Ügyfél-, szolgáltatás- és programproblémák léphetnek fel, ha módosítja a biztonsági beállításokat és a felhasználói jogok hozzárendelését

Windows XP

A helytelenül konfigurált biztonsági beállítások tudatosításának növeléséhez használja az Csoportházirend Objektumszerkesztő eszközt a biztonsági beállítások módosításához. Az Csoportházirend Object Editor használatakor a felhasználói jogosultságok hozzárendelése a következő operációs rendszereken lesz továbbfejlesztve:

• Windows XP Professional Service Pack 2 (SP2)

• Windows Server 2003 Service Pack 1 (SP1)

A továbbfejlesztett funkció egy párbeszédpanel, amely a cikkre mutató hivatkozást tartalmaz. A párbeszédpanel akkor jelenik meg, ha egy biztonsági beállítást vagy egy felhasználói jogosultság-hozzárendelést olyan beállításra módosít, amely kevésbé kompatibilis és korlátozóbb. Ha közvetlenül módosítja ugyanazt a biztonsági beállítást vagy felhasználói jogosultság-hozzárendelést a beállításjegyzék vagy a biztonsági sablonok használatával, a hatás ugyanaz, mint Csoportházirend Objektumszerkesztőben. A cikkre mutató hivatkozást tartalmazó párbeszédpanel azonban nem jelenik meg.

Ez a cikk példákat tartalmaz olyan ügyfelekre, programokra és műveletekre, amelyeket adott biztonsági beállítások vagy felhasználói jogosultságok hozzárendelése érint. A példák azonban nem mérvadóak az összes Microsoft operációs rendszeren, az összes külső operációs rendszeren vagy az érintett programverziókban. Ebben a cikkben nem szerepel minden biztonsági beállítás és felhasználói jogosultság-hozzárendelés.

Javasoljuk, hogy az éles környezetben való bevezetés előtt ellenőrizze a teszterdő összes biztonsági konfigurációs módosításának kompatibilitását. A teszterdőnek a következő módokon kell tükröznie az éles erdőt:

• Ügyfél- és kiszolgálói operációsrendszer-verziók, ügyfél- és kiszolgálóprogramok, szervizcsomag-verziók, gyorsjavítások, sémamódosítások, biztonsági csoportok, csoporttagságok, a fájlrendszerben lévő objektumokra vonatkozó engedélyek, megosztott mappák, a beállításjegyzék, az Active Directory címtárszolgáltatás, a helyi és Csoportházirend beállítások, valamint az objektumok számának típusa és helye

• Az elvégzett felügyeleti feladatok, a használt felügyeleti eszközök és a felügyeleti feladatok végrehajtásához használt operációs rendszerek

• Végrehajtott műveletek, például a következők:

  • Számítógép- és felhasználói bejelentkezés hitelesítése

  • Új jelszó kérése felhasználók, számítógépek és rendszergazdák szerint

  • Böngészés

  • Engedélyek beállítása a fájlrendszerre, a megosztott mappákra, a beállításjegyzékre és az Active Directory-erőforrásokra az ACL-szerkesztővel az összes fiók vagy erőforrástartomány összes ügyfél operációs rendszerében vagy erőforrástartományában az összes fiók vagy erőforrástartomány összes ügyfél operációs rendszerében

  • Nyomtatás rendszergazdai és nem rendszergazdai fiókokból

Windows Server 2003 SP1

Felhasználói jogosultságok

Az alábbi lista ismerteti a felhasználói jogosultságot, azonosítja azokat a konfigurációs beállításokat, amelyek problémákat okozhatnak, ismerteti, hogy miért érdemes alkalmazni a felhasználói jogosultságot, és miért érdemes eltávolítani a felhasználói jogosultságot, valamint példákat mutat be azokra a kompatibilitási problémákra, amelyek a felhasználói jogosultság konfigurálásakor fordulhatnak elő.

1. A számítógép elérése a hálózatról

   1. Háttér
      
      A távoli Windows-alapú számítógépekkel való interakcióhoz a számítógép hálózati felhasználótól való hozzáférése szükséges. Ilyen hálózati műveletek például a következők:

      • Az Active Directory replikálása egy közös tartományban vagy erdőben lévő tartományvezérlők között

      • Hitelesítési kérések tartományvezérlőkhöz felhasználóktól és számítógépekről

      • Hozzáférés megosztott mappákhoz, nyomtatókhoz és más rendszerszolgáltatásokhoz, amelyek a hálózat távoli számítógépein találhatók

      
      
      A felhasználók, számítógépek és szolgáltatásfiókok a számítógéphez való hozzáférést a hálózati felhasználó jogosultságaiból szerezik meg vagy veszítik el azzal, hogy explicit módon vagy implicit módon hozzáadják vagy eltávolítják őket egy olyan biztonsági csoportból, amely megkapta ezt a felhasználói jogosultságot. Például egy rendszergazda explicit módon hozzáadhat egy felhasználói fiókot vagy egy számítógépfiókot egy egyéni biztonsági csoporthoz vagy egy beépített biztonsági csoporthoz, vagy implicit módon hozzáadhatja az operációs rendszer egy számított biztonsági csoporthoz, például tartományi felhasználókhoz, hitelesített felhasználókhoz vagy vállalati tartományvezérlőkhöz.
      
      Alapértelmezés szerint a felhasználói fiókok és a számítógépfiókok közvetlenül a hálózati felhasználótól kapják meg a számítógéphez való hozzáférést, ha számított csoportok, például a Mindenki, vagy lehetőség szerint a Hitelesített felhasználók, illetve a tartományvezérlők esetében a Vállalati tartományvezérlők csoport az alapértelmezett tartományvezérlőkben Csoportházirend Objektum (GPO) van meghatározva.

   2. Kockázatos konfigurációk
      
      A következők káros konfigurációs beállítások:

      • A Vállalati tartományvezérlők biztonsági csoport eltávolítása ebből a felhasználói jogosultságból

      • A Hitelesített felhasználók csoport vagy egy explicit csoport eltávolítása, amely lehetővé teszi, hogy a felhasználók, számítógépek és szolgáltatásfiókok a hálózaton keresztül csatlakozzanak a számítógépekhez

      • Az összes felhasználó és számítógép eltávolítása ebből a felhasználóból

   3. A felhasználói jogosultság megadásának indokai

      • Ha hozzáférést ad a számítógépnek a hálózati felhasználótól a Vállalati tartományvezérlők csoporthoz, az megfelel a hitelesítési követelményeknek, amelyekkel az Active Directory-replikációnak meg kell felelnie ahhoz, hogy a replikáció ugyanabban az erdőben lévő tartományvezérlők között történjen.

      • Ez a felhasználói jogosultság lehetővé teszi, hogy a felhasználók és a számítógépek hozzáférjenek a megosztott fájlokhoz, nyomtatókhoz és rendszerszolgáltatásokhoz, beleértve az Active Directoryt is.

      • Ez a felhasználói jogosultság szükséges ahhoz, hogy a felhasználók a Microsoft Outlook Web Access (OWA) korai verzióival érhessék el a leveleket.

   4. A felhasználói jogosultság eltávolításának okai

      • Azok a felhasználók, akik csatlakoztathatják számítógépeiket a hálózathoz, hozzáférhetnek azokhoz a távoli számítógépekhez tartozó erőforrásokhoz, amelyekhez engedéllyel rendelkeznek. Ez a felhasználói jogosultság például szükséges ahhoz, hogy a felhasználó megosztott nyomtatókhoz és mappákhoz csatlakozzon. Ha ez a felhasználói jogosultság a Mindenki csoportnak van megadva, és egyes megosztott mappák megosztási és NTFS fájlrendszer-engedélyekkel is rendelkeznek úgy, hogy ugyanahhoz a csoporthoz olvasási hozzáféréssel rendelkezzenek, bárki megtekintheti az ezekben a megosztott mappákban lévő fájlokat. Ez azonban nem valószínű a Windows Server 2003 friss telepítéseinél, mert a Windows Server 2003 alapértelmezett megosztási és NTFS-engedélyei nem tartalmazzák a Mindenki csoportot. A Microsoft Windows NT 4.0-ról vagy Windows 2000-ről frissített rendszerek esetében ez a biztonsági rés magasabb szintű kockázattal járhat, mivel az alapértelmezett megosztás és az operációs rendszerek fájlrendszer-engedélyei nem olyan korlátozóak, mint a Windows Server 2003 alapértelmezett engedélyei.

      • Nincs érvényes oka annak, hogy eltávolítsa a vállalati tartományvezérlői csoportot ebből a felhasználói jogosultságból.

      • A Mindenki csoport általában el lesz távolítva a Hitelesített felhasználók csoport javára. Ha a Mindenki csoportot eltávolítja, a Hitelesített felhasználók csoportnak meg kell adni ezt a felhasználói jogosultságot.

      • A Windows 2000 rendszerre frissített Windows NT 4.0-tartományok nem biztosítják kifejezetten a számítógép hozzáférését a hálózati felhasználótól a Mindenki csoporthoz, a Hitelesített felhasználók csoporthoz vagy a Vállalati tartományvezérlők csoporthoz. Ezért amikor eltávolítja a Mindenki csoportot a Windows NT 4.0 tartományi házirendből, az Active Directory replikációja "Hozzáférés megtagadva" hibaüzenettel meghiúsul a Windows 2000-re való frissítés után. Winnt32.exe a Windows Server 2003-ban elkerüli ezt a helytelen konfigurációt azáltal, hogy a Windows NT 4.0 elsődleges tartományvezérlőinek (PDC-k) frissítésekre való frissítésekkor a vállalati tartományvezérlők csoportnak jogosultságot ad a felhasználónak. Adja meg a vállalati tartományvezérlők csoportnak ezt a felhasználót, ha az nincs jelen a Csoportházirend Object Editorban.

   5. Példák kompatibilitási problémákra

      • Windows 2000 és Windows Server 2003: A következő partíciók replikálása "Hozzáférés megtagadva" hibával meghiúsul, amint azt az eseménynaplóban szereplő figyelési eszközök, például a REPLMON és a REPADMIN vagy a replikációs események jelentik.

        • Active Directory-sémapartíció

        • Konfigurációs partíció

        • Tartományi partíció

        • Globális katalóguspartíció

        • Alkalmazáspartíció

      • Minden Microsoft hálózati operációs rendszer: A távoli hálózati ügyfélszámítógépeken történő felhasználói fiókhitelesítés sikertelen lesz, kivéve, ha a felhasználó vagy egy biztonsági csoport, amelynek a felhasználó tagja, megkapta ezt a felhasználói jogosultságot.

      • Minden Microsoft hálózati operációs rendszer: A távoli hálózati ügyfelek fiókhitelesítése sikertelen lesz, kivéve, ha a fiók vagy egy biztonsági csoport, amelynek a fiók tagja, megkapta ezt a felhasználói jogosultságot. Ez a forgatókönyv a felhasználói fiókokra, a számítógépfiókokra és a szolgáltatásfiókokra vonatkozik.

      • Minden Microsoft hálózati operációs rendszer: Ha eltávolítja az összes fiókot ebből a felhasználói jogosultságból, az megakadályozza, hogy bármely fiók bejelentkezhessen a tartományba, vagy hozzáférjen a hálózati erőforrásokhoz. Ha olyan számított csoportokat távolít el, mint a vállalati tartományvezérlők, a Mindenki vagy a Hitelesített felhasználók, explicit módon meg kell adnia a felhasználónak a jogosultságot azokhoz a fiókokhoz vagy biztonsági csoportokhoz, amelyeknek a fiók tagja a távoli számítógépek hálózaton keresztüli eléréséhez. Ez a forgatókönyv az összes felhasználói fiókra, az összes számítógépfiókra és az összes szolgáltatásfiókra vonatkozik.

      • Minden Microsoft hálózati operációs rendszer: A helyi rendszergazdai fiók "üres" jelszót használ. Az üres jelszóval rendelkező hálózati kapcsolat nem engedélyezett tartományi környezetben lévő rendszergazdai fiókok esetében. Ezzel a konfigurációval "Hozzáférés megtagadva" hibaüzenet jelenhet meg.

2. Helyi bejelentkezés engedélyezése

   1. Háttér
      
      Azok a felhasználók, akik egy Windows-alapú számítógép konzolján próbálnak bejelentkezni (a CTRL+ALT+DELETE billentyűparanccsal), valamint a szolgáltatást elindítani próbáló fiókoknak helyi bejelentkezési jogosultságokkal kell rendelkezniük a gazdaszámítógépen. A helyi bejelentkezési műveletek közé tartoznak például azok a rendszergazdák, akik a tagszámítógépek konzoljára jelentkeznek be, vagy a vállalati és tartományi felhasználók tartományvezérlői, akik a tagszámítógépekre bejelentkezve nem emelt szintű fiókokkal férnek hozzá az asztalukhoz. A távoli asztali kapcsolatot vagy terminálszolgáltatásokat használó felhasználóknak rendelkezniük kell a Helyi bejelentkezés engedélyezése helyi felhasználóval közvetlenül a Windows 2000 vagy Windows XP rendszert futtató célszámítógépeken, mert ezek a bejelentkezési módok helyinek minősülnek az üzemeltető számítógépen. Azok a felhasználók, akik olyan kiszolgálóra jelentkeznek be, amelyen engedélyezve van a terminálkiszolgáló, és akik nem rendelkeznek ezzel a felhasználói jogosultságokkal, továbbra is elindíthatnak egy távoli interaktív munkamenetet Windows Server 2003-tartományokban, ha rendelkeznek a Terminálszolgáltatások felhasználói jogosultságával.

   2. Kockázatos konfigurációk
      
      A következők káros konfigurációs beállítások:

      • Távolítsa el a felügyeleti biztonsági csoportokat, beleértve a fiókoperátorokat, a biztonsági mentési operátorokat, a nyomtatási operátorokat vagy a kiszolgálói operátorokat, valamint a beépített Rendszergazdák csoportot az alapértelmezett tartományvezérlő házirendjából.

      • Az összetevők és programok által a tagszámítógépeken és a tartomány tartományvezérlőin használt szolgáltatásfiókok eltávolítása az alapértelmezett tartományvezérlő házirendéből.

      • A tartomány tagszámítógépeinek konzoljára bejelentkező felhasználók vagy biztonsági csoportok eltávolítása.

      • A tagszámítógépek vagy munkacsoport-számítógépek helyi Biztonsági fiókok kezelőjének (SAM) adatbázisában meghatározott szolgáltatásfiókok eltávolítása.

      • A tartományvezérlőn futó terminálszolgáltatásokon hitelesítő nem beépített rendszergazdai fiókok eltávolítása.

      • A tartomány összes felhasználói fiókjának hozzáadása explicit módon vagy implicit módon a Mindenki csoporton keresztül a helyi bejelentkezés megtagadása jogosultsághoz. Ez a konfiguráció megakadályozza, hogy a felhasználók bejelentkezhessenek bármelyik tagszámítógépre vagy a tartomány tartományvezérlőire.

   3. A felhasználói jogosultság megadásának indokai

      • A felhasználóknak engedélyezniük kell a helyi felhasználó bejelentkezésének engedélyezése jogosultságot a munkacsoport számítógépének, tagszámítógépének vagy tartományvezérlőjének konzoljának vagy asztalának eléréséhez.

      • A felhasználóknak rendelkezniük kell ezzel a felhasználóval, hogy egy Windows 2000-alapú tagszámítógépen vagy tartományvezérlőn futó Terminálszolgáltatások munkameneten keresztül jelentkezzenek be.

   4. A felhasználói jogosultság eltávolításának okai

      • Ha nem korlátozza a konzol hozzáférését a jogosult felhasználói fiókokhoz, az azt eredményezheti, hogy a felhasználók rosszindulatú kódot töltenek le és hajtanak végre a felhasználói jogosultságaik módosítása érdekében.

      • A helyi felhasználói bejelentkezés engedélyezése jogosultság eltávolítása megakadályozza a jogosulatlan bejelentkezést a számítógépek konzoljain, például a tartományvezérlőkön vagy az alkalmazáskiszolgálókon.

      • A bejelentkezési jogosultság eltávolítása megakadályozza, hogy a tartomány tagszámítógépei konzolján ne jelentkezzenek be a nem tartományi fiókok.

   5. Példák kompatibilitási problémákra

      • Windows 2000 terminálkiszolgálók: A helyi felhasználói jogosultság engedélyezése szükséges ahhoz, hogy a felhasználók bejelentkezhessenek a Windows 2000 terminálkiszolgálóira.

      • Windows NT 4.0, Windows 2000, Windows XP vagy Windows Server 2003: A felhasználói fiókoknak jogosultságot kell biztosítani a felhasználónak a Windows NT 4.0, Windows 2000, Windows XP vagy Windows Server 2003 rendszert futtató számítógépek konzoljára való bejelentkezésre.

      • Windows NT 4.0 és újabb verziók: A Windows NT 4.0-s és újabb verzióit futtató számítógépeken, ha hozzáadja a Helyi bejelentkezés engedélyezése helyi felhasználói jogosultságot, de implicit módon vagy explicit módon engedélyezi a helyi bejelentkezés megtagadását, a fiókok nem fognak tudni bejelentkezni a tartományvezérlők konzoljára.

3. A bejárás ellenőrzésének megkerülése

   1. Háttér
      
      A bejárás-ellenőrző felhasználó megkerülési jogosultsága lehetővé teszi, hogy a felhasználó a Traverse mappa speciális hozzáférési engedélyének ellenőrzése nélkül tallózzon az NTFS fájlrendszer vagy a beállításjegyzék mappái között. A bejárás-ellenőrzési jogosultság megkerülése nem teszi lehetővé, hogy a felhasználó listázhassa egy mappa tartalmát. Ez lehetővé teszi, hogy a felhasználó csak a mappáit járja be.

   2. Kockázatos konfigurációk
      
      A következők káros konfigurációs beállítások:

      • Eltávolítja azokat a nem rendszergazdai fiókokat, amelyek bejelentkeznek a Windows 2000-alapú terminálszolgáltatások számítógépeire vagy a Windows Server 2003-alapú terminálszolgáltatások azon számítógépeire, amelyek nem rendelkeznek a fájlrendszer fájljainak és mappáinak elérésére vonatkozó engedélyekkel.

      • A Mindenki csoport eltávolítása azoknak a rendszerbiztonsági tagoknak a listájából, akik alapértelmezés szerint rendelkeznek ezzel a felhasználóval. A Windows operációs rendszerek és sok más program is azzal az elvárással lett kialakítva, hogy bárki, aki jogosultan hozzáfér a számítógéphez, rendelkezni fog a Bypass bejárás-ellenőrző felhasználói jogosultsággal. Ezért a Mindenki csoport eltávolítása azoknak a rendszerbiztonsági tagoknak a listájáról, akik alapértelmezés szerint rendelkeznek ezzel a felhasználóval, az operációs rendszer instabilitásához vagy programhiba kialakulásához vezethet. Jobb, ha ezt a beállítást az alapértelmezett értéken hagyja.

   3. A felhasználói jogosultság
      
      megadásának indokai A bejárás-ellenőrzési felhasználói jogosultság megkerülése alapértelmezett beállítás az, hogy bárki kihagyhassa a bejárás-ellenőrzést. Tapasztalt Windows-rendszergazdák esetén ez a várt viselkedés, és ennek megfelelően konfigurálják a fájlrendszer hozzáférés-vezérlési listáit (SACL-eket). Az alapértelmezett konfiguráció csak akkor vezethet hibahelyzethez, ha az engedélyeket konfiguráló rendszergazda nem érti a viselkedést, és azt várja, hogy a szülőmappához nem hozzáférő felhasználók nem fognak tudni hozzáférni a gyermekmappák tartalmához.

   4. A felhasználói jogosultság
      
      eltávolításának okai Ha meg szeretné akadályozni a hozzáférést a fájlrendszer fájljaihoz vagy mappáihoz, a biztonság szempontjából nagyon aggódó szervezetek csábíthatnak arra, hogy eltávolítsák a Mindenki csoportot, vagy akár a Felhasználók csoportot azon csoportok listájáról, amelyeknél a Bejárás megkerülése ellenőrző felhasználó jogosultsága van.

   5. Példák kompatibilitási problémákra

      • Windows 2000, Windows Server 2003: Ha a Windows 2000 vagy Windows Server 2003 rendszerű számítógépeken eltávolították vagy helytelenül konfigurálták a bejárás-ellenőrzési jogosultság megkerülése felhasználói jogosultságot, Csoportházirend SYVOL mappában lévő beállítások nem replikálódnak a tartomány tartományvezérlői között.

      • Windows 2000, Windows XP Professional, Windows Server 2003: A Windows 2000, a Windows XP Professional vagy a Windows Server 2003 rendszert futtató számítógépek 1000-es és 1202-es eseményeket naplóznak, és nem fognak tudni számítógépházirendet és felhasználói házirendet alkalmazni, ha a rendszer eltávolítja a szükséges fájlrendszerengedélyeket a SYSVOL-fából, ha a felhasználói jogosultság megkerülése ellenőrző jogosultságot eltávolítják vagy helytelenül konfigurálják.
        
         

      • Windows 2000, Windows Server 2003: Windows 2000 vagy Windows Server 2003 rendszert futtató számítógépeken a Windows Intéző Kvóta lapja eltűnik, amikor tulajdonságokat tekint meg egy köteten.

      • Windows 2000: A Windows 2000 terminálkiszolgálóra bejelentkező nem rendszergazdák a következő hibaüzenetet kaphatják:

        alkalmazáshiba Userinit.exe. Az alkalmazás inicializálása nem sikerült, 0xc0000142 kattintson az OK gombra az alkalmazás leállításához.

      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Azok a felhasználók, akiknek a számítógépein Windows NT 4.0, Windows 2000, Windows XP vagy Windows Server 2003 fut, előfordulhat, hogy nem tudnak hozzáférni a megosztott mappákban lévő megosztott mappákhoz vagy fájlokhoz, és "Hozzáférés megtagadva" hibaüzenetet kaphatnak, ha nem kapják meg a Felhasználó megkerülése ellenőrző jogosultságot.
        
        
         

      • Windows NT 4.0: Windows NT 4.0-alapú számítógépeken a bejárás-ellenőrzési felhasználói jogosultság megkerülése a fájlmásolás elvetéséhez vezet. Ha eltávolítja ezt a felhasználót, a Windows-ügyfélről vagy Macintosh-ügyfélről a Macintosh-szolgáltatásokat futtató Windows NT 4.0 tartományvezérlőre másolt fájlokat a célfájlfolyam elveszik, és a fájl csak szöveges fájlként jelenik meg.

      • Microsoft Windows 95, Microsoft Windows 98: Windows 95 vagy Windows 98 rendszerű ügyfélszámítógépen a net use * /home parancs "Hozzáférés megtagadva" hibaüzenettel hiúsul meg, ha a Hitelesített felhasználók csoport nem kapja meg a "Bypass traverse checking user" jogosultságot.

      • Outlook Web Access: A nem rendszergazdák nem fognak tudni bejelentkezni a Microsoft Outlook Web Accessbe, és "Hozzáférés megtagadva" hibaüzenetet kapnak, ha nem kapják meg a Bejárás megkerülése ellenőrző felhasználói jogosultságot.

Biztonsági beállítások

Az alábbi lista azonosítja a biztonsági beállításokat, a beágyazott lista pedig ismerteti a biztonsági beállítást, azonosítja azokat a konfigurációs beállításokat, amelyek problémákat okozhatnak, leírja, hogy miért érdemes alkalmazni a biztonsági beállítást, majd ismerteti a biztonsági beállítás eltávolításának okait. A beágyazott lista ezután szimbolikus nevet ad a biztonsági beállításnak és a biztonsági beállításjegyzék elérési útjának. Végül példákat is láthat a kompatibilitási problémákra, amelyek a biztonsági beállítás konfigurálásakor fordulhatnak elő.

1. Naplózás: A rendszer azonnali leállítása, ha nem sikerül naplózni a biztonsági naplókat

   1. Háttér

      • Naplózás: A rendszer azonnali leállítása, ha nem tud naplózni biztonsági naplózási beállítást, meghatározza, hogy a rendszer leáll-e, ha nem tud biztonsági eseményeket naplózni. Ez a beállítás szükséges a megbízható számítógép-biztonsági kiértékelési feltételek (TCSEC) program C2-kiértékeléséhez, valamint az információtechnológiai biztonsági értékelés általános feltételeihez, hogy megakadályozza a naplózható eseményeket, ha a naplózási rendszer nem tudja naplózni ezeket az eseményeket. Ha a naplózási rendszer meghibásodik, a rendszer leáll, és egy Leállítás hibaüzenet jelenik meg.

      • Ha a számítógép nem tudja rögzíteni az eseményeket a biztonsági naplóban, előfordulhat, hogy egy biztonsági incidens után nem állnak rendelkezésre kritikus fontosságú bizonyítékok vagy fontos hibaelhárítási információk.

   2. Kockázatos konfiguráció
      
      A következő egy káros konfigurációs beállítás: A Naplózás: A rendszer azonnali leállítása, ha be van kapcsolva a biztonsági naplózási beállítások naplózása, és a biztonsági eseménynapló méretét az Események felülírásának tiltása (manuális naplózás törlése) beállítás, az Események felülírása szükség szerint beállítás, vagy a több napnál régebbi események felülírása beállítás korlátozza eseménymegtekintő. A Windows 2000, a Windows 2000 Service Pack 1 (SP1), a Windows 2000 SP1, a Windows 2000 SP2 vagy a Windows 2000 SP3 eredeti kiadását futtató számítógépekre vonatkozó konkrét kockázatokról a "Példák kompatibilitási problémákra" című szakaszban olvashat.

   3. A beállítás
      
      engedélyezésének okai Ha a számítógép nem tudja rögzíteni az eseményeket a biztonsági naplóban, előfordulhat, hogy egy biztonsági incidens után nem állnak rendelkezésre kritikus fontosságú bizonyítékok vagy fontos hibaelhárítási információk.

   4. A beállítás letiltásának okai

      • A naplózás engedélyezése: A rendszer azonnali leállítása, ha nem lehet naplózni a biztonsági naplózási beállításokat, leállítja a rendszert, ha valamilyen okból nem lehet naplózni egy biztonsági auditot. Az eseményeket általában nem lehet naplózni, ha a biztonsági napló megtelt, és ha a megadott adatmegőrzési módszere az Események felülírásának tiltása (napló törlése manuálisan) vagy a Több napnál régebbi események felülírása beállítás.

      • A naplózás engedélyezésének adminisztratív terhe: A rendszer azonnali leállítása, ha nem sikerül naplózni a biztonsági naplók beállítását, nagyon magas lehet, különösen akkor, ha bekapcsolja az Események felülírásának tiltása (manuális naplózás törlése) beállítást is. Ez a beállítás biztosítja az operátori műveletek egyedi elszámoltathatóságát. Egy rendszergazda például visszaállíthatja az engedélyeket egy szervezeti egység (OU) minden olyan felhasználójára, számítógépére és csoportjára, ahol a naplózás a beépített rendszergazdai fiókkal vagy más megosztott fiókkal engedélyezve lett, majd megtagadhatja, hogy visszaállítsa ezeket az engedélyeket. A beállítás engedélyezése azonban csökkenti a rendszer robusztusságát, mivel előfordulhat, hogy a kiszolgálót le kell állítania a bejelentkezési események és a biztonsági naplóba írt egyéb biztonsági események túlterhelésével. Emellett, mivel a leállítás nem szabályos, helyrehozhatatlan károkat okozhat az operációs rendszer, a programok vagy az adatok. Bár az NTFS garantálja a fájlrendszer integritásának megőrzését a rendszer nem biztonságos leállítása során, nem garantálja, hogy minden program minden adatfájlja használható formában lesz a rendszer újraindításakor.

   5. Szimbolikus név:
      
      CrashOnAuditFail

   6. Beállításjegyzék elérési útja:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

   7. Példák kompatibilitási problémákra

      • Windows 2000: Egy hiba miatt előfordulhat, hogy a Windows 2000, a Windows 2000 SP1, a Windows 2000 SP2 vagy a Windows Server SP3 eredeti kiadott verzióját futtató számítógépek leállítják a naplózási eseményeket, mielőtt elérik a biztonsági eseménynapló Maximális naplóméret beállításában megadott méretet. Ezt a hibát a Windows 2000 Service Pack 4 (SP4) szervizcsomagban javítottuk. A beállítás engedélyezése előtt győződjön meg arról, hogy a Windows 2000 tartományvezérlőien telepítve van a Windows 2000 Service Pack 4.
        
         

      • Windows 2000, Windows Server 2003: A Windows 2000 vagy Windows Server 2003 rendszert futtató számítógépek nem válaszolnak, majd spontán módon újraindulhatnak, ha a Naplózás: A rendszer azonnali leállítása, ha a biztonsági naplózási beállítás be van kapcsolva, a biztonsági napló megtelt, és a meglévő eseménynapló-bejegyzés nem írható felül. Amikor a számítógép újraindul, a következő leállítási hibaüzenet jelenik meg:

        LEÁLLÍTÁS: C0000244 {Sikertelen naplózás}
        A biztonsági naplózás létrehozására tett kísérlet sikertelen volt.

        A helyreállításhoz a rendszergazdának be kell jelentkeznie, archiválnia kell a biztonsági naplót (nem kötelező), törölnie kell a biztonsági naplót, majd alaphelyzetbe kell állítania ezt a beállítást (nem kötelező és szükség szerint).

      • Microsoft Network Client for MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: A tartományba bejelentkezni próbáló nem rendszergazdák a következő hibaüzenetet kapják:

        A fiókja úgy van konfigurálva, hogy megakadályozza a számítógép használatát. Próbálkozzon egy másik számítógéppel.

      • Windows 2000: A Windows 2000-alapú számítógépeken a nem rendszergazdák nem fognak tudni bejelentkezni a távelérési kiszolgálókra, és az alábbihoz hasonló hibaüzenetet kapnak:

        Ismeretlen felhasználó vagy rossz jelszó

      • Windows 2000: Windows 2000 rendszerű tartományvezérlők esetén a helyek közötti üzenetküldési szolgáltatás (Ismserv.exe) leáll, és nem indítható újra. A DCDIAG a hibát "failed test services ISMserv" néven jelenti, és az eseménynaplóban az 1083-as eseményazonosító lesz regisztrálva.

      • Windows 2000: Windows 2000 rendszerű tartományvezérlők esetén az Active Directory replikációja sikertelen lesz, és "Hozzáférés megtagadva" üzenet jelenik meg, ha a biztonsági eseménynapló megtelt.

      • Microsoft Exchange 2000: Az Exchange 2000-et futtató kiszolgálók nem fogják tudni csatlakoztatni az információstár-adatbázist, és a 2102-as esemény regisztrálva lesz az eseménynaplóban.

      • Outlook, Outlook Web Access: A nem rendszergazdák nem férhetnek hozzá leveleikhez a Microsoft Outlookon vagy a Microsoft Outlook Web Accessen keresztül, és 503-at jelző hibaüzenetet kapnak.

2. Tartományvezérlő: LDAP-kiszolgáló aláírási követelményei

   1. Háttér
      
      A tartományvezérlő: AZ LDAP-kiszolgáló aláírási követelményeinek biztonsági beállítása határozza meg, hogy az LDAP-kiszolgáló megköveteli-e az LDAP-ügyfelektől az adataláírás egyeztetését. A házirend-beállítás lehetséges értékei a következők:

      • Nincs: A kiszolgálóhoz való kötéshez nincs szükség adataláírásra. Ha az ügyfél adataláírást kér, a kiszolgáló támogatja azt.

      • Aláírás megkövetelése: Az LDAP-adataláírási lehetőséget egyeztetni kell, kivéve, ha Transport Layer Security/Secure Socket Layer (TLS/SSL) van használatban.

      • nincs definiálva: Ez a beállítás nincs engedélyezve vagy letiltva.

   2. Kockázatos konfigurációk
      
      A következők káros konfigurációs beállítások:

      • Bejelentkezés megkövetelése olyan környezetekben, ahol az ügyfelek nem támogatják az LDAP-aláírást, vagy ha az ügyféloldali LDAP-aláírás nincs engedélyezve az ügyfélen

      • A Windows 2000 vagy a Windows Server 2003 Hisecdc.inf biztonsági sablon alkalmazása olyan környezetekben, ahol az ügyfelek nem támogatják az LDAP-aláírást, vagy ha az ügyféloldali LDAP-aláírás nincs engedélyezve

      • A Windows 2000 vagy a Windows Server 2003 Hisecws.inf biztonsági sablon alkalmazása olyan környezetekben, ahol az ügyfelek nem támogatják az LDAP-aláírást, vagy ha az ügyféloldali LDAP-aláírás nincs engedélyezve

   3. A beállítás
      
      engedélyezésének okai Az aláíratlan hálózati forgalom olyan közbeékelődéses támadásokra hajlamos, amikor egy behatoló csomagokat rögzít az ügyfél és a kiszolgáló között, módosítja a csomagokat, majd továbbítja őket a kiszolgálónak. Ha ez a viselkedés egy LDAP-kiszolgálón fordul elő, a támadók olyan döntéseket hozhatnak, amelyek az LDAP-ügyfél hamis lekérdezései alapján történnek. A vállalati hálózatokban csökkentheti ezt a kockázatot, ha erős fizikai biztonsági intézkedéseket vezet be a hálózati infrastruktúra védelme érdekében. Az IPSec-hitelesítés fejlécmódja segíthet megelőzni a közbeeső támadásokat. A hitelesítési fejléc mód kölcsönös hitelesítést és csomagintegritást biztosít az IP-forgalom számára.

   4. A beállítás letiltásának okai

      • Azok az ügyfelek, amelyek nem támogatják az LDAP-aláírást, nem fognak tudni LDAP-lekérdezéseket végrehajtani a tartományvezérlők és a globális katalógusok ellen, ha az NTLM-hitelesítés egyeztetése folyamatban van, és ha a megfelelő szervizcsomagok nincsenek telepítve a Windows 2000 tartományvezérlőkre.

      • Az ügyfelek és kiszolgálók közötti LDAP-forgalom hálózati nyomkövetései titkosítva lesznek. Ez megnehezíti az LDAP-beszélgetések vizsgálatát.

      • A Windows 2000-alapú kiszolgálóknak Windows 2000 Service Pack 3 (SP3) szervizcsomaggal kell rendelkezniük, vagy telepíteniük kell őket, ha olyan programokkal felügyelik őket, amelyek támogatják a Windows 2000 SP4, Windows XP vagy Windows Server 2003 rendszert futtató ügyfélszámítógépeken futó LDAP-aláírást.  

   5. Szimbolikus név:
      
      LDAPServerIntegrity

   6. Beállításjegyzék elérési útja:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

   7. Példák kompatibilitási problémákra

      • Az egyszerű kötések sikertelenek lesznek, és a következő hibaüzenet jelenik meg:

        Ldap_simple_bind_s() sikertelen: Erős hitelesítés szükséges.

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Windows 2000 SP4, Windows XP vagy Windows Server 2003 rendszert futtató ügyfeleken egyes Active Directory felügyeleti eszközök nem működnek megfelelően a Windows 2000 SP3-nál korábbi Windows 2000-verziót futtató tartományvezérlőken, ha az NTLM-hitelesítés egyeztetése folyamatban van.
        
         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: A Windows 2000 SP4, Windows XP vagy Windows Server 2003 rendszerű ügyfeleken egyes Active Directory felügyeleti eszközök, amelyek a Windows 2000 SP3-nál korábbi verziókat futtató tartományvezérlőket célják, nem fognak megfelelően működni, ha IP-címeket használnak (például: "dsa.msc /server=x.x.x.x", ahol
        az x.x.x.x egy IP-cím).
        
        
         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: A Windows 2000 SP4, Windows XP vagy Windows Server 2003 rendszert futtató ügyfeleken egyes Active Directory felügyeleti eszközök, amelyek a Windows 2000 SP3-nál korábbi verziókat futtató tartományvezérlőket célják, nem fognak megfelelően működni.
        
         

3. Tartományi tag: Erős (Windows 2000 vagy újabb) munkamenetkulcs megkövetelése

   1. Háttér

      • A Tartománytag: Erős (Windows 2000 vagy újabb) munkamenetkulcs-beállítás megkövetelése határozza meg, hogy biztonságos csatorna létesíthető-e olyan tartományvezérlővel, amely nem képes erős, 128 bites munkamenetkulccsal titkosítani a biztonságos csatorna forgalmát. Ennek a beállításnak az engedélyezése megakadályozza, hogy biztonságos csatornát hozzon létre minden olyan tartományvezérlővel, amely nem képes erős kulccsal titkosítani a biztonságos csatornaadatokat. A beállítás letiltása lehetővé teszi a 64 bites munkamenetkulcsok használatát.

      • Ahhoz, hogy ezt a beállítást tag munkaállomáson vagy kiszolgálón engedélyezhesse, a tartomány minden olyan tartományvezérlőjének, amelyhez a tag tartozik, képesnek kell lennie a biztonságos csatornaadatok erős, 128 bites kulccsal történő titkosítására. Ez azt jelenti, hogy az összes ilyen tartományvezérlőnek Windows 2000 vagy újabb rendszert kell futtatnia.

   2. Kockázatos konfiguráció
      
      A tartománytag engedélyezése: Az erős (Windows 2000 vagy újabb) munkamenetkulcs-beállítás megkövetelése káros konfigurációs beállítás.

   3. A beállítás engedélyezésének okai

      • A tagszámítógépek és a tartományvezérlők közötti biztonságos csatornakommunikáció kialakításához használt munkamenetkulcsok sokkal erősebbek a Windows 2000 rendszerben, mint a Microsoft operációs rendszerek korábbi verzióiban.

      • Ha lehetséges, érdemes kihasználni ezeket az erősebb munkamenetkulcsokat, hogy megvédje a biztonságos csatorna kommunikációját a lehallgatástól és a munkamenet-eltérítési hálózati támadásoktól. A lehallgatás rosszindulatú támadások egyik formája, amely során a hálózati adatokat beolvasják vagy az átvitel során módosítják. Az adatok módosíthatók úgy, hogy elrejtsék vagy módosítsák a feladót, vagy átirányítsák azokat.

      Fontos: A Windows Server 2008 R2 vagy Windows 7 rendszert futtató számítógépek csak erős kulcsokat támogatnak, ha biztonságos csatornákat használnak. Ez a korlátozás megakadályozza a Megbízhatósági kapcsolatot bármely Windows NT 4.0-alapú tartomány és bármely Windows Server 2008 R2-alapú tartomány között. Emellett ez a korlátozás letiltja a Windows 7 vagy Windows Server 2008 R2 rendszert futtató számítógépek Windows NT 4.0-alapú tartományi tagságát, és fordítva.

   4. A beállítás
      
      letiltásának okai A tartomány olyan tagszámítógépeket tartalmaz, amelyek nem Windows 2000, Windows XP vagy Windows Server 2003 operációs rendszert futtatnak.

   5. Szimbolikus név:
      
      StrongKey

   6. Beállításjegyzék elérési útja:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

   7. Példák kompatibilitási problémákra
      
      Windows NT 4.0: A Windows NT 4.0-alapú számítógépeken az NLTEST-t használó Windows NT 4.0 és Windows 2000 rendszerű tartományok közötti megbízhatósági kapcsolatok biztonságos csatornáinak alaphelyzetbe állítása sikertelen. Megjelenik a "Hozzáférés megtagadva" hibaüzenet:

      Az elsődleges tartomány és a megbízható tartomány közötti megbízhatósági kapcsolat nem sikerült.
      
      Windows 7 és Server 2008 R2: A Windows 7 és újabb verziók, valamint a Windows Server 2008 R2 és újabb verziók esetében ezt a beállítást a rendszer már nem veszi figyelembe, és mindig az erős kulcsot használja. Emiatt a Windows NT 4.0-tartományokkal való megbízhatóság nem működik tovább.

4. Tartományi tag: Biztonságos csatornaadatok digitális titkosítása vagy aláírása (mindig)

   1. Háttér

      • Tartományi tag engedélyezése: A biztonságos csatornaadatok digitális titkosítása vagy aláírása (mindig) megakadályozza, hogy biztonságos csatornát hozzon létre bármely olyan tartományvezérlővel, amely nem tud aláírni vagy titkosítani minden biztonságos csatornaadatot. A közbeiktetett támadások, a visszajátszásos támadások és más típusú hálózati támadások hitelesítési forgalmának védelme érdekében a Windows-alapú számítógépek létrehoznak egy kommunikációs csatornát, amelyet biztonságos csatornának neveznek a Net Logon szolgáltatáson keresztül a számítógépfiókok hitelesítéséhez. A biztonságos csatornák akkor is használatosak, ha egy adott tartományban lévő felhasználó egy távoli tartományban lévő hálózati erőforráshoz csatlakozik. Ez a többtartományos hitelesítés vagy átmenő hitelesítés lehetővé teszi, hogy egy tartományhoz csatlakozó Windows-alapú számítógép hozzáférhessen a tartományában lévő felhasználóifiók-adatbázishoz és bármely megbízható tartományhoz.

      • A tartományi tag engedélyezéséhez: A biztonságos csatornaadatok digitális titkosítása vagy aláírása (mindig) beállítás egy tagszámítógépen, a taghoz tartozó tartomány összes tartományvezérlőjének képesnek kell lennie az összes biztonságos csatornaadat aláírására vagy titkosítására. Ez azt jelenti, hogy az összes ilyen tartományvezérlőnek a Windows NT 4.0-t kell futtatnia Service Pack 6a (SP6a) vagy újabb verzióval.

      • A Tartománytag engedélyezése: A biztonságos csatornaadatok digitális titkosítása vagy aláírása (mindig) beállítás automatikusan engedélyezi a tartománytagot: A biztonságos csatornaadatok digitális titkosítása vagy aláírása (ha lehetséges).

   2. Kockázatos konfiguráció
      
      A tartománytag engedélyezése: A biztonságos csatornaadatok digitális titkosítása vagy aláírása (mindig) beállítás olyan tartományokban, ahol nem minden tartományvezérlő tud aláírni vagy titkosítani biztonságos csatornaadatokat, káros konfigurációs beállítás.

   3. A beállítás
      
      engedélyezésének okai Az aláíratlan hálózati forgalom ki van téve a közbeékelődéses támadásoknak, ahol a behatoló rögzíti a kiszolgáló és az ügyfél közötti csomagokat, majd módosítja őket, mielőtt továbbítja őket az ügyfélnek. Ha ez a viselkedés egy LDAP-kiszolgálón fordul elő, a betolakodó olyan döntéseket hozhat, amelyek az LDAP-címtár hamis rekordjaira épülnek. Csökkentheti a vállalati hálózatra irányuló ilyen támadások kockázatát, ha erős fizikai biztonsági intézkedéseket vezet be a hálózati infrastruktúra védelme érdekében. Emellett az IPSec-hitelesítés fejlécmódjának implementálása segíthet megelőzni a közbeeső támadásokat. Ez a mód kölcsönös hitelesítést és csomagintegritást biztosít az IP-forgalom számára.

   4. A beállítás letiltásának okai

      • A helyi vagy külső tartományok számítógépei támogatják a titkosított biztonságos csatornákat.

      • A tartomány nem minden tartományvezérlője rendelkezik a megfelelő szervizcsomag-változatszintekkel a titkosított biztonságos csatornák támogatásához.

   5. Szimbolikus név:
      
      StrongKey

   6. Beállításjegyzék elérési útja:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

   7. Példák kompatibilitási problémákra

      • Windows NT 4.0: A Windows 2000-alapú tagszámítógépek nem tudnak csatlakozni a Windows NT 4.0-tartományokhoz, és a következő hibaüzenet jelenik meg:

        A fiók nem jogosult az állomásról való bejelentkezésre.

        További információért kattintson a következő cikkszámra a cikk Microsoft Tudásbázisban való megtekintéséhez:

        281648 Hibaüzenet: A fiók nem jogosult a bejelentkezésre erről az állomásról
         

      • Windows NT 4.0: A Windows NT 4.0-tartományok nem tudnak alacsonyabb szintű megbízhatósági kapcsolatot létesíteni a Windows 2000-tartományokkal, és a következő hibaüzenet jelenik meg:

        A fiók nem jogosult az állomásról való bejelentkezésre.

        Előfordulhat, hogy a meglévő alacsonyabb szintű megbízhatósági kapcsolatok szintén nem hitelesítik a megbízható tartományból származó felhasználókat. Előfordulhat, hogy egyes felhasználók nem tudnak bejelentkezni a tartományba, és hibaüzenet jelenhet meg, amely szerint az ügyfél nem találja a tartományt.

      • Windows XP: A Windows NT 4.0-tartományokhoz csatlakoztatott Windows XP-ügyfelek nem tudják hitelesíteni a bejelentkezési kísérleteket, és a következő hibaüzenet jelenhet meg, vagy az alábbi események regisztrálhatók az eseménynaplóban:

        A Windows nem tud csatlakozni a tartományhoz, mert a tartományvezérlő nem működik vagy más módon nem érhető el, vagy mert a számítógépfiók nem található

      • Microsoft Network: A Microsoft Network-ügyfelek a következő hibaüzenetek egyikét kapják:

        Bejelentkezési hiba: ismeretlen felhasználónév vagy rossz jelszó.

        A megadott bejelentkezési munkamenethez nincs felhasználói munkamenet-kulcs.

5. Microsoft hálózati ügyfél: Kommunikáció digitális aláírása (mindig)

   1. Háttér
      
      A Kiszolgálói üzenetblokk (SMB) az erőforrás-megosztási protokoll, amelyet számos Microsoft operációs rendszer támogat. Ez a hálózati alapszintű bemeneti/kimeneti rendszer (NetBIOS) és számos más protokoll alapja. Az SMB-aláírás a felhasználót és az adatokat tároló kiszolgálót is hitelesíti. Ha mindkét oldal meghibásodik a hitelesítési folyamat során, az adatátvitel nem történik meg.
      
      Az SMB-aláírás engedélyezése az SMB protokoll egyeztetése során kezdődik. Az SMB-aláírási házirendek határozzák meg, hogy a számítógép mindig digitálisan aláírja-e az ügyfélkommunikációt.
      
      A Windows 2000 SMB hitelesítési protokoll támogatja a kölcsönös hitelesítést. A kölcsönös hitelesítés lezár egy "közbeékelt" támadást. A Windows 2000 SMB hitelesítési protokoll az üzenethitelesítést is támogatja. Az üzenethitelesítés segít megelőzni az aktív üzenettámadásokat. A hitelesítéshez az SMB-aláírás digitális aláírást helyez el minden SMB-ben. Az ügyfél és a kiszolgáló ellenőrzi a digitális aláírást.
      
      Az SMB-aláírás használatához engedélyeznie kell az SMB-aláírást, vagy SMB-aláírást kell igényelnie az SMB-ügyfélen és az SMB-kiszolgálón is. Ha az SMB-aláírás engedélyezve van egy kiszolgálón, az SMB-aláíráshoz is engedélyezett ügyfelek a csomagaláírási protokollt használják az összes későbbi munkamenet során. Ha egy kiszolgálón SMB-aláírásra van szükség, az ügyfél csak akkor tud munkamenetet létesíteni, ha engedélyezve van vagy szükséges az SMB-aláíráshoz.
      
      
      A magas biztonsági szintű hálózatokban való digitális aláírás lehetővé tétele segít megakadályozni az ügyfelek és a kiszolgálók megszemélyesítését. Ezt a megszemélyesítést munkamenet-eltérítésnek nevezik. Egy támadó, aki ugyanahhoz a hálózathoz fér hozzá, mint az ügyfél vagy a kiszolgáló, munkamenet-eltérítő eszközöket használ a folyamatban lévő munkamenet megszakításához, befejezéséhez vagy ellopásához. A támadó elfoghatja és módosíthatja az aláíratlan SMB-csomagokat, módosíthatja a forgalmat, majd továbbíthatja, hogy a kiszolgáló nemkívánatos műveleteket hajtson végre. Vagy a támadó kiszolgálóként vagy ügyfélként is jelenthet egy megbízható hitelesítést követően, majd jogosulatlan hozzáférést kaphat az adatokhoz.
      
      A Windows 2000 Server, Windows 2000 Professional, Windows XP Professional vagy Windows Server 2003 rendszert futtató számítógépeken a fájlmegosztáshoz és a nyomtatásmegosztáshoz használt SMB protokoll támogatja a kölcsönös hitelesítést. A kölcsönös hitelesítés lezárja a munkamenet-eltérítési támadásokat, és támogatja az üzenetek hitelesítését. Ezért megakadályozza az ember-in-the-middle támadásokat. Az SMB-aláírás ezt a hitelesítést úgy biztosítja, hogy minden SMB-ben digitális aláírást helyez el. Az ügyfél és a kiszolgáló ezután ellenőrzi az aláírást.
      
      Megjegyzések

      • Alternatív ellenintézkedésekként engedélyezheti az IPSec protokollal rendelkező digitális aláírásokat az összes hálózati forgalom védelme érdekében. Léteznek hardveralapú gyorsítók az IPSec-titkosításhoz és -aláíráshoz, amelyekkel minimalizálható a kiszolgáló processzorára gyakorolt teljesítményre gyakorolt hatás. Az SMB-aláíráshoz nincsenek ilyen gyorsítók.
        
        További információt a Microsoft MSDN webhelyén, a Kiszolgáló digitális aláírása című fejezetben talál.
        
        Konfigurálja az SMB-aláírást Csoportházirend Object Editor használatával, mert a helyi beállításjegyzék-érték módosítása nincs hatással, ha felülíró tartományi házirend van érvényben.

      • A Windows 95, a Windows 98 és a Windows 98 Second Edition rendszerben a Címtárszolgáltatás-ügyfél SMB-aláírást használ, amikor NTLM-hitelesítéssel hitelesíti magát a Windows Server 2003-kiszolgálókkal. Ezek az ügyfelek azonban nem használnak SMB-aláírást, amikor NTLMv2-hitelesítéssel hitelesítik magukat ezekkel a kiszolgálókkal. Emellett a Windows 2000-kiszolgálók nem válaszolnak az ügyfelektől érkező SMB-aláírási kérésekre. További információ: 10. elem: "Hálózati biztonság: Lan Manager hitelesítési szint".

   2. Kockázatos konfiguráció
      
      A következő egy káros konfigurációs beállítás: A Microsoft hálózati ügyfélprogramjának elhagyása: A kommunikáció digitális aláírása (mindig) és a Microsoft hálózati ügyfél: A kommunikáció digitális aláírása (ha a kiszolgáló egyetért) beállítása "Nincs meghatározva" vagy letiltva. Ezek a beállítások lehetővé teszik, hogy az átirányító egyszerű szöveges jelszavakat küldjön a nem Microsoft SMB-kiszolgálókra, amelyek nem támogatják a jelszótitkosítást a hitelesítés során.

   3. A beállítás
      
      engedélyezésének okai A Microsoft hálózati ügyfél engedélyezése: A kommunikáció digitális aláírása (mindig) megköveteli, hogy az ügyfelek aláírják az SMB-forgalmat, amikor az SMB-aláírást nem igénylő kiszolgálókkal lépnek kapcsolatba. Ez kevésbé teszi sebezhetővé az ügyfeleket a munkamenet-eltérítési támadásokkal szemben.

   4. A beállítás letiltásának okai

      • A Microsoft hálózati ügyfél engedélyezése: A digitális aláírással történő kommunikáció (mindig) megakadályozza, hogy az ügyfelek kommunikálhassanak az SMB-aláírást nem támogató célkiszolgálókkal.

      • Ha úgy konfigurálja a számítógépeket, hogy figyelmen kívül hagyják az összes aláíratlan SMB-kommunikációt, az megakadályozza a korábbi programok és operációs rendszerek csatlakozását.

   5. Szimbolikus név:
      
      RequireSMBSignRdr

   6. Beállításjegyzék elérési útja:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

   7. Példák kompatibilitási problémákra

      • Windows NT 4.0: Az NLTEST vagy a NETDOM használatával nem állíthatja vissza a Megbízható kapcsolat biztonságos csatornáját egy Windows Server 2003-tartomány és egy Windows NT 4.0-tartomány között, és "Hozzáférés megtagadva" hibaüzenet jelenik meg.

      • Windows XP: A Fájlok másolása Windows XP-ügyfelekről Windows 2000-alapú kiszolgálókra és Windows Server 2003-alapú kiszolgálókra több időt vehet igénybe.

      • Ezzel a beállítással nem tud hálózati meghajtót leképezni egy ügyfélről, és a következő hibaüzenet jelenik meg:

        A fiók nem jogosult az állomásról való bejelentkezésre.

   8. Újraindítási követelmények
      
      Indítsa újra a számítógépet, vagy indítsa újra a Workstation szolgáltatást. Ehhez írja be a következő parancsokat egy parancssorba. Az egyes parancsok beírása után nyomja le az Enter billentyűt.

      net stop workstation
      net start workstation

6. Microsoft hálózati kiszolgáló: Kommunikáció digitális aláírása (mindig)

   1. Háttér

      • A Server Messenger Block (SMB) az erőforrás-megosztási protokoll, amelyet számos Microsoft operációs rendszer támogat. Ez a hálózati alapszintű bemeneti/kimeneti rendszer (NetBIOS) és számos más protokoll alapja. Az SMB-aláírás a felhasználót és az adatokat tároló kiszolgálót is hitelesíti. Ha mindkét oldal meghibásodik a hitelesítési folyamat során, az adatátvitel nem történik meg.
        
        Az SMB-aláírás engedélyezése az SMB protokoll egyeztetése során kezdődik. Az SMB-aláírási házirendek határozzák meg, hogy a számítógép mindig digitálisan aláírja-e az ügyfélkommunikációt.
        
        A Windows 2000 SMB hitelesítési protokoll támogatja a kölcsönös hitelesítést. A kölcsönös hitelesítés lezár egy "közbeékelt" támadást. A Windows 2000 SMB hitelesítési protokoll az üzenethitelesítést is támogatja. Az üzenethitelesítés segít megelőzni az aktív üzenettámadásokat. A hitelesítéshez az SMB-aláírás digitális aláírást helyez el minden SMB-ben. Az ügyfél és a kiszolgáló ellenőrzi a digitális aláírást.
        
        Az SMB-aláírás használatához engedélyeznie kell az SMB-aláírást, vagy SMB-aláírást kell igényelnie az SMB-ügyfélen és az SMB-kiszolgálón is. Ha az SMB-aláírás engedélyezve van egy kiszolgálón, az SMB-aláíráshoz is engedélyezett ügyfelek a csomagaláírási protokollt használják az összes későbbi munkamenet során. Ha egy kiszolgálón SMB-aláírásra van szükség, az ügyfél csak akkor tud munkamenetet létesíteni, ha engedélyezve van vagy szükséges az SMB-aláíráshoz.
        
        
        A magas biztonsági szintű hálózatokban való digitális aláírás lehetővé tétele segít megakadályozni az ügyfelek és a kiszolgálók megszemélyesítését. Ezt a megszemélyesítést munkamenet-eltérítésnek nevezik. Egy támadó, aki ugyanahhoz a hálózathoz fér hozzá, mint az ügyfél vagy a kiszolgáló, munkamenet-eltérítő eszközöket használ a folyamatban lévő munkamenet megszakításához, befejezéséhez vagy ellopásához. A támadó elfoghatja és módosíthatja az aláíratlan SBM-csomagokat, módosíthatja a forgalmat, majd továbbíthatja őket, hogy a kiszolgáló nemkívánatos műveleteket hajtson végre. Vagy a támadó kiszolgálóként vagy ügyfélként is jelenthet egy megbízható hitelesítést követően, majd jogosulatlan hozzáférést kaphat az adatokhoz.
        
        A Windows 2000 Server, Windows 2000 Professional, Windows XP Professional vagy Windows Server 2003 rendszert futtató számítógépeken a fájlmegosztáshoz és a nyomtatásmegosztáshoz használt SMB protokoll támogatja a kölcsönös hitelesítést. A kölcsönös hitelesítés lezárja a munkamenet-eltérítési támadásokat, és támogatja az üzenetek hitelesítését. Ezért megakadályozza az ember-in-the-middle támadásokat. Az SMB-aláírás ezt a hitelesítést úgy biztosítja, hogy minden SMB-ben digitális aláírást helyez el. Az ügyfél és a kiszolgáló ezután ellenőrzi az aláírást.

      • Alternatív ellenintézkedésekként engedélyezheti az IPSec protokollal rendelkező digitális aláírásokat az összes hálózati forgalom védelme érdekében. Léteznek hardveralapú gyorsítók az IPSec-titkosításhoz és -aláíráshoz, amelyekkel minimalizálható a kiszolgáló processzorára gyakorolt teljesítményre gyakorolt hatás. Az SMB-aláíráshoz nincsenek ilyen gyorsítók.

      • A Windows 95, a Windows 98 és a Windows 98 Second Edition rendszerben a Címtárszolgáltatás-ügyfél SMB-aláírást használ, amikor NTLM-hitelesítéssel hitelesíti magát a Windows Server 2003-kiszolgálókkal. Ezek az ügyfelek azonban nem használnak SMB-aláírást, amikor NTLMv2-hitelesítéssel hitelesítik magukat ezekkel a kiszolgálókkal. Emellett a Windows 2000-kiszolgálók nem válaszolnak az ügyfelektől érkező SMB-aláírási kérésekre. További információ: 10. elem: "Hálózati biztonság: Lan Manager hitelesítési szint".

   2. Kockázatos konfiguráció
      
      A következő egy káros konfigurációs beállítás: A Microsoft hálózati kiszolgáló engedélyezése: A kommunikáció digitális aláírása (mindig) beállítás azon kiszolgálókon és tartományvezérlőkön, amelyeket nem kompatibilis Windows-alapú számítógépek és külső operációsrendszer-alapú ügyfélszámítógépek érnek el helyi vagy külső tartományokban.

   3. A beállítás engedélyezésének okai

      • Minden olyan ügyfélszámítógép támogatja az SMB-aláírást, amely közvetlenül a beállításjegyzéken vagy a Csoportházirend beállításon keresztül engedélyezi ezt a beállítást. Más szóval az összes olyan ügyfélszámítógép, amelyen engedélyezve van ez a beállítás, vagy a Windows 95 rendszert futtatja, amelyen telepítve van a DS-ügyfél, a Windows 98, a Windows NT 4.0, a Windows 2000, a Windows XP Professional vagy a Windows Server 2003.

      • Ha a Microsoft hálózati kiszolgáló: A digitális aláírás kommunikációja (mindig) le van tiltva, az SMB-aláírás teljesen le van tiltva. Az összes SMB-aláírás teljes letiltása sebezhetőbbé teszi a számítógépeket a munkamenet-eltérítési támadásokkal szemben.

   4. A beállítás letiltásának okai

      • A beállítás engedélyezése lassabb fájlmásolást és hálózati teljesítményt okozhat az ügyfélszámítógépeken.

      • A beállítás engedélyezése megakadályozza, hogy azok az ügyfelek, amelyek nem tudnak SMB-aláírást egyeztetni, ne kommunikáljanak a kiszolgálókkal és a tartományvezérlőkkel. Ez olyan műveleteket okoz, mint a tartományhoz való csatlakozás, a felhasználó- és számítógép-hitelesítés, vagy a programok hálózati hozzáférése.

   5. Szimbolikus név:
      
      RequireSMBSignServer

   6. Beállításjegyzék elérési útja:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

   7. Példák kompatibilitási problémákra

      • Windows 95: Azok a Windows 95-ügyfelek, amelyeken nincs telepítve a Címtárszolgáltatások (DS) ügyfélprogram, sikertelen lesz a bejelentkezés, és a következő hibaüzenet jelenik meg:

        A megadott tartományi jelszó helytelen, vagy a bejelentkezési kiszolgálóhoz való hozzáférés megtagadva.

      • Windows NT 4.0: Azok az ügyfélszámítógépek, amelyek a 3. szervizcsomagnál (SP3) korábbi Windows NT 4.0-s verziót futtatják, sikertelen lesz a bejelentkezés, és a következő hibaüzenet jelenik meg:

        A rendszer nem tudott bejelentkezni. Ellenőrizze, hogy helyes-e a felhasználóneve és a tartománya, majd írja be újra a jelszót.

        Egyes nem Microsoft SMB-kiszolgálók csak a titkosítatlan jelszócseréket támogatják a hitelesítés során. (Ezek a csereprogramok "egyszerű szöveges" csereként is ismertek.) A Windows NT 4.0 SP3 és újabb verziók esetében az SMB-átirányító nem küld titkosítatlan jelszót a hitelesítés során az SMB-kiszolgálónak, hacsak nem ad hozzá egy adott beállításjegyzék-bejegyzést.
        Ha titkosítatlan jelszavakat szeretne engedélyezni az SMB-ügyfél számára a Windows NT 4.0 SP 3 és újabb rendszereken, módosítsa a beállításjegyzéket a következőképpen: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        
        Érték neve: EnablePlainTextPassword
        
        Adattípus: REG_DWORD
        
        Adatok: 1
        
         

      • Windows Server 2003: Alapértelmezés szerint a Windows Server 2003 rendszert futtató tartományvezérlők biztonsági beállításai úgy vannak konfigurálva, hogy megakadályozzák a tartományvezérlő kommunikációjának rosszindulatú felhasználók általi elfogását vagy illetéktelen hozzáférését. Ahhoz, hogy a felhasználók sikeresen kommunikálhassanak egy Windows Server 2003-at futtató tartományvezérlővel, az ügyfélszámítógépek SMB-aláírást és titkosítást, illetve biztonságos csatornaforgalom-aláírást kell használniuk. Alapértelmezés szerint a Windows NT 4.0-t Service Pack 2 (SP2) vagy korábbi verzióval futtató és a Windows 95-öt futtató ügyfeleken nincs engedélyezve az SMB-csomagaláírás. Ezért előfordulhat, hogy ezek az ügyfelek nem tudnak hitelesíteni egy Windows Server 2003-alapú tartományvezérlőn.

      • A Windows 2000 és a Windows Server 2003 házirendbeállításai: Az adott telepítési igényektől és konfigurációtól függően javasoljuk, hogy a Microsoft Management Console Csoportházirend Editor beépülő modul hierarchiájában a szükséges hatókör legalacsonyabb entitásában állítsa be a következő házirend-beállításokat:

        • Számítógép konfigurációja\Windows biztonság Beállítások\Biztonsági beállítások

        • Titkosítatlan jelszó küldése külső SMB-kiszolgálókhoz való csatlakozáshoz (ez a beállítás Windows 2000 rendszeren érhető el)

        • Microsoft hálózati ügyfél: Titkosítatlan jelszó küldése külső SMB-kiszolgálóknak (ez a beállítás Windows Server 2003 esetén érhető el)

        
        Megjegyzés: Egyes külső CIFS-kiszolgálókon, például a samba régebbi verzióiban nem használhat titkosított jelszavakat.

      • A következő ügyfelek nem kompatibilisek a Microsoft hálózati kiszolgálóval: Kommunikáció digitális aláírása (mindig) beállítás:

        • Apple Computer, Inc., Mac OS X-ügyfelek

        • Microsoft MS-DOS hálózati ügyfelek (például Microsoft LAN Manager)

        • Microsoft Windows for Workgroups-ügyfelek

        • Microsoft Windows 95-ügyfelek a DS-ügyfél telepítése nélkül

        • Microsoft Windows NT 4.0-alapú számítógépek SP3 vagy újabb telepítés nélkül

        • Novell Netware 6 CIFS-ügyfelek

        • SMB-aláírást nem támogató SAMBA SMB-ügyfelek

   8. Újraindítási követelmények
      
      Indítsa újra a számítógépet, vagy indítsa újra a Kiszolgáló szolgáltatást. Ehhez írja be a következő parancsokat egy parancssorba. Az egyes parancsok beírása után nyomja le az Enter billentyűt.

      net stop server
      net start server

7. Hálózati hozzáférés: Névtelen SID/Névfordítás engedélyezése

   1. Háttér
      
      Hálózati hozzáférés: A névtelen SID/Névfordítás biztonsági beállítása határozza meg, hogy egy névtelen felhasználó igényelhet-e biztonsági azonosítószám (SID) attribútumokat egy másik felhasználóhoz.

   2. Kockázatos konfiguráció
      
      A hálózati hozzáférés engedélyezése: A névtelen SID/Névfordítási beállítás engedélyezése káros konfigurációs beállítás.

   3. A beállítás
      
      engedélyezésének okai Ha a hálózati hozzáférés: A névtelen SID/Névfordítás engedélyezése beállítás le van tiltva, előfordulhat, hogy a korábbi operációs rendszerek vagy alkalmazások nem tudnak kommunikálni a Windows Server 2003-tartományokkal. Előfordulhat például, hogy a következő operációs rendszerek, szolgáltatások vagy alkalmazások nem működnek:

      • Windows NT 4.0-alapú távelérési szolgáltatáskiszolgálók

      • Windows NT 3.x vagy Windows NT 4.0 rendszerű számítógépeken futó Microsoft SQL Server

      • Windows NT 3.x tartományokban vagy Windows NT 4.0-tartományokban található, Windows 2000-alapú számítógépeken futó távelérési szolgáltatás

      • windowsos NT 3.x tartományokban vagy Windows NT 4.0-tartományokban található Windows 2000-alapú számítógépeken futó SQL Server

      • A Windows NT 4.0 erőforrástartomány azon felhasználói, akik engedélyeket szeretnének adni a fájlok, megosztott mappák és beállításjegyzék-objektumok felhasználói fiókokhoz való eléréséhez Windows Server 2003 tartományvezérlőket tartalmazó fióktartományokból

   4. A beállítás
      
      letiltásának okai Ha ez a beállítás engedélyezve van, a rosszindulatú felhasználók a jól ismert Rendszergazdák BIZTONSÁGI azonosítóval szerezhetik be a beépített rendszergazdai fiók valódi nevét, még akkor is, ha a fiókot átnevezték. Ez a személy ezután a fióknév használatával kezdeményezhet jelszófelfedési támadást.

   5. Szimbolikus név: N/A

   6. Beállításjegyzék elérési útja: Nincs. Az elérési út a felhasználói felület kódjában van megadva.

   7. Példák kompatibilitási problémákra
      
      Windows NT 4.0: A Windows NT 4.0-erőforrástartományokban lévő számítógépeknél az "Ismeretlen fiók" hibaüzenet jelenik meg az ACL-szerkesztőben, ha az erőforrásokat , beleértve a megosztott mappákat, a megosztott fájlokat és a beállításjegyzék-objektumokat, olyan rendszerbiztonsági tagok védik, amelyek a Windows Server 2003 tartományvezérlőket tartalmazó fióktartományokban találhatók.

8. Hálózati hozzáférés: SAM-fiókok névtelen számbavételének tiltása

   1. Háttér

      • Hálózati hozzáférés: A SAM-fiókok névtelen számbavételének tiltása beállítás határozza meg, hogy mely további engedélyek lesznek megadva a számítógép névtelen kapcsolataihoz. A Windows lehetővé teszi, hogy a névtelen felhasználók bizonyos tevékenységeket végezzenek, például a munkaállomás- és kiszolgálói biztonságifiók-kezelői (SAM) fiókok és a hálózati megosztások nevének számbavételét. A rendszergazda például ezt a lehetőséget használhatja arra, hogy hozzáférést biztosítson a megbízható tartomány azon felhasználóinak, amelyek nem tartanak fenn kölcsönös megbízhatósági kapcsolatot. A munkamenet befejezése után a névtelen felhasználók a Hálózati hozzáférés beállításától függően ugyanolyan hozzáféréssel rendelkezhetnek, mint a Mindenki csoportnak: A Mindenki engedély a névtelen felhasználók beállítására vagy az objektum diszkrecionális hozzáférés-vezérlési listájára (DACL) vonatkozhat.
        
        A névtelen kapcsolatokat általában az ügyfelek korábbi verziói (alacsonyabb szintű ügyfelek) kérik az SMB-munkamenet beállítása során. Ezekben az esetekben a hálózati nyomkövetés azt mutatja, hogy az SMB-folyamatazonosító (PID) az ügyfél-átirányító, például a Windows 2000 0xFEFF vagy a Windows NT 0xCAFE. Az RPC névtelen kapcsolatokat is megpróbálhat létrehozni.

      • Fontos: Ez a beállítás nincs hatással a tartományvezérlőkre. A tartományvezérlők esetében ezt a viselkedést az "NT AUTHORITY\ANONYMOUS LOGON" jelenléte vezérli a "Windows 2000 előtti kompatibilis hozzáférés"-ben.

      • A Windows 2000 rendszerben a RestrictAnonymous beállításazonosítót a névtelen kapcsolatok további korlátozásai nevű hasonló beállítás kezeli. Ennek az értéknek a helye a következő:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA  

   2. Kockázatos konfigurációk
      
      A hálózati hozzáférés engedélyezése: A SAM-fiókok névtelen számbavételének tiltása kompatibilitási szempontból káros konfigurációs beállítás. A letiltás biztonsági szempontból káros konfigurációs beállítás.

   3. A beállítás
      
      engedélyezésének okai Egy jogosulatlan felhasználó névtelenül listázhatja a fiókneveket, majd az adatok alapján megpróbálhatja kitalálni a jelszavakat, vagy szociálmérnöki támadásokat hajthat végre. A szociálmérnöki szakzsargon azt jelenti, hogy az embereket a jelszavuk vagy valamilyen biztonsági információ felfedésével kell becsapni.

   4. A beállítás
      
      letiltásának okai Ha ez a beállítás engedélyezve van, nem lehet megbízhatósági kapcsolatot létesíteni a Windows NT 4.0-tartományokkal. Ez a beállítás a kiszolgálón erőforrásokat használó, alacsonyabb szintű ügyfelekkel (például Windows NT 3.51- és Windows 95-ügyfelekkel) kapcsolatos problémákat is okoz.

   5. Szimbolikus név:
      
      
      RestrictAnonymousSAM

   6. Beállításjegyzék elérési útja:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

   7. Példák kompatibilitási problémákra

   • Az SMS Network Discovery nem fogja tudni beolvasni az operációs rendszer adatait, és az "Ismeretlen" szöveget írja az OperatingSystemNameandVersion tulajdonságba.

   • Windows 95, Windows 98: A Windows 95-ügyfelek és a Windows 98-ügyfelek nem tudják megváltoztatni a jelszavukat.

   • Windows NT 4.0: A Windows NT 4.0-alapú tagszámítógépek nem lesznek hitelesítve.

   • Windows 95, Windows 98: A Windows 95-alapú és a Windows 98-alapú számítógépek nem hitelesíthetők a Microsoft tartományvezérlőivel.

   • Windows 95, Windows 98: A Windows 95-alapú és a Windows 98-alapú számítógépek felhasználói nem fogják tudni módosítani a felhasználói fiókjuk jelszavát.

9. Hálózati hozzáférés: A SAM-fiókok és -megosztások névtelen számbavételének tiltása

   1. Háttér

      • A hálózati hozzáférés: A SAM-fiókok és -megosztások névtelen számbavételének tiltása (más néven RestrictAnonymous) meghatározza, hogy engedélyezve van-e a Security Accounts Manager-fiókok és -megosztások névtelen számbavétele. A Windows lehetővé teszi a névtelen felhasználók számára bizonyos tevékenységek elvégzését, például a tartományi fiókok (felhasználók, számítógépek és csoportok) és a hálózati megosztások nevének számbavételét. Ez például akkor kényelmes, ha egy rendszergazda olyan megbízható tartomány felhasználóinak szeretne hozzáférést biztosítani, amely nem tart fenn kölcsönös megbízhatóságot. Ha nem szeretné engedélyezni a SAM-fiókok és -megosztások névtelen számbavételét, engedélyezze ezt a beállítást.

      • A Windows 2000 rendszerben a RestrictAnonymous beállításazonosítót a névtelen kapcsolatok további korlátozásai nevű hasonló beállítás kezeli. Ennek az értéknek a helye a következő:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

   2. Kockázatos konfiguráció
      
      A hálózati hozzáférés engedélyezése: A SAM-fiókok és -megosztások névtelen számbavételének tiltása káros konfigurációs beállítás.

   3. A beállítás engedélyezésének okai

      • A hálózati hozzáférés engedélyezése: A SAM-fiókok és -megosztások névtelen számbavételének tiltása megakadályozza a SAM-fiókok és -megosztások névtelen fiókokat használó felhasználók és számítógépek általi számbavételét.

   4. A beállítás letiltásának okai

      • Ha ez a beállítás engedélyezve van, egy jogosulatlan felhasználó névtelenül listázhatja a fiókneveket, majd az információk alapján megpróbálhatja kitalálni a jelszavakat, vagy közösségi mérnöki támadásokat hajthat végre. A szociálmérnöki szakzsargon azt jelenti, hogy az embereket arra csalják, hogy felfedjék a jelszavukat vagy valamilyen biztonsági információt.

      • Ha ez a beállítás engedélyezve van, nem lehet megbízhatósági kapcsolatot létesíteni a Windows NT 4.0-tartományokkal. Ez a beállítás az olyan alacsonyabb szintű ügyfelekkel is problémákat okoz, mint például a Windows NT 3.51 és a Windows 95 ügyfelek, amelyek erőforrásokat próbálnak használni a kiszolgálón.

      • Nem lehet hozzáférést biztosítani az erőforrás-tartományok felhasználóinak, mert a megbízható tartomány rendszergazdái nem fogják tudni számba venni a másik tartományban lévő fiókok listáját. Azok a felhasználók, akik névtelenül férnek hozzá a fájl- és nyomtatókiszolgálókhoz, nem fogják tudni listázni a megosztott hálózati erőforrásokat ezeken a kiszolgálókon. A felhasználóknak hitelesíteniük kell magukat ahhoz, hogy megtekintsék a megosztott mappák és nyomtatók listáját.

   5. Szimbolikus név:
      
      RestrictAnonymous

   6. Beállításjegyzék elérési útja:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

   7. Példák kompatibilitási problémákra

      • Windows NT 4.0: A felhasználók nem módosíthatják jelszavukat a Windows NT 4.0 munkaállomásokról, ha a RestrictAnonymous engedélyezve van a felhasználók tartományában lévő tartományvezérlőkön.

      • Windows NT 4.0: Nem sikerül felhasználókat vagy globális csoportokat hozzáadni megbízható Windows 2000-tartományokból a Windows NT 4.0 helyi csoportjaihoz a User Managerben, és a következő hibaüzenet jelenik meg:

        Jelenleg nincsenek elérhető bejelentkezési kiszolgálók a bejelentkezési kérelem kiszolgálásához.

      • Windows NT 4.0: A Windows NT 4.0-alapú számítógépek nem tudnak tartományokat csatlakoztatni a telepítés során vagy a tartományhoz való csatlakozás felhasználói felületének használatával.

      • Windows NT 4.0: A Windows NT 4.0 erőforrástartományokkal való alacsonyabb szintű megbízhatósági kapcsolat létrehozása sikertelen lesz. A következő hibaüzenet jelenik meg, ha a RestrictAnonymous engedélyezve van a megbízható tartományban:

        Nem található a tartomány tartományvezérlője.

      • Windows NT 4.0: Azok a felhasználók, akik Windows NT 4.0-alapú terminálkiszolgáló számítógépekre jelentkeznek be, a Tartománykezelőben meghatározott kezdőkönyvtár helyett az alapértelmezett kezdőkönyvtárra lesznek leképeződve.

      • Windows NT 4.0: A Windows NT 4.0 biztonsági mentési tartományvezérlői (BDC-k) nem tudják elindítani a Net Logon szolgáltatást, lekérte a biztonsági mentési böngészők listáját, illetve nem tudják szinkronizálni a SAM-adatbázist a Windows 2000-ből vagy az ugyanabban a tartományban lévő Windows Server 2003-tartományvezérlőkről.

      • Windows 2000: A Windows NT 4.0 rendszerű tartományokban lévő Windows 2000-alapú tagszámítógépek nem fogják tudni megtekinteni a külső tartományokban lévő nyomtatókat, ha az ügyfélszámítógép helyi biztonsági házirendjében engedélyezve van a Nincs hozzáférés kifejezetten névtelen engedélyek nélkül beállítás.

      • Windows 2000: A Windows 2000 tartományi felhasználói nem tudnak hálózati nyomtatókat hozzáadni az Active Directoryból; azonban a fanézetben való kiválasztásuk után nyomtatókat is hozzáadhatnak.

      • Windows 2000: A Windows 2000-alapú számítógépeken az ACL-szerkesztő nem tud felhasználókat vagy globális csoportokat hozzáadni megbízható Windows NT 4.0-tartományokból.

      • ADMT 2-es verzió: Az Active Directory Migration Tool (ADMT) 2-es verziójával erdők között áttelepített felhasználói fiókok jelszavas áttelepítése sikertelen lesz.
        
        További információért kattintson a következő cikkszámra a cikk Microsoft Tudásbázisban való megtekintéséhez:

        322981 Erdőközi jelszómigrálás hibaelhárítása az ADMTv2-vel

      • Outlook-ügyfelek: A globális címlista üresen jelenik meg a Microsoft Exchange Outlook-ügyfelek számára.

      • SMS: A Microsoft Systems Management Server (SMS) hálózatfelderítés nem fogja tudni beszerezni az operációs rendszer adatait. Ezért az "Unknown" szöveget írja a felderítési adatrekord (DDR) SMS DDR tulajdonságának OperatingSystemNameandVersion tulajdonságában.

      • SMS: Ha az SMS rendszergazdai varázslójával keres felhasználókat és csoportokat, a listában nem jelennek meg felhasználók vagy csoportok. Emellett a speciális ügyfelek nem tudnak kommunikálni a felügyeleti ponttal. A felügyeleti ponton névtelen hozzáférésre van szükség.

      • SMS: Ha a Hálózatfelderítés funkciót az SMS 2.0-ban és a Távoli ügyféltelepítésben használja, és be van kapcsolva a topológia, az ügyfél és az ügyfél operációs rendszer hálózatfelderítési beállítása, előfordulhat, hogy a számítógépek felderíthetők, de nem települnek.

10. Hálózati biztonság: Lan Manager hitelesítési szint

    1. Háttér
       
       A LAN Manager(LM) hitelesítés az a protokoll, amellyel a Windows-ügyfelek hitelesíthetők a hálózati műveletekhez, beleértve a tartományhoz való csatlakozást, a hálózati erőforrások elérését, valamint a felhasználó- vagy számítógép-hitelesítést. Az LM-hitelesítési szint határozza meg, hogy melyik kérdés-válasz hitelesítési protokoll egyeztetése történik meg az ügyfél és a kiszolgáló számítógépei között. Pontosabban az LM hitelesítési szintje határozza meg, hogy az ügyfél milyen hitelesítési protokollokat próbál egyeztetni, vagy hogy a kiszolgáló elfogadja-e azokat. Az LmCompatibilityLevelhez beállított érték határozza meg, hogy melyik kérdés-válasz hitelesítési protokollt használja a rendszer a hálózati bejelentkezésekhez. Ez az érték befolyásolja az ügyfelek által használt hitelesítési protokoll szintjét, a egyeztetett munkamenet-biztonsági szintet és a kiszolgálók által elfogadott hitelesítési szintet.
       
       A lehetséges beállítások közé tartoznak a következők.

       Érték	Beállítás	Ismertetés
       0	LM-& NTLM-válaszok küldése	Az ügyfelek LM- és NTLM-hitelesítést használnak, és soha nem használnak NTLMv2-munkamenetbiztonságot. A tartományvezérlők elfogadják az LM, az NTLM és az NTLMv2 hitelesítést.
       1	LM küldése & NTLM -nek – egyeztetés esetén használja az NTLMv2-munkamenet biztonságát	Az ügyfelek LM- és NTLM-hitelesítést használnak, és NTLMv2-munkamenetbiztonságot használnak, ha a kiszolgáló támogatja azt. A tartományvezérlők elfogadják az LM, az NTLM és az NTLMv2 hitelesítést.
       2	Csak NTLM-válasz küldése	Az ügyfelek csak NTLM-hitelesítést használnak, és az NTLMv2-munkamenet biztonságát használják, ha a kiszolgáló támogatja azt. A tartományvezérlők elfogadják az LM, az NTLM és az NTLMv2 hitelesítést.
       3	Csak NTLMv2-válasz küldése	Az ügyfelek csak NTLMv2 hitelesítést használnak, és az NTLMv2-munkamenet biztonságát használják, ha a kiszolgáló támogatja azt. A tartományvezérlők elfogadják az LM, az NTLM és az NTLMv2 hitelesítést.
       4	Csak NTLMv2-válasz küldése/LM elutasítása	Az ügyfelek csak NTLMv2 hitelesítést használnak, és az NTLMv2-munkamenet biztonságát használják, ha a kiszolgáló támogatja azt. A tartományvezérlők elutasítják az LM-et, és csak az NTLM és az NTLMv2 hitelesítést fogadják el.
       5	Csak NTLMv2-válasz küldése/LM elutasítása & NTLM	Az ügyfelek csak NTLMv2 hitelesítést használnak, és az NTLMv2-munkamenet biztonságát használják, ha a kiszolgáló támogatja azt. A tartományvezérlők elutasítják az LM-et és az NTLM-et, és csak az NTLMv2 hitelesítést fogadják el.

       Megjegyzés: A Windows 95, a Windows 98 és a Windows 98 Second Edition rendszerben a Címtárszolgáltatás-ügyfél SMB-aláírást használ, amikor NTLM-hitelesítéssel hitelesíti magát a Windows Server 2003-kiszolgálókkal. Ezek az ügyfelek azonban nem használnak SMB-aláírást, amikor NTLMv2-hitelesítéssel hitelesítik magukat ezekkel a kiszolgálókkal. Emellett a Windows 2000-kiszolgálók nem válaszolnak az ügyfelektől érkező SMB-aláírási kérésekre.
       
       Ellenőrizze az LM hitelesítési szintjét: Módosítania kell a házirendet a kiszolgálón az NTLM engedélyezéséhez, vagy konfigurálnia kell az ügyfélszámítógépet az NTLMv2 támogatására.
       
       Ha a házirend beállítása (5) Csak NTLMv2-válasz küldése\LM visszautasítása & NTLM azon a célszámítógépen, amelyhez csatlakozni szeretne, akkor vagy csökkentenie kell a beállítást a számítógépen, vagy a biztonsági beállításokat ugyanarra a beállításra kell állítania, amely a forrásszámítógépen található, ahonnan csatlakozik.
       
       Keresse meg a megfelelő helyet, ahol módosíthatja a LAN-kezelő hitelesítési szintjét, hogy az ügyfél és a kiszolgáló azonos szintre legyen állítva. Miután megtalálta a LAN-kezelő hitelesítési szintjét beállító házirendet, ha a Windows korábbi verzióit futtató számítógépekhez vagy számítógépekről szeretne csatlakozni, csökkentse az értéket legalább (1) LM küldése & NTLM -ra – egyeztetés esetén használja az NTLM 2-es verziójának munkamenet-biztonságát. Az inkompatibilis beállítások egyik hatása, hogy ha a kiszolgálóhoz NTLMv2 (5 érték) szükséges, de az ügyfél csak az LM és az NTLMv1 használatára van konfigurálva (0 érték), a hitelesítést megkísérlő felhasználó olyan bejelentkezési hibát tapasztal, amely hibás jelszóval rendelkezik, és növeli a helytelen jelszavak számát. Ha a fiók zárolása konfigurálva van, előfordulhat, hogy a felhasználó végül ki lesz zárva.
       
       Előfordulhat például, hogy meg kell vizsgálnia a tartományvezérlőt, vagy meg kell vizsgálnia a tartományvezérlő házirendjét.
       
       A tartományvezérlő
       
       megkeresése Megjegyzés: Előfordulhat, hogy meg kell ismételnie az alábbi eljárást az összes tartományvezérlőn.

       1. Kattintson a Start menüProgramok pontjára, majd a Felügyeleti eszközök parancsra.

       2. A Helyi biztonsági beállítások területen bontsa ki a Helyi házirendek elemet.

       3. Kattintson a Biztonsági beállítások elemre.

       4. Kattintson duplán a Hálózati biztonság: LAN-kezelő hitelesítési szintjére, majd kattintson egy értékre a listában.

       
       Ha a hatályos beállítás és a helyi beállítás megegyezik, a házirend ezen a szinten módosult. Ha a beállítások eltérnek, ellenőrizze a tartományvezérlő házirendjét annak megállapításához, hogy a Hálózati biztonság: LAN-kezelő hitelesítési szint beállítása itt van-e megadva. Ha nincs itt definiálva, vizsgálja meg a tartományvezérlő házirendjét.
       
       A tartományvezérlő házirendjeinek vizsgálata

       1. Kattintson a Start menüProgramok pontjára, majd a Felügyeleti eszközök parancsra.

       2. A tartományvezérlő biztonsági házirendjében bontsa ki a Biztonsági beállítások, majd a Helyi házirendek elemet.

       3. Kattintson a Biztonsági beállítások elemre.

       4. Kattintson duplán a Hálózati biztonság: LAN-kezelő hitelesítési szintjére, majd kattintson egy értékre a listában.

       
       Megjegyzés

       • Előfordulhat, hogy ellenőriznie kell a hely, a tartomány vagy a szervezeti egység (OU) szintjén összekapcsolt házirendeket is, hogy meghatározza, hol kell konfigurálnia a LAN-kezelő hitelesítési szintjét.

       • Ha egy Csoportházirend beállítást valósít meg alapértelmezett tartományi házirendként, a rendszer a tartomány összes számítógépére alkalmazza a házirendet.

       • Ha egy Csoportházirend beállítást valósít meg alapértelmezett tartományvezérlő házirendjeként, a házirend csak a tartományvezérlő szervezeti egységében lévő kiszolgálókra vonatkozik.

       • Érdemes beállítani a LAN-kezelő hitelesítési szintjét a házirend-alkalmazáshierarchia szükséges hatókörének legalacsonyabb entitásában.

       A Windows Server 2003 új alapértelmezett beállítással rendelkezik, amely csak az NTLMv2-t használja. Alapértelmezés szerint a Windows Server 2003 és a Windows 2000 Server SP3-alapú tartományvezérlők engedélyezték a "Microsoft hálózati kiszolgáló: Kommunikáció digitális aláírása (mindig)" szabályzatot. Ehhez a beállításhoz az SMB-kiszolgálónak SMB-csomagaláírásra van szüksége. A Windows Server 2003 módosítása azért történt, mert a tartományvezérlők, fájlkiszolgálók, hálózati infrastruktúra-kiszolgálók és webkiszolgálók minden szervezetnél eltérő beállításokat igényelnek a biztonság maximalizálása érdekében.
       
       Ha NTLMv2-hitelesítést szeretne megvalósítani a hálózaton, győződjön meg arról, hogy a tartomány összes számítógépe ezt a hitelesítési szintet használja. Ha Active Directory ügyfélbővítményeket alkalmaz Windows 95 vagy Windows 98 és Windows NT 4.0 rendszeren, az ügyfélbővítmények az NTLMv2-ben elérhető továbbfejlesztett hitelesítési funkciókat használják. Mivel az alábbi operációs rendszerek bármelyikét futtató ügyfélszámítógépeket nem érintik a Windows 2000 Csoportházirend-objektumok, előfordulhat, hogy manuálisan kell konfigurálnia ezeket az ügyfeleket:

       • Microsoft Windows NT 4.0

       • Microsoft Windows Millennium Edition

       • Microsoft Windows 98

       • Microsoft Windows 95

       Megjegyzés: Ha engedélyezi a hálózati biztonságot: Ne tárolja a LAN-kezelő kivonatértékét a következő jelszómódosítási házirendben , vagy állítsa be a NoLMHash beállításkulcsot, a Windows 95-alapú és a Windows 98-alapú ügyfelek, amelyeken nincs telepítve a Címtárszolgáltatások ügyfélprogram, nem tudnak bejelentkezni a tartományba a jelszó módosítása után.
       
       Számos külső CIFS-kiszolgáló, például a Novell Netware 6, nem ismeri az NTLMv2-t, és csak az NTLM-et használja. Ezért a 2-nél nagyobb szintek nem engedélyezik a kapcsolatot. Vannak olyan külső SMB-ügyfelek is, amelyek nem használnak kiterjesztett munkamenet-biztonságot. Ezekben az esetekben a rendszer nem veszi figyelembe az erőforrás-kiszolgáló LmCompatiblityLevel értékét. A kiszolgáló ezután becsomagolja ezt az örökölt kérést, és elküldi azt a felhasználói tartományvezérlőnek. A tartományvezérlő beállításai határozzák meg, hogy milyen kivonatokkal ellenőrizze a kérést, és hogy ezek megfelelnek-e a tartományvezérlő biztonsági követelményeinek.
       
        

       299656 Annak megakadályozása, hogy a Windows a jelszó LAN-kezelői kivonatát tárolja az Active Directoryban és a helyi SAM-adatbázisokban
        

       2701704A naplózási esemény NTLMv2 helyett NTLMv1 hitelesítési csomagként jeleníti meg a hitelesítési csomagot. Az LM hitelesítési szintjeiről a Következő cikkszámra kattintva tekintheti meg a cikket a Microsoft Tudásbázisban:

       239869 NTLM 2-hitelesítés engedélyezése
        

    2. Kockázatos konfigurációk
       
       A következők káros konfigurációs beállítások:

       • A jelszavakat cleartext formátumban küldő és az NTLMv2 egyeztetését megtagadó, nem ismétlődő beállítások

       • Korlátozó beállítások, amelyek megakadályozzák, hogy az inkompatibilis ügyfelek vagy tartományvezérlők közös hitelesítési protokollt tárgyalnak

       • NTLMv2-hitelesítés megkövetelése a Windows NT 4.0 Service Pack 4-nél (SP4) korábbi verzióját futtató tagszámítógépeken és tartományvezérlőkön

       • NTLMv2-hitelesítés megkövetelése Windows 95-ügyfeleken vagy olyan Windows 98-ügyfeleken, amelyeken nincs telepítve a Windows Directory Services-ügyfél.

       • Ha bejelöli az NTLMv2-munkamenet biztonságának megkövetelése jelölőnégyzetet a Microsoft Management Console Csoportházirend Editor beépülő modulban Egy Windows Server 2003 vagy Windows 2000 Service Pack 3 rendszerű számítógépen, és a LAN-kezelő hitelesítési szintjét 0-ra csökkenti, a két beállítás ütközik, és a következő hibaüzenet jelenhet meg a Secpol.msc fájlban vagy a GPEdit.msc fájlban:

         A Windows nem tudja megnyitni a helyi házirend-adatbázist. Ismeretlen hiba történt az adatbázis megnyitásakor.

         A biztonsági konfigurációs és elemzőeszközről további információt a Windows 2000 vagy a Windows Server 2003 súgófájljaiban talál.

    3. A beállítás módosításának okai

       • Szeretné növelni a szervezet ügyfelei és tartományvezérlői által támogatott legalacsonyabb közös hitelesítési protokollt.

       • Ha a biztonságos hitelesítés üzleti követelmény, érdemes letiltani a tanuláskezelő és az NTLM-protokollok egyeztetését.

    4. A beállítás
       
       letiltásának okai Az ügyfél- vagy kiszolgálóhitelesítési követelményeket, vagy mindkettőt arra a pontra növeltük, amikor egy közös protokollon keresztüli hitelesítés nem fordulhat elő.

    5. Szimbolikus név:
       
       LmCompatibilityLevel

    6. Beállításjegyzék elérési útja:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. Példák kompatibilitási problémákra

       • Windows Server 2003: Alapértelmezés szerint engedélyezve van a Windows Server 2003 NTLMv2 NTLM-válaszok küldése beállítása. Ezért a Windows Server 2003 a kezdeti telepítés után a "Hozzáférés megtagadva" hibaüzenetet kapja, amikor Megpróbál csatlakozni egy Windows NT 4.0-alapú fürthöz vagy LanManager V2.1-alapú kiszolgálókhoz, például OS/2 Lanserverhez. Ez a probléma akkor is előfordul, ha egy korábbi verziójú ügyfélről próbál csatlakozni egy Windows Server 2003-alapú kiszolgálóhoz.

       • A Windows 2000 1. kumulatív biztonsági csomagját (SRP1) kell telepítenie. Az SRP1 kényszeríti az NTLM 2-es verzióját (NTLMv2). Ez az összesítő csomag a Windows 2000 Service Pack 2 (SP2) kiadása után jelent meg.
          

       • Windows 7 és Windows Server 2008 R2: Számos külső CIFS-kiszolgáló, például a Novell Netware 6 vagy a Linux-alapú Samba kiszolgálók nem ismerik az NTLMv2-t, és csak az NTLM-et használják. Ezért a "2"-nél nagyobb szintek nem engedélyezik a kapcsolatot. Az operációs rendszer ezen verziójában az LmCompatibilityLevel alapértelmezett értéke "3" lett. Ezért a Windows frissítések során előfordulhat, hogy ezek a külső féltől származó fájlkezelők nem működnek.

       • A Microsoft Outlook-ügyfelek akkor is kérhetik a hitelesítő adatokat, ha már be vannak jelentkezve a tartományba. Amikor a felhasználó megadja hitelesítő adatait, a következő hibaüzenet jelenik meg: Windows 7 és Windows Server 2008 R2

         A megadott bejelentkezési hitelesítő adatok helytelenek voltak. Ellenőrizze, hogy helyes-e a felhasználóneve és a tartománya, majd írja be újra a jelszót.

         Az Outlook indításakor a rendszer akkor is kérheti a hitelesítő adatait, ha a bejelentkezési hálózati biztonsági beállítás átengedésre vagy jelszó-hitelesítésre van állítva. A helyes hitelesítő adatok megadása után a következő hibaüzenet jelenhet meg:

         A megadott bejelentkezési hitelesítő adatok helytelenek voltak.

         A Hálózatfigyelő nyomkövetése azt mutathatja, hogy a globális katalógus távoli eljáráshívási (RPC) hibát adott ki 0x5 állapottal. A 0x5 állapota a "Hozzáférés megtagadva" állapotot jelenti.

       • Windows 2000: A Hálózatfigyelő-rögzítés a következő hibákat jelenítheti meg a NetBIOS-ban TCP/IP (NetBT) kiszolgálói üzenetblokk (SMB) munkamenetben:

         SMB R search directory dos hiba, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Érvénytelen felhasználói azonosító

       • Windows 2000: Ha az NTLMv2 2. szintű vagy újabb verziójú Windows 2000-tartományt egy Windows NT 4.0-tartomány megbízhatónak minősíti, az erőforrás-tartományban lévő Windows 2000-alapú tagszámítógépek hitelesítési hibákat tapasztalhatnak.

       • Windows 2000 és Windows XP: A Windows 2000 és a Windows XP alapértelmezés szerint 0-ra állítja a LAN Manager hitelesítési szintű helyi biztonsági házirend beállítását. A 0 érték azt jelenti, hogy "LM- és NTLM-válaszok küldése"
         
         . Megjegyzés: A Windows NT 4.0-alapú fürtöknek LM-et kell használniuk a felügyelethez.

       • Windows 2000: A Windows 2000 fürtözés nem hitelesíti az összekapcsolt csomópontokat, ha mindkét csomópont egy Windows NT 4.0 Service Pack 6a (SP6a) tartomány része.

       • Az IIS zárolási eszköze (HiSecWeb) az LMCompatibilityLevel értékét 5-re, a RestrictAnonymous értéket pedig 2-re állítja.

       • Macintosh-szolgáltatások
         
         Felhasználói hitelesítési modul (UAM): A Microsoft UAM (user authentication module) egy módszert biztosít a Windows AFP (AppleTalk Filing Protocol) kiszolgálókra való bejelentkezéshez használt jelszavak titkosítására. Az Apple user authentication module (UAM) csak minimális vagy nem titkosítást biztosít. Ezért a jelszava könnyen elfogható a helyi hálózaton vagy az interneten. Bár a UAM-ra nincs szükség, titkosított hitelesítést biztosít a Macintosh szolgáltatásokat futtató Windows 2000-kiszolgálók számára. Ez a verzió támogatja az NTLMv2 128 bites titkosított hitelesítést és egy MacOS X 10.1-kompatibilis kiadást.
         
         Alapértelmezés szerint a Windows Server 2003 Services for Macintosh kiszolgáló csak a Microsoft-hitelesítést engedélyezi.
          

       • Windows Server 2008, Windows Server 2003, Windows XP és Windows 2000: Ha az LMCompatibilityLevel értékét 0 vagy 1 értékre állítja, majd a NoLMHash értékét 1 értékre állítja, az alkalmazások és összetevők hozzáférése megtagadható az NTLM-ben. Ez a probléma azért fordul elő, mert a számítógép úgy van konfigurálva, hogy engedélyezze a virtuális gépet, de ne használjon LM által tárolt jelszavakat.
         
         Ha a NoLMHash értékét 1 értékre konfigurálja, az LMCompatibilityLevel értékét 2 vagy magasabb értékre kell konfigurálnia.

11. Hálózati biztonság: LDAP-ügyfél aláírási követelményei

    1. Háttér
       
       A hálózati biztonság: Az LDAP-ügyfél-aláírási követelmények beállítása határozza meg, hogy a rendszer milyen szintű adataláírást kér az Lightweight Directory Access Protocol (LDAP) BIND-kéréseket kibocsátó ügyfelek nevében az alábbiak szerint:

       • Nincs: Az LDAP BIND-kérelem a hívó által megadott beállításokkal van kiadva.

       • Egyeztetés az aláírásról: Ha a Secure Sockets Layer/Transport Layer Security (SSL/TLS) nem indult el, az LDAP BIND-kérés a hívó által megadott beállítások mellett az LDAP-adataláírási beállítással is elindul. Ha az SSL/TLS elindult, az LDAP BIND-kérés a hívó által megadott beállításokkal indul el.

       • Aláírás szükséges: Ez ugyanaz, mint az egyeztetési aláírás. Ha azonban az LDAP-kiszolgáló köztes saslBindInProgress válasza nem jelzi, hogy LDAP-forgalom-aláírásra van szükség, a hívónak azt kell jeleznie, hogy az LDAP BIND parancskérése sikertelen volt.

    2. Kockázatos konfiguráció
       
       A hálózati biztonság engedélyezése: Az LDAP-ügyfél aláírási követelményeinek beállítása káros konfigurációs beállítás. Ha úgy állítja be a kiszolgálót, hogy LDAP-aláírásokat igényeljen, az LDAP-aláírást is konfigurálnia kell az ügyfélen. Ha nem konfigurálja az ügyfelet LDAP-aláírások használatára, azzal megakadályozza a kiszolgálóval való kommunikációt. Ez a felhasználói hitelesítés, a Csoportházirend beállítások, a bejelentkezési szkriptek és más szolgáltatások sikertelensége miatt meghiúsul.

    3. A beállítás
       
       módosításának okai Az aláíratlan hálózati forgalom közbeékelődéses támadásoknak van kivédve, amikor egy behatoló csomagokat rögzít az ügyfél és a kiszolgálók között, módosítja őket, majd továbbítja őket a kiszolgálónak. Ha ez egy LDAP-kiszolgálón történik, a támadók azt okozhatják, hogy a kiszolgáló az LDAP-ügyfél hamis lekérdezései alapján válaszol. A vállalati hálózatokban csökkentheti ezt a kockázatot, ha erős fizikai biztonsági intézkedéseket vezet be a hálózati infrastruktúra védelme érdekében. Emellett a közbeékelt ember okozta támadások megelőzésében is segíthet, ha az IPSec hitelesítési fejlécek segítségével digitális aláírásokat követel meg az összes hálózati csomagon.

    4. Szimbolikus név:
       
       LDAPClientIntegrity

    5. Beállításjegyzék elérési útja:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

12. Eseménynapló: Maximális biztonsági naplóméret

    1. Háttér
       
       Az eseménynapló: A biztonsági napló maximális méretének biztonsági beállítása határozza meg a biztonsági eseménynapló maximális méretét. A napló maximális mérete 4 GB. A beállítás megkereséséhez bontsa ki
       aWindows-beállítások, majd a Biztonsági beállítások elemet.

    2. Kockázatos konfigurációk
       
       A következők káros konfigurációs beállítások:

       • A biztonsági napló méretének és a biztonsági napló megőrzési módjának korlátozása, ha engedélyezve van a Naplózás: A rendszer azonnali leállítása, ha nem lehet naplózni a biztonsági naplókat. További részleteket a cikk "Naplózás: A rendszer azonnali leállítása, ha nem tud naplózni a biztonsági auditokat" című szakaszában talál.

       • A biztonsági napló méretének korlátozása a fontos biztonsági események felülírása érdekében.

    3. A beállítás
       
       növelésének okai Az üzleti és biztonsági követelmények előírhatják a biztonsági naplók méretének növelését a biztonsági naplók további részleteinek kezeléséhez vagy a biztonsági naplók hosszabb ideig történő megőrzéséhez.

    4. A beállítás
       
       csökkentésének okai eseménymegtekintő a naplók memórialeképezett fájlok. Az eseménynapló maximális méretét a helyi számítógép fizikai memóriája és az eseménynapló-folyamat számára elérhető virtuális memória korlátozza. Ha a napló mérete meghaladja a eseménymegtekintő számára elérhető virtuális memória mennyiségét, azzal nem növeli a naplóbejegyzések számát.

    5. Példák kompatibilitási problémákra
       
       Windows 2000: Azok a számítógépek, amelyek a Windows 2000 sp4-es verziójánál korábbi verziókat futtatnak, leállíthatják az eseménynaplóban lévő naplózási eseményeket, mielőtt elérnék a Maximális naplóméret beállításban megadott méretet eseménymegtekintő, ha be van kapcsolva az Események felülírásának tiltása (manuális naplózás törlése) beállítás.
       
       
        

13. Eseménynapló: Biztonsági napló megőrzése

    1. Háttér
       
       Az eseménynapló: A biztonsági napló biztonsági beállításainak megőrzése határozza meg a biztonsági napló "wrapping" metódusát. A beállítás megkereséséhez bontsa ki a Windows-beállítások, majd a Biztonsági beállítások elemet.

    2. Kockázatos konfigurációk
       
       A következők káros konfigurációs beállítások:

       • Nem sikerült megőrizni az összes naplózott biztonsági eseményt a felülírásuk előtt

       • A maximális biztonsági naplóméret beállítása túl kicsi a biztonsági események felülírásához

       • A biztonsági napló méretének és megőrzési módjának korlátozása a Naplózás: A rendszer azonnali leállítása, ha nem lehet naplózni a biztonsági naplók biztonsági beállítását

    3. A beállítás
       
       engedélyezésének okai Ezt a beállítást csak akkor engedélyezze, ha az Események felülírása napok szerint megőrzési módszer szerint lehetőséget választja. Ha olyan eseménykorrelációs rendszert használ, amely lekérdezi az eseményeket, győződjön meg arról, hogy a napok száma legalább háromszorosa a lekérdezés gyakoriságának. Tegye ezt meg a sikertelen lekérdezési ciklusok engedélyezéséhez.

14. Hálózati hozzáférés: Mindenki engedélyeinek alkalmazása névtelen felhasználókra

    1. Háttér
       
       Alapértelmezés szerint a Hálózati hozzáférés: A Névtelen felhasználók engedélyeinek engedélyezése mindenkire beállítás nincs meghatározva a Windows Server 2003-on. Alapértelmezés szerint a Windows Server 2003 nem tartalmazza a Névtelen hozzáférési jogkivonatot a Mindenki csoportban.

    2. Példa kompatibilitási problémákra
       
       A következő érték:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous [REG_DWORD]=0x0 megszakítja a megbízhatósági kapcsolat létrehozását a Windows Server 2003 és a Windows NT 4.0 között, ha a Windows Server 2003 tartomány a fiók tartománya, és a Windows NT 4.0 tartomány az erőforrástartomány. Ez azt jelenti, hogy a fióktartomány Megbízható a Windows NT 4.0-n, az erőforrástartomány pedig a Windows Server 2003-on megbízható. Ez a viselkedés azért fordul elő, mert a kezdeti névtelen kapcsolat után a megbízhatósági kapcsolat indításának folyamata a Windows NT 4.0 névtelen BIZTONSÁGI azonosítóját tartalmazó Mindenki jogkivonattal történik.

    3. A beállítás
       
       módosításának okai Az értéket 0x1 vagy a tartományvezérlő szervezeti egységében lévő csoportházirend-objektummal kell beállítani: Hálózati hozzáférés: Mindenki engedélyeinek alkalmazása névtelen felhasználókra – Engedélyezve a megbízhatósági kapcsolatok létrehozásának lehetővé tétele.
       
       Megjegyzés: A legtöbb egyéb biztonsági beállítás értékben felfelé halad ahelyett, hogy le 0x0 a legbiztonságosabb állapotban. Biztonságosabb eljárás a beállításjegyzék módosítása az elsődleges tartományvezérlő emulátorán az összes tartományvezérlő helyett. Ha az elsődleges tartományvezérlő emulátori szerepkörét bármilyen okból áthelyezik, a beállításjegyzéket frissíteni kell az új kiszolgálón.
       
       Az érték beállítása után újra kell indítani.

    4. Beállításjegyzék elérési útja

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

15. NTLMv2-hitelesítés

    1. Munkamenet biztonsága
       
       A munkamenet-biztonság határozza meg az ügyfél- és kiszolgáló-munkamenetek minimális biztonsági szabványait. Érdemes ellenőrizni a következő biztonsági házirend-beállításokat a Microsoft Management Console Csoportházirend Editor beépülő modulban:

       • Számítógép beállításai\Windows-beállítások\Biztonsági beállítások\Helyi házirendek\Biztonsági beállítások

       • Hálózati biztonság: Minimális munkamenet-biztonság NTLM SSP-alapú (beleértve a biztonságos RPC-kiszolgálókat is) esetén

       • Hálózati biztonság: Minimális munkamenet-biztonság az NTLM SSP-alapú (beleértve a biztonságos RPC-ügyfeleket is)

       Ezek a beállítások a következők:

       • Üzenetintegritás megkövetelése

       • Üzenet titkosságának megkövetelése

       • Az NTLM 2-es verziójának munkamenetbiztonságának megkövetelése

       • 128 bites titkosítás megkövetelése

       A Windows 7 előtti alapértelmezett beállítás a Nincs követelmény. A Windows 7-től kezdődően az alapértelmezett beállítás 128 bites titkosítást igényel a nagyobb biztonság érdekében. Ezzel az alapértelmezett beállítással a 128 bites titkosítást nem támogató örökölt eszközök nem fognak tudni csatlakozni.
       
       Ezek a szabályzatok határozzák meg az alkalmazások közötti kommunikációs munkamenetek minimális biztonsági szabványait egy ügyfél kiszolgálóján.
       
       Vegye figyelembe, hogy bár érvényes beállításokként van leírva, az üzenetek integritását és titkosságát megkövetelő jelzők nem használatosak az NTLM-munkamenet biztonságának meghatározásakor.
       
       A Windows NT korábban a hálózati bejelentkezések kihívás/válasz hitelesítésének alábbi két változatát támogatja:

       • LM-feladat/válasz

       • Az NTLM 1-es verziójának feladványa/válasza

       A LM lehetővé teszi az ügyfelek és kiszolgálók telepített bázisával való együttműködést. Az NTLM nagyobb biztonságot nyújt az ügyfelek és a kiszolgálók közötti kapcsolatokhoz.
       
       A megfelelő beállításkulcsok a következők:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

    2. Kockázatos konfigurációk
       
       Ez a beállítás szabályozza, hogy a hálózati munkamenetek hogyan legyenek védve az NTLM használatával. Ez hatással van például az NTLM-sel hitelesített RPC-alapú munkamenetekre. A következő kockázatok merülnek fel:

       • Az NTLMv2-nél régebbi hitelesítési módszerek használata megkönnyíti a kommunikáció támadását a használt egyszerűbb kivonatolási módszerek miatt.

       • A 128 bitesnél kisebb titkosítási kulcsok használatával a támadók találgatásos támadásokkal megszakítják a kommunikációt.

Időszinkronizálás

Az időszinkronizálás nem sikerült. Az idő egy érintett számítógépen több mint 30 perccel ki van kapcsolva. Győződjön meg arról, hogy az ügyfélszámítógép órája szinkronizálva van a tartományvezérlő órájával.

Megkerülő megoldás az SMB-aláíráshoz

Javasoljuk, hogy telepítse a Service Pack 6a (SP6a) szervizcsomagot a Windows Server 2003-alapú tartományban együttműködő Windows NT 4.0-ügyfelekre. A Windows 98 Second Edition-alapú ügyfeleknek, a Windows 98-alapú ügyfeleknek és a Windows 95-alapú ügyfeleknek futtatniuk kell a Directory Services-ügyfelet az NTLMv2 végrehajtásához. Ha a Windows NT 4.0-alapú ügyfeleken nincs telepítve a Windows NT 4.0 SP6, vagy ha a Windows 95-alapú ügyfelek, a Windows 98-alapú ügyfelek és a Windows 98SE-alapú ügyfeleken nincs telepítve a Címtárszolgáltatás-ügyfél, tiltsa le az SMB-bejelentkezést az alapértelmezett tartományvezérlő házirendbeállításában a tartományvezérlő szervezeti egységén, majd kapcsolja ezt a házirendet az összes tartományvezérlőt üzemeltető szervezeti egységhez.

A Windows 98 Második kiadáshoz, a Windows 98-hoz és a Windows 95-höz készült Címtárszolgáltatás-ügyfél SMB-aláírást végez Windows 2003-kiszolgálókkal NTLM-hitelesítés alatt, de NTLMv2-hitelesítés alatt nem. Emellett a Windows 2000-kiszolgálók nem válaszolnak az ügyfelektől érkező SMB-aláírási kérésekre.

Bár nem javasoljuk, megakadályozhatja, hogy SMB-aláírásra legyen szükség az összes olyan tartományvezérlőn, amely Windows Server 2003 rendszert futtat egy tartományban. A biztonsági beállítás konfigurálásához kövesse az alábbi lépéseket:

1. Nyissa meg az alapértelmezett tartományvezérlő házirendjét.

2. Nyissa meg a Számítógép konfigurációja\Windows-beállítások\Biztonsági beállítások\Helyi házirendek\Biztonsági beállítások mappát.

3. Keresse meg, majd kattintson a Microsoft hálózati kiszolgálóra: A kommunikáció digitális aláírása (mindig) házirend-beállítás, majd kattintson a Letiltva lehetőségre.

Fontos: Ez a szakasz, metódus vagy feladat olyan lépéseket tartalmaz, amelyekből megtudhatja, hogyan módosíthatja a beállításjegyzéket. Ha azonban helytelenül módosítja a beállításjegyzéket, komoly problémák léphetnek fel. Ezért ügyeljen arra, hogy gondosan kövesse ezeket a lépéseket. A további védelem érdekében a módosítás előtt biztonsági másolatot kell készítenie a beállításjegyzékről. Ezután probléma esetén visszaállíthatja a beállításjegyzéket. A beállításjegyzék biztonsági mentésével és visszaállításával kapcsolatos további információkért kattintson a következő cikkszámra a cikk microsoftos tudásbázisban való megtekintéséhez:

322756 A beállításjegyzék biztonsági mentésének és visszaállításának módját a Windowsban is kikapcsolhatja az SMB-aláírást a kiszolgálón a beállításjegyzék módosításával. Ehhez kövesse a következő lépéseket:

1. Kattintson a Start menüFuttatás parancsára, írja be a regedit parancsot, majd kattintson az OK gombra.

2. Keresse meg a következő alkulcsot, majd kattintson rá:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

3. Kattintson az enablesecuritysignature bejegyzésre.

4. A Szerkesztés menüben kattintson a Módosítás gombra.

5. Az Érték adatmezőbe írja be a 0 értéket, majd kattintson az OK gombra.

6. Lépjen ki a Beállításszerkesztőből.

7. Indítsa újra a számítógépet, vagy állítsa le, majd indítsa újra a Kiszolgáló szolgáltatást. Ehhez írja be a következő parancsokat egy parancssorba, majd nyomja le az Enter billentyűt az egyes parancsok beírása után:
   net stop server
   net start server

Megjegyzés: Az ügyfélszámítógép megfelelő kulcsa a következő beállításjegyzék-alkulcsban található:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters Az alábbiakban felsoroljuk a korábban említett állapotkódok és szó szerinti hibaüzenetek lefordított hibakódszámait:

További információért kattintson a következő cikkszámokra a Microsoft Tudásbázis cikkeinek megtekintéséhez:

324802 Csoportházirendek konfigurálása a rendszerszolgáltatások biztonságának beállításához a Windows Server 2003-ban

816585 Előre definiált biztonsági sablonok alkalmazása a Windows Server 2003-ban