Klien, Layanan, dan program masalah dapat terjadi jika Anda mengubah pengaturan keamanan dan penetapan hak pengguna

Ringkasan

Pengaturan keamanan dan penetapan hak pengguna dapat diubah di lokal dan kebijakan grup untuk membantu kencangkan keamanan pada komputer anggota dan pengendali domain. Namun, kelemahan keamanan yang ditingkatkan adalah pendahuluan tidak kompatibel dengan klien, Layanan, dan program.

Artikel ini menjelaskan tidak kompatibel yang dapat terjadi pada komputer klien yang menjalankan Windows XP, atau versi yang lebih lawas dari Windows, saat Anda mengubah pengaturan khusus keamanan dan penetapan hak pengguna di domain Windows Server 2003 atau Windows yang lebih lawas Server domain.

Untuk informasi tentang kebijakan grup untuk Windows 7, Windows Server 2008 R2 dan Windows Server 2008, lihat artikel berikut ini:

  • Untuk Windows 7, lihat

  • Untuk Windows 7 dan Windows Server 2008 R2, lihat yang baru dalam kebijakan grup

  • Untuk Windows Server 2008, lihat

Catatan: Konten yang tersisa di dalam artikel ini bersifat spesifik untuk Windows XP, Windows Server 2003 dan Windows versi sebelumnya.

Windows XP

Untuk meningkatkan kesadaran pengaturan keamanan misconfigured, gunakan alat Penyunting objek kebijakan grup untuk mengubah pengaturan keamanan. Ketika Anda menggunakan Penyunting objek kebijakan grup, penetapan hak pengguna yang ditingkatkan pada sistem operasi berikut:

  • Windows XP Professional Paket Layanan 2 (SP2)

  • Windows Server 2003 Paket Layanan 1 (SP1)

Fitur peningkatan adalah kotak dialog yang berisi tautan ke artikel ini. Kotak dialog akan muncul ketika Anda mengubah pengaturan keamanan atau penetapan hak pengguna untuk pengaturan yang menawarkan kompatibilitas kurang dan lebih ketat. Jika Anda secara langsung mengubah keamanan pengaturan pengguna atau hak tugas yang sama dengan menggunakan registri atau dengan menggunakan pola dasar keamanan, efek yang sama dengan mengubah pengaturan pada Penyunting objek kebijakan grup. Namun, kotak dialog yang berisi link untuk artikel ini tidak muncul.

Artikel ini berisi contoh klien, program, dan operasi yang terpengaruh dengan pengaturan keamanan tertentu atau penetapan hak pengguna. Namun, contoh tidak otoritatif untuk semua sistem operasi Microsoft, semua sistem operasi pihak ketiga, atau untuk semua versi program yang terpengaruh. Tidak semua pengaturan keamanan dan penetapan hak pengguna disertakan dalam artikel ini.

Kami menyarankan Anda untuk memvalidasi kompatibilitas semua perubahan konfigurasi yang berhubungan dengan keamanan di hutan uji sebelum Anda memperkenalkan mereka di lingkungan produksi. Uji hutan harus cermin hutan produksi dengan cara berikut:

  • Klien dan server versi sistem operasi klien dan server, versi paket layanan, hotfix, skema perubahan, grup keamanan, keanggotaan grup, program izin pada objek dalam sistem berkas, folder berbagi, registri, direktori direktori aktif Layanan, lokal dan pengaturan kebijakan grup, dan jenis jumlah objek dan lokasi

  • Tugas administratif yang dilakukan, Alat administratif yang digunakan, dan sistem operasi yang digunakan untuk menjalankan tugas administratif

  • Operasi yang dijalankan, seperti berikut ini:

    • Komputer dan logon otentikasi pengguna

    • Me-reset sandi pengguna, komputer dan oleh administrator

    • Penjelajahan

    • Menetapkan izin sistem berkas, untuk folder bersama, untuk registri, dan sumber daya Active Directory menggunakan ACL Editor di semua sistem operasi klien di semua account atau sumber daya domain dari semua sistem operasi klien dari semua account atau sumber daya domain

    • Mencetak dari akun administratif dan nonadministratif

Windows Server 2003 SP1

Peringatan di Gpedit.msc

Untuk membantu membuat pelanggan menyadari bahwa mereka mengedit hak pengguna atau opsi keamanan yang dapat sangat mempengaruhi jaringan mereka, dua mekanisme peringatan ditambahkan ke gpedit.msc. Ketika administrator mengedit hak pengguna yang dapat mempengaruhi seluruh perusahaan, mereka akan melihat ikon baru yang mirip tanda hasil. Mereka juga akan menerima pesan peringatan yang memiliki tautan ke artikel Pangkalan Pengetahuan Microsoft 823659. Teks dari pesan ini adalah sebagai berikut:

Mengubah pengaturan ini dapat mempengaruhi kompatibilitas dengan klien, Layanan dan aplikasi. Untuk informasi selengkapnya, lihat < pengguna kanan atau keamanan opsi yang dimodifikasi > (Q823659) Jika Anda diarahkan ke artikel Pangkalan Pengetahuan ini dari tautan dalam Gpedit.msc, pastikan bahwa Anda membaca dan memahami penjelasan yang disediakan dan mungkin berlaku untuk mengubah pengaturan ini. Berikut ini mencantumkan hak pengguna yang berisi teks peringatan:

  • Mengakses komputer ini dari jaringan

  • Log masuk secara lokal

  • Bypass melewati pemeriksaan

  • Mengaktifkan komputer dan pengguna untuk delegasi terpercaya

Berikut ini mencantumkan opsi keamanan yang memiliki peringatan dan pesan pop-up:

  • Anggota domain: Digital mengenkripsi atau tanda saluran aman data (selalu)

  • Anggota domain: Memerlukan strong (Windows 2000 atau versi yang lebih baru) sesi kunci

  • Pengontrol domain: Persyaratan penandatanganan server LDAP

  • Server jaringan Microsoft: menandatangani komunikasi (selalu)

  • Akses jaringan: Memungkinkan anonim Sid / nama terjemahan

  • Akses jaringan: Tidak mengizinkan anonim enumerasi Sam akun dan berbagi

  • Keamanan jaringan: Tingkat autentikasi LAN Manager

  • Audit: Mematikan sistem segera jika tidak dapat log audit keamanan

  • Akses jaringan: Persyaratan penandatanganan klien LDAP

Informasi lebih lanjut

Bagian berikut menguraikan tidak kompatibel yang dapat terjadi ketika Anda mengubah pengaturan khusus di domain Windows NT 4.0, Windows 2000 domain dan domain Windows Server 2003.

Hak pengguna

Daftar berikut menjelaskan hak pengguna, mengidentifikasi pengaturan konfigurasi yang dapat menyebabkan masalah, menjelaskan mengapa Anda harus menerapkan pengguna benar dan mengapa Anda mungkin ingin menghapus hak pengguna, dan memberikan contoh masalah kompatibilitas yang mungkin terjadi saat pengguna hak dikonfigurasi.

  1. Mengakses komputer ini dari jaringan

    1. Latar belakang

      Kemampuan untuk berinteraksi dengan komputer jauh berbasis Windows memerlukan hak pengguna akses komputer ini dari jaringan . Operasi jaringan seperti contoh berikut ini:

      • Replikasi direktori aktif antara kontroler domain di domain umum atau hutan

      • Permintaan otentikasi ke kontroler domain dari pengguna dan komputer

      • Akses ke folder bersama, printer, dan layanan sistem lainnya yang terletak di komputer jauh di jaringan



      Pengguna, komputer, dan akun Layanan mendapatkan atau kehilangan akses komputer ini dari jaringan hak pengguna dengan secara eksplisit implisit ditambahkan atau dihapus dari grup keamanan yang telah diberikan hak pengguna ini. Sebagai contoh, akun pengguna atau account komputer mungkin secara eksplisit ditambahkan ke grup keamanan kustom atau grup keamanan internal oleh administrator, atau mungkin implisit ditambahkan oleh sistem operasi ke grup keamanan dihitung seperti pengguna Domain, diotentikasi Pengguna, atau kontroler Domain perusahaan.

      Secara default, account pengguna dan komputer akun yang diberikan pengguna mengakses komputer ini dari jaringan tepat ketika dihitung grup tersebut sebagai siapa saja, sebaiknya, Authenticated pengguna atau dan, untuk pengontrol domain, grup perusahaan pengontrol Domain , ditetapkan di pengontrol domain bawaan objek kebijakan grup (GPO).

    2. Konfigurasi berisiko

      Berikut ini adalah pengaturan konfigurasi berbahaya:

      • Menghapus grup keamanan pengontrol Domain perusahaan dari hak pengguna

      • Menghapus grup pengguna terotentikasi atau grup eksplisit yang memungkinkan pengguna, komputer, dan akun Layanan hak pengguna menyambung ke komputer melalui jaringan

      • Menghapus semua pengguna dan komputer dari hak pengguna

    3. Alasan untuk memberi hak pengguna

      • Memberikan akses komputer ini dari jaringan hak pengguna ke grup perusahaan pengontrol Domain memenuhi persyaratan otentikasi yang harus replikasi direktori aktif untuk replikasi terjadi antara kontroler domain yang sama Forest.

      • Hak pengguna ini memungkinkan pengguna dan komputer untuk mengakses berkas bersama, printer, dan layanan sistem, termasuk direktori aktif.

      • Hak pengguna ini diperlukan bagi pengguna untuk mengakses surat menggunakan versi awal Microsoft Outlook Web Access (OWA).

    4. Alasan untuk menghapus hak pengguna

      • Pengguna yang dapat menyambungkan komputer ke jaringan dapat mengakses sumber pada komputer jauh yang mereka memiliki izin untuk. Sebagai contoh, hak pengguna ini diperlukan bagi pengguna untuk terhubung ke printer bersama dan map. Jika hak pengguna ini diberikan kepada siapa saja grup, dan jika beberapa folder bersama memiliki berbagi dan izin sistem file NTFS dikonfigurasi sehingga kelompok yang sama memiliki akses baca, siapapun dapat melihat berkas di folder bersama tersebut. Namun, ini adalah situasi yang mungkin untuk penginstalan baru Windows Server 2003 karena berbagi default dan izin NTFS di Windows Server 2003 tidak termasuk grup siapa saja. Untuk sistem yang ditingkatkan dari Microsoft Windows NT 4.0 atau Windows 2000, kerentanan ini mungkin memiliki tingkat yang lebih tinggi risiko karena berbagi default dan izin sistem file untuk sistem operasi ini tidak terbatas sebagai izin default di Windows Server 2003.

      • Ada alasan valid untuk menghapus Grup pengontrol Domain perusahaan dari hak pengguna ini.

      • Grup siapa saja umumnya dihapus mendukung kelompok pengguna yang diotentikasi. Jika grup siapa saja dihapus, kelompok pengguna yang diotentikasi harus diberikan hak pengguna ini.

      • Domain Windows NT 4.0 yang ditingkatkan ke Windows 2000 secara eksplisit memberikan akses komputer ini dari jaringan pengguna hak untuk grup siapa saja, kelompok pengguna yang diotentikasi atau grup perusahaan pengontrol Domain. Oleh karena itu, ketika Anda menghapus Grup siapa saja dari kebijakan domain Windows NT 4.0, replikasi direktori aktif akan gagal dengan pesan galat "Akses ditolak" setelah Anda meng-upgrade ke Windows 2000. Winnt32.exe di Windows Server 2003 menghindari misconfiguration ini dengan memberikan pengontrol Domain perusahaan grup hak pengguna ini saat Anda meng-upgrade Windows NT 4.0 kontroler domain utama (PDCs). Memberikan pengontrol Domain perusahaan grup pengguna ini benar jika tidak ada dalam Penyunting objek kebijakan grup.

    5. Contoh dari masalah kompatibilitas

      • Windows 2000 dan Windows Server 2003: Replikasi partisi berikut ini akan gagal dengan galat "Akses ditolak" seperti yang dilaporkan oleh alat seperti REPLMON pemantauan dan peristiwa REPADMIN atau replikasi dalam acara log.

        • Partisi skema direktori aktif

        • Konfigurasi partisi

        • Partisi domain

        • Partisi Katalog global

        • Aplikasi partisi

      • Sistem operasi Microsoft semua jaringan: Otentikasi akun pengguna dari komputer klien jaringan jauh akan gagal kecuali pengguna atau grup keamanan yang pengguna yang telah diberikan hak pengguna ini.

      • Sistem operasi Microsoft semua jaringan: Otentikasi akun dari klien jaringan jauh akan gagal kecuali akun atau account yang merupakan anggota dari grup keamanan yang telah diberikan pengguna ini benar. Skenario ini berlaku untuk akun pengguna, komputer akun, dan akun layanan.

      • Sistem operasi Microsoft semua jaringan: Menghapus semua akun dari hak pengguna ini akan mencegah akun dari log on ke domain atau mengakses sumber jaringan. Jika dihitung grup seperti Enterprise pengontrol Domain, semua orang, atau pengguna terotentikasi dihapus, Anda harus secara eksplisit memberi hak pengguna ini untuk account atau grup keamanan yang akun anggota untuk mengakses komputer jarak jauh melalui jaringan. Skenario ini berlaku untuk semua account pengguna, Semua komputer akun, dan semua layanan akun.

      • Sistem operasi Microsoft semua jaringan: Account administrator lokal menggunakan sandi "kosong". Konektivitas jaringan dengan sandi kosong tidak diizinkan untuk akun administrator di lingkungan domain. Dengan konfigurasi ini, Anda akan menerima pesan galat "Akses ditolak".

  2. Mengizinkan log di lokal

    1. Latar belakang

      Pengguna yang sedang berusaha logon pada konsol komputer berbasis Windows (dengan menggunakan pintasan papan tombol CTRL + ALT + DELETE) dan akun yang mencoba untuk memulai layanan harus memiliki hak logon lokal pada komputer host. Contoh operasi logon lokal termasuk administrator yang masuk ke konsol komputer anggota atau pengontrol domain seluruh perusahaan dan domain pengguna yang log on ke komputer anggota untuk mengakses desktop mereka menggunakan non-istimewa akun. Pengguna yang menggunakan sambungan Desktop jarak jauh atau layanan Terminal harus minta pengguna Izinkan log masuk secara lokal pada komputer tujuan yang menjalankan Windows 2000 atau Windows XP karena mode logon ini dianggap lokal pada komputer host. Pengguna yang log on ke server Terminal Server telah diaktifkan dan yang tidak memiliki hak pengguna ini dapat masih memulai sesi interaktif jarak jauh di domain Windows Server 2003 jika mereka memiliki hak pengguna Izinkan log masuk melalui Layanan Terminal .

    2. Konfigurasi berisiko

      Berikut ini adalah pengaturan konfigurasi berbahaya:

      • Menghapus Grup administratif keamanan, termasuk akun operator, operator cadangan, cetak operator atau operator Server, dan grup administrator internal dari kontroler domain bawaan kebijakan.

      • Menghapus akun layanan yang digunakan oleh komponen dan program pada komputer anggota dan pengendali domain di domain dari kontroler domain bawaan kebijakan.

      • Menghapus pengguna atau grup keamanan yang log masuk ke konsol komputer anggota domain.

      • Menghapus akun layanan yang ditetapkan di pangkalan data manajer akun keamanan (SAM) lokal komputer anggota atau komputer grup kerja.

      • Menghapus non-dibangun-di Administrasi akun yang mengotentikasi melalui Layanan Terminal yang dijalankan di pengontrol domain.

      • Menambahkan semua akun pengguna di domain secara eksplisit atau implisit melalui siapa saja kelompok Tolak log masuk secara lokal logon benar. Konfigurasi ini akan mencegah pengguna dari log ke komputer anggota atau apa pun kontroler domain di domain.

    3. Alasan untuk memberi hak pengguna

      • Pengguna harus memiliki hak pengguna Izinkan log masuk secara lokal untuk mengakses konsol atau desktop komputer grup kerja, komputer anggota atau pengontrol domain.

      • Pengguna harus memiliki hak pengguna untuk masuk ke sesi layanan Terminal yang dijalankan di komputer berbasis Window 2000 anggota atau pengontrol domain.

    4. Alasan untuk menghapus hak pengguna

      • Kegagalan untuk membatasi konsol akses ke akun pengguna yang sah dapat menyebabkan pengguna yang tidak sah mengunduh dan menjalankan kode berbahaya untuk mengubah hak pengguna mereka.

      • Penghapusan Izinkan log masuk secara lokal pengguna benar mencegah tidak sah logon pada konsol komputer, seperti pengontrol domain atau server aplikasi.

      • Penghapusan hak logon ini mencegah account non-domain logon pada konsol komputer anggota domain.

    5. Contoh dari masalah kompatibilitas

      • Server terminal Windows 2000: Izinkan log masuk secara lokal pengguna yang tepat diperlukan bagi pengguna untuk masuk ke server terminal Windows 2000.

      • Windows NT 4.0, Windows 2000, Windows XP, atau Windows Server 2003: Akun pengguna harus diberikan hak pengguna untuk masuk pada konsol komputer yang menjalankan Windows NT 4.0, Windows 2000, Windows XP, atau Windows Server 2003.

      • Windows NT 4.0 dan yang lebih baru: Pada komputer yang menjalankan Windows NT 4.0 dan kemudian, jika Anda menambahkan Izinkan log masuk secara lokal pengguna, tetapi Anda secara implisit atau secara eksplisit juga memberi hak logon Tolak log masuk secara lokal , akun tidak dapat login ke konsol domain pengendali.

  3. Bypass melewati pemeriksaan

    1. Latar belakang

      Bypass melewati pemeriksaan hak pengguna memungkinkan pengguna untuk menelusuri folder pada sistem file NTFS atau registri tanpa memeriksa izin akses khusus Melintasi Folder . Bypass melewati pemeriksaan hak pengguna tidak mengizinkan pengguna ke daftar isi map. Hal ini memungkinkan pengguna untuk melintasi hanya folder.

    2. Konfigurasi berisiko

      Berikut ini adalah pengaturan konfigurasi berbahaya:

      • Menghapus akun non-administratif yang log on ke komputer berbasis Windows 2000 Layanan Terminal atau komputer berbasis Windows Server 2003 Terminal Services yang tidak memiliki izin untuk mengakses berkas dan map di dalam sistem file.

      • Menghapus Grup siapa saja dari daftar prinsip keamanan yang memiliki pengguna ini benar secara default. Sistem operasi Windows, dan juga banyak program, dirancang dengan harapan siapa pun yang sah dapat mengakses komputer akan mengabaikan melewati pemeriksaan pengguna yang tepat. Oleh karena itu, menghapus semua orang di grup dari daftar prinsip keamanan yang memiliki hak pengguna ini secara default dapat menyebabkan ketidakstabilan sistem operasi atau kegagalan program. Sebaiknya Anda membiarkan pengaturan ini pada pengaturan.

    3. Alasan untuk memberi hak pengguna

      Pengaturan default untuk mengabaikan melewati pemeriksaan pengguna yang tepat adalah untuk mengizinkan orang bypass melewati pemeriksaan. Untuk administrator sistem Windows berpengalaman, ini adalah perilaku yang diharapkan, dan mereka mengkonfigurasi daftar kontrol akses sistem berkas (SACLs) yang sesuai. Skenario yang hanya mana konfigurasi default dapat mengakibatkan kecelakaan adalah jika administrator yang mengkonfigurasi izin tidak memahami perilaku dan mengharapkan bahwa pengguna yang tidak dapat mengakses folder induk tidak akan dapat mengakses konten setiap anak folder.

    4. Alasan untuk menghapus hak pengguna

      Untuk mencoba untuk mencegah akses ke berkas atau map di dalam sistem file, organisasi yang sangat khawatir tentang keamanan mungkin tergoda untuk menghapus Grup siapa saja, atau bahkan grup pengguna, dari daftar Grup yang memiliki Bypass melewati pemeriksaan pengguna yang benar.

    5. Contoh dari masalah kompatibilitas

      • Windows 2000, Windows Server 2003: Jika pengguna Bypass melewati pemeriksaan kanan dihapus atau salah pada komputer yang menjalankan Windows 2000 atau Windows Server 2003, tataan kebijakan grup di SYVOL folder tidak akan mengulangi antara kontroler domain di domain.

      • Windows 2000, Windows XP Professional, Windows Server 2003: Komputer yang menjalankan Windows 2000, Windows XP Professional, atau Windows Server 2003 akan mencatat peristiwa 1000 dan 1202 dan tidak dapat menerapkan kebijakan komputer dan kebijakan pengguna ketika izin sistem file yang diperlukan dihapus dari pohon SYSVOL jika Bypass melewati pemeriksaan pengguna bukan dihapus atau salah.

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

        peristiwa ID 1000, 1001 dicatat setiap lima menit dalam log peristiwa aplikasi
         

      • Windows 2000, Windows Server 2003: Pada komputer yang menjalankan Windows 2000 atau Windows Server 2003, tab kuota di Windows Explorer akan hilang ketika Anda melihat properti pada volume.

      • Windows 2000: Non-administrator yang log on ke server terminal Windows 2000 mungkin menerima pesan galat berikut:

        Galat aplikasi Userinit.exe. Aplikasi gagal menginisiasi dengan benar 0xc0000142 klik OK untuk menghentikan aplikasi.

      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Pengguna komputer yang menjalankan Windows NT 4.0, Windows 2000, Windows XP, atau Windows Server 2003 tidak dapat mengakses folder berbagi atau berkas di folder bersama, dan mereka akan menerima pesan galat "Akses ditolak" jika mereka tidak diberikan Bypass melintasi memeriksa hak pengguna.


        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

        "Akses ditolak" pesan galat ketika pengguna mencoba mengakses folder berbagi
         

      • Windows NT 4.0: Pada komputer berbasis Windows NT 4.0, penghapusan Bypass melewati pemeriksaan hak pengguna akan menyebabkan salinan berkas drop aliran berkas. Jika Anda menghapus hak pengguna ini, jika berkas yang disalin dari klien Windows atau dari klien Macintosh untuk pengontrol domain Windows NT 4.0 yang menjalankan layanan untuk Macintosh, aliran berkas tujuan hilang, dan berkas muncul sebagai berkas teks saja.

      • Microsoft Windows 95, Microsoft Windows 98: Pada komputer klien yang menjalankan Windows 95 atau Windows 98, net use * / home perintah akan gagal dengan pesan galat "Akses ditolak" jika kelompok pengguna yang diotentikasi tidak diberikan hak pengguna Bypass melewati pemeriksaan .

      • Outlook Web Access: Non-administrator tidak dapat logon ke Microsoft Outlook Web Access, dan mereka akan menerima pesan galat "Akses ditolak" jika mereka tidak diberikan hak pengguna Bypass melewati pemeriksaan .

Pengaturan keamanan

Daftar berikut ini menunjukkan pengaturan keamanan, dan daftar bersarang menyediakan penjelasan tentang pengaturan keamanan, menunjukkan pengaturan konfigurasi yang dapat menyebabkan masalah, menjelaskan mengapa Anda harus menerapkan pengaturan keamanan, dan kemudian menjelaskan alasan mengapa Anda mungkin ingin menghapus pengaturan keamanan. Daftar bersarang kemudian memberikan nama simbolik untuk pengaturan keamanan dan lintasan registri pengaturan keamanan. Akhirnya, contoh disediakan masalah kompatibilitas yang mungkin terjadi saat pengaturan keamanan dikonfigurasi.

  1. Audit: Mematikan sistem segera jika tidak dapat log audit keamanan

    1. Latar belakang

      • Audit: mematikan sistem segera jika tidak dapat log audit keamanan pengaturan menentukan apakah sistem mati apabila Anda tidak dapat log peristiwa keamanan. Pengaturan ini diperlukan untuk program terpercaya komputer keamanan evaluasi kriteria (TCSEC) C2 evaluasi dan umum kriteria evaluasi keamanan teknologi informasi untuk mencegah kejadian adminstrasi jika audit sistem tidak dapat log peristiwa tersebut. Apabila sistem audit gagal, sistem mematikan, dan muncul pesan galat Stop.

      • Jika komputer tidak merekam peristiwa ke log keamanan, bukti penting atau informasi pemecahan masalah penting mungkin tidak tersedia untuk meninjau setelah insiden keamanan.

    2. Konfigurasi berisiko

      Berikut ini adalah pengaturan konfigurasi berbahaya: Audit: mematikan sistem segera jika tidak dapat log audit keamanan pengaturan diaktifkan, dan ukuran log peristiwa keamanan dibatasi oleh tidak menimpa peristiwa (menghapus log secara manual) opsi, opsi menimpa kejadian seperlunya atau opsi Menimpa peristiwa lebih tua dari jumlah hari pada peraga peristiwa. Lihat bagian "Contoh masalah kompatibilitas" untuk informasi tentang risiko yang spesifik untuk komputer yang menjalankan versi rilis asli Windows 2000, Windows 2000 Paket Layanan 1 (SP1), Windows 2000 SP2 atau Windows 2000 SP3.

    3. Alasan untuk mengaktifkan pengaturan ini

      Jika komputer tidak merekam peristiwa ke log keamanan, bukti penting atau informasi pemecahan masalah penting mungkin tidak tersedia untuk meninjau setelah insiden keamanan.

    4. Alasan untuk menonaktifkan pengaturan ini

      • Mengaktifkan Audit: mematikan sistem segera jika tidak dapat log audit keamanan pengaturan berhenti sistem jika audit keamanan tidak dapat masuk karena alasan apa pun. Biasanya, kejadian tidak dapat dicatat saat log audit keamanan penuh dan ketika metode penyimpanan yang ditetapkan tidak menimpa peristiwa (menghapus log secara manual) opsi atau Lebih tua dari jumlah hari peristiwa menimpa opsi.

      • Beban administratif mengaktifkan Audit: mematikan sistem segera jika tidak dapat log audit keamanan pengaturan bisa sangat tinggi, terutama apabila Anda juga mengaktifkan opsi tidak menimpa peristiwa (menghapus log secara manual) untuk log keamanan. Pengaturan ini menyediakan untuk masing-masing akuntabilitas operator tindakan. Misalnya, administrator dapat menyetel ulang izin pada semua pengguna, komputer, dan grup di unit organisasi (OU) mana audit sudah diaktifkan dengan menggunakan akun administrator internal atau akun lain bersama dan kemudian menolak mereka untuk menyetel ulang izin tersebut. Namun, mengaktifkan tataan mengurangi ketahanan sistem karena server dapat dipaksa untuk mematikan oleh besar dengan logon peristiwa dan kegiatan keamanan lainnya yang ditulis ke log keamanan. Selain itu, karena mati bukan anggun, kerusakan yang dapat diperbaiki untuk sistem operasi, program, atau data dapat mengakibatkan. Meskipun NTFS menjamin bahwa integritas sistem berkas disimpan selama pematian ungraceful sistem, tidak dapat menjamin bahwa setiap file data untuk setiap program akan tetap dalam bentuk yang dapat digunakan apabila sistem memulai ulang.

    5. Nama simbolik:

      CrashOnAuditFail

    6. Jalur registri:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

    7. Contoh dari masalah kompatibilitas

      • Windows 2000: Karena bug, komputer yang menjalankan versi rilis asli Windows 2000, Windows 2000 SP1, Windows 2000 SP2 atau Windows Server SP3 dapat menghentikan log peristiwa sebelum ukuran yang ditetapkan di opsi ukuran log maksimum untuk keamanan log peristiwa tercapai. Ini bug yang diperbaiki dalam Windows 2000 Paket Layanan 4 (SP4). Pastikan bahwa pengontrol domain Windows 2000 Anda memiliki Windows 2000 paket layanan diinstal sebelum Anda mempertimbangkan untuk mengaktifkan pengaturan ini 4.

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

        log peristiwa berhenti log peristiwa sebelum mencapai ukuran log maksimum
         

      • Windows 2000, Windows Server 2003: Me-restart komputer yang menjalankan Windows 2000 atau Windows Server 2003 dapat berhenti merespons dan kemudian dapat secara spontan jika Audit: mematikan sistem segera jika tidak dapat log audit keamanan pengaturan diaktifkan, log keamanan yang lengkap, dan ada entri log kejadian tidak dapat ditimpa. Saat komputer dimulai ulang, ditampilkan pesan galat Stop berikut ini:

        STOP: C0000244 {Audit gagal}
        Upaya untuk menghasilkan audit keamanan gagal.

        Untuk memulihkan, administrator harus log masuk, mengarsip log keamanan (opsional), Hapus log keamanan, dan kemudian membuat ulang opsi ini (opsional dan sesuai yang diperlukan).

      • Klien jaringan Microsoft untuk MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Non-administrator yang mencoba log on ke domain akan menerima pesan galat berikut:

        Account Anda dikonfigurasi untuk mencegah Anda menggunakan komputer ini. Coba komputer lain.

      • Windows 2000: Pada komputer berbasis Windows 2000, non-administrator tidak dapat logon ke server akses jarak jauh, dan mereka akan menerima pesan galat yang mirip berikut ini:

        Tidak diketahui pengguna atau sandi buruk

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

        Pesan galat : akun Anda dikonfigurasi untuk mencegah Anda menggunakan komputer ini
         

      • Windows 2000: Di pengontrol domain Windows 2000, Layanan Intersite perpesanan (Ismserv.exe) akan berhenti dan tidak bisa dimulai ulang. DCDIAG akan melaporkan galat sebagai "gagal uji Layanan ISMserv", dan peristiwa ID 1083 akan terdaftar dalam acara log.

      • Windows 2000: Pada pengontrol domain Windows 2000, replikasi direktori aktif akan gagal, dan pesan "Akses ditolak" akan ditampilkan jika log peristiwa keamanan penuh.

      • Microsoft Exchange 2000: Server yang menjalankan Exchange 2000 tidak akan dapat memasang pangkalan data penyimpanan informasi, dan peristiwa 2102 akan terdaftar dalam acara log.

      • Outlook, Outlook Web Access: Non-administrator tidak dapat mengakses surat mereka melalui Microsoft Outlook atau Microsoft Outlook Web Access, dan mereka akan menerima kesalahan 503.

  2. Kontroler domain: persyaratan penandatanganan server LDAP

    1. Latar belakang

      Pengontrol Domain: persyaratan penandatanganan server LDAP pengaturan keamanan menentukan apakah server protokol akses direktori ringan (LDAP) memerlukan berunding data penandatanganan klien LDAP. Nilai yang mungkin untuk setelan kebijakan ini adalah sebagai berikut:

      • None: Data penandatanganan tidak diperlukan untuk mengikat dengan server. Jika klien meminta data penandatanganan, server mendukung itu.

      • Memerlukan penandatanganan: Opsi data penandatanganan LDAP harus merundingkan kecuali Transport Layer Security Secure Socket Layer (TLS/SSL) sedang digunakan.

      • tidak ditetapkan: Pengaturan ini tidak diaktifkan atau dinonaktifkan.

    2. Konfigurasi berisiko

      Berikut ini adalah pengaturan konfigurasi berbahaya:

      • Mengaktifkan memerlukan penandatanganan di lingkungan di mana klien tidak mendukung penandatanganan LDAP atau mana penandatanganan LDAP sisi klien tidak diaktifkan di klien

      • Menerapkan Windows 2000 atau Windows Server 2003 Hisecdc.inf pola dasar keamanan di lingkungan di mana klien tidak mendukung penandatanganan LDAP atau mana penandatanganan LDAP sisi klien tidak diaktifkan

      • Menerapkan Windows 2000 atau Windows Server 2003 Hisecws.inf pola dasar keamanan di lingkungan di mana klien tidak mendukung penandatanganan LDAP atau mana penandatanganan LDAP sisi klien tidak diaktifkan

    3. Alasan untuk mengaktifkan pengaturan ini

      Lalu lintas jaringan yang tidak ditandatangani rentan terhadap serangan orang-di-tengah mana pembobol menangkap paket di antara klien dan server, mengubah paket, dan kemudian meneruskannya ke server. Pada saat perilaku ini terjadi di LDAP server, penyerang dapat menyebabkan server mengambil keputusan berdasarkan permintaan palsu dari klien LDAP. Anda dapat menurunkan risiko ini pada jaringan korporat dengan menerapkan langkah-langkah keamanan fisik yang kuat untuk membantu melindungi infrastruktur jaringan. Mode kop otentikasi Internet Protocol security (IPSec) dapat membantu mencegah orang-di-tengah serangan. Mode kop otentikasi melakukan saling otentikasi dan integritas paket IP lalu lintas.

    4. Alasan untuk menonaktifkan pengaturan ini

      • Klien yang tidak mendukung penandatanganan LDAP tidak dapat melakukan permintaan LDAP terhadap pengontrol domain dan terhadap Katalog global jika otentikasi NTLM negosiasi dan paket layanan yang benar tidak diinstal di pengontrol domain Windows 2000.

      • Jejak jaringan lalu lintas LDAP antara klien dan server akan dienkripsi. Hal ini sulit untuk memeriksa percakapan LDAP.

      • Server berbasis Windows 2000 harus memasang Windows 2000 Paket Layanan 3 (SP3) atau saat mereka dikelola dengan program dukungan LDAP penandatanganan yang akan dijalankan dari komputer klien yang menjalankan Windows 2000 SP4, Windows XP, atau Windows Server 2003. Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

        Kontroler domain Windows 2000 memerlukan paket layanan 3 atau setelahnya saat menggunakan alat administrasi Windows Server 2003
         

    5. Nama simbolik:

      LDAPServerIntegrity

    6. Jalur registri:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

    7. Contoh dari masalah kompatibilitas

      • Pengikatan sederhana akan gagal, dan Anda akan menerima pesan galat berikut:

        Ldap_simple_bind_s() failed: Strong Authentication Required.

      • Windows 2000 Paket Layanan 4, Windows XP, Windows Server 2003: Pada klien yang menjalankan Windows 2000 SP4, Windows XP, atau Windows Server 2003, beberapa alat administrasi direktori aktif tidak akan beroperasi dengan benar terhadap pengontrol domain yang menjalankan versi Windows 2000 yang lebih lawas dari SP3 ketika NTLM negosiasi otentikasi.

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

        Kontroler domain Windows 2000 memerlukan paket layanan 3 atau setelahnya saat menggunakan alat administrasi Windows Server 2003
         

      • Windows 2000 Paket Layanan 4, Windows XP, Windows Server 2003: Pada klien yang menjalankan Windows 2000 SP4, Windows XP, atau Windows Server 2003, beberapa alat administrasi Active Directory target kontroler domain yang menjalankan versi Windows 2000 yang lebih lawas dari SP3 tidak akan beroperasi dengan benar jika mereka menggunakan alamat IP (misalnya, "dsa.msc/server =x.x.x.x" mana
        x.x.x.x adalah alamat IP).


        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

        Kontroler domain Windows 2000 memerlukan paket layanan 3 atau setelahnya saat menggunakan alat administrasi Windows Server 2003
         

      • Windows 2000 Paket Layanan 4, Windows XP, Windows Server 2003: Pada klien yang menjalankan Windows 2000 SP4, Windows XP, atau Windows Server 2003, beberapa alat administrasi Active Directory target kontroler domain yang menjalankan versi Windows 2000 yang lebih lawas dari SP3 tidak akan beroperasi dengan benar.

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

        Kontroler domain Windows 2000 memerlukan paket layanan 3 atau setelahnya saat menggunakan alat administrasi Windows Server 2003
         

  3. Anggota domain: memerlukan kunci sesi (Windows 2000 atau yang lebih baru) yang kuat

    1. Latar belakang

      • Anggota Domain: memerlukan kunci sesi (Windows 2000 atau yang lebih baru) yang kuat pengaturan menentukan apakah saluran aman dapat dibuat dengan kontroler domain yang tidak dapat mengenkripsi lalu lintas saluran aman dengan kunci sesi yang kuat, 128-bit. Mengaktifkan pengaturan ini mencegah membangun saluran aman dengan pengontrol domain yang tidak dapat mengenkripsi data saluran aman dengan kunci yang kuat. Menonaktifkan pengaturan ini memungkinkan kunci sesi 64-bit.

      • Sebelum Anda dapat mengaktifkan pengaturan ini pada anggota workstation atau server, Semua pengontrol domain di domain yang dimiliki anggota harus dapat mengenkripsi data saluran aman dengan kunci yang kuat, 128-bit. Ini berarti bahwa semua pengontrol domain harus menjalankan Windows 2000 atau sesudahnya.

    2. Konfigurasi berisiko

      Mengaktifkan anggota Domain: memerlukan kunci sesi (Windows 2000 atau yang lebih baru) yang kuat pengaturan adalah pengaturan konfigurasi berbahaya.

    3. Alasan untuk mengaktifkan pengaturan ini

      • Sesi kunci yang digunakan untuk membuat saluran aman komunikasi antara komputer anggota dan pengendali domain jauh lebih kuat pada Windows 2000 daripada versi sistem operasi Microsoft.

      • Bila mungkin, ini adalah ide yang baik untuk mengambil keuntungan dari kunci sesi ini lebih kuat untuk membantu melindungi komunikasi saluran aman dari menguping dan sesi pembajakan serangan jaringan. Eavesdropping adalah bentuk serangan berbahaya mana data jaringan dibaca atau diubah dalam transit. Data dapat dimodifikasi untuk menyembunyikan atau mengubah pengirim, atau untuk mengarahkan itu.

      Penting Komputer yang menjalankan Windows Server 2008 R2 atau Windows 7 mendukung hanya kuat kunci ketika saluran aman digunakan. Pembatasan ini mencegah kepercayaan antara domain berbasis Windows NT 4.0 dan domain berbasis Windows Server 2008 R2. Selain itu, pembatasan ini memblokir keanggotaan domain berbasis Windows NT 4.0 dari komputer yang menjalankan Windows 7 atau Windows Server 2008 R2, dan sebaliknya.

    4. Alasan untuk menonaktifkan pengaturan ini

      Domain yang berisi anggota komputer yang menjalankan sistem operasi selain Windows 2000, Windows XP, atau Windows Server 2003.

    5. Nama simbolik:

      StrongKey

    6. Jalur registri:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

    7. Contoh dari masalah kompatibilitas

      Windows NT 4.0: Pada komputer berbasis Windows NT 4.0, mereset saluran aman hubungan kepercayaan antara Windows NT 4.0 dan domain Windows 2000 dengan NLTEST gagal. Ditampilkan pesan galat "Akses ditolak":

      Hubungan kepercayaan domain primer dan domain terpercaya gagal.

      Windows 7 dan Server 2008 R2: Untuk Windows 7 dan versi yang lebih baru dan Windows Server 2008 R2 dan versi yang lebih baru, pengaturan ini tidak dibutuhkan lagi dan kunci yang kuat selalu digunakan. Oleh karena itu, kepercayaan dengan domain Windows NT 4.0 tidak berfungsi lagi.

  4. Anggota domain: Digital mengenkripsi atau tanda saluran aman data (selalu)

    1. Latar belakang

      • Mengaktifkan anggota Domain: Digital mengenkripsi atau tanda saluran aman data (selalu) mencegah membangun saluran aman dengan pengontrol domain yang tidak dapat masuk atau mengenkripsi semua data saluran aman. Untuk membantu melindungi lalu lintas otentikasi dari serangan orang-di-tengah, menyulitkan serangan putar ulang, dan jenis serangan jaringan lain, komputer berbasis Windows membuat sebuah saluran komunikasi yang dikenal sebagai saluran aman melalui layanan Net Logon mengotentikasi komputer akun. Saluran aman juga digunakan saat pengguna di satu domain menyambung ke sumber daya jaringan di domain jauh. Otentikasi multidomain atau kirim langsung otentikasi, ini memungkinkan komputer berbasis Windows yang telah bergabung dengan domain memiliki akses ke pangkalan data account pengguna pada domainnya dan setiap domain yang terpercaya.

      • Untuk mengaktifkan anggota Domain: Digital mengenkripsi atau tanda saluran aman data (selalu) pengaturan pada komputer anggota, Semua pengontrol domain di domain yang dimiliki anggota harus dapat masuk atau mengenkripsi semua data saluran aman. Ini berarti bahwa semua pengontrol domain tersebut harus menjalankan Windows NT 4.0 dengan Paket Layanan 6a (SP6a) atau yang lebih baru.

      • Mengaktifkan anggota Domain: Digital mengenkripsi atau tanda saluran aman data (selalu) pengaturan secara otomatis memungkinkan anggota Domain: Digital mengenkripsi atau tanda saluran aman data (jika tersedia) pengaturan.

    2. Konfigurasi berisiko

      Mengaktifkan anggota Domain: Digital mengenkripsi atau tanda saluran aman data (selalu) pengaturan di domain mana tidak semua pengontrol domain dapat masuk atau mengenkripsi data saluran aman adalah pengaturan konfigurasi berbahaya.

    3. Alasan untuk mengaktifkan pengaturan ini

      Lalu lintas jaringan yang tidak ditandatangani rentan terhadap serangan orang-di-tengah, mana pembobol menangkap paket di antara server dan klien dan kemudian mengubah mereka sebelum meneruskan mereka kepada klien. Pada saat perilaku ini terjadi di server protokol akses direktori ringan (LDAP), pembobol dapat menyebabkan klien untuk membuat keputusan yang didasarkan pada palsu Catatan dari direktori LDAP. Anda dapat menurunkan resiko serangan seperti pada jaringan korporat dengan menerapkan langkah-langkah keamanan fisik yang kuat untuk membantu melindungi infrastruktur jaringan. Selain itu, penerapan keamanan protokol Internet (IPSec) mode kop otentikasi dapat membantu mencegah orang-di-tengah serangan. Mode ini melakukan saling otentikasi dan integritas paket IP lalu lintas.

    4. Alasan untuk menonaktifkan pengaturan ini

      • Komputer di domain lokal atau eksternal mendukung saluran aman terenkripsi.

      • Tidak semua pengontrol domain di domain memiliki tingkat revisi paket layanan yang sesuai untuk mendukung saluran aman terenkripsi.

    5. Nama simbolik:

      StrongKey

    6. Jalur registri:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

    7. Contoh dari masalah kompatibilitas

      • Windows NT 4.0: Komputer berbasis Windows 2000 anggota tidak dapat bergabung dengan domain Windows NT 4.0 dan akan menerima pesan galat berikut:

        Akun tidak berwenang untuk masuk dari Stasiun ini.

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

        Pesan galat : akun tidak berwenang untuk masuk dari Stasiun ini
         

      • Windows NT 4.0: Domain Windows NT 4.0 tidak akan dapat membuat turun tingkat kepercayaan domain Windows 2000 dan akan menerima pesan galat berikut:

        Akun tidak berwenang untuk masuk dari Stasiun ini.

        Ada turun tingkat kepercayaan juga tidak dapat mengotentikasi pengguna dari domain yang terpercaya. Beberapa pengguna mungkin mengalami masalah masuk ke domain, dan mereka akan menerima pesan galat yang menyatakan bahwa klien tidak dapat menemukan domain.

      • Windows XP: Klien Windows XP yang bergabung ke domain Windows NT 4.0 tidak dapat mengotentikasi upaya logon dan mungkin menerima pesan galat, atau kejadian berikut akan terdaftar di log peristiwa:

        Windows tidak dapat menyambung ke domain atau karena pengontrol domain tidak bekerja atau jika tidak tersedia karena akun komputer tidak ditemukan

      • Jaringan Microsoft: Microsoft Network klien akan menerima salah satu pesan galat berikut:

        Logon gagal: tidak diketahui nama pengguna atau sandi buruk.

        Ada tidak ada pengguna sesi kunci untuk sesi logon tertentu.

  5. Klien jaringan Microsoft: menandatangani komunikasi (selalu)

    1. Latar belakang

      Blok pesan server (SMB) adalah protokol berbagi sumber daya yang didukung oleh banyak sistem operasi Microsoft. Ini adalah dasar jaringan sistem input/output dasar (NetBIOS) dan protokol lainnya. Penandatangan SMB mengotentikasi pengguna dan server sebagai inang data. Jika salah satu sisi gagal proses otentikasi, pengiriman data tidak akan terjadi.

      Mengaktifkan penandatanganan dimulai selama negosiasi protokol SMB SMB. Kebijakan penandatanganan SMB menentukan apakah komputer selalu secara digital menandatangani komunikasi klien.

      Protokol otentikasi Windows 2000 SMB mendukung saling otentikasi. Saling otentikasi menutup serangan "orang di--tengah". Protokol otentikasi Windows 2000 SMB juga mendukung otentikasi pesan. Otentikasi pesan membantu mencegah serangan pesan aktif. Untuk memberikan otentikasi ini, penandatangan SMB menempatkan tanda tangan digital ke SMB masing-masing. Klien dan server setiap verifikasi tanda tangan digital.

      Untuk menggunakan penandatangan SMB, Anda harus mengaktifkan penandatangan SMB atau memerlukan penandatangan SMB klien dan SMB server SMB. Jika penandatangan SMB diaktifkan di server, klien yang juga diaktifkan untuk SMB masuk menggunakan paket penandatanganan protokol selama sesi berikutnya. Jika penandatangan SMB diperlukan di server, klien tidak dapat membuat sesi kecuali klien diaktifkan atau diperlukan untuk penandatangan SMB.


      Mengaktifkan penandatanganan digital dalam jaringan keamanan tinggi membantu mencegah peniruan klien dan server. Peniruan semacam ini disebut sebagai sesi pembajakan. Seorang penyerang yang memiliki akses ke jaringan yang sama sebagai klien atau server menggunakan sesi pembajakan alat untuk menghentikan, akhir atau mencuri sesi berlangsung. Seorang penyerang dapat intercept mengubah tidak ditandatangani SMB paket, mengubah lalu lintas, dan kemudian meneruskannya sehingga server mungkin melakukan tindakan yang tidak diinginkan. Atau, penyerang dapat menimbulkan sebagai server atau klien setelah otentikasi yang sah dan kemudian mendapatkan akses ke data.

      Protokol SMB yang digunakan untuk berbagi berkas dan cetak berbagi di komputer yang menjalankan Windows 2000 Server, Windows 2000 Professional, Windows XP Professional, atau Windows Server 2003 mendukung saling otentikasi. Saling otentikasi menutup sesi pembajakan serangan dan mendukung otentikasi pesan. Oleh karena itu, hal ini mencegah orang-di-tengah serangan. Penandatangan SMB menyediakan otentikasi ini dengan menempatkan tanda tangan digital di setiap SMB. Klien dan server kemudian verifikasi tanda tangan.

      Catatan

      • Sebagai alternatif penanggulangan, Anda dapat mengaktifkan tanda tangan digital dengan IPSec untuk membantu melindungi semua lalu lintas jaringan. Ada berbasis perangkat keras akselerator IPSec enkripsi dan masuk yang dapat Anda gunakan untuk meminimalkan dampak kinerja dari CPU server. Ada tidak seperti akselerator yang tersedia untuk penandatangan SMB.

        Untuk informasi selengkapnya, baca bab di situs web Microsoft MSDN.

        Konfigurasi penandatangan SMB melalui Penyunting objek kebijakan grup karena mengubah nilai registri lokal tidak berpengaruh apabila kebijakan domain utama.

      • Windows 95, Windows 98 dan Windows 98 Second Edition, klien layanan direktori menggunakan penandatangan SMB saat mengotentikasi dengan server Windows Server 2003 dengan menggunakan otentikasi NTLM. Namun, klien ini tidak menggunakan ketika mereka mengotentikasi dengan server ini menggunakan otentikasi NTLMv2 penandatangan SMB. Selain itu, Windows 2000 Server tidak menanggapi permintaan dari klien ini penandatangan SMB. Untuk informasi selengkapnya, lihat item 10: "keamanan jaringan: tingkat otentikasi Lan Manager."

    2. Konfigurasi berisiko

      Berikut ini adalah pengaturan konfigurasi berbahaya: meninggalkan kedua klien jaringan Microsoft: menandatangani komunikasi (selalu) pengaturan dan klien jaringan Microsoft: komunikasi sign secara digital (apabila server setuju) pengaturan ditetapkan ke " Tidak ditetapkan"atau dinonaktifkan. Pengaturan ini memungkinkan redirector mengirim sandi teks ke server non - Microsoft SMB yang tidak mendukung enkripsi sandi selama otentikasi.

    3. Alasan untuk mengaktifkan pengaturan ini

      Mengaktifkan klien jaringan Microsoft: menandatangani komunikasi (selalu) memerlukan klien masuk SMB lalu lintas saat menghubungi server yang tidak memerlukan penandatangan SMB. Ini membuat klien kurang rentan terhadap serangan pembajakan sesi.

    4. Alasan untuk menonaktifkan pengaturan ini

      • Mengaktifkan klien jaringan Microsoft: menandatangani komunikasi (selalu) mencegah berkomunikasi dengan server target yang tidak mendukung penandatangan SMB klien.

      • Mengkonfigurasi komputer untuk mengabaikan semua komunikasi SMB tidak ditandatangani mencegah program dan sistem operasi yang lebih lawas menyambung.

    5. Nama simbolik:

      RequireSMBSignRdr

    6. Jalur registri:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

    7. Contoh dari masalah kompatibilitas

      • Windows NT 4.0: Anda tidak dapat mereset saluran aman kepercayaan antar domain Windows Server 2003 dan Windows NT 4.0 domain menggunakan NLTEST atau NETDOM, dan Anda akan menerima pesan galat "Akses ditolak".

      • Windows XP: Menyalin file dari Windows XP klien ke server berbasis Windows 2000 dan Windows Server 2003 berbasis server mungkin memerlukan waktu lebih lama.

      • Anda tidak dapat memetakan kandar jaringan dari klien dengan pengaturan ini diaktifkan, dan Anda akan menerima pesan galat berikut:

        Akun tidak berwenang untuk masuk dari Stasiun ini.

    8. Persyaratan mulai ulang

      Mulai ulang komputer, atau memulai ulang layanan Workstation. Untuk melakukannya, ketik perintah berikut pada prompt perintah. Tekan Enter setelah Anda mengetik perintah.

      net stop workstation
      net start workstation

  6. Server jaringan Microsoft: menandatangani komunikasi (selalu)

    1. Latar belakang

      • Blok pesan server (SMB) adalah protokol berbagi sumber daya yang didukung oleh banyak sistem operasi Microsoft. Ini adalah dasar jaringan sistem input/output dasar (NetBIOS) dan protokol lainnya. Penandatangan SMB mengotentikasi pengguna dan server sebagai inang data. Jika salah satu sisi gagal proses otentikasi, pengiriman data tidak akan terjadi.

        Mengaktifkan penandatanganan dimulai selama negosiasi protokol SMB SMB. Kebijakan penandatanganan SMB menentukan apakah komputer selalu secara digital menandatangani komunikasi klien.

        Protokol otentikasi Windows 2000 SMB mendukung saling otentikasi. Saling otentikasi menutup serangan "orang di--tengah". Protokol otentikasi Windows 2000 SMB juga mendukung otentikasi pesan. Otentikasi pesan membantu mencegah serangan pesan aktif. Untuk memberikan otentikasi ini, penandatangan SMB menempatkan tanda tangan digital ke SMB masing-masing. Klien dan server setiap verifikasi tanda tangan digital.

        Untuk menggunakan penandatangan SMB, Anda harus mengaktifkan penandatangan SMB atau memerlukan penandatangan SMB klien dan SMB server SMB. Jika penandatangan SMB diaktifkan di server, klien yang juga diaktifkan untuk SMB masuk menggunakan paket penandatanganan protokol selama sesi berikutnya. Jika penandatangan SMB diperlukan di server, klien tidak dapat membuat sesi kecuali klien diaktifkan atau diperlukan untuk penandatangan SMB.


        Mengaktifkan penandatanganan digital dalam jaringan keamanan tinggi membantu mencegah peniruan klien dan server. Peniruan semacam ini disebut sebagai sesi pembajakan. Seorang penyerang yang memiliki akses ke jaringan yang sama sebagai klien atau server menggunakan sesi pembajakan alat untuk menghentikan, akhir atau mencuri sesi berlangsung. Seorang penyerang dapat intercept mengubah tidak ditandatangani paket Subnet Bandwidth Manager (MBS), mengubah lalu lintas, dan kemudian meneruskannya sehingga server mungkin melakukan tindakan yang tidak diinginkan. Atau, penyerang dapat menimbulkan sebagai server atau klien setelah otentikasi yang sah dan kemudian mendapatkan akses ke data.

        Protokol SMB yang digunakan untuk berbagi berkas dan cetak berbagi di komputer yang menjalankan Windows 2000 Server, Windows 2000 Professional, Windows XP Professional, atau Windows Server 2003 mendukung saling otentikasi. Saling otentikasi menutup sesi pembajakan serangan dan mendukung otentikasi pesan. Oleh karena itu, hal ini mencegah orang-di-tengah serangan. Penandatangan SMB menyediakan otentikasi ini dengan menempatkan tanda tangan digital di setiap SMB. Klien dan server kemudian verifikasi tanda tangan.

      • Sebagai alternatif penanggulangan, Anda dapat mengaktifkan tanda tangan digital dengan IPSec untuk membantu melindungi semua lalu lintas jaringan. Ada berbasis perangkat keras akselerator IPSec enkripsi dan masuk yang dapat Anda gunakan untuk meminimalkan dampak kinerja dari CPU server. Ada tidak seperti akselerator yang tersedia untuk penandatangan SMB.

      • Windows 95, Windows 98 dan Windows 98 Second Edition, klien layanan direktori menggunakan penandatangan SMB saat mengotentikasi dengan server Windows Server 2003 dengan menggunakan otentikasi NTLM. Namun, klien ini tidak menggunakan ketika mereka mengotentikasi dengan server ini menggunakan otentikasi NTLMv2 penandatangan SMB. Selain itu, Windows 2000 Server tidak menanggapi permintaan dari klien ini penandatangan SMB. Untuk informasi selengkapnya, lihat item 10: "keamanan jaringan: tingkat otentikasi Lan Manager."

    2. Konfigurasi berisiko

      Berikut ini adalah pengaturan konfigurasi berbahaya: mengaktifkan server jaringan Microsoft: menandatangani komunikasi (selalu) pengaturan pada server dan pada kontroler domain yang akan diakses oleh komputer berbasis Windows yang kompatibel dan pihak ketiga komputer klien berbasis sistem operasi di domain lokal atau eksternal.

    3. Alasan untuk mengaktifkan pengaturan ini

      • Semua komputer klien yang mengaktifkan pengaturan ini secara langsung melalui registri atau setelan kebijakan grup mendukung penandatangan SMB. Dengan kata lain, Semua komputer klien yang memiliki pengaturan ini diaktifkan menjalankan salah satu Windows 95 dengan DS klien diinstal, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional, atau Windows Server 2003.

      • Jika server jaringan Microsoft: menandatangani komunikasi (selalu) telah dinonaktifkan, penandatangan SMB sepenuhnya dinonaktifkan. Sepenuhnya menonaktifkan semua SMB penandatanganan membiarkan komputer rentan terhadap serangan pembajakan sesi.

    4. Alasan untuk menonaktifkan pengaturan ini

      • Mengaktifkan pengaturan ini dapat menyebabkan lambat file salinan dan performa jaringan pada klien komputer.

      • Mengaktifkan pengaturan ini akan mencegah klien yang tidak dapat berunding SMB penandatanganan dari berkomunikasi dengan server dan pengontrol domain. Hal ini menyebabkan operasi seperti bergabung domain, otentikasi pengguna dan komputer atau jaringan akses oleh program gagal.

    5. Nama simbolik:

      RequireSMBSignServer

    6. Jalur registri:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

    7. Contoh dari masalah kompatibilitas

      • Windows 95: Windows 95 klien yang tidak memiliki klien layanan direktori (DS) yang diinstal akan gagal logon otentikasi dan akan menerima pesan galat berikut:

        Sandi domain yang Anda masukkan tidak benar, atau akses ke server logon Anda telah ditolak.

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

        Pesan galat ketika klien Windows 95 atau Windows NT 4.0 log on ke domain Windows Server 2003
         

      • Windows NT 4.0: Komputer klien yang menjalankan versi Windows NT 4.0 yang lebih lawas dari paket layanan 3 (SP3) akan gagal logon otentikasi dan akan menerima pesan galat berikut:

        Sistem dapat tidak masuk Anda. Pastikan bahwa nama pengguna Anda dan domain Anda sudah benar, kemudian ketik lagi sandi Anda.

        Beberapa server non - Microsoft SMB mendukung hanya sandi tidak dienkripsi pertukaran selama otentikasi. (Pertukaran ini juga dikenal sebagai "teks" pertukaran.) Untuk Windows NT 4.0 SP3 dan versi yang lebih baru, SMB redirector tidak mengirim sandi tidak dienkripsi selama otentikasi ke SMB server kecuali Anda menambahkan entri registri khusus.
        Untuk mengaktifkan sandi tidak dienkripsi untuk SMB klien pada Windows NT 4.0 SP 3 dan sistem yang lebih baru, memodifikasi registri sebagai berikut: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters

        Nama nilai: EnablePlainTextPassword

        Jenis data: REG_DWORD

        Data: 1


        Untuk informasi selengkapnya tentang topik terkait, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

        Pesan galat : telah terjadi galat sistem 1240. Akun tidak berwenang untuk masuk dari Stasiun ini.

      • Windows Server 2003: Secara default, pengaturan keamanan pada kontroler domain yang menjalankan Windows Server 2003 dikonfigurasi untuk membantu mencegah komunikasi kontroler domain dari sedang disela atau rusak dengan oleh pengguna yang jahat. Bagi pengguna untuk berhasil berkomunikasi dengan pengontrol domain yang menjalankan Windows Server 2003, komputer klien harus menggunakan baik penandatangan SMB dan enkripsi atau saluran aman lalu lintas masuk. Secara default, klien yang menjalankan Windows NT 4.0 dengan Paket Layanan 2 (SP2) atau sebelumnya dipasang dan klien yang menjalankan Windows 95 tidak memiliki SMB paket penandatanganan diaktifkan. Oleh karena itu, klien ini mungkin tidak dapat mengotentikasi ke kontroler domain berbasis Windows Server 2003.

      • Setelan kebijakan Windows 2000 dan Windows Server 2003: Tergantung pada kebutuhan spesifik penginstalan dan konfigurasi Anda, kami sarankan Anda mengatur setelan kebijakan berikut di entitas terendah cakupan yang diperlukan dalam Penyunting kebijakan grup konsol manajemen Microsoft snap-in hierarki:

        • Opsi Settings\Security Computer Configuration\Windows keamanan

        • Mengirim sandi tidak dienkripsi untuk menyambung ke server SMB pihak ketiga (pengaturan ini adalah untuk Windows 2000)

        • Klien jaringan Microsoft: sandi tidak dienkripsi kirim ke server SMB pihak ketiga (pengaturan ini adalah untuk Windows Server 2003)


        Catatan Pada beberapa server CIFS pihak ketiga, seperti Samba versi yang lebih lama, Anda tidak dapat menggunakan sandi yang dienkripsi.

      • Klien berikut tidak kompatibel dengan server jaringan Microsoft: menandatangani komunikasi (selalu) pengaturan:

        • Apple Computer, Inc., Mac OS X klien

        • Klien jaringan Microsoft MS-DOS (misalnya, Microsoft LAN Manager)

        • Microsoft Windows untuk grup kerja klien

        • Microsoft Windows 95 klien tanpa klien DS diinstal

        • Microsoft yang diinstal di komputer berbasis Windows NT 4.0 tanpa SP3 atau yang lebih baru

        • Novell Netware 6 CIFS klien

        • SAMBA SMB klien yang tidak memiliki dukungan untuk penandatangan SMB

    8. Persyaratan mulai ulang

      Mulai ulang komputer, atau me-restart layanan Server. Untuk melakukannya, ketik perintah berikut pada prompt perintah. Tekan Enter setelah Anda mengetik perintah.

      net stop server
      net start server

  7. Akses jaringan: memungkinkan terjemahan SID nama anonim

    1. Latar belakang

      Akses jaringan: memungkinkan anonim SID nama terjemahan pengaturan keamanan menentukan apakah pengguna anonim dapat meminta atribut nomor identifikasi keamanan (SID) untuk pengguna lain.

    2. Konfigurasi berisiko

      Mengaktifkan akses jaringan: memungkinkan anonim SID nama terjemahan pengaturan adalah pengaturan konfigurasi berbahaya.

    3. Alasan untuk mengaktifkan pengaturan ini

      Jika akses jaringan: memungkinkan anonim SID nama terjemahan pengaturan ini dinonaktifkan, sebelumnya sistem operasi atau aplikasi tidak dapat berkomunikasi dengan domain Windows Server 2003. Sebagai contoh, sistem operasi berikut ini, Layanan atau aplikasi mungkin tidak bekerja:

      • Windows NT 4.0 berbasis layanan akses jauh server

      • Microsoft SQL Server yang berjalan pada komputer berbasis 3.x Windows NT atau komputer berbasis Windows NT 4.0

      • Layanan akses jarak jauh yang dijalankan di komputer berbasis Windows 2000 yang terletak di domain Windows NT 4.0 atau Windows NT 3.x domain

      • SQL Server yang dijalankan di komputer berbasis Windows 2000 yang terletak di Windows NT 3.x domain atau domain Windows NT 4.0

      • Pengguna di Windows NT 4.0 resource domain yang ingin memberi izin untuk mengakses berkas, folder berbagi, dan objek registri untuk akun pengguna dari akun domain yang berisi pengontrol domain Windows Server 2003

    4. Alasan untuk menonaktifkan pengaturan ini

      Jika pengaturan ini diaktifkan, pengguna jahat dapat menggunakan SID administrator terkenal untuk mendapatkan nama akun Administrator internal, bahkan jika akun diganti nama. Orang kemudian dapat menggunakan nama akun untuk memulai serangan menduga sandi.

    5. Nama simbolik: N/A

    6. Jalur registri: Tidak ada. Lintasan yang ditetapkan di UI kode.

    7. Contoh dari masalah kompatibilitas

      Windows NT 4.0: Komputer di Windows NT 4.0 resource domain akan menampilkan pesan galat "Akun tidak diketahui" ACL Editor jika sumber daya, termasuk folder berbagi, berbagi berkas dan registri objek, aman dengan prinsip keamanan yang berada di akun domain yang berisi pengontrol domain Windows Server 2003.

  8. Akses jaringan: tidak mengizinkan anonim enumerasi Sam akun

    1. Latar belakang

      • Akses jaringan: tidak mengizinkan anonim enumerasi Sam akun pengaturan menentukan izin tambahan yang akan diberikan untuk koneksi anonim ke komputer. Windows memungkinkan pengguna anonim untuk menjalankan aktivitas tertentu, seperti enumerasi nama akun manajer akun keamanan (SAM) workstation dan server dan jaringan yang digunakan bersama. Misalnya, administrator dapat menggunakan ini untuk memberikan akses ke pengguna di domain terpercaya yang tidak mempertahankan kepercayaan reciprocal. Setelah sesi dibuat, pengguna anonim mungkin memiliki akses yang sama yang diberikan kepada siapa saja grup didasarkan pada tataan dalam akses jaringan: biarkan semua orang izin yang berlaku untuk pengguna anonim pengaturan atau daftar kontrol akses kewenangan (DACL) dari objek.

        Biasanya, koneksi anonim diminta oleh versi klien (turun tingkat klien) selama penataan sesi SMB. Dalam kasus ini, jejak jaringan menunjukkan bahwa SMB proses ID (PID) redirector klien seperti 0xFEFF pada Windows 2000 atau 0xCAFE pada Windows NT. RPC juga dapat mencoba untuk membuat koneksi anonim.

      • Penting Pengaturan ini ada dampak terhadap pengontrol domain. Pada kontroler domain, perilaku ini dikontrol oleh adanya "NT AUTHORITY\ANONYMOUS LOGON" di "Pra-Windows 2000 kompatibel akses".

      • Pada Windows 2000, pengaturan serupa yang disebut Pembatasan tambahan untuk koneksi anonim mengatur nilai registry RestrictAnonymous . Lokasi nilai ini adalah sebagai berikut

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA Untuk informasi selengkapnya tentang RestrictAnonymous nilai registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

        bagaimana cara menggunakan nilai registri RestrictAnonymous pada Windows 2000
         

        membatasi informasi yang tersedia untuk pengguna logon anonim
         

    2. Konfigurasi berisiko

      Mengaktifkan akses jaringan: tidak mengizinkan anonim enumerasi Sam akun pengaturan adalah pengaturan konfigurasi berbahaya dari sudut pandang kompatibilitas. Nonaktifkan adalah pengaturan konfigurasi berbahaya dari perspektif keamanan.

    3. Alasan untuk mengaktifkan pengaturan ini

      Pengguna yang tidak sah dapat secara anonim daftar nama account dan kemudian gunakan informasi untuk mencoba kira sandi atau lakukan serangan rekayasa sosial . Rekayasa sosial adalah jargon yang berarti menipu orang-orang ke mengungkapkan sandi atau beberapa bentuk keamanan informasi.

    4. Alasan untuk menonaktifkan pengaturan ini

      Pengaturan ini diaktifkan, Apakah mungkin untuk membangun kepercayaan dengan domain Windows NT 4.0. Pengaturan ini juga menyebabkan masalah dengan klien turun tingkat (seperti Windows NT 3.51 klien dan klien Windows 95) yang mencoba untuk menggunakan sumber daya di server.

    5. Nama simbolik:


      RestrictAnonymousSAM

    6. Jalur registri:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

    7. Contoh dari masalah kompatibilitas

    • Penemuan jaringan SMS tidak akan dapat memperoleh informasi sistem operasi dan akan menulis "Tidak diketahui" di properti OperatingSystemNameandVersion.

    • Windows 95, Windows 98: Klien Windows 95 dan Windows 98 klien tidak akan dapat mengubah sandi.

    • Windows NT 4.0: Windows NT 4.0 berbasis anggota komputer tidak akan mampu diotentikasi.

    • Windows 95, Windows 98: Komputer berbasis Windows 95 dan Windows 98 berbasis tidak akan mampu diotentikasi dengan pengontrol domain Microsoft.

    • Windows 95, Windows 98: Pengguna di komputer berbasis Windows 95 dan Windows 98 berbasis tidak dapat mengubah kata sandi untuk account pengguna.

  9. Akses jaringan: tidak mengizinkan anonim enumerasi Sam akun dan berbagi

    1. Latar belakang

      • Akses jaringan: tidak mengizinkan anonim enumerasi Sam akun dan berbagi pengaturan (juga dikenal sebagai RestrictAnonymous) menentukan apakah anonim enumerasi account pengelola account keamanan (SAM) dan berbagi yang diizinkan. Windows memungkinkan pengguna anonim untuk menjalankan aktivitas tertentu, seperti enumerasi nama account domain (pengguna, komputer, dan grup) dan jaringan yang digunakan bersama. Ini merupakan nyaman, misalnya, jika administrator ingin memberikan akses ke pengguna di domain terpercaya yang tidak mempertahankan kepercayaan reciprocal. Jika Anda tidak ingin mengizinkan anonim enumerasi SAM akun dan berbagi, mengaktifkan pengaturan ini.

      • Pada Windows 2000, pengaturan serupa yang disebut Pembatasan tambahan untuk koneksi anonim mengatur nilai registry RestrictAnonymous . Lokasi nilai ini adalah sebagai berikut:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

    2. Konfigurasi berisiko

      Mengaktifkan akses jaringan: tidak mengizinkan anonim enumerasi Sam akun dan berbagi pengaturan adalah pengaturan konfigurasi berbahaya.

    3. Alasan untuk mengaktifkan pengaturan ini

      • Mengaktifkan akses jaringan: tidak mengizinkan anonim enumerasi Sam akun dan berbagi mencegah enumerasi SAM akun dan berbagi dengan pengguna dan komputer yang menggunakan akun anonim.

    4. Alasan untuk menonaktifkan pengaturan ini

      • Jika pengaturan ini diaktifkan, pengguna yang tidak sah dapat secara anonim daftar nama account dan kemudian gunakan informasi untuk mencoba kira sandi atau lakukan serangan rekayasa sosial . Rekayasa sosial adalah jargon yang berarti menipu orang-orang ke mengungkapkan sandi atau beberapa bentuk keamanan informasi.

      • Jika pengaturan ini diaktifkan, ini mungkin membuat kepercayaan dengan domain Windows NT 4.0. Pengaturan ini juga akan menyebabkan masalah dengan turun tingkat klien seperti Windows 95 dan Windows NT 3.51 klien yang mencoba untuk menggunakan sumber daya di server.

      • Akan mustahil untuk memberikan akses ke pengguna domain sumber daya karena administrator domain mempercayai tidak akan mampu menghitung daftar account di domain lainnya. Pengguna yang mengakses berkas dan cetak server secara anonim tidak akan dapat daftar sumber jaringan bersama di server tersebut. Pengguna harus mengotentikasi sebelum mereka dapat melihat daftar folder berbagi dan printer.

    5. Nama simbolik:

      RestrictAnonymous

    6. Jalur registri:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

    7. Contoh dari masalah kompatibilitas

      • Windows NT 4.0: Pengguna tidak dapat mengubah sandi dari Windows NT 4.0 workstation ketika RestrictAnonymous diaktifkan pada kontroler domain di domain pengguna.

      • Windows NT 4.0: Menambahkan pengguna atau grup global dari domain Windows 2000 yang terpercaya untuk Windows NT 4.0 kelompok lokal di Manajer pengguna akan gagal, dan pesan galat berikut akan muncul:

        Ada saat ini tidak tersedia server logon untuk melayani permintaan logon.

      • Windows NT 4.0: Windows NT 4.0 berbasis komputer tidak dapat bergabung dengan domain selama persiapan atau dengan menggunakan antarmuka pengguna bergabung dengan domain.

      • Windows NT 4.0: Membuat turun tingkat kepercayaan dengan Windows NT 4.0 resource domain akan gagal. Pesan galat berikut akan muncul ketika RestrictAnonymous diaktifkan pada domain terpercaya:

        Tidak dapat menemukan kontroler domain untuk domain ini.

      • Windows NT 4.0: Pengguna yang log on ke komputer berbasis Windows NT 4.0 Terminal Server akan dipetakan ke direktori default rumah dan bukan direktori rumah yang ditetapkan di Manajer pengguna untuk domain.

      • Windows NT 4.0: Kontroler backup domain Windows NT 4.0 (BDCs) tidak akan dapat memulai layanan Net Logon, mendapatkan daftar browser cadangan atau mensinkronkan database SAM dari Windows 2000 atau Windows Server 2003 kontroler domain di domain yang sama.

      • Windows 2000: Komputer berbasis Windows 2000 anggota di Windows NT 4.0 domain tidak akan dapat melihat printer di domain eksternal jika tidak ada akses tanpa izin secara eksplisit anonim pengaturan diaktifkan dalam kebijakan keamanan lokal dari komputer klien.

      • Windows 2000: Pengguna domain Windows 2000 tidak dapat menambahkan printer jaringan dari direktori aktif; Namun, mereka dapat menambahkan printer setelah mereka memilih mereka dari tampilan pohon.

      • Windows 2000: Pada komputer berbasis Windows 2000, ACL Editor tidak akan dapat menambahkan pengguna atau grup global dari domain Windows NT 4.0 yang terpercaya.

      • ADMT versi 2: Migrasi sandi untuk account pengguna yang dipindahkan antara hutan dengan Active Directory migrasi alat (ADMT) versi 2 akan gagal.

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

        bagaimana cara mengatasi masalah migrasi antar hutan sandi dengan ADMTv2

      • Klien outlook: Daftar alamat global akan ditampilkan kosong ke klien Microsoft Exchange Outlook.

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

        Kinerja lambat SMB saat Anda menyalin berkas dari Windows XP untuk pengontrol domain Windows 2000

      • SMS: Penemuan jaringan Microsoft Systems Management Server (SMS) tidak akan bisa mendapatkan informasi sistem operasi. Oleh karena itu, akan menulis "Tidak diketahui" di properti OperatingSystemNameandVersion properti SMS DDR penemuan dokumen data (DDR).

      • SMS: Saat menggunakan Wisaya pengguna Administrator SMS untuk mencari pengguna dan grup, pengguna atau grup tidak akan terdaftar. Selain itu, lanjut klien tidak dapat berkomunikasi dengan titik manajemen. Akses anonim diperlukan pada titik manajemen.

      • SMS: Ketika Anda menggunakan fitur penemuan jaringan di SMS 2.0 dan pemasangan klien jauh dengan topologi, klien, dan sistem operasi klien jaringan penemuan opsi diaktifkan, komputer mungkin ditemukan namun mungkin tidak akan diinstal.

  10. Keamanan jaringan: tingkat otentikasi Lan Manager

    1. Latar belakang

      Otentikasi LAN Manager (LM) adalah protokol yang digunakan untuk mengotentikasi klien Windows untuk operasi jaringan, termasuk domain bergabung, mengakses sumber daya jaringan, dan otentikasi pengguna atau komputer. Tingkat otentikasi LM menentukan protokol otentikasi tantangan respons yang negosiasi antara klien dan server komputer. Khususnya, tingkat otentikasi LM menentukan protokol otentikasi yang bahwa klien akan berusaha berunding atau bahwa server akan menerima. Nilai yang ditetapkan untuk LmCompatibilityLevel menentukan protokol otentikasi tantangan respons yang digunakan untuk jaringan logon. Nilai ini mempengaruhi tingkat protokol otentikasi yang menggunakan klien, tingkat keamanan sesi negosiasi, dan tingkat otentikasi yang diterima oleh server.

      Pengaturan mungkin meliputi berikut ini.

      Nilai

      Pengaturan

      Deskripsi

      0

      Mengirim respons LM & NTLM

      Klien menggunakan otentikasi NTLM dan LM dan tidak pernah menggunakan NTLMv2 sesi keamanan. Kontroler domain menerima LM, NTLM, dan NTLMv2 otentikasi.

      1

      Kirim LM & NTLM - menggunakan NTLMv2 sesi keamanan jika negosiasi

      Klien menggunakan otentikasi NTLM dan LM, dan gunakan NTLMv2 sesi keamanan jika server mendukung itu. Kontroler domain menerima LM, NTLM, dan NTLMv2 otentikasi.

      2

      Mengirim respons NTLM hanya

      Klien menggunakan otentikasi NTLM hanya dan menggunakan NTLMv2 sesi keamanan jika server mendukung itu. Kontroler domain menerima LM, NTLM, dan NTLMv2 otentikasi.

      3

      Mengirim respons NTLMv2 hanya

      Klien menggunakan NTLMv2 otentikasi hanya dan menggunakan NTLMv2 sesi keamanan jika server mendukung itu. Kontroler domain menerima LM, NTLM, dan NTLMv2 otentikasi.

      4

      Mengirim respons NTLMv2 hanya / menolak LM

      Klien menggunakan NTLMv2 otentikasi hanya dan menggunakan NTLMv2 sesi keamanan jika server mendukung itu. Kontroler domain menolak LM dan menerima hanya otentikasi NTLM dan NTLMv2.

      5

      Mengirim respons NTLMv2 hanya / menolak LM & NTLM

      Klien menggunakan NTLMv2 otentikasi hanya dan menggunakan NTLMv2 sesi keamanan jika server mendukung itu. Kontroler domain menolak LM dan NTLM dan menerima hanya NTLMv2 otentikasi.

      Catatan Windows 95, Windows 98 dan Windows 98 Second Edition, klien layanan direktori menggunakan penandatangan SMB saat mengotentikasi dengan server Windows Server 2003 dengan menggunakan otentikasi NTLM. Namun, klien ini tidak menggunakan ketika mereka mengotentikasi dengan server ini menggunakan otentikasi NTLMv2 penandatangan SMB. Selain itu, Windows 2000 Server tidak menanggapi permintaan dari klien ini penandatangan SMB.

      Memeriksa LM otentikasi tingkat: Anda harus mengubah kebijakan di server untuk mengizinkan NTLM, atau Anda harus mengkonfigurasi komputer klien untuk mendukung NTLMv2.

      Jika kebijakan diatur ke (5) NTLMv2 mengirim respons only\refuse LM & NTLM pada komputer target yang Anda inginkan untuk menyambung ke, Anda harus menurunkan setelan pada komputer atau menyetel keamanan ke pengaturan yang sama yang ada di komputer sumber yang sedang Anda conn ecting dari.

      Temukan lokasi yang benar di mana Anda dapat mengubah LAN manager tingkat otentikasi untuk mengatur klien dan server ke tingkat yang sama. Setelah Anda menemukan kebijakan yang menetapkan LAN manager tingkat otentikasi, jika Anda ingin menyambung ke dan dari komputer yang menjalankan Windows versi sebelumnya, menurunkan nilai ke setidaknya (1) mengirim LM & NTLM - menggunakan NTLM versi 2 sesi keamanan jika negosiasi. Salah satu efek kompatibel pengaturan adalah bahwa jika server memerlukan NTLMv2 (nilai 5), tetapi klien dikonfigurasi untuk menggunakan LM dan NTLMv1 hanya (nilai 0), pengalaman pengguna yang mencoba otentikasi gagal logon yang memiliki sandi rusak dan yang menambahkan buruk jumlah sandi. Jika akun lock-out dikonfigurasi, pengguna mungkin akhirnya akan terkunci.

      Misalnya, Anda mungkin harus melihat pada kontroler domain, atau Anda mungkin harus memeriksa kebijakan pengontrol domain.

      Cari di pengontrol domain

      Catatan Anda mungkin harus mengulang prosedur berikut ini pada semua pengontrol domain.

      1. Klik mulai, arahkan ke program, dan kemudian klik Alat administratif.

      2. Di bawah Tataan keamanan lokal, memperluas Kebijakan lokal.

      3. Klik opsi keamanan.

      4. Klik dua kali keamanan jaringan: LAN manager otentikasi tingkat, kemudian klik nilai dalam daftar.


      Jika pengaturan efektif dan tataan lokal yang sama, kebijakan yang telah diubah pada tingkat ini. Jika pengaturan berbeda, Anda harus memeriksa kebijakan pengontrol domain untuk menentukan apakah keamanan jaringan: LAN manager otentikasi tingkat pengaturan ditetapkan ada. Jika tidak didefinisikan ada, periksa kebijakan pengontrol domain.

      Periksa kebijakan pengontrol domain

      1. Klik mulai, arahkan ke program, dan kemudian klik Alat administratif.

      2. Kebijakan Keamanan kontroler Domain , Perluas Pengaturan keamanan, dan kemudian rentangkan Kebijakan lokal.

      3. Klik opsi keamanan.

      4. Klik dua kali keamanan jaringan: LAN manager otentikasi tingkat, kemudian klik nilai dalam daftar.


      Note

      • Anda juga harus memeriksa kebijakan yang terkait di tingkat situs, tingkat domain atau unit organisasi (OU) tingkat untuk menentukan di mana Anda harus mengkonfigurasi tingkat otentikasi LAN manager.

      • Jika Anda menerapkan pengaturan kebijakan grup sebagai kebijakan domain bawaan, kebijakan akan diterapkan untuk semua komputer di domain.

      • Jika Anda menerapkan pengaturan kebijakan grup sebagai pengontrol domain bawaan kebijakan, kebijakan ini hanya berlaku untuk server di pengontrol domain OU.

      • Itu adalah ide yang baik untuk menyetel tingkat otentikasi LAN manager dalam entitas terendah cakupan yang diperlukan dalam hierarki aplikasi kebijakan.

      Windows Server 2003 memiliki pengaturan default baru untuk hanya menggunakan NTLMv2. Secara default, Windows Server 2003 dan pengontrol domain berbasis Windows 2000 Server SP3 telah diaktifkan "server jaringan Microsoft: menandatangani komunikasi (selalu)" kebijakan. Pengaturan ini memerlukan server SMB untuk menjalankan paket penandatangan SMB. Perubahan pada Windows Server 2003 dibuat karena pengontrol domain, file server, jaringan infrastruktur server dan Web server di organisasi memerlukan pengaturan yang berbeda untuk memaksimalkan keamanan mereka.

      Jika Anda ingin menerapkan NTLMv2 otentikasi di jaringan Anda, Anda harus memastikan bahwa semua komputer di domain yang ditetapkan untuk menggunakan otentikasi tingkat ini. Jika Anda menerapkan Active Directory klien ekstensi untuk Windows 95 atau Windows 98 dan Windows NT 4.0, ekstensi klien menggunakan fitur peningkatan otentikasi yang tersedia di NTLMv2. Karena komputer klien yang menjalankan salah satu sistem operasi berikut ini tidak dipengaruhi oleh Windows 2000 objek kebijakan grup, Anda mungkin harus secara manual mengkonfigurasi klien berikut ini:

      • Microsoft Windows NT 4.0

      • Microsoft Windows Millennium Edition

      • Microsoft Windows 98

      • Microsoft Windows 95

      Catatan Jika Anda mengaktifkan keamanan jaringan: tidak menyimpan LAN manager hash nilai berikutnya perubahan sandi kebijakan atau mengatur kunci registri NoLMHash , klien berbasis Windows 95 dan Windows 98-based yang tidak memiliki klien layanan direktori yang diinstal tidak log on ke domain setelah mengubah sandi.

      Banyak server CIFS pihak ketiga, seperti Novell Netware 6, tidak sadar NTLMv2 dan hanya menggunakan NTLM. Oleh karena itu, tingkat yang lebih besar dari 2 tidak mengizinkan konektivitas. Juga ada klien SMB pihak ketiga yang tidak menggunakan sesi diperpanjang keamanan. Dalam kasus ini, LmCompatiblityLevel sumber daya server tidak dipertimbangkan. Server kemudian paket permintaan ini warisan dan mengirimnya ke pengontrol Domain pengguna. Pengaturan pada kontroler Domain kemudian memutuskan hash apa yang digunakan untuk memverifikasi permintaan dan apakah ini telah memenuhi persyaratan keamanan kontroler Domain.

      Untuk informasi selengkapnya tentang cara mengkonfigurasi tingkat otentikasi LAN manager secara manual, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

      cara menonaktifkan otentikasi LM pada Windows NT
       

      cara mencegah Windows menyimpan LAN manager hash sandi di direktori aktif dan database SAM lokal
       

      outlook terus meminta kredensial logon
       

      Peristiwa audit menunjukkan paket otentikasi sebagai NTLMv1 daripada NTLMv2 Untuk informasi selengkapnya tentang LM otentikasi tingkat, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

      bagaimana cara mengaktifkan otentikasi NTLM 2
       

    2. Konfigurasi berisiko

      Berikut ini adalah pengaturan konfigurasi berbahaya:

      • Nonrestrictive pengaturan yang mengirim sandi cleartext dan yang menolak NTLMv2 negosiasi

      • Pengaturan ketat yang mencegah inkompatibilitas klien atau pengontrol domain negosiasi protokol otentikasi Umum

      • Memerlukan otentikasi NTLMv2 pada komputer anggota dan pengendali domain yang menjalankan versi Windows NT 4.0 yang lebih lawas dari paket layanan 4 (SP4)

      • Memerlukan otentikasi NTLMv2 di klien Windows 95 atau Windows 98 klien yang tidak memiliki klien layanan direktori Windows diinstal.

      • Jika Anda mengklik untuk memilih kotak centang memerlukan NTLMv2 sesi keamanan dalam Penyunting kebijakan grup konsol manajemen Microsoft snap-in pada komputer berbasis Windows 2000 Paket Layanan 3 atau Windows Server 2003, dan Anda menurunkan tingkat otentikasi LAN manager ke 0, konflik dua pengaturan, dan Anda mungkin menerima pesan galat berikut dalam berkas Secpol.msc atau GPEdit.msc:

        Windows tidak dapat membuka pangkalan data kebijakan lokal. Kesalahan tak dikenal terjadi ketika mencoba membuka pangkalan data.

        Untuk informasi selengkapnya tentang alat analisis dan konfigurasi keamanan, lihat berkas bantuan Windows Server 2003 atau Windows 2000.

    3. Alasan untuk mengubah pengaturan ini

      • Anda ingin menambah protokol otentikasi umum terendah yang didukung oleh klien dan kontroler domain di organisasi Anda.

      • Di mana otentikasi aman persyaratan bisnis, Anda ingin menolak negosiasi LM dan protokol NTLM.

    4. Alasan untuk menonaktifkan pengaturan ini

      Klien atau server otentikasi persyaratan, atau keduanya, meningkat ke titik di mana otentikasi melalui protokol umum tidak terjadi.

    5. Nama simbolik:

      LmCompatibilityLevel

    6. Jalur registri:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. Contoh dari masalah kompatibilitas

      • Windows Server 2003: Secara default, Windows Server 2003 NTLMv2 mengirim NTLM respons pengaturan diaktifkan. Oleh karena itu, Windows Server 2003 akan menerima pesan galat "Akses ditolak" setelah penginstalan awal ketika Anda mencoba untuk menyambung ke kluster yang berbasis Windows NT 4.0 atau server berbasis LanManager V2.1, seperti Lanserver OS/2. Masalah ini juga terjadi jika Anda mencoba untuk menyambung dari versi yang lebih lawas klien ke server berbasis Windows Server 2003.

      • Anda menginstal Windows 2000 keamanan paket Rollup 1 (SRP1). SRP1 memaksa NTLM versi 2 (NTLMv2). Paket Batal diluncurkan setelah peluncuran Windows 2000 Paket Layanan 2 (SP2). Untuk informasi selengkapnya tentang SRP1, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

        Windows 2000 keamanan paket Rollup 1, Januari 2002
         

      • Windows 7 dan Windows Server 2008 R2: banyak server CIFS pihak ketiga, seperti Novell Netware 6 atau berbasis Linux Samba server, tidak sadar NTLMv2 dan menggunakan NTLM hanya. Oleh karena itu, tingkat yang lebih besar daripada "2" tidak mengizinkan konektivitas. Sekarang pada versi sistem operasi, default untuk LmCompatibilityLevel diubah menjadi "3". Jadi ketika Anda meng-upgrade Windows, pelapor pihak ketiga ini akan berhenti bekerja.

      • Klien Microsoft Outlook akan dimintai kredensial meskipun mereka telah log on ke domain. Ketika pengguna memberikan kredensial, mereka menerima pesan galat berikut: Windows 7 dan Windows Server 2008 R2

        Kredensial logon yang disediakan yang salah. Pastikan bahwa nama pengguna dan domain Anda sudah benar, kemudian ketik lagi sandi Anda.

        Ketika Anda memulai Outlook, Anda mungkin diminta untuk kredensial bahkan jika setelan keamanan jaringan Logon diatur ke Passthrough atau otentikasi sandi. Setelah Anda mengetik kredensial yang benar, Anda mungkin menerima pesan galat berikut:

        Kredensial masuk yang disediakan yang salah.

        Pelacakan Monitor jaringan mungkin menunjukkan bahwa Katalog global dikeluarkan remote procedure call (RPC) kesalahan dengan status 0x5. Status 0x5 berarti "Akses ditolak."

      • Windows 2000: Penangkapan Monitor jaringan mungkin menampilkan galat berikut ini di NetBIOS melalui TCP/IP (NetBT) server pesan blok (SMB) sesi:

        Kesalahan SMB R pencarian direktori Dos, pengidentifikasi pengguna tidak valid (91) STATUS_LOGON_FAILURE ACCESS_DENIED (109) (5)

      • Windows 2000: Jika domain Windows 2000 dengan NTLMv2 tingkat 2 atau yang lebih baru dipercaya oleh domain Windows NT 4.0, komputer berbasis Windows 2000 anggota domain sumber daya dapat mengalami galat otentikasi.

      • Windows 2000 dan Windows XP: Secara default, Windows 2000 dan Windows XP menetapkan opsi LAN Manager otentikasi tingkat kebijakan keamanan lokal ke 0. Pengaturan 0 berarti "Kirim LM dan NTLM respons."

        Catatan Windows NT 4.0 berbasis kluster harus menggunakan LM untuk administrasi.

      • Windows 2000: Cluster Windows 2000 tidak mengotentikasi simpul bergabung jika node kedua merupakan bagian dari paket layanan Windows NT 4.0 6a domain (SP6a).

      • Alat penguncian IIS (HiSecWeb) menetapkan nilai LMCompatibilityLevel 5 dan nilai RestrictAnonymous 2.

      • Layanan untuk Macintosh

        Modul otentikasi pengguna (UAM): Microsoft UAM (pengguna otentikasi modul) memberikan metode untuk mengenkripsi sandi yang Anda gunakan untuk log masuk ke server Windows AFP (AppleTalk pengarsipan Protocol). Apple pengguna otentikasi modul (UAM) menyediakan hanya minimal atau tanpa enkripsi. Oleh karena itu, kata sandi Anda dapat dengan mudah disela LAN atau di Internet. Meskipun UAM tidak diperlukan, menyediakan otentikasi terenkripsi untuk Windows 2000 Server yang menjalankan layanan untuk Macintosh. Versi ini mencakup dukungan untuk otentikasi dienkripsi NTLMv2 128-bit dan rilis 10.1-compatible MacOS X.

        Secara default, Layanan Windows Server 2003 untuk Macintosh server mengizinkan hanya Microsoft Authentication.


        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

        Macintosh klien tidak dapat menyambung ke layanan untuk Mac di Windows Server 2003

      • Windows Server 2008, Windows Server 2003, Windows XP dan Windows 2000: Jika Anda mengkonfigurasi LMCompatibilityLevel nilai 0 atau 1 dan kemudian mengkonfigurasi nilai NoLMHash menjadi 1, aplikasi dan komponen mungkin ditolak akses melalui NTLM. Masalah ini terjadi karena komputer dikonfigurasi untuk mengaktifkan LM tetapi untuk tidak menggunakan sandi yang disimpan LM.

        Jika Anda mengkonfigurasi nilai NoLMHash menjadi 1, Anda harus mengkonfigurasi LMCompatibilityLevel nilai 2 atau lebih tinggi.

  11. Keamanan jaringan: persyaratan penandatanganan klien LDAP

    1. Latar belakang

      Keamanan jaringan: persyaratan penandatanganan klien LDAP pengaturan menentukan tingkat penandatanganan data yang diminta atas nama klien bahwa masalah PENGIKATAN protokol akses direktori ringan (LDAP) permintaan sebagai berikut:

      • None: permintaan LDAP mengikat dikeluarkan dengan pemanggil ditentukan opsi.

      • Negosiasi penandatanganan: jika Secure Sockets Layer Transport Layer Security (SSL/TLS) tidak dimulai, permintaan PENGIKATAN LDAP dimulai dengan data LDAP penandatanganan opsi yang ditetapkan selain opsi ditentukan pemanggil. Jika SSL/TLS dimulai, permintaan PENGIKATAN LDAP diawali dengan pemanggil ditentukan opsi.

      • Memerlukan penandatanganan: ini adalah sama seperti Negotiate penandatanganan. Namun, jika LDAP server menengah saslBindInProgress respons tidak menunjukkan bahwa penandatanganan LDAP lalu lintas diperlukan, pemanggil diberitahu bahwa permintaan perintah PENGIKATAN LDAP gagal.

    2. Konfigurasi berisiko

      Mengaktifkan keamanan jaringan: persyaratan penandatanganan klien LDAP pengaturan adalah pengaturan konfigurasi berbahaya. Jika Anda menetapkan server memerlukan tanda tangan LDAP, Anda juga harus mengkonfigurasi penandatanganan klien LDAP. Tidak mengonfigurasi klien menggunakan tanda tangan LDAP akan mencegah komunikasi dengan server. Hal ini menyebabkan otentikasi pengguna, kebijakan grup pengaturan, skrip logon, dan fitur gagal.

    3. Alasan untuk mengubah pengaturan ini

      Lalu lintas jaringan yang tidak ditandatangani rentan terhadap serangan orang-di-tengah mana pembobol menangkap paket di antara klien dan server, mengubah mereka, dan kemudian meneruskannya ke server. Jika hal ini terjadi di LDAP server, penyerang dapat menyebabkan server merespons berdasarkan palsu permintaan dari klien LDAP. Anda dapat menurunkan risiko ini pada jaringan korporat dengan menerapkan langkah-langkah keamanan fisik yang kuat untuk membantu melindungi infrastruktur jaringan. Selain itu, Anda dapat membantu mencegah semua jenis serangan orang-di-tengah dengan meminta tanda tangan digital di semua paket jaringan melalui IPSec kop otentikasi.

    4. Nama simbolik:

      LDAPClientIntegrity

    5. Jalur registri:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

  12. Log peristiwa: Ukuran log maksimum keamanan

    1. Latar belakang

      Log peristiwa: ukuran log maksimum keamanan pengaturan keamanan menentukan ukuran maksimum log peristiwa keamanan. Log ini memiliki ukuran maksimum 4 GB. Untuk menemukan pengaturan ini, luaskan
      Windows pengaturan, dan kemudian rentangkan Pengaturan keamanan.

    2. Konfigurasi berisiko

      Berikut ini adalah pengaturan konfigurasi berbahaya:

      • Membatasi ukuran log keamanan dan metode penyimpanan log keamanan ketika Audit: mematikan sistem segera jika tidak dapat log audit keamanan sudah diaktifkan. Lihat "Audit: mematikan sistem segera jika tidak dapat log audit keamanan" dari artikel ini untuk informasi lebih lanjut.

      • Membatasi ukuran log keamanan sehingga kegiatan keamanan menarik ditimpa.

    3. Alasan untuk menambah pengaturan ini

      Persyaratan bisnis dan keamanan dapat menentukan bahwa Anda menambah ukuran log keamanan untuk menangani rincian log keamanan tambahan atau untuk mempertahankan log keamanan untuk jangka waktu yang lama.

    4. Alasan untuk mengurangi pengaturan ini

      Log penampil kejadian adalah berkas dipetakan memori. Ukuran maksimum log peristiwa dibatasi oleh jumlah memori fisik di komputer lokal dan memori virtual yang tersedia untuk proses log peristiwa. Meningkatkan ukuran log melampaui jumlah memori virtual yang tersedia untuk Event Viewer tidak menambah jumlah entri log yang dipertahankan.

    5. Contoh dari masalah kompatibilitas

      Windows 2000: Komputer yang menjalankan versi Windows 2000 yang lebih lawas dari paket layanan 4 (SP4) mungkin berhenti log peristiwa dalam acara log sebelum mencapai ukuran yang ditetapkan dalam ukuran log maksimum pengaturan pada peraga peristiwa jika tidak menimpa peristiwa (Hapus log secara manual) Opsi diaktifkan.


      Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

      log peristiwa berhenti log peristiwa sebelum mencapai ukuran log maksimum
       

  13. Log peristiwa: Mempertahankan log keamanan

    1. Latar belakang

      Log peristiwa: mempertahankan log keamanan pengaturan keamanan menentukan "membungkus" metode untuk log keamanan. Untuk menemukan pengaturan ini, memperluas Windows pengaturan, dan kemudian rentangkan Pengaturan keamanan.

    2. Konfigurasi berisiko

      Berikut ini adalah pengaturan konfigurasi berbahaya:

      • Gagal untuk mempertahankan semua dicatat kejadian keamanan sebelum mereka akan ditimpa

      • Mengkonfigurasi ukuran log maksimum keamanan pengaturan terlalu kecil sehingga kegiatan keamanan ditimpa

      • Membatasi keamanan log metode ukuran dan penyimpanan sementara Audit: mematikan sistem segera jika tidak dapat log audit keamanan pengaturan keamanan diaktifkan

    3. Alasan untuk mengaktifkan pengaturan ini

      Mengaktifkan pengaturan ini hanya jika Anda memilih metode penyimpanan Timpa kejadian oleh hari . Jika Anda menggunakan sistem Korelasi peristiwa yang internat peristiwa, pastikan bahwa jumlah hari setidaknya tiga kali frekuensi pemungutan. Melakukannya untuk memungkinkan siklus pemungutan gagal.

  14. Akses jaringan: biarkan semua orang izin yang berlaku untuk pengguna anonim

    1. Latar belakang

      Secara default, akses jaringan: biarkan semua orang izin yang berlaku untuk pengguna anonim pengaturan diatur ke Tidak ditetapkan pada Windows Server 2003. Secara default, Windows Server 2003 tidak termasuk token akses anonim di siapa saja grup.

    2. Contoh dari masalah kompatibilitas

      Nilai berikut ini

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous[REG_DWORD] = 0x0 pemutusan kepercayaan pembuatan antara Windows Server 2003 dan Windows NT 4.0, ketika domain Windows Server 2003 adalah akun domain dan domain Windows NT 4.0 resource domain. Ini berarti bahwa akun domain terpercaya di Windows NT 4.0 dan sumber daya domain mempercayai di sebelah Windows Server 2003. Perilaku ini terjadi karena proses memulai kepercayaan setelah koneksi anonim awal ACL akan siapa saja token yang mencakup SID anonim pada Windows NT 4.0.

    3. Alasan untuk mengubah pengaturan ini

      Nilai yang harus ditetapkan ke 0x1 atau menetapkan menggunakan GPO pada kontroler domain OU menjadi: akses jaringan: biarkan semua orang izin yang berlaku untuk pengguna anonim - diaktifkan untuk membuat kreasi kepercayaan mungkin.

      Catatan Pengaturan keamanan lain naik nilai bukan ke 0x0 dalam keadaan yang paling aman. Lebih aman akan mengubah registri pada kontroler domain utama emulator bukan pada semua pengontrol domain. Jika peran emulator kontroler domain utama pindah karena alasan apa pun, registri harus diperbarui di server baru.

      Mulai ulang diperlukan setelah nilai ini sudah ditetapkan.

    4. Jalur registri

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

  15. Otentikasi NTLMv2

    1. Sesi keamanan

      Sesi keamanan menentukan standar keamanan minimum untuk klien dan server sesi. Ini adalah ide yang baik untuk memverifikasi setelan kebijakan keamanan berikut pada Penyunting kebijakan grup konsol manajemen Microsoft snap-in:

      • Komputer Settings\Windows Settings\Security Settings\Local Policies\Security opsi

      • Keamanan jaringan: Berdasarkan keamanan sesi Minimum untuk NTLM SSP (termasuk aman RPC) server

      • Keamanan jaringan: Berdasarkan keamanan sesi Minimum untuk NTLM SSP (termasuk aman RPC) klien

      Opsi untuk pengaturan ini adalah sebagai berikut:

      • Memerlukan integritas pesan

      • Memerlukan kerahasiaan pesan

      • Memerlukan NTLM versi 2 sesi keamanan

      • Memerlukan enkripsi 128-bit

      Pengaturan default sebelum Windows 7 yang tidak ada persyaratan. Dimulai dengan Windows 7, default telah diubah untuk enkripsi memerlukan 128-bit untuk meningkatkan keamanan. Dengan default ini, perangkat yang tidak mendukung enkripsi 128-bit akan menjadi tidak dapat menyambung.

      Kebijakan ini menentukan standar keamanan minimum untuk sesi komunikasi aplikasi untuk aplikasi server untuk klien.

      Perhatikan bahwa meskipun dijelaskan sebagai pengaturan yang sah, bendera memerlukan integritas pesan dan kerahasiaan tidak digunakan ketika NTLM sesi keamanan yang ditentukan.

      Historis, Windows NT telah didukung berikut ini dua varian tantangan respons otentikasi untuk logon jaringan:

      • LM tantangan/jawaban

      • NTLM versi 1 tantangan/jawaban

      LM memungkinkan interoperabilitas dengan dasar diinstal klien dan server. NTLM menyediakan peningkatan keamanan untuk sambungan antara klien dan server.

      Kunci registri yang bersangkutan adalah sebagai berikut:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

    2. Konfigurasi berisiko

      Pengaturan ini mengontrol berapa jaringan sesi aman menggunakan NTLM akan ditangani. Hal ini akan mempengaruhi berbasis RPC sesi diotentikasi dengan NTLM, misalnya. Ada risiko berikut ini:

      • Menggunakan metode otentikasi yang lebih tua daripada NTLMv2 membuat komunikasi lebih mudah diserang karena metode hashing lebih mudah digunakan.

      • Menggunakan kunci enkripsi kurang dari 128-bit memungkinkan penyerang untuk memisahkan komunikasi menggunakan kasar-force serangan.

Sinkronisasi waktu

Waktu sinkronisasi gagal. Waktu dimatikan dengan lebih dari 30 menit pada komputer yang terpengaruh. Pastikan bahwa komputer klien jam disinkronkan dengan jam kontroler domain.

Penyelesaian untuk penandatangan SMB

Kami menyarankan Anda menginstal paket layanan 6a (SP6a) pada Windows NT 4.0 klien yang beroperasi di domain berbasis Windows Server 2003. Klien berbasis Windows 98 Second Edition, klien berbasis Windows 98, dan klien berbasis Windows 95 harus menjalankan klien layanan direktori untuk melakukan NTLMv2. Jika klien berbasis Windows NT 4.0 tidak memiliki Windows NT 4.0 SP6 diinstal atau jika klien berbasis Windows 95, klien berbasis Windows 98 dan Windows 98SE berbasis klien tidak memiliki klien layanan direktori yang diinstal, Nonaktifkan SMB masuk default domain kebijakan kontroler pengaturan pada kontroler domain di OU, dan kemudian link kebijakan ini untuk semua ou yang meladeni kontroler domain.

Direktori layanan klien untuk Windows 98 edisi kedua, Windows 98 dan Windows 95 akan melakukan penandatangan SMB dengan Windows 2003 server otentikasi NTLM, tapi tidak di bawah NTLMv2 otentikasi. Selain itu, Windows 2000 Server tidak akan menanggapi permintaan penandatangan SMB dari klien ini.

Meskipun kami tidak menyarankan itu, Anda dapat mencegah penandatangan SMB dari yang diperlukan pada semua pengontrol domain yang menjalankan Windows Server 2003 di domain. Untuk mengkonfigurasi pengaturan keamanan ini, ikuti langkah-langkah berikut:

  1. Buka kebijakan pengontrol domain bawaan.

  2. Buka folder Computer Configuration\Windows Settings\Security Settings\Local Policies\Security opsi .

  3. Temukan dan kemudian klik server jaringan Microsoft: menandatangani komunikasi (selalu) setelan kebijakan, dan kemudian klik dinonaktifkan.

Penting Bagian, metode, atau tugas ini berisi langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah serius dapat terjadi apabila Anda salah mengubah registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah ini dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum mengubahnya. Lalu, Anda dapat memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

cara membuat cadangan dan memulihkan registri di WindowsAtau, matikan SMB penandatanganan di server dengan memodifikasi registri. Untuk melakukannya, ikuti langkah-langkah berikut:

  1. Klik Mulai, klik Jalankan, ketik regedit, dan kemudian klik OK.

  2. Temukan dan kemudian klik subkunci berikut ini:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

  3. Klik entri enablesecuritysignature .

  4. Pada Edit menu, klik Ubah.

  5. Di kotak data nilai , ketik 0, dan kemudian klik OK.

  6. Keluar dari Editor Registri.

  7. Me-restart komputer, atau berhenti dan kemudian restart layanan Server. Untuk melakukannya, ketik perintah berikut pada prompt perintah, dan kemudian tekan Enter setelah Anda mengetik setiap perintah:
    net stop server
    net start server

Catatan Tombol yang sesuai pada komputer klien adalah di subkunci registri berikut ini:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\ParametersBerikut ini mencantumkan nomor kode galat diterjemahkan kode status dan pesan galat verbatim yang disebutkan sebelumnya:

galat 5
ERROR_ACCESS_DENIED

Akses ditolak.

galat 1326

ERROR_LOGON_FAILURE

Logon gagal: tidak diketahui nama pengguna atau sandi buruk.

galat 1788

ERROR_TRUSTED_DOMAIN_FAILURE

Hubungan kepercayaan domain primer dan domain terpercaya gagal.

galat 1789

ERROR_TRUSTED_RELATIONSHIP_FAILURE

Hubungan kepercayaan workstation ini dan domain primer gagal.

Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

cara mengkonfigurasi kebijakan grup untuk mengatur keamanan untuk layanan sistem pada Windows Server 2003
 

bagaimana cara mengaktifkan SMB masuk Windows NT
 

Bagaimana menerapkan pola dasar standar keamanan di Windows Server 2003
 

Anda harus memberikan kredensial akun Windows saat Anda tersambung ke Exchange Server 2003 dengan menggunakan Outlook 2003 RPC melalui HTTP fitur

Perlu bantuan lainnya?

Kembangkan keterampilan Anda
Jelajahi pelatihan
Dapatkan fitur baru terlebih dahulu
Gabung Microsoft Insider

Apakah informasi ini bermanfaat?

Terima kasih atas umpan balik Anda!

Terima kasih atas umpan balik Anda! Sepertinya menghubungkan Anda ke salah satu agen dukungan Office kami akan sangat membantu.

×