בעיות לקוח, שירות ותוכנית עשויות להתרחש אם אתה משנה הגדרות אבטחה והקצאות של זכויות משתמש

‏‏Windows XP

כדי להגביר את המודעות להגדרות אבטחה שתצורתן שגויה, השתמש בכלי מדיניות קבוצתית 'עורך האובייקטים' כדי לשנות הגדרות אבטחה. בעת שימוש מדיניות קבוצתית אובייקט, הקצאות זכויות המשתמש משופרות במערכות ההפעלה הבאות:

• Windows XP Professional Service Pack 2 (SP2)

• Windows Server 2003 Service Pack 1 (SP1)

התכונה המשופרת היא תיבת דו-שיח המכילה קישור למאמר זה. תיבת הדו-שיח מופיעה בעת שינוי הגדרת אבטחה או הקצאת זכויות משתמש להגדרה המציעה פחות תאימות והיא מגבילה יותר. אם תשנה ישירות את אותה הגדרת אבטחה או הקצאת זכויות משתמש באמצעות הרישום או באמצעות תבניות אבטחה, ההשפעה זהה לשינוי ההגדרה בעורך האובייקטים של מדיניות קבוצתית. עם זאת, תיבת הדו-שיח המכילה את הקישור למאמר זה אינה מופיעה.

מאמר זה מכיל דוגמאות של לקוחות, תוכניות ופעולות המושפעים מהגדרות אבטחה ספציפיות או מהקצאות זכויות משתמש ספציפיות. עם זאת, הדוגמאות אינן מוסמכות עבור כל מערכות ההפעלה של Microsoft, עבור כל מערכות ההפעלה של ספקים חיצוניים או עבור כל גירסאות התוכניות המושפעות. לא כל הגדרות האבטחה והקצאות זכויות המשתמשים נכללות במאמר זה.

מומלץ לאמת את התאימות של כל שינויי התצורה הקשורים לאבטחה ביער בדיקה לפני הצגתם בסביבת ייצור. יער הבדיקה חייב משקף את יער הייצור בדרכים הבאות:

• גירסאות מערכת ההפעלה של הלקוח והשרת, תוכניות הלקוח והשרת, גירסאות Service Pack, תיקונים חמים, שינויי סכימה, קבוצות אבטחה, חברויות בקבוצה, הרשאות באובייקטים במערכת הקבצים, תיקיות משותפות, הרישום, שירות מדריך הכתובות של Active Directory, הגדרות מקומיות מדיניות קבוצתית וסוג ומיקום של ספירת אובייקטים

• משימות ניהוליות המבוצעות, כלי ניהול שנעשה בהם שימוש ומערכות הפעלה המשמשות לביצוע משימות ניהוליות

• פעולות המבוצעות, כגון:

  • אימות כניסה למחשב ולמשתמש

  • איפוס סיסמה על-ידי משתמשים, על-ידי מחשבים ועל-ידי מנהלי מערכת

  • גלישה

  • הגדרת הרשאות עבור מערכת הקבצים, עבור תיקיות משותפות, עבור הרישום, ולהמשאבים של Active Directory באמצעות עורך ACL בכל מערכות ההפעלה של הלקוחות בכל תחומי הלקוחות או המשאבים מכל מערכות ההפעלה של הלקוחות מכל תחומי הלקוחות או המשאבים

  • הדפסה מחשבונות ניהוליים ולא מנהליים

Windows Server 2003 SP1

זכויות משתמש

הרשימה הבאה מתארת זכות משתמש, מזהה הגדרות תצורה שעלולות לגרום לבעיות, מתארת מדוע עליך להחיל את זכות המשתמש ומדוע כדאי להסיר את זכות המשתמש ומספקת דוגמאות לבעיות תאימות שעשויות להתרחש כאשר זכות המשתמש מוגדרת.

1. גש למחשב זה מהרשת

   1. רקע
      
      היכולת לקיים אינטראקציה עם מחשבים מרוחקים המבוססים על Windows דורשת גישה למחשב זה מתוך זכות המשתמש ברשת. דוגמאות לפעולות רשת אלה כוללות את הפעולות הבאות:

      • שכפול של Active Directory בין בקרי תחום בתחום או ביער נפוצים

      • בקשות אימות לבקרי תחום ממשתמשים וממחשבים

      • גישה לתיקיות משותפות, למדפסות ול שירותי מערכת אחרים הממוקמים במחשבים מרוחקים ברשת

      
      
      משתמשים, מחשבים וחשבונות שירות משיגים או מאבדים את הזכות לגשת למחשב זה ממשתמשי הרשת על-ידי הוספה או הסרה מפורשת או מפורשת של קבוצת אבטחה שהוענקה למשתמש זה זכות. לדוגמה, ייתכן שחשבון משתמש או חשבון מחשב יתווספו באופן מפורש לקבוצת אבטחה מותאמת אישית או לקבוצת אבטחה מוכללת על-ידי מנהל מערכת, או שהיא נוספה באופן משתמע על-ידי מערכת ההפעלה לקבוצת אבטחה מחושבת כגון משתמשי תחום, משתמשים מאומתים או בקרי תחום ארגוני.
      
      כברירת מחדל, חשבונות משתמשים וחשבונות מחשב מוענקים ל- Access למחשב זה ממשתמשי רשת זכות כאשר קבוצות מחושבות כגון Everyone או, רצוי, Authenticated Users, and, for domain controllers, the Enterprise Domain Controllers group, מוגדרים בבקרי התחום המהווים ברירת מחדל מדיניות קבוצתית Object (GPO).

   2. תצורות מ מסוכן
      
      להלן הגדרות תצורה מזיקות:

      • מסיר את קבוצת האבטחה 'בקרי תחום ארגוני' משמאל למשתמש זה

      • הסרת הקבוצה 'משתמשים מאומתים' או קבוצה מפורשת המאפשרת למשתמשים, למחשבים ולחשבונות שירות שהמשתמש יכול להתחבר למחשבים דרך הרשת

      • מסיר את כל המשתמשים והמחשבים משמאל למשתמש זה

   3. סיבות להעניק למשתמש זה זכות

      • הענקת גישה למחשב זה ממשתמש רשת לקבוצת בקרי התחום הארגוני עומדת בדרישות האימות הנדרשות לשכפול Active Directory כדי שהשכפול יתרחש בין בקרי תחום באותו יער.

      • זכות משתמש זו מאפשרת למשתמשים ולמחשבים לגשת לקבצים, למדפסות ול שירותי מערכת משותפים, כולל Active Directory.

      • זכות משתמש זו נדרשת כדי שמשתמשים יוכלו לגשת לדואר באמצעות גירסאות קודמות של Microsoft Outlook Web Access (OWA).

   4. סיבות להסרת זכות משתמש זו

      • משתמשים שיכולים לחבר את המחשבים שלהם לרשת יכולים לגשת למשאבים במחשבים מרוחקים שעבורם יש להם הרשאות. לדוגמה, זכות משתמש זו נדרשת כדי שמשתמש יתחבר למדפסות משותפות ולתיקיות. אם הוענקה זכות משתמש זו לקבוצה כולם, ואם לתיקיות משותפות מסוימות מוגדרות הרשאות שיתוף ומערכת קבצים מסוג NTFS כך שלאותה קבוצה תהיה גישת קריאה, כל אחד יכול להציג קבצים בתיקיות משותפות אלה. עם זאת, מצב זה אינו סביר עבור התקנות עדכניות של Windows Server 2003 מכיוון ששיתוף ברירת המחדל והרשאות NTFS ב- Windows Server 2003 אינם כוללים את הקבוצה כולם. עבור מערכות משודרגות מ- Microsoft Windows NT 4.0 או Windows 2000, פגיעות זו עשויה להיות בעלת רמת סיכון גבוהה יותר מכיוון שהשיתוף המהווה ברירת מחדל והרשאות מערכת הקבצים עבור מערכות הפעלה אלה אינן מגבילות כמו הרשאות ברירת המחדל ב- Windows Server 2003.

      • אין סיבה חוקית להסרת קבוצה של בקרי תחום ארגוני זכות משתמש זה.

      • הקבוצה כולם מוסרת בדרך כלל לטובת הקבוצה משתמשים מאומתים. אם הקבוצה כולם מוסרת, יש להעניק לקבוצה משתמשים מאומתים זכות משתמש זו.

      • תחומי Windows NT 4.0 לשדרג ל- Windows 2000 אינם מעניקים במפורש גישה למחשב זה ממשתמש רשת לקבוצה כולם, לקבוצה משתמשים מאומתים או לקבוצה בקרי תחום ארגוני. לכן, בעת הסרת הקבוצה Everyone ממדיניות התחום של Windows NT 4.0, שכפול Active Directory ייכשל עם הודעת השגיאה "הגישה נדחתה" לאחר שדרוג ל- Windows 2000. Winnt32.exe ב- Windows Server 2003 להימנע מתצורה שגויה זו על-ידי הענקת הקבוצה בקרי תחום ארגוניים למשתמש זה זכות בעת שדרוג בקרי תחום ראשיים (PDC) של Windows NT 4.0. הענק למשתמש זה זכות לקבוצת בקרי התחום הארגוניים אם היא אינה נמצאת בעורך האובייקטים מדיניות קבוצתית הארגון.

   5. דוגמאות לבעיות תאימות

      • Windows 2000 ו- Windows Server 2003: שכפול המחיצות הבאות ייכשל עם שגיאות "הגישה נדחתה" כפי שדווח על-ידי כלי ניטור כגון REPLMON ו- REPADMIN או אירועי שכפול ביומן האירועים.

        • מחיצת סכימת Active Directory

        • מחיצת תצורה

        • מחיצת תחום

        • מחיצת קטלוג כללי

        • מחיצת יישום

      • כל מערכות ההפעלה של רשת Microsoft: אימות חשבון משתמש ממחשבי לקוח של רשת מרוחקת ייכשל, אלא אם המשתמש או קבוצת אבטחה שהמשתמש חבר בהם הוענקה להם זכות משתמש זו.

      • כל מערכות ההפעלה של רשת Microsoft: אימות חשבון מרשתות מרוחקות ייכשל, אלא אם החשבון או קבוצת אבטחה שהחשבון הוא חבר בה הוענקה זכות משתמש זו. תרחיש זה חל על חשבונות משתמשים, על חשבונות מחשב ועל חשבונות שירות.

      • כל מערכות ההפעלה של רשת Microsoft: הסרת כל החשבונות הזכות ממשתמש זה תמנע מכל חשבון להיכנס לתחום או לגשת למשאבי רשת. אם יוסרו קבוצות מחושבות כגון בקרי תחום ארגוני, כולם או משתמשים מאומתים, עליך להעניק למשתמש זה באופן מפורש זכות בחשבונות או לקבוצות אבטחה שהחשבון חבר שבהם כדי לגשת למחשבים מרוחקים דרך הרשת. תרחיש זה חל על כל חשבונות המשתמשים, על כל חשבונות המחשב ועל כל חשבונות השירות.

      • כל מערכות ההפעלה של רשת Microsoft: חשבון מנהל המערכת המקומי משתמש בסיסמה "ריקה". קישוריות רשת עם סיסמאות ריקות אינה מותרת עבור חשבונות מנהל מערכת בסביבה של תחום. בתצורה זו, תוכל לצפות לקבל הודעת שגיאה "הגישה נדחתה".

2. אפשר כניסה באופן מקומי

   1. רקע
      
      משתמשים שמנסים להיכנס לקונסולה של מחשב מבוסס Windows (באמצעות קיצור המקשים CTRL+ALT+DELETE) וחשבונות המנסים להפעיל שירות חייבים לכלול הרשאות כניסה מקומית במחשב המארח. דוגמאות לפעולות כניסה מקומיות כוללות מנהלי מערכת שנכנסים לקונסולות של מחשבים חברים, או בקרי תחום ברחבי הארגון ומשתמשי התחום שנכנסים למחשבים חברים כדי לגשת לשולחנות העבודה שלהם באמצעות חשבונות שאינם מורשים. משתמשים המשתמשים בחיבור לשולחן עבודה מרוחק או ב'שירותי מסוף' חייבים לכלול את הזכות אפשר כניסה למשתמש באופן מקומי במחשבי יעד שבהם פועל Windows 2000 או Windows XP מכיוון שמצבי כניסה אלה נחשבים ליינם מקומיים למחשב המארח. משתמשים שנכנסים לשרת שבו Terminal Server זמין ושאינן ברשותם זכות משתמש זו עדיין יכולים להפעיל הפעלה אינטראקטיבית מרוחקת בתחום של Windows Server 2003 אם יש להם את זכות המשתמש אפשר כניסה דרך שירותי מסוף.

   2. תצורות מ מסוכן
      
      להלן הגדרות תצורה מזיקות:

      • הסרת קבוצות אבטחה ניהוליות, כולל מפעילי חשבון, מפעילי גיבוי, מפעילי הדפסה או מפעילי שרת, ואת הקבוצה המוכללת Administrators ממדיניות ברירת המחדל של בקר התחום.

      • הסרת חשבונות שירות הנמצאים בשימוש על-ידי רכיבים ועל-ידי תוכניות במחשבים חברים ובבקרי תחום בתחום ממדיניות ברירת המחדל של בקר התחום.

      • הסרת משתמשים או קבוצות אבטחה הנכנסים למסוף של מחשבים חברים בתחום.

      • הסרת חשבונות שירות המוגדרים במסד הנתונים המקומי של מנהל חשבונות האבטחה (SAM) של מחשבים חברים או של מחשבים בקבוצת עבודה.

      • הסרת חשבונות ניהול לא מוכללים המ מאמתים באמצעות שירותי מסוף הפועלים בבקר תחום.

      • הוספת כל חשבונות המשתמשים בתחום באופן מפורש או משתמע באמצעות הקבוצה Everyone אל זכות הכניסה המקומית מנע כניסה מקומית. תצורה זו תמנע ממשתמשים להיכנס לכל מחשב חבר או לבקר תחום בתחום.

   3. סיבות להעניק למשתמש זה זכות

      • למשתמשים דרושה זכות המשתמש אפשר כניסה באופן מקומי כדי לגשת לקונסולה או לשולחן העבודה של מחשב קבוצת עבודה, מחשב חבר או בקר תחום.

      • למשתמשים חייבת להיות זכות משתמש זו להיכנס באמצעות הפעלה של שירותי מסוף הפועלת במחשב או בבקר תחום המבוססים על Windows 2000.

   4. סיבות להסרת זכות משתמש זו

      • כשל בהגבלת הגישה של המסוף לחשבון משתמש חוקי עלול לגרום לכך שמשתמשים לא מורשים מורידים ומשתמשים קוד זדוני כדי לשנות את זכויות המשתמש שלהם.

      • הסרת זכות המשתמש אפשר כניסה באופן מקומי מונעת כניסה לא מורשית בקונסולות המחשבים, כגון בקרי תחום או שרתי יישומים.

      • הסרת זכות כניסה זו מונעת כניסה של חשבונות שאינם של תחומים במסוף של מחשבים חברים בתחום.

   5. דוגמאות לבעיות תאימות

      • שרתי מסוף של Windows 2000: כדי שמשתמשים יוכלו להיכנס לשרתי מסוף של Windows 2000, נדרשת הזכות לאפשר כניסה באופן מקומי.

      • Windows NT 4.0, Windows 2000, Windows XP או Windows Server 2003: יש להעניק למשתמש זה זכות להיכנס לקונסולת המחשבים שבהם פועל Windows NT 4.0, Windows 2000, Windows XP או Windows Server 2003.

      • Windows NT 4.0 ואילך: במחשבים שבהם פועל Windows NT 4.0 ואילך, אם תוסיף את הזכות אפשר כניסה למשתמש באופן מקומי, אך אתה מעניק גם במפורש או משתמע גם את זכות הכניסה המקומית מנע כניסה מקומית, החשבונות לא יוכלו להיכנס לקונסולה של בקרי התחום.

3. עקוף בדיקת עקיפה

   1. רקע
      
      זכות המשתמש לעקיפת בדיקה עקיפה מאפשרת למשתמש לדפדף בין תיקיות במערכת הקבצים NTFS או ברישום מבלי לבדוק את הרשאת הגישה המיוחדת 'מעבר תיקיה'. זכות המשתמש לעקיפת בדיקת עקיפה אינה מאפשרת למשתמש להוסיף את תוכן התיקיה לרשימה. הוא מאפשר למשתמש להעביר רק את התיקיות שלו.

   2. תצורות מ מסוכן
      
      להלן הגדרות תצורה מזיקות:

      • הסרת חשבונות שאינם מנהליים הנכנסים למחשבי שירותי מסוף מבוססי Windows 2000 או למחשבים מבוססי Windows Server 2003 Terminal Services שאין להם הרשאות גישה לקבצים ולתיקיות במערכת הקבצים.

      • הסרת הקבוצה 'כולם' מרשימת מנהלים של אבטחה שיש להם זכות משתמש זה כברירת מחדל. מערכות הפעלה של Windows, וגם תוכניות רבות, מיועדות מתוך מצפים שכל מי שיכול לגשת למחשב באופן חוקי יוכל לקבל את זכות המשתמש לעקיפת בדיקת עקיפה. לכן, הסרת הקבוצה כולם מרשימת מנהלים של אבטחה שיש להם זכות משתמש זה כברירת מחדל עלולה להוביל לאי-יציבות של מערכת ההפעלה או לכשל בתוכנית. עדיף להשאיר הגדרה זו כברירת מחדל.

   3. סיבות להעניק למשתמש זה זכות
      
      הגדרת ברירת המחדל עבור זכות המשתמש לעקיפת בדיקת עקיפה היא לאפשר לכל אחד לעקוף בדיקת עקיפה. עבור מנהלי מערכת מנוסים של Windows, זהו אופן הפעולה הצפוי, והם קובעים את תצורתן של רשימות בקרת גישה למערכת הקבצים (SACLs) בהתאם. התרחיש היחיד שבו תצורת ברירת המחדל עשויה להוביל לתצורת mishap הוא אם מנהל המערכת שקבע את תצורת ההרשאות אינו מבין את אופן הפעולה ומצפה שמשתמשים שאינם יכולים לגשת אל תיקיית אב לא יוכלו לגשת לתוכן של תיקיות צאצא כלשהן.

   4. סיבות להסרת זכות משתמש זו
      
      כדי לנסות למנוע גישה לקבצים או לתיקיות במערכת הקבצים, ייתכן שארגונים שמודאגים מאוד מאבטחה יתפתו להסיר את הקבוצה 'כולם', או אפילו את הקבוצה 'משתמשים', מרשימת הקבוצות הכוללות את הזכות לעקוף את בדיקת המשתמש.

   5. דוגמאות לבעיות תאימות

      • Windows 2000, Windows Server 2003: אם זכות המשתמש לעקיפת בדיקת מעבר מוסרת או שתצורתה שגויה במחשבים שבהם פועל Windows 2000 או Windows Server 2003, הגדרות מדיניות קבוצתית בתיקיה SYVOL לא ישכפלו בין בקרי התחום בתחום.

      • Windows 2000, Windows XP Professional, Windows Server 2003: מחשבים שבהם פועל Windows 2000, Windows XP Professional או Windows Server 2003 ירשום אירועים 1000 ו- 1202 ולא יוכלו להחיל מדיניות מחשב ומדיניות משתמש בעת הסרת ההרשאות הנדרשות של מערכת הקבצים מהעץ SYSVOL אם זכות המשתמש העוקפת בודקת מוסרת או מוגדרת באופן שגוי.
        
         

      • Windows 2000, Windows Server 2003: במחשבים שבהם פועל Windows 2000 או Windows Server 2003, הכרטיסיה מיכסה בסייר Windows תיעלם בעת הצגת מאפיינים אמצעי אחסון.

      • Windows 2000: משתמשים שאינם מנהלי מערכת שהכניסה לשרת מסוף של Windows 2000 עשויים לקבל את הודעת השגיאה הבאה:

        Userinit.exe יישום. אתחול היישום נכשל 0xc0000142 על אישור כדי לסיים את היישום.

      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: ייתכן שמשתמשים שהמחשבים שלהם פועלים עם Windows NT 4.0, Windows 2000, Windows XP או Windows Server 2003 לא יוכלו לגשת לתיקיות משותפות או לקבצים בתיקיות משותפות, והם עשויים לקבל הודעות שגיאה "הגישה נדחתה" אם לא הוענקו להם זכות המשתמש לעקיפת בדיקת מצב חוצה.
        
        
         

      • Windows NT 4.0: במחשבים מבוססי Windows NT 4.0, הסרת זכות המשתמש של בדיקת עקיפה תגרום להעתקת קובץ לשחרר זרימות קבצים. אם תסיר זכות משתמש זו, בעת העתקת קובץ מלקוח Windows או מלקוח Macintosh לבקר תחום של Windows NT 4.0 שבו פועל Services for Macintosh, זרם קובץ היעד יאבד והקובץ יופיע כקובץ טקסט בלבד.

      • Microsoft Windows 95, Microsoft Windows 98: במחשב לקוח שבו פועל Windows 95 או Windows 98, הפקודה net use * /home תיכשל עם הודעת השגיאה "הגישה נדחתה" אם לקבוצה משתמשים מאומתים לא הוענקה זכות המשתמש לעקיפת בדיקת מעבר.

      • Outlook Web Access: משתמשים שאינם מנהלי מערכת לא יוכלו להיכנס ל- Microsoft Outlook Web Access, והם יקבלו הודעת שגיאה "הגישה נדחתה" אם לא תוענק להם זכות המשתמש לעקיפת בדיקת מצב עקיפה.

הגדרות אבטחה

הרשימה הבאה מזהה הגדרת אבטחה, והרשימה המקוננת מספקת תיאור של הגדרת האבטחה, מזהה הגדרות תצורה שעשויות לגרום לבעיות, מתארת מדוע עליך להחיל את הגדרת האבטחה ולאחר מכן מתארת סיבות אפשריות להסרת הגדרת האבטחה. לאחר מכן, הרשימה המקוננת מספקת שם סמלי להגדרת האבטחה ולנתיב הרישום של הגדרת האבטחה. לבסוף, דוגמאות לבעיות תאימות שעשויות להתרחש כאשר הגדרת האבטחה מוגדרת.

1. ביקורת: כבה את המערכת באופן מיידי אם אין אפשרות לבצע רישום של ביקורות אבטחה

   1. רקע

      • הביקורת: כבה את המערכת באופן מיידי אם אין אפשרות לרשום ביקורת אבטחה קובעת אם המערכת תכבה אם אין באפשרותך לרשום אירועי אבטחה. הגדרה זו נדרשת עבור הערכת C2 של תוכנית Trusted Computer Security Evaluation Criteria (TCSEC) ולצורך הערכת הקריטריונים הנפוצים להערכת אבטחה של טכנולוגיית מידע כדי למנוע אירועים הניתנים לביקורת אם מערכת הביקורת אינה יכולה לרשום אירועים אלה. אם מערכת הביקורת נכשלת, המערכת מכבה ומופיעה הודעת שגיאת עצירה.

      • אם למחשב אין אפשרות להקליט אירועים ביומן האבטחה, ייתכן שראיות קריטיות או מידע חשוב לפתרון בעיות לא יהיו זמינים לסקירה לאחר מקרה אבטחה.

   2. תצורה מ מסוכן
      
      להלן הגדרת תצורה מזיקה: הביקורת: כבה את המערכת באופן מיידי אם אין אפשרות לרשום ביקורות אבטחה מופעלת, והגודל של יומן אירועי האבטחה מוגבל על-ידי האפשרות אל תחליף אירועים (נקה יומן ידנית), האפשרות החלף אירועים לפי הצורך או האפשרות החלף אירועים שגילם עולה על מספר ימים ב- מציג האירועים. עיין בסעיף "דוגמאות לבעיות תאימות" לקבלת מידע אודות סיכונים ספציפיים עבור מחשבים שבהם פועלת הגירסה המקורית של Windows 2000, Windows 2000 Service Pack 1 (SP1), Windows 2000 SP2 או Windows 2000 SP3.

   3. סיבות להפוך הגדרה זו לזמינה
      
      אם למחשב אין אפשרות להקליט אירועים ביומן האבטחה, ייתכן שראיות קריטיות או מידע חשוב לפתרון בעיות לא יהיו זמינים לסקירה לאחר מקרה אבטחה.

   4. סיבות להפוך הגדרה זו ללא זמינה

      • הפיכת הביקורת לזמינה: כבה את המערכת באופן מיידי אם אין אפשרות לרשום ביומן ביקורת אבטחה ההגדרה מפסיקה את המערכת אם אין אפשרות לרשום ביקורת אבטחה מסיבה כלשהי. בדרך כלל, לא ניתן לרשום אירוע כאשר יומן ביקורת האבטחה מלא ומתי שיטת השמירה שצוינה היא האפשרות אל תחליף אירועים (נקה יומן באופן ידני) או האפשרות החלף אירועים שגילם עולה על מספר ימים.

      • הנטל הניהולי של הפיכת הביקורת לזמינה: כבה את המערכת באופן מיידי אם לא ניתן לרשום את ההגדרה של ביקורות אבטחה עשוי להיות גבוה מאוד, במיוחד אם תפעיל גם את האפשרות אל תחליף אירועים (נקה יומן רישום באופן ידני) עבור יומן האבטחה. הגדרה זו מספקת אחריות אישית של פעולות האופרטור. לדוגמה, מנהל מערכת יכול לאפס הרשאות בכל המשתמשים, המחשבים והקבוצות ביחידה ארגונית (OU) שבה הביקורת הופעלה באמצעות חשבון מנהל המערכת המוכלל או חשבון משותף אחר ולאחר מכן לדחות את איפוס ההרשאות מסוג זה. עם זאת, הפיכת ההגדרה לזמינה מפחיתה את החזקות של המערכת מכיוון שניתן לאלץ את השרת לכבות על-ידי התסכול באירועי כניסה ובאירועי אבטחה אחרים שנכתבו ליומן האבטחה. בנוסף, מאחר שהכיבוי אינו מבוקר, נזק בלתי הפיך למערכת ההפעלה, לתוכניות או לנתונים עלול לגרום לכך. בעוד ש- NTFS מבטיח כי תקינות מערכת הקבצים נשמרת במהלך כיבוי מערכת לא מבוקר, אין אפשרות להבטיח שכל קובץ נתונים עבור כל תוכנית עדיין יהיה במצב שמיש כאשר המערכת מופעלת מחדש.

   5. שם סמלי:
      
      התרסקותOnAuditFail

   6. נתיב רישום:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

   7. דוגמאות לבעיות תאימות

      • Windows 2000: עקב באג, מחשבים שבהם פועלת הגירסה המקורית שהופצה של Windows 2000, Windows 2000 SP1, Windows 2000 SP2 או Windows Server SP3 עשויים להפסיק את הרישום של אירועים לפני הגודל שצוין באפשרות גודל יומן רישום מרבי עבור יומן אירועי האבטחה. באג זה תוקן ב- Windows 2000 Service Pack 4 (SP4). ודא שבקרי התחום של Windows 2000 מותקנים Windows 2000 Service Pack 4 לפני שתשקול להפוך הגדרה זו לזמינה.
        
         

      • Windows 2000, Windows Server 2003: מחשבים שבהם פועל Windows 2000 או Windows Server 2003 עשויים להפסיק להגיב ולאחר מכן להפעיל מחדש באופן ספונטני אם הביקורת: כבה את המערכת באופן מיידי אם אין אפשרות לבצע רישום של ביקורת אבטחה מופעלת, יומן האבטחה מלא ולא ניתן להחליף ערך יומן אירועים קיים. כאשר המחשב מופעל מחדש, מופיעה הודעת שגיאת ההפסקה הבאה:

        STOP: C0000244 {Audit Failed}
        ניסיון ליצור ביקורת אבטחה נכשל.

        כדי לשחזר, מנהל מערכת חייב להיכנס, לאחסן בארכיון את יומן האבטחה (אופציונלי), לנקות את יומן האבטחה ולאחר מכן לאפס אפשרות זו (אופציונלית, לפי הצורך).

      • לקוח הרשת של Microsoft עבור MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: משתמשים שאינם מנהלי מערכת שמנסים להיכנס לתחום יקבלו את הודעת השגיאה הבאה:

        החשבון שלך מוגדר למנוע ממך להשתמש במחשב זה. נסה מחשב אחר.

      • Windows 2000: במחשבים מבוססי Windows 2000, משתמשים שאינם מנהלי מערכת לא יוכלו להיכנס לשרתי גישה מרחוק, והם יקבלו הודעת שגיאה הדומה להודעה הבאה:

        משתמש לא ידוע או סיסמה שגויה

      • Windows 2000: בבקרי תחום של Windows 2000, שירות העברת ההודעות בין אתרים (Ismserv.exe) יפסיק ולא תהיה אפשרות להפעילו מחדש. DCDIAG ידווח על השגיאה כ- ISMserv של שירותי הבדיקה שנכשלו, ומזהה האירוע 1083 יירשם ביומן האירועים.

      • Windows 2000: בבקרי תחום של Windows 2000, שכפול Active Directory ייכשל, והודעת "הגישה נדחתה" תופיע אם יומן אירועי האבטחה מלא.

      • Microsoft Exchange 2000: לשרתים שבהם פועל Exchange 2000 לא תהיה אפשרות לטעון את מסד הנתונים של מאגר המידע, ואירוע 2102 יירשם ביומן האירועים.

      • Outlook, Outlook Web Access: משתמשים שאינם מנהלי מערכת לא יוכלו לגשת לדואר שלהם באמצעות Microsoft Outlook או באמצעות Microsoft Outlook Web Access, והם יקבלו שגיאת 503.

2. בקר תחום: דרישות חתימה של שרת LDAP

   1. רקע
      
      בקר התחום: הגדרת האבטחה דרישות חתימה של שרת LDAP קובעת אם שרת Lightweight Directory Access Protocol (LDAP) דורש לקוחות LDAP כדי לנהל משא ומתן על חתימת נתונים. הערכים האפשריים עבור הגדרת מדיניות זו הם כדלקמן:

      • ללא: אין צורך בחתימה על נתונים כדי לאגד עם השרת. אם הלקוח מבקש חתימת נתונים, השרת תומך בה.

      • דרוש חתימה: יש לנהל משא ומתן על אפשרות חתימת הנתונים של LDAP אלא אם נעשה שימוש ב- Transport Layer Security/Secure Socket Layer (TLS/SSL).

      • לא מוגדר: הגדרה זו אינה זמינה או אינה זמינה.

   2. תצורות מ מסוכן
      
      להלן הגדרות תצורה מזיקות:

      • הפיכת התכונה 'דרוש כניסה לסביבות שבהן לקוחות אינם תומכים בחתימה על LDAP' או כאשר חתימת LDAP בצד הלקוח אינה זמינה בלקוח

      • החלת תבנית האבטחה Windows 2000 או Windows Server 2003 Hisecdc.inf בסביבות שבהן הלקוחות אינם תומכים בחתימה של LDAP או כאשר חתימת LDAP בצד הלקוח אינה זמינה

      • החלת תבנית האבטחה Windows 2000 או Windows Server 2003 Hisecws.inf בסביבות שבהן הלקוחות אינם תומכים בחתימה של LDAP או כאשר חתימת LDAP בצד הלקוח אינה זמינה

   3. סיבות להפוך הגדרה זו לזמינה
      
      תעבורת רשת לא רשומה חשופה לתקיפות גבר באמצע שבהן פורץ לוכד מנות בין הלקוח לשרת, משנה את המנות ולאחר מכן מעביר אותן לשרת. כאשר אופן פעולה זה מתרחש בשרת LDAP, תוקף עלול לגרום לשרת לקבל החלטות המבוססות על שאילתות שקריות מלקוח LDAP. באפשרותך להוריד סיכון זה ברשת ארגונית על-ידי יישום אמצעי אבטחה פיזיים חזקים כדי לסייע בהגנה על תשתית הרשת. מצב כותרת עליונה של אימות פרוטוקול אינטרנט (IPSec) יכול לסייע במניעת תקיפות גבר באמצע. מצב כותרת אימות מבצע אימות הדדי ותקינות מנות עבור תעבורת IP.

   4. סיבות להפוך הגדרה זו ללא זמינה

      • לקוחות שאינם תומכים בחתימה על LDAP לא יוכלו לבצע שאילתות LDAP מול בקרי תחום ומ מול קטלוגים כלליים אם מתבצע משא ומתן על אימות NTLM ואם ערכות ה- Service Pack הנכונות אינן מותקנות בבקרי תחום של Windows 2000.

      • מעקבי רשת של תעבורת LDAP בין לקוחות לשרתים יוצפנו. הדבר מקשה על בחינת שיחות LDAP.

      • בשרתים מבוססי Windows 2000 חייבים להיות מותקנים Windows 2000 Service Pack 3 (SP3) או מותקנים כאשר הם מנוהלים עם תוכניות התומכות בחתימה של LDAP שמופעלות ממחשבי לקוח שבהם פועל Windows 2000 SP4, Windows XP או Windows Server 2003.  

   5. שם סמלי:
      
      LDAPServerIntegrity

   6. נתיב רישום:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

   7. דוגמאות לבעיות תאימות

      • איגודים פשוטים ייכשלו, ותקבל את הודעת השגיאה הבאה:

        Ldap_simple_bind_s() נכשל: נדרש אימות חזק.

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: עבור לקוחות שבהם פועל Windows 2000 SP4, Windows XP או Windows Server 2003, כלי ניהול מסוימים של Active Directory לא יפעלו כראוי מול בקרי תחום שבהם פועלות גירסאות של Windows 2000 שקדמו ל- SP3 בעת משא ומתן על אימות NTLM.
        
         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: עבור לקוחות שבהם פועל Windows 2000 SP4, Windows XP או Windows Server 2003, כלי ניהול מסוימים של Active Directory שממקדים בקרי תחום שבהם פועלות גירסאות של Windows 2000 שקדמו ל- SP3 לא יפעלו כראוי אם הם משתמשים בכתובות IP (לדוגמה, "dsa.msc /server=x.x.x.x" כאשר
        x.x.x.x.x הוא כתובת IP).
        
        
         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: ללקוחות שבהם פועל Windows 2000 SP4, Windows XP או Windows Server 2003, כלי ניהול מסוימים של Active Directory שממקדים בקרי תחום שבהם פועלות גירסאות של Windows 2000 שקדמו ל- SP3 לא יפעלו כראוי.
        
         

3. חבר בתחום: דרוש מפתח הפעלה חזק (Windows 2000 ואילך)

   1. רקע

      • חבר בתחום: דרוש הגדרת מפתח הפעלה חזק (Windows 2000 ואילך) קובעת אם ניתן ליצור ערוץ מאובטח באמצעות בקר תחום שאינו יכול להצפין תעבורת ערוץ מאובטחת באמצעות מפתח הפעלה חזק של 128 סיביות. הפיכת הגדרה זו לזמינה מונעת יצירת ערוץ מאובטח עם בקר תחום כלשהו שאינו יכול להצפין נתוני ערוץ מאובטחים באמצעות מפתח חזק. הפיכת הגדרה זו ללא זמינה מאפשרת מפתחות הפעלה של 64 סיביות.

      • כדי שתוכל להפוך הגדרה זו לזמינה בתחנת עבודה חברה או בשרת, כל בקרי התחום בתחום אליו שייך החבר חייבים להיות מסוגלים להצפין נתוני ערוץ מאובטחים באמצעות מפתח חזק של 128 סיביות. משמעות הדבר היא שכל בקרי התחום מסוג זה חייבים לפעול עם Windows 2000 ואילך.

   2. תצורה מ מסוכן
      
      הפעלת חבר בתחום: הגדרת מפתח ההפעלה דרוש חזק (Windows 2000 ואילך) היא הגדרת תצורה מזיקה.

   3. סיבות להפוך הגדרה זו לזמינה

      • מפתחות הפעלה המשמשים ליצירת תקשורת ערוץ מאובטחת בין מחשבים חברים ובקרי תחום חזקים הרבה יותר ב- Windows 2000 מאשר בגירסאות קודמות של מערכות ההפעלה של Microsoft.

      • כאשר הדבר אפשרי, מומלץ לנצל את מקשי ההפעלה החזקים יותר כדי לסייע בהגנה על תקשורת ערוץ מאובטחת מפני טפטפות ומתקיפות רשת חטיפת הפעלה. טפטפת היא צורה של תקיפה זדונית שבה נתוני הרשת נקראים או השתנה במהלך האספקה. ניתן לשנות את הנתונים כדי להסתיר או לשנות את השולח, או כדי לנתב אותם מחדש.

      חשוב מחשב שבו פועל Windows Server 2008 R2 או Windows 7 תומך במפתחות חזקים רק כאשר נעשה שימוש בערוצים מאובטחים. הגבלה זו מונעת אמון בין כל תחום מבוסס Windows NT 4.0 לבין כל תחום מבוסס Windows Server 2008 R2. בנוסף, הגבלה זו חוסמת את החברות בתחום מבוסס-Windows NT 4.0 במחשבים שבהם פועל Windows 7 או Windows Server 2008 R2, ולהיפך.

   4. סיבות להפוך הגדרה זו ללא זמינה
      
      התחום מכיל מחשבים חברים שבהם פועלות מערכות הפעלה שאינן Windows 2000, Windows XP או Windows Server 2003.

   5. שם סמלי:
      
      מפתח חזק

   6. נתיב רישום:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

   7. דוגמאות לבעיות תאימות
      
      Windows NT 4.0: במחשבים מבוססי Windows NT 4.0, איפוס ערוצים מאובטחים של יחסי אמון בין תחומי Windows NT 4.0 ו- Windows 2000 עם NLTEST נכשל. מופיעה הודעת שגיאה "הגישה נדחתה":

      יחסי האמון בין התחום הראשי לבין התחום המהימן נכשלו.
      
      Windows 7 ו- Server 2008 R2: עבור Windows 7 וגירסאות מתקדמות יותר וב- Windows Server 2008 R2 וגירסאות מתקדמות יותר, הגדרה זו אינה מכבדת עוד והמפתח החזק נמצא בשימוש תמיד. לכן, יחסי אמון עם תחומי Windows NT 4.0 אינם פועלים עוד.

4. חבר בתחום: הצפנה דיגיטלית או חתימה על נתוני ערוץ מאובטח (תמיד)

   1. רקע

      • הפעלת חבר בתחום: הצפן או חתום בחתימה דיגיטלית על נתוני ערוץ מאובטח (תמיד) מונע יצירת ערוץ מאובטח עם כל בקר תחום שאינו יכול לחתום או להצפין את כל נתוני הערוץ המאובטח. כדי לסייע בהגנה על תעבורת אימות מפני מתקפות של אדם באמצע, הפעלה חוזרת של תקיפות ותקיפות רשת מסוגים אחרים, מחשבים המבוססים על Windows יוצרים ערוץ תקשורת הידוע כערוץ מאובטח דרך שירות הכניסה לרשת כדי לאמת חשבונות מחשב. ערוצים מאובטחים משמשים גם כאשר משתמש בתחום אחד מתחבר למשאב רשת בתחום מרוחק. אימות רב-תחומים זה, או אימות מעבר, מאפשר למחשב מבוסס-Windows שהצטרף לתחום לקבל גישה למסד הנתונים של חשבון המשתמש בתחום שלו ובתחום מהימן.

      • כדי להפוך את ההגדרה חבר תחום לזמינה: הצפנה דיגיטלית או חתימה על נתוני ערוץ מאובטח (תמיד) במחשב חבר, כל בקרי התחום בתחום אליו חבר שייך חייבים להיות מסוגלים לחתום או להצפין את כל נתוני הערוץ המאובטח. משמעות הדבר היא שכל בקרי התחום מסוג זה חייבים לפעול עם Windows NT 4.0 עם Service Pack 6a (SP6a) ואילך.

      • הפיכת חבר התחום לזמין: הצפן או חתום בחתימה דיגיטלית על נתוני ערוץ מאובטח (תמיד) מפעילה באופן אוטומטי את ההגדרה חבר בתחום: הצפנה דיגיטלית או חתימה על נתוני ערוץ מאובטח (כאשר הדבר אפשרי).

   2. תצורה מ מסוכן
      
      הפיכת חבר התחום לזמינה: הצפן או חתום בחתימה דיגיטלית על נתוני ערוץ מאובטח (תמיד) בתחום, כאשר לא כל בקרי התחום יכולים לחתום או להצפין נתוני ערוץ מאובטח היא הגדרת תצורה מזיקה.

   3. סיבות להפוך הגדרה זו לזמינה
      
      תעבורת רשת לא רשומה חשופה לתקיפות גבר באמצע, שבהן פורץ לוכד מנות בין השרת ללקוח ולאחר מכן משנה אותן לפני העברתן ללקוח. כאשר אופן פעולה זה מתרחש בשרת Lightweight Directory Access Protocol (LDAP), הפורץ עלול לגרום ללקוח לקבל החלטות המבוססות על רשומות False ממדריך הכתובות של LDAP. באפשרותך להוריד את הסיכון למתקפה כזו על רשת ארגונית על-ידי יישום אמצעי אבטחה פיזיים חזקים כדי לסייע בהגנה על תשתית הרשת. בנוסף, יישום מצב כותרת של אימות פרוטוקול אינטרנט (IPSec) יכול לסייע במניעת תקיפות של אדם באמצע. מצב זה מבצע אימות הדדי ותקינות מנות עבור תעבורת IP.

   4. סיבות להפוך הגדרה זו ללא זמינה

      • מחשבים בתחום מקומי או חיצוני תומכים בערוצים מאובטחים מוצפנים.

      • לא כל בקרי התחום בתחום כוללים את רמות התיקון המתאימות של ערכות Service Pack כדי לתמוך בערוצים מאובטחים מוצפנים.

   5. שם סמלי:
      
      מפתח חזק

   6. נתיב רישום:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

   7. דוגמאות לבעיות תאימות

      • Windows NT 4.0: מחשבים חברים המבוססים על Windows 2000 לא יוכלו להצטרף לתחום של Windows NT 4.0 ויתקבלו הודעת השגיאה הבאה:

        החשבון אינו מורשה להיכנס מתחנה זו.

        לקבלת מידע נוסף, לחץ על מספר המאמר הבא כדי להציג את המאמר מתוך מאגר הידע Microsoft Knowledge Base:

        281648 הודעת שגיאה: החשבון אינו מורשה להיכנס מתחנה זו
         

      • Windows NT 4.0: לתחום של Windows NT 4.0 לא תהיה אפשרות ליצור אמון ברמה למטה עם תחום של Windows 2000 ותקבל את הודעת השגיאה הבאה:

        החשבון אינו מורשה להיכנס מתחנה זו.

        ייתכן גם ש יחסי אמון קיימים ברמת הלמטה לא יאמתו משתמשים מהתחום המהימן. ייתכן שמשתמשים מסוימים נתקלים בבעיות כניסה לתחום, והם עשויים לקבל הודעת שגיאה המציינת שללקוח אין אפשרות למצוא את התחום.

      • Windows XP: לקוחות Windows XP המצורפים לתחום של Windows NT 4.0 לא יוכלו לאמת נסיונות כניסה ועשויים לקבל את הודעת השגיאה הבאה, או שהאירועים הבאים עשויים להיות רשומים ביומן האירועים:

        ל- Windows אין אפשרות להתחבר לתחום מאחר שבקר התחום אינו זמין או שאינו זמין בדרך אחרת או מכיוון שחשבון המחשב שלך לא נמצא

      • Microsoft Network: לקוחות הרשת של Microsoft יקבלו אחת מהודעות השגיאה הבאות:

        כשל בכניסה: שם משתמש לא ידוע או סיסמה שגויה.

        אין מפתח הפעלת משתמש עבור הפעלת הכניסה שצוינה.

5. לקוח רשת של Microsoft: הוספת חתימה דיגיטלית לתקשורת (תמיד)

   1. רקע
      
      בלוק הודעת שרת (SMB) הוא פרוטוקול שיתוף המשאבים הנתמך על-ידי מערכות הפעלה רבות של Microsoft. זהו הבסיס למערכת קלט/פלט בסיסית של הרשת (NetBIOS) ולפרוטוקולים רבים אחרים. חתימת SMB מאמתת הן את המשתמש והן את השרת המארח את הנתונים. אם אחד הצדדים נכשל בתהליך האימות, שידור נתונים לא יתרחש.
      
      הפעלת חתימת SMB מתחילה במהלך משא ומתן על פרוטוקול SMB. פריטי המדיניות של חתימת SMB קובעים אם המחשב תמיד חותם בחתימה דיגיטלית על תקשורת לקוח.
      
      פרוטוקול האימות של Windows 2000 SMB תומך באימות הדדי. אימות הדדי סוגר מתקפת "איש באמצע". פרוטוקול האימות של Windows 2000 SMB תומך גם באימות הודעות. אימות הודעות מסייע במניעת תקיפות של הודעות פעילות. כדי להעניק לך אימות זה, חתימת SMB מציבה חתימה דיגיטלית בכל SMB. כל לקוח והשרת מאמתים את החתימה הדיגיטלית.
      
      כדי להשתמש בחתימה על SMB, עליך להפוך חתימת SMB לזמינה או לדרוש חתימת SMB הן בלקוח SMB והן בשרת SMB. אם חתימת SMB זמינה בשרת, לקוחות הזמינים גם עבור חתימת SMB משתמשים בפרוטוקול חתימת המנות במהלך כל ההפעלות הבאות. אם נדרשת חתימת SMB בשרת, ללקוח אין אפשרות ליצור הפעלה אלא אם הלקוח זמין או נדרש עבור חתימת SMB.
      
      
      הפיכת חתימה דיגיטלית לזמינים ברשתות עם אבטחה גבוהה מסייעת במניעת התחזות ללקוחות ולשרתים. התחזות מסוג זה נקראת חטיפת הפעלה. תוקף בעל גישה לאותה רשת של הלקוח או השרת משתמש בכלי חטיפת הפעלה כדי להפריע להפעלה, לסיים או לגנוב הפעלה המתבצעת. תוקף עלול ליירט ולשנות מנות SMB לא מסומנות, לשנות את התעבורה ולאחר מכן להעביר אותה כך שהשרת עשוי לבצע פעולות לא רצויות. לחלופין, התוקף יכול להוות את השרת או כללקוח לאחר אימות חוקי ולאחר מכן לקבל גישה לא מורשית לנתונים.
      
      פרוטוקול SMB המשמש לשיתוף קבצים ולשיתוף הדפסה במחשבים שבהם פועל Windows 2000 Server, Windows 2000 Professional, Windows XP Professional או Windows Server 2003 תומך באימות הדדי. אימות הדדי סוגר תקיפות חטיפת הפעלה ותומך באימות הודעות. לכן, הוא מונע מתקפות של אדם באמצע. חתימת SMB מספקת אימות זה על-ידי הצבת חתימה דיגיטלית בכל SMB. לאחר מכן, הלקוח והשרת מאמתים את החתימה.
      
      הערות

      • כ אמצעי נגד חלופי, באפשרותך להפוך חתימות דיגיטליות לזמינות באמצעות IPSec כדי לסייע בהגנה על כל תעבורת הרשת. קיימים מאיצים מבוססי חומרה עבור הצפנת IPSec וחתימה שניתן להשתמש בהם כדי למזער את השפעת הביצועים מה- CPU של השרת. אין מאיצים כאלה הזמינים עבור חתימת SMB.
        
        לקבלת מידע נוסף, עיין בפרק הוספת חתימה דיגיטלית לתקשורת שרת באתר האינטרנט של Microsoft MSDN.
        
        קבע את התצורה של חתימת SMB מדיניות קבוצתית עורך האובייקטים שלך מאחר שלשינוי בערך רישום מקומי אין כל השפעה אם קיימת מדיניות עקיפה של תחום.

      • ב- Windows 95, Windows 98 ו- Windows 98 Second Edition, לקוח שירותי מדריך הכתובות משתמש בחתימה של SMB בעת אימות מול שרתי Windows Server 2003 באמצעות אימות NTLM. עם זאת, לקוחות אלה אינם משתמשים בחתימה SMB כאשר הם מאומתים עם שרתים אלה באמצעות אימות NTLMv2. בנוסף, שרתי Windows 2000 אינם מגיבים לבקשות חתימת SMB מהלקוחות האלה. לקבלת מידע נוסף, ראה פריט 10: "אבטחת רשת: רמת אימות של Lan Manager".

   2. תצורה מ מסוכן
      
      להלן הגדרת תצורה מזיקה: השארת לקוח הרשת של Microsoft: הוסף חתימה דיגיטלית להגדרת תקשורת (תמיד) וללקוח הרשת של Microsoft: הוסף חתימה דיגיטלית לתקשורת (אם השרת מסכים) המוגדרת כ"לא מוגדר" או כלא זמינה. הגדרות אלה מאפשרות למנתב לשלוח סיסמאות טקסט רגיל לשרתי SMB שאינם של Microsoft שאינם תומכים בהצפנת סיסמה במהלך אימות.

   3. סיבות להפוך הגדרה זו לזמינה
      
      הפעלת לקוח רשת של Microsoft: הוספת חתימה דיגיטלית לתקשורת (תמיד) דורשת מהלקוחות לחתום על תעבורת SMB בעת יצירת קשר עם שרתים שאינם דורשים חתימת SMB. פעולה זו הופכת את הלקוחות לפגיעים פחות לתקיפות חטיפת מפגשים.

   4. סיבות להפוך הגדרה זו ללא זמינה

      • הפעלת לקוח רשת של Microsoft: הוספת חתימה דיגיטלית לתקשורת (תמיד) מונעת מהלקוחות לקיים תקשורת עם שרתי יעד שאינם תומכים בחתימה על SMB.

      • קביעת התצורה של מחשבים כך שלא תתעלם מכל תקשורת SMB לא חותמת מונעת מתוכניות ומערכות הפעלה קודמות להתחבר.

   5. שם סמלי:
      
      RequireSMBSignRdr

   6. נתיב רישום:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

   7. דוגמאות לבעיות תאימות

      • Windows NT 4.0: לא תוכל לאפס את הערוץ המאובטח של אמון בין תחום של Windows Server 2003 לבין תחום של Windows NT 4.0 באמצעות NLTEST או NETDOM, ותקבל הודעת שגיאה "הגישה נדחתה".

      • Windows XP: העתקת קבצים מהלקוחות של Windows XP לשרתים מבוססי Windows 2000 ולשרתים מבוססי Windows Server 2003 עשויה להימשך זמן רב יותר.

      • לא תוכל למפות כונן רשת מלקוח עם הגדרה זו זמינה, ותקבל את הודעת השגיאה הבאה:

        החשבון אינו מורשה להיכנס מתחנה זו.

   8. דרישות הפעלה מחדש
      
      הפעל מחדש את המחשב או הפעל מחדש את שירות תחנת העבודה. לשם כך, הקלד את הפקודות הבאות בשורת פקודה. הקש Enter לאחר הקלדת כל פקודה.

      תחנת עבודה של net stop
      תחנת עבודה של net start

6. שרת הרשת של Microsoft: הוספת חתימה דיגיטלית לתקשורת (תמיד)

   1. רקע

      • Server Messenger Block (SMB) הוא פרוטוקול שיתוף המשאבים הנתמך על-ידי מערכות הפעלה רבות של Microsoft. זהו הבסיס למערכת קלט/פלט בסיסית של הרשת (NetBIOS) ולפרוטוקולים רבים אחרים. חתימת SMB מאמתת הן את המשתמש והן את השרת המארח את הנתונים. אם אחד הצדדים נכשל בתהליך האימות, שידור נתונים לא יתרחש.
        
        הפעלת חתימת SMB מתחילה במהלך משא ומתן על פרוטוקול SMB. פריטי המדיניות של חתימת SMB קובעים אם המחשב תמיד חותם בחתימה דיגיטלית על תקשורת לקוח.
        
        פרוטוקול האימות של Windows 2000 SMB תומך באימות הדדי. אימות הדדי סוגר מתקפת "איש באמצע". פרוטוקול האימות של Windows 2000 SMB תומך גם באימות הודעות. אימות הודעות מסייע במניעת תקיפות של הודעות פעילות. כדי להעניק לך אימות זה, חתימת SMB מציבה חתימה דיגיטלית בכל SMB. כל לקוח והשרת מאמתים את החתימה הדיגיטלית.
        
        כדי להשתמש בחתימה על SMB, עליך להפוך חתימת SMB לזמינה או לדרוש חתימת SMB הן בלקוח SMB והן בשרת SMB. אם חתימת SMB זמינה בשרת, לקוחות הזמינים גם עבור חתימת SMB משתמשים בפרוטוקול חתימת המנות במהלך כל ההפעלות הבאות. אם נדרשת חתימת SMB בשרת, ללקוח אין אפשרות ליצור הפעלה אלא אם הלקוח זמין או נדרש עבור חתימת SMB.
        
        
        הפיכת חתימה דיגיטלית לזמינים ברשתות עם אבטחה גבוהה מסייעת במניעת התחזות ללקוחות ולשרתים. התחזות מסוג זה נקראת חטיפת הפעלה. תוקף בעל גישה לאותה רשת של הלקוח או השרת משתמש בכלי חטיפת הפעלה כדי להפריע להפעלה, לסיים או לגנוב הפעלה המתבצעת. תוקף עלול ליירט ולשנות מנות של מנהל רוחב הפס של רשת המשנה (SBM), לשנות את התעבורה ולאחר מכן להעביר אותה כך שהשרת עשוי לבצע פעולות לא רצויות. לחלופין, התוקף יכול להוות את השרת או כללקוח לאחר אימות חוקי ולאחר מכן לקבל גישה לא מורשית לנתונים.
        
        פרוטוקול SMB המשמש לשיתוף קבצים ולשיתוף הדפסה במחשבים שבהם פועל Windows 2000 Server, Windows 2000 Professional, Windows XP Professional או Windows Server 2003 תומך באימות הדדי. אימות הדדי סוגר תקיפות חטיפת הפעלה ותומך באימות הודעות. לכן, הוא מונע מתקפות של אדם באמצע. חתימת SMB מספקת אימות זה על-ידי הצבת חתימה דיגיטלית בכל SMB. לאחר מכן, הלקוח והשרת מאמתים את החתימה.

      • כ אמצעי נגד חלופי, באפשרותך להפוך חתימות דיגיטליות לזמינות באמצעות IPSec כדי לסייע בהגנה על כל תעבורת הרשת. קיימים מאיצים מבוססי חומרה עבור הצפנת IPSec וחתימה שניתן להשתמש בהם כדי למזער את השפעת הביצועים מה- CPU של השרת. אין מאיצים כאלה הזמינים עבור חתימת SMB.

      • ב- Windows 95, Windows 98 ו- Windows 98 Second Edition, לקוח שירותי מדריך הכתובות משתמש בחתימה של SMB בעת אימות מול שרתי Windows Server 2003 באמצעות אימות NTLM. עם זאת, לקוחות אלה אינם משתמשים בחתימה SMB כאשר הם מאומתים עם שרתים אלה באמצעות אימות NTLMv2. בנוסף, שרתי Windows 2000 אינם מגיבים לבקשות חתימת SMB מהלקוחות האלה. לקבלת מידע נוסף, ראה פריט 10: "אבטחת רשת: רמת אימות של Lan Manager".

   2. תצורה מ מסוכן
      
      להלן הגדרת תצורה מזיקה: הפיכת שרת הרשת של Microsoft לזמינה: הוסף חתימה דיגיטלית להגדרת תקשורת (תמיד) בשרתים ובבקרי תחום שאליהם ניגשים מחשבים מבוססי Windows ומחשבים מבוססי מערכת הפעלה חיצוניים שאינם תואמים בתחום המקומי או החיצוני.

   3. סיבות להפוך הגדרה זו לזמינה

      • כל מחשבי הלקוח המאפשרים הגדרה זו ישירות דרך הרישום או באמצעות הגדרת מדיניות קבוצתית תומכת בחתימה על SMB. במילים אחרות, כל מחשבי הלקוח שהגדרה זו זמינה בהם פועלים ב- Windows 95 כאשר לקוח DS מותקן, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional או Windows Server 2003.

      • אם שרת הרשת של Microsoft: הוספת חתימה דיגיטלית לתקשורת (תמיד) אינה זמינה, חתימת SMB אינה זמינה לחלוטין. השבתה מלאה של כל חתימת SMB משאירה מחשבים פגיעים יותר להתקפות חטיפת הפעלה.

   4. סיבות להפוך הגדרה זו ללא זמינה

      • הפיכת הגדרה זו לזמינה עלולה לגרום להעתקת קבצים ולביצועי רשת איטיים יותר במחשבי לקוח.

      • הפיכת הגדרה זו לזמינה תמנע מהלקוחות שאין להם אפשרות לנהל משא ומתן על קיום תקשורת עם שרתים עם בקרי תחום. פעולה זו גורמת לפעולות כגון צירופים לתחום, אימות משתמש ומחשב או גישה לרשת על-ידי תוכניות להיכשל.

   5. שם סמלי:
      
      RequireSMBSignServer

   6. נתיב רישום:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

   7. דוגמאות לבעיות תאימות

      • Windows 95: לקוחות Windows 95 שלא מותקן בהם לקוח שירותי מדריך הכתובות (DS) ייכשלו באימות כניסה ויתקבלו הודעת השגיאה הבאה:

        סיסמת התחום שסופקה שגויה, או שהגישה לשרת הכניסה שלך נדחתה.

      • Windows NT 4.0: מחשבי לקוח שבהם פועלות גירסאות של Windows NT 4.0 הקדמו ל- Service Pack 3 (SP3) ייכשלו באימות הכניסה ויתקבלו הודעת השגיאה הבאה:

        למערכת לא היתה אפשרות להיכנס למערכת. ודא ששם המשתמש והתחום שלך נכונים ולאחר מכן הקלד שוב את הסיסמה.

        שרתים מסוימים שאינם של Microsoft SMB תומכים רק בהחלפה לא מוצפנת של סיסמאות במהלך אימות. (חילופים אלה נקראים גם חילופי "טקסט רגיל".) עבור Windows NT 4.0 SP3 וגירסאות מאוחרות יותר, מנתב ה- SMB אינו שולח סיסמה לא מוצפנת במהלך אימות לשרת SMB, אלא אם תוסיף ערך רישום ספציפי.
        כדי להפוך סיסמאות לא מוצפנות לזמינות עבור לקוח SMB ב- Windows NT 4.0 SP 3 ובמערכות חדשות יותר, שנה את הרישום באופן הבא: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        
        שם ערך: EnablePlainTextPassword
        
        סוג נתונים: REG_DWORD
        
        נתונים: 1
        
         

      • Windows Server 2003: כברירת מחדל, הגדרות אבטחה בבקרי תחום הפועלים על Windows Server 2003 מוגדרות לסייע במניעת יירוט או טיפול שלא כדין בתקשורת של בקר תחום על-ידי משתמשים זדוניים. כדי שמשתמשים יוכלו לקיים תקשורת בהצלחה עם בקר תחום שבו פועל Windows Server 2003, מחשבי לקוח חייבים להשתמש הן בחתימה מסוג SMB והן בחתימה על הצפנה או בחתימה של תעבורת ערוץ מאובטחת. כברירת מחדל, לקוחות ש- Windows NT 4.0 עם Service Pack 2 (SP2) או גירסאות קודמות מותקנים והלקוחות ש- Windows 95 פועל בהם אינם כוללים חתימת מנות SMB זמינה. לכן, לקוחות אלה לא יוכלו לבצע אימות מול בקר תחום מבוסס Windows Server 2003.

      • הגדרות מדיניות של Windows 2000 ו- Windows Server 2003: בהתאם לצרכים ולתצורה הספציפיים של ההתקנה, מומלץ להגדיר את הגדרות המדיניות הבאות בישות הנמוכה ביותר של הטווח הנחוץ בהירארכיית ה- Snap-in של עורך מדיניות קבוצתית של Microsoft Management Console:

        • תצורת מחשב\אבטחת Windows הגדרות\אפשרויות אבטחה

        • שלח סיסמה לא מוצפנת כדי להתחבר לשרתי SMB של ספקים חיצוניים (הגדרה זו מיועדת ל- Windows 2000)

        • לקוח רשת של Microsoft: שלח סיסמה לא מוצפנת לשרתי SMB של ספקים חיצוניים (הגדרה זו מיועדת ל- Windows Server 2003)

        
        הערה בשרתי CIFS חיצוניים מסוימים, כגון גירסאות קודמות של Samba, לא ניתן להשתמש בסיסמאות מוצפנות.

      • הלקוחות הבאים אינם תואמים לשרת הרשת של Microsoft: הגדרת הוספת חתימה דיגיטלית לתקשורת (תמיד):

        • Apple Computer, Inc., Mac OS X clients

        • לקוחות רשת של Microsoft MS-DOS (לדוגמה, Microsoft LAN Manager)

        • לקוחות Microsoft Windows for Workgroups

        • לקוחות Microsoft Windows 95 ללא לקוח DS מותקן

        • מחשבים מבוססי Microsoft Windows NT 4.0 ללא SP3 ואילך

        • לקוחות NOVELL Netware 6 CIFS

        • לקוחות SMB של SAMBA שאין להם תמיכה בחתימה על SMB

   8. דרישות הפעלה מחדש
      
      הפעל מחדש את המחשב או הפעל מחדש את שירות השרת. לשם כך, הקלד את הפקודות הבאות בשורת פקודה. הקש Enter לאחר הקלדת כל פקודה.

      net stop server
      net start server

7. גישה לרשת: אפשר תרגום SID/שם אנונימי

   1. רקע
      
      הגדרת האבטחה אפשר תרגום SID/Name אנונימית קובעת אם משתמש אנונימי יכול לבקש תכונות של מספר זיהוי אבטחה (SID) עבור משתמש אחר.

   2. תצורה מ מסוכן
      
      הפיכת הגישה לרשת לזמינה: הגדרת התרגום של מזהה SID/שם אנונימי היא הגדרת תצורה מזיקה.

   3. סיבות להפוך הגדרה זו לזמינה
      
      אם הגדרת התרגום של גישה לרשת: אפשר תרגום SID/שם אנונימי אינה זמינה, ייתכן שמערכות הפעלה קודמות או יישומים לא יוכלו לקיים תקשורת עם תחומי Windows Server 2003. לדוגמה, ייתכן שמערכות ההפעלה, השירותים או היישומים הבאים לא יפעלו:

      • שרתים מבוססי Windows NT 4.0 של שירות גישה מרחוק

      • Microsoft SQL Server במחשבים מבוססי Windows NT 3.x או במחשבים מבוססי Windows NT 4.0

      • שירות גישה מרחוק הפועל במחשבים מבוססי Windows 2000 הממוקמים תחומים של Windows NT 3.x או תחומים של Windows NT 4.0

      • SQL Server הפועלת במחשבים מבוססי Windows 2000 הממוקמים תחומים של Windows NT 3.x או תחומים של Windows NT 4.0

      • משתמשים בתחום המשאבים של Windows NT 4.0 הברצונך להעניק הרשאות גישה לקבצים, לתיקיות משותפות ולאובייקטי רישום בחשבונות משתמשים מתוך תחומי חשבונות המכילים בקרי תחום של Windows Server 2003

   4. סיבות להפוך הגדרה זו ללא זמינה
      
      אם הגדרה זו זמינה, משתמש זדוני עשוי להשתמש ב- SID הידוע של מנהלי המערכת כדי להשיג את השם האמיתי של חשבון מנהל המערכת המוכלל, גם אם שם החשבון השתנה. אדם זה יוכל להשתמש בשם החשבון כדי ליזום מתקפה של ניחוש סיסמה.

   5. שם סמלי: לא ישים

   6. נתיב רישום: ללא. הנתיב מצוין בקוד ממשק המשתמש.

   7. דוגמאות לבעיות תאימות
      
      Windows NT 4.0: מחשבים בתחום המשאבים של Windows NT 4.0 יציגו את הודעת השגיאה "חשבון לא ידוע" בעורך ACL אם משאבים, כולל תיקיות משותפות, קבצים משותפים או אובייקטי רישום, מאובטחים עם מנהלי אבטחה הנמצאים ב תחומי חשבון המכילים בקרי תחום של Windows Server 2003.

8. גישה לרשת: אל תאפשר ספירה אנונימית של חשבונות SAM

   1. רקע

      • הגישה לרשת: אל תאפשר ספירה אנונימית של הגדרת חשבונות SAM קובעת אילו הרשאות נוספות יוענקו עבור חיבורים אנונימיים למחשב. Windows מאפשר למשתמשים אנונימיים לבצע פעילויות מסוימות, כגון ספירת השמות של חשבונות Workstation ו- Server Security Accounts Manager (SAM) ומניות רשת. לדוגמה, מנהל מערכת יכול להשתמש באפשרות זו כדי להעניק גישה למשתמשים בתחום מהימן שאינו שומר על אמון הדדי. לאחר ביצוע הפעלה, משתמש אנונימי עשוי לקבל את אותה גישה המוענקת לקבוצה כולם בהתבסס על ההגדרה בגישה לרשת: אפשר לכולם להחיל הרשאות על ההגדרה משתמשים אנונימיים או על רשימת בקרת הגישה לפי שיקול דעת (DACL) של האובייקט.
        
        בדרך כלל, נדרשים חיבורים אנונימיים על-ידי גירסאות קודמות של לקוחות (לקוחות ברמה למטה) במהלך הגדרת הפעלת SMB. במקרים אלה, מעקב רשת מראה שמזהה התהליך של SMB (PID) הוא מנתב הלקוח, כגון 0xFEFF ב- Windows 2000 או 0xCAFE ב- Windows NT. RPC עשוי גם לנסות ליצור חיבורים אנונימיים.

      • חשוב להגדרה זו אין השפעה על בקרי תחום. בבקרי תחום, אופן פעולה זה נשלט על-ידי הנוכחות של "NT AUTHORITY\ANONYMOUS LOGON" ב"גישה תואמת לפני Windows 2000".

      • ב- Windows 2000, הגדרה דומה שנקראת הגבלות נוספות עבור חיבורים אנונימיים מנהלת את ערך הרישום RestrictAnonymous . המיקום של ערך זה הוא כדלקמן

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA  

   2. תצורות מ מסוכן
      
      הפיכת הגישה לרשת לזמינה: אל תאפשר ספירה אנונימית של הגדרת חשבונות SAM היא הגדרת תצורה מזיקה מנקודת מבט של תאימות. הפיכתה ללא זמינה היא הגדרת תצורה מזיקה מנקודת מבט של אבטחה.

   3. סיבות להפוך הגדרה זו לזמינה
      
      משתמש לא מורשה יכול להציג רשימה אנונימית של שמות חשבונות ולאחר מכן להשתמש במידע כדי לנסות לנחש סיסמאות או לבצע תקיפות הנדסיות חברתיות. הנדסה חברתית היא ז'רגון שגורמת לאנשים לחשוף את הסיסמאות שלהם או צורה מסוימת של מידע אבטחה.

   4. סיבות להפוך הגדרה זו ללא זמינה
      
      אם הגדרה זו זמינה, לא ניתן ליצור יחסי אמון עם תחומי Windows NT 4.0. הגדרה זו גורמת גם לבעיות עם לקוחות ברמה למטה (כגון לקוחות Windows NT 3.51 והלקוחות של Windows 95) המנסים להשתמש במשאבים בשרת.

   5. שם סמלי:
      
      
      RestrictAnonymousSAM

   6. נתיב רישום:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

   7. דוגמאות לבעיות תאימות

   • גילוי רשת SMS לא יוכל לקבל מידע על מערכת ההפעלה ויכתוב "Unknown" במאפיין OperatingSystemNameandVersion.

   • Windows 95, Windows 98: לקוחות Windows 95 ו- Windows 98 לא יוכלו לשנות את הסיסמאות שלהם.

   • Windows NT 4.0: לא תהיה אפשרות לאמת מחשבים חברים המבוססים על Windows NT 4.0.

   • Windows 95, Windows 98: לא תהיה אפשרות לאמת מחשבים מבוססי Windows 95 ו- Windows 98 על-ידי בקרי תחום של Microsoft.

   • Windows 95, Windows 98: משתמשים במחשבים מבוססי Windows 95 ובמחשבים מבוססי Windows 98 לא יוכלו לשנות את הסיסמאות עבור חשבונות המשתמש שלהם.

9. גישה לרשת: אל תאפשר ספירה אנונימית של חשבונות ושותופים של SAM

   1. רקע

      • הגישה לרשת: אל תאפשר ספירה אנונימית של חשבונות SAM ומשותף (המכונה גם RestrictAnonymous) קובעת אם מותרת ספירה אנונימית של חשבונות ושתופים של מנהל חשבונות האבטחה (SAM). Windows מאפשר למשתמשים אנונימיים לבצע פעילויות מסוימות, כגון ספירת השמות של חשבונות תחום (משתמשים, מחשבים וקבוצות) וקבוצות של מיקומים משותפים ברשת. זה נוח, לדוגמה, כאשר מנהל מערכת מעוניין להעניק גישה למשתמשים בתחום מהימן שאינו שומר על אמון הדדי. אם אינך מעוניין לאפשר ספירה אנונימית של חשבונות SAM ומשותפים, הפוך הגדרה זו לזמינה.

      • ב- Windows 2000, הגדרה דומה שנקראת הגבלות נוספות עבור חיבורים אנונימיים מנהלת את ערך הרישום RestrictAnonymous . המיקום של ערך זה הוא כדלקמן:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

   2. תצורה מ מסוכן
      
      הפיכת הגישה לרשת לזמינה: אל תאפשר ספירה אנונימית של חשבונות ומשותפים של SAM היא הגדרת תצורה מזיקה.

   3. סיבות להפוך הגדרה זו לזמינה

      • הפיכת הגישה לרשת לזמינה: אל תאפשר ספירה אנונימית של חשבונות ומשותפים של SAM מונעת ספירה של חשבונות SAM ושתופים של משתמשים ומחשבים המשתמשים בחשבונות אנונימיים.

   4. סיבות להפוך הגדרה זו ללא זמינה

      • אם הגדרה זו זמינה, משתמש לא מורשה יכול להציג רשימה אנונימית של שמות חשבונות ולאחר מכן להשתמש במידע כדי לנסות לנחש סיסמאות או לבצע תקיפות הנדסיות חברתיות. הנדסה חברתית היא ז'רגון שגורמת לאנשים לחשוף את הסיסמה שלהם או צורה מסוימת של מידע אבטחה.

      • אם הגדרה זו זמינה, לא תהיה אפשרות ליצור יחסי אמון עם תחומי Windows NT 4.0. הגדרה זו תגרום גם לבעיות עם לקוחות ברמה למטה, כגון לקוחות Windows NT 3.51 ו- Windows 95 שמנסים להשתמש במשאבים בשרת.

      • לא תהיה אפשרות להעניק גישה למשתמשים של תחומי משאבים מאחר שמנהלים בתחום המעניק אמון לא יוכלו לספור רשימות של חשבונות בתחום האחר. משתמשים שניגישה לשרתי קבצים והדפסות באופן אנונימי לא יוכלו להציג את משאבי הרשת המשותפים בשרתים אלה. על המשתמשים לבצע אימות לפני שהם יוכלו להציג את רשימות התיקיות והמדפסות המשותפות.

   5. שם סמלי:
      
      RestrictAnonymous

   6. נתיב רישום:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

   7. דוגמאות לבעיות תאימות

      • Windows NT 4.0: המשתמשים לא יוכלו לשנות את הסיסמאות שלהם מתחנות עבודה של Windows NT 4.0 כאשר RestrictAnonymous זמין בבקרי תחום בתחום של המשתמשים.

      • Windows NT 4.0: הוספת משתמשים או קבוצות כלליות מתוך תחומים מהימנים של Windows 2000 לקבוצות מקומיות של Windows NT 4.0 במנהל המשתמשים תיכשל, וההודעות הבאות יופיעו:

        בשלב זה אין שרתי כניסה זמינים לשירות בקשת הכניסה.

      • Windows NT 4.0: מחשבים מבוססי Windows NT 4.0 לא יוכלו להצטרף לתחום במהלך ההתקנה או באמצעות ממשק המשתמש להצטרפות לתחום.

      • Windows NT 4.0: יצירת אמון ברמה למטה עם תחומי משאבים של Windows NT 4.0 תיכשל. הודעת השגיאה הבאה תופיע כאשר RestrictAnonymous זמין בתחום המהימן:

        לא היתה אפשרות למצוא בקר תחום עבור תחום זה.

      • Windows NT 4.0: משתמשים הנכנסים למחשבי שרת מסוף מבוססי Windows NT 4.0 ממופים למדריך הכתובות הראשי המהווה ברירת מחדל במקום למדריך הכתובות הראשי המוגדר במנהל המשתמשים עבור תחומים.

      • Windows NT 4.0: בקרי תחום הגיבוי (BDCs) של Windows NT 4.0 לא יוכלו להפעיל את שירות הכניסה לרשת, להשיג רשימה של דפדפני גיבוי או לסנכרן את מסד הנתונים SAM מ- Windows 2000 או בבקרי תחום של Windows Server 2003 באותו תחום.

      • Windows 2000: מחשבים חברים מבוססי Windows 2000 בתחום Windows NT 4.0 לא יוכלו להציג מדפסות בתחום חיצוני אם ההגדרה ללא גישה ללא הרשאות אנונימיות באופן מפורש זמינה במדיניות האבטחה המקומית של מחשב הלקוח.

      • Windows 2000: משתמשי תחום של Windows 2000 לא יוכלו להוסיף מדפסות רשת מ- Active Directory; עם זאת, הם יוכלו להוסיף מדפסות לאחר בחירתן מתוך תצוגת העץ.

      • Windows 2000: במחשבים מבוססי Windows 2000, עורך ACL לא יוכל להוסיף משתמשים או קבוצות כלליות מתחום מהימן של Windows NT 4.0.

      • ADMT גירסה 2: העברת סיסמה עבור חשבונות משתמשים המועברים בין יערות באמצעות Active Directory Migration Tool (ADMT) גירסה 2 תיכשל.
        
        לקבלת מידע נוסף, לחץ על מספר המאמר הבא כדי להציג את המאמר מתוך מאגר הידע Microsoft Knowledge Base:

        322981 כיצד לפתור בעיות בהעברת סיסמה בין היער באמצעות ADMTv2

      • לקוחות Outlook: רשימת הכתובות הכללית תופיע ריקה ללקוחות Microsoft Exchange Outlook.

      • SMS: Microsoft Systems Management Server (SMS) Network Discovery לא יוכל לקבל את פרטי מערכת ההפעלה. לכן, הוא יכתוב "Unknown" במאפיין OperatingSystemNameandVersion של המאפיין SMS DDR של רשומת נתוני הגילוי (DDR).

      • SMS: בעת שימוש באשף המשתמשים של מנהל SMS כדי לאתר משתמשים וקבוצות, לא יופיעו משתמשים או קבוצות. בנוסף, לקוחות מתקדמים אינם יכולים לקיים תקשורת עם נקודת הניהול. נדרשת גישה אנונימית בנקודת הניהול.

      • SMS: כאשר אתה משתמש בתכונה 'גילוי רשת' ב- SMS 2.0 ובהתקנת לקוח מרוחק כאשר האפשרות לגילוי רשת של טופולוגיה, לקוח ומערכות הפעלה של לקוח מופעלת, ייתכן שמחשבים יתגלה אך לא יותקנו.

10. אבטחת רשת: רמת האימות של Lan Manager

    1. רקע
       
       אימות LAN Manager (LM) הוא הפרוטוקול המשמש לאימות לקוחות Windows לפעולות רשת, כולל צירופים לתחום, גישה למשאבי רשת ואימות משתמש או מחשב. רמת האימות של LM קובעת איזה פרוטוקול אימות אתגר/תגובה נהל משא ומתן בין הלקוח למחשבי השרת. באופן ספציפי, רמת האימות של LM קובעת אילו פרוטוקולי אימות ינסה הלקוח לערוך משא ומתן או שהשרת יקבל. הערך הוגדר עבור LmCompatibilityLevel קובע איזה פרוטוקול אימות אתגר/תגובה משמש עבור כניסות רשת. ערך זה משפיע על רמת פרוטוקול האימות שבו משתמשים הלקוחות, רמת אבטחת ההפעלה שננהלה במשא ומתן ורמת האימות שהתקבלה על-ידי שרתים.
       
       ההגדרות האפשריות כוללות את האפשרויות הבאות.

       ‏‏ערך	הגדרה	תיאור
       0	שליחת תגובות של LM & NTLM	לקוחות משתמשים באימות LM ו- NTLM ולעולם אינם משתמשים באימות הפעלה של NTLMv2. בקרי תחום מקבלים אימות LM, NTLM ו- NTLMv2.
       1	שליחת LM & NTLM - השתמש באאבטחה של הפעלת NTLMv2 אם נהל משא ומתן	לקוחות משתמשים באימות LM ו- NTLM, ולהשתמש באימות הפעלה של NTLMv2 אם השרת תומך בה. בקרי תחום מקבלים אימות LM, NTLM ו- NTLMv2.
       2	שלח תגובת NTLM בלבד	לקוחות משתמשים באימות NTLM בלבד ולהשתמש באאבטחה של הפעלת NTLMv2 אם השרת תומך בה. בקרי תחום מקבלים אימות LM, NTLM ו- NTLMv2.
       3	שלח תגובת NTLMv2 בלבד	לקוחות משתמשים באימות NTLMv2 בלבד ולהשתמש באימות הפעלה של NTLMv2 אם השרת תומך בה. בקרי תחום מקבלים אימות LM, NTLM ו- NTLMv2.
       4	שליחת תגובת NTLMv2 בלבד/הסר LM	לקוחות משתמשים באימות NTLMv2 בלבד ולהשתמש באימות הפעלה של NTLMv2 אם השרת תומך בה. בקרי תחום מסרבים ל- LM וקבלת אימות NTLM ו- NTLMv2 בלבד.
       5	שלח תגובת NTLMv2 בלבד/מסרב ל- LM & NTLM	לקוחות משתמשים באימות NTLMv2 בלבד ולהשתמש באימות הפעלה של NTLMv2 אם השרת תומך בה. בקרי תחום מסרבים ל- LM ול- NTLM ומקבלים אימות NTLMv2 בלבד.

       הערה ב- Windows 95, Windows 98 ו- Windows 98 Second Edition, לקוח שירותי מדריך הכתובות משתמש בחתימה של SMB בעת אימות מול שרתי Windows Server 2003 באמצעות אימות NTLM. עם זאת, לקוחות אלה אינם משתמשים בחתימה SMB כאשר הם מאומתים עם שרתים אלה באמצעות אימות NTLMv2. בנוסף, שרתי Windows 2000 אינם מגיבים לבקשות חתימת SMB מהלקוחות האלה.
       
       בדוק את רמת האימות של LM: עליך לשנות את המדיניות בשרת כדי להתיר NTLM, או לקבוע את תצורת מחשב הלקוח לתמיכה ב- NTLMv2.
       
       אם המדיניות מוגדרת (5) שלח תגובת NTLMv2 בלבד\לסרב ל- LM & NTLM במחשב היעד שאליו ברצונך להתחבר, עליך להוריד את ההגדרה במחשב זה או להגדיר את האבטחה לאותה הגדרה במחשב המקור שמתוכן אתה מתחבר.
       
       מצא את המיקום הנכון שבו תוכל לשנות את רמת האימות של מנהל ה- LAN כדי להגדיר את הלקוח ואת השרת לאותה רמה. לאחר שתמצא את המדיניות שמגדרת את רמת האימות של מנהל LAN, אם ברצונך להתחבר למחשבים שבהם פועלות גירסאות קודמות של Windows ומהן, הנמכת הערך לפחות (1) שליחת LM & NTLM - השתמש באימות הפעלה של NTLM גירסה 2 אם ניהלת משא ומתן. אחד ההשפעה של הגדרות לא תואמות הוא שאם השרת דורש NTLMv2 (ערך 5), אך הלקוח מוגדר להשתמש ב- LM וב- NTLMv1 בלבד (ערך 0), המשתמש המנסה לבצע אימות נתקל בכשל בכניסה בעל סיסמה שגויה, וההגדלה של ספירת הסיסמה שגויה. אם תצורת נעילת החשבון נקבעה, ייתכן שהמשתמש יינעל בסופו של דבר בחוץ.
       
       לדוגמה, ייתכן שתצטרך לחפש בבקר התחום, או שתצטרך לבדוק את פריטי המדיניות של בקר התחום.
       
       חפש בבקר התחום
       
       הערה ייתכן שיהיה עליך לחזור על ההליך הבא בכל בקרי התחום.

       1. לחץ על התחל, הצבע על תוכניות ולאחר מכן לחץ על כלי ניהול.

       2. תחת הגדרות אבטחה מקומיות, הרחב את מדיניות מקומית.

       3. לחץ על אפשרויות אבטחה.

       4. לחץ פעמיים על אבטחת רשת: רמת אימות של מנהל LAN ולאחר מכן לחץ על ערך ברשימה.

       
       אם ההגדרה האפקטיבית וההגדרה המקומית זהות, המדיניות השתנתה ברמה זו. אם ההגדרות שונות, עליך לבדוק את מדיניות בקר התחום כדי לקבוע אם הגדרת רמת האימות של מנהל רשת LAN מוגדרת שם. אם הוא אינו מוגדר שם, בדוק את מדיניות בקר התחום.
       
       בחינת המדיניות של בקר התחום

       1. לחץ על התחל, הצבע על תוכניות ולאחר מכן לחץ על כלי ניהול.

       2. במדיניות האבטחה של בקר התחום , הרחב את הגדרות אבטחה ולאחר מכן הרחב את מדיניות מקומית.

       3. לחץ על אפשרויות אבטחה.

       4. לחץ פעמיים על אבטחת רשת: רמת אימות של מנהל LAN ולאחר מכן לחץ על ערך ברשימה.

       
       הערה

       • ייתכן שתצטרך גם לבדוק פריטי מדיניות המקושרים ברמת האתר, ברמת התחום או ברמת היחידה הארגונית (OU) כדי לקבוע היכן עליך לקבוע את התצורה של רמת האימות של מנהל ה- LAN.

       • אם תיישם מדיניות קבוצתית המוגדרת כברירת המחדל של התחום, המדיניות תחול על כל המחשבים בתחום.

       • אם תיישם הגדרת מדיניות קבוצתית כמדיניות של בקר התחום המוגדרת כברירת מחדל, המדיניות תחול רק על השרתים ב- OU של בקר התחום.

       • מומלץ להגדיר את רמת האימות של מנהל LAN בישות הנמוכה ביותר של הטווח הנחוץ בהירארכיית יישומי המדיניות.

       Windows Server 2003 כולל הגדרת ברירת מחדל חדשה לשימוש ב- NTLMv2 בלבד. כברירת מחדל, בקרי התחום המבוססים על Windows Server 2003 ו- Windows 2000 Server SP3 הוסיפו את המדיניות "שרת רשת Microsoft: חתימה דיגיטלית לתקשורת (תמיד)" לזמינה. הגדרה זו דורשת משרת SMB כדי לבצע חתימת מנות SMB. בוצעו שינויים ב- Windows Server 2003 מאחר שבקרי תחום, שרתי קבצים, שרתי תשתית רשת ושרתי אינטרנט בכל ארגון דורשים הגדרות שונות כדי להגדיל את אבטחתם.
       
       אם ברצונך ליישם אימות NTLMv2 ברשת שלך, עליך לוודא שכל המחשבים בתחום מוגדרים לשימוש ברמת אימות זו. אם תחיל הרחבות לקוח של Active Directory עבור Windows 95 או Windows 98 ו- Windows NT 4.0, הרחבות הלקוח ישתמשו בתכונות האימות השתופרות הזמינות ב- NTLMv2. מאחר שמחשבים של לקוח שבהם פועלת מערכת ההפעלה הבאה אינם מושפעים מ- Windows 2000 מדיניות קבוצתית אובייקטים, ייתכן שיהיה עליך לקבוע את תצורת הלקוחות הבאים באופן ידני:

       • Microsoft Windows NT 4.0

       • Microsoft Windows Millennium Edition

       • Microsoft Windows 98

       • Microsoft Windows 95

       הערה אם אתה מאפשר את אבטחת הרשת: אל תאחסן את ערך Hash של מנהל LAN במדיניות שינוי הסיסמה הבאה או תגדיר את מפתח הרישום NoLMHash , לקוחות מבוססי Windows 95 ו- Windows 98 שלא מותקן אצלם לקוח שירותי מדריך הכתובות לא יכולים להיכנס לתחום לאחר שינוי סיסמה.
       
       שרתי CIFS רבים של ספקים חיצוניים, כגון Novell Netware 6, אינם מודעים ל- NTLMv2 ולהשתמש ב- NTLM בלבד. לכן, רמות הגדול מ- 2 אינן מתירות קישוריות. יש גם לקוחות SMB של ספקים חיצוניים שאינם משתמשים באספקת אבטחה מורחבת של הפעלה. במקרים אלה, LmCompatiblityLevel של שרת המשאבים אינו נלקח בחשבון. לאחר מכן השרת אורז בקשה זו מדור קודם ושולח אותה לבקר תחום המשתמש. לאחר מכן, ההגדרות בבקר התחום קובעות אילו קודי Hash משמשים לאימות הבקשה ואם הן עומדות בדרישות האבטחה של בקר התחום.
       
        

       299656 כיצד למנוע מ- Windows לאחסן קוד Hash של מנהל LAN של הסיסמה שלך ב- Active Directory ובמסדי נתונים מקומיים של SAM
        

       2701704אירוע ביקורת מציג את חבילת האימות כ- NTLMv1 במקום NTLMv2 לקבלת מידע נוסף אודות רמות אימות LM, לחץ על מספר המאמר הבא כדי להציג את המאמר מתוך מאגר הידע Microsoft Knowledge Base:

       239869 כיצד להפוך אימות NTLM 2 לזמין
        

    2. תצורות מ מסוכן
       
       להלן הגדרות תצורה מזיקות:

       • הגדרות לא יעילות שישלחו סיסמאות בטקסט רגיל ומכחישות משא ומתן על NTLMv2

       • הגדרות מגבילות שמונעות מהלקוחות או בקרי התחום שאינם תואמים לנהל משא ומתן על פרוטוקול אימות משותף

       • דרישת אימות NTLMv2 במחשבים חברים ובבקרי תחום שבהם פועלות גירסאות של Windows NT 4.0 שקדמו ל- Service Pack 4 (SP4)

       • דרישת אימות NTLMv2 בלקוחות Windows 95 או בלקוחות Windows 98 שלקוח שירותי מדריך הכתובות של Windows אינו מותקן בהם.

       • אם תלחץ כדי לבחור בתיבת הסימון דרוש אבטחת הפעלה של NTLMv2 במחשב מבוסס-Service Pack 3 של Microsoft Management Console מדיניות קבוצתית Editor, ב- Windows Server 2003 או במחשב מבוסס Windows 2000 Service Pack 3, ואתה מוריד את רמת האימות של מנהל LAN ל- 0, שתי ההגדרות מתנגשות, וייתכן שתקבל את הודעת השגיאה הבאה בקובץ Secpol.msc או בקובץ GPEdit.msc:

         ל- Windows אין אפשרות לפתוח את מסד הנתונים של המדיניות המקומית. אירעה שגיאה לא ידועה בעת ניסיון לפתוח את מסד הנתונים.

         לקבלת מידע נוסף אודות כלי קביעת התצורה והניתוח של האבטחה, עיין בקובצי העזרה של Windows 2000 או Windows Server 2003.

    3. סיבות לשינוי הגדרה זו

       • ברצונך להגדיל את פרוטוקול האימות המשותף הנמוך ביותר הנתמך על-ידי לקוחות ובקרי תחום בארגון שלך.

       • כאשר אימות מאובטח הוא דרישה עסקית, ברצונך לא לאפשר משא ומתן על פרוטוקולי LM ו- NTLM.

    4. סיבות להפוך הגדרה זו ללא זמינה
       
       דרישות האימות של הלקוח או השרת, או שניהם, הוגדלו עד לנקודה שבה לא ניתן לבצע אימות באמצעות פרוטוקול נפוץ.

    5. שם סמלי:
       
       LmCompatibilityLevel

    6. נתיב רישום:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. דוגמאות לבעיות תאימות

       • Windows Server 2003: כברירת מחדל, ההגדרה NTLMv2 שלח תגובות NTLM של Windows Server 2003 זמינה. לכן, Windows Server 2003 מקבל את הודעת השגיאה "הגישה נדחתה" לאחר ההתקנה הראשונית בעת ניסיון להתחבר לאשכול מבוסס Windows NT 4.0 או לשרתים מבוססי-LanManager V2.1, כגון OS/2 Lanserver. בעיה זו מתרחשת גם אם אתה מנסה להתחבר מלקוח מגירסה קודמת לשרת מבוסס Windows Server 2003.

       • התקנת חבילת אוסף עדכוני האבטחה של Windows 2000 1 (SRP1). SRP1 כופה על NTLM גירסה 2 (NTLMv2). חבילת אוסף עדכונים זו הופצה לאחר ההפצה של Windows 2000 Service Pack 2 (SP2).
          

       • Windows 7 ו- Windows Server 2008 R2: שרתי CIFS של ספקים חיצוניים רבים, כגון Novell Netware 6 או שרתי Samba המבוססים על Linux, אינם מודעים ל- NTLMv2 ולהשתמש ב- NTLM בלבד. לכן, רמות הגדול מ- "2" אינן מתירות קישוריות. כעת, בגירסה זו של מערכת ההפעלה, ברירת המחדל עבור LmCompatibilityLevel שונתה ל- "3". לכן, בעת שדרוג Windows, קבצי קבצים אלה של ספקים חיצוניים עשויים להפסיק לפעול.

       • ייתכן שהלקוחות של Microsoft Outlook יתבקשו לספק אישורים למרות שהם כבר מחוברים לתחום. כאשר המשתמשים מספקים את האישורים שלהם, הם מקבלים את הודעת השגיאה הבאה: Windows 7 ו- Windows Server 2008 R2

         אישורי הכניסה שסופקו היו שגויים. ודא ששם המשתמש והתחום שלך נכונים ולאחר מכן הקלד שוב את הסיסמה שלך.

         בעת הפעלת Outlook, ייתכן שתתבקש להזין את האישורים שלך גם אם הגדרת אבטחת רשת הכניסה שלך מוגדרת ל'מעבר' או ל'אימות סיסמה'. לאחר הקלדת האישורים הנכונים, ייתכן שתקבל את הודעת השגיאה הבאה:

         אישורי הכניסה שסופקו היו שגויים.

         מעקב אחר צג רשת עשוי להראות שהקטלוג הכללי הפיק תקלה של קריאה לפרוצדורה מרוחקת (RPC) במצב 0x5. מצב של 0x5 הוא "הגישה נדחתה".

       • Windows 2000: לכידת צג רשת עשויה להציג את השגיאות הבאות בהפעלת בלוק הודעת שרת (SMB) של NetBIOS דרך TCP/IP (NetBT):

         שגיאת ניהול משימות של מדריך הכתובות של חיפוש SMB R, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) מזהה משתמש לא חוקי

       • Windows 2000: אם תחום של Windows 2000 עם NTLMv2 רמה 2 ואילך מהימן על-ידי תחום של Windows NT 4.0, מחשבים חברים המבוססים על Windows 2000 בתחום המשאבים עשויים להיתקל בשגיאות אימות.

       • Windows 2000 ו- Windows XP: כברירת מחדל, Windows 2000 ו- Windows XP הגדירו את האפשרות מדיניות אבטחה מקומית ברמת האימות של LAN Manager ל- 0. הגדרה של 0 פירושה "שלח תגובות LM ו- NTLM".
         
         הערה אשכולות מבוססי Windows NT 4.0 חייבים להשתמש ב- LM לניהול.

       • Windows 2000: קיבוץ באשכולות של Windows 2000 אינו מאמת צומת הצטרפות אם שני הצמתים הם חלק מתחום Windows NT 4.0 Service Pack 6a (SP6a).

       • הכלי IIS Lockdown Tool (HiSecWeb) מגדיר את הערך LMCompatibilityLevel ל- 5 ואת הערך RestrictAnonymous ל- 2.

       • שירותים עבור Macintosh
         
         מודול אימות משתמש (UAM): ה- UAM של Microsoft (מודול אימות משתמש) מספק שיטה להצפנת הסיסמאות שבהן אתה משתמש כדי להיכנס לשרתי Windows AFP (פרוטוקול התיוק של AppleTalk). מודול אימות המשתמש של Apple (UAM) מספק הצפנה מינימלית או ללא הצפנה בלבד. לכן, ניתן ליירט בקלות את הסיסמה שלך ב- LAN או באינטרנט. למרות ש- UAM אינו נדרש, הוא מספק אימות מוצפן לשרתי Windows 2000 שבהם פועלים שירותים עבור Macintosh. גירסה זו כוללת תמיכה עבור אימות מוצפן של NTLMv2 128 סיביות ומהדורה תואמת MacOS X 10.1.
         
         כברירת מחדל, שרת Windows Server 2003 Services for Macintosh מאפשר אימות של Microsoft בלבד.
          

       • Windows Server 2008, Windows Server 2003, Windows XP ו- Windows 2000: אם תגדיר את הערך LMCompatibilityLevel ל- 0 או 1 ולאחר מכן תגדיר את הערך NoLMHash ל- 1, ייתכן שהגישה ליישומים ולרכיבים תמנע גישה באמצעות NTLM. בעיה זו מתרחשת מאחר שהמחשב מוגדר להפוך את LM לזמין אך לא להשתמש בסיסמאות המאוחסנות ב- LM.
         
         אם תגדיר את הערך NoLMHash ל- 1, עליך לקבוע את התצורה של ערך LMCompatibilityLevel ל- 2 ואילך.

11. אבטחת רשת: דרישות חתימה של לקוח LDAP

    1. רקע
       
       ההגדרה אבטחת רשת: דרישות חתימה של לקוח LDAP קובעת את רמת חתימת הנתונים המבוקשת בשם לקוחות הבעיית בקשות BIND של Lightweight Directory Access Protocol (LDAP) באופן הבא:

       • ללא: בקשת LDAP BIND מונפקת עם האפשרויות שצוינו על-ידי מתקשר.

       • נהל משא ומתן על חתימה: אם Secure Sockets Layer/Transport Layer Security (SSL/TLS) לא הופעל, בקשת LDAP BIND מופעלת כאשר אפשרות חתימת הנתונים של LDAP מוגדרת בנוסף לאפשרויות שצוין על-ידי מתקשר. אם SSL/TLS הופעל, בקשת איגוד LDAP מופעלת עם האפשרויות שצוינו על-ידי מתקשר.

       • דרוש חתימה: זהה ל'משא ומתן על חתימה'. עם זאת, אם תגובת saslBindInProgress של שרת LDAP אינה מציינת שנדרשת חתימת תעבורת LDAP, מתבצעת קריאה שמצוין כי בקשת הפקודה BIND של LDAP נכשלה.

    2. תצורה מ מסוכן
       
       הפיכת הגדרת הדרישות של חתימת לקוח LDAP לזמינה היא הגדרת תצורה מזיקה. אם תגדיר את השרת לדרוש חתימות LDAP, עליך גם לקבוע את התצורה של חתימת LDAP בלקוח. לא תגדיר את הלקוח לשימוש בחתימות LDAP תמנע תקשורת עם השרת. פעולה זו גורמת לכשל באימות מדיניות קבוצתית, בהגדרות המשתמשים, בקבצי Script לכניסה ולתכונות אחרות.

    3. סיבות לשינוי הגדרה זו
       
       תעבורת רשת לא רשומה חשופה לתקיפות גבר באמצע שבהן פורץ לוכד מנות בין הלקוח לשרתים, משנה אותן ולאחר מכן מעביר אותן לשרת. כאשר הדבר מתרחש בשרת LDAP, תוקף עלול לגרום לשרת להגיב בהתבסס על שאילתות False מלקוח LDAP. באפשרותך להוריד סיכון זה ברשת ארגונית על-ידי יישום אמצעי אבטחה פיזיים חזקים כדי לסייע בהגנה על תשתית הרשת. בנוסף, באפשרותך לסייע במניעת תקיפות מסוגים שונים של אדם באמצע על-ידי דרישת חתימות דיגיטליות בכל מנות הרשת באמצעות כותרות אימות IPSec.

    4. שם סמלי:
       
       LDAPClientIntegrity

    5. נתיב רישום:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

12. יומן אירועים: גודל מרבי של יומן אבטחה

    1. רקע
       
       יומן האירועים: הגדרת האבטחה המרבית של גודל יומן האבטחה מציינת את הגודל המרבי של יומן אירועי האבטחה. גודלו המרבי של יומן רישום זה הוא 4 GB. כדי לאתר הגדרה זו, הרחב את
       הגדרות Windows ולאחר מכן הרחב את הגדרות אבטחה.

    2. תצורות מ מסוכן
       
       להלן הגדרות תצורה מזיקות:

       • הגבלת הגודל של יומן האבטחה ושיטה השמירה של יומן האבטחה כאשר הביקורת: כבה את המערכת באופן מיידי אם אין אפשרות לרשום ביקורת אבטחה זמינה. עיין בסעיף "ביקורת: כיבוי מערכת באופן מיידי אם אין אפשרות לרשום ביקורות אבטחה" במאמר זה לקבלת פרטים נוספים.

       • הגבלת גודל יומן האבטחה כך שאירועי אבטחה שמעניינים יוחלפו.

    3. סיבות להגדיל הגדרה זו
       
       דרישות עסקיות ודרישות אבטחה עשויות להכתיב לך להגדיל את גודל יומן האבטחה כדי לטפל בפירוט יומן אבטחה נוסף או לשמור יומני אבטחה לפרק זמן ארוך יותר.

    4. הסיבות להקטנת הגדרה זו
       
       מציג האירועים יומני רישום הם קבצים ממופים של זיכרון. הגודל המרבי של יומן אירועים מוגבל על-ידי כמות הזיכרון הפיזי במחשב המקומי ועל-ידי הזיכרון הווירטואלי הזמין לתהליך יומן האירועים. הגדלת גודל יומן הרישום מעבר לכמות הזיכרון הווירטואלי הזמין ל- מציג האירועים אינה מגדילה את מספר ערכי יומן הרישום המנוהלות.

    5. דוגמאות לבעיות תאימות
       
       Windows 2000: מחשבים שבהם פועלות גירסאות של Windows 2000 הקדמו ל- Service Pack 4 (SP4) עשויים להפסיק את הרישום של אירועים ביומן האירועים לפני הגעה לגודל שצוין בהגדרה גודל יומן רישום מרבי ב- מציג האירועים אם האפשרות אל תחליף אירועים (נקה יומן רישום באופן ידני) מופעלת.
       
       
        

13. יומן אירועים: שמור יומן אבטחה

    1. רקע
       
       יומן האירועים: הגדרת האבטחה של שמירת יומן האבטחה קובעת את שיטת ה"גלישה" עבור יומן האבטחה. כדי לאתר הגדרה זו, הרחב את הגדרות Windows ולאחר מכן הרחב את הגדרות אבטחה.

    2. תצורות מ מסוכן
       
       להלן הגדרות תצורה מזיקות:

       • כשל בשמירה על כל אירועי האבטחה שנרשם לפני החלפתם

       • קביעת התצורה של ההגדרה גודל מרבי של יומן אבטחה קטן מדי כך שאירועי אבטחה יוחלפו

       • הגבלת הגודל ושיטה השמירה של יומן האבטחה בעת ביקורת: כבה את המערכת באופן מיידי אם אין אפשרות לרשום את הגדרת האבטחה של ביקורת האבטחה זמינה

    3. סיבות להפוך הגדרה זו לזמינה
       
       הפוך הגדרה זו לזמינה רק אם תבחר את שיטת השמירה החלף אירועים לפי ימים. אם אתה משתמש במערכת מתאם אירועים המשאל עבור אירועים, ודא כי מספר הימים הוא לפחות שלוש פעמים בתדירות התשאול. בצע פעולה זו כדי לאפשר מחזורי תשאול שנכשלו.

14. גישה לרשת: הרשאות 'אפשר לכולם' חלות על משתמשים אנונימיים

    1. רקע
       
       כברירת מחדל, ההגדרה גישה לרשת: אפשר לכולם להחיל הרשאות על משתמשים אנונימיים מוגדרת כ'לא מוגדר' ב- Windows Server 2003. כברירת מחדל, Windows Server 2003 אינו כולל את האסימון גישה אנונימית בקבוצה כולם.

    2. דוגמה לבעיות תאימות
       
       הערך הבא של

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous [REG_DWORD]=0x0 מנתק את יצירת האמון בין Windows Server 2003 ל- Windows NT 4.0, כאשר התחום של Windows Server 2003 הוא תחום החשבון והתחום של Windows NT 4.0 הוא תחום המשאב. משמעות הדבר היא שתחום החשבון מהימן ב- Windows NT 4.0 ותחום המשאב נותן אמון בצד של Windows Server 2003. אופן פעולה זה מתרחש מאחר התהליך כדי להתחיל את יחסי האמון לאחר החיבור האנונימי הראשוני הוא ACL'd עם אסימון כולם הכולל את ה- SID אנונימי ב- Windows NT 4.0.

    3. סיבות לשינוי הגדרה זו
       
       יש להגדיר את הערך ל- 0x1 או להגדיר אותו באמצעות GPO ב- OU של בקר התחום: גישת רשת: אפשר לכולם להחיל הרשאות על משתמשים אנונימיים - זמין כדי לאפשר את יצירת יחסי האמון.
       
       הערה רוב הגדרות האבטחה האחרות מופיעות בערך במקום למטה כדי 0x0 במצב המאובטח ביותר שלהן. שיטת עבודה מאובטחת יותר היא לשנות את הרישום באמולטור בקר התחום הראשי במקום בכל בקרי התחום. אם תפקיד אמולטור בקר התחום הראשי מועבר מסיבה כלשהי, יש לעדכן את הרישום בשרת החדש.
       
       נדרשת הפעלה מחדש לאחר הגדרת ערך זה.

    4. נתיב רישום

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

15. אימות NTLMv2

    1. אבטחת הפעלה
       
       אבטחת הפעלה קובעת את תקני האבטחה המינימליים עבור הפעלות לקוח ושרת. מומלץ לאמת את הגדרות מדיניות האבטחה הבאות ביישום ה- Snap-in של Microsoft Management Console מדיניות קבוצתית Editor:

       • הגדרות מחשב\הגדרות Windows\הגדרות אבטחה\פריטי מדיניות מקומיים\אפשרויות אבטחה

       • אבטחת רשת: אבטחת הפעלה מינימלית עבור שרתי NTLM SSP המבוססים על (כולל RPC מאובטח)

       • אבטחת רשת: אבטחת הפעלה מינימלית עבור לקוחות NTLM SSP מבוסס (כולל RPC מאובטח)

       להלן האפשרויות עבור הגדרות אלה:

       • דרוש תקינות הודעות

       • דרוש סודיות הודעה

       • דרוש אבטחת הפעלה של NTLM גירסה 2

       • דרוש הצפנה של 128 סיביות

       הגדרת ברירת המחדל לפני Windows 7 אינה דרישות. החל מ- Windows 7, ברירת המחדל השתנתה לדרוש הצפנה של 128 סיביות כדי לשפר את האבטחה. עם ברירת מחדל זו, מכשירים מדור קודם שאינם תומכים בהצפנה של 128 סיביות לא יוכלו להתחבר.
       
       פריטי מדיניות אלה קובעים את תקני האבטחה המינימליים עבור הפעלת תקשורת של יישום ליישום בשרת עבור לקוח.
       
       שים לב שלמרות מתוארות כהגדרות חוקיות, הדגלים הדורשים תקינות וסודיות של הודעות אינם נמצאים בשימוש כאשר אבטחת הפעלת NTLM נקבעת.
       
       מבחינה היסטורית, Windows NT תומך בשני המשתנים הבאים של אימות אתגר/תגובה עבור כניסות רשת:

       • אתגר/תגובה של LM

       • אתגר/תגובה של NTLM גירסה 1

       מערכת ניהול למידה (LM) מאפשרת יכולת פעולה הדדית עם הבסיס המותקן של לקוחות ושרתים. NTLM מספק אבטחה משופרת עבור חיבורים בין לקוחות לשרתים.
       
       מפתחות הרישום המתאימים הם כדלקמן:

       "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
       "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

    2. תצורות מ מסוכן
       
       הגדרה זו קובעת כיצד תטופלי הפעלות רשת המאובטחות באמצעות NTLM. בעיה זו משפיעה על הפעלות מבוססות RPC שאומתו באמצעות NTLM, לדוגמה. קיימים הסיכונים הבאים:

       • השימוש בשיטות אימות ישנות יותר מאשר NTLMv2 מקל על התקיפה של התקשורת עקב שיטות ה- Hash הפשוטות יותר שנמצאות בשימוש.

       • השימוש במפתחות הצפנה נמוך מ- 128 סיביות מאפשר לתוקפים לנתק תקשורת באמצעות תקיפות בכוח-בריון.

סינכרון זמנים

סינכרון הזמן נכשל. משך הזמן אינו פעיל ביותר מ- 30 דקות במחשב המושפע. ודא ששעון מחשב הלקוח מסונכרן עם שעון בקר התחום.

פתרון עוקף עבור חתימת SMB

מומלץ להתקין את Service Pack 6a (SP6a) ללקוחות Windows NT 4.0 הפועלים הדדית בתחום מבוסס Windows Server 2003. לקוחות מבוססי המהדורה השנייה של Windows 98, לקוחות מבוססי Windows 98 והלקוחות מבוססי Windows 95 חייבים להפעיל את לקוח שירותי מדריך הכתובות כדי לבצע NTLMv2. אם ללקוחות מבוססי Windows NT 4.0 לא מותקן Windows NT 4.0 SP6 או אם לקוח מבוסס Windows 95, לקוחות מבוססי Windows 98 ולקוח מבוסס Windows 98SE אינם מותקנים בלקוח שירותי מדריך הכתובות, הפוך את חתימת SMB ללא זמינה בהגדרת המדיניות של בקר התחום המוגדר כברירת מחדל ב- OU של בקר התחום ולאחר מכן קשר מדיניות זו לכל יחידות ה- OUs שמארחות את בקרי התחום.

לקוח שירותי מדריך הכתובות עבור Windows 98 Second Edition, Windows 98 ו- Windows 95 יבצע חתימת SMB עם שרתי Windows 2003 תחת אימות NTLM, אך לא במסגרת אימות NTLMv2. בנוסף, שרתי Windows 2000 לא יגיב לבקשות חתימת SMB מהלקוחות האלה.

למרות שאנחנו לא ממליצים על זה, באפשרותך למנוע את הצורך בחתימה של SMB בכל בקרי התחום שבהם פועל Windows Server 2003 בתחום. כדי לקבוע את התצורה של הגדרת אבטחה זו, בצע את הפעולות הבאות:

1. פתח את מדיניות ברירת המחדל של בקר התחום.

2. פתח את התיקיה תצורת מחשב\הגדרות Windows\הגדרות אבטחה\פריטי מדיניות מקומיים/אפשרויות אבטחה.

3. אתר ולאחר מכן לחץ על שרת הרשת של Microsoft: הוסף חתימה דיגיטלית להגדרת מדיניות תקשורת (תמיד) ולאחר מכן לחץ על לא זמין.

חשוב סעיף, שיטה או משימה אלה מכילים שלבים שמסבירים כיצד לשנות את הרישום. עם זאת, בעיות חמורות עלולות להתרחש אם תשנה את הרישום באופן שגוי. לכן, הקפד לבצע שלבים אלה בזהירות. לקבלת הגנה נוספת, גבה את הרישום לפני שתשנה אותו. לאחר מכן, תוכל לשחזר את הרישום במקרה של בעיה. לקבלת מידע נוסף על אופן גיבוי ושחזור הרישום, לחץ על מספר המאמר הבא כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:

322756 כיצד לגבות ולשחזר את הרישום ב- Windows לחלופין, בטל את חתימת SMB בשרת על-ידי שינוי הרישום. לשם כך, בצע שלבים אלה:

1. לחץ על התחל, לחץ על הפעלה, הקלד regedit ולאחר מכן לחץ על אישור.

2. אתר את מפתח המשנה הבא ולחץ עליו:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

3. לחץ על ערך ה- enablesecuritysignature .

4. בתפריט עריכה , לחץ על שנה.

5. בתיבה נתוני ערך , הקלד 0 ולאחר מכן לחץ על אישור.

6. צא מעורך הרישום.

7. הפעל מחדש את המחשב, או הפסק ולאחר מכן הפעל מחדש את שירות השרת. לשם כך, הקלד את הפקודות הבאות בשורת פקודה ולאחר מכן הקש Enter לאחר הקלדת כל פקודה:
   net stop server
   net start server

הערה המפתח המתאים במחשב הלקוח נמצא במפתח המשנה הבא של הרישום:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters הרשימה הבאה מפרטת את מספרי קוד השגיאה המתורגמים אל קודי המצב ולהודעות השגיאה המילוליות שהוזכרו קודם לכן:

לקבלת מידע נוסף, לחץ על מספרי המאמרים הבאים כדי להציג את המאמרים מתוך מאגר הידע Microsoft Knowledge Base:

324802 כיצד להגדיר מדיניות קבוצתית כדי להגדיר אבטחה עבור שירותי מערכת ב- Windows Server 2003

816585 כיצד להחיל תבניות אבטחה מוגדרות מראש ב- Windows Server 2003