Klient, teenuse ja programm probleeme võib ilmneda, kui muudate turvasätteid ja kasutaja õiguste määrangute

Kokkuvõte

Turvasätted ja kasutajaõiguste määranguid saab muuta kohalike poliitikate ja rühmapoliitikad aidata tugevda turvalisust domeenikontrollerid ja liikme arvutis. Siiski nõuetekohase kasutamise puuduseks on vastuolud kasutusele kliendid, teenused ja programmid.

Selles artiklis kirjeldatakse vastuolud, mis võivad tekkida kliendi arvutisse, kus töötab Windows XP või Windowsi varasema versiooni kui muudate spetsiaalsed turvasätted ja kasutajaõiguste määranguid domeeniga Windows Server 2003 või varasemate Windowsi Serveri domeen.

Rühma poliitika Windows 7, Windows Server 2008 R2 ja Windows Server 2008 kohta teabe saamiseks lugege järgmisi artikleid:

  • Windows 7, vaadake

  • Windows 7 ja Windows Server 2008 R2, vaadake

  • Windows Server 2008, vt

Märkus: Käesoleva artikli ülejäänud sisu kehtib Windows XP, Windows Server 2003 ja Windowsi varasemates versioonides.

Windows XP

Valesti turvasätted tutvustamiseks kasutada tööriista Group Policy Object Editor turvasätteid muuta. Group Policy Object Editor kasutamisel on kasutaja õiguste määrangute täiustatud järgmiste operatsioonisüsteemidega:

  • Windows XP Professional Service Pack 2 (SP2)

  • Windows Server 2003 Service Pack 1 (SP1)

Täiustatud funktsioon on dialoogiboksi, mis sisaldab selle artikli linki. Kuvatakse dialoogiboks kui muudate mõnda turvasätte või kasutaja õiguste määramine on piiravam ja vähem ühilduvuse tasemele. Kui muudate sama turvalisuse säte või kasutaja õiguste määramine otse registri abil või Turvalisus mallide abil, mõju on sama, mis muutmine säte Group Policy Object Editor. Siiski ei kuvata dialoogiboksi, mis sisaldab selle artikli linki.

See artikkel sisaldab näiteid kliente, programmid ja toimingud, mida mõjutavad konkreetsed turvasätteid või kasutaja õiguste määrangute. Näiteid ei autoriteetse kõiki Microsofti operatsioonisüsteemide, kõik muu operatsioonisüsteemide või kõik programmi versiooni, mis mõjutab. Käesolevas artiklis sisalduvad kõik turvasätted ja kasutaja õiguste määrangute.

Soovitame kõik turvalisusega seotud konfiguratsiooni muudatusi katse metsa ühilduvuse kinnitamiseks enne need sisse tootmiskeskkonnas. Katse metsa peab peegel tootmise metsa järgmiselt:

  • Kliendi ja serveri operatsioonisüsteemi versiooni, klient ja server programmid, service pack versioonid, käigultparandused, muudatused, turberühmi, grupi liige, õigusi objektide failisüsteem, ühiskasutusse antud kaustadele, registris, Active Directory directory teenuse, kohalik ja rühmapoliitika sätted ja objekti arvestada tüüp ja asukoht

  • Haldustoimingud, mis viiakse läbi ning Haldusriistad, mida kasutatakse haldustoimingute sooritamiseks operatsioonisüsteemid

  • Toimingud, mis viiakse läbi näiteks järgmine:

    • Arvuti ja kasutaja sisselogimise autentimise

    • Parooli lähtestab kasutajad, arvutid ja administraatorid

    • Sirvimine

    • Failisüsteemi õiguste määramine jaoks ühiskasutuses kaustade registrist ja Active Directory ressursside kõik klientarvutite opsüsteemid kõik konto või ressursi domeenid kõik klientarvutite opsüsteemid konto ja ressursi ACL-i registriredaktori abil Domeenid

    • Haldus ja isopening kontode printimine

Windows Server 2003 SP1

Hoiatused Gpedit.msc

Teab, et nad on redigeerimise kasutaja õigus või turbefunktsiooni, mis võiks olla ebasoodsalt mõjutada oma võrgu klientidele aidata lisati hoiatus kahest mehhanismist gpedit.msc. Kui administraatorid muuta kasutaja õigust, mis võib halvendada kogu ettevõtte, näevad nad uus ikoon, mis sarnaneb saagi märk. Nad saavad ka hoiatusteate, mis on link Microsofti teadmusbaasi artiklit 823659. Selle sõnumi tekst on järgmine:

Selle sätte muutmine võib mõjutada klientide, teenuste ja rakenduste ühilduvuse. Lisateabe saamiseks vaadake < kasutaja õigus või turvalisus suvand on muudetud > (Q823659) Kui teid suunati teadmusbaasi artiklit link gpedit.msc, veenduge, et lugeda ja mõista esitatud selgitus ja selle sätte võimalikku mõju. Ei sisalda hoiatus teksti kasutaja õiguste loetelu:

  • Juurdepääs sellele arvutile võrgust

  • Logib end kohalikult

  • Ära kasuta ristkontrollimist

  • Arvutid ja kasutajad usaldusväärsete delegeerimine

Järgneb loend on hoiatuse ja pop-up sõnum turbesuvandeid:

  • Domeeni liige: Digitaalselt krüptida või logige turvalise kanali andmed (alati)

  • Domeeni liige: Nõuavad strong (Windows 2000 või uuem versioon) seansivõti

  • Domeenikontroller: LDAP server allkirja nõuded

  • Microsoft network server: digitaalallkirjastamine side (alati)

  • Juurdepääs võrgule: Võimaldab anonüümne Sid / nime tõlkimine

  • Juurdepääs võrgule: Luba anonüümseid loendamine SAM kontod ja aktsiate

  • Võrgu turvalisus: LAN Manageri autentimist tase

  • Audit: Sulgeda süsteemi kohe kui ei saa sisse logida turvakontrollide

  • Juurdepääs võrgule: LDAP kliendi allkirja nõuded

Lisateabe saamiseks

Järgmistes jaotistes kirjeldatakse vastuolud, mis võivad tekkida teatud sätteid domeenid Windows NT 4.0, Windows 2000 domeenide ja Windows Server 2003 domeenid.

Kasutaja õigused

Järgmine loend kirjeldab kasutaja õigust, määrab konfiguratsioonisätted, mis võib tekitada probleeme, kirjeldab, miks tuleks rakendada kasutaja õige ja miks eemaldada kasutaja õigust ja tuuakse näiteid ühilduvusprobleeme, mis võib ilmneda juhul, kui kasutaja paremal on konfigureeritud.

  1. Juurdepääs sellele arvutile võrgust

    1. Taust

      Võime suhelda Windowsiga kaugarvutitega nõuab juurdepääsu võrgust arvuti kasutaja õigust. Sellise võrgustiku tegevuste näited on järgmised:

      • Replikatsiooni Active Directory domeenikontrollerid ühine domeeni või metsa vahel

      • Autentimistaotlusele domeenikontrolleritega kasutajad ja arvutid

      • Juurdepääsu ühiskasutuses kaustad, printerid ja muud süsteemiteenused, mis asuvad võrgus olevate kaugarvutite



      Kasutajad, arvutid ja teenusekontode kasu või kaotada juurdepääsu võrgust arvuti kasutaja õigust olles otseselt või kaudselt lisada või eemaldada selle kasutajale õiguse andnud turberühma. Näiteks kasutaja või arvuti kontot võib selgesõnaliselt lisada kohandatud turberühma või sisseehitatud turberühma administraator või kaudselt lisatava operatsioonisüsteem arvutatud turberühma domeeni kasutajad, autenditud Kasutajate või ettevõtte domeenikontrollerid.

      Vaikimisi Kasutajakontod ja arvuti kontod antakse juurdepääs sellele arvutile võrgust kasutaja õigus kui arvutatud gruppide igaüks või, soovitatavalt autenditud kasutajatele ja domeenikontrollerid, ettevõtte domeenikontrollerid rühma , on määratletud vaikimisi domeenikontrollerid rühma poliitika objekti (GPO).

    2. Riskantne konfiguratsioonid

      Kahjulike konfiguratsiooni seaded on järgmised:

      • See kasutaja õigus ettevõtte domeenikontrollerid turberühma eemaldamine

      • Eemaldamine on autenditud kasutajate rühmale või selgesõnaliselt rühma, mis võimaldab kasutajad, arvutid ja teenusekontode kasutaja õigused arvutiga arvutite võrgu kaudu

      • See kasutaja õigus kõigi kasutajate ja arvutite eemaldamine

    3. Põhjust anda kasutajale õiguse

      • Ettevõtte domeenikontrollerid rühma juurdepääsu võrgust arvuti kasutaja õiguse andmist vastab autentimise nõuetele mida aktiivse kataloogi kopeerimine on replikatsiooni vahel domeenikontrollerid sama metsa.

      • Sellel kasutajal õigus võimaldab failide, printerite ja süsteemi teenuste, sealhulgas Active Directory kasutajad ja arvutid.

      • See kasutaja õigus on vajalik kasutajatel meili varasemates versioonides Microsoft Outlook Web Accessi (OWA) abil.

    4. Põhjusi kõrvaldada selle kasutajale õiguse

      • Kasutajad, kes saate luua ühenduse oma arvutite võrku kaugarvutitega, mille jaoks neil on luba ressurssidele juurdepääsu. Näiteks nõutakse selle kasutajale õiguse kasutajal luua ühenduse ühiskasutusega printerid ja kaustad. Kui sellel kasutajal õigus antakse kõik rühma, ja kui mõned ühiskasutusega kaustad on aktsia ja NTFS failisüsteemi lubadest konfigureeritud nii, et sama rühma lugemisõigus, igaüks saab vaadata faile need ühiskasutusega kaustad. Siiski, see on ebatõenäoline olukord värske seadmete Windows Server 2003 vaikimisi aktsia ja NTFS õigused Windows Server 2003 sisaldab rühm kõik. Arvutite jaoks, mis on täiendatud Microsoft Windows NT 4.0 või Windows 2000, see haavatavus võib olla suuremat ohtu, kuna vaike osa ja need opsüsteemid süsteemi failiõigusi ei piira vaikeõigusi s Windows Server 2003.

      • Ei ole kehtiv põhjust ettevõtte domeenikontrollerid rühma eemaldamiseks selle kasutaja õige.

      • Rühm kõik eemaldatakse tavaliselt kasuks autenditud kasutajate rühmale. Kui rühm kõik on eemaldatud, on autenditud kasutajate rühmale tuleb anda selle kasutajale õiguse.

      • Windows NT 4.0 domeenid, mis on täiendatud Windows 2000 ei selgesõnaliselt andma juurdepääsu võrgust arvuti kasutaja rühm kõik, on autenditud kasutajate rühmale või ettevõtte domeenikontrollerid rühma õigus. Seetõttu eemaldamisel kõik rühmas: Windows NT 4.0 domeeni poliitika, Active Directory kopeerimine nurjub tõrketeate "Juurdepääs keelatud" pärast versiooniuuendust Windows 2000. Winnt32.exe Windows Server 2003 väldib see vale konfiguratsioon, võimaldades ettevõtte domeenikontrollerid rühmitada selle kasutajale õiguse versiooniuuenduse installimisel Windows NT 4.0 domeenikontrollerite esmane (PDCs). Anda ettevõtte domeenikontrollerid rühma sellel kasutajal õigus, kui see ei ole Group Policy Object Editor.

    5. Ühilduvusprobleemide näited

      • Windows 2000 ja Windows Server 2003: Järgmiste sektsioonide kopeerimine nurjub "juurdepääs keelatud" teatas järelevalve vahendeid, nagu REPLMON ja REPADMIN ja sündmuste sündmuselogi.

        • Active Directory skeemi sektsioon

        • Konfiguratsiooni sektsiooni

        • Domeen partitsioon

        • Globaalse kataloogi sektsioon

        • Rakenduse sektsioon

      • Kõik Microsofti võrgu operatsioonisüsteemidele: Kasutaja konto autentimine kaugvõrgus kliendi arvutitega nurjub, kui kasutaja või turberühma, mis kasutaja on liige ei ole antud kasutaja õigust.

      • Kõik Microsofti võrgu operatsioonisüsteemidele: Konto autentimine kaugvõrgus klientidelt ei õnnestu üksnes konto või turberühma konto kuulub kasutaja õigus. Sel juhul kehtib Kasutajakontod, arvuti kontod ja teenusekontode.

      • Kõik Microsofti võrgu operatsioonisüsteemidele: Kõigi kontode eemaldamine selle kasutajale õiguse hoiab ära mingil domeeni sisselogimisel või võrgu ressursse. Kui arvutatud rühmadele näiteks ettevõtte domeenikontrollerid, igaüks või autenditud kasutajatel ära tuleb selgesõnaliselt tagada selle kasutajale õiguse kontode või konto on liige juurdepääsu kaugarvutitega üle võrgu turvalisuse rühmad. Sel juhul kehtib kõigi kasutajakontode, kõik arvuti kontod ja kõigile kontodele.

      • Kõik Microsofti võrgu operatsioonisüsteemidele: Kohaliku administraatorikonto kasutab "tühi" parool. Võrgu Ühenduvus tühjad paroolid ei ole lubatud Administraatorikontod domeen keskkond. Selle konfiguratsiooniga ootate saate tõrketeate "Juurdepääs keelatud".

  2. Luba kohalikult

    1. Taust

      Kasutajad, kes üritavad konsooli Windowsipõhisesse arvutisse sisse logida (CTRL + ALT + DELETE klaviatuuri otsetee abil) ja kontod, kes üritavad alustada teenuse peavad olema kohaliku sisselogimise õigused hosting arvutis. Kohaliku sisselogimise tegevuste näited administraatorid, kes konsooli liikmele arvuteid või domeenikontrollerid kogu ettevõtte ja domeeni kasutajad, kes on sisselogimist liige arvutitele juurdepääsu oma töölaudu, kasutades au kontod. Kasutajatele, kes kasutavad kaugtöölaua kliendi või terminaliteenuste peab olema Luba logib end kohalikult kasutaja kohe sihtkoha arvutit, kus töötab Windows 2000 või Windows XP, sest need sisselogimise transpordiliikide peetakse kohaliku hosting arvutisse. Kasutajad, kes on sisselogimist server, et on lubatud Terminal Server ja kes ei ole selle kasutajale õiguse saab veel alustada interaktiivne Kaugseanss Windows Server 2003 domeene kui neil on Luba sisselogimiseks läbi terminaliteenuste kasutaja õige.

    2. Riskantne konfiguratsioonid

      Kahjulike konfiguratsiooni seaded on järgmised:

      • Eemaldamine haldus turvalisuse rühmad, sealhulgas konto Operators, varundusoperaatorite, Prindi ettevõtjate või Server kasutajad, ja sisseehitatud ülematerühma vaikimisi domeenikontrolleri poliitika.

      • Eemaldamine, millel on kasutatud komponentide ja programmide liige arvutid ja vaike domeenikontrolleri poliitikast domeeni domeenikontrollerid.

      • Eemaldades või turberühmade konsooli liikmele arvutite domeeni sisse logida.

      • Eemaldamine, millel kohaliku turvalisuse halduri (SAM) andmebaasis liige arvutite või töörühma arvutid määratletud.

      • Eemaldada mitte-ehitatud-in administraatori kontot, mis on autentiv domeenikontrolleri töötab terminaliteenuste kaudu.

      • Kõigi kasutajakontode paroolid domeeni lisamine otse või kaudselt läbi kõik rühma Deny sisselogimise kohalikult sisselogimise õiguse. Selle konfiguratsiooni takistada kasutajatel logimise edasi viipekeeles liige või ühtegi domeenikontrollerit domeenis.

    3. Põhjust anda kasutajale õiguse

      • Kasutajatel peab olema Luba logib end kohalikult kasutaja õigust tutvuda konsooli või töölaua töörühma arvutis, liige arvuti või domeenikontroller.

      • Kasutajatel peab olema selle kasutajale õiguse üle terminaliteenuste seansi, kus töötab Windows 2000-põhise liige arvutis või domeenikontrolleri sisselogimist.

    4. Põhjusi kõrvaldada selle kasutajale õiguse

      • Tõrge konsooli juurdepääsu piiramiseks tegelikust Kasutajakontod võib põhjustada volitamata kasutajatel allalaadimine ja pahatahtliku koodi käivitamisel muuta oma kasutaja õigusi.

      • Õige Luba logib end kohalikult Kasutaja eemaldamine takistab volitamata sisselogimisi arvutid nagu domeenikontrollerite või rakenduste serverid konsoolis.

      • Sisselogimise õigust eemaldamine takistab domeeni-konsooli liikmele arvutite domeeni sisse logida.

    5. Ühilduvusprobleemide näited

      • Windows 2000 terminal server: Luba logib end kohalikult kasutaja õigus on vajalik kasutajatel Windows 2000 terminaliserverid sisse logida.

      • Windows NT 4.0, Windows 2000, Windows XP või Windows Server 2003: Kasutajakontod tuleb anda selle kasutajale õiguse arvutites, kus töötab Windows NT 4.0, Windows 2000, Windows XP või Windows Server 2003 konsooli sisse logida.

      • Windows NT 4.0 ja uuemad: Arvutites, mis töötavad Windows NT 4.0 ja hiljem, kui lisate Luba logib end kohalikult kasutaja õigus, aga sa otseselt või kaudselt anda ka Deny sisselogimise kohalikult sisselogimise õiguse, kontosid ei saa logida sisse domeeni konsool kontrollerid.

  3. Ära kasuta ristkontrollimist

    1. Taust

      Ära kasuta ristkontrollimist kasutaja õigus võimaldab kasutajal sirvida kaustu NTFS-failisüsteemi või registri kontrollida Läbida kausta juurdepääsu luba. Ära kasuta ristkontrollimist kasutaja õigus ei luba kasutajal loendis kausta sisu. See võimaldab kasutajal läbida üksnes oma kaustad.

    2. Riskantne konfiguratsioonid

      Kahjulike konfiguratsiooni seaded on järgmised:

      • Kõrvaldades haldus kontod, mis on Windows 2000-ga Terminal Services arvutite või Windows Server 2003-ga Terminal Services arvuteid, mis pole õigust pääseda failide ja kaustade faili süsteemi sisse logida.

      • Rühm kõik turvalisuspõhimõtted, kellel on selle kasutaja kohe vaikimisi nimekirjast kustutamist. Windowsi operatsioonisüsteeme ja ka paljud programmid, on välja töötatud eeldada, et igaüks, kes pääsevad õiguspäraselt arvuti on õige ära kasuta ristkontrollimist kasutaja. Seega kõrvaldada kõik turvalisuspõhimõtted, kellel on see õigus vaikimisi loendist grupp võib põhjustada operatsioonisüsteemi ebastabiilsust või programm rike. Parem Jäta see säte on oma default.

    3. Põhjust anda kasutajale õiguse

      Ära kasuta ristkontrollimist kasutajate vaikesätteks on lubada kõigil ära kasuta ristkontrollimist. Kogenud Windowsi süsteemi administraatorid, see on oodatav käitumine ja nad konfigureerida faili süsteemi pääsuloendite (SACLs) vastavalt. Kui vaikekonfiguratsioon võib viia ebaõnnestunud ainult stsenaarium on kui administraator, kes konfigureerib õigust mõista käitumist ja eeldab, et kasutajad, kes ei pääse emakausta ei saa iga laps sisu kaustad.

    4. Põhjusi kõrvaldada selle kasutajale õiguse

      Püüda takistada juurdepääsu failid või kaustad failisüsteemi võib kiusatus organisatsioonidele, kes on väga mures turvalisuse, eemaldage kõik või isegi rühmale kasutajad rühmad, ristkontrollist möödumise kontrollimine loendist kasutaja õigus.

    5. Ühilduvusprobleemide näited

      • Windows 2000, Windows Server 2003: Kui ära kasuta ristkontrollimist kasutaja õige on kõrvaldatud või on valesti konfigureeritud arvutites, kus töötab Windows 2000 või Windows Server 2003, imiteerida rühmapoliitika sätted SYVOL kausta pole domeeni domeenikontrollerid vahel.

      • Windows 2000, Windows XP Professional, Windows Server 2003: Arvutites, kus töötab Windows 2000, Windows XP Professional või Windows Server 2003 kannab logisse teatud sündmusi 1000 ja 1202 ja ei saa rakendada arvuti ja kasutaja poliitika kui nõutavad failisüsteemi õigused eemaldatakse SYSVOL puu kui Bypass traverse kontrollimist kasutaja õige on kõrvaldatud või on valesti konfigureeritud.

        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:

        sündmuse ID 1000, 1001 logitakse iga viie minuti järel rakenduse sündmuselogisse
         

      • Windows 2000, Windows Server 2003: Arvutites, kus töötab Windows 2000 või Windows Server 2003, kaob kvoodi vahekaart Windows Exploreris atribuutide vaatamisel kettadraivile.

      • Windows 2000: Mitte-administraatoritele, kes sisse logida Windows 2000 terminal server võidakse kuvada järgmine tõrketeade:

        Userinit.exe rakenduse viga. Taotlus ebaõnnestus korralikult 0xc0000142 click OK lõpetada app.

      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Kasutajad, kelle arvuti töötab Windows NT 4.0, Windows 2000, Windows XP või Windows Server 2003 võib ei pääse ühiskasutusse antud kaustadele ja failide ühiskasutusse antud kaustadele ja nad võidakse kuvada tõrketeade "Juurdepääs keelatud", kui need on antud on ristkontrollist möödumise kontrollimine kasutajaõigust.


        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:

        "Juurdepääs keelatud" tõrketeade, kui kasutajad proovivad pääseda juurde ühiskasutuses kaustade
         

      • Windows NT 4.0: Windows NT 4.0 põhises arvutis, põhjustab õige ära kasuta ristkontrollimist kasutaja eemaldamise faili koopia tilk faili voogude. Faili kopeerimisel Windowsi kliendi või Macintoshi klient Windows NT 4.0 domeenikontrolleriga, kus töötab teenused Macintoshile eemaldades selle kasutajale õiguse, sihtkohta faili stream on kadunud ja fail kuvatakse ainult teksti faili.

      • Microsoft Windows 95, Microsoft Windows 98: Kliendi arvutis, kus töötab Windows 95 või Windows 98, siis net kasutamine * / home käsk nurjub tõrketeate "Juurdepääs keelatud", kui on autenditud kasutajate rühmale ei anta ära kasuta ristkontrollimist kasutaja õigust.

      • Outlook Web Accessi: Mitte-administraatoritele ei saa Microsoft Outlook Web Accessi sisse logida ja nad saavad tõrketeate "Juurdepääs keelatud", kui neile antakse ära kasuta ristkontrollimist kasutaja õigust.

Turbesätted

Järgmine loend näitab turvasätet ja pesastatud loendi kirjeldatakse turvalisuse seadistamise kohta, määrab konfiguratsioonisätted, mis võib tekitada probleeme, kirjeldab, miks tuleb rakendada turvalisuse seadmine ja siis kirjeldatakse põhjuseid, miks võite eemaldada turvalisuse sätted. Pesastatud loendi annab siis sümboolne nimi turvalisuse seadmine ja turvalisuse sätted registri tee. Lõpetuseks näited on olemas ühilduvuse probleeme, mis võivad ilmneda, kui turvalisuse säte on konfigureeritud.

  1. Audit: Sulgeda süsteemi kohe kui ei saa sisse logida turvakontrollide

    1. Taust

      • Selle Audit: sulgeda süsteemi kohe kui ei saa sisse logida turvakontrollide seadistus määrab, kas süsteem sulgub kui ei saa sisse logida turvalisus üritused. See seade on nõutav usaldusväärse arvuti turvalisuse hindamise kriteeriumid (TCSEC) programmi C2 hindamise ja infotehnoloogia turvalisuse hindamise vältimiseks auditeeritavad sündmused kui auditi süsteemi ei saa sisse logida nende sündmuste ühised kriteeriumid. Auditeerimispoliitika süsteemi nurjumisel süsteem sulgub ja kuvatakse stopp-tõrketeade.

      • Kui arvuti ei salvestada sündmusi turvalogi, kriitiline tõend või oluline tõrkeotsinguteavet ei tohi kättesaadavaks pärast turvalisuse juhtum.

    2. Riskantne konfiguratsioon

      Järgmine on kahjulike konfiguratsiooni säte: The Audit: sulgeda süsteemi kohe kui ei saa sisse logida turvakontrollide säte on sisse lülitatud ja Turvalogisse sündmus suurus piirab selle ei kirjuta üritused (Tühjenda Logi käsitsi) , ülekirjutamine sündmused nagu vaja võimalust, Ülekirjutamine sündmused üle number päeva suvand või Event Viewer. Arvutites, kus töötab Windows 2000, Windows 2000 Service Pack 1 (SP1), Windows 2000 hoolduspaketi SP2 või Windows 2000 SP3 algselt avaldatud versioonis oht teavet leiate jaotisest "Ühilduvusprobleemide näited".

    3. Põhjustel lubada selle seadmine

      Kui arvuti ei salvestada sündmusi turvalogi, kriitiline tõend või oluline tõrkeotsinguteavet ei tohi kättesaadavaks pärast turvalisuse juhtum.

    4. Keelake see säte põhjused

      • Lubamine on auditi: sulgeda süsteemi kohe kui ei saa sisse logida turvakontrollide säte peatab süsteemi turvalisuse audit ei ole sisse loginud mingil põhjusel. Tavaliselt ei saa sündmus logitakse, kui auditi turvalogi on täis ja kuna tema määratud säilituspoliitika meetod on kas kirjuta üritused (Tühjenda Logi käsitsi) variant või Ülekirjutamine sündmused üle päeva number .

      • Halduskoormust ning võimaldada selle Audit: sulgeda süsteemi kohe kui ei saa sisse logida turvakontrollide säte võib olla väga kõrge, eriti siis, kui lülitate ka turvalogi kirjuta üritused (Tühjenda Logi käsitsi) variant. See säte näeb ette üksikute vastutuse operaatori tegevused. Näiteks administraator võib lähtestada kõik kasutajad, arvutid ja rühmad mõne organisatsiooniüksusele (OU) kui auditeerimine oli lubatud kasutada sisseehitatud administraatori konto või muud jagatud ja keelate seejärel reset nagu õigused. Siiski võimaldab säte vähendada süsteemi töökindluse sest server olla sunnitud sulgeda kahjustavad, sisselogimise sündmused ja teiste turvalisuse sündmused turvalisuse logisse kirjutada. Lisaks sest seiskamise pehme, võib põhjustada pöördumatu kahju operatsioonisüsteemi, programmide või andmed. Samal ajal, et faili süsteemi terviklikkus säilib ungraceful süsteemi sulgemise ajal tagab NTFS, ei saa tagada, et iga andmefaili iga programmiga ikkagi kasutusvalmis kui süsteem taaskäivitub.

    5. Sümboolne nimi:

      CrashOnAuditFail

    6. Registri tee:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

    7. Ühilduvusprobleemide näited

      • Windows 2000: Vea, arvutites, kus töötab Windows 2000, Windows 2000 hoolduspaketti SP1, Windows 2000 hoolduspaketi SP2 või Windows Server SP3 algselt avaldatud versioonis võib lõpetada logimise sündmused enne suurus, mis on määratud suvandis Logi maksimummaht turvalisus sündmuste logi on saavutatud. Selle probleemi lahendamiseni Windows 2000 Service Pack 4 (SP4). Veenduge, et Windows 2000 domeenikontrolleritesse on Windows 2000 Service Pack 4 installitud enne, kui arvate, et selle sätte lubamine.

        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:

        sündmuste logi peatub logib sündmusi enne jõudmist maksimaalne logifaili suurus
         

      • Windows 2000, Windows Server 2003: Kui taaskäivitage arvutit, kus töötab Windows 2000 või Windows Server 2003 lõpetada reageerimise ja siis võib ise selle Audit: sulgeda süsteemi kohe kui ei saa sisse logida turvakontrollide säte on sisse lülitatud, turvalogi on täis ja olemasoleva sündmuse logikirje sisu ei saa muuta. Arvuti taaskäivitamisel kuvatakse järgmine stopp-tõrketeade:

        PEATUS: C0000244 {auditi tõrge}
        Loomise katse nurjus.

        Taastada, administraator peab logige Arhiiv (valikuline) turvalogi, tühjendage turvalogi ning seejärel lähtestage antud suvand (valikuline ja vastavalt vajadusele).

      • Microsoft Network Client for MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Mitte-administraatoritele, kes domeeni sisselogimisel kuvatakse järgmine tõrketeade:

        Teie konto on konfigureeritud takistada teil selles arvutis. Palun proovige teist arvutit.

      • Windows 2000: Windows 2000 põhises arvutis, mitte administraatoritel ei saa logida kaugjuurdepääsu serverites ja kuvatakse tõrketeade, mis sarnaneb järgmisega:

        Tundmatu kasutaja või vale parool

        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:

        tõrketeade: konto on konfigureeritud takistada teil selles arvutis
         

      • Windows 2000: Windows 2000 domeenikontrolleritesse Intersite Messaging service (Ismserv.exe) peatub ja ei saa taaskäivitada. DCDIAG Raport viga nagu "nurjunud katse teenuste ISMserv" ja event ID 1083 on registreeritud sündmuste logi.

      • Windows 2000: Windows 2000 domeenikontrollerid Active Directory tiražeerimine nurjub ja kuvatakse tõrketeade "Access Denied" kui sündmus turvalogi on täis.

      • Microsoft Exchange 2000: Serverites, kus töötab Exchange 2000 ei saa paigaldada poe andmebaas ja üritus 2102 registreeritud sündmuste logi.

      • Outlook, Outlook Web Accessi: Mitte-administraatoritele ei saa juurdepääsu oma e-posti Microsoft Outlooki või Microsoft Outlook Web Accessi kaudu ning nad saavad 503 viga.

  2. Domeenikontroller: LDAP server allkirja nõuded

    1. Taust

      Selle domeenikontroller: LDAP server allkirja nõuded turvalisuse säte määratleb, kas Lightweight Directory Access Protocoli (LDAP) server nõuab LDAP klientidega läbirääkimisi andmete allkirjastamine. See poliitikasäte võimalikud väärtused on järgmised:

      • Puudub: Andmete allkirjastamine on kohustatud serveriga siduda. Kui klient taotleb andmete allkirjastamine, server seda toetab.

      • Nõuab sisselogimist: LDAP andmete allkirjastamine valik peab läbirääkimisi, kui Transport Layer Security/Secure Socket Layer (TLS/SSL) kasutab.

      • pole määratletud: See säte on lubatud või keelatud.

    2. Riskantne konfiguratsioonid

      Kahjulike konfiguratsiooni seaded on järgmised:

      • Võimaldades nõuavad allkirjastamine keskkondades kui kliente toetada LDAP allkirjastamine või kus kliendipoolse LDAP allkirjastamine ei ole lubatud kliendi

      • Rakendades Windows 2000 või Windows Server 2003 Hisecdc.inf turvalisuse Mall keskkondi kui kliente toetada LDAP allkirjastamine või kus kliendipoolse LDAP allkirjastamine ei ole lubatud

      • Rakendades Windows 2000 või Windows Server 2003 Hisecws.inf turvalisuse Mall keskkondi kui kliente toetada LDAP allkirjastamine või kus kliendipoolse LDAP allkirjastamine ei ole lubatud

    3. Põhjustel lubada selle seadmine

      Allkirjastamata võrguliikluse toimivus man-in-the-middle rünnakute kui sissetungija jäädvustatakse paketid kliendi ja serveri vahel, muudab paketid ja edastab need serverisse. Sellise käitumise ilmnemisel LDAP serveri ründaja võib põhjustada server teha otsuseid, mis põhinevad vale päringutele LDAP kliendi. Seda ohtu ettevõtte võrgus võivad vähendada, rakendades tugev füüsilised turvameetmed võrgu infrastruktuuri kaitsmiseks. Internet Protocol security (IPSec) päise autentimisrežiim aitab vältida man-in-the-middle rünnakuid. Päise autentimisrežiim teeb vastastikuse autentimine ja pakettaknad terviklikkuse IP liikluse.

    4. Keelake see säte põhjused

      • Kliente, mis toetavad LDAP allkirjastamine ei saa teostada LDAP päringuid domeenikontrollerid ja vastu ülemaailmse kataloogid kui NTLM-autentimine üle ja kui õige hoolduspaketid on installitud Windows 2000 domeenikontrolleritesse.

      • Võrgu jälgi LDAP liiklust klientide ja serverite vaheline krüptitud. See keeruline uurida LDAP vestlused.

      • Windows 2000 põhiste serveritega peab olema Windows 2000 Service Pack 3 (SP3) või paigaldatud, kui nad on manustada programmid toe LDAP allkirjastamine mis kestab Windows 2000 SP4, Windows XP või Windows Server 2003 kliendi arvutitega. Kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:

        Windows 2000 domeenikontrollerid nõuab Service Pack 3 või uuem versioon, Windows Server 2003 halduse tööriistade kasutamisel
         

    5. Sümboolne nimi:

      LDAPServerIntegrity

    6. Registri tee:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

    7. Ühilduvusprobleemide näited

      • Lihtne seondub ei õnnestu ja kuvatakse järgmine tõrketeade:

        Ldap_simple_bind_s() nurjus: nõutav on tugev autentimine.

      • Windows 2000 hoolduspakett 4, Windows XP, Windows Server 2003: Klientide, kus töötab Windows 2000 SP4, Windows XP või Windows Server 2003, mõned Active Directory haldamise tööriistad ei toimi õigesti vastu domeenikontrollerid, kus töötab Windows 2000, mis on vanemad kui SP3 versiooni kui NTLM-i autentimine üle.

        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:

        Windows 2000 domeenikontrollerid nõuab Service Pack 3 või uuem versioon, Windows Server 2003 halduse tööriistade kasutamisel
         

      • Windows 2000 hoolduspakett 4, Windows XP, Windows Server 2003: Klientide, kus töötab Windows 2000 SP4, Windows XP või Windows Server 2003, mõned Active Directory haldamise tööriistad suunatud domeenikontrollerid, kus töötab Windows 2000 versioonid, mis on vanemad kui SP3 ei tööta õigesti, kui need on kasutades IP-aadressid (nt "dsa.msc /server =x.x.x.x" kui
        x.x.x.x on IP-aadress).


        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:

        Windows 2000 domeenikontrollerid nõuab Service Pack 3 või uuem versioon, Windows Server 2003 halduse tööriistade kasutamisel
         

      • Windows 2000 hoolduspakett 4, Windows XP, Windows Server 2003: Klientide, kus töötab Windows 2000 SP4, Windows XP või Windows Server 2003, mõned Active Directory haldamise tööriistad suunatud domeenikontrollerid, kus töötab Windows 2000 versioonid, mis on vanemad kui SP3 ei tööta õigesti.

        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:

        Windows 2000 domeenikontrollerid nõuab Service Pack 3 või uuem versioon, Windows Server 2003 halduse tööriistade kasutamisel
         

  3. Domeeni liige: nõuavad strong (Windows 2000 või uuem versioon) seansivõti

    1. Taust

      • Selle domeeni liige: nõuavad strong (Windows 2000 või uuem versioon) seansivõti säte määratleb, kas turvalise kanali võimalik kindlaks domeenikontrollerit, mis ei saa krüptida Turvakanali liikluse tugev, 128-bitist seansivõti. Selle sätte lubamisel ei saa luua turvalise kanali ühtegi domeenikontrollerit, millest ei saa krüptida turvalise kanali andmed tugeva võtmega. Selle sätte keelamisel saavad 64-bit seansi võtmed.

      • Enne selle sätte liige tööjaam või server lubamiseks tuleb liikmele kuulub domeeni kõigi domeenikontrollerite Turvakanali andmete krüptimine tugev, 128-bitist võtit. See tähendab, et kõigi domeenikontrollerite peab olema Windows 2000 või uuema versiooni.

    2. Riskantne konfiguratsioon

      Lubamine on domeeni liige: nõuavad strong (Windows 2000 või uuem versioon) seansivõti on kahjulik konfigureerimissäte.

    3. Põhjustel lubada selle seadmine

      • Luua turvaline kanal suhtluseks liige arvutid ja domeenikontrollerid kasutatud seansi võtmed on palju kiirem opsüsteemis Windows 2000, kui nad on varasemates versioonides Microsoft operatsioonisüsteemid.

      • Kui see on võimalik, on mõistlik ära nende tugevama seansi klahvide kaitsmiseks turvalise kanali side pealtkuulamist ja seansi ärandamine võrgu rünnakud. Eavesdropping on pahatahtliku rünnaku tagajärjel kui võrgu andmete täpne lugemine või teel muudetud kujul. Andmeid saab muuta, peita või muuta saatja või uuesti seda.

      NB! Arvutis, kus töötab Windows Server 2008 R2 või Windows 7 toetab ainult tugev võtmed turvaliste kanalite kasutamisel. See piirang takistab mis tahes Windows NT 4.0 põhises domeeni ja kõik Windows Server 2008 R2-põhiste domeenikontrollerite vahelise usalduse. Lisaks see piirang blokeerib arvuteid, kus töötab Windows 7 või Windows Server 2008 R2, Windows NT 4.0 põhises domeeni liikmeks ja vastupidi.

    4. Keelake see säte põhjused

      Domeen sisaldab liige arvutit, kus töötab operatsioonisüsteemidega Windows 2000, Windows XP või Windows Server 2003.

    5. Sümboolne nimi:

      StrongKey

    6. Registri tee:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

    7. Ühilduvusprobleemide näited

      Windows NT 4.0: Windows NT 4.0 põhises arvutis, turvaliste kanalite usaldusfondi suhteid Windows NT 4.0 ja Windows 2000 domeenide Nltest lähtestamine nurjub. Kuvatakse tõrketeade "Juurdepääs keelatud":

      Esmase domeeni ja usaldusväärse domeeni usaldussuhe nurjus.

      Windows 7 ja Server 2008 R2: Windows 7 ja uuemate versioonide ja Windows Server 2008 R2 ja uuemad versioonid, see säte on au enam ja tugev võtit kasutatakse alati. Sellepärast, Windows NT 4.0 domeenid usaldusi ei tööta enam.

  4. Domeeni liige: digitaalselt krüptida või logige turvalise kanali andmed (alati)

    1. Taust

      • Lubamine domeeni liige: digitaalselt krüptida või logige turvalise kanali andmed (alati) takistab luua turvalise kanali ühtegi domeenikontrollerit, mida ei saa logida või krüptida kõik turvalise kanali andmed. Kaitsta autentimise liikluse man-in-Lähis rünnakud, kordusründed ja muud liiki võrgu rünnakud, looge Windowsi-põhistes arvutites sidekanal, mis on tuntud kui turvalise kanali kaudu teenus Net Logon autentimiseks arvuti kontod. Turvalist kanalit kasutatakse ka ühe domeeni kasutaja ühendub võrku ressursi serveri domeeni. Selles multi-domain autentimist või läbiv autentimistvõimaldab Windowsi-põhises arvutis, mis on ühendatud domeeni on juurdepääs kasutaja konto andmebaasi oma domeeni ja usaldusväärse domeeni.

      • Et lubada selle domeeni liige: digitaalselt krüptida või logige turvalise kanali andmed (alati) liige arvuti seadmine liige kuulub domeeni kõigi domeenikontrollerite peab olema võimalik Logi või krüptida kõik turvalise kanali andmed. See tähendab, et kõigi domeenikontrollerite peab töötab Windows NT 4.0 koos Service Pack 6a (SP6a) või uuem versioon.

      • Lubamine on domeeni liige: digitaalselt krüptida või logige turvalise kanali andmed (alati) seade automaatselt võimaldab selle domeeni liige: digitaalselt krüptida või logige turvalise kanali andmed (kui võimalik) säte.

    2. Riskantne konfiguratsioon

      Lubamine on domeeni liige: digitaalselt krüptida või logige turvalise kanali andmed (alati) valdkondades kus kõik domeenikontrollerid allkirjastamiseks või krüptimiseks turvalise kanali andmed on kahjulik konfigureerimissäte.

    3. Põhjustel lubada selle seadmine

      Allkirjastamata võrguliikluse toimivus man-in-Lähis rünnakud, mille sissetungija jäädvustatakse paketid kliendi ja serveri vahel ja seejärel muudab neid enne edastamine kliendile. Sellise käitumise ilmnemisel Lightweight Directory Access Protocoli (LDAP) serveris sissetungija võib põhjustada teha otsuseid, mis põhinevad valesid kirjeid kataloogist LDAP kliendi. Võite vähendada ettevõtte võrgus rünnaku oht, rakendades tugev füüsilised turvameetmed võrgu infrastruktuuri kaitsmiseks. Lisaks Internet Protocol security (IPSec) rakendamise päise autentimisrežiim aitab vältida man-in-Lähis rünnakute eest. Režiim teaostab vastastikuse autentimine ja pakettaknad terviklikkuse IP liikluse.

    4. Keelake see säte põhjused

      • Kohaliku või välise domeeni arvutitele toetavad krüpteeritud turvalist kanalit.

      • Kõik domeeni domeenikontrollerid on asjakohane pack läbivaatamise taset toetada krüpteeritud turvalist kanalit.

    5. Sümboolne nimi:

      StrongKey

    6. Registri tee:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

    7. Ühilduvusprobleemide näited

      • Windows NT 4.0: Windows 2000-ga liige arvutid ei saa liituda Windows NT 4.0 domeenid ja kuvatakse järgmine tõrketeade:

        See konto ei ole lubatud sisse logida selle station.

        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:

        tõrketeade: konto on õigus sellest jaamast sisselogimine
         

      • Windows NT 4.0: Windows NT 4.0 domeenid ei saa luua tasandi usalduse Windows 2000 domeeni ja kuvatakse järgmine tõrketeade:

        See konto ei ole lubatud sisse logida selle station.

        Olemasolevate tasandi trusts võib ka ei autentida kasutajat usaldusväärsest domeenist. Mõned kasutajad võivad olla probleemid domeeni sisselogimisel ja need võidakse kuvada tõrketeade, mis ütleb, et klient ei leia domeenis.

      • Windows XP: Windows XP kliendid, Windows NT 4.0 domeenid liidetud ei saa autentida nurjunud sisselogimiskatsed ja võidakse kuvada järgmine tõrketeade või järgmiste sündmuste võib registreerida sündmuste logi:

        Windows ei saa ühendust domeeni, kuna domeenikontroller on maas või pole saadaval või teie arvuti kontot ei leitud

      • Microsoft Network: Microsoft Networki kliente kuvada üks järgmistest tõrketeadetest:

        Sisselogimistõrge: Tundmatu kasutajanimi või vale parool.

        Ei ole kasutaja seansi võti määratud sisselogimise seansiga.

  5. Microsoft network client: digitaalselt allkirjastama side (alati)

    1. Taust

      Server sõnum Block (SMB) on ressursside jagamise protokoll, mis toetab paljusid Microsofti operatsioonisüsteemide. See on aluseks basic input/output süsteem (NetBIOS) ja paljusid teisi protokolle. SMB-allkirjastamise kontrollib kasutaja ja server, mis korraldab andmed. Kui kummalgi kerimisvälja nurjub autentimine protsess andmete edastamist ei toimu.

      Mis võimaldab SMB allkirjastamine hakkab SMB protokolli läbirääkimiste ajal. SMB-allkirjastamise poliitika määratleda, kas arvutisse logib alati digitaalselt kliendiside.

      Windows 2000 SMB autentimisprotokolli toetab vastastikuse autentimist. Vastastikuse autentimise sulgub "man-in-the-middle" rünnak. Windows 2000 SMB autentimisprotokolli toetab ka sõnumi autentimist. Sõnumi autentimine aitab vältida aktiivse teate rünnakuid. Teile seda autentimist, paneb SMB allkirja digitaalallkiri iga SMB. Digitaalallkirja kontrollimine klient ja server.

      Kasutada SMB allkirjastamine, tuleb lubada SMB-allkirjastamise või nõuda SMB allkirjastamine, SMB klient ja SMB serveri. Kui SMB-allkirjastamise on sisse lülitatud server, kliendid, kes on lubatud ka SMB allkirjastamine Kasuta protokolli allkirjastamise ajal kõigi edaspidiste seansside paketi. Kui SMB allkirjastamiseks on vaja server, klient ei saa luua seanssi kui kliendil on lubatud või SMB allkirjastamiseks.


      Digitaalne allkirjastamine kõrge turbetasemega võrgud lubamine aitab vältida isikustamise klientide ja serverite. Selline isikustamine on tuntud seansi ärandamine. Ründaja, kes pääseb samasse võrku klient või server kasutab istungi ärandamine tööriistad katkestada, lõpetada või varastamiseks seansi pooleli. Ründaja võiks peatada ja muuta allkirjastamata SMB paketid, muuta liiklust ja seejärel edastab selle nii, et server võib sooritada soovimatuid toiminguid. Või ründaja võiks kujutada server või klient tegelikust autentimise pärast ja siis saada volitamata juurdepääsu andmetele.

      SMB-protokolli, mida kasutatakse failide ühiskasutus ja printeri ühiskasutus arvutites, kus töötab Windows 2000 Serveri, Windows 2000 Professional, Windows XP Professional või Windows Server 2003 toetab vastastikuse autentimist. Vastastikuse autentimine lõpetab istungi ärandamine rünnakute ja toetab sõnumi autentimist. Seetõttu takistab man-in-Lähis rünnakute eest. SMB allkirjastamine pakub seda autentimist digitaalallkirja pannes igas SMB. Klient ja server siis kontrollimiseks allkiri.

      Märkused

      • Kui alternatiivsed vastumeetmete saate lubada digitaalallkirjade IPSec kaitsmiseks kogu võrguliiklust. On olemas riistvara põhist kiirendid IPSec krüpteerimine ja allkirjastamine täitmise minimeerida serveri CPU kasutavate. Ei ole SMB allkirjastamiseks saadaolevaid kiirendeid.

        Lisateabe saamiseks vt peatüki Microsofti MSDN veebisaiti.

        Konfigureerige SMB-allkirjastamise kaudu Group Policy Object Editor sest muutus kohalike registriväärtust ei avalda mingit mõju juhul, kui peamine domeeni poliitika.

      • Windows 95, Windows 98 ja Windows 98 Second Edition, Directory Services Client kasutab SMB allkirjastamine kui ta kontrollib Windows Server 2003 serverile NTLM-autentimist kasutades. Kuid need kliendid kasutada SMB allkirjastamine kui nad Sisenen nende serverite NTLMv2 autentimise abil. Lisaks vastab Windows 2000 Server SMB allkirjastamine nende klientide päringutele. Lisateabe saamiseks vt punkt 10: "Network security: Lan Manageri autentimist tasemel."

    2. Riskantne konfiguratsioon

      Järgmine on kahjulike konfiguratsiooni säte: nii selle Microsoft network client: digitaalselt allkirjastama side (alati) säte ja Microsoft network client: digitaalselt allkirjastama side (kui server on nõus) säte " Pole määratletud"või keelatud. Need sätted lubavad ümbersuunaja lihtteksti paroolide saatmiseks Microsoft SMB serverid, mis ei toeta parooli krüptimine autentimisel.

    3. Põhjustel lubada selle seadmine

      Lubamine Microsoft network client: digitaalselt allkirjastama side (alati) nõuab klientidega allkirjastamiseks SMB liikluse serverid, mida ei pea SMB-allkirjastamise võtmisel. See muudab klientidele vähem haavatavaks seansi ärandamine rünnakute eest.

    4. Keelake see säte põhjused

      • Lubamine Microsoft network client: digitaalselt allkirjastama side (alati) takistab klientidega suhtlemisel target serverid, mis toetavad SMB allkirjastamine.

      • Seadistamine arvutite ignoreerida kõik allkirjastamata SMB side takistab varasemate programmide ja opsüsteemide ühenduse loomine.

    5. Sümboolne nimi:

      RequireSMBSignRdr

    6. Registri tee:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

    7. Ühilduvusprobleemide näited

      • Windows NT 4.0: Te ei saa lähtestada domeeniga Windows Server 2003 ja Windows NT 4.0 domeeni vahelise usalduse turvalise kanali abil NLTEST või NETDOM ja saate tõrketeate "Juurdepääs keelatud".

      • Windows XP: Kopeerimise faile Windows XP kliendid Windows 2000 põhiste serveritega ja Windows Server 2003 põhine server võib kuluda rohkem aega.

      • Te ei saa võrgudraivi kliendi see säte on lubatud, ja kuvatakse järgmine tõrketeade:

        See konto ei ole lubatud sisse logida selle station.

    8. Taaskäivitamise nõuded

      Taaskäivitage arvuti või tööjaama teenust uuesti käivitada. Selleks tippige käsuviibale järgmised käsud. Pärast iga käsu tippimist vajutage sisestusklahvi Enter.

      net stop tööjaam
      net start tööjaam

  6. Microsoft network server: digitaalallkirjastamine side (alati)

    1. Taust

      • Serveri Messengeri Block (SMB) on ressursside jagamise protokoll, mis toetab paljusid Microsofti operatsioonisüsteemide. See on aluseks basic input/output süsteem (NetBIOS) ja paljusid teisi protokolle. SMB-allkirjastamise kontrollib kasutaja ja server, mis korraldab andmed. Kui kummalgi kerimisvälja nurjub autentimine protsess andmete edastamist ei toimu.

        Mis võimaldab SMB allkirjastamine hakkab SMB protokolli läbirääkimiste ajal. SMB-allkirjastamise poliitika määratleda, kas arvutisse logib alati digitaalselt kliendiside.

        Windows 2000 SMB autentimisprotokolli toetab vastastikuse autentimist. Vastastikuse autentimise sulgub "man-in-the-middle" rünnak. Windows 2000 SMB autentimisprotokolli toetab ka sõnumi autentimist. Sõnumi autentimine aitab vältida aktiivse teate rünnakuid. Teile seda autentimist, paneb SMB allkirja digitaalallkiri iga SMB. Digitaalallkirja kontrollimine klient ja server.

        Kasutada SMB allkirjastamine, tuleb lubada SMB-allkirjastamise või nõuda SMB allkirjastamine, SMB klient ja SMB serveri. Kui SMB-allkirjastamise on sisse lülitatud server, kliendid, kes on lubatud ka SMB allkirjastamine Kasuta protokolli allkirjastamise ajal kõigi edaspidiste seansside paketi. Kui SMB allkirjastamiseks on vaja server, klient ei saa luua seanssi kui kliendil on lubatud või SMB allkirjastamiseks.


        Digitaalne allkirjastamine kõrge turbetasemega võrgud lubamine aitab vältida isikustamise klientide ja serverite. Selline isikustamine on tuntud seansi ärandamine. Ründaja, kes pääseb samasse võrku klient või server kasutab istungi ärandamine tööriistad katkestada, lõpetada või varastamiseks seansi pooleli. Ründaja võiks peatada ja muuta allkirjastamata alamvõrgu Bandwidth Manager (SBM) paketid, muuta liiklust ja seejärel edastab selle nii, et server võib sooritada soovimatuid toiminguid. Või ründaja võiks kujutada server või klient tegelikust autentimise pärast ja siis saada volitamata juurdepääsu andmetele.

        SMB-protokolli, mida kasutatakse failide ühiskasutus ja printeri ühiskasutus arvutites, kus töötab Windows 2000 Serveri, Windows 2000 Professional, Windows XP Professional või Windows Server 2003 toetab vastastikuse autentimist. Vastastikuse autentimine lõpetab istungi ärandamine rünnakute ja toetab sõnumi autentimist. Seetõttu takistab man-in-Lähis rünnakute eest. SMB allkirjastamine pakub seda autentimist digitaalallkirja pannes igas SMB. Klient ja server siis kontrollimiseks allkiri.

      • Kui alternatiivsed vastumeetmete saate lubada digitaalallkirjade IPSec kaitsmiseks kogu võrguliiklust. On olemas riistvara põhist kiirendid IPSec krüpteerimine ja allkirjastamine täitmise minimeerida serveri CPU kasutavate. Ei ole SMB allkirjastamiseks saadaolevaid kiirendeid.

      • Windows 95, Windows 98 ja Windows 98 Second Edition, Directory Services Client kasutab SMB allkirjastamine kui ta kontrollib Windows Server 2003 serverile NTLM-autentimist kasutades. Kuid need kliendid kasutada SMB allkirjastamine kui nad Sisenen nende serverite NTLMv2 autentimise abil. Lisaks vastab Windows 2000 Server SMB allkirjastamine nende klientide päringutele. Lisateabe saamiseks vt punkt 10: "Network security: Lan Manageri autentimist tasemel."

    2. Riskantne konfiguratsioon

      Järgmine on kahjulike konfiguratsiooni säte: lubamine on Microsoft network server: digitaalselt allkirjastama side (alati) serverid ja domeenikontrollerid, mis ei ole Windowsi-põhistes arvutites ja muu juurde operatsioonisüsteem-ga töötava kliendiga kohaliku või välise domeeni arvutitele.

    3. Põhjustel lubada selle seadmine

      • Kõik klientarvutid, lubage see säte otseselt registri või rühmapoliitika sätte kaudu toetada SMB allkirjastamine. Teiste sõnadega, on see säte on lubatud kõik klientarvutid töötavad kas Windows 95 DS klient installitud, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional või Windows Server 2003.

      • Kui Microsoft network server: digitaalallkirjastamine side (alati) on keelatud, SMB allkirjastamine on täielikult keelatud. Täiesti keelata kõik SMB allkirjastamine jätab arvutite seansi ärandamine rünnakute suhtes haavatavamaks.

    4. Keelake see säte põhjused

      • Selle sätte lubamine võib põhjustada aeglasem faili koopia ja võrgu jõudlust kliendi arvutitega.

      • Selle sätte lubamine takistab kliendid, kes ei saa pidada läbirääkimisi SMB edastamast serverid ja domeenikontrollerid allkirjastamine. See põhjustab nagu domeeni liitub, kasutaja ja arvuti autentimine või võrgule juurdepääsu programmid ebaõnnestuda.

    5. Sümboolne nimi:

      RequireSMBSignServer

    6. Registri tee:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

    7. Ühilduvusprobleemide näited

      • Windows 95: Windows 95 klientidele, mis on paigaldatud Directory Services (DS) kliendi sisselogimisel autentimine nurjub ja kuvatakse järgmine tõrketeade:

        Sisestasite domeeni parool on vale või juurdepääs serverisse sisselogimine keelatud.

        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:

        tõrketeade Windows Server 2003 domeenis logib Windows 95 või Windows NT 4.0 klient
         

      • Windows NT 4.0: Kliendi arvutites, kus töötab Windows NT 4.0 versiooni, mis on vanemad kui Service Pack 3 (SP3) sisselogimisel autentimine nurjub ja kuvatakse järgmine tõrketeade:

        Süsteem ei saanud teid sisse logida. Veenduge, et teie kasutajanimi ja domeen on õiged, siis tippige parool uuesti.

        Mõned Microsoft SMB serverid toetavad ainult krüptimata parooli vahetust autentimisel. (Neid vahetus tuntud ka kui "plain text" vahetus.) Windows NT 4.0 hoolduspaketi SP3 ja uuemad versioonid SMB ümbersuunaja ei saada krüptimata parooli autentimisel SMB serveri kui lisate konkreetsete registrikirjet.
        SMB klient Windows NT 4.0 SP 3 ja uuemad süsteemid krüptimata paroole lubamiseks muutke registrit järgmiselt: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters

        Väärtuse nimi: EnablePlainTextPassword

        Andmetüüp: REG_DWORD

        Andmed: 1


        Seostuva teema kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:

        tõrketeade: 1240 ilmnes süsteemitõrge. See kaugusel sisselogimine pole õigust konto.

      • Windows Server 2003: Vaikimisi on konfigureeritud turvalisuse sätteid domeenikontrollerid, mis töötavad Windows Server 2003 vältimiseks domeeni kontrolleri sidet kinni või pahatahtlike omavoliliselt. Kasutajatele domeenikontroller, mis töötab Windows Server 2003 edukalt suhelda, tuleb klientarvutid kasutavad rakendust nii SMB-allkirjastamise ja krüptimise või turvalise kanali liikluse allkirjastamine. Vaikimisi, kliendid, mis töötavad Windows NT 4.0 hoolduspaketi Service Pack 2 (SP2) või varem paigaldatud ja kliente, mis töötavad Windows 95 ei pea SMB paketi allkirjastamine lubatud. Seetõttu need kliendid ei pruugi autentimiseks Windows Server 2003-l põhinevat domeenikontrollerit.

      • Windows 2000 ja Windows Server 2003 poliitikasätted: Sõltuvalt teie konkreetse installi vajadustele ja konfiguratsiooni, soovitame määrata järgmised poliitikasätted kell vajaliku ulatuse hierarhia Microsoft Management Console Rühmapoliitika redaktori lisandmooduli väikseim üksus:

        • Arvuti Configuration\Windows Settings\Security turvasuvandid

        • Saada krüptimata parooli muu SMB serveritega ühenduse loomiseks (see säte on Windows 2000)

        • Microsoft network client: saada krüptimata parooli muu SMB serverid (see säte on Windows Server 2003)


        Märkus. Mõne muu CIFS serverite, nagu Samba vanemad versioonid ei saa kasutada krüpteeritud paroole.

      • Järgmised kliendid ei ühildu selle Microsoft network server: digitaalselt allkirjastama side (alati) säte:

        • Apple Computer, Inc. Mac OS X kliendid

        • Microsoft MS-DOS võrgu klientidele (nt Microsoft LAN Manager)

        • Microsoft Windows for Workgroups kliendid

        • Microsoft Windows 95 klientidele ilma DS kliendi installimist

        • Microsoft Windows NT 4.0 põhises arvutis ilma SP3 või uuem versioon on installitud

        • Novell Netware 6 CIFS klientidele

        • SAMBA SMB Kliendid, kes ei pea SMB-allkirjastamise tugi

    8. Taaskäivitamise nõuded

      Taaskäivitage arvuti või käivitage teenus Server. Selleks tippige käsuviibale järgmised käsud. Pärast iga käsu tippimist vajutage sisestusklahvi Enter.

      net stop server
      net start server

  7. Võrgu kasutamine: luba anonüümseid SID/nime tõlkimine

    1. Taust

      Selle võrgu kasutamine: luba anonüümseid SID/nime tõlkimine turvalisuse säte määratleb, kas Anonüümne kasutaja saab taotleda turvalisuse ID numbri (SID) atribuute teisele kasutajale.

    2. Riskantne konfiguratsioon

      Lubamine on võrgu kasutamine: luba anonüümseid SID/nime tõlkimine on kahjulik konfigureerimissäte.

    3. Põhjustel lubada selle seadmine

      Kui see võrgu kasutamine: luba anonüümseid SID/nime tõlkimine säte on keelatud või varasemad operatsioonisüsteemid või rakendused ei saa suhelda Windows Server 2003 domeenid. Näiteks ei pruugi järgmised operatsioonisüsteemid, teenused või rakendused:

      • Windows NT 4.0 põhises Remote Access Service serverid

      • Microsoft SQL Server, mis töötavad Windows NT 3.x-põhistes arvutites või Windows NT 4.0 põhises arvutis

      • Remote Access Service, kus töötab Windows 2000-põhistes arvutites, mis asuvad Windows NT 3.x domeenid või Windows NT 4.0 domeenid

      • SQL-i Server, kus töötab Windows 2000-põhistes arvutites, mis asuvad Windows NT 3.x domeenid või Windows NT 4.0 domeenid

      • Windows NT 4.0 resource domeeni kasutajad, kes soovivad anda juurdepääsuõigused faile, ühiskasutuses kaustad ja registri objekte konto domeene, mis sisaldavad Windows Server 2003 domeenikontrolleritesse Kasutajakontod

    4. Keelake see säte põhjused

      Selle sätte lubamisel pahatahtlik kasutaja võib abil tuntud administraatorid SID sisemise administraatorikonto pärisnime isegi juhul, kui konto on ümber. See inimene võiks abil kontonime algatada parooli aim rünnak.

    5. Sümboolse nimega: P/S

    6. Registri tee: Mitte ükski. Tee on määratud Kasutajaliidese koodi.

    7. Ühilduvusprobleemide näited

      Windows NT 4.0: Arvutid Windows NT 4.0 resource domeenid kuvatakse "Konto tundmatu" kuvatakse tõrketeade ACL toimetaja kui ühiskasutusse antud kaustadele, ühiskasutavate failide ja registri objekte, sealhulgas on kaitstud turvalisuse põhimõtteid loendis konto domeenid sisaldavad Windows Server 2003 domeenikontrolleritesse.

  8. Võrgu kasutamine: luba anonüümseid loendamine SAM kontod

    1. Taust

      • Selle võrgu kasutamine: luba anonüümseid loendamine SAM kontod seadistus määrab, milliseid täiendavaid õigusi ei anta anonüümseid ühendusi selle arvutiga. Windows võimaldab anonüümne kasutajatel teostada teatud toiminguid, näiteks nummerdamisel tööjaama ja serveri turvalisuse halduri (SAM) kontode ja Ühiskasutusega võrgukohtades nimed. Näiteks võib administraator kasutada seda juurdepääsu kasutajatele usaldusväärse domeeninimega, et säilitada vastastikuse usalduse. Pärast seanssi tegemist anonüümse kasutaja võib olla antakse ka kõigile neile rühma põhineb säte on võrgu kasutamine: lasta kõik õigused rakenduvad anonüümsed kasutajad säte või selle vabalt määratav pääsuloend (DACL) objekti.

        Tavaliselt anonüümseid ühendusi on taotlenud varasemate versioonide kliendid (tasandi kliendid) SMB seanss installimise ajal. Sellistel juhtudel Võrgujälitus näitab SMB protsessi ID (PID) kliendi ümbersuunaja nagu 0xFEFF Windows 2000 või Windows NT. RPC 0xCAFE võib proovida ka anonüümseid ühendusi.

      • NB! See säte ei mõjuta domeenikontrollerid. Domeenikontrollerid, kontrollib selle käitumise "NT AUTHORITY\ANONYMOUS sisselogimine" "Pre-Windows 2000 ühilduv Access" olemasolu.

      • Windows 2000, haldab sarnase sätte nimega Täiendavad piirangud anonüümseid ühendusi registriväärtuse RestrictAnonymous . Selle väärtuse asukoht järgmiselt.

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA Registriväärtus RestrictAnonymous kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artiklite kuvamiseks järgmisi artiklinumbreid:

        kuidas kasutada registriväärtuse RestrictAnonymous Windows 2000
         

        piiravad kättesaadava teabe anonüümsele kasutajale
         

    2. Riskantne konfiguratsioonid

      Lubamine on võrgu kasutamine: luba anonüümseid loendamine SAM kontod on kahjulik konfigureerimissäte ühilduvuse seisukohast. See on kahjulik konfigureerimissäte turvalisuse seisukohast.

    3. Põhjustel lubada selle seadmine

      Volitamata kasutaja võib anonüümselt loetleda konto nime ja proovida ära arvata paroole või sotsiaalse inseneri rünnakute sooritamiseks teabe abil. Sotsiaalne insener on kõnepruuki, mis tähendab tricking inimesed oma avaldama oma parooli või mingid turbeteave.

    4. Keelake see säte põhjused

      Kui see säte on lubatud, on võimalik tuvastada Windows NT 4.0 domeenid usaldusi. See säte põhjustab probleeme tasandi kliente (nt kliendid Windows NT 3.51 ja Windows 95 klientidele), kes üritavad kasutada ressursse server.

    5. Sümboolne nimi:


      RestrictAnonymousSAM

    6. Registri tee:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

    7. Ühilduvusprobleemide näited

    • SMS võrgutuvastus ei saa opsüsteemi teavet ja kirjutab "Tundmatu" OperatingSystemNameandVersion vara.

    • Windows 95, Windows 98: Klientide Windows 95 ja Windows 98 klientide ei saa parooli vahetada.

    • Windows NT 4.0: Windows NT 4.0 põhises liige arvutid ei saa autentida.

    • Windows 95, Windows 98: Windows 95 ja Windows 98 arvutid ei saa autentida Microsoft domeenikontrollerid.

    • Windows 95, Windows 98: Kasutajatele Windows 95 ja Windows 98 põhistes arvutites ei saa nende kasutajakontode paroole.

  9. Võrgu kasutamine: luba anonüümseid loendamine SAM kontod ja aktsiate

    1. Taust

      • Selle võrgu kasutamine: luba anonüümseid loendamine SAM kontod ja aktsiate (tuntud ka kui RestrictAnonymous) säte määratleb, kas anonüümne loendamine turvalisuse halduri (SAM) kontod ja aktsiate on lubatud. Windows võimaldab anonüümne kasutajatel teostada teatud toiminguid, näiteks nummerdamisel domeenikontode (kasutajad, arvutid ja rühmad) ja Ühiskasutusega võrgukohtades nimed. See on mugavam, näiteks siis, kui administraator tahab anda juurdepääs kasutajatele usaldusväärse domeeninimega, et säilitada vastastikuse usalduse. Kui te ei soovi luba anonüümseid loendamine SAM kontod ja aktsiate, lubage see säte.

      • Windows 2000, haldab sarnase sätte nimega Täiendavad piirangud anonüümseid ühendusi registriväärtuse RestrictAnonymous . Selle väärtuse asukoht on järgmine:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

    2. Riskantne konfiguratsioon

      Lubamine on võrgu kasutamine: luba anonüümseid loendamine SAM kontod ja aktsiate on kahjulik konfigureerimissäte.

    3. Põhjustel lubada selle seadmine

      • Lubamine on võrgu kasutamine: luba anonüümseid loendamine SAM kontod ja aktsiate säte takistab loendamine SAM ja aktsiate kasutajad ja arvutid, mis kasutavad anonüümsed kontod.

    4. Keelake see säte põhjused

      • Selle sätte lubamisel volitamata kasutaja võib anonüümselt loetleda kontode nimesid ja proovida ära arvata paroole või sotsiaalse inseneri rünnakute sooritamiseks teabe abil. Sotsiaalne insener on keelt, mis tähendab tricking inimesed oma avaldama oma parooli või mingid turvalisusega seotud teavet.

      • Kui see säte on lubatud, ei ole võimalik tuvastada Windows NT 4.0 domeenid usaldusi. See säte aitab tekitada probleeme tasandi klientide nagu Windows NT 3.51 ja Windows 95 klientidele, kes üritavad kasutada ressursse server.

      • See ei ole võimalik anda juurdepääs kasutajatele ressursi domeenid sest usaldav domeeni administraatorid ei saa nummerdada kontod teiste domeeni nimekirju. Kasutajad, kes pääseda failide ja printerite anonüümselt ei saa loetleda need serverid jagatud võrgu ressursse. Kasutajad peavad autentimiseks vaatamiseks ühiskasutuses kaustade ja printerite loetelu.

    5. Sümboolne nimi:

      RestrictAnonymous

    6. Registri tee:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

    7. Ühilduvusprobleemide näited

      • Windows NT 4.0: Kasutajad ei saa oma parooli muutma Windows NT 4.0 tööjaamade, kui RestrictAnonymous on lubatud kasutajate domeeni domeenikontrollerid.

      • Windows NT 4.0: Lisamine kasutajate või üldiste reeglite usaldusväärsete Windows 2000 domeenide Windows NT 4.0 kohalike rühmade User Manager nurjub ja kuvatakse järgmine tõrketeade:

        Praegu sisselogimisservereid saadaval sisselogimisnõude teenindamiseks.

      • Windows NT 4.0: Windows NT 4.0 põhises arvutis ei saa liituda domeenide seadistamise ajal või domain join kasutajaliidese abil.

      • Windows NT 4.0: Tasandi usalduse Windows NT 4.0 resource domeenide loomine ei õnnestu. Kuvatakse järgmine tõrketeade kuvatakse, kui RestrictAnonymous on lubatud usaldusväärses domeenis:

        Selle domeeni domeenikontrollerit ei leitud.

      • Windows NT 4.0: Vaikimisi kodukataloog asemel on määratletud User Manager domeenid vastendatakse Windows NT 4.0 põhises Terminal serveri arvutisse sisse loginud kasutajad.

      • Windows NT 4.0: Windows NT 4.0 backup domeenikontrollerid (BDCs) ei saa käivitada teenus Net Logon, backup brauserite loendit tuua või SAM andmebaasi Windows 2000 või Windows Server 2003 domeenikontrolleritesse samas domeenis.

      • Windows 2000: Windows 2000-ga liige arvutid Windows NT 4.0 domeenid ei saa vaadata printerid välistele domeenidele kui puudub juurdepääs selgelt anonüümseks õigusteta säte on lubatud kliendi arvutisse kohaliku turbepoliitika.

      • Windows 2000: Windows 2000 domeeni kasutajaid ei saa lisada võrguprinterit Active Directoryst; Aga nad on võimalik pärast nad valida neid puu lisada printerid.

      • Windows 2000: Windows 2000-põhistes arvutites ei saa ACL toimetaja kasutajate või üldiste reeglite lisamiseks usaldusväärsete Windows NT 4.0 domeenid.

      • ADMT versioon 2: Parooli rände Kasutajakontod, mis migreeritakse koos Active Directory siirdamise tööriista (ADMT) versioon 2 metsade vahel ei õnnestu.

        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:

        kuidas viia läbi tõrkeotsingut vaheline metsa parooli rände-ja ADMTv2 tõrkeotsing

      • Outlooki kliendid: Globaalne aadressiloend ilmub tühi Microsoft Exchange Outlook klientidele.

        Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:

        aeglane SMB tulemuslikkuse kui kopeerite faile Windows XP Windows 2000 domeenikontroller

      • SMS: Microsoft Systems Management serveri (SMS) võrgu avastus ei saa opsüsteemi teavet. Seetõttu kirjutab "Tundmatu" discovery andmete kirje (DDR) SMS DDR vara OperatingSystemNameandVersion vara.

      • SMS: Sirvi kasutajate ja rühmade SMS administraator kasutaja viisardi abil on loetletud kasutajad või rühmad. Lisaks täiustatud kliendid ei saa suhelda juhtimise punkti. Anonüümse juurdepääsu on vaja haldamise osas.

      • SMS: Kasutamisel võrgutuvastus funktsioon SMS 2.0 ja kliendi Kauginstall topoloogia, klient, ja klientarvutite opsüsteemide võrgu avastus võimalus sisse lülitatud, arvutid võivad ilmneda alles aga pole installitud.

  10. Võrgu turvalisus: Lan Manageri autentimist tase

    1. Taust

      LAN Manageri (LM) autentimine on protokoll, mida kasutatakse autentimiseks Windowsi klientide võrgutoimingute, sealhulgas domeeni liitub juurdepääsu võrguressurssidega ja kasutaja või arvuti autentimine. LM autentimise tase määrab, milliseid pretensioon/vastus autentimisprotokolli läbirääkimisi kliendi ja serveri arvutite vahel. Täpsemalt, LM autentimise tase määrab autentimise Protokollid et klient püüab pidada läbirääkimisi või server aktsepteerib. Väärtus, mis on sätestatud LmCompatibilityLevel määratleb, millised pretensioon/vastus autentimisprotokolli kasutatakse võrgulogimiste. See väärtus mõjutab autentimise protokoll, mida kliendid kasutavad tasandil, läbirääkimisi seansiturvalisuse tase ja autentimise serverid poolt aktsepteeritud tase.

      Võimalikud sätted sisaldavad järgmist.

      Väärtus

      Säte

      Kirjeldus

      0

      Saada LM & NTLM vastused

      Kliendid kasutavad LM- ja NTLM-autentimist ning NTLMv2 seansiturvalisust ei kasutata. Domeenikontrollerite aktsepteerida LM-ja NTLM ja NTLMv2 autentimist.

      1

      Saada LM & NTLM - kasutada NTLMv2 seansiturvalisuse läbirääkimisi

      Kliendid kasutavad LM- ja NTLM-autentimist ning NTLMv2 seansiturvalisust kui server seda toetab. Domeenikontrollerite aktsepteerida LM-ja NTLM ja NTLMv2 autentimist.

      2.

      Ainult NTLM-vastuse saatmine

      Kliendid kasutavad ainult NTLM-autentimist ning NTLMv2 seansiturvalisust kui server seda toetab. Domeenikontrollerite aktsepteerida LM-ja NTLM ja NTLMv2 autentimist.

      3

      Saada NTLMv2 vastuse ainult

      Kliendid kasutavad ainult NTLMv2 autentimine ning NTLMv2 seansiturvalisust kui server seda toetab. Domeenikontrollerite aktsepteerida LM-ja NTLM ja NTLMv2 autentimist.

      4

      Saada NTLMv2 vastuse ainult / keelduvad LM

      Kliendid kasutavad ainult NTLMv2 autentimine ning NTLMv2 seansiturvalisust kui server seda toetab. Domeenikontrollerid keelduvad LM ja aktsepteerib ainult NTLM ja NTLMv2 autentimist.

      5

      Saada NTLMv2 vastuse ainult / keelduvad LM- ja NTLM-i

      Kliendid kasutavad ainult NTLMv2 autentimine ning NTLMv2 seansiturvalisust kui server seda toetab. Domeenikontrollerid keelduvad LM- ja NTLM ja aktsepteerib ainult NTLMv2 autentimist.

      Märkus. Windows 95, Windows 98 ja Windows 98 Second Edition, Directory Services Client kasutab SMB allkirjastamine kui ta kontrollib Windows Server 2003 serverile NTLM-autentimist kasutades. Kuid need kliendid kasutada SMB allkirjastamine kui nad Sisenen nende serverite NTLMv2 autentimise abil. Lisaks vastab Windows 2000 Server SMB allkirjastamine nende klientide päringutele.

      Vaata LM autentimise tase: Serveris lubada NTLM põhimõtteid tuleb muuta või peate konfigureerima klientarvuti toetavad NTLMv2.

      Kui poliitika on seatud (5) saada NTLMv2 vastuse only\refuse LM- ja NTLM-i sihtarvutis, mida soovite ühendada, tuleb alandada, et säte või määrata turvalisuse sama seade, mis on arvutis allikas olete conn alates valivad ise.

      Leida õiget asukohta saate muuta LAN-i halduri autentimise tase seada klient ja server samal tasemel. Kui olete leidnud poliitika, mis seab LAN Manageri autentimist tase, kui soovite ühendada ja arvutitest, kus töötab Windowsi varasemates versioonides, madalam väärtus vähemalt (1) saada LM- ja NTLM - autentimist NTLM versiooni 2 seansiturvalisust kui läbirääkimisi. Ühildumatu seaded üks mõju on see, et kui server nõuab NTLMv2 (väärtus 5), kuid klient on konfigureeritud kasutama LM ja NTLMv1 ainult (väärtus 0), üritab autentimist kasutaja kogemusi Sisselogimistõrge, millel on halb parool ja mis suurendab halb parooli arvu. Kui konto lukustamine on konfigureeritud, võib kasutaja lukustatud lõpuks välja.

      Näiteks, pead otsima domeenikontrolleris või teil uurida domeeni kontrolleri poliitikat.

      Vaata domeenikontrolleris

      Märkus. Peate kordama kõigi domeenikontrollerite järgnevalt.

      1. Klõpsake nuppu Start, valige käsk programmidja klõpsake Haldusriistad.

      2. Kohalikud turvasätted, laiendage Kohalikud poliitikad.

      3. Klõpsake turvasuvandid.

      4. Topeltklõpsake võrgu turvalisus: LAN Manageri autentimist taseme, ja seejärel klõpsake loendis väärtust.


      Kui see tõhus ja kohalik säte on samad, poliitika sellel tasandil muuta. Kui sätted on erinevad, peab kontrollima domeeni kontrolleri poliitika otsustada, kas see võrgu turvalisus: LAN Manageri autentimist tase milles määratletakse seal. Kui see on määratletud seal, uurida domeeni kontrolleri poliitikat.

      Kontrollige domeeni kontrolleri poliitika

      1. Klõpsake nuppu Start, valige käsk programmidja klõpsake Haldusriistad.

      2. Domeeni kontrolleri turvapoliitika laiendadaja seejärel laiendage Kohaliku poliitika.

      3. Klõpsake turvasuvandid.

      4. Topeltklõpsake võrgu turvalisus: LAN Manageri autentimist taseme, ja seejärel klõpsake loendis väärtust.


      Note

      • Tuleb kontrollida poliitika, mis on seotud saidi tasemel, taseme domeeni või organisatsiooniüksusele (OU) taseme määramiseks, kus tuleb konfigureerida LAN Manageri autentimist tase.

      • Kui rühmapoliitika säte nagu domeeni vaikepoliitika rakendada poliitikat rakendatud kõik arvutid domeenis.

      • Kui rühmapoliitika säte vaike domeenikontrolleri poliitika nagu rakendada poliitika kehtib ainult domeeni kontrolleri OU servereid.

      • See on mõistlik seada LAN-i halduri autentimise tase vajaliku ulatuse poliitika kohaldamist hierarhia väikseim üksus.

      Windows Server 2003 on uus vaikimisi kasutada NTLMv2 vaid. Vaikimisi on lubatud Windows Server 2003 ja Windows 2000 Server SP3-põhiste domeenikontrollerite on "Microsoft network server: digitaalselt allkirjastama side (alati)" poliitika. See säte vajab SMB serveri sooritada SMB paketi allkirjastamine. Muudatused Windows Server 2003 toimus sest domeenikontrollerid, fail serverite, võrgu infrastruktuuri servereid ja veebiserveritesse igas organisatsioonis nõuda eri seaded suurendada turvalisust.

      Kui soovite rakendada NTLMv2 autentimise võrku, peate veenduma, et kõik arvutid domeenis on seatud hõivatuse autentimist. Kui rakendate aktiivse kataloogi klient Extensions for Windows 95 või Windows 98 ja Windows NT 4.0, kasutada klientrakenduste laiendused autentimise täiustatud funktsioone, mis on NTLMv2. Seetõttu ei mõjuta kliendi arvutites, kus töötab üks järgmistest operatsioonisüsteemidest Windows 2000 rühmapoliitika objektid, peate käsitsi konfigureerida need kliendid:

      • Microsoft Windows NT 4.0

      • Microsoft Windows Millennium Edition

      • Microsoft Windows 98

      • Microsoft Windows 95

      Märkus. Kui lubate selle võrgu turvalisus: Ärge LAN Manageri räsiväärtus edasi parooli muutmine poliitika või komplekti NoLMHash registrivõtit ei ole Directory Services Client installitud Windows 95 ja Windows 98 klientide ei saa Logige domeeni parooli muutmine pärast.

      Paljude tootjate CIFS serverid, nagu Novell Netware 6, ei ole NTLMv2 teadlikud ja kasutavad ainult NTLM. Seetõttu ei võimalda tasemega üle 2 Ühenduvus. Samuti on muu SMB kliente, mis kasutavad laiendatud seansiturvalisust. Sel juhul ei võeta allika server LmCompatiblityLevel arvesse. Server siis hoolduspakettide üles pärand taotlus ja saadab selle kasutaja domeeni kontroller. Seaded domeenikontrolleris, siis otsustada, mida hashes kasutatakse kontrollida taotluse ja kas need on kohtumine Domain Controller turvanõuetele.

      Käsitsi konfigureerimise LAN Manageri autentimist taseme kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artiklite kuvamiseks järgmisi artiklinumbreid:

      Kuidas Windows NT LM-autentimise keelamine
       

      kuidas vältida Windows salvestamise LAN manager hash parooli Active Directory ja kohalike SAM andmebaasid
       

      Outlooki jätkab teilt sisselogimise mandaat
       

      Auditi sündmus näitab autentimispakett on NTLMv1 asemel NTLMv2 LM autentimise tase kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:

      kuidas NTLM 2 autentimise lubamiseks
       

    2. Riskantne konfiguratsioonid

      Kahjulike konfiguratsiooni seaded on järgmised:

      • Nonrestrictive seaded, et saada paroolid avatekstina ja mis eitavad NTLMv2 läbirääkimiste

      • Piiravad sätted takistada ühildumatu kliendi ja domeenikontrollerid läbirääkimisi ühise autentimisprotokolli

      • Nõudvate NTLMv2 autentimise liige arvutitest ja domeenikontrollerid, mis töötavad Windows NT 4.0 versiooni, mis on vanemad kui Service Pack 4 (SP4)

      • Nõudvate NTLMv2 autentimist Windows 95 klientidele või on Windows Directory Services Client installitud Windows 98 klientide.

      • Nupu klõpsamisel märkige ruut nõua NTLMv2 seansiturvalisust Microsoft Management Console Rühmapoliitika redaktori lisandmooduli Windows Server 2003 või Windows 2000 Service Pack 3-põhise arvuti ning alandate LAN Manageri autentimist tase 0, kaks konflikti ja võidakse kuvada järgmine tõrketeade Secpol.msc faili või GPEdit.msc faili:

        Windows ei saa avada andmebaasi kohaliku poliitika. Andmebaasi avamisel ilmnes tundmatu tõrge.

        Turvakonfiguratsioon ja analüüs tööriista kohta lisateabe saamiseks vaadake Windows 2000 või Windows Server 2003 Help failid.

    3. Põhjusi seda sätet muuta

      • Soovite suurendada väikseima ühise autentimisprotokolli jaoks, mis toetab kliente ja domeenikontrollerid organisatsioonis.

      • Kui turvaline autentimine on ettevõtte nõue, soovite keelata läbirääkimiste LM-ja NTLM protokolle.

    4. Keelake see säte põhjused

      Kliendi ja/või serveri autentimise nõuded on suurendatud punktini, kus levinud protokoll-autentimine ei saa tekkida.

    5. Sümboolne nimi:

      LmCompatibilityLevel

    6. Registri tee:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. Ühilduvusprobleemide näited

      • Windows Server 2003: Windows Server 2003 NTLMv2 saada NTLM vastuseid, millega on vaikimisi lubatud. Seega, Windows Server 2003 saab tõrketeate "Juurdepääs keelatud" pärast installimist kui proovite luua ühendust Windows NT 4.0 põhises klastri või LanManager V2.1-põhised serverid nagu OS/2 Lanserver. See probleem ilmneb ka kui proovite luua ühendust varasema versiooni klient Windows Server 2003 põhise serveriga.

      • Installite Windows 2000 turvalisuse koondpakett pakett 1 (SRP1). SRP1 sunnib NTLM versiooni 2 (NTLMv2). See koondpakett anti välja pärast Windows 2000 Service Pack 2 (SP2). SRP1 kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:

        Windows 2000 turvalisuse koondpakett 1, jaanuar 2002
         

      • Windows 7 ja Windows Server 2008 R2: paljude tootjate CIFS serverid, nagu Novell Netware 6 või Samba Linuxi-põhiste serverite, ei ole NTLMv2 teadlikud ja kasutavad ainult NTLM. Seetõttu ei võimalda rohkem kui "2" taseme Ühenduvus. Nüüd muudeti selles operatsioonisüsteemi versioonis vaikimisi LMCompatibilityLevel "3". Nii kui Windowsi täiendada nende kolmandate isikute filers töötamast lakata.

      • Microsoft Outlooki kliendid võib olla küsita mandaati isegi juhul, kui nad on juba sisse logitud domeeni. Kui kasutajaid andma oma mandaadi, nad kuvada järgmine tõrketeade: Windows 7 ja Windows Server 2008 R2

        Sisselogimise dokumendid esitada olid valed. Veenduge, et teie kasutajanimi ja domeen on õiged, siis tippige parool uuesti.

        Outlooki käivitamisel võib teilt teie andmeid ka siis, kui teie sisselogimise võrguturvalisus säte on läbipääsuga või paroolautentimise. Pärast seda, kui sisestate õige mandaadi, võidakse kuvada järgmine tõrketeade:

        Sisselogimise dokumendid esitada olid valed.

        Network Monitor jälgi võib näidata, et globaalse kataloogi väljastatud remote procedure call (RPC) fault 0x5 olekuga. Staatuse 0x5 tähendab "Juurdepääs on keelatud."

      • Windows 2000: Network Monitor hõive võidakse kuvada järgmised tõrketeated NetBIOS üle TCP/IP (NetBT) server sõnum block (SMB) seanss:

        SMB R otsing kataloog Dos viga, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) kehtetu kasutaja ID.

      • Windows 2000: Kui Windows 2000 domeenist NTLMv2 tasemele 2 või uuem on usaldusväärne domeeniga Windows NT 4.0, Windows 2000-ga liige arvutite allika domeeni kogemuse autentimise vigu.

      • Windows 2000 ja Windows XP: Windows 2000 ja Windows XP vaikimisi LAN Manageri autentimist tasemel Kohalik turvapoliitika variant 0. Säte 0 tähendab "saada LM- ja NTLM vastuseid."

        Märkus. Windows NT 4.0 põhises klastrite kasutama LM haldamine.

      • Windows 2000: Windows 2000 Klasterdamine autentimiseks, liitumist sõlm kui mõlemad sõlmed on osa Windows NT 4.0 Service Pack 6a (SP6a) domeeni.

      • IIS Lockdown tööriista (HiSecWeb) seab väärtusest LMCompatibilityLevel 5 ja RestrictAnonymous väärtus 2.

      • Teenused Macintoshile

        Kasutaja autentimise mooduli (UAM): Microsoft UAM (kasutaja autentimise moodul) annab meetodi krüptimiseks paroole, mida kasutate sisselogimiseks Windows AFP (AppleTalk esitamise Protocol) serverid. Apple kasutaja autentimise mooduli (UAM) pakutakse ainult minimaalne või krüptimist. Seetõttu kergesti võiks oma parooli kinni, LAN või Internet. Kuigi selle UAM ei nõuta, see annab krüptitud autentimist Windows 2000 serverid, mis töötavad teenused For Macintosh. See versioon toetab NTLMv2 128-bitist krüptitud autentimist ja MacOS X 10,1 ühilduv vabastamist.

        Vaikimisi lubab Windows Server 2003 teenuste Macintosh server ainult Microsoft Authentication.


        Lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artiklite kuvamiseks järgmisi artiklinumbreid:

        Macintoshi klient ei saa ühendust Services for Mac operatsioonisüsteemis Windows Server 2003

      • Windows Server 2008, Windows Server 2003, Windows XP ja Windows 2000: Kui konfigureerite LMCompatibilityLevel väärtuse 0 või 1 ja seejärel konfigureerima NoLMHash väärtusele 1, rakenduste ja komponentide võib keelduda juurdepääsu kaudu NTLM. See probleem ilmneb, kuna arvuti on konfigureeritud nii et LM, kuid mitte kasutada LM salvestatud paroole.

        Kui NoLMHash väärtuse 1 konfigureerimiseks tuleb konfigureerida väärtusest LMCompatibilityLevel 2 ja mitte rohkem.

  11. Võrgu turvalisus: LDAP kliendi allkirja nõuded

    1. Taust

      Selle võrgu turvalisus: LDAP kliendi allkirja nõuded säte määratleb andmete allkirjastamine tase mis nõutakse välja Lightweight Directory Access Protocoli (LDAP) siduda klientide nimel nõuab järgmiselt:

      • Ükski: LDAP siduda taotlusele antakse helistaja määratud valikutega.

      • Läbirääkimisi allkirjastamine: kui selle Secure Sockets Layer/transpordikihi turvalisus (SSL/TLS) pole alustatud, LDAP siduda taotlus on algatatud LDAP andmete allkirjastamine määrata peale helistaja määratud suvanditele. Kui SSL/TLS LDAP siduda taotluse algatada helistaja määratud valikutega.

      • Nõuavad allkirjastamine: see on sama, mis rääkida allkirjastamine. Siiski, kui LDAP server kesktasemel saslBindInProgress vastus näitab, et LDAP liiklust allkirja ei nõuta, helistaja räägitakse LDAP siduma käsk taotlus nurjus.

    2. Riskantne konfiguratsioon

      Lubamine on võrgu turvalisus: LDAP kliendi allkirja nõuded on kahjulik konfigureerimissäte. Kui server nõuab LDAP allkirjad seadmiseks peate konfigureerima LDAP kliendi allkirja. Seadistamine klient kasutada LDAP allkirju ei takista serveriga. See põhjustab kasutaja autentimist, rühmapoliitika sätted, logon skriptid ja muud funktsioonid ebaõnnestuda.

    3. Põhjusi seda sätet muuta

      Allkirjastamata võrguliikluse toimivus man-in-the-middle rünnakute kui sissetungija jäädvustatakse paketid kliendi ja serverite vahelise, muudab neid ja edastab need serverisse. Kui see toimub LDAP serveri ründaja võib põhjustada server vastata põhineb vale päringutele LDAP kliendi. Seda ohtu ettevõtte võrgus võivad vähendada, rakendades tugev füüsilised turvameetmed võrgu infrastruktuuri kaitsmiseks. Lisaks võib aidata vältida igasuguseid man-in-the-middle rünnakute nõudes digitaalallkirjad kõik võrgupakettide kaudu IPSec autentimise päiseid.

    4. Sümboolne nimi:

      LDAPServerIntegrity

    5. Registri tee:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

  12. Sündmuselogi – Maksimaalne turvalisus Logi maht

    1. Taust

      Selle sündmuste logi: turvalisus Logi maksimummaht turbesätete määrab maksimaalne suurus Turvalogisse sündmus. See logi on maksimaalne suurus 4 GB. Selle sätte leidmiseks laiendada
      Windowsi sätted, ja seejärel laiendage Turvasätete muutmine.

    2. Riskantne konfiguratsioonid

      Kahjulike konfiguratsiooni seaded on järgmised:

      • Logi maht ja turvalisuse Logi säilitamise meetod kui selle Audit: sulgeda süsteemi kohe kui ei saa sisse logida turvakontrollide säte on lubatud. Vt selle "Audit: sulgeda süsteemi kohe kui ei saa sisse logida turvakontrollide" Lisateavet käesoleva artikli jaotises.

      • Nii, et huvi turvalisuse sündmuste üle, millega piiratakse turvalisuse Logi maht.

    3. Pikendage seda põhjust

      Äri- ja võib dikteerida turvalisuse Logi mahtu hakkama lisatagatise Logi detail või kinni pidada security logisid pikema aja möödudes suurendada.

    4. Põhjuseid vähendada selle sätte

      Sündmusevaaturi logides on mälujaotusega faile. Sündmuste logi maksimummaht on piiratud kohaliku arvuti füüsilist mälu ja virtuaalmälu maht, mis on saadaval sündmustelogi protsessi. Suurendamine Logi mahtu kaugemale Sündmusevaatur saadaoleva virtuaalmälu hulk kanded, mida hallatakse arvu suurendamiseks.

    5. Ühilduvusprobleemide näited

      Windows 2000: Arvutites, kus töötab Windows 2000 versioonid, mis on vanemad kui Service Pack 4 (SP4) võib lõpetada logimise sündmuste sündmuselogi enne jõudmist suurus, mis on määratud Maximum log size sündmusevaaturi sätet, kui selle ei kirjuta sündmused (Tühjenda Logi käsitsi) suvand on sisse lülitatud.


      Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:

      sündmuste logi peatub logib sündmusi enne jõudmist maksimaalne logifaili suurus
       

  13. Sündmuselogi – Säilitada turvalogi

    1. Taust

      Selle sündmustelogi: säilitada turvalogi turvalisuse säte määratleb turvalogi "pakendamine" meetod. Selle sätte leidmiseks laiendada Windowsi sättedja seejärel laiendage Turvasätete muutmine.

    2. Riskantne konfiguratsioonid

      Kahjulike konfiguratsiooni seaded on järgmised:

      • Ei suutnud säilitada kõik logitud turvalisus üritused enne, kui nad on üle kirjutatud

      • Seadistamine Turvalisus Logi maksimummaht , millega liiga väike, et turvalisus üritused kirjutatakse

      • Piirates turvalisuse Logi suurus ja säilitamise meetod samal ajal on Audit: sulgeda süsteemi kohe kui ei saa sisse logida turvakontrollide turvalisuse säte on lubatud

    3. Põhjustel lubada selle seadmine

      Lubage see säte ainult kirjuta sündmused päeva võrra säilitamise meetodi valimisel. Sündmused sündmus korrelatsioon süsteem, mis pollib kasutamisel veenduge, et päevade arv on vähemalt kolm korda küsitluse sagedust. Seda võimaldavad ebaõnnestunud küsitluse tsükli jooksul.

  14. Võrgu kasutamine: lasta kõik õigused rakenduvad anonüümsed kasutajad

    1. Taust

      Vaikimisi on võrgu kasutamine: lasta kõik õigused rakenduvad anonüümsed kasutajad säte on Määratlemata Windows Server 2003. Vaikimisi Windows Server 2003 ei sisalda Anonüümne juurdepääs luba ning kõigile rühma.

    2. Ühilduvusprobleemide näide

      Järgmine väärtus

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous[REG_DWORD] = 0x0 puruneb usalduse loomine Windows Server 2003 ja Windows NT 4.0, Windows Server 2003 domeenis on konto domeenis ja Windows NT 4.0 domeen on allika domeeni. See tähendab, et konto domeeni usaldusväärsed Windows NT 4.0 allika domeeni on Trusting Windows Server 2003 poolel. Selline käitumine ilmneb seetõttu protsessi käivitamiseks usalduse pärast esialgset anonüümset ühendust on ACL oleks kõigile tõendi, mis sisaldab anonüümseid SID Windows NT 4.0.

    3. Põhjusi seda sätet muuta

      Väärtus peab seatud 0x1 või kasutades rühmapoliitika objekti domeeni kontrolleri OU olevat määratud: võrgu kasutamine: lasta kõik õigused rakenduvad anonüümne kasutajatele - lubatud usalduse loomingut võimaldamiseks.

      Märkus. Enamik teisi turvasätted minema väärtuse asemel 0x0 kõige turvatud seisundi alla. Turvalisem tava oleks muuta registri esmase domeeni kontrolleri emulaator asemel kõik domeenikontrolleritesse. Kui mingil põhjusel teisaldatakse esmase domeeni kontrolleri emulaator rolli, tuleb registri uude serverisse värskendada.

      Taaskäivitamine on vajalik pärast selle väärtuseks on seatud.

    4. Registri tee

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

  15. NTLMv2 autentimine

    1. Seansiturvalisust

      Seansiturvalisust määrab minimaalse turvalisuse standardite kliendi ja serveri seanssi. See on hea mõte kontrollida järgmiste turvalisuse poliitika sätete Microsoft Management Console Rühmapoliitika redaktori lisandmooduli:

      • Arvuti Settings\Windows Settings\Security sätted\Kohalikud Policies\Security Valikud

      • Võrgu turvalisus: Minimaalne seansiturvalisuse NTLM SSP-d alusel (sh turvaline RPC) serverid

      • Võrgu turvalisus: Minimaalne seansiturvalisuse NTLM SSP-d alusel (sh turvaline RPC) klientidele

      Need seaded Valikud on järgmised:

      • Nõua sõnumi terviklikkus

      • Nõua sõnumi konfidentsiaalsus

      • Nõuda NTLM versiooni 2 seansiturvalisust

      • Nõuab 128-bitist krüpteerimist

      Enne Windows 7 on nõudeid ei ole. Windows 7-ga alustades vaikimisi muudetakse nõuab 128-bitise krüptimise parema turvalisuse huvides. See vaikimisi pärandseadmete, mis ei toeta 128-bitist krüptimist ei saa ühendust luua.

      Neid põhimõtteid tuleb määrata minimaalne turvanõuetele application rakenduse side seansi server kliendile.

      Arvestage, et kuigi kehtivad sätted, lipud nõua sõnumi terviklikkus ja konfidentsiaalsus on mitte kasutada seansiturvalisust NTLM määramisel.

      Ajalooliselt toetas Windows NT pretensioon/vastus-autentimise järgmist kahte varianti võrgulogimiste:

      • LM pretensioon/vastus

      • NTLM versiooni 1 pretensioon/vastus

      LM tagab ühilduvuse majakaid klientide ja serverite. NTLM pakub klientide ja serverite vahelistele ühendustele täiustatud turvalisust.

      Vastavate registrivõtmete on järgmised:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

    2. Riskantne konfiguratsioonid

      See säte määrab, kuidas käsitletakse võrgu seansid tagatud kasutades NTLM. See mõjutab RPC-põhise istungid autenditud NTLM, nt. On järgmistel juhtudel:

      • Vanemate autentimismeetodite kui NTLMv2 teeb teatises lihtsam rünnaku tõttu on lihtsam hashing meetodeid kasutades.

      • Kasutades madalam 128-bitise võimaldab ründajate Katkesta ühendus, kasutades loomalik-force rünnakutele.

Kellaaja sünkroonimine

Kellaaja sünkroonimine nurjus. Aeg on väljas rohkem kui 30 minutit nakatunud arvutis. Veenduge, et kliendi arvuti kellaaja sünkroonimist koos domeeni kontrolleri.

Vastukaalu SMB-allkirjastamise

Soovitame installida Service Pack 6a (SP6a) Windows NT 4.0 kliente, mille Windows Server 2003 põhinevas domeenikontrolleris toimida. Windows 98 Second Edition põhise kliendid, klientide opsüsteemiga Windows 98 ja Windows 95 põhisesse kliendid peate käivitama Directory Services Client NTLMv2 teha. Kui Windows NT 4.0 põhises klientidel on installitud Windows NT 4.0 hoolduspaketi SP6 või Windows 95 põhisesse kliendid, klientide opsüsteemiga Windows 98 ja Windows 98SE-põhiste kliendid ei saa Directory Services Client installitud, keelata SMB vaikimisi domeeni sisselogimine kontrolleri Poliitikasätte domeenikontroller on OU ja linkida selle poliitika kõik organisatsiooniüksused, mis majutavad domeenikontrollerid.

Directory teenused kliendi jaoks Windows 98 Second Edition, Windows 98 ja Windows 95 täidab SMB allkirjastamine Windows 2003 serverile NTLM-autentimist, kuid ei NTLMv2 autentimist. Lisaks Windows 2000 serverid ei vastab päringutele SMB-allkirjastamise nendest klientidest.

Kuigi me ei soovita seda, saate takistada SMB allkirjastamine, nõudmata kõik domeenikontrollerid, mis töötavad Windows Server 2003 domeeni. Selle turvasätte konfigureerimiseks toimige järgmiselt.

  1. Avage vaikimisi domeenikontrolleri poliitika.

  2. Avage kaust Arvuti Configuration\Windows Settings\Security sätted\Kohalikud Policies\Security Valikud .

  3. Leidke ja klõpsake siis Microsoft network server: digitaalselt allkirjastama side (alati) Poliitikasätte ja seejärel klõpsake erivajadustega.

NB! See sektsioon, meetod või toiming sisaldab etappe, mille käigus õpetatakse registrit muutma. Registri vale muutmine võib aga põhjustada tõsiseid probleeme. Vastasel juhul järgige neid samme hoolikalt. Lisakaitseks varundage register enne selle muutmist. Seejärel saate probleemi ilmnemisel registri taastada. Registri varundamise ja taastamise kohta lisateabe saamiseks klõpsake Microsofti teabebaasis artikli kuvamiseks järgmist artiklinumbrit:

kuidas varundada ja taastada Windowsi registritTeise võimalusena lülitage SMB allkirjastamine serveris registri muutmise teel. Selleks toimige järgmiselt.

  1. Klõpsake nuppu Start, käsku Käivita, tippige regeditja klõpsake OK.

  2. Leidke järgmine alamvõti ja klõpsake seda:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

  3. Klõpsake enablesecuritysignature kirjet.

  4. Klõpsake menüü Redigeeri käsku Muuda.

  5. Väljale Value data tippige 0ja klõpsake nuppu OK.

  6. Sulgege registriredaktor.

  7. Taaskäivitage arvuti, või peatuda ja siis uuesti serveri teenus. Selleks tippige käsuviibale järgmised käsud ja pärast iga käsu tippimist vajutage sisestusklahvi Enter:
    net stop server
    net start server

Märkus. Kliendi arvutis vastavat klahvi on järgmine registri alamvõti:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\ParametersJärgneb loend tõlgitud viga koodnumbrid olekukoodid ja arvamuse tõrketeated, mis on varem mainitud.

tõrge 5
ERROR_ACCESS_DENIED

Juurdepääs on keelatud.

tõrge 1326

ERROR_LOGON_FAILURE

Sisselogimistõrge: Tundmatu kasutajanimi või vale parool.

tõrge 1788

ERROR_TRUSTED_DOMAIN_FAILURE

Esmase domeeni ja usaldusväärse domeeni usaldussuhe nurjus.

tõrge 1789

ERROR_TRUSTED_RELATIONSHIP_FAILURE

See tööjaam usaldussuhe esmase nurjus.

Lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artiklite kuvamiseks järgmisi artiklinumbreid:

kuidas seadistada rühmapoliitikate seatud turvalisus süsteemiteenuste jaoks Windows Server 2003
 

kuidas võimaldada SMB teenusesse Windows NT-s
 

kuidas rakendada eelmääratletud Turvalisus mallide Windows Server 2003
 

tuleb esitada Windowsi konto mandaat, kui ühendate Exchange Server 2003 Outlook 2003 RPC over HTTP funktsiooni abil

Kas vajate veel abi?

Täiendage oma oskusi
Tutvuge koolitusmaterjalidega
Kasutage uusi funktsioone enne teisi
Liitu Microsofti Insideri programmis osalejad

Kas sellest teabest oli abi?

Täname tagasiside eest!

Täname tagasiside eest! Tundub, et võiksime teid kokku viia ühega meie Office'i tugiagentidest, kes aitab teil probleemi lahendada.

×