Asiakastietokoneiden, palveluiden ja ohjelmien yhteensopivuusongelmia saattaa ilmetä suojausasetusten ja käyttäjän käyttöoikeuksien muokkaamisen jälkeen

Yhteenveto

Tässä artikkelissa kuvataan yhteensopivuusongelmia, joita saattaa ilmetä Microsoft Windows 95-, Microsoft Windows 98-, Microsoft Windows NT 4.0-, Microsoft Windows 2000-, Microsoft Windows XP Professional- tai Microsoft Windows Server 2003 -asiakastietokoneissa sen jälkeen, kun tiettyjä suojausasetuksia ja käyttäjän käyttöoikeuksia muokataan Windows NT 4.0-, Windows 2000- ja Windows Server 2003 -toimialueilla.

Määrittämällä nämä asetukset ja määritykset paikallisissa käytännöissä sekä ryhmäkäytännöissä voit parantaa toimialueiden ohjauskoneiden ja jäsentietokoneiden suojausta. Parannetun suojauksen haittapuolena ovat yhteensopivuusongelmat asiakastietokoneiden, palveluiden ja ohjelmien kanssa.

Muokkaamalla suojausasetuksia ryhmäkäytäntöobjektieditorin avulla voit selvittää aiempaa paremmin, mitkä suojausasetukset on määritetty virheellisesti. Kun käytät ryhmäkäytäntöobjektieditoria, käyttäjän käyttöoikeuksien määrittämistä tehostetaan seuraavissa käyttöjärjestelmissä:

 • Microsoft Windows XP Professional Service Pack 2 (SP2)

 • Microsoft Windows Server 2003 Service Pack 1 (SP1)

Tähän tehostukseen sisältyy valintaikkuna, jossa on linkki tähän artikkeliin. Tämä valintaikkuna tulee näkyviin, kun muutat suojausasetusta tai käyttäjän käyttöoikeuksien määritystä asetukseen, joka heikentää yhteensopivuutta ja on aiempaa rajoittavampi. Jos muokkaat samaa suojausasetusta tai käyttäjän käyttöoikeuksien määritystä suoraan rekisterin tai suojausmallien avulla, vaikutus on sama kuin asetuksen muokkaamisessa ryhmäkäytäntöobjektieditorissa, mutta tämän artikkelin linkin sisältävää valintaikkunaa ei tule näyttöön.


Tässä artikkelissa on esimerkkejä asiakaskoneista, ohjelmista ja toiminnoista, joihin tietyt suojausasetukset tai käyttäjän käyttöoikeuksien määritykset vaikuttavat. Esimerkit eivät kuitenkaan koske kaikkia Microsoftin käyttöjärjestelmiä, kolmansien osapuolten käyttöjärjestelmiä tai kaikkia ohjelmaversioita, joihin ne vaikuttavat. Kaikki suojausasetukset ja käyttäjän käyttöoikeuksien määritykset eivät sisälly tähän artikkeliin.

Microsoft suosittelee, että vahvistat kaikkien suojaukseen liittyvien määritysten muutosten yhteensopivuuden testaukseen tarkoitetussa toimialuepuuryhmässä, ennen kuin otat ne käyttöön tuotantoympäristössä. Testaukseen tarkoitetun toimialuepuuryhmän on oltava tuotantoon tarkoitetun toimialuepuuryhmän kaltainen seuraavilla tavoilla:

 • asiakaskoneen ja palvelimen käyttöjärjestelmien versiot, asiakaskoneen ja palvelimen ohjelmat, Service Pack -pakettien versiot, korjaustiedostot, rakenteen muutokset, suojausryhmät, ryhmien jäsenyydet, oikeudet tiedostojärjestelmän objekteihin, jaetut kansiot, rekisteri, Active Directory -hakemistopalvelu, paikalliset asetukset, ryhmäkäytäntöasetukset sekä objektien määrän tyyppi ja sijainti

 • tehdyt hallintatehtävät, käytetyt hallintatyökalut ja hallintatehtäviin käytettävät käyttöjärjestelmät

 • tehdyt toiminnot, mukaan lukien tietokoneen ja käyttäjän kirjautumisen todennus, käyttäjien, tietokoneiden ja järjestelmänvalvojien tekemät salasanojen nollaukset, selaaminen, tiedostojärjestelmän, jaettujen kansioiden, rekisterin ja Active Directory -resurssien käyttöoikeuksien määrittäminen ACL Editorin avulla kaikissa asiakaskäyttöjärjestelmissä kaikilla tilin tai resurssin toimialueilla kaikista asiakaskäyttöjärjestelmistä kaikilta tilin tai resurssin toimialueilta, tulostaminen järjestelmänvalvojan tileistä tai muista kuin järjestelmänvalvojan tileistä.

Windows Server 2003 SP1

Gpedit.msc-varoitukset

Gpedit.msc-työkaluun on lisätty kaksi varoitusmekanismia, jotka auttavat asiakkaita tiedostamaan, että he muokkaavat sellaista käyttäjän käyttöoikeutta tai suojausasetusta, joka saattaa vaikuttaa verkkoon haitallisesti. Kun järjestelmänvalvojat muokkaavat käyttäjän käyttöoikeutta, joka saattaa vaikuttaa haitallisesti koko yritykseen, näyttöön tulee uusi varoituskolmiota muistuttava kuvake. Näyttöön tulee myös varoitussanoma, jossa on linkki Microsoft Knowledge Base -tietokannan artikkeliin 823659. Tämän sanoman teksti on seuraavankaltainen:

Asetuksen muokkaaminen saattaa vaikuttaa yhteensopivuuteen asiakkaiden, palveluiden ja sovellusten kanssa. Lisätietoja saat seuraavasta: <muokattava käyttäjän käyttöoikeus tai suojausasetus> (Q823659) Jos sinut on ohjattu tähän KB-artikkeliin Gpedit.msc-työkalun linkistä, varmista, että luet ja ymmärrät annetun selityksen ja tämän asetuksen muokkaamisen mahdollisen vaikutuksen. Seuraavassa on luettelo käyttäjän käyttöoikeuksista, jotka sisältävät uuden varoitustekstin:

 • tietokoneen käyttö verkosta


 • kirjautuminen paikallisesti

 • läpikulkutarkistuksen ohitusoikeus

 • delegoinnin luottamussuhteen muodostaminen tietokoneille ja käyttäjille.

Seuraavassa on luettelo suojausasetuksista, joihin liittyy varoitus ja ponnahdusikkuna:

 • Toimialuejäsen: Salaa tai allekirjoita suojatun kanavan tiedot digitaalisesti (aina)

 • Toimialuejäsen: Vaadi vahvaa (Windows 2000:n tai uudemman) istuntoavainta

 • Toimialueen ohjauskone: LDAP-palvelimen allekirjoitusvaatimukset

 • Microsoft-verkkopalvelin: Allekirjoita tietoliikenne digitaalisesti (aina)

 • Verkkoyhteys: Salli nimetön SID/Nimi-käännös

 • Verkkoyhteys: Älä salli anonyymeja SAM-tilien ja jaettujen resurssien luettelointia

 • Verkon suojaus: LAN Managerin alkuperäisyyden todentamisen taso

 • Jäljitys: Sulje järjestelmä välittömästi, jos suojauksen valvonnan kirjaaminen lokiin ei onnistu

 • Verkkoyhteys: LDAP-asiakkaan allekirjoitusvaatimukset.

Enemmän tietoa

Seuraavissa osissa kuvataan yhteensopivuusongelma, joita voi ilmetä, kun muokkaat tiettyjä asetuksia Windows NT 4.0-, Windows 2000- ja Windows Server 2003 -toimialueilla.

Käyttäjän käyttöoikeudet

 1. Tietokoneen käyttö verkosta

  1. Tausta

   Kyky olla vuorovaikutuksessa Windows-etätietokoneiden kanssa edellyttää Tietokoneen käyttö verkosta -käyttöoikeuden. Esimerkkejä tällaisista verkkotoiminnoista ovat Active Directoryn replikointi toimialueen ohjauskoneiden välillä yhteisessä toimialueessa tai toimialuepuuryhmässä, käyttäjien ja tietokoneiden toimialueen ohjauskoneille tekemät todennuspyynnöt, jaettujen kansioiden käyttö, tulostinten käyttö ja muiden sellaisten järjestelmäpalveluiden käyttö, jotka sijaitsevat verkon etätietokoneissa.

   Käyttäjät, tietokoneet ja palvelutilit saavat tai menettävät Tietokoneen käyttö verkosta -käyttöoikeuden, kun ne eksplisiittisesti tai implisiittisesti lisätään suojausryhmään, jolle tämä käyttäjän oikeus on myönnetty, tai poistetaan siitä. Käyttäjän tai tietokoneen tili voidaan esimerkiksi lisätä eksplisiittisesti mukautettuun tai sisäiseen suojausryhmään järjestelmänvalvojan toimesta, tai käyttöjärjestelmä voi lisätä sen implisiittisesti laskettuun suojausryhmään, joita ovat esimerkiksi Toimialuekäyttäjät, Vahvistetut käyttäjät ja Yritystoimialueen ohjauskoneet.

   Oletusarvon mukaan käyttäjä- ja tietokonetileille myönnetään Tietokoneen käyttö verkosta -käyttöoikeus, kun lasketut ryhmät, kuten Kaikki tai (mieluummin) Vahvistetut käyttäjät ja Yritystoimialueen ohjauskoneet (toimialueen ohjauskoneille), on määritetty oletusarvon mukaisessa toimialueen ohjauskoneiden ryhmäkäytäntöobjektissa.

  2. Riskialttiit kokoonpanot

   Seuraavat ovat haitallisia kokoonpanomäärityksiä:

   • Yritystoimialueen ohjauskoneet -suojausryhmän poistaminen tästä käyttöoikeudesta

   • Vahvistetut käyttäjät -ryhmän tai eksplisiittisen käyttäjille, tietokoneille ja palvelutileille oikeuden muodostaa yhteys tietokoneisiin verkon välityksellä antavan ryhmän poistaminen

   • Kaikkien käyttäjien ja tietokoneiden poistaminen tästä käyttöoikeudesta

  3. Syitä myöntää tämä käyttöoikeus

   • Kun Yritystoimialueen ohjauskoneet -ryhmälle myönnetään Tämän tietokoneen käyttäminen verkosta -käyttöoikeus, täytetään todennusedellytykset, jotka Active Directory -replikoinnilla on oltava replikoinnin suorittamiseksi saman toimialuepuuryhmän toimialueen ohjauskoneiden välillä.

   • Tämä käyttöoikeus antaa käyttäjien ja tietokoneiden käyttää jaettuja tiedostoja, tulostimia ja järjestelmäpalveluita, Active Directory mukaan lukien.

   • Tämä käyttöoikeus edellytetään, jotta käyttäjät voivat käyttää sähköpostia Microsoft Outlook Web Accessin (OWA) varhaisten versioiden avulla.

  4. Syitä poistaa tämä käyttöoikeus

   • Käyttäjät, jotka voivat yhdistää tietokoneensa verkkoon, voivat käyttää niiden etätietokoneiden resursseja, joihin heillä on oikeudet. Tämä käyttöoikeus tarvitaan esimerkiksi, jotta käyttäjä voi muodostaa yhteyden jaettuihin tulostimiin ja kansioihin. Jos tämä käyttöoikeus myönnetään Kaikki-ryhmälle ja joillakin jaetuilla kansioilla on määritettynä sekä jaetun resurssin että NTFS-tiedostojärjestelmän oikeudet niin, että samalla ryhmällä on lukuoikeus, kaikki käyttäjät pystyvät tarkastelemaan kyseisten jaettujen kansioiden tiedostoja. Tämä on kuitenkin epätodennäköinen tilanne Windows Server 2003:n uusissa asennuksissa, koska Windows Server 2003:n oletusarvon mukaiset jaettujen resurssien ja NTFS-tiedostojärjestelmän oikeudet eivät sisällä Kaikki-ryhmää. Jos kyseessä on Microsoft Windows NT 4.0:sta tai Windows 2000:sta päivitetty järjestelmä, tämän heikkouden ilmenemisen riski saattaa olla suurempi, koska kyseisten käyttöjärjestelmien oletusarvon mukaiset jaetun resurssin ja tiedostojärjestelmän oikeudet eivät ole yhtä rajoittavat kuin Windows Server 2003:n oletusarvon mukaiset oikeudet.

   • Yritystoimialueen ohjauskoneet -ryhmän poistamiseen tästä käyttöoikeudesta ei ole mitään kelvollista syytä.

   • Kaikki-ryhmä poistetaan yleensä siksi, että Vahvistetut käyttäjät -ryhmää voidaan käyttää. Jos Kaikki-ryhmä poistetaan, Vahvistetut käyttäjät -ryhmälle on myönnettävä tämä käyttöoikeus.

   • Windows 2000:ksi päivitetyt Windows NT 4.0 -toimialueet eivät eksplisiittisesti myönnä Kaikki-, Vahvistetut käyttäjät- tai Yritystoimialueen ohjauskoneet -ryhmille Tietokoneen käyttö verkosta -käyttöoikeutta. Tämän vuoksi, kun poistat Kaikki-ryhmän Windows NT 4.0 -toimialuekäytännöstä, Active Directory -replikointi epäonnistuu ja tuo näyttöön Käyttö estetty -virhesanoman Windows 2000:ksi päivittämisen jälkeen. Windows Server 2003:n Winnt32.exe-ohjelma välttää tämän virheellisen määrityksen myöntämällä Yritystoimialueen ohjauskoneet -ryhmälle tämän käyttöoikeuden, kun päivität ensisijaiset Windows NT 4.0 -toimialueen ohjauskoneet. Myönnä tämä käyttöoikeus Yritystoimialueen ohjauskoneet -ryhmälle, jos sitä ei ole ryhmäkäytäntöobjektieditorissa.

  5. Esimerkkejä yhteensopivuusongelmista

   • Windows 2000 ja Windows Server 2003: Active Directoryn rakenteen, kokoonpanon, toimialueen, yleisen luettelon tai sovellusosioiden replikointi epäonnistuu ja antaa tulokseksi Käyttö estetty -virheitä, jotka seurantatyökalut, kuten REPLMON ja REPADMIN, tai tapahtumalokin replikointitapahtumat raportoivat.

   • Kaikki Microsoftin verkkokäyttöjärjestelmät: Käyttäjätilin todennus verkon etäasiakastietokoneista epäonnistuu, ellei käyttäjälle tai suojausryhmälle, jonka jäsen käyttäjä on, ole myönnetty tätä käyttöoikeutta.

   • Kaikki Microsoftin verkkokäyttöjärjestelmät: Tilin todennus verkon etäasiakaskoneista epäonnistuu, ellei tilille tai suojausryhmälle, jonka jäsen tili on, ole myönnetty tätä käyttöoikeutta. Tämä skenaario koskee käyttäjätilejä, tietokonetilejä ja palvelutilejä.

   • Kaikki Microsoftin verkkokäyttöjärjestelmät: Kaikkien tilien poistaminen tästä käyttöoikeudesta estää mitä tahansa tiliä kirjautumasta toimialueelle tai käyttämästä verkkoresursseja. Jos lasketut ryhmät, kuten Yritystoimialueen ohjauskoneet, Kaikki tai Vahvistetut käyttäjät, poistetaan, sinun on eksplisiittisesti myönnettävä tämä käyttöoikeus tileille tai suojausryhmille, joiden jäsen tili on, jotta etätietokoneita voidaan käyttää verkon välityksellä. Tämä skenaario koskee kaikkia käyttäjätilejä, tietokonetilejä ja palvelutilejä.

   • Kaikki Microsoftin verkkokäyttöjärjestelmät: Paikallisen järjestelmänvalvojan tilin salasana on tyhjä. Verkkoyhteyksiä ei sallita toimialueympäristössä järjestelmänvalvojan tilille, jos sen salasana on tyhjä. Tässä kokoonpanossa näyttöön tulee todennäköisesti Käyttö estetty -virhesanoma.

 2. Salli kirjautuminen paikallisesti

  1. Tausta

   Käyttäjillä, jotka yrittävät kirjautua Microsoft Windows -tietokoneen konsoliin (painamalla kirjautumisen näppäinyhdistelmää CTRL+ALT+DELETE), ja tileille, jotka yrittävät käynnistää palvelun, on oltava paikalliset kirjautumisen oikeudet isäntätietokoneeseen. Esimerkkejä paikallisen kirjautumisen toiminnoista ovat järjestelmänvalvojat, jotka ovat kirjautuneena jäsentietokoneiden konsoleihin, tai toimialueen ohjauskoneet koko yrityksessä ja toimialuekäyttäjät, jotka kirjautuvat jäsentietokoneisiin käyttääkseen työpöytiään muiden kuin oikeudet omistavien tilien avulla. Käyttäjillä, jotka käyttävät etätyöpöytäyhteyttä tai päätepalveluita, on oltava Salli kirjautuminen paikallisesti -käyttöoikeus Windows 2000- tai Windows XP -kohdetietokoneissa, koska kyseisiä kirjautumistiloja pidetään isäntätietokoneen paikallisina kirjautumisina. Käyttäjät, jotka kirjautuvat päätepalvelinta käyttävään palvelimeen ja joilla ei ole tätä käyttöoikeutta, voivat silti käynnistää vuorovaikutteisen etäistunnon Windows Server 2003 -toimialueilla, jos heillä on Salli kirjautuminen päätepalveluiden kautta -käyttöoikeus.

  2. Riskialttiit kokoonpanot

   Seuraavat ovat haitallisia kokoonpanomäärityksiä:

   • hallintasuojausryhmien, kuten Tilioperaattorit, Varmuuskopiointioperaattorit, Tulostusoperaattorit tai Palvelinoperaattorit, ja sisäisen Järjestelmänvalvojat-ryhmän poistaminen oletusarvon mukaisesta toimialueen ohjauskoneiden käytännöstä

   • jäsentietokoneiden ja toimialueen ohjauskoneiden osien ja ohjelmien käyttämien palvelutilien poistaminen oletusarvon mukaisesta toimialueen ohjauskoneiden käytännöstä

   • toimialueen jäsentietokoneiden konsoleihin kirjautuvien käyttäjien tai suojausryhmien poistaminen

   • jäsentietokoneiden tai työryhmätietokoneiden paikallisessa SAM (Security Accounts Manager) -tietokannassa määritettyjen palvelutilien poistaminen

   • toimialueen ohjauskoneessa käynnissä olevien päätepalveluiden kautta todentavien muiden kuin sisäisten järjestelmänvalvojatilien poistaminen

   • kaikkien toimialueen käyttäjätilien lisääminen eksplisiittisesti tai implisiittisesti Kaikki-ryhmän avulla Estä paikallinen kirjautuminen -kirjautumisoikeuteen. Tämä kokoonpano estää käyttäjiä kirjautumasta mihin tahansa toimialueen jäsentietokoneeseen tai toimialueen ohjauskoneeseen.

  3. Syitä myöntää tämä käyttöoikeus

   • Käyttäjillä on oltava Salli kirjautuminen paikallisesti -käyttöoikeus, jotta he voivat käyttää työryhmätietokoneen, jäsentietokoneen tai toimialueen ohjauskoneen konsolia tai työpöytää.

   • Käyttäjillä on oltava tämä käyttöoikeus, jotta he pystyvät kirjautumaan Windows 2000 -käyttöjärjestelmää käyttävän jäsentietokoneen tai toimialueen ohjauskoneen päätepalveluistunnon välityksellä.

  4. Syitä poistaa tämä käyttöoikeus

   • Konsolin käytön rajoittamisen epäonnistuminen kelvollisille käyttäjätileille saattaa johtaa siihen, että luvattomat käyttäjät lataavat ja suorittavat haitalliseksi suunniteltua koodia, jonka tarkoituksena on muuttaa heidän käyttöoikeuksiaan.

   • Salli kirjautuminen paikallisesti -käyttöoikeuden poistaminen estää luvattomat kirjautumiset tietokoneiden, kuten toimialueen ohjauskoneiden tai sovelluspalvelinten, konsoleihin.

   • Tämän kirjautumisoikeuden poistaminen estää muita kuin toimialuetilejä kirjautumasta toimialueen jäsentietokoneiden konsoleihin.

  5. Esimerkkejä yhteensopivuusongelmista

   • Windows 2000 -päätepalvelimet: Salli kirjautuminen paikallisesti -käyttöoikeus vaaditaan, jotta käyttäjät voivat kirjautua Windows 2000 -päätepalvelimiin.

   • Windows NT 4.0, Windows 2000, Windows XP tai Windows Server 2003: Käyttäjätileille on myönnettävä tämä käyttöoikeus, jotta ne voivat kirjautua Windows NT 4.0-, Windows 2000-, Windows XP- tai Windows Server 2003 -tietokoneiden konsoleihin.

   • Windows NT 4.0 ja uudemmat käyttöjärjestelmät: Jos lisäät Salli kirjautuminen paikallisesti -käyttöoikeuden tietokoneissa, joiden käyttöjärjestelmä on Windows NT 4.0 tai uudempi käyttöjärjestelmä, mutta lisäät implisiittisesti tai eksplisiittisesti myös Estä paikallinen kirjautuminen -kirjautumisoikeuden, tilit eivät pysty kirjautumaan toimialueen ohjauskoneiden konsoleihin.

 3. Läpikulkutarkistuksen ohitusoikeus

  1. Tausta

   Läpikulkutarkistuksen ohitusoikeus antaa käyttäjän selata kansioiden läpi NTFS-tiedostojärjestelmässä tai rekisterissä niin, ettei kansion läpikulun erikoiskäyttöoikeutta tarkisteta. Läpikulkutarkistuksen ohitusoikeus ei salli käyttäjän tarkastella luetteloa kansion sisällöstä. Se antaa käyttäjän vain kulkea sen kansioiden läpi.

  2. Riskialttiit kokoonpanot

   Seuraavat ovat haitallisia kokoonpanomäärityksiä:

   • Windows 2000- tai Windows Server 2003 -päätepalvelutietokoneisiin kirjautuvien sellaisten muiden kuin järjestelmänvalvojan tilien poistaminen, joilla ei ole oikeuksia käyttää tiedostojärjestelmän tiedostoja tai kansioita

   • Kaikki-ryhmän poistaminen tämän käyttöoikeuden oletusarvon mukaan omistavien suojausperiaatteiden luettelosta. Windows-käyttöjärjestelmät ja useat ohjelmat on suunniteltu olettaen, että kaikilla tietokonetta luvallisesti käyttämään pystyvällä käyttäjällä on läpikulkutarkistuksen ohitusoikeus. Tämän vuoksi Kaikki-ryhmän poistaminen tämän käyttöoikeuden oletusarvon mukaan omistavien suojausperiaatteiden luettelosta saattaa johtaa käyttöjärjestelmän epävakauteen tai ohjelmavirheisiin. Tämä asetus on parempi jättää sen oletusasetukseksi.

  3. Syitä myöntää tämä käyttöoikeus

   Läpikulkutarkistuksen ohitusoikeuden oletusasetus on sallia kaikkien ohittaa läpikulkutarkistus. Kokeneet Windows-järjestelmänvalvojat osaavat odottaa tätä toimintaa, ja he määrittävät tiedostojärjestelmän käyttöoikeusluettelot tilanteen mukaisesti. Ainoa skenaario, jossa oletuskokoonpano saattaa johtaa ongelmiin, on silloin, jos oikeuksia määrittävä järjestelmänvalvoja ei ymmärrä toimintaa ja odottaa, että käyttäjät, jotka eivät pysty käyttämään pääkansiota, eivät pysty käyttämään sen alikansioiden sisältöä.

  4. Syitä poistaa tämä käyttöoikeus

   Tietoturvaa erittäin tärkeänä pitävät yritykset saattavat haluta poistaa Kaikki-ryhmän tai jopa Käyttäjät-ryhmän läpikulkutarkistuksen ohitusoikeuden omistavien ryhmien luettelosta, jotta he estäisivät tiedostojärjestelmän tiedostojen tai kansioiden käyttämisen.

  5. Esimerkkejä yhteensopivuusongelmista

   • Windows 2000 ja Windows Server 2003: Jos läpikulkutarkistuksen ohitusoikeus poistetaan tai määritetään väärin Windows 2000- tai Windows Server 2003 -tietokoneissa, SYVOL-kansion ryhmäkäytäntöasetuksia ei replikoida toimialueen ohjauskoneiden välillä toimialueella.

   • Windows 2000, Windows XP Professional ja Windows Server 2003: Windows 2000-, Windows XP Professional- ja Windows Server 2003 -tietokoneet kirjaavat tapahtumia 1000 ja 1202, eivätkä ne pysty ottamaan tietokoneen ja käyttäjän käytäntöä käyttöön, kun vaaditut järjestelmän käyttöoikeudet poistetaan SYSVOL-puusta, jos läpikulkutarkistuksen ohitusoikeus poistetaan tai määritetään väärin.


    Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    Tapahtumat 1000 ja 1001 kirjataan sovelluksen tapahtumalokiin viiden minuutin välein (tämä artikkeli saattaa olla englanninkielinen)

   • Windows 2000 ja Windows Server 2003: Windows 2000- ja Windows Server 2003 -tietokoneissa Resurssienhallinnan Kiintiö-välilehti katoaa, kun aseman ominaisuuksia tarkastellaan.

   • Windows 2000: Windows 2000 -päätepalvelimeen kirjautuvat muut kuin järjestelmänvalvojat saattavat saada seuraavankaltaisen virhesanoman:

    Sovellusvirhe ohjelmassa Userinit.exe. Sovelluksen alustus epäonnistui (0xc0000142). Lopeta sovellus valitsemalla OK.

    Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    Käyttäjät kirjataan ulos automaattisesti, kun he yrittävät kirjautua päätepalveluihin (tämä artikkeli saattaa olla englanninkielinen)

   • Windows NT 4.0, Windows 2000, Windows XP ja Windows Server 2003: Windows NT 4.0-, Windows 2000-, Windows XP- ja Windows Server 2003 -käyttäjät eivät välttämättä pysty käyttämään jaettuja kansioita tai jaettujen kansioiden tiedostoja, ja he saattavat saada Käyttö estetty -virhesanomia, mikäli heille ei ole myönnetty läpikulkutarkistuksen ohitusoikeutta.


    Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    Käyttö estetty -virhesanoma käyttäjien yrittäessä käyttää jaettuja kansioita (tämä artikkeli saattaa olla englanninkielinen)

   • Windows NT 4.0: Windows NT 4.0 -tietokoneissa läpikulkutarkistuksen ohitusoikeuden poistaminen saa tiedostojen kopioimisen katkaisemaan tiedostovirtoja. Jos poistat tämän käyttöoikeuden ja tiedosto kopioidaan Windows- tai Macintosh-asiakaskoneesta Windows NT 4.0 -toimialueen ohjauskoneeseen, jossa on käynnissä Macintosh-palvelut, kohdetiedostovirta katkeaa ja tiedosto näkyy vain teksti -tiedostona.


    Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    Läpikulkutarkistuksen ohitusoikeuden poistaminen saa tiedostojen kopioimisen katkaisemaan virtoja (tämä artikkeli saattaa olla englanninkielinen)

   • Microsoft Windows 95 ja Microsoft Windows 98: Windows 95- tai Windows 98 -asiakastietokoneessa komento net use * /home epäonnistuu ja tuo näyttöön Käyttö estetty -virhesanoman, jos Vahvistetut käyttäjät -ryhmälle ei myönnetä läpikulkutarkistuksen ohitusoikeutta.

   • Outlook Web Access: Muut kuin järjestelmänvalvojat eivät pysty kirjautumaan Microsoft Outlook Web Accessiin, ja näyttöön tulee Käyttö estetty -virhesanoma, jos heille ei myönnetä läpikulkutarkistuksen ohitusoikeutta.

Suojausasetukset

 1. Jäljitys: Sulje järjestelmä välittömästi, jos suojauksen valvonnan kirjaaminen lokiin ei onnistu

  1. Tausta

   • Jäljitys: Sulje järjestelmä välittömästi, jos suojauksen valvonnan kirjaaminen lokiin ei onnistu -asetus määrittää, sulkeutuuko järjestelmä, jos suojaustapahtumien kirjaaminen ei onnistu. TCSEC (Trusted Computer Security Evaluation Criteria) -ohjelman C2-arviointi ja Common Criteria for Information Technology Security Evaluation edellyttävät tämän asetuksen estääkseen valvottavia tapahtumia, jos valvontajärjestelmä ei pysty kirjaamaan kyseisiä tapahtumia. Jos valvontajärjestelmä epäonnistuu, järjestelmä suljetaan ja näyttöön tulee Stop-virhesanoma.

   • Jos tietokone ei pysty kirjaamaan tapahtumia suojauslokiin, tärkeät todisteet tai vianmääritystiedot eivät välttämättä ole käytettävissä tietoturvaongelman tutkimista varten.

  2. Riskialtis kokoonpano

   Seuraava on haitallinen kokoonpanomääritys: Jäljitys: Sulje järjestelmä välittömästi, jos suojauksen valvonnan kirjaaminen lokiin ei onnistu -asetus on käytössä ja suojaustapahtumalokin kokoa rajoitetaan Älä korvaa tapahtumia (tyhjennä loki manuaalisesti) -asetuksen, Korvaa tapahtumia tarpeen mukaan- tai Korvaa tapahtumat, jotka ovat vanhempia kuin luku päivää -asetuksen avulla Tapahtumienvalvonnassa. Tietoja tietyistä riskeistä tietokoneissa, joiden käyttöjärjestelmä on Windows 2000:n, Windows 2000 Service Pack 1:n (SP1), Windows 2000 SP2:n tai Windows 2000 SP3:n alkuperäinen julkaisuversio, on Esimerkkejä yhteensopivuusongelmista -osassa.

  3. Syitä tämän asetuksen ottamiseen käyttöön

   Jos tietokone ei pysty kirjaamaan tapahtumia suojauslokiin, tärkeät todisteet tai vianmääritystiedot eivät välttämättä ole käytettävissä tietoturvaongelman tutkimista varten.

  4. Syitä tämän asetuksen poistamiseen käytöstä

   • Jäljitys: Sulje järjestelmä välittömästi, jos suojauksen valvonnan kirjaaminen lokiin ei onnistu -asetuksen ottaminen käyttöön pysäyttää järjestelmän, jos suojauksen valvontaa ei voi kirjata jostakin syystä. Yleensä tapahtumaa ei voi kirjata, kun suojauksen valvonnan loki on täynnä ja sen määritetty säilytystapa on Älä korvaa tapahtumia (tyhjennä loki manuaalisesti) tai Korvaa tapahtumat, jotka ovat vanhempia kuin luku päivää.

   • Jäljitys: Sulje järjestelmä välittömästi, jos suojauksen valvonnan kirjaaminen lokiin ei onnistu -asetuksen käyttöönotto saattaa olla vaivalloista hallinnan kannalta erityisesti silloin, kun otat käyttöön myös suojauslokin Älä korvaa tapahtumia (tyhjennä loki manuaalisesti) -asetuksen. Tämä asetus mahdollistaa käyttäjien toimien seuraamisen. Järjestelmänvalvoja voi esimerkiksi nollata kaikkien käyttäjien, tietokoneiden ja ryhmien oikeudet organisaatioyksikössä, jossa valvonta otettiin käyttöön sisäisen järjestelmänvalvojatilin tai jonkin muun jaetun tilin avulla, ja sen jälkeen kieltää nollanneensa kyseiset oikeudet. Asetuksen ottaminen käyttöön kuitenkin heikentää järjestelmän vakautta, koska palvelin saatetaan pakottaa sulkeutumaan niin, että sille tehdään suuri määrä kirjautumistapahtumia ja muita suojaustapahtumia, jotka kirjataan suojauslokiin. Lisäksi, koska sulkeutumista ei tehdä oikein, käyttöjärjestelmä, ohjelmat tai tiedot voivat vioittua erittäin vakavasti. Vaikka NTFS takaa, että tiedostojärjestelmän yhtenäisyys säilyy järjestelmän äkillisen sulkemisen aikana, se ei pysty takaamaan sitä, että kaikkien ohjelmien kaikki tiedostot ovat edelleen käyttökelpoisessa muodossa, kun järjestelmä käynnistyy uudelleen.

  5. Symbolinen nimi:

   CrashOnAuditFail

  6. Rekisteripolku:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

  7. Esimerkkejä yhteensopivuusongelmista

   • Windows 2000: Ohjelmavirheen vuoksi tietokoneet, joiden käyttöjärjestelmä on Windows 2000:n, Windows 2000 SP1:n, Windows 2000 SP2:n tai Windows Server SP3:n alkuperäinen julkaisuversio, saattavat lopettaa tapahtumien kirjaamisen, ennen kuin suojauslokin Lokin enimmäiskoko -asetuksessa määritetty koko saavutetaan. Tämä ohjelmavirhe on korjattu Windows 2000 Service Pack 4:ssä (SP4). Varmista, että Windows 2000 -toimialueen ohjauskoneissa on asennettuna Windows 2000 Service Pack 4, ennen kuin otat tämän asetuksen käyttöön.

    Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    Tapahtumaloki lopettaa tapahtumien kirjaamisen, ennen kuin lokin enimmäiskoko saavutetaan (tämä artikkeli saattaa olla englanninkielinen)

   • Windows 2000 ja Windows Server 2003: Windows 2000- tai Windows Server 2003 -tietokoneet saattavat lopettaa vastaamisen ja käynnistyä sitten äkillisesti uudelleen, jos Jäljitys: Sulje järjestelmä välittömästi, jos suojauksen valvonnan kirjaaminen lokiin ei onnistu -asetus on käytössä, suojausloki on täynnä ja aiempaa tapahtumalokin merkintää ei voi korvata. Kun tietokone käynnistyy uudelleen, näyttöön tulee seuraava Stop-virhesanoma:

    STOP: C0000244 {Valvonta epäonnistui}
    Suojauksen valvontatapahtuman lisääminen epäonnistui.

    Tästä ongelmasta palauttaminen edellyttää, että järjestelmänvalvoja kirjautuu sisään, arkistoi suojauslokin (valinnainen), tyhjentää suojauslokin ja nollaa tämän asetuksen (valinnainen ja tarvittaessa).

   • Microsoft-verkon asiakas seuraaville: MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP ja Windows Server 2003: Muut kuin järjestelmänvalvojat, jotka yrittävät kirjautua sisään toimialueelle, saavat seuraavan virhesanoman:

    Tilisi on määritetty siten, ettet voi käyttää tätä tietokonetta. Yritä käyttää toista tietokonetta.

    Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    Virhesanoma ja käyttäjät eivät pysty kirjautumaan työasemaan (tämä artikkeli saattaa olla englanninkielinen)

   • Windows 2000: Windows 2000 -tietokoneissa muut kuin järjestelmänvalvojat eivät pysty kirjautumaan sisään etäkäyttöpalvelimiin ja he saavat seuraavankaltaisen virhesanoman:

    Tuntematon käyttäjä tai virheellinen salasana

    Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    Virhesanoma: Tilisi on määritetty siten, ettet voi käyttää tätä tietokonetta (tämä artikkeli saattaa olla englanninkielinen)

   • Windows 2000: Windows 2000 -toimialueen ohjauskoneissa saittienvälinen viestinvälityspalvelu (Ismserv.exe) pysähtyy, eikä sitä pysty käynnistämään uudelleen. DCDIAG raportoi virheen muodossa "failed test services ISMserv" ja tapahtumalokiin kirjataan tapahtuma 1083.

   • Windows 2000: Active Directory -replikointi epäonnistuu Windows 2000 -toimialueen ohjauskoneissa ja näyttöön tulee Käyttö estetty -virhesanoma, jos suojaustapahtumaloki on täynnä.

   • Microsoft Exchange 2000: Exchange 2000 -palvelimet eivät pysty yhdistämään tietosäilötietokantaa ja tapahtumalokiin kirjataan tapahtuma 2102.


    Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    Exchange 2000 -virhesanomia luodaan SeSecurityPrivilege-oikeuden Policytest-ohjelman ongelmien vuoksi (tämä artikkeli saattaa olla englanninkielinen)

   • Outlook ja Outlook Web Access: Muut kuin järjestelmänvalvojat eivät pysty käyttämään sähköpostiaan Microsoft Outlookin tai Microsoft Outlook Web Accessin avulla ja saavat virheen 503.

 2. Toimialueen ohjauskone: LDAP-palvelimen allekirjoitusvaatimukset

  1. Tausta

   Toimialueen ohjauskone: LDAP-palvelimen allekirjoitusvaatimukset -suojausasetus määrittää, edellyttääkö LDAP (Lightweight Directory Access Protocol) -palvelin, että LDAP-asiakkaat neuvottelevat tietojen allekirjoituksen. Tämän käytäntöasetuksen mahdollisia arvoja ovat seuraavat:

   • Ei mitään: Tietojen allekirjoitusta ei edellytetä palvelimeen sitomista varten. Jos asiakas edellyttää tietojen allekirjoittamisen, palvelin tukee sitä.

   • Vaadi allekirjoitus: LDAP-allekirjoitusasetus on neuvoteltava, ellei TLS/SSL (Transport Layer Security/Secure Socket Layer) ole käytössä.

   • Ei määritetty: Tämä asetus ei ole käytössä tai poistettu käytöstä.

  2. Riskialttiit kokoonpanot

   Seuraavat ovat haitallisia kokoonpanomäärityksiä:

   • Vaadi allekirjoitus -asetuksen ottaminen käyttöön ympäristöissä, joissa asiakkaat eivät tue LDAP-allekirjoitusta tai joissa asiakaspuolen LDAP-allekirjoitus ei ole käytössä asiakaskoneessa

   • Windows 2000:n tai Windows Server 2003:n Hisecdc.inf-suojausmallin käyttäminen ympäristöissä, joissa asiakaskoneet eivät tue LDAP-allekirjoitusta tai joissa asiakaspuolen LDAP-allekirjoitus ei ole käytössä

   • Windows 2000:n tai Windows Server 2003:n Hisecws.inf-suojausmallin käyttäminen ympäristöissä, joissa asiakaskoneet eivät tue LDAP-allekirjoitusta tai joissa asiakaspuolen LDAP-allekirjoitus ei ole käytössä.

  3. Syitä tämän asetuksen ottamiseen käyttöön

   Allekirjoittamaton verkkotietoliikenne on alttiina tekeytymishyökkäyksille, joissa tunkeilija kaappaa paketteja asiakkaan ja palvelimen väliltä, muokkaa paketteja ja välittää ne sitten palvelimeen. Kun tämä tapahtuu LDAP-palvelimessa, hyökkääjä voi saada palvelimen tekemään päätöksiä, jotka perustuvat virheellisiin kyselyihin LDAP-asiakkaalta. Voit pienentää tätä riskiä yritysverkossa toteuttamalla vahvat fyysiset suojaukset, jotka suojaavat verkkoinfrastruktuuria. IPSec (Internet Protocol Security) -todennuksen otsikkotila voi tehdä tekeytymishyökkäyksistä erittäin vaikeita. Todennuksen otsikkotila suorittaa molemminpuolisen todennuksen ja pakettien yhtenäisyyden IP-tietoliikenteelle.

  4. Syitä tämän asetuksen poistamiseen käytöstä

   • Asiakaskoneet, jotka eivät tue LDAP-allekirjoitusta, eivät pysty suorittamaan LDAP-kyselyitä toimialueen ohjauskoneille ja yleisille luetteloille, jos NTLM-todennus neuvotellaan ja oikeita Service Pack -paketteja ei ole asennettu Windows 2000 -toimialueen ohjauskoneisiin.

   • LDAP-tietoliikenteen verkon jäljitykset asiakkaiden ja palvelinten välillä salataan, mikä vaikeuttaa LDAP-keskusteluiden tutkimista.

   • Windows 2000 -palvelimissa on oltava asennettuna Windows 2000 Service Pack 3 (SP3) tai uudempi, kun niitä hallitaan sellaisten LDAP-allekirjoitusta tukevien ohjelmien avulla, jotka suoritetaan Windows 2000 SP4-, Windows XP- tai Windows Server 2003 -asiakastietokoneista.Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    Windows 2000 -toimialueen ohjauskoneet edellyttävät Service Pack 3:n tai uudemman käytettäessä Windows Server 2003 -hallintatyökaluja (tämä artikkeli saattaa olla englanninkielinen)

  5. Symbolinen nimi:

   LDAPServerIntegrity

  6. Rekisteripolku:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

  7. Esimerkkejä yhteensopivuusongelmista

   • Yksinkertaiset sidonnat epäonnistuvat ja näyttöön tulee seuraavankaltainen virhesanoma:

    Ldap_simple_bind_s() epäonnistui: Vaaditaan vahva todennus.

   • Windows 2000 Service Pack 4, Windows XP ja Windows Server 2003: Jotkin Active Directory -hallintatyökalut eivät toimi Windows 2000 SP4-, Windows XP- tai Windows Server 2003 -asiakaskoneissa oikein toimialueen ohjauskoneille, joiden käyttöjärjestelmä on SP3-tasoa aikaisempi Windows 2000, kun NTLM-todennus neuvotellaan.


    Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    Windows 2000 -toimialueen ohjauskoneet edellyttävät Service Pack 3:n tai uudemman käytettäessä Windows Server 2003 -hallintatyökaluja (tämä artikkeli saattaa olla englanninkielinen)

   • Windows 2000 Service Pack 4, Windows XP ja Windows Server 2003: Jotkin Active Directory -hallintatyökalut, joiden kohteena ovat SP3-tasoa aikaisemmat Windows 2000 -toimialueen ohjauskoneet, eivät toimi oikein Windows 2000 SP4-, Windows XP- tai Windows Server 2003 -asiakkaissa, jos ne käyttävät IP-osoitteita (esimerkiksi dsa.msc /server=x.x.x.x, jossa x.x.x.x on IP-osoite).


    Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    Windows 2000 -toimialueen ohjauskoneet edellyttävät Service Pack 3:n tai uudemman käytettäessä Windows Server 2003 -hallintatyökaluja (tämä artikkeli saattaa olla englanninkielinen)

   • Windows 2000 Service Pack 4, Windows XP ja Windows Server 2003: Jotkin Active Directory -hallintatyökalut, joiden kohteena ovat SP3-tasoa aikaisemmat Windows 2000 -toimialueen ohjauskoneet, eivät toimi oikein Windows 2000 SP4-, Windows XP- tai Windows Server 2003 -asiakaskoneissa.


    Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    Windows 2000 -toimialueen ohjauskoneet edellyttävät Service Pack 3:n tai uudemman käytettäessä Windows Server 2003 -hallintatyökaluja (tämä artikkeli saattaa olla englanninkielinen)

 3. Toimialuejäsen: Vaadi vahvaa (Windows 2000:n tai uudemman) istuntoavainta

  1. Tausta

   • Toimialuejäsen: Vaadi vahvaa (Windows 2000:n tai uudemman) istuntoavainta -asetus määrittää, voidaanko suojattu kanava muodostaa sellaisen toimialueen ohjauskoneen kanssa, joka ei pysty salaamaan suojatun kanavan tietoliikennettä vahvalla 128-bittisellä istuntoavaimella. Tämän asetuksen ottaminen käyttöön estää suojatun kanavan muodostamisen sellaisten toimialueen ohjauskoneiden kanssa, jotka eivät pysty salaamaan suojatun kanavan tietoja vahvalla avaimella. Tämän asetuksen poistaminen käytöstä sallii 64-bittisten istuntoavainten käyttämisen.

   • Ennen kuin voit ottaa tämän asetuksen käyttöön jäsentyöasemassa tai palvelimessa, kaikkien sen toimialueen ohjauskoneiden, johon jäsen kuuluu, on pystyttävä salaamaan suojatun kanavan tiedot vahvalla 128-bittisellä avaimella. Tämä tarkoittaa sitä, että kaikkien kyseisten toimialueen ohjauskoneiden käyttöjärjestelmän on oltava Windows 2000 tai uudempi käyttöjärjestelmä.

  2. Riskialtis kokoonpano

   Toimialuejäsen: Vaadi vahvaa (Windows 2000:n tai uudemman) istuntoavainta -asetuksen ottaminen käyttöön on haitallinen kokoonpanomääritys.

  3. Syitä tämän asetuksen ottamiseen käyttöön

   • Jäsentietokoneiden ja toimialueen ohjauskoneiden välisen suojatun kanavan tietoliikenteen muodostamisessa käytetyt istuntoavaimet ovat paljon vahvempia Windows 2000:ssa kuin ne ovat Microsoft-käyttöjärjestelmien aiemmissa versioissa.

   • Kun se on mahdollista, näitä vahvoja salausavaimia kannattaa hyödyntää suojatun kanavan tietoliikenteen suojaamisessa salakuuntelulta ja istunnon kaappaamisen verkkohyökkäyksiltä. Salakuuntelu on pahantahtoinen hyökkäys, jossa verkkotietoja luetaan tai muokataan siirtämisen aikana. Tietoja voidaan muokata niin, että lähettäjä piilotetaan tai muutetaan, tai ne voidaan ohjata uudelleen.

   Tärkeää Windows Server 2008 R2- tai Windows 7 -tietokone tukee vain vahvoja avaimia, kun käytetään suojattuja kanavia. Tämä rajoitus estää luottamussuhteen Windows NT 4.0 -toimialueiden ja Windows Server 2008 R2 -toimialueiden välillä. Lisäksi tämä rajoitus estää Windows NT 4.0 -toimialueen jäsenyyden tietokoneilta, joiden käyttöjärjestelmä on Windows 7 tai Windows Server 2008 R2, ja toisin päin.

  4. Syitä tämän asetuksen poistamiseen käytöstä

   Toimialue sisältää jäsentietokoneita, joiden käyttöjärjestelmä ei ole Windows 2000, Windows XP tai Windows Server 2003.

  5. Symbolinen nimi:

   StrongKey

  6. Rekisteripolku:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

  7. Esimerkkejä yhteensopivuusongelmista

   Windows NT 4.0: Windows NT 4.0 -tietokoneissa suojattujen luottamussuhdekanavien nollaaminen Windows NT 4.0- ja Windows 2000 -toimialueiden välillä NLTEST-apuohjelman avulla epäonnistuu ja tuo näyttöön Käyttö estetty -virhesanoman:

   Luottamussuhde ensisijaisen toimialueen ja luotetun toimialueen välillä on epäonnistunut.

 4. Toimialuejäsen: Salaa tai allekirjoita suojatun kanavan tiedot digitaalisesti (aina)

  1. Tausta

   • Toimialuejäsen: Salaa tai allekirjoita suojatun kanavan tiedot digitaalisesti (aina) -asetuksen ottaminen käyttöön estää suojatun kanavan muodostamisen sellaisten toimialueen ohjauskoneiden kanssa, jotka eivät pysty allekirjoittamaan tai salaamaan kaikkia suojatun kanavan tietoja. Windows-tietokoneet luovat Verkkokirjautuminen-palvelun avulla tietokonetilien todentamista varten tietoliikennekanavan, jota kutsutaan suojatuksi kanavaksi. Sen tarkoituksena on suojata todennustietoliikenne tekeytymishyökkäyksiltä, toistohyökkäyksiltä ja muilta verkkohyökkäyksiltä. Suojattuja kanavia käytetään myös, kun yhden toimialueen käyttäjä muodostaa yhteyden etätoimialueen verkkoresurssiin. Tämä useiden toimialueiden todennus eli läpivientitodennus antaa toimialueelle liittyneen Windows-tietokoneen käyttää toimialueensa ja luotettujen toimialueiden käyttäjätilitietokantaa.

   • Jotta Toimialuejäsen: Salaa tai allekirjoita suojatun kanavan tiedot digitaalisesti (aina) -asetus voidaan ottaa käyttöön jäsentietokoneessa, kaikkien sen toimialueen ohjauskoneiden, johon jäsen kuuluu, on pystyttävä allekirjoittamaan tai salaamaan kaikki suojatun kanavan tiedot. Tämä tarkoittaa sitä, että kaikkien tällaisten toimialueen ohjauskoneiden käyttöjärjestelmän on oltava Windows NT 4.0 Service Pack 6a (SP6a) tai uudempi käyttöjärjestelmä.

   • Toimialuejäsen: Salaa tai allekirjoita suojatun kanavan tiedot digitaalisesti (aina) -asetuksen ottaminen käyttöön ottaa automaattisesti käyttöön Toimialuejäsen: Salaa tai allekirjoita suojatun kanavan tiedot digitaalisesti (kun mahdollista) -asetuksen.

  2. Riskialtis kokoonpano

   Toimialuejäsen: Salaa tai allekirjoita suojatun kanavan tiedot digitaalisesti (aina) -asetuksen ottaminen käyttöön toimialueissa, joissa kaikki toimialueen ohjauskoneet eivät pysty allekirjoittamaan tai salaamaan suojatun kanavan tietoja, on haitallinen kokoonpanomääritys.

  3. Syitä tämän asetuksen ottamiseen käyttöön

   Allekirjoittamaton verkkotietoliikenne on alttiina tekeytymishyökkäyksille, joissa tunkeilija kaappaa paketteja palvelimen ja asiakkaan väliltä ja muokkaa sitten paketteja ennen niiden välittämistä asiakkaalle. Kun tämä tapahtuu LDAP (Lightweight Directory Access Protocol) -palvelimessa, tunkeilija voi saada asiakkaan tekemään päätöksiä, jotka perustuvat virheellisiin LDAP-hakemiston tietueisiin. Voit pienentää tällaisen hyökkäyksen riskiä yritysverkossa toteuttamalla vahvat fyysiset suojaukset, jotka suojaavat verkkoinfrastruktuuria. Lisäksi IPSec (Internet Protocol Security) -todennuksen otsikkotilan toteuttaminen voi tehdä kaikenlaisista tekeytymishyökkäyksistä erittäin vaikeita. Tämä tila suorittaa molemminpuolisen todennuksen ja pakettien yhtenäisyyden IP-tietoliikenteelle.

  4. Syitä tämän asetuksen poistamiseen käytöstä

   • Paikallisilla tai ulkoisilla toimialueilla olevat tietokoneet tukevat salattuja suojattuja kanavia.

   • Kaikki toimialueella olevilla toimialueen ohjauskoneilla ei ole tarvittavia Service Pack -tasoja salattujen suojattujen kanavien tukemista varten.

  5. Symbolinen nimi:

   StrongKey

  6. Rekisteripolku:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

  7. Esimerkkejä yhteensopivuusongelmista

   • Windows NT 4.0: Windows 2000 -jäsentietokoneet eivät pysty liittymään Windows NT 4.0 -toimialueille ja saavat seuraavan virhesanoman:

    Kirjautuminen tälle tilille ei ole sallittua tästä työasemasta.

    Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    Virhesanoma: Kirjautuminen tälle tilille ei ole sallittua tästä työasemasta (tämä artikkeli saattaa olla englanninkielinen)

   • Windows NT 4.0: Windows NT 4.0 -toimialueet eivät pysty muodostamaan alemman tason luottamussuhdetta Windows 2000 -toimialueen kanssa, ja ne saavat seuraavan virhesanoman:

    Kirjautuminen tälle tilille ei ole sallittua tästä työasemasta.

    Aiemmat alemman tason luottamussuhteet eivät välttämättä myöskään todenna luotetun toimialueen käyttäjiä. Joillakin käyttäjillä saattaa olla vaikeuksia toimialueelle kirjautumisessa ja he saattavat saada virhesanoman, joka ilmoittaa, että asiakaskone ei löydä toimialuetta.

   • Windows XP: Windows NT 4.0 -toimialueelle liitetyt Windows XP -asiakaskoneet eivät pysty todentamaan kirjautumisyrityksiä ja saattavat saada seuraavan virhesanoman, tai seuraavankaltaiset tapahtumat saatetaan kirjata tapahtumalokiin:

    Järjestelmä ei voi kirjata sinua toimialueelle. Joko toimialueen ohjauskonetta ei löydy tai tietokonetili puuttuu.

    Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    Windows XP -asiakaskone ei pysty kirjautumaan Windows NT 4.0 -toimialueelle (tämä artikkeli saattaa olla englanninkielinen)

   • Microsoft Network: Microsoft Network -asiakkaat saavat jonkin seuraavista virhesanomista:

    Kirjausvirhe: tuntematon käyttäjänimi tai salasana ei kelpaa.

    Kirjausistunnolle ei ole käyttäjäistuntoavainta.

 5. Microsoft-verkkopalvelin: Allekirjoita tietoliikenne digitaalisesti (aina)

  1. Tausta

   Palvelinviestilohko (SMB, Server Message Block) on resurssinjakoprotokolla, jota monet Microsoft-käyttöjärjestelmät tukevat. Se on NetBIOSin (Network Basic Input/Output System) ja usean muun protokollan perusta. SMB-allekirjoitus todentaa sekä käyttäjän että tietoja isännöivän palvelimen. Jos kumpi tahansa puoli epäonnistuu todennusprosessissa, tiedonsiirtoa ei tehdä.

   SMB-allekirjoituksen ottaminen käyttöön alkaa SMB-protokollaneuvottelun aikana. SMB-allekirjoituskäytännöt määrittävät, allekirjoittaako tietokone asiakastietoliikenteen aina digitaalisesti.

   Windows 2000:n SMB-todennusprotokolla tukee molemminpuolista todennusta. Molemminpuolinen todennus estää tekeytymishyökkäyksen. Windows 2000:n SMB-todennusprotokolla tukee myös sanomien todennusta. Sanomien todennus auttaa estämään aktiivisten sanomien hyökkäyksiä. SMB-allekirjoitus toteuttaa tämän todennuksen sijoittamalla digitaalisen allekirjoituksen kuhunkin palvelinviestilohkoon. Asiakas ja palvelin varmistavat digitaalisen allekirjoituksen.

   Jos haluat käyttää SMB-allekirjoitusta, sinun on otettava SMB-allekirjoitus käyttöön tai edellytettävä SMB-allekirjoitus sekä SMB-asiakkaassa että SMB-palvelimessa. Jos SMB-allekirjoitus on käytössä palvelimessa, asiakkaat, joille SMB-allekirjoitus on myös otettu käyttöön, käyttävät pakettien allekirjoituksen protokollaa kaikissa myöhemmissä istunnoissa. Jos palvelin edellyttää SMB-allekirjoituksen, asiakas ei pysty muodostamaan istuntoa, ellei SMB-allekirjoitus ole käytössä asiakkaassa tai jos sitä ei edellytetä asiakkaassa.


   Digitaalisen allekirjoituksen ottaminen käyttöön erittäin hyvin suojatuissa verkoissa auttaa estämään asiakaskoneiksi tai palvelimiksi tekeytymisiä. Tällaista tekeytymistä kutsutaan istunnon kaappaukseksi. Hyökkääjä, joka pystyy käyttämään samaa verkkoa kuin asiakaskone tai palvelin, käyttää istunnon kaappausta käynnissä olevan istunnon keskeyttämiseen, lopettamiseen tai varastamiseen. Hyökkääjä saattaa kaapata ja muokata allekirjoittamattomia SMB-paketteja, muokata tietoliikennettä ja välittää sen sitten niin, että palvelin saattaa tehdä ei-toivottuja toimintoja. Hyökkääjä saattaa myös esittää palvelinta tai asiakaskonetta kelvollisen todennuksen jälkeen ja siten saada tietoja käyttöönsä luvatta.

   Tiedostojen ja tulostinten jakamiseen Windows 2000 Server-, Windows 2000 Professional-, Windows XP Professional- tai Windows Server 2003 -tietokoneissa käytettävä SMB-protokolla tukee molemminpuolista todennusta. Molemminpuolinen todennus estää istuntojen kaappaushyökkäykset ja tukee sanomien todennusta. Se siis estää tekeytymishyökkäykset. SMB-allekirjoitus mahdollistaa tämän todennuksen sijoittamalla digitaalisen allekirjoituksen kuhunkin palvelinviestilohkoon. Sekä asiakaskone että palvelin tarkistavat sitten allekirjoituksen.

   Huomautuksia

   • Vaihtoehtoinen vastatoimi, joka saattaa auttaa suojaamaan kaiken verkkotietoliikenteen, on ottaa digitaaliset allekirjoitukset käyttöön IPSecin avulla. IPSec-salauksessa ja -allekirjoituksessa on laitteistopohjaisia kiihdytyksiä, joiden avulla vaikutus palvelimen suorittimen suorituskykyyn voidaan minimoida. SMB-allekirjoitukselle ei ole käytettävissä vastaavia kiihdyttimiä.

    Lisätietoja on seuraavan Microsoft MSDN:n WWW-sivuston Digitally sign server communications -luvussa:

    Määritä SMB-allekirjoitus ryhmäkäytäntöobjektieditorin avulla, koska paikallisen rekisterin arvon muuttamisella ei ole vaikutusta, jos on olemassa sen ohittava toimialuekäytäntö.

   • Windows 95:ssä, Windows 98:ssa ja Windows 98 Second Editionissa hakemistopalveluasiakas käyttää SMB-allekirjoitusta todentaessaan Windows Server 2003 -palvelinten kanssa käyttäessään NTLM-todennusta. Nämä asiakkaat eivät kuitenkaan käytä SMB-allekirjoitusta, kun ne todentavat näiden palvelinten kanssa käyttäen NTLMv2-todennusta. Lisäksi Windows 2000 -palvelimet eivät vastaa näiden asiakkaiden SMB-allekirjoituspyyntöihin. Katso kohta 10: Verkon suojaus: LAN Managerin alkuperäisyyden todentamisen taso.

  2. Riskialtis kokoonpano

   Seuraava on haitallinen kokoonpanomääritys: Sekä Microsoft-verkon asiakas: Allekirjoita tietoliikenne digitaalisesti (aina)- että Microsoft-verkkopalvelin: Allekirjoita tietoliikenne digitaalisesti (Jos asiakas sallii) -asetuksen jättäminen määrittämättä tai poistaminen käytöstä. Nämä asetukset antavat uudelleenohjauksen lähettää vain teksti -muotoisia salasanoja muihin kuin Microsoftin SMB-palvelimiin, jotka eivät tue salasanojen salaamista todennuksen aikana.

  3. Syitä tämän asetuksen ottamiseen käyttöön

   Microsoft-verkon asiakas: Allekirjoita tietoliikenne digitaalisesti (aina) -asetuksen ottaminen käyttöön edellyttää, että asiakkaat allekirjoittavat SMB-tietoliikenteen muodostaessaan yhteyden palvelimiin, jotka eivät edellytä SMB-allekirjoitusta, mikä vähentää asiakkaiden heikkoutta istunnonkaappaushyökkäyksille.

  4. Syitä tämän asetuksen poistamiseen käytöstä

   • Microsoft-verkon asiakas: Allekirjoita tietoliikenne digitaalisesti (aina) -asetuksen ottaminen käyttöön estää asiakkaita vaihtamasta tietoja sellaisten kohdepalvelinten kanssa, jotka eivät tue SMB-allekirjoitusta.

   • Jos tietokoneet määritetään ohittamaan kaikki allekirjoittamaton SMB-tietoliikenne, aiemmat ohjelmat ja käyttöjärjestelmät eivät pysty muodostamaan yhteyksiä.

  5. Symbolinen nimi:

   RequireSMBSignRdr

  6. Rekisteripolku:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

  7. Esimerkkejä yhteensopivuusongelmista

   • Windows NT 4.0: Et pysty nollaamaan Windows Server 2003 -toimialueen ja Windows NT 4.0 -toimialueen välisen luottamussuhteen suojattua kanavaa NLTEST- tai NETDOM-apuohjelmien avulla, ja näyttöön tulee Käyttö estetty -virhesanoma.

   • Windows XP: Tiedostojen kopioiminen Windows XP -asiakaskoneista Windows 2000- ja Windows Server 2003 -palvelimiin saattaa kestää tavallista kauemmin.

   • Et pysty yhdistämään verkkoasemaa asiakaskoneesta, kun tämä asetus on käytössä, ja näyttöön tulee seuraava virhesanoma:

    Kirjautuminen tälle tilille ei ole sallittua tästä työasemasta.

  8. Uudelleenkäynnistysvaatimukset

   Käynnistä tietokone tai Työasema-palvelu uudelleen. Voit tehdä tämän kirjoittamalla seuraavat komennot komentokehotteeseen. Paina ENTER-näppäintä kunkin komennon kirjoittamisen jälkeen.

   net stop workstation
   net start workstation

 6. Microsoft-verkkopalvelin: Allekirjoita tietoliikenne digitaalisesti (aina)

  1. Tausta

   • Palvelinviestilohko (SMB, Server Message Block) on resurssinjakoprotokolla, jota monet Microsoft-käyttöjärjestelmät tukevat. Se on NetBIOSin (Network Basic Input/Output System) ja usean muun protokollan perusta. SMB-allekirjoitus todentaa sekä käyttäjän että tietoja isännöivän palvelimen. Jos kumpi tahansa puoli epäonnistuu todennusprosessissa, tiedonsiirtoa ei tehdä.

    SMB-allekirjoituksen ottaminen käyttöön alkaa SMB-protokollaneuvottelun aikana. SMB-allekirjoituskäytännöt määrittävät, allekirjoittaako tietokone asiakastietoliikenteen aina digitaalisesti.

    Windows 2000:n SMB-todennusprotokolla tukee molemminpuolista todennusta. Molemminpuolinen todennus estää tekeytymishyökkäyksen. Windows 2000:n SMB-todennusprotokolla tukee myös sanomien todennusta. Sanomien todennus auttaa estämään aktiivisten sanomien hyökkäyksiä. SMB-allekirjoitus toteuttaa tämän todennuksen sijoittamalla digitaalisen allekirjoituksen kuhunkin palvelinviestilohkoon. Asiakas ja palvelin varmistavat digitaalisen allekirjoituksen.

    Jos haluat käyttää SMB-allekirjoitusta, sinun on otettava SMB-allekirjoitus käyttöön tai edellytettävä SMB-allekirjoitus sekä SMB-asiakkaassa että SMB-palvelimessa. Jos SMB-allekirjoitus on käytössä palvelimessa, asiakkaat, joille SMB-allekirjoitus on myös otettu käyttöön, käyttävät pakettien allekirjoituksen protokollaa kaikissa myöhemmissä istunnoissa. Jos palvelin edellyttää SMB-allekirjoituksen, asiakas ei pysty muodostamaan istuntoa, ellei SMB-allekirjoitus ole käytössä asiakkaassa tai jos sitä ei edellytetä asiakkaassa.


    Digitaalisen allekirjoituksen ottaminen käyttöön erittäin hyvin suojatuissa verkoissa auttaa estämään asiakaskoneiksi tai palvelimiksi tekeytymisiä. Tällaista tekeytymistä kutsutaan istunnon kaappaukseksi. Hyökkääjä, joka pystyy käyttämään samaa verkkoa kuin asiakaskone tai palvelin, käyttää istunnon kaappausta käynnissä olevan istunnon keskeyttämiseen, lopettamiseen tai varastamiseen. Hyökkääjä saattaa kaapata ja muokata allekirjoittamattomia SBM (Subnet Bandwidth Manager) -paketteja, muokata tietoliikennettä ja välittää sen sitten niin, että palvelin saattaa tehdä ei-toivottuja toimintoja. Hyökkääjä saattaa myös esittää palvelinta tai asiakaskonetta kelvollisen todennuksen jälkeen ja siten saada tietoja käyttöönsä luvatta.

    Tiedostojen ja tulostinten jakamiseen Windows 2000 Server-, Windows 2000 Professional-, Windows XP Professional- tai Windows Server 2003 -tietokoneissa käytettävä SMB-protokolla tukee molemminpuolista todennusta. Molemminpuolinen todennus estää istuntojen kaappaushyökkäykset ja tukee sanomien todennusta. Se siis estää tekeytymishyökkäykset. SMB-allekirjoitus mahdollistaa tämän todennuksen sijoittamalla digitaalisen allekirjoituksen kuhunkin palvelinviestilohkoon. Sekä asiakaskone että palvelin tarkistavat sitten allekirjoituksen.

   • Vaihtoehtoinen vastatoimi, joka saattaa auttaa suojaamaan kaiken verkkotietoliikenteen, on ottaa digitaaliset allekirjoitukset käyttöön IPSecin avulla. IPSec-salauksessa ja -allekirjoituksessa on laitteistopohjaisia kiihdytyksiä, joiden avulla vaikutus palvelimen suorittimen suorituskykyyn voidaan minimoida. SMB-allekirjoitukselle ei ole käytettävissä vastaavia kiihdyttimiä.

   • Windows 95:ssä, Windows 98:ssa ja Windows 98 Second Editionissa hakemistopalveluasiakas käyttää SMB-allekirjoitusta todentaessaan Windows Server 2003 -palvelinten kanssa käyttäessään NTLM-todennusta. Nämä asiakkaat eivät kuitenkaan käytä SMB-allekirjoitusta, kun ne todentavat näiden palvelinten kanssa käyttäen NTLMv2-todennusta. Lisäksi Windows 2000 -palvelimet eivät vastaa näiden asiakkaiden SMB-allekirjoituspyyntöihin. Katso kohta 10: Verkon suojaus: LAN Managerin alkuperäisyyden todentamisen taso.

  2. Riskialtis kokoonpano

   Seuraava on haitallinen kokoonpanomääritys: Microsoft-verkkopalvelin: Allekirjoita tietoliikenne digitaalisesti (aina) -asetuksen ottaminen käyttöön palvelimissa ja toimialueen ohjauskoneissa, joita käyttävät yhteensopimattomat Windows-asiakaskoneet ja kolmannen osapuolen käyttöjärjestelmää käyttävät asiakaskoneet paikallisissa tai ulkoisissa toimialueissa.

  3. Syitä tämän asetuksen ottamiseen käyttöön

   • Kaikki asiakaskoneet, jotka ottavat tämän asetuksen suoraan rekisterin avulla tai ryhmäkäytännön asetuksen avulla, tukevat SMB-allekirjoitusta. Toisin sanoen kaikki asiakastietokoneet, joissa tämä asetus on käytössä, käyttävät jotakin seuraavista: Windows 95 ja hakemistopalveluasiakas asennettuna, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional tai Windows Server 2003.

   • Jos Microsoft-verkkopalvelin: Allekirjoita tietoliikenne digitaalisesti (aina) -asetus ei ole käytössä, SMB-allekirjoitus on poistettu käytöstä kokonaan. SMB-allekirjoituksen poistaminen käytöstä kokonaan tekee tietokoneista entistä haavoittuvampia istunnonkaappaushyökkäyksille.

  4. Syitä tämän asetuksen poistamiseen käytöstä

   • Tämän asetuksen ottaminen käyttöön saattaa hidastaa tiedostojen kopiointia ja verkon toimintaa asiakastietokoneissa.

   • Tämän asetuksen ottaminen käyttöön estää asiakkaita, jotka eivät pysty neuvottelemaan SMB-allekirjoitusta, vaihtamasta tietoja palvelinten ja toimialueen ohjauskoneiden kanssa. Tämä aiheuttaa toimintojen, kuten toimialueelle liittymisen, käyttäjän ja tietokoneen todennuksen tai ohjelmien verkkokäytön, epäonnistumisen.

  5. Symbolinen nimi:

   RequireSMBSignServer

  6. Rekisteripolku:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

  7. Esimerkkejä yhteensopivuusongelmista

   • Windows 95: Windows 95 -asiakaskoneet, joissa hakemistopalveluasiakasta (DS) ei ole asennettuna, eivät pysty todentamaan kirjautumista, ja ne saavat seuraavan virhesanoman:

    Antamasi toimialuesalasana on virheellinen, tai kirjautumispalvelimen käyttö on estetty.

    Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    Virhesanoma Windows 95- tai Windows NT 4.0 -asiakaskoneen kirjautuessa Windows Server 2003 -toimialueelle (tämä artikkeli saattaa olla englanninkielinen)

   • Windows NT 4.0: Asiakastietokoneiden, joiden käyttöjärjestelmä on Service Pack 3 (SP3) -tasoa aikaisempi Windows NT 4.0, epäonnistuvat kirjautumisen todennuksessa ja saavat seuraavan virhesanoman:

    Järjestelmä ei hyväksy kirjautumistasi. Varmista, että käyttäjänimi ja toimialueen nimi ovat oikein, ja kirjoita salasanasi uudelleen.

    Jotkin muut kuin Microsoftin SMB-palvelimet tukevat vain salaamattomien salasanojen lähettämistä todennuksen aikana. (Niitä kutsutaan myös vain teksti -muotoisiksi salasanoiksi.) Windows NT 4.0 SP3:sta alkaen SMB-uudelleenohjaus ei lähetä salaamattomia salasanoja SMB-palvelimeen todennuksen aikana, ellet lisää tiettyä rekisterimerkintää.
    Voit ottaa salaamattomat salasanat käyttöön SMB-asiakkaalle Windows NT 4.0 SP3:ssa ja uudemmissa järjestelmissä muokkaamalla rekisteriä seuraavasti: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters

    Arvon nimi: EnablePlainTextPassword

    Tyyppi: REG_DWORD

    Tiedot: 1


    Jos haluat lisätietoja aiheeseen liittyvistä ohjeista, napsauta seuraavia artikkelien numeroita, jolloin pääset lukemaan artikkelit Microsoft Knowledge Base -tietokannassa:

    Virhesanoma: Järjestelmävirhe 1240. Kirjautuminen tälle tilille ei ole sallittua tästä työasemasta. (tämä artikkeli saattaa olla englanninkielinen)

    Salaamattomat salasanat saattavat aiheuttaa sen, että Windows NT 4.0 Service Pack 3 ei pysty muodostamaan yhteyttä SMB-palvelimiin (tämä artikkeli saattaa olla englanninkielinen)

   • Windows Server 2003: Oletusarvon mukaan Windows Server 2003 -toimialueen ohjauskoneiden suojausasetukset on määritetty estämään toimialueen ohjauskoneen tietoliikenteen kaappaamista tai muokkaamista pahantahtoisten käyttäjien toimesta. Jotta käyttäjät pystyvät vaihtamaan tietoja Windows Server 2003 -toimialueen ohjauskoneen kanssa, asiakastietokoneiden on käytettävä sekä SMB-allekirjoitusta että -salausta tai suojatun kanavan tietoliikenteen allekirjoitusta. Oletusarvon mukaan asiakaskoneissa, joiden käyttöjärjestelmä on Windows NT 4.0 Service Pack 2 (SP2) tai aikaisempi käyttöjärjestelmä, ei ole SMB-pakettien allekirjoitusta käytössä. Tämän vuoksi kyseiset asiakaskoneet eivät välttämättä pysty tekemään todennusta Windows Server 2003 -toimialueen ohjauskoneeseen.

   • Windows 2000:n ja Windows Server 2003:n käytäntöasetukset: Asennustarpeista ja kokoonpanosta riippuen Microsoft suosittelee, että määrität seuraavat käytäntöasetukset tarvittavan käyttöalueen pienimmässä yksikössä Microsoft Management Consolen ryhmäkäytäntöeditorilaajennuksen hierarkiassa:

    • Tietokoneasetukset\Windows-asetukset\Suojausasetukset\Suojausasetukset

    • Salaamattoman salasanan lähettäminen yhteyden muodostamiseksi SMB-palvelimiin (Tämä asetus on Windows 2000:lle.)

    • Microsoft-verkkopalvelin: Lähetä salaamaton salasana kolmannen osapuolen SMB-palvelimiin (Tämä asetus on Windows Server 2003:lle.)


    Huomautus Joissakin kolmannen osapuolen CIFS-palvelimissa, kuten vanhemmissa Samban versioissa, salaamattomia salasanoja ei voi käyttää.

   • Seuraavat asiakkaat eivät ole yhteensopivia Microsoft-verkkopalvelin: Allekirjoita tietoliikenne digitaalisesti (aina) -asetuksen kanssa:

    • Apple Computer, Inc.:n Mac OS X -asiakkaat

    • Microsoftin MS-DOS-verkkoasiakkaat (esimerkiksi Microsoft LAN Manager)

    • Microsoftin Työryhmä-Windows-asiakkaat

    • Microsoft Windows 95 -asiakkaat, joissa ei ole asennettuna hakemistopalveluasiakasta

    • Microsoft Windows NT 4.0 -tietokoneet, joissa ei ole SP3:a tai uudempaa asennettuna

    • Novell NetWare 6 CIFS -asiakkaat

    • SAMBA-SMB-asiakkaat, joissa ei ole SMB-allekirjoituksen tukea.

  8. Uudelleenkäynnistysvaatimukset

   Käynnistä tietokone tai Palvelin-palvelu uudelleen. Voit tehdä tämän kirjoittamalla seuraavat komennot komentokehotteeseen. Paina ENTER-näppäintä kunkin komennon kirjoittamisen jälkeen.

   net stop server
   net start server

 7. Verkkoyhteys: Salli nimetön SID/Nimi-käännös

  1. Tausta

   Verkkoyhteys: Salli nimetön SID/Nimi-käännös -suojausasetus määrittää, voiko nimetön käyttäjä pyytää toisen käyttäjän SID (Security Identification Number) -määritteitä.

  2. Riskialtis kokoonpano

   Verkkoyhteys: Salli nimetön SID/Nimi-käännös -asetuksen ottaminen käyttöön on haitallinen kokoonpanomääritys.

  3. Syitä tämän asetuksen ottamiseen käyttöön

   Jos Verkkoyhteys: Salli nimetön SID/Nimi-käännös -asetus ei ole käytössä, varhaisemmat käyttöjärjestelmät tai sovellukset eivät välttämättä pysty vaihtamaan tietoja Windows Server 2003 -toimialueiden kanssa. Esimerkiksi seuraavat käyttöjärjestelmät, palvelut tai sovellukset eivät välttämättä toimi:

   • Windows NT 4.0 -etäkäyttöpalvelupalvelimet

   • Microsoft SQL Server, joka on käynnissä Windows NT 3.x- tai Windows NT 4.0 -tietokoneessa

   • etäkäyttöpalvelu, joka on käynnissä Windows NT 3.x- tai Windows NT 4.0 -toimialueella sijaitsevassa Windows 2000 -tietokoneessa

   • SQL Server, joka on käynnissä Windows NT 3.x- tai Windows NT 4.0 -toimialueella sijaitsevassa Windows 2000 -tietokoneessa.

   • Windows NT 4.0 -resurssitoimialueen käyttäjät, jotka haluavat myöntää oikeuksia tiedostojen, jaettujen kansioiden ja rekisterin objektien käyttämistä varten käyttäjätileille, jotka ovat Windows Server 2003 -toimialueen ohjauskoneita sisältäviltä tilitoimialueilta

  4. Syitä tämän asetuksen poistamiseen käytöstä

   Jos tämä asetus on käytössä, pahantahtoinen käyttäjä voi käyttää hyvin tunnettua järjestelmänvalvojan SID-tunnusta ja hankkia sisäisen Järjestelmänvalvoja-tilin oikean nimen, vaikka tili olisi nimetty uudelleen. Kyseinen käyttäjä voi sitten käynnistää salasanan arvaamisen hyökkäyksen tilin nimen avulla.

  5. Symbolinen nimi: -

  6. Rekisteripolku: Ei mitään. Polku on määritetty käyttöliittymäkoodissa.

  7. Esimerkkejä yhteensopivuusongelmista

   Windows NT 4.0: Windows NT 4.0 -resurssitoimialueiden tietokoneet tuovat näyttöön Tili tuntematon -virhesanoman ACL Editorissa, jos resurssit, kuten jaetut kansiot, jaetut tiedostot ja rekisterin objektit, on suojattu Windows Server 2003 -toimialueen ohjauskoneita sisältävien tilitoimialueiden suojausperiaatteiden avulla.

 8. Verkkoyhteys: Älä salli SAM-tilien anonyymiä luettelemista

  1. Tausta

   • Verkkokäyttö: Älä salli SAM-tilien anonyymiä luettelemista -asetus määrittää, mitkä lisäoikeudet myönnetään anonyymeille yhteyksille tietokoneeseen. Windows sallii anonyymien käyttäjien tehdä tiettyjä toimintoja, kuten luetteloida työasemien ja palvelimien SAM (Security Accounts Manager) -tilien ja jaettujen verkkoresurssien nimet. Järjestelmänvalvoja voi tämän avulla esimerkiksi myöntää oikeudet sellaisen luotetun toimialueen käyttäjille, joka ei ylläpidä molemminpuolista luottamussuhdetta. Kun istunto on luotu, anonyymillä käyttäjällä voi olla samat käyttöoikeudet kuin Kaikki-ryhmälle on myönnetty Verkkoyhteys: Salli Kaikki-ryhmän oikeuksien koskea anonyymejä käyttäjiä -asetuksen tai objektin harkinnanvaraisen käyttöoikeusluettelon (DACL) perusteella.

    Tavallisesti anonyymejä yhteyksiä pyytävät asiakkaiden aiemmat versiot (alemman tason asiakkaat) SMB-istunnon määrittämisen aikana. Näissä tapauksissa verkon jäljityksestä näkyy, että SMB PID (Process ID) on asiakkaan uudelleenohjaus, kuten 0xFEFF Windows 2000:ssa tai 0xCAFE Windows NT:ssä. Myös etäproseduurikutsu voi yrittää muodostaa anonyymejä yhteyksiä.

   • TärkeääTällä asetuksella ei ole vaikutusta toimialueen ohjauskoneissa. Toimialueen ohjauskoneissa tätä toimintaa ohjataan Windows 2000 -järjestelmää edeltävien versioiden käytön tuki -kohteen NT-HALLINTA\ANONYYMI KIRJAUTUMINEN -kohteen läsnäolon avulla.

   • Windows 2000:n vastaava anonyymien yhteyksien lisärajoitusten asetus hallitsee RestrictAnonymous-rekisteriarvoa. Tämän arvon sijainti on seuraava:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA.Saat lisätietoja RestrictAnonymous-rekisteriarvosta napsauttamalla seuraavia artikkelien numeroita, jolloin pääset lukemaan artikkelit Microsoft Knowledge Base -tietokannassa:

    RestrictAnonymous-rekisteriarvon käyttäminen Windows 2000:ssa (tämä artikkeli saattaa olla englanninkielinen)

    Anonyymisti kirjautuvien käyttäjien käytettävissä olevien tietojen rajoittaminen (tämä artikkeli saattaa olla englanninkielinen)

  2. Riskialttiit kokoonpanot:

   Verkkokäyttö: Älä salli SAM-tilien anonyymiä luettelemista -asetuksen ottaminen käyttöön on haitallinen kokoonpanomääritys yhteensopivuuden näkökulmasta. Sen poistaminen käytöstä on haitallinen kokoonpanomääritys suojauksen näkökulmasta.

  3. Syitä tämän asetuksen ottamiseen käyttöön

   Luvaton käyttäjä pystyy anonyymisti tarkastelemaan luetteloa tilien nimistä ja käyttämään sitten saamiaan tietoja salasanojen arvaamiseen tai sosiaalisia taitoja hyödyntäviin hyökkäyksiin. Sosiaalisia taitoja hyödyntävissä hyökkäyksissä käyttäjät huijataan paljastamaan salasanansa tai muita suojaustietoja.

  4. Syitä tämän asetuksen poistamiseen käytöstä

   Jos tämä asetus on käytössä, luottamussuhteita Windows NT 4.0 -toimialueiden kanssa ei voi muodostaa. Tämä asetus aiheuttaa myös ongelmia palvelimen resurssien käyttämistä yrittävien alemman tason asiakkaiden, kuten Windows NT 3.51- ja Windows 95 -asiakkaiden, kanssa.

  5. Symbolinen nimi: RestrictAnonymousSAM

  6. Rekisteripolku:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

  7. Esimerkkejä yhteensopivuusongelmista

  • SMS Network Discovery ei pysty hankkimaan käyttöjärjestelmän tietoja, ja se kirjoittaa OperatingSystemNameandVersion-ominaisuuteen Tuntematon-merkinnän.

  • Windows 95 ja Windows 98: Windows 95- ja Windows 98 -asiakkaat eivät pysty vaihtamaan salasanojaan.

  • Windows NT 4.0: Windows NT 4.0 -jäsentietokoneita ei voi todentaa.

  • Windows 95 ja Windows 98: Microsoftin toimialueen ohjauskoneet eivät pysty todentamaan Windows 95- ja Windows 98 -tietokoneita.

  • Windows 95 ja Windows 98: Windows 95- ja Windows 98 -tietokoneiden käyttäjät eivät pysty vaihtamaan käyttäjätiliensä salasanoja.

 9. Verkkoyhteys: Älä salli anonyymeja SAM-tilien ja jaettujen resurssien luettelointia

  1. Tausta

   • Verkkokäyttö: Älä salli anonyymeja SAM-tilien ja jaettujen resurssien luettelointia -asetus (kutsutaan myös nimellä RestrictAnonymous) määrittää, sallitaanko SAM (Security Accounts Manager) -tilien ja jaettujen resurssien anonyymi luettelointi. Windows sallii anonyymien käyttäjien tehdä tiettyjä toimintoja, kuten luetteloida toimialuetilien (käyttäjät, tietokoneet ja ryhmät) ja jaettujen verkkoresurssien nimet. Tämä on kätevää esimerkiksi silloin, kun järjestelmänvalvoja haluaa myöntää oikeudet sellaisen luotetun toimialueen käyttäjille, joka ei ylläpidä molemminpuolista luottamussuhdetta. Jos et halua sallia SAM-tilien ja jaettujen resurssien anonyymiä luettelointia, ota tämä asetus käyttöön.

   • Windows 2000:n vastaava anonyymien yhteyksien lisärajoitusten asetus hallitsee RestrictAnonymous-rekisteriarvoa. Tämän arvon sijainti on seuraava:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

  2. Riskialtis kokoonpano

   Verkkokäyttö: Älä salli anonyymeja SAM-tilien ja jaettujen resurssien luettelointia -asetuksen ottaminen käyttöön on haitallinen kokoonpanomääritys.

  3. Syitä tämän asetuksen ottamiseen käyttöön

   • Verkkokäyttö: Älä salli anonyymeja SAM-tilien ja jaettujen resurssien luettelointia -asetuksen ottaminen käyttöön estää SAM-tilien ja jaettujen resurssien luetteloinnin anonyymejä tilejä käyttäviltä käyttäjiltä ja tietokoneilta.

  4. Syitä tämän asetuksen poistamiseen käytöstä

   • Jos tämä asetus on käytössä, luvaton käyttäjä pystyy anonyymisti tarkastelemaan luetteloa tilien nimistä ja käyttämään sitten saamiaan tietoja salasanojen arvaamiseen tai sosiaalisia taitoja hyödyntäviin hyökkäyksiin. Sosiaalisia taitoja hyödyntävissä hyökkäyksissä käyttäjät huijataan paljastamaan salasanansa tai muita suojaustietoja.

   • Jos tämä asetus on käytössä, luottamussuhteita Windows NT 4.0 -toimialueiden kanssa ei voi muodostaa. Tämä asetus aiheuttaa myös ongelmia palvelimen resurssien käyttämistä yrittävien alemman tason asiakkaiden, kuten Windows NT 3.51- ja Windows 95 -asiakkaiden, kanssa.

   • Oikeuksia ei voi myöntää resurssitoimialueiden käyttäjille, koska luottavan toimialueen järjestelmänvalvojat eivät pysty tarkastelemaan toisen toimialueen tilien luetteloita. Tiedosto- ja tulostuspalvelimia anonyymisti käyttävät käyttäjät eivät pysty tarkastelemaan kyseisten palvelinten jaettujen verkkoresurssien luetteloa. Käyttäjät on todennettava, ennen kuin he pystyvät tarkastelemaan jaettujen kansioiden ja tulostinten luetteloa.

  5. Symbolinen nimi:

   RestrictAnonymous

  6. Rekisteripolku:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

  7. Esimerkkejä yhteensopivuusongelmista

   • Windows NT 4.0: Käyttäjät eivät pysty vaihtamaan salasanojaan Windows NT 4.0 -työasemista, kun RestrictAnonymous-rekisteriarvo on käytössä käyttäjien toimialueen ohjauskoneissa.
    Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    Käyttäjät eivät pysty vaihtamaan salasanaa kirjautuessaan sisään (tämä artikkeli saattaa olla englanninkielinen)

   • Windows NT 4.0: Käyttäjien tai yleisten ryhmien lisääminen luotetuista Windows 2000 -toimialueista Windows NT 4.0:n paikallisiin ryhmiin Käyttäjienhallinta-työkalun avulla epäonnistuu, ja näyttöön tulee seuraava virhesanoma:

    Kirjauspalvelimia ei ole käytettävissä hyväksymään kirjauspyyntöä.

    Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    RestrictAnonymous-rekisteriarvo saattaa katkaista luottamussuhteen Windows 2000 -toimialueeseen (tämä artikkeli saattaa olla englanninkielinen)

   • Windows NT 4.0: Windows NT 4.0 -tietokoneet eivät pysty liittymään toimialueille asennuksen aikana tai käyttämällä toimialueen liittymisen käyttöliittymää.


    Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    Virhesanoma siitä, että toimialueen ohjauskonetta ei löydy (tämä artikkeli saattaa olla englanninkielinen)

   • Windows NT 4.0: Windows NT 4.0: Alemman tason luottamussuhteen muodostaminen Windows NT 4.0 -resurssitoimialueiden kanssa epäonnistuu ja tuo näyttöön seuraavan virhesanoman, kun RestrictAnonymous-rekisteriasetus on käytössä luotetussa toimialueessa:

    Toimialueen ohjauskonetta ei löydy.

    Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    Toimialueen ohjauskonetta ei löydy luottamussuhdetta muodostettaessa (tämä artikkeli saattaa olla englanninkielinen)

   • Windows NT 4.0: Windows NT 4.0 -päätepalvelintietokoneisiin kirjautuvat käyttäjät yhdistetään oletusarvon mukaiseen kotikansioon toimialueille Käyttäjienhallinta-työkalussa toimialueille määritetyn kotikansion sijaan.


    Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    Päätepalvelimen käyttäjäprofiilit ja kotikansiopolut ohitetaan sen jälkeen, kun SP4 tai uudempi on asennettu (tämä artikkeli saattaa olla englanninkielinen)

   • Windows NT 4.0: Windows NT 4.0 -toimialueen varaohjauskoneet (BDC:t) eivät pysty käynnistämään Verkkokirjautuminen-palvelua, hankkimaan varaselainten luetteloa tai synkronoimaan SAM-tietokantaa saman toimialueen Windows 2000- tai Windows Server 2003 -toimialueen ohjauskoneista.


    Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    Windows NT 4.0 -toimialueen varaohjauskoneen Verkkokirjautuminen-palvelu ei toimi Windows 2000 -toimialueella (tämä artikkeli saattaa olla englanninkielinen)

   • Windows 2000: Windows NT 4.0 -toimialueiden Windows 2000 -jäsentietokoneet eivät pysty tarkastelemaan ulkoisten toimialueiden tulostimia, jos käytön estäminen, jos eksplisiittisesti anonyymejä oikeuksia ei ole -asetus on käytössä asiakastietokoneen paikallisessa suojauskäytännössä.

    Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    Käyttäjät eivät pysty hallitsemaan tai tarkastelemaan tulostimen ominaisuuksia (tämä artikkeli saattaa olla englanninkielinen)

   • Windows 2000: Windows 2000 -toimialuekäyttäjät eivät pysty lisäämään verkkotulostimia Active Directorysta, mutta he kuitenkin pystyvät lisäämään tulostimet valittuaan ne ensin puunäkymässä.

    Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    Outlook-asiakkaat eivät pysty tarkastelemaan yleistä osoitteistoa sen jälkeen, kun SRP1 (Security Rollup Package 1) on asennettu yleiseen luettelopalvelimeen (tämä artikkeli saattaa olla englanninkielinen)

   • Windows 2000: ACL Editor ei pysty lisäämään Windows 2000 -tietokoneissa käyttäjiä tai yleisiä ryhmiä luotetuista Windows NT 4.0 -toimialueista.

    Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    RestrictAnonymous-arvo katkaisee luottamussuhteen eri toimialueita sisältävässä ympäristössä (tämä artikkeli saattaa olla englanninkielinen)

   • ADMT-työkalun versio 2: Toimialuepuuryhmien välillä siirrettyjen käyttäjätilien salasanojen siirtäminen ADMT (Active Directory Migration Tool) -työkalun version 2 avulla epäonnistuu.

    Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    Toimialueidenvälisen salasanojen siirtämisen vianmääritys ADMT-työkalun version 2 avulla (tämä artikkeli saattaa olla englanninkielinen)

   • Outlook-asiakkaat: Yleinen osoitteisto näkyy Microsoft Exchange Outlook -asiakkaille tyhjänä.

    Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    Outlook-asiakkaat eivät pysty tarkastelemaan yleistä osoitteistoa sen jälkeen, kun SRP1 (Security Rollup Package 1) on asennettu yleiseen luettelopalvelimeen (tämä artikkeli saattaa olla englanninkielinen)

    SMB-suorituskyky on hidas kopioitaessa tiedostoja Windows XP:stä Windows 2000 -toimialueen ohjauskoneeseen (tämä artikkeli saattaa olla englanninkielinen)

   • SMS: Microsoft Systems Management Server (SMS) Network Discovery ei pysty hankkimaan käyttöjärjestelmän tietoja. Tämän vuoksi se kirjoittaa DDR (Discovery Data Record) -tietueen SMS DDR -ominaisuuden OperatingSystemNameandVersion-ominaisuuteen merkinnän Tuntematon.

    Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    Discovery Data Managerin tapa selvittää, milloin asiakaskokoonpanopyyntö muodostetaan (tämä artikkeli saattaa olla englanninkielinen)

   • SMS: Kun käytät ohjattua SMS Administrator User Wizard -toimintoa käyttäjien ja ryhmien selaamiseen, mitään käyttäjiä tai ryhmiä ei näytetä. Lisäksi Advanced Client -asiakkaat eivät pysty vaihtamaan tietoja hallintapisteen kanssa. Hallintapiste edellyttää anonyymin käytön.


    Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    Ohjatussa Administrator User Wizard -toiminnossa ei näytetä käyttäjiä tai ryhmiä (tämä artikkeli saattaa olla englanninkielinen)

   • SMS: Kun käytät SMS 2.0:n Network Discovery -ominaisuutta sekä Remote Client Installation -asennusta ja Topology, client, and client operating systems -verkonetsintäasetus on käytössä, tietokoneet saatetaan löytää, mutta niitä ei välttämättä asenneta.


    Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    Resursseja ei löydetä, jos anonyymit yhteydet on poistettu käytöstä (tämä artikkeli saattaa olla englanninkielinen)

 10. Verkon suojaus: LAN Managerin alkuperäisyyden todentamisen taso

  1. Tausta

   LAN Manager (LM) -todennus on protokolla, jota käytetään Windows-asiakkaiden todentamiseen verkkotoimintoja varten. Tällaisia toimintoja ovat toimialueille liittyminen, verkkoresurssien käyttäminen ja käyttäjän tai tietokoneen todennus. LM-todennustaso määrittää, mikä haaste/vastaus-todennusprotokolla neuvotellaan asiakas- ja palvelintietokoneiden välille. LM-todennustaso määrittää, mitkä todennusprotokollat asiakaskone yrittää neuvotella tai palvelin hyväksyy. LmCompatibilityLevel-arvo määrittää, mitä haaste/vastaus-todennusprotokollaa käytetään verkkokirjautumisiin. Tämä arvo vaikuttaa asiakaskoneiden käyttämän todennusprotokollan tasoon, neuvotellun istunnon suojauksen tasoon ja palvelinten hyväksymän todennuksen tasoon seuraavan taulukon mukaisesti.

   Mahdollisia asetuksia ovat esimerkiksi seuraavat.

   Arvo

   Asetus

   Kuvaus

   0

   Lähetä LM & NTLM -vastaukset

   Asiakkaat käyttävät LM- ja NTLM-todennusta. Ne eivät koskaan käytä NTLMv2-istuntosuojausta. Toimialueen ohjauskoneet hyväksyvät LM-, NTLM- ja NTLMv2-todennuksen.

   1

   Lähetä LM ja NTLM - käytä NTLMv2-istunnonsuojausta pyydettäessä

   Asiakkaat käyttävät LM- ja NTLM-todennusta. Ne käyttävät NTLMv2-istuntosuojausta, jos palvelin tukee sitä. Toimialueen ohjauskoneet hyväksyvät LM-, NTLM- ja NTLMv2-todennuksen.

   2

   Lähetä vain NTLM-vastaus

   Asiakkaat käyttävät vain NTLM-todennusta. Ne käyttävät NTLMv2-istuntosuojausta, jos palvelin tukee sitä. Toimialueen ohjauskoneet hyväksyvät LM-, NTLM- ja NTLMv2-todennuksen.

   3

   Lähetä vain NTLMv2-vastaus

   Asiakkaat käyttävät vain NTLMv2-todennusta. Ne käyttävät NTLMv2-istuntosuojausta, jos palvelin tukee sitä. Toimialueen ohjauskoneet hyväksyvät LM-, NTLM- ja NTLMv2-todennuksen.

   4

   Lähetä vain NTLMv2-vastaus \ hylkää LM

   Asiakkaat käyttävät vain NTLMv2-todennusta. Ne käyttävät NTLMv2-istuntosuojausta, jos palvelin tukee sitä. Toimialueen ohjauskoneet hylkäävät LM-todennuksen ja hyväksyvät vain NTLM- sekä NTLMv2-todennuksen.

   5

   Lähetä vain NTLMv2-vastaus \ hylkää LM ja NTLM

   Asiakkaat käyttävät vain NTLMv2-todennusta. Ne käyttävät NTLMv2-istuntosuojausta, jos palvelin tukee sitä. Toimialueen ohjauskoneet hylkäävät LM- ja NTLM-todennuksen. Ne hyväksyvät vain NTLMv2-todennuksen.

   Huomautus Windows 95:ssä, Windows 98:ssa ja Windows 98 Second Editionissa hakemistopalveluasiakas käyttää SMB-allekirjoitusta todentaessaan Windows Server 2003 -palvelinten kanssa käyttäessään NTLM-todennusta. Nämä asiakkaat eivät kuitenkaan käytä SMB-allekirjoitusta, kun ne todentavat näiden palvelinten kanssa käyttäen NTLMv2-todennusta. Lisäksi Windows 2000 -palvelimet eivät vastaa näiden asiakkaiden SMB-allekirjoituspyyntöihin.

   LM-todennustason tarkistaminen Palvelimen käytäntö on muutettava sallimaan NTLM-todennus, tai asiakastietokone on määritettävä tukemaan NTLMv2-todennusta.

   Jos yhteyden muodostamisen kohdetietokoneen käytäntö on (5) Lähetä vain NTLMv2-vastaus \ hylkää LM ja NTLM, sinun on joko pienennettävä asetusta kyseisessä tietokoneessa tai määritettävä suojaukseksi sama asetus kuin lähdekoneessa, josta yhteys muodostetaan.

   Etsi oikea sijainti, jossa voit muuttaa LAN Managerin alkuperäisyyden todentamisen tasoa niin, että asiakaskone ja palvelin ovat samalla tasolla. Kun löydät käytännön, joka asettaa LAN Managerin alkuperäisyyden todentamisen tason, ja haluat muodostaa yhteyden Windowsin aiempia versioita käyttäviin tietokoneisiin ja käyttävistä tietokoneista, pienennä arvoksi vähintään (1) Lähetä LM ja NTLM - käytä NTLMv2-istunnonsuojausta pyydettäessä. Yksi yhteensopimattomien asetusten vaikutus on se, että jos palvelin edellyttää NTLMv2-todennuksen (arvo 5), mutta asiakas on määritetty käyttämään vain LM- ja NTLMv1-todennusta (arvo 0), todennusta yrittävä käyttäjä kohtaa virheellisen salasanan kirjautumisvirheen, joka kasvattaa virheellisten salasanojen laskurin arvoa. Jos tilin lukitus on määritetty, käyttäjän tili saatetaan lopulta lukita.

   Saatat esimerkiksi joutua tarkastelemaan toimialueen ohjauskonetta tai sen käytäntöjä.

   Toimialueen ohjauskoneen tarkasteleminen
   Huomautus Saatat joutua toistamaan seuraavat toimet kaikissa toimialueen ohjauskoneissa.

   1. Napsauta Käynnistä-painiketta, valitse Ohjelmat ja valitse sitten Valvontatyökalut.

   2. Laajenna Paikalliset suojausasetukset ja Paikalliset käytännöt.

   3. Valitse Suojausasetukset.

   4. Kaksoisnapsauta Verkon suojaus: LAN Managerin alkuperäisyyden todentamisen taso ja valitse sitten asianmukainen arvo luettelosta.

   Jos käytössä oleva asetus ja paikallinen asetus ovat samat, käytäntö on muutettu tällä tasolla. Jos asetukset eivät ole samat, sinun on tarkistettava toimialueen ohjauskoneen käytäntö ja selvitettävä, onko Verkon suojaus: LAN Managerin alkuperäisyyden todentamisen taso -asetus on määritetty siinä. Jos sitä ei ole määritetty siinä, tarkastele toimialueen ohjauskoneen käytäntöjä.

   Toimialueen ohjauskoneen käytäntöjen tarkasteleminen

   1. Napsauta Käynnistä-painiketta, valitse Ohjelmat ja valitse sitten Valvontatyökalut.

   2. Laajenna Toimialueen ohjauskoneen suojauskäytännössäSuojausasetukset ja laajenna sitten Paikalliset käytännöt.

   3. Valitse Suojausasetukset.

   4. Kaksoisnapsauta Verkon suojaus: LAN Managerin alkuperäisyyden todentamisen taso ja valitse sitten asianmukainen arvo luettelosta.

   Huomautus

   • Saatat myös joutua tarkastelemaan käytäntöjä sivuston, toimialueen tai organisaatioyksikön tasolla selvittääksesi, missä LAN Managerin alkuperäisyyden todentamisen taso on määritettävä.

   • Jos toteutat ryhmäkäytäntöasetuksen oletusarvon mukaisena toimialuekäytäntönä, kyseinen asetus otetaan käyttöön kaikissa toimialueen tietokoneissa.

   • Jos toteutat ryhmäkäytäntöasetuksen oletusarvon mukaisena toimialueen ohjauskoneen käytäntönä, käytäntö otetaan käyttöön vain toimialueen ohjauskoneen organisaatioyksikön palvelimissa.

   • LAN Managerin alkuperäisyyden todentamisen taso kannattaa määrittää käytännön toteutuksen hierarkian tarvittavan käyttöalueen pienimmässä yksikössä.

   Päivitä käytäntö muutosten tekemisen jälkeen. (Jos muutos on paikallisen suojauksen asetusten tasolla, muutos tehdään heti. Sinun on kuitenkin käynnistettävä asiakkaat uudelleen ennen testaamista.)

   Oletusarvon mukaan ryhmäkäytäntöasetukset päivitetään toimialueen ohjauskoneissa viiden minuutin välein. Jos haluat pakottaa käytäntöasetusten päivityksen Windows 2000:ssa tai uudemmissa käyttöjärjestelmissä heti, käytä komentoa gpupdate.

   Komento gpupdate /force päivittää paikalliset ryhmäkäytäntöasetukset ja Active Directory -hakemistopalveluun perustuvat ryhmäkäytäntöasetukset, suojausasetukset mukaan lukien. Tämä komento ohittaa vanhentuneen secedit-komennon /refreshpolicy-asetuksen.

   Komento gpupdate käyttää seuraavaa syntaksia:
   gpupdate [/target:{tietokone|käyttäjä}] [/force] [/wait:arvo] [/logoff] [/boot]

   Ota uusi ryhmäkäytäntöobjekti käyttöön ottamalla kaikki käytäntöasetukset uudelleen käyttöön manuaalisesti komennon gpupdate avulla. Voit tehdä tämän kirjoittamalla komentokehotteeseen seuraavan komennon ja painamalla sitten ENTER-näppäintä:

   GPUpdate /ForceVarmista sovelluksen tapahtumalokista, että käytäntöasetus otettiin käyttöön onnistuneesti.

   Windows XP:ssä ja Windows Server 2003:ssa voit tarkastella voimassa olevaa asetusta RSoP-laajennuksen avulla. Voit tehdä tämän napsauttamalla Käynnistä-painiketta, valitsemalla Suorita, kirjoittamalla rsop.msc ja valitsemalla sitten OK.

   Jos ongelma jatkuu käytännön muuttamisen jälkeen, käynnistä Windows-palvelin uudelleen ja tarkista, että ongelma on ratkennut.

   Huomautus Jos käytössäsi on useita Windows 2000 -toimialueen ohjauskoneita, Windows Server 2003 -toimialueen ohjauskoneita tai molempia, saatat joutua replikoimaan Active Directoryn varmistaaksesi, että päivitetyt muutokset ovat kyseisissä toimialueen ohjauskoneissa heti.

   Asetus saattaa myös vaikuttaa olevan määritetty paikallisen suojauskäytännön pienimmäksi asetukseksi. Jos voit ottaa tämän asetuksen käyttöön suojaustietokannan avulla, voit myös määrittää LAN Managerin alkuperäisyyden todentamisen tason rekisterissä muokkaamalla LmCompatibilityLevel-merkintää seuraavassa rekisterin aliavaimessa:

   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LsaWindows Server 2003:ssa on uusi oletusasetus, jonka mukaan käytetään vain NTLMv2-todennusta. Oletusarvon mukaan Windows Server 2003- ja Windows 2000 Server SP3 -toimialueen ohjauskoneissa on käytössä Microsoft-verkkopalvelin: Allekirjoita tietoliikenne digitaalisesti (aina) -käytäntö. Tämä asetus edellyttää, että SMB-palvelin suorittaa SMB-pakettien allekirjoittamisen. Windows Server 2003:n muutokset tehtiin, koska organisaatioiden toimialueen ohjauskoneet, tiedostopalvelimet, verkkoinfrastruktuuripalvelimet ja WWW-palvelimet edellyttävät eri asetukset, jotta suojaus olisi paras mahdollinen.

   Jos haluat toteuttaa NTLMv2-todennuksen verkossasi, sinun on varmistettava, että kaikki toimialueen tietokoneet on määritetty käyttämään tätä todennustasoa. Jos otat Windows 95:n tai Windows 98:n ja Windows NT 4.0:n Active Directory -asiakaslaajennukset käyttöön, ne käyttävät NTLMv2-todennuksen tehostettuja todennusominaisuuksia. Koska Windows 2000 -ryhmäkäytäntöobjektit eivät vaikuta seuraavia käyttöjärjestelmiä käyttäviin asiakastietokoneisiin, saatat joutua määrittämään kyseiset asiakaskoneet manuaalisesti:

   • Microsoft Windows NT 4.0

   • Microsoft Windows Millennium Edition

   • Microsoft Windows 98

   • Microsoft Windows 95

   Huomautus Jos otat Verkon suojaus: Älä tallenna LAN Managerin hajautusarvoa seuraavan salasanan muuttamisen yhteydessä -käytännön käyttöön tai määrität NoLMHash-rekisteriavaimen, Windows 95- ja Windows 98 -asiakkaat, joissa ei ole asennettuna hakemistopalveluasiakasta, eivät pysty kirjautumaan toimialueelle salasanan muuttamisen jälkeen.

   Monet kolmannen osapuolen CIFS-palvelimet, kuten Novell NetWare 6, eivät tunnista NTLMv2-todennusta, vaan käyttävät ainoastaan NTLM-todennusta. Tämän vuoksi tasoa 2 suuremmat tasot eivät salli yhteyksiä.


   Saat lisätietoja LAN Managerin alkuperäisyyden todentamisen tason määrittämisestä manuaalisesti napsauttamalla seuraavia artikkelien numeroita, jolloin pääset lukemaan artikkelit Microsoft Knowledge Base -tietokannassa:

   LM-todennuksen poistaminen käytöstä Windows NT:ssä (tämä artikkeli saattaa olla englanninkielinen)

   LMCompatibilityLevel ja sen vaikutukset (tämä artikkeli saattaa olla englanninkielinen)

   Windowsin estäminen tallentamasta salasanan LAN Managerin hajautusarvoa Active Directory -tietokantoihin ja paikallisiin SAM-tietokantoihin (tämä artikkeli saattaa olla englanninkielinen)

   Outlook kysyy kirjautumisen käyttäjätietoja toistuvasti (tämä artikkeli saattaa olla englanninkielinen)Saat lisätietoja LM-todennuksen tasoista napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

   NTLM 2 -todennuksen ottaminen käyttöön (tämä artikkeli saattaa olla englanninkielinen)

  2. Riskialttiit kokoonpanot

   Seuraavat ovat haitallisia kokoonpanomäärityksiä:

   • ei-rajoittavat asetukset, jotka lähettävät salasanat vain teksti -muodossa ja estävät NTLMv2-neuvottelun

   • rajoittavat asetukset, jotka estävät yhteensopimattomia asiakkaita tai toimialueen ohjauskoneita neuvottelemasta yhteistä todennusprotokollaa

   • NTLMv2-todennuksen edellyttäminen jäsentietokoneissa ja toimialueen ohjauskoneissa, joiden käyttöjärjestelmä on Windows NT 4.0:n Service Pack 4 (SP4) -tasoa aikaisempi versio

   • NTLMv2-todennuksen edellyttäminen Windows 95- tai Windows 98 -asiakaskoneissa, joissa ei ole asennettuna Windows-hakemistopalveluasiakasta.

   • Jos valitset Vaadi NTLMv2-istunnonsuojaus -valintaruudun Microsoft Management Consolen ryhmäkäytäntöeditorilaajennuksessa Windows Server 2003- tai Windows 2000 Service Pack 3 -tietokoneessa ja pienennät LAN Managerin alkuperäisyyden todentamisen tasoksi 0, nämä kaksi asetusta ovat ristiriidassa, ja seuraava virhesanoma saattaa tulla Secpol.msc- tai GPEdit.msc-tiedostoon:

    Windows ei pysty avaamaan paikallista käytäntötietokantaa. Tuntematon virhe yritettäessä avata tietokantaa.

    Lisätietoja Suojauksen määritys ja analysointi -työkalusta on Windows 2000:n ja Windows Server 2003:n ohjetiedostoissa.

    Lisätietoja Windows 2000:n ja Windows Server 2003:n suojaustasojen analysoimisesta saat napsauttamalla seuraavia artikkelien numeroita, jolloin pääset lukemaan artikkelit Microsoft Knowledge Base -tietokannassa:

    Järjestelmän suojauksen analysoiminen Windows 2000:ssa (tämä artikkeli saattaa olla englanninkielinen)

    Järjestelmän suojauksen analysoiminen Windows Server 2003:ssa (tämä artikkeli saattaa olla englanninkielinen)

  3. Syitä tämän asetuksen muokkaamiseen

   • Haluat suurentaa pienintä yhteistä todennusprotokollaa, jota organisaatiosi asiakaskoneet ja toimialueen ohjauskoneet tukevat.

   • Jos suojattu todennus on liiketoimintaedellytys, LM- ja NTLM-protokollien neuvottelu tulee estää.

  4. Syitä tämän asetuksen poistamiseen käytöstä

   Asiakaskoneen tai palvelimen tai molempien todennusvaatimuksia on suurennettu pisteeseen, jossa yhteistä protokollaa käyttävää todennusta ei voida tehdä.

  5. Symbolinen nimi:

   LmCompatibilityLevel

  6. Rekisteripolku:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

  7. Esimerkkejä yhteensopivuusongelmista

   • Windows Server 2003: Oletusarvon mukaan Windows Server 2003:n NTLMv2:n NTLM-vastausten lähettämisen asetus on käytössä. Tämän vuoksi Windows Server 2003 saa Käyttö estetty -virhesanoman ensimmäisen asennuksen jälkeen, kun yrität muodostaa yhteyden Windows NT 4.0 -klusteriin tai LanManager V2.1 -palvelimiin, kuten OS/2 Lanserveriin. Tämä ongelma ilmenee myös, jos yrität muodostaa yhteyden Windows Server 2003 -palvelimeen aiempaa versiota käyttävästä asiakaskoneesta.

   • Asennat Windows 2000 Security Rollup Package 1:n (SRP1). SRP1 pakottaa NTLM:n version 2 (NTLMv2) todennuksen. Tämä Rollup Package -paketti julkaistiin Windows 2000 Service Pack 2:n (SP2) julkaisemisen jälkeen. Saat lisätietoja SRP1-paketista napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    Windows 2000 Security Rollup Package 1, tammikuu 2002 (tämä artikkeli saattaa olla englanninkielinen)

   • Microsoft Outlook -asiakkailta saatetaan kysyä käyttäjätietoja, vaikka ne ovat jo kirjautuneina toimialueelle. Kun käyttäjät antavat käyttäjätietonsa, näyttöön tulee seuraavankaltainen virhesanoma:

    Annetut kirjautumisen käyttäjätiedot ovat virheelliset. Varmista, että käyttäjänimi ja toimialueen nimi ovat oikein, ja kirjoita salasanasi uudelleen.

    Kun käynnistät Outlookin, sinua saatetaan kehottaa antamaan käyttäjätietosi, vaikka verkon sisäänkirjautumisen suojauksen asetus on läpivienti tai salasanan todennus. Kun olet antanut oikeat käyttäjätietosi, näyttöön tulee seuraava virhesanoma:

    Annetut kirjautumisen käyttäjätiedot ovat virheelliset.

    Verkonvalvonnan jäljityksessä saattaa näkyä, että yleinen luettelo aiheutti etäproseduurikutsun virheen ja tilan 0x5. Tila 0x5 tarkoittaa, että käyttö on estetty.

   • Windows 2000: Seuraavankaltaiset virheet saattavat näkyä Verkonvalvonnan kaappauksessa NetBIOS TCP/IP:n päällä (NetBT) -palvelinviestilohkoistunnossa:

    SMB R Search Directory Dos error, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Invalid user identifier

   • Windows 2000: Jos Windows NT 4.0 -toimialue luottaa Windows 2000 -toimialueeseen, jonka todennus on vähintään NTLMv2-todennuksen taso 2, resurssin Windows 2000 -jäsentietokoneissa saattaa ilmetä todennusvirheitä.


    Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    Windows NT 4.0 -toimialueella ilmenee todennusongelmia Windows 2000:n NTLM 2 -todennuksen tasoa 2 suuremmilla tasoilla (tämä artikkeli saattaa olla englanninkielinen)

   • Windows 2000 ja Windows XP: Oletusarvon mukaan Windows 2000 ja Windows XP määrittävät paikallisen suojauskäytännön LAN Managerin alkuperäisyyden todentamisen taso -asetukseksi 0. Asetus 0 tarkoittaa Lähetä LM & NTLM -vastaukset.

    Huomautus Windows NT 4.0 -klusterien on käytettävä hallintaan LM-todennusta.

   • Windows 2000: Windows 2000 -klusterointi ei todenna liittyvää solmua, jos molemmat solmut ovat osa Windows NT 4.0 Service Pack 6a (SP6a) -toimialuetta.

    Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

    Windows NT 4.0 -toimialueella ilmenee todennusongelmia Windows 2000:n NTLM 2 -todennuksen tasoa 2 suuremmilla tasoilla (tämä artikkeli saattaa olla englanninkielinen)

   • IIS Lockdown -työkalu (HiSecWeb) määrittää LMCompatibilityLevel-arvoksi 5 ja RestrictAnonymous-arvoksi 2.

   • Macintosh-palvelut

    User Authentication Module (UAM) -moduuli: Microsoftin UAM (User Authentication Module) -moduuli tarjoaa tavan salata Windows AFP (AppleTalk Filing Protocol) -palvelimiin kirjautumisessa käytettävät salasanat. Apple User Authentication Module (UAM) tarjoaa vain pienen salauksen tai ei lainkaan salausta. Tämän vuoksi salasanasi saatetaan kaapata lähiverkossa tai Internetissä helposti. Vaikka UAM-moduulia ei vaadita, se tarjoaa salatun todennuksen Windows 2000 -palvelimiin, joissa on käynnissä Macintosh-palvelut. Tämä versio sisältää tuen NTLMv2:n 128-bittiselle salatulle todennukselle ja MacOS X 10.1 -yhteensopivan version.

    Oletusarvon mukaan Macintosh-palvelimen Windows Server 2003 -palvelut sallivat vain Microsoft-todennuksen.


    Saat lisätietoja napsauttamalla seuraavia artikkelien numeroita, jolloin pääset lukemaan artikkelit Microsoft Knowledge Base -tietokannassa:

    Macintosh-asiakas ei pysty muodostamaan yhteyttä Windows Server 2003:n Macintosh-palveluihin (tämä artikkeli saattaa olla englanninkielinen)

    Mac OS X -käyttäjät eivät pysty avaamaan Macintoshin jaettuja kansioita Windows Server 2003 -palvelimessa (tämä artikkeli saattaa olla englanninkielinen)

   • Windows Server 2008, Windows Server 2003, Windows XP ja Windows 2000: Jos määrität LMCompatibilityLevel-arvoksi 0 tai 1 ja määrität sitten NoLMHash-arvoksi 1, sovellusten ja osien käyttö saatetaan estää NTLM:n avulla. Tämä ongelma ilmenee, koska tietokone on määritetty ottamaan LM käyttöön mutta ei käyttämään LM:ään tallennettuja salasanoja.

    Jos määrität NoLMHash-arvoksi 1, sinun on määritettävä LMCompatibilityLevel-arvoksi vähintään 2.

 11. Verkon suojaus: LDAP-asiakkaan allekirjoitusvaatimukset

  1. Tausta

   Verkon suojaus: LDAP-asiakkaan allekirjoitusvaatimukset -asetus selvittää pyydetyn tietojen allekirjoittamisen tason LDAP (Lightweight Directory Access Protocol) -protokollan BIND-pyynnön antavien asiakkaiden puolesta seuraavasti:

   • Ei mitään: LDAP BIND -pyyntö annetaan käyttäen kutsujan määrittämiä asetuksia.

   • Neuvottele allekirjoitus: Jos SSL/TLS (Secure Sockets Layer/Transport Layer Security) ei ole käynnissä, LDAP BIND -pyyntö tehdään käyttäen LDAP-tietojen allekirjoitusasetusta käyttäjän määrittämien asetusten lisäksi. Jos SSL/TLS on käynnissä, LDAP BIND -pyyntö tehdään käyttäen kutsujan määrittämiä asetuksia.

   • Vaadi allekirjoitus: Tämä on sama kuin Neuvottele allekirjoitus. Jos LDAP-palvelimen saslBindInProgress-välivastaus ei ilmaise, että LDAP-tietoliikenteen allekirjoitus vaaditaan, kutsujalle ilmoitetaan, että LDAP BIND -komennon pyyntö epäonnistui.

  2. Riskialtis kokoonpano

   Verkon suojaus: LDAP-asiakkaan allekirjoitusvaatimukset -asetuksen ottaminen käyttöön on haitallinen kokoonpanomääritys. Jos määrität palvelimen vaatimaan LDAP-allekirjoitukset, sinun on myös määritettävä LDAP-allekirjoitus asiakkaassa. Jos asiakasta ei määritetä käyttämään LDAP-allekirjoituksia, tietoliikenne palvelimen kanssa estetään. Tästä seuraa se, että todennus, ryhmäkäytäntöasetukset, kirjautumiskomentosarjat ja muut toiminnot epäonnistuvat.

  3. Syitä tämän asetuksen muokkaamiseen

   Allekirjoittamaton verkkotietoliikenne on alttiina tekeytymishyökkäyksille, joissa tunkeilija kaappaa paketteja asiakkaan ja palvelinten väliltä, muokkaa paketteja ja välittää ne sitten palvelimeen. Kun tämä tapahtuu LDAP-palvelimessa, hyökkääjä voi saada palvelimen vastaamaan tavalla, joka perustuu virheellisiin kyselyihin LDAP-asiakkaalta. Voit pienentää tätä riskiä yritysverkossa toteuttamalla vahvat fyysiset suojaukset, jotka suojaavat verkkoinfrastruktuuria. Lisäksi kaikkia tekeytymishyökkäyksiä voidaan vaikeuttaa huomattavasti vaatimalla kaikkien verkkopakettien digitaalinen allekirjoittaminen IPSec-todennusotsikoiden avulla.

  4. Symbolinen nimi:

   LDAPClientIntegrity

  5. Rekisteripolku:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

 12. Tapahtumaloki: Suojauslokin enimmäiskoko

  1. Tausta

   Tapahtumaloki: Suojauslokin enimmäiskoko -suojausasetus määrittää suojaustapahtumalokin enimmäiskoon. Tämän lokin enimmäiskoko on neljä gigatavua. Voit paikantaa tämän asetuksen laajentamalla Windows-asetukset ja laajentamalla sitten Suojausasetukset.

  2. Riskialttiit kokoonpanot

   Seuraavat ovat haitallisia kokoonpanomäärityksiä:

   • Suojauslokin koon ja säilytyksen tavan rajoittaminen, kun Jäljitys: Sulje järjestelmä välittömästi, jos suojauksen valvonnan kirjaaminen lokiin ei onnistu -asetus on käytössä. Lisätietoja on tämän artikkelin Jäljitys: Sulje järjestelmä välittömästi, jos suojauksen valvonnan kirjaaminen lokiin ei onnistu -osassa.

   • Suojauslokin koon rajoittaminen niin, että kiinnostavat suojaustapahtumat korvataan.

  3. Syitä tämän asetuksen kasvattamiseen

   Yrityksen ja suojauksen vaatimukset saattavat edellyttää suojauslokin koon kasvattamista niin, että suojauslokin lisätietoja voidaan käsitellä tai että suojauslokit säilytetään tavallista pidemmän ajan.

  4. Syitä tämän asetuksen pienentämiseen

   Tapahtumienvalvonnan lokit ovat muistiin yhdistettyjä tiedostoja. Tapahtumalokin enimmäiskokoa rajoittavat paikallisen tietokoneen fyysisen muistin määrä ja tapahtumalokiprosessin käytettävissä olevan näennäismuistin määrä. Jos lokin kokoa kasvatetaan Tapahtumienvalvonnan käytettävissä olevan näennäismuistin määrää suuremmaksi, säilytettävien lokimerkintöjen määrä ei kasva.

  5. Esimerkkejä yhteensopivuusongelmista

   Windows 2000: Tietokoneet, joiden käyttöjärjestelmä on Windows 2000:n Service Pack 4:ää (SP4) aikaisempi versio, saattavat lopettaa tapahtumien kirjaamisen tapahtumalokiin, ennen kuin Tapahtumienvalvonnan Lokin enimmäiskoko -asetuksessa määritetty koko saavutetaan, jos Älä korvaa tapahtumia (tyhjennä loki manuaalisesti) -asetus on käytössä.


   Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

   Tapahtumaloki lopettaa tapahtumien kirjaamisen, ennen kuin lokin enimmäiskoko saavutetaan (tämä artikkeli saattaa olla englanninkielinen)

 13. Tapahtumaloki: Säilytä suojausloki

  1. Tausta

   Tapahtumaloki: Säilytä suojausloki -suojausasetus määrittää suojauslokin käsittelytavan. Voit paikantaa tämän asetuksen laajentamalla Windows-asetukset ja laajentamalla sitten Suojausasetukset.

  2. Riskialttiit kokoonpanot

   Seuraavat ovat haitallisia kokoonpanomäärityksiä:

   • kaikkien kirjattujen suojaustapahtumien säilyttämisen epäonnistuminen, ennen kuin tapahtumat korvataan

   • Suojauslokin enimmäiskoko -asetuksen määrittäminen liian pieneksi, jolloin suojaustapahtumat korvataan

   • suojauslokin koon ja säilytyksen tavan rajoittaminen, kun Jäljitys: Sulje järjestelmä välittömästi, jos suojauksen valvonnan kirjaaminen lokiin ei onnistu -asetus on käytössä.

  3. Syitä tämän asetuksen ottamiseen käyttöön

   Ota tämä asetus käyttöön vain, jos valitset säilytyksen tavan Korvaa tapahtumia päivien mukaan. Jos käytät tapahtumien kyselyitä tekevää tapahtumien korrelaatiojärjestelmää, varmista, että päivien määrä on vähintään kolme kertaa niin suuri kuin kyselytaajuus. Tee tämä, jos haluat sallia epäonnistuneet kyselysyklit.

 14. Verkkoyhteys: Salli Kaikki-ryhmän oikeuksien koskea anonyymejä käyttäjiä

  1. Tausta

   Oletusarvon mukaan Verkkoyhteys: Salli Kaikki-ryhmän oikeuksien koskea anonyymejä käyttäjiä -asetus on Määrittämätön Windows Server 2003:ssa. Oletusarvon mukaan Windows Server 2003 ei sisällytä Anonyymi käyttö -tunnussanomaa Kaikki-ryhmään.

  2. Esimerkki yhteensopivuusongelmista

   Arvo

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous [REG_DWORD]=0x0 katkaisee luottamussuhteen luomisen Windows Server 2003:n ja Windows NT 4.0:n välillä, kun Windows Server 2003 -toimialue on tilitoimialue ja Windows NT 4.0 -toimialue on resurssitoimialue. Tämä tarkoittaa sitä, että tilitoimialue on luotettu Windows NT 4.0:ssa ja resurssitoimialue on luottava Windows Server 2003 -puolella. Tämä tapahtuu, koska ensimmäisen anonyymin yhteyden jälkeen luottamussuhteen käynnistävä prosessi tarkistetaan käyttöoikeusluettelosta käyttäen Kaikki-tunnussanomaa, joka sisältää anonyymin SID-tunnuksen Windows NT 4.0:ssa.

  3. Syitä tämän asetuksen muokkaamiseen

   Arvoksi on määritettävä 0x1, tai se on määritettävä ryhmäkäytäntöobjektin avulla toimialueen ohjauskoneen organisaatioyksikössä asetukseksi Verkkoyhteys: Salli Kaikki-ryhmän oikeuksien koskea anonyymejä käyttäjiä - Käytössä, jotta luottamussuhteiden luominen on mahdollista.

   Huomautus Useimpien muiden suojausasetusten arvot kasvavat sen sijaan, että ne pienenisivät arvoon 0x0 niiden suojatuimmassa tilassa. Turvallisempi käytäntö on muuttaa toimialueen pääohjauskoneen emulaattorin rekisteriä sen sijaan, että sitä muutettaisiin kaikissa toimialueen ohjauskoneissa. Jos toimialueen pääohjauskoneen emulaattorirooli siirretään jostain syystä, rekisteri on päivitettävä uudessa palvelimessa.

   Uudelleenkäynnistys vaaditaan, kun tämä arvo on määritetty.

  4. Rekisteripolku

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

 15. NTLMv2-todennus

  Istunnonsuojaus

  Istunnonsuojaus määrittää asiakaskoneen ja palvelimen istuntojen vähimmäissuojauksen. Seuraavat suojauskäytäntöasetukset kannattaa tarkistaa Microsoft Management Consolen ryhmäkäytäntöeditorilaajennuksessa:

  • Tietokoneasetukset\Windows-asetukset\Suojausasetukset\Paikalliset käytännöt\Suojausasetukset

  • Verkon suojaus: Pienin istunnon suojaus NTLM SSP -pohjaisille palvelimille (mukaan lukien suojatut RCP-palvelimet)

  • Verkon suojaus: Pienin istunnon suojaus NTLM SSP -pohjaisille asiakkaille (mukaan lukien suojatut RCP-asiakkaat)

  Näiden asetusten vaihtoehdot ovat seuraavat:

  • Vaadi viestin yhtenäisyys

  • Vaadi viestin luottamuksellisuus

  • Vaadi NTLMv2-istunnonsuojaus

  • Vaadi 128-bittinen salaus

  Oletusasetus on ei edellytyksiä.

  Nämä käytännöt määrittävät pienimmät suojausstandardit asiakkaan sovellustenväliselle tietoliikenneistunnolle palvelimen kanssa.

  Windows NT on tukenut seuraavia kahta haaste/vastaus-todennuksen versiota verkkokirjautumisessa:

  • LM:n haaste/vastaus

  • NTLM:n version 1 haaste/vastaus.

  LM mahdollistaa yhteentoimivuuden asennettujen asiakkaiden ja palvelinten kanssa. NTLM tarjoaa parannetun suojauksen asiakkaiden ja palvelinten välisille yhteyksille.

  Vastaavat rekisteriavaimet ovat seuraavat:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

Ajan synkronointi

Ajan synkronointi epäonnistui. Ajan ero on yli 30 minuuttia kyseisessä tietokoneessa. Varmista, että asiakastietokoneen kello on synkronoitu toimialueen ohjauskoneen kellon kanssa.

SMB-allekirjoituksen kiertotapa

Microsoft suosittelee, että asennat Service Pack 6a:n (SP6a) Windows NT 4.0 -asiakaskoneisiin, jotka toimivat yhdessä Windows Server 2003 -toimialueella. Windows 98 Second Edition-, Windows 98- ja Windows 95 -asiakaskoneiden on suoritettava hakemistopalveluasiakas, jotta NTLMv2-todennus voidaan tehdä. Jos Windows NT 4.0 -asiakkaissa ei ole asennettuna Windows NT 4.0 SP6 tai jos Windows 95-, Windows 98- tai Windows 98 SE -asiakkaissa ei ole hakemistopalveluasiakasta asennettuna, voit poistaa SMB-allekirjoituksen käytöstä oletusarvon mukaisen toimialueen ohjauskoneen käytäntöasetuksessa toimialueen ohjauskoneen organisaatioyksikössä ja linkittää tämän käytännön sitten kaikkiin toimialueen ohjauskoneita isännöiviin organisaatioyksiköihin.

Windows 98 Second Editionin, Windows 98:n ja Windows 95:n hakemistopalveluasiakas suorittaa SMB-allekirjoituksen Windows Server 2003 -palvelinten kanssa käyttäen NTLM-todennusta, mutta ei NTLMv2-todennusta. Lisäksi Windows 2000 -palvelimet eivät vastaa näiden asiakkaiden SMB-allekirjoituspyyntöihin.

Vaikka Microsoft ei sitä suosittele, voit estää SMB-allekirjoituksen edellyttämisen kaikissa toimialueen Windows Server 2003 -toimialueen ohjauskoneissa. Voit määrittää tämän suojausasetuksen seuraavasti:

 1. Avaa oletusarvon mukaisen toimialueen ohjauskoneen käytäntö.

 2. Avaa Tietokoneasetukset\Windows-asetukset\Suojausasetukset\Paikalliset käytännöt\Suojausasetukset -kansio.

 3. Etsi ja avaa Microsoft-verkkopalvelin: Allekirjoita tietoliikenne digitaalisesti (aina) -käytäntöasetus. Valitse sitten Ei käytössä.

Tärkeää Tässä osassa, tavassa tai tehtävässä olevissa vaiheissa kerrotaan, miten rekisteriä muokataan. Vakavia ongelmia saattaa kuitenkin ilmetä, jos rekisteriä muokataan virheellisesti. Varmista siis, että noudatat ohjeita huolellisesti. Varmuuskopioi rekisteri varmuuden vuoksi ennen sen muokkaamista. Tällöin voit palauttaa sen, jos ongelmia ilmenee. Lisätietoja rekisterin varmuuskopioimisesta ja palauttamisesta saat napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

Rekisterin varmuuskopioiminen ja palauttaminen Windows XP:ssäVoit myös poista SMB-allekirjoituksen käytöstä palvelimessa muokkaamalla rekisteriä. Voit tehdä tämän seuraavasti:

 1. Napsauta Käynnistä-painiketta, valitse Suorita, kirjoita regedit ja valitse sitten OK.

 2. Etsi ja valitse seuraava aliavain:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

 3. Napsauta enablesecuritysignature-merkintää.

 4. Valitse Muokkaa-valikosta Muokkaa.

 5. Kirjoita Arvon data -ruutuun 0 ja valitse sitten OK.

 6. Sulje Rekisterieditori.

 7. Käynnistä tietokone tai pysäytä Palvelin-palvelu ja käynnistä se sitten uudelleen. Voit tehdä tämän kirjoittamalla seuraavat komennot komentokehotteeseen ja painamalla ENTER-näppäintä kunkin komennon jälkeen:
  net stop server
  net start server

Huomautus Vastaava asiakastietokoneen avain on seuraavassa rekisterin aliavaimessa:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\ParametersSeuraavassa luettelossa on virhekoodit muunnettuina tilakoodeiksi ja aiemmin mainituiksi pidemmiksi virhesanomateksteiksi:

error 5
ERROR_ACCESS_DENIED

Käyttö estetty.

virhe 1326

ERROR_LOGON_FAILURE

Kirjausvirhe: tuntematon käyttäjänimi tai salasana ei kelpaa.

virhe 1788

ERROR_TRUSTED_DOMAIN_FAILURE

Luottamussuhde ensisijaisen toimialueen ja luotetun toimialueen välillä on epäonnistunut.

virhe 1789

ERROR_TRUSTED_RELATIONSHIP_FAILURE

Luottamussuhde tämän työaseman ja ensisijaisen toimialueen välillä on epäonnistunut.

Saat lisätietoja napsauttamalla seuraavia artikkelien numeroita, jolloin pääset lukemaan artikkelit Microsoft Knowledge Base -tietokannassa:

Ryhmäkäytäntöjen määrittäminen asettamaan järjestelmäpalveluiden suojaus Windows Server 2003:ssa (tämä artikkeli saattaa olla englanninkielinen)

Käyttö estetty -virhesanoma tulee näyttöön Windows Server 2003 -klusterin määrittämisen jälkeen (tämä artikkeli saattaa olla englanninkielinen)

Microsoft-todennuksen asentaminen Macintosh-tietokoneeseen (tämä artikkeli saattaa olla englanninkielinen)

SMB-allekirjoittamisen ottaminen käyttöön Windows NT:ssä (tämä artikkeli saattaa olla englanninkielinen)

Jaettuja resursseja, joiden LMCompatibilityLevel-asetus on vain NTLM 2 -todennus, ei voi käyttää (tämä artikkeli saattaa olla englanninkielinen)

Ensimmäisen kirjautumisen tekevät Windows NT LAN Manager 3 -asiakaskone estää seuraavat kirjautumiset (tämä artikkeli saattaa olla englanninkielinen)

Kotikansion asemayhteyttä ei saada sekaympäristössä (tämä artikkeli saattaa olla englanninkielinen)

Kotikansioyhdistämiset alemman tason palvelimiin eivät välttämättä toimi kirjautumisen aikana (tämä artikkeli saattaa olla englanninkielinen)

Etäkäyttö-, VPN- ja RIS-asiakkaat eivät pysty muodostamaan istuntoja sellaisen palvelimen kanssa, joka on määritetty hyväksymään vain NTLM:n version 2 todennus (tämä artikkeli saattaa olla englanninkielinen)

Valmiiden suojausmallien käyttäminen Windows Server 2003:ssa (tämä artikkeli saattaa olla englanninkielinen)

Windows-tilin käyttäjätiedot on annettava muodostettaessa yhteys Exchange Server 2003:een Outlook 2003:n RPC HTTP:n päällä -ominaisuuden avulla (tämä artikkeli saattaa olla englanninkielinen)

Tarvitsetko lisäohjeita?

Kehitä taitojasi
Tutustu koulutusmateriaaliin
Saat uudet ominaisuudet ensimmäisten joukossa
Liity Microsoft Insider-käyttäjille

Oliko näistä tiedoista hyötyä?

Kiitos palautteestasi.

Kiitos palautteestasi! Näyttää siltä, että Office-tukiedustajamme avusta voi olla sinulle hyötyä.

×