Anda sedang offline saat ini, menunggu internet Anda untuk menyambung kembali

Klien, Layanan, dan program masalah dapat terjadi jika Anda mengubah pengaturan keamanan dan penetapan hak pengguna

Dukungan untuk Windows XP telah berakhir

Microsoft mengakhiri dukungan untuk Windows XP pada 8 April 2014. Perubahan ini telah memengaruhi pemutakhiran perangkat lunak dan opsi keamanan Anda. Pelajari apa artinya ini bagi Anda dan cara untuk tetap terlindungi.

Dukungan untuk Windows Server 2003 berakhir pada 14 Juli 2015

Microsoft mengakhiri dukungan untuk Windows Server 2003 pada 14 Juli 2015. Perubahan ini telah memengaruhi pemutakhiran perangkat lunak dan opsi keamanan Anda. Pelajari apa artinya ini bagi Anda dan cara untuk tetap terlindungi.

PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.

Klik disini untuk melihat versi Inggris dari artikel ini: 823659
Ringkasan
Pengaturan keamanan dan penetapan hak pengguna dapat diubah di lokal dan Kebijakan Grup untuk membantu kencangkan keamanan pada komputer anggota dan pengendali domain. Namun, kelemahan keamanan yang ditingkatkan adalah pendahuluan tidak kompatibel dengan klien, Layanan, dan program.

Artikel ini menjelaskan tidak kompatibel yang dapat terjadi pada komputer klien yang menjalankan Windows XP, atau versi yang lebih lawas dari Windows, saat Anda mengubah pengaturan khusus keamanan dan penetapan hak pengguna di domain Windows Server 2003 atau Windows Server domain yang lebih lawas.

Untuk informasi tentang Kebijakan Grup untuk Windows 7, Windows Server 2008 R2 dan Windows Server 2008, lihat artikel berikut ini: Catatan: Konten yang tersisa di dalam artikel ini bersifat spesifik untuk Windows XP, Windows Server 2003 dan Windows versi sebelumnya.

Windows XP

Klik di sini untuk melihat informasi yang spesifik untuk Windows XP
Untuk meningkatkan kesadaran pengaturan keamanan misconfigured, gunakan alat Penyunting objek Kebijakan Grup untuk mengubah pengaturan keamanan. Ketika Anda menggunakan Penyunting objek Kebijakan Grup, penetapan hak pengguna yang ditingkatkan pada sistem operasi berikut:
  • Windows XP Professional Service Pack 2 (SP2)
  • Windows Server 2003 Service Pack 1 (SP1)
Fitur peningkatan adalah kotak dialog yang berisi tautan ke artikel ini. kotak dialog akan muncul ketika Anda mengubah pengaturan keamanan atau penetapan hak pengguna untuk pengaturan yang menawarkan kompatibilitas mundur kurang dan lebih ketat. Jika Anda secara langsung mengubah keamanan pengaturan pengguna atau hak tugas yang sama dengan menggunakan registri atau dengan menggunakan pola dasar keamanan, efek yang sama dengan mengubah pengaturan pada Penyunting objek Kebijakan Grup. Namun, kotak dialog yang berisi link untuk artikel ini tidak muncul.

Artikel ini berisi contoh klien, program, dan operasi yang terpengaruh dengan pengaturan keamanan tertentu atau penetapan hak pengguna. Namun, contoh tidak otoritatif untuk semua sistem operasi Microsoft, semua sistem operasi pihak ketiga, atau untuk semua versi program yang terpengaruh. Tidak semua pengaturan keamanan dan penetapan hak pengguna disertakan dalam artikel ini.

Kami menyarankan Anda untuk memvalidasi kompatibilitas mundur semua perubahan konfigurasi yang berhubungan dengan keamanan di hutan uji sebelum Anda memperkenalkan mereka di lingkungan produksi. Uji hutan harus cermin hutan produksi dengan cara berikut:
  • Versi sistem operasi klien dan server, klien andserver program, versi Service Pack, hotfix, skema perubahan, securitygroups, keanggotaan grup, izin pada objek dalam sistem berkas, sharedfolders, registri, layanan direktori direktori aktif, lokal dan GroupPolicy pengaturan, dan objek menghitung jenis dan lokasi
  • Tugas administratif yang dilakukan, administrativetools yang digunakan, dan sistem operasi yang digunakan untuk tugas-tugas performadministrative
  • Operasi yang dijalankan, seperti berikut ini:
    • Komputer dan log masuk otentikasi pengguna
    • Me-reset sandi pengguna, komputer dan oleh administrator
    • Penjelajahan
    • Menetapkan izin sistem berkas, untuk folder berbagi, untuk registri, dan sumber daya Active Directory menggunakan ACL Editor di semua sistem operasi klien di semua akun domain sumber daya dari semua sistem operasi klien dari semua account atau sumber daya domain
    • Mencetak dari akun administratif dan nonadministratif

Windows Server 2003 SP1

Klik di sini untuk melihat informasi yang spesifik untuk Windows Server SP1

Peringatan di Gpedit.msc

Untuk membantu membuat pelanggan menyadari bahwa mereka mengedit hak pengguna atau opsi keamanan yang dapat sangat mempengaruhi jaringan mereka, dua mekanisme peringatan ditambahkan ke gpedit.msc. Ketika administrator mengedit hak pengguna yang dapat mempengaruhi seluruh perusahaan, mereka akan melihat ikon baru yang mirip tanda hasil. Mereka juga akan menerima pesan peringatan yang memiliki tautan ke artikel Pangkalan Pengetahuan Microsoft 823659. Teks dari pesan ini adalah sebagai berikut:
Mengubah pengaturan ini dapat mempengaruhi kompatibilitas mundur dengan klien, Layanan dan aplikasi. Untuk informasi selengkapnya, lihat <user right="" or="" security="" option="" being="" modified="">(Q823659)</user>
Jika Anda diarahkan ke artikel Pangkalan Pengetahuan ini dari tautan dalam Gpedit.msc, pastikan bahwa Anda membaca dan memahami penjelasan yang disediakan dan mungkin berlaku untuk mengubah pengaturan ini. Berikut ini mencantumkan hak pengguna yang berisi teks peringatan:
  • Mengakses komputer ini dari jaringan
  • Log masuk secara lokal
  • Bypass melewati pemeriksaan
  • Mengaktifkan komputer dan pengguna untuk delegasi terpercaya
Berikut ini mencantumkan opsi keamanan yang memiliki peringatan dan pesan pop-up:
  • Anggota domain: Digital mengenkripsi atau tanda saluran aman data (selalu)
  • Anggota domain: Memerlukan strong (Windows 2000 atau versi yang lebih baru) sesi bukti kunci
  • Pengontrol domain: Persyaratan penandatanganan server LDAP
  • Server jaringan Microsoft: menandatangani komunikasi (selalu)
  • Akses jaringan: Memungkinkan anonim Sid / nama terjemahan
  • Akses jaringan: Tidak mengizinkan anonim enumerasi Sam akun dan berbagi
  • Keamanan jaringan: Tingkat autentikasi LAN Manager
  • Audit: Mematikan sistem segera jika tidak dapat log audit keamanan
  • Akses jaringan: Persyaratan penandatanganan klien LDAP
Informasi lebih lanjut
Bagian berikut menguraikan tidak kompatibel yang dapat terjadi ketika Anda mengubah pengaturan khusus di domain Windows NT 4.0, Windows 2000 domain dan domain Windows Server 2003.

Hak pengguna

Klik di sini untuk melihat informasi tentang hak pengguna
Daftar berikut menjelaskan hak pengguna, mengidentifikasi pengaturan konfigurasi yang dapat menyebabkan masalah, menjelaskan mengapa Anda harus menerapkan pengguna benar dan mengapa Anda mungkin ingin menghapus hak pengguna, dan memberikan contoh masalah kompatibilitas mundur yang mungkin terjadi saat pengguna yang tepat dikonfigurasi.
  1. Mengakses komputer ini dari jaringan
    1. Latar belakang

      Kemampuan untuk berinteraksi dengan komputer jauh berbasis Windows memerlukan hak pengguna akses komputer ini dari jaringan . Operasi jaringan seperti contoh berikut ini:
      • Replikasi direktori aktif antara pengendali domain di domain umum atau hutan
      • Permintaan otentikasi ke pengendali domain dari pengguna dan komputer
      • Akses ke folder berbagi, printer, dan layanan sistem lainnya yang terletak di komputer jauh di jaringan


      Pengguna, komputer, dan akun Layanan mendapatkan atau kehilangan akses komputer ini dari jaringan hak pengguna dengan secara eksplisit implisit ditambahkan atau dihapus dari kelompok keamanan yang telah diberikan hak pengguna ini. Sebagai contoh, akun pengguna atau account komputer mungkin secara eksplisit ditambahkan ke kelompok keamanan kustom atau kelompok keamanan internal oleh administrator, atau dapat implisit ditambahkan oleh sistem operasi ke kelompok keamanan dihitung seperti pengguna Domain, pengguna terotentikasi atau pengontrol Domain perusahaan.

      secara asali, account pengguna dan komputer akun yang diberikan pengguna akses komputer ini dari jaringan benar ketika dihitung grup seperti siapa saja, sebaiknya, Authenticated pengguna atau dan, untuk pengontrol domain, grup perusahaan pengontrol Domain, ditetapkan di pengontrol domain bawaan objek Kebijakan Grup (GPO).
    2. Konfigurasi berisiko

      Berikut ini adalah pengaturan konfigurasi berbahaya:
      • Menghapus kelompok keamanan pengontrol Domain perusahaan dari hak pengguna
      • Hapus Grup pengguna terotentikasi atau grup eksplisit yang memungkinkan pengguna, komputer, dan akun Layanan hak pengguna menyambung ke komputer melalui jaringan
      • Menghapus semua pengguna dan komputer dari hak pengguna
    3. Alasan untuk memberi hak pengguna
      • Memberikan akses komputer ini dari jaringan hak pengguna ke grup perusahaan pengontrol Domain memenuhi persyaratan otentikasi yang harus replikasi direktori aktif untuk replikasi terjadi antara pengendali domain di hutan yang sama.
      • Hak pengguna ini memungkinkan pengguna dan komputer untuk mengakses berkas bersama, printer, dan layanan sistem, termasuk direktori aktif.
      • Hak pengguna ini diperlukan bagi pengguna untuk mengakses surat menggunakan versi awal Microsoft Outlook Web Access (OWA).
    4. Alasan untuk menghapus hak pengguna
      • Pengguna yang dapat menyambungkan komputer ke jaringan dapat mengakses sumber pada komputer jauh yang mereka memiliki izin untuk. Sebagai contoh, hak pengguna ini diperlukan bagi pengguna untuk terhubung ke printer bersama dan map. Jika hak pengguna ini diberikan kepada siapa saja grup, dan jika beberapa folder berbagi memiliki berbagi dan izin sistem berkas NTFS dikonfigurasi sehingga kelompok yang sama memiliki akses baca, siapapun dapat melihat berkas di folder berbagi tersebut. Namun, ini adalah situasi yang mungkin untuk penginstalan baru Windows Server 2003 karena berbagi default dan izin NTFS di Windows Server 2003 tidak termasuk grup siapa saja. Untuk sistem yang ditingkatkan dari Microsoft Windows NT 4.0 atau Windows 2000, kerentanan ini mungkin memiliki tingkat yang lebih tinggi risiko karena berbagi default dan izin sistem berkas untuk sistem operasi ini tidak terbatas sebagai izin asali di Windows Server 2003.
      • Ada alasan valid untuk Hapus Grup pengontrol Domain perusahaan dari hak pengguna ini.
      • Grup siapa saja umumnya dihapus mendukung kelompok pengguna yang diotentikasi. Jika grup siapa saja dihapus, kelompok pengguna yang diotentikasi harus diberikan hak pengguna ini.
      • Domain Windows NT 4.0 yang ditingkatkan ke Windows 2000 secara eksplisit memberikan akses komputer ini dari jaringan pengguna hak untuk grup siapa saja, kelompok pengguna yang diotentikasi atau grup perusahaan pengontrol Domain. Oleh karena itu, ketika Anda Hapus Grup siapa saja dari kebijakan domain Windows NT 4.0, replikasi direktori aktif akan gagal dengan pesan galat "Akses ditolak" setelah Anda meng-upgrade ke Windows 2000. Winnt32.exe di Windows Server 2003 menghindari misconfiguration ini dengan memberikan pengontrol Domain perusahaan grup hak pengguna ini saat Anda meng-upgrade Windows NT 4.0 pengendali domain utama (PDCs). Memberikan pengontrol Domain perusahaan Grup pengguna ini benar jika tidak ada dalam Penyunting objek Kebijakan Grup.
    5. Contoh dari masalah kompatibilitas mundur
      • Windows 2000 dan Windows Server 2003: Replikasi partisi berikut ini akan gagal dengan galat "Akses ditolak" seperti yang dilaporkan oleh alat seperti REPLMON pemantauan dan peristiwa REPADMIN atau replikasi dalam acara log.
        • Partisi skema direktori aktif
        • Konfigurasi partisi
        • Partisi domain
        • Partisi Katalog global
        • Aplikasi partisi
      • sistem operasi Microsoft semua jaringan: Otentikasi akun pengguna dari komputer klien jaringan jauh akan gagal kecuali pengguna atau kelompok keamanan yang pengguna yang telah diberikan hak pengguna ini.
      • sistem operasi Microsoft semua jaringan: Otentikasi akun dari klien jaringan jauh akan gagal kecuali akun atau account yang merupakan anggota dari kelompok keamanan yang telah diberikan pengguna ini benar. Skenario ini berlaku untuk akun pengguna, komputer akun, dan akun layanan.
      • sistem operasi Microsoft semua jaringan: Menghapus semua akun dari hak pengguna ini akan mencegah akun dari log on ke domain atau mengakses sumber jaringan. Jika dihitung grup seperti Enterprise pengontrol Domain, semua orang, atau pengguna terotentikasi dihapus, Anda harus secara eksplisit memberi hak pengguna ini untuk account atau kelompok keamanan yang akun anggota untuk mengakses komputer jarak jauh melalui jaringan. Skenario ini berlaku untuk semua account pengguna, Semua komputer akun, dan Semua layanan akun.
      • sistem operasi Microsoft semua jaringan: Account administrator lokal menggunakan sandi "kosong". Konektivitas jaringan dengan sandi kosong tidak diizinkan untuk akun administrator di lingkungan domain. Dengan konfigurasi ini, Anda akan menerima pesan galat "Akses ditolak".
  2. Mengizinkan log di lokal
    1. Latar belakang

      Pengguna yang sedang berusaha log masuk pada konsol komputer berbasis Windows (dengan menggunakan pintasan papan tombol tekan CTRL + ALT + DELETE) dan akun yang mencoba untuk memulai layanan harus memiliki hak log masuk lokal pada komputer host. Contoh operasi log masuk lokal termasuk administrator yang masuk ke konsol komputer anggota atau pengontrol domain seluruh perusahaan dan domain pengguna yang log on ke komputer anggota untuk mengakses desktop mereka menggunakan akun non-istimewa. Pengguna yang menggunakan sambungan Desktop jarak jauh atau layanan Terminal harus minta pengguna Izinkan log masuk secara lokal pada komputer tujuan yang menjalankan Windows 2000 atau Windows XP karena mode log masuk ini dianggap lokal pada komputer host. Pengguna yang log on ke server Terminal Server telah diaktifkan dan yang tidak memiliki hak pengguna ini dapat masih memulai sesi interaktif jarak jauh di domain Windows Server 2003 jika mereka memiliki hak pengguna Izinkan log masuk melalui Layanan Terminal .
    2. Konfigurasi berisiko

      Berikut ini adalah pengaturan konfigurasi berbahaya:
      • Hapus Grup administratif keamanan, termasuk akun operator, operator cadangan, cetak operator atau operator Server, dan grup administrator internal dari pengendali domain bawaan kebijakan.
      • Menghapus akun layanan yang digunakan oleh komponen dan program pada komputer anggota dan pengendali domain di domain dari pengendali domain bawaan kebijakan.
      • Menghapus pengguna atau kelompok keamanan yang log masuk ke konsol komputer anggota domain.
      • Menghapus akun layanan yang ditetapkan di pangkalan data manajer akun keamanan (SAM) lokal komputer anggota atau komputer grup kerja.
      • Menghapus non-dibangun-di Administrasi akun yang mengotentikasi melalui Layanan Terminal yang dijalankan di pengontrol domain.
      • Menambahkan semua akun pengguna di domain secara eksplisit atau implisit melalui siapa saja kelompok Tolak log masuk secara lokal log masuk benar. Konfigurasi ini akan mencegah pengguna dari log ke komputer anggota atau apa pun pengendali domain di domain.
    3. Alasan untuk memberi hak pengguna
      • Pengguna harus memiliki hak pengguna Izinkan log masuk secara lokal untuk mengakses konsol atau desktop komputer grup kerja, komputer anggota atau pengontrol domain.
      • Pengguna harus memiliki hak pengguna untuk masuk ke sesi layanan Terminal yang dijalankan di komputer berbasis Window 2000 anggota atau pengontrol domain.
    4. Alasan untuk menghapus hak pengguna
      • Kegagalan untuk membatasi konsol akses ke akun pengguna yang sah dapat menyebabkan pengguna yang tidak sah mengunduh dan menjalankan kode berbahaya untuk mengubah hak pengguna mereka.
      • Penghapusan Izinkan log masuk secara lokal pengguna benar mencegah tidak sah log masuk pada konsol komputer, seperti pengontrol domain atau server aplikasi.
      • Penghapusan hak log masuk ini mencegah account non-domain log masuk pada konsol komputer anggota domain.
    5. Contoh dari masalah kompatibilitas mundur
      • Server terminal Windows 2000:Izinkan log masuk secara lokal pengguna yang tepat diperlukan bagi pengguna untuk masuk ke server terminal Windows 2000.
      • Windows NT 4.0, Windows 2000, Windows XP, atau Windows Server 2003: Akun pengguna harus diberikan hak pengguna untuk masuk pada konsol komputer yang menjalankan Windows NT 4.0, Windows 2000, Windows XP, atau Windows Server 2003.
      • Windows NT 4.0 dan yang lebih baru: Pada komputer yang menjalankan Windows NT 4.0 dan kemudian, jika Anda menambahkan Izinkan log masuk secara lokal pengguna, tetapi Anda secara implisit atau secara eksplisit juga memberi hak log masuk Tolak log masuk secara lokal , akun tidak dapat login ke konsol pengontrol domain.
  3. Bypass melewati pemeriksaan
    1. Latar belakang

      Bypass melewati pemeriksaan hak pengguna memungkinkan pengguna untuk telusuri paling detail folder pada sistem berkas NTFS atau registri tanpa memeriksa izin akses khusus Melintasi Folder . Bypass melewati pemeriksaan hak pengguna tidak mengizinkan pengguna ke daftar isi map. Hal ini memungkinkan pengguna untuk melintasi hanya folder.
    2. Konfigurasi berisiko

      Berikut ini adalah pengaturan konfigurasi berbahaya:
      • Menghapus akun non-administratif yang log on ke komputer berbasis Windows 2000 Layanan Terminal atau komputer berbasis Windows Server 2003 Layanan Terminal yang tidak memiliki izin untuk mengakses berkas dan map di dalam sistem berkas.
      • Hapus Grup siapa saja dari daftar prinsip keamanan yang memiliki pengguna ini benar secara asali. sistem operasi Windows, dan juga banyak program, dirancang dengan harapan siapa pun yang sah dapat mengakses komputer akan mengabaikan melewati pemeriksaan pengguna yang tepat. Oleh karena itu, menghapus semua orang di grup dari daftar prinsip keamanan yang memiliki hak pengguna ini secara asali dapat menyebabkan ketidakstabilan sistem operasi atau kegagalan program. Sebaiknya Anda membiarkan pengaturan ini pada pengaturan.
    3. Alasan untuk memberi hak pengguna

      Pengaturan default untuk mengabaikan melewati pemeriksaan pengguna yang tepat adalah untuk mengizinkan orang bypass melewati pemeriksaan. Untuk administrator sistem Windows berpengalaman, ini adalah perilaku yang diharapkan, dan mereka mengkonfigurasi kendali daftar akses sistem berkas (SACLs) yang sesuai. Hanya skenario di mana konfigurasi default dapat mengakibatkan kecelakaan adalah jika administrator yang mengkonfigurasi izin tidak memahami perilaku dan mengharapkan bahwa pengguna yang tidak dapat mengakses folder induk tidak akan dapat mengakses konten folder anak-anak.
    4. Alasan untuk menghapus hak pengguna

      Untuk mencoba untuk mencegah akses ke berkas atau map di dalam sistem berkas, organisasi yang sangat khawatir tentang keamanan mungkin tergoda untuk Hapus Grup siapa saja, atau bahkan Grup pengguna, dari daftar Grup yang telah melewati pemeriksaan melintasi pengguna yang tepat.
    5. Contoh dari masalah kompatibilitas mundur
      • Windows 2000, Windows Server 2003: Jika pengguna Bypass melewati pemeriksaan kanan-atas dihapus atau salah pada komputer yang menjalankan Windows 2000 atau Windows Server 2003, tataan Kebijakan Grup di SYVOL folder tidak akan mengulangi antara pengendali domain di domain.
      • Windows 2000, Windows XP Professional, Windows Server 2003: Komputer yang menjalankan Windows 2000, Windows XP Professional, atau Windows Server 2003 akan mencatat peristiwa 1000 dan 1202 dan tidak dapat menerapkan kebijakan komputer dan kebijakan pengguna ketika izin sistem berkas yang diperlukan dihapus dari pohon SYSVOL jika Bypass melintasi memeriksa hak pengguna dihapus atau salah.

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        290647 ID peristiwa 1000, 1001 dicatat setiap lima menit dalam log peristiwa aplikasi
      • Windows 2000, Windows Server 2003: Pada komputer yang menjalankan Windows 2000 atau Windows Server 2003, tab kuota di Penjelajah Windows akan hilang ketika Anda melihat properti pada volume.
      • Windows 2000: Non-administrator yang log on ke server terminal Windows 2000 mungkin menerima pesan galat berikut:
        Galat aplikasi Userinit.exe. Aplikasi gagal menginisiasi dengan benar 0xc0000142 klik OK untuk menghentikan aplikasi.
        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        272142 Pengguna secara otomatis log ketika mencoba untuk log masuk ke layanan Terminal
      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Pengguna komputer yang menjalankan Windows NT 4.0, Windows 2000, Windows XP, atau Windows Server 2003 tidak dapat mengakses folder berbagi atau berkas di folder berbagi, dan mereka akan menerima pesan galat "Akses ditolak" jika mereka tidak diberikan hak pengguna Bypass melewati pemeriksaan .

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        277644 Pesan galat "Akses ditolak" saat pengguna berusaha mengakses folder berbagi
      • Windows NT 4.0: Pada komputer berbasis Windows NT 4.0, penghapusan Bypass melewati pemeriksaan hak pengguna akan menyebabkan kopi karbon berkas drop aliran berkas. Jika Anda menghapus hak pengguna ini, jika berkas yang disalin dari klien Windows atau dari klien Macintosh untuk pengontrol domain Windows NT 4.0 yang menjalankan layanan untuk Macintosh, aliran berkas tujuan hilang, dan berkas muncul sebagai berkas teks saja.

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        172930 Penghapusan "Bypass melewati pemeriksaan" membuat kopi karbon file drop aliran
      • Microsoft Windows 95, Microsoft Windows 98: Pada komputer klien yang menjalankan Windows 95 atau Windows 98, net use * / rumah perintah akan gagal dengan pesan galat "Akses ditolak" jika kelompok pengguna yang diotentikasi tidak diberikan hak pengguna Bypass melewati pemeriksaan .
      • Outlook Web Access: Non-administrator tidak dapat log masuk ke Microsoft Outlook Web Access, dan mereka akan menerima pesan galat "Akses ditolak" jika mereka tidak diberikan hak pengguna Bypass melewati pemeriksaan .

Pengaturan keamanan

Klik di sini untuk melihat informasi tentang pengaturan keamanan
Daftar berikut ini menunjukkan pengaturan keamanan, dan daftar bersarang menyediakan penjelasan tentang pengaturan keamanan, menunjukkan pengaturan konfigurasi yang dapat menyebabkan masalah, menjelaskan mengapa Anda harus menerapkan pengaturan keamanan, dan kemudian menjelaskan alasan mengapa Anda mungkin ingin menghapus pengaturan keamanan. Daftar bersarang kemudian memberikan nama simbolik untuk pengaturan keamanan dan lintasan registri pengaturan keamanan. Akhirnya, contoh disediakan masalah kompatibilitas mundur yang mungkin terjadi saat pengaturan keamanan dikonfigurasi.
  1. Audit: Mematikan sistem segera jika tidak dapat log audit keamanan
    1. Latar belakang
      • Audit: mematikan sistem segera jika tidak dapat log audit keamanan pengaturan menentukan apakah sistem mati apabila Anda tidak dapat log peristiwa keamanan. Pengaturan ini diperlukan untuk program terpercaya komputer keamanan kriteria evaluasi (TCSEC) C2 evaluasi dan umum kriteria evaluasi keamanan teknologi informasi untuk mencegah kejadian adminstrasi jika audit sistem tidak dapat log peristiwa tersebut. Apabila sistem audit gagal, sistem mematikan, dan muncul pesan galat Stop.
      • Jika komputer tidak merekam peristiwa ke log keamanan, bukti penting atau informasi pemecahan masalah penting mungkin tidak tersedia untuk meninjau setelah insiden keamanan.
    2. Konfigurasi berisiko

      Berikut ini adalah pengaturan konfigurasi berbahaya: Audit: mematikan sistem segera jika tidak dapat log audit keamanan pengaturan diaktifkan, dan ukuran log peristiwa keamanan dibatasi oleh opsi tidak menimpa peristiwa (menghapus log secara manual) , opsi menimpa kejadian seperlunya , atau Menimpa peristiwa lebih tua daripada nomor hari opsi pada Pemantau Peristiwa. Lihat bagian "Contoh masalah kompatibilitas" untuk informasi tentang risiko yang spesifik untuk komputer yang menjalankan versi rilis asli Windows 2000, Windows 2000 Service Pack 1 (SP1), Windows 2000 SP2 atau Windows 2000 SP3.
    3. Alasan untuk mengaktifkan pengaturan ini

      Jika komputer tidak merekam peristiwa ke log keamanan, bukti penting atau informasi pemecahan masalah penting mungkin tidak tersedia untuk meninjau setelah insiden keamanan.
    4. Alasan untuk menonaktifkan pengaturan ini
      • Mengaktifkan Audit: mematikan sistem segera jika tidak dapat log audit keamanan pengaturan berhenti sistem jika audit keamanan tidak dapat masuk karena alasan apa pun. Biasanya, kejadian tidak dapat dicatat saat log audit keamanan penuh dan ketika metode penyimpanan yang ditetapkan tidak menimpa peristiwa (menghapus log secara manual) opsi lainnya atau Menimpa peristiwa lebih tua daripada nomor hari opsi.
      • Beban administratif mengaktifkan Audit: mematikan sistem segera jika tidak dapat log audit keamanan pengaturan bisa sangat tinggi, terutama apabila Anda juga mengaktifkan opsi tidak menimpa peristiwa (menghapus log secara manual) untuk log keamanan. Pengaturan ini menyediakan untuk masing-masing akuntabilitas operator tindakan. Misalnya, administrator dapat menyetel ulang izin pada semua pengguna, komputer, dan grup di unit organisasi (OU) mana audit sudah diaktifkan dengan menggunakan akun administrator internal atau akun lain bersama dan kemudian menolak mereka untuk menyetel ulang izin tersebut. Namun, mengaktifkan tataan mengurangi ketahanan sistem karena server dapat dipaksa untuk mematikan oleh besar dengan log masuk peristiwa dan kegiatan keamanan lainnya yang ditulis ke log keamanan. Selain itu, karena mati bukan anggun, kerusakan yang dapat diperbaiki untuk sistem operasi, program, atau data dapat mengakibatkan. Meskipun NTFS menjamin bahwa integritas sistem berkas disimpan selama pematian ungraceful sistem, tidak dapat menjamin bahwa setiap file data untuk setiap program akan tetap dalam bentuk yang dapat digunakan apabila sistem memulai ulang.
    5. Nama simbolik:

      CrashOnAuditFail

    6. garis jatuh berseri registri:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)
    7. Contoh dari masalah kompatibilitas mundur
      • Windows 2000: Karena bug, komputer yang menjalankan versi rilis asli Windows 2000, Windows 2000 SP1, Windows 2000 SP2 atau Windows Server SP3 dapat menghentikan log peristiwa sebelum ukuran yang ditetapkan di opsi ukuran log maksimum untuk log peristiwa keamanan tercapai. Ini bug yang diperbaiki dalam Windows 2000 Service Pack 4 (SP4). Pastikan bahwa pengontrol domain Windows 2000 Anda memiliki Windows 2000 Service Pack diinstal sebelum Anda mempertimbangkan untuk mengaktifkan pengaturan ini 4.

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        312571 Log peristiwa berhenti log peristiwa sebelum mencapai ukuran log maksimum
      • Windows 2000, Windows Server 2003: Me-restart komputer yang menjalankan Windows 2000 atau Windows Server 2003 dapat berhenti merespons dan kemudian dapat secara spontan jika Audit: mematikan sistem segera jika tidak dapat log audit keamanan pengaturan diaktifkan, log keamanan lengkap, dan entri log peristiwa yang ada tidak dapat ditimpa. Saat komputer dimulai ulang, ditampilkan pesan galat Stop berikut ini:
        STOP: C0000244 {Audit gagal}
        Upaya untuk menghasilkan audit keamanan gagal.
        Untuk memulihkan, administrator harus log masuk, mengarsip log keamanan (opsional), Hapus log keamanan, dan kemudian membuat ulang opsi ini (opsional dan sesuai yang diperlukan).
      • Klien jaringan Microsoft untuk MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Non-administrator yang mencoba log on ke domain akan menerima pesan galat berikut:
        Account Anda dikonfigurasi untuk mencegah Anda menggunakan komputer ini. Coba komputer lain.
        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        160783 Pesan galat: pengguna tidak dapat log masuk ke komputer
      • Windows 2000: Pada komputer berbasis Windows 2000, non-administrator tidak dapat log masuk ke server akses jarak jauh, dan mereka akan menerima pesan galat yang mirip berikut ini:
        Tidak diketahui pengguna atau sandi buruk
        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        285665 Pesan galat: akun Anda dikonfigurasi untuk mencegah Anda menggunakan komputer ini
      • Windows 2000: Di pengontrol domain Windows 2000, Layanan Intersite perpesanan (Ismserv.exe) akan berhenti dan tidak bisa dimulai ulang. DCDIAG akan melaporkan galat sebagai "gagal uji Layanan ISMserv", dan peristiwa ID 1083 akan terdaftar dalam acara log.
      • Windows 2000: Pada pengontrol domain Windows 2000, replikasi direktori aktif akan gagal, dan pesan "Akses ditolak" akan ditampilkan jika log peristiwa keamanan penuh.
      • Microsoft Exchange 2000: Server yang menjalankan Exchange 2000 tidak akan dapat memasang pangkalan data penyimpanan informasi, dan peristiwa 2102 akan terdaftar dalam acara log.

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        314294 Pesan galat Exchange 2000 dibuat karena masalah Policytest dan SeSecurityPrivilege kanan-atas
      • Outlook, Outlook Web Access: Non-administrator tidak dapat mengakses surat mereka melalui Microsoft Outlook atau Microsoft Outlook Web Access, dan mereka akan menerima kesalahan 503.
  2. Kontroler domain: persyaratan penandatanganan server LDAP
    1. Latar belakang

      Pengontrol Domain: persyaratan penandatanganan server LDAP pengaturan keamanan menentukan apakah server protokol akses direktori ringan (LDAP) memerlukan berunding data penandatanganan klien LDAP. Nilai yang mungkin untuk setelan kebijakan ini adalah sebagai berikut:
      • None: Data penandatanganan tidak diperlukan untuk mengikat dengan server. Jika klien meminta data penandatanganan, server mendukung itu.
      • Memerlukan penandatanganan: Opsi data penandatanganan LDAP harus merundingkan kecuali Transport Layer Security Lapisan Soket Aman (TLS/SSL) sedang digunakan.
      • tidak ditetapkan: Pengaturan ini tidak diaktifkan atau dinonaktifkan.
    2. Konfigurasi berisiko

      Berikut ini adalah pengaturan konfigurasi berbahaya:
      • Mengaktifkan memerlukan penandatanganan di lingkungan di mana klien tidak mendukung penandatanganan LDAP atau mana penandatanganan LDAP sisi klien tidak diaktifkan di klien
      • Menerapkan Windows 2000 atau Windows Server 2003 Hisecdc.inf pola dasar keamanan di lingkungan di mana klien tidak mendukung penandatanganan LDAP atau mana penandatanganan LDAP sisi klien tidak diaktifkan
      • Menerapkan Windows 2000 atau Windows Server 2003 Hisecws.inf pola dasar keamanan di lingkungan di mana klien tidak mendukung penandatanganan LDAP atau mana penandatanganan LDAP sisi klien tidak diaktifkan
    3. Alasan untuk mengaktifkan pengaturan ini

      Lalu lintas jaringan yang tidak ditandatangani rentan terhadap serangan orang-di-tengah mana pembobol menangkap paket di antara klien dan server, mengubah paket, dan kemudian meneruskannya ke server. Pada saat perilaku ini terjadi di LDAP server, penyerang dapat menyebabkan server mengambil keputusan berdasarkan permintaan palsu dari klien LDAP. Anda dapat menurunkan risiko ini pada jaringan korporat dengan menerapkan langkah-langkah keamanan fisik yang kuat untuk membantu melindungi infrastruktur jaringan. Mode kop otentikasi Internet Protocol security (IPSec) dapat membantu mencegah orang-di-tengah serangan. Mode kop otentikasi melakukan saling otentikasi dan integritas paket IP lalu lintas.
    4. Alasan untuk menonaktifkan pengaturan ini
      • Klien yang tidak mendukung penandatanganan LDAP tidak dapat melakukan permintaan LDAP terhadap pengontrol domain dan terhadap Katalog global jika otentikasi NTLM negosiasi dan Service Pack yang benar tidak diinstal di pengontrol domain Windows 2000.
      • Jejak jaringan lalu lintas LDAP antara klien dan server akan dienkripsi. Hal ini sulit untuk memeriksa percakapan LDAP.
      • Server berbasis Windows 2000 harus memasang Windows 2000 Service Pack 3 (SP3) atau saat mereka dikelola dengan program dukungan LDAP penandatanganan yang akan dijalankan dari komputer klien yang menjalankan Windows 2000 SP4, Windows XP, atau Windows Server 2003. Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        325465 Pengontrol domain Windows 2000 memerlukan Service Pack 3 atau setelahnya saat menggunakan alat administrasi Windows Server 2003
    5. Nama simbolik:

      LDAPServerIntegrity
    6. garis jatuh berseri registri:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)
    7. Contoh dari masalah kompatibilitas mundur
      • Pengikatan sederhana akan gagal, dan Anda akan menerima pesan galat berikut:
        Ldap_simple_bind_s() failed: Strong Authentication Required.
      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Pada klien yang menjalankan Windows 2000 SP4, Windows XP, atau Windows Server 2003, beberapa alat administrasi direktori aktif tidak akan beroperasi dengan benar terhadap pengontrol domain yang menjalankan versi Windows 2000 yang lebih lawas dari SP3 ketika otentikasi NTLM negosiasi.

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        325465 Pengontrol domain Windows 2000 memerlukan Service Pack 3 atau setelahnya saat menggunakan alat administrasi Windows Server 2003
      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Pada klien yang menjalankan Windows 2000 SP4, Windows XP, atau Windows Server 2003, alat administrasi direktori aktif yang menargetkan pengendali domain yang menjalankan versi Windows 2000 yang lebih lawas dari akan SP3 tidak beroperasi dengan benar jika mereka menggunakan alamat penyuratan IP (misalnya, "dsa.msc/server =x.x.x.x"mana x.x.x.x adalah alamat penyuratan IP).

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        325465 Pengontrol domain Windows 2000 memerlukan Service Pack 3 atau setelahnya saat menggunakan alat administrasi Windows Server 2003
      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Pada klien yang menjalankan Windows 2000 SP4, Windows XP, atau Windows Server 2003, beberapa alat administrasi Active Directory target pengendali domain yang menjalankan versi Windows 2000 yang lebih lawas dari SP3 tidak akan beroperasi dengan benar.

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        325465 Pengontrol domain Windows 2000 memerlukan Service Pack 3 atau setelahnya saat menggunakan alat administrasi Windows Server 2003
  3. Anggota domain: memerlukan bukti kunci sesi (Windows 2000 atau yang lebih baru) yang kuat
    1. Latar belakang
      • Anggota Domain: memerlukan bukti kunci sesi (Windows 2000 atau yang lebih baru) yang kuat pengaturan menentukan apakah saluran aman dapat dibuat dengan pengendali domain yang tidak dapat mengenkripsi lalu lintas saluran aman dengan bukti kunci sesi yang kuat, 128-bit. Mengaktifkan pengaturan ini mencegah membangun saluran aman dengan pengontrol domain yang tidak dapat mengenkripsi data saluran aman dengan bukti kunci yang kuat. Menonaktifkan pengaturan ini memungkinkan bukti kunci sesi 64-bit.
      • Sebelum Anda dapat mengaktifkan pengaturan ini pada anggota workstation atau server, Semua pengontrol domain di domain yang dimiliki anggota harus dapat mengenkripsi data saluran aman dengan bukti kunci yang kuat, 128-bit. Ini berarti bahwa semua pengontrol domain harus menjalankan Windows 2000 atau sesudahnya.
    2. Konfigurasi berisiko

      Mengaktifkan anggota Domain: memerlukan bukti kunci sesi (Windows 2000 atau yang lebih baru) yang kuat pengaturan adalah pengaturan konfigurasi berbahaya.
    3. Alasan untuk mengaktifkan pengaturan ini
      • Sesi bukti kunci yang digunakan untuk membuat saluran aman komunikasi antara komputer anggota dan pengendali domain jauh lebih kuat pada Windows 2000 daripada versi sistem operasi Microsoft.
      • Bila mungkin, ini adalah ide yang baik untuk manfaatkan dari bukti kunci sesi ini lebih kuat untuk membantu melindungi komunikasi saluran aman dari menguping dan sesi pembajakan serangan jaringan. Eavesdropping adalah bentuk serangan berbahaya mana data jaringan dibaca atau diubah dalam transit. Data dapat dimodifikasi untuk menyembunyikan atau mengubah pengirim, atau untuk mengarahkan itu.
      Penting Komputer yang menjalankan Windows Server 2008 R2 atau Windows 7 mendukung hanya kuat bukti kunci ketika saluran aman digunakan. Pembatasan ini mencegah kepercayaan antara domain berbasis Windows NT 4.0 dan domain berbasis Windows Server 2008 R2. Selain itu, pembatasan ini memblokir keanggotaan domain berbasis Windows NT 4.0 dari komputer yang menjalankan Windows 7 atau Windows Server 2008 R2, dan sebaliknya.
    4. Alasan untuk menonaktifkan pengaturan ini

      Domain yang berisi anggota komputer yang menjalankan sistem operasi selain Windows 2000, Windows XP, atau Windows Server 2003.
    5. Nama simbolik:

      StrongKey
    6. garis jatuh berseri registri:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)
    7. Contoh dari masalah kompatibilitas mundur

      Windows NT 4.0: Pada komputer berbasis Windows NT 4.0, mereset saluran aman hubungan kepercayaan antara Windows NT 4.0 dan domain Windows 2000 dengan NLTEST gagal. Ditampilkan pesan galat "Akses ditolak":
      Hubungan kepercayaan domain primer dan domain terpercaya gagal.

      Windows 7 dan Server 2008 R2: Untuk Windows 7 dan versi yang lebih baru dan Windows Server 2008 R2 dan versi yang lebih baru, pengaturan ini tidak dibutuhkan lagi dan bukti kunci yang kuat selalu digunakan. Oleh karena itu, kepercayaan dengan domain Windows NT 4.0 tidak berfungsi lagi.
  4. Anggota domain: Digital mengenkripsi atau tanda saluran aman data (selalu)
    1. Latar belakang
      • Mengaktifkan anggota Domain: Digital mengenkripsi atau tanda saluran aman data (selalu) mencegah membangun saluran aman dengan pengontrol domain yang tidak dapat masuk atau mengenkripsi semua data saluran aman. Untuk membantu melindungi lalu lintas otentikasi dari serangan orang-di-tengah, menyulitkan serangan putar ulang, dan jenis serangan jaringan lain, komputer berbasis Windows membuat sebuah saluran komunikasi yang dikenal sebagai saluran aman melalui layanan Net log masuk untuk mengotentikasi komputer akun. Saluran aman juga digunakan saat pengguna di satu domain menyambung ke sumber daya jaringan di domain jauh. Otentikasi multidomain atau kirim langsung otentikasi, ini memungkinkan komputer berbasis Windows yang telah bergabung dengan domain memiliki akses ke pangkalan data account pengguna pada domainnya dan setiap domain yang terpercaya.
      • Untuk mengaktifkan anggota Domain: Digital mengenkripsi atau tanda saluran aman data (selalu) pengaturan pada komputer anggota, Semua pengontrol domain di domain yang dimiliki anggota harus dapat masuk atau mengenkripsi semua data saluran aman. Ini berarti bahwa semua pengontrol domain tersebut harus menjalankan Windows NT 4.0 dengan Service Pack 6a (SP6a) atau yang lebih baru.
      • Mengaktifkan anggota Domain: Digital mengenkripsi atau tanda saluran aman data (selalu) pengaturan secara otomatis memungkinkan anggota Domain: Digital mengenkripsi atau tanda saluran aman data (jika tersedia) pengaturan.
    2. Konfigurasi berisiko

      Mengaktifkan anggota Domain: Digital mengenkripsi atau tanda saluran aman data (selalu) pengaturan di domain mana tidak semua pengontrol domain dapat masuk atau mengenkripsi data saluran aman adalah pengaturan konfigurasi berbahaya.
    3. Alasan untuk mengaktifkan pengaturan ini

      Lalu lintas jaringan yang tidak ditandatangani rentan terhadap serangan orang-di-tengah, mana pembobol menangkap paket di antara server dan klien dan kemudian mengubah mereka sebelum meneruskan mereka kepada klien. Pada saat perilaku ini terjadi di server protokol akses direktori ringan (LDAP), pembobol dapat menyebabkan klien untuk membuat keputusan yang didasarkan pada palsu Catatan dari direktori LDAP. Anda dapat menurunkan resiko serangan seperti pada jaringan korporat dengan menerapkan langkah-langkah keamanan fisik yang kuat untuk membantu melindungi infrastruktur jaringan. Selain itu, penerapan keamanan Protokol Internet (IPSec) mode kop otentikasi dapat membantu mencegah orang-di-tengah serangan. Mode ini melakukan saling otentikasi dan integritas paket IP lalu lintas.
    4. Alasan untuk menonaktifkan pengaturan ini
      • Komputer di domain lokal atau eksternal mendukung saluran aman terenkripsi.
      • Tidak semua pengontrol domain di domain memiliki tingkat revisi Service Pack yang sesuai untuk mendukung saluran aman terenkripsi.
    5. Nama simbolik:

      StrongKey
    6. garis jatuh berseri registri:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)
    7. Contoh dari masalah kompatibilitas mundur
      • Windows NT 4.0: Komputer berbasis Windows 2000 anggota tidak dapat bergabung dengan domain Windows NT 4.0 dan akan menerima pesan galat berikut:
        Akun tidak berwenang untuk masuk dari Stasiun ini.
        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        281648 Pesan galat: akun tidak berwenang untuk masuk dari Stasiun ini
      • Windows NT 4.0: Domain Windows NT 4.0 tidak akan dapat membuat turun tingkat kepercayaan domain Windows 2000 dan akan menerima pesan galat berikut:
        Akun tidak berwenang untuk masuk dari Stasiun ini.
        Ada turun tingkat kepercayaan juga tidak dapat mengotentikasi pengguna dari domain yang terpercaya. Beberapa pengguna mungkin mengalami masalah masuk ke domain, dan mereka akan menerima pesan galat yang menyatakan bahwa klien tidak dapat menemukan domain.
      • Windows XP: Klien Windows XP yang bergabung ke domain Windows NT 4.0 tidak dapat mengotentikasi upaya log masuk dan mungkin menerima pesan galat, atau kejadian berikut akan terdaftar di log peristiwa:
        Windows tidak dapat menyambung ke domain atau karena pengontrol domain tidak bekerja atau jika tidak tersedia karena akun komputer tidak ditemukan

        Peristiwa 5723: Penataan sesi dari komputer ComputerName gagal untuk mengotentikasi. Nama akun yang dirujuk dalam Pangkalan data keamanan ComputerName. Terjadi galat berikut: Akses ditolak.

        Peristiwa 3227: Penataan sesi pengontrol domain Windows 2000 atau Windows NT nama server untuk domain Nama domain gagal karena nama server tidak mendukung penandatanganan atau penyegelan Netlogon sesi. Meningkatkan pengendali domain, atau menetapkan entri registri RequireSignOrSeal pada komputer ini ke 0.

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        318266 Klien Windows XP tidak dapat log masuk ke domain Windows NT 4.0
      • Jaringan Microsoft: Microsoft Network klien akan menerima salah satu pesan galat berikut:
        log masuk gagal: tidak diketahui Nama pengguna atau sandi buruk.
        Ada tidak ada pengguna sesi bukti kunci untuk sesi log masuk tertentu.
  5. Klien jaringan Microsoft: menandatangani komunikasi (selalu)
    1. Latar belakang

      Blok pesan server (SMB) adalah protokol berbagi sumber daya yang didukung oleh banyak sistem operasi Microsoft. Ini adalah dasar jaringan sistem masukan/keluaran dasar (NetBIOS) dan protokol lainnya. Penandatangan SMB mengotentikasi pengguna dan server sebagai inang data. Jika salah satu sisi gagal proses otentikasi, pengiriman data tidak akan terjadi.

      Mengaktifkan penandatanganan dimulai selama negosiasi protokol SMB SMB. Kebijakan penandatanganan SMB menentukan apakah komputer selalu secara digital menandatangani komunikasi klien.

      Protokol otentikasi Windows 2000 SMB mendukung saling otentikasi. Saling otentikasi menutup serangan "orang di--tengah". Protokol otentikasi Windows 2000 SMB juga mendukung otentikasi pesan. Otentikasi pesan membantu mencegah serangan pesan aktif. Untuk memberikan otentikasi ini, penandatangan SMB menempatkan tanda tangan digital ke SMB masing-masing. Klien dan server setiap verifikasi tanda tangan digital.

      Untuk menggunakan penandatangan SMB, Anda harus mengaktifkan penandatangan SMB atau memerlukan penandatangan SMB klien dan SMB server SMB. Jika penandatangan SMB diaktifkan di server, klien yang juga diaktifkan untuk SMB masuk menggunakan paket penandatanganan protokol selama sesi berikutnya. Jika penandatangan SMB diperlukan di server, klien tidak dapat membuat sesi kecuali klien diaktifkan atau diperlukan untuk penandatangan SMB.

      Mengaktifkan penandatanganan digital dalam jaringan keamanan tinggi membantu mencegah peniruan klien dan server. Peniruan semacam ini disebut sebagai sesi pembajakan. Seorang penyerang yang memiliki akses ke jaringan yang sama sebagai klien atau server menggunakan sesi pembajakan alat untuk menghentikan, akhir atau mencuri sesi berlangsung. Seorang penyerang dapat intercept mengubah tidak ditandatangani SMB paket, mengubah lalu lintas, dan kemudian meneruskannya sehingga server mungkin melakukan tindakan yang tidak diinginkan. Atau, penyerang dapat menimbulkan sebagai server atau klien setelah otentikasi yang sah dan kemudian mendapatkan akses ke data.

      Protokol SMB yang digunakan untuk berbagi berkas dan cetak berbagi di komputer yang menjalankan Windows 2000 Server, Windows 2000 Professional, Windows XP Professional, atau Windows Server 2003 mendukung saling otentikasi. Saling otentikasi menutup sesi pembajakan serangan dan mendukung otentikasi pesan. Oleh karena itu, hal ini mencegah orang-di-tengah serangan. Penandatangan SMB menyediakan otentikasi ini dengan menempatkan tanda tangan digital di setiap SMB. Klien dan server kemudian verifikasi tanda tangan.

      Catatan
      • Sebagai alternatif penanggulangan, Anda dapat mengaktifkan tanda tangan digital dengan IPSec untuk membantu melindungi semua lalu lintas jaringan. Ada berbasis peranti penangkap keras akselerator IPSec enkripsi dan masuk yang dapat Anda gunakan untuk meminimalkan dampak kinerja dari CPU server. Ada tidak seperti akselerator yang tersedia untuk penandatangan SMB.

        Untuk informasi selengkapnya, lihat Server komunikasi menandatangani secara digital Bab di situs web Microsoft MSDN.

        Konfigurasi penandatangan SMB melalui Penyunting objek Kebijakan Grup karena mengubah nilai registri lokal tidak berpengaruh apabila kebijakan domain utama.
      • Windows 95, Windows 98 dan Windows 98 Second Edition, klien layanan direktori menggunakan penandatangan SMB saat mengotentikasi dengan server Windows Server 2003 dengan menggunakan otentikasi NTLM. Namun, klien ini tidak menggunakan ketika mereka mengotentikasi dengan server ini menggunakan otentikasi NTLMv2 penandatangan SMB. Selain itu, Windows 2000 Server tidak menanggapi permintaan dari klien ini penandatangan SMB. Untuk informasi selengkapnya, tampilan item 10: "keamanan jaringan: tingkat otentikasi Lan Manager."
    2. Konfigurasi berisiko

      Berikut ini adalah pengaturan konfigurasi berbahaya: meninggalkan kedua klien jaringan Microsoft: menandatangani komunikasi (selalu) pengaturan dan klien jaringan Microsoft: komunikasi menandatangani secara digital (apabila server setuju) pengaturan ditetapkan ke "Tidak ditetapkan" atau dinonaktifkan. Pengaturan ini memungkinkan redirector mengirim sandi teks ke server non - Microsoft SMB yang tidak mendukung enkripsi sandi selama otentikasi.
    3. Alasan untuk mengaktifkan pengaturan ini

      Mengaktifkan klien jaringan Microsoft: menandatangani komunikasi (selalu) memerlukan klien masuk SMB lalu lintas saat menghubungi server yang tidak memerlukan penandatangan SMB. Ini membuat klien kurang rentan terhadap serangan pembajakan sesi.
    4. Alasan untuk menonaktifkan pengaturan ini
      • Mengaktifkan klien jaringan Microsoft: menandatangani komunikasi (selalu) mencegah berkomunikasi dengan server target yang tidak mendukung penandatangan SMB klien.
      • Mengkonfigurasi komputer untuk mengabaikan semua komunikasi SMB tidak ditandatangani mencegah program dan sistem operasi yang lebih lawas menyambung.
    5. Nama simbolik:

      RequireSMBSignRdr
    6. garis jatuh berseri registri:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
    7. Contoh dari masalah kompatibilitas mundur
      • Windows NT 4.0: Anda tidak dapat mereset saluran aman kepercayaan antar domain Windows Server 2003 dan Windows NT 4.0 domain menggunakan NLTEST atau NETDOM, dan Anda akan menerima pesan galat "Akses ditolak".
      • Windows XP: Menyalin file dari Windows XP klien ke server berbasis Windows 2000 dan Windows Server 2003 berbasis server mungkin memerlukan waktu lebih lama.
      • Anda tidak dapat memetakan kandar jaringan dari klien dengan pengaturan ini diaktifkan, dan Anda akan menerima pesan galat berikut:
        Akun tidak berwenang untuk masuk dari Stasiun ini.
    8. Persyaratan mulai ulang

      Mulai ulang komputer, atau memulai ulang layanan Workstation. Untuk melakukannya, ketik perintah berikut pada prompt perintah. Tekan Enter setelah Anda mengetik perintah.
      net stop workstation
      net start workstation
  6. Server jaringan Microsoft: menandatangani komunikasi (selalu)
    1. Latar belakang
      • Blok pesan server (SMB) adalah protokol berbagi sumber daya yang didukung oleh banyak sistem operasi Microsoft. Ini adalah dasar jaringan sistem masukan/keluaran dasar (NetBIOS) dan protokol lainnya. Penandatangan SMB mengotentikasi pengguna dan server sebagai inang data. Jika salah satu sisi gagal proses otentikasi, pengiriman data tidak akan terjadi.

        Mengaktifkan penandatanganan dimulai selama negosiasi protokol SMB SMB. Kebijakan penandatanganan SMB menentukan apakah komputer selalu secara digital menandatangani komunikasi klien.

        Protokol otentikasi Windows 2000 SMB mendukung saling otentikasi. Saling otentikasi menutup serangan "orang di--tengah". Protokol otentikasi Windows 2000 SMB juga mendukung otentikasi pesan. Otentikasi pesan membantu mencegah serangan pesan aktif. Untuk memberikan otentikasi ini, penandatangan SMB menempatkan tanda tangan digital ke SMB masing-masing. Klien dan server setiap verifikasi tanda tangan digital.

        Untuk menggunakan penandatangan SMB, Anda harus mengaktifkan penandatangan SMB atau memerlukan penandatangan SMB klien dan SMB server SMB. Jika penandatangan SMB diaktifkan di server, klien yang juga diaktifkan untuk SMB masuk menggunakan paket penandatanganan protokol selama sesi berikutnya. Jika penandatangan SMB diperlukan di server, klien tidak dapat membuat sesi kecuali klien diaktifkan atau diperlukan untuk penandatangan SMB.

        Mengaktifkan penandatanganan digital dalam jaringan keamanan tinggi membantu mencegah peniruan klien dan server. Peniruan semacam ini disebut sebagai sesi pembajakan. Seorang penyerang yang memiliki akses ke jaringan yang sama sebagai klien atau server menggunakan sesi pembajakan alat untuk menghentikan, akhir atau mencuri sesi berlangsung. Seorang penyerang dapat intercept mengubah tidak ditandatangani paket Subnet Bandwidth Manager (MBS), mengubah lalu lintas, dan kemudian meneruskannya sehingga server mungkin melakukan tindakan yang tidak diinginkan. Atau, penyerang dapat menimbulkan sebagai server atau klien setelah otentikasi yang sah dan kemudian mendapatkan akses ke data.

        Protokol SMB yang digunakan untuk berbagi berkas dan cetak berbagi di komputer yang menjalankan Windows 2000 Server, Windows 2000 Professional, Windows XP Professional, atau Windows Server 2003 mendukung saling otentikasi. Saling otentikasi menutup sesi pembajakan serangan dan mendukung otentikasi pesan. Oleh karena itu, hal ini mencegah orang-di-tengah serangan. Penandatangan SMB menyediakan otentikasi ini dengan menempatkan tanda tangan digital di setiap SMB. Klien dan server kemudian verifikasi tanda tangan.
      • Sebagai alternatif penanggulangan, Anda dapat mengaktifkan tanda tangan digital dengan IPSec untuk membantu melindungi semua lalu lintas jaringan. Ada berbasis peranti penangkap keras akselerator IPSec enkripsi dan masuk yang dapat Anda gunakan untuk meminimalkan dampak kinerja dari CPU server. Ada tidak seperti akselerator yang tersedia untuk penandatangan SMB.
      • Windows 95, Windows 98 dan Windows 98 Second Edition, klien layanan direktori menggunakan penandatangan SMB saat mengotentikasi dengan server Windows Server 2003 dengan menggunakan otentikasi NTLM. Namun, klien ini tidak menggunakan ketika mereka mengotentikasi dengan server ini menggunakan otentikasi NTLMv2 penandatangan SMB. Selain itu, Windows 2000 Server tidak menanggapi permintaan dari klien ini penandatangan SMB. Untuk informasi selengkapnya, tampilan item 10: "keamanan jaringan: tingkat otentikasi Lan Manager."
    2. Konfigurasi berisiko

      Berikut ini adalah pengaturan konfigurasi berbahaya: mengaktifkan server jaringan Microsoft: menandatangani komunikasi (selalu) pengaturan pada server dan pada pengendali domain yang akan diakses oleh komputer klien berbasis sistem operasi pihak ketiga di domain lokal atau eksternal dan kompatibel komputer berbasis Windows.
    3. Alasan untuk mengaktifkan pengaturan ini
      • Semua komputer klien yang mengaktifkan pengaturan ini secara langsung melalui registri atau setelan Kebijakan Grup mendukung penandatangan SMB. Dengan kata lain, Semua komputer klien yang memiliki pengaturan ini diaktifkan menjalankan salah satu Windows 95 dengan DS klien diinstal, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional, atau Windows Server 2003.
      • Jika server jaringan Microsoft: menandatangani komunikasi (selalu) telah dinonaktifkan, penandatangan SMB sepenuhnya dinonaktifkan. Sepenuhnya menonaktifkan semua SMB penandatanganan membiarkan komputer rentan terhadap serangan pembajakan sesi.
    4. Alasan untuk menonaktifkan pengaturan ini
      • Mengaktifkan pengaturan ini dapat menyebabkan lambat file kopi karbon dan performa jaringan pada klien komputer.
      • Mengaktifkan pengaturan ini akan mencegah klien yang tidak dapat berunding SMB penandatanganan dari berkomunikasi dengan server dan pengontrol domain. Hal ini menyebabkan operasi seperti bergabung domain, otentikasi pengguna dan komputer atau jaringan akses oleh program gagal.
    5. Nama simbolik:

      RequireSMBSignServer
    6. garis jatuh berseri registri:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)
    7. Contoh dari masalah kompatibilitas mundur
      • Windows 95: Windows 95 klien yang tidak memiliki klien layanan direktori (DS) yang diinstal akan gagal log masuk otentikasi dan akan menerima pesan galat berikut:
        Sandi domain yang Anda masukkan tidak benar, atau akses ke server log masuk Anda telah ditolak.
        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        811497 Pesan galat saat klien Windows 95 atau Windows NT 4.0 log on ke domain Windows Server 2003
      • Windows NT 4.0: komputer klien yang menjalankan versi Windows NT 4.0 yang lebih lawas dari Service Pack 3 (SP3) akan gagal log masuk otentikasi dan akan menerima pesan galat berikut:
        Sistem dapat tidak masuk Anda. Pastikan bahwa Nama pengguna Anda dan domain Anda sudah benar, kemudian ketik lagi sandi Anda.
        Beberapa server non - Microsoft SMB mendukung hanya sandi tidak dienkripsi pertukaran selama otentikasi. (Pertukaran ini juga dikenal sebagai "teks" pertukaran.) Untuk Windows NT 4.0 SP3 dan versi yang lebih baru, SMB redirector tidak mengirim sandi tidak dienkripsi selama otentikasi ke SMB server kecuali Anda menambahkan entri registri khusus.
        Untuk mengaktifkan sandi tidak dienkripsi untuk SMB klien pada Windows NT 4.0 SP 3 dan sistem yang lebih baru, memodifikasi registri sebagai berikut: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        Nama nilai: EnablePlainTextPassword
        Jenis data: REG_DWORD
        Data: 1

        Untuk informasi selengkapnya tentang topik terkait, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        224287 Pesan galat: telah terjadi galat sistem 1240. Akun tidak berwenang untuk masuk dari Stasiun ini.
        166730 Sandi tidak dienkripsi dapat menyebabkan Service Pack 3 gagal untuk menyambung ke server SMB
      • Windows Server 2003: secara asali, pengaturan keamanan pada pengendali domain yang menjalankan Windows Server 2003 dikonfigurasi untuk membantu mencegah komunikasi pengendali domain dari sedang disela atau rusak dengan oleh pengguna yang jahat. Bagi pengguna untuk berhasil berkomunikasi dengan pengontrol domain yang menjalankan Windows Server 2003, komputer klien harus menggunakan baik penandatangan SMB dan enkripsi atau saluran aman lalu lintas masuk. secara asali, klien yang menjalankan Windows NT 4.0 dengan Service Pack 2 (SP2) atau sebelumnya dipasang dan klien yang menjalankan Windows 95 tidak memiliki SMB paket penandatanganan diaktifkan. Oleh karena itu, klien ini mungkin tidak dapat mengotentikasi ke pengendali domain berbasis Windows Server 2003.
      • Setelan kebijakan Windows 2000 dan Windows Server 2003: Tergantung pada kebutuhan spesifik penginstalan dan konfigurasi Anda, kami sarankan Anda mengatur setelan kebijakan berikut di entitas terendah cakupan yang diperlukan dalam Penyunting Kebijakan Grup konsol manajemen Microsoft snap-in hierarki:
        • Opsi Settings\Security Computer Configuration\Windows keamanan
        • Mengirim sandi tidak dienkripsi untuk menyambung ke server SMB pihak ketiga (pengaturan ini adalah untuk Windows 2000)
        • Klien jaringan Microsoft: sandi tidak dienkripsi kirim ke server SMB pihak ketiga (pengaturan ini adalah untuk Windows Server 2003)

        Catatan Pada beberapa server CIFS pihak ketiga, seperti Samba versi yang lebih lama, Anda tidak dapat menggunakan sandi yang dienkripsi.
      • Klien berikut tidak kompatibel dengan server jaringan Microsoft: menandatangani komunikasi (selalu) pengaturan:
        • Apple Computer, Inc., Mac OS Xclients
        • Klien jaringan Microsoft MS-DOS (misalnya, Microsoft LAN Manager)
        • Microsoft Windows untuk Workgroupsclients
        • Microsoft Windows 95 klien tanpa DSClient diinstal
        • Microsoft Windows NT 4.0 berbasis computerswithout SP3 atau yang lebih baru
        • Novell Netware 6 CIFS klien
        • SAMBA SMB klien yang tidak memiliki dukungan untuk penandatangan SMB
    8. Persyaratan mulai ulang

      Mulai ulang komputer, atau me-restart layanan Server. Untuk melakukannya, ketik perintah berikut pada prompt perintah. Tekan Enter setelah Anda mengetik perintah.
      net stop server
      net start server
  7. Akses jaringan: memungkinkan terjemahan SID nama anonim
    1. Latar belakang

      Akses jaringan: memungkinkan anonim SID nama terjemahan pengaturan keamanan menentukan apakah pengguna anonim dapat meminta atribut nomor identifikasi keamanan (SID) untuk pengguna lain.
    2. Konfigurasi berisiko

      Mengaktifkan akses jaringan: memungkinkan anonim SID nama terjemahan pengaturan adalah pengaturan konfigurasi berbahaya.
    3. Alasan untuk mengaktifkan pengaturan ini

      Jika akses jaringan: memungkinkan anonim SID nama terjemahan pengaturan ini dinonaktifkan, sebelumnya sistem operasi atau aplikasi tidak dapat berkomunikasi dengan domain Windows Server 2003. Sebagai contoh, sistem operasi berikut ini, Layanan atau aplikasi mungkin tidak bekerja:
      • Windows NT 4.0 berbasis Layanan Access jauh server
      • Microsoft SQL Server yang berjalan pada komputer berbasis 3.x Windows NT atau komputer berbasis Windows NT 4.0
      • Layanan Access jarak jauh yang dijalankan di komputer berbasis Windows 2000 yang terletak di domain Windows NT 4.0 atau Windows NT 3.x domain
      • SQL Server yang dijalankan di komputer berbasis Windows 2000 yang terletak di Windows NT 3.x domain atau domain Windows NT 4.0
      • Pengguna di Windows NT 4.0 resource domain yang ingin memberi izin untuk mengakses berkas, folder berbagi, dan objek registri untuk akun pengguna dari akun domain yang berisi pengontrol domain Windows Server 2003
    4. Alasan untuk menonaktifkan pengaturan ini

      Jika pengaturan ini diaktifkan, pengguna jahat dapat menggunakan SID administrator terkenal untuk mendapatkan nama akun Administrator internal, bahkan jika akun diganti nama. Orang kemudian dapat menggunakan nama akun untuk memulai serangan menduga sandi.
    5. Nama simbolik: N/A
    6. garis jatuh berseri registri: Tidak ada. Lintasan yang ditetapkan di UI kode.
    7. Contoh dari masalah kompatibilitas mundur

      Windows NT 4.0: Komputer di domain sumber daya Windows NT 4.0 akan menampilkan pesan galat "Akun tidak diketahui" di Penyunting ACL jika sumber daya, termasuk folder berbagi, berbagi berkas dan registri objek, aman dengan prinsip keamanan yang berada di domain akun yang berisi pengontrol domain Windows Server 2003.
  8. Akses jaringan: tidak mengizinkan anonim enumerasi Sam akun
    1. Latar belakang
      • Akses jaringan: tidak mengizinkan anonim enumerasi Sam akun pengaturan menentukan izin tambahan yang akan diberikan untuk koneksi anonim ke komputer. Windows memungkinkan pengguna anonim untuk menjalankan aktivitas tertentu, seperti enumerasi nama akun manajer akun keamanan (SAM) workstation dan server dan jaringan yang digunakan bersama. Misalnya, administrator dapat menggunakan ini untuk memberikan akses ke pengguna di domain terpercaya yang tidak mempertahankan kepercayaan reciprocal. Setelah sesi dibuat, pengguna anonim mungkin memiliki akses yang sama yang diberikan kepada siapa saja grup didasarkan pada tataan dalam akses jaringan: biarkan semua orang izin yang berlaku untuk pengguna anonim pengaturan atau kendali daftar akses kewenangan (DACL) dari objek.

        Biasanya, koneksi anonim diminta oleh versi klien (turun tingkat klien) selama penataan sesi SMB. Dalam kasus ini, jejak jaringan menunjukkan bahwa SMB proses ID (PID) redirector klien seperti 0xFEFF pada Windows 2000 atau 0xCAFE pada Windows NT. RPC juga dapat mencoba untuk membuat koneksi anonim.
      • Penting Pengaturan ini ada dampak terhadap pengontrol domain. Pada pengendali domain, perilaku ini dikontrol oleh adanya "NT AUTHORITY\ANONYMOUS LOGON" di "Pra-Windows 2000 kompatibel akses".
      • Pada Windows 2000, mengelola pengaturan serupa yang disebut Pembatasan tambahan untuk koneksi anonim
        RestrictAnonymous
        nilai registri. Lokasi nilai ini adalah sebagai berikut
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
        Untuk informasi selengkapnya tentang RestrictAnonymous nilai registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        246261 Cara menggunakan nilai registri RestrictAnonymous pada Windows 2000
        143474 Membatasi informasi yang tersedia untuk pengguna log masuk anonim
    2. Konfigurasi berisiko

      Mengaktifkan akses jaringan: tidak mengizinkan anonim enumerasi Sam akun pengaturan adalah pengaturan konfigurasi berbahaya dari sudut pandang kompatibilitas mundur. Nonaktifkan adalah pengaturan konfigurasi berbahaya dari perspektif keamanan.
    3. Alasan untuk mengaktifkan pengaturan ini

      Pengguna yang tidak sah dapat secara anonim daftar nama akun dan kemudian gunakan informasi untuk mencoba kira sandi atau lakukan serangan rekayasa sosial . Rekayasa sosial adalah jargon yang berarti menipu orang-orang ke mengungkapkan sandi atau beberapa bentuk keamanan informasi.
    4. Alasan untuk menonaktifkan pengaturan ini

      Pengaturan ini diaktifkan, Apakah mungkin untuk membangun kepercayaan dengan domain Windows NT 4.0. Pengaturan ini juga menyebabkan masalah dengan klien turun tingkat (seperti Windows NT 3.51 klien dan klien Windows 95) yang mencoba untuk menggunakan sumber daya di server.
    5. Nama simbolik:


      RestrictAnonymousSAM
    6. garis jatuh berseri registri:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)
    7. Contoh dari masalah kompatibilitas mundur
    • Penemuan jaringan SMS tidak akan dapat memperoleh informasi sistem operasi dan akan menulis "Tidak diketahui" di properti OperatingSystemNameandVersion.
    • Windows 95, Windows 98: Klien Windows 95 dan Windows 98 klien tidak akan dapat mengubah sandi.
    • Windows NT 4.0: Windows NT 4.0 berbasis anggota komputer tidak akan mampu diotentikasi.
    • Windows 95, Windows 98: Komputer berbasis Windows 95 dan Windows 98 berbasis tidak akan mampu diotentikasi dengan pengontrol domain Microsoft.
    • Windows 95, Windows 98: Pengguna di komputer berbasis Windows 95 dan Windows 98 berbasis tidak dapat mengubah kata sandi untuk account pengguna.
  9. Akses jaringan: tidak mengizinkan anonim enumerasi Sam akun dan berbagi
    1. Latar belakang
      • Akses jaringan: tidak mengizinkan anonim enumerasi Sam akun dan berbagi pengaturan (juga dikenal sebagai RestrictAnonymous) menentukan apakah anonim enumerasi account pengelola account keamanan (SAM) dan berbagi yang diizinkan. Windows memungkinkan pengguna anonim untuk menjalankan aktivitas tertentu, seperti enumerasi nama domain akun (pengguna, komputer, dan grup) dan jaringan yang digunakan bersama. Ini merupakan nyaman, misalnya, jika administrator ingin memberikan akses ke pengguna di domain terpercaya yang tidak mempertahankan kepercayaan reciprocal. Jika Anda tidak ingin mengizinkan anonim enumerasi SAM akun dan berbagi, mengaktifkan pengaturan ini.
      • Pada Windows 2000, mengelola pengaturan serupa yang disebut Pembatasan tambahan untuk koneksi anonim
        RestrictAnonymous
        nilai registri. Lokasi nilai ini adalah sebagai berikut:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    2. Konfigurasi berisiko

      Mengaktifkan akses jaringan: tidak mengizinkan anonim enumerasi Sam akun dan berbagi pengaturan adalah pengaturan konfigurasi berbahaya.
    3. Alasan untuk mengaktifkan pengaturan ini
      • Mengaktifkan akses jaringan: tidak mengizinkan anonim enumerasi Sam akun dan berbagi mencegah enumerasi SAM akun dan berbagi dengan pengguna dan komputer yang menggunakan akun anonim.
    4. Alasan untuk menonaktifkan pengaturan ini
      • Jika pengaturan ini diaktifkan, pengguna yang tidak sah dapat secara anonim daftar nama akun dan kemudian gunakan informasi untuk mencoba kira sandi atau lakukan serangan rekayasa sosial . Rekayasa sosial adalah jargon yang berarti menipu orang-orang ke mengungkapkan sandi atau beberapa bentuk keamanan informasi.
      • Jika pengaturan ini diaktifkan, ini mungkin membuat kepercayaan dengan domain Windows NT 4.0. Pengaturan ini juga akan menyebabkan masalah dengan turun tingkat klien seperti Windows 95 dan Windows NT 3.51 klien yang mencoba untuk menggunakan sumber daya di server.
      • Akan mustahil untuk memberikan akses ke pengguna domain sumber daya karena administrator domain mempercayai tidak akan mampu menghitung daftar account di domain lainnya. Pengguna yang mengakses berkas dan cetak server secara anonim tidak akan dapat daftar sumber jaringan bersama di server tersebut. Pengguna harus mengotentikasi sebelum mereka dapat melihat folder daftar berbagi dan printer.
    5. Nama simbolik:

      RestrictAnonymous
    6. garis jatuh berseri registri:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
    7. Contoh dari masalah kompatibilitas mundur
      • Windows NT 4.0: Pengguna tidak dapat mengubah sandi dari Windows NT 4.0 workstation ketika RestrictAnonymous diaktifkan pada pengendali domain di domain pengguna. Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        198941 Pengguna tidak dapat mengubah sandi saat masuk
      • Windows NT 4.0: Menambahkan pengguna atau grup global dari domain Windows 2000 yang terpercaya untuk Windows NT 4.0 grup lokal di Manajer pengguna akan gagal, dan pesan galat berikut akan muncul:
        Ada saat ini tidak tersedia server log masuk untuk melayani permintaan log masuk.
        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        296405 Nilai registri "RestrictAnonymous" dapat merusak kepercayaan domain Windows 2000
      • Windows NT 4.0: Windows NT 4.0 berbasis komputer tidak dapat bergabung dengan domain selama persiapan atau dengan menggunakan antarmuka pengguna bergabung dengan domain.

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        184538 Pesan galat: pengontrol domain ini tidak dapat ditemukan
      • Windows NT 4.0: Membuat turun tingkat kepercayaan dengan Windows NT 4.0 resource domain akan gagal. Pesan galat berikut akan muncul ketika RestrictAnonymous diaktifkan pada domain terpercaya:
        Tidak dapat menemukan pengendali domain untuk domain ini.
        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        178640 Tidak dapat menemukan pengendali domain saat membuat kepercayaan
      • Windows NT 4.0: Pengguna yang log on ke komputer berbasis Windows NT 4.0 Terminal Server akan dipetakan ke direktori default rumah dan bukan direktori rumah yang ditetapkan di Manajer pengguna untuk domain.

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        236185 profil pengguna Server terminal dan folder asal garis jatuh berseri yang diabaikan setelah menerapkan SP4 atau yang lebih baru
      • Windows NT 4.0: Kontroler backup domain Windows NT 4.0 (BDCs) tidak akan dapat memulai layanan Net log masuk, mendapatkan daftar browser cadangan atau mensinkronkan database SAM dari Windows 2000 atau Windows Server 2003 pengendali domain di domain yang sama.

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        293127 Layanan Net log masuk Windows NT 4.0 BDC tidak berfungsi di domain Windows 2000
      • Windows 2000: Komputer berbasis Windows 2000 anggota di Windows NT 4.0 domain tidak akan dapat melihat printer di domain eksternal jika tidak ada akses tanpa izin secara eksplisit anonim pengaturan diaktifkan dalam kebijakan keamanan lokal dari komputer klien.

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        280329 Pengguna tidak dapat mengelola atau melihat properti printer
      • Windows 2000: Pengguna domain Windows 2000 tidak dapat menambahkan printer jaringan dari direktori aktif; Namun, mereka dapat menambahkan printer setelah mereka memilih mereka dari tampilan pohon.

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        318866 Klien Outlook tidak dapat melihat daftar alamat penyuratan global setelah Anda menginstal keamanan paket Rollup 1 (SRP1) di server katalog global
      • Windows 2000: Pada komputer berbasis Windows 2000, ACL Editor tidak akan dapat menambahkan pengguna atau grup global dari domain Windows NT 4.0 yang terpercaya.

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        296403 Nilai RestrictAnonymous pemutusan kepercayaan di lingkungan domain campuran
      • ADMT versi 2: Migrasi sandi untuk account pengguna yang dipindahkan antara hutan dengan Active Directory migrasi alat (ADMT) versi 2 akan gagal.

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        322981 Cara memecahkan masalah migrasi antar hutan sandi dengan ADMTv2
      • Klien outlook: daftar alamat penyuratan global akan ditampilkan kosong ke klien Microsoft Exchange Outlook.

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        318866 Klien Outlook tidak dapat melihat daftar alamat penyuratan global setelah Anda menginstal paket keamanan Rollup 1 (SR) di server katalog global
        321169 Kinerja SMB lambat saat Anda menyalin berkas dari Windows XP untuk pengontrol domain Windows 2000
      • SMS: Penemuan jaringan Microsoft Systems Management Server (SMS) tidak akan bisa mendapatkan informasi sistem operasi. Oleh karena itu, akan menulis "Tidak diketahui" di properti OperatingSystemNameandVersion properti SMS DDR penemuan kumpulan rekaman data (DDR).

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        229769 Cara menentukan penemuan Data Manager saat membuat permintaan konfigurasi klien
      • SMS: Saat menggunakan Wisaya pengguna Administrator SMS untuk Telisik pengguna dan grup, pengguna atau grup tidak akan terdaftar. Selain itu, lanjut klien tidak dapat berkomunikasi dengan titik manajemen. Akses anonim diperlukan pada titik manajemen.

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        302413 Tidak ada pengguna atau grup tercantum pada Wisaya pengguna Administrator
      • SMS: Ketika Anda menggunakan fitur penemuan jaringan di SMS 2.0 dan pemasangan klien jauh dengan topologi, klien, dan sistem operasi klien jaringan penemuan opsi diaktifkan, komputer mungkin ditemukan namun mungkin tidak akan diinstal.

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        311257 Sumber daya tidak ditemukan jika koneksi anonim dinonaktifkan
  10. Keamanan jaringan: tingkat otentikasi Lan Manager
    1. Latar belakang

      Otentikasi LAN Manager (LM) adalah protokol yang digunakan untuk mengotentikasi klien Windows untuk operasi jaringan, termasuk domain bergabung, mengakses sumber daya jaringan, dan otentikasi pengguna atau komputer. Tingkat otentikasi LM menentukan protokol otentikasi tantangan respons yang negosiasi antara klien dan server komputer. Khususnya, tingkat otentikasi LM menentukan protokol otentikasi yang bahwa klien akan berusaha berunding atau bahwa server akan menerima. Nilai yang ditetapkan untuk LmCompatibilityLevel menentukan protokol otentikasi tantangan respons yang digunakan untuk jaringan log masuk. Nilai ini mempengaruhi tingkat protokol otentikasi yang menggunakan klien, tingkat keamanan sesi negosiasi, dan tingkat otentikasi yang diterima oleh server.

      Pengaturan mungkin meliputi berikut ini.
      NilaiPengaturanDeskripsi
      0 Mengirim respons LM & NTLMKlien menggunakan otentikasi NTLM dan LM dan tidak pernah menggunakan NTLMv2 sesi keamanan. pengendali domain menerima LM, NTLM, dan NTLMv2 otentikasi.
      1Mengirim LM & NTLM - menggunakan NTLMv2 sesi keamanan jika negosiasiKlien menggunakan otentikasi NTLM dan LM, dan gunakan NTLMv2 sesi keamanan jika server mendukung itu. pengendali domain menerima LM, NTLM, dan NTLMv2 otentikasi.
      2Mengirim respons NTLM hanyaKlien menggunakan otentikasi NTLM hanya dan menggunakan NTLMv2 sesi keamanan jika server mendukung itu. pengendali domain menerima LM, NTLM, dan NTLMv2 otentikasi.
      3Mengirim respons NTLMv2 hanyaKlien menggunakan NTLMv2 otentikasi hanya dan menggunakan NTLMv2 sesi keamanan jika server mendukung itu. pengendali domain menerima LM, NTLM, dan NTLMv2 otentikasi.
      4Mengirim respons NTLMv2 hanya / menolak LMKlien menggunakan NTLMv2 otentikasi hanya dan menggunakan NTLMv2 sesi keamanan jika server mendukung itu. pengendali domain menolak LM dan menerima hanya otentikasi NTLM dan NTLMv2.
      5Mengirim respons NTLMv2 hanya / menolak LM & NTLMKlien menggunakan NTLMv2 otentikasi hanya dan menggunakan NTLMv2 sesi keamanan jika server mendukung itu. pengendali domain menolak LM dan NTLM dan menerima hanya NTLMv2 otentikasi.
      Catatan Windows 95, Windows 98 dan Windows 98 Second Edition, klien layanan direktori menggunakan penandatangan SMB saat mengotentikasi dengan server Windows Server 2003 dengan menggunakan otentikasi NTLM. Namun, klien ini tidak menggunakan ketika mereka mengotentikasi dengan server ini menggunakan otentikasi NTLMv2 penandatangan SMB. Selain itu, Windows 2000 Server tidak menanggapi permintaan dari klien ini penandatangan SMB.

      Memeriksa LM otentikasi tingkat: Anda harus mengubah kebijakan di server untuk mengizinkan NTLM, atau Anda harus mengkonfigurasi komputer klien untuk mendukung NTLMv2.

      Jika kebijakan diatur ke (5) NTLMv2 mengirim respons only\refuse LM & NTLM pada komputer target yang Anda inginkan untuk menyambung ke, Anda harus menurunkan setelan pada komputer atau menyetel keamanan ke pengaturan yang sama di komputer sumber yang Anda menyambung dari.

      Temukan lokasi yang benar di mana Anda dapat mengubah LAN manager tingkat otentikasi untuk mengatur klien dan server ke tingkat yang sama. Setelah Anda menemukan kebijakan yang menetapkan LAN manager tingkat otentikasi, jika Anda ingin menyambung ke dan dari komputer yang menjalankan Windows versi sebelumnya, menurunkan nilai ke setidaknya (1) mengirim LM & NTLM - gunakan NTLM versi 2 sesi keamanan jika negosiasi. Salah satu efek kompatibel pengaturan adalah bahwa jika server memerlukan NTLMv2 (nilai 5), tetapi klien dikonfigurasi untuk menggunakan LM dan NTLMv1 hanya (nilai 0), pengalaman pengguna yang mencoba otentikasi gagal log masuk yang memiliki sandi rusak dan yang akan menambahkan nilai sandi buruk. Jika akun lock-out dikonfigurasi, pengguna mungkin akhirnya akan terkunci.

      Misalnya, Anda mungkin harus melihat pada pengendali domain, atau Anda mungkin harus memeriksa kebijakan pengontrol domain.

      Cari di pengontrol domain

      Catatan Anda mungkin harus mengulang prosedur berikut ini pada semua pengontrol domain.
      1. Klik mulai, arahkan ke program, dan kemudian klik Alat administratif.
      2. Di bawah Tataan keamanan lokal, memperluas Kebijakan lokal.
      3. Klik opsi keamanan.
      4. klik ganda keamanan jaringan: LAN manager otentikasi tingkat, kemudian klik nilai dalam daftar.

      Jika pengaturan efektif dan tataan lokal yang sama, kebijakan yang telah diubah pada tingkat ini. Jika pengaturan berbeda, Anda harus memeriksa kebijakan pengontrol domain untuk menentukan apakah keamanan jaringan: LAN manager otentikasi tingkat pengaturan ditetapkan ada. Jika tidak didefinisikan ada, periksa kebijakan pengontrol domain.

      Periksakebijakan pengontrol domain
      1. Klik mulai, arahkan ke program, dan kemudian klik Alat administratif.
      2. Kebijakan Keamanan pengendali domain , Perluas Pengaturan keamanan, dan kemudian rentangkan Kebijakan lokal.
      3. Klik opsi keamanan.
      4. klik ganda keamanan jaringan: LAN manager otentikasi tingkat, kemudian klik nilai dalam daftar.

      Catatan
      • Anda juga harus memeriksa kebijakan yang terkait di tingkat situs, tingkat domain atau unit organisasi (OU) tingkat untuk menentukan di mana Anda harus mengkonfigurasi tingkat otentikasi LAN manager.
      • Jika Anda menerapkan pengaturan Kebijakan Grup sebagai kebijakan domain bawaan, kebijakan akan diterapkan untuk semua komputer di domain.
      • Jika Anda menerapkan pengaturan Kebijakan Grup sebagai pengontrol domain bawaan kebijakan, kebijakan ini hanya berlaku untuk server di pengontrol domain OU.
      • Itu adalah ide yang baik untuk menyetel tingkat otentikasi LAN manager dalam entitas terendah cakupan yang diperlukan dalam hierarki aplikasi kebijakan.

      Windows Server 2003 memiliki pengaturan default baru untuk hanya menggunakan NTLMv2. secara asali, Windows Server 2003 dan pengontrol domain berbasis Windows 2000 Server SP3 telah diaktifkan "server jaringan Microsoft: menandatangani komunikasi (selalu)" kebijakan. Pengaturan ini memerlukan server SMB untuk menjalankan paket penandatangan SMB. Perubahan pada Windows Server 2003 dibuat karena pengontrol domain, server file, jaringan infrastruktur server dan server Web di organisasi memerlukan pengaturan yang berbeda untuk memaksimalkan keamanan mereka.

      Jika Anda ingin menerapkan NTLMv2 otentikasi di jaringan Anda, Anda harus memastikan bahwa semua komputer di domain yang ditetapkan untuk menggunakan otentikasi tingkat ini. Jika Anda menerapkan Active Directory klien ekstensi untuk Windows 95 atau Windows 98 dan Windows NT 4.0, ekstensi klien menggunakan fitur peningkatan otentikasi yang tersedia di NTLMv2. Karena komputer klien yang menjalankan salah satu sistem operasi berikut ini tidak dipengaruhi oleh Windows 2000 objek Kebijakan Grup, Anda mungkin harus secara manual mengkonfigurasi klien berikut ini:
      • Microsoft Windows NT 4.0
      • Microsoft Windows Millennium Edition
      • Microsoft Windows 98
      • Microsoft Windows 95
      Catatan Jika Anda mengaktifkan keamanan jaringan: tidak menyimpan LAN manager hash nilai berikutnya perubahan sandi kebijakan atau mengatur bukti kunci registri NoLMHash , klien berbasis Windows 95 dan Windows 98-based yang tidak memiliki klien layanan direktori yang diinstal tidak dapat log masuk ke domain setelah mengubah sandi.

      Banyak server CIFS pihak ketiga, seperti Novell Netware 6, tidak sadar NTLMv2 dan hanya menggunakan NTLM. Oleh karena itu, tingkat yang lebih besar dari 2 tidak mengizinkan konektivitas. Juga ada klien SMB pihak ketiga yang tidak menggunakan sesi diperpanjang keamanan. Dalam kasus ini, LmCompatiblityLevel sumber daya server tidak dipertimbangkan. Server kemudian paket permintaan ini warisan dan mengirimnya ke pengontrol Domain pengguna. Pengaturan pada pengendali domain kemudian memutuskan hash apa yang digunakan untuk memverifikasi permintaan dan apakah ini telah memenuhi persyaratan keamanan pengendali domain.

      Untuk informasi selengkapnya tentang cara mengkonfigurasi tingkat otentikasi LAN manager secara manual, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
      147706 Cara menonaktifkan otentikasi LM pada Windows NT
      175641 LMCompatibilityLevel dan efek
      299656 Cara mencegah Windows menyimpan LAN manager hash sandi di direktori aktif dan database SAM lokal
      312630 Outlook terus meminta kredensial log masuk
      2701704Peristiwa audit menunjukkan paket otentikasi sebagai NTLMv1 daripada NTLMv2
      Untuk informasi selengkapnya tentang LM otentikasi tingkat, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
      239869 Cara mengaktifkan otentikasi NTLM 2
    2. Konfigurasi berisiko

      Berikut ini adalah pengaturan konfigurasi berbahaya:
      • Nonrestrictive pengaturan yang mengirim sandi cleartext dan yang menolak NTLMv2 negosiasi
      • Pengaturan ketat yang mencegah inkompatibilitas klien atau pengontrol domain negosiasi protokol otentikasi Umum
      • Memerlukan otentikasi NTLMv2 pada komputer anggota dan pengendali domain yang menjalankan versi Windows NT 4.0 yang lebih lawas dari Service Pack 4 (SP4)
      • Memerlukan otentikasi NTLMv2 di klien Windows 95 atau Windows 98 klien yang tidak memiliki klien layanan direktori Windows diinstal.
      • Jika Anda mengklik untuk memilih kotak centang memerlukan NTLMv2 sesi keamanan dalam Penyunting Kebijakan Grup konsol manajemen Microsoft snap-in pada komputer berbasis Windows 2000 Service Pack 3 atau Windows Server 2003, dan Anda menurunkan tingkat otentikasi manajer LAN ke 0, dua pengaturan konflik, dan Anda mungkin menerima pesan galat berikut dalam berkas Secpol.msc atau GPEdit.msc :
        Windows tidak dapat membuka pangkalan data kebijakan lokal. Kesalahan tak dikenal terjadi ketika mencoba membuka pangkalan data.
        Untuk informasi selengkapnya tentang alat analisis dan konfigurasi keamanan, lihat berkas bantuan Windows Server 2003 atau Windows 2000.

        Untuk informasi selengkapnya tentang cara menganalisis tingkat keamanan di Windows 2000 dan Windows Server 2003, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        313203 Cara menganalisis keamanan sistem pada Windows 2000
        816580 Cara menganalisis sistem keamanan di Windows Server 2003
    3. Alasan untuk mengubah pengaturan ini
      • Anda ingin menambah protokol otentikasi umum terendah yang didukung oleh klien dan pengendali domain di organisasi Anda.
      • Di mana otentikasi aman persyaratan bisnis, Anda ingin menolak negosiasi LM dan protokol NTLM.
    4. Alasan untuk menonaktifkan pengaturan ini

      Klien atau server otentikasi persyaratan, atau keduanya, meningkat ke titik di mana otentikasi melalui protokol umum tidak terjadi.
    5. Nama simbolik:

      LmCompatibilityLevel
    6. garis jatuh berseri registri:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
    7. Contoh dari masalah kompatibilitas mundur
      • Windows Server 2003: secara asali, Windows Server 2003 NTLMv2 mengirim NTLM respons pengaturan diaktifkan. Oleh karena itu, Windows Server 2003 akan menerima pesan galat "Akses ditolak" setelah penginstalan awal ketika Anda mencoba untuk menyambung ke kluster yang berbasis Windows NT 4.0 atau server berbasis LanManager V2.1, seperti Lanserver OS/2. Masalah ini juga terjadi jika Anda mencoba untuk menyambung dari versi yang lebih lawas klien ke server berbasis Windows Server 2003.
      • Anda menginstal Windows 2000 keamanan paket Rollup 1 (SRP1). SRP1 memaksa NTLM versi 2 (NTLMv2). Paket Batal diluncurkan setelah peluncuran Windows 2000 Service Pack 2 (SP2). Untuk informasi selengkapnya tentang SRP1, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

        311401 Windows 2000 keamanan paket Rollup 1, Januari 2002
      • Windows 7 dan Windows Server 2008 R2: banyak server CIFS pihak ketiga, seperti Novell Netware 6 atau berbasis Linux Samba server, tidak sadar NTLMv2 dan menggunakan NTLM hanya. Oleh karena itu, tingkat yang lebih besar daripada "2" tidak mengizinkan konektivitas. Sekarang pada versi sistem operasi, default untuk LmCompatibilityLevel diubah menjadi "3". Jadi ketika Anda meng-upgrade Windows, pelapor pihak ketiga ini akan berhenti bekerja.
      • Klien Microsoft Outlook akan dimintai kredensial meskipun mereka telah log on ke domain. Ketika pengguna memberikan kredensial, mereka menerima pesan galat berikut: Windows 7 dan Windows Server 2008 R2
        Kredensial log masuk yang disediakan yang salah. Pastikan bahwa Nama pengguna dan domain Anda sudah benar, kemudian ketik lagi sandi Anda.
        Ketika Anda memulai Outlook, Anda mungkin diminta untuk kredensial bahkan jika setelan keamanan jaringan log masuk diatur ke Passthrough atau otentikasi sandi. Setelah Anda mengetik kredensial yang benar, Anda mungkin menerima pesan galat berikut:
        Kredensial masuk yang disediakan yang salah.
        Pelacakan Monitor jaringan mungkin menunjukkan bahwa Katalog global dikeluarkan remote procedure call (RPC) kesalahan dengan status 0x5. Status 0x5 berarti "Akses ditolak."
      • Windows 2000: Penangkapan Monitor jaringan mungkin menampilkan galat berikut ini di NetBIOS melalui TCP/IP (NetBT) server pesan blok (SMB) sesi:
        Kesalahan SMB R pencarian direktori Dos, pengidentifikasi pengguna tidak valid (91) STATUS_LOGON_FAILURE ACCESS_DENIED (109) (5)
      • Windows 2000: Jika domain Windows 2000 dengan NTLMv2 tingkat 2 atau yang lebih baru dipercaya oleh domain Windows NT 4.0, komputer berbasis Windows 2000 anggota domain sumber daya dapat mengalami galat otentikasi.

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        305379 Masalah otentikasi pada Windows 2000 dengan tingkat NTLM 2 di atas 2 di domain Windows NT 4.0
      • Windows 2000 dan Windows XP: secara asali, Windows 2000 dan Windows XP menetapkan opsi LAN Manager otentikasi tingkat kebijakan keamanan lokal ke 0. Pengaturan 0 berarti "Kirim LM dan NTLM respons."

        Catatan Windows NT 4.0 berbasis kluster harus menggunakan LM untuk administrasi.
      • Windows 2000: Cluster Windows 2000 tidak mengotentikasi simpul bergabung jika node kedua merupakan bagian dari Service Pack Windows NT 4.0 6a domain (SP6a).

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        305379 Masalah otentikasi pada Windows 2000 dengan tingkat NTLM 2 di atas 2 di domain Windows NT 4.0
      • Alat penguncian IIS (HiSecWeb) menetapkan nilai LMCompatibilityLevel 5 dan nilai RestrictAnonymous 2.
      • Layanan untuk Macintosh

        Modul otentikasi pengguna (UAM): Microsoft UAM (pengguna otentikasi modul) memberikan metode untuk mengenkripsi sandi yang Anda gunakan untuk log masuk ke server Windows AFP (AppleTalk pengarsipan Protocol). Apple pengguna otentikasi modul (UAM) menyediakan hanya minimal atau tanpa enkripsi. Oleh karena itu, kata sandi Anda dapat dengan mudah disela LAN atau di Internet. Meskipun UAM tidak diperlukan, menyediakan otentikasi terenkripsi untuk Windows 2000 Server yang menjalankan layanan untuk Macintosh. Versi ini mencakup dukungan untuk otentikasi dienkripsi NTLMv2 128-bit dan rilis 10.1-compatible MacOS X.

        secara asali, Layanan Windows Server 2003 untuk Macintosh server mengizinkan hanya Microsoft Authentication.

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
        834498 Macintosh klien tidak dapat menyambung ke layanan untuk Mac di Windows Server 2003
        838331 Mac OS X pengguna tidak dapat membuka folder berbagi Macintosh di server berbasis Windows Server 2003
      • Windows Server 2008, Windows Server 2003, Windows XP dan Windows 2000: Jika Anda mengkonfigurasi LMCompatibilityLevel nilai 0 atau 1 dan kemudian mengkonfigurasi nilai NoLMHash menjadi 1, aplikasi dan komponen mungkin ditolak akses melalui NTLM. Masalah ini terjadi karena komputer dikonfigurasi untuk mengaktifkan LM tetapi untuk tidak menggunakan sandi yang disimpan LM.

        Jika Anda mengkonfigurasi nilai NoLMHash menjadi 1, Anda harus mengkonfigurasi LMCompatibilityLevel nilai 2 atau lebih tinggi.
  11. Keamanan jaringan: persyaratan penandatanganan klien LDAP
    1. Latar belakang

      Keamanan jaringan: persyaratan penandatanganan klien LDAP pengaturan menentukan tingkat penandatanganan data yang diminta atas nama klien bahwa masalah PENGIKATAN protokol akses direktori ringan (LDAP) permintaan sebagai berikut:
      • None: permintaan LDAP mengikat dikeluarkan dengan pemanggil ditentukan opsi.
      • Negosiasi penandatanganan: jika Secure Sockets Layer Transport Layer keamanan (SSL/TLS) tidak dimulai, permintaan PENGIKATAN LDAP dimulai dengan data LDAP penandatanganan opsi yang ditetapkan selain opsi ditentukan pemanggil. Jika SSL/TLS dimulai, permintaan PENGIKATAN LDAP diawali dengan pemanggil ditentukan opsi.
      • Memerlukan penandatanganan: ini adalah sama seperti Negotiate penandatanganan. Namun, jika LDAP server menengah saslBindInProgress respons tidak menunjukkan bahwa penandatanganan LDAP lalu lintas diperlukan, pemanggil diberitahu bahwa permintaan perintah PENGIKATAN LDAP gagal.
    2. Konfigurasi berisiko

      Mengaktifkan keamanan jaringan: persyaratan penandatanganan klien LDAP pengaturan adalah pengaturan konfigurasi berbahaya. Jika Anda menetapkan server memerlukan tanda tangan LDAP, Anda juga harus mengkonfigurasi penandatanganan klien LDAP. Tidak mengonfigurasi klien menggunakan tanda tangan LDAP akan mencegah komunikasi dengan server. Hal ini menyebabkan otentikasi pengguna, Kebijakan Grup pengaturan, skrip log masuk, dan fitur gagal.
    3. Alasan untuk mengubah pengaturan ini

      Lalu lintas jaringan yang tidak ditandatangani rentan terhadap serangan orang-di-tengah mana pembobol menangkap paket di antara klien dan server, mengubah mereka, dan kemudian meneruskannya ke server. Jika hal ini terjadi di LDAP server, penyerang dapat menyebabkan server merespons berdasarkan palsu permintaan dari klien LDAP. Anda dapat menurunkan risiko ini pada jaringan korporat dengan menerapkan langkah-langkah keamanan fisik yang kuat untuk membantu melindungi infrastruktur jaringan. Selain itu, Anda dapat membantu mencegah semua jenis serangan orang-di-tengah dengan meminta tanda tangan digital di semua paket jaringan melalui IPSec kop otentikasi.
    4. Nama simbolik:

      LDAPClientIntegrity
    5. garis jatuh berseri registri:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
  12. Log peristiwa: Ukuran log maksimum keamanan
    1. Latar belakang

      Log peristiwa: ukuran log maksimum keamanan pengaturan keamanan menentukan ukuran maksimum log peristiwa keamanan. Log ini memiliki ukuran maksimum 4 GB. Untuk menemukan pengaturan ini, memperluas Windows pengaturan, dan kemudian rentangkan Pengaturan keamanan.
    2. Konfigurasi berisiko

      Berikut ini adalah pengaturan konfigurasi berbahaya:
      • Membatasi ukuran log keamanan dan metode penyimpanan log keamanan ketika Audit: mematikan sistem segera jika tidak dapat log audit keamanan sudah diaktifkan. Lihat "Audit: mematikan sistem segera jika tidak dapat log audit keamanan" dari artikel ini untuk informasi lebih lanjut.
      • Membatasi ukuran log keamanan sehingga kegiatan keamanan menarik ditimpa.
    3. Alasan untuk menambah pengaturan ini

      Persyaratan bisnis dan keamanan dapat menentukan bahwa Anda menambah ukuran log keamanan untuk menangani rincian log keamanan tambahan atau untuk mempertahankan log keamanan untuk jangka waktu yang lama.
    4. Alasan untuk mengurangi pengaturan ini

      Log penampil kejadian adalah berkas dipetakan kehabisan memori. Ukuran maksimum log peristiwa dibatasi oleh jumlah kehabisan memori fisik di komputer lokal dan kehabisan memori virtual yang tersedia untuk proses log peristiwa. Meningkatkan ukuran log melampaui jumlah kehabisan memori virtual yang tersedia untuk Event Viewer tidak menambah jumlah entri log yang dipertahankan.
    5. Contoh dari masalah kompatibilitas mundur

      Windows 2000: Komputer yang menjalankan versi Windows 2000 yang lebih lawas dari Service Pack 4 (SP4) mungkin berhenti log peristiwa dalam acara log sebelum mencapai ukuran yang ditetapkan dalam ukuran log maksimum pengaturan pada Pemantau Peristiwa jika opsi tidak menimpa peristiwa (menghapus log secara manual) diaktifkan.

      Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
      312571 Log peristiwa berhenti log peristiwa sebelum mencapai ukuran log maksimum
  13. Log peristiwa: Mempertahankan log keamanan
    1. Latar belakang

      Log peristiwa: mempertahankan log keamanan pengaturan keamanan menentukan "membungkus" metode untuk log keamanan. Untuk menemukan pengaturan ini, memperluas Windows pengaturan, dan kemudian rentangkan Pengaturan keamanan.
    2. Konfigurasi berisiko

      Berikut ini adalah pengaturan konfigurasi berbahaya:
      • Gagal untuk mempertahankan semua dicatat kejadian keamanan sebelum mereka akan ditimpa
      • Mengkonfigurasi ukuran log maksimum keamanan pengaturan terlalu kecil sehingga kegiatan keamanan ditimpa
      • Membatasi keamanan log metode ukuran dan penyimpanan sementara Audit: mematikan sistem segera jika tidak dapat log audit keamanan pengaturan keamanan diaktifkan
    3. Alasan untuk mengaktifkan pengaturan ini

      Mengaktifkan pengaturan ini hanya jika Anda memilih metode penyimpanan Timpa kejadian oleh hari . Jika Anda menggunakan sistem Korelasi peristiwa yang internat peristiwa, pastikan bahwa jumlah hari setidaknya tiga kali frekuensi pemungutan. Melakukannya untuk memungkinkan Lingkaran Berkelanjutan pemungutan gagal.
  14. Akses jaringan: biarkan semua orang izin yang berlaku untuk pengguna anonim
    1. Latar belakang

      secara asali, akses jaringan: biarkan semua orang izin yang berlaku untuk pengguna anonim pengaturan diatur ke Tidak ditetapkan pada Windows Server 2003. secara asali, Windows Server 2003 tidak termasuk token akses anonim di siapa saja grup.
    2. Contoh dari masalah kompatibilitas mundur

      Nilai berikut ini
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
      [REG_DWORD] = 0x0 pemutusan kepercayaan pembuatan antara Windows Server 2003 dan Windows NT 4.0, ketika domain Windows Server 2003 adalah akun domain dan domain Windows NT 4.0 resource domain. Ini berarti bahwa akun domain terpercaya di Windows NT 4.0 dan sumber daya domain mempercayai di sebelah Windows Server 2003. Perilaku ini terjadi karena proses memulai kepercayaan setelah koneksi anonim awal ACL akan siapa saja token yang mencakup SID anonim pada Windows NT 4.0.
    3. Alasan untuk mengubah pengaturan ini

      Nilai yang harus ditetapkan ke 0x1 atau menetapkan menggunakan GPO pada pengendali domain OU menjadi: akses jaringan: biarkan semua orang izin yang berlaku untuk pengguna anonim - diaktifkan untuk membuat kreasi kepercayaan mungkin.

      Catatan Pengaturan keamanan lain naik nilai bukan ke 0x0 dalam keadaan yang paling aman. Lebih aman akan mengubah registri pada pengendali domain utama emulator bukan pada semua pengontrol domain. Jika peran emulator pengendali domain utama pindah karena alasan apa pun, registri harus diperbarui di server baru.

      Mulai ulang diperlukan setelah nilai ini sudah ditetapkan.
    4. garis jatuh berseri registri
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
  15. Otentikasi NTLMv2

    1. Sesi keamanan

      Sesi keamanan menentukan standar keamanan minimum untuk klien dan server sesi. Ini adalah ide yang baik untuk memverifikasi setelan kebijakan keamanan berikut pada Penyunting Kebijakan Grup konsol manajemen Microsoft snap-in:
      • Komputer Settings\Windows Settings\Security Settings\Local Policies\Security opsi
      • Keamanan jaringan: Berdasarkan keamanan sesi Minimum untuk NTLM SSP (termasuk aman RPC) server
      • Keamanan jaringan: Berdasarkan keamanan sesi Minimum untuk NTLM SSP (termasuk aman RPC) klien
      Opsi untuk pengaturan ini adalah sebagai berikut:
      • Memerlukan integritas pesan
      • Memerlukan kerahasiaan pesan
      • Memerlukan NTLM versi 2 sesi keamanan
      • Memerlukan enkripsi 128-bit
      Pengaturan default sebelum Windows 7 yang tidak ada persyaratan. Dimulai dengan Windows 7, default telah diubah untuk enkripsi memerlukan 128-bit untuk meningkatkan keamanan. Dengan default ini, peranti penangkap yang tidak mendukung enkripsi 128-bit akan menjadi tidak dapat menyambung.

      Kebijakan ini menentukan standar keamanan minimum untuk sesi komunikasi aplikasi untuk server aplikasi untuk klien.

      Historis, Windows NT telah didukung berikut ini dua varian tantangan respons otentikasi untuk log masuk jaringan:
      • LM tantangan/jawaban
      • NTLM versi 1 tantangan/jawaban
      LM memungkinkan interoperabilitas dengan dasar diinstal klien dan server. NTLM menyediakan peningkatan keamanan untuk sambungan antara klien dan server.

      bukti kunci registri yang bersangkutan adalah sebagai berikut:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"
    2. Konfigurasi berisiko

      Pengaturan ini mengontrol berapa jaringan sesi aman menggunakan NTLM akan ditangani. Hal ini akan mempengaruhi berbasis RPC sesi diotentikasi dengan NTLM, misalnya. Ada risiko berikut ini:
      • Tidak masuk komunikasi (integritas) membuat komunikasi rentan terhadap modifikasi pada kabel.
      • Tidak enkripsi komunikasi (kerahasiaan) membuat komunikasi rentan terhadap inspeksi pada kabel.
      • Menggunakan metode autentikasi yang lebih tua daripada NTLMv2 membuat komunikasi lebih mudah diserang karena metode hashing lebih mudah digunakan.
      • Menggunakan bukti kunci enkripsi kurang dari 128-bit memungkinkan penyerang untuk memisahkan komunikasi menggunakan kasar-force serangan.

Sinkronisasi waktu

Waktu sinkronisasi gagal. Waktu dimatikan dengan lebih dari 30 menit pada komputer yang terpengaruh. Pastikan bahwa komputer klien jam disinkronkan dengan jam pengendali domain.

Penyelesaian untuk penandatangan SMB

Klik di sini untuk informasi tentang cara mengatasi masalah penandatangan SMB
Kami menyarankan Anda menginstal Service Pack 6a (SP6a) pada Windows NT 4.0 klien yang beroperasi di domain berbasis Windows Server 2003. Klien berbasis Windows 98 Second Edition, klien berbasis Windows 98, dan klien berbasis Windows 95 harus menjalankan klien layanan direktori untuk melakukan NTLMv2. Jika klien berbasis Windows NT 4.0 tidak memiliki Windows NT 4.0 SP6 diinstal atau berbasis Windows 95 klien, klien berbasis Windows 98 dan Windows 98SE berbasis klien tidak memiliki klien layanan direktori yang diinstal, Nonaktifkan SMB masuk pengontrol domain bawaan kebijakan pengaturan pada pengendali domain OU, dan kemudian link kebijakan ini untuk semua ou yang meladeni pengendali domain.

Direktori layanan klien untuk Windows 98 edisi kedua, Windows 98 dan Windows 95 akan melakukan penandatangan SMB dengan Windows 2003 server otentikasi NTLM, tapi tidak di bawah NTLMv2 otentikasi. Selain itu, Windows 2000 Server tidak akan menanggapi permintaan penandatangan SMB dari klien ini.

Meskipun kami tidak menyarankan itu, Anda dapat mencegah penandatangan SMB dari yang diperlukan pada semua pengontrol domain yang menjalankan Windows Server 2003 di domain. Untuk mengkonfigurasi pengaturan keamanan ini, ikuti langkah-langkah berikut:
  1. Buka kebijakan pengontrol domain bawaan.
  2. Buka folder Computer Configuration\Windows Settings\Security Settings\Local Policies\Security opsi .
  3. Temukan dan kemudian klik server jaringan Microsoft: menandatangani komunikasi (selalu) setelan kebijakan, dan kemudian klik dinonaktifkan.
Penting Bagian, metode, atau tugas ini berisi langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah serius dapat terjadi apabila Anda salah mengubah registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah ini dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum mengubahnya. Lalu, Anda dapat memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
322756 Cara membuat cadangan dan memulihkan registri di Windows
Atau, matikan SMB penandatanganan di server dengan memodifikasi registri. Untuk melakukannya, ikuti langkah-langkah berikut:
  1. Klik mulai, klik Jalankan, ketik regedit, kemudian klik OK.
  2. Temukan dan kemudian klik subkunci berikut ini:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters
  3. Klik entri enablesecuritysignature .
  4. Pada Edit menu, klik Ubah.
  5. Di nilai data , ketik 0, kemudian klik OK.
  6. keluar dari Editor Registri.
  7. Me-restart komputer, atau berhenti dan kemudian restart layanan Server. Untuk melakukannya, ketik perintah berikut pada prompt perintah, dan kemudian tekan Enter setelah Anda mengetik setiap perintah:
    net stop server
    net start server
Catatan tombol tekan yang sesuai pada komputer klien adalah di subkunci registri berikut ini:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters
Berikut ini mencantumkan nomor kode galat diterjemahkan kode status dan pesan galat verbatim yang disebutkan sebelumnya:
galat 5
ERROR_ACCESS_DENIED
Akses ditolak.
galat 1326
ERROR_LOGON_FAILURE
log masuk gagal: tidak diketahui Nama pengguna atau sandi buruk.
galat 1788
ERROR_TRUSTED_DOMAIN_FAILURE
Hubungan kepercayaan domain primer dan domain terpercaya gagal.
galat 1789
ERROR_TRUSTED_RELATIONSHIP_FAILURE
Hubungan kepercayaan workstation ini dan domain primer gagal.
Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
324802 Cara mengkonfigurasi Kebijakan Grup untuk mengatur keamanan untuk layanan sistem pada Windows Server 2003
306771 Pesan galat "Akses ditolak" setelah Anda mengkonfigurasi cluster Windows Server 2003
101747 Cara menginstal Microsoft otentikasi di Macintosh
161372 Cara mengaktifkan SMB masuk Windows NT
236414 Tidak dapat menggunakan berbagi dengan LMCompatibilityLevel disetel ke hanya otentikasi NTLM 2
241338 Windows NT LAN Manager versi 3 klien dengan log masuk pertama kali mencegah log masuk berikutnya aktivitas
262890 Tidak dapat mendapatkan sambungan kandar direktori rumah di lingkungan campuran
308580 Folder asal pemetaan turun tingkat server mungkin tidak akan bekerja selama log masuk
285901 Akses jarak jauh, VPN, dan RIS klien tidak dapat membuat sesi dengan server yang dikonfigurasi untuk menerima otentikasi NTLM hanya versi 2
816585 Bagaimana cara menerapkan pola dasar standar keamanan di Windows Server 2003
820281 Anda harus memberikan kredensial akun Windows saat Anda tersambung ke Exchange Server 2003 dengan menggunakan Outlook 2003 RPC melalui HTTP fitur
pengguna hak keamanan pengaturan compat kompatibilitas mundur registri aman grup kebijakan acl hak gpedit pdce

Peringatan: Artikel ini telah diterjemahkan secara otomatis

Properti

ID Artikel: 823659 - Tinjauan Terakhir: 01/02/2016 07:53:00 - Revisi: 10.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Workstation 4.0 Developer Edition, Microsoft Windows 98 Standard Edition, Microsoft Windows 95

  • kbinfo kbmt KB823659 KbMtid
Tanggapan
display: none; " src="https://c1.microsoft.com/c.gif?DI=4050&did=1&t=">id=1&t=">