Jelenleg nem kapcsolódik az internethez. Várakozás a kapcsolat helyreállítására

Ügyfélrendszereken, szolgáltatásokban és programokban felmerülő inkompatibilitási problémák, melyek a biztonsági beállítások és a felhasználóknak kiosztott jogosultságok módosításakor jelentkezhetnek

A Windows XP támogatása megszűnt

A Microsoft 2014. április 8-án megszüntette a Windows XP terméktámogatását. Ez a változás kihatással van a szoftverfrissítésekre és a biztonsági beállításokra. Megtudhatja, hogy ez milyen következményekkel jár és hogyan tarthatja fenn rendszere védelmét.

2015. július 14-én véget ért a Windows Server 2003 támogatása

2015. július 14-én a Microsoft megszüntette a Windows Server 2003 támogatását. Ez a változás kihatással van a szoftverfrissítésekre és a biztonsági beállításokra. Megtudhatja, hogy ez milyen következményekkel jár és hogyan tarthatja fenn rendszere védelmét.

Összefoglaló
A cikk olyan inkompatibilitási problémákat ismertet, amelyek Microsoft Windows 95, Microsoft Windows 98, Microsoft Windows NT 4.0, Microsoft Windows 2000, Microsoft Windows XP Professional vagy Microsoft Windows Server 2003 operációs rendszert futtató ügyfélszámítógépeken fordulhatnak elő a biztonsági beállítások és a felhasználóknak kiosztott jogosultságok módosításakor Windows NT 4.0, Windows 2000 és Windows Server 2003 rendszerbeli tartományokban.

A helyi és csoportházirendek beállításainak, kiosztásainak konfigurálásával fokozható a biztonság a tartományvezérlőkön, valamint a tagszámítógépeken. A fokozott biztonság hátránya viszont az ügyfélrendszereken, szolgáltatásokban és programokban felmerülő inkompatibilitási problémák.

A nem megfelelően konfigurált biztonsági beállítások jobb megfigyeléséhez használja e beállítások módosítására szolgáló Csoportházirendobjektum-szerkesztőt. A Csoportházirendobjektum-szerkesztő használatával a következő operációs rendszerek esetében bővíthetők a felhasználóknak kiosztott jogosultságok:
  • Microsoft Windows XP Professional Service Pack 2 (SP2)
  • Microsoft Windows Server 2003 Service Pack 1 (SP1)
A bővítésben található egy, a jelen cikkre mutató hivatkozást tartalmazó párbeszédpanel. A cikk előugrik minden alkalommal, amikor olyan biztonsági beállításokat vagy a felhasználóknak kiosztott jogosultságokat módosít, amelyek kisebb mértékű kompatibilitást és korlátozottabb jogosultságokat eredményeznek. Ha közvetlenül ugyanazt a biztonsági beállítást vagy felhasználóknak kiosztott jogosultságot módosítja a beállításjegyzékkel, illetve biztonsági sablonokkal, az elért hatás megegyezik a Csoportházirendobjektum-szerkesztővel végrehajtott módosítással; azonban a cikkre mutató hivatkozást tartalmazó párbeszédpanel már nem jelenik meg.

Ez a cikk példákat vonultat fel a biztonsági beállítások vagy a felhasználóknak kiosztott jogosultságok által érintett ügyfélrendszerekre, programokra és műveletekre. E példák nem vonatkoznak a Microsoft összes operációs rendszerére vagy külső féltől származó összes rendszerre, illetve nem vonatkoznak az érintett programok minden verziójára. Nem minden biztonsági beállítás vagy felhasználóknak kiosztott jogosultság szerepel jelen cikkben.

A Microsoft azt ajánlja, hogy ellenőrizze a konfiguráció biztonsági módosításait tesztkörnyezetben, mielőtt munkakörnyezetben alkalmazná őket. A tesztkörnyezetnek az alábbi tekintetekben kell tükröznie a munkakörnyezetet:
  • Ügyféloldali és kiszolgálói operációs rendszerek verziói, ügyfél- és kiszolgálói programok, szervizcsomagok, gyorsjavítások, sémamódosítások, biztonsági csoportok, csoporttagságok, fájlrendszerbeli objektumengedélyek, megosztott mappák, a beállításjegyzék, Active Directory címtárszolgáltatás, helyi és csoportházirend-beállítások, valamint az objektumok száma, típusa és elhelyezkedése.
  • A végrehajtott felügyeleti feladatok, a használt felügyeleti eszközök és a felügyeleti feladatokat végrehajtó operációs rendszerek.
  • A végrehajtott műveletek, beleértve a számítógép és a felhasználók bejelentkezéskori hitelesítését; a felhasználók, számítógépek és rendszergazdák általi jelszókiadások; böngészés; a fájlrendszer, megosztott mappák, beállításjegyzék és az Active Directory-erőforrások engedélyeinek ACL-szerkesztő általi beállítása az összes fiók- vagy erőforrás-tartomány ügyféloldali operációs rendszereiből származó minden fiók- vagy erőforrás-tartomány ügyféloldali operációs rendszereiben; nyomtatás rendszergazdai vagy felhasználói fiókokból.

Windows Server 2003 SP1

A Gpedit.msc figyelmeztetései

A fájlba épített két figyelmeztetési mechanizmus a felhasználók figyelmét kívánja felhívni a felhasználói jogosultság vagy a biztonsági beállítás szerkesztéséből fakadó, a hálózatra káros befolyással bíró esetekre. Amikor a rendszergazdák olyan felhasználói jogosultságot szerkesztenek, amely negatív hatással lehet az egész vállalatra, egy új, az „Elsőbbségadás kötelező” jelzőtáblára emlékeztető ikon és egy figyelmeztető üzenet tűnik fel, amely a Microsoft Tudásbázis 823659. számú cikkére hivatkozik. Az üzenet szövege a következő:
A beállítás módosítása hatással lehet az ügyfélszámítógépekkel, szolgáltatásokkal és alkalmazásokkal való kompatibilitásra. További tudnivalókat talál a cikk (Q823659) <felhasználói jogosultságok vagy biztonsági beállítások módosításával> foglalkozó részében.
Ha e cikkhez a GPEDIT.MSC fájlban található hivatkozással jutott el, győződjön meg róla, hogy elolvasta és megértette a cikkben foglaltakat, valamint a beállítás módosításával járó esetleges hatás(oka)t. Az alábbiakban az új figyelmeztető üzenetet tartalmazó felhasználói jogosultságok listáját olvashatja:
  • A számítógép elérése a hálózatról
  • Helyi bejelentkezés
  • Szülőkönyvtár-jogosultságok mellőzése
  • Számítógépek és felhasználók megbízható delegálásának engedélyezése
Alább azon biztonsági beállítások felsorolása található, amelyek tartalmazzák a figyelmeztetést és az előugró üzenetet:
  • Tartományi tag: A biztonságos csatornák adatainak digitális titkosítása vagy aláírása (mindig)
  • Tartományi tag: erős (Windows 2000 vagy frissebb rendszerű) munkamenetkulcs megkövetelése
  • Tartományvezérlő: LDAP-kiszolgáló aláírási követelményei
  • Microsoft hálózati kiszolgáló: Kommunikáció digitális aláírása (mindig)
  • Hálózati hozzáférés: Névtelen helyazonosító-/névfordítás engedélyezése
  • Hálózati hozzáférés: A SAM-fiókok és -megosztások névtelen felsorolása nem engedélyezett
  • Hálózati biztonság: LAN-kezelő hitelesítési szintje
  • Naplózás: A rendszer azonnali leállítása, ha nem lehet naplózni a biztonsági eseményeket
  • Hálózati hozzáférés: LDAP-ügyfél aláírási követelményei
További információ
A soron következő szakaszokban a Windows NT 4.0, Windows 2000 és Windows Server 2003 rendszerbeli tartományok egyes beállításainak módosításakor valószínűleg fellépő inkompatibilitási problémák találhatók.

Felhasználói jogok

  1. A számítógép elérése a hálózatról
    1. Háttér

      Távoli Windows-számítógépekkel való kommunikációhoz szükség van A számítógép elérése a hálózatról felhasználói jogra. Az efféle hálózati műveletek közé soroljuk az Active Directory tartományvezérlők közötti replikációját egy közös tartományban vagy erdőben, számítógépek és felhasználók hitelesítési kérelmei a tartományvezérlők felé, valamint hozzáférés megosztott mappákhoz, nyomtatókhoz és a hálózatra kapcsolt távoli számítógépeken elérhető egyéb rendszerszolgáltatásokhoz.

      A felhasználók, számítógépek és szolgáltatásfiókok hozzájutnak vagy elveszítik A számítógép elérése a hálózatról felhasználói jogot, ha azt explicit vagy implicit módon hozzáadják egy olyan biztonsági csoporthoz vagy eltávolítják egy olyan biztonsági csoportból, amely korábban már megkapta ezt a jogot. Például rendszergazdák explicit módon hozzáadhatnak felhasználói vagy számítógépfiókokat egy egyéni vagy beépített biztonsági csoporthoz, illetve az operációs rendszer implicit módon hozzáadhatja a fiókot egy számított biztonsági csoporthoz (a Tartományi felhasználók, a Hitelesített felhasználók vagy a Vállalati tartományvezérlők csoportjához).

      Alapértelmezés szerint a felhasználói és számítógépfiókok akkor jutnak hozzá A számítógép elérése a hálózatról felhasználói joghoz, amikor a számított csoportok, például a Mindenki vagy a Hitelesített felhasználók, és a tartományvezérlők esetében a Vállalati tartományvezérlők csoportjának definiálása megtörtént az alapértelmezett tartományvezérlők csoportházirend-objektumában (a GPO-ban).
    2. Kockázatos beállítások

      Az alábbi konfigurációs beállítások károsak:
      • A Vállalati tartományvezérlők biztonsági csoport megfosztása a felhasználói jogtól
      • A felhasználóknak, számítógépeknek és szolgáltatásfiókoknak a hálózaton lévő számítógépekhez történő kapcsolódást biztosító felhasználói jogot engedélyező Hitelesített felhasználók csoport vagy egy explicit csoport eltávolítása
      • Minden felhasználó és számítógép megfosztása a felhasználói jogtól
    3. A felhasználói jog biztosításának lehetséges okai
      • A számítógép elérése a hálózatról felhasználói jognak a Vállalati tartományvezérlők csoport részére történő biztosításával teljesülnek azok a hitelesítési követelmények, amelyekkel az Active Directory replikációjának kell rendelkeznie ahhoz, hogy az egyazon erdőben található tartományvezérlők közötti replikáció megvalósuljon.
      • A felhasználói jog lehetővé teszi a felhasználók és számítógépek számára, hogy hozzáférjenek megosztott fájlokhoz, nyomtatókhoz és rendszerszolgáltatásokhoz, például az Active Directoryhoz.
      • Ez a felhasználói jog szükséges ahhoz, hogy a felhasználók a Microsoft Outlook Web Access (OWA) korábbi verzióival férhessenek hozzá a leveleikhez.
    4. A felhasználói jog eltávolításának lehetséges okai
      • A számítógépüket a hálózatra kapcsolni képes felhasználók erőforrásokhoz férhetnek hozzá azokon a távoli számítógépeken, amelyekhez engedéllyel rendelkeznek. Ez a felhasználói jog szükséges a felhasználónak például ahhoz, hogy megosztott nyomtatókhoz és mappákhoz férjen hozzá. Ha a Mindenki csoport számára biztosítva van ez a felhasználói jog, és néhány megosztott mappa megosztási és NTFS fájlrendszer-engedélyét úgy konfigurálták, hogy ugyanaz a csoport olvasási hozzáféréssel rendelkezzen, bárki megtekintheti a megosztott mappák tartalmát. Mindazonáltal a Windows Server 2003 újonnan telepített példányai esetében ez egy valószínűtlen szituáció, hiszen a Windows Server 2003 alapértelmezett megosztási és NTFS fájlrendszer-engedélyei kizárják a Mindenki csoportot. A Microsoft Windows NT 4.0 vagy Windows 2000 operációs rendszerről frissített rendszereknél ez a biztonsági rés nagyobb lehet, mivel ezeknek az operációs rendszereknek az alapértelmezett megosztási és fájlrendszerengedélyei nem olyan korlátozóak, mint a Windows Server 2003 alapértelmezett engedélyei.
      • Nincs nyomós ok arra, hogy a Vállalati tartományvezérlők csoportot megfosszák ettől a felhasználói jogtól.
      • A Mindenki csoport többnyire eltávolításra kerül a Hitelesített felhasználók csoportja érdekében. Ha a Mindenki csoportot eltávolítják, a Hitelesített felhasználók csoportja számára biztosítani kell ezt a felhasználói jogot.
      • Mivel a Windows 2000 rendszerre frissített Windows NT 4.0 rendszerbeli tartományok nem biztosítják explicit módon A számítógép elérése a hálózatról felhasználói jogot a Mindenki, a Hitelesített felhasználók vagy a Vállalati tartományvezérlők csoportjának, a Mindenki csoport Windows NT 4.0 tartományi házirendjéből történő eltávolításakor az Active Directory replikációja egy hozzáférési hibaüzenettel meghiúsul. A Windows Server 2003 Winnt32.exe alkalmazása viszont elkerüli ezt a helytelen beállítást azzal, hogy a Vállalati tartományvezérlők csoportjának biztosítja ezt a felhasználói jogot a Windows NT 4.0 elsődleges tartományvezérlőinek frissítésekor. Ha a jog nincs a Csoportházirendobjektum-szerkesztőben, biztosítsa a felhasználói jogot a Vállalati tartományvezérlők csoportnak.
    5. Példák kompatibilitási problémákra
      • Windows 2000 és Windows Server 2003 esetén: Az Active Directory-séma, a konfiguráció, a tartomány, a globális katalógus vagy az alkalmazáspartíciók replikációja meghiúsul egy hozzáférési hibaüzenettel, ahogy az a REPLMON és a REPADMIN alkalmazáshoz hasonló figyelési eszközök jelentéseiben, illetve az eseménynapló replikációs eseményeiben olvasható.
      • A Microsoft összes hálózati operációs rendszere esetén: A hálózati ügyfélszámítógépek felhasználói fiókjainak hitelesítése sikertelen, kivéve, ha a felhasználónak vagy a felhasználó biztonsági csoportjának biztosítva van a felhasználói jog.
      • A Microsoft összes hálózati operációs rendszere esetén: A hálózati ügyfelek fiókhitelesítése sikertelen, kivéve, ha a fióknak vagy a fiók biztonsági csoportjának biztosítva van a felhasználói jog. A jelenség vonatkozik a felhasználói, számítógép- és szolgáltatásfiókokra.
      • A Microsoft összes hálózati operációs rendszere esetén: A felhasználói jog összes fiókjának eltávolításával megakadályozható, hogy a fiókokkal bejelentkezzenek a tartományba vagy hozzáférjenek a hálózati erőforrásokhoz. Ha a számított csoportok, mint a Vállalati tartományvezérlők, Mindenki vagy a Hitelesített felhasználók, el vannak távolítva, a felhasználói jogot biztosítani kell explicit módon a fiókoknak vagy azoknak a biztonsági csoportoknak, amelyeknek tagja a fiók, hogy a hálózaton lévő távoli számítógépek hozzáférhetők legyenek. A jelenség vonatkozik minden felhasználói, számítógép- és szolgáltatásfiókokra.
      • A Microsoft összes hálózati operációs rendszere esetén: A helyi rendszergazdafiók „üres” jelszót használ. Rendszergazdák esetén nem engedélyezett a hálózati kapcsolat üres jelszóval tartománykörnyezetben. Ez a beállítás a „Hozzáférés megtagadva” hibaüzenet megjelenését eredményezheti.
  2. Helyi bejelentkezés engedélyezése
    1. Háttér

      Azoknak a felhasználóknak, akik egy Microsoft Windows-alapú számítógép konzolján kísérelnek meg bejelentkezni (a CTRL+ALT+DELETE billentyűkombináció segítségével), és azoknak a fiókoknak, amelyek egy szolgáltatást kísérelnek meg elindítani, helyi bejelentkezési jogokkal kell rendelkezniük a kiszolgálói számítógépen. A helyi bejelentkezési műveletek közé sorolandó a rendszergazdák tagszámítógépek konzoljaira történő bejelentkezése, vagy a nem megfelelő jogokkal rendelkező vállalati tartományvezérlők és tartományi felhasználók bejelentkezése az asztalhoz való hozzáférés céljából. A Távoli asztali kapcsolatot vagy a terminálszolgáltatásokat használó felhasználóknak rendelkezniük kell a Helyi bejelentkezés engedélyezése felhasználói joggal a Windows 2000 vagy Windows XP rendszert futtató célszámítógépeken, mert ezeket a bejelentkezési módokat helyi bejelentkezésként értékeli a kiszolgálói számítógép. Ha a terminálszolgáltatásokat engedélyező kiszolgálóra bejelentkező felhasználók nem rendelkeznek ezzel a joggal, még mindig van lehetőségük arra, hogy távoli interaktív munkamenetet indítsanak a Windows Server 2003 tartományaiban, amennyiben a tartományok rendelkeznek a Be lehessen jelentkezni terminálszolgáltatások használatával felhasználói jogosultsággal.
    2. Kockázatos beállítások

      Az alábbi konfigurációs beállítások károsak:
      • A felügyeleti biztonsági csoportok, például a Fiókfelelősök, Nyomtatófelelősök és Kiszolgálófelelősök, valamint a beépített Rendszergazdák csoport eltávolítása az alapértelmezett tartományvezérlői házirendből.
      • A tartomány tagszámítógépein és tartományvezérlőin található összetevők és programok által használt szolgáltatásfiókok eltávolítása az alapértelmezett tartományvezérlői házirendből.
      • A tartomány tagszámítógépeinek konzoljába bejelentkező felhasználók vagy biztonsági csoportok eltávolítása.
      • A tagszámítógépek vagy a munkacsoport-számítógépek Biztonsági fiókkezelőjének (SAM) helyi adatbázisában definiált szolgáltatásfiókok eltávolítása.
      • Tartományvezérlőn futó terminálszolgáltatásokon keresztül hitelesítő nem beépített felügyeleti fiókok eltávolítása.
      • A Helyi bejelentkezés megtagadása bejelentkezési jog explicit vagy implicit módon történő hozzáadása a tartomány összes felhasználói fiókjához a Mindenki csoporton keresztül. Ez a beállítás megakadályozza, hogy a felhasználók a tartomány bármely tagszámítógépébe vagy tartományvezérlőjébe bejelentkezzenek.
    3. A felhasználói jog biztosításának lehetséges okai
      • A felhasználóknak rendelkezniük kell a Helyi bejelentkezés engedélyezése felhasználói joggal, ha hozzá kívánnak férni egy munkacsoport-számítógép, tagszámítógép vagy egy tartományvezérlő konzoljához, illetve asztalához.
      • A felhasználóknak rendelkezniük kell ezzel a felhasználói joggal, ha egy Windows 2000-alapú tagszámítógépen vagy tartományvezérlőn futó terminálszolgáltatási munkameneten keresztül kívánnak bejelentkezni.
    4. A felhasználói jog eltávolításának lehetséges okai
      • Ha nem sikerül a konzolhozzáférést az arra jogosult felhasználói fiókokra korlátozni, a jogosulatlan felhasználóknak lehetőségük nyílik rosszindulatú kód letöltésére és végrehajtására, mellyel saját felhasználói jogaikat módosíthatják.
      • A Helyi bejelentkezés engedélyezése felhasználói jog eltávolításával kivédhetők a számítógépkonzolokba, tartományvezérlőkre vagy alkalmazáskiszolgálókra történő jogosulatlan bejelentkezések.
      • E bejelentkezési jog eltávolításával megakadályozható, hogy a tartományhoz nem tartozó fiókok bejelentkezzenek a tartomány tagszámítógépeinek konzoljába.
    5. Példák kompatibilitási problémákra
      • Windows 2000-alapú terminálkiszolgálók esetén: A felhasználóknak szükségük van a Helyi bejelentkezés engedélyezése felhasználói jogra, ha Windows 2000-alapú terminálkiszolgálókra kívánnak bejelentkezni.
      • Windows NT 4.0, Windows 2000, Windows XP vagy Windows Server 2003 esetén: A felhasználói fiókoknak rendelkezniük kell ezzel a felhasználói joggal a Windows NT 4.0, Windows 2000, Windows XP vagy Windows Server 2003 rendszert futtató számítógépek konzoljába történő bejelentkezéshez.
      • Windows NT 4.0 és újabb verziók esetén: Ha egyidejűleg, implicit vagy explicit módon biztosítja a Helyi bejelentkezés engedélyezése és a Helyi bejelentkezés megtagadása felhasználói jogot a Windows NT 4.0 rendszert és annak újabb verzióit futtató számítógépeken, a fiókok nem lesznek képesek bejelentkezni a tartományvezérlők konzoljába.
  3. Szülőkönyvtár-jogosultságok mellőzése
    1. Háttér

      A Szülőkönyvtár-jogosultságok mellőzése felhasználói jog lehetővé teszi a felhasználóknak NTFS fájlrendszerű mappák vagy a beállításjegyzék böngészését anélkül, hogy a Mappa bejárása speciális hozzáférési engedélyt ellenőrizné. A Szülőkönyvtár-jogosultságok mellőzése felhasználói jog nem engedélyezi a felhasználónak a mappák tartalmának megtekintését, csupán a mappákhoz biztosít bejárást.
    2. Kockázatos beállítások

      Az alábbi konfigurációs beállítások károsak:
      • A Windows 2000- vagy Windows Server 2003-alapú, a fájlrendszer fájljaihoz vagy mappáihoz a szükséges engedélyek hiányában hozzáférni nem képes terminálszolgáltatási számítógépekre bejelentkező, rendszergazdai jogosultságokkal nem rendelkező fiókok eltávolítása.
      • A Mindenki csoport eltávolítása azoknak a rendszerbiztonsági tagoknak a listájából, akik alapértelmezés szerint rendelkeznek ezzel a felhasználói joggal. Mivel a Windows operációs rendszerek, és sok egyéb program alapértelmezés szerint arra számít, hogy bárki, aki jogosan hozzáférhet a számítógéphez automatikusan megkapja a Szülőkönyvtár-jogosultságok mellőzése felhasználói jogot, a Mindenki csoport eltávolítása a felhasználói joggal bíró rendszerbiztonsági tagok listájából az operációs rendszer instabilitásához vagy programhibához vezethet. Ezért azt ajánljuk, hogy hagyja ezt a beállítást az alapértelmezett értéken.
    3. A felhasználói jog biztosításának lehetséges okai

      A Szülőkönyvtár-jogosultságok mellőzése felhasználói jog alapértelmezett beállítása szerint engedélyezi bárki számára, hogy mellőzze a szülőkönyvtár-jogosultságokat. A tapasztalt Windows-rendszergazdáknak: ez az elvárt viselkedés, ezért ennek megfelelően konfigurálják a fájlrendszer hozzáférés-szabályozási listáit (SACL). Csak abban az egyetlen esetben vezethet az alapértelmezett beállítás problémához, ha az engedélyeket konfiguráló rendszergazda nem érti a viselkedést, és azt várja, hogy a szülőmappához hozzáférni nem képes felhasználók az almappák tartalmához sem tudnak hozzáférni.
    4. A felhasználói jog eltávolításának lehetséges okai

      A biztonságot rendkívüli módon előtérbe helyező szervezeteknél elképzelhető a Mindenki vagy akár a Felhasználók csoport eltávolítása a Szülőkönyvtár-jogosultságok mellőzése felhasználói joggal felruházott csoportok közül, hogy így kíséreljék meg megakadályozni azok hozzáférését a fájlrendszerbeli fájlokhoz és mappákhoz.
    5. Példák kompatibilitási problémákra
      • Windows 2000 és Windows Server 2003 esetén: Ha a Szülőkönyvtár-jogosultság mellőzése felhasználói jogot eltávolítják vagy helytelenül konfigurálják Windows 2000 vagy Windows Server 2003 rendszert futtató számítógépeken, az SYVOL mappában található csoportházirend-beállítások tartományvezérlők közötti replikációja nem fog megtörténni a tartományban.
      • Windows 2000, Windows XP Professional és Windows Server 2003 esetén: Windows 2000, Windows XP Professional vagy Windows Server 2003 rendszerrel működő számítógépek esetén az 1000-es és az 1202-es azonosítójú esemény kerül az alkalmazásnaplóba, a szükséges fájlrendszerengedélyeknek az SYSVOL fából történő eltávolításakor pedig nem lesz alkalmazható a számítógép vagy a felhasználó házirendje, ha a Szülőkönyvtár-jogosultság mellőzése felhasználói jogot eltávolítják vagy helytelenül konfigurálják.

        A Microsoft Tudásbázis kapcsolódó cikke:
        290647 Öt percenként egy 1000-es és egy 1001-es azonosítójú esemény íródik az alkalmazásnaplóba
      • Windows 2000 és Windows Server 2003 esetén: Windows 2000- vagy Windows Server 2003-alapú számítógép esetén egy kötet tulajdonságainak megtekintésekor a Kvóta fül nem jelenik meg a Windows Intézőben.
      • Windows 2000 esetén: A Windows 2000-alapú terminálkiszolgálóra bejelentkező, rendszergazdai jogosultságokkal nem rendelkező felhasználók a következőhöz hasonló hibaüzenetet kaphatják:
        Alkalmazáshiba (Userinit.exe). Az alkalmazás inicializálása nem megfelelő (0xc0000142). Az alkalmazás befejezéséhez kattintson az OK gombra.
        A Microsoft Tudásbázis kapcsolódó cikke:
        272142 A rendszer automatikusan kijelentkezteti a terminálszolgáltatásokba bejelentkező felhasználókat (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      • Windows NT 4.0, Windows 2000, Windows XP és Windows Server 2003 esetén: Windows NT 4.0, Windows 2000, Windows XP vagy Windows Server 2003 rendszert futtató számítógépek esetén előfordulhat, hogy nem lehet hozzáférni a megosztott mappákhoz vagy az azokban lévő fájlokhoz, valamint megjelenhet egy, a hozzáférés megtagadásáról tájékoztató hibaüzenet, ha a felhasználó nem rendelkezik a Szülőkönyvtár-jogosultság mellőzése felhasználói joggal.

        A Microsoft Tudásbázis kapcsolódó cikke:
        277644 A megosztott mappák elérése hozzáférés-megtagadási hibaüzenetet okoz (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      • Windows NT 4.0 esetén: Windows NT 4.0-alapú számítógépek esetén a Szülőkönyvtár-jogosultság mellőzése felhasználói jog eltávolítása fájlmásolás közbeni fájladatfolyam-vesztést okoz. Ha akkor távolítja el ezt a felhasználói jogot, amikor fájlt másol egy Windows- vagy Macintosh-alapú ügyfélszámítógépről egy Services for Macintosh szolgáltatást futtató Windows NT 4.0 tartományvezérlőbe, a célfájl adatfolyama elvész, és a fájl „csak szöveg” típusú fájlként jelenik meg.

        A Microsoft Tudásbázis kapcsolódó cikke:
        172930 A „Szülőkönyvtár-jogosultságok mellőzése” felhasználói jog eltávolítása fájlmásolás közbeni adatfolyamvesztést okoz (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      • Microsoft Windows 95 és Microsoft Windows 98 esetén: Windows 95 vagy Windows 98 rendszert futtató ügyfélszámítógépek esetén a net use * /home parancs egy, a hozzáférés megtagadásáról tájékoztató hibaüzenettel sikertelen lesz, ha a Hitelesített felhasználók csoportnak nincs biztosítva a Szülőkönyvtár-jogosultság mellőzése felhasználói jog.
      • Outlook Web Access esetén: A rendszergazdai jogosultságokkal nem rendelkező felhasználók nem tudnak bejelentkezni a Microsoft Outlook Web Access programba, és egy, a hozzáférés megtagadásáról tájékoztató hibaüzenet jelenik meg, ha nem rendelkeznek a Szülőkönyvtár-jogosultság mellőzése felhasználói joggal.
Biztonsági beállítások
  1. Naplózás: A rendszer azonnali leállítása, ha nem lehet naplózni a biztonsági eseményeket
    1. Háttér
      • A Naplózás: A rendszer azonnali leállítása, ha nem lehet naplózni a biztonsági eseményeket beállítás azt határozza meg, hogy történjen-e rendszerleállítás, ha a biztonsági események naplózása nem lehetséges. A TCSEC program C2-es értékeléséhez, valamint a Common Criteria for Information Technology Security Evaluation szabványhoz szükség van a beállításra, hogy elkerülhetők legyenek a naplózási események, ha a naplózási rendszer nem képes az események bejegyzésére. Ha a naplózási rendszerben hiba történik, a rendszer leáll, és egy Stop típusú hibaüzenet jelenik meg.
      • Ha a számítógép nem tud eseményeket rögzíteni a biztonsági naplóba, a fontos bizonyítékok vagy hibaelhárítási információk elérhetetlenné válhatnak egy biztonsági problémát követően.
    2. Kockázatos beállítás

      A következő konfigurációs beállítás káros: A Naplózás: A rendszer azonnali leállítása, ha nem lehet naplózni a biztonsági eseményeket beállítás engedélyezve van, és a biztonsági eseménynapló méretét Az események ne legyenek felülírva (napló törlése kézzel), az Események felülírása szükség szerint vagy Az ennél régebbi események felülírása: szám nap beállítás korlátozza. Ha a Windows 2000, Windows 2000 SP1, Windows 2000 SP2 vagy a Windows 2000 SP3 eredeti kiadását futtató számítógépekre jellemző problémákról szeretne több információt megtudni, tekintse meg a cikk „Példák kompatibilitási problémákra” című szakaszát.
    3. A beállítás engedélyezésének lehetséges okai

      Ha a számítógép nem tud eseményeket rögzíteni a biztonsági naplóba, a fontos bizonyítékok vagy hibaelhárítási információk elérhetetlenné válhatnak egy biztonsági problémát követően.
    4. A beállítás tiltásának lehetséges okai
      • A Naplózás: A rendszer azonnali leállítása, ha nem lehet naplózni a biztonsági eseményeket beállítás engedélyezésével a rendszer leáll, ha a biztonsági naplózást bármilyen esemény miatt nem lehet végrehajtani. A biztonsági naplót jellemzően akkor nem lehet írni, amikor az megtelt, és a megadott megőrzési módszere Az események ne legyenek felülírva (napló törlése kézzel) vagy Az ennél régebbi események felülírása: szám nap beállítás.
      • A rendszergazdára nehezedő terhelés nagymértékben megnőhet, ha engedélyezi a Naplózás: A rendszer azonnali leállítása, ha nem lehet naplózni a biztonsági eseményeket beállítást, különösképp, ha még Az események ne legyenek felülírva (napló törlése kézzel) beállítást is bekapcsolja a biztonsági naplóban. Ez a beállítás határozza meg az operátori műveletek egyéni felelősségét. Egy rendszergazda például alaphelyzetbe állíthatja minden felhasználó, számítógép és csoport engedélyét egy olyan szervezeti egységen belül, ahol a naplózást a beépített rendszergazdai fiókkal engedélyezték vagy egy másik megosztott fiókkal, majd megtilthatja a szervezeti egység tagjainak, hogy alaphelyzetbe állíthassák ezeket az engedélyeket. A beállítás engedélyezése azonban csökkenti a rendszer megbízhatóságát, mert a kiszolgáló leállásra kényszerülhet, ha a biztonsági napló bejelentkezési és egyéb biztonsági eseményektől telítődik meg. Továbbá, mivel a leállítás nem szabályos, a folyamat következtében helyrehozhatatlan sérülést szenvedhet az operációs rendszer, az érintett programok vagy adatok. Az NTFS jóllehet garantálja a fájlrendszer integritását egy szabálytalan rendszerleállítás alatt, de azt már nem tudja garantálni, hogy az összes program minden egyes adatfájlja használható formában lesz az újraindítást követően.
    5. Szimbolikus név:

      CrashOnAuditFail
    6. Beállításjegyzékbeli elérési út:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)
    7. Példák kompatibilitási problémákra
      • Windows 2000 esetén: Egy hiba miatt a Windows 2000, a Windows 2000 SP1, a Windows 2000 SP2 vagy a Windows Server SP3 eredeti kiadását futtató számítógépeken előfordulhat, hogy a naplózás még a Maximális naplófájlméret beállításban megadott érték elérése előtt leáll. A hiba javítását a Windows 2000 Service Pack 4 (SP4) szervizcsomag tartalmazza, ezért a beállítás esetleges engedélyezése előtt győződjön meg róla, hogy a Windows 2000 tartományvezérlőkön telepítve van a szervizcsomag.

        A Microsoft Tudásbázis kapcsolódó cikke:
        312571 Az Eseménynapló a napló maximális méretének elérése előtt abbahagyja az események naplózását (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      • Windows 2000 és Windows Server 2003 esetén: Windows 2000 vagy Windows Server 2003 rendszer esetén előfordulhat, hogy a számítógép nem válaszol, majd magától újraindul, ha a Naplózás: A rendszer azonnali leállítása, ha nem lehet naplózni a biztonsági eseményeket beállítás engedélyezve van, és a biztonsági napló megtelt, valamint egy meglévő eseménynapló-bejegyzést nem lehet felülírni. A számítógép újraindításakor a következő Stop típusú hibaüzenet jelenik meg:
        STOP: C0000244 {Meghiúsult naplózás}
        A biztonsági napló létrehozására irányuló kísérlet meghiúsult.
        A helyreállításhoz jelentkezzen be rendszergazdaként, archiválja a biztonsági naplót (nem kötelező), törölje a biztonsági naplót, majd állítsa alaphelyzetbe a beállítást (szükség szerint és nem kötelező).
      • Microsoft Network Client for MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP és Windows Server 2003 esetén: Ha rendszergazdai jogosultságokkal nem rendelkező felhasználók kísérelnek meg egy tartományba bejelentkezni, a következő hibaüzenet jelenik meg:
        A fiók beállításai nem engedik meg ennek a számítógépnek a használatát. Próbáljon meg másik számítógépen bejelentkezni.
        A Microsoft Tudásbázis kapcsolódó cikke:
        160783 Hibaüzenet egy munkaállomásra való bejelentkezés során (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      • Windows 2000 esetén: Windows 2000-alapú számítógépeken a rendszergazdai jogosultságokkal nem rendelkező felhasználók nem tudnak bejelentkezni a távelérési kiszolgálókra, és az alábbihoz hasonló hibaüzenet jelenik meg:
        Ismeretlen felhasználó vagy rossz jelszó
        A Microsoft Tudásbázis kapcsolódó cikke:
        285665 Hibaüzenet: A fiók beállításai nem engedik meg ennek a számítógépnek a használatát (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      • Windows 2000 esetén: A Windows 2000 rendszerű tartományvezérlőkön az Intersite Messaging szolgáltatás (Ismserv.exe) leáll, és nem indítható újra. A DCDIAG jelentésében a „failed test services ISMserv” üzenet fog állni, és az 1083-as azonosítójú esemény rögzítésre kerül az eseménynaplóban.
      • Windows 2000 esetén: A Windows 2000 rendszerű tartományvezérlőkön az Active Directory replikációja egy, a hozzáférés megtagadásáról tájékoztató hibaüzenettel meghiúsul, ha a biztonsági napló megtelt.
      • Microsoft Exchange 2000 esetén: Az Exchange 2000-alapú kiszolgálókon nem lehet csatlakoztatni az információtároló adatbázist, az eseménynaplóba pedig 2102-es azonosítójú esemény kerül.

        A Microsoft Tudásbázis kapcsolódó cikke:
        314294 A naplózás és a biztonsági napló kezelésének joga, illetve a Policytest eszköz hibaüzeneteket okoz az Exchange 2000 rendszerben (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      • Outlook és Outlook Web Access esetén: A rendszergazdai jogosultságokkal nem rendelkező felhasználók nem tudnak hozzáférni a leveleikhez a Microsoft Outlook vagy a Microsoft Outlook Web Access segítségével, és megjelenik az 503-as számú hibaüzenet.
  2. Tartományvezérlő: LDAP-kiszolgáló aláírási követelményei
    1. Háttér

      A Tartományvezérlő: LDAP-kiszolgáló aláírási követelményei biztonsági beállítás azt határozza meg, hogy az LDAP-kiszolgáló és az LDAP-ügyfelek között szükség van-e az adataláírás egyeztetésére. A házirend-beállítás lehetséges értékei:
      • Nincs: Nem szükséges adataláírás a kiszolgálóval történő kötés kialakításához. Ha az ügyfél igényli az adataláírást, a kiszolgáló eleget tesz annak.
      • Aláírás szükséges: Az LDAP adataláírási beállítását kezdeményezni kell, hacsak nem a TLS/SSL protokoll van használatban.
      • Nincs megadva: A beállítás nincs se engedélyezve, se letiltva.
    2. Kockázatos beállítások

      Az alábbi konfigurációs beállítások károsak:
      • Az Aláírás szükséges beállítás engedélyezése olyan környezetben, amelyben az ügyfelek nem támogatják az LDAP-aláírást, vagy amelyben az ügyféloldali LDAP-aláírás nincs engedélyezve az ügyfélen.
      • A Windows 2000 vagy a Windows Server 2003 Hisecdc.inf nevű biztonsági sablonjának engedélyezése olyan környezetben, amelyben az ügyfelek nem támogatják az LDAP-aláírást, vagy amelyben az ügyféloldali LDAP-aláírás nincs engedélyezve az ügyfélen.
      • A Windows 2000 vagy a Windows Server 2003 Hisecws.inf nevű biztonsági sablonjának engedélyezése olyan környezetben, amelyben az ügyfelek nem támogatják az LDAP-aláírást, vagy amelyben az ügyféloldali LDAP-aláírás nincs engedélyezve az ügyfélen.
    3. A beállítás engedélyezésének lehetséges okai

      Az aláíratlan hálózati forgalom ki van téve a köztes lehallgatásos („man-in-the-middle”) támadásoknak, amelyek esetén a behatoló elfogja az ügyféltől és a kiszolgálóhoz tartó csomagokat, majd módosítás után továbbítja azokat a kiszolgálónak. Amikor egy LDAP-kiszolgálón fordul elő ez a jelenség, a támadó rákényszerítheti a kiszolgálót arra, hogy hamis LDAP-ügyféllekérdezések alapján hozzon döntéseket. Vállalati hálózatok esetében a kockázat erős, fizikai jellegű biztonsági intézkedések (amelyek védik a hálózati infrastruktúrát) bevezetésével csökkenthető. Az IPSec hitelesítési fejléc üzemmód használata rendkívüli módon megnehezíti a köztes lehallgatásos („man-in-the-middle”) támadásokat. A hitelesítési fejléc üzemmód kölcsönös hitelesítést és csomagintegritás-vizsgálatot hajt végre az IP-forgalomra vonatkozóan.
    4. A beállítás tiltásának lehetséges okai
      • Az NTLM hitelesítés használatakor, és ha nincsenek telepítve a megfelelő szervizcsomagok a Windows 2000 rendszerű tartományvezérlőkön, az LDAP-aláírást nem támogató ügyfelek nem tudnak LDAP-lekérdezéseket végrehajtani tartományvezérlőkön vagy globális katalógusokban.
      • A rendszer titkosítja az ügyfelek és a kiszolgálók közti LDAP-forgalom hálózati nyomait, amely megnehezíti az LDAP-kommunikáció vizsgálatát.
      • A Windows 2000 rendszerű kiszolgálókon telepíteni kell a Windows 2000 SP3 (vagy frissebb) szervizcsomagot, ha azok felügyeletét olyan LDAP-aláírást támogató programokkal végzik, amelyek Windows 2000 SP4, Windows XP, vagy Windows Server 2003 rendszerű ügyfeleken futnak.A Microsoft Tudásbázis kapcsolódó cikke:
        325465 A Windows 2000 rendszerű tartományvezérlőkön telepíteni kell az SP3 vagy újabb szervizcsomagot a Windows Server 2003 rendszer felügyeleti eszközeinek használatához (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
    5. Szimbolikus név:

      LDAPServerIntegrity
    6. Beállításjegyzékbeli elérési út:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)
    7. Példák kompatibilitási problémákra
      • Nem sikerül az egyszerű kötések kialakítása, és az alábbihoz hasonló hibaüzenet jelenik meg:
        Az Ldap_simple_bind_s() létrehozása sikertelen: Erős hitelesítés szükséges.
      • Windows 2000 Service Pack 4, Windows XP és Windows Server 2003 esetén: Windows 2000 SP4, Windows XP és Windows Server 2003 rendszerű ügyfeleknél hibás az Active Directory egyes felügyeleti eszközeinek működése az NTLM-hitelesítés egyeztetésekor olyan tartományvezérlők esetében, amelyeken a Windows 2000 rendszer SP3 szervizcsomaggal frissített verziójánál régebbi változata fut.

        A Microsoft Tudásbázis kapcsolódó cikke:
        325465 A Windows 2000 rendszerű tartományvezérlőkön telepíteni kell az SP3 vagy újabb szervizcsomagot a Windows Server 2003 rendszer felügyeleti eszközeinek használatához (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      • Windows 2000 SP4, Windows XP és Windows Server 2003 esetén: Windows 2000 SP4, Windows XP és Windows Server 2003 rendszerű ügyfeleken az Active Directory címtárszolgáltatás egyes felügyeleti eszközeinek működése hibás lehet, ha azok olyan tartományvezérlőket céloznak meg, amelyeken a Windows 2000 operációs rendszer SP3 szervizcsomagnál régebbi verziója fut, és ha azok IP-címeket használnak (például: „dsa.msc /server=x.x.x.x”, ahol x.x.x.x egy IP-címet jelöl).

        A Microsoft Tudásbázis kapcsolódó cikke:
        325465 A Windows 2000 rendszerű tartományvezérlőkön telepíteni kell az SP3 vagy újabb szervizcsomagot a Windows Server 2003 rendszer felügyeleti eszközeinek használatához (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      • Windows 2000 SP4, Windows XP és Windows Server 2003 esetén: Windows 2000 SP4, Windows XP és Windows Server 2003 rendszerű ügyfeleken az Active Directory egyes felügyeleti eszközeinek működése hibás, ha azok olyan tartományvezérlőket vesznek célba, amelyeken a Windows 2000 rendszer SP3 szervizcsomaggal frissített verziójánál régebbi változata fut.

        A Microsoft Tudásbázis kapcsolódó cikke:
        325465 A Windows 2000 rendszerű tartományvezérlőkön telepíteni kell az SP3 vagy újabb szervizcsomagot a Windows Server 2003 rendszer felügyeleti eszközeinek használatához (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
  3. Tartományi tag: erős (Windows 2000 vagy frissebb rendszerű) munkamenetkulcs megkövetelése
    1. Háttér
      • A Tartományi tag: erős (Windows 2000 vagy frissebb rendszerű) munkamenetkulcs megkövetelése beállítás azt határozza meg, hogy létrehozható-e biztonságos csatorna olyan tartományvezérlővel, amely nem képes a biztonságos csatorna forgalmát erős, 128 bites munkamenetkulccsal titkosítani. A beállítása engedélyezése megakadályozza biztonságos csatornák létrehozását olyan tartományvezérlőkkel, amelyek nem képesek a biztonságoscsatorna-adatokat erős kulccsal titkosítani. A beállítás tiltása engedélyezi a 64 bites munkamenetkulcsok használatát.
      • Mielőtt engedélyezi a beállítást egy tagmunkaállomáson vagy -kiszolgálón, győződjön meg arról, hogy a tartományhoz tartozó minden tartományvezérlő képes a biztonságoscsatorna-forgalmat erős, 128 bites kulccsal titkosítani. Ez azt jelenti, hogy az érintett tartományvezérlőknek Windows 2000 vagy későbbi rendszerűnek kell lenniük.
    2. Kockázatos beállítás

      A Tartományi tag: erős (Windows 2000 vagy frissebb rendszerű) munkamenetkulcs megkövetelése beállítás engedélyezése káros.
    3. A beállítás engedélyezésének lehetséges okai
      • A tagszámítógépek és tartományvezérlők közti biztonságoscsatorna-kommunikáció létrehozására használt munkamenetkulcsok sokkal erősebbek a Windows 2000 rendszerben, mint a Microsoft korábbi operációs rendszereiben.
      • Amennyiben erre mód van, célszerű kihasználni az erősebb munkamenetkulcsok nyújtotta előnyöket, ha meg szeretné védeni a biztonságoscsatorna-kommunikációt a lehallgatásokkal és a munkamenet-eltérítő hálózati támadásokkal szemben. A lehallgatás rosszindulatú támadás, amelyben a támadók elolvassák és esetleg meg is változtatják a hálózaton továbbított adatokat. Eltitkolható vagy megváltoztatható az adatok feladója, illetve azok át is irányíthatók.
      Fontos: A Windows Server 2008 R2 és a Windows 7 rendszer biztonságos csatornák esetében kizárólag erős kulcsok használatát támogatja. Ez a korlátozás meggátolja a Windows NT 4.0-alapú tartományok és a Windows Server 2008 R2-alapú tartományok közötti bizalmi kapcsolatot. A korlátozás emellett blokkolja a Windows NT 4.0-alapú tartományi tagságot a Windows 7 és Windows Server 2008 R2 rendszerű számítógépeken, és fordítva.
    4. A beállítás tiltásának lehetséges okai

      A tartomány olyan tagszámítógépeket tartalmaz, amelyek nem Windows 2000, Windows XP vagy Windows Server 2003 operációs rendszerűek.
    5. Szimbolikus név:

      StrongKey
    6. Beállításjegyzékbeli elérési út:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)
    7. Példák kompatibilitási problémákra

      Windows NT 4.0 esetén: Windows NT 4.0 rendszerű számítógépek esetén a Windows NT 4.0 és a Windows 2000 rendszerű tartományok közötti bizalmi kapcsolat biztonságos csatornáinak az NLTEST összetevővel történő visszaállítása sikertelen, és az alábbihoz hasonló, a hozzáférés megtagadásáról tájékoztató hibaüzenet jelenik meg:
      Az elsődleges tartomány és a meghatalmazott tartomány között nem jött létre megbízhatósági kapcsolat.
  4. Tartományi tag: A biztonságos csatornák adatainak digitális titkosítása vagy aláírása (mindig)
    1. Háttér
      • A Tartományi tag: A biztonságos csatornák adatainak digitális titkosítása vagy aláírása (mindig) beállítás engedélyezése megakadályozza a biztonságos csatornák olyan tartományvezérlővel történő létrehozását, amely nem képes aláírni vagy titkosítani az összes adatot a biztonságos csatornában. Hogy segítsék a köztes lehallgatásos („man-in-the-middle”), az ismétléses és a más hálózati támadások elleni védelmet, a Windows-alapú számítógépek létrehoznak egy biztonságos csatorna nevű kommunikációs csatornát a Net Logon szolgáltatáson keresztül a számítógépfiókok hitelesítéséhez. A rendszer akkor is használ biztonságos csatornákat, amikor a felhasználó egy távoli hálózaton található hálózati erőforráshoz csatlakozik. Ez a többtartományos vagy áteresztő (pass-through) hitelesítés lehetővé teszi azon Windows-alapú számítógépek számára, amelyek csatlakoztak egy tartományhoz, hogy hozzáférjenek az adott és a bizalmi kapcsolatban lévő más tartományok felhasználóifiók-adatbázisaihoz.
      • A Tartományi tag: A biztonságos csatornák adatainak digitális titkosítása vagy aláírása (mindig) beállítás tagszámítógépen történő engedélyezéséhez a tartományhoz tartozó összes tartományvezérlőnek képesnek kell lennie a biztonságos csatorna minden adatának aláírására vagy titkosítására. Ez azt jelenti, hogy minden érintett tartományvezérlőnek Windows NT 4.0 SP6a (vagy későbbi) operációs rendszert kell futtatnia.
      • A Tartományi tag: A biztonságos csatornák adatainak digitális titkosítása vagy aláírása (mindig) beállítás engedélyezése automatikusan engedélyezi a „Tartományi tag: az adatok digitális titkosítása (ha lehet)” és a „Tartományi tag: az adatok digitális aláírása (ha lehet)” beállítást.
    2. Kockázatos beállítás

      A Tartományi tag: A biztonságos csatornák adatainak digitális titkosítása vagy aláírása (mindig) konfigurációs beállítás engedélyezése káros olyan tartományokban, amelyekben nem minden tartományvezérlő képes a biztonságos csatornák adatainak aláírására vagy titkosítására.
    3. A beállítás engedélyezésének lehetséges okai

      Az aláíratlan hálózati forgalom ki van téve a köztes lehallgatásos („man-in-the-middle”) támadásoknak, amelyek esetén a behatoló elfogja a kiszolgálótól és az ügyfélhez tartó csomagokat, majd módosítás után továbbítja azokat az ügyfélnek. Amikor egy LDAP-kiszolgálón fordul elő ez a jelenség, a támadó rákényszerítheti az ügyfelet arra, hogy hamis LDAP-címtárrekordok alapján hozzon döntéseket. Vállalati hálózatok esetében az ilyen támadások kockázata erős, fizikai jellegű biztonsági intézkedések (amelyek védik a hálózati infrastruktúrát) bevezetésével csökkenthető. Az IPSec hitelesítési fejléc üzemmód használata rendkívüli módon megnehezíti a köztes lehallgatásos („man-in-the-middle”) támadások minden formáját. Ez az üzemmód kölcsönös hitelesítést és csomagintegritás-vizsgálatot hajt végre az IP-forgalomra vonatkozóan.
    4. A beállítás tiltásának lehetséges okai
      • A helyi vagy a külső tartományokban található számítógépek támogatják a titkosított biztonságos csatornákat.
      • A tartomány nem minden tartományvezérlője rendelkezik a megfelelő szervizcsomaggal ahhoz, hogy támogatni tudja a titkosított biztonságos csatornákat.
    5. Szimbolikus név:

      StrongKey
    6. Beállításjegyzékbeli elérési út:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)
    7. Példák kompatibilitási problémákra
      • Windows NT 4.0 esetén: A Windows 2000-alapú számítógépek nem tudnak Windows NT 4.0 rendszerű tartományokhoz csatlakozni, és az alábbihoz hasonló hibaüzenet jelenik meg:
        Erről az állomásról nem lehet bejelentkezni a fiókba.
        A Microsoft Tudásbázis kapcsolódó cikke:
        281648 Hibaüzenet jelenik meg arról, hogy az állomásról nem lehet bejelentkezni a fiókba (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      • Windows NT 4.0 esetén: A Windows NT 4.0 rendszerű tartományok nem képesek régebbi verziójú bizalmi kapcsolatot létrehozni Windows 2000-alapú ügyfelekkel, és az alábbihoz hasonló üzenet jelenik meg:
        Erről az állomásról nem lehet bejelentkezni a fiókba.
        A meglévő régebbi verziójú kapcsolatok sem hitelesítik a megbízható tartományhoz tartozó felhasználókat. Egyes felhasználók nehézségekbe ütköznek a tartományba való bejelentkezés alatt, miközben egy, az alábbihoz hasonló hibaüzenet tájékoztatja őket arról, hogy az ügyfél nem találja a tartományt.
      • Windows XP esetén: A Windows NT 4.0 rendszerű tartományokhoz csatlakoztatott Windows XP-alapú ügyfelek nem képesek hitelesíteni a bejelentkezési kísérleteket, és az alábbihoz hasonló hibaüzenet jelenik meg, vagy az alábbihoz hasonló események kerülnek az eseménynaplóba:
        A Windows nem tud csatlakozni a tartományhoz, vagy azért, mert a tartományvezérlő nem működik, illetve más okból nem érhető el, vagy mert nem található a számítógépfiók.

        Eseményazonosító: 5723: A következő számítógép munkamenet-létesítője nem tudta magát hitelesíteni: számítógépnév. A biztonsági adatbázisban hivatkozott fiók neve: számítógépnév. A következő hiba történt: Hozzáférés megtagadva.

        Eseményazonosító: 3227: A tartomány (tartománynév) kiszolgálónév nevű Windows NT vagy Windows 2000 tartományvezérlője felé irányuló munkamenet felépítése nem sikerült, mert a(z) kiszolgálónév nem támogatja a NetLogon munkamenet aláírását vagy titkosítását. Vagy frissítse a tartományvezérlőt, vagy állítsa a számítógépen a RequireSignOrSeal rendszer-beállítási bejegyzés értékét 0-ra.

        A Microsoft Tudásbázis kapcsolódó cikke:
        318266 A Windows XP rendszerű ügyfelek nem tudnak Windows NT 4.0 rendszerű tartományokba bejelentkezni (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      • Microsoft Network esetén: A Microsoft Network-alapú ügyfelek a következők egyikéhez hasonló hibaüzenetet kapnak:
        Bejelentkezési hiba: ismeretlen felhasználónév vagy rossz jelszó.
        A megadott bejelentkezési munkamenet számára nincs felhasználói munkamenetkulcs.
  5. Microsoft hálózati ügyfél: Kommunikáció digitális aláírása (mindig)
    1. Háttér

      Az SMB egy erőforrás-megosztásra használható protokoll, amelyet a Microsoft számos operációs rendszere támogat. Ez a NetBIOS és sok más protokoll alapja. Az SMB-aláírás hitelesíti a felhasználót és az adatokat tároló kiszolgálót is. Ha bármelyik oldal hitelesítése sikertelen, az adatátadás nem történik meg.

      Az SMB-aláírás engedélyezése az SMB protokoll egyeztetése alatt kezdődik el. Az SMB-aláírási házirendek határozzák meg azt, hogy a számítógép mindig aláírja-e digitálisan az ügyfélkommunikációt.

      A Windows 2000 rendszer SMB hitelesítési protokollja támogatja a kölcsönös hitelesítést. A kölcsönös hitelesítés megszünteti a köztes lehallgatásos („man-in-the-middle”) támadásokat. A Windows 2000 rendszer SMB hitelesítési protokollja támogatja az üzenetek hitelesítését is. Az üzenetek hitelesítése segít megakadályozni az aktív üzeneteket használó támadásokat. A hitelesítés biztosításához az SMB-aláírás szolgáltatás digitális aláírást helyez el minden SMB elemben. A digitális aláírást az ügyfél és a kiszolgáló is ellenőrzi.

      Az SMB-aláírás használatához engedélyeznie kell azt, vagy elő kell azt írnia mind az SMB-ügyfélnél, mind az SMB-kiszolgálónál. Ha egy kiszolgálón engedélyezik az SMB-aláírást, azok az ügyfelek, akiknél szintén engedélyezve van az SMB-aláírás, minden azt követő munkamenetnél használni fogják a csomag-aláírási protokollt. Ha az SMB-aláírás kötelező egy kiszolgálón, az ügyfelek csak akkor hozhatnak létre munkameneteket a kiszolgálóval, ha engedélyezve van, vagy elő van írva náluk az SMB-aláírás használata.

      A digitális aláírás engedélyezése magas fokú biztonságot igénylő hálózatokon segít megakadályozni ügyfelek vagy kiszolgálók illetéktelenek által történő megszemélyesítését. A megszemélyesítésnek ezt a formáját munkamenet-eltérítésnek nevezik. Azok a támadók, akik hozzáférnek az ügyfél vagy a kiszolgáló hálózatához, a munkamenet-eltérítési eszközöket a folyamatban lévő munkamenetek megszakítására, bezárására vagy eltulajdonítására használhatják. A támadók elfoghatják és módosíthatják az aláíratlan SMB-csomagokat, megváltoztathatják a forgalmazott adatokat, majd továbbíthatják annak érdekében, hogy a kiszolgáló nem kívánt műveleteket hajtson végre. Emellett a támadó hozzáférhet illetéktelenül az adatokhoz úgy is, hogy a legitim hitelesítést követően adja ki magát a kiszolgálónak vagy az ügyfélnek.

      A Windows 2000 Server, Windows 2000 Professional, Windows XP Professional vagy Windows Server 2003 rendszerű számítógépeken fájl- és nyomtatómegosztásra használt SMB protokoll támogatja a kölcsönös hitelesítést. A kölcsönös hitelesítés véget vet a munkamenet-eltérítéses támadásoknak, és támogatja az üzenetek hitelesítését. Ebből következően, megakadályozza a köztes lehallgatásos („man-in-the-middle”) támadásokat is. Az SMB-aláírás szolgáltatás a hitelesítés biztosításához digitális aláírást helyez el minden SMB elemben. Az aláírást ezután mind az ügyfél, mind a kiszolgáló ellenőrzi.

      Megjegyzések
      • Hasonló megelőző intézkedésként engedélyezheti a digitális aláírásokat a hálózati forgalom védelmére az IPSec protokollal is. Léteznek hardveralapú gyorsítók IPSec-titkosításhoz és -aláíráshoz, amelyek minimálisra csökkentik a kiszolgáló processzorára gyakorolt hatást. Az SMB-aláíráshoz nem léteznek ilyen gyorsítók.

        További információt a Microsoft MSDN következő webhelyén található, a kiszolgálói kommunikáció digitális aláírást ismertető fejezetben talál:Az SMB-aláírás konfigurálását a Csoportházirendobjektum-szerkesztőben végezze, mert a helyi beállításazonosítók módosításának egy, az azonosítókat felülíró tartományházirend esetén nincs hatása.
      • Windows 95, Windows 98 és Windows 98 Second Edition rendszerben a Directory Services ügyfél SMB-aláírást használ, amikor NTLM hitelesítést alkalmaz Windows Server 2003-alapú kiszolgálók esetén. Amikor NTLMv2 hitelesítést alkalmaznak az ilyen kiszolgálók hitelesítésére, ugyanezek az ügyfelek nem használnak SMB-aláírást. A Windows 2000 rendszerű kiszolgálók nem válaszolnak az ezektől az ügyfelektől származó SMB-aláírási kérésekre. Lásd a 10. elemet: „Hálózati biztonság: LAN-kezelő hitelesítési szintje”
    2. Kockázatos beállítás

      A következő konfigurációs beállítás káros: Ha a Microsoft hálózati ügyfél: Kommunikáció digitális aláírása (mindig) és a Microsoft hálózati ügyfél: Kommunikáció digitális aláírása (ha a kiszolgáló egyetért) beállítás egyikét sem definiálja, vagy mindkettőt letiltja. Ez a beállítás lehetővé teszi az átirányító számára, hogy egyszerű szöveges jelszavakat küldjön olyan, nem a Microsoft által gyártott kiszolgálóknak, amelyek nem támogatják a jelszavak titkosítását hitelesítés alatt.
    3. A beállítás engedélyezésének lehetséges okai

      A Microsoft hálózati ügyfél: Kommunikáció digitális aláírása (mindig) beállítás engedélyezése megköveteli az ügyfelektől, hogy akkor is aláírják az SMB-forgalmat, amikor olyan kiszolgálókkal létesítenek kapcsolatot, amelyek nem követelik meg az SMB-aláírás használatát. Az ügyfelek így kevésbé lesznek kiszolgáltatva a munkamenet-eltérítő támadásoknak.
    4. A beállítás tiltásának lehetséges okai
      • A Microsoft hálózati ügyfél: Kommunikáció digitális aláírása (mindig) beállítás megakadályozza az ügyfeleket abban, hogy olyan kiszolgálókkal kommunikáljanak, amelyek nem támogatják az SMB-aláírást.
      • Amennyiben a számítógépek úgy vannak beállítva, hogy ne vegyék figyelembe az aláíratlan SMB-kommunikációt, az megakadályozza a kapcsolatlétesítést a korábbi programok és operációs rendszerek számára.
    5. Szimbolikus név:

      RequireSMBSignRdr
    6. Beállításjegyzékbeli elérési út:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
    7. Példák kompatibilitási problémákra
      • Windows NT 4.0 esetén: Nem állítható vissza az egy Windows Server 2003 és egy Windows NT 4.0 rendszerű tartomány közötti bizalmi kapcsolat biztonságos csatornája az NLTEST vagy a NETDOM eszközzel, és egy, a hozzáférés megtagadásáról tájékoztató üzenet jelenik meg.
      • Windows XP esetén: A fájlok Windows XP-alapú ügyfelekről Windows 2000 vagy Windows Server 2003 rendszerű kiszolgálókra történő másolása több időt vehet igénybe.
      • Nem rendelhetők hozzá hálózati meghajtók ügyfelekről, ha engedélyezve van a beállítás, miközben az alábbi hibaüzenet jelenik meg:
        Erről az állomásról nem lehet bejelentkezni a fiókba.
    8. Újraindítási követelmények

      Indítsa újra a számítógépet vagy a Munkaállomás szolgáltatást. Ehhez írja be egy parancssorba a következő parancsokat (mindegyik parancs után nyomja le az ENTER billentyűt):
      net stop workstation
      net start workstation
  6. Microsoft hálózati kiszolgáló: Kommunikáció digitális aláírása (mindig)
    1. Háttér
      • Az SMB egy erőforrás-megosztásra használható protokoll, amelyet a Microsoft sok operációs rendszere támogat. Ez a NetBIOS és sok más protokoll alapja. Az SMB-aláírás hitelesíti a felhasználót és az adatokat tároló kiszolgálót is. Ha bármelyik oldal hitelesítése sikertelen, az adatátadás nem történik meg.

        Az SMB-aláírás engedélyezése az SMB protokoll egyeztetése alatt kezdődik el. Az SMB-aláírási házirendek határozzák meg azt, hogy a számítógép mindig aláírja-e digitálisan az ügyfélkommunikációt.

        A Windows 2000 rendszer SMB hitelesítési protokollja támogatja a kölcsönös hitelesítést. A kölcsönös hitelesítés megszünteti a köztes lehallgatásos („man-in-the-middle”) támadásokat. A Windows 2000 rendszer SMB hitelesítési protokollja támogatja az üzenetek hitelesítését is. Az üzenetek hitelesítése segít megakadályozni az aktív üzeneteket használó támadásokat. A hitelesítés biztosításához az SMB-aláírás szolgáltatás digitális aláírást helyez el minden SMB elemben. A digitális aláírást az ügyfél és a kiszolgáló is ellenőrzi.

        Az SMB-aláírás használatához engedélyeznie kell azt, vagy elő kell azt írnia mind az SMB-ügyfélnél, mind az SMB-kiszolgálónál. Ha egy kiszolgálón engedélyezik az SMB-aláírást, azok az ügyfelek, akiknél szintén engedélyezve van az SMB-aláírás, minden azt követő munkamenetnél használni fogják a csomag-aláírási protokollt. Ha az SMB-aláírás kötelező egy kiszolgálón, az ügyfelek csak akkor hozhatnak létre munkameneteket a kiszolgálóval, ha engedélyezve van, vagy elő van írva náluk az SMB-aláírás használata.

        A digitális aláírás engedélyezése magas fokú biztonságot igénylő hálózatokon segít megakadályozni ügyfelek vagy kiszolgálók illetéktelenek által történő megszemélyesítését. A megszemélyesítésnek ezt a formáját munkamenet-eltérítésnek nevezik. Azok a támadók, akik hozzáférnek az ügyfél vagy a kiszolgáló hálózatához, a munkamenet-eltérítési eszközöket a folyamatban lévő munkamenetek megszakítására, bezárására vagy eltulajdonítására használhatják. A támadók elfoghatják és módosíthatják az aláíratlan SBM-csomagokat (Subnet Bandwidth Manager), megváltoztathatják a forgalmazott adatokat, majd továbbíthatják azokat annak érdekében, hogy a kiszolgáló ne az ügyfél eredeti szándékának megfelelő műveleteket hajtson végre. Emellett a támadó hozzáférhet illetéktelenül az adatokhoz úgy is, hogy a legitim hitelesítést követően adja ki magát a kiszolgálónak vagy az ügyfélnek.

        A Windows 2000 Server, Windows 2000 Professional, Windows XP Professional vagy Windows Server 2003 rendszerű számítógépeken fájl- és nyomtatómegosztásra használt SMB protokoll támogatja a kölcsönös hitelesítést. A kölcsönös hitelesítés véget vet a munkamenet-eltérítéses támadásoknak, és támogatja az üzenetek hitelesítését. Ebből következően, megakadályozza a köztes lehallgatásos („man-in-the-middle”) támadásokat is. Az SMB-aláírás szolgáltatás a hitelesítés biztosításához digitális aláírást helyez el minden SMB elemben. Az aláírást ezután mind az ügyfél, mind a kiszolgáló ellenőrzi.
      • Hasonló megelőző intézkedésként engedélyezheti a digitális aláírásokat a hálózati forgalom védelmére az IPSec protokollal is. Léteznek hardveralapú gyorsítók IPSec-titkosításhoz és -aláíráshoz, amelyek minimálisra csökkentik a kiszolgáló processzorára gyakorolt hatást. Az SMB-aláíráshoz nem léteznek ilyen gyorsítók.
      • Windows 95, Windows 98 és Windows 98 Second Edition rendszerben a Directory Services ügyfél SMB-aláírást használ, amikor NTLM hitelesítést alkalmaz Windows Server 2003-alapú kiszolgálók esetén. Amikor NTLMv2 hitelesítést alkalmaznak az ilyen kiszolgálók hitelesítésére, ugyanezek az ügyfelek nem használnak SMB-aláírást. A Windows 2000 rendszerű kiszolgálók nem válaszolnak az ezektől az ügyfelektől származó SMB-aláírási kérésekre. Lásd a 10. elemet: „Hálózati biztonság: LAN-kezelő hitelesítési szintje”
    2. Kockázatos beállítás

      A következő konfigurációs beállítás káros: A Microsoft hálózati kiszolgáló: Kommunikáció digitális aláírása (mindig) beállítás engedélyezése olyan kiszolgálókon és tartományvezérlőkön, amelyekhez helyi vagy külső tartományokban található, inkompatibilis, Windows vagy külső gyártótól származó operációs rendszerű ügyfélszámítógépek férnek hozzá.
    3. A beállítás engedélyezésének lehetséges okai
      • Azok a számítógépek, amelyeken ez a beállítás engedélyezve van vagy a beállításjegyzéken, vagy a csoportházirenden keresztül, támogatják az SMB-aláírást. Ez azt jelenti, hogy azokon a számítógépeken, ahol ez a beállítás engedélyezve van Windows 95 (Directory Services szolgáltatással), Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional vagy Windows Server 2003 rendszer fut.
      • Ha a Microsoft hálózati kiszolgáló: Kommunikáció digitális aláírása (mindig) beállítás le van tiltva, az SMB-aláírás teljes mértékben le van tiltva. Amennyiben teljesen letiltja az SMB-aláírást, a számítógépeket kiteszi a munkamenet-eltérítéses támadásoknak.
    4. A beállítás tiltásának lehetséges okai
      • A beállítás engedélyezése alacsonyabb fájlmásolási sebességet és hálózati teljesítményt eredményezhet az ügyfélszámítógépeken.
      • A beállítás engedélyezése megakadályozza az SMB-aláírást nem támogató ügyfeleket abban, hogy kiszolgálókkal és tartományvezérlőkkel kommunikáljanak. Ez megakadályozza a tartományhoz történő csatlakozások, a felhasználó- és számítógép-hitelesítések létrejöttét, illetve azt, hogy a programok hozzáférjenek a hálózathoz.
    5. Szimbolikus név:

      RequireSMBSignServer
    6. Beállításjegyzékbeli elérési út:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)
    7. Példák kompatibilitási problémákra
      • Windows 95 esetén: Nem sikerül azoknak a Windows 95 rendszerű ügyfeleknek a hitelesítése bejelentkezéskor, amelyeken nincs telepítve a Directory Services (DS) ügyfélprogram, és az alábbihoz hasonló hibaüzenet jelenik meg:
        A megadott tartományi jelszó nem megfelelő, vagy a bejelentkezési kiszolgáló megtagadta a hozzáférést.
        A Microsoft Tudásbázis kapcsolódó cikke:
        811497 Hibaüzenet Windows 95 vagy Windows NT 4.0 rendszerű ügyfelek Windows Server 2003 rendszerű tartományba való bejelentkezésekor (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      • Windows NT 4.0 esetén: Nem sikerül az SP3 szervizcsomaggal bővített változatnál korábbi verziójú Windows NT 4.0 rendszerű ügyfelek hitelesítése bejelentkezéskor, és az alábbihoz hasonló hibaüzenet jelenik meg:
        A rendszer nem tudta beléptetni. Ellenőrizze, hogy helyes felhasználónevet és tartományt adott-e meg, majd írja be ismét a jelszavát.
        Egyes, nem a Microsoft által gyártott SMB-kiszolgálók csak a nem titkosított jelszavakat támogatják a hitelesítés során. (Ezt egyszerű szöveges üzenetcserének is nevezik.) A Windows NT 4.0 SP3 rendszer óta, az SMB-átirányító csak akkor küld nem titkosított jelszavakat hitelesítés alatt SMB-kiszolgálóknak, ha arról külön rendszer-beállítási bejegyzés rendelkezik.
        Ha engedélyezni szeretné a nem titkosított jelszavakat az SMB-ügyfél számára Windows NT 4.0 SP3 és újabb rendszereken, módosítsa a következő beállításkulcsot az alábbiak szerint: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        Azonosító: EnablePlainTextPassword
        Adattípus: REG_DWORD
        Érték: 1

        A kapcsolódó témakörökről a Microsoft tudásbázis alábbi cikkeiben tájékozódhat:
        224287 Az 1240 azonosítószámú rendszerhibáról tájékoztató hibaüzenet: Erről az állomásról nem lehet bejelentkezni a fiókba. (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
        166730 Hibás a bejelentkezés az SMB kiszolgálóra nem titkosított jelszóval Service Pack 3 telepítése után
      • Windows Server 2003 esetén: A Windows Server 2003 rendszerű tartományvezérlők alapértelmezett biztonsági beállításai segítenek annak megakadályozásában, hogy a tartományvezérlői kommunikációt ártó szándékú felhasználók elfoghassák és módosíthassák. Ahhoz, hogy a felhasználók sikeres kommunikációt folytathassanak a Windows Server 2003 rendszerű tartományvezérlőkkel, az ügyfélszámítógépeknek vagy egyidejűleg kell használnia az SMB-aláírási szolgáltatást és a titkosítást, vagy alkalmaznia kell a biztonsági csatornán átfolyó forgalom aláírását. Alapértelmezés szerint, a Windows NT 4.0 SP2 (vagy korábbi) és a Windows 95 rendszerű ügyfeleknél nincs engedélyezve az SMB-csomagok aláírása. Ezért előfordulhat, hogy az ilyen ügyfeleket nem tudják hitelesíteni a Windows Server 2003 rendszerű tartományvezérlők.
      • A Windows 2000 és a Windows Server 2003 házirend-beállításai: Az egyedi telepítési szükségletektől és a beállításoktól függően ajánlott az alábbi házirend-beállításokat használni a megfelelő hatókörű legalacsonyabb elemnél a Microsoft Management Console segédprogram Csoportházirend-szerkesztő moduljának hierarchiájában:
        • Computer Configuration\Windows Security Settings\Security Options
        • Nem titkosított jelszavak küldése külső gyártótól származó SMB-kiszolgálókhoz történő csatlakozáskor (Windows 2000 esetén)
        • Microsoft hálózati ügyfél: Titkosítatlan jelszavak küldése egyéb SMB-kiszolgálóknak (Windows Server 2003 esetén)

        Megjegyzés: Egyes külső gyártótól származó CIFS-kiszolgálók (például korábbi Samba verziók) esetén, nem használhatók titkosított jelszavak.
      • Az alábbi ügyfelek inkompatibilisek a Microsoft hálózati kiszolgáló: Kommunikáció digitális aláírása (mindig) beállítással:
        • Az Apple Computer, Inc. vállalat Mac OS X rendszerű ügyfelei
        • A Microsoft MS-DOS rendszerű hálózati ügyfelek (például a Microsoft LAN Manager)
        • A Microsoft Windows for Workgroups rendszerű ügyfelek
        • Azok a Microsoft Windows 95 rendszerű ügyfelek, amelyeken nincs telepítve a DS ügyfélprogram
        • Azok a Microsoft Windows NT 4.0 rendszerű számítógépek, amelyeken nincs telepítve az SP3 (vagy későbbi) szervizcsomag
        • A Novell Netware 6 rendszerű CIFS-ügyfelek
        • Az SMB-aláírást nem támogató SAMBA SMB-ügyfelek
    8. Újraindítási követelmények

      Indítsa újra a számítógépet vagy a kiszolgáló-szolgáltatást. Ehhez írja be egy parancssorba a következő parancsokat (mindegyik parancs után nyomja le az ENTER billentyűt):
      net stop server
      net start server
  7. Hálózati hozzáférés: Névtelen helyazonosító-/névfordítás engedélyezése
    1. Háttér

      A Hálózati hozzáférés: Névtelen helyazonosító-/névfordítás engedélyezése biztonsági beállítás azt határozza meg, hogy kérheti-e egy névtelen felhasználó egy másik felhasználó biztonsági azonosítói attribútumait.
    2. Kockázatos beállítás

      A Hálózati hozzáférés: Névtelen helyazonosító-/névfordítás engedélyezése konfigurációs beállítás engedélyezése káros.
    3. A beállítás engedélyezésének lehetséges okai

      Ha a Hálózati hozzáférés: Névtelen helyazonosító-/névfordítás engedélyezése beállítás le van tiltva, előfordulhat, hogy a korábbi operációs rendszerek vagy alkalmazások nem tudnak kommunikálni a Windows Server 2003 rendszerű tartományokkal. A probléma többek között a következő operációs rendszereket, szolgáltatásokat vagy alkalmazásokat érintheti:
      • Windows NT 4.0 rendszerű, távelérési szolgáltatást futtató kiszolgálók
      • Windows NT 3.x vagy Windows NT 4.0 rendszerű számítógépeken futó Microsoft SQL Server alkalmazás
      • Windows NT 3.x vagy Windows NT 4.0 rendszerű tartományokban található, Windows 2000 rendszerű számítógépeken futó távelérési szolgáltatás
      • Windows NT 3.x vagy Windows NT 4.0 rendszerű tartományokban található, Windows 2000 rendszerű számítógépeken futó SQL Server alkalmazás
      • Windows NT 4.0 rendszerű erőforrás-tartományok felhasználói, akik Windows 2003 rendszerű tartományvezérlőket tartalmazó fióktartományok felhasználói fiókjainak a fájljaihoz, megosztott mappáihoz és beállításjegyzék-objektumaihoz szeretnének engedélyt kapni
    4. A beállítás tiltásának lehetséges okai

      Ha ez a beállítás engedélyezve van, rosszindulatú felhasználók a jól ismert Rendszergazdák biztonsági azonosítóval megszerezhetik a beépített rendszergazdai fiók valódi nevét, még akkor is, ha az közben át lett nevezve. Ezek a felhasználók aztán a fióknév segítségével jelszófeltörést hajthatnak végre.
    5. Szimbolikus név: Nincs
    6. Beállításjegyzékbeli elérési út: Nincs Az elérési út felhasználóifelület-kódként van megadva.
    7. Példák kompatibilitási problémákra

      Windows NT 4.0 rendszer esetén: A Windows NT 4.0 rendszerű erőforrás-tartományokban található számítógépek ismeretlen fiókra utaló hibaüzenetet jelenítenek meg az ACL-szerkesztőben ha az erőforrások – a megosztott mappák, a megosztott fájlok és a beállításjegyzék-objektumok – Windows 2003 rendszerű tartományvezérlőket tartalmazó fióktartományok biztonsági irányelveivel vannak védve.
  8. Hálózati hozzáférés: A SAM-fiókok névtelen felsorolása nem engedélyezett
    1. Háttér
      • A Hálózati hozzáférés: A SAM-fiókok névtelen felsorolása nem engedélyezett beállítás azt határozza meg, hogy a számítógéppel létesített névtelen kapcsolatok milyen további engedélyeket kapnak. A Windows a névtelen felhasználók számára is engedélyezi bizonyos műveletek végrehajtását, például a munkaállomási és kiszolgálói SAM-fiókok és a hálózati megosztások neveinek a számbavételét. A rendszergazda például kölcsönös bizalmi kapcsolattal nem rendelkező megbízható tartomány felhasználóinak is biztosíthat hozzáférést. Miután egy munkamenet létrejött, a névtelen felhasználók a Mindenki csoport számra biztosított hozzáférési jogokkal rendelkezhetnek, a Hálózati hozzáférés: A névtelen felhasználókra a Mindenki csoportra vonatkozó engedélyek vonatkozzanak beállítás vagy az objektum egyedi hozzáférés-szabályozási listája (DACL) alapján.

        A névtelen kapcsolatokat általában a korábbi verziójú – vagy alacsony szintű – ügyfelek kérik SMB-munkamenet létesítésekor. Ilyenkor a hálózati nyomkövetési szolgáltatás jelzi, hogy az SMB folyamatazonosítója (PID) az ügyfél átirányítója, amely Windows 2000 rendszerben 0xFEFF, Windows NT rendszerben 0xCAFE. Az RPC szolgáltatás is megpróbálkozhat névtelen kapcsolat létrehozásával.
      • Fontos: Ez a beállítás nincs hatással a tartományvezérlőkre. Tartományvezérlőkön ezt a viselkedést a „Windows 2000 rendszernél régebbi, kompatibilis hozzáférés” csoport „NT AUTHORITY\NÉVTELEN BEJELENTKEZÉS” tagja szabályozza.
      • Windows 2000 rendszerben egy hasonló beállítás, a Névtelen kapcsolatok további korlátozása kezeli az alábbi beállításértéket:
        RestrictAnonymous
        amely a következő helyen található:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
        A RestrictAnonymous beállításértékről a Microsoft Tudásbázis alábbi cikkeiben tájékozódhat:
        246261 A RestrictAnonymous rendszerleíró azonosító használata Windows 2000 rendszerben
        143474 A névtelen bejelentkezéssel belépő felhasználók számára elérhető információk korlátozása (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
    2. Kockázatos beállítások

      A Hálózati hozzáférés: A SAM-fiókok névtelen felsorolása nem engedélyezett konfigurációs beállítás engedélyezése kompatibilitási, letiltása pedig biztonsági szempontból káros.
    3. A beállítás engedélyezésének lehetséges okai

      Jogosulatlan felhasználók névtelenül lekérhetik a fiókneveket, majd az információkat jelszófeltörésre vagy személyes manipulálásra használhatják. A személyes manipulálás szó egy zsargon, amely az emberek befolyásolását jelenti a jelszavuk vagy egyéb biztonsági adatuk megszerzése céljából.
    4. A beállítás tiltásának lehetséges okai

      Ha ez a beállítás engedélyezve van, nem lehet megbízható kapcsolatot létesíteni a Windows NT 4.0 rendszerű tartományokkal. A beállítás emellett problémákat okozhat az adott kiszolgáló erőforrásait használni kívánó alacsony szintű – például Windows NT 3.51 vagy Windows 95 rendszerű – ügyfeleknél is.
    5. Szimbolikus név: RestrictAnonymousSAM
    6. Beállításjegyzékbeli elérési út:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)
    7. Példák kompatibilitási problémákra
    • Az SMS hálózatfelderítési szolgáltatása nem tudja megszerezni az operációs rendszer adatait, így azt ismeretlenként jegyzi be az OperatingSystemNameandVersion tulajdonságba.
    • Windows 95 és Windows 98 rendszer esetén: A Windows 95 és Windows 98 rendszerű ügyfelek nem tudják módosítani a jelszavukat.
    • Windows NT 4.0 rendszer esetén: A Windows NT 4.0 rendszerű tagszámítógépek nem hitelesíthetők.
    • Windows 95 és Windows 98 rendszer esetén: A Windows 95 és Windows 98 rendszerű számítógépeket a Microsoft tartományvezérlői nem tudják hitelesíteni.
    • Windows 95 és Windows 98 rendszer esetén: A Windows 95 és Windows 98 rendszerű számítógépek felhasználói nem tudják módosítani a fiókjaikhoz tartozó jelszavakat.
  9. Hálózati hozzáférés: A SAM-fiókok és -megosztások névtelen felsorolása nem engedélyezett
    1. Háttér
      • A Hálózati hozzáférés: A SAM-fiókok és -megosztások névtelen felsorolása nem engedélyezett (más néven RestrictAnonymous) beállítás azt határozza meg, hogy engedélyezett-e a SAM-fiókok és -megosztások névtelen felsorolása. A Windows a névtelen felhasználók számára is engedélyezi bizonyos műveletek végrehajtását, például a tartományi felhasználói, számítógép- és csoportfiókok, valamint a hálózati megosztások neveinek a számbavételét. Ez akkor hasznos, ha a rendszergazda például kölcsönös bizalmi kapcsolattal nem rendelkező megbízható tartomány felhasználóinak szeretne hozzáférést biztosítani. Ha le szeretné tiltani a SAM-fiókok és -megosztások névtelen számbavételét, engedélyezze ezt a beállítást.
      • Windows 2000 rendszerben egy hasonló beállítás, a Névtelen kapcsolatok további korlátozása kezeli az alábbi beállításértéket:
        RestrictAnonymous
        Az érték a következő helyen található:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    2. Kockázatos beállítás

      A Hálózati hozzáférés: A SAM-fiókok és -megosztások névtelen felsorolása nem engedélyezett konfigurációs beállítás engedélyezése káros.
    3. A beállítás engedélyezésének lehetséges okai
      • Ha engedélyezi a Hálózati hozzáférés: A SAM-fiókok és -megosztások névtelen felsorolása nem engedélyezett beállítást, a névtelen fiókkal rendelkező felhasználók és számítógépek nem tudják számba venni a SAM-fiókokat és -megosztásokat.
    4. A beállítás tiltásának lehetséges okai
      • Ha a beállítás engedélyezve van, jogosulatlan felhasználók névtelenül lekérhetik a fiókneveket, majd az információkat jelszófeltörésre vagy személyes manipulálásra használhatják. A személyes manipulálás szó egy zsargon, amely az emberek befolyásolását jelenti a jelszavuk vagy egyéb biztonsági adatuk megszerzése céljából.
      • Ha ez a beállítás engedélyezve van, nem lehet megbízható kapcsolatot létesíteni a Windows NT 4.0 rendszerű tartományokkal. A beállítás emellett problémákat okozhat az adott kiszolgáló erőforrásait használni kívánó alacsony szintű – például Windows NT 3.51 vagy Windows 95 rendszerű – ügyfeleknél is.
      • Nem lehet hozzáférést biztosítani az erőforrás-tartományok felhasználóinak, mivel a megbízó tartomány rendszergazdái nem tudják számba venni más tartományok fiókjait. A fájl- és nyomtatókiszolgálókhoz névtelenül kapcsolódó felhasználók nem tudják lekérni az adott kiszolgálók megosztott hálózati erőforrásainak listáját. Ahhoz, hogy ezt megtehessék, először hitelesíttetniük kell magukat.
    5. Szimbolikus név:

      RestrictAnonymous
    6. Beállításjegyzékbeli elérési út:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
    7. Példák kompatibilitási problémákra
      • Windows NT 4.0 rendszer esetén: Windows NT 4.0 rendszerű munkaállomásokról a felhasználók nem tudják módosítani a jelszavukat, ha a RestrictAnonymous beállítás engedélyezve van az adott felhasználók tartományának tartományvezérlőin. A Microsoft Tudásbázis kapcsolódó cikke:
        198941 A felhasználók bejelentkezéskor nem módosíthatják jelszavukat (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      • Windows NT 4.0 rendszer esetén: Nem lehet megbízható Windows 2000 rendszerű tartományokból felhasználókat vagy globális csoportokat hozzáadni Windows NT 4.0-alapú helyi csoportokhoz a Felhasználókezelőben. Ilyenkor a következő hibaüzenet jelenik meg:
        Pillanatnyilag nincsenek olyan beléptető kiszolgálók, amelyek teljesíthetnék a belépési kérelmet.
        A Microsoft Tudásbázis kapcsolódó cikke:
        296405 A RestrictAnonymous beállításérték megszakíthatja a Windows 2000 rendszerű tartományokkal létesített bizalmi kapcsolatot (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      • Windows NT 4.0 rendszer esetén: A Windows NT 4.0 rendszerű számítógépek telepítés közben, illetve a tartományhoz való csatlakozásra szolgáló felhasználói felület segítségével nem tudnak tartományhoz csatlakozni.

        A Microsoft Tudásbázis kapcsolódó cikke:
        184538 Hibaüzenet egy tartományvezérlő sikertelen kereséséről (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      • Windows NT 4.0 rendszer esetén: Nem lehet alacsony szintű bizalmi kapcsolatot létrehozni Windows NT 4.0 rendszerű erőforrás-tartományokkal, ha a RestrictAnonymous beállítás engedélyezve van a megbízható tartományban. Ilyenkor a következőhöz hasonló hibaüzenet jelenik meg:
        Nem található ennek a tartománynak a tartományvezérlője.
        A Microsoft Tudásbázis kapcsolódó cikke:
        178640 A bizalmi kapcsolat létrehozása során a tartományvezérlő nem található (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      • Windows NT 4.0 rendszer esetén: A Windows NT 4.0-alapú terminálkiszolgálókra bejelentkező felhasználókat a rendszer a Felhasználókezelőben megadott kezdőkönyvtár helyett a tartományok alapértelmezett kezdőkönyvtárához rendeli.

        A Microsoft Tudásbázis kapcsolódó cikke:
        236185 Az SP4 vagy ennél későbbi szervizcsomagok telepítése után a terminálkiszolgáló felhasználói profiljait és kezdőkönyvtárainak elérési útját figyelmen kívül hagyja a rendszer (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      • Windows NT 4.0 rendszer esetén: A Windows NT 4.0 rendszerű tartalék tartományvezérlők nem tudják elindítani a hálózati bejelentkezésre szolgáló Net Logon szolgáltatást, nem tudják lekérni a tartaléktallózók listáját vagy nem tudják szinkronizálni a SAM-adatbázist az ugyanazon tartományban található Windows 2000- vagy Windows Server 2003-alapú tartományvezérlőkkel.

        A Microsoft Tudásbázis kapcsolódó cikke:
        293127 A Windows NT 4.0 rendszerű tartalék tartományvezérlők (BDC-k) hálózati bejelentkezésre szolgáló Net Logon szolgáltatása nem működik Windows 2000 rendszerű tartományban (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      • Windows 2000 rendszer esetén: A Windows NT 4.0 tartományban lévő Windows 2000 rendszerű tagszámítógépek nem képesek megtekinteni a külső tartományokban található nyomtatókat, ha a Névtelen hozzáférés csak külön engedéllyel beállítás engedélyezve van az ügyfélszámítógép helyi biztonsági házirendjében.

        A Microsoft Tudásbázis kapcsolódó cikke:
        280329 A nyomtatótulajdonságok nem kezelhetők és nem tekinthetők meg (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      • Windows 2000 rendszer esetén: A Windows 2000 rendszerű tartományok felhasználói nem tudnak az Active Directoryból nyomtatókat hozzáadni, csak akkor, ha azokat a fanézetben először kijelölik.

        A Microsoft Tudásbázis kapcsolódó cikke:
        318866 Az Outlook-ügyfelek az 1. összegző biztonsági csomag (SRP1) telepítése után nem látják a globális címlistákat a globáliskatalógus-kiszolgálón (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      • Windows 2000 rendszer esetén: Windows 2000 rendszerű számítógépeken az ACL-szerkesztő nem tud felhasználókat vagy globális csoportokat hozzáadni Windows NT 4.0-alapú megbízható tartományokból.

        A Microsoft Tudásbázis kapcsolódó cikke:
        296403 A RestrictAnonymous beállításérték vegyes tartományi környezetben megszakítja a bizalmi kapcsolatot (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      • Az ADMT 2-es verziója esetén: A felhasználói fiókoknak az Active Directory áttelepítési eszköz (ADMT) 2-es verziójával, erdők között végrehajtott jelszó-áttelepítései sikertelenek.

        A Microsoft Tudásbázis kapcsolódó cikke:
        322981 Az erdőközi jelszó-áttelepítések hibaelhárítása az ADMT 2-es verziójával (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      • Outlook-ügyfelek esetén: A Microsoft Exchange Outlook-ügyfelek számára a globális címlista üresen jelenik meg.

        A Microsoft Tudásbázis kapcsolódó cikke:
        318866 Az Outlook-ügyfelek az 1. összegző biztonsági csomag (SRP1) telepítése után nem látják a globális címlistákat a globáliskatalógus-kiszolgálón (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
        321169 Az SMB gyenge teljesítményt mutat fájlok Windows XP rendszerű számítógépről Windows 2000 rendszerű tartományvezérlőre másolása közben (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      • SMS rendszer esetén: A Microsoft Systems Management Server (SMS) hálózatfelderítési szolgáltatása nem tudja megszerezni az operációs rendszer adatait, így azt ismeretlenként jegyzi be a felderítési adatrekord (DDR) SMS DDR tulajdonságának OperatingSystemNameandVersion tulajdonságába.

        A Microsoft Tudásbázis kapcsolódó cikke:
        229769 Az ügyfél-konfigurációs kérelmek létrehozásának elbírálási folyamata a felderítésiadat-kezelő szolgáltatásban (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      • SMS rendszer esetén: Az SMS rendszergazda-varázslójával történő tallózás során egyetlen felhasználó és csoport sem jelenik meg. Az Advanced Client rendszerű ügyfelek emellett nem tudnak kommunikálni a kezelési pontként kijelölt számítógéppel, mert ehhez névtelen hozzáférésre lenne szükség.

        A Microsoft Tudásbázis kapcsolódó cikke:
        302413 Az SMS rendszergazda-varázslójának tallózójában egyetlen felhasználó és csoport sem jelenik meg. (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      • SMS rendszer esetén: Ha az SMS 2.0-s verziójában a hálózatfelderítési szolgáltatás használatakor a távoli ügyféltelepítési szolgáltatás Topology, client, and client operating systems (Topológia, ügyfél és az ügyfelek operációs rendszerei) hálózatfelderítési beállítása engedélyezve van, előfordulhat, hogy a számítógépeket a rendszer észleli, de nem telepíti.

        A Microsoft Tudásbázis kapcsolódó cikke:
        311257 A névtelen kapcsolatok letiltása után az erőforrások nem deríthetők fel (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
  10. Hálózati biztonság: LAN-kezelő hitelesítési szintje
    1. Háttér

      Az LM hitelesítés (LAN Manager (LM) – LAN-kezelő) tulajdonképpen egy protokoll, amely a Windows rendszerű ügyfelek hálózati műveletekhez – többek között tartományokhoz történő csatlakozáshoz, hálózati erőforrások eléréséhez –, valamint felhasználók és számítógépek hitelesítéséhez történő hitelesítését végzi. Az LM hitelesítés szintje azt határozza meg, hogy melyik kérdés-válasz elvű hitelesítési protokollt használja a rendszer az ügyfelek és kiszolgálók közötti egyeztetéshez. Az LM hitelesítés szintje ezen belül külön meghatározza, hogy az ügyfél mely hitelesítési protokoll használatával próbálja meg az egyeztetést, illetve a kiszolgáló melyiket fogadja el. Az LmCompatibilityLevel rendszer-beállítási bejegyzésben megadott érték a hálózati bejelentkezéshez használandó kérdés-válasz elvű hitelesítési protokollt definiálja. Ez az érték az ügyfelek által használt hitelesítési protokoll szintjét, a munkamenetek egyeztetett biztonsági szintjét és a kiszolgáló által elfogadott hitelesítési szintet határozza meg az alábbi táblázat szerint.

      A lehetséges beállítások a következők:
      ÉrtékBeállításLeírás
      0 LM- és NTLM-válaszok küldéseAz ügyfelek LM és NTLM hitelesítést használnak, de soha nem alkalmaznak NTLMv2 munkamenet-hitelesítést. A tartományvezérlők az LM, NTLM és NTLMv2 hitelesítéseket fogadják el.
      1LM és NTLM - NTLMv2 munkamenet-hitelesítés, egyeztetésselAz ügyfelek LM és NTLM hitelesítést használnak, de soha nem alkalmaznak NTLMv2 munkamenet-hitelesítést. A tartományvezérlők az LM, NTLM és NTLMv2 hitelesítéseket fogadják el.
      2Csak NTLM-válaszok küldéseAz ügyfelek csak NTLM hitelesítést használnak, illetve ha a kiszolgáló támogatja, NTLMv2 munkamenet-hitelesítést is alkalmaznak. A tartományvezérlők az LM, NTLM és NTLMv2 hitelesítéseket fogadják el.
      3Csak NTLMv2-válaszok küldéseAz ügyfelek csak NTLMv2 hitelesítést használnak, illetve ha a kiszolgáló támogatja, NTLMv2 munkamenet-hitelesítést is alkalmaznak. A tartományvezérlők az LM, NTLM és NTLMv2 hitelesítéseket fogadják el.
      4Csak NTLMv2-válaszok küldése \ LM elutasításaAz ügyfelek csak NTLMv2 hitelesítést használnak, illetve ha a kiszolgáló támogatja, NTLMv2 munkamenet-hitelesítést is alkalmaznak. A tartományvezérlők elutasítják az LM hitelesítést, csak az NTLM és NTLMv2 hitelesítéseket fogadják el.
      5Csak NTLMv2-válaszok küldése \ LM és NTLM visszautasításaAz ügyfelek csak NTLMv2 hitelesítést használnak, illetve ha a kiszolgáló támogatja, NTLMv2 munkamenet-hitelesítést is alkalmaznak. A tartományvezérlők elutasítják az LM és NTLM hitelesítéseket, csak az NTLMv2 hitelesítést fogadják el.
      Megjegyzés: Windows 95, Windows 98 és Windows 98 Second Edition rendszerben a címtár-szolgáltatási ügyfelek SMB-aláírást használnak a Windows Server 2003 rendszerű kiszolgálókkal történő NTLM hitelesítés során. Az ilyen rendszerű kiszolgálókkal történő NTLMv2 hitelesítés során azonban ezek az ügyfelek nem használnak SMB-aláírást. A Windows 2000 rendszerű kiszolgálók nem válaszolnak az ezektől az ügyfelektől származó SMB-aláírási kérésekre.

      Az LM hitelesítés szintjének ellenőrzése: Az NTLM engedélyezéséhez módosítania kell a kiszolgálón a házirendet, illetve be kell állítania az ügyfelet az NTLMv2 támogatására.

      Ha az elérni kívánt célszámítógépen (5) Csak NTLMv2-válaszok küldése\LM és NTLM visszautasítása értékre állítja be a házirendet, akkor azon a csatlakozó forrásszámítógép biztonsági szintjével megegyező vagy annál alacsonyabb biztonsági szintet kell beállítania.

      Keresse meg, hol állíthatja be az LM hitelesítést az ügyfélszámítógépen és a kiszolgálón ugyanarra a szintre. Ha megtalálta az LM hitelesítés szintjének beállítására szolgáló házirendet, és a Windows korábbi verzióit futtató számítógépekről, illetve számítógépekre szeretne csatlakozni, csak az (1) LM- és NTLM-válaszok küldése - NTLMv2 munkamenet-hitelesítés, egyeztetéssel, illetve az ennél alacsonyabb értékű beállítást használja. Az inkompatibilis beállítások egyik hatása, hogy a kiszolgáló NTLMv2 típusú hitelesítést (5-ös érték) igényel, az ügyfél azonban csak az LM- és az NTLM-válaszok küldésére van konfigurálva (0-s érték). A hitelesítést megkísérlő felhasználónál bejelentkezési hiba lép fel, melynek oka a helytelen jelszó, és a hibás jelszavak számlálójának értéke eggyel nő. Ha konfigurálva van a fiókzárolás, akkor a felhasználó végül ki is zárhatja magát a rendszerből.

      Előfordulhat például, hogy be kell lépnie a tartományvezérlőre, vagy meg kell néznie a tartományvezérlő házirendjeit.

      Belépés a tartományvezérlőre
      Megjegyzés: Lehet, hogy az alábbi eljárást minden tartományvezérlőn végre kell hajtania.
      1. Mutasson a Start menü Programok pontjára, majd kattintson a Felügyeleti eszközök parancsra.
      2. A Helyi biztonsági beállítások részben bontsa ki a Helyi házirend csomópontot.
      3. Kattintson a Biztonsági beállítások lehetőségre.
      4. Kattintson duplán a Hálózati biztonság: LAN-kezelő hitelesítési szintje elemre, majd válassza ki a listában a kívánt elemet.
      Ha a hatályos és a helyi beállítások megegyeznek, a házirend ezen a szinten módosult. Ha a beállítások eltérnek, ellenőriznie kell a tartományvezérlő házirendjét annak megállapításához, hogy a Hálózati biztonság: LAN-kezelő hitelesítési szintje beállítás azon a helyen definiálva van-e. Ha a beállítás nincs megadva, nézze meg a tartományvezérlő házirendjeit.

      A tartományvezérlő házirendjeinek megtekintése
      1. Mutasson a Start menü Programok pontjára, majd kattintson a Felügyeleti eszközök parancsra.
      2. A Tartományvezérlő biztonsági házirendje részben bontsa ki a Biztonsági beállítások, majd a Helyi házirendek elemet.
      3. Kattintson a Biztonsági beállítások lehetőségre.
      4. Kattintson duplán a Hálózati biztonság: LAN-kezelő hitelesítési szintje elemre, majd válassza ki a listában a kívánt elemet.
      Megjegyzés
      • Előfordulhat, hogy a hely-, tartomány- vagy szervezetiegység-szinten hivatkozott házirendeket is ellenőriznie kell, hogy megállapíthassa, hol kell beállítania az LM hitelesítés szintjét.
      • Ha alapértelmezett tartományi házirendként csoportházirendet alkalmaz, az a tartomány összes számítógépére érvényes lesz.
      • Ha a csoportházirendet alapértelmezett tartományvezérlői házirendként alkalmazza, az csak az adott tartományvezérlő szervezeti egységébe tartozó számítógépeket fogja érinteni.
      • Az LM hitelesítést célszerű a házirend-alkalmazási hierarchiában a célnak megfelelő, legalsó szintre állítani.
      A módosítást követően frissítse a házirendeket. (Ha a helyi biztonsági beállítások szintjén történt módosítás, azonnal életbe lép, az ügyfélszámítógépeket azonban előtte újra kell indítania.)

      Alapértelmezés szerint a csoportházirend-beállítások ötpercenként frissülnek a tartományvezérlőkön. Ha azonnal frissíteni szeretné a házirend-beállításokat Windows 2000 vagy későbbi rendszerekben, használja a gpupdate parancsot.

      A gpupdate /force parancs a helyi és az Active Directory címtárszolgáltatásán alapuló csoportházirend-beállításokat – köztük a biztonsági beállításokat is – frissíti. Ez a parancs a secedit parancs elavult /refreshpolicy kapcsolóját váltja fel.

      A gpupdate parancs a következő szintaxist használja:
      gpupdate [/target:{számítógép|felhasználó}] [/force] [/wait:érték] [/logoff] [/boot]

      Az új csoportházirend-objektum alkalmazásához használja a gpupdate parancsot, amellyel az összes házirend-beállítást manuálisan frissítheti. Ehhez írja be a következő parancsot a parancssorba, majd nyomja meg az ENTER billentyűt:
      GPUpdate /Force
      Ellenőrizze az alkalmazás eseménynaplójában, hogy a házirend érvényesítése megtörtént-e.

      Windows XP és Windows Server 2003 rendszerekben az Eredő házirend beépülő modul segítségével tekintheti meg a hatályos beállítást. Ehhez kattintson a Start menü Futtatás parancsára, írja be a rsop.msc parancsot, majd kattintson az OK gombra.

      Ha a probléma a házirend módosítását követően is fennáll, indítsa újra a Windows rendszerű kiszolgálót, és ezután ellenőrizze, hogy megszűnt-e a probléma.

      Megjegyzés: Ha több Windows 2000 vagy Windows Server 2003 rendszerű tartományvezérlőt használ (esetleg mindkettőt), lehet, hogy többszöröznie kell az Active Directoryt annak érdekében, hogy a vezérlőkön azonnal életbe lépjenek a frissítések.

      Az is előfordulhat, hogy úgy tűnik, mintha a beállítás a helyi biztonsági házirendben a legalacsonyabb értékűre lenne beállítva. Ha a beállítást egy biztonsági adatbázis segítségével érvényesíteni tudja, a LAN-kezelő hitelesítési szintjét a beállításjegyzékben is beállíthatja, az LmCompatibilityLevel bejegyzés következő alkulcsban való szerkesztésével:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
      A Windows Server 2003 rendszerben az új alapértelmezett beállítás szerint a hitelesítés csak NTLMv2 típusú lehet. A Windows Server 2003 és a Windows 2000 Server SP3 rendszerű tartományvezérlőkön alapértelmezés szerint engedélyezve van a „Microsoft hálózati kiszolgáló: Kommunikáció digitális aláírása (mindig)” beállítás, amelyhez az SMB-kiszolgálónak SMB-csomagaláírást kell végeznie.A Windows Server 2003 rendszerben azért történtek módosítások, mert a tartományvezérlők, fájlkiszolgálók, hálózatiinfrastruktúra-kiszolgálók és webkiszolgálók minden vállalatnál különböző beállításokat igényelnek a maximális biztonság eléréséhez.

      Ha NTLMv2 hitelesítést szeretne a hálózatában alkalmazni, meg kell győződnie arról, hogy a tartomány összes számítógépén ez a hitelesítési szint van beállítva. Ha Active Directory ügyfélbővítményeket használ Windows 95, Windows 98 vagy Windows NT 4.0 rendszerben, a bővítmények az NTLMv2 továbbfejlesztett hitelesítési szolgáltatásait fogják használni.Mivel az alábbi operációs rendszereket futtató ügyfélszámítógépeket nem érintik a Windows 2000 rendszerű csoportházirend-objektumok, azokat kézzel kell beállítania:
      • Microsoft Windows NT 4.0
      • Microsoft Windows Millennium Edition
      • Microsoft Windows 98
      • Microsoft Windows 95
      Megjegyzés: Ha engedélyezi a Hálózati biztonság: A következő jelszómódosításkor ne tárolja a LAN-kezelő üzenetkivonatát házirendet, vagy beállítja a NoLMHash beállításkulcsot, jelszómódosítást követően a Címtárszolgáltatások ügyfélprogrammal nem rendelkező Windows 95 és Windows 98 rendszerű ügyfelek nem tudnak bejelentkezni a tartományba.

      Számos, külső gyártótól származó CIFS-kiszolgáló (például a Novell Netware 6) az NTLMv2 helyett NTLM protokollt alkalmaz, így 2. szint felett nem teszik lehetővé a csatlakozást.

      A LAN-kezelő hitelesítési szintjének manuális beállításáról a Microsoft Tudásbázis alábbi cikkeiben tájékozódhat:
      147706 Az LM-hitelesítés letiltása Windows NT rendszerben (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      175641 Az LMCompatibilityLevel kulcs és annak hatásai (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      299656 Miként akadályozható meg, hogy a Windows a jelszó LAN-kezelő által létrehozott üzenetkivonatát az Active Directory címtárban és a helyi SAM-adatbázisokban tárolja
      312630 Az Outlook ismételten a bejelentkezési hitelesítő adatok megadását kéri (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      Az LM-hitelesítési szintekről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
      239869 Az NTLM 2 hitelesítés engedélyezése
    2. Kockázatos beállítások

      Az alábbi konfigurációs beállítások károsak:
      • A jelszavakat nem titkosított szövegként küldő és az NTLMv2-egyeztetést tiltó, korlátozásmentes beállítások
      • A közös hitelesítési protokoll egyeztetését a nem kompatibilis ügyfélprogramok vagy tartományvezérlők számára tiltó, korlátozó beállítások
      • Az NTLMv2-hitelesítés megkövetelése a Service Pack 4 (SP4) szervizcsomag előtti Windows NT 4.0 rendszert futtató tagszámítógépeken és tartománykiszolgálókon
      • Az NTLMv2-hitelesítés megkövetelése a telepített címtár-szolgáltatási ügyfélcsomaggal nem rendelkező Windows 95 vagy Windows 98 rendszerű ügyfélszámítógépen
      • Ha egy Windows Server 2003 vagy Windows 2000 Service Pack 3a rendszerű számítógépen, a Microsoft Management Console segédprogram Csoportházirend-szerkesztő moduljában bejelöli az NTLMv2-munkamenet biztonsága szükséges jelölőnégyzetet, és 0 értékre csökkenti a LAN-kezelő hitelesítési szintjét, a két beállítás ütközik, és az alábbi hibaüzenet jelenhet meg a Secpol.msc vagy GPEdit.msc modul megnyitásakor:
        A Windows nem tudja megnyitni a helyi házirend-adatbázist. Ismeretlen hiba történt az adatbázis megnyitásakor.
        A Biztonságkonfigurálás és -elemzés beépülő modulról további tudnivalókat a Windows 2000 vagy Windows Server 2003 súgójában talál.

        A biztonsági szintek Windows 2000 és Windows Server 2003 rendszerben történő elemzéséről a Microsoft Tudásbázis alábbi cikkeiben tájékozódhat:
        313203 Rendszerbiztonság elemzése a Windows 2000 rendszerben (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
        816580 Rendszerbiztonság elemzése a Windows Server 2003 rendszerben (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
    3. A beállítás módosításának lehetséges okai
      • Magasabb szintű hitelesítési protokollt kíván beállítani a szervezetben található ügyfélszámítógépek és tartományvezérlők által alkalmazható közös hitelesítési protokollként.
      • A biztonságos hitelesítést üzleti követelményként támasztó környezetekben az LM és NTLM protokoll egyeztetésének tiltása javasolt.
    4. A beállítás tiltásának lehetséges okai

      Ha az ügyfél, a kiszolgáló vagy mindkét fél hitelesítési követelményei olyan szintre emelkedtek, amelyen a közös protokollon történő hitelesítés nem valósítható meg.
    5. Szimbolikus név:

      LmCompatibilityLevel
    6. Beállításjegyzékbeli elérési út:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
    7. Példák kompatibilitási problémákra
      • Windows Server 2003 rendszer esetén: A Windows Server 2003 rendszer NTLMv2-hitelesítésének NTLM-válaszküldési beállításai alapértelmezés szerint engedélyezve vannak, így a Windows Server 2003 rendszer hozzáférési hibáról tájékoztató hibaüzenetet kap, ha a kezdeti telepítést követően egy Windows NT 4.0 rendszerű fürthöz vagy LanManager V2.1-alapú kiszolgálóhoz, például OS/2 rendszerű Lanserver szoftver futtató kiszolgálóhoz kísérel meg csatlakozni. Ez a hiba a korábbi verziójú ügyfélprogramokkal Windows Server 2003 rendszerű kiszolgálóhoz történő csatlakozási kísérlet esetén is fellép.
      • A Windows 2000 rendszer 1. összesítő biztonsági csomagjának (SRP1) telepítése az NTLMv2 használatára kényszeríti a rendszert. Ez az összesítő csomag a Windows 2000 Service Pack 2 (SP2) kiadása után lett kiadva. Az SRP1 csomagról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:

        311401 A Windows 2000 biztonsági javításait összegző csomag 1-es verziója, 2002. január (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      • A Microsoft Outlook ügyfélprogram abban az esetben is a hitelesítő adatok megadását kérheti, ha azokkal korábban már bejelentkezett a tartományba. Ebben az esetben a hitelesítő adatok megadásakor az alábbi hibaüzenet jelenik meg:
        A megadott bejelentkezési hitelesítő adatok nem megfelelőek. Ellenőrizze, hogy jól adta-e meg a nevét és a tartományt, majd gépelje be újra a jelszót.
        Az Outlook indításakor a program abban az esetben is kérheti a hitelesítő adatokat, ha a Hálózati biztonság bejelentkezéskor beállítás átadó vagy jelszavas hitelesítési értékre van állítva. A megfelelő hitelesítési adatok megadását követően az alábbi hibaüzenet jelenhet meg:
        A megadott bejelentkezési hitelesítő adatok nem megfelelőek.
        A hálózatfigyelési nyomkövetés során azt tapasztalhatja, hogy a globális katalógus 0x5 hibakódú RPC-hibát jelez, mely hozzáférési hibát jelent.
      • Windows 2000 rendszer esetén: A hálózatfigyelő az alábbi hibákat jelezheti a TCP/IP feletti NetBIOS (NetBT) kiszolgáló-üzenetblokkjának (SMB) munkamenetében:
        SMB R Search Directory Dos error, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Invalid user identifier
      • Windows 2000 rendszer esetén: Ha egy 2. szintű NTLMv2 vagy annál későbbi protokollt alkalmazó Windows 2000-tartományt megbízhatónak minősít egy Windows NT 4.0-tartomány, a forrástartomány Windows 2000 rendszerű tagszámítógépei hitelesítési hibát tapasztalhatnak.

        A Microsoft Tudásbázis kapcsolódó cikke:
        305379 Hitelesítési problémák a Windows 2000 rendszerben 2. szint feletti NTLMv2-hitelesítés Windows NT 4.0-tartománybeli használatakor (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      • Windows 2000 és Windows XP rendszer esetén: Alapértelmezés szerint a Windows 2000 és Windows XP rendszer „LAN Manager hitelesítési szintje” (illetve „LAN-kezelő hitelesítési szintje”) helyi biztonságiházirend-beállításának értéke 0, melynek jelentése: „LM- és NTLM-válaszok küldése”.

        Megjegyzés: A Windows NT 4.0 rendszerű fürtök felügyeletéhez kötelezően LM protokoll alkalmazandó.
      • Windows 2000 rendszer esetén: A Windows 2000-alapú fürtképzés nem hitelesíti a csatlakozó csomópontot, ha mindkét csomópont Windows NT 4.0 Service Pack 6a (SP6a) rendszerű tartományba tartozik.

        A Microsoft Tudásbázis kapcsolódó cikke:
        305379 Hitelesítési problémák a Windows 2000 rendszerben 2. szint feletti NTLMv2-hitelesítés Windows NT 4.0-tartománybeli használatakor (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      • Az IIS Lockdown eszköz (HiSecWeb) az LMCompatibilityLevel beállítás értékét 5-re, a RestrictAnonymous beállítás értékét pedig 2-re állítja.
      • Services for Macintosh szolgáltatás

        Felhasználóhitelesítési modul: A Microsoft felhasználóhitelesítési modul a Windows AFP (AppleTalk fájlkezelő protokoll) rendszerű kiszolgálókra való bejelentkezéshez használatos jelszavak titkosítására szolgál. Az Apple felhasználóhitelesítési modul minimális titkosítást, illetve titkosítatlan kapcsolatot tud csak biztosítani, így a jelszavak könnyedén elfoghatók a helyi hálózaton vagy az interneten. Az opcionálisan alkalmazható felhasználóhitelesítési modul titkosított hitelesítést kínál a Services For Macintosh szolgáltatást futtató Windows 2000 rendszerű kiszolgálóknak. A jelen verzió 128 bites, NTLMv2 protokollon keresztüli titkosított hitelesítést, illetve MacOS X 10.1-kompatibilitást kínál.

        Alapértelmezés szerint a Windows Server 2003 rendszer Services for Macintosh kiszolgálója kizárólag Microsoft hitelesítést engedélyez.

        A Microsoft Tudásbázis kapcsolódó cikkei:
        834498 A Macintosh ügyfélszámítógép nem tud kapcsolódni a Windows Server 2003 rendszer Services for Mac szolgáltatásához (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
        838331 Nem nyithatók meg a Windows Server 2003-alapú kiszolgálón tárolt megosztott Macintosh-mappák a Mac OS X rendszerű ügyfélszámítógépekről (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
      • Windows Server 2008, Windows Server 2003, Windows XP és Windows 2000 rendszer esetében: Ha az LMCompatibilityLevel kulcs értékét 0-ra vagy 1-re, a NoLMHash kulcs értékét pedig 1-re állítja, sikertelen lehet az NTLM-hitelesítés egyes alkalmazások és összetevők esetén. Ez a probléma azért jelentkezik, mert a számítógép konfigurációja csak a LAN-kezelőt engedélyezi; a kezelő által tárolt jelszavak használatát nem.

        Ha a NoLMHash kulcs értékét 1-re állítja, a LMCompatibilityLevel kulcs értékét 2-re vagy nagyobbra kell állítani.
  11. Hálózati biztonság: LDAP-ügyfél aláírási követelményei
    1. Háttér

      A Hálózati biztonság: LDAP-ügyfél aláírási követelményei beállítás határozza meg az LDAP BIND-kérelmeket kiállító ügyfelek nevében kért adataláírási szintet, az alábbiaknak megfelelően:
      • Nincs: Az LDAP BIND-kérelem kiállítása a hívó által megadott beállításokkal
      • Aláírás egyeztetése: Ha az SSL/TLS protokoll nem indult el, az LDAP BIND-kérelmet az LDAP adataláírási beállításával kezdeményezi a rendszer, nem pedig a hívó által megadott beállításokkal. Ha az SSL/TLS elindult, az LDAP BIND-kérelmet a hívó által megadott beállításokkal kezdeményezi a rendszer.
      • Aláírás szükséges: Hatása megegyezik az Aláírás egyeztetése beállításéval. Ha azonban az LDAP-kiszolgáló közbenső saslBindInProgress válasza nem jelzi, hogy LDAP-adataláírás szükséges, a rendszer a hívót arról tájékoztatja, hogy az LDAP BIND parancs végrehajtása sikertelen.
    2. Kockázatos beállítás

      A Hálózati biztonság: LDAP-ügyfél aláírási követelményei lehetőség engedélyezése káros konfigurációs beállításnak tekinthető. Ha az LDAP-aláírások megkövetelésére állítja be a kiszolgálót, az ügyfél LDAP-aláírási beállításait is meg kell adnia. Ha elmulasztja az ügyfél LDAP-aláírási beállításainak megadását, nem jöhet létre kapcsolat a kiszolgáló és az ügyfél között; ily módon a felhasználóhitelesítés, a csoportházirend-beállítások, a bejelentkezési parancsfájlok és az egyéb szolgáltatások futtatása egyaránt sikertelen lesz.
    3. A beállítás módosításának lehetséges okai

      Az aláíratlan hálózati forgalom ki van téve a köztes lehallgatásos („man-in-the-middle”) támadásoknak, amelyek esetén a behatoló elfogja az ügyfél és a kiszolgáló között a csomagokat, módosítja azokat, majd úgy továbbítja a kiszolgálónak. Amikor egy LDAP-kiszolgálón fordul elő ez a jelenség, a támadó rákényszerítheti a kiszolgálót arra, hogy hamis LDAP-ügyféllekérdezésre adjon választ. Vállalati hálózatok esetében a kockázat erős, fizikai jellegű biztonsági intézkedések bevezetésével csökkenthető, amelyek védik a hálózati infrastruktúrát. A digitális aláírások minden egyes hálózati csomagban való megkövetelése (melyet IPSec hitelesítési fejléc alkalmazásával valósíthat meg) rendkívüli módon megnehezíti a köztes lehallgatásos („man-in-the-middle”) támadások minden formáját.
    4. Szimbolikus név:

      LDAPClientIntegrity
    5. Beállításjegyzékbeli elérési út:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
  12. Eseménynapló: Biztonsági napló maximális mérete
    1. Háttér

      Az Eseménynapló: Biztonsági napló maximális mérete biztonsági beállítás a biztonsági napló maximális méretét határozza meg, mely legfeljebb 4 GB lehet. A beállítás megjelenítéséhez bontsa ki A Windows beállításai, majd a Biztonsági beállítások csomópontot.
    2. Kockázatos beállítások

      Az alábbi konfigurációs beállítások károsak:
      • A biztonsági napló méretének és a naplómegőrzési módnak a korlátozása, miközben a Naplózás: A rendszer azonnali leállítása, ha nem lehet naplózni a biztonsági eseményeket beállítás engedélyezve van. További információért tekintse át a jelen cikk „Naplózás: A rendszer azonnali leállítása, ha nem lehet naplózni a biztonsági eseményeket" című részét.
      • A biztonsági napló méretének olyan mértékű korlátozása, amely a lényeges biztonsági események felülírását eredményezi.
    3. A beállításérték növelésének lehetséges okai

      Az üzleti vagy biztonsági szempontok nagyobb időtartamra eső események tárolását, illetve több bejegyzésinformáció mentését is szükségessé tehetik.
    4. A beállításérték csökkentésének lehetséges okai

      Az Eseménynapló bejegyzései memóriába ágyazott fájlok. Az eseménynapló maximális méretét a helyi számítógépben található és a naplózási folyamat rendelkezésére álló fizikai memória, illetve a beállított virtuális memória mennyisége korlátozza. Ha a naplóméretet a naplózási folyamat számára rendelkezésre álló virtuális memóriát meghaladó értékre állítja, az nem eredményezi a tárolt naplóbejegyzések számának növekedését.
    5. Példák kompatibilitási problémákra

      Windows 2000 rendszer esetén: A Windows 2000 SP4 szervizcsomaggal bővített változata előtti verzióit futtató számítógépek esetében előfordulhat, hogy a rendszer az Eseménynapló Maximális naplófájlméret beállításánál megadott érték elérése előtt abbahagyja az események naplózását, ha Az események ne legyenek felülírva (napló törlése kézzel) beállítás engedélyezve van.

      A Microsoft Tudásbázis kapcsolódó cikke:
      312571 Az Eseménynapló a napló maximális méretének elérése előtt abbahagyja az események naplózását (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
  13. Eseménynapló: Biztonsági napló megőrzése
    1. Háttér

      Az Eseménynapló: Biztonsági napló megőrzése biztonsági beállítás a biztonsági napló kezelésének módját határozza meg. A beállítás megjelenítéséhez bontsa ki A Windows beállításai, majd a Biztonsági beállítások csomópontot.
    2. Kockázatos beállítások

      Az alábbi konfigurációs beállítások károsak:
      • Valamennyi naplózott biztonsági esemény megőrzésének sikertelensége a felülírás előtt
      • A Biztonsági napló maximális mérete beállítás értékének olyan mértékű csökkentése, amely a biztonsági események felülírását eredményezi
      • A biztonsági napló méretének és a naplómegőrzési módnak a korlátozása, miközben a Naplózás: A rendszer azonnali leállítása, ha nem lehet naplózni a biztonsági eseményeket beállítás engedélyezve van
    3. A beállítás engedélyezésének lehetséges okai

      Csak akkor engedélyezze ezt a beállítást, ha az Események felülírása naponta megőrzési módot választja. Ha egy eseménykorrelációs rendszert használ, mely lekérdezi az eseményeket, győződjön meg arról, hogy a napok száma legalább háromszorosa a lekérdezés gyakoriságának. Ily módon engedélyezheti a sikertelen lekérdezési ciklusokat.
  14. Hálózati hozzáférés: A névtelen felhasználókra a Mindenki csoportra vonatkozó engedélyek vonatkozzanak
    1. Háttér

      A Hálózati hozzáférés: A névtelen felhasználókra a Mindenki csoportra vonatkozó engedélyek vonatkozzanak beállítás Windows Server 2003 rendszerbeli alapértelmezett értéke a Nincs megadva. A Windows Server 2003 alapértelmezés szerint nem foglalja bele a Névtelen hozzáférés jogkivonatot a Mindenki csoportba.
    2. Példák kompatibilitási problémákra

      A
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
      beállításkulcs [REG_DWORD]=0x0 értéke megszakítja a bizalmi kapcsolat létrehozását a Windows Server 2003- és Windows NT 4.0-tartomány között, ha a Windows Server 2003-tartomány a fióktartomány, a Windows NT 4.0-tartomány pedig a forrástartomány. A fióktartomány tehát megbízható a Windows NT 4.0-tartományban, a forrástartomány pedig megbízó a Windows Server 2003-tartományban. E jelenség oka az, hogy a bizalmi kapcsolatot kezdeményező folyamat csak azután lép működésbe, hogy a Windows NT 4.0 rendszer a hozzáférés-szabályozási listához „Névtelen” biztonsági azonosítót is tartalmazó „Mindenki” tokennel adja hozzá a kezdeti névtelen kapcsolatot.
    3. A beállítás módosításának lehetséges okai

      A bizalmi kapcsolat létrehozásának engedélyezése érdekében a beállítást kötelezően 0x1 értékre kell állítani, vagy a tartományvezérlő szervezeti egységéhez tartozó csoportházirend-objektum következő beállítását szükséges megadni: Hálózati hozzáférés: A névtelen felhasználókra a Mindenki csoportra vonatkozó engedélyek vonatkozzanak – Engedélyezve.

      Megjegyzés: Az egyéb biztonsági beállítások többségénél a biztonsági szint a beállításérték növelésével növekszik, nem pedig csökken. Biztonságosabb megoldást kínál, ha az elsődleges tartományvezérlő emulátorának beállításjegyzékét módosítja az összes tartományvezérlőn történő módosítás helyett. Ha az elsődleges tartományvezérlő emulátorszerepét bármilyen okból kifolyólag áthelyezik, az új kiszolgáló beállításjegyzékét is frissíteni kell.

      Az érték beállítását követően újraindítás szükséges.
    4. Beállításjegyzékbeli elérési út
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
  15. NTLMv2-hitelesítés

    Munkamenet-biztonság

    A munkamenet-biztonsági szolgáltatás az ügyfél és a kiszolgáló munkameneteire vonatkozó minimális biztonsági követelményeket határozza meg. Célszerű ellenőrizni az alábbi biztonságiházirend-beállításokat a Microsoft Management Console segédprogram Csoportházirend-szerkesztő moduljában:
    • Számítógép konfigurációja\A Windows beállításai\Biztonsági beállítások\Helyi házirend\Biztonsági beállítások
    • Hálózati biztonság: Minimális munkamenet-biztonság az NTLM SSP-alapú (a biztonságos RPC is) ügyfelekkel
    • Hálózati biztonság: Minimális munkamenet-biztonság az NTLM SSP-alapú (beleértve a biztonságos RPC szolgáltatást is) ügyfelekkel
    A beállítások lehetséges értékei:
    • Üzenet sértetlenségének megkövetelése
    • Üzenet titkosságának megkövetelése
    • NTLMv2 munkamenet megkövetelése
    • 128 bites titkosítás
    A beállításoknak alapértelmezés szerint nincsenek követelményeik.

    Ezek a házirendek a kiszolgáló és az ügyfél alkalmazásai közötti kommunikációs munkamenetek minimális biztonsági követelményeit határozzák meg.

    A Windows NT rendszer a hálózati bejelentkezésekhez két kérdés-válasz hitelesítési módot tartalmaz:
    • LM kérdés/válasz
    • NTLMv1 kérdés/válasz
    Az LM-hitelesítés lehetővé teszi az ügyfelekkel és kiszolgálókkal való együttműködést, míg az NTLM-hitelesítés az ügyfelek és kiszolgálók közti kapcsolatokat teszi biztonságosabbá.

    A kapcsolódó beállításkulcsok az alábbiak:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

Időszinkronizálás

Az időszinkronizálás sikertelen. Az idő több mint 30 perccel eltér az érintett számítógépek egyikén. Ellenőrizze, hogy az ügyfélszámítógép órája szinkronizálva van-e a tartományvezérlő órájával.

Kerülő megoldás az SMB-aláíráshoz

A Windows NT 4.0 rendszerű és Windows Server 2003-tartományban működő ügyfelek esetében a Service Pack 6a (SP6a) szervizcsomag telepítése javasolt. A Windows 98 Second Edition, Windows 98 és Windows 95 rendszerű ügyfeleknek az NTLMv2-hitelesítéshez címtár-szolgáltatási ügyféllel kell rendelkeznie. Ha a Windows NT 4.0 rendszerrel működő ügyfélszámítógépen nincs telepítve a Windows NT 4.0 SP6 szervizcsomag, illetve Windows 95, Windows 98 vagy Windows 98SE-alapú ügyfélszámítógépen nincs telepítve a címtárszolgáltatások ügyfélprogramja, tiltsa le az SMB-aláírást az alapértelmezett tartományvezérlő házirend-beállításai között a tartományvezérlő szervezeti egységében, majd ezt a házirendet csatolja az összes, tartományvezérlőt alkalmazó szervezeti egységhez.

A Windows 98 Second Edition, Windows 98 és Windows 95 rendszer címtár-szolgáltatási ügyfele NTLM-hitelesítéssel végzi a Windows 2003 rendszerű kiszolgálókkal történő SMB-aláírást, NTLMv2-hitelesítést azonban nem végez. A Windows 2000 rendszerű kiszolgálók nem válaszolnak az ezektől az ügyfelektől származó SMB-aláírási kérésekre.

A Microsoft ugyan nem javasolja, de a Windows Server 2003 rendszerű tartományvezérlőket úgy is beállíthatja, hogy azok ne követeljék meg az SMB-aláírás. E konfiguráció beállításához hajtsa végre az alábbi lépéseket:
  1. Nyissa meg az alapértelmezett tartományvezérlő házirendszerkesztőjét.
  2. Nyissa meg a Számítógép konfigurációja\A Windows beállításai\Biztonsági beállítások\Helyi házirend\Biztonsági beállítások mappát.
  3. Kattintson duplán a Microsoft hálózati kiszolgáló: Kommunikáció digitális aláírása (mindig) házirendre, majd válassza a Letiltva lehetőséget.
Fontos: Az alábbi bekezdés, módszer, illetve feladat a beállításjegyzék (korábbi nevén rendszerleíró adatbázis) módosítását is magában foglaló lépéseket tartalmaz. A beállításjegyzék helytelen módosítása azonban komoly problémákat okozhat, ezért ügyeljen az utasítások pontos betartására. A beállításjegyzékről módosítása előtt célszerű biztonsági másolatot készíteni, hogy szükség esetén visszaállíthassa azt. A beállításjegyzék biztonsági mentéséről és visszaállításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
322756 A beállításjegyzék biztonsági mentése és visszaállítása Windows XP rendszerben
A fenti megoldás mellett a beállításjegyzék módosításával is elvégezheti az SMB-aláírás kikapcsolását. Ehhez hajtsa végre az alábbi lépéseket:
  1. Kattintson a Start menü Futtatás parancsára, a megjelenő párbeszédpanel beviteli mezőjébe írja be a regedit parancsot, majd kattintson az OK gombra.
  2. Keresse meg az alábbi alkulcsot, majd kattintson rá:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters
  3. Kattintson az enablesecuritysignature bejegyzésre.
  4. Kattintson a Szerkesztés menü Módosítás parancsára.
  5. Az Érték mezőbe írja be a 0 értéket, majd kattintson az OK gombra.
  6. Lépjen ki a beállításszerkesztőből.
  7. Indítsa újra a számítógépet, vagy előbb állítsa le, majd indítsa újra a Kiszolgáló szolgáltatást. Az utóbbi megoldáshoz írja az alábbi parancsokat a parancssorba, az egyes parancsok beírását követően pedig nyomja meg az ENTER billentyűt:
    net stop server
    net start server
Megjegyzés: Az ügyfélszámítógépeken a fenti bejegyzést az alábbi alkulcsban találhatja meg:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters
Az alábbi listában a fentebb említett hibák kódját, valamint az azokhoz tartozó hibaállapotot és hibaüzenetet tekintheti meg:
Hiba 5
ERROR_ACCESS_DENIED
A hozzáférés megtagadva.
Hiba 1326
ERROR_LOGON_FAILURE
Bejelentkezési hiba: ismeretlen felhasználónév vagy rossz jelszó.
Hiba 1788
ERROR_TRUSTED_DOMAIN_FAILURE
Az elsődleges tartomány és a meghatalmazott tartomány között nem jött létre megbízhatósági kapcsolat.
Hiba 1789
ERROR_TRUSTED_RELATIONSHIP_FAILURE
A munkaállomás és az elsődleges tartomány között nem jött létre megbízhatósági kapcsolat.
A Microsoft Tudásbázis kapcsolódó cikkei:
324802 A Windows Server 2003-szolgáltatások biztonságának beállítása a csoportházirendek konfigurálásával (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
306771 Hozzáférési hiba a Windows Server 2003 rendszerű fürt konfigurálását követően (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
101747 A Microsoft hitelesítés telepítése Macintosh rendszerre (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
161372 Az SMB-aláírás engedélyezése Windows NT rendszerben (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
236414 Megosztások elérésével kapcsolatos hiba az LMCompatibilityLevel kulcs NTLMv2-hitelesítésre állításakor (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
241338 A Windows NTLM 3-ügyfél első bejelentkezése meggátolja a későbbi bejelentkezéseket (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
262890 Nem jelenik meg a kezdőkönyvtár meghajtókapcsolata vegyes környezetben (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
308580 A kezdőmappák régebbi verziójú kiszolgálókhoz való hozzárendelése nem működik bejelentkezés közben (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
285901 A Távelérés, a VPN és a RIS ügyfélprogramja nem tud munkamenetet kezdeményezni az NTLMv2-hitelesítés használatát igénylő kiszolgálókkal (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
816585 Előre definiált biztonsági sablonok alkalmazása a Windows Server 2003 rendszerben (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
820281 A rendszer a Windows-fiók hitelesítő adatainak megadását kéri az Exchange Server 2003 kiszolgálóhoz az Outlook 2003 program HTTP feletti RPC-szolgáltatásával való csatlakozáskor (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
user right security setting compat compatibility registry secure group policy acl rights gpedit pdce
Tulajdonságok

Cikkazonosító: 823659 - Utolsó ellenőrzés: 05/13/2011 11:43:00 - Verziószám: 20.0

  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows 95
  • kbinfo KB823659
Visszajelzés