:Konto autentimine kaugvõrgus klientidelt ei õnnestu üksnes konto või turberühma konto kuulub kasutaja õigus. Sel juhul kehtib kasutajakontod, arvuti kontod ja teenusekontode.
      • Kõik Microsofti võrgu operatsioonisüsteemidele:Kõigi kontode eemaldamine selle kasutajale õiguse hoiab ära mingil domeeni sisselogimisel või juurdepääs võrguressurssidele. Kui arvutatud rühmadele näiteks ettevõtluse domeenikontrollerid, igaüks või autenditud kasutajatel ära tuleb selgesõnaliselt tagada selle kasutajale õiguse kontode või konto on liige juurdepääsu kaugarvutitega üle võrgu turvalisuse rühmad. Sel juhul kehtib kõigi kasutajakontode, kõik arvuti kontod ja kõigile kontodele.
      • Kõik Microsofti võrgu operatsioonisüsteemidele:Kohaliku administraatorikonto kasutab "tühi" parool. Võrgu Ühenduvus tühjad paroolid ei ole lubatud Administraatorikontod domeen keskkond. Selle konfiguratsiooniga ootate saate tõrketeate "Juurdepääs keelatud".
  2. Logi lubavab lokaalselt
    1. Taust

      Kasutajad, kes üritavad konsooli Windowsipõhisesse arvutisse sisse logida (CTRL + ALT + DELETE klaviatuuri otsetee abil) ja kontod, kes üritavad alustada teenuse peavad olema kohaliku sisselogimise õigused hosting arvutis. Kohaliku sisselogimise tegevuste näited administraatorid, kes konsooli liikmele arvuteid või domeenikontrollerid kogu ettevõtte ja domeeni kasutajad, kes on sisselogimist liige arvutitele juurdepääsu oma töölaudade, mitte suurte õigustega kontode kasutamine sisse logite. Kasutajatele, kes kasutavad kaugtöölaua kliendi või terminaliteenuste peab olema Luba kohaliku sisselogimise kasutaja eks on sihtkoha arvutit, kus töötab Windows 2000 või Windows XP, sest need sisselogimise transpordiliikide peetakse kohaliku hosting arvutisse. Kasutajad, kes on sisselogimist server, millel on lubatud terminalserveri ja kes ei ole sellele kasutajale õige saab veel alustada interaktiivne Kaugseanss Windows Server 2003 domeene kui neil on Luba sisselogimiseks läbi terminaliteenuste kasutaja õige.
    2. Riskantne koosseisud

      Kahjulike konfiguratsiooni seaded on järgmised:
      • Kõrvaldades haldus turvalisuse rühmad, sealhulgas kontohaldurile, Backup ettevõtjad, Prindi ettevõtjate või Server kasutajad, ja sisseehitatud ülematerühma vaikimisi domeenikontrolleri poliitika.
      • Eemaldamine, millel on kasutatud komponentide ja programmide liige arvutid ja vaike domeenikontrolleri poliitikast domeeni domeenikontrollerid.
      • Eemaldades või turberühmade konsooli liikmele arvutite domeeni sisse logida.
      • Eemaldamine, millel kohaliku julgeoleku Turvakontode haldurile (SAM) andmebaasis liige arvutite või töörühma arvutid määratletud.
      • Eemaldada mitte-ehitatud-in halduskohus kontosid mis töötab domeenikontrolleril terminaliteenuste autentimistoimingute.
      • Lisades kõik domeeni kasutajakontosid otse või kaudselt läbi kõik rühma keeldu sisselogimine kohalikku sisselogimist paremale. Selle konfiguratsiooni takistada kasutajatel metsaraie edasi viipekeeles liige või ühtegi domeenikontrollerit domeenis.
    3. Põhjust anda kasutajale õiguse
      • Kasutajatel peab olema Luba kohaliku sisselogimise kasutaja õigust tutvuda konsooli või töölaua töörühma arvutis, liige arvuti või domeeni kontroller.
      • Kasutajatel peab olema selle kasutajale õiguse üle Terminal Services istungil, kus töötab Windows 2000-põhise liige arvutis või domeenikontrolleri sisselogimist.
    4. Põhjusi kõrvaldada selle kasutajale õiguse
      • Suutmatus konsooli ligipääs õigustatud Kasutajakontod võib põhjustada volitamata kasutajatel allalaadimine ja pahatahtliku koodi käivitamisel muuta oma kasutaja õigusi.
      • Luba kohaliku sisselogimise õigus Kasutaja eemaldamine takistab volitamata sisselogimisi arvutid nagu domeenikontrollerite või rakenduseserverid konsoolid.
      • Sisselogimise õigust eemaldamine takistab domeenikontode konsooli liikmele arvutite domeeni sisse logida.
    5. Ühilduvusprobleemide näited
      • Windows 2000 terminal server:Õige sisselogimist luba kasutajal on nõutav Windows 2000 terminaliserverid sisse logida.
      • Windows NT 4.0, Windows 2000, Windows XP või Windows Server 2003:Kasutajakontod tuleb anda selle kasutajale õiguse logida arvutitesse, mis töötavad Windows NT 4.0, Windows 2000, Windows XP või Windows Server 2003 konsooli.
      • Windows NT 4.0 ja uuemad:Arvutites, mis töötavad Windows NT 4.0 ja hiljem, kui lisate Logi lubavab kohalikul tasandil kasutaja õigus, aga sa otseselt või kaudselt ka andmise keeldu sisselogimise kohalikult sisselogimise õiguse, kontosid ei saa logida sisse et domeenikontrollerid konsooli.
  3. Ära kasuta traverse kontrollimine
    1. Taust

      Õige ümbersõit traverse kontrollimist kasutaja võimaldab kasutajal sirvida kaustu NTFS-failisüsteemi või registri kontrollida Läbida kausta juurdepääsu luba. Õige ümbersõit traverse kontrollimist kasutaja ei luba kasutajal loendis kausta sisu. See võimaldab kasutajal läbida üksnes oma kaustad.
    2. Riskantne koosseisud

      Kahjulike konfiguratsiooni seaded on järgmised:
      • Eemaldamine mittehalduslike kontosid Windows 2000-ga Terminal Services arvutite või Windows Server 2003-ga Terminal Services arvuteid, millel pole õigust pääseda failide ja kaustade faili süsteemi sisse logida.
      • Rühm kõik turvalisuspõhimõtted, kes on selle kasutaja kohe vaikimisi nimekirjast kustutamist. Windows operatsioonisüsteemidega ja ka paljud programmid, on välja töötatud ootus, et igaüks, kes pääsevad õiguspäraselt arvuti on õige ümbersõit traverse kontrollimist kasutaja. Seega kõrvaldada kõik turvalisuspõhimõtted, kellel on see õigus vaikimisi loendist grupp võib põhjustada operatsioonisüsteemi ebastabiilsust või programm rike. Parem Jäta see säte on oma default.
    3. Põhjust anda kasutajale õiguse

      Õige ümbersõit traverse kontrollimist kasutaja vaikesätteks on lubada kõigil ümbersõit traverse kontrollimine. Kogenud Windowsi süsteemi administraatorid, see on oodatav käitumine ja nad konfigureerida faili süsteemi pääsuloendite (SACLs) vastavalt. Kui vaikekonfiguratsioon võib viia ebaõnnestunud ainult stsenaarium on kui administraator, kes konfigureerib õigust mõista käitumist ja eeldab, et kasutajad, kes ei pääse Emakausta ei saa iga laps kaustade sisu.
    4. Põhjusi kõrvaldada selle kasutajale õiguse

      Püüda takistada juurdepääsu failid või kaustad failisüsteemi võib kiusatus organisatsioon on väga mures turvalisuse eemaldage rühm kõik või isegi rühmale kasutajad on õige ümbersõit traverse kontrollimist kasutaja sõprade nimekirjast.
    5. Ühilduvusprobleemide näited
      • Windows 2000, Windows Server 2003:Kui õige ümbersõit traverse kontrollimist kasutaja on kõrvaldatud või on valesti konfigureeritud arvutites, kus töötab Windows 2000 või Windows Server 2003, imiteerida rühmapoliitika sätted SYVOL kausta pole domeeni domeenikontrollerid vahel.
      • Windows 2000, Windows XP Professional, Windows Server 2003:Arvutite, kus töötab Windows 2000, Windows XP Professional või Windows Server 2003 kannab logisse teatud sündmusi 1000 ja 1202 ja ei saa rakendada arvuti ja kasutaja poliitika kui nõutavad failisüsteemi õigused eemaldatakse SYSVOL puust kui Bypass traverse kontrollimist kasutaja õige on kõrvaldatud või on valesti konfigureeritud.

        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
        290647 Sündmuse ID 1000, 1001 logitakse iga viie minuti rakenduse sündmuselogi
      • Windows 2000, Windows Server 2003: Arvutites, kus töötab Windows 2000 või Windows Server 2003, kaob kvoodi vahekaart Windows Exploreris atribuutide vaatamisel kettadraivile.
      • Windows 2000: Mitte-administraatoritele, kes sisse logida Windows 2000 terminal server võidakse kuvada järgmine tõrketeade:
        Userinit.exe rakenduse viga. Taotlus ebaõnnestus korralikult 0xc0000142 click OK lõpetada app.
        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
        272142 Kasutajatele automaatselt välja loginud sisse logida terminaliteenuseid katsel
      • Windows NT 4.0, Windows 2000, Windows XP ja Windows Server 2003:Ümbersõit traverse kontrollimise kasutajale õiguse andnud kasutajad, kelle arvuti töötab Windows NT 4.0, Windows 2000, Windows XP või Windows Server 2003 võib ei pääse ühiskasutusse antud kaustadele ja failide ühiskasutusse antud kaustadele ja nad võidakse kuvada tõrketeade "Access Denied" kui nad ei ole.

        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
        277644 Kui kasutajad proovivad ühiskaustu "Juurdepääs on keelatud" tõrketeade
      • Windows NT 4.0:Windows NT 4.0 põhises arvutis, tekitab õige ümbersõit traverse kontrollimist kasutaja eemaldamise faili koopia tilk pilt ojad. Fail kopeeritakse personaalarvutite Windowsi või Macintoshi klient Windows NT 4.0 domeenikontrolleriga, kus töötab teenused Macintoshile eemaldades selle kasutajale õiguse, sihtkohta faili oja kaob ja fail kuvatakse ainult teksti faili.

        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
        172930 Eemaldamine "Bypass läbida kontrollimine" põhjustab arhiivieksemplar tilk ojad
      • Microsoft Windows 95, Microsoft Windows 98:Kliendi arvutis, mis töötab operatsioonisüsteemiga Windows 95 või Windows 98, on net kasutamine * / home käsk ei õnnestu "Juurdepääs keelatud" veateade kui autenditud kasutajate rühmale on määratud ümbersõit traverse kontrollimist kasutaja õigust.
      • Outlook Web Access:Mitte-administraatoritele ei saa Microsoft Outlook Web Accessi sisse logida ja nad saavad "Juurdepääs keelatud" veateade kui neil on lubatud ümbersõit traverse kontrollimist kasutaja õigust.

Turvasätete muutmine

Siit leiad teavet turvasätete muutmine
Järgnev loend näitab turvasätet ja pesastatud loendi kirjeldatakse, tagatise seadmise tuvastab konfiguratsiooniseaded, mis võib tekitada probleeme, kirjeldab, miks tuleks kohaldada turbesätte ja siis kirjeldatakse põhjuseid, miks võib eemaldada turbesätte. Pesastatud loendi annab siis sümboolne nimi turvalisuse seadmine ja turbesätte registri tee. Lõpetuseks näited on olemas ühilduvuse probleeme, mis võivad tekkida turbesätte konfigureerimisel.
  1. Audit: Sulgeda süsteemi kohe kui ei saa sisse logida julgestusauditite
    1. Taust
      • Selle Audit: sulgeda süsteemi kohe kui ei saa sisse logida julgestusauditite säte määratleb, kas süsteem sulgub kui ei saa sisse logida turvalisus üritused. See seade on nõutav usaldusväärse arvuti turvalisuse hindamise kriteeriumid (TCSEC) programmi C2 hindamise ja infotehnoloogia turvalisuse hindamise vältimiseks auditeeritavad sündmused kui auditi süsteemi ei saa sisse logida nende sündmuste ühised kriteeriumid. Auditeerimise süsteemi nurjumisel süsteem sulgub ja kuvatakse stopp-tõrketeade.
      • Kui arvuti ei salvestada sündmusi turvalogi, kriitiline tõendeid või oluline tõrkeotsinguteavet ei tohi kättesaadavaks pärast turvaintsident.
    2. Riskantne konfiguratsioon

      Järgneb kahjulikest konfigureerimissäte: selle Audit: sulgeda süsteemi kohe kui ei saa sisse logida julgestusauditite säte on sisse lülitatud ja Turvalogisse sündmus suurus piirab kirjuta üritused (Tühjenda Logi käsitsi) valik, valiku ülekirjutamine sündmused nagu vaja või selle Kirjuta üritused üle number päeva suvand Event Viewer. Teavet konkreetsete riskide arvutit, kus töötab Windows 2000, Windows 2000 hoolduspaketi Service Pack 1 (SP1), Windows 2000 hoolduspaketi SP2 või Windows 2000 SP3 algselt avaldatud versioonis jaotisest "Ühilduvusprobleemide näiteid".
    3. Põhjustel lubada selle seadmine

      Kui arvuti ei salvestada sündmusi turvalogi, kriitiline tõendeid või oluline tõrkeotsinguteavet ei tohi kättesaadavaks pärast turvaintsident.
    4. Keelake see säte põhjused
      • Mis võimaldab selle auditi: sulgeda süsteemi kohe kui ei saa sisse logida julgestusauditite säte peatab süsteemi turvalisuse audit ei ole sisse loginud mingil põhjusel. Tavaliselt ei saa sündmus logitakse, kui auditi turvalogi on täis ja kuna tema määratud säilituspoliitika meetod on kas kirjuta üritused (Tühjenda Logi käsitsi) variant või selle Kirjuta üritused üle number päeva valik.
      • Halduskoormust ning võimaldada selle Audit: sulgeda süsteemi kohe kui ei saa sisse logida julgestusauditite säte võib olla väga kõrge, eriti siis, kui lülitate ka turvalogi kirjuta üritused (Tühjenda Logi käsitsi) variant. See säte näeb ette üksikute vastutuse operaatori tegevused. Näiteks administraator võib lähtestada kõik kasutajad, arvutid ja rühmad organisatsiooniüksuses (OU), mis on kui auditeerimine oli lubatud kasutada sisseehitatud administraatori konto või muud jagatud ja keelate seejärel reset nagu õigused. Siiski võimaldab säte vähendada süsteemi töökindluse sest server olla sunnitud seisanud valdav auditeerite ja teiste turvalisuse sündmused turvalisuse logisse kirjutada. Lisaks sest seiskamise graatsiline, võib põhjustada korvamatut kahju operatsioonisüsteemi, programmide või andmed. Kuigi faili süsteemi terviklikkus säilib ungraceful süsteemi sulgemise ajal tagab NTFS, ei saa tagada, et iga andmefaili iga programmiga saab kasutusvalmis kui süsteem taaskäivitub.
    5. Sümboolne nimi:

      CrashOnAuditFail

    6. Registri tee:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)
    7. Ühilduvusprobleemide näited
      • Windows 2000:Viga, sest arvutit, kus töötab Windows 2000, Windows 2000 hoolduspaketiga SP1, Windows 2000 hoolduspaketi SP2 või Windows Server SP3 algselt avaldatud versioonis võib lõpetada metsaraie üritused enne suurus, mis on täpsustatud maksimaalne logifaili suurus valik security event log. See bug on fikseeritud Windows 2000 hoolduspaketi Service Pack 4 (SP4). Veenduge, et teie Windows 2000 domeenikontrollerid on paigaldatud enne kui kaaluda selle sätte lubamine Windows 2000 hoolduspakett 4.

        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
        312571 Sündmuste logi peatub logib sündmusi enne jõudmist maksimaalne logifaili suurus
      • Windows 2000, Windows Server 2003:Kui taaskäivitage arvutit, kus töötab Windows 2000 või Windows Server 2003 lõpetada reageerimise ja siis võib spontaanselt ning Audit: sulgeda süsteemi kohe kui ei saa sisse logida julgestusauditite säte on sisse lülitatud, turvalogi on täis ja olemasolevate sündmuse logikirje sisu ei saa muuta. Arvuti taaskäivitamisel kuvatakse järgmine stopp-tõrketeade:
        PEATUS: C0000244 {auditi tõrge}
        Loomise katse nurjus.
        Taastada, administraator peab logige Arhiiv (valikuline) turvalogi, tühjendage turvalogi ja seejärel lähtestage antud suvand (valikuline ja vastavalt vajadusele).
      • Microsoft Network Client for MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003:Mitte-administraatoritele, kes püüavad domeeni logida kuvatakse järgmine tõrketeade:
        Sinu konto on konfigureeritud takistama teil selle arvuti. Palun proovige teist arvutit.
        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
        160783 Tõrketeade: kasutajad ei saa logida töökoha
      • Windows 2000:Windows 2000 põhises arvutis, mitte administraatoritel ei saa logida kaugjuurdepääsu serverites ja nad saavad tõrketeate, mis sarnaneb järgmisega:
        Tundmatu kasutaja või vale parool
        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
        285665 Veateate: Sinu konto on konfigureeritud takistama teil selle arvuti
      • Windows 2000:Windows 2000 domeenikontrolleritesse Intersite Messaging service (Ismserv.exe) peatatakse ja ei saa taaskäivitada. DCDIAG Raport viga nagu "nurjunud katse teenuste ISMserv" ja event ID 1083 on registreeritud sündmuste logi.
      • Windows 2000:Windows 2000 domeenikontrolleritesse aktiivse kataloogi kopeerimine nurjub ja kuvatakse "Juurdepääs keelatud" sõnum kui sündmus turvalogi on täis.
      • Microsoft Exchange 2000:Serverid, kus töötab Exchange 2000 ei saa paigaldada andmeid atribuudisalve andmebaasi ja üritus 2102 registreeritud sündmuste logi.

        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
        314294 Exchange 2000 tõrketeateid genereeritakse SeSecurityPrivilege paremal ja Policytest probleemide tõttu
      • Outlook, Outlook Web Accessi: Mitte-administraatoritele ei saa avada oma e-posti Microsoft Outlook või Microsoft Outlook Web Accessi kaudu ning nad saavad 503 viga.
  2. Domeenikontroller: LDAP server allkirja nõuded
    1. Taust

      Selle domeenikontroller: LDAP server allkirja nõuded turvalisuse säte määratleb, kas Lightweight Directory Access Protocoli (LDAP) server nõuab LDAP klientidega läbirääkimisi andmete allkirjastamine. See poliitikasäte võimalikud väärtused on järgmised:
      • Puudub: Andmete allkirjastamine on kohustatud serveriga siduda. Kui klient taotleb andmete allkirjastamine, server toetab seda.
      • Nõuavad allkirjastamine: LDAP andmete allkirjastamine valik peab läbirääkimisi, kui Transport Layer Security/Secure Socket Layer (TLS/SSL) kasutab.
      • pole määratletud: See säte on lubatud või keelatud.
    2. Riskantne koosseisud

      Kahjulike konfiguratsiooni seaded on järgmised:
      • Võimaldades nõuavad allkirjastamine keskkondades kui kliente toetada LDAP allakirjutamise või kus kliendipoolse LDAP allkirjastamine ei ole lubatud kliendi
      • Kohaldades Windows 2000 või Windows Server 2003 Hisecdc.inf turvalisuse Mall keskkondi kui kliente toetada LDAP allakirjutamise või kus kliendipoolse LDAP allkirjastamine ei ole lubatud
      • Kohaldades Windows 2000 või Windows Server 2003 Hisecws.inf turvalisuse Mall keskkondi kui kliente toetada LDAP allakirjutamise või kus kliendipoolse LDAP allkirjastamine ei ole lubatud
    3. Põhjustel lubada selle seadmine

      Allkirjastamata võrguliiklust on vastuvõtlikud mees-in-the-middle rünnakute kui sissetungija lööb paketid kliendi ja serveri vahel, muudab paketid ja edastab need serverisse. Sellise käitumise ilmnemisel LDAP serveri ründaja võib põhjustada server tegema otsuseid, mis põhinevad vale päringutele LDAP kliendi. Seda ohtu ettevõtte võrgus madalam tugeva füüsilise julgeoleku meetmete võrgu infrastruktuuri kaitsmiseks. Interneti protokolli turvalisus (IPSec) päise autentimisrežiimi aitab vältida mees-in-the-middle rünnakuid. Päise autentimisrežiimi sooritab vastastikune autentimine ja pakettaknad terviklikkuse IP liikluse.
    4. Keelake see säte põhjused
      • Kliente, mis toetavad LDAP allkirjastamine ei saa teostada LDAP päringuid domeenikontrollerid ja vastu ülemaailmse kataloogid kui NTLM-autentimine üle ja kui õige hoolduspaketid on installitud Windows 2000 domeenikontrolleritesse.
      • Võrku jäljed LDAP liiklust klientide ja serverite vahel krüpteeritakse. See keeruline uurida LDAP vestlused.
      • Windows 2000 põhiste serveritega peab olema Windows 2000 Service Pack 3 (SP3) või paigaldatud, kui neid manustatakse programmid toe LDAP allkirjastamine mis tööle alates Windows 2000 SP4, Windows XP või Windows Server 2003 kliendi arvutitega. Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
        325465 Windows 2000 domeenikontrollerid nõuab Service Pack 3 või uuem, Windows Server 2003 halduse tööriistade kasutamisel
    5. Sümboolne nimi:

      LDAPServerIntegrity
    6. Registri tee:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)
    7. Ühilduvusprobleemide näited
      • Lihtne seob nurjub ja kuvatakse järgmine tõrketeade:
        Ldap_simple_bind_s() nurjus: nõutav on tugev autentimine.
      • Windows 2000 hoolduspakett 4, Windows XP, Windows Server 2003:Klientide, kus töötab Windows 2000 SP4, Windows XP või Windows Server 2003, mõned Active Directory haldamise tööriistad ei toimi õigesti vastu domeenikontrollerid, kus töötab Windows 2000 versioonid, mis on vanemad kui SP3 NTLM-autentimine on pidanud läbirääkimisi.

        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
        325465 Windows 2000 domeenikontrollerid nõuab Service Pack 3 või uuem, Windows Server 2003 halduse tööriistade kasutamisel
      • Windows 2000 hoolduspakett 4, Windows XP, Windows Server 2003:Klientide, kus töötab Windows 2000 SP4, Windows XP või Windows Server 2003, mõned Active Directory haldamise tööriistad selle eesmärgi domeenikontrollerid, mis töötavad versioonidega Windows 2000, mis on vanemad kui SP3 ei tööta õigesti, kui nad kasutavad IP aadresse (nt "dsa.msc /server =x.x.x.x"kui x.x.x.x on IP-aadress).

        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
        325465 Windows 2000 domeenikontrollerid nõuab Service Pack 3 või uuem, Windows Server 2003 halduse tööriistade kasutamisel
      • Windows 2000 hoolduspakett 4, Windows XP, Windows Server 2003:Klientide, kus töötab Windows 2000 SP4, Windows XP või Windows Server 2003 Active Directory haldamise tööriistad suunatud domeenikontrollerid, kus töötab Windows 2000 versioonid, mis on vanemad kui SP3 hakkab toimima õigesti.

        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
        325465 Windows 2000 domeenikontrollerid nõuab Service Pack 3 või uuem, Windows Server 2003 halduse tööriistade kasutamisel
  3. Domeeni liige: nõuavad tugevat (Windows 2000 või uuem versioon) seansivõti
    1. Taust
      • Selle domeeni liige: nõuavad tugevat (Windows 2000 või uuem versioon) seansivõti säte määratleb, kas turvalise kanali võimalik kindlaks domeenikontrollerit, millest ei saa krüptida Turvakanali liikluse tugev, 128-bitist seansivõti. Selle sätte lubamine takistab luua turvalise kanali ühtegi domeenikontrollerit ei saa tugeva võtmega Turvakanali andmeid krüptida. Selle sätte keelamisel saavad 64-bit seansi võtmed.
      • Enne selle sätte liige tööjaam või server lubamiseks tuleb liikmele kuulub domeeni kõigi domeenikontrollerite Turvakanali andmete krüptimine tugev, 128-bitist võtit. See tähendab, et kõigi domeenikontrollerite peab töötab Windows 2000 või uuemat versiooni.
    2. Riskantne konfiguratsioon

      Mis võimaldab selle domeeni liige: nõuavad tugevat (Windows 2000 või uuem versioon) seansivõti on kahjulik konfigureerimissäte.
    3. Põhjustel lubada selle seadmine
      • Luua turvaline kanal suhtluseks liige arvutid ja domeenikontrollerid kasutatud seansi võtmed on palju tugevam Windows 2000 kui varasemates versioonides Microsoft operatsioonisüsteemid.
      • Kui on võimalik, on mõistlik ära nende tugevama seansi klahvide kaitsmiseks Turvakanali side pealtkuulamise ja istungi ärandamine võrgu rünnakud. Eavesdropping on pahatahtliku rünnaku tagajärjel kui võrgu andmete täpne lugemine või teel muudetud kujul. Andmeid saab muuta, varjata või muutus saatjat või suunata ta.
      Oluline Arvuti, kus töötab Windows Server 2008 R2 või Windows 7 toetab ainult tugev võtmed turvaliste kanalite kasutamisel. See piirang hoiab Windows NT 4.0 põhises domeeni ja Windows Server 2008 R2 põhinev domeeni vahelise usalduse. Lisaks see piirang blokeerib arvuteid, kus töötab Windows 7 või Windows Server 2008 R2, Windows NT 4.0 põhises domeeniliikmelisuse ja vastupidi.
    4. Keelake see säte põhjused

      Domeen sisaldab liige arvutit, kus töötab operatsioonisüsteemidega Windows 2000, Windows XP või Windows Server 2003.
    5. Sümboolne nimi:

      StrongKey
    6. Registri tee:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)
    7. Ühilduvusprobleemide näited

      Windows NT 4.0:Windows NT 4.0 põhises arvutis, turvaliste kanalite usaldusfondi suhteid Windows NT 4.0 ja Windows 2000 domeenide NLTEST lähtestamine nurjub. "Juurdepääs keelatud" tõrketeade kuvatakse:
      Esmase domeeni ja usaldusväärse domeeni usaldussuhe nurjus.

      Windows 7 ja Server 2008 R2:Windows 7 ja hilisemate versioonidega ja Windows Server 2008 R2 ja uuemad versioonid, seda sätet ei austatud enam ja tugev võtit kasutatakse alati. Sellepärast, Windows NT 4.0 domeenid usaldusi ei tööta enam.
  4. Domeeni liige: digitaalselt krüptida või logige turvalise kanali andmed (alati)
    1. Taust
      • Mis võimaldab domeeni liige: digitaalselt krüptida või logige turvalise kanali andmed (alati) ei võimalda luua turvalise kanali ühtegi domeenikontrollerit, millest ei saa allkirjastada ega krüptida kõik turvalise kanali andmed. Kaitsta autentimise liikluse mees-in-the-middle rünnakud, replay rünnakute ja muud liiki võrgu rünnakud Looge Windows-põhiste arvutite sidekanali, mis on tuntud kui turvalise kanali kaudu teenus Net Logon autendivad arvuti kontod. Turvalisi kanaleid kasutatakse ka ühe domeeni kasutaja ühendub võrku ressursi kaugdomeenis. Selles multi-domain autentimist või läbiv autentiminelubab Windowsiga arvuti, mis on ühendatud domeeni on juurdepääs kasutaja konto andmebaasi oma domeeni ja usaldusväärse domeeni.
      • Võimaldada nende domeeni liige: digitaalselt krüptida või logige turvalise kanali andmed (alati) liige arvuti seadmine liige kuulub domeeni kõigi domeenikontrollerite peab olema võimalik allkirjastada või krüptida kõik turvalise kanali andmed. See tähendab, et kõik sellised domeenikontrollerid peab operatsioonisüsteem Windows NT 4.0 koos Service Pack 6a (SP6a) või hiljem.
      • Mis võimaldab selle domeeni liige: digitaalselt krüptida või logige turvalise kanali andmed (alati) seade automaatselt võimaldab selle domeeni liige: digitaalselt krüptida või logige turvalise kanali andmed (kui võimalik) säte.
    2. Riskantne konfiguratsioon

      Mis võimaldab selle domeeni liige: digitaalselt krüptida või logige turvalise kanali andmed (alati) valdkondades kus kõik domeenikontrollerid allkirjastamiseks või krüptimiseks turvalise kanali andmed on kahjulik konfigureerimissäte.
    3. Põhjustel lubada selle seadmine

      Allkirjastamata võrguliiklust on vastuvõtlikud mees-in-the-middle rünnakute, kui sissetungija lööb paketid serveri ja kliendi vahel ja seejärel muudab neid enne edastamine kliendile. Sellise käitumise ilmnemisel Lightweight Directory Access Protocoli (LDAP) serveris sissetungija võib põhjustada teha otsuseid, mis põhinevad valesid kirjeid kataloogist LDAP kliendi. Niisuguse rünnaku ühisvõrgus riski vähendada tugeva füüsilise julgeoleku meetmete võrgu infrastruktuuri kaitsmiseks. Lisaks Interneti-protokolli turvalisus (IPSec) rakendamise päise autentimisrežiimi aitab vältida mees-in-the-middle rünnakuid. Režiim teaostab vastastikune autentimine ja pakettaknad terviklikkuse IP liikluse.
    4. Keelake see säte põhjused
      • Kohaliku või välise domeeni arvutitele toetavad krüpteeritud turvalist kanalit.
      • Kõik domeeni domeenikontrollerid on asjakohane pack läbivaatamise taset toetada krüpteeritud turvalist kanalit.
    5. Sümboolne nimi:

      StrongKey
    6. Registri tee:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)
    7. Ühilduvusprobleemide näited
      • Windows NT 4.0: Windows 2000-ga liige arvutid ei saa liituda Windows NT 4.0 domeenid ja kuvatakse järgmine tõrketeade:
        Kontol pole õigust sellest jaamast sisselogimine.
        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
        281648 Tõrketeade: konto on õigus sellest jaamast sisselogimine
      • Windows NT 4.0:Windows NT 4.0 domeenid ei saa Windows 2000 domeenist tasandi Usaldussuhte loomiseks ning kuvatakse järgmine tõrketeade:
        Kontol pole õigust sellest jaamast sisselogimine.
        Olemasolevate tasandi loodab ka ei autentida kasutajat usaldusväärse domeeni. Mõned kasutajad võivad olla probleemid domeeni sisselogimisel ja need võidakse kuvada tõrketeade, mis teatab, et klient ei leia domeenis.
      • Windows XP:Windows XP kliendid, Windows NT 4.0 domeenid liidetud ei saa autentida nurjunud sisselogimiskatsed ja võidakse kuvada järgmine tõrketeade või järgmiste sündmuste võib registreerida sündmuste logi:
        Windows ei saa domeeniga ühendust luua, kuna domeenikontroller on maas või pole saadaval või teie arvuti kontot ei leitud

        Sündmuse 5723: Sessiooni setup arvutist Arvutinimi autentimine nurjus. Turvalisuse andmebaasis viitestandard konto nimi on Arvutinimi. Ilmnes järgmine tõrge: juurdepääs on keelatud.

        Sündmuse 3227: Sessiooni installiprogramm Windows NT või Windows 2000 domeenikontroller Serveri nimi domeeni Domeeninime nurjus, kuna Serveri nimi toetada allkirjastamisel või pitseerimine Netlogon istungil. Täiendada domeenikontroller või seada RequireSignOrSeal registrikirje selles arvutis 0.

        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
        318266 Windows XP klient ei saa logida Windows NT 4.0 domeeni
      • Microsoft Network:Microsoft Networki kliente kuvada üks järgmistest tõrketeadetest:
        Sisselogimistõrge: Tundmatu kasutajanimi või sobimatu parool.
        Määratud sisselogimisseansi jaoks ei ole kasutaja seansi võti.
  5. Microsoft network client: digitaalallkirjastamine side (alati)
    1. Taust

      Server Message Block (SMB) on ressursside jagamise protokoll, mis toetab paljusid Microsofti operatsioonisüsteemide. See on aluseks võrgustiku põhilisi sisend-/ väljundsüsteem (NetBIOS) ja paljusid teisi protokolle. SMB allkirjastamine autendib kasutaja ja server, mis korraldab andmed. Autentimisprotsessi nurjumisel kummaltki poolt andmete edastamist ei toimu.

      Mis võimaldab SMB allkirjastamine hakkab SMB protokolli läbirääkimise käigus. SMB-allkirjastamise poliitika määratleda, kas arvutisse logib alati digitaalselt kliendiside.

      Windows 2000 SMB autentimisprotokolli toetab vastastikune autentimine. Vastastikune autentimine sulgub "man-in-the-middle" rünnak. Windows 2000 SMB autentimisprotokolli toetab ka sõnumi autentimist. Sõnumi autentimine aitab vältida aktiivse teate rünnakuid. Teile seda autentimist, paneb SMB allkirja digitaalallkiri iga SMB. Digitaalallkirja kontrollimine klient ja server.

      Kasutada SMB allkirjastamine, tuleb lubada SMB allakirjutamise või nõuda SMB tööleasumise SMB klient ja SMB serveri. Kui SMB allkirjastamine on sisse lülitatud server, kliendid, kes on lubatud ka SMB allkirjastamine Kasuta protokolli allakirjutamise ajal kõigi edaspidiste seansside pakettaknad. Kui SMB allkirjastamiseks on vaja server, klient ei saa luua seanssi kui kliendil on lubatud või SMB allkirjastamiseks.

      Mis võimaldab digitaalset allkirjastamist kinnistes võrkude aitab vältida krüptimisfunktsioonide klientide ja serverite. Selline isikustamine on tuntud istungi ärandamine. Ründaja, kes pääseb samasse võrku klient või server kasutab istungi ärandamine tööriistad katkestada, lõpetada või varastada seansi pooleli. Ründaja võiks peatada ja muuta allkirjastamata SMB paketid, muuta liiklust ja seejärel edastab selle nii, et server võib sooritada soovimatuid toiminguid. Või ründaja võiks kujutada server või klient õigustatud autentimise pärast ja siis saada volitamata juurdepääsu andmetele.

      Et SMB protokoll, mida kasutatakse failide ühiskasutus ja printeri ühiskasutus arvutites, kus töötab Windows 2000 Serveri, Windows 2000 Professional, Windows XP Professional või Windows Server 2003 toetab vastastikune autentimine. Vastastikune autentimine lõpetab istungi ärandamine rünnakute ja toetab sõnumi autentimist. Seega takistab mees-in-the-middle rünnakuid. SMB allkirjastamine pakub seda autentimist digitaalallkirja pannes igas SMB. Klient ja server siis kontrollimiseks allkiri.

      Märkmed
      • Kui alternatiivsed vastumeetmete saate lubada digitaalallkirjade IPSec kaitsmiseks kogu võrguliiklust. On olemas riistvara põhist kiirendid IPSec krüpteerimine ja allkirjastamine täitmise minimeerida serveri CPU kasutavate. Ei mingit SMB allkirjastamiseks saadaolevaid kiirendeid.

        Lisateavet vt selle Digitaalallkirjasta server side Peatükk Microsoft MSDN kodulehel.

        Konfigureerige SMB allkirjastamist läbi Group Policy Object Editor sest muutus kohalike registriväärtust ei ole siduv, kui peamine domeeni poliitika.
      • Windows 95, Windows 98 ja Windows 98 Second Edition, Directory Services Client kasutab SMB allkirjastamine kui ta kontrollib Windows Server 2003 serverile NTLM-autentimist kasutades. Need kliendid kasutada SMB allkirjastamine kui nad Sisenen nende serverite NTLMv2 autentimise abil. Lisaks Windows 2000 serverid ei allu SMB allakirjutamine nende klientide päringutele. Lisateabe saamiseks vt punkt 10: "Network security: Lan Manageri autentimist tasemel."
    2. Riskantne konfiguratsioon

      Järgneb kahjulikest konfigureerimissäte: jättes nii selle Microsoft network client: digitaalselt allkirjastada side (alati) seade ja selle Microsoft network client: digitaalselt allkirjastada side (kui server on nõus) seatud "Määratlemata" või puudega. Need sätted lubavad ümbersuunaja lihtteksti paroolide saatmiseks Microsoft SMB serverid, mis ei toeta parooli krüptimine autentimisel.
    3. Põhjustel lubada selle seadmine

      Mis võimaldab Microsoft network client: digitaalallkirjastamine side (alati) nõuab klientidega allkirjastamiseks SMB liikluse serverid, mida ei pea SMB allkirja võtmisel. See muudab klientidele vähem haavatavaks istungi ärandamine rünnakuid.
    4. Keelake see säte põhjused
      • Mis võimaldab Microsoft network client: digitaalallkirjastamine side (alati) takistab klientidega suhtlemisel target serverid, mis toetavad SMB allkirjastamine.
      • Seadistamine arvutite ignoreerida kõik allkirjastamata SMB side takistab varasemate programmide ja opsüsteemide ühenduse loomine.
    5. Sümboolne nimi:

      RequireSMBSignRdr
    6. Registri tee:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
    7. Ühilduvusprobleemide näited
      • Windows NT 4.0:Te ei saa lähtestada domeeniga Windows Server 2003 ja Windows NT 4.0 domeeni vahelise usalduse Turvakanali abil NLTEST või NETDOM ja saate "Juurdepääs keelatud" veateate.
      • Windows XP:Kopeerimise faile Windows XP kliendid Windows 2000 põhiste serveritega ning Windows Server 2003 põhine server võib võtta rohkem aega.
      • Te ei saa võrgudraivi klientrakenduses see säte on sisse lülitatud ning kuvatakse järgmine tõrketeade:
        Kontol pole õigust sellest jaamast sisselogimine.
    8. Taaskäivitamise nõuded

      Taaskäivitage arvuti või tööjaama teenust uuesti käivitada. Selleks tippige käsuviibale järgmised käsud. Pärast iga käsu tippimist vajutage sisestusklahvi Enter.
      net stop tööjaam
      net start tööjaam
  6. Microsoft network server: digitaalallkirjastamine side (alati)
    1. Taust
      • Server Messenger Block (SMB) on ressursside jagamise protokoll, mis toetab paljusid Microsofti operatsioonisüsteemide. See on aluseks võrgustiku põhilisi sisend-/ väljundsüsteem (NetBIOS) ja paljusid teisi protokolle. SMB allkirjastamine autendib kasutaja ja server, mis korraldab andmed. Autentimisprotsessi nurjumisel kummaltki poolt andmete edastamist ei toimu.

        Mis võimaldab SMB allkirjastamine hakkab SMB protokolli läbirääkimise käigus. SMB-allkirjastamise poliitika määratleda, kas arvutisse logib alati digitaalselt kliendiside.

        Windows 2000 SMB autentimisprotokolli toetab vastastikune autentimine. Vastastikune autentimine sulgub "man-in-the-middle" rünnak. Windows 2000 SMB autentimisprotokolli toetab ka sõnumi autentimist. Sõnumi autentimine aitab vältida aktiivse teate rünnakuid. Teile seda autentimist, paneb SMB allkirja digitaalallkiri iga SMB. Digitaalallkirja kontrollimine klient ja server.

        Kasutada SMB allkirjastamine, tuleb lubada SMB allakirjutamise või nõuda SMB tööleasumise SMB klient ja SMB serveri. Kui SMB allkirjastamine on sisse lülitatud server, kliendid, kes on lubatud ka SMB allkirjastamine Kasuta protokolli allakirjutamise ajal kõigi edaspidiste seansside pakettaknad. Kui SMB allkirjastamiseks on vaja server, klient ei saa luua seanssi kui kliendil on lubatud või SMB allkirjastamiseks.

        Mis võimaldab digitaalset allkirjastamist kinnistes võrkude aitab vältida krüptimisfunktsioonide klientide ja serverite. Selline isikustamine on tuntud istungi ärandamine. Ründaja, kes pääseb samasse võrku klient või server kasutab istungi ärandamine tööriistad katkestada, lõpetada või varastada seansi pooleli. Ründaja võiks peatada ja muuta allkirjastamata alamvõrgu Bandwidth Manager (SBM) paketid, muuta liiklust ja seejärel edastab selle nii, et server võib sooritada soovimatuid toiminguid. Või ründaja võiks kujutada server või klient õigustatud autentimise pärast ja siis saada volitamata juurdepääsu andmetele.

        Et SMB protokoll, mida kasutatakse failide ühiskasutus ja printeri ühiskasutus arvutites, kus töötab Windows 2000 Serveri, Windows 2000 Professional, Windows XP Professional või Windows Server 2003 toetab vastastikune autentimine. Vastastikune autentimine lõpetab istungi ärandamine rünnakute ja toetab sõnumi autentimist. Seega takistab mees-in-the-middle rünnakuid. SMB allkirjastamine pakub seda autentimist digitaalallkirja pannes igas SMB. Klient ja server siis kontrollimiseks allkiri.
      • Kui alternatiivsed vastumeetmete saate lubada digitaalallkirjade IPSec kaitsmiseks kogu võrguliiklust. On olemas riistvara põhist kiirendid IPSec krüpteerimine ja allkirjastamine täitmise minimeerida serveri CPU kasutavate. Ei mingit SMB allkirjastamiseks saadaolevaid kiirendeid.
      • Windows 95, Windows 98 ja Windows 98 Second Edition, Directory Services Client kasutab SMB allkirjastamine kui ta kontrollib Windows Server 2003 serverile NTLM-autentimist kasutades. Need kliendid kasutada SMB allkirjastamine kui nad Sisenen nende serverite NTLMv2 autentimise abil. Lisaks Windows 2000 serverid ei allu SMB allakirjutamine nende klientide päringutele. Lisateabe saamiseks vt punkt 10: "Network security: Lan Manageri autentimist tasemel."
    2. Riskantne konfiguratsioon

      Järgmine on kahjulik konfigureerimissäte: lubamine on Microsoft network server: digitaalallkirjastamine side (alati) serverid ja domeenikontrollerid, ühildu Windowsiga arvutite ja muu operatsioonisüsteemi baasil kliendi arvutitega kohaliku või välise domeeni kaudu kasutatavaid.
    3. Põhjustel lubada selle seadmine
      • Kõik klientarvutid, lubage see säte otseselt registri või rühmapoliitika sätte kaudu toetada SMB allkirjastamine. See tähendab, kõik klientarvutid, on see säte on lubatud sõita kas Windows 95 DS klientrakendust installida, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional või Windows Server 2003.
      • Kui Microsoft network server: digitaalallkirjastamine side (alati) on keelatud, SMB allkirjastamine on täiesti keelatud. Täiesti keelata kõik SMB allkirjastamine jätab arvutite istungi ärandamine rünnakute suhtes haavatavamaks.
    4. Keelake see säte põhjused
      • Selle sätte lubamine võib põhjustada faili koopia ja võrgu jõudlust kliendi arvutitega.
      • Selle sätte lubamine prevent kliente, mida ei saa pidada läbirääkimisi SMB edastamast serverid ja domeenikontrollerid allkirjastamine. See põhjustab nagu domeeni ühendamised, kasutaja ja arvuti autentimine või võrgule juurdepääsu programmid ebaõnnestuda.
    5. Sümboolne nimi:

      RequireSMBSignServer
    6. Registri tee:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)
    7. Ühilduvusprobleemide näited
      • Windows 95:Windows 95 klientidele, mis on paigaldatud Directory Services (DS) kliendi sisselogimisel autentimine nurjub ja kuvatakse järgmine tõrketeade:
        Sisestasite domeeni parool on vale või juurdepääs serverisse sisselogimine keelatud.
        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
        811497 Tõrketeade Windows Server 2003 domeenis logib Windows 95 või Windows NT 4.0 klient
      • Windows NT 4.0: Kliendi arvutitega, kus töötab Windows NT 4.0 versiooni, mis on vanemad kui Service Pack 3 (SP3) sisselogimisel autentimine nurjub ja kuvatakse järgmine tõrketeade:
        Süsteem ei saa teid. Veenduge, et teie kasutajanimi ja domeen on õiged, siis tippige parool uuesti.
        Mõned Microsoft SMB serverid toetavad ainult krüptimata parooli vahetust autentimisel. (Neid vahetus tuntud ka kui "plain text" vahetus.) Windows NT 4.0 hoolduspaketi SP3 ja uuemad versioonid SMB ümbersuunaja ei saada krüptimata parooli autentimisel SMB serveri kui lisate konkreetsete registrikirjet.
        SMB klient Windows NT 4.0 SP 3 ja uuemad süsteemid krüptimata paroole lubamiseks muutke registrit järgmiselt: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        Väärtuse nimi: EnablePlainTextPassword
        Tüüp: REG_DWORD
        Andmed: 1

        Seostuva teema kohta lisateabe saamiseks klõpsake Microsofti teabebaasi artiklite kuvamiseks järgmisi artiklinumbreid:
        224287 Tõrketeade: 1240 süsteemiviga. Sellest jaamast sisselogimine pole õigust konto.
        166730 Krüptimata paroole võib põhjustada hoolduspaketi SP3 nurjata ühendust SMB serverid
      • Windows Server 2003: Vaikimisi konfigureeritud turvalisuse sätteid domeenikontrollerid kasutama kas versiooni Windows Server 2003 vältimiseks domeeni kontrolleri sidet kinni või pahatahtlike omavoliliselt. Kasutajatele domeenikontroller, mis töötab Windows Server 2003 edukalt suhelda, tuleb klientarvutid kasutavad rakendust nii SMB allkirjastamine ja krüpteerimine või Turvakanali liikluse allkirjastamine. Vaikimisi, kliendid, et käivitada Windows NT 4.0 hoolduspaketiga Service Pack 2 (SP2) või varem paigaldatud ja kliente, mis töötavad Windows 95 ei pea SMB paketi allkirjastamine lubatud. Need kliendid ei saa seetõttu autentimiseks Windows Server 2003 põhine domeenikontroller.
      • Windows 2000 ja Windows Server 2003 poliitikasätted: Sõltuvalt konkreetses käitises vajadusi ja konfiguratsiooni, soovitame järgmisi poliitikasätteid temperatuurile vajalik ulatus hierarhias Microsoft Management Console Rühmapoliitika redaktori lisandmooduli väikseim üksus:
        • Arvuti Configuration\Windows Settings\Security turvasuvandid
        • Saada krüptimata parool ühendada muu SMB serverid (see säte on Windows 2000)
        • Microsoft network client: saada krüptimata parooli muu SMB serverid (see säte on Windows Server 2003)

        Märkus Mõne muu CIFS serverite, nagu Samba vanemad versioonid ei saa kasutada krüpteeritud paroole.
      • Järgmised kliendid ei ühildu selle Microsoft network server: digitaalallkirjastamine side (alati) säte:
        • Apple Computer, Inc. Mac OS Xclients
        • Microsoft MS-DOS võrgu klientide (nt Microsoft LAN Manager)
        • Microsoft Windowsi Workgroupsclients
        • Microsoft Windows 95 klientidele ilma installitud DSClient
        • Microsoft Windows NT 4.0 põhises computerswithout SP3 installitud või uuem
        • Novell Netware 6 CIFS klientidele
        • SAMBA SMB kliente, kes ei ole toetust SMB allkirjastamine
    8. Taaskäivitamise nõuded

      Taaskäivitage arvuti või serveri teenuse taaskäivitamiseks. Selleks tippige käsuviibale järgmised käsud. Pärast iga käsu tippimist vajutage sisestusklahvi Enter.
      net stop server
      net start server
  7. Võrgu kasutamine: luba anonüümseid SID/nime tõlkimine
    1. Taust

      Selle võrgu kasutamine: luba anonüümseid SID/nime tõlkimine turvalisuse säte määratleb, kas Anonüümne kasutaja saab taotleda turvalisuse ID numbri (SID) atribuute teisele kasutajale.
    2. Riskantne konfiguratsioon

      Mis võimaldab selle võrgu kasutamine: luba anonüümseid SID/nime tõlkimine on kahjulik konfigureerimissäte.
    3. Põhjustel lubada selle seadmine

      Kui ka võrgu kasutamine: luba anonüümseid SID/nime tõlkimine säte on keelatud või varasemad operatsioonisüsteemid või rakendused ei saa suhelda Windows Server 2003 domeenid. Näiteks ei pruugi järgmised operatsioonisüsteemid, teenused või rakendused:
      • Windows NT 4.0 põhises kaugpääsuteenuste serverid
      • Microsoft SQL Server, mis töötavad Windows NT 3.x-põhistes arvutites või Windows NT 4.0 põhises arvutites
      • Remote Access Service, mis töötab Windows 2000-ga arvutid, mis asuvad Windows NT 3.x domeenid või Windows NT 4.0 domeenid
      • SQL serveris, kus töötab Windows 2000 põhiste arvutite, mis asuvad Windows NT 3.x domeenid või Windows NT 4.0 domeenid
      • Windows NT 4.0 resource domeeni kasutajad, kes tahavad anda õigusi kasutada faile, ühiskasutatavad kaustad ja registri objekte konto domeene, mis sisaldavad Windows Server 2003 domeenikontrolleritesse Kasutajakontod
    4. Keelake see säte põhjused

      Selle sätte lubamisel pahatahtlik kasutaja võib kaudu tuntud administraatorid SID sisemise administraatorikonto pärisnime ka siis, kui kontole uus nimi. Et inimene võiks abil kontonime algatada parooli aim rünnak.
    5. Sümboolne nimi: N/A
    6. Registri tee: Ükski. Tee on määratud Kasutajaliidese koodi.
    7. Ühilduvusprobleemide näited

      Windows NT 4.0:Arvutid Windows NT 4.0 resource domeenid kuvatakse "Konto tundmatu" kuvatakse tõrketeade ACL toimetaja, vahendite, sh ühiskaustu, ühiskasutatavate failide ja registri objekte, hoonestatud turvalisuspõhimõtted, domeenid, mis sisaldavad Windows Server 2003 domeenikontrolleritesse paiknevaid.
  8. Võrgu kasutamine: luba anonüümseid loendamine SAM kontod
    1. Taust
      • Selle võrgu kasutamine: luba anonüümseid loendamine SAM kontode sättega saate määratleda, milliseid täiendavaid õigusi ei anta anonüümseid ühendusi selle arvutiga. Windows võimaldab anonüümsetel kasutajatel teostada teatud toiminguid, näiteks nummerdamisel tööjaama ja serveri turvalisuse Turvakontode haldurile (SAM) kontode ja ühiskasutusega võrguketastel nimed. Näiteks administraator saab kasutada seda juurdepääsu kasutajatele usaldusväärse domeeninimega, et säilitada vastastikust usaldust. Pärast seanssi tegemist anonüümse kasutaja võib olla antakse ka kõigile neile rühma põhineb säte on võrgu kasutamine: Las igaüks õigusi rakendatakse anonüümsetele kasutajatele kehtestamine või mittekohustuslike juurdepääsu reguleerimise loendi (DACL) objekti.

        Tavaliselt anonüümseid ühendusi on taotlenud varasemate versioonide kliendid (tasandi kliendid) SMB seanss installimise ajal. Nendel juhtudel Võrgujälitus näitab SMB protsessi ID (PID) kliendi ümbersuunaja nagu 0xFEFF Windows 2000 või Windows NT. RPC 0xCAFE võib proovida ka anonüümseid ühendusi.
      • OlulineSee säte ei mõjuta domeenikontrollerid. Domeenikontrolleritesse, kontrollib selle käitumise "NT AUTHORITY\ANONYMOUS SISSELOGIMINE" "Pre-Windows 2000 ühilduv Access" olemasolu.
      • Windows 2000 sarnase sätte nimega Lisapiiranguid anonüümseid ühendusi haldab Euroopa
        RestrictAnonymous
        registriväärtust. See väärtus asukoht järgmiselt.
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
        Registriväärtus RestrictAnonymous kohta lisateabe saamiseks klõpsake Microsofti teabebaasi artiklite kuvamiseks järgmisi artiklinumbreid:
        246261 Kuidas kasutada registriväärtuse RestrictAnonymous Windows 2000
        143474 Piirata kättesaadava teabe anonüümsele kasutajale
    2. Riskantne koosseisud

      Mis võimaldab selle võrgu kasutamine: luba anonüümseid loendamine SAM kontod on kahjulik konfigureerimissäte ühilduvuse seisukohast. Katkestage see on kahjulik konfigureerimissäte turvalisuse seisukohast.
    3. Põhjustel lubada selle seadmine

      Volitamata kasutaja saaks anonüümselt nimekirja kontonimede ja proovida ära arvata paroole või sotsiaalse inseneri rünnakute sooritamiseks teabe abil. Sotsiaalne insener on kõnepruuki, mis tähendab tricking inimesed arvutikasutajatelt välja oma paroole või mingisugune turvateavet.
    4. Keelake see säte põhjused

      Kui see säte on lubatud, on võimalik tuvastada Windows NT 4.0 domeenid usaldusi. See seade põhjustab probleeme tasandi kliente (nt kliendid Windows NT 3.51 ja Windows 95 klientidele), kes üritavad kasutada ressursse server.
    5. Sümboolne nimi:


      RestrictAnonymousSAM
    6. Registri tee:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)
    7. Ühilduvusprobleemide näited
    • SMS võrgutuvastus ei saa opsüsteemi teavet ja kirjutab "Tundmatu" OperatingSystemNameandVersion vara.
    • Windows 95, Windows 98:Klientide Windows 95 ja Windows 98 klientide ei saa parooli vahetada.
    • Windows NT 4.0:Windows NT 4.0 põhises liige arvutid ei saa autentida.
    • Windows 95, Windows 98:Windows 95 ja Windows 98 arvutid ei saa autentida Microsoft domeenikontrollerid.
    • Windows 95, Windows 98:Kasutajatele Windows 95 ja Windows 98 arvutit ei saa nende kasutajakontode paroole.
  9. Võrgu kasutamine: luba anonüümseid loendamine SAM kontod ja aktsiate
    1. Taust
      • Selle võrgu kasutamine: luba anonüümseid loendamine SAM kontod ja aktsiate (tuntud ka kui RestrictAnonymous) sätte abil määratletakse, kas anonüümne loendamine turvalisuse Turvakontode haldurile (SAM) ja aktsiad on lubatud. Windows võimaldab anonüümsetel kasutajatel teostada teatud toiminguid, näiteks nummerdamisel domeenikontode (kasutajad, arvutid ja rühmad) ja ühiskasutusega võrguketastel nimed. See on mugav, näiteks siis, kui administraator tahab anda juurdepääs kasutajatele usaldusväärse domeeninimega, et säilitada vastastikust usaldust. Kui te ei soovi lubada anonüümset loendamine SAM kontod ja aktsiate, lubage see säte.
      • Windows 2000 sarnase sätte nimega Lisapiiranguid anonüümseid ühendusi haldab Euroopa
        RestrictAnonymous
        registriväärtust. See väärtus asukoht on järgmine:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    2. Riskantne konfiguratsioon

      Mis võimaldab selle võrgu kasutamine: luba anonüümseid loendamine SAM kontod ja aktsiate on kahjulik konfigureerimissäte.
    3. Põhjustel lubada selle seadmine
      • Mis võimaldab selle võrgu kasutamine: luba anonüümseid loendamine SAM kontod ja aktsiate takistab loendamine SAM ja aktsiate kasutajad ja arvutid, mis kasutavad anonüümsed kontod.
    4. Keelake see säte põhjused
      • Selle sätte lubamisel volitamata kasutaja võib anonüümselt loetleda kontonimede ja proovida ära arvata paroole või sotsiaalse inseneri rünnakute sooritamiseks teabe abil. Sotsiaalne insener on kõnepruuki, mis tähendab tricking inimesed oma avaldama oma parooli või mingisugune turvateavet.
      • Selle sätte lubamisel oleks võimalik tuvastada Windows NT 4.0 domeenid usaldusi. See säte aitab tekitada probleeme tasandi klientide nagu Windows NT 3.51 ja Windows 95 klientidele, kes üritavad kasutada ressursse server.
      • Oleks võimatu anda juurdepääs kasutajatele ressursi domeenid sest usaldav domeeni Administraatorid ei saa nummerdada kontod teiste domeeni nimekirju. Kasutajad, kes pääseda failide ja printerite anonüümselt ei saa loetleda need serverid jagatud võrgu ressursse. Kasutajad peavad autentimiseks vaatamiseks loendites ühiskasutusse antud kaustadele ja printeritele.
    5. Sümboolne nimi:

      RestrictAnonymous
    6. Registri tee:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
    7. Ühilduvusprobleemide näited
      • Windows NT 4.0: Kasutajad ei saa oma parooli muutma Windows NT 4.0 tööjaamad, kui RestrictAnonymous on lubatud kasutajate domeeni domeenikontrollerid. Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
        198941 Kasutajad ei saa parooli muuta, kui logite
      • Windows NT 4.0:Lisamine kasutajate või üldiste reeglite usaldusväärsete Windows 2000 domeenide Windows NT 4.0 kohalike rühmade User Manager nurjub ja kuvatakse järgmine tõrketeade:
        Praegu puuduvad logida serverid kättesaadavad teenuse sisselogimise taotluse.
        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
        296405 "RestrictAnonymous" registriväärtuse võib murda usaldust domeeniga Windows 2000
      • Windows NT 4.0:Windows NT 4.0 põhises arvutid ei saa liituda domeenide seadistamise ajal või domain join kasutajaliidese abil.

        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
        184538 Veateade: ei leitud selle domeeni kontroller
      • Windows NT 4.0:Tasandi usalduse Windows NT 4.0 resource domeenide loomine ei õnnestu. Järgmine tõrketeade kuvatakse, kui RestrictAnonymous on lubatud usaldusväärses domeenis:
        Selle domeeni domeenikontrollerit ei suutnud leida.
        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
        178640 Ei leidnud domeenikontrollerit usaldusühingu kehtestamisel
      • Windows NT 4.0:Windows NT 4.0 põhises Terminal serveri arvutisse sisselogivaid kasutajaid kaardistab vaikimisi kodukataloogi asemel on määratletud User Manager domeenid kodukataloogi.

        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
        236185 Terminal Server kasutajaprofiilid ja kodukataloogi rajad on ignoreeritud pδrast SP4 või uuem
      • Windows NT 4.0:Windows NT 4.0 backup domeenikontrollerid (BDCs) ei saa käivitada teenus Net Logon, backup brauserite loendit tuua või SAM andmebaasi Windows 2000 või Windows Server 2003 domeenikontrolleritesse samas domeenis.

        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
        293127 Net Logon võrku sisselogimisel kasutuselevõtu Windows NT 4.0 BDC ei tööta Windows 2000 domeenist
      • Windows 2000:Windows 2000-ga liige arvutid Windows NT 4.0 domeenid ei saa vaadata printerid välisdomeenidele kui puudub juurdepääs selgelt anonüümseks õigusteta lülitatud kliendi arvuti kohaliku turvapoliitika.

        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
        280329 Kasutaja ei saa hallata või vaadata printeri atribuute
      • Windows 2000:Windows 2000 domeeni kasutajaid ei saa lisada võrguprinterit Active Directoryst; Aga nad on võimalik pärast nad valida neid puuvaates lisada printerid.

        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
        318866 Outlooki kliendid ei saa vaadata globaalset aadressiloendit pärast installimist globaalse kataloogi serveri turvalisuse ümberarvestuse pakett 1 (SRP1)
      • Windows 2000:Windows 2000 põhises arvutis, ei saa ACL toimetaja kasutajate või üldiste reeglite lisamiseks usaldusväärsete Windows NT 4.0 domeenid.

        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
        296403 RestrictAnonymous väärtus lõhub usalduse segatud domeen keskkond
      • ADMT teine versioon:Parooli rände vahel metsad koos Active Directory migratsiooni tööriist (ADMT) versioon 2 rännanud kasutajakontodele ei õnnestu.

        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
        322981 Poesisese metsa parooli rände-ja ADMTv2 tõrkeotsing
      • Outlooki kliendid:Globaalne aadressiloend ilmub tühi Microsoft Exchange Outlook klientidele.

        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
        318866 Outlooki kliendid ei saa vaadata globaalset aadressiloendit turvalisuse ümberarvestuse pakett 1 (SR) installimist globaalse kataloogi serveris
        321169 Aeglane SMB tulemuslikkuse kui kopeerite faile Windows XP Windows 2000 domeenikontroller
      • SMS:Microsoft Systems Management serveri (SMS) võrgu avastus ei saa opsüsteemi teavet. Seetõttu kirjutan "Tundmatu" discovery andmekirje (DDR) SMS DDR vara OperatingSystemNameandVersion vara.

        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
        229769 Kuidas andmeid tuvastushaldur määrab kui kliendi konfiguratsiooni taotlust luua
      • SMS: Sirvi kasutajate ja rühmade SMS administraator kasutaja viisardi abil on loetletud kasutajad või rühmad. Lisaks täiustatud kliendid ei saa suhelda juhtimise punkti. Anonüümse juurdepääsu on vaja haldamise osas.

        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
        302413 Kasutajatele või rühmadele on loetletud administraator kasutaja viisard
      • SMS: Kasutamisel võrgutuvastus funktsioon SMS 2.0 ja kliendi Kauginstall topoloogia, klient, ja klientarvutite opsüsteemide võrgu avastus võimalus sisse lülitatud, arvutid võivad ilmneda alles aga pole installitud.

        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
        311257 Ressursid on avastanud kui anonüümseid ühendusi on välja lülitatud
  10. Võrgu turvalisus: Lan Manageri autentimist tase
    1. Taust

      LAN Manager (LM) autentimine on protokoll, mida kasutatakse autentimiseks Windowsi klientide võrgutoimingute, sealhulgas domeeni liitub juurdepääsu võrguressurssidele ja kasutaja või arvuti autentimine. LM autentimise tase määrab, milliseid pretensioon/vastus autentimisprotokolli lepitakse kokku kliendi ja serveri arvutite vahel. Täpsemalt, LM autentimise tase määrab autentimise Protokollid et klient püüab pidada läbirääkimisi või server aktsepteerib. Väärtus, mis on sätestatud LmCompatibilityLevel määratleb, millised pretensioon/vastus autentimisprotokolli kasutatakse võrgulogimiste. See väärtus mõjutab autentimise protokoll, mida kliendid kasutavad tasandil, läbirääkimisi seansiturvalisuse tase ja autentimise serverid poolt aktsepteeritud tase.

      Võimalikud sätted sisaldavad järgmist.
      VäärtusSäteKirjeldus
      0 Saada LM & NTLM vastusedKliendid kasutavad LM- ja NTLM-autentimist ning kunagi NTLMv2 seansiturvalisust. Domeenikontrollerite aktsepteerida LM-ja NTLM ja NTLMv2 autentimist.
      1Saada LM & NTLM - kasutada NTLMv2 seansiturvalisuse läbirääkimisiKliendid kasutavad LM- ja NTLM-autentimist ning NTLMv2 seansiturvalisust kui server seda toetab. Domeenikontrollerite aktsepteerida LM-ja NTLM ja NTLMv2 autentimist.
      2Saada ainult NTLM-vastuseKliendid kasutavad ainult NTLM-autentimist ning NTLMv2 seansiturvalisust kui server seda toetab. Domeenikontrollerite aktsepteerida LM-ja NTLM ja NTLMv2 autentimist.
      3Saada NTLMv2 vastuse ainultKliendid kasutavad ainult NTLMv2 autentimine ning NTLMv2 seansiturvalisust kui server seda toetab. Domeenikontrollerite aktsepteerida LM-ja NTLM ja NTLMv2 autentimist.
      4Saada NTLMv2 vastuse ainult / keelduvad LMKliendid kasutavad ainult NTLMv2 autentimine ning NTLMv2 seansiturvalisust kui server seda toetab. Domeenikontrollerid keelduvad LM ja aktsepteerib ainult NTLM ja NTLMv2 autentimiseks.
      5Saada NTLMv2 vastuse ainult / LM & NTLM keeldudaKliendid kasutavad ainult NTLMv2 autentimine ning NTLMv2 seansiturvalisust kui server seda toetab. Domeenikontrollerid keelduvad LM- ja NTLM ja aktsepteerib ainult NTLMv2 autentimist.
      Märkus Windows 95, Windows 98 ja Windows 98 Second Edition, Directory Services Client kasutab SMB allkirjastamine kui ta kontrollib Windows Server 2003 serverile NTLM-autentimist kasutades. Need kliendid kasutada SMB allkirjastamine kui nad Sisenen nende serverite NTLMv2 autentimise abil. Lisaks Windows 2000 serverid ei allu SMB allakirjutamine nende klientide päringutele.

      Vaata LM autentimise tase: Serveris lubada NTLM põhimõtteid tuleb muuta või peate konfigureerima klientarvuti toetavad NTLMv2.

      Kui poliitika on seatud (5) saada NTLMv2 reaktsiooni only\refuse LM & NTLM ühendada eesmärk arvuti, peate alandada, et säte või seada dokumendile turbe sama seade, mis on lähtearvutis, millest te loote.

      Leida õiget asukohta saate muuta LAN-i halduri autentimise tase seada klient ja server samal tasemel. Kui olete leidnud poliitika, mis seab LAN Manageri autentimist tase, kui soovite ühendada ja arvutitest, kus töötab Windowsi varasemates versioonides, madalam väärtus vähemalt (1) saada LM & tööd - Kasuta NTLM 2 seansiturvalisuse läbirääkimisi. Ühildumatu seaded üks mõju on see, et kui server nõuab NTLMv2 (nimiväärtus 5), kuid klient on konfigureeritud kasutama LM ja NTLMv1 ainult (väärtus 0), üritab autentimist kasutaja kogemusi Sisselogimistõrge, millel on halb parool ja mis suurendab halb parool count. Kui konto tφφsulust on konfigureeritud, võib kasutaja lukustatud lõpuks.

      Näiteks, pead otsima domeenikontrolleris või teil uurida domeeni kontrolleri poliitika.

      Vaata domeenikontrolleris

      Märkus Peate kordama kõigi domeenikontrollerite järgnevalt.
      1. Klõpsake nuppu Start, käsku programmidja käsku Haldusriistad.
      2. Kohalike turvasätetelaiendada Kohaliku poliitika.
      3. Klõpsake turvasuvandid.
      4. Topeltklõpsake võrgu turvalisus: LAN Manageri autentimist taseme, ja seejärel klõpsake loendis väärtust.

      Kui tõhusat loomist ja kohalik säte on samad, poliitika sellel tasandil muuta. Kui seaded on erinevad, peab kontrollima domeeni kontrolleri poliitika otsustada, kas on võrguturbe: LAN Manageri autentimist tase milles määratletakse seal. Kui see on määratletud seal, uurida domeeni kontrolleri poliitikat.

      Uuridadomeeni kontrolleri poliitika
      1. Klõpsake nuppu Start, käsku programmidja käsku Haldusriistad.
      2. Domeeni kontrolleri julgeolekupoliitika laiendada Turvasätteidja seejärel laiendage Kohaliku poliitika.
      3. Klõpsake turvasuvandid.
      4. Topeltklõpsake võrgu turvalisus: LAN Manageri autentimist taseme, ja seejärel klõpsake loendis väärtust.

      Märkus
      • Olete kontrollida poliitika, mis on seotud saidi tasemel, taseme domeeni või organisatsioonilise üksuse (OU) taseme määramiseks, kus tuleb konfigureerida LAN Manageri autentimist tase.
      • Kui rühmapoliitika säte nagu Domeeni vaikepoliitika rakendada poliitikat kohaldatakse kõigile arvutitele kättesaadavaks.
      • Kui rühmapoliitika säte vaike domeenikontrolleri poliitikana rakendada poliitika kehtib ainult domeeni kontrolleri OU servereid.
      • See on mõistlik seada LAN-i halduri autentimise tase vajaliku ulatuse poliitika kohaldamist hierarhia madalaim üksus.

      Windows Server 2003 on uus vaikimisi kasutada NTLMv2 vaid. Vaikimisi Windows Server 2003 ja Windows 2000 Server SP3-põhiste domeenikontrollerite on lubatud ka "Microsoft network server: digitaalallkirjastamine side (alati)" poliitika. See säte vajab SMB serveri sooritada SMB paketi allkirjastamine.Muutused Windows Server 2003 toimus sest domeenikontrollerid, fail serverite, võrgu infrastruktuuri servereid ja veebiserverid igas organisatsioonis nõuda eri seaded suurendada oma julgeolekut.

      Kui soovite rakendada NTLMv2 autentimise võrku, peab veenduge, domeeni arvutid seatud hõivatuse autentimist. Kui rakendate aktiivse kataloogi klient Extensions for Windows 95 või Windows 98 ja Windows NT 4.0, kasutada klientrakenduste laiendused on NTLMv2 parem turvaelemente. Sest ei mõjuta kliendi arvutitega, kus töötab mõne järgmise operatsioonisüsteemi Windows 2000 rühmapoliitika objekte, peate käsitsi konfigureerida need kliendid:
      • Microsoft Windows NT 4.0
      • Microsoft Windows Millennium Edition
      • Microsoft Windows 98
      • Microsoft Windows 95
      Märkus Kui lubate selle võrgu turvalisuse: salvestada LAN manager hash väärtuse järgmine paroolimuudatus poliitika komplekt NoLMHash registrivõti, Windows 95 ja Windows 98 klientide, mis on paigaldatud Directory Services Client ei saa logida domeeni parooli muutmise pärast.

      Paljude tootjate CIFS serverid, nagu Novell Netware 6, ei ole NTLMv2 teadlikud ja kasutavad ainult NTLM. Seetõttu ei võimalda sisaldise tasemega üle 2 Ühenduvus. Samuti on muu SMB kliente, mis kasutavad laiendatud seansiturvalisust. Nendel juhtudel ei võeta allika server LmCompatiblityLevel arvesse. Server siis pakki üles pärand taotlus ja saadab selle kasutaja domeeni kontroller. Seaded domeenikontrolleris, siis otsustada, mida hashes kasutatakse kontrollida taotluse ja kas need on kohtumine Domain Controller turvanõuded.

      Käsitsi konfigureerimise LAN Manageri autentimist taseme kohta lisateabe saamiseks klõpsake Microsofti teabebaasi artiklite kuvamiseks järgmisi artiklinumbreid:
      147706 Windows NT LM-autentimise keelamine
      175641 LMCompatibilityLevel ning selle mõju
      299656 Kuidas vältida Windows säilitamissüsteemi LAN manager hash parooli Active Directory ja kohalike SAM andmebaasid
      312630 Outlooki jätkab teilt sisselogimismandaate
      2701704Auditi sündmus näitab autentimispakett on NTLMv1 asemel NTLMv2
      LM autentimise tase kohta lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
      239869 NTLM 2 autentimise lubamine
    2. Riskantne koosseisud

      Kahjulike konfiguratsiooni seaded on järgmised:
      • Nonrestrictive seaded, et saada paroolid avatekstina ja mis eitavad NTLMv2 läbirääkimiste
      • Piiravaid sätteid, mida takistada ei ole kooskõlas kliendi ja domeenikontrollerid läbirääkimisi ühise autentimisprotokolli
      • Nõudvate NTLMv2 autentimise liige arvutitest ja domeenikontrollerid, kus töötab Windows NT 4.0 versiooni, mis on varasem kui hoolduspaketiga Service Pack 4 (SP4)
      • Nõudvate NTLMv2 autentimist Windows 95 klientidele või on Windows Directory Services Client installitud Windows 98 klientide.
      • Nupu klõpsamisel märkige ruut nõua NTLMv2 seansiturvalisust Microsoft Management Console Rühmapoliitika redaktori lisandmooduli Windows Server 2003 või Windows 2000 Service Pack 3-põhise arvuti ning alandate LAN Manageri autentimist tase 0, kaks satuvad vastuollu ja võidakse kuvada järgmine tõrketeade Secpol.msc faili või GPEdit.msc faili:
        Windows ei saa avada andmebaasi kohaliku poliitika. Siis andmebaasi avamisel ilmnes tundmatu tõrge.
        Turvakonfiguratsioon ja analüüsiriist saamiseks vaadake Windows 2000 või Windows Server 2003 Help failid.

        Lisateabe saamiseks analüüsida turvatasemete Windows 2000 ja Windows Server 2003 kohta klõpsake Microsofti teabebaasi artiklite kuvamiseks järgmisi artiklinumbreid:
        313203 Kuidas analüüsida süsteemi turvalisus Windows 2000
        816580 Kuidas analüüsida süsteemi turvalisust Windows Server 2003
    3. Põhjusi seda sätet muuta
      • Soovid suurendada madalaima ühise autentimise protokoll, mida toetab kliente ja domeenikontrollerid organisatsioonis.
      • Kui turvaline autentimine on ettevõtte nõue, soovite keelata läbirääkimiste LM-ja NTLM protokolle.
    4. Keelake see säte põhjused

      Kliendi ja/või serveri autentimise nõuded kasvasid kuni punktini, kus Tavaprotokoll-autentimine ei saa tekkida.
    5. Sümboolne nimi:

      LmCompatibilityLevel
    6. Registri tee:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
    7. Ühilduvusprobleemide näited
      • Windows Server 2003:Vaikimisi Windows Server 2003 NTLMv2 saada NTLM vastuseid, millega on lubatud. Seega, Windows Server 2003 saab tõrketeate "Juurdepääs keelatud" pärast esialgset paigaldamist kui proovite ühendada Windows NT 4.0 põhises klastri või LanManager V2.1-põhised serverid nagu OS/2 Lanserver. See probleem ilmneb kui püüad ühendada varasema versiooni klient Windows Server 2003 põhise serveri.
      • Installite Windows 2000 turvalisuse ümberarvestuse pakett 1 (SRP1).SRP1 sunnib NTLM versiooni 2 (NTLMv2). See koondpakett anti välja pärast Windows 2000 hoolduspakett Service Pack 2 (SP2). SRP1 kohta lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:

        311401 Windows 2000 turvalisuse koondpakett 1, jaanuar 2002
      • Windows 7 ja Windows Server 2008 R2: paljude tootjate CIFS serverid, nagu Novell Netware 6 või Samba Linuxi-põhiste serverite, ei ole NTLMv2 teadlikud ja kasutavad ainult NTLM. Seetõttu ei võimalda sisaldise tasemega üle "2" Ühenduvus. Nüüd muudeti selles operatsioonisüsteemi versioonis vaikimisi LmCompatibilityLevel "3". Nii et kui Windowsi täiendada nende kolmandate isikute filers töötamast lakata.
      • Microsoft Outlooki kliente võib küsitakse mandaati, kuigi nad on juba sisse logitud domeeni. Kasutajaid andma oma mandaadi, nad kuvada järgmine tõrketeade: Windows 7 ja Windows Server 2008 R2
        Esitatud sisselogimistunnused olid valed. Veenduge, et teie kasutajanimi ja domeen on õiged, siis tippige parool uuesti.
        Outlooki käivitamisel võib teilt teie andmeid ka siis, kui teie sisselogimise võrguturvalisus säte seab läbipääs või paroolautentimise. Pärast kirjutad õige mandaadi, võidakse kuvada järgmine tõrketeade:
        Sisselogimise dokumendid esitada olid valed.
        Network Monitor jälgi võib näidata globaalse kataloogi väljastatud kaugtoimingu kutse (RPC) süü 0x5 olekuga. Staatuse 0x5 tähendab "Juurdepääs on keelatud."
      • Windows 2000:Network Monitor lüüa võib olla järgmisi vigu NetBIOS üle TCP/IP (NetBT) server message block (SMB) istung:
        SMB R otsing kataloog Dos viga, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) kehtetu kasutaja ID.
      • Windows 2000: Kui Windows 2000 domeenist NTLMv2 tasemele 2 või uuem on usaldusväärne domeeniga Windows NT 4.0, Windows 2000-ga liige arvutite allika domeeni kogemuse autentimise vigu.

        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
        305379 Autentimise probleeme Windows 2000 NTLM 2 taset üle 2 domeeniga Windows NT 4.0
      • Windows 2000 ja Windows XP:Windows 2000 ja Windows XP vaikimisi LAN Manageri autentimist tasemel Kohalik turvapoliitika variant 0. Säte 0 tähendab "saada LM- ja NTLM vastuseid."

        Märkus Windows NT 4.0 põhises klastrite kasutama LM haldamine.
      • Windows 2000: Windows 2000 Klasterdamine autentimiseks, liitumist sõlm kui mõlemad sõlmed on osa Windows NT 4.0 Service Pack 6a (SP6a) domeeni.

        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
        305379 Autentimise probleeme Windows 2000 NTLM 2 taset üle 2 domeeniga Windows NT 4.0
      • IIS Lockdown tööriista (HiSecWeb) seab väärtusest LMCompatibilityLevel 5 ja RestrictAnonymous väärtus 2.
      • Teenused Macintoshile

        Kasutaja autentimise mooduli (UAM): Microsoft UAM (kasutaja autentimise moodul) annab meetodi krüptimiseks paroole, mida kasutate sisselogimiseks Windows AFP (AppleTalk esitamise Protocol) serverid. Apple kasutaja autentimise mooduli (UAM) nähakse ette üksnes minimaalne või loobute krüptimisest. Seetõttu kergesti võiks oma parooli kinni, LAN või Internet. Kuigi selle UAM ei nõuta, annab krüptitud autentimist Windows 2000 serverid, mis töötavad teenused For Macintosh. See versioon toetab NTLMv2 128-bitist krüptitud autentimist ja MacOS X 10,1 ühilduv vabastamist.

        Vaikimisi lubab Windows Server 2003 teenuste Macintosh server ainult Microsoft Authentication.

        Lisateabe saamiseks klõpsake Microsofti teabebaasi artiklite kuvamiseks järgmisi artiklinumbreid:
        834498 Macintoshi klient ei suuda ühenduda Mac Windows Server 2003 teenuste
        838331 Mac OS X kasutajad ei saa avada Macintosh jagatud kaustad Windows Server 2003 põhisesse serverisse
      • Windows Server 2008, Windows Server 2003, Windows XP ja Windows 2000: Kui konfigureerite LMCompatibilityLevel väärtuse 0 või 1 ja seejärel konfigureerima NoLMHash väärtusele 1, rakenduste ja komponentide võib keelduda juurdepääsu kaudu NTLM. See probleem ilmneb, kuna arvuti on konfigureeritud nii et LM, kuid mitte kasutada LM salvestatud paroole.

        Kui NoLMHash väärtuse 1 konfigureerimiseks tuleb konfigureerida väärtusest LMCompatibilityLevel 2 ja mitte rohkem.
  11. Võrgu turvalisus: LDAP kliendi allkirja nõuded
    1. Taust

      Selle Network security: LDAP kliendi allkirja nõuded säte määratleb andmete allkirjastamine tase, nõutakse välja Lightweight Directory Access Protocoli (LDAP) SIDUDA klientide nimel nõuab järgmiselt:
      • Ükski: LDAP SIDUDA taotlusele antakse helistaja määratud valikutega.
      • Läbirääkimisi allkirjastamine: kui selle Secure Sockets Layer/transpordikihi turvalisus (SSL/TLS) pole alustatud, LDAP SIDUDA taotlus on algatatud LDAP andmete allkirjastamine määrata peale helistaja määratud suvanditele. Kui SSL/TLS LDAP SIDUDA taotluse algatada helistaja määratud valikutega.
      • Nõua allkirja: see on sama, mis rääkida allkirjastamine. Siiski, kui LDAP server vahepealsete saslBindInProgress vastus näitab, et LDAP liiklust allkirja ei nõuta, helistaja ütles LDAP SIDUMA käsk taotlus nurjus.
    2. Riskantne konfiguratsioon

      Mis võimaldab selle võrgu turvalisuse: LDAP kliendi allkirja nõuded on kahjulik konfigureerimissäte. Kui server nõuab LDAP allkirjad seadmiseks peate konfigureerima LDAP kliendi allkirja. Seadistamine klient kasutada LDAP allkirju ei saa serveriga. See põhjustab kasutaja autentimist, rühmapoliitika sätted, logon skriptid ja muid funktsioone ebaõnnestuda.
    3. Põhjusi seda sätet muuta

      Allkirjastamata võrguliiklust on vastuvõtlikud mees-in-the-middle rünnakute kui sissetungija lööb pakette ning klientide ja serverite vahel, muudab neid ja edastab need serverisse. Kui see toimub LDAP serveri ründaja võib põhjustada server vastata põhineb vale päringutele LDAP kliendi. Seda ohtu ettevõtte võrgus madalam tugeva füüsilise julgeoleku meetmete võrgu infrastruktuuri kaitsmiseks. Lisaks võib aidata vältida igasuguseid mees-in-the-middle rünnakute nõudes digitaalallkirjad kõik võrgupakettide kaudu IPSec autentimise päiseid.
    4. Sümboolne nimi:

      LDAPClientIntegrity
    5. Registri tee:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
  12. Sündmuselogi – Maksimaalne turvalisus Logi maht
    1. Taust

      Selle sündmustelogi: maksimaalse turvalisuse Logi maht turbesätte määrab maksimaalne suurus Turvalogisse sündmus. See logi on maksimaalne suurus 4 GB. Selle sätte leidmiseks laiendada Windowsi sätteidja seejärel Turvasätteid.
    2. Riskantne koosseisud

      Kahjulike konfiguratsiooni seaded on järgmised:
      • Logi maht ja turvalisuse Logi säilitamise meetod kui selle auditi: sulgeda süsteemi kohe kui ei saa sisse logida julgestusauditite on aktiveeritud. Vt ka "Audit: sulgeda süsteemi kohe kui ei saa sisse logida julgestusauditite" artikli üksikasjade osas.
      • Nii, et huvi turvalisuse sündmuste üle, millega piiratakse turvalisuse Logi maht.
    3. Pikendage seda põhjust

      Äri ja turvanõuete võib dikteerida turvalisuse Logi mahtu hakkama lisatagatise Logi detail või kinni pidada security logisid pikema aja jooksul suurendada.
    4. Põhjuseid vähendada selle sätte

      Vaataja sündmuselogid on mälujaotusega faile. Sündmuste logi maksimumsuurus on piiratud kohaliku arvuti füüsilist mälu ja virtuaalmälu maht, mis on saadaval sündmustelogi protsessi. Logi mahtu kaugemale Sündmusevaatur saadaoleva virtuaalmälu hulk kanded, mida hallatakse arvu suurendamiseks.
    5. Ühilduvusprobleemide näited

      Windows 2000:Arvutite, kus töötab Windows 2000 versioonid, mis on varasem kui hoolduspaketiga Service Pack 4 (SP4) ei pruugi enam metsaraie sündmuste sündmuselogi enne ulatudes suurus on määratud maksimaalne log size sisselaskmist Sündmusevaatur kui kirjuta üritused (Tühjenda Logi käsitsi) suvand on sisse lülitatud.

      Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
      312571 Sündmuste logi peatub logib sündmusi enne jõudmist maksimaalne logifaili suurus
  13. Sündmuselogi – Säilitada turvalogi
    1. Taust

      Selle sündmustelogi: säilitada turvalogi turbesätte määratleb turvalogi "pakendamine" meetod. Selle sätte leidmiseks laiendada Windowsi sätteidja seejärel Turvasätteid.
    2. Riskantne koosseisud

      Kahjulike konfiguratsiooni seaded on järgmised:
      • Ei suutnud säilitada kõik logitud turvalisus üritused enne, kui nad on üle kirjutatud
      • Seadistamine Turvalisus Logi maksimummaht turvalisus üritused kirjutatakse kehtestamine liiga väike
      • Piirates turvalisuse Logi suurus ja säilitamise meetod samal ajal on Audit: sulgeda süsteemi kohe kui ei saa sisse logida julgestusauditite lubatakse turbesätte
    3. Põhjustel lubada selle seadmine

      Lubage see säte ainult kirjuta sündmused päeva võrra säilitamise meetodi valimisel. Sündmused sündmus korrelatsiooni süsteem, mis pollib kasutamisel veenduge, et päevade arv on vähemalt kolm korda küsitlus sagedus. Seda võimaldavad ebaõnnestunud küsitlus tsüklit.
  14. Võrgu kasutamine: lasta kõik õigused rakenduvad anonüümsed kasutajad
    1. Taust

      Vaikimisi on võrgu kasutamine: Las igaüks õigusi rakendatakse anonüümsetele kasutajatele säte on Määratlemata Windows Server 2003. Vaikimisi Windows Server 2003 ei sisalda anonüümne juurdepääsuluba ning kõigile rühma.
    2. Ühilduvusprobleemide näide

      Järgmine väärtus
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
      [REG_DWORD] = 0x0 puruneb usalduse loomine Windows Server 2003 ja Windows NT 4.0, Windows Server 2003 domeenis on konto domeenis ja Windows NT 4.0 domeen on allika domeeni vahel. See tähendab, et konto domeeni usaldusväärsed Windows NT 4.0 allika domeeni on Trusting Windows Server 2003 poolel. Selline käitumine ilmneb seetõttu protsessi käivitamiseks usalduse pärast esialgset anonüümset ühendust on ACL oleks kõigiga tõendi, mis sisaldab anonüümseid SID Windows NT 4.0.
    3. Põhjusi seda sätet muuta

      Väärtus seatud 0x1 või kasutades rühmapoliitika objekti domeeni kontrolleri OU olevat: võrgu kasutamine: Las igaüks õigusi rakendatakse anonüümsetele kasutajatele - lubatud usalduse loomingut võimaldamiseks.

      Märkus Muid turvasätteid tõusevad väärtuse asemel 0x0 kõige turvatud seisundi alla. Turvalisem praktika oleks muuta registri esmase domeeni kontrolleri emulaator asemel kõik domeenikontrolleritesse. Kui mingil põhjusel teisaldatakse esmase domeeni kontrolleri emulaator rolli, registri uude serverisse värskendada.

      Uuesti tuleb pärast seda, kui selleks väärtuseks on seatud.
    4. Registri tee
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
  15. NTLMv2 autentimine

    1. Seansiturvalisust

      Seansiturvalisust määrab minimaalsed turvanõuded kliendi ja serveri istungid. See on hea mõte kontrollida järgmiste turvalisuse poliitika sätete kohta Microsoft Management Console Rühmapoliitika redaktori lisandmooduli:
      • Arvuti Settings\Windows Settings\Security sätted\Kohalikud Policies\Security Valikud
      • Võrgu turvalisus: Minimaalne seansiturvalisust NTLM SSP alusel (sh turvaline RPC) serverid
      • Võrgu turvalisus: Minimaalne seansiturvalisust NTLM SSP alusel (sh turvaline RPC) kliente
      Need seaded Valikud on järgmised:
      • Nõua sõnumi terviklikkus
      • Nõua sõnumi konfidentsiaalsus
      • Nõuda NTLM versiooni 2 seansiturvalisust
      • Nõuab 128-bitist krüpteerimist
      Enne Windows 7 on nõudeid ei ole. Alustades Windows 7 vaikimisi muudetakse nõuab 128-bitist krüpteerimist julgeoleku parandamisele. See vaikimisi on seost pärandseadet, mis ei toeta 128-bitist krüpteerimist.

      Neid põhimõtteid tuleb määrata minimaalsed turvanõuded application rakenduse side istungil klient server.

      Ajalooliselt toetas Windows NT pretensioon/vastus-autentimise järgmist kahte varianti võrgulogimiste:
      • LM pretensioon/vastus
      • NTLM versiooni 1 pretensioon/vastus
      LM tagab ühilduvuse majakaid klientide ja serverite. NTLM pakub klientide ja serverite vahelistele ühendustele täiustatud turvalisust.

      Vastavate registrivõtmete on järgmised:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"
    2. Riskantne koosseisud

      Sellest sättest oleneb võrgu istungid tagatud kasutades NTLM käsitsemise. See mõjutab RPC-põhise istungid autenditud NTLM, nt. On järgmistel juhtudel:
      • Ei kirjuta side (terviklikkus) teeb teatises vastuvõtlikud muutmist traat.
      • Ei Krüpti side (konfidentsiaalsuse) teeb teatises haavatavaks kontrolli traat.
      • Vanemate autentimismeetodite kui NTLMv2 teeb teatises lihtsam rünnata tõttu lihtsam hashing meetodeid kasutades.
      • Kasutades madalam 128-bitiste krüptivõtmete võimaldab ründajad murda kasutades loomalik-force rünnakutele.

Ajaliselt sünkroniseeritud

Aja sünkroniseerimine nurjus. Aeg on väljas rohkem kui 30 minutit nakatunud arvutis. Veenduge, et kliendi arvuti kellaaja sünkroonimist koos domeeni kontrolleri.

Vastukaalu SMB allkirjastamiseks

Kliki siia teavet SMB allkirjastamine probleemide lahendamiseks
Soovitame installida Service Pack 6a (SP6a) eeli Windows Server 2003 põhise domeeniga Windows NT 4.0 kliente. Windows 98 Second Edition põhise klientidele, klientide opsüsteemiga Windows 98 ja Windows 95 põhisesse klientidele peate käivitama Directory Services Client sooritada NTLMv2. Kui Windows NT 4.0 põhises kliendid pole installinud Windows NT 4.0 hoolduspaketi SP6 või kui Windows 95 põhisesse kliente, opsüsteemiga Windows 98 klientide ja Windows 98SE põhinev kliente ei ole Directory Services Client installitud, keelata SMB allakirjutamist vaikimisi domeenikontrolleri poliitika sisselülitamiseks domeeni kontrolleri OU ja linkida selle poliitika vastuvõtva domeenikontrollerid kõik organisatsiooniüksused.

Directory teenused kliendi jaoks Windows 98 teine trükk, Windows 98 ja Windows 95 täidab SMB allkirjastamine Windows 2003 serverile NTLM-autentimist, kuid ei NTLMv2 autentimist. Lisaks Windows 2000 server ei reageeri SMB allkirjastamine taotlustele nendest klientidest.

Kuigi me ei soovita seda, saate takistada SMB allkirjastamine, nõudmata kõik domeenikontrollerid, mis töötavad Windows Server 2003 domeenis. Selle turbesätte konfigureerimiseks toimige järgmiselt.
  1. Ava vaike domeenikontrolleri poliitika.
  2. Avage kaust Arvuti Configuration\Windows Settings\Security sätted\Kohalikud Policies\Security võimalusi .
  3. Leidke ja klõpsake selle Microsoft network server: digitaalallkirjastamine side (alati) Poliitikasätte ja seejärel klõpsake erivajadustega.
Oluline See osa, meetod või ülesanne sisaldab toiminguid, mis õpetavad registrit muutma. Registri ekslik muutmine võib samas põhjustada tõsiseid probleeme. Seega veenduge, et te järgite neid samme hoolikalt. Täiendavaks kaitseks varundage register enne selle muutmist. Seejärel saate registri taastamine probleemi ilmnemisel. Varundamine ja taastamine registris kohta lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
322756 Varundamine ja taastamine Windows registry
Teise võimalusena lülitage SMB tööleasumise server registrit muutes võib. Selle tegemiseks järgige neid samme:
  1. Klõpsake nuppu Start, käsku Run, tüüp regedit, ja seejärel klõpsake nuppu OK.
  2. Leidke ja klõpsake Järgmine alamvõti:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters
  3. Klõpsake enablesecuritysignature kirjet.
  4. Menüüs Redigeeri klõpsake käsku Muuda.
  5. Linnas on Value data tippige 0, ja seejärel klõpsake nuppu OK.
  6. Sulgege registriredaktor.
  7. Taaskäivitage arvuti, või peatuda ja siis uuesti Serveri teenus. Tippige käsureale järgmised käsud ja vajutage sisestusklahvi Enter pärast iga käsku:
    net stop server
    net start server
Märkus Vastavat klahvi kliendi arvutis on järgmine registri alamvõti:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters
Järgneb loend tõlgitud viga koodnumbrid olekukoodid ja varem mainitud sõna-sõnalt veateated:
viga 5
ERROR_ACCESS_DENIED
Juurdepääs on keelatud.
tõrge 1326
ERROR_LOGON_FAILURE
Sisselogimistõrge: Tundmatu kasutajanimi või sobimatu parool.
tõrge 1788
ERROR_TRUSTED_DOMAIN_FAILURE
Esmase domeeni ja usaldusväärse domeeni usaldussuhe nurjus.
tõrge 1789
ERROR_TRUSTED_RELATIONSHIP_FAILURE
Selle tööjaama ja esmase domeeni usaldussuhe nurjus.
Lisateabe saamiseks klõpsake Microsofti teabebaasi artiklite kuvamiseks järgmisi artiklinumbreid:
324802 Kuidas seadistada rühmapoliitikate seatud turvalisus süsteemiteenuste jaoks Windows Server 2003
306771 "Juurdepääs keelatud" veateate pärast seadistada Windows Server 2003 klastri
101747 Kuidas installida Macintoshi Microsoft autentimine
161372 Kuidas võimaldada SMB teenusesse Windows NT
236414 Ei saa kasutada aktsiate LMCompatibilityLevel seatud ainult NTLM 2 autentimist
241338 Windows NT LAN Manageri versiooni 3 klienti esimesel sisselogimisel takistab tegevust hilisema sisselogimine
262890 Võimalik saada kodukataloogi draivi ühendus segatud keskkonnas
308580 Kodukataloogi vastendused tasandi serverid ei pruugi sisselogimise ajal
285901 Kaugjuurdepääsu, VPN ja RIS kliendid ei saa kehtestada istungid server, mis on konfigureeritud vastu võtma ainult NTLM versiooni 2 autentimist
816585 Kuidas rakendada eelmääratletud turvalisus mallide Windows Server 2003
820281 Windowsi konto mandaat peab esitama, kui ühendate Exchange Server 2003 Outlook 2003 RPC over HTTP funktsiooni abil
Kasutaja õige turvalisuse seadmine rakenduste ühilduvuse registri turvalise rühma poliitika acl õiguste gpedit pdce

Hoiatus. See artikkel on masintõlgitud.

Atribuudid

Artikli ID: 823659 – viimati läbi vaadatud: 10/08/2013 21:11:00 – redaktsioon: 1.0

Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows XP Professional Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Workstation 4.0 Developer Edition, Microsoft Windows 98 Standard Edition, Microsoft Windows 95

  • kbinfo kbmt KB823659 KbMtet
Tagasiside