Asiakas-, palvelu- ja ohjelmaongelmia voi ilmetä, jos muutat suojausasetuksia ja käyttöoikeuksia

Windows XP

Voit lisätä väärin määritettyjen suojausasetusten tuntemusta muuttamalla suojausasetuksia ryhmäkäytäntö Objektieditori-työkalulla. Kun käytät objektieditoria ryhmäkäytäntö, käyttöoikeuksien määritystä tehostetaan seuraavissa käyttöjärjestelmissä:

• Windows XP Professional Service Pack 2 (SP2)

• Windows Server 2003 Service Pack 1 (SP1)

Parannettu ominaisuus on valintaikkuna, joka sisältää linkin tähän artikkeliin. Valintaikkuna tulee näkyviin, kun muutat suojausasetuksen tai käyttöoikeuksien määrityksen asetukseksi, joka vähentää yhteensopivuutta ja on rajoittavampi. Jos muutat samaa suojausasetusta tai käyttöoikeuksien määritystä suoraan rekisterin tai suojausmallien avulla, vaikutus on sama kuin ryhmäkäytäntö Objektieditorin asetuksen muuttaminen. Valintaikkuna, joka sisältää linkin tähän artikkeliin, ei kuitenkaan näy.

Tässä artikkelissa on esimerkkejä asiakkaista, ohjelmista ja toiminnoista, joihin tietyt suojausasetukset tai käyttöoikeuksien määritykset vaikuttavat. Esimerkit eivät kuitenkaan ole arvovaltaisia kaikille Microsoft-käyttöjärjestelmille, kaikille kolmannen osapuolen käyttöjärjestelmille tai kaikille ohjelmaversioille, joihin ongelma vaikuttaa. Kaikki suojausasetukset ja käyttöoikeuksien määritykset eivät sisälly tähän artikkeliin.

Suosittelemme, että tarkistat kaikkien suojaukseen liittyvien määritysmuutosten yhteensopivuuden testipuuryhmässä ennen niiden käyttöönottoa tuotantoympäristössä. Testipuuryhmän on peilattava tuotantopuuryhmä seuraavasti:

• Asiakas- ja palvelinkäyttöjärjestelmäversiot, asiakas- ja palvelinohjelmat, Service Pack -versiot, hotfix-korjaukset, rakennemuutokset, käyttöoikeusryhmät, ryhmäjäsenyydet, tiedostojärjestelmän objektien käyttöoikeudet, jaetut kansiot, rekisteri, Active Directory -hakemistopalvelu, paikalliset ja ryhmäkäytäntö asetukset sekä objektien määrän tyyppi ja sijainti

• Suoritettavat hallintatehtävät, käytettävät hallintatyökalut ja käyttöjärjestelmät, joita käytetään hallintatehtävien suorittamiseen

• Suoritettavat toiminnot, kuten seuraavat:

  • Tietokoneen ja käyttäjän kirjautumistodennus

  • Käyttäjien, tietokoneiden ja järjestelmänvalvojien tekemät salasanan palautukset

  • Selaaminen

  • Tiedostojärjestelmän, jaettujen kansioiden, rekisterin ja Active Directory -resurssien käyttöoikeuksien määrittäminen ACL Editorin avulla kaikissa asiakaskäyttöjärjestelmissä kaikissa asiakaskäyttöjärjestelmissä tai kaikkien asiakaskäyttöjärjestelmien tai resurssitoimialueiden asiakaskäyttöjärjestelmissä kaikista tili- tai resurssitoimialueista

  • Tulostaminen hallinnollisista tileistä ja ei-hallinnollisista tileistä

Windows Server 2003 SP1

Käyttöoikeudet

Seuraavassa luettelossa kuvataan käyttäjäoikeus, määritetään määritysasetukset, jotka voivat aiheuttaa ongelmia, kuvataan, miksi käyttäjä kannattaa käyttää oikein ja miksi haluat ehkä poistaa käyttäjän oikeuden, ja annetaan esimerkkejä yhteensopivuusongelmista, joita voi ilmetä, kun käyttäjäoikeus määritetään.

1. Käytä tätä tietokonetta verkosta

   1. Tausta
      
      Mahdollisuus käyttää Windows-etätietokoneita edellyttää, että Käytä tätä tietokonetta verkon käyttäjältä oikealle. Tällaisia verkkotoimintoja ovat esimerkiksi seuraavat:

      • Active Directoryn replikointi toimialueen ohjauskoneiden välillä yhteisessä toimialueessa tai toimialuepuuryhmässä

      • Todennuspyynnöt toimialueen ohjauskoneisiin käyttäjiltä ja tietokoneilta

      • Jaettujen kansioiden, tulostimien ja muiden verkon etätietokoneissa sijaitsevien järjestelmäpalvelujen käyttäminen

      
      
      Käyttäjät, tietokoneet ja palvelutilit saavat tai menettävät Tämän tietokoneen käyttöoikeuden verkon käyttäjältä, koska heidät lisätään tai poistetaan epäsuorasti käyttöoikeusryhmästä, jolle on myönnetty tämä käyttöoikeus. Esimerkiksi käyttäjätili tai tietokonetili voidaan erikseen lisätä mukautettuun käyttöoikeusryhmään tai sisäiseen käyttöoikeusryhmään järjestelmänvalvojan toimesta tai käyttöjärjestelmä voi lisätä sen implisiittisesti laskettuun käyttöoikeusryhmään, kuten toimialueen käyttäjät, todennetut käyttäjät tai yrityksen toimialueen ohjauskoneet.
      
      Käyttäjätileille ja tietokonetileille myönnetään oletusarvoisesti Käyttöoikeus tähän tietokoneeseen verkon käyttäjältä oikealle, kun lasketut ryhmät, kuten Kaikki tai mieluiten Todennetut käyttäjät, ja toimialueen ohjauskoneiden kohdalla Yrityksen toimialueen ohjauskoneet -ryhmä määritetään oletustoimialueen ohjauskoneissa ryhmäkäytäntö Object (GPO).

   2. Riskialttiit määritykset
      
      Seuraavat ovat haitallisia määritysasetuksia:

      • Enterprise Domain Controllers -käyttöoikeusryhmän poistaminen tältä käyttäjältä

      • Todennetut käyttäjät -ryhmän tai eksplisiittisen ryhmän poistaminen, jonka avulla käyttäjät, tietokoneet ja palvelutilit voivat muodostaa yhteyden tietokoneisiin verkon kautta

      • Kaikkien käyttäjien ja tietokoneiden poistaminen tästä käyttäjästä

   3. Syitä myöntää tälle käyttäjälle oikeus

      • Tämän tietokoneen myöntäminen verkon käyttäjältä Enterprise Domain Controllers -ryhmälle täyttää todennusvaatimukset, jotka Active Directoryn replikoinnin on oltava, jotta replikointi tapahtuu saman toimialueen ohjauskoneiden välillä samassa toimialuepuuryhmässä.

      • Tämän käyttäjäoikeuden avulla käyttäjät ja tietokoneet voivat käyttää jaettuja tiedostoja, tulostimia ja järjestelmäpalveluja, myös Active Directorya.

      • Tämä käyttäjäoikeus on pakollinen, jotta käyttäjät voivat käyttää sähköpostia Microsoft Outlook Web Accessin (OWA) varhaisissa versioissa.

   4. Syitä poistaa tämä käyttäjäoikeus

      • Käyttäjät, jotka voivat yhdistää tietokoneensa verkkoon, voivat käyttää etätietokoneiden resursseja, joihin heillä on käyttöoikeudet. Käyttäjä tarvitsee tämän oikeuden esimerkiksi yhteyden muodostamiseen jaettuihin tulostimiin ja kansioihin. Jos tämä käyttäjäoikeus myönnetään Kaikki-ryhmälle ja joillakin jaetuilla kansioilla on sekä jaetun kansion että NTFS-tiedostojärjestelmän käyttöoikeudet määritettynä siten, että samalla ryhmällä on lukuoikeudet, kuka tahansa voi tarkastella näiden jaettujen kansioiden tiedostoja. Tämä on kuitenkin epätodennäköinen tilanne Windows Server 2003:n uusissa asennuksissa, koska Windows Server 2003:n oletusresurssi ja NTFS-käyttöoikeudet eivät sisällä Kaikki-ryhmää. Microsoft Windows NT 4.0- tai Windows 2000 -versiosta päivitetyissä järjestelmissä tämä haavoittuvuus voi aiheuttaa suuremman riskin, koska näiden käyttöjärjestelmien oletusresurssi ja tiedostojärjestelmän käyttöoikeudet eivät ole yhtä rajoittavia kuin Windows Server 2003:n oletuskäyttöoikeudet.

      • Yrityksen toimialueen ohjauskoneiden ryhmän poistamiseen tästä käyttäjästä ei ole kelvollista syytä.

      • Kaikki-ryhmä poistetaan yleensä Todennetut käyttäjät -ryhmän eduksi. Jos Kaikki-ryhmä poistetaan, Todennetut käyttäjät -ryhmälle on myönnettävä tämä käyttäjäoikeus.

      • Windows NT 4.0-toimialueet, jotka on päivitetty Windows 2000:ksi, eivät nimenomaisesti myönnä Access tälle tietokoneelle verkon käyttäjältä oikeutta Kaikki-ryhmään, Todennetut käyttäjät -ryhmään tai Yrityksen toimialueen ohjauskoneet -ryhmään. Kun poistat Kaikki-ryhmän Windows NT 4.0 -toimialuekäytännöstä, Active Directoryn replikointi epäonnistuu ja näyttöön tulee "Käyttö estetty" -virhesanoma Windows 2000 -päivityksen jälkeen. Winnt32.exe Windows Server 2003:ssa välttää tämän virheellisen määrittämisen myöntämällä Enterprise Domain Controllers -ryhmälle tämän käyttäjän oikeuden päivittää Windows NT 4.0:n ensisijaiset toimialueen ohjauskoneet (PC-tietokoneet). Myönnä Enterprise Domain Controllers -ryhmälle tämä käyttäjä oikeus, jos se ei ole ryhmäkäytäntö Objektieditorissa.

   5. Esimerkkejä yhteensopivuusongelmista

      • Windows 2000 ja Windows Server 2003: Seuraavien osioiden replikointi epäonnistuu, ja "Käyttö estetty" -virheitä ilmenee valvontatyökaluissa, kuten REPLMON ja REPADMIN, tai replikointitapahtumissa tapahtumalokissa.

        • Active Directory -rakenneosio

        • Määritysosio

        • Toimialueosio

        • Yleinen luetteloosio

        • Sovellusosio

      • Kaikki Microsoft-verkon käyttöjärjestelmät: Käyttäjätilien todennus etäverkkoasiakastietokoneista epäonnistuu, ellei käyttäjälle tai käyttöoikeusryhmälle, jonka jäsen käyttäjä on, ole myönnetty tätä käyttöoikeutta.

      • Kaikki Microsoft-verkon käyttöjärjestelmät: Etäverkkoasiakkaiden tilin todennus epäonnistuu, ellei tilille tai käyttöoikeusryhmälle, jonka jäsen tili on, ole myönnetty tätä käyttöoikeutta. Tämä skenaario koskee käyttäjätilejä, tietokonetilejä ja palvelutilejä.

      • Kaikki Microsoft-verkon käyttöjärjestelmät: Kaikkien tilien poistaminen tältä käyttäjäoikeudelta estää tiliä kirjautumasta toimialueeseen tai käyttämästä verkkoresursseja. Jos lasketut ryhmät, kuten Yrityksen toimialueen ohjauskoneet, Kaikki tai Todennetut käyttäjät, poistetaan, sinun on erikseen myönnettävä tälle käyttäjälle oikeus tileihin tai käyttöoikeusryhmiin, joihin tili kuuluu, jotta hän voi käyttää etätietokoneita verkon kautta. Tämä skenaario koskee kaikkia käyttäjätilejä, kaikkia tietokonetilejä ja kaikkia palvelutilejä.

      • Kaikki Microsoft-verkon käyttöjärjestelmät: Paikallinen järjestelmänvalvojan tili käyttää "tyhjää" salasanaa. Verkkoyhteys tyhjillä salasanoilla ei ole sallittu järjestelmänvalvojan tileillä toimialueympäristössä. Tämän määrityksen avulla saat käyttö estetty -virhesanoman.

2. Salli kirjautuminen paikallisesti

   1. Tausta
      
      Käyttäjillä, jotka yrittävät kirjautua sisään Windows-pohjaisen tietokoneen konsolissa (käyttämällä CTRL+ALT+DELETE-pikanäppäintä) ja tileillä, jotka yrittävät käynnistää palvelun, on oltava paikalliset kirjautumisoikeudet isännöintitietokoneessa. Paikallisia kirjautumistoimintoja ovat esimerkiksi järjestelmänvalvojat, jotka kirjautuvat jäsentietokoneiden konsoleihin, tai toimialueen ohjauskoneet yrityksen ja toimialueen käyttäjillä, jotka kirjautuvat jäsentietokoneisiin ja käyttävät työpöytiä ei-etuoikeutetuilla tileillä. Etätyöpöytäyhteyttä tai päätepalveluja käyttävillä käyttäjillä on oltava Salli kirjautuminen paikallisesti -asetus suoraan kohdetietokoneissa, joissa on Windows 2000 tai Windows XP, koska näitä kirjautumistiloja pidetään isäntätietokoneen paikallisina. Käyttäjät, jotka kirjautuvat palvelimeen, jossa päätepalvelin on käytössä ja joilla ei ole tätä käyttäjäoikeutta, voivat silti aloittaa vuorovaikutteisen etäistunnon Windows Server 2003 -toimialueissa, jos heillä on Salli kirjautuminen päätepalveluiden kautta -käyttäjäoikeus.

   2. Riskialttiit määritykset
      
      Seuraavat ovat haitallisia määritysasetuksia:

      • Järjestelmänvalvojan käyttöoikeusryhmien, kuten tilioperaattoreiden, varmuuskopiointioperaattoreiden, tulostusoperaattoreiden tai palvelinoperaattoreiden, ja valmiiden järjestelmänvalvojien ryhmän poistaminen oletustoimialueen ohjauskoneen käytännöstä.

      • Oletustoimialueen ohjauskoneen käytännön poistaminen palvelutileistä, joita komponentit ja ohjelmat käyttävät jäsentietokoneissa ja toimialueen ohjauskoneissa.

      • Poistetaan käyttäjiä tai käyttöoikeusryhmiä, jotka kirjautuvat toimialueen jäsentietokoneiden konsoliin.

      • Poistetaan palvelutilejä, jotka on määritetty jäsentietokoneiden tai työryhmätietokoneiden paikallisessa Security Accounts Manager (SAM) -tietokannassa.

      • Poistetaan ei-sisäänrakennettuja järjestelmänvalvojatilejä, jotka todennetaan toimialueen ohjauskoneessa suoritettavissa päätepalveluissa.

      • Kaikkien toimialueen käyttäjätilien lisääminen eksplisiittisesti tai implisiittisesti Kaikki-ryhmän kautta estä kirjautuminen paikallisesti -oikealle. Tämä määritys estää käyttäjiä kirjautumasta sisään mihin tahansa jäsentietokoneelle tai toimialueen ohjauskoneeseen.

   3. Syitä myöntää tälle käyttäjälle oikeus

      • Käyttäjillä on oltava Salli kirjautuminen paikallisesti -oikeus, jotta he voivat käyttää työryhmätietokoneen, jäsentietokoneen tai toimialueen ohjauskoneen konsolia tai työpöytää.

      • Käyttäjillä on oltava oikeus kirjautua sisään Päätepalvelut-istuntoon, joka on käynnissä Windows 2000 -pohjaisessa jäsentietokoneessa tai toimialueen ohjauskoneessa.

   4. Syitä poistaa tämä käyttäjäoikeus

      • Jos konsolin käyttöoikeuksia ei rajoita laillisille käyttäjätileille, luvattomat käyttäjät voivat ladata ja suorittaa haitallista koodia muuttaakseen käyttöoikeuksiaan.

      • Salli kirjautuminen paikallisesti -oikeuden poistaminen estää luvattomia kirjautumisia tietokoneiden konsoleihin, kuten toimialueen ohjauskoneisiin tai sovelluspalvelimiin.

      • Tämän kirjautumisoikeuden poistaminen estää toimialueen ulkopuolisia tilejä kirjautumasta sisään toimialueen jäsentietokoneiden konsolissa.

   5. Esimerkkejä yhteensopivuusongelmista

      • Windows 2000 -päätepalvelimet: Salli kirjautuminen paikallisesti -oikeus tarvitaan, jotta käyttäjät voivat kirjautua Windows 2000 -päätepalvelimiin.

      • Windows NT 4.0, Windows 2000, Windows XP tai Windows Server 2003: Käyttäjätileille on myönnettävä käyttäjälle oikeus kirjautua konsoliin tietokoneissa, joissa on Windows NT 4.0, Windows 2000, Windows XP tai Windows Server 2003.

      • Windows NT 4.0 ja uudemmat versiot: Jos tietokoneissa, joissa on Windows NT 4.0 tai uudempi versio, jos lisäät Salli kirjautuminen paikallisesti -oikeuden, mutta myönnät epäsuorasti tai erikseen myös Estä kirjautuminen paikallisesti -oikeuden, tilit eivät voi kirjautua toimialueen ohjauskoneiden konsoliin.

3. Ohita läpikulun tarkistus

   1. Tausta
      
      Ohita läpikulun tarkistus -käyttäjän oikealla toiminnolla käyttäjä voi selata kansioita NTFS-tiedostojärjestelmässä tai rekisterissä tarkistamatta Traverse-kansion erityiskäyttöoikeuksia. Ohita läpiviennin tarkistus -käyttäjän oikeus ei salli käyttäjän luetella kansion sisältöä. Sen avulla käyttäjä voi kulkea vain kansioidensa läpi.

   2. Riskialttiit määritykset
      
      Seuraavat ovat haitallisia määritysasetuksia:

      • Poistetaan muita kuin järjestelmänvalvojatilejä, jotka kirjautuvat Windows 2000 -pohjaisiin Päätepalvelut-tietokoneisiin tai Windows Server 2003 -pohjaisiin päätepalvelutietokoneisiin, joilla ei ole tiedostojärjestelmän tiedostojen ja kansioiden käyttöoikeuksia.

      • Poistetaan Kaikki-ryhmä suojauspäämiesten luettelosta, joilla on tämä käyttäjä oletusarvoisesti oikeus. Windows-käyttöjärjestelmät ja myös monet ohjelmat on suunniteltu siten, että kuka tahansa, joka voi laillisesti käyttää tietokonetta, saa Ohitus läpiviennin tarkistavan käyttäjän oikeudet. Siksi Kaikki-ryhmän poistaminen niiden suojauspäämiesten luettelosta, joilla on tämä käyttäjä oletusarvoisesti oikeus, voi aiheuttaa käyttöjärjestelmän epävakautta tai ohjelmavirheen. On parempi, että jätät tämän asetuksen oletusasetukseksi.

   3. Syitä myöntää tälle käyttäjälle oikeus
      
      Ohita läpikulun tarkistuksen käyttäjäoikea -asetuksen oletusasetus on sallia, että kuka tahansa voi ohittaa läpikulun tarkistuksen. Kokeneille Windows-järjestelmänvalvojille tämä on odotettu toimintatapa, ja he määrittävät tiedostojärjestelmän käyttöoikeuksien hallintaluettelot vastaavasti. Oletusmääritys voi johtaa vahinkoon vain, jos käyttöoikeuksia määrittävä järjestelmänvalvoja ei ymmärrä toimintaa ja olettaa, että käyttäjät, jotka eivät voi käyttää pääkansiota, eivät voi käyttää alikansioiden sisältöä.

   4. Syitä poistaa tämä käyttäjäoikeus
      
      Jos haluat estää tiedostojen tai kansioiden käytön tiedostojärjestelmässä, suojausta erittäin huolestuneita organisaatioita saattaa houkuttaa poistaa Kaikki-ryhmä tai jopa Käyttäjät-ryhmä niiden ryhmien luettelosta, joiden ohitustarkistuskäyttäjällä on oikeus.

   5. Esimerkkejä yhteensopivuusongelmista

      • Windows 2000, Windows Server 2003: Jos Ohita läpiviennin tarkistuksen käyttäjäoikeus poistetaan tai se on määritetty väärin tietokoneissa, joissa on Windows 2000 tai Windows Server 2003, ryhmäkäytäntö asetukset SYVOL-kansiossa eivät replikoi toimialueen ohjauskoneiden välillä.

      • Windows 2000, Windows XP Professional, Windows Server 2003: Tietokoneet, joissa on Windows 2000, Windows XP Professional tai Windows Server 2003, kirjaavat tapahtumat 1000 ja 1202, eivätkä ne voi käyttää tietokonekäytäntöä ja käyttäjäkäytäntöä, kun pakolliset tiedostojärjestelmän käyttöoikeudet poistetaan SYSVOL-puusta, jos Ohita läpiviennin tarkistus käyttäjäoikeus on poistettu tai se on määritetty väärin.
        
         

      • Windows 2000, Windows Server 2003: Windows 2000- tai Windows Server 2003 -tietokoneissa Resurssienhallinnan Kiintiö-välilehti katoaa, kun tarkastelet aseman ominaisuuksia.

      • Windows 2000: Muut kuin järjestelmänvalvojat, jotka kirjautuvat Windows 2000 -päätepalvelimeen, voivat saada seuraavan virhesanoman:

        Userinit.exe sovellusvirhe. Sovelluksen alustaminen epäonnistui 0xc0000142 lopettaa sovelluksen valitsemalla OK.

      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Käyttäjät, joiden tietokoneissa on Windows NT 4.0, Windows 2000, Windows XP tai Windows Server 2003, eivät ehkä voi käyttää jaettuja kansioita tai tiedostoja jaetuissa kansioissa, ja he voivat saada Käyttö estetty -virhesanomia, jos heille ei myönnetä Ohita käyttäjän läpikulun tarkistus -oikeutta.
        
        
         

      • Windows NT 4.0: Windows NT 4.0-pohjaisissa tietokoneissa Ohita läpiviennin tarkistuksen käyttäjäoikeuten poistaminen aiheuttaa sen, että tiedostokopio pudottaa tiedostovirtoja. Jos poistat tämän käyttäjän oikeuden, kun tiedosto kopioidaan Windows-asiakasohjelmasta tai Macintosh-asiakasohjelmasta Windows NT 4.0 -toimialueen ohjauskoneeseen, jossa on käytössä Services for Macintosh, kohdetiedostovirta menetetään ja tiedosto näkyy vain tekstitiedostona.

      • Microsoft Windows 95, Microsoft Windows 98: Jos asiakastietokoneessa on Windows 95 tai Windows 98, verkon käyttö * /home-komento epäonnistuu ja näyttöön tulee "Käyttö estetty" -virhesanoma, jos Todennetut käyttäjät -ryhmälle ei myönnetä Ohita läpiviennin tarkistus -käyttäjäoikeutta.

      • Outlook Web Access: Muut kuin järjestelmänvalvojat eivät voi kirjautua Microsoft Outlook Web Accessiin, ja he saavat Käyttö estetty -virhesanoman, jos heille ei myönnetä Ohita läpikulun tarkistus -käyttäjäoikeutta.

Suojausasetukset

Seuraavassa luettelossa on suojausasetus, ja sisäkkäinen luettelo sisältää kuvauksen suojausasetuksesta, tunnistaa määritysasetukset, jotka voivat aiheuttaa ongelmia, kuvailee, miksi suojausasetusta kannattaa käyttää, ja kuvailee sitten syitä, miksi haluat ehkä poistaa suojausasetuksen. Sisäkkäinen luettelo antaa sitten symbolisen nimen suojausasetukselle ja suojausasetuksen rekisteripolulle. Esimerkkejä yhteensopivuusongelmista, joita voi ilmetä suojausasetusta määritettäessä.

1. Valvonta: Sammuta järjestelmä heti, jos suojaustarkituksia ei voi kirjata

   1. Tausta

      • Valvonta: Sammuta järjestelmä heti, jos suojaustarkituksia ei voi kirjata -asetus määrittää, sammuuko järjestelmä, jos et voi kirjata suojaustapahtumia. Tämä asetus on pakollinen TCSEC (Trusted Computer Security Evaluation Criteria) -ohjelman C2-arvioinnissa ja tietotekniikan suojauksen arvioinnin yleisille kriteereille, jotta voidaan estää valvottavat tapahtumat, jos valvontajärjestelmä ei pysty kirjaamaan näitä tapahtumia. Jos valvontajärjestelmä epäonnistuu, järjestelmä sammutetaan ja näkyviin tulee Stop-virhesanoma.

      • Jos tietokone ei pysty tallentamaan tapahtumia suojauslokiin, tärkeät todisteet tai tärkeät vianmääritystiedot eivät ehkä ole luettavissa suojaustapauksen jälkeen.

   2. Riskialtis määritys
      
      Seuraava on haitallinen määritysasetus: Valvonta: Sammuta järjestelmä heti, jos suojaustarkituksia ei voi kirjata -asetus on käytössä, ja suojaustapahtumalokin kokoa rajoittaa Älä korvaa tapahtumia (poista loki manuaalisesti), Korvaa tapahtumat tarvittaessa -vaihtoehto tai Korvaa tapahtumat, jotka ovat vanhempia kuin numeropäivät -vaihtoehto Tapahtumienvalvonta. Yhteensopivuusongelmien esimerkkejä -osiossa on tietoja erityisriskeistä tietokoneille, joissa on käytössä Windows 2000:n, Windows 2000 Service Pack 1:n (SP1), Windows 2000 SP2:n tai Windows 2000 SP3:n alkuperäinen versio.

   3. Syitä ottaa tämä asetus
      
      käyttöön Jos tietokone ei pysty tallentamaan tapahtumia suojauslokiin, tärkeät todisteet tai tärkeät vianmääritystiedot eivät ehkä ole luettavissa suojaustapauksen jälkeen.

   4. Syitä poistaa tämä asetus käytöstä

      • Valvonta: Sammuta järjestelmä heti, jos suojaustarkituksia ei voi kirjata -asetus pysäyttää järjestelmän, jos suojaustarkistinta ei jostain syystä voida kirjata. Yleensä tapahtumaa ei voi kirjata, kun suojauksen valvontaloki on täynnä ja kun sen määritetty säilytysmenetelmä on joko Älä korvaa tapahtumia (tyhjennä loki manuaalisesti) -vaihtoehto tai Korvaa tapahtumat, jotka ovat vanhempia kuin numeropäivät -vaihtoehto.

      • Valvonta: Sammuta järjestelmä välittömästi, jos suojaustarkituksia ei voi kirjata -asetus voi olla erittäin suuri, varsinkin jos otat käyttöön myös Älä korvaa tapahtumia (tyhjennä loki manuaalisesti) -asetuksen suojauslokille. Tämä asetus määrittää operaattorin toimintojen yksilöllisen vastuullisuuden. Järjestelmänvalvoja voi esimerkiksi palauttaa kaikkien käyttäjien, tietokoneiden ja ryhmien käyttöoikeudet organisaatioyksikössä( OU), jossa valvonta on otettu käyttöön käyttämällä sisäistä järjestelmänvalvojatiliä tai muuta jaettua tiliä, ja estää sitten näiden oikeuksien palauttamisen. Asetuksen ottaminen käyttöön vähentää kuitenkin järjestelmän toimivuutta, koska palvelin saatetaan pakottaa sammumaan, koska se saatetaan pakottaa pakottamaan se kirjautumistapahtumilla ja muilla suojaustapahtumilla, jotka on kirjoitettu suojauslokiin. Lisäksi, koska sammutus ei ole siro, käyttöjärjestelmälle, ohjelmille tai tiedoille voi aiheutua korjaamatonta vahinkoa. Vaikka NTFS takaa, että tiedostojärjestelmän eheys säilyy järjestelmän sammutuksen aikana, se ei voi taata, että jokaisen ohjelman jokainen datatiedosto on edelleen käyttökelpoisessa muodossa, kun järjestelmä käynnistyy uudelleen.

   5. Symbolinen nimi:
      
      CrashOnAuditFail

   6. Rekisteripolku:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

   7. Esimerkkejä yhteensopivuusongelmista

      • Windows 2000: Virheen vuoksi tietokoneet, joissa on windows 2000:n, Windows 2000 SP1:n, Windows 2000 SP2:n tai Windows Server SP3:n alkuperäinen julkaistu versio, saattavat lopettaa kirjaamisen, ennen kuin suojaustapahtumalokin Lokin enimmäiskoko -vaihtoehdossa määritetty koko saavutetaan. Tämä virhe on korjattu Windows 2000 Service Pack 4:ssä (SP4). Varmista, että Windows 2000 -toimialueen ohjauskoneisiin on asennettu Windows 2000 Service Pack 4, ennen kuin harkitset tämän asetuksen käyttöönottoa.
        
         

      • Windows 2000, Windows Server 2003: Tietokoneet, joissa on Windows 2000 tai Windows Server 2003, saattavat lakata vastaamasta ja voivat sitten käynnistyä uudelleen spontaanisti, jos Valvonta: Sammuta järjestelmä heti, jos suojaustarkituksia ei voi kirjata -asetus on käytössä, suojausloki on täynnä eikä olemassa olevaa tapahtumalokimerkintää voi korvata. Kun tietokone käynnistyy uudelleen, näyttöön tulee seuraava Stop-virhesanoma:

        STOP: C0000244 {Audit Failed}
        Yritys luoda suojaustarkistin epäonnistui.

        Jos haluat palauttaa, järjestelmänvalvojan on kirjauduttava sisään, arkistoitava suojausloki (valinnainen), tyhjennä suojausloki ja palautettava sitten tämä asetus (valinnainen ja tarvittaessa).

      • Microsoft Network Client for MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Muut kuin järjestelmänvalvojat, jotka yrittävät kirjautua sisään toimialueeseen, saavat seuraavan virhesanoman:

        Tilisi on määritetty estämään sinua käyttämästä tätä tietokonetta. Kokeile toista tietokonetta.

      • Windows 2000: Windows 2000 -tietokoneissa muut kuin järjestelmänvalvojat eivät voi kirjautua etäkäyttöpalvelimiin, ja he saavat seuraavankaltaisen virhesanoman:

        Tuntematon käyttäjä tai virheellinen salasana

      • Windows 2000: Windows 2000 -toimialueen ohjauskoneissa paikan päällä oleva viestintäpalvelu (Ismserv.exe) pysähtyy eikä sitä voi käynnistää uudelleen. DCDIAG ilmoittaa virheestä "epäonnistuneet testipalvelut ISMserv", ja tapahtumatunnus 1083 rekisteröidään tapahtumalokiin.

      • Windows 2000: Windows 2000 -toimialueen ohjauskoneissa Active Directoryn replikointi epäonnistuu ja näkyviin tulee "Käyttö estetty" -viesti, jos suojaustapahtumaloki on täynnä.

      • Microsoft Exchange 2000: Exchange 2000 -palvelimet eivät voi ottaa tietosäilön tietokantaa käyttöön, ja tapahtuma 2102 rekisteröidään tapahtumalokiin.

      • Outlook, Outlook Web Access: Muut kuin järjestelmänvalvojat eivät voi käyttää sähköpostiaan Microsoft Outlookin tai Microsoft Outlook Web Accessin kautta, ja he saavat 503-virheen.

2. Toimialueen ohjauskone: LDAP-palvelimen allekirjoitusvaatimukset

   1. Tausta
      
      Toimialueen ohjauskone: LDAP-palvelimen allekirjoitusvaatimusten suojausasetus määrittää, edellyttääkö LDAP (Lightweight Directory Access Protocol) -palvelin tietojen allekirjoittamisesta LDAP-asiakkaita. Tämän käytäntöasetuksen mahdolliset arvot ovat seuraavat:

      • Ei mitään: Tietojen allekirjoittamista ei tarvita sidontaan palvelimeen. Jos asiakas pyytää tietojen allekirjoittamista, palvelin tukee sitä.

      • Edellyttää allekirjoittamista: LDAP-tietojen allekirjoitusvaihtoehdosta on neuvoteltava, ellei Transport Layer Security/Secure Socket Layer (TLS/SSL) ole käytössä.

      • ei määritetty: Tätä asetusta ei ole otettu käyttöön tai poistettu käytöstä.

   2. Riskialttiit määritykset
      
      Seuraavat ovat haitallisia määritysasetuksia:

      • Ota käyttöön Edellytä sisäänkirjautumista ympäristöissä, joissa asiakasohjelmat eivät tue LDAP-allekirjoitusta tai joissa asiakaspuolen LDAP-allekirjoitusta ei ole otettu käyttöön asiakasohjelmassa

      • Windows 2000:n tai Windows Server 2003 Hisecdc.inf -suojausmallin käyttäminen ympäristöissä, joissa asiakkaat eivät tue LDAP-allekirjoitusta tai joissa asiakaspuolen LDAP-allekirjoitusta ei ole otettu käyttöön

      • Windows 2000:n tai Windows Server 2003 Hisecws.inf -suojausmallin käyttäminen ympäristöissä, joissa asiakasohjelmat eivät tue LDAP-allekirjoitusta tai joissa asiakaspuolen LDAP-allekirjoitusta ei ole otettu käyttöön

   3. Syitä ottaa tämä asetus
      
      käyttöön Allekirjoittamaton verkkoliikenne on altis mies-keskimmäisille hyökkäyksille, joissa tunkeilija sieppaa paketteja asiakkaan ja palvelimen välillä, muokkaa paketteja ja lähettää ne sitten palvelimeen. Kun tämä tapahtuu LDAP-palvelimessa, hyökkääjä voi saada palvelimen tekemään päätöksiä, jotka perustuvat LDAP-asiakasohjelman vääriin kyselyihin. Voit pienentää tätä riskiä yritysverkossa ottamalla käyttöön vahvoja fyysisiä turvatoimia verkkoinfrastruktuurin suojaamiseksi. IPSec (Internet Protocol Security) -todennustunnistetila voi auttaa estämään mies-keskimmäisen hyökkäyksen. Todennuksen otsikkotila suorittaa molemminpuolisen todentamisen ja paketin eheyden IP-liikenteelle.

   4. Syitä poistaa tämä asetus käytöstä

      • Asiakkaat, jotka eivät tue LDAP-allekirjoitusta, eivät voi suorittaa LDAP-kyselyjä toimialueen ohjauskoneita ja yleisiä luetteloita vastaan, jos NTLM-todentamisesta neuvotellaan ja jos oikeita Service Pack -paketteja ei asenneta Windows 2000 -toimialueen ohjauskoneisiin.

      • Asiakkaiden ja palvelimien välisen LDAP-liikenteen verkkojäljet salataan. Tämä vaikeuttaa LDAP-keskustelujen tutkimista.

      • Windows 2000 -pohjaisissa palvelimissa on oltava Windows 2000 Service Pack 3 (SP3) tai ne on asennettava, kun niitä hallitaan LDAP-allekirjoitusta tukevilla ohjelmilla, jotka suoritetaan asiakastietokoneista, joissa on Windows 2000 SP4, Windows XP tai Windows Server 2003.  

   5. Symbolinen nimi:
      
      LDAPServerIntegrity

   6. Rekisteripolku:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

   7. Esimerkkejä yhteensopivuusongelmista

      • Yksinkertaiset sidokset epäonnistuvat, ja näyttöön tulee seuraava virhesanoma:

        Ldap_simple_bind_s() epäonnistui: Vahva todennus vaaditaan.

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Joissakin Windows 2000 SP4-, Windows XP- tai Windows Server 2003 -asiakasohjelmissa jotkin Active Directoryn hallintatyökalut eivät toimi oikein toimialueen ohjauskoneissa, joissa on käytössä SP3-versiota aiempia windows 2000 -versioita, kun NTLM-todennus neuvotellaan.
        
         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Windows 2000 SP4-, Windows XP- tai Windows Server 2003 -asiakasohjelmissa jotkin Active Directory -hallintatyökalut, jotka kohdistuvat SP3:a aiempia Windows 2000 -versioita käyttäviin toimialueen ohjauskoneisiin, eivät toimi oikein, jos ne käyttävät IP-osoitteita (esimerkiksi "dsa.msc /server=x.x.x.x", jossa
        x.x.x.x on IP-osoite.
        
        
         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Windows 2000 SP4-, Windows XP- tai Windows Server 2003 -asiakasohjelmissa jotkin Active Directory -hallintatyökalut, jotka kohdistuvat SP3:a aiempia Windows 2000 -versioita käyttäviin toimialueen ohjauskoneisiin, eivät toimi oikein.
        
         

3. Toimialueen jäsen: Vaadi vahva (Windows 2000 tai uudempi) istuntoavain

   1. Tausta

      • Toimialueen jäsen: Vaadi vahvaa (Windows 2000 tai uudempi) -istuntoavainasetus määrittää, voidaanko suojattu kanava muodostaa toimialueen ohjauskoneella, joka ei voi salata suojattua kanavaliikennettä vahvalla 128-bittisen istuntoavaimen avulla. Tämän asetuksen ottaminen käyttöön estää sellaisen suojatun kanavan luomisen, jossa on mikä tahansa toimialueen ohjauskone, joka ei voi salata suojatun kanavan tietoja vahvalla avaimella. Jos tämä asetus poistetaan käytöstä, 64-bittiset istuntonäppäimet ovat käytettävissä.

      • Ennen kuin voit ottaa tämän asetuksen käyttöön jäsenten työasemassa tai palvelimessa, kaikkien sen toimialueen ohjauskoneiden, johon jäsen kuuluu, on pystyttävä salaamaan suojatun kanavan tiedot vahvalla 128-bittisen avaimen avulla. Tämä tarkoittaa sitä, että kaikissa toimialueen ohjauskoneissa on oltava Windows 2000 tai uudempi versio.

   2. Riskialtis määritys
      
      Toimialueen jäsenen ottaminen käyttöön: Edellytä vahvaa (Windows 2000 tai uudempi) istuntoavainasetusta on haitallinen määritysasetus.

   3. Syitä ottaa tämä asetus käyttöön

      • Istuntoavaimet, joilla luodaan suojattua kanavaviestintää jäsentietokoneiden ja toimialueen ohjauskoneiden välillä, ovat Windows 2000:ssa paljon vahvempia kuin Microsoft-käyttöjärjestelmien aiemmissa versioissa.

      • Kun se on mahdollista, on hyvä hyödyntää näitä vahvempia istuntoavaimia, jotka auttavat suojaamaan suojattua kanavaviestintää salakuuntelulta ja istuntojen kaappaamilta verkkohyökkäyksiltä. Salakuuntelu on pahantahtoisen hyökkäyksen muoto, jossa verkkotietoja luetaan tai muutetaan kuljetuksen aikana. Tietoja voi muokata piilottamaan, muuttamaan lähettäjää tai ohjaamaan ne uudelleen.

      Tärkeää Tietokone, jossa on Windows Server 2008 R2 tai Windows 7, tukee vain vahvoja avaimia, kun käytetään suojattuja kanavia. Tämä rajoitus estää luottamuksen minkä tahansa Windows NT 4.0-pohjaisen toimialueen ja minkä tahansa Windows Server 2008 R2 -pohjaisen toimialueen välillä. Lisäksi tämä rajoitus estää Windows NT 4.0-pohjaisen toimialueen jäsenyyden tietokoneissa, joissa on Windows 7 tai Windows Server 2008 R2, ja päinvastoin.

   4. Syitä poistaa tämä asetus
      
      käytöstä Toimialue sisältää jäsentietokoneita, joissa on muita käyttöjärjestelmiä kuin Windows 2000, Windows XP tai Windows Server 2003.

   5. Symbolinen nimi:
      
      StrongKey

   6. Rekisteripolku:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

   7. Esimerkkejä yhteensopivuusongelmista
      
      Windows NT 4.0: Windows NT 4.0-pohjaisissa tietokoneissa luottamussuhteiden suojattujen kanavien palauttaminen Windows NT 4.0- ja Windows 2000 -toimialueiden välillä NLTEST-funktiolla epäonnistuu. Näkyviin tulee Käyttö estetty -virhesanoma:

      Ensisijaisen toimialueen ja luotetun toimialueen välinen luottamussuhde epäonnistui.
      
      Windows 7 ja Server 2008 R2: Windows 7:ssä ja sitä uudemmissa versioissa sekä Windows Server 2008 R2:ssa ja uudemmissa versioissa tätä asetusta ei enää kunnioiteta, ja vahvaa avainta käytetään aina. Tämän vuoksi Windows NT 4.0-toimialueet eivät enää toimi.

4. Toimialueen jäsen: Salaa tai allekirjoita suojatun kanavan tiedot digitaalisesti (aina)

   1. Tausta

      • Toimialueen jäsenen ottaminen käyttöön: Suojatun kanavan tietojen digitaalinen salaaminen tai allekirjoittaminen (aina) estää suojatun kanavan luomisen sellaisen toimialueen ohjauskoneen kanssa, joka ei voi allekirjoittaa tai salata kaikkia suojattuja kanavatietoja. Windows-tietokoneet luovat verkkotilien todentamista varten viestintäkanavan, jota kutsutaan suojatuksi kanavaksi verkon kirjautumispalvelun kautta, jotta todennusliikenne voidaan suojata lähihyökkäysten, hyökkäysten ja muiden verkkohyökkäysten hyökkäyksiltä. Suojattuja kanavia käytetään myös silloin, kun yhden toimialueen käyttäjä muodostaa yhteyden etätoimialueen verkkoresurssiin. Tämä monitoimialuetodennus eli läpivientitodennus mahdollistaa sen, että toimialueeseen liitetyt Windows-tietokoneet voivat käyttää käyttäjätilitietokantaa toimialueellaan ja luotetuissa toimialueissa.

      • Jotta toimialueen jäsen voidaan ottaa käyttöön: Digitaalisesti salata tai allekirjoittaa suojatun kanavan tiedot (aina) -asetus jäsentietokoneessa, kaikkien sen toimialueen ohjauskoneiden, johon jäsen kuuluu, on voitava allekirjoittaa tai salata kaikki suojatun kanavan tiedot. Tämä tarkoittaa, että kaikkien tällaisten toimialueen ohjauskoneiden on oltava käynnissä Windows NT 4.0 Service Pack 6a :lla (SP6a) tai uudemmissa versioissa.

      • Toimialueen jäsenen ottaminen käyttöön: Suojatun kanavan tietojen digitaalinen salaaminen tai allekirjoittaminen (aina) ottaa automaattisesti käyttöön toimialueen jäsenen: Salaa tai allekirjoita suojatun kanavan tiedot digitaalisesti (jos mahdollista).

   2. Riskialtis määritys
      
      Toimialueen jäsenen ottaminen käyttöön: Suojatun kanavan tietojen digitaalinen salaaminen tai allekirjoittaminen (aina) toimialueissa, joissa kaikki toimialueen ohjauskoneet eivät voi allekirjoittaa tai salata suojattuja kanavatietoja, on haitallinen määritysasetus.

   3. Syitä ottaa tämä asetus
      
      käyttöön Allekirjoittamaton verkkoliikenne on altis mies-keskimmäisille hyökkäyksille, joissa tunkeilija sieppaa paketteja palvelimen ja asiakkaan välillä ja muokkaa niitä ennen niiden edelleenlähettämistä asiakkaalle. Kun tämä tapahtuu LDAP (Lightweight Directory Access Protocol) -palvelimessa, tunkeilija voi saada asiakkaan tekemään päätöksiä, jotka perustuvat LDAP-hakemiston vääriin tietueisiin. Voit pienentää tällaisen yritysverkkoon kohdistuvan hyökkäyksen riskiä ottamalla käyttöön vahvoja fyysisiä turvatoimia verkkoinfrastruktuurin suojaamiseksi. Lisäksi IPSec (Internet Protocol Security) -todentamisen otsikkotilan käyttöönotto voi auttaa estämään mies-keskimmäisen hyökkäyksen. Tämä tila suorittaa ip-liikenteen keskinäisen todennuksen ja paketin eheyden.

   4. Syitä poistaa tämä asetus käytöstä

      • Paikallisten tai ulkoisten toimialueiden tietokoneet tukevat salattuja suojattuja kanavia.

      • Kaikilla toimialueen ohjauskoneilla ei ole asianmukaisia Service Pack -muokkaustasoja salattujen suojattujen kanavien tukemiseksi.

   5. Symbolinen nimi:
      
      StrongKey

   6. Rekisteripolku:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

   7. Esimerkkejä yhteensopivuusongelmista

      • Windows NT 4.0: Windows 2000 -pohjaiset jäsentietokoneet eivät voi liittyä Windows NT 4.0 -toimialueisiin ja saavat seuraavan virhesanoman:

        Tilillä ei ole oikeutta kirjautua sisään tältä asemalta.

        Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jotta voit tarkastella artikkelia Microsoft Knowledge Base -tietokannassa:

        281648 Virhesanoma: Tilillä ei ole oikeutta kirjautua sisään tältä asemalta
         

      • Windows NT 4.0: Windows NT 4.0 -toimialueet eivät pysty muodostamaan alatason luottamusta Windows 2000 -toimialueeseen ja saavat seuraavan virhesanoman:

        Tilillä ei ole oikeutta kirjautua sisään tältä asemalta.

        Aiemmin luodut alatason luottamushenkilöt eivät välttämättä myöskään todenna käyttäjiä luotetusta toimialueesta. Joillakin käyttäjillä voi olla ongelmia kirjautua sisään toimialueeseen, ja he saattavat saada virhesanoman, jonka mukaan asiakas ei löydä toimialuetta.

      • Windows XP: Windows NT 4.0 -toimialueisiin liitetyt Windows XP -asiakkaat eivät voi todentaa kirjautumisyrityksiä, ja ne saattavat saada seuraavan virhesanoman tai seuraavat tapahtumat voidaan rekisteröidä tapahtumalokiin:

        Windows ei voi muodostaa yhteyttä toimialueeseen, koska toimialueen ohjauskone on poissa käytöstä tai se ei muuten ole käytettävissä tai koska tietokonetiliäsi ei löydy

      • Microsoft Network: Microsoft Network -asiakasohjelmat saavat jonkin seuraavista virhesanomista:

        Kirjautumisvirhe: tuntematon käyttäjänimi tai virheellinen salasana.

        Määritetylle kirjautumisistunnolle ei ole käyttäjäistuntoavainta.

5. Microsoft-verkkoasiakas: Viestinnän digitaalinen allekirjoittaminen (aina)

   1. Tausta
      
      Server Message Block (SMB) on resurssien jakamisprotokolla, jota monet Microsoft-käyttöjärjestelmät tukevat. Se on verkon perussyöttö-/lähtöjärjestelmän (NetBIOS) ja monien muiden protokollien perusta. SMB-allekirjoitus todentaa sekä käyttäjän että palvelin, joka isännöi tietoja. Jos jompikumpi osapuoli epäonnistuu todennusprosessissa, tietojen siirtoa ei tapahdu.
      
      SMB-allekirjoituksen ottaminen käyttöön alkaa SMB-protokollaneuvottelun aikana. SMB-allekirjoituskäytännöt määrittävät, allekirjoittaako tietokone aina digitaalisesti asiakasviestintää.
      
      Windows 2000 SMB -todennusprotokolla tukee molemminpuolista todentamista. Molemminpuolinen todennus sulkee "mies keskellä" -hyökkäyksen. Windows 2000 SMB -todennusprotokolla tukee myös viestin todennusta. Viestitodennus auttaa estämään aktiivisia viestihyökkäyksiä. Jos haluat antaa tämän todennuksen, SMB-allekirjoitus lisää digitaalisen allekirjoituksen kuhunkin SMB:hen. Asiakas ja palvelin vahvistavat digitaalisen allekirjoituksen.
      
      Jotta voit käyttää SMB-allekirjoitusta, sinun on otettava SMB-allekirjoitus käyttöön tai vaadittava SMB-allekirjoitusta sekä SMB-asiakasohjelmassa että SMB-palvelimessa. Jos SMB-allekirjoitus on käytössä palvelimessa, asiakkaat, jotka ovat myös käytössä SMB-allekirjoituksessa, käyttävät paketin allekirjoitusprotokollaa kaikissa myöhemmissä istunnoissa. Jos SMB-allekirjoitus on pakollinen palvelimessa, asiakas ei voi muodostaa istuntoa, ellei asiakas ole käytössä tai jos se on pakollinen SMB-allekirjoitusta varten.
      
      
      Digitaalisen kirjautumisen käyttöönotto korkean suojauksen verkoissa auttaa estämään asiakkaiden ja palvelimien tekeytymisen. Tällaista tekeytymistä kutsutaan istuntokaappaukseksi. Hyökkääjä, jolla on pääsy samaan verkkoon kuin asiakas tai palvelin, käyttää istunnon kaappaustyökaluja meneillään olevan istunnon keskeyttämiseen, lopettamiseen tai varastamiseen. Hyökkääjä voi siepata ja muokata allekirjoittamattomia SMB-paketteja, muokata liikennettä ja lähettää ne edelleen niin, että palvelin voi suorittaa ei-toivottuja toimintoja. Tai hyökkääjä voi esiintyä palvelimena tai asiakkaana laillisen todentamisen jälkeen ja saada sitten luvattoman pääsyn tietoihin.
      
      SMB-protokolla, jota käytetään tiedostojen jakamiseen ja tulostuksen jakamiseen tietokoneissa, joissa on Windows 2000 Server, Windows 2000 Professional, Windows XP Professional tai Windows Server 2003, tukee molemminpuolista todentamista. Molemminpuolinen todennus sulkee istunnon kaappaushyökkäykset ja tukee viestin todennusta. Siksi se estää mies keskellä -hyökkäykset. SMB-allekirjoitus mahdollistaa tämän todentamisen sijoittamalla digitaalisen allekirjoituksen kuhunkin SMB:hen. Asiakas ja palvelin tarkistavat allekirjoituksen.
      
      Muistiinpanoja

      • Vaihtoehtoisena vastatodennäköisuutena voit ottaa käyttöön digitaaliset allekirjoitukset IPSecin avulla, jotta voit suojata kaiken verkkoliikenteen. IPSec-salausta ja allekirjoitusta varten on laitteistopohjaisia kiihdyttimiä, joiden avulla voit minimoida palvelimen suorittimen suorituskykyvaikutuksen. Tällaisia pikatoimintoja ei ole käytettävissä SMB-allekirjoitusta varten.
        
        Lisätietoja on Microsoft MSDN -sivuston Digitaalisesti allekirjoitettava palvelinviestintä -luvussa.
        
        Määritä SMB-allekirjoitus objektieditorin ryhmäkäytäntö kautta, koska paikallisen rekisteriarvon muutoksella ei ole vaikutusta, jos käytössä on ensisijainen toimialuekäytäntö.

      • Windows 95:ssä, Windows 98:ssa ja Windows 98 Second Editionissa Hakemistopalveluasiakas käyttää SMB-allekirjoitusta, kun se todennetaan Windows Server 2003 -palvelimilla NTLM-todennuksella. Nämä asiakkaat eivät kuitenkaan käytä SMB-allekirjoitusta, kun ne todennetaan näillä palvelimilla NTLMv2-todennuksen avulla. Lisäksi Windows 2000 -palvelimet eivät vastaa näiden asiakkaiden SMB-allekirjoituspyyntöihin. Lisätietoja on kohdassa 10: "Verkon suojaus: Lan Manager -todennustaso".

   2. Riskialtis määritys
      
      Seuraava on haitallinen määritysasetus: Sekä Microsoft-verkkoasiakkaasta poistuminen: Allekirjoita viestintä digitaalisesti (aina) -asetus että Microsoft-verkkoasiakas: Allekirjoita tietoliikenne digitaalisesti (jos palvelin hyväksyy) -asetuksen arvoksi ei määritetty "Ei määritetty" tai poistettu käytöstä. Näiden asetusten avulla uudelleenohjaus voi lähettää vain teksti -salasanoja muihin kuin Microsoftin SMB-palvelimiin, jotka eivät tue salasanojen salausta todennuksen aikana.

   3. Syitä ottaa tämä asetus
      
      käyttöön Microsoft-verkkoasiakkaan ottaminen käyttöön: Viestinnän digitaalinen allekirjoittaminen (aina) edellyttää, että asiakkaat allekirjoittavat SMB-liikenteen, kun otetaan yhteyttä palvelimiin, jotka eivät edellytä SMB-allekirjoitusta. Tämä vähentää asiakkaiden alttiimpia istuntojen kaappaushyökkäyksille.

   4. Syitä poistaa tämä asetus käytöstä

      • Microsoft-verkkosovelluksen käyttöönotto: Viestinnän digitaalinen allekirjoittaminen (aina) estää asiakkaita kommunikoimasta kohdepalvelimien kanssa, jotka eivät tue SMB-allekirjoitusta.

      • Tietokoneiden määrittäminen ohittamaan kaikki allekirjoittamattomat SMB-viestit estää aiempien ohjelmien ja käyttöjärjestelmien yhteyden muodostamisen.

   5. Symbolinen nimi:
      
      RequireSMBSignRdr

   6. Rekisteripolku:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

   7. Esimerkkejä yhteensopivuusongelmista

      • Windows NT 4.0: Et voi palauttaa luottamuksen suojattua kanavaa Windows Server 2003 -toimialueen ja Windows NT 4.0 -toimialueen välillä NLTESTI- tai NETDOM-toiminnolla, ja näyttöön tulee "Käyttö estetty" -virhesanoma.

      • Windows XP: Tiedostojen kopioiminen Windows XP -asiakasohjelmista Windows 2000 -pohjaisiin palvelimiin ja Windows Server 2003 -pohjaisiin palvelimiin voi viedä enemmän aikaa.

      • Et voi yhdistää verkkoasemaa asiakkaasta, jossa tämä asetus on käytössä, ja näyttöön tulee seuraava virhesanoma:

        Tilillä ei ole oikeutta kirjautua sisään tältä asemalta.

   8. Uudelleenkäynnistysvaatimukset
      
      Käynnistä tietokone uudelleen tai käynnistä Workstation-palvelu uudelleen. Voit tehdä tämän kirjoittamalla komentokehotteeseen seuraavat komennot. Paina Enter-näppäintä jokaisen komennon kirjoittamisen jälkeen.

      net stop workstation
      net start workstation

6. Microsoftin verkkopalvelin: Viestinnän digitaalinen allekirjoittaminen (aina)

   1. Tausta

      • Server Messenger Block (SMB) on resurssien jakamisprotokolla, jota monet Microsoft-käyttöjärjestelmät tukevat. Se on verkon perussyöttö-/lähtöjärjestelmän (NetBIOS) ja monien muiden protokollien perusta. SMB-allekirjoitus todentaa sekä käyttäjän että palvelin, joka isännöi tietoja. Jos jompikumpi osapuoli epäonnistuu todennusprosessissa, tietojen siirtoa ei tapahdu.
        
        SMB-allekirjoituksen ottaminen käyttöön alkaa SMB-protokollaneuvottelun aikana. SMB-allekirjoituskäytännöt määrittävät, allekirjoittaako tietokone aina digitaalisesti asiakasviestintää.
        
        Windows 2000 SMB -todennusprotokolla tukee molemminpuolista todentamista. Molemminpuolinen todennus sulkee "mies keskellä" -hyökkäyksen. Windows 2000 SMB -todennusprotokolla tukee myös viestin todennusta. Viestitodennus auttaa estämään aktiivisia viestihyökkäyksiä. Jos haluat antaa tämän todennuksen, SMB-allekirjoitus lisää digitaalisen allekirjoituksen kuhunkin SMB:hen. Asiakas ja palvelin vahvistavat digitaalisen allekirjoituksen.
        
        Jotta voit käyttää SMB-allekirjoitusta, sinun on otettava SMB-allekirjoitus käyttöön tai vaadittava SMB-allekirjoitusta sekä SMB-asiakasohjelmassa että SMB-palvelimessa. Jos SMB-allekirjoitus on käytössä palvelimessa, asiakkaat, jotka ovat myös käytössä SMB-allekirjoituksessa, käyttävät paketin allekirjoitusprotokollaa kaikissa myöhemmissä istunnoissa. Jos SMB-allekirjoitus on pakollinen palvelimessa, asiakas ei voi muodostaa istuntoa, ellei asiakas ole käytössä tai jos se on pakollinen SMB-allekirjoitusta varten.
        
        
        Digitaalisen kirjautumisen käyttöönotto korkean suojauksen verkoissa auttaa estämään asiakkaiden ja palvelimien tekeytymisen. Tällaista tekeytymistä kutsutaan istuntokaappaukseksi. Hyökkääjä, jolla on pääsy samaan verkkoon kuin asiakas tai palvelin, käyttää istunnon kaappaustyökaluja meneillään olevan istunnon keskeyttämiseen, lopettamiseen tai varastamiseen. Hyökkääjä voi siepata ja muokata allekirjoittamattomia Subnet Bandwidth Manager (SBM) -paketteja, muokata liikennettä ja lähettää ne edelleen niin, että palvelin voi suorittaa ei-toivottuja toimintoja. Tai hyökkääjä voi esiintyä palvelimena tai asiakkaana laillisen todentamisen jälkeen ja saada sitten luvattoman pääsyn tietoihin.
        
        SMB-protokolla, jota käytetään tiedostojen jakamiseen ja tulostuksen jakamiseen tietokoneissa, joissa on Windows 2000 Server, Windows 2000 Professional, Windows XP Professional tai Windows Server 2003, tukee molemminpuolista todentamista. Molemminpuolinen todennus sulkee istunnon kaappaushyökkäykset ja tukee viestin todennusta. Siksi se estää mies keskellä -hyökkäykset. SMB-allekirjoitus mahdollistaa tämän todentamisen sijoittamalla digitaalisen allekirjoituksen kuhunkin SMB:hen. Asiakas ja palvelin tarkistavat allekirjoituksen.

      • Vaihtoehtoisena vastatodennäköisuutena voit ottaa käyttöön digitaaliset allekirjoitukset IPSecin avulla, jotta voit suojata kaiken verkkoliikenteen. IPSec-salausta ja allekirjoitusta varten on laitteistopohjaisia kiihdyttimiä, joiden avulla voit minimoida palvelimen suorittimen suorituskykyvaikutuksen. Tällaisia pikatoimintoja ei ole käytettävissä SMB-allekirjoitusta varten.

      • Windows 95:ssä, Windows 98:ssa ja Windows 98 Second Editionissa Hakemistopalveluasiakas käyttää SMB-allekirjoitusta, kun se todennetaan Windows Server 2003 -palvelimilla NTLM-todennuksella. Nämä asiakkaat eivät kuitenkaan käytä SMB-allekirjoitusta, kun ne todennetaan näillä palvelimilla NTLMv2-todennuksen avulla. Lisäksi Windows 2000 -palvelimet eivät vastaa näiden asiakkaiden SMB-allekirjoituspyyntöihin. Lisätietoja on kohdassa 10: "Verkon suojaus: Lan Manager -todennustaso".

   2. Riskialtis määritys
      
      Seuraava on haitallinen määritysasetus: Microsoftin verkkopalvelimen ottaminen käyttöön: Allekirjoita tietoliikenne digitaalisesti (aina) palvelimissa ja toimialueen ohjauskoneissa, joita käytetään yhteensopimattomilla Windows-tietokoneilla ja kolmannen osapuolen käyttöjärjestelmäpohjaisissa asiakastietokoneissa paikallisissa tai ulkoisissa toimialueissa.

   3. Syitä ottaa tämä asetus käyttöön

      • Kaikki asiakastietokoneet, jotka mahdollistavat tämän asetuksen suoraan rekisterin kautta tai ryhmäkäytäntö asetuksen kautta, tukevat SMB-allekirjoitusta. Toisin sanoen kaikki asiakastietokoneet, joissa tämä asetus on käytössä, käyttävät joko Windows 95:tä, johon on asennettu DS-asiakasohjelma, Windows 98:aa, Windows NT 4.0:aa, Windows 2000:aa, Windows XP Professionalia tai Windows Server 2003:a.

      • Jos Microsoftin verkkopalvelin: Digitaalisesti allekirjoitettava tietoliikenne (aina) on poistettu käytöstä, SMB-allekirjoitus on kokonaan poissa käytöstä. Jos poistat kaikki SMB-allekirjoitukset käytöstä, tietokoneet ovat alttiimpia istuntojen kaappaushyökkäyksille.

   4. Syitä poistaa tämä asetus käytöstä

      • Tämän asetuksen ottaminen käyttöön voi hidastaa tiedostojen kopiointia ja verkon suorituskykyä asiakastietokoneissa.

      • Tämän asetuksen käyttöönotto estää asiakkaita, jotka eivät voi neuvotella SMB-allekirjoittamisesta, kommunikoimasta palvelimien ja toimialueen ohjauskoneiden kanssa. Tämä aiheuttaa sen, että toiminnot, kuten toimialueliitokset, käyttäjän ja tietokoneen todennus tai ohjelmien verkon käyttö, epäonnistuvat.

   5. Symbolinen nimi:
      
      RequireSMBSignServer

   6. Rekisteripolku:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

   7. Esimerkkejä yhteensopivuusongelmista

      • Windows 95: Windows 95 -asiakasohjelmat, joihin ei ole asennettu DS -asiakasohjelmaa, epäonnistuvat kirjautumistodennuksessa ja saavat seuraavan virhesanoman:

        Antamasi toimialueen salasana ei ole oikea, tai kirjautumispalvelimen käyttö on estetty.

      • Windows NT 4.0: Asiakastietokoneet, joissa on Service Pack 3 (SP3) -versiota aiempi Windows NT 4.0-versio, epäonnistuvat kirjautumistodennuksessa ja saavat seuraavan virhesanoman:

        Järjestelmä ei pystynyt kirjautumaan sisään. Varmista, että käyttäjänimesi ja toimialueesi ovat oikein, ja kirjoita salasana uudelleen.

        Jotkin muut kuin Microsoftin SMB-palvelimet tukevat vain salaamattomia salasanojen vaihtoja todennuksen aikana. (Nämä vaihdot tunnetaan myös nimellä vain teksti -vaihdot.) Windows NT 4.0 SP3 ja uudemmissa versioissa SMB-uudelleenohjaus ei lähetä salattua salasanaa todennuksen aikana SMB-palvelimeen, ellet lisää tiettyä rekisterimerkintää.
        Voit ottaa salaamattomat salasanat käyttöön SMB-asiakasohjelmassa Windows NT 4.0 SP 3:ssa ja uudemmat järjestelmät muokkaamalla rekisteriä seuraavasti: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        
        Arvon nimi: EnablePlainTextPassword
        
        Tietotyyppi: REG_DWORD
        
        Tiedot: 1
        
         

      • Windows Server 2003: Oletusarvoisesti Windows Server 2003:a käyttävien toimialueen ohjauskoneiden suojausasetukset on määritetty estämään toimialueen ohjauskoneen viestinnän sieppaaminen tai luvattoman peukaloinnin estäminen haitallisilta käyttäjiltä. Jotta käyttäjät voivat viestiä Windows Server 2003:a käyttävän toimialueen ohjauskoneen kanssa, asiakastietokoneiden on käytettävä sekä SMB-allekirjoitusta että salausta tai suojattua kanavaliikenteen allekirjoitusta. Oletusarvoisesti asiakasohjelmissa, jotka suorittavat Windows NT 4.0 Service Pack 2 :lla (SP2) tai sitä aiemmilla asennoilla, eikä Windows 95:tä käyttävillä asiakasohjelmilla ole käytössä SMB-paketin allekirjoitusta. Tämän vuoksi nämä asiakkaat eivät ehkä pysty todentamaan Windows Server 2003 -pohjaista toimialueen ohjauskonetta.

      • Windows 2000:n ja Windows Server 2003:n käytäntöasetukset: Asennustarpeiden ja määritysten mukaan suosittelemme, että määrität seuraavat käytäntöasetukset pienimpään tarvittavaan kokonaisuuteen Microsoft Management Console ryhmäkäytäntö Editor -laajennushierarkiassa:

        • Tietokoneasetukset\Windowsin suojaus Asetukset\Suojausasetukset

        • Lähetä salaamaton salasana yhteyden muodostamiseksi kolmannen osapuolen SMB-palvelimiin (tämä asetus koskee Windows 2000:aa)

        • Microsoft-verkkoasiakas: Lähetä salaamaton salasana kolmannen osapuolen SMB-palvelimiin (tämä asetus koskee Windows Server 2003:a)

        
        Huomautus Joissakin kolmannen osapuolen CIFS-palvelimissa, kuten vanhemmissa Samba-versioissa, salattuja salasanoja ei voi käyttää.

      • Seuraavat asiakasohjelmat eivät ole yhteensopivia Microsoftin verkkopalvelimen kanssa: Allekirjoita tietoliikenne digitaalisesti (aina) -asetus:

        • Apple Computer, Inc., Mac OS X -asiakasohjelmat

        • Microsoft MS-DOS -verkkoasiakkaat (esimerkiksi Microsoft LAN Manager)

        • Microsoft Windows for Workgroups -asiakasohjelmat

        • Microsoft Windows 95 -asiakasohjelmat, joihin ei ole asennettu DS-asiakasohjelmaa

        • Microsoft Windows NT 4.0-pohjaisia tietokoneita, joihin ei ole asennettu SP3:a tai uudempaa versiota

        • Novell Netware 6 CIFS -asiakasohjelmat

        • SAMBA SMB -asiakkaat, joilla ei ole tukea SMB-allekirjoittamiseen

   8. Uudelleenkäynnistysvaatimukset
      
      Käynnistä tietokone uudelleen tai käynnistä palvelinpalvelu uudelleen. Voit tehdä tämän kirjoittamalla komentokehotteeseen seuraavat komennot. Paina Enter-näppäintä jokaisen komennon kirjoittamisen jälkeen.

      net stop server
      net start server

7. Verkon käyttö: Salli anonyymi SID/Name-käännös

   1. Tausta
      
      Verkon käyttö: Salli anonyymi SID/Name-käännöksen suojausasetus määrittää, voiko anonyymi käyttäjä pyytää SID (Security Identification Number) -määritteitä toiselle käyttäjälle.

   2. Riskialtis määritys
      
      Verkkokäytön ottaminen käyttöön: Salli anonyymi SID/Name-käännösasetus on haitallinen määritysasetus.

   3. Syitä ottaa tämä asetus
      
      käyttöön Jos Verkon käyttö: Salli anonyymi SID/Name-käännös -asetus on poistettu käytöstä, aiemmat käyttöjärjestelmät tai sovellukset eivät ehkä pysty kommunikoimaan Windows Server 2003 -toimialueiden kanssa. Esimerkiksi seuraavat käyttöjärjestelmät, palvelut tai sovellukset eivät ehkä toimi:

      • 4.0-pohjaisten etäkäyttöpalvelupalvelimien Windows NT

      • Microsoft SQL Server, jotka toimivat Windows NT 3.x-pohjaisissa tietokoneissa tai Windows NT 4.0-pohjaisissa tietokoneissa

      • Etäkäyttöpalvelu, joka toimii Windows 2000 -tietokoneissa, jotka sijaitsevat Windows NT 3.x-toimialueissa tai Windows NT 4.0 -toimialueissa

      • SQL Server, joka toimii Windows NT 3.x -toimialueissa tai Windows NT 4.0 -toimialueissa sijaitsevissa Windows 2000 -tietokoneissa

      • Windows NT 4.0 -resurssitoimialueen käyttäjät, jotka haluavat myöntää oikeudet käyttää tiedostoja, jaettuja kansioita ja rekisteriobjekteja windows server 2003 -toimialueen ohjauskoneita sisältävien tilin toimialueiden käyttäjätileille

   4. Syitä poistaa tämä asetus
      
      käytöstä Jos tämä asetus on käytössä, vahingollinen käyttäjä voi käyttää tunnettua Järjestelmänvalvojat-SID-tunnusta sisäisen järjestelmänvalvojatilin oikean nimen hankkimiseen, vaikka tili olisi nimetty uudelleen. Kyseinen henkilö voi sitten käyttää tilin nimeä aloittaakseen salasanan arvaushyökkäyksen.

   5. Symbolinen nimi: PUUTTUU

   6. Rekisteripolku: Ei mitään. Polku määritetään käyttöliittymäkoodissa.

   7. Esimerkkejä yhteensopivuusongelmista
      
      Windows NT 4.0: Windows NT 4.0-resurssitoimialueiden tietokoneissa näkyy "Tilin tuntematon" -virhesanoma ACL Editorissa, jos resurssit, kuten jaetut kansiot, jaetut tiedostot ja rekisteriobjektit, suojataan suojauspäätteillä, jotka sijaitsevat Windows Server 2003 -toimialueen ohjauskoneita sisältävissä tilitoimialueissa.

8. Verkon käyttö: Älä salli SAM-tilien anonyymiä luetteloinnia

   1. Tausta

      • Verkon käyttö: Älä salli SAM-tilien anonyymiä luetteloinnia -asetus määrittää, mitkä lisäoikeudet myönnetään anonyymeille yhteyksille tietokoneeseen. Windowsin avulla anonyymit käyttäjät voivat suorittaa tiettyjä toimintoja, kuten luetteloida työasema- ja palvelinsuojaustilien (SAM) tilien ja jaettujen verkkoresurssien nimiä. Järjestelmänvalvoja voi tämän avulla esimerkiksi myöntää käyttöoikeudet käyttäjille luotetussa toimialueessa, joka ei ylläpidä vastavuoroista luottamusta. Kun istunto on tehty, anonyymillä käyttäjällä voi olla samat käyttöoikeudet kuin Kaikki-ryhmälle Verkkokäyttö-asetuksen mukaan: Anna kaikkien käyttää anonyymejä käyttäjiä -asetusta tai objektin harkinnanvaraista käyttöoikeusluetteloa (DACL).
        
        Yleensä anonyymejä yhteyksiä pyydetään asiakkaiden aiemmissa versioissa (alatason asiakasohjelmat) SMB-istunnon määrityksen aikana. Näissä tapauksissa verkon seuranta osoittaa, että SMB-prosessitunnus (PID) on asiakkaan uudelleenohjaus, kuten 0xFEFF Windows 2000:ssa tai 0xCAFE Windows NT. RPC voi myös yrittää muodostaa anonyymejä yhteyksiä.

      • Tärkeää Tämä asetus ei vaikuta toimialueen ohjauskoneisiin. Toimialueen ohjauskoneissa tätä toimintoa ohjaa NT AUTHORITY\ANONYMOUS LOGON -toiminto Windows 2000 :aa edeltävässä yhteensopivassa Accessissa.

      • Windows 2000:ssa vastaava asetus nimeltä Anonyymien yhteyksien lisärajoitukset hallitsee RestrictAnonymous-rekisteriarvoa . Tämän arvon sijainti on seuraava

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA  

   2. Riskialttiit määritykset
      
      Verkon käytön ottaminen käyttöön: Älä salli SAM-tilien anonyymiä luetteloinnia on haitallinen määritysasetus yhteensopivuuden kannalta. Sen poistaminen käytöstä on haitallinen määritysasetus suojauksen näkökulmasta.

   3. Syitä ottaa tämä asetus
      
      käyttöön Luvaton käyttäjä voi anonyymisti luetella tilien nimet ja yrittää sitten tietojen avulla arvata salasanoja tai tehdä sosiaalisen suunnittelun hyökkäyksiä. Sosiaalinen suunnittelu on ammattisana, joka tarkoittaa ihmisten huijaamista paljastamaan salasanansa tai jonkinlaiset suojaustiedot.

   4. Syitä poistaa tämä asetus
      
      käytöstä Jos tämä asetus on käytössä, luottamussuhteet Windows NT 4.0 -toimialueisiin on mahdotonta. Tämä asetus aiheuttaa myös ongelmia alatason asiakasohjelmissa (kuten Windows NT 3.51 -asiakasohjelmissa ja Windows 95 -asiakasohjelmissa), jotka yrittävät käyttää palvelimen resursseja.

   5. Symbolinen nimi:
      
      
      RajoitaAnonymousSAM

   6. Rekisteripolku:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

   7. Esimerkkejä yhteensopivuusongelmista

   • SMS Network Discovery ei pysty hankkimaan käyttöjärjestelmän tietoja ja kirjoittaa "Tuntematon" OperatingSystemNameandVersion-ominaisuuteen.

   • Windows 95, Windows 98: Windows 95 -asiakkaat ja Windows 98 -asiakkaat eivät voi vaihtaa salasanojaan.

   • Windows NT 4.0: Windows NT 4.0-pohjaisia jäsentietokoneita ei voi todentaa.

   • Windows 95, Windows 98: Microsoftin toimialueen ohjauskoneet eivät voi todentaa Windows 95- ja Windows 98 -tietokoneita.

   • Windows 95, Windows 98: Windows 95- ja Windows 98 -pohjaisten tietokoneiden käyttäjät eivät voi muuttaa käyttäjätiliensä salasanoja.

9. Verkon käyttö: Älä salli SAM-tilien ja jakoresurssien anonyymiä luetteloinnia

   1. Tausta

      • Verkon käyttö: Älä salli SAM-tilien ja jakoresurssien anonyymiä luettelointiasetusta (tunnetaan myös nimellä RestrictAnonymous) määrittää, sallitaanko suojaustilien hallinnan (SAM) tilien ja jakojen anonyymi luettelointi. Windowsin avulla anonyymit käyttäjät voivat suorittaa tiettyjä toimintoja, kuten luetteloida toimialuetilien nimet (käyttäjät, tietokoneet ja ryhmät) ja jaettujen verkkoresurssien nimet. Tämä on kätevää esimerkiksi silloin, kun järjestelmänvalvoja haluaa myöntää käyttöoikeudet käyttäjille luotetussa toimialueessa, joka ei ylläpidä vastavuoroista luottamusta. Jos et halua sallia SAM-tilien ja jakojen anonyymiä luetteloinnia, ota tämä asetus käyttöön.

      • Windows 2000:ssa vastaava asetus nimeltä Anonyymien yhteyksien lisärajoitukset hallitsee RestrictAnonymous-rekisteriarvoa . Tämän arvon sijainti on seuraava:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

   2. Riskialtis määritys
      
      Verkkoyhteyden ottaminen käyttöön: Älä salli SAM-tilien ja jakoresurssien anonyymiä luetteloinnia on haitallinen määritysasetus.

   3. Syitä ottaa tämä asetus käyttöön

      • Verkkokäytön ottaminen käyttöön: Älä salli SAM-tilien ja jakoresurssien anonyymin luetteloinnin asetusta estää anonyymiä tiliä käyttävien käyttäjien ja tietokoneiden SAM-tilien ja jakojen luetteloinnin.

   4. Syitä poistaa tämä asetus käytöstä

      • Jos tämä asetus on käytössä, luvaton käyttäjä voi anonyymisti luetella tilien nimet ja yrittää sitten tietojen avulla arvata salasanoja tai tehdä sosiaalisen suunnittelun hyökkäyksiä. Sosiaalinen suunnittelu on ammattisana, joka tarkoittaa ihmisten huijaamista paljastamaan salasanansa tai jonkinlaiset suojaustiedot.

      • Jos tämä asetus on käytössä, luottamussuhteet Windows NT 4.0-toimialueisiin ovat mahdottomia. Tämä asetus aiheuttaa myös ongelmia alitason asiakasohjelmissa, kuten Windows NT 3.51- ja Windows 95 -asiakasohjelmissa, jotka yrittävät käyttää palvelimen resursseja.

      • Resurssitoimialueiden käyttäjille ei voi myöntää käyttöoikeuksia, koska luottavan toimialueen järjestelmänvalvojat eivät voi luetteloida toisen toimialueen tililuetteloita. Käyttäjät, jotka käyttävät tiedosto- ja tulostuspalvelimia anonyymisti, eivät voi luetella kyseisten palvelimien jaettuja verkkoresursseja. Käyttäjien on todennettava, ennen kuin he voivat tarkastella jaettujen kansioiden ja tulostimien luetteloita.

   5. Symbolinen nimi:
      
      RajoitaAnonyymi

   6. Rekisteripolku:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

   7. Esimerkkejä yhteensopivuusongelmista

      • Windows NT 4.0: Käyttäjät eivät voi vaihtaa salasanojaan Windows NT 4.0 -työasemista, kun RestrictAnonymous on käytössä käyttäjien toimialueen ohjauskoneissa.

      • Windows NT 4.0: Käyttäjien tai yleisten ryhmien lisääminen luotetuista Windows 2000 -toimialueista Windows NT 4.0-paikallisiin ryhmiin User Managerissa epäonnistuu, ja näyttöön tulee seuraava virhesanoma:

        Kirjautumispyyntöön ei tällä hetkellä ole käytettävissä kirjautumispalvelimia.

      • Windows NT 4.0: Windows NT 4.0-pohjaiset tietokoneet eivät voi liittyä toimialueisiin asennuksen aikana tai toimialueeseen liittymisen käyttöliittymän avulla.

      • Windows NT 4.0: Alatason luottamuksen luominen Windows NT 4.0-resurssitoimialueiden kanssa epäonnistuu. Seuraava virhesanoma tulee näkyviin, kun RajoitaAnonyymi on käytössä luotetussa toimialueessa:

        Toimialueen ohjauskonetta ei löytynyt tälle toimialueelle.

      • Windows NT 4.0: Käyttäjät, jotka kirjautuvat Windows NT 4.0-pohjaisiin päätepalvelimen tietokoneisiin, yhdistetään oletuskotihakemistoon toimialueiden User Managerissa määritetyn kotihakemiston sijaan.

      • Windows NT 4.0: Windows NT 4.0-varatoimialueen ohjauskoneet (BDCs) eivät pysty käynnistämään verkon kirjautumispalvelua, hankkimaan luetteloa varmuuskopioselaimista tai synkronoimaan SAM-tietokantaa Windows 2000:sta tai saman toimialueen Windows Server 2003 -toimialueen ohjauskoneista.

      • Windows 2000: Windows NT 4.0 -toimialueiden Windows 2000 -pohjaiset jäsentietokoneet eivät voi tarkastella ulkoisissa toimialueissa olevia tulostimia, jos Asiakastietokoneen paikallisessa suojauskäytännössä on käytössä Ei käyttö ilman erikseen anonyymejä käyttöoikeuksia -asetus.

      • Windows 2000: Windows 2000 -toimialueen käyttäjät eivät voi lisätä verkkotulostimia Active Directorysta; He voivat kuitenkin lisätä tulostimia, kun he ovat valinneet ne puunäkymästä.

      • Windows 2000: Windows 2000 -tietokoneissa ACL-editori ei voi lisätä käyttäjiä tai yleisiä ryhmiä luotetuista Windows NT 4.0-toimialueista.

      • ADMT-versio 2: Salasanan siirto käyttäjätileille, jotka siirretään puuryhmästä toiseen Active Directory -siirtotyökalun (ADMT) version 2 avulla, epäonnistuu.
        
        Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jotta voit tarkastella artikkelia Microsoft Knowledge Base -tietokannassa:

        322981 Toimialuekohtaisien salasanojen siirron vianmääritys ADMTv2:lla

      • Outlook-asiakasohjelmat: Yleinen osoiteluettelo näkyy tyhjänä Microsoft Exchange Outlook -asiakasohjelmissa.

      • TEKSTIVIESTI: Microsoft Systems Management Server (SMS) Network Discovery ei pysty hankkimaan käyttöjärjestelmän tietoja. Siksi se kirjoittaa "Tuntematon" etsintätietotietueen (DDR) SMS DDR -ominaisuuden OperatingSystemNameandVersion-ominaisuuteen.

      • Tekstiviestit: Kun selaat käyttäjiä ja ryhmiä ohjatun tekstiviestijärjestelmänvalvojan käyttäjän ohjatun toiminnon avulla, käyttäjiä tai ryhmiä ei näy luettelossa. Lisäasiakkaat eivät myöskään voi olla yhteydessä hallintapisteeseen. Hallintapiste edellyttää anonyymiä käyttöoikeutta.

      • Tekstiviestit: Kun käytät Verkon etsintä -ominaisuutta SMS 2.0:ssa ja etäasiakasasennuksessa, kun topologia-, asiakas- ja asiakaskäyttöjärjestelmien verkon etsintätoiminto on käytössä, tietokoneet voidaan löytää, mutta niitä ei ehkä ole asennettu.

10. Verkon suojaus: Lan Manager -todennustaso

    1. Tausta
       
       LAN Manager (LM) -todennus on protokolla, jota käytetään Windows-asiakkaiden todentamiseen verkkotoimintoja varten, mukaan lukien toimialueliitokset, verkkoresurssien käyttäminen sekä käyttäjän tai tietokoneen todennus. LM-todennustaso määrittää, mistä haaste- ja vastaustodennusprotokollasta neuvotellaan asiakkaan ja palvelintietokoneiden välillä. Erityisesti LM-todennustaso määrittää, mitkä todennusprotokollat asiakas yrittää neuvotella tai mitkä palvelimet hyväksyvät. LmCompatibilityLevel-arvo määrittää, mitä haaste- ja vastaustodennusprotokollaa verkkokirjautumisessa käytetään. Tämä arvo vaikuttaa asiakkaiden käyttämän todennusprotokollan tasoon, istunnon suojauksen tasoon ja palvelimien hyväksymään todennustasoon.
       
       Mahdollisia asetuksia ovat esimerkiksi seuraavat.

       Arvo	Asetus	Kuvaus
       0	LM & NTLM-vastausten lähettäminen	Asiakkaat käyttävät LM- ja NTLM-todennusta eivätkä koskaan käytä NTLMv2-istunnon suojausta. Toimialueen ohjauskoneet hyväksyvät LM-, NTLM- ja NTLMv2-todennuksen.
       1	Lähetä LM & NTLM - käytä NTLMv2-istunnon suojausta, jos se neuvotellaan	Asiakkaat käyttävät LM- ja NTLM-todennusta ja NTLMv2-istunnon suojausta, jos palvelin tukee sitä. Toimialueen ohjauskoneet hyväksyvät LM-, NTLM- ja NTLMv2-todennuksen.
       2	Lähetä vain NTLM-vastaus	Asiakkaat käyttävät vain NTLM-todennusta ja NTLMv2-istunnon suojausta, jos palvelin tukee sitä. Toimialueen ohjauskoneet hyväksyvät LM-, NTLM- ja NTLMv2-todennuksen.
       3	Lähetä vain NTLMv2-vastaus	Asiakkaat käyttävät vain NTLMv2-todennusta ja käyttävät NTLMv2-istunnon suojausta, jos palvelin tukee sitä. Toimialueen ohjauskoneet hyväksyvät LM-, NTLM- ja NTLMv2-todennuksen.
       4	Lähetä NTLMv2-vastaus vain/hylkää LM	Asiakkaat käyttävät vain NTLMv2-todennusta ja käyttävät NTLMv2-istunnon suojausta, jos palvelin tukee sitä. Toimialueen ohjauskoneet kieltäytyvät LM:stä ja hyväksyvät vain NTLM- ja NTLMv2-todennuksen.
       5	Lähetä NTLMv2-vastaus vain/hylkää LM & NTLM	Asiakkaat käyttävät vain NTLMv2-todennusta ja käyttävät NTLMv2-istunnon suojausta, jos palvelin tukee sitä. Toimialueen ohjauskoneet kieltäytyvät LM: stä ja NTLM: stä ja hyväksyvät vain NTLMv2-todennuksen.

       Huomautus Windows 95:ssä, Windows 98:ssa ja Windows 98 Second Editionissa Hakemistopalvelut-asiakas käyttää SMB-allekirjoitusta, kun se todennetaan Windows Server 2003 -palvelimilla NTLM-todennuksella. Nämä asiakkaat eivät kuitenkaan käytä SMB-allekirjoitusta, kun ne todennetaan näillä palvelimilla NTLMv2-todennuksen avulla. Lisäksi Windows 2000 -palvelimet eivät vastaa näiden asiakkaiden SMB-allekirjoituspyyntöihin.
       
       Tarkista LM-todennustaso: Sinun on muutettava käytäntöä palvelimessa, jotta voit sallia NTLM:n, tai sinun on määritettävä asiakastietokone tukemaan NTLMv2:ta.
       
       Jos käytännöksi on määritetty (5) Lähetä NTLMv2-vastaus vain\refuse LM & NTLM kohdetietokoneessa, johon haluat muodostaa yhteyden, sinun on joko alennettava asetusta kyseisessä tietokoneessa tai määritettävä suojaus samalle asetukselle, joka on lähdetietokoneessa, josta olet muodostamassa yhteyttä.
       
       Etsi oikea sijainti, jossa voit muuttaa lähiverkon hallinnan todennustasoa ja määrittää asiakkaan ja palvelimen samalle tasolle. Kun olet löytänyt lähiverkon hallinnan todennustason määrittävän käytännön, jos haluat muodostaa yhteyden tietokoneisiin ja tietokoneista, joissa on windowsin aiempi versio, pienennä arvoksi vähintään (1) Lähetä LM-& NTLM - käytä NTLM-version 2 istunnon suojausta, jos se neuvotellaan. Yhteensopimattomien asetusten yksi vaikutus on se, että jos palvelin edellyttää NTLMv2:ta (arvo 5), mutta asiakasohjelma on määritetty käyttämään vain LM: ää ja NTLMv1: tä (arvo 0), todennusta kokeileva käyttäjä kokee kirjautumisvirheen, jossa on virheellinen salasana ja joka lisää virheellistä salasanamäärää. Jos tilin lukitus on määritetty, käyttäjä saatetaan lopulta lukita ulos.
       
       Sinun on ehkä esimerkiksi etsittävä toimialueen ohjauskoneeseen tai tarkasteltava toimialueen ohjauskoneen käytäntöjä.
       
       Katso toimialueen ohjauskoneeseen
       
       Huomautus Saatat joutua toistamaan seuraavat vaiheet kaikissa toimialueen ohjauskoneissa.

       1. Valitse Käynnistä, valitse Ohjelmat ja valitse sitten Hallintatyökalut.

       2. Laajenna Paikalliset suojausasetukset -kohdassaPaikalliset käytännöt.

       3. Valitse Suojausasetukset.

       4. Kaksoisnapsauta Verkon suojaus: LÄHIVERKON HALLINNAN todennustaso ja valitse sitten arvo luettelosta.

       
       Jos Voimassa-asetus ja paikallinen asetus ovat samat, käytäntöä on muutettu tällä tasolla. Jos asetukset ovat erilaiset, tarkista toimialueen ohjauskoneen käytännöstä, onko Verkkosuojaus: LÄHIVERKON HALLINNAN todennustaso -asetus määritetty siinä. Jos sitä ei ole määritetty siellä, tarkista toimialueen ohjauskoneen käytännöt.
       
       Toimialueen ohjauskoneen käytäntöjen tarkistaminen

       1. Valitse Käynnistä, valitse Ohjelmat ja valitse sitten Hallintatyökalut.

       2. Laajenna toimialueen ohjauskoneen suojauskäytännössäSuojausasetukset ja laajenna sitten Paikalliset käytännöt.

       3. Valitse Suojausasetukset.

       4. Kaksoisnapsauta Verkon suojaus: LÄHIVERKON HALLINNAN todennustaso ja valitse sitten arvo luettelosta.

       
       Huomautus

       • Sinun on ehkä myös tarkistettava käytännöt, jotka on linkitetty sivustotasolla, toimialuetasolla tai organisaatioyksikön (OU) tasolla, jotta voit määrittää, mihin lan-hallinnan todennustaso on määritettävä.

       • Jos otat ryhmäkäytäntö oletustoimialuekäytännöksi, käytäntö otetaan käyttöön kaikissa toimialueen tietokoneissa.

       • Jos otat käyttöön ryhmäkäytäntö oletustoimialueen ohjauskoneen käytäntönä, käytäntö koskee vain toimialueen ohjauskoneen OU:n palvelimia.

       • Lähiverkon hallinnan todennustaso kannattaa määrittää käytäntösovelluksen hierarkiassa tarvittavan laajuuden alimpaan kokonaisuuteen.

       Windows Server 2003:ssa on uusi oletusasetus, joka käyttää vain NTLMv2:ta. Oletusarvoisesti Windows Server 2003: n ja Windows 2000 Server SP3:n toimialueen ohjauskoneet ovat ottaneet käyttöön Microsoft-verkkopalvelimen digitaalisen allekirjoittamisen viestintäkäytännön (aina). Tämä asetus edellyttää, että SMB-palvelin suorittaa SMB-paketin allekirjoituksen. Windows Server 2003:een tehtiin muutoksia, koska toimialueen ohjauskoneet, tiedostopalvelimet, verkkoinfrastruktuuripalvelimet ja verkkopalvelimet edellyttävät eri asetuksia suojauksen maksimoimiseksi.
       
       Jos haluat ottaa NTLMv2-todennuksen käyttöön verkossasi, varmista, että kaikki toimialueen tietokoneet on määritetty käyttämään tätä todennustasoa. Jos käytät Active Directory -asiakaslaajennuksia Windows 95:ssä tai Windows 98:ssa ja Windows NT 4.0:ssa, asiakaslaajennukset käyttävät parannettuja todennusominaisuuksia, jotka ovat käytettävissä NTLMv2:ssa. Koska Windows 2000 ryhmäkäytäntö Objects ei vaikuta asiakastietokoneisiin, joissa on jokin seuraavista käyttöjärjestelmästä, nämä asiakasohjelmat on ehkä määritettävä manuaalisesti:

       • Microsoft Windows NT 4.0

       • Microsoft Windows Millennium Edition

       • Microsoft Windows 98

       • Microsoft Windows 95

       Huomautus Jos otat verkon suojauksen käyttöön: Älä tallenna lähiverkon hallinnan hajautusarvoa seuraavaan salasanan muutoskäytäntöön tai määritä NoLMHash-rekisteriavain , Windows 95- ja Windows 98 -pohjaiset asiakkaat, joihin ei ole asennettu hakemistopalveluasiakasohjelmaa, eivät voi kirjautua toimialueeseen salasanamuutoksen jälkeen.
       
       Monet kolmannen osapuolen CIFS-palvelimet, kuten Novell Netware 6, eivät ole tietoisia NTLMv2:sta ja käyttävät vain NTLM:ää. Siksi yli 2-tasot eivät salli yhteyttä. On myös kolmannen osapuolen SMB-asiakkaita, jotka eivät käytä laajennettua istunnon suojausta. Näissä tapauksissa resurssipalvelimen LmCompatiblityLevel-ominaisuutta ei oteta huomioon. Palvelin pakkaa tämän vanhan pyynnön ja lähettää sen käyttäjän toimialueen ohjauskoneeseen. Toimialueen ohjauskoneen asetukset päättävät sitten, mitä hajautuksia käytetään pyynnön vahvistamiseen ja täyttävätkö ne toimialueen ohjauskoneen suojausvaatimukset.
       
        

       299656 Miten voit estää Windowsia tallentamasta salasanasi LÄHI-hallinnan hajautusarvoa Active Directoryyn ja paikallisiin SAM-tietokantoihin
        

       2701704Valvontatapahtuma näyttää todennuspaketin NTLMv1-muodossa NTLMv2:n sijaan Saat lisätietoja LM-todennustasoista napsauttamalla seuraavaa artikkelin numeroa, jotta voit tarkastella artikkelia Microsoft Knowledge Base -tietokannassa:

       239869 NTLM 2 -todennuksen ottaminen käyttöön
        

    2. Riskialttiit määritykset
       
       Seuraavat ovat haitallisia määritysasetuksia:

       • Passiiviset asetukset, jotka lähettävät salasanoja cleartext-muodossa ja jotka estävät NTLMv2-neuvottelut

       • Rajoittavat asetukset, jotka estävät yhteensopimattomia asiakkaita tai toimialueen ohjauskoneita neuvottelemasta yhteisestä todennusprotokollasta

       • NTLMv2-todennuksen vaatiminen jäsentietokoneissa ja toimialueen ohjauskoneissa, joissa on service pack 4 (SP4) -versiota aiempi Windows NT 4.0-versio

       • NTLMv2-todennuksen vaatiminen Windows 95 -asiakasohjelmissa tai Windows 98 -asiakasohjelmissa, joihin ei ole asennettu Windows Directory Services -asiakasohjelmaa.

       • Jos valitset Edellytä NTLMv2-istunnon suojausta -valintaruudun Microsoft Management Console ryhmäkäytäntö Editor -laajennuksessa Windows Server 2003- tai Windows 2000 Service Pack 3 -pohjaisessa tietokoneessa ja lasket LAN-hallinnan todennustasoksi 0, nämä kaksi asetusta ovat ristiriidassa, ja saatat saada seuraavan virhesanoman Secpol.msc-tiedostossa tai GPEdit.msc-tiedostossa:

         Windows ei voi avata paikallista käytäntötietokantaa. Tuntematon virhe yritettäessä avata tietokantaa.

         Lisätietoja suojausmääritys- ja analyysityökalusta on Windows 2000:n tai Windows Server 2003:n ohjetiedostoissa.

    3. Syitä muokata tätä asetusta

       • Haluat lisätä pienintä yleistä todennusprotokollaa, jota organisaatiosi asiakkaat ja toimialueen ohjauskoneet tukevat.

       • Jos suojattu varmennus on liiketoiminnan vaatimus, haluat estää LM- ja NTLM-protokollien neuvottelut.

    4. Syitä poistaa tämä asetus
       
       käytöstä Asiakkaan tai palvelimen todennusvaatimuksia tai molempia on korotettu niin, että todennusta ei voi tehdä yhteisen protokollan kautta.

    5. Symbolinen nimi:
       
       LmCompatibilityLevel

    6. Rekisteripolku:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. Esimerkkejä yhteensopivuusongelmista

       • Windows Server 2003: Windows Server 2003 NTLMv2 Send NTLM -vastausten asetus on oletusarvoisesti käytössä. Siksi Windows Server 2003 saa "Käyttö estetty" -virhesanoman ensimmäisen asennuksen jälkeen, kun yrität muodostaa yhteyden Windows NT 4.0-pohjaiseen klusteriin tai LanManager V2.1 -pohjaisiin palvelimiin, kuten OS/2 Lanserveriin. Tämä ongelma ilmenee myös, jos yrität muodostaa yhteyden aiemman version asiakasohjelmasta Windows Server 2003 -pohjaiseen palvelimeen.

       • Asennat Windows 2000:n suojauskoontipaketin 1 (SRP1). SRP1 pakottaa NTLM-version 2 (NTLMv2). Tämä koontipaketti julkaistiin Windows 2000 Service Pack 2 :n (SP2) julkaisun jälkeen.
          

       • Windows 7 ja Windows Server 2008 R2: Monet kolmannen osapuolen CIFS-palvelimet, kuten Novell Netware 6 tai Linux-pohjaiset Samba-palvelimet, eivät ole tietoisia NTLMv2:sta ja käyttävät vain NTLM:ää. Siksi tasoja, jotka ovat suurempia kuin "2", ei sallita yhteyttä. Tässä käyttöjärjestelmän versiossa LmCompatibilityLevel-oletusasetukseksi muutettiin 3. Kun päivität Windowsin, nämä kolmannen osapuolen tiedostottajat saattavat lakata toimimasta.

       • Microsoft Outlook -asiakasohjelmilta saatetaan pyytää tunnistetietoja, vaikka ne ovat jo kirjautuneena toimialueeseen. Kun käyttäjät toimittavat tunnistetietonsa, he saavat seuraavan virhesanoman: Windows 7 ja Windows Server 2008 R2

         Annetut kirjautumistiedot olivat virheellisiä. Varmista, että käyttäjänimi ja toimialue ovat oikein, ja kirjoita salasana uudelleen.

         Kun käynnistät Outlookin, sinua saatetaan pyytää antamaan tunnistetietosi, vaikka kirjautumisverkon suojausasetukseksi on määritetty Ohitus tai Salasanatodennus. Kun olet kirjoittanut oikeat tunnistetiedot, näyttöön voi tulla seuraava virhesanoma:

         Annetut kirjautumistiedot olivat virheellisiä.

         Verkon valvonnan seuranta voi näyttää, että yleinen luettelo on antanut etäproseduurikutsun (RPC) virheen, jonka tilana on 0x5. 0x5 tila tarkoittaa käyttö estetty.

       • Windows 2000: Verkon valvonnan sieppaus voi näyttää seuraavat virheet NetBIOS-palvelimessa TCP/IP (NetBT) -palvelimen viestilohkoistunnon (SMB) kautta:

         SMB R Search Directory Dos -virhe, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Virheellinen käyttäjätunnus

       • Windows 2000: Jos Windows NT 4.0 -toimialue luottaa Windows 2000 -toimialueeseen, jossa on NTLMv2-taso 2 tai uudempi, resurssitoimialueen Windows 2000 -pohjaisissa jäsentietokoneissa voi esiintyä todennusvirheitä.

       • Windows 2000 ja Windows XP: Oletusarvoisesti Windows 2000 ja Windows XP määrittävät LAN Manager Authentication Level Local Security Policy -asetuksen arvoksi 0. 0-asetus tarkoittaa Lähetä LM- ja NTLM-vastauksia.
         
         Huomautus Windows NT 4.0-pohjaisten klustereiden on käytettävä LM:ää hallintaan.

       • Windows 2000: Windows 2000 -klusterointi ei todenna liitossolmua, jos molemmat solmut kuuluvat Windows NT 4.0 Service Pack 6a (SP6a) -toimialueeseen.

       • IIS Lockdown Tool (HiSecWeb) määrittää LMCompatibilityLevel-arvoksi 5 ja RajoitaAnonyymi-arvoksi 2.

       • Macintoshin
         
         palvelut Käyttäjän todennusmoduuli (UAM): Microsoft UAM (Käyttäjän todennusmoduuli) tarjoaa tavan salata salasanat, joilla kirjaudut Windows AFP (AppleTalk Filing Protocol) -palvelimiin. Apple User Authentication Module (UAM) tarjoaa vain minimaalisen tai ei lainkaan salausta. Siksi salasanasi voidaan helposti siepata lähiverkossa tai Internetissä. Vaikka UAM ei ole pakollinen, se tarjoaa salatun todennuksen Windows 2000 -palvelimille, jotka suorittavat Services for Macintoshia. Tämä versio sisältää NTLMv2:n 128-bittisen salatun todennuksen ja MacOS X 10.1 -yhteensopivan julkaisun tuen.
         
         Oletusarvoisesti Windows Server 2003 Services for Macintosh -palvelin sallii vain Microsoft-todennuksen.
          

       • Windows Server 2008, Windows Server 2003, Windows XP ja Windows 2000: Jos määrität LMCompatibilityLevel-arvoksi 0 tai 1 ja määrität sitten NoLMHash-arvoksi 1, sovelluksilta ja osilta saatetaan evätä pääsy NTLM:n kautta. Tämä ongelma ilmenee, koska tietokone on määritetty ottamaan LM käyttöön, mutta ei käyttämään LM-tallennettuja salasanoja.
         
         Jos määrität NoLMHash-arvoksi 1, sinun on määritettävä LMCompatibilityLevel-arvoksi 2 tai uudempi.

11. Verkon suojaus: LDAP-asiakkaan allekirjoitusvaatimukset

    1. Tausta
       
       Verkon suojaus: LDAP-asiakkaan allekirjoitusvaatimusten asetus määrittää, kuinka paljon tietoja allekirjoitetaan niiden asiakkaiden puolesta, jotka myöntävät Lightweight Directory Access Protocol (LDAP) BIND -pyyntöjä seuraavasti:

       • Ei mitään: LDAP BIND -pyyntöön on määritetty soittajan määrittämät asetukset.

       • Neuvottele allekirjoittamisesta: Jos Secure Sockets Layer/Transport Layer Security (SSL/TLS) -suojausta ei ole aloitettu, LDAP BIND -pyyntö aloitetaan LDAP-tietojen allekirjoitusvaihtoehdolla, joka on määritetty soittajan määrittämien asetusten lisäksi. Jos SSL/TLS on aloitettu, LDAP BIND -pyyntö aloitetaan soittajan määrittämien asetusten avulla.

       • Edellyttää allekirjoittamista: Tämä on sama asia kuin Neuvottele allekirjoittaminen. Jos LDAP-palvelimen saslBindInProgress-välivastaus ei kuitenkaan osoita, että LDAP-liikenteen allekirjoitus on pakollinen, soittajalle kerrotaan, että LDAP BIND -komentopyyntö epäonnistui.

    2. Riskialtis määritys
       
       Verkon suojauksen käyttöönotto: LDAP-asiakkaan allekirjoitusvaatimukset -asetus on haitallinen määritysasetus. Jos määrität palvelimen vaatimaan LDAP-allekirjoituksia, sinun on määritettävä myös LDAP-allekirjoitus asiakasohjelmassa. Jos asiakasta ei määritetä käyttämään LDAP-allekirjoituksia, se estää yhteydenpidon palvelimeen. Tämä aiheuttaa sen, että käyttäjän todennus, ryhmäkäytäntö asetukset, kirjautumiskomentosarjat ja muut ominaisuudet epäonnistuvat.

    3. Syitä muokata tätä asetusta
       
       Allekirjoittamaton verkkoliikenne on altis mies-keskimmäisille hyökkäyksille, joissa tunkeilija sieppaa paketteja asiakkaan ja palvelimien välillä, muokkaa niitä ja lähettää ne sitten edelleen palvelimeen. Kun tämä tapahtuu LDAP-palvelimessa, hyökkääjä voi saada palvelimen vastaamaan LDAP-asiakasohjelman väärien kyselyjen perusteella. Voit pienentää tätä riskiä yritysverkossa ottamalla käyttöön vahvoja fyysisiä turvatoimia verkkoinfrastruktuurin suojaamiseksi. Lisäksi voit estää kaikenlaiset mies-keskimmäiset hyökkäykset vaatimalla digitaalisia allekirjoituksia kaikkiin verkkopaketteihin IPSec-todennusotsikoiden avulla.

    4. Symbolinen nimi:
       
       LDAPClientIntegrity

    5. Rekisteripolku:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

12. Tapahtumaloki: Suojauslokin enimmäiskoko

    1. Tausta
       
       Tapahtumaloki: Suojauslokin enimmäiskoko -suojausasetus määrittää suojaustapahtumalokin enimmäiskoon. Tämän lokin enimmäiskoko on 4 Gt. Voit etsiä tämän asetuksen laajentamalla
       Windowsin asetukset ja laajentamalla sitten Suojausasetukset.

    2. Riskialttiit määritykset
       
       Seuraavat ovat haitallisia määritysasetuksia:

       • Suojauslokin koon ja suojauslokin säilytystavan rajoittaminen, kun Valvonta: Sammuta järjestelmä välittömästi, jos suojaustarkituksia ei voi kirjata -asetus on käytössä. Lisätietoja on tämän artikkelin Kohdassa Valvonta: Sammuta järjestelmä heti, jos suojaustarkituksia ei voi kirjata.

       • Suojauslokin koon rajoittaminen niin, että kiinnostavat suojaustapahtumat korvataan.

    3. Syitä tämän asetuksen
       
       suurentamiseen Liiketoiminta- ja suojausvaatimukset saattavat edellyttää, että suurennat suojauslokin kokoa, jotta voit käsitellä muita suojauslokin tietoja tai säilyttää suojauslokeja pidemmän ajan.

    4. Syitä pienentää tätä asetusta
       
       Tapahtumienvalvonta lokit ovat muistiin yhdistettyjä tiedostoja. Tapahtumalokin enimmäiskokoa rajoittavat paikallisen tietokoneen fyysisen muistin määrä ja tapahtumalokiprosessin käytettävissä oleva virtuaalimuisti. Lokikoon kasvattaminen Tapahtumienvalvonta käytettävissä olevan virtuaalimuistin määrän ulkopuolelle ei lisää ylläpidettävien lokimerkintöjen määrää.

    5. Esimerkkejä yhteensopivuusongelmista
       
       Windows 2000: Tietokoneet, joissa on Service Pack 4 (SP4) -versiota aiempi Windows 2000 -versio, saattavat lopettaa tapahtumien kirjaamisen tapahtumalokiin, ennen kuin ne saavuttavat Tapahtumienvalvonta enimmäislokin kokoasetuksessa määritetyn koon, jos Älä korvaa tapahtumia (tyhjennä loki manuaalisesti) -asetus on käytössä.
       
       
        

13. Tapahtumaloki: Säilytä suojausloki

    1. Tausta
       
       Tapahtumaloki: Säilytä suojauslokin suojausasetus määrittää suojauslokin rivitysmenetelmän. Voit etsiä tämän asetuksen laajentamalla Windowsin asetukset ja laajentamalla sitten Suojausasetukset.

    2. Riskialttiit määritykset
       
       Seuraavat ovat haitallisia määritysasetuksia:

       • Kaikkien kirjattujen suojaustapahtumien säilyttäminen ei onnistu ennen niiden korvaamista

       • Suojauslokin enimmäiskokoasetuksen määrittäminen liian pieneksi niin, että suojaustapahtumat korvataan

       • Suojauslokin koon ja säilytystavan rajoittaminen valvontatoiminnon aikana: Järjestelmän sulkeminen heti, jos suojaustarkistusten kirjaaminen ei onnistu , suojausasetus on käytössä

    3. Syitä ottaa tämä asetus
       
       käyttöön Ota tämä asetus käyttöön vain, jos valitset Korvaa tapahtumat päivien säilytysmenetelmällä -vaihtoehdon. Jos käytät tapahtumien kyselyjen tapahtumakorrelaatiojärjestelmää, varmista, että päivien määrä on vähintään kolme kertaa kyselyn tiheys. Toimi näin, jos haluat sallia epäonnistuneet äänestyssyklit.

14. Verkon käyttö: Salli kaikkien käyttöoikeuksien koskea anonyymejä käyttäjiä

    1. Tausta
       
       Oletusarvoisesti Verkkokäyttö: Salli kaikkien käyttöoikeuksien koskea anonyymejä käyttäjiä -asetuksen arvoksi on määritetty Ei määritetty Windows Server 2003:ssa. Oletusarvoisesti Windows Server 2003 ei sisällä Anonyymi käyttö -tunnusta Kaikki-ryhmässä.

    2. Esimerkki yhteensopivuusongelmista
       
       Seuraava arvo:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous [REG_DWORD]=0x0 katkaisee luottamuksen luomisen Windows Server 2003:n ja Windows NT 4.0:n välillä, kun Windows Server 2003 -toimialue on tilitoimialue ja Windows NT 4.0 -toimialue on resurssitoimialue. Tämä tarkoittaa, että tilin toimialue on luotettu Windows NT 4.0:ssa ja resurssitoimialue luottaa Windows Server 2003-puolella. Tämä tapahtuu, koska luottamus aloitetaan, kun alkuperäinen anonyymi yhteys on ACL'd ja Kaikki-tunnus, joka sisältää anonyymin SID-tunnuksen Windows NT 4.0: ssa.

    3. Syitä muokata tätä asetusta
       
       Arvo on määritettävä 0x1 tai määritettävä käyttämällä ryhmäkäytäntöobjektia toimialueen ohjauskoneen OU:ssa seuraavasti: Verkkokäyttö: Anna kaikkien käyttöoikeuksien koskea anonyymejä käyttäjiä – Käytössä, jotta luottamuksen luominen on mahdollista.
       
       Huomautus Useimmat muut suojausasetukset ovat arvokkaampia sen sijaan, että ne laskisivat alas 0x0 suojatuimmassa tilassaan. Turvallisempi käytäntö olisi muuttaa ensisijaisen toimialueen ohjauskoneen emulaattorin rekisteriä kaikkien toimialueen ohjauskoneiden sijaan. Jos ensisijaisen toimialueen ohjauskoneen emulaattorirooli siirretään jostain syystä, rekisteri on päivitettävä uuteen palvelimeen.
       
       Uudelleenkäynnistys on suoritettava, kun tämä arvo on määritetty.

    4. Rekisteripolku

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

15. NTLMv2-todennus

    1. Istunnon suojaus
       
       Istunnon suojaus määrittää asiakas- ja palvelinistuntojen vähimmäissuojausstandardit. Seuraavat suojauskäytäntöasetukset kannattaa tarkistaa Microsoft Management Console ryhmäkäytäntö Editor -laajennuksessa:

       • Tietokoneen asetukset\Windows-asetukset\Suojausasetukset\Paikalliset käytännöt\Suojausasetukset

       • Verkon suojaus: Istunnon vähimmäissuojaus NTLM SSP -pohjaisille palvelimille (mukaan lukien suojatut RPC-palvelimet)

       • Verkon suojaus: Istunnon vähimmäissuojaus NTLM SSP -pohjaisille (mukaan lukien suojatuille RPC-asiakkaille)

       Näiden asetusten asetukset ovat seuraavat:

       • Viestin eheyden vaatiminen

       • Viestin luottamuksellisuuden vaatiminen

       • Edellytä NTLM-version 2 istunnon suojausta

       • 128-bittisen salauksen vaatiminen

       Windows 7:ää edeltävä oletusasetus on Ei vaatimuksia. Windows 7:stä alkaen oletusasetukseksi on muutettu 128-bittisen salauksen vaatiminen suojauksen parantamiseksi. Oletusarvon mukaan vanhat laitteet, jotka eivät tue 128-bittistä salausta, eivät voi muodostaa yhteyttä.
       
       Nämä käytännöt määrittävät asiakkaan palvelimen sovellustenvälisen tietoliikenneistunnon vähimmäissuojausstandardit.
       
       Huomaa, että vaikka niitä kuvataan kelvollisiksi asetuksiksi, viestin eheyttä ja luottamuksellisuutta edellyttäviä merkintöjä ei käytetä, kun NTLM-istunnon suojaus määritetään.
       
       historiallisesti Windows NT on tukenut seuraavia kahta vaihtoehtoa, jotka koskevat verkon kirjautumisen haasteiden ja vastausten todentamista:

       • LM-haaste/vastaus

       • NTLM-version 1 haaste/vastaus

       LM mahdollistaa yhteentoimivuuden asiakkaiden ja palvelimien asennetun perustan kanssa. NTLM tarjoaa paremman suojauksen asiakkaiden ja palvelimien välisille yhteyksille.
       
       Vastaavat rekisteriavaimet ovat seuraavat:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

    2. Riskialttiit määritykset
       
       Tämä asetus määrittää, miten verkkoistunnot, jotka on suojattu NTLM:n avulla, käsitellään. Tämä vaikuttaa esimerkiksi NTLM:n avulla todennettuihin RPC-pohjaisiin istuntoihin. On olemassa seuraavat riskit:

       • Vanhempien todennusmenetelmien käyttäminen kuin NTLMv2 helpottaa viestintää, koska käytetyt hajautusmenetelmät ovat yksinkertaisempia.

       • Alle 128-bittisten salausavaimien avulla hyökkääjät voivat katkaista viestinnän raakavoimahyökkäysten avulla.

Ajan synkronointi

Ajan synkronointi epäonnistui. Aika on kulunut yli 30 minuuttia tietokoneessa, johon ongelma vaikuttaa. Varmista, että asiakastietokoneen kello on synkronoitu toimialueen ohjauskoneen kellon kanssa.

Vaihtoehtoinen menetelmä SMB-allekirjoitukselle

Suosittelemme, että asennat Service Pack 6a :n (SP6a) Windows NT 4.0-asiakasohjelmiin, jotka toimivat windows server 2003 -pohjaisessa toimialueessa. Windows 98 Second Edition -pohjaisten asiakkaiden, Windows 98 -pohjaisten asiakkaiden ja Windows 95 -pohjaisten asiakkaiden on suoritettava Hakemistopalvelut-asiakasohjelma, jotta ne voivat suorittaa NTLMv2:n. Jos Windows NT 4.0-pohjaisissa asiakasohjelmissa ei ole asennettuna Windows NT 4.0 SP6 tai jos Windows 95 -pohjaisissa asiakasohjelmissa, Windows 98 -pohjaisissa asiakasohjelmissa ja Windows 98SE -pohjaisissa asiakasohjelmissa ei ole Hakemistopalveluasiakasohjelmaa asennettuna, poista SMB-kirjautuminen käytöstä toimialueen ohjauskoneen oletuskäytäntöasetuksessa toimialueen ohjauskoneen OU:ssa ja linkitä tämä käytäntö kaikkiin toimialueen ohjauskoneita isännöivien OU-yksiköiden kanssa.

Windows 98 Second Editionin, Windows 98:n ja Windows 95:n Hakemistopalvelut-asiakasohjelma suorittaa SMB-allekirjoituksen Windows 2003 -palvelimilla NTLM-todennuksella, mutta ei NTLMv2-todennuksessa. Lisäksi Windows 2000 -palvelimet eivät vastaa näiden asiakkaiden SMB-allekirjoituspyyntöihin.

Vaikka emme suosittele sitä, voit estää SMB-allekirjoittamisen kaikissa toimialueen ohjauskoneissa, jotka suorittavat Windows Server 2003:n toimialueella. Voit määrittää tämän suojausasetuksen seuraavasti:

1. Avaa oletustoimialueen ohjauskoneen käytäntö.

2. Avaa Tietokoneasetukset\Windows-asetukset\Suojausasetukset\Paikalliset käytännöt\Suojausasetukset-kansio.

3. Etsi Microsoftin verkkopalvelin ja napsauta sitä: Allekirjoita viestintä (aina) digitaalisesti -käytäntöasetus ja valitse sitten Ei käytössä.

Tärkeää Tässä osassa, menetelmässä tai tehtävässä on ohjeita rekisterin muokkaamiseen. Rekisterin virheellinen muokkaaminen voi kuitenkin aiheuttaa vakavia ongelmia. Varmista siksi, että noudatat näitä ohjeita huolellisesti. Jos haluat lisäsuojauksen, varmuuskopioi rekisteri ennen sen muokkaamista. Tämän jälkeen voit palauttaa rekisterin, jos ongelma ilmenee. Saat lisätietoja rekisterin varmuuskopioinnista ja palauttamisesta napsauttamalla seuraavaa artikkelin numeroa, jolloin voit tarkastella artikkelia Microsoft Knowledge Base -tietokannassa:

322756 Rekisterin varmuuskopioiminen ja palauttaminen Windowsissa Vaihtoehtoisesti voit poistaa SMB-allekirjoituksen käytöstä palvelimessa muokkaamalla rekisteriä. Voit tehdä tämän seuraavasti:

1. Valitse Käynnistä, valitse Suorita, kirjoita regedit ja valitse sitten OK.

2. Etsi seuraava aliavain ja napsauta sitä:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

3. Napsauta enablesecuritysignature-merkintää .

4. Valitse Muokkaa-valikossaMuokkaa.

5. Kirjoita Arvotiedot-ruutuun 0 ja valitse sitten OK.

6. Sulje Rekisterieditori.

7. Käynnistä tietokone uudelleen tai lopeta palvelinpalvelu ja käynnistä se sitten uudelleen. Voit tehdä tämän kirjoittamalla komentokehotteeseen seuraavat komennot ja painamalla sitten Enter-näppäintä jokaisen komennon kirjoittamisen jälkeen:
   net stop server
   net start server

Huomautus Asiakastietokoneen vastaava avain on seuraavassa rekisterin aliavaimessa:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters Seuraavassa luetellaan käännetyt virhekoodinumerot tilakoodeihin ja edellä mainittuihin yksityiskohtaiseen virhesanomaan:

Saat lisätietoja napsauttamalla seuraavia artikkelin numeroita, jolloin voit tarkastella artikkeleita Microsoft Knowledge Base -tietokannassa:

324802 Ryhmäkäytäntöjen määrittäminen järjestelmäpalveluiden suojauksen määrittämiseksi Windows Server 2003:ssa

816585 Esimääritettyjen suojausmallien käyttäminen Windows Server 2003:ssa