Kokkuvõte
Turbesätteid ja kasutajaõiguste määramisi saab muuta kohalikes poliitikates ja rühmapoliitikates, et domeenikontrollerite ja liikmearvutite turvalisust rangemaks muuta. Suurema turvalisuse miinus on aga vastuolude loomine klientide, teenuste ja programmidega.
Selles artiklis kirjeldatakse ühilduvust, mis võivad ilmneda windows XP-ga klientarvutites või Windowsi varasemas versioonis, kui muudate Windows Server 2003 domeeni või varasema Windows Serveri domeeni turbesätteid ja kasutajaõiguste määramisi. Windows 7, Windows Server 2008 R2 ja Windows Server 2008 Rühmapoliitika kohta leiate teavet järgmistest artiklitest.-
Windows 7 korral lugege teemat IT-spetsialistide Rühmapoliitika haldus
-
Windows 7 ja Windows Server 2008 R2 kohta leiate teavet artiklist Mis on uut Rühmapoliitika
Märkus. Selle artikli ülejäänud sisu kehtib Windows XP, Windows Server 2003 ja Windowsi varasemate versioonide kohta.
Windows XP
Valesti konfigureeritud turbesätete teadlikkuse suurendamiseks kasutage turbesätete muutmiseks tööriista Rühmapoliitika Objektiredaktor. Kui kasutate Rühmapoliitika objektiredaktorit, täiustatakse kasutajaõiguste määramisi järgmistes operatsioonisüsteemides.
-
Windows XP Professional Service Pack 2 (SP2)
-
Windows Server 2003 hoolduspakett Service Pack 1 (SP1)
Täiustatud funktsioon on dialoogiboks, mis sisaldab selle artikli linki. Dialoogiboks kuvatakse siis, kui muudate turbesätte või kasutajaõiguste määramise sätteks, mis pakub vähem ühilduvust ja on piiravam. Kui muudate registri või turbemallide abil otse sama turbesätet või kasutajaõiguste määramist, on see sama, mis sätte muutmine Rühmapoliitika Objektiredaktoris. Siiski ei kuvata selle artikli linki sisaldavat dialoogiboksi.
See artikkel sisaldab näiteid klientrakendustest, programmidest ja toimingutest, mida mõjutavad teatud turbesätted või kasutajaõiguste määramine. Näited pole aga autoriteetsed kõigi Microsofti operatsioonisüsteemide, muude tootjate operatsioonisüsteemide ega kõigi mõjutatud programmiversioonide puhul. Selles artiklis pole loetletud kõiki turbesätteid ega kasutajaõiguste määramisi. Soovitame testimetsas kontrollida kõigi turbega seotud konfiguratsioonimuudatuste ühilduvust enne, kui need tootmiskeskkonnas kasutusele võtate. Katsemets peab kajastama tootmismetsa järgmisel viisil:-
Kliendi ja serveri operatsioonisüsteemi versioonid, kliendi- ja serveriprogrammid, hoolduspaketi versioonid, kiirparandused, skeemimuudatused, turberühmad, rühmakuulused, failisüsteemi objektide õigused, ühiskaustad, register, Active Directory kataloogiteenus, kohalikud ja Rühmapoliitika sätted ning objektide arvu tüüp ja asukoht
-
Tehtavad haldustoimingud, kasutatavad haldustööriistad ja haldustoimingute tegemiseks kasutatavad operatsioonisüsteemid
-
Tehtavad toimingud, näiteks järgmised.
-
Arvuti ja kasutaja sisselogimise autentimine
-
Kasutajate, arvutite ja administraatorite paroolide lähtestamine
-
Sirvimine
-
Failisüsteemi, ühiskaustade, registri ja Active Directory ressursside õiguste seadmine ACL Editori abil kõigis kliendi operatsioonisüsteemides kõigis konto- või ressursidomeenides kõigis kliendi operatsioonisüsteemides kõigist konto- või ressursidomeenidest
-
Printimine haldus- ja mittehalduskontodelt
-
Windows Server 2003 SP1
Hoiatused Gpedit.msc-s
Selleks et aidata klientidel teavitada, et nad redigeerivad kasutajaõigusi või turbesuvandit, mis võisid nende võrku ebasoodsalt mõjutada, lisati gpedit.msc-le kaks hoiatusmehhanismi. Kui administraatorid redigeerivad kasutajaõigusi, mis võivad kogu ettevõtet ebasoodsalt mõjutada, näevad nad uut ikooni, mis sarnaneb tootluse märgiga. Samuti saavad nad hoiatusteate, mis sisaldab linki Microsofti teabebaasi artiklile 823659. Selle sõnumi tekst on järgmine:
Selle sätte muutmine võib mõjutada ühilduvust klientide, teenuste ja rakendustega. Lisateavet leiate teemast <kasutajaõigusi või turbesuvandit muudetakse> (Q823659). Kui teid suunati teabebaasiartiklile Gpedit.msc lingi kaudu, veenduge, et loete antud selgitust ja mõistate selle sätte muutmise võimalikku mõju. Järgmises loendis on hoiatusteksti sisaldavad kasutajaõigused.
-
Juurdepääs sellele arvutile võrgu kaudu
-
Logige sisse kohalikult
-
Möödu läbimise kontrollimine
-
Arvutite ja kasutajate lubamine usaldusväärse delegeerimise jaoks
Järgmises loendis on hoiatusega turbesuvandid ja hüpikteade.
-
Domeeni liige: digitaalselt krüptida või allkirjastada turvalisi kanaliandmeid (alati)
-
Domeeni liige: nõuab tugevat (Windows 2000 või uuem versioon) seansivõtit
-
Domeenikontroller: LDAP-serveri allkirjastamisnõuded
-
Microsofti võrguserver: digitaalallkirjasta suhtlus (alati)
-
Võrgupääs: lubab anonüümse Sid/nime tõlkimise
-
Võrgujuurdepääs: ärge lubage SAM-i kontode ja ühisosade anonüümne loendamine
-
Võrguturve: LAN Manageri autentimistase
-
Audit: sulgege süsteem kohe, kui turbeauditeid ei saa logida
-
Võrgupääs: LDAP-kliendi allkirjastamisnõuded
Lisateave
Järgmistes jaotistes kirjeldatakse ühilduvust, mis võib ilmneda Windows NT 4.0 domeenide, Windows 2000 domeenide ja Windows Server 2003 domeenide teatud sätete muutmisel.
Kasutajaõigused
Järgmises loendis kirjeldatakse kasutaja õigust, tuvastatakse probleeme võivad konfiguratsioonisätted, kirjeldatakse, miks tuleks kasutajaõigusi rakendada ja miks soovite kasutaja õiguse eemaldada, ning tuuakse näiteid ühilduvusprobleemide kohta, mis võivad ilmneda kasutaja õiguste konfigureerimisel.
-
Juurdepääs sellele arvutile võrgu kaudu
-
Taust
Windowsi kaugarvutitega suhtlemiseks on vaja juurdepääsu sellele arvutile võrgukasutaja õiguste kaudu. Sellised võrgutoimingud on näiteks järgmised.-
Active Directory tiražeerimine ühise domeeni või metsa domeenikontrollerite vahel
-
Kasutajate ja arvutite domeenikontrollerite autentimistaotlused
-
Juurdepääs ühiskaustadele, printeritele ja muudele süsteemiteenustele, mis asuvad võrgu kaugarvutites
-
-
Riskantsed konfiguratsioonid
Järgmised on kahjulikud konfigureerimissätted.-
Ettevõtte domeenikontrollerite turberühma eemaldamine sellelt kasutajalt
-
Autenditud kasutajate rühma või konkreetse rühma eemaldamine, mis võimaldab kasutajatel, arvutitel ja teenusekontodel, keda kasutajal on õigus võrgu kaudu arvutitega ühendada
-
Kõigi kasutajate ja arvutite eemaldamine sellelt kasutajalt
-
-
Põhjused selle kasutaja õiguste andmiseks
-
Sellele arvutile võrgukasutajalt ettevõtte domeenikontrollerite rühmale juurdepääsu andmine vastab autentimisnõuetele, mis Active Directory tiražeerimisel peavad olema tiražeerimiseks sama metsa domeenikontrollerite vahel.
-
See kasutajaõigus võimaldab kasutajatel ja arvutitel juurde pääseda ühisfailidele, printeritele ja süsteemiteenustele, sh Active Directoryle.
-
See kasutajaõigus on vajalik selleks, et kasutajad pääseksid meilile juurde Microsoft Outlook Web Accessi (OWA) varajaste versioonide abil.
-
-
Selle kasutaja õiguse eemaldamise põhjused
-
Kasutajad, kes saavad oma arvutid võrku ühendada, pääsevad juurde kaugarvutite ressurssidele, mille jaoks neil on õigused. Näiteks on kasutajal vaja seda õigust, et kasutaja saaks luua ühenduse ühisprinterite ja kaustadega. Kui see kasutajaõigus on antud rühmale Kõik ja kui mõnel ühiskaustal on nii ühiskasutuse kui ka NTFS-failisüsteemi õigused konfigureeritud nii, et samal rühmal oleks lugemisõigus, saavad kõik ühiskaustades olevaid faile vaadata. Siiski on see Windows Server 2003 värskete installide puhul ebatõenäoline, sest Windows Server 2003 vaikeketas ja NTFS-i õigused ei sisalda rühma Kõik. Operatsioonisüsteemilt Microsoft Windows NT 4.0 või Windows 2000 uuemale versioonile üle viidud süsteemide korral võib see haavatavus olla suurem, kuna nende operatsioonisüsteemide vaikeketta ja failisüsteemi õigused ei ole nii piiratud kui Windows Server 2003 vaikeõigused.
-
Ettevõtte domeenikontrollerite rühma eemaldamiseks sellelt kasutajalt pole õiget põhjust.
-
Rühm Kõik eemaldatakse üldjuhul rühma Autenditud kasutajad kasuks. Kui rühm Kõik on eemaldatud, peab sellele kasutajale olema antud õigus rühmale Autenditud kasutajad.
-
Windows NT 4.0 domeenid, mis on täiendatud versioonile Windows 2000, ei anna selgesõnaliselt juurdepääsu sellele arvutile võrgukasutaja kaudu otse rühmale Kõik, autenditud kasutajate rühmale või ettevõtte domeenikontrollerite rühmale. Seetõttu, kui eemaldate rühma Kõik Windows NT 4.0 domeenipoliitikast, Active Directory tiražeerimine nurjub pärast üleminekut versioonile Windows 2000 tõrketeatega "Juurdepääs keelatud". Winnt32.exe windows Server 2003 väldib seda vale konfiguratsiooni, andes ettevõtte domeenikontrollerite rühmale selle kasutaja kohe, kui täiendate Windows NT 4.0 esmaseid domeenikontrollereid (PC-arvutid). Andke ettevõtte domeenikontrollerite rühmale see kasutaja õigus, kui seda pole Rühmapoliitika objektiredaktoris.
-
-
Ühilduvusprobleemide näited
-
Windows 2000 ja Windows Server 2003: järgmiste sektsioonide paljundamine nurjub tõrgetega "Juurdepääs keelatud", mille on sündmuselogis teatanud jälgimistööriistad nagu REPLMON ja REPADMIN või tiražeerimissündmused.
-
Active Directory skeemi sektsioon
-
Konfiguratsioonisektsioon
-
Domeeni sektsioon
-
Globaalkataloogi sektsioon
-
Rakenduse sektsioon
-
-
Kõik Microsofti võrgu operatsioonisüsteemid: kasutajakonto autentimine kaugvõrgu klientarvutitest nurjub, välja arvatud juhul, kui kasutajale või turberühmale, mille liige kasutaja on, on antud selle kasutaja õigus.
-
Kõik Microsofti võrgu operatsioonisüsteemid: konto autentimine kaugvõrguklientidelt nurjub, kui kontole või turberühmale, mille liige konto on, on antud sellele kasutajale õigus. See stsenaarium kehtib kasutajakontode, arvutikontode ja teenusekontode kohta.
-
Kõik Microsofti võrgu operatsioonisüsteemid: kõigi kontode eemaldamine sellelt kasutajalt takistab ühegi konto sisselogimist domeeni või juurdepääsu võrguressurssidele. Kui arvutatud rühmad (nt Ettevõtte domeenikontrollerid, Kõik või Autenditud kasutajad) eemaldatakse, peate selgesõnaliselt andma sellele kasutajale õiguse kontodele või turberühmadele, mille liige konto on võrgu kaudu kaugarvutitele juurdepääsuks. See stsenaarium kehtib kõigi kasutajakontode, kõigi arvutikontode ja kõigi teenusekontode kohta.
-
Kõik Microsofti võrgu operatsioonisüsteemid: kohaliku administraatori konto kasutab tühja parooli. Tühja parooliga võrguühendus pole domeenikeskkonna administraatorikontode puhul lubatud. Selle konfiguratsiooni korral võidakse kuvada tõrketeade "Juurdepääs keelatud".
-
-
-
Luba kohalikult sisselogimine
-
Taust
Kasutajatel, kes proovivad Sisse logida Windowsi-põhise arvuti konsoolis (kiirklahvikombinatsiooni CTRL+ALT+DELETE abil) ja kontodel, kes proovivad teenust käivitada, peavad hostiarvutis olema kohalikud sisselogimisõigused. Kohalike sisselogimistoimingute hulka kuuluvad näiteks administraatorid, kes logivad sisse liikmesarvutite konsoolidesse, või domeenikontrollerid kogu ettevõttes ja domeeni kasutajad, kes logivad sisse liikme arvutitesse, et pääseda oma töölaudadele juurde õigusteta kontode abil. Kaugtöölaua ühendust või terminaliteenuseid kasutavatel kasutajatel peab olema luba kohaliku kasutaja sisselogimine otse sihtarvutites, kus töötab Windows 2000 või Windows XP, kuna neid sisselogimisrežiisid peetakse hostiarvutis kohalikeks. Kasutajad, kes logivad sisse serverisse, kus terminaliserver on lubatud ja kellel pole seda kasutajaõigust, saavad Windows Server 2003 domeenides siiski käivitada kaug interaktiivse seansi, kui neil on õigus Luba sisselogimine terminaliteenuste kaudu. -
Riskantsed konfiguratsioonid
Järgmised on kahjulikud konfigureerimissätted.-
Haldusturberühmade (sh Kontooperaatorid, Varundustehtemärgid, Prinditehtemärgid või Serverioperaatorid) ja sisseehitatud administraatorite rühma eemaldamine domeenikontrolleri vaikepoliitikast.
-
Komponentide ja programmide poolt liikmearvutites ja domeenikontrollerites kasutatavate teenusekontode eemaldamine vaikedomeenikontrolleri poliitikast.
-
Eemaldage kasutajad või turberühmad, kes logivad sisse domeeni liikmesarvutite konsooli.
-
Liikmearvutite või töörühmaarvutite kohalikus turbekontode halduri (SAM) andmebaasis määratletud teenusekontode eemaldamine.
-
Domeenikontrolleris töötavate terminaliteenuste kaudu autentivate sisseehitatud halduskontode eemaldamine.
-
Lisage kõik domeeni kasutajakontod otse või kaudselt rühma Kõik kaudu väljale Keela kohalikult sisselogimine. See konfiguratsioon takistab kasutajatel sisse logida mis tahes liikmesarvutisse või domeeni mis tahes domeenikontrollerisse.
-
-
Põhjused selle kasutaja õiguste andmiseks
-
Kasutajatel peab töörühmaarvuti, liikme arvuti või domeenikontrolleri konsoolile või töölauale juurdepääsemiseks olema kohalikult kasutajal õigus sisse logida.
-
Kasutajatel peab olema õigus logida sisse terminaliteenuste seansi kaudu, mis töötab Windows 2000-põhises liikmesarvutis või domeenikontrolleris.
-
-
Selle kasutaja õiguse eemaldamise põhjused
-
Konsooli juurdepääsu piiramine seaduslikele kasutajakontodele võib põhjustada volitamata kasutajate ründekoodi allalaadimise ja käivitamise, et muuta kasutajaõigusi.
-
Kasutaja õiguste Luba kohalikult sisselogimine eemaldamine takistab volitamata sisselogimisi arvutite konsoolides (nt domeenikontrollerid või rakenduseserverid).
-
Selle sisselogimisõiguse eemaldamine takistab domeeniga mitteseotud kontodel domeeni liikmesarvutite konsooli sisse logimist.
-
-
Ühilduvusprobleemide näited
-
Windows 2000 terminaliserverid: kasutajatel on vaja windows 2000 terminaliserveritesse sisselogimiseks õigust Luba kohalikult sisse logida.
-
Windows NT 4.0, Windows 2000, Windows XP või Windows Server 2003: kasutajakontodele peab olema antud õigus logida sisse arvutite konsoolis, kus töötab Windows NT 4.0, Windows 2000, Windows XP või Windows Server 2003.
-
Windows NT 4.0 ja uuemad versioonid: arvutites, kus töötab Windows NT 4.0 või uuem versioon, kui lisate luba logida kohalikult kasutaja õigusesse, kuid annate kaudselt või selgesõnaliselt ka keelates kohalikult sisselogimise õiguse, ei saa kontod domeenikontrollerite konsooli sisse logida.
-
-
-
Möödu läbimise kontrollimine
-
Taust
Läbisõidutõmmete kontrollimise õigus võimaldab kasutajal sirvida NTFS-failisüsteemis või registris asuvaid kaustu ilma traversikausta eripääsuõigusi kontrollimata. Läbipääsu reguleerimine kasutaja õigustes ei luba kasutajal kausta sisu loetleda. See võimaldab kasutajal läbida ainult oma kaustu. -
Riskantsed konfiguratsioonid
Järgmised on kahjulikud konfigureerimissätted.-
Selliste mitteadministratiivsete kontode eemaldamine, mis logivad sisse Windows 2000-põhistesse terminaliteenuste arvutitesse või Windows Server 2003-põhistesse terminaliteenuste arvutitesse, millel pole failisüsteemi failidele ja kaustadele juurdepääsu õigust.
-
Rühma Kõik eemaldamine turbesubjektide loendist, kellel on see kasutaja vaikimisi õigus. Windowsi operatsioonisüsteemid ja ka paljud programmid on loodud eeldades, et igaühel, kellel on õigus arvutile juurde pääseda, on läbisõidu läbimise kontroll kasutaja õigus. Seetõttu võib rühma Kõik eemaldada turbesubjektide loendist, kellel on see kasutaja vaikimisi õigus, põhjustada operatsioonisüsteemi ebastabiilsust või programmi nurjumist. Parem on jätta see säte vaikesätteks.
-
-
Põhjused selle kasutaja õiguste
andmiseks Kasutaja õiguse möödumisraja kontrollimise vaikesäte on see, et lubada kõigil läbisõidukontrollist mööduda. Kogenud Windowsi süsteemiadministraatorite jaoks on see ootuspärane käitumine ja nad konfigureerivad vastavalt failisüsteemi pääsuloendid (SACL-id). Ainus stsenaarium, mille korral vaikekonfiguratsioon võib põhjustada tõrke, on see, et õiguste konfigureerinud administraator ei mõista käitumist ja eeldab, et kasutajad, kellel puudub juurdepääs emakaustale, ei pääse juurde ühegi tütarkausta sisule. -
Selle kasutaja õiguse
eemaldamise põhjused Failidele või kaustadele juurdepääsu takistamiseks failisüsteemis võivad turvalisuse pärast väga mures olevad asutused tekkida ahvatlus eemaldada kasutajate õigustega rühmade loendist rühm Kõik või isegi kasutajad. -
Ühilduvusprobleemide näited
-
Windows 2000, Windows Server 2003: kui möödumise läbipääsu kontroll kasutaja paremale on eemaldatud või on valesti konfigureeritud arvutites, kus töötab Windows 2000 või Windows Server 2003, Rühmapoliitika SYVOL-i kausta sätted ei tiražeerita domeeni domeenikontrollerite vahel.
-
Windows 2000, Windows XP Professional, Windows Server 2003: arvutites, kus töötab Windows 2000, Windows XP Professional või Windows Server 2003, logivad sündmused 1000 ja 1202 ning ei saa rakendada arvutipoliitikat ja kasutajapoliitikat, kui nõutavad failisüsteemiõigused eemaldatakse SYSVOL-i puust, kui möödumis läbikriipsutuse kontrollimise kasutajaõigus on eemaldatud või on valesti konfigureeritud.
-
Windows 2000, Windows Server 2003: arvutites, kus töötab Windows 2000 või Windows Server 2003, kaob Windows Exploreri vahekaart Kvoot , kui vaatate draivi atribuute.
-
Windows 2000: mitteadministraatorid, kes logivad sisse Windows 2000 terminaliserverisse, võivad saada järgmise tõrketeate:
Userinit.exe rakenduse tõrge. Rakendust ei saanud õigesti lähtestada 0xc0000142 rakenduse lõpetamiseks klõpsake nuppu OK.
-
Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: kasutajad, kelle arvutites töötab Windows NT 4.0, Windows 2000, Windows XP või Windows Server 2003, ei pruugi ühiskaustades ühiskaustadele või failidele juurde pääseda ning neile võidakse kuvada tõrketeade "Juurdepääs keelatud", kui neile ei anta läbipääsu kontrollimise kasutaja õigust.
-
Windows NT 4.0: Windows NT 4.0-ga arvutites põhjustab möödumistõmmete kontrollimise õiguse eemaldamine failivoogudest loobumise. Kui eemaldate selle kasutaja õigesti, kui fail kopeeritakse Windowsi klientrakendusest või Macintoshi klientrakendusest Windows NT 4.0 domeenikontrollerisse, kus töötab Macintoshi jaoks mõeldud teenused, läheb sihtfailivoog kaotsi ja fail kuvatakse ainult tekstina.
-
Microsoft Windows 95, Microsoft Windows 98: klientarvutis, kus töötab Windows 95 või Windows 98, nurjub käsk "Net use * /home" tõrketeatega "Juurdepääs keelatud", kui rühmale Autenditud kasutajad ei anta läbipääsukontrolli kasutajaõigusi.
-
Outlook Web Access: administraatorid, kes pole administraatorid, ei saa Microsoft Outlook Web Accessi sisse logida ja kui neile ei anta läbipääsukontrolli kasutajaõigusi, kuvatakse tõrketeade "Juurdepääs keelatud".
-
-
Turvasätted
Järgmine loend tuvastab turbesätte ja pesastatud loend sisaldab turbesätte kirjeldust, tuvastab probleeme põhjustada võivaid konfiguratsioonisätteid, kirjeldab turbesätte rakendamist ja seejärel põhjuseid, miks võiksite turbesätte eemaldada. Pesastatud loend annab turbesättele ja turbesätte registriteele sümboolse nime. Lõpuks on esitatud näited ühilduvusprobleemidest, mis võivad ilmneda turbesätte konfigureerimisel.
-
Audit: sulgege süsteem kohe, kui turbeauditeid ei saa logida
-
Taust
-
Audit: kui turbeauditi sätet ei saa logida, sule süsteem kohe, määrab, kas süsteem sulgub, kui te ei saa turbesündmusi logida. See säte on nõutav usaldusväärsete arvutiturbe hindamise kriteeriumide (TCSEC) programmi C2 hindamiseks ja infotehnoloogia turbe hindamise ühiste kriteeriumide jaoks, et vältida auditeeritavaid sündmusi, kui auditisüsteem ei saa neid sündmusi logida. Kui auditeerimissüsteem nurjub, siis süsteem sulgub ja kuvatakse stopp-tõrketeade.
-
Kui arvuti ei saa sündmusi turbelogisse salvestada, ei pruugi kriitilised tõendid või oluline tõrkeotsinguteave pärast turbejuhtumit läbivaatamiseks saadaval olla.
-
-
Riskantne konfiguratsioon
Järgmine on kahjulik konfiguratsioonisäte: Audit: sulgege süsteem kohe, kui turbeauditite logimise säte on sisse lülitatud ja turbesündmuste logi mahtu piirab suvand Ära kirjuta sündmusi üle (tühjenda logi käsitsi), suvand Kirjuta sündmused vastavalt vajadusele üle või suvandi kirjuta üle sündmused, mis on vanemad kui päevade arv, Sündmusevaatur. Jaotisest "Ühilduvusprobleemide näited" leiate teavet konkreetsete ohtude kohta arvutites, kus töötab Windows 2000, Windows 2000 hoolduspakett 1 (SP1), Windows 2000 SP2 või Windows 2000 SP3 algne välja antud versioon. -
Selle sätte lubamise
põhjused Kui arvuti ei saa sündmusi turbelogisse salvestada, ei pruugi kriitilised tõendid või oluline tõrkeotsinguteave pärast turbejuhtumit läbivaatamiseks saadaval olla. -
Selle sätte keelamise põhjused
-
Auditi lubamine: sulgege süsteem kohe, kui turbeauditi sätet ei saa logida, peatab süsteemi, kui turbeauditit ei saa mingil põhjusel logida. Tavaliselt ei saa sündmust logida, kui turbeauditi logi on täis ja kui selle määratud säilitusmeetod on kas suvand Ära kirjuta sündmusi üle (tühjenda logi käsitsi) või ülekirjuta sündmused, mis on vanemad kui päevade arv .
-
Auditi lubamise halduskoormus: sulgege süsteem kohe, kui turbeauditite säte ei saa logida, võib olla väga suur, eriti kui lülitate turbelogi jaoks sisse ka suvandi Ära kirjuta sündmusi üle (tühjenda logi käsitsi). Selle sättega nähakse ette operaatoritoimingute individuaalne aruandlus. Näiteks saab administraator lähtestada õigused kõigis organisatsiooniüksuse (OU) kasutajates, arvutites ja rühmades, kus auditeerimine oli lubatud sisseehitatud administraatorikonto või muu ühiskonto abil, ja seejärel keelata nende õiguste lähtestamine. Sätte lubamine vähendab siiski süsteemi töökindlust, kuna server võib olla sunnitud sulgema, ületades selle sisselogimissündmustega ja muude turbesündmustega, mis on kirjutatud turbelogisse. Lisaks võib juhtuda, et sulgemine ei ole suletav, parandamatu kahjustus operatsioonisüsteemile, programmidele või andmetele. Kuigi NTFS tagab, et failisüsteemi terviklus säilib süsteemi korrapäratu sulgemise ajal, ei saa see tagada, et iga programmi iga andmefail on süsteemi taaskäivitumisel endiselt kasutatav.
-
-
Sümboolne nimi:
CrashOnAuditFail -
Registritee:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)
-
Ühilduvusprobleemide näited
-
Windows 2000: vea tõttu võivad arvutid, kus töötab Windows 2000, Windows 2000 SP1, Windows 2000 SP2 või Windows Server SP3 algne välja antud versioon, peatada logimissündmused enne turbesündmuste logi logi mahu ülempiiri suvandis määratud mahu saavutamist. See viga on lahendatud Windows 2000 hoolduspaketis Service Pack 4 (SP4). Enne selle sätte lubamist veenduge, et teie Windows 2000 domeenikontrolleritesse oleks installitud Windows 2000 hoolduspakett Service Pack 4.
-
Windows 2000, Windows Server 2003: arvutid, kus töötab Windows 2000 või Windows Server 2003, võivad lakata reageerimast ja seejärel spontaanselt taaskäivitata, kui säte Audit: sulgege süsteem kohe, kui säte ei saa turbeauditeid logida sisse lülitatud, turbelogi on täis ja olemasolevat sündmuselogi kirjet ei saa üle kirjutada. Arvuti taaskäivitamisel kuvatakse järgmine stopp-tõrketeade:
STOP: C0000244 {Audit nurjus}
Turbeauditi genereerimise katse nurjus.Taastamiseks peab administraator sisse logima, turbelogi arhiivima (valikuline), turbelogi tühjendama ja seejärel selle suvandi lähtestama (valikuline ja vastavalt vajadusele).
-
Microsofti võrguklient MS-DOS-i, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 jaoks: mitteadministraatorid, kes proovivad domeeni sisse logida, saavad järgmise tõrketeate:
Teie konto on konfigureeritud nii, et te ei saa seda arvutit kasutada. Proovige mõnda muud arvutit.
-
Windows 2000: Windows 2000-põhistes arvutites ei saa mitteadministraatorid kaugjuurdepääsu serveritesse sisse logida ja neile kuvatakse tõrketeade, mis sarnaneb järgmisega:
Tundmatu kasutaja või vale parool
-
Windows 2000: Windows 2000 domeenikontrollerites peatatakse saidiülese sõnumside teenus (Ismserv.exe) ja seda ei saa taaskäivitada. DCDIAG teatab tõrkest "nurjunud testteenuste ISMserv" ja sündmuse ID 1083 registreeritakse sündmuselogis.
-
Windows 2000: Windows 2000 domeenikontrollerites Active Directory tiražeerimine nurjub ja kui turbesündmuste logi on täis, kuvatakse teade "Juurdepääs keelatud".
-
Microsoft Exchange 2000: Serverid, kus töötab Exchange 2000, ei saa ühendada teabesalve andmebaasi ja sündmus 2102 registreeritakse sündmuselogis.
-
Outlook, Outlook Web Access. Mitteadministraatorid ei pääse oma meilisõnumitele juurde Microsoft Outlooki ega Microsoft Outlook Web Accessi kaudu ning neile kuvatakse tõrge 503.
-
-
-
Domeenikontroller: LDAP-serveri allkirjastamisnõuded
-
Taust
Domeenikontroller: LDAP-serveri allkirjastamisnõuete turbesäte määrab, kas Lightweight Directory Access Protocoli (LDAP) server nõuab andmete allkirjastamiseks LDAP-kliente. Selle poliitikasätte võimalikud väärtused on järgmised.-
Pole: andmete allkirjastamine pole serveriga sidumiseks nõutav. Kui klient taotleb andmete allkirjastamist, toetab server seda.
-
Nõua allkirjastamist: LDAP-andmete allkirjastamise suvand tuleb läbi rääkida, välja arvatud juhul, kui kasutatakse transpordikihi turvet/turvalist soklikihti (TLS/SSL).
-
pole määratletud: see säte pole lubatud või keelatud.
-
-
Riskantsed konfiguratsioonid
Järgmised on kahjulikud konfigureerimissätted.-
LubaMine Nõua sisselogimist keskkondades, kus kliendid ei toeta LDAP-allkirjastamist või kus kliendipoolne LDAP-allkirjastamine pole kliendis lubatud
-
Windows 2000 või Windows Server 2003 Hisecdc.inf turbemalli rakendamine keskkondades, kus kliendid ei toeta LDAP-allkirjastamist või kus kliendipoolne LDAP-allkirjastamine pole lubatud
-
Windows 2000 või Windows Server 2003 Hisecws.inf turbemalli rakendamine keskkondades, kus kliendid ei toeta LDAP-allkirjastamist või kus kliendipoolne LDAP-allkirjastamine pole lubatud
-
-
Selle sätte lubamise
põhjused Allkirjastamata võrguliiklus on vastuvõtlik inimkesksetele rünnakutele, kus sissetungija jäädvustab kliendi ja serveri vahelisi pakette, muudab pakette ja saadab need serverisse edasi. Kui selline käitumine ilmneb LDAP-serveris, võib ründaja põhjustada serveri otsuste tegemise LDAP-kliendi valepäringute põhjal. Seda ohtu saate vähendada ettevõtte võrgus, rakendades tugevaid füüsilisi turbemeetmeid võrgu infrastruktuuri kaitsmiseks. Internet Protocoli turbe (IPSec) autentimise päiserežiim aitab ära hoida vahendusrünnete tekkimist. Autentimise päiserežiim teostab IP-liikluse jaoks vastastikust autentimist ja paketiterviklust. -
Selle sätte keelamise põhjused
-
Kliendid, mis ei toeta LDAP-allkirjastamist, ei saa teostada LDAP-päringuid domeenikontrollerite ja globaalsete kataloogide vastu, kui NTLM autentimine on läbi viidud ja kui Windows 2000 domeenikontrolleritesse pole installitud õigeid hoolduspakette.
-
Klientide ja serverite vahelise LDAP-liikluse võrgujälitused krüptitakse. See raskendab LDAP-vestluste uurimist.
-
Windows 2000-põhistes serverites peab olema Windows 2000 hoolduspakett Service Pack 3 (SP3) või installitud, kui neid hallatakse programmidega, mis toetavad LDAP-allkirjastamist, mida käitatakse klientarvutites, kus töötab Windows 2000 SP4, Windows XP või Windows Server 2003.
-
-
Sümboolne nimi:
LDAPServerIntegrity -
Registritee:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)
-
Ühilduvusprobleemide näited
-
Lihtsad sidumised nurjuvad ja kuvatakse järgmine tõrketeade:
Ldap_simple_bind_s() nurjus: nõutav on tugev autentimine.
-
Windows 2000 hoolduspakett Service Pack 4, Windows XP, Windows Server 2003: klientrakendustes, kus töötab Windows 2000 SP4, Windows XP või Windows Server 2003, ei tööta mõned Active Directory haldustööriistad õigesti nende domeenikontrolleritega, mis töötavad Windows 2000 versioonidega, mis on varasemad kui SP3, kui NTLM-autentimise üle peetakse läbirääkimisi.
-
Windows 2000 hoolduspakett Service Pack 4, Windows XP, Windows Server 2003: kliendid, kus töötab Windows 2000 SP4, Windows XP või Windows Server 2003, mõned Active Directory haldustööriistad, mis sihivad domeenikontrollereid, mis kasutavad Windows 2000 versioone, mis on varasemad kui SP3, ei tööta õigesti, kui nad kasutavad IP-aadresse (nt "dsa.msc /server=x.x.x.x", kus
x.x.x.x on IP-aadress). -
Windows 2000 hoolduspakett Service Pack 4, Windows XP, Windows Server 2003: kliendid, kus töötab Windows 2000 SP4, Windows XP või Windows Server 2003, mõned Active Directory haldustööriistad, mis sihivad domeenikontrollereid, mis kasutavad Windows 2000 versioone, mis on varasemad kui SP3, ei tööta õigesti.
-
-
-
Domeeni liige: nõua tugevat (Windows 2000 või uuem) seansivõtit
-
Taust
-
Domeeni liige: nõua tugevat (Windows 2000 või uuemat) seansivõtme sätet määrab, kas turvalist kanalit saab luua domeenikontrolleriga, mis ei saa krüptida turvalist kanaliliiklust tugeva 128-bitise seansivõtmega. Selle sätte lubamine takistab turvalise kanali loomist mis tahes domeenikontrolleriga, mis ei saa turvalisi kanaliandmeid tugeva võtmega krüptida. Selle sätte keelamine lubab 64-bitiseid seansiklahve.
-
Enne kui saate selle sätte lubada liikme töökohas või serveris, peavad kõik selle domeeni domeenikontrollerid, mille liige kuulub, saama turvalisi kanaliandmeid krüptida tugeva 128-bitise võtmega. See tähendab, et kõigis sellistes domeenikontrollerites peab töötama Windows 2000 või uuem versioon.
-
-
Riskantne konfiguratsioon
Domeeniliikme lubamine: nõua tugevat (Windows 2000 või uuemat) seansivõtme sätet on kahjulik konfiguratsioonisäte. -
Selle sätte lubamise põhjused
-
Seansivõtmed, mida kasutatakse turvalise kanali suhtluse loomiseks liikmete arvutite ja domeenikontrollerite vahel, on Windows 2000-s palju tugevamad kui Microsofti operatsioonisüsteemide varasemates versioonides.
-
Kui see on võimalik, on mõistlik kasutada neid tugevamaid seansivõtmeid, et kaitsta turvalist kanalisidet ründepidamise ja seansi kaaperdamise võrgurünnete eest. Rünne on pahatahtliku rünnaku vorm, kus võrguandmeid loetakse või muudetakse edastamisel. Andmeid saab muuta saatja peitmiseks või muutmiseks või ümbersuunamiseks.
NB! Arvuti, kus töötab Windows Server 2008 R2 või Windows 7, toetab turvaliste kanalite kasutamisel ainult tugevaid klahve. See piirang takistab usaldust mis tahes Windows NT 4.0-põhise domeeni ja Windows Server 2008 R2-põhise domeeni vahel. Lisaks blokeerib see piirang Windows NT 4.0-põhise domeeni kuulumise arvutitesse, kus töötab Windows 7 või Windows Server 2008 R2, ja vastupidi.
-
-
Selle sätte keelamise
põhjused Domeen sisaldab liikme arvuteid, milles töötavad muud operatsioonisüsteemid peale Windows 2000, Windows XP või Windows Server 2003. -
Sümboolne nimi:
Tugev võti -
Registritee:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)
-
Ühilduvusprobleemide
näited Windows NT 4.0: Windows NT 4.0-ga arvutites nurjub Turvaliste usaldussuhete kanalite lähtestamine Windows NT 4.0 ja Windows 2000 domeenide ja NLTEST-iga. Kuvatakse tõrketeade "Juurdepääs keelatud":Usaldussuhe esmase domeeni ja usaldusväärse domeeni vahel nurjus.
Windows 7 ja Server 2008 R2: Windows 7 ja uuemate versioonide ning Windows Server 2008 R2 ja uuemate versioonide korral ei austata seda sätet enam ning tugevat võtit kasutatakse alati. Seetõttu ei tööta Windows NT 4.0 domeenide usaldused enam.
-
-
Domeeni liige: digitaalselt krüptida või allkirjastada turvalisi kanaliandmeid (alati)
-
Taust
-
Domeeniliikme lubamine: digitaalselt krüptides või allkirjastades turvalised kanaliandmed (alati) takistab turvalise kanali loomist mis tahes domeenikontrolleriga, kes ei saa allkirjastada ega krüptida kõiki turvalisi kanaliandmeid. Autentimisliikluse kaitsmiseks keskmises olekus olevate rünnakute, taasesitusrünnete ja muud tüüpi võrgurünnete eest loovad Windowsi-põhised arvutid suhtluskanali, mida nimetatakse turvaliseks kanaliks võrgu sisselogimisteenuse kaudu arvutikontode autentimiseks. Turvalisi kanaleid kasutatakse ka siis, kui ühe domeeni kasutaja loob ühenduse kaugdomeeni võrguressursiga. See mitmedomeeniline autentimine või läbiv autentimine võimaldab Windowsi-põhisel arvutil, mis on domeeniga liitunud, juurdepääsu oma domeeni kasutajakonto andmebaasile ja mis tahes usaldusväärsetele domeenidele.
-
Domeeniliikme lubamiseks: liikmearvuti säte Digitaalselt krüptida või allkirjastada turvalised kanaliandmed (alati), peavad kõik selle domeeni domeenikontrollerid, mille liige kuulub, saama allkirjastada või krüptida kõiki turvalisi kanaliandmeid. See tähendab, et kõigis sellistes domeenikontrollerites peab töötama Windows NT 4.0 koos hoolduspaketiga Service Pack 6a (SP6a) või uuema versiooniga.
-
Domeeniliikme lubamine: säte Digitaalselt krüptida või allkirjastada turvalised kanaliandmed (alati) lubab automaatselt sätte Domain member: Digitally encrypt or sign secure channel data (when possible).
-
-
Riskantne konfiguratsioon
Domeeniliikme lubamine: turvalise kanali andmete digitaalne krüptimine või allkirjastamine (alati) domeenides, kus kõik domeenikontrollerid ei saa turvalisi kanaliandmeid allkirjastada ega krüptida, on kahjulik konfiguratsioonisäte. -
Selle sätte lubamise
põhjused Allkirjastamata võrguliiklus on vastuvõtlik keskmise suurusega rünnakutele, kus sissetungija jäädvustab serveri ja kliendi vahelisi pakette ning muudab neid enne kliendile edastamist. Kui see käitumine ilmneb Lightweight Directory Access Protocoli (LDAP) serveris, võib sissetungija põhjustada kliendi otsuste tegemise LDAP-kataloogi valede kirjete põhjal. Ettevõtte võrgule suunatud rünnaku riski vähendamiseks saate rakendada tugevaid füüsilisi turbemeetmeid võrgu infrastruktuuri kaitsmiseks. Lisaks võib Internet Protocoli turbe (IPSec) autentimise päiserežiimi rakendamine aidata takistada vahendusrünnete tekkimist. See režiim sooritab IP-liikluse jaoks vastastikuse autentimise ja paketitervikluse. -
Selle sätte keelamise põhjused
-
Kohaliku või välise domeeni arvutid toetavad krüptitud turvalisi kanaleid.
-
Kõigil domeeni domeenikontrolleritel pole krüptitud turvaliste kanalite toetamiseks sobivaid hoolduspakettide redaktsioonitasemeid.
-
-
Sümboolne nimi:
Tugev võti -
Registritee:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)
-
Ühilduvusprobleemide näited
-
Windows NT 4.0: Windows 2000-põhistes liikmearvutites ei saa Windows NT 4.0 domeenidega liituda ja kuvatakse järgmine tõrketeade:
Kontol pole õigust sellest jaamast sisse logida.
Microsofti teabebaasis oleva artikli kuvamiseks klõpsake järgmist artiklinumbrit.
281648 Tõrketeade: kontol pole õigust sellest jaamast sisse logida
-
Windows NT 4.0: Windows NT 4.0 domeenid ei saa Windows 2000 domeeniga luua allatasemel usaldust ja kuvatakse järgmine tõrketeade:
Kontol pole õigust sellest jaamast sisse logida.
Olemasolevad allataseme usaldused ei pruugi ka usaldusväärse domeeni kasutajaid autentida. Mõnel kasutajal võib olla probleeme domeeni sisselogimisega ja neile võidakse kuvada tõrketeade, mis ütleb, et klient ei leia domeeni.
-
Windows XP: Windows XP kliendid, mis on liidetud Windows NT 4.0 domeenidega, ei saa sisselogimiskatseid autentida ja võivad saada järgmise tõrketeate või sündmuselogis registreerida järgmised sündmused:
Windows ei saa domeeniga ühendust luua, kuna domeenikontroller on maas või pole muul viisil saadaval või teie arvutikontot ei leitud
-
Microsoft Network: Microsoft Networki klientrakendused saavad ühe järgmistest tõrketeadetest:
Sisselogimistõrge: tundmatu kasutajanimi või vale parool.
Määratud sisselogimisseansi jaoks pole kasutajaseansivõtit.
-
-
-
Microsofti võrguklient: digitaalallkirjasta suhtlus (alati)
-
Taust
Server Message Block (SMB) on ressursijagamisprotokoll, mida toetavad paljud Microsofti operatsioonisüsteemid. See on aluseks võrgu põhisisestus-/-väljundsüsteemile (NetBIOS) ja paljudele muudele protokollidele. SMB allkirjastamine autendib nii kasutaja kui ka andmeid majutava serveri. Kui kummalgi poolel autentimine nurjub, siis andmete edastamist ei toimu. SMB allkirjastamise lubamine algab SMB protokolliläbirääkimiste ajal. SMB allkirjastamispoliitikad määratlevad, kas arvuti allkirjastab alati digitaalselt kliendisuhtust. Windows 2000 SMB autentimise protokoll toetab vastastikust autentimist. Vastastikune autentimine sulgeb "keskel" rünnaku. Windows 2000 SMB autentimisprotokoll toetab ka sõnumite autentimist. Sõnumi autentimine aitab ära hoida aktiivseid sõnumiründeid. Selle autentimise võimaldamiseks sisestab SMB allkirjastamine igale SMB-le digitaalallkirja. Iga klientrakendus ja server kontrollivad digitaalallkirja. SMB allkirjastamiseks peate SMB-allkirjastamise lubama või nõudma SMB allkirjastamist nii SMB kliendis kui ka SMB serveris. Kui SMB allkirjastamine on serveris lubatud, kasutavad kliendid, kes on SMB allkirjastamiseks lubatud, pakettide allkirjastamise protokolli kõigil järgnevatel seanssidel. Kui SMB allkirjastamine on serveris nõutav, ei saa klient seanssi luua, kui klient pole SMB allkirjastamiseks lubatud või nõutav. Kõrge turbega võrkudes digitaalallkirjastamise lubamine aitab takistada klientrakenduste ja serverite teesklemist. Seda tüüpi isikustamist nimetatakse seansi kaaperdamiseks. Ründaja, kellel on juurdepääs kliendi või serveriga samale võrgule, kasutab poolelioleva seansi katkestamiseks, lõpetamiseks või varastamiseks seansi kaaperdamise tööriistu. Ründaja võib pealt kuulata ja muuta allkirjastamata SMB pakette, muuta liiklust ja seejärel selle edasi saata, et server saaks teha soovimatuid toiminguid. Või ründaja võib esitada serveri või kliendina pärast seaduslikku autentimist ja seejärel saada volitamata juurdepääsu andmetele. SMB-protokoll, mida kasutatakse failide ühiskasutuseks ja printimiseks arvutites, kus töötab Windows 2000 Server, Windows 2000 Professional, Windows XP Professional või Windows Server 2003, toetab vastastikust autentimist. Vastastikune autentimine suleb seansi kaaperdamise rünnakud ja toetab sõnumite autentimist. Seetõttu takistab see inimkeskseid rünnakuid. SMB allkirjastamine võimaldab seda autentimist, paigutades digitaalallkirja igasse SMB-sse. Klient ja server kontrollivad allkirja. Märkmed-
Alternatiivse vastumeetmetena saate IPSec-iga digitaalallkirjad lubada, et kaitsta kogu võrguliiklust. IPSec krüptimiseks ja allkirjastamiseks on riistvarapõhiseid kiirendeid, mille abil saate vähendada serveri protsessori jõudluse mõju. SMB allkirjastamiseks pole selliseid kiirendeid saadaval.Serveri suhtluse digitaalallkirjastamine . Konfigureerige SMB allkirjastamine läbi Rühmapoliitika objektiredaktori, kuna alistamise domeenipoliitika korral ei mõjuta kohaliku registri väärtuse muudatust.
Lisateavet leiate Microsofti MSDN-i veebisaidil olevast peatükist -
Operatsioonisüsteemides Windows 95, Windows 98 ja Windows 98 Second Edition kasutab kataloogiteenuste klient SMB allkirjastamist, kui see autenditakse Windows Server 2003 serveritega NTLM-autentimise abil. Need kliendid ei kasuta siiski SMB allkirjastamist, kui nad kasutavad nende serveritega autentimiseks NTLMv2 autentimist. Lisaks ei vasta Windows 2000 serverid nende klientide SMB allkirjastamistaotlustele. Lisateavet leiate artiklist 10 "Võrguturve: Lan Manageri autentimistase".
-
-
Riskantne konfiguratsioon
Järgmine on kahjulik konfiguratsioonisäte: jätke nii Microsofti võrguklient: säte Digitaalne allkirjastamine (alati) kui ka Microsofti võrguklient: digitaalallkirjasta suhtlus (kui server on sellega nõus) väärtuseks seatud "Määratlemata" või keelatud. Need sätted võimaldavad ümbersuunajal saata lihttekstiparoolid mitte-Microsofti SMB serveritesse, mis ei toeta autentimise ajal paroolikrüptimist. -
Selle sätte lubamise
põhjused Microsofti võrgukliendi lubamine: digitaalallkirjastatav suhtlus (alati) nõuab klientidelt SMB liikluse allkirjastamist, kui nad pöörduvad serveritega, mis ei nõua SMB allkirjastamist. See muudab kliendid seansi kaaperdamisrünnete suhtes vähem haavatavaks. -
Selle sätte keelamise põhjused
-
Microsofti võrgukliendi lubamine: digitaalallkirjastamine (alati) takistab klientidel suhelda sihtserveritega, mis ei toeta SMB allkirjastamist.
-
Arvutite konfigureerimine allkirjastamata SMB-suhtluse ignoreerimiseks takistab varasematel programmidel ja operatsioonisüsteemidel ühendust luua.
-
-
Sümboolne nimi:
RequireSMBSignRdr -
Registritee:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
-
Ühilduvusprobleemide näited
-
Windows NT 4.0: Te ei saa lähtestada turvalist usalduskanalit Windows Server 2003 domeeni ja Windows NT 4.0 domeeni vahel, kasutades NLTESTi või NETDOM-i, ja teile kuvatakse tõrketeade "Juurdepääs keelatud".
-
Windows XP: Failide kopeerimine Windows XP klientidest Windows 2000-põhistesse serveritesse ja Windows Server 2003-põhistesse serveritesse võib võtta rohkem aega.
-
Te ei saa vastenduse võrguketast kliendist, kui see säte on lubatud, ja kuvatakse järgmine tõrketeade:
Kontol pole õigust sellest jaamast sisse logida.
-
-
Taaskäivitamisnõuded
Taaskäivitage arvuti või taaskäivitage tööjala teenus. Selleks tippige käsuviibale järgmised käsud. Pärast iga käsu tippimist vajutage sisestusklahvi (Enter).net stop workstation
net start workstation
-
-
Microsofti võrguserver: digitaalallkirjasta suhtlus (alati)
-
Taust
-
Server Messenger Block (SMB) on ressursijagamise protokoll, mida toetavad paljud Microsofti operatsioonisüsteemid. See on aluseks võrgu põhisisestus-/-väljundsüsteemile (NetBIOS) ja paljudele muudele protokollidele. SMB allkirjastamine autendib nii kasutaja kui ka andmeid majutava serveri. Kui kummalgi poolel autentimine nurjub, siis andmete edastamist ei toimu.
SMB allkirjastamise lubamine algab SMB protokolliläbirääkimiste ajal. SMB allkirjastamispoliitikad määratlevad, kas arvuti allkirjastab alati digitaalselt kliendisuhtust. Windows 2000 SMB autentimise protokoll toetab vastastikust autentimist. Vastastikune autentimine sulgeb "keskel" rünnaku. Windows 2000 SMB autentimisprotokoll toetab ka sõnumite autentimist. Sõnumi autentimine aitab ära hoida aktiivseid sõnumiründeid. Selle autentimise võimaldamiseks sisestab SMB allkirjastamine igale SMB-le digitaalallkirja. Iga klientrakendus ja server kontrollivad digitaalallkirja. SMB allkirjastamiseks peate SMB-allkirjastamise lubama või nõudma SMB allkirjastamist nii SMB kliendis kui ka SMB serveris. Kui SMB allkirjastamine on serveris lubatud, kasutavad kliendid, kes on SMB allkirjastamiseks lubatud, pakettide allkirjastamise protokolli kõigil järgnevatel seanssidel. Kui SMB allkirjastamine on serveris nõutav, ei saa klient seanssi luua, kui klient pole SMB allkirjastamiseks lubatud või nõutav. Kõrge turbega võrkudes digitaalallkirjastamise lubamine aitab takistada klientrakenduste ja serverite teesklemist. Seda tüüpi isikustamist nimetatakse seansi kaaperdamiseks. Ründaja, kellel on juurdepääs kliendi või serveriga samale võrgule, kasutab poolelioleva seansi katkestamiseks, lõpetamiseks või varastamiseks seansi kaaperdamise tööriistu. Ründaja võib pealt kuulata ja muuta allkirjastamata Alamvõrgu läbilaskevõime halduri (SBM) pakette, muuta liiklust ja seejärel edastada selle nii, et server saaks teha soovimatuid toiminguid. Või ründaja võib esitada serveri või kliendina pärast seaduslikku autentimist ja seejärel saada volitamata juurdepääsu andmetele. SMB-protokoll, mida kasutatakse failide ühiskasutuseks ja printimiseks arvutites, kus töötab Windows 2000 Server, Windows 2000 Professional, Windows XP Professional või Windows Server 2003, toetab vastastikust autentimist. Vastastikune autentimine suleb seansi kaaperdamise rünnakud ja toetab sõnumite autentimist. Seetõttu takistab see inimkeskseid rünnakuid. SMB allkirjastamine võimaldab seda autentimist, paigutades digitaalallkirja igasse SMB-sse. Klient ja server kontrollivad allkirja. -
Alternatiivse vastumeetmetena saate IPSec-iga digitaalallkirjad lubada, et kaitsta kogu võrguliiklust. IPSec krüptimiseks ja allkirjastamiseks on riistvarapõhiseid kiirendeid, mille abil saate vähendada serveri protsessori jõudluse mõju. SMB allkirjastamiseks pole selliseid kiirendeid saadaval.
-
Operatsioonisüsteemides Windows 95, Windows 98 ja Windows 98 Second Edition kasutab kataloogiteenuste klient SMB allkirjastamist, kui see autenditakse Windows Server 2003 serveritega NTLM-autentimise abil. Need kliendid ei kasuta siiski SMB allkirjastamist, kui nad kasutavad nende serveritega autentimiseks NTLMv2 autentimist. Lisaks ei vasta Windows 2000 serverid nende klientide SMB allkirjastamistaotlustele. Lisateavet leiate artiklist 10 "Võrguturve: Lan Manageri autentimistase".
-
-
Riskantne konfiguratsioon
Järgmine on kahjulik konfiguratsioonisäte: Microsofti võrguserveri lubamine: säte Digitaalselt allkirjasta side (alati) serverites ja domeenikontrollerites, millele pääsevad juurde ühildumatud Windowsi-põhised arvutid ja muude tootjate operatsioonisüsteemipõhised klientarvutid kohalikus või välises domeenis. -
Selle sätte lubamise põhjused
-
Kõik klientarvutid, mis lubavad selle sätte otse registri või Rühmapoliitika sätte kaudu, toetavad SMB allkirjastamist. Teisisõnu käitavad kõik selle sättega klientarvutid operatsioonisüsteemi Windows 95, kuhu on installitud DS-i klient, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional või Windows Server 2003.
-
Kui Microsofti võrguserver: digitaalallkirjasta suhtlus (alati) on keelatud, on SMB allkirjastamine täielikult keelatud. Kogu SMB allkirjastamise täielik keelamine jätab arvutid seansi kaaperdamise rünnakutele haavatavamaks.
-
-
Selle sätte keelamise põhjused
-
Selle sätte lubamine võib aeglustada failide kopeerimist ja võrgujõudlust klientarvutites.
-
Selle sätte lubamisel ei saa kliendid, kes ei saa SMB allkirjastamise üle läbirääkimisi pidada, suhelda serverite ja domeenikontrolleritega. See põhjustab näiteks domeeniga liitumise, kasutaja ja arvuti autentimise või programmide võrgupääsu nurjumise.
-
-
Sümboolne nimi:
RequiresMBSignServer -
Registritee:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)
-
Ühilduvusprobleemide näited
-
Windows 95: Windows 95 kliendid, kuhu pole kataloogiteenuste (DS) klienti installitud, nurjuvad sisselogimise autentimine ja kuvatakse järgmine tõrketeade:
Esitatud domeeniparool pole õige või juurdepääs teie sisselogimisserverile on keelatud.
-
Windows NT 4.0: klientarvutites, kus töötab Windows NT 4.0 versioon, mis on varasem kui hoolduspakett Service Pack 3 (SP3), nurjub sisselogimise autentimine ja kuvatakse järgmine tõrketeade:
Süsteem ei saanud teid sisse logida. Veenduge, et teie kasutajanimi ja domeen oleksid õiged, ja seejärel tippige parool uuesti.
Mõned mitte-Microsoft SMB serverid toetavad autentimise ajal ainult krüptimata paroolivahetusi. (Neid vahetusi nimetatakse ka lihttekstivahetusteks.) Windows NT 4.0 SP3 ja uuemate versioonide korral ei saada SMB ümbersuunaja SMB-serverisse autentimise ajal krüptimata parooli, kui te ei lisa kindlat registrikirjet.
SMB kliendi krüptimata paroolide lubamiseks Windows NT 4.0 SP 3 ja uuemates süsteemides muutke registrit järgmiselt: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters Väärtuse nimi: EnablePlainTextPassword Andmetüüp: REG_DWORD Andmed: 1 -
Windows Server 2003. Vaikimisi on Windows Server 2003 käitavate domeenikontrollerite turbesätted konfigureeritud nii, et pahatahtlikud kasutajad ei saaks domeenikontrollerite suhtlust pealt kuulata või seda omavolilisel muutmisel muuta. Selleks, et kasutajad saaksid edukalt suhelda domeenikontrolleriga, kus töötab Windows Server 2003, peavad klientarvutid kasutama nii SMB allkirjastamist kui ka krüptimist või turvalist kanaliliikluse allkirjastamist. Klientidel, kes käitavad operatsioonisüsteemi Windows NT 4.0 hoolduspaketiga Service Pack 2 (SP2) või varasema installitud versiooniga, ja klientrakendused, mis käitavad Windows 95, pole SMB paketi allkirjastamine lubatud. Seetõttu ei pruugi need kliendid autentida Windows Server 2003-põhise domeenikontrolleriga.
-
Windows 2000 ja Windows Server 2003 poliitikasätted: sõltuvalt teie konkreetsetest installivajadustest ja konfiguratsioonist soovitame microsofti halduskonsooli Rühmapoliitika Editori lisandmooduli hierarhias määrata nõutava ulatuse madalaimas olemis järgmised poliitikasätted.
-
Arvuti konfiguratsioon\Windowsi turve Sätted\Turbesuvandid
-
Saada krüptimata parool muude tootjate SMB-serveritega ühenduse loomiseks (see säte on windows 2000 jaoks)
-
Microsofti võrguklient: krüptimata parooli saatmine muude tootjate SMB-serveritele (see säte on windows Server 2003 jaoks)
-
-
Järgmised kliendid ei ühildu Microsofti võrguserveriga: digitaalallkirjasta suhtluse (alati) säte:
-
Apple Computer, Inc., Mac OS X kliendid
-
Microsofti MS-DOS-i võrgukliendid (nt Microsoft LAN Manager)
-
Microsoft Windows töörühmade klientide jaoks
-
Microsoft Windows 95 kliendid, kuhu pole DS-i klienti installitud
-
Microsoft Windows NT 4.0-ga arvutid, kuhu pole sp3 või uuemat versiooni installitud
-
Novell Netware 6 CIFS-i kliendid
-
SAMBA SMB kliendid, kes ei toeta SMB allkirjastamist
-
-
-
Taaskäivitamisnõuded
Taaskäivitage arvuti või taaskäivitage serveriteenus. Selleks tippige käsuviibale järgmised käsud. Pärast iga käsu tippimist vajutage sisestusklahvi (Enter).net stop server
net start server
-
-
Võrgupääs: anonüümse SID/nime tõlkimise lubamine
-
Taust
Juurdepääs võrgule: luba anonüümne SID/nimetõlke turbesäte määratleb, kas anonüümne kasutaja saab taotleda teise kasutaja turbeidentiteedi (SID) atribuute. -
Riskantne konfiguratsioon
Võrgule juurdepääsu lubamine: anonüümse SID/nime translatsiooni sätte lubamine on kahjulik konfiguratsioonisäte. -
Selle sätte lubamise
põhjused Kui säte Võrgule juurdepääs: luba anonüümne SID/nime tõlkimine on keelatud, ei pruugi varasemad operatsioonisüsteemid või rakendused windows Server 2003 domeenidega suhelda. Näiteks ei pruugi järgmised operatsioonisüsteemid, teenused või rakendused töötada:-
Windows NT 4.0-põhiste kaugpöördusteenuse serverid
-
Microsoft SQL Server, mis töötavad Windows NT 3.x-põhistes arvutites või Windows NT 4.0-ga arvutites
-
Kaugpöördusteenus, mis töötab Windows 2000-põhistes arvutites, mis asuvad Windows NT 3.x domeenides või Windows NT 4.0 domeenides
-
SQL Server, mis töötab Windows 2000-põhistes arvutites, mis asuvad Windows NT 3.x domeenides või Windows NT 4.0 domeenides
-
Windows NT 4.0 ressursidomeeni kasutajad, kes soovivad anda juurdepääsuõigusi failidele, ühiskaustadele ja registriobjektidele kasutajakontodele, mis pärinevad kontodomeenidest, mis sisaldavad Windows Server 2003 domeenikontrollereid
-
-
Selle sätte keelamise
põhjused Kui see säte on lubatud, võib pahatahtlik kasutaja kasutada tuntud administraatorite SID-t sisseehitatud administraatorikonto tegeliku nime hankimiseks isegi siis, kui konto on ümber nimetatud. Seejärel saab see isik kasutada kontonime parooliga ära arvamise rünnaku käivitamiseks. -
Sümboolne nimi: N/A
-
Registritee: pole. Tee on määratud kasutajaliidese koodis.
-
Ühilduvusprobleemide
näited Windows NT 4.0: Windows NT 4.0 ressursidomeenide arvutites kuvatakse ACL-i redaktoris tõrketeade "Konto teadmata", kui ressursid (sh ühiskaustad, ühisfailid ja registriobjektid) on turvatud turvasubjektidega, mis asuvad konto domeenides, mis sisaldavad Windows Server 2003 domeenikontrollereid.
-
-
Võrgujuurdepääs: ärge lubage SAM-i kontode anonüümne loendamine
-
Taust
-
Võrgujuurdepääs: ärge lubage SAM-i kontode anonüümse loendamise säte määrab, millised täiendavad õigused antakse anonüümse ühenduse loomiseks arvutiga. Windows võimaldab anonüümsetel kasutajatel teha teatud toiminguid, näiteks nummerdada töökoha ja serveri turbekontode halduri (SAM) kontode ja võrguketaste nimesid. Näiteks saab administraator seda kasutada juurdepääsu andmiseks usaldusväärses domeenis olevatele kasutajatele, kes ei säilita vastastikust usaldust. Kui seanss on tehtud, võib anonüümsel kasutajal olla sama juurdepääs, mis antakse kõigile rühmale võrgule juurdepääsu sätte põhjal: luba kõigile õigused rakenduda anonüümsetele kasutajatele säte või objekti valikuline pääsuloend (DACL).
Tavaliselt taotlevad SMB seansi häälestamise ajal klientrakenduste varasemad versioonid (allataseme kliendid) anonüümseid ühendusi. Nendel juhtudel näitab võrgujälitus, et SMB protsessi ID (PID) on kliendi ümbersuunaja, näiteks windows 2000 0xFEFF või Windows NT 0xCAFE. RPC võib proovida luua ka anonüümseid ühendusi. -
NB! See säte ei mõjuta domeenikontrollereid. Domeenikontrollerites juhitakse seda käitumist olekuga "NT AUTHORITY\ANONÜÜMNE SISSELOGIMINE" operatsioonisüsteemiga Windows 2000 ühilduvas Accessis.
-
Operatsioonisüsteemis Windows 2000 haldab sarnane säte nimega Täiendavad piirangud anonüümsete ühenduste jaoks registriväärtust RestrictAnonymous . Selle väärtuse asukoht on järgmine.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
-
-
Riskantsed konfiguratsioonid
Võrgujuurdepääsu lubamine: SAM-i kontode anonüümse loendamise keelamine on ühilduvusperspektiivist kahjulik konfiguratsioonisäte. Selle keelamine on turbeperspektiivist kahjulik konfiguratsioonisäte. -
Selle sätte lubamise
põhjused Volitamata kasutaja võib kontonimesid anonüümselt loetleda ja seejärel kasutada seda teavet paroolide äratundmiseks või sotsiaalsete rünnakute sooritamiseks. Sotsiaalne spetsialist on jargon, mis tähendab, et inimesed ei peaks oma paroole või teatud tüüpi turbeteavet avaldama. -
Selle sätte keelamise
põhjused Kui see säte on lubatud, ei saa Windows NT 4.0 domeenidega usaldusi luua. See säte põhjustab ka probleeme, mis on seotud väiksema taseme klientrakendustega (nt Windows NT 3.51 ja Windows 95 kliendid), kes proovivad kasutada serveri ressursse. -
Sümboolne nimi:
RestrictAnonymousSAM -
Registritee:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)
-
Ühilduvusprobleemide näited
-
SMS-i võrgutuvastus ei saa opsüsteemi teavet hankida ja kirjutab atribuudile OperatingSystemNameandVersion nime "Unknown".
-
Windows 95, Windows 98: Windows 95 kliendid ja Windows 98 kliendid ei saa oma paroole muuta.
-
Windows NT 4.0: Windows NT 4.0-ga liikme arvuteid ei saa autentida.
-
Windows 95, Windows 98: Microsofti domeenikontrollerid ei saa Windows 95-põhiseid ega Windows 98-põhiseid arvuteid autentida.
-
Windows 95, Windows 98: Windows 95-põhistes ja Windows 98-põhistes arvutites olevad kasutajad ei saa oma kasutajakontode paroole muuta.
-
-
Võrgujuurdepääs: ärge lubage SAM-i kontode ja aktsiate anonüümne loendamine
-
Taust
-
Juurdepääs võrgule: ärge lubage SAM-i kontode ja aktsiate anonüümset loendamist (tuntud ka kui RestrictAnonymous) määrab, kas turbekontode halduri (SAM) kontode ja aktsiate anonüümne loendamine on lubatud. Windows võimaldab anonüümsetel kasutajatel teha teatud toiminguid, näiteks nummerdada domeenikontode (kasutajad, arvutid ja rühmad) ja võrguketaste nimesid. See on mugav näiteks siis, kui administraator soovib anda juurdepääsu usaldusväärse domeeni kasutajatele, kes ei säilita vastastikust usaldust. Kui te ei soovi lubada SAM-i kontode ja aktsiate anonüümse loendamist, lubage see säte.
-
Operatsioonisüsteemis Windows 2000 haldab sarnane säte nimega Täiendavad piirangud anonüümsete ühenduste jaoks registriväärtust RestrictAnonymous . Selle väärtuse asukoht on järgmine:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
-
-
Riskantne konfiguratsioon
Võrgujuurdepääsu lubamine: SAM-i kontode ja ühiskasutuse anonüümse loendamise keelamine on kahjulik konfiguratsioonisäte. -
Selle sätte lubamise põhjused
-
Võrgujuurdepääsu lubamine: ärge lubage SAM-i kontode ja aktsiate anonüümse loendamise sätet takistab ANONÜÜMseid kontosid kasutavate kasutajate ja arvutite SAM-i kontode ja ühiskasutatavate osade loendamist.
-
-
Selle sätte keelamise põhjused
-
Kui see säte on lubatud, saab volitamata kasutaja kontonimesid anonüümselt loetleda ja seejärel kasutada seda teavet paroolide arvamiseks või sotsiaalsete rünnakute sooritamiseks. Sotsiaalne spetsialist on jargon, mis tähendab inimestelt parooli või teatud liiki turbeteabe avalikustamist.
-
Kui see säte on lubatud, ei saa Windows NT 4.0 domeenidega usaldusi luua. See säte põhjustab probleeme ka selliste allataseme klientrakendustega nagu Windows NT 3.51 ja Windows 95 kliendid, kes proovivad kasutada serveri ressursse.
-
Ressursidomeenide kasutajatele juurdepääsu andmine on võimatu, kuna usaldusväärse domeeni administraatorid ei saa loetleda teise domeeni kontoloendeid. Kasutajad, kes kasutavad faili- ja prindiservereid anonüümselt, ei saa nendes serverites ühisvõrguressursse loetleda. Kasutajad peavad enne ühiskaustade ja printerite loendite vaatamist autentima.
-
-
Sümboolne nimi:
RestrictAnonymous -
Registritee:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
-
Ühilduvusprobleemide näited
-
Windows NT 4.0: kasutajad ei saa windows NT 4.0 tööjaamade paroole muuta, kui restrictAnonymous on lubatud kasutajate domeenikontrollerites.
-
Windows NT 4.0: Kasutajate või globaalsete rühmade lisamine usaldusväärsetest Windows 2000 domeenidest Windows NT 4.0 kohalikesse rühmadesse kasutajahalduris nurjub ja kuvatakse järgmine tõrketeade:
Sisselogimistaotluse teenindamiseks pole praegu ühtegi sisselogimisserverit saadaval.
-
Windows NT 4.0: Windows NT 4.0-ga arvutid ei saa häälestamise ajal ega domeeniga liitumise kasutajaliidese abil domeene ühendada.
-
Windows NT 4.0: Windows NT 4.0 ressursidomeenide abil allataseme usalduse loomine nurjub. Järgmine tõrketeade kuvatakse, kui restrictAnonymous on lubatud usaldusväärses domeenis:
Selle domeeni domeenikontrollerit ei leitud.
-
Windows NT 4.0: kasutajad, kes logivad sisse Windows NT 4.0-põhistesse terminaliserveri arvutitesse, vastendavad vaikeavakataloogiga, mitte domeenide kasutajahalduris määratletud kodukataloogiga.
-
Windows NT 4.0: Windows NT 4.0 varudomeenikontrollerid (BDC-d) ei saa käivitada Net-i sisselogimisteenust, hankida varubrauserite loendit ega sünkroonida SAM-i andmebaasi windows 2000-st või sama domeeni Windows Server 2003 domeenikontrolleritest.
-
Windows 2000: Windows 2000-põhistes windows NT 4.0 domeenides olevates liikmearvutites ei saa väliste domeenide printereid kuvada, kui klientarvuti kohalikus turbepoliitikas on lubatud säte Ilma selgesõnaliselt anonüümse õiguseta juurdepääs.
-
Windows 2000: Windows 2000 domeeni kasutajad ei saa Lisada võrguprintereid Active Directory kaudu; küll aga saavad nad printereid lisada pärast nende puuvaatest valimist.
-
Windows 2000: Windows 2000-põhistes arvutites ei saa ACL Editor windows NT 4.0 usaldusväärsete domeenide kasutajaid ega globaalseid rühmi lisada.
-
ADMT versioon 2: Active Directory migreerimistööriista (ADMT) versiooni 2 abil metsade vahel migreeritud kasutajakontode paroolide migreerimine nurjub.
Microsofti teabebaasis oleva artikli kuvamiseks klõpsake järgmist artiklinumbrit.322981 Metsaülese parooli migreerimise tõrkeotsing ADMTv2 abil
-
Outlooki kliendid: Microsoft Exchange'i Outlooki klientrakendused kuvatakse globaalse aadressiloendina.
-
SMS: Microsoft Systems Management Server (SMS) Network Discovery ei saa hankida operatsioonisüsteemi teavet. Seetõttu kirjutab see tuvastusandmete kirje (DDR) SMS-i DDR-atribuudi OperatingSystemNameandVersion atribuudile "Unknown".
-
SMS: kui kasutate kasutajate ja rühmade sirvimiseks SMS-i administraatori kasutajaviisardit, ei kuvata ühtegi kasutajat ega rühma. Lisaks ei saa täpsemad kliendid halduspunktiga suhelda. Halduspunktis on nõutav anonüümne juurdepääs.
-
SMS: kui kasutate SMS 2.0 ja kaugkliendi installimise funktsiooni, kus topoloogia, kliendi ja kliendi operatsioonisüsteemide võrgutuvastussuvand on sisse lülitatud, võidakse arvutid üles leida, kuid neid ei pruugita installida.
-
-
-
Võrgu turvalisus: Lan Manageri autentimistase
-
Taust
LAN Manageri (LM) autentimine on protokoll, mida kasutatakse Windowsi klientrakenduste autentimiseks võrgutoimingute (sh domeeniga liitumised, võrguressurssidele juurdepääsemine ja kasutaja või arvuti autentimine) jaoks. ÕH autentimistase määrab, millist ülesande/vastuse autentimisprotokolli kliendi ja serveriarvutite vahel peetakse. Täpsemalt määratleb LM-i autentimistase, millised autentimisprotokollid proovivad kliendil läbirääkimisi pidada või kas server aktsepteerib neid. LmCompatibilityLevel jaoks määratud väärtus määrab, millist väljakutse/vastuse autentimisprotokolli kasutatakse võrgu sisselogimiste jaoks. See väärtus mõjutab kliendi kasutatava autentimisprotokolli taset, läbiräägitud seansi turvalisuse taset ja serverite aktsepteeritud autentimistaset. Võimalikud sätted hõlmavad järgmist.Väärtus
Säte
Kirjeldus
0
ÕHS-i & NTLM-vastuste saatmine
Kliendid kasutavad LM- ja NTLM-autentimist ning ei kasuta kunagi NTLMv2 seansiturvet. Domeenikontrollerid aktsepteerivad LM-i, NTLM-i ja NTLMv2 autentimist.
1
Saada LM & NTLM – ntLMv2 seansi turvalisuse kasutamine läbirääkimistel
Kliendid kasutavad LM- ja NTLM-autentimist ning NTLMv2 seansiturvet, kui server seda toetab. Domeenikontrollerid aktsepteerivad LM-i, NTLM-i ja NTLMv2 autentimist.
2
Saada ainult NTLM-vastus
Kliendid kasutavad ainult NTLM-autentimist ja kasutavad NTLMv2 seansiturvet, kui server seda toetab. Domeenikontrollerid aktsepteerivad LM-i, NTLM-i ja NTLMv2 autentimist.
3
Saada ainult NTLMv2 vastus
Kliendid kasutavad ainult NTLMv2 autentimist ja kasutavad NTLMv2 seansiturvet, kui server seda toetab. Domeenikontrollerid aktsepteerivad LM-i, NTLM-i ja NTLMv2 autentimist.
4
Saada ainult NTLMv2 vastus/keeldu LM-ilt
Kliendid kasutavad ainult NTLMv2 autentimist ja kasutavad NTLMv2 seansiturvet, kui server seda toetab. Domeenikontrollerid keelduvad LM-ist ja aktsepteerivad ainult NTLM-i ja NTLMv2 autentimist.
5
Saada ainult NTLMv2 vastus või keeldu LM-i & NTLM-ilt
Kliendid kasutavad ainult NTLMv2 autentimist ja kasutavad NTLMv2 seansiturvet, kui server seda toetab. Domeenikontrollerid keelduvad LM-ist ja NTLM-ist ning aktsepteerivad ainult NTLMv2 autentimist.
Märkus. Windows 95, Windows 98 ja Windows 98 Second Editioni kataloogiteenuste klient kasutab SMB-allkirjastamist, kui see autenditakse Windows Server 2003 serveritega NTLM-autentimise abil. Need kliendid ei kasuta siiski SMB allkirjastamist, kui nad kasutavad nende serveritega autentimiseks NTLMv2 autentimist. Lisaks ei vasta Windows 2000 serverid nende klientide SMB allkirjastamistaotlustele.
Kontrollige LM autentimistaset: NTLM-i lubamiseks peate muutma serveri poliitikat või konfigureerima klientarvuti ntLMv2 toetamiseks. Kui poliitika väärtuseks on seatud (5) Saada NTLMv2 vastus ainult\keeldu LM-ist & NTLM sihtarvutis, millega soovite ühenduse luua, peate selle arvuti sätet vähendama või määrama sama sätte, mis on lähtearvutis, millega ühenduse loote. Leidke õige asukoht, kus saate muuta LAN-i halduri autentimistaset, et seada klient ja server samale tasemele. Kui olete leidnud poliitika, mis määrab LAN-i halduri autentimistaseme, kui soovite luua ühenduse Windowsi varasemate versioonidega arvutitega ja neist arvutitest, vähendage väärtust vähemalt (1) Saada LM & NTLM - kasutage NTLM versiooni 2 seansi turvet läbirääkimistel. Ühildumatute sätete üks efekt on see, et kui server nõuab NTLMv2 (väärtus 5), kuid klient on konfigureeritud kasutama ainult LM ja NTLMv1 (väärtus 0), kogeb autentimist proovinud kasutaja sisselogimistõrget, millel on halb parool ja mis suurendab vale paroolide arvu. Kui konto lukustamine on konfigureeritud, võidakse kasutaja lõpuks välja lukustada. Näiteks peate vaatama domeenikontrollerit või uurima domeenikontrolleri poliitikaid. Vaadake domeenikontrollerit Märkus. Võimalik, et peate kõiki domeenikontrollereid korrama järgmist toimingut.-
Klõpsake nuppu Start, osutage käsule Programmid ja seejärel klõpsake käsku Haldusriistad.
-
Laiendage jaotises Kohalikud turbesätted valikut Kohalikud poliitikad.
-
Klõpsake nuppu Turbesuvandid.
-
Topeltklõpsake valikut Võrguturve: LAN-i halduri autentimistase ja seejärel klõpsake loendis soovitud väärtust.
-
Klõpsake nuppu Start, osutage käsule Programmid ja seejärel klõpsake käsku Haldusriistad.
-
Jaotises Domain Controller Security policy (Domeenikontrolleri turbepoliitika ) laiendage jaotist Security Settings (Turbesätted) ja seejärel valikut Local Policies (Kohalikud poliitikad).
-
Klõpsake nuppu Turbesuvandid.
-
Topeltklõpsake valikut Võrguturve: LAN-i halduri autentimistase ja seejärel klõpsake loendis soovitud väärtust.
-
Võimalik, et peate lan-i halduri autentimistaseme konfigureerimise koha määramiseks kontrollima ka saiditasemel, domeenitasemel või organisatsiooniüksuse tasemel lingitud poliitikaid.
-
Kui rakendate Rühmapoliitika sätte domeeni vaikepoliitikana, rakendatakse poliitika kõigile domeeni arvutitele.
-
Kui rakendate Rühmapoliitika sätte domeenikontrolleri vaikepoliitikana, rakendub poliitika ainult domeenikontrolleri OU serveritele.
-
Soovitatav on määrata LAN-i halduri autentimistase poliitikarakenduse hierarhias vajaliku ulatuse madalaimas olemis.
Versioonil Windows Server 2003 on ainult NTLMv2 kasutamiseks uus vaikesäte. Vaikimisi on Windows Server 2003 ja Windows 2000 Server SP3-põhised domeenikontrollerid lubanud poliitika "Microsofti võrguserver: digitaalallkirjasta suhtlus (alati)". See säte nõuab SMB serverit SMB paketi allkirjastamiseks. Windows Server 2003 on muudetud, kuna mis tahes organisatsiooni domeenikontrollerid, failiserverid, võrgutaristuserverid ja veebiserverid nõuavad turbe maksimeerimiseks erinevaid sätteid.
Kui soovite oma võrgus rakendada NTLMv2 autentimist, peate veenduma, et kõik domeeni arvutid on seatud seda autentimistaset kasutama. Kui rakendate Active Directory kliendilaiendused Windows 95 või Windows 98 ja Windows NT 4.0 jaoks, kasutavad kliendilaiendused täiustatud autentimisfunktsioone, mis on saadaval ntLMv2-s. Kuna Windows 2000 Rühmapoliitika Objects ei mõjuta klientarvutiid, kus töötab mõni järgmistest operatsioonisüsteemidest, on võimalik, et peate need kliendid käsitsi konfigureerima.-
Microsoft Windows NT 4.0
-
Microsoft Windows Millennium Edition
-
Microsoft Windows 98
-
Microsoft Windows 95
Märkus. Kui lubate võrguturbe: ärge salvestage LAN-i halduri räsiväärtust järgmise parooli muutmise poliitika alusel või määrake NoLMHashi registrivõti, Windows 95-põhistes ja Windows 98-põhistes klientrakenduste puhul, kuhu pole kataloogiteenuste klientrakendus installitud, ei saa pärast parooli muutmist domeeni sisse logida.
Paljud kolmanda osapoole CIFS-serverid (nt Novell Netware 6) pole NTLMv2-st teadlikud ja kasutavad ainult NTLM-i. Seetõttu ei luba suurem kui 2 tasemed ühenduvust. Samuti on kolmanda osapoole SMB kliente, mis ei kasuta pikendatud seansi turvet. Neil juhtudel ressursiserveri LmCompatiblityLevel ei võeta arvesse. Seejärel pakib server selle pärandtaotluse ja saadab selle kasutaja domeenikontrollerile. Seejärel määravad domeenikontrolleri sätted, milliseid räsisid kasutatakse taotluse kontrollimiseks ja kas need vastavad domeenikontrolleri turbenõuetele.299656 Kuidas takistada Windowsil teie parooli LAN-halduri räsi salvestamist Active Directorys ja kohalikes SAM-andmebaasides?
2701704Auditisündmus näitab autentimispaketti NTLMv1-ina, mitte NTLMv2. ÕHS-i autentimistasemete kohta lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
239869 NTLM 2 autentimise lubamine
-
-
Riskantsed konfiguratsioonid
Järgmised on kahjulikud konfigureerimissätted.-
Mitterestiivsed sätted, mis saadavad paroolid cleartexti ja mis eita NTLMv2 läbirääkimisi
-
Piiravad sätted, mis takistavad ühildumatutel klientidel või domeenikontrolleritel ühise autentimisprotokolli läbirääkimist
-
NTLMv2 autentimise nõudmine liikmearvutites ja domeenikontrollerites, kus töötab Windows NT 4.0 versioon, mis on varasemad kui hoolduspakett Service Pack 4 (SP4)
-
NTLMv2 autentimise nõudmine Windows 95 klientrakenduste või Windows 98 klientrakenduste korral, kuhu pole installitud teenuse Windows Directory Services klientrakendust.
-
Kui klõpsate Windows Server 2003 või Windows 2000 Hoolduspaketi Service Pack 3-põhises arvutis Microsofti halduskonsooli Rühmapoliitika redaktori lisandmoodulis märkeruudu Nõua NTLMv2 seansiturvet ja määrate LAN-i halduri autentimistasemeks 0, on kaks sättekonflikti ja failis Secpol.msc või GPEdit.msc võidakse kuvada järgmine tõrketeade:
Windows ei saa kohaliku poliitika andmebaasi avada. Andmebaasi avamise katsel ilmnes tundmatu tõrge.
Turbekonfiguratsiooni ja analüüsi tööriista kohta leiate lisateavet Windows 2000 või Windows Server 2003 spikrifailidest.
-
-
Selle sätte muutmise põhjused
-
Soovite suurendada madalaimat levinud autentimisprotokolli, mida teie ettevõtte kliendid ja domeenikontrollerid toetavad.
-
Kui turvaline autentimine on ärinõue, soovite keelata läbirääkimised LM-i ja NTLM-protokollide üle.
-
-
Selle sätte keelamise
põhjused Kliendi või serveri autentimise nõudeid või mõlemaid on suurendatud nii, et autentimine tavaprotokolli kaudu ei saa toimuda. -
Sümboolne nimi:
LmCompatibilityLevel -
Registritee:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
-
Ühilduvusprobleemide näited
-
Windows Server 2003: vaikimisi on Windows Server 2003 NTLMv2 Send NTLM-i vastused säte lubatud. Seetõttu kuvatakse Windows Server 2003 pärast algset installi tõrketeadet "Juurdepääs keelatud", kui proovite luua ühendust Windows NT 4.0-põhise klastri või LanManager V2.1-põhiste serveritega (nt OS/2 Lanserver). See probleem ilmneb ka siis, kui proovite luua ühendust varasema versiooni klientrakenduse ja Windows Server 2003 põhise serveriga.
-
Installite Windows 2000 turbevärskenduskomplekti paketi 1 (SRP1). SRP1 jõustab NTLM-i versiooni 2 (NTLMv2). See värskenduskomplekt anti välja pärast Windows 2000 hoolduspaketi Service Pack 2 (SP2) väljaandmist.
-
Windows 7 ja Windows Server 2008 R2: paljud kolmanda osapoole CIFS-serverid (nt Novell Netware 6 või Linuxi põhised Samba serverid) pole NTLMv2-st teadlikud ja kasutavad ainult NTLM-i. Seetõttu ei luba ühenduvustasemeid, mis on suuremad kui "2". Nüüd muudeti operatsioonisüsteemi selles versioonis funktsiooni LmCompatibilityLevel vaikeväärtuseks "3". Seega võivad need kolmanda osapoole fileerid Windowsi täiendamisel lakata töötamast.
-
Microsoft Outlooki klientidelt võidakse küsida identimisteavet, kuigi nad on juba domeeni sisse logitud. Kui kasutajad sisestavad oma identimisteabe, kuvatakse järgmine tõrketeade: Windows 7 ja Windows Server 2008 R2
Esitatud sisselogimisteave oli vale. Veenduge, et teie kasutajanimi ja domeen on õiged, ja seejärel tippige parool uuesti.
Outlooki käivitamisel võidakse teilt identimisteavet küsida ka siis, kui teie sisselogimisvõrgu turbe sätteks on määratud Läbipääs või Paroolautentimine. Pärast õige identimisteabe tippimist võidakse kuvada järgmine tõrketeade:
Esitatud sisselogimisteave oli vale.
Võrgumonitori jälitus võib näidata, et globaalkataloog väljastas kaugprotseduurikutse (RPC) tõrke 0x5 olekuga. 0x5 olek tähendab "Juurdepääs keelatud".
-
Windows 2000: võrgumonitori jäädvustamine võib netBIOS-i TCP/IP (NetBT) serveri sõnumiploki (SMB) seansi ajal kuvada järgmised tõrked:
SMB R Search Directory dos error, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Invalid user identifier
-
Windows 2000: kui Windows 2000 domeen, mille NTLMv2 tase on 2 või uuem, on usaldusväärne Windows NT 4.0 domeen, võivad ressursidomeeni Windows 2000-põhistes liikmearvutites ilmneda autentimistõrked.
-
Windows 2000 ja Windows XP: Vaikimisi määrasid Windows 2000 ja Windows XP LAN-i halduri autentimistaseme kohaliku turbepoliitika suvandi väärtuseks 0. Säte 0 tähendab "Saada LM- ja NTLM-vastused"
. Märkus. Windows NT 4.0-põhistes klastrites tuleb haldamiseks kasutada LM-i. -
Windows 2000: Windows 2000 klasterdamine ei autendi liitmissõlme, kui mõlemad sõlmed kuuluvad Windows NT 4.0 hoolduspaketi Service Pack 6a (SP6a) domeeni.
-
IIS-i lukustusriist (HiSecWeb) määrab LMCompatibilityLevel väärtuseks 5 ja restrictAnonymous väärtuseks 2.
-
Macintoshi
teenused Kasutajaautentimise moodul (UAM): Microsofti UAM (kasutajaautentimise moodul) pakub meetodit Windows AFP (AppleTalk Filing Protocol) serveritesse sisselogimiseks kasutatavate paroolide krüptimiseks. Apple'i kasutajaautentimise moodul (UAM) pakub ainult minimaalset krüptimist või mittekrüptimist. Seetõttu võib teie parooli hõlpsalt kohtvõrgus või Internetis pealt kuulata. Kuigi UAM pole nõutav, pakub see krüptitud autentimist Windows 2000 serverites, mis käitavad Macintoshi teenuseid. See versioon toetab NTLMv2 128-bitist krüptitud autentimist ja MacOS X 10.1-ga ühilduvat väljaannet. Vaikimisi lubavad Windows Server 2003 teenused Macintoshi serveri jaoks ainult Microsofti autentimist. -
Windows Server 2008, Windows Server 2003, Windows XP ja Windows 2000: kui konfigureerite väärtuse LMCompatibilityLevel väärtuseks 0 või 1 ja seejärel konfigureerite Väärtuse NoLMHash väärtuseks 1, võidakse ntLM-i kaudu rakendustele ja komponentidele juurdepääs keelata. See probleem ilmneb, sest arvuti on konfigureeritud lubama LM, kuid mitte kasutama LM-salvestatud paroole.
Kui konfigureerite väärtuse NoLMHash väärtuseks 1, peate konfigureerima väärtuse LMCompatibilityLevel väärtuseks 2 või uuem.
-
-
-
Võrguturve: LDAP-kliendi allkirjastamisnõuded
-
Taust
Võrgu turvalisus: LDAP kliendi allkirjastamisnõuete säte määratleb andmete allkirjastamise taseme, mida taotletakse klientide nimel, kes väljastavad Lightweight Directory Access Protocoli (LDAP) BIND-taotlusi järgmiselt:-
Puudub: LDAP BIND taotlus väljastatakse helistaja määratud suvanditega.
-
Läbirääkimiste allkirjastamine: kui turvasoklite kihi/transpordikihi turvet (SSL/TLS) pole käivitatud, algatatakse LDAP BIND taotlus lisaks helistaja määratud suvanditele määratud LDAP-andmete allkirjastamise suvandiga. Kui SSL/TLS on käivitatud, algatatakse LDAP BIND taotlus helistaja määratud suvanditega.
-
Nõua allkirjastamist: see on sama mis läbirääkimiste allkirjastamine. Kui aga LDAP-serveri kesktaseme saslBindInProgress vastus ei näita, et LDAP-liikluse allkirjastamine on nõutav, öeldakse helistajale, et LDAP BIND käsutaotlus nurjus.
-
-
Riskantne konfiguratsioon
Võrguturbe lubamine: LDAP-kliendi allkirjanõuete säte on kahjulik konfiguratsioonisäte. Kui määrate serverile LDAP-allkirjade nõudmise, peate kliendis konfigureerima ka LDAP-allkirja. Kliendi konfigureerimine LDAP-allkirjade kasutamiseks ei takista serveriga suhtlemist. See põhjustab kasutaja autentimise, Rühmapoliitika sätete, sisselogimisskriptide ja muude funktsioonide nurjumise. -
Selle sätte
muutmise põhjused Allkirjastamata võrguliiklus on vastuvõtlik inimkeskkondade rünnakutele, kus sissetungija jäädvustab kliendi ja serverite vahelisi pakette, muudab neid ja edastab need serverisse. Kui see juhtub LDAP-serveris, võib ründaja põhjustada serveri reageerimise LDAP-kliendi valepäringute põhjal. Seda ohtu saate vähendada ettevõtte võrgus, rakendades tugevaid füüsilisi turbemeetmeid võrgu infrastruktuuri kaitsmiseks. Lisaks saate ipSec autentimise päiste abil vältida igasuguseid inimtegevuse rünnakuid, nõudes digitaalallkirju kõigil võrgupakettidel. -
Sümboolne nimi:
LDAPClientIntegrity -
Registritee:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
-
-
Sündmuselogi: turbelogi mahu ülempiir
-
Taust
Sündmuselogi: turbelogi maksimummahu turbesäte määrab turbesündmuste logi maksimummahu. Selle logi maksimaalne maht on 4 GB. Selle sätte leidmiseks laiendage Windowsi sätted ja seejärel laiendage jaotist Turbesätted. -
Riskantsed konfiguratsioonid
Järgmised on kahjulikud konfigureerimissätted.-
Turbelogi mahu ja turbelogi säilitusmeetodi piiramine, kui säte Audit: sulgege süsteem kohe, kui turbeauditite logimine on lubatud. Lisateavet leiate selle artikli jaotisest "Audit: Süsteemi sulgemine kohe, kui turbeauditeid ei saa logida".
-
Turbelogi mahu piiramine huvipakkuvate turbesündmuste ülekirjutamiseks.
-
-
Selle sätte
suurendamise põhjused Äri- ja turbenõuded võivad dikteerida, et suurendate turbelogi mahtu täiendavate turbelogi üksikasjade töötlemiseks või turbelogide pikemaks ajaks säilitamiseks. -
Selle sätte
vähendamise põhjused Sündmusevaatur logid on mälu vastendatud failid. Sündmuselogi maksimummahtu piirab kohaliku arvuti füüsilise mälu hulk ja sündmuselogi protsessi jaoks saadaolev virtuaalmälu. Logi mahu suurendamine rohkem kui Sündmusevaatur saadaoleva virtuaalmälu maht ei suurenda säilitatavate logikirjete arvu. -
Ühilduvusprobleemide
näited Windows 2000: arvutites, kus töötab Windows 2000 versioon, mis on hoolduspaketist Service Pack 4 (SP4) varasemad, võivad sündmuselogis logimissündmused peatada enne, kui jõuate mahuni, mis on määratud Sündmusevaatur kui säte Ära kirjuta sündmusi üle (tühjenda logi käsitsi) on sisse lülitatud.
-
-
Sündmuselogi: turbelogi säilitamine
-
Taust
Sündmuselogi: turbelogi turbesätte säilitamine määratleb turbelogi "mähkimise" meetodi. Selle sätte leidmiseks laiendage Windowsi sätted ja seejärel laiendage jaotist Turbesätted. -
Riskantsed konfiguratsioonid
Järgmised on kahjulikud konfigureerimissätted.-
Kõiki logitud turbesündmusi ei saa enne ülekirjutamist säilitada
-
Turbesündmuste ülekirjutamiseks liiga väikse turbelogi mahu ülempiiri konfigureerimine
-
Turbelogi mahu ja säilitusmeetodi piiramine auditi ajal: sulgege süsteem kohe, kui turbeauditite turbesäte pole lubatud
-
-
Selle sätte lubamise
põhjused Lubage see säte ainult siis, kui valite säilitusmeetodi Kirjuta sündmused päevade kaupa üle . Kui kasutate sündmuste korrelatsioonisüsteemi, mis küsitlusi sündmuste kohta küsitleb, veenduge, et päevade arv oleks vähemalt kolm korda küsitlussagedusel. Tehke seda nurjunud küsitlustsüklite lubamiseks.
-
-
Võrgule juurdepääs: luba kõigil rakenduda anonüümsetele kasutajatele
-
Taust
Vaikimisi on sätte Võrgujuurdepääs: luba kõigil anonüümsetele kasutajatele rakenduda väärtuseks seatud Pole määratletud opsüsteemis Windows Server 2003. Windows Server 2003 ei sisalda vaikimisi anonüümse juurdepääsu luba rühmas Kõik. -
Ühilduvusprobleemide
näide Järgmine väärtus:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous [REG_DWORD]=0x0 katkestab Windows Server 2003 ja Windows NT 4.0 usalduse loomise, kui Windows Server 2003 domeen on konto domeen ja Windows NT 4.0 domeen on ressursidomeen. See tähendab, et konto domeen on Windows NT 4.0-s usaldusväärne ja ressursidomeen on Windows Server 2003 poolel Usaldusväärne. See käitumine ilmneb seetõttu, et pärast algset anonüümse ühenduse loomist usalduse alustamise protsess on ACL'd kõigi tõendiga, mis sisaldab Windows NT 4.0 anonüümse SID-d.
-
Selle sätte
muutmise põhjused Väärtuseks tuleb määrata 0x1 või määrata domeenikontrolleri OU-s asuva GPO abil: Võrgule juurdepääs: Luba kõigil rakenduda anonüümsetele kasutajatele – lubatud, et usalduse loomine oleks võimalik. Märkus. Enamik muid turbesätteid tõusevad väärtuses üles, mitte ei 0x0 nende kõige turvalisemasse olekusse. Turvalisem tava oleks muuta kõigi domeenikontrollerite asemel esmase domeenikontrolleri emulaatori registrit. Kui esmane domeenikontrolleri emulaatori roll teisaldatakse mis tahes põhjusel, tuleb registrit uues serveris värskendada. Pärast selle väärtuse määramist on vajalik taaskäivitamine. -
Registritee
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
-
-
NTLMv2 autentimine
-
Seansi turvalisus
Seansiturve määrab kliendi- ja serveriseansside minimaalsed turbestandardid. Microsofti halduskonsooli Rühmapoliitika redaktori lisandmoodulis on hea kontrollida järgmisi turbepoliitika sätteid.-
Arvuti sätted\Windowsi sätted\Turbesätted\Kohalikud poliitikad\Turbesuvandid
-
Võrguturve: NTLM SSP-põhiste (sh turvaliste RPC) serverite minimaalne seansiturve
-
Võrguturve: NTLM SSP-põhiste (sh turvaliste RPC) klientide minimaalne seansiturve
Nende sätete suvandid on järgmised.
-
Nõua sõnumiterviklust
-
Nõua sõnumi konfidentsiaalsust
-
NTLM 2. versiooni seansiturbe nõudmine
-
Nõua 128-bitist krüptimist
Windows 7-st varasem vaikesäte on Nõuded puuduvad. Alates Windows 7-st muudeti vaikesätteks 128-bitise krüptimise nõudmine turvalisuse parandamiseks. Selle vaikeväärtusega pärandseadmed, mis ei toeta 128-bitist krüptimist, ei saa ühendust luua.
Need poliitikad määratlevad kliendi serveris rakenduselt rakendusele suhtlusseansi minimaalsed turbestandardid. Pange tähele, et kuigi neid on kirjeldatud kehtivate sätetena, ei kasutata NTLM-i seansi turvalisuse määratlemisel sõnumite tervikluse ja konfidentsiaalsuse nõudvaid lippe. Ajalooliselt on Windows NT toetanud kahte võrgu sisselogimise ülesande/vastuse autentimise varianti.-
LM challenge/response
-
NTLM version 1 challenge/response
LM võimaldab koostalitlusvõime klientide ja serverite installitud baasiga. NTLM pakub täiustatud turvalisust klientide ja serverite vaheliste ühenduste jaoks.
Vastavad registrivõtmed on järgmised.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec" -
-
Riskantsed konfiguratsioonid
See säte määrab, kuidas NTLM-i abil turvatud võrguseansse käsitsetakse. See mõjutab näiteks NTLM-iga autenditud RPC-põhiseid seansse. Riskid on järgmised.-
Vanemate autentimismeetodite kui NTLMv2 kasutamine lihtsustab suhtluse ründamist lihtsamate räsimismeetodite tõttu.
-
Alla 128-bitiste krüptovõtmete kasutamine võimaldab ründajatel murda suhtlust jõhkrate jõurünnete abil.
-
-
Ajasünkroonimine
Ajasünkroonimine nurjus. Aeg on mõjutatud arvutis üle 30 minuti eemal. Veenduge, et klientarvuti kell oleks sünkroonitud domeenikontrolleri kellaga.
SMB allkirjastamise ajutine lahendus
Soovitame teil installida hoolduspaketi Service Pack 6a (SP6a) Windows NT 4.0 klientrakendustesse, mis suhtlevad Windows Server 2003-põhises domeenis. Windows 98 teise väljaandepõhised kliendid, Windows 98-põhised kliendid ja Windows 95-põhised kliendid peavad NTLMv2 sooritamiseks käitama kataloogiteenuste klienti. Kui Windows NT 4.0-põhistesse klientrakendustesse pole installitud Windows NT 4.0 SP6 või kui Windows 95-põhistes klientrakendustes, Windows 98-põhistes klientrakendustes ja Windows 98SE-põhistes klientrakendustes pole kataloogiteenuste klientrakendust installitud, keelake SMB sisselogimine domeenikontrolleri OU-s domeenikontrolleri vaikepoliitikasättes ja seejärel linkige see poliitika kõigi OU-dega, mis hostivad domeenikontrollereid.
Windows 98 Teise väljaande, Windows 98 ja Windows 95 kataloogiteenuste klient teeb Windows 2003 serveritega SMB-allkirja NTLM-autentimise all, kuid mitte NTLMv2 autentimise all. Lisaks ei vasta Windows 2000 serverid nende klientide SMB allkirjastamistaotlustele. Kuigi me seda ei soovita, saate takistada SMB allkirjastamist kõigil domeenikontrolleritel, mis käitavad domeenis Windows Server 2003. Selle turbesätte konfigureerimiseks tehke järgmist.-
Avage domeenikontrolleri vaikepoliitika.
-
Avage kaust Arvuti konfiguratsioon\Windowsi sätted\Turbesätted\Kohalikud poliitikad\Turbesuvandid.
-
Otsige üles ja klõpsake Microsofti võrguserverit: poliitikasäte Digitaalne allkirjastamine (alati) ja seejärel klõpsake valikut Keelatud.
NB! See jaotis, meetod või ülesanne sisaldab etappe, mis annavad teile teada, kuidas registrit muuta. Kui muudate registrit valesti, võivad ilmneda tõsised probleemid. Seetõttu veenduge, et järgite neid juhiseid hoolikalt. Täiendava kaitse saamiseks varundage register enne selle muutmist. Seejärel saate probleemi ilmnemisel registri taastada. Registri varundamise ja taastamise kohta lisateabe saamiseks klõpsake Microsofti teabebaasis oleva artikli kuvamiseks järgmist artiklinumbrit.
322756 Registri varundamine ja taastamine Windowsis. Teise võimalusena lülitage serveris SMB sisselogimine välja, muutes registrit. Selleks tehke järgmist.
-
Klõpsake nuppu Start, siis käsku Käivita, tippige tekst regedit ja seejärel klõpsake nuppu OK.
-
Otsige üles järgmine alamvõti ja klõpsake seda:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters -
Klõpsake enablesecuritysignature kirjet.
-
Klõpsake menüü Redigeeri käsku Muuda.
-
Tippige väljale Väärtuseandmed väärtus 0 ja seejärel klõpsake nuppu OK.
-
Sulgege registriredaktor.
-
Taaskäivitage arvuti või peatage ja seejärel taaskäivitage serveriteenus. Selleks tippige käsuviibale järgmised käsud ja vajutage pärast iga käsu
tippimist sisestusklahvi (Enter). net stop server net start server
Märkus. Vastav võti klientarvutis asub järgmises registri alamvõtmes:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters Järgmises loendis on tõlgitud tõrkekoodi numbrid olekukoodideks ja varem mainitud suusõnaliste tõrketeadete juurde.
tõrge 5
ERROR_ACCESS_DENIED Juurdepääs on keelatud.tõrge 1326
ERROR_LOGON_FAILURE Sisselogimistõrge: tundmatu kasutajanimi või vale parool.tõrge 1788
ERROR_TRUSTED_DOMAIN_FAILURE Usaldussuhe esmase domeeni ja usaldusväärse domeeni vahel nurjus.tõrge 1789
ERROR_TRUSTED_RELATIONSHIP_FAILURE Selle tööjaatuse ja esmase domeeni vaheline usaldussuhe nurjus.Microsofti teabebaasi artiklite vaatamiseks klõpsake järgmisi artiklinumbreid.
324802 Rühmapoliitikate konfigureerimine windows Server 2003 süsteemiteenuste turbe määramiseks
816585 Eelmääratletud turbemallide rakendamine opsüsteemis Windows Server 2003