Masalah klien, layanan, dan program dapat terjadi jika Anda mengubah pengaturan keamanan dan penetapan hak pengguna

Windows XP

Untuk meningkatkan kesadaran pengaturan keamanan yang salah dikonfigurasi, gunakan alat Kebijakan Grup Object Editor untuk mengubah pengaturan keamanan. Saat Anda menggunakan Kebijakan Grup Object Editor, penetapan hak pengguna disempurnakan pada sistem operasi berikut:

• Windows XP Professional Service Pack 2 (SP2)

• Windows Server 2003 Paket Layanan 1 (SP1)

Fitur yang disempurnakan adalah kotak dialog yang berisi tautan ke artikel ini. Kotak dialog muncul saat Anda mengubah pengaturan keamanan atau penetapan hak pengguna ke pengaturan yang menawarkan lebih sedikit kompatibilitas dan lebih terbatas. Jika Anda secara langsung mengubah pengaturan keamanan atau penetapan hak pengguna yang sama dengan menggunakan registri atau dengan menggunakan templat keamanan, efeknya sama dengan mengubah pengaturan di Editor Objek Kebijakan Grup. Namun, kotak dialog yang berisi link ke artikel ini tidak muncul.

Artikel ini berisi contoh klien, program, dan operasi yang terpengaruh oleh pengaturan keamanan tertentu atau penetapan hak pengguna. Namun, contoh tidak berwenang untuk semua sistem operasi Microsoft, untuk semua sistem operasi pihak ketiga, atau untuk semua versi program yang terpengaruh. Tidak semua pengaturan keamanan dan penetapan hak pengguna disertakan dalam artikel ini.

Kami menyarankan agar Anda memvalidasi kompatibilitas semua perubahan konfigurasi terkait keamanan di hutan uji sebelum Anda memperkenalkannya di lingkungan produksi. Hutan uji harus mencerminkan hutan produksi dengan cara berikut:

• Versi sistem operasi klien dan server, program klien dan server, versi paket layanan, hotfix, perubahan skema, grup keamanan, keanggotaan grup, izin pada objek dalam sistem file, folder bersama, registri, layanan direktori Direktori Aktif, pengaturan lokal dan Kebijakan Grup, dan tipe hitungan objek dan lokasi

• Tugas administratif yang dilakukan, alat administratif yang digunakan, dan sistem operasi yang digunakan untuk melakukan tugas administratif

• Operasi yang dilakukan, seperti berikut ini:

  • Autentikasi masuk komputer dan pengguna

  • Pengaturan ulang kata sandi oleh pengguna, menurut komputer, dan oleh administrator

  • Browsing

  • Mengatur izin untuk sistem file, untuk folder bersama, untuk registri, dan untuk sumber daya Direktori Aktif dengan menggunakan Editor ACL di semua sistem operasi klien di semua domain akun atau sumber daya dari semua sistem operasi klien dari semua domain akun atau sumber daya

  • Mencetak dari akun administratif dan nonadministratif

Windows Server 2003 SP1

Hak pengguna

Daftar berikut menguraikan hak pengguna, mengidentifikasi pengaturan konfigurasi yang mungkin menyebabkan masalah, menjelaskan mengapa Anda harus menerapkan hak pengguna dan mengapa Anda mungkin ingin menghapus pengguna dengan benar, dan menyediakan contoh masalah kompatibilitas yang mungkin terjadi ketika hak pengguna dikonfigurasi.

1. Akses komputer ini dari jaringan

   1. Latar belakang
      
      Kemampuan untuk berinteraksi dengan komputer jarak jauh berbasis Windows memerlukan Akses komputer ini dari pengguna jaringan langsung. Contoh operasi jaringan tersebut meliputi yang berikut ini:

      • Replikasi Direktori Aktif antara pengontrol domain dalam domain atau hutan umum

      • Permintaan autentikasi ke pengontrol domain dari pengguna dan dari komputer

      • Akses ke folder, printer, dan layanan sistem bersama lainnya yang terletak pada komputer jarak jauh pada jaringan

      
      
      Akun pengguna, komputer, dan layanan mendapatkan atau kehilangan Access komputer ini dari pengguna jaringan langsung dengan secara eksplisit atau implisit ditambahkan atau dihapus dari grup keamanan yang telah diberi hak pengguna ini. Misalnya, akun pengguna atau akun komputer mungkin secara eksplisit ditambahkan ke grup keamanan kustom atau grup keamanan bawaan oleh administrator, atau mungkin secara implisit ditambahkan oleh sistem operasi ke grup keamanan terkomputasi seperti Pengguna Domain, Pengguna Terautentikasi, atau Pengontrol Domain Perusahaan.
      
      Secara default, akun pengguna dan akun komputer diberi Akses komputer ini langsung dari pengguna jaringan ketika grup terkomputasi seperti Semua Orang atau, sebaiknya, Pengguna Terautentikasi dan, untuk pengontrol domain, grup Pengontrol Domain Perusahaan, ditentukan dalam pengontrol domain default Kebijakan Grup Objek (GPO).

   2. Konfigurasi berisiko
      
      Berikut ini adalah pengaturan konfigurasi berbahaya:

      • Menghapus grup keamanan Pengontrol Domain Perusahaan dari kanan pengguna ini

      • Menghapus grup Pengguna Terautentikasi atau grup eksplisit yang memungkinkan pengguna, komputer, dan akun layanan hak pengguna untuk tersambung ke komputer melalui jaringan

      • Menghapus semua pengguna dan komputer dari kanan pengguna ini

   3. Alasan untuk memberikan hak pengguna ini

      • Memberikan hak akses komputer ini dari pengguna jaringan ke grup Pengontrol Domain Perusahaan memenuhi persyaratan autentikasi yang harus dimiliki replikasi Direktori Aktif agar replikasi terjadi di antara pengontrol domain di hutan yang sama.

      • Hak pengguna ini memungkinkan pengguna dan komputer mengakses file, printer, dan layanan sistem bersama, termasuk Direktori Aktif.

      • Hak pengguna ini diperlukan agar pengguna dapat mengakses email menggunakan versi awal Microsoft Outlook Web Access (OWA).

   4. Alasan untuk menghapus pengguna ini dengan benar

      • Pengguna yang bisa menyambungkan komputer mereka ke jaringan bisa mengakses sumber daya di komputer jarak jauh yang mereka miliki izinnya. Misalnya, hak pengguna ini diperlukan bagi pengguna untuk tersambung ke printer bersama dan ke folder. Jika hak pengguna ini diberikan ke grup Semua Orang, dan jika beberapa folder bersama memiliki izin sistem file berbagi dan NTFS yang dikonfigurasi sehingga grup yang sama memiliki akses baca, siapa pun bisa menampilkan file dalam folder bersama tersebut. Namun, ini adalah situasi yang tidak mungkin untuk penginstalan baru Windows Server 2003 karena berbagi default dan izin NTFS di Windows Server 2003 tidak menyertakan grup Semua Orang. Untuk sistem yang dimutakhirkan dari Microsoft Windows NT 4.0 atau Windows 2000, kerentanan ini mungkin memiliki tingkat risiko yang lebih tinggi karena izin berbagi default dan sistem file untuk sistem operasi ini tidak sebatas izin default di Windows Server 2003.

      • Tidak ada alasan yang valid untuk menghapus grup Pengontrol Domain Perusahaan dari kanan pengguna ini.

      • Grup Semua Orang umumnya dihapus mendukung grup Pengguna Terautentikasi. Jika grup Semua Orang dihapus, grup Pengguna Terautentikasi harus diberi hak pengguna ini.

      • Domain Windows NT 4.0 yang dimutakhirkan ke Windows 2000 tidak secara eksplisit memberikan Akses komputer ini langsung dari pengguna jaringan ke grup Semua Orang, grup Pengguna Terautentikasi, atau grup Pengontrol Domain Perusahaan. Oleh karena itu, ketika Anda menghapus grup Semua Orang dari kebijakan domain Windows NT 4.0, replikasi Direktori Aktif akan gagal dengan pesan kesalahan "Akses Ditolak" setelah Anda memutakhirkan ke Windows 2000. Winnt32.exe di Windows Server 2003 menghindari kesalahan konfigurasi ini dengan memberikan grup Pengontrol Domain Perusahaan pengguna ini langsung saat Anda memutakhirkan pengontrol domain utama (PDC) Windows NT 4.0. Berikan grup Pengontrol Domain Perusahaan kepada pengguna ini dengan benar jika tidak ada di Editor Objek Kebijakan Grup.

   5. Contoh masalah kompatibilitas

      • Windows 2000 dan Windows Server 2003: Replikasi partisi berikut akan gagal dengan kesalahan "Access Denied" seperti yang dilaporkan oleh alat pemantauan seperti REPLMON dan REPADMIN atau kejadian replikasi dalam log kejadian.

        • Partisi Skema Direktori Aktif

        • Partisi konfigurasi

        • Partisi domain

        • Partisi katalog global

        • Partisi aplikasi

      • Semua sistem operasi jaringan Microsoft: Autentikasi Akun Pengguna dari komputer klien jaringan jarak jauh akan gagal kecuali pengguna atau grup keamanan yang telah diberi hak pengguna ini kepada pengguna ini.

      • Semua sistem operasi jaringan Microsoft: Autentikasi akun dari klien jaringan jarak jauh akan gagal kecuali akun atau grup keamanan akun tersebut adalah anggota dari telah diberikan hak pengguna ini. Skenario ini berlaku untuk akun pengguna, akun komputer, dan akun layanan.

      • Semua sistem operasi jaringan Microsoft: Menghapus semua akun dari hak pengguna ini akan mencegah akun apa pun masuk ke domain atau mengakses sumber daya jaringan. Jika grup terkomputasi seperti Pengontrol Domain Perusahaan, Semua Orang, atau Pengguna Terautentikasi dihapus, Anda harus secara eksplisit memberikan hak pengguna ini ke akun atau ke grup keamanan bahwa akun merupakan anggota untuk mengakses komputer jarak jauh melalui jaringan. Skenario ini berlaku untuk semua akun pengguna, untuk semua akun komputer, dan semua akun layanan.

      • Semua sistem operasi jaringan Microsoft: Akun administrator lokal menggunakan kata sandi "kosong". Konektivitas jaringan dengan kata sandi kosong tidak diizinkan untuk akun administrator dalam lingkungan domain. Dengan konfigurasi ini, Anda akan menerima pesan kesalahan "Access Denied".

2. Perbolehkan log masuk secara lokal

   1. Latar belakang
      
      Pengguna yang mencoba masuk di konsol komputer berbasis Windows (dengan menggunakan pintasan keyboard CTRL+ALT+DELETE) dan akun yang mencoba memulai layanan harus memiliki hak akses masuk lokal di komputer hosting. Contoh operasi masuk lokal mencakup administrator yang masuk ke konsol komputer anggota, atau pengontrol domain di seluruh perusahaan dan pengguna domain yang masuk ke komputer anggota untuk mengakses desktop mereka dengan menggunakan akun yang tidak diistimewakan. Pengguna yang menggunakan koneksi Desktop Jauh atau Layanan Terminal harus memiliki Izinkan log masuk secara lokal langsung di komputer tujuan yang menjalankan Windows 2000 atau Windows XP karena mode masuk ini dianggap lokal untuk komputer hosting. Pengguna yang masuk ke server yang mengaktifkan Terminal Server dan yang tidak memiliki hak pengguna ini masih dapat memulai sesi interaktif jarak jauh di domain Windows Server 2003 jika mereka memiliki hak pengguna Izinkan masuk melalui Layanan Terminal.

   2. Konfigurasi berisiko
      
      Berikut ini adalah pengaturan konfigurasi berbahaya:

      • Menghapus grup keamanan administratif, termasuk Operator Akun, Operator Pencadangan, Operator Cetak atau Operator Server, dan grup Administrator bawaan dari kebijakan pengontrol domain default.

      • Menghapus akun layanan yang digunakan oleh komponen dan program pada komputer anggota dan pengontrol domain dalam domain dari kebijakan pengontrol domain default.

      • Menghapus pengguna atau grup keamanan yang masuk ke konsol komputer anggota dalam domain.

      • Menghapus akun layanan yang ditentukan dalam database Manajer Akun Keamanan (SAM) lokal komputer anggota atau komputer grup kerja.

      • Menghapus akun administratif non-bawaan yang mengautentikasi melalui Layanan Terminal yang berjalan di pengontrol domain.

      • Menambahkan semua akun pengguna di domain secara eksplisit atau implisit melalui grup Semua Orang ke hak tolak masuk secara lokal. Konfigurasi ini akan mencegah pengguna masuk ke komputer anggota mana pun atau ke pengontrol domain apa pun dalam domain.

   3. Alasan untuk memberikan hak pengguna ini

      • Pengguna harus memiliki hak Izinkan log masuk secara lokal untuk mengakses konsol atau desktop komputer grup kerja, komputer anggota, atau pengontrol domain.

      • Pengguna harus memiliki hak pengguna ini untuk masuk melalui sesi Layanan Terminal yang berjalan di komputer anggota atau pengontrol domain berbasis Windows 2000.

   4. Alasan untuk menghapus pengguna ini dengan benar

      • Kegagalan untuk membatasi akses konsol ke akun pengguna yang sah dapat mengakibatkan pengguna yang tidak sah mengunduh dan menjalankan kode berbahaya untuk mengubah hak pengguna mereka.

      • Penghapusan hak Izinkan masuk secara lokal mencegah logon yang tidak sah di konsol komputer, seperti pengontrol domain atau server aplikasi.

      • Penghapusan hak masuk ini mencegah akun non-domain masuk di konsol komputer anggota dalam domain.

   5. Contoh masalah kompatibilitas

      • Server terminal Windows 2000: Hak pengguna lokal Izinkan log masuk diperlukan bagi pengguna untuk masuk ke server terminal Windows 2000.

      • Windows NT 4.0, Windows 2000, Windows XP, atau Windows Server 2003: Akun pengguna harus diberi hak pengguna ini untuk masuk ke konsol komputer yang menjalankan Windows NT 4.0, Windows 2000, Windows XP, atau Windows Server 2003.

      • Windows NT 4.0 dan yang lebih baru: Di komputer yang menjalankan Windows NT 4.0 dan yang lebih baru, jika Anda menambahkan izinkan log pada pengguna lokal dengan benar, tetapi Anda secara implisit atau eksplisit juga memberikan hak tolak masuk secara lokal, akun tidak akan dapat masuk ke konsol pengontrol domain.

3. Melewati pemeriksaan melintasi

   1. Latar belakang
      
      Hak pemeriksaan melewati melewati pengguna memungkinkan pengguna untuk menelusuri folder dalam sistem file NTFS atau dalam registri tanpa memeriksa izin akses khusus Folder Traverse. Hak pengguna pemeriksaan Lewati melewati batas tidak memperbolehkan pengguna untuk mencantumkan konten folder. Ini memungkinkan pengguna untuk melintasi hanya foldernya.

   2. Konfigurasi berisiko
      
      Berikut ini adalah pengaturan konfigurasi berbahaya:

      • Menghapus akun non-administratif yang masuk ke komputer Layanan Terminal berbasis Windows 2000 atau komputer Layanan Terminal berbasis Windows Server 2003 yang tidak memiliki izin untuk mengakses file dan folder dalam sistem file.

      • Menghapus grup Semua Orang dari daftar prinsipal keamanan yang memiliki pengguna ini secara default. Sistem operasi Windows, dan juga banyak program, dirancang dengan harapan bahwa siapa pun yang dapat mengakses komputer secara sah akan memiliki melewati melewati pemeriksaan pengguna dengan benar. Oleh karena itu, menghapus grup Semua Orang dari daftar prinsipal keamanan yang memiliki hak pengguna ini secara default dapat menyebabkan ketidakstabilan sistem operasi atau kegagalan program. Lebih baik Anda membiarkan pengaturan ini pada pengaturan defaultnya.

   3. Alasan untuk memberikan hak
      
      pengguna ini Pengaturan default untuk melewati melewati pemeriksaan hak pengguna adalah memperbolehkan siapa pun melewati pemeriksaan lewati. Untuk administrator sistem Windows yang berpengalaman, ini adalah perilaku yang diharapkan, dan mereka mengonfigurasi daftar kontrol akses sistem file (SACL) sesuai. Satu-satunya skenario di mana konfigurasi default dapat mengakibatkan kesalahan pengetikan adalah jika administrator yang mengonfigurasi izin tidak memahami perilaku dan mengharapkan bahwa pengguna yang tidak dapat mengakses folder induk tidak akan dapat mengakses konten folder turunan apa pun.

   4. Alasan untuk menghapus pengguna ini dengan benar
      
      Untuk mencoba mencegah akses ke file atau folder dalam sistem file, organisasi yang sangat memperhatikan keamanan mungkin tergoda untuk menghapus grup Semua Orang, atau bahkan grup Pengguna, dari daftar grup yang melewati melewati memeriksa pengguna dengan benar.

   5. Contoh masalah kompatibilitas

      • Windows 2000, Windows Server 2003: Jika melewati pemeriksaan pengguna ke kanan dihapus atau salah dikonfigurasi pada komputer yang menjalankan Windows 2000 atau Windows Server 2003, Kebijakan Grup pengaturan dalam folder SYVOL tidak akan mereplikasi antar pengontrol domain dalam domain.

      • Windows 2000, Windows XP Professional, Windows Server 2003: Komputer yang menjalankan Windows 2000, Windows XP Professional, atau Windows Server 2003 akan mencatat kejadian 1000 dan 1202 dan tidak akan dapat menerapkan kebijakan komputer dan kebijakan pengguna saat izin sistem file yang diperlukan dihapus dari pohon SYSVOL jika penelusuran Bypass memeriksa hak pengguna dihapus atau salah dikonfigurasi.
        
         

      • Windows 2000, Windows Server 2003: Di komputer yang menjalankan Windows 2000 atau Windows Server 2003, tab Kuota di Windows Explorer akan hilang saat Anda menampilkan properti pada volume.

      • Windows 2000: Non-administrator yang masuk ke server terminal Windows 2000 mungkin menerima pesan kesalahan berikut:

        Userinit.exe kesalahan aplikasi. Aplikasi gagal menginisiasi dengan benar 0xc0000142 klik OK untuk mengakhiri aplikasi.

      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Pengguna yang komputernya menjalankan Windows NT 4.0, Windows 2000, Windows XP, atau Windows Server 2003 mungkin tidak dapat mengakses folder atau file bersama di folder bersama, dan mereka mungkin menerima pesan kesalahan "Akses Ditolak" jika mereka tidak diberi telaahan Bypass memeriksa pengguna dengan benar.
        
        
         

      • Windows NT 4.0: Pada komputer berbasis Windows NT 4.0, penghapusan penelusuran Bypass memeriksa pengguna ke kanan akan menyebabkan salinan file menjatuhkan aliran file. Jika Anda menghapus pengguna ini dengan benar, ketika file disalin dari klien Windows atau dari klien Macintosh ke pengontrol domain Windows NT 4.0 yang menjalankan Services untuk Macintosh, aliran file tujuan hilang, dan file muncul sebagai file teks saja.

      • Microsoft Windows 95, Microsoft Windows 98: Di komputer klien yang menjalankan Windows 95 atau Windows 98, perintah penggunaan bersih * /home akan gagal dengan pesan kesalahan "Akses Ditolak" jika grup Pengguna Yang Diautentikasi tidak diberi telusuri Melewati memeriksa pengguna dengan benar.

      • Outlook Web Access: Non-administrator tidak akan bisa masuk ke Microsoft Outlook Web Access, dan mereka akan menerima pesan kesalahan "Access Denied" jika mereka tidak diberi bypass memeriksa pengguna dengan benar.

Pengaturan Keamanan

Daftar berikut ini mengidentifikasi pengaturan keamanan, dan daftar bertumpuk menyediakan deskripsi tentang pengaturan keamanan, mengidentifikasi pengaturan konfigurasi yang mungkin menyebabkan masalah, menjelaskan mengapa Anda harus menerapkan pengaturan keamanan, lalu menjelaskan alasan mengapa Anda mungkin ingin menghapus pengaturan keamanan. Daftar bertumpuk lalu menyediakan nama simbolis untuk pengaturan keamanan dan jalur registri pengaturan keamanan. Terakhir, contoh disediakan masalah kompatibilitas yang mungkin terjadi saat pengaturan keamanan dikonfigurasi.

1. Audit: Mematikan sistem segera jika tidak dapat mencatat audit keamanan

   1. Latar belakang

      • Audit: Mematikan sistem segera jika tidak dapat mencatat pengaturan audit keamanan menentukan apakah sistem mati jika Anda tidak dapat mencatat kejadian keamanan. Pengaturan ini diperlukan untuk evaluasi C2 program Trusted Computer Security Evaluation Criteria (TCSEC) dan untuk Common Criteria for Information Technology Security Evaluation untuk mencegah kejadian yang dapat diaudit jika sistem audit tidak dapat mencatat kejadian tersebut. Jika sistem pengaudit gagal, sistem akan dimatikan, dan pesan kesalahan Berhenti muncul.

      • Jika komputer tidak bisa merekam kejadian ke log keamanan, bukti penting atau informasi pemecahan masalah penting mungkin tidak tersedia untuk ditinjau setelah insiden keamanan.

   2. Konfigurasi berisiko
      
      Berikut ini adalah pengaturan konfigurasi yang berbahaya: Audit: Mematikan sistem segera jika tidak dapat mencatat pengaturan audit keamanan diaktifkan, dan ukuran log kejadian keamanan dibatasi oleh opsi Jangan timpa kejadian (hapus log secara manual), opsi Timpa Kejadian sebagai diperlukan, atau opsi Timpa Kejadian yang lebih lama dari jumlah hari di Pemantau Peristiwa. Lihat bagian "Contoh Masalah Kompatibilitas" untuk informasi tentang risiko tertentu untuk komputer yang menjalankan versi rilis asli Windows 2000, Windows 2000 Service Pack 1 (SP1), Windows 2000 SP2, atau Windows 2000 SP3.

   3. Alasan untuk mengaktifkan pengaturan
      
      ini Jika komputer tidak bisa merekam kejadian ke log keamanan, bukti penting atau informasi pemecahan masalah penting mungkin tidak tersedia untuk ditinjau setelah insiden keamanan.

   4. Alasan untuk menonaktifkan pengaturan ini

      • Mengaktifkan Audit: Mematikan sistem segera jika tidak dapat mencatat pengaturan audit keamanan menghentikan sistem jika audit keamanan tidak dapat dicatat karena alasan apa pun. Biasanya, kejadian tidak dapat dicatat ketika log audit keamanan penuh dan ketika metode penyimpanan yang ditentukan adalah opsi Jangan timpa kejadian (hapus log secara manual) atau opsi Timpa Kejadian yang lebih lama dari jumlah hari.

      • Beban administratif untuk mengaktifkan Audit: Mematikan sistem segera jika tidak dapat mencatat pengaturan audit keamanan bisa sangat tinggi, terutama jika Anda juga mengaktifkan opsi Jangan timpa kejadian (hapus log secara manual) untuk log keamanan. Pengaturan ini menyediakan akuntabilitas individual dari tindakan operator. Misalnya, administrator dapat mengatur ulang izin pada semua pengguna, komputer, dan grup dalam unit organisasi (OU) tempat pengauditan diaktifkan dengan menggunakan akun administrator bawaan atau akun bersama lainnya lalu menolak bahwa mereka mereset izin tersebut. Namun, mengaktifkan pengaturan mengurangi kekokohan sistem karena server mungkin dipaksa untuk mematikan dengan menimpanya dengan kejadian masuk dan dengan kejadian keamanan lainnya yang ditulis ke log keamanan. Selain itu, karena shutdown tidak menimbulkan kerusakan yang anggun dan tidak dapat diperbaiki pada sistem operasi, program, atau data. Meskipun NTFS menjamin bahwa integritas sistem file dipertahankan selama shutdown sistem yang tidak terpakai, NTFS tidak dapat menjamin bahwa setiap file data untuk setiap program akan tetap dalam bentuk yang dapat digunakan saat sistem dimulai ulang.

   5. Nama Simbolik:
      
      CrashOnAuditFail

   6. Jalur Registri:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

   7. Contoh masalah kompatibilitas

      • Windows 2000: Karena bug, komputer yang menjalankan versi rilis asli Windows 2000, Windows 2000 SP1, Windows 2000 SP2, atau Windows Server SP3 dapat menghentikan kejadian pembuatan log sebelum ukuran yang ditentukan dalam opsi Ukuran log maksimum untuk log kejadian keamanan tercapai. Bug ini telah diperbaiki di Windows 2000 Service Pack 4 (SP4). Pastikan bahwa pengontrol domain Windows 2000 Anda telah menginstal Windows 2000 Service Pack 4 sebelum Anda mempertimbangkan untuk mengaktifkan pengaturan ini.
        
         

      • Windows 2000, Windows Server 2003: Komputer yang menjalankan Windows 2000 atau Windows Server 2003 mungkin berhenti merespons dan kemudian mungkin secara spontan memulai ulang jika Audit: Mematikan sistem segera jika tidak dapat mencatat pengaturan audit keamanan diaktifkan, log keamanan penuh, dan entri log kejadian yang sudah ada tidak bisa ditimpa. Saat komputer dimulai ulang, pesan kesalahan Berhenti berikut ini muncul:

        BERHENTI: C0000244 {Audit Failed}
        Upaya untuk menghasilkan audit keamanan gagal.

        Untuk memulihkan, administrator harus masuk, mengarsipkan log keamanan (opsional), menghapus log keamanan, lalu mengatur ulang opsi ini (opsional dan sesuai kebutuhan).

      • Klien Jaringan Microsoft untuk MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Non-administrator yang mencoba masuk ke domain akan menerima pesan kesalahan berikut:

        Akun Anda dikonfigurasi untuk mencegah Anda menggunakan komputer ini. Silakan coba komputer lain.

      • Windows 2000: Di komputer berbasis Windows 2000, non-administrator tidak akan dapat masuk ke server akses jarak jauh, dan mereka akan menerima pesan kesalahan yang mirip dengan yang berikut ini:

        Pengguna yang tidak diketahui atau kata sandi buruk

      • Windows 2000: Di pengontrol domain Windows 2000, layanan Pesan Antar Situs (Ismserv.exe) akan berhenti dan tidak dapat dimulai ulang. DCDIAG akan melaporkan kesalahan sebagai "layanan uji gagal ISMserv," dan ID kejadian 1083 akan didaftarkan dalam log kejadian.

      • Windows 2000: Di pengontrol domain Windows 2000, replikasi Direktori Aktif akan gagal, dan pesan "Akses Ditolak" akan muncul jika log kejadian keamanan penuh.

      • Microsoft Exchange 2000: Server yang menjalankan Exchange 2000 tidak akan dapat mengaitkan database penyimpanan informasi, dan kejadian 2102 akan didaftarkan dalam log kejadian.

      • Outlook, Outlook Web Access: Non-administrator tidak akan bisa mengakses email mereka melalui Microsoft Outlook atau melalui Microsoft Outlook Web Access, dan mereka akan menerima kesalahan 503.

2. Pengontrol domain: Persyaratan penandatanganan server LDAP

   1. Latar belakang
      
      Pengontrol Domain: Pengaturan keamanan persyaratan penandatanganan server LDAP menentukan apakah server Lightweight Directory Access Protocol (LDAP) mengharuskan klien LDAP untuk menegosiasikan penandatanganan data. Nilai yang memungkinkan untuk pengaturan kebijakan ini adalah sebagai berikut:

      • Tidak Ada: Penandatanganan data tidak diperlukan untuk mengikat dengan server. Jika klien meminta penandatanganan data, server mendukungnya.

      • Perlu ditandatangani: Opsi penandatanganan data LDAP harus dinegosiasikan kecuali Transport Layer Security/Secure Socket Layer (TLS/SSL) sedang digunakan.

      • tidak ditentukan: Pengaturan ini tidak diaktifkan atau dinonaktifkan.

   2. Konfigurasi berisiko
      
      Berikut ini adalah pengaturan konfigurasi berbahaya:

      • Mengaktifkan Memerlukan lingkungan masuk di mana klien tidak mendukung penandatanganan LDAP atau ketika penandatanganan LDAP pihak klien tidak diaktifkan pada klien

      • Menerapkan templat keamanan Windows 2000 atau Windows Server 2003 Hisecdc.inf di lingkungan di mana klien tidak mendukung penandatanganan LDAP atau penandatanganan LDAP pihak klien tidak diaktifkan

      • Menerapkan templat keamanan Windows 2000 atau Windows Server 2003 Hisecws.inf di lingkungan di mana klien tidak mendukung penandatanganan LDAP atau ketika penandatanganan LDAP pihak klien tidak diaktifkan

   3. Alasan untuk mengaktifkan pengaturan
      
      ini Lalu lintas jaringan yang tidak ditandatangani rentan terhadap serangan man-in-the-middle di mana penyusup menangkap paket antara klien dan server, mengubah paket, lalu meneruskannya ke server. Ketika perilaku ini terjadi pada server LDAP, penyerang dapat menyebabkan server membuat keputusan yang didasarkan pada kueri palsu dari klien LDAP. Anda dapat menurunkan risiko ini di jaringan perusahaan dengan menerapkan tindakan keamanan fisik yang kuat untuk membantu melindungi infrastruktur jaringan. Mode header autentikasi Keamanan Protokol Internet (IPSec) bisa membantu mencegah serangan man-in-the-middle. Mode header autentikasi melakukan autentikasi bersama dan integritas paket untuk lalu lintas IP.

   4. Alasan untuk menonaktifkan pengaturan ini

      • Klien yang tidak mendukung penandatanganan LDAP tidak akan dapat menjalankan kueri LDAP terhadap pengontrol domain dan terhadap katalog global jika autentikasi NTLM dinegosiasikan dan jika paket layanan yang benar tidak diinstal pada pengontrol domain Windows 2000.

      • Jejak jaringan lalu lintas LDAP antara klien dan server akan dienkripsi. Ini menyulitkan untuk memeriksa percakapan LDAP.

      • Server berbasis Windows 2000 harus memiliki Windows 2000 Service Pack 3 (SP3) atau diinstal ketika dikelola dengan program yang mendukung penandatanganan LDAP yang dijalankan dari komputer klien yang menjalankan Windows 2000 SP4, Windows XP, atau Windows Server 2003.  

   5. Nama Simbolik:
      
      LDAPServerIntegrity

   6. Jalur Registri:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

   7. Contoh masalah kompatibilitas

      • Pengikatan sederhana akan gagal, dan Anda akan menerima pesan kesalahan berikut:

        Ldap_simple_bind_s() gagal: Autentikasi Kuat Diperlukan.

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Pada klien yang menjalankan Windows 2000 SP4, Windows XP, atau Windows Server 2003, beberapa alat administrasi Direktori Aktif tidak akan beroperasi dengan benar terhadap pengontrol domain yang menjalankan versi Windows 2000 yang lebih lama dari SP3 saat autentikasi NTLM dinegosiasikan.
        
         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Pada klien yang menjalankan Windows 2000 SP4, Windows XP, atau Windows Server 2003, beberapa alat administrasi Direktori Aktif yang menargetkan pengontrol domain yang menjalankan versi Windows 2000 yang lebih lama dari SP3 tidak akan beroperasi dengan benar jika mereka menggunakan alamat IP (misalnya, "dsa.msc /server=x.x.x.x" di mana
        x.x.x.x adalah alamat IP).
        
        
         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Pada klien yang menjalankan Windows 2000 SP4, Windows XP, atau Windows Server 2003, beberapa alat administrasi Direktori Aktif yang menargetkan pengontrol domain yang menjalankan versi Windows 2000 yang lebih lama dari SP3 tidak akan beroperasi dengan benar.
        
         

3. Anggota domain: Memerlukan kunci sesi yang kuat (Windows 2000 atau yang lebih baru)

   1. Latar belakang

      • Anggota Domain: Memerlukan pengaturan tombol sesi yang kuat (Windows 2000 atau yang lebih baru) menentukan apakah saluran aman dapat dibuat dengan pengontrol domain yang tidak dapat mengenkripsi lalu lintas saluran aman dengan kunci sesi 128-bit yang kuat. Mengaktifkan pengaturan ini mencegah pembentukan saluran aman dengan pengontrol domain apa pun yang tidak dapat mengenkripsi data saluran aman dengan kunci yang kuat. Menonaktifkan pengaturan ini memungkinkan tombol sesi 64-bit.

      • Sebelum Anda bisa mengaktifkan pengaturan ini di workstation anggota atau di server, semua pengontrol domain di domain yang dimiliki anggota harus dapat mengenkripsi data saluran aman dengan kunci 128-bit yang kuat. Ini berarti bahwa semua pengontrol domain tersebut harus menjalankan Windows 2000 atau yang lebih baru.

   2. Konfigurasi berisiko
      
      Mengaktifkan anggota Domain: Memerlukan pengaturan tombol sesi yang kuat (Windows 2000 atau yang lebih baru) adalah pengaturan konfigurasi yang berbahaya.

   3. Alasan untuk mengaktifkan pengaturan ini

      • Kunci sesi yang digunakan untuk membangun komunikasi saluran yang aman antara komputer anggota dan pengontrol domain jauh lebih kuat di Windows 2000 daripada versi sistem operasi Microsoft yang lebih lama.

      • Jika memungkinkan, sebaiknya manfaatkan kunci sesi yang lebih kuat ini untuk membantu melindungi komunikasi saluran yang aman dari menguping dan dari serangan jaringan pembajakan sesi. Menguping adalah bentuk serangan berbahaya di mana data jaringan dibaca atau diubah saat transit. Data dapat dimodifikasi untuk menyembunyikan atau mengubah pengirim, atau untuk mengalihkannya.

      Penting Komputer yang menjalankan Windows Server 2008 R2 atau Windows 7 hanya mendukung kunci yang kuat saat saluran aman digunakan. Pembatasan ini mencegah kepercayaan antara domain berbasis Windows NT 4.0 dan domain berbasis Windows Server 2008 R2. Selain itu, pembatasan ini memblokir keanggotaan domain berbasis Windows NT 4.0 komputer yang menjalankan Windows 7 atau Windows Server 2008 R2, dan sebaliknya.

   4. Alasan untuk menonaktifkan pengaturan
      
      ini Domain berisi komputer anggota yang menjalankan sistem operasi selain Windows 2000, Windows XP, atau Windows Server 2003.

   5. Nama Simbolik:
      
      StrongKey

   6. Jalur Registri:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

   7. Contoh masalah
      
      kompatibilitas Windows NT 4.0: Di komputer berbasis Windows NT 4.0, mengatur ulang saluran aman hubungan kepercayaan antara domain Windows NT 4.0 dan Windows 2000 dengan NLTEST gagal. Pesan kesalahan "Akses Ditolak" muncul:

      Hubungan kepercayaan antara domain utama dan domain tepercaya gagal.
      
      Windows 7 dan Server 2008 R2: Untuk Windows 7 dan versi yang lebih baru serta Windows Server 2008 R2 dan versi yang lebih baru, pengaturan ini tidak dihormati lebih lama dan kunci yang kuat selalu digunakan. Karena itu, kepercayaan dengan domain Windows NT 4.0 tidak berfungsi lagi.

4. Anggota domain: Mengenkripsi atau menandatangani data saluran aman (selalu) secara digital

   1. Latar belakang

      • Mengaktifkan Anggota domain: Mengenkripsi atau menandatangani data saluran aman secara digital (selalu) mencegah pembentukan saluran aman dengan pengontrol domain apa pun yang tidak dapat menandatangani atau mengenkripsi semua data saluran aman. Untuk membantu melindungi lalu lintas autentikasi dari serangan man-in-the-middle, serangan pemutaran ulang, dan jenis serangan jaringan lainnya, komputer berbasis Windows membuat saluran komunikasi yang dikenal sebagai saluran aman melalui layanan Net Logon untuk mengautentikasi akun komputer. Saluran aman juga digunakan ketika pengguna dalam satu domain tersambung ke sumber daya jaringan dalam domain jarak jauh. Autentikasi multidomain ini, atau autentikasi pass-through, memungkinkan komputer berbasis Windows yang telah menggabungkan domain untuk memiliki akses ke database akun pengguna di domainnya dan di semua domain tepercaya.

      • Untuk mengaktifkan anggota Domain: Mengenkripsi atau menandatangani pengaturan data saluran aman (selalu) secara digital di komputer anggota, semua pengontrol domain di domain tempat anggota harus dapat menandatangani atau mengenkripsi semua data saluran aman. Artinya, semua pengontrol domain tersebut harus menjalankan Windows NT 4.0 dengan Service Pack 6a (SP6a) atau yang lebih baru.

      • Mengaktifkan anggota Domain: Mengenkripsi atau menandatangani pengaturan data saluran aman (selalu) secara digital memungkinkan anggota Domain: Mengenkripsi atau menandatangani pengaturan data saluran aman (jika memungkinkan) secara digital.

   2. Konfigurasi berisiko
      
      Mengaktifkan anggota Domain: Mengenkripsi atau menandatangani pengaturan data saluran aman (selalu) secara digital di domain di mana tidak semua pengontrol domain dapat menandatangani atau mengenkripsi data saluran aman adalah pengaturan konfigurasi yang berbahaya.

   3. Alasan untuk mengaktifkan pengaturan
      
      ini Lalu lintas jaringan yang tidak ditandatangani rentan terhadap serangan man-in-the-middle, di mana penyusup mengambil paket antara server dan klien lalu mengubahnya sebelum meneruskannya ke klien. Ketika perilaku ini terjadi pada server Lightweight Directory Access Protocol (LDAP), penyusup dapat menyebabkan klien membuat keputusan yang didasarkan pada rekaman palsu dari direktori LDAP. Anda dapat menurunkan risiko serangan tersebut pada jaringan perusahaan dengan menerapkan tindakan keamanan fisik yang kuat untuk membantu melindungi infrastruktur jaringan. Selain itu, menerapkan mode header autentikasi Internet Protocol security (IPSec) dapat membantu mencegah serangan man-in-the-middle. Mode ini melakukan autentikasi bersama dan integritas paket untuk lalu lintas IP.

   4. Alasan untuk menonaktifkan pengaturan ini

      • Komputer dalam domain lokal atau eksternal mendukung saluran aman terenkripsi.

      • Tidak semua pengontrol domain dalam domain memiliki tingkat revisi paket layanan yang sesuai untuk mendukung saluran aman terenkripsi.

   5. Nama Simbolik:
      
      StrongKey

   6. Jalur Registri:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

   7. Contoh masalah kompatibilitas

      • Windows NT 4.0: Komputer anggota berbasis Windows 2000 tidak akan dapat bergabung dengan domain Windows NT 4.0 dan akan menerima pesan kesalahan berikut:

        Akun tidak berwenang untuk masuk dari stasiun ini.

        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk menampilkan artikel di Pangkalan Pengetahuan Microsoft:

        281648 Pesan kesalahan: Akun tidak diizinkan untuk masuk dari stasiun ini
         

      • Windows NT 4.0: Domain Windows NT 4.0 tidak akan dapat menetapkan kepercayaan tingkat bawah dengan domain Windows 2000 dan akan menerima pesan kesalahan berikut:

        Akun tidak berwenang untuk masuk dari stasiun ini.

        Kepercayaan tingkat bawah yang sudah ada mungkin juga tidak mengautentikasi pengguna dari domain tepercaya. Beberapa pengguna mungkin mengalami masalah saat masuk ke domain, dan mereka mungkin menerima pesan kesalahan yang menyatakan bahwa klien tidak dapat menemukan domain tersebut.

      • Windows XP: Klien Windows XP yang tergabung dalam domain Windows NT 4.0 tidak akan dapat mengautentikasi upaya masuk dan mungkin menerima pesan kesalahan berikut ini, atau kejadian berikut ini mungkin terdaftar dalam log kejadian:

        Windows tidak bisa tersambung ke domain karena pengontrol domain sedang down atau tidak tersedia atau karena akun komputer Anda tidak ditemukan

      • Microsoft Network: Klien Microsoft Network akan menerima salah satu pesan kesalahan berikut:

        Kegagalan masuk: nama pengguna yang tidak diketahui atau kata sandi yang buruk.

        Tidak ada kunci sesi pengguna untuk sesi masuk yang ditentukan.

5. Klien jaringan Microsoft: Menandatangani komunikasi secara digital (selalu)

   1. Latar belakang
      
      Blok Pesan Server (SMB) adalah protokol berbagi sumber daya yang didukung oleh banyak sistem operasi Microsoft. Ini adalah dasar dari sistem input / output dasar jaringan (NetBIOS) dan banyak protokol lainnya. Penandatanganan SMB mengautentikasi pengguna dan server yang menghosting data. Jika salah satu sisi gagal dalam proses autentikasi, transmisi data tidak akan terjadi.
      
      Mengaktifkan penandatanganan SMB dimulai selama negosiasi protokol SMB. Kebijakan penandatanganan SMB menentukan apakah komputer selalu menandatangani komunikasi klien secara digital.
      
      Protokol autentikasi SMB Windows 2000 mendukung autentikasi bersama. Autentikasi bersama menutup serangan "man-in-the-middle". Protokol autentikasi SMB Windows 2000 juga mendukung autentikasi pesan. Autentikasi pesan membantu mencegah serangan pesan aktif. Untuk memberikan autentikasi ini, penandatanganan SMB menempatkan tanda tangan digital ke setiap SMB. Masing-masing klien dan server memverifikasi tanda tangan digital.
      
      Untuk menggunakan penandatanganan SMB, Anda harus mengaktifkan penandatanganan SMB atau memerlukan penandatanganan SMB di klien SMB dan server SMB. Jika penandatanganan SMB diaktifkan di server, klien yang juga diaktifkan untuk penandatanganan SMB menggunakan protokol penandatanganan paket selama semua sesi berikutnya. Jika penandatanganan SMB diperlukan di server, klien tidak dapat membuat sesi kecuali klien diaktifkan atau diperlukan untuk penandatanganan SMB.
      
      
      Mengaktifkan penandatanganan digital di jaringan keamanan tinggi membantu mencegah peniruan klien dan server. Penyamaran semacam ini dikenal sebagai pembajakan sesi. Penyerang yang memiliki akses ke jaringan yang sama dengan klien atau server menggunakan alat pembajakan sesi untuk mengganggu, mengakhiri, atau mencuri sesi yang sedang berlangsung. Penyerang dapat mencegat dan mengubah paket SMB yang tidak ditandatangani, mengubah lalu lintas, lalu meneruskannya sehingga server mungkin melakukan tindakan yang tidak diinginkan. Atau, penyerang dapat berpose sebagai server atau sebagai klien setelah autentikasi yang sah lalu mendapatkan akses tidak sah ke data.
      
      Protokol SMB yang digunakan untuk berbagi file dan untuk berbagi cetak di komputer yang menjalankan Windows 2000 Server, Windows 2000 Professional, Windows XP Professional, atau Windows Server 2003 mendukung autentikasi bersama. Autentikasi bersama menutup serangan pembajakan sesi dan mendukung autentikasi pesan. Oleh karena itu, mencegah serangan manusia di tengah-tengah. Penandatanganan SMB menyediakan autentikasi ini dengan menempatkan tanda tangan digital di setiap SMB. Klien dan server kemudian memverifikasi tanda tangan.
      
      Catatan

      • Sebagai penanggulangan alternatif, Anda dapat mengaktifkan tanda tangan digital dengan IPSec untuk membantu melindungi semua lalu lintas jaringan. Ada akselerator berbasis perangkat keras untuk enkripsi dan penandatanganan IPSec yang dapat Anda gunakan untuk meminimalkan dampak kinerja dari CPU server. Tidak ada akselerator yang tersedia untuk penandatanganan SMB.
        
        Untuk informasi selengkapnya, lihat bab Komunikasi server tanda tangani secara digital di situs web MSDN Microsoft.
        
        Mengonfigurasi penandatanganan SMB melalui Kebijakan Grup Object Editor karena perubahan ke nilai registri lokal tidak berpengaruh jika ada kebijakan menimpa domain.

      • Di Windows 95, Windows 98, dan Windows 98 Second Edition, Klien Layanan Direktori menggunakan penandatanganan SMB saat diautentikasi dengan server Windows Server 2003 menggunakan autentikasi NTLM. Namun, klien ini tidak menggunakan penandatanganan SMB ketika mereka mengautentikasi dengan server ini dengan menggunakan autentikasi NTLMv2. Selain itu, server Windows 2000 tidak merespons permintaan penandatanganan SMB dari klien ini. Untuk informasi selengkapnya, lihat item 10: "Keamanan jaringan: Tingkat autentikasi Lan Manager."

   2. Konfigurasi berisiko
      
      Berikut ini adalah pengaturan konfigurasi berbahaya: Meninggalkan pengaturan klien jaringan Microsoft: Menandatangani pengaturan komunikasi (selalu) secara digital dan klien jaringan Microsoft: Menandatangani pengaturan komunikasi secara digital (jika server setuju) diatur ke "Tidak Ditentukan" atau dinonaktifkan. Pengaturan ini memungkinkan pengalih mengirim kata sandi teks biasa ke server SMB non-Microsoft yang tidak mendukung enkripsi kata sandi selama autentikasi.

   3. Alasan untuk mengaktifkan pengaturan
      
      ini Mengaktifkan klien jaringan Microsoft: Menandatangani komunikasi secara digital (selalu) mengharuskan klien menandatangani lalu lintas SMB saat menghubungi server yang tidak memerlukan penandatanganan SMB. Ini membuat klien kurang rentan terhadap sesi pembajakan serangan.

   4. Alasan untuk menonaktifkan pengaturan ini

      • Mengaktifkan klien jaringan Microsoft: Menandatangani komunikasi secara digital (selalu) mencegah klien berkomunikasi dengan server target yang tidak mendukung penandatanganan SMB.

      • Mengonfigurasi komputer untuk mengabaikan semua komunikasi SMB yang tidak ditandatangani mencegah program dan sistem operasi yang lebih lama tersambung.

   5. Nama Simbolik:
      
      MemerlukanSMBSignRdr

   6. Jalur Registri:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

   7. Contoh masalah kompatibilitas

      • Windows NT 4.0: Anda tidak akan dapat mengatur ulang saluran aman kepercayaan antara domain Windows Server 2003 dan domain Windows NT 4.0 dengan menggunakan NLTEST atau NETDOM, dan Anda akan menerima pesan kesalahan "Access Denied".

      • Windows XP: Menyalin file dari klien Windows XP ke server berbasis Windows 2000 dan ke server berbasis Windows Server 2003 mungkin membutuhkan waktu lebih lama.

      • Anda tidak akan bisa memetakan drive jaringan dari klien dengan pengaturan ini diaktifkan, dan Anda akan menerima pesan kesalahan berikut:

        Akun tidak berwenang untuk masuk dari stasiun ini.

   8. Mulai ulang persyaratan
      
      Hidupkan ulang komputer, atau mulai ulang layanan Workstation. Untuk melakukan ini, ketikkan perintah berikut ini di prompt perintah. Tekan Enter setelah Anda mengetik setiap perintah.

      stasiun kerja
      berhenti bersih stasiun kerja mulai bersih

6. Server jaringan Microsoft: Menandatangani komunikasi secara digital (selalu)

   1. Latar belakang

      • Server Messenger Block (SMB) adalah protokol berbagi sumber daya yang didukung oleh banyak sistem operasi Microsoft. Ini adalah dasar dari sistem input / output dasar jaringan (NetBIOS) dan banyak protokol lainnya. Penandatanganan SMB mengautentikasi pengguna dan server yang menghosting data. Jika salah satu sisi gagal dalam proses autentikasi, transmisi data tidak akan terjadi.
        
        Mengaktifkan penandatanganan SMB dimulai selama negosiasi protokol SMB. Kebijakan penandatanganan SMB menentukan apakah komputer selalu menandatangani komunikasi klien secara digital.
        
        Protokol autentikasi SMB Windows 2000 mendukung autentikasi bersama. Autentikasi bersama menutup serangan "man-in-the-middle". Protokol autentikasi SMB Windows 2000 juga mendukung autentikasi pesan. Autentikasi pesan membantu mencegah serangan pesan aktif. Untuk memberikan autentikasi ini, penandatanganan SMB menempatkan tanda tangan digital ke setiap SMB. Masing-masing klien dan server memverifikasi tanda tangan digital.
        
        Untuk menggunakan penandatanganan SMB, Anda harus mengaktifkan penandatanganan SMB atau memerlukan penandatanganan SMB di klien SMB dan server SMB. Jika penandatanganan SMB diaktifkan di server, klien yang juga diaktifkan untuk penandatanganan SMB menggunakan protokol penandatanganan paket selama semua sesi berikutnya. Jika penandatanganan SMB diperlukan di server, klien tidak dapat membuat sesi kecuali klien diaktifkan atau diperlukan untuk penandatanganan SMB.
        
        
        Mengaktifkan penandatanganan digital di jaringan keamanan tinggi membantu mencegah peniruan klien dan server. Penyamaran semacam ini dikenal sebagai pembajakan sesi. Penyerang yang memiliki akses ke jaringan yang sama dengan klien atau server menggunakan alat pembajakan sesi untuk mengganggu, mengakhiri, atau mencuri sesi yang sedang berlangsung. Penyerang dapat mencegat dan mengubah paket Manajer Bandwidth Subnet (MBS, Unsigned Subnet Bandwidth Manager), mengubah lalu lintas, lalu meneruskannya sehingga server mungkin melakukan tindakan yang tidak diinginkan. Atau, penyerang dapat berpose sebagai server atau sebagai klien setelah autentikasi yang sah lalu mendapatkan akses tidak sah ke data.
        
        Protokol SMB yang digunakan untuk berbagi file dan untuk berbagi cetak di komputer yang menjalankan Windows 2000 Server, Windows 2000 Professional, Windows XP Professional, atau Windows Server 2003 mendukung autentikasi bersama. Autentikasi bersama menutup serangan pembajakan sesi dan mendukung autentikasi pesan. Oleh karena itu, mencegah serangan manusia di tengah-tengah. Penandatanganan SMB menyediakan autentikasi ini dengan menempatkan tanda tangan digital di setiap SMB. Klien dan server kemudian memverifikasi tanda tangan.

      • Sebagai penanggulangan alternatif, Anda dapat mengaktifkan tanda tangan digital dengan IPSec untuk membantu melindungi semua lalu lintas jaringan. Ada akselerator berbasis perangkat keras untuk enkripsi dan penandatanganan IPSec yang dapat Anda gunakan untuk meminimalkan dampak kinerja dari CPU server. Tidak ada akselerator yang tersedia untuk penandatanganan SMB.

      • Di Windows 95, Windows 98, dan Windows 98 Second Edition, Klien Layanan Direktori menggunakan penandatanganan SMB saat diautentikasi dengan server Windows Server 2003 menggunakan autentikasi NTLM. Namun, klien ini tidak menggunakan penandatanganan SMB ketika mereka mengautentikasi dengan server ini dengan menggunakan autentikasi NTLMv2. Selain itu, server Windows 2000 tidak merespons permintaan penandatanganan SMB dari klien ini. Untuk informasi selengkapnya, lihat item 10: "Keamanan jaringan: Tingkat autentikasi Lan Manager."

   2. Konfigurasi berisiko
      
      Berikut ini adalah pengaturan konfigurasi yang berbahaya: Mengaktifkan server jaringan Microsoft: Menandatangani pengaturan komunikasi (selalu) secara digital di server dan pada pengontrol domain yang diakses oleh komputer berbasis Windows yang tidak kompatibel dan komputer klien berbasis sistem operasi pihak ketiga di domain lokal atau eksternal.

   3. Alasan untuk mengaktifkan pengaturan ini

      • Semua komputer klien yang mengaktifkan pengaturan ini secara langsung melalui registri atau melalui pengaturan Kebijakan Grup mendukung penandatanganan SMB. Dengan kata lain, semua komputer klien yang telah mengaktifkan pengaturan ini menjalankan Windows 95 dengan klien DS yang terinstal, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional, atau Windows Server 2003.

      • Jika server jaringan Microsoft: Menandatangani komunikasi secara digital (selalu) dinonaktifkan, penandatanganan SMB sepenuhnya dinonaktifkan. Sepenuhnya menonaktifkan semua penandatanganan SMB membuat komputer lebih rentan terhadap serangan pembajakan sesi.

   4. Alasan untuk menonaktifkan pengaturan ini

      • Mengaktifkan pengaturan ini dapat menyebabkan penyalinan berkas dan kinerja jaringan yang lambat pada komputer klien.

      • Mengaktifkan pengaturan ini akan mencegah klien yang tidak dapat menegosiasikan penandatanganan SMB berkomunikasi dengan server dan dengan pengontrol domain. Ini menyebabkan operasi seperti gabungan domain, autentikasi pengguna dan komputer, atau akses jaringan oleh program gagal.

   5. Nama Simbolik:
      
      MemerlukanSMBSignServer

   6. Jalur Registri:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

   7. Contoh masalah kompatibilitas

      • Windows 95: Klien Windows 95 yang tidak memiliki instalasi Layanan Direktori (DS) Klien akan gagal autentikasi masuk dan akan menerima pesan kesalahan berikut:

        Kata sandi domain yang Anda berikan tidak benar, atau akses ke server masuk Anda telah ditolak.

      • Windows NT 4.0: Komputer klien yang menjalankan versi Windows NT 4.0 yang lebih lama dari Service Pack 3 (SP3) akan gagal autentikasi masuk dan akan menerima pesan kesalahan berikut:

        Sistem tak bisa log-masuk Anda. Pastikan nama pengguna dan domain Anda sudah benar, lalu ketikkan kembali kata sandi Anda.

        Beberapa server SMB non-Microsoft hanya mendukung pertukaran kata sandi tanpa enkripsi selama autentikasi. (Pertukaran ini juga dikenal sebagai pertukaran "teks biasa".) Untuk Windows NT 4.0 SP3 dan versi yang lebih baru, pengalih SMB tidak mengirim kata sandi tanpa enkripsi selama autentikasi ke server SMB kecuali Jika Anda menambahkan entri registri tertentu.
        Untuk mengaktifkan kata sandi tidak terenkripsi untuk klien SMB di Windows NT 4.0 SP 3 dan sistem yang lebih baru, ubah registri sebagai berikut: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        
        Nama Nilai: EnablePlainTextPassword
        
        Tipe Data: REG_DWORD
        
        Data: 1
        
         

      • Windows Server 2003: Secara default, pengaturan keamanan pada pengontrol domain yang menjalankan Windows Server 2003 dikonfigurasi untuk membantu mencegah komunikasi pengontrol domain dicegat atau diutak-atik oleh pengguna berbahaya. Agar pengguna berhasil berkomunikasi dengan pengontrol domain yang menjalankan Windows Server 2003, komputer klien harus menggunakan penandatanganan SMB dan enkripsi atau penandatanganan lalu lintas saluran aman. Secara default, klien yang menjalankan Windows NT 4.0 dengan Paket Layanan 2 (SP2) atau yang lebih lama diinstal dan klien yang menjalankan Windows 95 tidak memiliki penandatanganan paket SMB yang diaktifkan. Oleh karena itu, klien ini mungkin tidak dapat mengautentikasi ke pengontrol domain berbasis Windows Server 2003.

      • Pengaturan kebijakan Windows 2000 dan Windows Server 2003: Tergantung pada kebutuhan dan konfigurasi penginstalan tertentu, kami menyarankan agar Anda mengatur pengaturan kebijakan berikut pada entitas terendah lingkup yang diperlukan dalam hierarki snap-in Microsoft Management Console Kebijakan Grup Editor:

        • Konfigurasi Komputer\Keamanan Windows Pengaturan\Opsi Keamanan

        • Kirim kata sandi tak terenkripsi untuk tersambung ke server SMB pihak ketiga (pengaturan ini adalah untuk Windows 2000)

        • Klien jaringan Microsoft: Kirim kata sandi tidak terenkripsi ke server SMB pihak ketiga (pengaturan ini untuk Windows Server 2003)

        
        Catatan Di beberapa server CIFS pihak ketiga, seperti versi Samba yang lebih lama, Anda tidak dapat menggunakan kata sandi terenkripsi.

      • Klien berikut ini tidak kompatibel dengan server jaringan Microsoft: Menandatangani pengaturan komunikasi (selalu) secara digital:

        • Klien Apple Computer, Inc., Mac OS X

        • Klien jaringan Microsoft MS-DOS (misalnya, Microsoft LAN Manager)

        • Klien Microsoft Windows untuk Grup Kerja

        • Klien Microsoft Windows 95 tanpa menginstal Klien DS

        • Komputer berbasis Microsoft Windows NT 4.0 tanpa SP3 atau yang lebih baru terinstal

        • Klien CIFS Novell Netware 6

        • Klien SAMBA SMB yang tidak memiliki dukungan untuk penandatanganan SMB

   8. Mulai ulang persyaratan
      
      Hidupkan ulang komputer, atau mulai ulang layanan Server. Untuk melakukan ini, ketikkan perintah berikut ini di prompt perintah. Tekan Enter setelah Anda mengetik setiap perintah.

      server
      berhenti bersih server mulai bersih

7. Akses jaringan: Perbolehkan terjemahan SID/Nama anonim

   1. Latar belakang
      
      Akses Jaringan: Perbolehkan pengaturan keamanan terjemahan SID/Nama anonim menentukan apakah pengguna anonim dapat meminta atribut Nomor Identifikasi Keamanan (SID) untuk pengguna lain.

   2. Konfigurasi berisiko
      
      Mengaktifkan akses Jaringan: Perbolehkan pengaturan terjemahan SID/Nama anonim adalah pengaturan konfigurasi yang berbahaya.

   3. Alasan untuk mengaktifkan pengaturan
      
      ini Jika akses Jaringan: Perbolehkan pengaturan penerjemahan SID/Nama anonim dinonaktifkan, sistem operasi atau aplikasi yang lebih lama mungkin tidak dapat berkomunikasi dengan domain Windows Server 2003. Misalnya, sistem operasi, layanan, atau aplikasi berikut ini mungkin tidak berfungsi:

      • Server Layanan Akses Jarak Jauh berbasis Windows NT 4.0

      • Microsoft SQL Server yang berjalan di komputer berbasis Windows NT 3.x atau komputer berbasis Windows NT 4.0

      • Layanan Akses Jarak Jauh yang berjalan di komputer berbasis Windows 2000 yang terletak di domain Windows NT 3.x atau domain Windows NT 4.0

      • SQL Server yang berjalan di komputer berbasis Windows 2000 yang terletak di domain Windows NT 3.x atau di domain Windows NT 4.0

      • Pengguna di domain sumber daya Windows NT 4.0 yang ingin memberikan izin untuk mengakses file, folder bersama, dan objek registri ke akun pengguna dari domain akun yang berisi pengontrol domain Windows Server 2003

   4. Alasan untuk menonaktifkan pengaturan
      
      ini Jika pengaturan ini diaktifkan, pengguna berbahaya dapat menggunakan SID Administrator terkenal untuk mendapatkan nama asli akun Administrator bawaan, bahkan jika akun telah diganti namanya. Orang tersebut kemudian dapat menggunakan nama akun untuk memulai serangan tebakan kata sandi.

   5. Nama Simbolik: N/A

   6. Jalur Registri: Tidak Ada. Jalur ditentukan dalam kode UI.

   7. Contoh masalah
      
      kompatibilitas Windows NT 4.0: Komputer di domain sumber daya Windows NT 4.0 akan menampilkan pesan kesalahan "Akun Tidak Diketahui" di Editor ACL jika sumber daya, termasuk folder bersama, file bersama, dan objek registri, diamankan dengan prinsipal keamanan yang berada di domain akun yang berisi pengontrol domain Windows Server 2003.

8. Akses jaringan: Jangan izinkan anonim enumerasi akun SAM

   1. Latar belakang

      • Akses Jaringan: Jangan izinkan pengaturan enumerasi anonim akun SAM menentukan izin tambahan mana yang akan diberikan untuk koneksi anonim ke komputer. Windows memungkinkan pengguna anonim untuk melakukan aktivitas tertentu, seperti menghitung nama akun workstation dan server Security Accounts Manager (SAM) dan jaringan bersama. Misalnya, administrator bisa menggunakan ini untuk memberikan akses ke pengguna dalam domain tepercaya yang tidak mempertahankan kepercayaan timbal balik. Setelah sesi dibuat, pengguna anonim mungkin memiliki akses yang sama yang diberikan ke grup Semua Orang berdasarkan pengaturan dalam akses Jaringan: Izinkan Setiap Orang berlaku untuk pengaturan pengguna anonim atau daftar kontrol akses (DACL) objek yang diskresi.
        
        Biasanya, koneksi anonim diminta oleh versi klien yang lebih lama (klien tingkat bawah) selama penyiapan sesi SMB. Dalam kasus ini, jejak jaringan menunjukkan bahwa ID Proses SMB (PID) adalah pengalih klien seperti 0xFEFF di Windows 2000 atau 0xCAFE di Windows NT. RPC juga dapat mencoba membuat koneksi anonim.

      • Penting Pengaturan ini tidak berdampak pada pengontrol domain. Pada pengontrol domain, perilaku ini dikontrol oleh kehadiran "NT AUTHORITY\ANONYMOUS LOGON" di "Akses kompatibel Pra-Windows 2000".

      • Di Windows 2000, pengaturan serupa yang disebut Pembatasan Tambahan untuk Koneksi Anonim mengelola nilai registri RestrictAnonymous . Lokasi nilai ini adalah sebagai berikut

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA  

   2. Konfigurasi berisiko
      
      Mengaktifkan akses Jaringan: Jangan izinkan enumerasi anonim pengaturan akun SAM adalah pengaturan konfigurasi berbahaya dari perspektif kompatibilitas. Menonaktifkannya adalah pengaturan konfigurasi berbahaya dari perspektif keamanan.

   3. Alasan untuk mengaktifkan pengaturan
      
      ini Pengguna yang tidak sah dapat mencantumkan nama akun secara anonim lalu menggunakan informasi tersebut untuk mencoba menebak kata sandi atau melakukan serangan rekayasa sosial. Rekayasa sosial adalah jargon yang berarti menipu orang untuk mengungkapkan kata sandi mereka atau beberapa bentuk informasi keamanan.

   4. Alasan untuk menonaktifkan pengaturan
      
      ini Jika pengaturan ini diaktifkan, tidak mungkin untuk membangun kepercayaan dengan domain Windows NT 4.0. Pengaturan ini juga menyebabkan masalah dengan klien tingkat bawah (seperti klien Windows NT 3.51 dan klien Windows 95) yang mencoba menggunakan sumber daya di server.

   5. Nama Simbolik:
      
      
      RestrictAnonymousSAM

   6. Jalur Registri:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

   7. Contoh masalah kompatibilitas

   • SMS Network Discovery tidak akan dapat memperoleh informasi sistem operasi dan akan menulis "Tidak Diketahui" dalam properti OperatingSystemNameandVersion.

   • Windows 95, Windows 98: Klien Windows 95 dan klien Windows 98 tidak akan dapat mengubah kata sandi mereka.

   • Windows NT 4.0: Komputer anggota berbasis Windows NT 4.0 tidak akan dapat diautentikasi.

   • Windows 95, Windows 98: Komputer berbasis Windows 95 dan berbasis Windows 98 tidak akan dapat diautentikasi oleh pengontrol domain Microsoft.

   • Windows 95, Windows 98: Pengguna di komputer berbasis Windows 95 dan berbasis Windows 98 tidak akan dapat mengubah kata sandi untuk akun pengguna mereka.

9. Akses jaringan: Jangan izinkan penumpukan akun dan pembagian SAM secara anonim

   1. Latar belakang

      • Akses Jaringan: Jangan izinkan penumpukan anonim akun SAM dan pengaturan berbagi (juga dikenal sebagai RestrictAnonymous) menentukan apakah anonim enumerasi akun dan saham Manajer Akun Keamanan (SAM) diperbolehkan. Windows memungkinkan pengguna anonim untuk melakukan aktivitas tertentu, seperti menghitung nama akun domain (pengguna, komputer, dan grup) dan berbagi jaringan. Ini nyaman, misalnya, ketika administrator ingin memberikan akses kepada pengguna dalam domain tepercaya yang tidak mempertahankan kepercayaan timbal balik. Jika Anda tidak ingin mengizinkan anonim enumerasi akun SAM dan saham, aktifkan pengaturan ini.

      • Di Windows 2000, pengaturan serupa yang disebut Pembatasan Tambahan untuk Koneksi Anonim mengelola nilai registri RestrictAnonymous . Lokasi nilai ini adalah sebagai berikut:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

   2. Konfigurasi berisiko
      
      Mengaktifkan akses Jaringan: Jangan izinkan enumerasi anonim akun SAM dan pengaturan berbagi adalah pengaturan konfigurasi yang berbahaya.

   3. Alasan untuk mengaktifkan pengaturan ini

      • Mengaktifkan akses Jaringan: Jangan izinkan penumpukan akun SAM dan pengaturan berbagi secara anonim mencegah pencacahan akun SAM dan berbagi oleh pengguna dan komputer yang menggunakan akun anonim.

   4. Alasan untuk menonaktifkan pengaturan ini

      • Jika pengaturan ini diaktifkan, pengguna yang tidak sah dapat mencantumkan nama akun secara anonim lalu menggunakan informasi tersebut untuk mencoba menebak kata sandi atau melakukan serangan rekayasa sosial. Rekayasa sosial adalah jargon yang berarti menipu orang untuk mengungkapkan kata sandi mereka atau beberapa bentuk informasi keamanan.

      • Jika pengaturan ini diaktifkan, tidak mungkin untuk membangun kepercayaan dengan domain Windows NT 4.0. Pengaturan ini juga akan menyebabkan masalah dengan klien tingkat bawah seperti klien Windows NT 3.51 dan Windows 95 yang mencoba menggunakan sumber daya di server.

      • Tidak mungkin untuk memberikan akses ke pengguna domain sumber daya karena administrator dalam domain tepercaya tidak akan bisa menghitung daftar akun di domain lain. Pengguna yang mengakses file dan mencetak server secara anonim tidak akan dapat mencantumkan sumber daya jaringan bersama di server tersebut. Pengguna harus mengautentikasi sebelum mereka bisa menampilkan daftar folder dan printer bersama.

   5. Nama Simbolik:
      
      RestrictAnonymous

   6. Jalur Registri:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

   7. Contoh masalah kompatibilitas

      • Windows NT 4.0: Pengguna tidak akan dapat mengubah kata sandi mereka dari stasiun kerja Windows NT 4.0 ketika RestrictAnonymous diaktifkan pada pengontrol domain di domain pengguna.

      • Windows NT 4.0: Menambahkan pengguna atau grup global dari domain Windows 2000 tepercaya ke grup lokal Windows NT 4.0 di Manajer Pengguna akan gagal, dan pesan kesalahan berikut ini akan muncul:

        Saat ini tidak ada server masuk yang tersedia untuk menyervis permintaan masuk.

      • Windows NT 4.0: Komputer berbasis Windows NT 4.0 tidak akan dapat menggabungkan domain selama penyiapan atau menggunakan antarmuka pengguna gabungan domain.

      • Windows NT 4.0: Membangun kepercayaan tingkat bawah dengan domain sumber daya Windows NT 4.0 akan gagal. Pesan kesalahan berikut akan muncul ketika RestrictAnonymous diaktifkan pada domain tepercaya:

        Tidak dapat menemukan pengontrol domain untuk domain ini.

      • Windows NT 4.0: Pengguna yang masuk ke komputer Server Terminal berbasis Windows NT 4.0 akan memetakan ke direktori beranda default, bukan direktori rumah yang ditentukan di Manajer Pengguna untuk domain.

      • Windows NT 4.0: Pengontrol domain cadangan Windows NT 4.0 (BDCs) tidak akan dapat memulai layanan Net Logon, mendapatkan daftar browser cadangan, atau menyinkronkan database SAM dari Windows 2000 atau dari pengontrol domain Windows Server 2003 di domain yang sama.

      • Windows 2000: Komputer anggota berbasis Windows 2000 di domain Windows NT 4.0 tidak akan dapat menampilkan printer di domain eksternal jika pengaturan Tanpa akses tanpa izin anonim secara eksplisit diaktifkan dalam kebijakan keamanan lokal komputer klien.

      • Windows 2000: Pengguna domain Windows 2000 tidak akan dapat menambahkan printer jaringan dari Direktori Aktif; namun, mereka akan dapat menambahkan printer setelah memilihnya dari tampilan pohon.

      • Windows 2000: Di komputer berbasis Windows 2000, Editor ACL tidak akan dapat menambahkan pengguna atau grup global dari domain Windows NT 4.0 tepercaya.

      • ADMT versi 2: Migrasi kata sandi untuk akun pengguna yang dimigrasi antara hutan dengan Active Directory Migration Tool (ADMT) versi 2 akan gagal.
        
        Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk menampilkan artikel di Pangkalan Pengetahuan Microsoft:

        322981 Cara memecahkan masalah migrasi kata sandi antar hutan dengan ADMTv2

      • Klien Outlook: Daftar alamat global akan terlihat kosong untuk klien Microsoft Exchange Outlook.

      • SMS: Microsoft Systems Management Server (SMS) Network Discovery tidak akan dapat memperoleh informasi sistem operasi. Oleh karena itu, aplikasi ini akan menulis "Unknown" dalam properti OperatingSystemNameandVersion milik SMS DDR dari data discovery data record (DDR).

      • SMS: Saat Anda menggunakan Panduan Pengguna Administrator SMS untuk menelusuri pengguna dan grup, pengguna atau grup tidak akan tercantum. Selain itu, klien Tingkat Lanjut tidak dapat berkomunikasi dengan Titik Manajemen. Akses anonim diperlukan di Titik Manajemen.

      • SMS: Saat Anda menggunakan fitur Penemuan Jaringan di SMS 2.0 dan dalam Penginstalan Klien Jarak Jauh dengan opsi penemuan jaringan sistem operasi Topologi, klien, dan klien diaktifkan, komputer mungkin ditemukan tetapi mungkin tidak diinstal.

10. Keamanan jaringan: Tingkat autentikasi Lan Manager

    1. Latar belakang
       
       Autentikasi LAN Manager (LM) adalah protokol yang digunakan untuk mengautentikasi klien Windows untuk operasi jaringan, termasuk gabungan domain, mengakses sumber daya jaringan, dan autentikasi pengguna atau komputer. Tingkat autentikasi LM menentukan protokol autentikasi tantangan/respons mana yang dinegosiasikan antara klien dan komputer server. Secara khusus, tingkat autentikasi LM menentukan protokol autentikasi mana yang akan dicoba klien untuk dinegosiasikan atau yang akan diterima server. Nilai yang diatur untuk LmCompatibilityLevel menentukan protokol autentikasi tantangan/respons mana yang digunakan untuk logon jaringan. Nilai ini mempengaruhi tingkat protokol autentikasi yang digunakan klien, tingkat keamanan sesi yang dinegosiasikan, dan tingkat autentikasi yang diterima oleh server.
       
       Pengaturan yang memungkinkan mencakup hal berikut ini.

       Nilai	Pengaturan	Deskripsi
       0	Kirim respons LM & NTLM	Klien menggunakan autentikasi LM dan NTLM dan tidak pernah menggunakan keamanan sesi NTLMv2. Pengontrol domain menerima autentikasi LM, NTLM, dan NTLMv2.
       1	Kirim LM & NTLM - gunakan keamanan sesi NTLMv2 jika dinegosiasikan	Klien menggunakan autentikasi LM dan NTLM, dan menggunakan keamanan sesi NTLMv2 jika server mendukungnya. Pengontrol domain menerima autentikasi LM, NTLM, dan NTLMv2.
       2	Kirim respons NTLM saja	Klien hanya menggunakan autentikasi NTLM dan menggunakan keamanan sesi NTLMv2 jika server mendukungnya. Pengontrol domain menerima autentikasi LM, NTLM, dan NTLMv2.
       3	Kirim respons NTLMv2 saja	Klien hanya menggunakan autentikasi NTLMv2 dan menggunakan keamanan sesi NTLMv2 jika server mendukungnya. Pengontrol domain menerima autentikasi LM, NTLM, dan NTLMv2.
       4	Kirim respons NTLMv2 saja/menolak LM	Klien hanya menggunakan autentikasi NTLMv2 dan menggunakan keamanan sesi NTLMv2 jika server mendukungnya. Pengontrol domain menolak LM dan hanya menerima autentikasi NTLM dan NTLMv2.
       5	Kirim respons NTLMv2 saja/menolak LM & NTLM	Klien hanya menggunakan autentikasi NTLMv2 dan menggunakan keamanan sesi NTLMv2 jika server mendukungnya. Pengontrol domain menolak LM dan NTLM dan hanya menerima autentikasi NTLMv2.

       Catatan Di Windows 95, Windows 98, dan Windows 98 Second Edition, Klien Layanan Direktori menggunakan penandatanganan SMB saat diautentikasi dengan server Windows Server 2003 dengan menggunakan autentikasi NTLM. Namun, klien ini tidak menggunakan penandatanganan SMB ketika mereka mengautentikasi dengan server ini dengan menggunakan autentikasi NTLMv2. Selain itu, server Windows 2000 tidak merespons permintaan penandatanganan SMB dari klien ini.
       
       Periksa tingkat autentikasi LM: Anda harus mengubah kebijakan di server untuk mengizinkan NTLM, atau Anda harus mengonfigurasi komputer klien untuk mendukung NTLMv2.
       
       Jika kebijakan diatur ke (5) Kirim respons NTLMv2 saja\tolak LM & NTLM di komputer target yang ingin Anda sambungkan, Anda harus menurunkan pengaturan pada komputer tersebut atau mengatur keamanan ke pengaturan yang sama yang ada di komputer sumber yang Anda sambungkan.
       
       Temukan lokasi yang benar di mana Anda bisa mengubah tingkat autentikasi manajer LAN untuk mengatur klien dan server ke tingkat yang sama. Setelah Anda menemukan kebijakan yang mengatur tingkat autentikasi manajer LAN, jika Anda ingin menyambungkan ke dan dari komputer yang menjalankan versi Windows yang lebih lama, turunkan nilai ke setidaknya (1) Kirim LM & NTLM - gunakan keamanan sesi NTLM versi 2 jika dinegosiasikan. Salah satu efek pengaturan yang tidak kompatibel adalah bahwa jika server memerlukan NTLMv2 (nilai 5), tetapi klien dikonfigurasi untuk menggunakan LM dan NTLMv1 saja (nilai 0), pengguna yang mencoba autentikasi mengalami kegagalan masuk yang memiliki kata sandi yang buruk dan yang menambahkan jumlah kata sandi yang buruk. Jika penguncian akun dikonfigurasi, pengguna mungkin akhirnya dikunci.
       
       Misalnya, Anda mungkin harus mencari pengontrol domain, atau Anda mungkin harus memeriksa kebijakan pengontrol domain.
       
       Lihat pengontrol
       
       domain Catatan Anda mungkin harus mengulangi prosedur berikut ini pada semua pengontrol domain.

       1. Klik Mulai, arahkan ke Program, lalu klik Alat Administratif.

       2. Di bawah Pengaturan Keamanan Lokal, perluas Kebijakan Lokal.

       3. Klik Opsi Keamanan.

       4. Klik ganda Keamanan Jaringan: Tingkat autentikasi manajer LAN, lalu klik nilai dalam daftar.

       
       Jika Pengaturan Efektif dan Pengaturan Lokal sama, kebijakan telah diubah pada tingkat ini. Jika pengaturan berbeda, Anda harus memeriksa kebijakan pengontrol domain untuk menentukan apakah pengaturan tingkat autentikasi manajer LAN ditetapkan di sana. Jika tidak didefinisikan di sana, periksa kebijakan pengontrol domain.
       
       Memeriksa kebijakan pengontrol domain

       1. Klik Mulai, arahkan ke Program, lalu klik Alat Administratif.

       2. Dalam kebijakan Keamanan Pengontrol Domain , perluas Pengaturan Keamanan, lalu perluas Kebijakan Lokal.

       3. Klik Opsi Keamanan.

       4. Klik ganda Keamanan Jaringan: Tingkat autentikasi manajer LAN, lalu klik nilai dalam daftar.

       
       Catatan

       • Anda mungkin juga harus memeriksa kebijakan yang ditautkan di tingkat situs, tingkat domain, atau tingkat unit organisasi (OU) untuk menentukan di mana Anda harus mengonfigurasi tingkat autentikasi manajer LAN.

       • Jika Anda menerapkan pengaturan Kebijakan Grup sebagai kebijakan domain default, kebijakan diterapkan ke semua komputer dalam domain.

       • Jika Anda menerapkan pengaturan Kebijakan Grup sebagai kebijakan pengontrol domain default, kebijakan hanya berlaku untuk server di OU pengontrol domain.

       • Sebaiknya atur tingkat autentikasi manajer LAN dalam entitas terendah dari lingkup yang diperlukan dalam hierarki aplikasi kebijakan.

       Windows Server 2003 memiliki pengaturan default baru untuk menggunakan NTLMv2 saja. Secara default, pengontrol domain berbasis Windows Server 2003 dan Windows 2000 Server SP3 telah mengaktifkan kebijakan "Server jaringan Microsoft: Menandatangani komunikasi secara digital (selalu)". Pengaturan ini mengharuskan server SMB untuk melakukan penandatanganan paket SMB. Perubahan pada Windows Server 2003 dilakukan karena pengontrol domain, server file, server infrastruktur jaringan, dan server Web di organisasi apa pun memerlukan pengaturan yang berbeda untuk memaksimalkan keamanan mereka.
       
       Jika Anda ingin menerapkan autentikasi NTLMv2 di jaringan Anda, Anda harus memastikan bahwa semua komputer dalam domain diatur untuk menggunakan tingkat autentikasi ini. Jika Anda menerapkan Ekstensi Klien Direktori Aktif untuk Windows 95 atau Windows 98 dan Windows NT 4.0, ekstensi klien menggunakan fitur autentikasi yang disempurnakan yang tersedia di NTLMv2. Karena komputer klien yang menjalankan salah satu sistem operasi berikut ini tidak terpengaruh oleh Windows 2000 Kebijakan Grup Objects, Anda mungkin harus mengonfigurasi klien ini secara manual:

       • Microsoft Windows NT 4.0

       • Microsoft Windows Millennium Edition

       • Microsoft Windows 98

       • Microsoft Windows 95

       Catatan Jika Anda mengaktifkan keamanan Jaringan: Jangan simpan nilai hash manajer LAN pada kebijakan perubahan kata sandi berikutnya atau atur kunci registri NoLMHash , klien berbasis Windows 95 dan berbasis Windows 98 yang tidak memiliki instalasi Klien Layanan Direktori tidak dapat masuk ke domain setelah perubahan kata sandi.
       
       Banyak server CIFS pihak ketiga, seperti Novell Netware 6, tidak menyadari NTLMv2 dan hanya menggunakan NTLM. Oleh karena itu, tingkat yang lebih besar dari 2 tidak mengizinkan konektivitas. Ada juga klien SMB pihak ketiga yang tidak menggunakan keamanan sesi diperpanjang. Dalam kasus ini, LmCompatiblityLevel dari server sumber daya tidak dipertimbangkan. Server kemudian mengemas permintaan warisan ini dan mengirimkannya ke Pengontrol Domain Pengguna. Pengaturan pada Pengontrol Domain kemudian memutuskan hash apa yang digunakan untuk memverifikasi permintaan dan apakah ini memenuhi persyaratan keamanan Pengontrol Domain.
       
        

       299656 Cara mencegah Windows menyimpan hash pengelola LAN kata sandi Anda di Direktori Aktif dan database SAM lokal
        

       2701704Kejadian audit memperlihatkan paket autentikasi sebagai NTLMv1, bukan NTLMv2 Untuk informasi selengkapnya tentang tingkat autentikasi LM, klik nomor artikel berikut ini untuk menampilkan artikel di Pangkalan Pengetahuan Microsoft:

       239869 Cara mengaktifkan autentikasi NTLM 2
        

    2. Konfigurasi berisiko
       
       Berikut ini adalah pengaturan konfigurasi berbahaya:

       • Pengaturan nonrestriktif yang mengirim kata sandi dalam teks kosong dan yang menolak negosiasi NTLMv2

       • Pengaturan pembatasan yang mencegah klien atau pengontrol domain yang tidak kompatibel untuk menegosiasikan protokol autentikasi umum

       • Mengharuskan autentikasi NTLMv2 pada komputer anggota dan pengontrol domain yang menjalankan versi Windows NT 4.0 yang lebih lama dari Service Pack 4 (SP4)

       • Mengharuskan autentikasi NTLMv2 di klien Windows 95 atau klien Windows 98 yang tidak menginstal Klien Layanan Direktori Windows.

       • Jika Anda mengklik untuk memilih kotak centang Perlu keamanan sesi NTLMv2 di snap-in Microsoft Management Console Kebijakan Grup Editor di komputer berbasis Windows Server 2003 atau Windows 2000 Service Pack 3, dan Anda menurunkan tingkat autentikasi manajer LAN ke 0, dua pengaturan berkonflik, dan Anda mungkin menerima pesan kesalahan berikut ini dalam file Secpol.msc atau file GPEdit.msc:

         Windows tidak bisa membuka database kebijakan lokal. Terjadi kesalahan yang tidak diketahui ketika mencoba membuka database.

         Untuk informasi selengkapnya tentang Alat Analisis dan Konfigurasi Keamanan, lihat file Bantuan Windows 2000 atau Windows Server 2003.

    3. Alasan untuk Mengubah Pengaturan Ini

       • Anda ingin meningkatkan protokol autentikasi umum terendah yang didukung oleh klien dan pengontrol domain di organisasi Anda.

       • Jika autentikasi aman adalah persyaratan bisnis, Anda ingin melarang negosiasi LM dan protokol NTLM.

    4. Alasan untuk menonaktifkan pengaturan
       
       ini Persyaratan autentikasi klien atau server, atau keduanya, telah ditingkatkan ke titik di mana autentikasi melalui protokol umum tidak dapat terjadi.

    5. Nama Simbolik:
       
       LmCompatibilityLevel

    6. Jalur Registri:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. Contoh masalah kompatibilitas

       • Windows Server 2003: Secara default, pengaturan respons Windows Server 2003 NTLMv2 Kirim NTLM diaktifkan. Oleh karena itu, Windows Server 2003 menerima pesan kesalahan "Access Denied" setelah penginstalan awal ketika Anda mencoba menyambungkan ke kluster berbasis Windows NT 4.0 atau ke server berbasis LanManager V2.1, seperti OS/2 Lanserver. Masalah ini juga terjadi jika Anda mencoba menyambungkan dari klien versi sebelumnya ke server berbasis Windows Server 2003.

       • Anda menginstal Windows 2000 Security Rollup Package 1 (SRP1). SRP1 memaksa NTLM versi 2 (NTLMv2). Paket rollup ini dirilis setelah rilis Windows 2000 Service Pack 2 (SP2).
          

       • Windows 7 dan Windows Server 2008 R2: Banyak server CIFS pihak ketiga, seperti server Novell Netware 6 atau Samba berbasis Linux, tidak menyadari NTLMv2 dan hanya menggunakan NTLM. Oleh karena itu, tingkat yang lebih besar dari "2" tidak mengizinkan konektivitas. Sekarang dalam versi sistem operasi ini, default untuk LmCompatibilityLevel diubah menjadi "3". Jadi, ketika Anda memutakhirkan Windows, filer pihak ketiga ini mungkin berhenti berfungsi.

       • Klien Microsoft Outlook mungkin dimintai kredensial meskipun mereka sudah masuk ke domain. Ketika pengguna memasukkan kredensial mereka, mereka menerima pesan kesalahan berikut: Windows 7 dan Windows Server 2008 R2

         Kredensial masuk yang disediakan tidak benar. Pastikan nama pengguna dan domain Anda sudah benar, lalu ketikkan kembali kata sandi Anda.

         Saat memulai Outlook, Anda mungkin dimintai kredensial meskipun pengaturan Keamanan Jaringan Masuk diatur ke Lolos atau ke Autentikasi Kata Sandi. Setelah mengetik kredensial yang benar, Anda mungkin menerima pesan kesalahan berikut:

         Kredensial masuk yang disediakan salah.

         Jejak Monitor Jaringan mungkin menunjukkan bahwa katalog global mengeluarkan kesalahan panggilan prosedur jarak jauh (RPC) dengan status 0x5. Status 0x5 berarti "Akses Ditolak."

       • Windows 2000: Tangkapan Monitor Jaringan mungkin memperlihatkan kesalahan berikut dalam sesi blok pesan server (SMB) NetBIOS melalui TCP/IP (NetBT):

         Kesalahan Dos Direktori Pencarian SMB R, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Pengidentifikasi pengguna tidak valid

       • Windows 2000: Jika domain Windows 2000 dengan NTLMv2 Tingkat 2 atau yang lebih baru dipercaya oleh domain Windows NT 4.0, komputer anggota berbasis Windows 2000 di domain sumber daya mungkin mengalami kesalahan autentikasi.

       • Windows 2000 dan Windows XP: Secara default, Windows 2000 dan Windows XP mengatur opsi Kebijakan Keamanan Lokal Tingkat Autentikasi LAN Manager ke 0. Pengaturan 0 berarti "Kirim respons LM dan NTLM."
         
         Perhatikan kluster berbasis Windows NT 4.0 harus menggunakan LM untuk administrasi.

       • Windows 2000: Kluster Windows 2000 tidak mengautentikasi simpul gabungan jika kedua node merupakan bagian dari domain Windows NT 4.0 Service Pack 6a (SP6a).

       • IIS Lockdown Tool (HiSecWeb) mengatur nilai LMCompatibilityLevel ke 5 dan nilai RestrictAnonymous menjadi 2.

       • Layanan untuk Macintosh
         
         Modul Autentikasi Pengguna (UAM): UAM Microsoft (Modul Autentikasi Pengguna) menyediakan metode untuk mengenkripsi kata sandi yang Anda gunakan untuk masuk ke server AFP Windows (AppleTalk Filing Protocol). Modul Autentikasi Pengguna Apple (UAM) hanya menyediakan enkripsi minimal atau tanpa enkripsi. Oleh karena itu, kata sandi Anda bisa dengan mudah disadap di LAN atau di Internet. Meskipun UAM tidak diperlukan, UAM menyediakan autentikasi terenkripsi ke Server Windows 2000 yang menjalankan Layanan Untuk Macintosh. Versi ini menyertakan dukungan untuk autentikasi terenkripsi NTLMv2 128-bit dan rilis kompatibel MacOS X 10.1.
         
         Secara default, Layanan Windows Server 2003 untuk server Macintosh hanya mengizinkan Autentikasi Microsoft.
          

       • Windows Server 2008, Windows Server 2003, Windows XP, dan Windows 2000: Jika Anda mengonfigurasi nilai LMCompatibilityLevel menjadi 0 atau 1 lalu mengonfigurasi nilai NoLMHash menjadi 1, aplikasi dan komponen mungkin ditolak akses melalui NTLM. Masalah ini terjadi karena komputer dikonfigurasi untuk mengaktifkan LM tetapi tidak menggunakan kata sandi yang disimpan LM.
         
         Jika mengonfigurasi nilai NoLMHash menjadi 1, Anda harus mengonfigurasi nilai LMCompatibilityLevel menjadi 2 atau lebih tinggi.

11. Keamanan jaringan: Persyaratan penandatanganan klien LDAP

    1. Latar belakang
       
       Pengaturan Keamanan jaringan: Persyaratan penandatanganan klien LDAP menentukan tingkat penandatanganan data yang diminta atas nama klien yang menerbitkan permintaan BIND Lightweight Directory Access Protocol (LDAP) sebagai berikut:

       • Tidak Ada: Permintaan BIND LDAP dikeluarkan dengan opsi yang ditentukan penelepon.

       • Penandatanganan negosiasi: Jika Secure Sockets Layer/Transport Layer Security (SSL/TLS) belum dimulai, permintaan BIND LDAP dimulai dengan rangkaian opsi penandatanganan data LDAP selain opsi yang ditentukan penelepon. Jika SSL/TLS telah dimulai, permintaan BIND LDAP dimulai dengan opsi yang ditentukan penelepon.

       • Memerlukan penandatanganan: Ini sama dengan Penandatanganan negosiasi. Namun, jika respons intermediate saslBindInProgress server LDAP tidak menunjukkan bahwa penandatanganan lalu lintas LDAP diperlukan, penelepon diberi tahu bahwa permintaan perintah BINDAP LDAP gagal.

    2. Konfigurasi berisiko
       
       Mengaktifkan pengaturan Keamanan jaringan: Persyaratan penandatanganan klien LDAP adalah pengaturan konfigurasi yang berbahaya. Jika Anda mengatur server agar memerlukan tanda tangan LDAP, Anda juga harus mengonfigurasi penandatanganan LDAP di klien. Tidak mengonfigurasi klien untuk menggunakan tanda tangan LDAP akan mencegah komunikasi dengan server. Hal ini menyebabkan autentikasi pengguna, pengaturan Kebijakan Grup, skrip masuk, dan fitur lainnya gagal.

    3. Alasan untuk Mengubah Pengaturan
       
       Ini Lalu lintas jaringan yang tidak ditandatangani rentan terhadap serangan man-in-the-middle di mana penyusup mengambil paket antara klien dan server, mengubahnya, lalu meneruskannya ke server. Ketika hal ini terjadi pada server LDAP, penyerang dapat menyebabkan server merespons berdasarkan kueri palsu dari klien LDAP. Anda dapat menurunkan risiko ini di jaringan perusahaan dengan menerapkan tindakan keamanan fisik yang kuat untuk membantu melindungi infrastruktur jaringan. Selain itu, Anda bisa membantu mencegah semua jenis serangan man-in-the-middle dengan mengharuskan tanda tangan digital di semua paket jaringan dengan menggunakan header autentikasi IPSec.

    4. Nama Simbolik:
       
       LDAPClientIntegrity

    5. Jalur Registri:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

12. Log Kejadian: Ukuran log keamanan maksimum

    1. Latar belakang
       
       Log Kejadian: Pengaturan keamanan ukuran log keamanan maksimum menentukan ukuran maksimum log kejadian keamanan. Log ini memiliki ukuran maksimum 4 GB. Untuk menemukan pengaturan ini, perluas
       Pengaturan Windows, lalu perluas Pengaturan Keamanan.

    2. Konfigurasi berisiko
       
       Berikut ini adalah pengaturan konfigurasi berbahaya:

       • Membatasi ukuran log keamanan dan metode penyimpanan log keamanan ketika audit: Mematikan sistem segera jika tidak dapat mencatat pengaturan audit keamanan diaktifkan. Lihat bagian "Audit: Mematikan sistem segera jika tidak dapat mencatat audit keamanan" di artikel ini untuk detail selengkapnya.

       • Membatasi ukuran log keamanan sehingga kejadian keamanan minat ditimpa.

    3. Alasan untuk Meningkatkan Pengaturan
       
       Ini Persyaratan keamanan dan bisnis dapat menentukan bahwa Anda meningkatkan ukuran log keamanan untuk menangani detail log keamanan tambahan atau untuk mempertahankan log keamanan dalam jangka waktu yang lebih lama.

    4. Alasan untuk Mengurangi Pengaturan
       
       Ini Pemantau Peristiwa log adalah file memori yang dipetakan. Ukuran maksimum log kejadian dibatasi oleh jumlah memori fisik di komputer lokal dan oleh memori virtual yang tersedia untuk proses log kejadian. Menambah ukuran log melebihi jumlah memori virtual yang tersedia untuk Pemantau Peristiwa tidak menambah jumlah entri log yang dipertahankan.

    5. Contoh masalah
       
       kompatibilitas Windows 2000: Komputer yang menjalankan versi Windows 2000 yang lebih lama dari Service Pack 4 (SP4) mungkin menghentikan kejadian pembuatan log kejadian sebelum mencapai ukuran yang ditentukan dalam pengaturan Ukuran log maksimum dalam Pemantau Peristiwa jika opsi Jangan timpa kejadian (hapus log secara manual) diaktifkan.
       
       
        

13. Log Kejadian: Pertahankan log keamanan

    1. Latar belakang
       
       Log Kejadian: Mempertahankan pengaturan keamanan log keamanan menentukan metode "pembungkusan" untuk log keamanan. Untuk menemukan pengaturan ini, perluas Pengaturan Windows, lalu perluas Pengaturan Keamanan.

    2. Konfigurasi berisiko
       
       Berikut ini adalah pengaturan konfigurasi berbahaya:

       • Gagal mempertahankan semua kejadian keamanan yang dicatat sebelum ditimpa

       • Mengonfigurasi pengaturan Ukuran log keamanan maksimum terlalu kecil sehingga kejadian keamanan ditimpa

       • Membatasi ukuran log keamanan dan metode penyimpanan saat Audit: Mematikan sistem segera jika tidak dapat mencatat pengaturan keamanan audit keamanan diaktifkan

    3. Alasan untuk mengaktifkan pengaturan
       
       ini Aktifkan pengaturan ini hanya jika Anda memilih metode Penyimpanan timpa acara menurut hari . Jika Anda menggunakan sistem korlasi kejadian yang melakukan polling untuk acara, pastikan bahwa jumlah hari setidaknya tiga kali frekuensi polling. Lakukan hal ini untuk memungkinkan siklus polling yang gagal.

14. Akses jaringan: Izinkan Semua Orang berlaku untuk pengguna anonim

    1. Latar belakang
       
       Secara default, akses Jaringan: Izinkan Setiap Orang berlaku untuk pengaturan pengguna anonim diatur ke Tidak Ditentukan di Windows Server 2003. Secara default, Windows Server 2003 tidak menyertakan token Akses Anonim dalam grup Semua Orang.

    2. Contoh Masalah
       
       Kompatibilitas Nilai berikut

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous [REG_DWORD]=0x0 memutus pembuatan kepercayaan antara Windows Server 2003 dan Windows NT 4.0, ketika domain Windows Server 2003 adalah domain akun dan domain Windows NT 4.0 adalah domain sumber daya. Ini berarti bahwa domain akun Tepercaya di Windows NT 4.0 dan domain sumber daya mempercayai di sisi Windows Server 2003. Perilaku ini terjadi karena proses untuk memulai kepercayaan setelah koneksi anonim awal adalah ACL'd dengan token Semua Orang yang menyertakan SID Anonim pada Windows NT 4.0.

    3. Alasan untuk Mengubah Pengaturan
       
       Ini Nilai harus diatur ke 0x1 atau diatur menggunakan GPO di OU pengontrol domain menjadi: Akses jaringan: Izinkan Semua Orang berlaku untuk pengguna anonim - Diaktifkan untuk memungkinkan pembuatan kepercayaan.
       
       Catatan Sebagian besar pengaturan keamanan lainnya naik nilainya, bukan ke bawah ke 0x0 dalam status yang paling aman. Praktik yang lebih aman adalah mengubah registri pada emulator pengontrol domain utama, bukan di semua pengontrol domain. Jika peran emulator pengontrol domain utama dipindahkan karena alasan apa pun, registri harus diperbarui di server baru.
       
       Mulai ulang diperlukan setelah nilai ini diatur.

    4. Jalur Registri

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

15. Autentikasi NTLMv2

    1. Keamanan sesi
       
       Keamanan sesi menentukan standar keamanan minimum untuk sesi klien dan server. Ada baiknya memverifikasi pengaturan kebijakan keamanan berikut dalam snap-in Microsoft Management Console Kebijakan Grup Editor:

       • Pengaturan Komputer\Pengaturan Windows\Pengaturan Keamanan\Kebijakan Lokal\Opsi Keamanan

       • Keamanan Jaringan: Keamanan sesi minimum untuk server berbasis SSP NTLM (termasuk RPC aman)

       • Keamanan Jaringan: Keamanan sesi minimum untuk klien berbasis NTLM SSP (termasuk RPC aman)

       Opsi untuk pengaturan ini adalah sebagai berikut:

       • Memerlukan integritas pesan

       • Memerlukan kerahasiaan pesan

       • Memerlukan keamanan sesi NTLM versi 2

       • Memerlukan enkripsi 128-bit

       Pengaturan default sebelum Windows 7 tidak ada persyaratan. Dimulai dengan Windows 7, default berubah menjadi Memerlukan enkripsi 128-bit untuk meningkatkan keamanan. Dengan default ini, perangkat warisan yang tidak mendukung enkripsi 128-bit tidak akan dapat tersambung.
       
       Kebijakan ini menentukan standar keamanan minimum untuk sesi komunikasi aplikasi-ke-aplikasi di server untuk klien.
       
       Perhatikan bahwa meskipun dijelaskan sebagai pengaturan yang valid, bendera untuk memerlukan integritas dan kerahasiaan pesan tidak digunakan saat keamanan sesi NTLM ditentukan.
       
       Secara historis, Windows NT telah mendukung dua varian autentikasi tantangan/respons berikut untuk logon jaringan:

       • Tantangan/respons LM

       • Tantangan/respons NTLM versi 1

       LM memungkinkan interoperabilitas dengan basis klien dan server yang diinstal. NTLM menyediakan keamanan yang disempurnakan untuk koneksi antara klien dan server.
       
       Kunci registri terkait adalah sebagai berikut:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

    2. Konfigurasi berisiko
       
       Pengaturan ini mengontrol bagaimana sesi jaringan yang diamankan menggunakan NTLM akan ditangani. Ini mempengaruhi sesi berbasis RPC yang diautentikasi dengan NTLM, misalnya. Terdapat risiko berikut:

       • Menggunakan metode autentikasi yang lebih lama daripada NTLMv2 membuat komunikasi lebih mudah diserang karena metode hashing yang lebih sederhana yang digunakan.

       • Menggunakan kunci enkripsi yang lebih rendah dari 128-bit memungkinkan penyerang untuk memutuskan komunikasi menggunakan serangan brute-force.

Sinkronisasi waktu

Sinkronisasi waktu gagal. Waktu nonaktif lebih dari 30 menit pada komputer yang terpengaruh. Pastikan bahwa jam komputer klien disinkronkan dengan jam pengontrol domain.

Penanganan masalah untuk penandatanganan SMB

Kami menyarankan agar Anda menginstal Service Pack 6a (SP6a) di klien Windows NT 4.0 yang berinteroptasi di domain berbasis Windows Server 2003. Klien berbasis Windows 98 Second Edition, klien berbasis Windows 98, dan klien berbasis Windows 95 harus menjalankan Klien Layanan Direktori untuk melakukan NTLMv2. Jika klien berbasis Windows NT 4.0 tidak menginstal Windows NT 4.0 SP6 atau jika klien berbasis Windows 95, klien berbasis Windows 98, dan klien berbasis Windows 98SE tidak menginstal Klien Layanan Direktori, nonaktifkan penandatanganan SMB dalam pengaturan kebijakan pengontrol domain default di OU pengontrol domain, lalu tautkan kebijakan ini ke semua OU yang menghosting pengontrol domain.

Klien Layanan Direktori untuk Windows 98 Edisi Kedua, Windows 98, dan Windows 95 akan melakukan Penandatanganan SMB dengan server Windows 2003 di bawah autentikasi NTLM, tetapi tidak di bawah autentikasi NTLMv2. Selain itu, server Windows 2000 tidak akan merespons permintaan Penandatanganan SMB dari klien ini.

Meskipun kami tidak menyarankannya, Anda dapat mencegah penandatanganan SMB diperlukan di semua pengontrol domain yang menjalankan Windows Server 2003 dalam domain. Untuk mengonfigurasi pengaturan keamanan ini, ikuti langkah-langkah ini:

1. Buka kebijakan pengontrol domain default.

2. Buka folder Komputer Configuration\Windows Settings\Security Settings\Local Policies\Security Options.

3. Temukan lalu klik server jaringan Microsoft: Menandatangani pengaturan kebijakan komunikasi (selalu) secara digital, lalu klik Dinonaktifkan.

Penting Bagian ini, metode, atau tugas berisi langkah-langkah yang memberi tahu Anda cara mengubah registri. Namun, masalah serius mungkin terjadi jika Anda salah mengubah registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah ini dengan hati-hati. Untuk perlindungan tambahan, cadangkan registri sebelum Anda mengubahnya. Lalu, Anda dapat memulihkan registri jika terjadi masalah. Untuk informasi selengkapnya tentang cara mencadangkan dan memulihkan registri, klik nomor artikel berikut ini untuk menampilkan artikel di Pangkalan Pengetahuan Microsoft:

322756 Cara mencadangkan dan memulihkan registri di Windows Alternatifnya, nonaktifkan penandatanganan SMB di server dengan mengubah registri. Untuk melakukannya, ikuti langkah-langkah ini:

1. Klik Mulai, klik Jalankan, ketik regedit, lalu klik OK.

2. Temukan lalu klik subkey berikut:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

3. Klik entri enablesecuritysignature .

4. Pada menu Edit , klik Ubah.

5. Dalam kotak Data nilai , ketik 0, lalu klik OK.

6. Keluar dari Editor Registri.

7. Hidupkan ulang komputer, atau hentikan lalu mulai ulang layanan Server. Untuk melakukan ini, ketikkan perintah berikut ini di prompt perintah, lalu tekan Enter setelah Anda mengetik setiap perintah:
   server
   berhenti bersih server mulai bersih

Catatan Kunci terkait pada komputer klien berada di subkey registri berikut:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters Berikut ini mencantumkan nomor kode kesalahan yang diterjemahkan ke kode status dan pesan kesalahan verbatim yang disebutkan sebelumnya:

Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk menampilkan artikel di Pangkalan Pengetahuan Microsoft:

324802 Cara mengonfigurasi Kebijakan Grup untuk mengatur keamanan untuk layanan sistem di Windows Server 2003

816585 Cara menerapkan templat keamanan yang sudah ditentukan sebelumnya di Windows Server 2003