Problemi s klijentom, uslugom i programom mogu se pojaviti ako promijenite sigurnosne postavke i dodjele korisničkih prava

Windows XP

Da biste povećali razinu svijesti o pogrešno konfiguriranim sigurnosnim postavkama, pomoću alata pravilnik grupe Uređivač objekata promijenite sigurnosne postavke. Kada koristite uređivač pravilnik grupe objekta, dodjele korisničkih prava unaprijeđene su na sljedećim operacijskim sustavima:

• Windows XP Professional Service Pack 2 (SP2)

• Windows Server 2003 Service Pack 1 (SP1)

Poboljšana značajka dijaloški je okvir koji sadrži vezu na ovaj članak. Dijaloški se okvir pojavljuje kada promijenite sigurnosnu postavku ili dodjelu korisničkih prava postavki koja nudi manje kompatibilnosti i ima više ograničenja. Ako izravno promijenite istu sigurnosnu postavku ili dodjelu korisničkih prava pomoću registra ili pomoću sigurnosnih predložaka, efekt je isti kao promjena postavke u uređivaču pravilnik grupe objekta. No dijaloški okvir koji sadrži vezu na ovaj članak ne prikazuje se.

Ovaj članak sadrži primjere klijenata, programa i operacija na koje se odnose određene sigurnosne postavke ili dodjele korisničkih prava. Međutim, primjeri nisu mjerodavni za sve Microsoftove operacijske sustave, za sve operacijske sustave drugih proizvođača ili za sve verzije programa na koje se to odnosi. U ovom članku nisu obuhvaćene sve sigurnosne postavke i dodjele korisničkih prava.

Preporučujemo da provjerite kompatibilnost svih sigurnosnih promjena konfiguracije u testnim šumama prije nego što ih uvede u produkcijsko okruženje. Testna šuma mora odražavati proizvodnu šumu na sljedeće načine:

• Verzije klijentskog i poslužiteljskog operacijskog sustava, klijentski i poslužiteljski programi, verzije servisnog paketa, hitni popravci, promjene sheme, sigurnosne grupe, članstva u grupama, dozvole za objekte u datotečnom sustavu, zajedničke mape, registar, imenički servis Active Directory, lokalne i pravilnik grupe postavke te vrste i mjesta broja objekata

• Administrativni zadaci koji se izvršavaju, administrativni alati koji se koriste i operacijski sustavi koji se koriste za obavljanje administrativnih zadataka

• Operacije koje se izvode, kao što su sljedeće:

  • Provjera autentičnosti za računalo i prijavu korisnika

  • Ponovno postavljanje lozinke od strane korisnika, računala i administratora

  • Pregledavanje

  • Postavljanje dozvola za datotečni sustav, zajedničke mape, za registar i resurse servisa Active Directory pomoću ACL uređivača u svim klijentskim operacijskim sustavima u svim domenama računa ili resursa iz svih klijentskih operacijskih sustava sa svih domena računa ili resursa

  • Ispis s administrativnih i neadministrativnih računa

Windows Server 2003 SP1

Korisnička prava

Sljedeći popis opisuje korisničko pravo, određuje postavke konfiguracije koje mogu uzrokovati probleme, opisuje zašto biste trebali primijeniti korisničko pravo i zašto biste trebali ukloniti korisničko pravo te navodi primjere problema s kompatibilnošću do kojih može doći kada je korisničko pravo konfigurirano.

1. Pristup ovom računalu s mreže

   1. Pozadini
      
      Za interakciju s udaljenim računalima sa sustavom Windows potreban je Pristup ovom računalu s korisnikom mreže. Primjeri takvih mrežnih operacija obuhvaćaju sljedeće:

      • Replikacija servisa Active Directory između domenskog kontrolera u zajedničkoj domeni ili šumi

      • Zahtjevi za provjeru autentičnosti domenski kontroleri korisnika i računala

      • Pristup zajedničkim mapama, pisačima i drugim sistemskim servisima koji se nalaze na udaljenim računalima na mreži

      
      
      Korisnici, računala i računi servisa steknu ili izgube Pristup ovom računalu iz prava korisnika mreže tako da se eksplicitno ili implicitno dodaju ili uklanjaju iz sigurnosne grupe kojoj je dodijeljeno pravo ovog korisnika. Korisnički račun ili račun računala, primjerice, može izričito dodati u prilagođenu sigurnosnu grupu ili ugrađenu sigurnosnu grupu od strane administratora ili ga operacijski sustav može implicitno dodati u računalnu sigurnosnu grupu kao što su Korisnici domene, Autorizirani korisnici ili Domenski kontroleri za Velike tvrtke.
      
      Korisničkim računima i računima računala po zadanom se dodjeljuje Pristup ovom računalu od mrežnog korisnika kada su izračunate grupe kao što su Svi ili, po mogućnosti, Provjereni korisnici i, za kontrolere domene, grupa Kontrolori domene Enterprise definirani u zadanim domenski kontrolerima pravilnik grupe Object (GPO).

   2. Rizične konfiguracije
      
      Sljedeće su štetne postavke konfiguracije:

      • Uklanjanje sigurnosne grupe kontrolora domene enterprise s ovog korisničkog prava

      • Uklanjanje grupe Provjereni korisnici ili izričite grupe koja korisnicima, računalima i računima servisa omogućuje korisniku pravo na povezivanje s računalima putem mreže

      • Uklanjanje svih korisnika i računala s desna korisnika

   3. Razlozi dodjele prava korisniku

      • Dodjeljivanje pristupa ovom računalu od mrežnog korisnika izravno grupi Enterprise Domain Controllers zadovoljava preduvjete provjere autentičnosti koje active directory replikacija mora imati da bi se replikacija odvijala između kontrolora domena u istoj šumi.

      • Ovo korisničko pravo korisnicima i računalima omogućuje pristup zajedničkim datotekama, pisačima i sistemskim servisima, uključujući Active Directory.

      • To je korisničko pravo potrebno da bi korisnici mogli pristupati pošti pomoću ranih verzija programa Microsoft Outlook Web Access (OWA).

   4. Razlozi za uklanjanje prava korisnika

      • Korisnici koji mogu povezati svoja računala s mrežom mogu pristupiti resursima na udaljenim računalima za koja imaju dozvole. To je, primjerice, korisničko pravo potrebno da bi se korisnik povezio sa zajedničkim pisačima i mapama. Ako je ovo korisničko pravo dodijeljeno grupi Svi i ako neke zajedničke mape imaju konfigurirane dozvole za zajedničko korištenje i NTFS datotečni sustav tako da ista grupa ima pristup za čitanje, svatko može pregledavati datoteke u tim zajedničkim mapama. No to nije vjerojatno za nove instalacije sustava Windows Server 2003 jer zadane dozvole za zajedničko korištenje i NTFS u sustavu Windows Server 2003 ne obuhvaćaju grupu Svi. Za sustave koji su nadograđeni sa sustava Microsoft Windows NT 4.0 ili Windows 2000, ta ranjivost može imati višu razinu rizika jer zadano zajedničko korištenje i dozvole datotečnog sustava za te operacijske sustave nisu restriktivne kao zadane dozvole u sustavu Windows Server 2003.

      • Ne postoji valjan razlog uklanjanja grupe Enterprise Domain Controllers s ovog korisničkog prava.

      • Grupa Svi obično se uklanja u korist grupe Autorizirani korisnici. Ako je grupa Svi uklonjena, grupi Provjereni korisnici mora se dodijeliti pravo ovog korisnika.

      • Domene sustava Windows NT 4.0 koje su nadograđene na Windows 2000 ne dodjeljuju izričito Access ovom računalu od mrežnog korisnika pravo na grupu Svi, grupu Provjereni korisnici ili grupu Kontrolori domene enterprise. Stoga, kada uklonite grupu Svi iz pravilnika domene sustava Windows NT 4.0, replikacija servisa Active Directory neće uspjeti s porukom o pogrešci "Pristup je odbijen" nakon nadogradnje na Windows 2000. Winnt32.exe u sustavu Windows Server 2003 izbjegava ovu pogrešku dodjeljivanjem grupi Enterprise Domain Controllers ovom korisniku prilikom nadogradnje primarnih domenskog kontrolera (PDC-ova) sustava Windows NT 4.0. Dodijelite enterprise domain controllers grupirajte ovog korisnika ako ne postoji u uređivaču pravilnik grupe objekta.

   5. Primjeri problema s kompatibilnošću

      • Windows 2000 i Windows Server 2003: replikacija sljedećih particija neće uspjeti uz pogreške "Pristup je odbijen" koje su prijavljene praćenjem alata kao što su REPLMON i REPADMIN ili događaji replikacije u zapisniku događaja.

        • Particija sheme servisa Active Directory

        • Konfiguracijska particija

        • Particija domene

        • Particija globalnog kataloga

        • Particija aplikacije

      • Svi operacijski sustavi Microsoftove mreže: provjera autentičnosti korisničkog računa s klijentskih računala udaljene mreže neće uspjeti, osim ako korisniku ili sigurnosnoj grupi za koju je korisnik član nije dodijeljeno pravo ovog korisnika.

      • Svi operacijski sustavi Microsoftove mreže: provjera autentičnosti računa s udaljenih mrežnih klijenata neće uspjeti, osim ako je računu ili sigurnosnoj grupi za koju je račun član dodijeljeno pravo tog korisnika. Taj se scenarij odnosi na korisničke račune, račune računala i račune servisa.

      • Svi operacijski sustavi Microsoftove mreže: uklanjanjem svih računa s tog korisničkog prava spriječit ćete prijavu bilo kojeg računa na domenu ili pristup mrežnim resursima. Ako su izračunate grupe kao što su korporacijski domenski kontroleri, svi ili autorizirani korisnici uklonjeni, korisniku morate izričito dodijeliti pravo računa ili sigurnosnim grupama u kojima je račun član za pristup udaljenim računalima putem mreže. Taj se scenarij odnosi na sve korisničke račune, sve račune računala i sve račune servisa.

      • Svi operacijski sustavi Microsoftove mreže: račun lokalnog administratora koristi "praznu" lozinku. Mrežna veza s praznim lozinkama nije dopuštena za administratorske račune u okruženju domene. Uz ovu konfiguraciju možete očekivati da ćete primiti poruku o pogrešci "Pristup je odbijen".

2. Dopusti lokalnu prijavu

   1. Pozadini
      
      Korisnici koji se pokušavaju prijaviti na konzoli računala sa sustavom Windows (pomoću tipkovnog prečaca CTRL + ALT + DELETE) i računi koji pokušavaju pokrenuti servis moraju imati lokalne privilegije za prijavu na hosting računalu. Primjeri lokalnih operacija prijave obuhvaćaju administratore koji se prijavljivanjem na konzole računala članova ili domenske kontrolere u cijeloj tvrtki i domeni korisnika koji se prijavom na računala članova prijavom pristupaju svojim računalima pomoću računa koji nisu privilegirani. Korisnici koji koriste vezu s udaljenom radnom površinom ili terminalskom uslugom moraju imati postavku Dopusti prijavu lokalno korisniku izravno na odredišnim računalima sa sustavom Windows 2000 ili Windows XP jer se ti načini prijave smatraju lokalnima na hosting računalu. Korisnici koji se prijavljivaju na poslužitelj na kojem je omogućen terminalski poslužitelj i koji nemaju to korisničko pravo i dalje mogu pokrenuti udaljenu interaktivnu sesiju u domenama sustava Windows Server 2003 ako imaju pravo na omogućivanje prijave putem korisnika servisa Terminal Services.

   2. Rizične konfiguracije
      
      Sljedeće su štetne postavke konfiguracije:

      • Uklanjanje administrativnih sigurnosnih grupa, uključujući operatore računa, operatore sigurnosnih kopija, operatore ispisa ili poslužiteljske operatore i ugrađenu grupu administratora iz pravilnika zadanog kontrolora domene.

      • Uklanjanje računa servisa koje koriste komponente i programi na računalima članova i kontrolorima domene u domeni iz pravilnika zadanog domenskog kontrolera.

      • Uklanjanje korisnika ili sigurnosnih grupa koje se prijavljivaju na konzolu računala članova u domeni.

      • Uklanjanje računa servisa definiranih u lokalnoj bazi podataka upravitelja sigurnosnih računa (SAM) na računalima članova ili računalima radne grupe.

      • Uklanjanjem neugraćenih administrativnih računa koji provjeravaju autentičnost putem servisa Terminal Services koji se izvodi na domenskom kontroleru.

      • Dodavanje svih korisničkih računa u domeni izričito ili implicitno putem grupe Svi u okvir Odbij prijavu lokalno. Ova konfiguracija korisnicima onemogućuje prijavu na bilo koje računalo člana ili bilo koji domenski kontroler u domeni.

   3. Razlozi dodjele prava korisniku

      • Korisnici moraju imati lokalno korisničko pravo dopusti prijavu da bi pristupili konzoli ili radnoj površini računala radne grupe, članskog računala ili domenskog kontrolera.

      • Korisnici moraju imati pravo na prijavu putem sesije terminalskog servisa koja se izvodi na računalu ili domenskom kontroleru utemeljenom na prozoru 2000.

   4. Razlozi za uklanjanje prava korisnika

      • Ako ne ograničite pristup konzoli na legitimne korisničke račune, neovlašteni korisnici mogu preuzeti i izvršavati zlonamjerni kod da bi promijenili svoja korisnička prava.

      • Uklanjanjem prava dopusti prijavu lokalno korisniku sprječavaju se neovlaštene prijave na konzolama računala, kao što su domenski kontroleri ili poslužitelji aplikacija.

      • Uklanjanjem ovog prava za prijavu sprječava se prijava računa koji nisu domenski na konzoli računala članova u domeni.

   5. Primjeri problema s kompatibilnošću

      • Terminalski poslužitelji sustava Windows 2000: za korisnike je potrebno lokalno korisničko pravo dopusti prijavu na terminalske poslužitelje sustava Windows 2000.

      • Windows NT 4.0, Windows 2000, Windows XP ili Windows Server 2003: korisničkim računima mora se dodijeliti pravo na prijavu na konzoli računala sa sustavom Windows NT 4.0, Windows 2000, Windows XP ili Windows Server 2003.

      • Windows NT 4.0 i noviji: na računalima sa sustavom Windows NT 4.0 i novijim, ako dodate pravo dopusti prijavu lokalno korisnika, ali implicitno ili eksplicitno dodijelite i lokalno prijavno pravo na Odbijanje prijave, računi se neće moći prijaviti na konzolu domenskih kontrolera.

3. Zaobiđi provjeru prijelaza

   1. Pozadini
      
      Desna provjera zaobilazna pristupa korisniku omogućuje pregledavanje mapa u NTFS datotečnom sustavu ili u registru bez provjere dozvole za poseban pristup mapi Traverse. Desna provjera zaobilazna prijelaza korisniku ne dopušta korisniku popis sadržaja mape. Omogućuje korisniku da prelama samo mape.

   2. Rizične konfiguracije
      
      Sljedeće su štetne postavke konfiguracije:

      • Uklanjanje računa koji nisu administrativni koji se prijavljivaju na računala terminalskih servisa sa sustavom Windows 2000 ili računala sa sustavom Windows Server 2003 koja nemaju dozvole za pristup datotekama i mapama u datotečnom sustavu.

      • Uklanjanje grupe Svi s popisa upravitelja sigurnosti koji po zadanom imaju pravo na tog korisnika. Operacijski sustavi Windows, kao i mnogi programi, osmišljeni su prema očekivanjima da će svatko tko može legitimno pristupiti računalu imati pravo na provjeru korisnika zaobilaženjem. Stoga uklanjanje grupe Svi s popisa upravitelja sigurnosti koji po zadanom imaju pravo ovog korisnika može dovesti do nestabilnosti operacijskog sustava ili pogreške programa. Bolje je da tu postavku ostavite kao zadanu.

   3. Razlozi dodjele prava korisniku
      
      Zadana je postavka za provjeru korisničkog prava Zaobilaženje prijelaza tako da svima dopustite zaobilaženje provjere prijelaza. Za iskusne administratore sustava Windows to je očekivano ponašanje i u skladu s tim konfiguriraju popise kontrola pristupa datotečnom sustavu (SACLs). Jedini scenarij u kojem zadana konfiguracija može dovesti do nesreće jest ako administrator koji konfigurira dozvole ne razumije ponašanje i očekuje da korisnici koji ne mogu pristupiti nadređenoj mapi neće moći pristupiti sadržaju podređenih mapa.

   4. Razlozi za uklanjanje prava korisnika
      
      Da biste pokušali spriječiti pristup datotekama ili mapama u datotečnom sustavu, tvrtke ili ustanove koje su vrlo zabrinute zbog sigurnosti mogu biti u iskušenju ukloniti grupu Svi, pa čak i grupu Korisnici, s popisa grupa s desne strane provjere korisnika zaobilaženjem.

   5. Primjeri problema s kompatibilnošću

      • Windows 2000, Windows Server 2003: ako je korisničko pravo zaobilaženje provjere prijelaza uklonjeno ili je pogrešno konfigurirano na računalima sa sustavom Windows 2000 ili Windows Server 2003, pravilnik grupe postavke u mapi SYVOL neće se replicirati između kontrolora domene u domeni.

      • Windows 2000, Windows XP Professional, Windows Server 2003: računala sa sustavom Windows 2000, Windows XP Professional ili Windows Server 2003 evidentirat će događaje 1000 i 1202 i neće moći primijeniti pravilnik o računalu i korisnički pravilnik kada se obavezne dozvole datotečnog sustava uklonili iz stabla SYSVOL ako se ukloni korisničko pravo za provjeru zaobilaženje zaobilaženje.
        
         

      • Windows 2000, Windows Server 2003: Na računalima sa sustavom Windows 2000 ili Windows Server 2003 kartica Kvota u programu Windows Explorer nestaje kada pregledavate svojstva na jedinici.

      • Windows 2000: administratori koji se prijave na terminalski poslužitelj sustava Windows 2000 mogu primiti sljedeću poruku o pogrešci:

        Userinit.exe aplikacije. Aplikacija se nije pravilno inicijalizirala 0xc0000142 kliknite U redu da biste prekinuli aplikaciju.

      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: korisnici na računalima sa sustavom Windows NT 4.0, Windows 2000, Windows XP ili Windows Server 2003 možda neće moći pristupiti zajedničkim mapama ili datotekama u zajedničkim mapama i mogu primiti poruke o pogrešci "Pristup je odbijen" ako im se ne odobri prava provjere korisnika zaobilaženjem.
        
        
         

      • Windows NT 4.0: na računalima sa sustavom Windows NT 4.0 uklanjanjem prava zaobilazna provjera korisnikova prava uzrokovat će kopiranje datoteke radi odbacivanja strujanja datoteka. Ako tog korisnika uklonite izravno, kada se datoteka kopira iz klijenta sustava Windows ili iz klijenta macintosh na domenski kontroler sustava Windows NT 4.0 na kojem se izvodi Servisi za Macintosh, odredišni se tok datoteke gubi i datoteka se prikazuje kao tekstna datoteka.

      • Microsoft Windows 95, Microsoft Windows 98: Na klijentskom računalu sa sustavom Windows 95 ili Windows 98 naredba net use * /home neće uspjeti s porukom o pogrešci "Pristup je odbijen" ako se grupi Provjereni korisnici ne odobri pravo korisnika za provjeru zaobilazna pristupa.

      • Outlook Web Access: administratori koji nisu administratori neće se moći prijaviti u Microsoft Outlook Web Access i primit će poruku o pogrešci "Pristup je odbijen" ako im se ne dodijeli korisničko pravo zaobilaženje provjere pristupa.

Sigurnosne postavke

Sljedeći popis identificira sigurnosnu postavku, a ugniježđeni popis sadrži opis sigurnosne postavke, određuje postavke konfiguracije koje mogu uzrokovati probleme, opisuje zašto biste trebali primijeniti sigurnosnu postavku, a zatim opisuje razloge zbog kojih možda želite ukloniti sigurnosnu postavku. Ugniježđeni popis zatim sadrži simbolički naziv sigurnosne postavke i put registra sigurnosne postavke. Naposljetku, navedeni su primjeri problema s kompatibilnošću koji se mogu pojaviti kada je sigurnosna postavka konfigurirana.

1. Nadzor: odmah zatvorite sustav ako nije moguće prijaviti sigurnosne nadzore

   1. Pozadina

      • Nadzor: isključivanje sustava odmah ako postavka sigurnosnog nadzora ne može evidentirati određuje zatvara li se sustav ako ne možete evidentirati sigurnosne događaje. Ta je postavka potrebna za procjenu C2 programa Trusted Computer Security Evaluation Criteria (TCSEC) i za procjenu zajedničkih kriterija za procjenu sigurnosti informacijske tehnologije radi sprječavanja događaja koji se mogu revidirati ako nadzorni sustav ne može evidentirati te događaje. Ako sustav nadzora ne uspije, sustav se zatvara i prikazuje se poruka o pogrešci Stop.

      • Ako računalo ne može snimati događaje u sigurnosni zapisnik, kritični dokazi ili važne informacije o otklanjanju poteškoća možda neće biti dostupne za pregled nakon sigurnosnog incidenta.

   2. Risky configuration
      
      Slijedi štetna postavka konfiguracije: Nadzor: isključivanje sustava odmah ako je uključena postavka Ne prebriši sigurnosne nadzore, a veličina zapisnika sigurnosnih događaja ograničena je mogućnošću Ne prebriši događaje (izbriši zapisnik ručno), mogućnost Prebriši događaje po potrebi ili mogućnost Prebriši događaje starije od broja dana u programu Preglednik događaja. Informacije o specifičnim rizicima za računala na kojima je instalirana izvorna objavljena verzija sustava Windows 2000, Windows 2000 Service Pack 1 (SP1), Windows 2000 SP2 ili Windows 2000 SP3 potražite u odjeljku "Primjeri problema s kompatibilnošću".

   3. Razlozi omogućivanja te postavke
      
      Ako računalo ne može snimati događaje u sigurnosni zapisnik, kritični dokazi ili važne informacije o otklanjanju poteškoća možda neće biti dostupne za pregled nakon sigurnosnog incidenta.

   4. Razlozi za onemogućivanje te postavke

      • Omogućivanje nadzora: isključivanje sustava odmah ako postavka sigurnosnog nadzora ne može evidentirati zaustavlja sustav ako se sigurnosni nadzor iz bilo kojeg razloga ne može zapisati. Događaj se obično ne može zapisati kada je zapisnik sigurnosnog nadzora pun, a kada je navedena metoda zadržavanja mogućnost Nemoj prebrisati događaje (izbriši zapisnik ručno) ili mogućnost Prebriši događaje starije od broja dana.

      • Administrativno opterećenje omogućivanja nadzora: isključivanje sustava odmah ako postavka sigurnosnog nadzora nije moguća može biti vrlo visoka, osobito ako uključite i mogućnost Ne prebriši događaje (izbriši zapisnik ručno) za sigurnosni zapisnik. Ta postavka omogućuje pojedinačnu odgovornost za radnje operatera. Administrator, primjerice, može ponovno postaviti dozvole za sve korisnike, računala i grupe u organizacijskoj jedinici (OU) u kojoj je nadzor omogućen pomoću ugrađenog administratorskog računa ili drugog zajedničkog računa, a zatim odbiti ponovno postavljanje takvih dozvola. No omogućivanjem te postavke smanjuje se robusnost sustava jer je poslužitelj možda prisiljen isključiti tako da je zatrpan događajima prijave i drugim sigurnosnim događajima koji su napisani u sigurnosni zapisnik. Osim toga, zbog toga što isključivanje nije graciozan, može doći do nepopravljivih oštećenja operacijskog sustava, programa ili podataka. Iako NTFS jamči održavanje integriteta datotečnog sustava tijekom neočekivanog isključivanja sustava, ne može jamčiti da će svaka podatkovna datoteka za svaki program i dalje biti u upotrebljivom obliku kada se sustav ponovno pokrene.

   5. Simbolički naziv:
      
      CrashOnAuditFail

   6. Put registra:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

   7. Primjeri problema s kompatibilnošću

      • Windows 2000: zbog programske pogreške računala na kojima je instalirana izvorna objavljena verzija sustava Windows 2000, Windows 2000 SP1, Windows 2000 SP2 ili Windows Server SP3 mogu prestati zapisivati događaje prije nego što se dosegne veličina navedena u mogućnosti Maksimalna veličina zapisnika za zapisnik sigurnosnih događaja. Ta je pogreška riješena u sustavu Windows 2000 Service Pack 4 (SP4). Prije nego što razmislite o omogućivanju te postavke, provjerite jesu li na domenski kontroleri sustava Windows 2000 instaliran Windows 2000 Service Pack 4.
        
         

      • Windows 2000, Windows Server 2003: Računala sa sustavom Windows 2000 ili Windows Server 2003 mogu prestati reagirati, a zatim se mogu spontano ponovno pokrenuti ako je nadzor: Isključivanje sustava odmah ako postavka sigurnosnog nadzora nije moguća, sigurnosni zapisnik je pun, a postojeći unos zapisnika događaja ne može se prebrisati. Kada se računalo ponovno pokrene, prikazat će se sljedeća poruka o pogrešci Stop:

        STOP: C0000244 {Nadzor nije uspio}
        Pokušaj generiranja sigurnosnog nadzora nije uspio.

        Da bi se oporavio, administrator se mora prijaviti, arhivirati sigurnosni zapisnik (neobavezno), očistiti sigurnosni zapisnik, a zatim ponovno postaviti tu mogućnost (neobavezno i po potrebi).

      • Microsoftov mrežni klijent za MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Ne-administratori koji se pokušaju prijaviti na domenu primit će sljedeću poruku o pogrešci:

        Vaš je račun konfiguriran tako da vas sprječava da koristite ovo računalo. Pokušajte s drugim računalom.

      • Windows 2000: na računalima sa sustavom Windows 2000 ne-administratori se neće moći prijaviti na poslužitelje s daljinskim pristupom i primit će poruku o pogrešci sličnu sljedećoj:

        Nepoznata korisnička ili loša lozinka

      • Windows 2000: na domenski kontrolerima sustava Windows 2000 servis za razmjenu poruka na web-mjestu (Ismserv.exe) zaustavit će se i ne može se ponovno pokrenuti. DCDIAG će prijaviti pogrešku kao "neuspjele usluge testiranja ISMserv", a ID događaja 1083 bit će registriran u zapisniku događaja.

      • Windows 2000: na domenski kontrolerima sustava Windows 2000 replikacija servisa Active Directory neće uspjeti, a poruka "Pristup je odbijen" prikazat će se ako je zapisnik sigurnosnih događaja pun.

      • Microsoft Exchange 2000: poslužitelji sa sustavom Exchange 2000 neće moći postaviti bazu podataka spremišta podataka, a događaj 2102 bit će registriran u zapisniku događaja.

      • Outlook, Outlook Web Access: korisnici koji nisu administratori neće moći pristupiti svojoj pošti putem programa Microsoft Outlook ni putem programa Microsoft Outlook Web Access i primit će pogrešku 503.

2. Kontrolor domene: preduvjeti za potpisivanje LDAP poslužitelja

   1. Pozadini
      
      Postavka sigurnosti preduvjeta za potpisivanje LDAP poslužitelja određuje je li za poslužitelj Lightweight Directory Access Protocol (LDAP) potreban LDAP klijenti za pregovore o potpisivanju podataka. Moguće vrijednosti za tu postavku pravilnika su sljedeće:

      • Ništa: za povezivanje s poslužiteljem nije potrebno potpisivanje podataka. Ako klijent zatraži potpisivanje podataka, poslužitelj ga podržava.

      • Obavezno potpisivanje: mogućnost potpisivanja podataka LDAP mora se pregovarati ako se ne koristi Transport Layer Security/Secure Socket Layer (TLS/SSL).

      • nije definirano: ta postavka nije omogućena ili onemogućena.

   2. Rizične konfiguracije
      
      Sljedeće su štetne postavke konfiguracije:

      • Omogućivanje Obavezno prijavljivanje u okruženjima u kojima klijenti ne podržavaju potpisivanje LDAP-a ili u kojima klijentsko potpisivanje LDAP-a nije omogućeno na klijentu

      • Primjena sigurnosnog predloška Windows 2000 ili Windows Server 2003 Hisecdc.inf u okruženjima u kojima klijenti ne podržavaju potpisivanje LDAP-a ili u kojima klijentsko potpisivanje LDAP-a nije omogućeno

      • Primjena sigurnosnog predloška Windows 2000 ili Windows Server 2003 Hisecws.inf u okruženjima u kojima klijenti ne podržavaju potpisivanje LDAP-a ili u kojima klijentsko potpisivanje LDAP nije omogućeno

   3. Razlozi omogućivanja te postavke
      
      Nepotpisan mrežni promet osjetljiv je na napade u sredini, pri čemu uljez snima pakete između klijenta i poslužitelja, mijenja pakete, a zatim ih prosljeđuje poslužitelju. Kada se to ponašanje dogodi na LDAP poslužitelju, napadač može uzrokovati da poslužitelj donosi odluke koje se temelje na lažnim upitima iz LDAP klijenta. Taj rizik možete smanjiti u poslovnoj mreži implementacijom snažnih fizičkih sigurnosnih mjera radi zaštite mrežne infrastrukture. Način zaglavlja za provjeru autentičnosti internetskog protokola (IPSec) može spriječiti napade muškarca u sredini. Način zaglavlja provjere autentičnosti izvodi zajedničku provjeru autentičnosti i integritet paketa za IP promet.

   4. Razlozi za onemogućivanje te postavke

      • Klijenti koji ne podržavaju potpisivanje LDAP-a neće moći izvršavati LDAP upite s kontrolorima domene i globalnim katalogima ako se pregovara o NTLM provjeri autentičnosti i ako na domenski kontrolerima sustava Windows 2000 nisu instalirani odgovarajući servisni paketi.

      • Mrežni tragovi LDAP prometa između klijenata i poslužitelja bit će šifrirani. To otežava pregled LDAP razgovora.

      • Poslužitelji utemeljeni na sustavu Windows 2000 moraju imati Windows 2000 Service Pack 3 (SP3) ili instalirani kada se admini rede s programima koji podržavaju potpisivanje LDAP-a koji se pokreću s klijentskih računala sa sustavom Windows 2000 SP4, Windows XP ili Windows Server 2003.  

   5. Simbolički naziv:
      
      LDAPServerIntegrity

   6. Put registra:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

   7. Primjeri problema s kompatibilnošću

      • Jednostavna veza neće uspjeti i primit ćete sljedeću poruku o pogrešci:

        Ldap_simple_bind_s() nije uspjelo: potrebna je jaka provjera autentičnosti.

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Na klijentima sa sustavom Windows 2000 SP4, Windows XP ili Windows Server 2003 neki alati za administraciju servisa Active Directory neće ispravno funkcionirati s domenskim kontrolerima koji koriste verzije sustava Windows 2000 koje su starije od SP3 kada se pregovara o NTLM provjeri autentičnosti.
        
         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Na klijentima sa sustavom Windows 2000 SP4, Windows XP ili Windows Server 2003 neki alati za administraciju servisa Active Directory koji ciljaju domenske kontrolere koji koriste verzije sustava Windows 2000 starije od SP3 neće ispravno funkcionirati ako koriste IP adrese (na primjer, "dsa.msc /server=x.x.x.x" gdje
        je x.x.x.x IP adresa).
        
        
         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Na klijentima sa sustavom Windows 2000 SP4, Windows XP ili Windows Server 2003 neki alati za administraciju servisa Active Directory koji ciljaju domenske kontrolere koji koriste verzije sustava Windows 2000 starije od SP3 neće ispravno funkcionirati.
        
         

3. Član domene: ključ sesije potreban je jak (Windows 2000 ili noviji)

   1. Pozadina

      • Član domene: obavezna postavka ključa sesije (Windows 2000 ili novija) određuje može li se sigurni kanal uspostaviti pomoću domenskog kontrolera koji ne može šifrirati siguran promet kanala pomoću snažnog, 128-bitnog ključa sesije. Omogućivanjem te postavke sprječava se uspostavljanje sigurnog kanala s bilo kojim domenski kontrolerom koji ne može šifrirati sigurne podatke o kanalu pomoću snažnog ključa. Onemogućivanje te postavke omogućuje 64-bitne tipke sesije.

      • Prije omogućivanja te postavke na radnoj stanici člana ili na poslužitelju, svi domenski kontroleri u domeni kojoj član pripada moraju moći šifrirati sigurne podatke kanala pomoću snažnog 128-bitnog ključa. To znači da svi takvi domenski kontroleri moraju imati Windows 2000 ili noviji.

   2. Risky configuration
      
      Omogućivanje člana domene: postavka ključa sesije Potrebna je jaka (Windows 2000 ili novija) postavka sesije štetna je postavka konfiguracije.

   3. Razlozi omogućivanja te postavke

      • Ključevi sesija koji se koriste za uspostavu sigurne komunikacije kanala između računala članova i domenskih kontrolera mnogo su jači u sustavu Windows 2000 nego u starijim verzijama Microsoftovih operacijskih sustava.

      • Kada je to moguće, dobra je ideja iskoristiti te jače tipke sesije da biste zaštitili sigurnu komunikaciju kanala od prislušnog prislušnog i od napada na mrežu sesije. Prisluškivanje je oblik zlonamjernog napada u kojem se mrežni podaci čitaju ili mijenjaju u tranzitu. Podatke je moguće izmijeniti radi sakrivanja ili promjene pošiljatelja ili preusmjeravanja.

      Važno Računalo sa sustavom Windows Server 2008 R2 ili Windows 7 podržava samo jake tipke kada se koriste sigurni kanali. Ovo ograničenje sprječava pouzdanost između domene utemeljene na sustavu Windows NT 4.0 i bilo koje domene utemeljene na sustavu Windows Server 2008 R2. Uz to ograničenje blokira članstvo u domeni utemeljenom na sustavu Windows NT 4.0 za računala sa sustavom Windows 7 ili Windows Server 2008 R2 i obrnuto.

   4. Razlozi za onemogućivanje te postavke
      
      Domena sadrži računala članova s operacijskim sustavima koji nisu Windows 2000, Windows XP ili Windows Server 2003.

   5. Simbolički naziv:
      
      StrongKey

   6. Put registra:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

   7. Primjeri problema s kompatibilnošću
      
      Windows NT 4.0: na računalima sa sustavom Windows NT 4.0 vraćanje sigurnih kanala pouzdanih odnosa između domena sustava Windows NT 4.0 i Windows 2000 s NLTEST-om ne uspijeva. Prikazat će se poruka o pogrešci "Pristup je odbijen":

      Odnos pouzdanosti između primarne domene i pouzdane domene nije uspio.
      
      Windows 7 i Server 2008 R2: za Windows 7 i novije verzije i Windows Server 2008 R2 i novije verzije ta postavka više nije počašćena i ključ se uvijek koristi. Zbog toga pouzdane domene sustava Windows NT 4.0 više ne funkcioniraju.

4. Član domene: digitalno šifriranje ili potpisivanje sigurnih podataka o kanalu (uvijek)

   1. Pozadina

      • Omogućivanje člana domene: digitalno šifriranje ili potpisivanje sigurnih podataka o kanalu (uvijek) sprječava uspostavljanje sigurnog kanala s bilo kojim domenski kontrolerom koji ne može potpisati ni šifrirati sve sigurne podatke kanala. Da bi se zaštitio promet provjere autentičnosti od napada u sredini, ponovne reprodukcije napada i drugih vrsta mrežnih napada, računala sa sustavom Windows stvaraju komunikacijski kanal koji se naziva sigurnim kanalom putem servisa Net Logon radi provjere autentičnosti računa računala. Sigurni kanali koriste se i kada se korisnik u jednoj domeni poveže s mrežnim resursom na udaljenoj domeni. Ova višestruka provjera autentičnosti ili prolazna provjera autentičnosti omogućuje računalu sa sustavom Windows koje je pridruženo domeni pristup bazi podataka korisničkog računa u svojoj domeni i u svim pouzdanim domenama.

      • Da biste omogućili član domene: digitalno šifrirajte ili potpisujte postavke sigurnog kanala (uvijek) na računalu članu, svi kontrolori domene u domeni kojoj član pripada moraju moći potpisati ili šifrirati sve sigurne podatke o kanalu. To znači da svi takvi domenski kontroleri moraju imati Windows NT 4.0 sa servisnim paketom Service Pack 6a (SP6a) ili novijim.

      • Omogućivanje člana domene: postavka digitalno šifriraj ili potpiši podatke sigurnog kanala (uvijek) automatski omogućuje članu domene: digitalno šifrirajte ili potpišite postavke podataka sigurnog kanala (kada je to moguće).

   2. Risky configuration
      
      Omogućivanje člana domene: postavka digitalno šifriraj ili potpiši podatke sigurnog kanala (uvijek) u domenama u kojima svi domenski kontroleri ne mogu potpisati ili šifrirati podatke sigurnog kanala štetna je postavka konfiguracije.

   3. Razlozi omogućivanja te postavke
      
      Nepotpisan mrežni promet osjetljiv je na napade u sredini, pri čemu uljez snima pakete između poslužitelja i klijenta, a zatim ih mijenja prije prosljeđivanja klijentu. Kada se to ponašanje dogodi na poslužitelju protokola Lightweight Directory Access Protocol (LDAP), uljez može uzrokovati da klijent donosi odluke koje se temelje na lažnim zapisima iz LDAP imenika. Rizik od takvog napada na korporacijske mreže možete smanjiti implementacijom snažnih fizičkih sigurnosnih mjera radi zaštite mrežne infrastrukture. Uz to, implementacija načina zaglavlja za provjeru autentičnosti internetskog protokola (IPSec) može spriječiti napade muškarca u sredini. Taj način rada izvodi zajedničku provjeru autentičnosti i integritet paketa za IP promet.

   4. Razlozi za onemogućivanje te postavke

      • Računala u lokalnim ili vanjskim domenama podržavaju šifrirane sigurne kanale.

      • Nemaju svi domenski kontroleri u domeni odgovarajuće razine revizije servisnog paketa za podršku šifriranih sigurnih kanala.

   5. Simbolički naziv:
      
      StrongKey

   6. Put registra:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

   7. Primjeri problema s kompatibilnošću

      • Windows NT 4.0: računala članova sustava Windows 2000 neće se moći pridružiti domenama sustava Windows NT 4.0 i primit će sljedeću poruku o pogrešci:

        Račun nije ovlašten za prijavu iz ove stanice.

        Dodatne informacije potražite u članku iz Microsoftove baze znanja pod sljedećim brojem:

        281648 Poruka o pogrešci: račun nije ovlašten za prijavu s ove stanice
         

      • Windows NT 4.0: domene sustava Windows NT 4.0 neće moći uspostaviti pouzdanost na niskoj razini s domenom sustava Windows 2000 i primit će sljedeću poruku o pogrešci:

        Račun nije ovlašten za prijavu iz ove stanice.

        Postojeće pouzdanosti na nižu razinu možda neće provjeriti autentičnost korisnika s pouzdane domene. Neki korisnici mogu imati problema prilikom prijave na domenu i mogu primiti poruku o pogrešci u kojoj se kaže da klijent ne može pronaći domenu.

      • Windows XP: klijenti sustava Windows XP pridruženi domenama sustava Windows NT 4.0 neće moći provjeriti autentičnost pokušaja prijave i možda će primiti sljedeću poruku o pogrešci ili se sljedeći događaji mogu registrirati u zapisniku događaja:

        Windows se ne može povezati s domenom jer je domenski kontroler isključen ili na neki drugi način nedostupan ili jer račun računala nije pronađen

      • Microsoftova mreža: klijenti Microsoftove mreže primit će jednu od sljedećih poruka o pogrešci:

        Prijava nije uspjela: nepoznato korisničko ime ili neispravna lozinka.

        Za navedenu sesiju prijave ne postoji ključ korisničke sesije.

5. Klijent Microsoftove mreže: digitalno potpisivanje komunikacija (uvijek)

   1. Pozadini
      
      Server Message Block (SMB) protokol je za zajedničko korištenje resursa koji podržavaju mnogi Microsoftovi operacijski sustavi. To je osnova osnovnog ulaznog/izlaznog sustava mreže (NetBIOS) i mnogih drugih protokola. Potpisivanje SMB provjerava autentičnost korisnika i poslužitelja koji hostira podatke. Ako neka strana ne uspije proces provjere autentičnosti, prijenos podataka neće se dogoditi.
      
      Omogućivanje potpisivanja SMB-a započinje tijekom pregovora o protokolu SMB. Pravilnici za potpisivanje SMB-a određuju je li računalo uvijek digitalno potpisivanje klijentske komunikacije.
      
      Protokol za provjeru autentičnosti windows 2000 SMB podržava zajedničku provjeru autentičnosti. Zajednička provjera autentičnosti zatvara napad "čovjek-u-sredini". Protokol za provjeru autentičnosti windows 2000 SMB podržava i provjeru autentičnosti poruka. Provjera autentičnosti poruke pridonosi sprječavanju aktivnih napada poruka. Da bi vam se dala ova provjera autentičnosti, potpisivanje SMB-a stavlja digitalni potpis u svaki SMB. Klijent i poslužitelj provjeravaju digitalni potpis.
      
      Da biste koristili potpisivanje SMB-a, morate omogućiti potpisivanje SMB-a ili zahtijevati potpisivanje SMB-a na SMB klijentu i na SMB poslužitelju. Ako je na poslužitelju omogućeno potpisivanje SMB-a, klijenti koji su omogućeni za potpisivanje SMB-a koriste protokol potpisivanja paketa tijekom svih narednih sesija. Ako je na poslužitelju potrebno potpisivanje SMB-a, klijent ne može uspostaviti sesiju osim ako je klijent omogućen ili obavezan za potpisivanje SMB-a.
      
      
      Omogućivanjem digitalne prijave u mreže visoke sigurnosti sprječava se oponašanje klijenata i poslužitelja. Ta vrsta oponašanja poznata je pod nazivom otmica sesije. Napadač koji ima pristup istoj mreži kao klijent ili poslužitelj koristi alate za otmicu sesije da bi prekinuo, prekinuo ili ukrao sesiju koja je u tijeku. Napadač može presresti i izmijeniti nepotpisane SMB pakete, izmijeniti promet, a zatim ga proslijediti tako da poslužitelj može izvoditi neželjene akcije. Ili, napadač može predstavljati kao poslužitelj ili kao klijent nakon legitimne provjere autentičnosti, a zatim dobiti neovlašten pristup podacima.
      
      SMB protokol koji se koristi za zajedničko korištenje datoteka i za zajedničko korištenje ispisa na računalima sa sustavom Windows 2000 Server, Windows 2000 Professional, Windows XP Professional ili Windows Server 2003 podržava zajedničku provjeru autentičnosti. Zajednička provjera autentičnosti zatvara napade otmicom sesije i podržava provjeru autentičnosti poruka. Zbog toga sprječava napade muškarca u sredini. Potpisivanje SMB-a omogućuje tu provjeru autentičnosti postavljanjem digitalnog potpisa u svaki SMB. Klijent i poslužitelj zatim provjerite potpis.
      
      Bilješke

      • Kao alternativu protumjere možete omogućiti digitalne potpise pomoću servisa IPSec da biste zaštitili sav mrežni promet. Postoje hardverski ubrzivači za ŠIFRIRANJE IPSec i potpisivanje koje možete koristiti za minimiziranje utjecaja na performanse procesora poslužitelja. Ne postoje takvi ubrzivači koji su dostupni za potpisivanje SMB-a.
        
        Dodatne informacije potražite u poglavlju Komunikacija o digitalnom potpisivanju poslužitelja na Microsoftovu web-mjestu MSDN- a.
        
        Konfigurirajte SMB potpisivanje pravilnik grupe uređivača objekata jer promjena lokalne vrijednosti registra nema učinka ako postoji nadjačavanje pravilnika domene.

      • U sustavima Windows 95, Windows 98 i Windows 98 Second Edition klijent usluge direktorija koristi potpisivanje SMB-a kada provjerava autentičnost s poslužiteljima sustava Windows Server 2003 pomoću NTLM provjere autentičnosti. Međutim, ti klijenti ne koriste SMB potpisivanje kada provjere autentičnost s tim poslužiteljima pomoću provjere autentičnosti NTLMv2. Osim toga, poslužitelji sustava Windows 2000 ne odgovaraju na zahtjeve za potpisivanje SMB-a tih klijenata. Dodatne informacije potražite u članku Stavka 10: "Mrežna sigurnost: razina provjere autentičnosti lan managera".

   2. Risky configuration
      
      Sljedeća je postavka štetne konfiguracije: napuštanje microsoftova mrežnog klijenta: postavka digitalno potpisivanje komunikacija (uvijek) i Microsoftov mrežni klijent: digitalno potpisivanje komunikacije (ako poslužitelj pristaje) postavljenu na "Nije definirano" ili onemogućeno. Te postavke preusmjeritelju omogućuju slanje lozinki običnog teksta na poslužitelje koji nisu Microsoftovi SMB poslužitelji koji ne podržavaju šifriranje lozinke tijekom provjere autentičnosti.

   3. Razlozi omogućivanja te postavke
      
      Omogućivanje Microsoftova mrežnog klijenta: digitalno potpisivanje komunikacije (uvijek) zahtijeva od klijenata potpisivanje SMB prometa prilikom kontaktiranja poslužitelja za koje nije potrebno potpisivanje SMB-a. To čini klijente manje izloženima napadima otmica sesija.

   4. Razlozi za onemogućivanje te postavke

      • Omogućivanje Microsoftova mrežnog klijenta: digitalno potpisivanje komunikacije (uvijek) sprječava klijente u komunikaciji s ciljnim poslužiteljima koji ne podržavaju potpisivanje SMB-a.

      • Konfiguriranjem računala za zanemarivanje svih nepotpisanih SMB komunikacija sprječava se povezivanje starijih programa i operacijskih sustava.

   5. Simbolički naziv:
      
      RequireSMBSignRdr

   6. Put registra:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

   7. Primjeri problema s kompatibilnošću

      • Windows NT 4.0: nećete moći ponovno postaviti sigurni kanal pouzdanosti između domene sustava Windows Server 2003 i domene sustava Windows NT 4.0 pomoću NLTEST-a ili NETDOM-a i prikazat će se poruka o pogrešci "Pristup je odbijen".

      • Windows XP: kopiranje datoteka s klijenata sustava Windows XP na poslužitelje utemeljene na sustavu Windows 2000 i na poslužitelje utemeljene na sustavu Windows Server 2003 može potrajati.

      • Nećete moći mapirati mrežni pogon s klijenta s omogućenom tom postavkom i prikazat će vam se sljedeća poruka o pogrešci:

        Račun nije ovlašten za prijavu iz ove stanice.

   8. Preduvjeti za ponovno pokretanje
      
      Ponovno pokrenite računalo ili ponovno pokrenite servis Workstation. Da biste to učinili, u naredbeni redak upišite sljedeće naredbe. Nakon upisa svake naredbe pritisnite Enter.

      net stop workstation
      net start workstation

6. Microsoftov mrežni poslužitelj: digitalno potpisivanje komunikacija (uvijek)

   1. Pozadina

      • Server Messenger Block (SMB) protokol je za zajedničko korištenje resursa koji podržavaju mnogi Microsoftovi operacijski sustavi. To je osnova osnovnog ulaznog/izlaznog sustava mreže (NetBIOS) i mnogih drugih protokola. Potpisivanje SMB provjerava autentičnost korisnika i poslužitelja koji hostira podatke. Ako neka strana ne uspije proces provjere autentičnosti, prijenos podataka neće se dogoditi.
        
        Omogućivanje potpisivanja SMB-a započinje tijekom pregovora o protokolu SMB. Pravilnici za potpisivanje SMB-a određuju je li računalo uvijek digitalno potpisivanje klijentske komunikacije.
        
        Protokol za provjeru autentičnosti windows 2000 SMB podržava zajedničku provjeru autentičnosti. Zajednička provjera autentičnosti zatvara napad "čovjek-u-sredini". Protokol za provjeru autentičnosti windows 2000 SMB podržava i provjeru autentičnosti poruka. Provjera autentičnosti poruke pridonosi sprječavanju aktivnih napada poruka. Da bi vam se dala ova provjera autentičnosti, potpisivanje SMB-a stavlja digitalni potpis u svaki SMB. Klijent i poslužitelj provjeravaju digitalni potpis.
        
        Da biste koristili potpisivanje SMB-a, morate omogućiti potpisivanje SMB-a ili zahtijevati potpisivanje SMB-a na SMB klijentu i na SMB poslužitelju. Ako je na poslužitelju omogućeno potpisivanje SMB-a, klijenti koji su omogućeni za potpisivanje SMB-a koriste protokol potpisivanja paketa tijekom svih narednih sesija. Ako je na poslužitelju potrebno potpisivanje SMB-a, klijent ne može uspostaviti sesiju osim ako je klijent omogućen ili obavezan za potpisivanje SMB-a.
        
        
        Omogućivanjem digitalne prijave u mreže visoke sigurnosti sprječava se oponašanje klijenata i poslužitelja. Ta vrsta oponašanja poznata je pod nazivom otmica sesije. Napadač koji ima pristup istoj mreži kao klijent ili poslužitelj koristi alate za otmicu sesije da bi prekinuo, prekinuo ili ukrao sesiju koja je u tijeku. Napadač može presresti i izmijeniti nepotpisane pakete upravitelja propusnosti podmreži (SBM), izmijeniti promet, a zatim ga proslijediti da bi poslužitelj mogao izvoditi neželjene akcije. Ili, napadač može predstavljati kao poslužitelj ili kao klijent nakon legitimne provjere autentičnosti, a zatim dobiti neovlašten pristup podacima.
        
        SMB protokol koji se koristi za zajedničko korištenje datoteka i za zajedničko korištenje ispisa na računalima sa sustavom Windows 2000 Server, Windows 2000 Professional, Windows XP Professional ili Windows Server 2003 podržava zajedničku provjeru autentičnosti. Zajednička provjera autentičnosti zatvara napade otmicom sesije i podržava provjeru autentičnosti poruka. Zbog toga sprječava napade muškarca u sredini. Potpisivanje SMB-a omogućuje tu provjeru autentičnosti postavljanjem digitalnog potpisa u svaki SMB. Klijent i poslužitelj zatim provjerite potpis.

      • Kao alternativu protumjere možete omogućiti digitalne potpise pomoću servisa IPSec da biste zaštitili sav mrežni promet. Postoje hardverski ubrzivači za ŠIFRIRANJE IPSec i potpisivanje koje možete koristiti za minimiziranje utjecaja na performanse procesora poslužitelja. Ne postoje takvi ubrzivači koji su dostupni za potpisivanje SMB-a.

      • U sustavima Windows 95, Windows 98 i Windows 98 Second Edition klijent usluge direktorija koristi potpisivanje SMB-a kada provjerava autentičnost s poslužiteljima sustava Windows Server 2003 pomoću NTLM provjere autentičnosti. Međutim, ti klijenti ne koriste SMB potpisivanje kada provjere autentičnost s tim poslužiteljima pomoću provjere autentičnosti NTLMv2. Osim toga, poslužitelji sustava Windows 2000 ne odgovaraju na zahtjeve za potpisivanje SMB-a tih klijenata. Dodatne informacije potražite u članku Stavka 10: "Mrežna sigurnost: razina provjere autentičnosti lan managera".

   2. Risky configuration
      
      Sljedeća je postavka štetne konfiguracije: Omogućivanje Microsoftova mrežnog poslužitelja: postavka digitalno potpisivanje komunikacije (uvijek) na poslužiteljima i domenskim kontrolerima kojima pristupaju nekompatibilna računala sa sustavom Windows i klijentska računala drugih proizvođača operacijskog sustava u lokalnim ili vanjskim domenama.

   3. Razlozi omogućivanja te postavke

      • Sva klijentska računala koja omogućuju tu postavku izravno putem registra ili putem postavke pravilnik grupe podržavaju potpisivanje SMB-a. Drugim riječima, sva klijentska računala s omogućenom tom postavkom pokreću Windows 95 s instaliranim DS klijentom, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional ili Windows Server 2003.

      • Ako je Microsoftov mrežni poslužitelj: digitalno potpisivanje komunikacije (uvijek) onemogućeno, potpisivanje SMB-a u potpunosti je onemogućeno. Potpuno onemogućivanje potpisivanja SMB-a ostavlja računala izloženijim napadima otmica sesija.

   4. Razlozi za onemogućivanje te postavke

      • Omogućivanjem te postavke može doći do sporijeg kopiranja datoteka i mrežnih performansi na klijentskim računalima.

      • Ako omogućite tu postavku, klijentima koji ne mogu pregovarati o potpisivanju SMB-a onemogućit će se komunikacija s poslužiteljima i domenski kontrolerima. To uzrokuje neuspjeh operacija kao što su pridruživanja domeni, provjera autentičnosti korisnika i računala ili pristup mreži po programima.

   5. Simbolički naziv:
      
      RequireSMBSignServer

   6. Put registra:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

   7. Primjeri problema s kompatibilnošću

      • Windows 95: klijenti sustava Windows 95 koji nemaju instaliran klijent usluge Directory Services (DS) neće uspjeti s provjerom autentičnosti prijave i primit će sljedeću poruku o pogrešci:

        Navedena lozinka za domenu nije točna ili je pristup poslužitelju za prijavu odbijen.

      • Windows NT 4.0: Klijentska računala na kojima su instalirane verzije sustava Windows NT 4.0 starije od servisnog paketa Service Pack 3 (SP3) neće uspjeti prilikom provjere autentičnosti prijave i prikazat će se sljedeća poruka o pogrešci:

        Sustav vas nije mogao prijaviti. Provjerite jesu li vaše korisničko ime i domena točni, a zatim ponovno upišite lozinku.

        Neki SMB poslužitelji koji nisu Microsoftovi podržavaju samo nešifrirane razmjene lozinki tijekom provjere autentičnosti. (Te se zamjene nazivaju i zamjene "običnog teksta".) Za Windows NT 4.0 SP3 i novije verzije SMB preusmjerivač ne šalje nešifriranu lozinku tijekom provjere autentičnosti na SMB poslužitelj osim ako ne dodate određeni unos u registar.
        Da biste omogućili nešifrirane lozinke za SMB klijent u sustavu Windows NT 4.0 SP 3 i novijim sustavima, izmijenite registar na sljedeći način: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        
        Naziv vrijednosti: EnablePlainTextPassword
        
        Vrsta podataka: REG_DWORD
        
        Podaci: 1
        
         

      • Windows Server 2003: prema zadanim postavkama sigurnosne postavke na domenske kontrolere koji pokreću Windows Server 2003 konfigurirane su tako da sprječavaju presretanje ili neovlašteno mijenjanje komunikacije kontrolora domene od strane zlonamjernih korisnika. Da bi korisnici mogli uspješno komunicirati s domenskim kontrolerom koji pokreće Windows Server 2003, klijentska računala moraju koristiti potpisivanje SMB-a i šifriranje ili sigurno potpisivanje prometa kanala. Prema zadanim postavkama klijenti koji pokreću Windows NT 4.0 sa servisnim paketom Service Pack 2 (SP2) ili starijim verzijama i klijenti koji pokreću Windows 95 nemaju omogućeno potpisivanje SMB paketa. Stoga ti klijenti možda neće moći provjeriti autentičnost domenskog kontrolera sustava Windows Server 2003.

      • Postavke pravilnika za Windows 2000 i Windows Server 2003: Ovisno o vašim specifičnim potrebama instalacije i konfiguraciji, preporučujemo da sljedeće postavke pravilnika postavite na najniži entitet potrebnog opsega u hijerarhiji alata Microsoft Management Console pravilnik grupe Editor:

        • Konfiguracija računala\Sigurnost u sustavu Windows Postavke\Sigurnosne mogućnosti

        • Slanje nešifrirane lozinke radi povezivanja s SMB poslužiteljima drugih proizvođača (ta je postavka za Windows 2000)

        • Microsoftov mrežni klijent: slanje nešifrirane lozinke SMB poslužiteljima drugih proizvođača (ta je postavka za Windows Server 2003)

        
        Napomena Na nekim CIFS poslužiteljima drugih proizvođača, kao što su starije verzije sambe, ne možete koristiti šifrirane lozinke.

      • Sljedeći klijenti nisu kompatibilni s Microsoftovim mrežnim poslužiteljem: postavka digitalno potpisivanje komunikacije (uvijek):

        • Klijenti za Apple Computer, Inc., Mac OS X

        • Mrežni klijenti za Microsoft MS-DOS (na primjer, Microsoft LAN Manager)

        • Klijenti sustava Microsoft Windows za radne grupe

        • Klijenti sustava Microsoft Windows 95 bez instaliranog DS klijenta

        • Računala sa sustavom Microsoft Windows NT 4.0 bez instaliranog paketa SP3 ili novije verzije

        • Klijenti za Novell Netware 6 CIFS

        • SAMBA SMB klijenti koji nemaju podršku za potpisivanje SMB-a

   8. Preduvjeti za ponovno pokretanje
      
      Ponovno pokrenite računalo ili ponovno pokrenite poslužiteljski servis. Da biste to učinili, u naredbeni redak upišite sljedeće naredbe. Nakon upisa svake naredbe pritisnite Enter.

      net stop server
      net start server

7. Pristup mreži: dopusti anonimni PRIJEVOD SID-a/imena

   1. Pozadini
      
      Pristup mreži: dopusti anonimnu sigurnosnu postavku SID/name prijevoda određuje može li anonimni korisnik zatražiti atribute sigurnosnog identifikacijskog broja (SID- a) za drugog korisnika.

   2. Risky configuration
      
      Omogućivanje pristupa mreži: postavka za anonimno prevođenje SID-a/naziva štetna je postavka konfiguracije.

   3. Razlozi omogućivanja te postavke
      
      Ako je onemogućen pristup mreži: dopusti anonimnu postavku prevođenja SID-a/naziva, stariji operacijski sustavi ili aplikacije možda neće moći komunicirati s domenama sustava Windows Server 2003. Na primjer, sljedeći operacijski sustavi, servisi ili aplikacije možda neće funkcionirati:

      • Poslužitelji servisa za udaljeni pristup utemeljeni na sustavu Windows NT 4.0

      • Microsoft SQL Server instaliran na računalima sa sustavom Windows NT 3.x ili računalima sa sustavom Windows NT 4.0

      • Servis za udaljeni pristup koji se izvodi na računalima sa sustavom Windows 2000 koja se nalaze u domenama sustava Windows NT 3.x ili domenama sustava Windows NT 4.0

      • SQL Server na računalima sa sustavom Windows 2000 koja se nalaze u domenama sustava Windows NT 3.x ili u domenama sustava Windows NT 4.0

      • Korisnici u domeni resursa sustava Windows NT 4.0 koji žele dodijeliti dozvole za pristup datotekama, zajedničkim mapama i objektima registra korisničkim računima iz domena računa koje sadrže domenske kontrolere sustava Windows Server 2003

   4. Razlozi za onemogućivanje te postavke
      
      Ako je ta postavka omogućena, zlonamjerni korisnik može koristiti POZNATI SID administratora za dobivanje stvarnog naziva ugrađenog administratorskog računa, čak i ako je račun preimenovana. Ta osoba tada može koristiti naziv računa za pokretanje napada na pogađanje lozinkom.

   5. Simbolički naziv: N/A

   6. Put registra: Nema. Put je naveden u kodu korisničkog sučelja.

   7. Primjeri problema s kompatibilnošću
      
      Windows NT 4.0: Računala u domenama resursa sustava Windows NT 4.0 prikazat će poruku o pogrešci "Račun nije poznat" u ACL uređivaču ako su resursi, uključujući zajedničke mape, zajedničke datoteke i objekte registra, zaštićeni sigurnosnim upraviteljima koji se nalaze u domenama računa koje sadrže domenske kontrolere sustava Windows Server 2003.

8. Pristup mreži: Nemoj dopustiti anonimnu enumeraciju SAM računa

   1. Pozadina

      • Pristup mreži: nemoj dopustiti anonimnu enumeraciju postavke RAČUNA ZA SAM određuje koje će se dodatne dozvole dodijeliti za anonimne veze s računalom. Windows anonimnim korisnicima omogućuje izvođenje određenih aktivnosti, kao što su enumeriranje naziva računa radne stanice i upravitelja računa sigurnosti poslužitelja (SAM) i zajedničkih mrežnih stavki. Administrator, primjerice, to može koristiti za dodjelu pristupa korisnicima u pouzdanoj domeni koja ne održava recipročni pouzdani pristup. Nakon sesije anonimni korisnik može imati isti pristup koji se dodjeljuje grupi Svi na temelju postavke u odjeljku Pristup mreži: dopusti svima da se primjenjuju na postavke anonimnih korisnika ili na popis kontrole pristupa (DACL) objekta.
        
        Obično tijekom postavljanja sesije SMB-a starije verzije klijenata (klijenata na nižu razinu) zahtite anonimne veze. U tim slučajevima praćenje mreže pokazuje da je ID SMB procesa (PID) preusmjerivač klijenta kao što je 0xFEFF u sustavu Windows 2000 ili 0xCAFE windows NT. RPC može pokušati i stvoriti anonimne veze.

      • Važno Ta postavka ne utječe na kontrolere domene. Na domenski kontrolerima to ponašanje kontrolira prisutnost "NT AUTHORITY\ANONYMOUS LOGON" u "Programu Access kompatibilnom sa sustavom Windows 2000".

      • U sustavu Windows 2000 slična postavka pod nazivom Dodatna ograničenja za anonimne veze upravlja vrijednošću registra RestrictAnonymous . Mjesto te vrijednosti je kako slijedi

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA  

   2. Rizične konfiguracije
      
      Omogućivanje pristupa mreži: nemoj dopustiti anonimnu enumeraciju postavki SAM računa štetna je postavka konfiguracije iz perspektive kompatibilnosti. Onemogućivanje je štetna postavka konfiguracije iz sigurnosne perspektive.

   3. Razlozi omogućivanja te postavke
      
      Neovlašteni korisnik mogao bi anonimno popisati nazive računa, a zatim upotrijebiti te podatke da bi pogodio lozinke ili da bi izvodio napade socijalnog inženjerstva. Social engineering is jargon that means tricking people into revealing their passwords or some form of security information.

   4. Razlozi za onemogućivanje te postavke
      
      Ako je ta postavka omogućena, nije moguće uspostaviti pouzdanost s domenama sustava Windows NT 4.0. Ta postavka uzrokuje i probleme s klijentima na niskoj razini (kao što su klijenti sustava Windows NT 3.51 i klijenti sustava Windows 95) koji pokušavaju koristiti resurse na poslužitelju.

   5. Simbolički naziv:
      
      
      RestrictAnonymousSAM

   6. Put registra:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

   7. Primjeri problema s kompatibilnošću

   • Otkrivanje SMS mreže neće moći dohvatiti informacije o operacijskom sustavu i u svojstvo OperatingSystemNameandVersion će pisati "Nepoznato".

   • Windows 95, Windows 98: klijenti za Windows 95 i klijenti sustava Windows 98 neće moći promijeniti lozinke.

   • Windows NT 4.0: računala članova sustava Windows NT 4.0 neće moći provjeriti autentičnost.

   • Windows 95, Windows 98: računala utemeljena na sustavu Windows 95 i Windows 98 neće moći provjeriti autentičnost microsoftovih domenskih kontrolera.

   • Windows 95, Windows 98: korisnici na računalima sa sustavom Windows 95 i windows 98 neće moći promijeniti lozinke za svoje korisničke račune.

9. Pristup mreži: nemoj dopustiti anonimnu enumeraciju SAM računa i zajedničkih korištenja

   1. Pozadina

      • Pristup mreži: nemojte dopustiti anonimnu enumeraciju SAM računa i postavki zajedničkog korištenja (naziva se i RestrictAnonymous) određuje je li dopuštena anonimna enumeracija računa upravitelja sigurnosnih računa (SAM- a). Windows anonimnim korisnicima omogućuje izvođenje određenih aktivnosti, kao što su numeriranje naziva računa domene (korisnika, računala i grupa) i zajedničkih mrežnih resursa. To je praktično, primjerice, kada administrator želi odobriti pristup korisnicima u pouzdanoj domeni koja ne održava recipročni pouzdani pristup. Ako ne želite dopustiti anonimnu enumeraciju SAM računa i zajedničkih korištenja, omogućite tu postavku.

      • U sustavu Windows 2000 slična postavka pod nazivom Dodatna ograničenja za anonimne veze upravlja vrijednošću registra RestrictAnonymous . Mjesto te vrijednosti je kako slijedi:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

   2. Risky configuration
      
      Omogućivanje pristupa mreži: postavka Nemoj dopustiti anonimnu enumeraciju SAM računa i postavki zajedničkog korištenja štetna je postavka konfiguracije.

   3. Razlozi omogućivanja te postavke

      • Omogućivanje pristupa mreži: nemoj dopustiti anonimnu enumeraciju SAM računa i postavki zajedničkog korištenja sprječava enumeraciju SAM računa i zajedničkih korištenja korisnika i računala koja koriste anonimne račune.

   4. Razlozi za onemogućivanje te postavke

      • Ako je ta postavka omogućena, neovlašteni korisnik može anonimno popisati nazive računa, a zatim upotrijebiti te podatke da bi pogodio lozinke ili da bi izvodio napade na društveno inženjerstvo. Društveno inženjerstvo žargon je koji znači prevari ljude da otkriju lozinku ili neki oblik sigurnosnih podataka.

      • Ako je ta postavka omogućena, neće biti moguće uspostaviti pouzdanost s domenama sustava Windows NT 4.0. Ta će postavka uzrokovati i probleme s klijentima na niskoj razini, kao što su klijenti sustava Windows NT 3.51 i Windows 95 koji pokušavaju koristiti resurse na poslužitelju.

      • Pristup korisnicima domena resursa neće biti moguće dodijeliti jer administratori u pouzdanoj domeni neće moći enumerirati popise računa na drugoj domeni. Korisnici koji anonimno pristupaju datotekama i poslužiteljima za ispis neće moći popis zajedničkih mrežnih resursa na tim poslužiteljima. Korisnici moraju provjeriti autentičnost prije prikaza popisa zajedničkih mapa i pisača.

   5. Simbolički naziv:
      
      RestrictAnonymous

   6. Put registra:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

   7. Primjeri problema s kompatibilnošću

      • Windows NT 4.0: korisnici neće moći mijenjati lozinke iz radnih stanica sustava Windows NT 4.0 kada je omogućen RestrictAnonymous na kontrolorima domena u korisnikove domene.

      • Windows NT 4.0: Dodavanje korisnika ili globalnih grupa iz pouzdanih domena sustava Windows 2000 u lokalne grupe sustava Windows NT 4.0 u upravitelju korisnika neće uspjeti i prikazat će se sljedeća poruka o pogrešci:

        Trenutno nema dostupnih poslužitelja za prijavu za uslugu zahtjeva za prijavu.

      • Windows NT 4.0: računala sa sustavom Windows NT 4.0 neće se moći pridružiti domenama tijekom postavljanja ili pomoću korisničkog sučelja za pridruživanje domeni.

      • Windows NT 4.0: Uspostavljanje pouzdanosti na niskoj razini s domenama resursa sustava Windows NT 4.0 neće uspjeti. Kada je na pouzdanoj domeni omogućena značajka RestrictAnonymous, prikazat će se sljedeća poruka o pogrešci:

        Nije moguće pronaći domenski kontroler za ovu domenu.

      • Windows NT 4.0: korisnici koji se prijave na računala terminalskog poslužitelja utemeljena na sustavu Windows NT 4.0 mapirat će se u zadani kućni direktorij umjesto u kućnom direktoriju koji je definiran u upravitelju korisnika za domene.

      • Windows NT 4.0: domenski kontroleri sigurnosne kopije sustava Windows NT 4.0 (BDCs) neće moći pokrenuti servis net logon, dohvatiti popis preglednika sigurnosnih kopija ili sinkronizirati sam bazu podataka iz sustava Windows 2000 ili domenskih kontrolera sustava Windows Server 2003 u istoj domeni.

      • Windows 2000: računala članska računala sa sustavom Windows 2000 u domenama sustava Windows NT 4.0 neće moći pregledavati pisače u vanjskim domenama ako je postavka Bez pristupa bez izričito anonimnih dozvola omogućena u lokalnom sigurnosnom pravilniku klijentskog računala.

      • Windows 2000: korisnici domene sustava Windows 2000 neće moći dodavati mrežne pisače iz servisa Active Directory; međutim, moći će dodavati pisače nakon što ih oda odabiru u prikazu stabla.

      • Windows 2000: na računalima sa sustavom Windows 2000 ACL Editor neće moći dodavati korisnike ni globalne grupe iz pouzdanih domena sustava Windows NT 4.0.

      • ADMT verzija 2: migracija lozinke za korisničke račune koji se migriraju između šuma pomoću servisa Active Directory Migration Tool (ADMT) verzije 2 neće uspjeti.
        
        Dodatne informacije potražite u članku iz Microsoftove baze znanja pod sljedećim brojem:

        322981 Otklanjanje poteškoća s migraciju lozinki među šumama pomoću admtv-a ADMTv2

      • Klijenti programa Outlook: globalni popis adresa bit će prazan klijentima programa Microsoft Exchange Outlook.

      • SMS: Microsoft Systems Management Server (SMS) Network Discovery neće moći dohvatiti informacije o operacijskom sustavu. Zbog toga će u svojstvo OperatingSystemNameandVersion svojstva SMS DDR zapisa podataka za otkrivanje (DDR) pisati "Nepoznato".

      • SMS: Kada koristite čarobnjak za korisnike administratora SMS-a za pregledavanje korisnika i grupa, neće biti na popisu korisnika ni grupa. Uz to, napredni klijenti ne mogu komunicirati s točkom upravljanja. Na točki upravljanja potreban je anonimni pristup.

      • SMS: kada koristite značajku otkrivanja mreže u SMS-u 2.0 i instalaciji udaljenog klijenta s uključenom mogućnošću topologije, klijenta i klijentskog operacijskog sustava za otkrivanje mreže, računala se mogu otkriti, ali možda neće biti instalirana.

10. Sigurnost mreže: razina provjere autentičnosti lan managera

    1. Pozadini
       
       Provjera autentičnosti lan managera (LM) protokol je koji se koristi za provjeru autentičnosti klijenata sustava Windows za mrežne operacije, uključujući pridruživanja domeni, pristup mrežnim resursima te provjeru autentičnosti korisnika ili računala. Razina provjere autentičnosti LM-a određuje koji protokol provjere autentičnosti izazova/odgovora pregovara između klijenta i poslužiteljskih računala. Konkretno, razina provjere autentičnosti LM-a određuje protokole za provjeru autentičnosti koje će klijent pokušati pregovarati ili koje će poslužitelj prihvatiti. Vrijednost postavljena za LmCompatibilityLevel određuje koji se protokol provjere autentičnosti izazova/odgovora koristi za mrežne prijave. Ta vrijednost utječe na razinu protokola za provjeru autentičnosti koju koriste klijenti, razinu dogovorene sigurnosti sesije i razinu provjere autentičnosti koju su prihvatili poslužitelji.
       
       Moguće postavke obuhvaćaju sljedeće.

       Vrijednost	Postavka	Opis
       0	Slanje LM & NTLM odgovora	Klijenti koriste LM i NTLM provjeru autentičnosti i nikad ne koriste sigurnost sesije NTLMv2. Kontrolori domene prihvaćaju provjeru autentičnosti LM, NTLM i NTLMv2.
       1	Pošalji LM & NTLM – koristite sigurnost sesije NTLMv2 ako se pregovara	Klijenti koriste LM i NTLM provjeru autentičnosti i koriste sigurnost sesije NTLMv2 ako je poslužitelj podržava. Kontrolori domene prihvaćaju provjeru autentičnosti LM, NTLM i NTLMv2.
       2	Pošalji samo NTLM odgovor	Klijenti koriste samo NTLM provjeru autentičnosti i koriste sigurnost sesije NTLMv2 ako je poslužitelj podržava. Kontrolori domene prihvaćaju provjeru autentičnosti LM, NTLM i NTLMv2.
       3	Pošalji samo NTLMv2 odgovor	Klijenti koriste samo NTLMv2 provjeru autentičnosti i koriste sigurnost sesije NTLMv2 ako je poslužitelj podržava. Kontrolori domene prihvaćaju provjeru autentičnosti LM, NTLM i NTLMv2.
       4	Pošalji samo odgovor NTLMv2/ odbij LM	Klijenti koriste samo NTLMv2 provjeru autentičnosti i koriste sigurnost sesije NTLMv2 ako je poslužitelj podržava. Domenski kontroleri odbijaju LM i prihvaćaju samo NTLM i NTLMv2 provjeru autentičnosti.
       5	Pošalji samo odgovor NTLMv2/odbij LM & NTLM	Klijenti koriste samo NTLMv2 provjeru autentičnosti i koriste sigurnost sesije NTLMv2 ako je poslužitelj podržava. Domenski kontroleri odbijaju LM i NTLM i prihvaćaju samo NTLMv2 provjeru autentičnosti.

       Napomena U sustavima Windows 95, Windows 98 i Windows 98 Second Edition klijent imeničkih servisa koristi SMB potpisivanje kada provjerava autentičnost s poslužiteljima sustava Windows Server 2003 pomoću NTLM provjere autentičnosti. Međutim, ti klijenti ne koriste SMB potpisivanje kada provjere autentičnost s tim poslužiteljima pomoću provjere autentičnosti NTLMv2. Osim toga, poslužitelji sustava Windows 2000 ne odgovaraju na zahtjeve za potpisivanje SMB-a tih klijenata.
       
       Provjerite razinu provjere autentičnosti LM-a: morate promijeniti pravilnik na poslužitelju da biste dozvoljeli NTLM ili morate konfigurirati klijentsko računalo tako da podržava NTLMv2.
       
       Ako je pravilnik postavljen na (5) Pošalji samo NTLMv2 odgovor\odbij LM & NTLM na ciljnom računalu s kojim se želite povezati, morate smanjiti postavku na tom računalu ili postaviti sigurnost na istu postavku koja se nalazi na izvorišnom računalu s kojeg se povezujete.
       
       Pronađite odgovarajuće mjesto na kojem možete promijeniti razinu provjere autentičnosti LAN upravitelja da biste klijent i poslužitelj postavili na istu razinu. Kada pronađete pravilnik koji postavlja razinu provjere autentičnosti LAN upravitelja, ako se želite povezati s računalima sa starijim verzijama sustava Windows i s nje, smanjite vrijednost na najmanje (1) Pošalji LM & NTLM – koristite sigurnost sesije NTLM verzije 2 ako se pregovara. Jedan od efekata nekompatibilnih postavki jest to da ako poslužitelj zahtijeva NTLMv2 (vrijednost 5), ali klijent je konfiguriran tako da koristi samo LM i NTLMv1 (vrijednost 0), korisnik koji pokuša provjeru autentičnosti naiče na pogrešku prilikom prijave koja ima lošu lozinku i koja povećava broj netočnih lozinki. Ako je značajka zaključavanja računa konfigurirana, korisnik će možda naposljetku biti zaključan.
       
       Možda ćete, primjerice, morati pogledati kontroler domene ili ćete možda morati pregledati pravilnike domenskog kontrolera.
       
       Pogledajte kontroler domene
       
       Napomena Možda ćete na svim domenski kontrolerima morati ponoviti sljedeći postupak.

       1. Kliknite Start, pokažite na Programi, a zatim kliknite Administrativni alati.

       2. U odjeljku Lokalne sigurnosne postavke proširite lokalni pravilnici.

       3. Kliknite Sigurnosne mogućnosti.

       4. Dvokliknite Sigurnost mreže: razina provjere autentičnosti LAN upravitelja, a zatim kliknite vrijednost na popisu.

       
       Ako su efektivna postavka i lokalna postavka iste, pravilnik je promijenjen na toj razini. Ako se postavke razlikuju, morate provjeriti pravilnik domenskog kontrolera da biste utvrdili je li u njoj definirana postavka razine provjere autentičnosti network Security: LAN manager. Ako tamo nije definiran, proučite pravilnike domenskog kontrolera.
       
       Pregledajte pravilnike domenskog kontrolera

       1. Kliknite Start, pokažite na Programi, a zatim kliknite Administrativni alati.

       2. U pravilniku Domain Controller Security (Sigurnost domenskog kontrolera) proširite Security Settings (Sigurnosne postavke), a zatim proširite Local Policies (Lokalni pravilnici).

       3. Kliknite Sigurnosne mogućnosti.

       4. Dvokliknite Sigurnost mreže: razina provjere autentičnosti LAN upravitelja, a zatim kliknite vrijednost na popisu.

       
       Napomena

       • Možda ćete morati provjeriti i pravilnike koji su povezani na razini web-mjesta, razini domene ili razini organizacijske jedinice (OU) da biste odredili gdje morate konfigurirati razinu provjere autentičnosti LAN upravitelja.

       • Ako implementirate pravilnik grupe kao zadani pravilnik domene, pravilnik se primjenjuje na sva računala u domeni.

       • Ako implementirate pravilnik grupe kao zadani pravilnik kontrolora domene, pravilnik se primjenjuje samo na poslužitelje u OU kontrolora domene.

       • Dobro je postaviti razinu provjere autentičnosti LAN upravitelja na najniži entitet potrebnog opsega u hijerarhiji aplikacija pravilnika.

       Windows Server 2003 ima novu zadanu postavku za korištenje samo NTLMv2. Prema zadanim postavkama domenski kontroleri utemeljeni na sustavu Windows Server 2003 i Windows 2000 Server SP3 omogućili su pravilnik "Microsoftov mrežni poslužitelj: digitalno potpisivanje komunikacija (uvijek)". Za ovu postavku potreban je SMB poslužitelj za potpisivanje SMB paketa. Promjene u sustavu Windows Server 2003 izvršene su jer kontroleri domena, datotečni poslužitelji, poslužitelji mrežne infrastrukture i web-poslužitelji u bilo kojoj tvrtki ili ustanovi zahtijevaju različite postavke da bi se maksimizirala njihova sigurnost.
       
       Ako želite implementirati NTLMv2 provjeru autentičnosti u mreži, provjerite jesu li sva računala u domeni postavljena tako da koriste tu razinu provjere autentičnosti. Ako primijenite proširenja klijenta servisa Active Directory za Windows 95 ili Windows 98 i Windows NT 4.0, klijentska proširenja koriste poboljšane značajke provjere autentičnosti koje su dostupne u NTLMv2. Budući da windows 2000 pravilnik grupe ne utječe na klijentska računala sa sljedećim operacijskim sustavom, možda ćete morati ručno konfigurirati sljedeće klijente:

       • Microsoft Windows NT 4.0

       • Microsoft Windows Millennium Edition

       • Microsoft Windows 98

       • Microsoft Windows 95

       Napomena Ako omogućite mrežnu sigurnost: nemojte pohranjivati vrijednost raspršivanja LAN upravitelja na sljedećem pravilniku o promjeni lozinke ili postavite ključ registra NoLMHash , klijenti utemeljeni na sustavu Windows 95 i Windows 98 koji nemaju instaliran klijent usluge Directory Services ne mogu se prijaviti na domenu nakon promjene lozinke.
       
       Mnogi CIFS poslužitelji drugih proizvođača, kao što je Novell Netware 6, nisu svjesni NTLMv2 i koriste samo NTLM. Stoga razine veće od 2 ne dopuštaju povezivanje. Postoje i SMB klijenti drugih proizvođača koji ne koriste proširenu sigurnost sesije. U tim slučajevima ne uzima se u obzir LmCompatiblityLevel poslužitelja resursa. Poslužitelj zatim pakira taj naslijeđeni zahtjev i šalje ga kontroloru domene korisnika. Postavke na kontroloru domene zatim određuju koji se raspršivanja koriste za provjeru zahtjeva i jesu li to preduvjeti sigurnosti kontrolora domene.
       
        

       299656 Sprječavanje pohrane ključa lozinke upravitelja LAN-a u servisu Active Directory i lokalnim bazama podataka SAM-a u sustavu Windows
        

       2701704Događaj nadzora prikazuje paket za provjeru autentičnosti kao NTLMv1 umjesto NTLMv2 Da biste pogledali dodatne informacije o razinama provjere autentičnosti LM, kliknite sljedeći broj članka u Microsoftovoj bazi znanja:

       239869 Omogućivanje provjere autentičnosti NTLM 2
        

    2. Rizične konfiguracije
       
       Sljedeće su štetne postavke konfiguracije:

       • Nonrestrictive settings that send passwords in cleartext and that deny NTLMv2 negotiation

       • Restriktivnim postavkama koje sprječavaju nekompatibilne klijente ili kontrolore domene da pregovaraju o zajedničkom protokolu za provjeru autentičnosti

       • Zahtijevanje provjere autentičnosti NTLMv2 na računalima članova i domenski kontroler koji koriste verzije sustava Windows NT 4.0 starije od servisnog paketa Service Pack 4 (SP4)

       • Zahtijevanje provjere autentičnosti NTLMv2 na klijentima sustava Windows 95 ili klijentima sustava Windows 98 koji nemaju instaliran klijent usluge Windows Directory Services.

       • Ako kliknete da biste u dodatku Microsoft Management Console pravilnik grupe Editor na računalu sa sustavom Windows Server 2003 ili Windows 2000 Service Pack 3 odabrali potvrdni okvir Zahtijevaj sigurnost sesije NTLMv2, razinu provjere autentičnosti LAN upravitelja smanjili ste na 0, sukob dviju postavki i možda ćete primiti sljedeću poruku o pogrešci u datoteci Secpol.msc ili datoteci GPEdit.msc:

         Windows ne može otvoriti lokalnu bazu podataka pravilnika. Prilikom pokušaja otvaranja baze podataka došlo je do nepoznate pogreške.

         Dodatne informacije o alatu za sigurnosnu konfiguraciju i analizu potražite u datotekama pomoći za Windows 2000 ili Windows Server 2003.

    3. Razlozi za izmjenu ove postavke

       • Želite povećati najniži uobičajeni protokol za provjeru autentičnosti koji podržavaju klijenti i domenski kontroleri u vašoj tvrtki ili ustanovi.

       • Ako je sigurna provjera autentičnosti poslovni preduvjet, želite onemogućiti pregovore o protokolima LM i NTLM.

    4. Razlozi za onemogućivanje te postavke
       
       Klijentski ili poslužiteljski preduvjeti za provjeru autentičnosti ili oboje povećani su do točke u kojoj se ne može pojaviti provjera autentičnosti putem zajedničkog protokola.

    5. Simbolički naziv:
       
       LmCompatibilityLevel

    6. Put registra:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. Primjeri problema s kompatibilnošću

       • Windows Server 2003: Po zadanom je omogućena postavka NTLMv2 Pošalji NTLM odgovore za Windows Server 2003. Zbog toga Windows Server 2003 prima poruku o pogrešci "Pristup je odbijen" nakon početne instalacije kada se pokušate povezati s klasterom utemeljenim na sustavu Windows NT 4.0 ili lanManager V2.1 poslužiteljima, kao što je LANserver OS/2. Taj se problem pojavljuje i ako se pokušate povezati s starije verzije klijenta s poslužiteljem utemeljenim na sustavu Windows Server 2003.

       • Instalirajte Paket 1 (SRP1) za Windows 2000 Security Rollup Package. SRP1 prisiljava NTLM verziju 2 (NTLMv2). Ovaj skupni paket objavljen je nakon izdanja sustava Windows 2000 Service Pack 2 (SP2).
          

       • Windows 7 i Windows Server 2008 R2: mnogi CIFS poslužitelji drugih proizvođača, kao što su Novell Netware 6 ili Samba poslužitelji utemeljeni na Linuxu, nisu svjesni NTLMv2 i koriste samo NTLM. Stoga razine veće od "2" ne dopuštaju povezivanje. U ovoj verziji operacijskog sustava zadana vrijednost za LmCompatibilityLevel promijenjena je u "3". Dakle, prilikom nadogradnje sustava Windows ti datotečni programi drugih proizvođača mogu prestati funkcionirati.

       • Od klijenata programa Microsoft Outlook možda će se zatražiti vjerodajnice iako su već prijavljeni na domenu. Kada korisnici uvezu vjerodajnice, primit će sljedeću poruku o pogrešci: Windows 7 i Windows Server 2008 R2

         Unesene vjerodajnice za prijavu nisu ispravne. Provjerite jesu li korisničko ime i domena točni, a zatim ponovno upišite lozinku.

         Kada pokrenete Outlook, možda će se od vas zatražiti vjerodajnice čak i ako je postavka Sigurnost mreže za prijavu postavljena na Passthrough ili na Provjera autentičnosti lozinke. Kada upišete točne vjerodajnice, možda ćete primiti sljedeću poruku o pogrešci:

         Unesene vjerodajnice za prijavu nisu ispravne.

         Praćenje mrežnog monitora može pokazati da je globalni katalog izdao kvar poziva udaljene procedure (RPC) sa statusom 0x5. Status vrste 0x5 znači "Pristup je odbijen".

       • Windows 2000: Snimanje mrežnog monitora može prikazati sljedeće pogreške u sesiji netBIOS-a putem TCP/IP (NetBT) bloka poruke poslužitelja (SMB):

         Pogreška SMB R pretraživanja direktorija, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Identifikator korisnika nije valjan

       • Windows 2000: ako je domena sustava Windows 2000 s NTLMv2 razine 2 ili novija pouzdana u domeni sustava Windows NT 4.0, računala koja se temelje na sustavu Windows 2000 u domeni resursa mogu naići na pogreške provjere autentičnosti.

       • Windows 2000 i Windows XP: Prema zadanim postavkama Windows 2000 i Windows XP postavili su mogućnost lokalnog sigurnosnog pravilnika razine provjere autentičnosti LAN Managera na 0. Postavka 0 znači "Pošalji LM i NTLM odgovore".
         
         Napomena Klasteri utemeljeni na sustavu Windows NT 4.0 moraju koristiti LM za administraciju.

       • Windows 2000: klasteriranje u sustavu Windows 2000 ne provjerava autentičnost spojnog čvora ako su oba čvora dio domene servisnog paketa Windows NT 4.0 Service Pack 6a (SP6a).

       • IIS Lockdown Tool (HiSecWeb) postavlja vrijednost LMCompatibilityLevel na 5, a vrijednost RestrictAnonymous na 2.

       • Usluge za Macintosh
         
         Modul za provjeru autentičnosti korisnika (UAM): Microsoftov UAM (modul za provjeru autentičnosti korisnika) pruža način šifriranja lozinki koje koristite za prijavu na poslužitelje windows AFP (AppleTalk Filing Protocol). Appleov modul za provjeru autentičnosti korisnika (UAM) pruža samo minimalno ili bez šifriranja. Stoga se vaša lozinka može jednostavno presresti na LAN-u ili na internetu. Iako UAM nije obavezan, omogućuje šifriranu provjeru autentičnosti za poslužitelje sustava Windows 2000 na kojima se pokreću Servisi za Macintosh. Ova verzija obuhvaća podršku za 128-bitnu šifriranu provjeru autentičnosti NTLMv2 i izdanje kompatibilno sa sustavom MacOS X 10.1.
         
         Prema zadanim postavkama, Windows Server 2003 Services za Macintosh poslužitelj dopušta samo Microsoftovu provjeru autentičnosti.
          

       • Windows Server 2008, Windows Server 2003, Windows XP i Windows 2000: ako konfigurirate vrijednost LMCompatibilityLevel tako da bude 0 ili 1, a zatim konfigurirate vrijednost NoLMHash tako da bude 1, aplikacijama i komponentama može se uskratiti pristup putem NTLM-a. Taj se problem pojavljuje jer je računalo konfigurirano tako da omogućuje LM, ali ne i za korištenje lozinki pohranjenih LM-om.
         
         Ako vrijednost NoLMHash konfigurirate tako da bude 1, vrijednost LMCompatibilityLevel morate konfigurirati tako da bude 2 ili novija.

11. Mrežna sigurnost: preduvjeti potpisivanja LDAP klijenta

    1. Pozadini
       
       Postavka Mrežna sigurnost: postavka preduvjeta potpisivanja klijenta LDAP određuje razinu potpisivanja podataka koja se traži u ime klijenata koji izdavanjem zahtjeva lightweight Directory Access Protocol (LDAP) BIND-a na sljedeći način:

       • Ništa: zahtjev LDAP BIND izdaje se s mogućnostima koje je naveli pozivatelj.

       • Pregovaraj o potpisivanju: ako secure sockets Layer/Transport Layer Security (SSL/TLS) nije pokrenut, zahtjev LDAP BIND pokreće se s mogućnošću potpisivanja podataka LDAP uz mogućnosti koje je naveli pozivatelj. Ako je pokrenut SSL/TLS, zahtjev za LDAP BIND pokreće se s mogućnostima koje je naveli pozivatelj.

       • Obavezno potpisivanje: to je isto kao i potpisivanje pregovora. Međutim, ako posredni saslBindInProgress odgovor LDAP poslužitelja ne upućuje na to da je potrebno potpisivanje LDAP prometa, pozivatelju je rečeno da zahtjev naredbe LDAP BIND nije uspio.

    2. Risky configuration
       
       Omogućivanje mrežne sigurnosti: postavka preduvjeta potpisivanja LDAP klijenta štetna je postavka konfiguracije. Ako postavite poslužitelj tako da zahtijeva LDAP potpise, morate konfigurirati i potpisivanje LDAP-a na klijentu. Ako ne konfigurirate klijent za korištenje LDAP potpisa, spriječit ćete komunikaciju s poslužiteljem. To uzrokuje neuspjeh provjere autentičnosti pravilnik grupe, skripti za prijavu i drugih značajki.

    3. Razlozi za izmjenu ove postavke
       
       Nepotpisan mrežni promet osjetljiv je na napade u sredini, pri čemu uljez snima pakete između klijenta i poslužitelja, mijenja ih, a zatim ih prosljeđuje poslužitelju. Kada se to dogodi na LDAP poslužitelju, napadač može uzrokovati da poslužitelj odgovori na temelju lažnih upita iz LDAP klijenta. Taj rizik možete smanjiti u poslovnoj mreži implementacijom snažnih fizičkih sigurnosnih mjera radi zaštite mrežne infrastrukture. Osim toga, možete spriječiti razne napade koji se odvijaju u sredini tako da za sve mrežne pakete zahtijevate digitalne potpise pomoću zaglavlja IPSec provjere autentičnosti.

    4. Simbolički naziv:
       
       LDAPClientIntegrity

    5. Put registra:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

12. Zapisnik događaja: maksimalna veličina sigurnosnog zapisnika

    1. Pozadini
       
       Zapisnik događaja: maksimalna sigurnosna postavka sigurnosne veličine zapisnika određuje maksimalnu veličinu zapisnika događaja sigurnosti. Ovaj zapisnik ima maksimalnu veličinu od 4 GB. Da biste pronašli tu postavku, proširite
       Postavke sustava Windows, a zatim proširite Sigurnosne postavke.

    2. Rizične konfiguracije
       
       Sljedeće su štetne postavke konfiguracije:

       • Ograničavanje veličine sigurnosnog zapisnika i metode zadržavanja sigurnosnog zapisnika kada je omogućena postavka nadzora: isključi sustav odmah ako nije moguće prijaviti postavku sigurnosnog nadzora. Dodatne informacije potražite u odjeljku "Nadzor: isključivanje sustava odmah ako nije moguće evidentirati sigurnosne nadzore" ovog članka.

       • Ograničavanje veličine sigurnosnog zapisnika tako da se prebrišu sigurnosni događaji od interesa.

    3. Razlozi za povećanje ove postavke
       
       Poslovni i sigurnosni preduvjeti mogu diktirati da povećate veličinu sigurnosnog zapisnika da biste mogli rukovati dodatnim detaljima sigurnosnog zapisnika ili zadržati sigurnosne zapisnike dulje vrijeme.

    4. Razlozi za smanjenje ove postavke Preglednik događaja
       
       zapisnici su mapirane datoteke memorije. Maksimalna veličina zapisnika događaja ograničena je količinom fizičke memorije na lokalnom računalu i virtualnom memorijom koja je dostupna postupku zapisnika događaja. Povećanje veličine zapisnika izvan količine virtualne memorije koja je dostupna Preglednik događaja povećava broj unosa zapisnika koji se održavaju.

    5. Primjeri problema s kompatibilnošću
       
       Windows 2000: računala s verzijama sustava Windows 2000 starijima od servisnog paketa Service Pack 4 (SP4) mogu prestati zapisivati događaje u zapisniku događaja prije nego što dosegnu veličinu navedenu u postaci Maksimalna veličina zapisnika u sustavu Preglednik događaja ako je uključena mogućnost Ne prebriši događaje (izbriši zapisnik ručno).
       
       
        

13. Zapisnik događaja: zadržavanje sigurnosnog zapisnika

    1. Pozadini
       
       Zapisnik događaja: postavka sigurnosti zadržavanja sigurnosnog zapisnika određuje metodu "omatanja" za sigurnosni zapisnik. Da biste pronašli tu postavku, proširite Postavke sustava Windows, a zatim proširite Sigurnosne postavke.

    2. Rizične konfiguracije
       
       Sljedeće su štetne postavke konfiguracije:

       • Nije moguće zadržati sve zabilježene sigurnosne događaje prije nego što se prebrišu

       • Konfiguriranje postavke maksimalne veličine sigurnosnog zapisnika premalo radi prebrisavanja sigurnosnih događaja

       • Ograničavanje veličine sigurnosnog zapisnika i metode zadržavanja dok je omogućena postavka nadzora: isključi sustav odmah ako nije moguće prijaviti sigurnosnu postavku nadzora

    3. Razlozi omogućivanja te postavke
       
       Omogućite tu postavku samo ako odaberete metodu zadržavanja prebrisivanje događaja prema danima. Ako koristite sustav korelacije događaja koji ankete za događaje, provjerite je li broj dana najmanje tri puta učestalost ankete. Učinite to da biste dopustili neuspjele ankete.

14. Pristup mreži: dopusti svima da se primjenjuju na anonimne korisnike

    1. Pozadini
       
       Prema zadanim postavkama postavka Pristup mreži: Dopusti svima da se primjenjuju na anonimne korisnike postavljena je na Nije definirano u sustavu Windows Server 2003. Windows Server 2003 po zadanom ne obuhvaća token anonimnog pristupa u grupi Svi.

    2. Primjer problema s kompatibilnošću
       
       Sljedeća vrijednost

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous [REG_DWORD]=0x0 prekida stvaranje pouzdanosti između sustava Windows Server 2003 i Windows NT 4.0, kada je domena sustava Windows Server 2003 domena računa, a domena sustava Windows NT 4.0 domena resursa. To znači da je domena računa pouzdana u sustavu Windows NT 4.0, a domena resursa pouzdana na strani sustava Windows Server 2003. To se događa jer je postupak pokretanja pouzdanosti nakon početne anonimne veze ACL'd sa tokenom Svi koji obuhvaća anonimni SID u sustavu Windows NT 4.0.

    3. Razlozi za izmjenu ove postavke
       
       Vrijednost mora biti postavljena na 0x1 ili postaviti pomoću GPO-a na OU kontrolora domene da bi se: pristup mreži: Dopusti svima da se primjenjuju na anonimne korisnike – omogućeno da bi kreacije pouzdanosti bilo moguće.
       
       Napomena Većina ostalih sigurnosnih postavki ide gore u vrijednosti, a ne 0x0 u najzaštiжenijem stanju. Sigurnija praksa bila bi promjena registra na primarnom emulatoru domenskog kontrolera umjesto na svim domenski kontrolerima. Ako se iz bilo kojeg razloga premjesti uloga emulatora primarnog domenskog kontrolera, registar se mora ažurirati na novom poslužitelju.
       
       Nakon postavljanja te vrijednosti potrebno je ponovno pokretanje.

    4. Put registra

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

15. NTLMv2 provjera autentičnosti

    1. Sigurnost sesije
       
       Sigurnost sesije određuje minimalne sigurnosne standarde za sesije klijenta i poslužitelja. U dodatku Microsoft Management Console pravilnik grupe Editor provjerite sljedeće postavke sigurnosnih pravilnika:

       • Postavke računala\Postavke sustava Windows\Sigurnosne postavke\Lokalni pravilnici\Sigurnosne mogućnosti

       • Sigurnost mreže: minimalna sigurnost sesije za NTLM SSP poslužitelje (uključujući sigurne RPC) poslužitelje

       • Sigurnost mreže: minimalna sigurnost sesije za klijente utemeljene na NTLM SSP-u (uključujući sigurne RPC) klijente

       Mogućnosti tih postavki su sljedeće:

       • Zahtijevanje integriteta poruke

       • Zahtijevaj povjerljivost poruke

       • Zahtijevaj sigurnost sesije NTLM verzije 2

       • Zahtijevaj 128-bitno šifriranje

       Zadana postavka prije sustava Windows 7 nije preduvjet. Počevši od sustava Windows 7, zadana je postavka promijenjena u Traži 128-bitno šifriranje radi poboljšane sigurnosti. S ovim zadanim, naslijeđenim uređajima koji ne podržavaju 128-bitno šifriranje neće se moći povezati.
       
       Ti pravilnici određuju minimalne sigurnosne standarde za komunikacijsku sesiju prijave u aplikaciju na poslužitelju za klijenta.
       
       Imajte na umu da se, iako su opisane kao valjane postavke, zastavice koje zahtijevaju integritet poruke i povjerljivost ne koriste kada se odredi sigurnost sesije NTLM.
       
       Windows NT povijesno je podržavao sljedeće dvije varijante provjere autentičnosti izazova/odgovora za mrežne prijave:

       • LM izazov/odgovor

       • NTLM verzija 1 izazov / odgovor

       LM omogućuje interoperabilnost s instaliranom bazom klijenata i poslužitelja. NTLM pruža poboljšanu sigurnost za veze između klijenata i poslužitelja.
       
       Odgovarajući ključevi registra sljedeći su:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec" ("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec")
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec" ("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec")

    2. Rizične konfiguracije
       
       Ova postavka određuje način na koji će se mrežne sesije osigurati pomoću NTLM-a. To, primjerice, utječe na sesije utemeljene na RPC-u provjerene pomoću NTLM-a. Postoje sljedeći rizici:

       • Korištenje starijih metoda provjere autentičnosti od NTLMv2 olakšava komunikaciju zbog jednostavnijih načina raspršivanja koji se koriste.

       • Korištenje ključeva za šifriranje manje od 128-bitnog omogućuje napadačima prekid komunikacije pomoću nasilnih napada.

Sinkronizacija vremena

Sinkronizacija vremena nije uspjela. Vrijeme je isključeno za više od 30 minuta na zahvaćenom računalu. Provjerite je li sat klijentskog računala sinkroniziran sa satom domenskog kontrolera.

Zaobilazno rješenje za potpisivanje SMB-a

Preporučujemo da servisni paket 6a (SP6a) instalirate na klijente sustava Windows NT 4.0 koji interoperabilnosti u domeni sustava Windows Server 2003. Klijenti utemeljeni na sustavu Windows 98 Second Edition, klijenti utemeljeni na sustavu Windows 98 i klijenti utemeljeni na sustavu Windows 95 moraju pokrenuti klijent usluge Directory Services da bi izvodio NTLMv2. Ako klijenti utemeljeni na sustavu Windows NT 4.0 nemaju instaliran Windows NT 4.0 SP6 ili ako klijenti utemeljeni na sustavu Windows 95, klijenti utemeljeni na sustavu Windows 98 i klijenti utemeljeni na sustavu Windows 98SE nemaju instaliran klijent usluge Directory Services, onemogućite SMB prijavu u postavku pravilnika zadanog kontrolora domene na OU-u kontrolora domene, a zatim povežite pravilnik sa svim OU-ima koji hostira kontrolere domena.

Klijent imeničkih servisa za Windows 98 Second Edition, Windows 98 i Windows 95 izvodit će potpisivanje SMB-a s poslužiteljima sustava Windows 2003 u odjeljku NTLM provjera autentičnosti, ali ne i u odjeljku Provjera autentičnosti NTLMv2. Osim toga, poslužitelji sustava Windows 2000 neće odgovarati na zahtjeve za potpisivanje SMB-a tih klijenata.

Iako to ne preporučujemo, možete spriječiti da se potpisivanje SMB-a traži na svim domenski kontrolerima koji pokreću Windows Server 2003 u domeni. Da biste konfigurirali tu sigurnosnu postavku, slijedite ove korake:

1. Otvorite pravilnik zadanog domenskog kontrolera.

2. Otvorite mapu Konfiguracija računala\Postavke sustava Windows\Sigurnosne postavke\Lokalni pravilnici\Sigurnosne mogućnosti.

3. Pronađite i kliknite Microsoftov mrežni poslužitelj: postavka pravilnika o digitalnom potpisivanju komunikacija (uvijek), a zatim kliknite Onemogućeno.

Važno Ovaj odjeljak, metoda ili zadatak sadrži korake koji vas obavještavaju o tome kako izmijeniti registar. No ako nepravilno izmijenite registar, može doći do ozbiljnih problema. Stoga pazite da pažljivo slijedite ove korake. Radi dodatne zaštite sigurnosno kopirajte registar prije izmjene. Zatim možete vratiti registar ako se pojavi problem. Dodatne informacije o sigurnosnom kopiranju i vraćanju registra potražite u sljedećem članku iz Microsoftove baze znanja:

322756 Kako sigurnosno kopirati i vratiti registar u sustavu Windows, možete i isključiti potpisivanje SMB-a na poslužitelju izmjenom registra. Da biste to učinili, učinite sljedeće:

1. Kliknite Start, zatim Pokreni, upišite regedit, a zatim kliknite U redu.

2. Pronađite i kliknite sljedeći potključ:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

3. Kliknite stavku enablesecuritysignature .

4. Na izborniku Uređivanje kliknite Izmijeni.

5. U okvir Vrijednost podataka upišite 0, a zatim kliknite U redu.

6. Izlaz iz uređivača registra.

7. Ponovno pokrenite računalo ili zaustavite pa ponovno pokrenite poslužiteljski servis. Da biste to učinili, u naredbeni redak upišite sljedeće naredbe, a zatim nakon upisa svake naredbe pritisnite Enter:
   net stop server
   net start server

Napomena Odgovarajući ključ na klijentskom računalu nalazi se u sljedećem potključu registra:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters U nastavku su navedeni prevedeni brojevi koda pogreške u kodove stanja i na prethodno spomenute poruke o pogreškama:

Dodatne informacije potražite u člancima iz Microsoftove baze znanja klikom na sljedeće brojeve članaka:

324802 Konfiguriranje pravilnika grupe radi postavljanja sigurnosti za sistemske servise u sustavu Windows Server 2003

816585 Primjena unaprijed definiranih sigurnosnih predložaka u sustavu Windows Server 2003