Problemi di programmi, servizi e client possono verificarsi se si modificano le impostazioni di protezione e le assegnazioni dei diritti utente

Riepilogo

Le impostazioni di protezione e le assegnazioni dei diritti utente possono essere modificate in Criteri locali e criteri di gruppo per rafforzare la protezione sui controller di dominio e computer membri. Tuttavia lo svantaggio di aumentare la protezione è l'introduzione di incompatibilità con i client, servizi e programmi.

In questo articolo vengono descritte le incompatibilità che possono verificarsi sui computer client che eseguono Windows XP o versioni precedenti di Windows, quando si modificano le impostazioni di protezione specifici e le assegnazioni dei diritti utente in un dominio Windows Server 2003 o di un Windows precedenti Dominio del server.

Per informazioni sui criteri di gruppo per Windows 7, Windows Server 2008 R2 e Windows Server 2008, vedere i seguenti articoli:

  • Per Windows 7, vedere

  • Per Windows 7 e Windows Server 2008 R2, vedere

  • Per Windows Server 2008, vedere

Nota: Il resto del contenuto in questo articolo è specifico per Windows XP, Windows Server 2003 e versioni precedenti di Windows.

Windows XP

Per aumentare la consapevolezza delle impostazioni di protezione configurate in modo errato, utilizzare lo strumento Editor oggetti Criteri di gruppo per modificare le impostazioni di protezione. Quando si utilizza l'Editor oggetti Criteri di gruppo, le assegnazioni dei diritti utente vengono migliorate sui seguenti sistemi operativi:

  • Windows XP Professional Service Pack 2 (SP2)

  • Windows Server 2003 Service Pack 1 (SP1)

La funzionalità avanzata è una finestra di dialogo contenente un collegamento a questo articolo. La finestra di dialogo viene visualizzata quando si modifica un'impostazione di protezione o un'assegnazione di diritti utente a un'impostazione che offre meno compatibilità ed è più restrittiva. Se si modifica direttamente la stessa protezione impostazione o all'utente diritti assegnazione utilizzando il Registro di sistema o utilizzando i modelli di protezione, l'effetto è equivale a modificare l'impostazione nell'Editor oggetti Criteri di gruppo. Tuttavia, la finestra di dialogo che contiene il collegamento a questo articolo non vengono visualizzati.

In questo articolo contiene esempi di client, programmi e le operazioni che sono interessate da specifiche impostazioni di protezione o assegnazioni di diritti utente. Tuttavia, gli esempi non sono autorevoli per tutti i sistemi operativi Microsoft, per tutti i sistemi operativi di terze parti o per tutte le versioni dei programmi sono interessate. Non tutte le impostazioni di protezione e le assegnazioni dei diritti utente sono inclusi in questo articolo.

Si consiglia di convalidare la compatibilità di tutte le modifiche di configurazione relative alla protezione in una foresta di test prima di introdurle in un ambiente di produzione. La foresta di test deve rispecchiare la foresta di produzione nei seguenti modi:

  • Versioni del sistema operativo client e server, programmi client e server, versioni dei service pack, hotfix, modifiche dello schema, gruppi di protezione, appartenenze ai gruppi, autorizzazioni per gli oggetti del file system, cartelle condivise, Registro di sistema, directory di Active Directory servizio locale e le impostazioni dei criteri di gruppo e oggetto tipo di conteggio e posizione

  • Le attività amministrative che vengono eseguite, strumenti di amministrazione che vengono utilizzati e sistemi operativi utilizzati per eseguire attività amministrative

  • Operazioni da eseguire, come la seguente:

    • Autenticazione di accesso utente e computer

    • Reimpostazione delle password da parte degli utenti, computer e dagli amministratori

    • Esplorazione

    • Impostazione delle autorizzazioni per il file system, per cartelle condivise, per il Registro di sistema e per le risorse di Active Directory tramite l'Editor ACL in tutti i sistemi operativi client in tutti i domini di account o risorse da tutti i sistemi operativi client di qualsiasi account o risorse domini

    • Stampa da account amministrativi e non amministrative

Windows Server 2003 SP1

Avvisi in gpedit. msc

Per informare i clienti che stanno modificando un diritto utente o l'opzione di protezione che potrebbe avere effetti negativi influiscono sulla propria rete, sono stati aggiunti due meccanismi di avviso a gpedit. msc. Quando gli amministratori modificano un diritto utente che può influire negativamente nell'intera organizzazione, vedranno una nuova icona simile a un simbolo di triangolo. Inoltre, riceveranno un messaggio di avviso che dispone di un collegamento all'articolo della Microsoft Knowledge Base numero 823659. Il testo del messaggio è il seguente:

Modifica di questa impostazione potrebbe compromettere la compatibilità con client, servizi e applicazioni. Per ulteriori informazioni, vedere < utente destra o protezione l'opzione > (Q823659) Se si viene reindirizzati a questo articolo della Knowledge Base riportato di seguito da un collegamento in gpedit. msc, assicurarsi di leggere e comprendere la spiegazione fornita e il possibile effetto della modifica di questa impostazione. Di seguito sono elencati i diritti utente che contengono il testo dell'avviso:

  • Accesso al computer dalla rete

  • Accesso locale

  • Ignorare controllo incrociato

  • Attivazione di computer e utenti per delega attendibile

Di seguito vengono elencate le opzioni di protezione che l'avviso e un messaggio popup:

  • Membro di dominio: Digitale crittografare o firmare i dati del canale protetto (sempre)

  • Membro di dominio: Richiedi (Windows 2000 o versione successiva) chiave di sessione

  • Controller di dominio: Server LDAP requisiti di accesso

  • Server di rete Microsoft: firma digitale alle comunicazioni (sempre)

  • Accesso alla rete: Consente l'anonima Sid / nome traduzione

  • Accesso di rete: Non consentire l'enumerazione anonima di SAM account e condivisioni

  • Protezione di rete: livello di autenticazione di LAN Manager

  • Controllo: Arresto del sistema immediato se non è possibile registrare i controlli di protezione

  • Accesso di rete: Client LDAP requisiti per la firma

Ulteriori informazioni

Le sezioni seguenti descrivono le incompatibilità che possono verificarsi quando si modificano impostazioni specifiche in domini Windows NT 4.0, Windows 2000 domini e domini Windows Server 2003.

Diritti utente

Nell'elenco seguente descrive un diritto utente, identifica le impostazioni di configurazione che possono causare problemi, descrive il motivo per cui si consiglia di applicare il diritto utente e perché si desidera rimuovere il diritto utente e vengono forniti esempi di problemi di compatibilità che possono verificarsi quando l'utente diritto è assegnato.

  1. Accesso al computer dalla rete

    1. Sfondo

      La possibilità di interagire con computer remoti basati su Windows richiede il diritto utente accesso al computer dalla rete . Esempi di tali operazioni di rete includono quanto segue:

      • Replica di Active Directory tra controller di dominio in un dominio comune o un insieme di strutture

      • Richieste di autenticazione ai controller di dominio dagli utenti e dai computer

      • Accesso alle cartelle condivise, stampanti e altri servizi di sistema che si trovano in computer remoti sulla rete



      Gli utenti, computer e account di servizio ottengono o perdono il diritto utente accesso al computer dalla rete mostrandosi in modo esplicito o implicito aggiunto o rimosso da un gruppo di protezione che è stato concesso questo diritto utente. Ad esempio, un account utente o un account computer può essere aggiunto esplicitamente a un gruppo di protezione personalizzato o un gruppo di protezione incorporato da un amministratore oppure aggiunto implicitamente dal sistema operativo a un gruppo di protezione calcolato, ad esempio Domain Users, Authenticated Gli utenti, o controller di dominio organizzazione.

      Per impostazione predefinita, gli account utente e account computer vengono concesse all'utente di accedere al computer dalla rete appena calcolato gruppi ad esempio Everyone o, preferibilmente, Authenticated Users e, per i controller di dominio, il gruppo controller di dominio organizzazione , sono definiti nei controller di dominio predefinito oggetto Criteri di gruppo (GPO).

    2. Configurazioni rischiose

      Le impostazioni di configurazione dannosi sono i seguenti:

      • Rimuovere il gruppo di protezione controller di dominio organizzazione questo diritto utente

      • Rimuovere il gruppo Authenticated Users o un gruppo esplicito che consente agli utenti, computer e account di servizio il diritto utente di connettersi ai computer in rete

      • Rimozione di tutti gli utenti e computer da questo diritto utente

    3. Motivi per concedere questo diritto utente

      • Concedendo il diritto utente accesso al computer dalla rete al gruppo controller di dominio organizzazione soddisfa i requisiti di autenticazione della replica di Active Directory deve disporre per la replica tra controller di dominio nello stesso insieme di strutture.

      • Questo diritto utente consente agli utenti e computer di accedere a file condivisi, stampanti e servizi di sistema, incluso Active Directory.

      • Questo diritto utente è obbligatorio per gli utenti di accedere alla posta tramite le versioni precedenti di Microsoft Outlook Web Access (OWA).

    4. Motivi per rimuovere questo diritto utente

      • Gli utenti possano connettere i computer alla rete possono accedere alle risorse su computer remoti che dispongono delle autorizzazioni. Ad esempio, questo diritto utente è obbligatorio per un utente di connettersi a stampanti condivise e alle cartelle. Se questo diritto utente viene concesso a tutti il gruppo, e se alcune cartelle condivise sia condivisione e autorizzazioni NTFS configurate in modo che lo stesso gruppo dispone dell'accesso in lettura, chiunque può visualizzare i file in queste cartelle condivise. Si tratta di una situazione improbabile per le nuove installazioni di Windows Server 2003, tuttavia, poiché la condivisione predefinita e le autorizzazioni NTFS in Windows Server 2003 non includono il gruppo Everyone. Per i sistemi aggiornati da Microsoft Windows NT 4.0 o Windows 2000, questa vulnerabilità può presentare un livello di rischio in quanto la condivisione predefinita e le autorizzazioni del file per questi sistemi operativi non sono restrittive quanto le autorizzazioni predefinite in Windows Server 2003.

      • Non è valido per la rimozione di gruppo controller di dominio organizzazione da questo diritto utente.

      • Il gruppo Everyone viene in genere rimosso ed è il gruppo Authenticated Users. Se il gruppo Everyone viene rimosso, il gruppo Authenticated Users concedere questo diritto utente.

      • Domini di Windows NT 4.0 aggiornati a Windows 2000 non concedono esplicitamente all'utente l'accesso al computer dalla rete verso destra per il gruppo Everyone, il gruppo Authenticated Users o il gruppo controller di dominio organizzazione. Pertanto, quando si rimuove il gruppo Everyone dal criterio di dominio di Windows NT 4.0, la replica di Active Directory avrà esito negativo con un messaggio di errore "Accesso negato" dopo l'aggiornamento a Windows 2000. Winnt32.exe in Windows Server 2003 consente di evitare questo errore di configurazione mediante la concessione di gruppo controller di dominio organizzazione questo diritto utente quando si esegue l'aggiornamento di Windows NT 4.0 i controller di dominio primario (PDC). Concedere al gruppo controller di dominio organizzazione questo diritto se non è presente nell'Editor oggetti Criteri di gruppo.

    5. Esempi di problemi di compatibilità

      • Windows 2000 e Windows Server 2003: Replica delle partizioni seguenti avrà esito negativo con errori "Accesso negato", come riportato da strumenti quali REPLMON e REPADMIN o la replica degli eventi nel registro eventi di monitoraggio.

        • Partizione di Active Directory Schema

        • Partizione di configurazione

        • Partizione di dominio

        • Partizione del catalogo globale

        • Partizione di applicazione

      • Sistemi operativi di rete Microsoft tutti: Autenticazione di Account utente dal computer client di rete remoti avrà esito negativo a meno che l'utente o un gruppo di protezione che l'utente è un membro di è stato concesso questo diritto utente.

      • Sistemi operativi di rete Microsoft tutti: Autenticazione di account da client di rete remoti avrà esito negativo a meno che non sia l'account o l'account è un membro di un gruppo di protezione è stato concesso questo diritto utente. Questo scenario si applica agli account utente, account computer e agli account del servizio.

      • Sistemi operativi di rete Microsoft tutti: La rimozione di tutti gli account da questo diritto utente impedirà qualsiasi account di accesso al dominio o di accedere alle risorse di rete. Se i gruppi calcolati, quali controller di dominio organizzazione, Everyone o Authenticated Users vengono rimossi, è necessario concedere esplicitamente questo diritto utente agli account o ai gruppi di protezione che l'account è un membro di per accedere a computer remoti in rete. Questo scenario si applica a tutti gli account utente, a tutti gli account computer e a tutti gli account di servizio.

      • Sistemi operativi di rete Microsoft tutti: L'account di amministratore locale utilizza una password "vuota". La connettività di rete con password vuote non è consentita per gli account di amministratore in un ambiente di dominio. Con questa configurazione, si prevede di ricevere un messaggio di errore "Accesso negato".

  2. Consenti accesso locale

    1. Sfondo

      Gli utenti che tentano di accedere alla console di un computer basato su Windows (utilizzando il tasto di scelta rapida CTRL + ALT + CANC) e gli account che si sta tentando di avviare un servizio è necessario disporre dei privilegi di accesso locale sul computer host. Esempi di operazioni di accesso locale di amministratori che accedono alle console di computer membri o controller di dominio gli utenti aziendali e di dominio che accedono a computer membri di accedere ai desktop utilizzando account senza privilegi. Gli utenti che utilizzano una connessione Desktop remoto o servizi Terminal devono disporre utente Consenti accesso locale sul computer di destinazione che eseguono Windows 2000 o Windows XP poiché queste modalità di accesso sono considerate locali per il computer host. Utenti che accedono a un server che ha attivato Terminal Server e che non dispongono di questo diritto utente può comunque avviare una sessione interattiva remota nei domini di Windows Server 2003 se dispongono del diritto utente Consenti accesso tramite servizi Terminal .

    2. Configurazioni rischiose

      Le impostazioni di configurazione dannosi sono i seguenti:

      • Rimozione di gruppi di protezione amministrativi, tra cui Account Operators, Backup Operators, Print Operators o Server Operators e il gruppo Administrators incorporato dal criterio del controller di dominio predefinito.

      • Rimozione di account di servizio utilizzati da componenti e da programmi su computer membri e controller di dominio nel dominio dal criterio del controller di dominio predefinito.

      • Rimozione di utenti o gruppi di protezione che accedono alla console di computer membri del dominio.

      • Rimozione di account di servizio definiti nel database Gestione account di protezione (SAM) locale del computer membro o del computer del gruppo di lavoro.

      • Rimozione non compilato-account amministrativi che eseguono l'autenticazione tramite servizi Terminal in esecuzione su un controller di dominio.

      • Aggiunta di tutti gli account utente del dominio in modo esplicito o implicito attraverso Everyone gruppo Nega accesso locale il diritto di accesso. Questa configurazione impedirà agli utenti di accedere a qualsiasi computer membro o a qualsiasi controller di dominio nel dominio.

    3. Motivi per concedere questo diritto utente

      • Gli utenti devono disporre del diritto utente Consenti accesso locale per accedere alla console o al desktop di un computer del gruppo di lavoro, un computer membro o un controller di dominio.

      • Gli utenti devono disporre di questo diritto utente per accedere al sistema tramite una sessione di servizi Terminal in esecuzione su un computer membro basato su Windows 2000 o controller di dominio.

    4. Motivi per rimuovere questo diritto utente

      • Scaricare ed eseguire codice dannoso di utenti non autorizzati di modificare i diritti utente potrebbe causare un errore per limitare l'accesso da console a un account utente valido.

      • Rimozione del diritto utente Consenti accesso locale impedisce accessi non autorizzati alle console dei computer, ad esempio i controller di dominio o server applicazioni.

      • La rimozione di questo diritto di accesso impedisce l'accesso alla console di computer membri del dominio di account non di dominio.

    5. Esempi di problemi di compatibilità

      • Windows 2000 terminal server: Il diritto utente Consenti accesso locale è necessario per gli utenti di accedere al server terminal di Windows 2000.

      • Di Windows NT 4.0, Windows 2000, Windows XP o Windows Server 2003: Gli account utente devono essere concesso questo diritto utente per accedere alla console del computer che eseguono Windows NT 4.0, Windows 2000, Windows XP o Windows Server 2003.

      • Di Windows NT 4.0 e versioni successive: Nei computer che eseguono Windows NT 4.0 e versioni successive, se si aggiunge l'utente Consenti accesso locale a destra, ma è implicitamente o esplicitamente anche concedere il diritto di accesso Nega accesso locale , gli account non saranno in grado di accedere alla console del dominio controller.

  3. Ignorare controllo incrociato

    1. Sfondo

      Il diritto utente Ignorare controllo incrociato consente all'utente di esplorare le cartelle nel file system NTFS o nel Registro di sistema senza controllo per l'autorizzazione Visita cartella speciale. Il diritto utente Ignorare controllo incrociato non consente all'utente di elencare il contenuto di una cartella. Consente all'utente di scorrere solo le cartelle.

    2. Configurazioni rischiose

      Le impostazioni di configurazione dannosi sono i seguenti:

      • Rimozione di account non amministrativi che accedono al computer di servizi Terminal basati su Windows 2000 o basato su Windows Server 2003 Servizi Terminal che non dispone delle autorizzazioni per accedere a file e cartelle nel file system.

      • Rimozione del gruppo Everyone dall'elenco di identità di protezione che dispongono di questo utente a destra per impostazione predefinita. Sistemi operativi Windows e anche molti programmi sono progettati partendo dal presupposto che chiunque può legittimamente accedere al computer disponga del diritto utente Ignorare controllo incrociato . Pertanto, la rimozione di tutti gli utenti gruppo dall'elenco di identità di protezione che hanno questo diritto utente per impostazione predefinita può causare instabilità del sistema operativo o errori nei programmi. È consigliabile modificare questa impostazione predefinita.

    3. Motivi per concedere questo diritto utente

      L'impostazione predefinita per il diritto utente Ignorare controllo incrociato è consentire di ignorare controllo incrociato. Per gli amministratori esperti di Windows, si tratta del comportamento previsto e configurare di conseguenza gli elenchi di controllo accesso file sistema (SACL). L'unico scenario in cui la configurazione predefinita può comportare un'immagina è se l'amministratore che configura le autorizzazioni non comprendere il comportamento e prevede che gli utenti che non possono accedere a una cartella padre non sarà possibile accedere al contenuto del figlio cartelle.

    4. Motivi per rimuovere questo diritto utente

      Per tentare di impedire l'accesso ai file o le cartelle nel file system, le organizzazioni che sono molto preoccupate per la protezione potrebbero avere la tentazione rimuovere il gruppo Everyone o addirittura il gruppo di utenti, dall'elenco dei gruppi che dispongono di Ignorare controllo incrociato diritto utente.

    5. Esempi di problemi di compatibilità

      • Windows 2000, Windows Server 2003: Se il diritto utente Ignorare controllo incrociato viene rimosso o non è configurato correttamente su computer che eseguono Windows 2000 o Windows Server 2003, le impostazioni dei criteri di gruppo nella cartella SYVOL non verranno replicati tra controller di dominio nel dominio.

      • Windows 2000, Windows XP Professional, Windows Server 2003: Computer che eseguono Windows 2000, Windows XP Professional o Windows Server 2003 verranno registrati gli eventi 1000 e 1202 e non sarà possibile applicare criteri computer e utente quando le autorizzazioni del file necessari vengono rimossi dalla struttura SYSVOL se il Bypass il diritto utente di controllo incrociato viene rimosso o correttamente configurato.

        Per ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:

        ID evento 1000, 1001 viene registrato ogni cinque minuti nel registro eventi dell'applicazione
         

      • Windows 2000, Windows Server 2003: Nei computer che eseguono Windows 2000 o Windows Server 2003, la scheda Gestione quote in Esplora risorse scompariranno quando si visualizzano le proprietà di un volume.

      • Windows 2000: Non amministratori che accedono a un server terminal di Windows 2000 è possibile che venga visualizzato il seguente messaggio di errore:

        Errore dell'applicazione Userinit.exe. L'applicazione non correttamente inizializzata 0xc0000142 fare clic su OK per terminare l'applicazione.

      • Di Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Ignorano gli utenti il cui computer eseguono Windows NT 4.0, Windows 2000, Windows XP o Windows Server 2003 potrebbe non essere possibile accedere a cartelle condivise o file in cartelle condivise e potrebbero ricevere messaggi di errore "Accesso negato" Se non dispongono di il controllo diritto utente.


        Per ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:

        messaggio di errore "Accesso negato" quando gli utenti tentano di accedere alle cartelle condivise
         

      • Di Windows NT 4.0: Nei computer basati su Windows NT 4.0, la rimozione del diritto utente Ignorare controllo incrociato provocherà una copia di file eliminare i flussi di file. Se si rimuove questo diritto utente, quando un file viene copiato da un client Windows o da un client Macintosh su un controller di dominio di Windows NT 4.0 che esegue servizi per Macintosh, il flusso di file di destinazione viene perso e il file viene visualizzato come file di solo testo.

      • Microsoft Windows 95, Microsoft Windows 98: In un computer client che esegue Windows 95 o Windows 98, il utilizzare net * / privati comando avrà esito negativo con un messaggio di errore "Accesso negato" se il gruppo Authenticated Users non è concesso il diritto utente Ignorare controllo incrociato .

      • Di Outlook Web Access: Gli utenti non amministratori non saranno in grado di accedere a Microsoft Outlook Web Access e riceveranno un messaggio di errore "Accesso negato" Se non dispongono del diritto utente Ignorare controllo incrociato .

Impostazioni di protezione

L'elenco seguente indica un'impostazione di protezione e l'elenco nidificato fornisce una descrizione dell'impostazione di protezione, identifica le impostazioni di configurazione che potrebbe causare problemi, descrive perché è necessario applicare l'impostazione di protezione e viene descritto il motivo per cui motivi si consiglia di rimuovere la protezione. L'elenco nidificato fornisce quindi un nome simbolico per la protezione e il percorso del Registro di sistema dell'impostazione di protezione. Infine, vengono forniti esempi di problemi di compatibilità che possono verificarsi quando si configura l'impostazione di protezione.

  1. Controllo: Arresto del sistema immediato se non è possibile registrare i controlli di protezione

    1. Sfondo

      • Il controllo: arresto del sistema immediato se non è possibile registrare i controlli di protezione impostazione determina l'arresto del sistema se non è possibile registrare gli eventi di protezione. Questa impostazione è necessaria per la valutazione C2 del programma Computer protezione valutazione criteri TCSEC (Trusted) e per il Common Criteria for Information Technology Security Evaluation impedire eventi controllabili se il sistema di controllo non è in grado di registrare tali eventi. Se il sistema di controllo non riesce, il sistema viene arrestato e viene visualizzato un messaggio di errore Stop.

      • Se il computer non è possibile registrare gli eventi nel Registro di protezione, elementi probatori fondamentali o importanti informazioni sulla risoluzione dei problemi potrebbero non essere disponibile per la revisione dopo un incidente di sicurezza.

    2. Configurazione rischiosa

      Di seguito è un'impostazione di configurazione nocivi: il controllo: arresta il sistema immediatamente se non è possibile registrare i controlli di protezione è l'impostazione e la dimensione del registro eventi di protezione è vincolata dal non sovrascrivere eventi (pulizia manuale del registro) opzione, l'opzione Sovrascrivi eventi se necessario o l'opzione Sovrascrivi eventi anteriori al numero di giorni nel Visualizzatore eventi. Vedere la sezione "Esempi di problemi di compatibilità" per informazioni sui rischi specifici per i computer che eseguono la versione finale originale di Windows 2000, Windows 2000 Service Pack 1 (SP1), Windows 2000 SP2 o Windows 2000 SP3.

    3. Motivi per abilitare questa impostazione

      Se il computer non è possibile registrare gli eventi nel Registro di protezione, elementi probatori fondamentali o importanti informazioni sulla risoluzione dei problemi potrebbero non essere disponibile per la revisione dopo un incidente di sicurezza.

    4. Motivi per disabilitare questa impostazione

      • Abilitazione di di controllo: arresta il sistema immediatamente se non è possibile registrare i controlli di protezione impostazione Arresta il sistema se non è possibile registrare un controllo di protezione per qualsiasi motivo. In genere, non può essere registrato un evento quando il Registro di controllo di protezione è pieno e quando il metodo di gestione specificato è l'opzione non sovrascrivere eventi (pulizia manuale del registro) o l'opzione Sovrascrivi eventi anteriori al numero di giorni .

      • Il carico amministrativo per abilitare il controllo: arresto del sistema immediato se non è possibile registrare i controlli di protezione impostazione può essere molto elevato, soprattutto se si disattiva anche l'opzione non sovrascrivere eventi (pulizia manuale del registro) per il Registro di protezione. Questa impostazione fornisce della responsabilità individuale delle azioni dell'operatore. Un amministratore potrebbe, ad esempio, reimposta le autorizzazioni su tutti gli utenti, computer e gruppi in un'unità organizzativa (OU), dove il controllo è stato abilitato utilizzando l'account administrator incorporato o altri account condivisi e quindi negare che tali autorizzazioni vengano reimpostate. Tuttavia, l'attivazione dell'impostazione ridurre l'affidabilità del sistema poiché un server potrebbe essere costretto all'arresto se sovraccaricato con eventi di accesso e altri eventi di protezione che vengono scritte nel Registro di protezione. Inoltre, poiché l'arresto non regolare, potrebbero causare danni irreversibili al sistema operativo, programmi o dati. Anche se NTFS garantisce che l'integrità del file system viene mantenuta durante un arresto anomalo del sistema, in grado di garantire che ogni file di dati di ogni programma sarà infatti in un formato utilizzabile al riavvio del sistema.

    5. Nome simbolico:

      CrashOnAuditFail

    6. Percorso del Registro di sistema:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

    7. Esempi di problemi di compatibilità

      • Windows 2000: A causa di un bug, i computer che eseguono la versione finale originale di Windows 2000, Windows 2000 SP1, Windows 2000 SP2 o Windows Server SP3 potrebbero arrestare registrazione eventi prima la dimensione specificata nell'opzione dimensione massima registro per la protezione Registro eventi viene raggiunto. Questo bug è stato corretto in Windows 2000 Service Pack 4 (SP4). Assicurarsi che i controller di dominio Windows 2000 prima di abilitare questa impostazione è installato Windows 2000 Service Pack 4.

        Per ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:

        registro eventi di interruzione della registrazione di eventi prima di raggiungere la dimensione massima del Registro
         

      • Windows 2000, Windows Server 2003: Computer che eseguono Windows 2000 o Windows Server 2003 potrebbe bloccarsi e riavviarsi se il controllo: arresto del sistema immediato se non è possibile registrare i controlli di protezione è attivata, il Registro di protezione è pieno e un oggetto esistente voce del registro eventi non può essere sovrascritto. Quando il computer viene riavviato, viene visualizzato il seguente messaggio di errore:

        STOP: C0000244 {Controllo fallito}
        Impossibile generare un controllo di sicurezza.

        Per recuperare, un amministratore deve effettuare l'accesso, archiviare il Registro di protezione (facoltativo), cancellare il Registro di protezione e quindi reimpostare questa opzione (facoltativa e necessità).

      • Client di rete Microsoft per MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Non amministratori che tentano di accedere a un dominio verranno visualizzato il seguente messaggio di errore:

        L'account è configurato per impedire l'utilizzo di questo computer. Provare un altro computer.

      • Windows 2000: Nei computer basati su Windows 2000, non amministratori non saranno in grado di accedere al server di accesso remoto e riceveranno un messaggio di errore analogo al seguente:

        Utente sconosciuto o password non valida

        Per ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:

        Messaggio di errore : l'account è configurato per impedire l'utilizzo di questo computer
         

      • Windows 2000: Nei controller di dominio Windows 2000, il servizio Messaggistica tra siti (Ismserv.exe) verrà interrotta e non può essere riavviato. DCDIAG rileverà l'errore come "servizi di prova ISMserv non riuscita" e ID evento 1083 verrà registrato nel registro eventi.

      • Windows 2000: Nei controller di dominio Windows 2000, replica di Active Directory avrà esito negativo e verrà visualizzato un messaggio di "Accesso negato" se il registro eventi di protezione è pieno.

      • Microsoft Exchange 2000: I server che eseguono Exchange 2000 non saranno in grado di montare il database dell'archivio informazioni e nel registro eventi verrà registrato l'evento 2102.

      • Di outlook, Outlook Web Access: Gli utenti non amministratori non saranno in grado di accedere alla posta tramite Microsoft Outlook o Microsoft Outlook Web Access e verrà visualizzato un errore 503.

  2. Controller di dominio: requisiti di accesso al server LDAP

    1. Sfondo

      Il controller di dominio: requisiti di accesso al server LDAP impostazione di protezione determina se il server Lightweight Directory Access Protocol (LDAP) richiede che i client LDAP di negoziare la firma dei dati. I valori possibili per questa impostazione di criterio sono come segue:

      • None: La firma dei dati non è necessario eseguire l'associazione con il server. Se il client richiede la firma dei dati, il server la supporta.

      • Richiedi firma: L'opzione per la firma dei dati LDAP deve essere negoziata, a meno che non si utilizza Transport Layer Security/Secure Socket Layer (TLS/SSL).

      • non è definito: Questa impostazione non è attivata o disattivata.

    2. Configurazioni rischiose

      Le impostazioni di configurazione dannosi sono i seguenti:

      • Attivazione Richiedi firma negli ambienti dove i client non supportano la firma LDAP o in la firma LDAP lato client non è abilitata nel client

      • Applicazione di Windows 2000 o il modello di protezione Hisecdc. inf di Windows Server 2003 in ambienti in cui i client non supportano la firma LDAP o in cui la firma LDAP lato client non è abilitata

      • Applicazione di Windows 2000 o il modello di protezione hisecws. inf di Windows Server 2003 in ambienti in cui i client non supportano la firma LDAP o in cui la firma LDAP lato client non è abilitata

    3. Motivi per abilitare questa impostazione

      Senza segno il traffico di rete è soggetto ad attacchi man-in-the-middle, dove un intruso acquisisce i pacchetti tra il client e il server, i pacchetti di modifica e quindi li inoltra al server. Quando questo comportamento si verifica su un server LDAP, un utente malintenzionato potrebbe costringere un server a prendere decisioni basate su false query provenienti dal client LDAP. È possibile ridurre questo rischio in una rete aziendale implementando misure di protezione fisica per proteggere l'infrastruttura di rete. Modalità di intestazione autenticazione di Internet Protocol security (IPSec) consentono di prevenire gli attacchi man-in-the-middle. Modalità di intestazione autenticazione esegue l'autenticazione reciproca e all'integrità dei pacchetti per il traffico IP.

    4. Motivi per disabilitare questa impostazione

      • I client che non supportano la firma LDAP non saranno in grado di eseguire le query LDAP con i controller di dominio e con i cataloghi globali se l'autenticazione NTLM viene negoziata e se nei controller di dominio di Windows 2000 non sono installati i service pack corretti.

      • Le tracce di rete del traffico LDAP tra client e server verranno crittografate. Questo rende difficile esaminare le conversazioni LDAP.

      • Server basati su Windows 2000 deve disporre di Windows 2000 Service Pack 3 (SP3) o installato quando sono amministrati con programmi che supportano la firma che LDAP vengono eseguiti dal computer client che eseguono Windows 2000 SP4, Windows XP o Windows Server 2003. Per ulteriori informazioni, fare clic sul numero riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:

        Il controller di dominio di Windows 2000 richiedono il Service Pack 3 o versione successivo per utilizzare gli strumenti di amministrazione di Windows Server 2003
         

    5. Nome simbolico:

      LDAPServerIntegrity

    6. Percorso del Registro di sistema:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

    7. Esempi di problemi di compatibilità

      • I binding semplici avranno esito negativo e viene visualizzato il seguente messaggio di errore:

        Ldap_simple_bind_s() non riuscito: necessaria autenticazione avanzata.

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Nei client che eseguono Windows 2000 SP4, Windows XP o Windows Server 2003, alcuni strumenti di amministrazione di Active Directory non funzionerà correttamente con i controller di dominio che eseguono versioni di Windows 2000 precedenti a SP3 quando NTLM viene negoziata l'autenticazione.

        Per ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:

        Il controller di dominio di Windows 2000 richiedono il Service Pack 3 o versione successivo per utilizzare gli strumenti di amministrazione di Windows Server 2003
         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Sui client che eseguono Windows 2000 SP4, Windows XP o Windows Server 2003, alcuni strumenti di amministrazione di Active Directory di destinazione sono precedenti a SP3 non funzioneranno correttamente se sono controller di dominio che eseguono versioni di Windows 2000 utilizzando indirizzi IP (ad esempio "DSA. msc /server =x.x.x. x" in
        x.x.x. x è un indirizzo IP).


        Per ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:

        Il controller di dominio di Windows 2000 richiedono il Service Pack 3 o versione successivo per utilizzare gli strumenti di amministrazione di Windows Server 2003
         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Sui client che eseguono Windows 2000 SP4, Windows XP o Windows Server 2003, alcuni strumenti di amministrazione di Active Directory destinati a controller di dominio che eseguono versioni di Windows 2000 che sono precedenti a SP3 non funzioneranno correttamente.

        Per ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:

        Il controller di dominio di Windows 2000 richiedono il Service Pack 3 o versione successivo per utilizzare gli strumenti di amministrazione di Windows Server 2003
         

  3. Membro di dominio: richiesta chiave di sessione avanzata (Windows 2000 o versione successiva)

    1. Sfondo

      • La membro di dominio: richiesta chiave di sessione avanzata (Windows 2000 o versioni successive) impostazione determina se è possibile stabilire un canale protetto con un controller di dominio che non è in grado di crittografare il traffico del canale protetto con una chiave di sessione avanzata a 128 bit. Se si abilita questa impostazione impedisce di stabilire un canale protetto con qualsiasi controller di dominio che non è in grado di crittografare i dati del canale protetto con una chiave avanzata. Disabilitando questa impostazione, le chiavi di sessione a 64 bit.

      • Prima di poter attivare questa impostazione su una workstation membro o su un server, tutti i controller di dominio a cui appartiene il membro devono poter crittografare i dati del canale protetto con una chiave avanzata a 128 bit. Ciò significa che tutti i controller di dominio eseguano Windows 2000 o versione successiva.

    2. Configurazione rischiosa

      Attivazione il membro di dominio: richiesta chiave di sessione avanzata (Windows 2000 o versioni successive) è un'impostazione di configurazione nocivi.

    3. Motivi per abilitare questa impostazione

      • Chiavi di sessione che vengono utilizzate per stabilire comunicazioni del canale protetto tra computer membri e controller di dominio sono molto più avanzate in Windows 2000 sono nelle versioni precedenti dei sistemi operativi Microsoft.

      • Quando possibile, è consigliabile avvalersi di queste chiavi di sessione più avanzate per proteggere le comunicazioni del canale protetto da intercettazioni e da attacchi di falsificazione della sessione. Intercettazione è una forma di attacco dannoso in dati di rete vengono letti o modificati in transito. I dati possono essere modificati per nascondere o cambiare il mittente o per reindirizzarli.

      Importante Un computer che esegue Windows Server 2008 R2 o Windows 7 supporta solo chiavi avanzate quando vengono utilizzati canali protetti. Questa limitazione impedisce a una relazione di trust tra un dominio basato su Windows NT 4.0 e un dominio basato su Windows Server 2008 R2. Inoltre, questa limitazione impedisce l'appartenenza al dominio di Windows NT 4.0 di computer che eseguono Windows 7 o Windows Server 2008 R2, e viceversa.

    4. Motivi per disabilitare questa impostazione

      Il dominio contiene computer membri che eseguono sistemi operativi diversi da Windows 2000, Windows XP o Windows Server 2003.

    5. Nome simbolico:

      StrongKey

    6. Percorso del Registro di sistema:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

    7. Esempi di problemi di compatibilità

      Di Windows NT 4.0: Nei computer basati su Windows NT 4.0, la reimpostazione dei canali protetti delle relazioni di trust tra Windows NT 4.0 e domini Windows 2000 con NLTEST ha esito negativo. Viene visualizzato un messaggio di errore "Accesso negato":

      La relazione di trust tra il dominio primario e il dominio trusted non è riuscita.

      Windows 7 e Server 2008 R2: Per Windows 7 e versioni successive e Windows Server 2008 R2 e versioni successive, questa impostazione non viene non rispettata più sicuro viene utilizzata sempre. Per questo motivo, i trust con i domini Windows NT 4.0 non funzionano più.

  4. Membro di dominio: aggiunta crittografia o firma digitale dati del canale protetto (sempre)

    1. Sfondo

      • Attivazione membro di dominio: aggiunta crittografia o firma digitale dati del canale protetto (sempre) impedisce di stabilire un canale protetto con qualsiasi controller di dominio che non è in grado di firmare o crittografare tutti i dati del canale protetto. Per proteggere il traffico di autenticazione da attacchi man-in-the-middle, gli attacchi di riproduzione e altri tipi di attacchi alla rete, i computer Windows creare un canale di comunicazione noto come un canale protetto tramite il servizio Accesso rete autenticare gli account computer. I canali protetti vengono utilizzati anche quando un utente in un dominio si connette a una risorsa di rete in un dominio remoto. Questa autenticazione multidominio, o l' autenticazione pass-through, consente a un computer basato su Windows che fa parte di un dominio per accedere al database degli account utente nel proprio dominio e in qualsiasi dominio trusted.

      • Per abilitare il membro di dominio: la crittografia o firma digitale ai dati del canale protetto (sempre) l'impostazione di un computer membro, tutti i controller di dominio a cui appartiene il membro devono essere in grado di firmare o crittografare tutti i dati del canale protetto. Ciò significa che tutti i controller di dominio eseguano Windows NT 4.0 con Service Pack 6a (SP6a) o versione successiva.

      • Abilitazione di membro di dominio: crittografia o firma digitale ai dati del canale protetto (sempre) impostando automaticamente consente di membro di dominio: aggiunta crittografia o firma digitale ai dati del canale protetto (quando possibile) impostazione.

    2. Configurazione rischiosa

      Attivazione della membro di dominio: la crittografia o firma digitale ai dati del canale protetto (sempre) impostazione nei domini in cui è possono firmare o crittografare i dati del canale protetto non tutti i controller di dominio è un'impostazione di configurazione pericolose.

    3. Motivi per abilitare questa impostazione

      Senza segno il traffico di rete è soggetto ad attacchi man-in-the-middle, in cui un intruso acquisisce i pacchetti tra il client e il server e quindi li modifica prima di inoltrarli al client. Quando questo comportamento si verifica su un server Lightweight Directory Access Protocol (LDAP), l'intruso potrebbe costringere un client a prendere decisioni basate su falsi record provenienti dalla directory LDAP. È possibile ridurre il rischio di un attacco in una rete aziendale implementando misure di protezione fisica per proteggere l'infrastruttura di rete. Inoltre, l'implementazione di Internet Protocol security (IPSec) modalità di intestazione autenticazione può impedire attacchi man-in-the-middle. Questa modalità consente di eseguire l'autenticazione reciproca e all'integrità dei pacchetti per il traffico IP.

    4. Motivi per disabilitare questa impostazione

      • I computer in domini locali o esterni supportano i canali protetti crittografati.

      • Non tutti i controller di dominio nel dominio sono i livelli di revisione pack servizio appropriato per supportare i canali protetti crittografati.

    5. Nome simbolico:

      StrongKey

    6. Percorso del Registro di sistema:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

    7. Esempi di problemi di compatibilità

      • Di Windows NT 4.0: Computer membri basati su Windows 2000 non sarà possibile aggiungere domini Windows NT 4.0 e verrà visualizzato il seguente messaggio di errore:

        L'account non è autorizzato per accedere da questa stazione.

        Per ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:

        Messaggio di errore : l'account non è autorizzato a connettersi da questa workstation
         

      • Di Windows NT 4.0: Domini Windows NT 4.0 non saranno in grado di stabilire un trust di livello inferiore con un dominio Windows 2000 e verranno visualizzato il seguente messaggio di errore:

        L'account non è autorizzato per accedere da questa stazione.

        Trust di livello inferiore esistenti non possono anche autenticare gli utenti dal dominio trusted. Alcuni utenti potrebbero avere problemi di accesso al dominio, e potrebbero ricevere un messaggio di errore indicante che non è possibile trovare il dominio.

      • Windows XP: I client Windows XP appartenenti a domini di Windows NT 4.0 non saranno in grado di autenticare i tentativi di accesso e che venga visualizzato il seguente messaggio di errore, o possono essere registrati i seguenti eventi nel registro eventi:

        Impossibile connettersi al dominio il controller di dominio è inattivo o in caso contrario non è disponibile o perché non è stato trovato l'account del computer

      • Rete Microsoft: I client Microsoft Network verranno visualizzato uno dei seguenti messaggi di errore:

        Errore durante l'accesso: nome utente sconosciuto o password non valida.

        Non vi è Nessuna chiave di sessione utente per la sessione di accesso specificato.

  5. Client di rete Microsoft: firma digitale alle comunicazioni (sempre)

    1. Sfondo

      Server Message Block (SMB) è il protocollo di condivisione delle risorse che è supportato da molti sistemi operativi Microsoft. È la base di network basic input/output system (NetBIOS) e di molti altri protocolli. La firma SMB autentica l'utente sia sul server che ospita i dati. Se entrambi i lati non riesce il processo di autenticazione, non si verificherà la trasmissione dei dati.

      Abilitazione della firma SMB inizia durante la negoziazione del protocollo SMB. Criteri di firma SMB determinano se il computer sempre appone una comunicazione client.

      Il protocollo di autenticazione SMB di Windows 2000 supporta l'autenticazione reciproca. L'autenticazione reciproca chiude un attacco "man-in-the-middle". Il protocollo di autenticazione SMB di Windows 2000 supporta anche l'autenticazione dei messaggi. Autenticazione dei messaggi consente di impedire attacchi con messaggi attivi. Per offrire questa autenticazione, la firma SMB inserisce una firma digitale in ogni SMB. Il client e server di verificare la firma digitale.

      Per utilizzare la firma SMB, è necessario attivare la firma SMB o richiederla sul client SMB sia il server SMB. Se la firma SMB è attivata su un server, i client che sono abilitati anche per la firma SMB utilizzano la firma dei pacchetti protocollo durante tutte le sessioni successive. Se la firma SMB è richiesta su un server, un client non può stabilire una sessione a meno che il client è abilitato o richiesto per la firma SMB.


      Abilitazione della firma digitale nelle reti ad alta protezione consente di impedire la rappresentazione di client e dei server. Questo tipo di rappresentazione è noto come dirottamento di sessione. Un utente malintenzionato ha accesso alla stessa rete del client o il server utilizza gli strumenti di falsificazione della sessione per interrompere, terminare o rubare una sessione in corso. Un utente malintenzionato potrebbe intercettare e modificare i pacchetti SMB privi di firma, modificare il traffico e quindi inoltrarlo in modo che il server possa effettuare azioni non desiderate. In alternativa, l'utente malintenzionato potrebbe comportare come server o client dopo un'autenticazione legittima e ottenere l'accesso non autorizzato ai dati.

      Il protocollo SMB utilizzato per la condivisione di file e stampanti nel computer che eseguono Windows 2000 Server, Windows 2000 Professional, Windows XP Professional o Windows Server 2003 supporta l'autenticazione reciproca. L'autenticazione reciproca chiude gli attacchi di falsificazione della sessione e autenticazione dei messaggi. Pertanto impedisce gli attacchi man-in-the-middle. La firma SMB fornisce questa autenticazione inserendo una firma digitale in ogni SMB. Il client e server, quindi verificare la firma.

      Note

      • Come una contromisura alternativa, è possibile attivare le firme digitali con IPSec per proteggere tutto il traffico di rete. Esistono acceleratori hardware per la crittografia IPSec e la firma che è possibile utilizzare per ridurre al minimo l'impatto sulle prestazioni della CPU del server. Non esistono tali acceleratori non sono disponibili per la firma SMB.

        Per ulteriori informazioni, vedere il capitolo di sul sito Web Microsoft MSDN.

        Configurare la firma SMB mediante l'Editor oggetti Criteri di gruppo di una modifica a un valore del Registro di sistema locale non ha alcun effetto se è presente un criterio di dominio esegue l'override.

      • In Windows 95, Windows 98 e Windows 98 Seconda edizione, il Client Active Directory utilizza la firma SMB se l'autenticazione con server Windows Server 2003 utilizzando l'autenticazione NTLM. Tuttavia, questi client non utilizzano la firma SMB se l'autenticazione con questi server utilizzando l'autenticazione NTLMv2. Inoltre, Windows 2000 Server non rispondono alla firma SMB inoltrate da tali client. Per ulteriori informazioni, vedere l'articolo 10: "protezione di rete: livello di autenticazione di Lan Manager."

    2. Configurazione rischiosa

      Di seguito è un'impostazione di configurazione nocivi: lasciare le di client di rete Microsoft: firma digitale alle comunicazioni (sempre) impostazione e la client di rete Microsoft: Aggiungi firma digitale alle comunicazioni (se autorizzato dal server) impostata su " Non definita"o disattivato. Queste impostazioni consentono al redirector di inviare password in testo semplice ai server SMB non Microsoft che non supportano la crittografia delle password durante l'autenticazione.

    3. Motivi per abilitare questa impostazione

      Attivazione client di rete Microsoft: firma digitale alle comunicazioni (sempre) richiede che i client firmino il traffico SMB contattando il server che non richiedono la firma SMB. In questo modo i client meno vulnerabili agli attacchi di falsificazione della sessione.

    4. Motivi per disabilitare questa impostazione

      • Attivazione client di rete Microsoft: firma digitale alle comunicazioni (sempre) impedisce ai client di comunicare con i server di destinazione che non supportano la firma SMB.

      • Configurazione dei computer per ignorare tutte le comunicazioni SMB unsigned impedisce precedenti sistemi operativi e programmi di connettersi.

    5. Nome simbolico:

      RequireSMBSignRdr

    6. Percorso del Registro di sistema:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

    7. Esempi di problemi di compatibilità

      • Di Windows NT 4.0: Non sarà possibile reimpostare il canale protetto di un trust tra un dominio di Windows Server 2003 e un dominio di Windows NT 4.0 utilizzando NLTEST o NETDOM e verrà visualizzato un messaggio di errore "Accesso negato".

      • Windows XP: Copia dei file da Windows XP client a server basati su Windows 2000 e server basati su Windows Server 2003 può richiedere più tempo.

      • Non sarà possibile eseguire il mapping di un'unità di rete da un client con questa impostazione è attivata e viene visualizzato il seguente messaggio di errore:

        L'account non è autorizzato per accedere da questa stazione.

    8. Necessità di riavvio

      Riavviare il computer, o il servizio Workstation. A tale scopo, digitare i seguenti comandi al prompt. Premere INVIO dopo ciascun comando.

      net stop workstation
      net start workstation

  6. Server di rete Microsoft: firma digitale alle comunicazioni (sempre)

    1. Sfondo

      • Server Messenger Block (SMB) è il protocollo di condivisione delle risorse che è supportato da molti sistemi operativi Microsoft. È la base di network basic input/output system (NetBIOS) e di molti altri protocolli. La firma SMB autentica l'utente sia sul server che ospita i dati. Se entrambi i lati non riesce il processo di autenticazione, non si verificherà la trasmissione dei dati.

        Abilitazione della firma SMB inizia durante la negoziazione del protocollo SMB. Criteri di firma SMB determinano se il computer sempre appone una comunicazione client.

        Il protocollo di autenticazione SMB di Windows 2000 supporta l'autenticazione reciproca. L'autenticazione reciproca chiude un attacco "man-in-the-middle". Il protocollo di autenticazione SMB di Windows 2000 supporta anche l'autenticazione dei messaggi. Autenticazione dei messaggi consente di impedire attacchi con messaggi attivi. Per offrire questa autenticazione, la firma SMB inserisce una firma digitale in ogni SMB. Il client e server di verificare la firma digitale.

        Per utilizzare la firma SMB, è necessario attivare la firma SMB o richiederla sul client SMB sia il server SMB. Se la firma SMB è attivata su un server, i client che sono abilitati anche per la firma SMB utilizzano la firma dei pacchetti protocollo durante tutte le sessioni successive. Se la firma SMB è richiesta su un server, un client non può stabilire una sessione a meno che il client è abilitato o richiesto per la firma SMB.


        Abilitazione della firma digitale nelle reti ad alta protezione consente di impedire la rappresentazione di client e dei server. Questo tipo di rappresentazione è noto come dirottamento di sessione. Un utente malintenzionato ha accesso alla stessa rete del client o il server utilizza gli strumenti di falsificazione della sessione per interrompere, terminare o rubare una sessione in corso. Un utente malintenzionato potrebbe intercettare e modificare i pacchetti di gestione della larghezza di banda di Subnet (SBM) senza segno, modificare il traffico e quindi inoltrarlo in modo che il server possa effettuare azioni non desiderate. In alternativa, l'utente malintenzionato potrebbe comportare come server o client dopo un'autenticazione legittima e ottenere l'accesso non autorizzato ai dati.

        Il protocollo SMB utilizzato per la condivisione di file e stampanti nel computer che eseguono Windows 2000 Server, Windows 2000 Professional, Windows XP Professional o Windows Server 2003 supporta l'autenticazione reciproca. L'autenticazione reciproca chiude gli attacchi di falsificazione della sessione e autenticazione dei messaggi. Pertanto impedisce gli attacchi man-in-the-middle. La firma SMB fornisce questa autenticazione inserendo una firma digitale in ogni SMB. Il client e server, quindi verificare la firma.

      • Come una contromisura alternativa, è possibile attivare le firme digitali con IPSec per proteggere tutto il traffico di rete. Esistono acceleratori hardware per la crittografia IPSec e la firma che è possibile utilizzare per ridurre al minimo l'impatto sulle prestazioni della CPU del server. Non esistono tali acceleratori non sono disponibili per la firma SMB.

      • In Windows 95, Windows 98 e Windows 98 Seconda edizione, il Client Active Directory utilizza la firma SMB se l'autenticazione con server Windows Server 2003 utilizzando l'autenticazione NTLM. Tuttavia, questi client non utilizzano la firma SMB se l'autenticazione con questi server utilizzando l'autenticazione NTLMv2. Inoltre, Windows 2000 Server non rispondono alla firma SMB inoltrate da tali client. Per ulteriori informazioni, vedere l'articolo 10: "protezione di rete: livello di autenticazione di Lan Manager."

    2. Configurazione rischiosa

      Di seguito è un'impostazione di configurazione nocivi: abilitazione di server di rete Microsoft: firma digitale alle comunicazioni (sempre) su server e controller di dominio utilizzati da computer basati su Windows incompatibili e di terze parti computer client basato su sistema operativo in domini locali o esterni.

    3. Motivi per abilitare questa impostazione

      • Tutti i computer client che attiva l'impostazione direttamente tramite il Registro di sistema o tramite l'impostazione di criteri di gruppo supportano la firma SMB. In altre parole, tutti i computer client che dispongono di questa impostazione è abilitata eseguono Windows 95 con il client DS installato, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional o Windows Server 2003.

      • Se server di rete Microsoft: firma digitale alle comunicazioni (sempre) è disattivato, la firma SMB è completamente disabilitata. Disattivare completamente SMB tutti la firma, il computer è più vulnerabile agli attacchi di falsificazione della sessione.

    4. Motivi per disabilitare questa impostazione

      • Se si abilita questa impostazione può causare prestazioni di rete e copia file ridotte sul client computer.

      • Se si abilita questa impostazione impedirà client che non può negoziare la firma SMB da comunicare con i server e i controller di dominio. Ciò comporta l'esecuzione di operazioni quali unioni di domini, autenticazione di utenti e computer o accesso alla rete da programmi di.

    5. Nome simbolico:

      RequireSMBSignServer

    6. Percorso del Registro di sistema:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

    7. Esempi di problemi di compatibilità

      • Windows 95: I client Windows 95 che non è installato il Client DS (Directory Services) autenticazione di accesso avrà esito negativo e verranno visualizzato il seguente messaggio di errore:

        La password di dominio fornita non è corretta o è stato negato l'accesso al server.

        Per ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:

        Messaggio di errore quando i client Windows 95 o Windows NT 4.0 accede a un dominio di Windows Server 2003
         

      • Di Windows NT 4.0: I computer client che eseguono versioni di Windows NT 4.0 che sono precedenti al Service Pack 3 (SP3), autenticazione di accesso avrà esito negativo e verrà visualizzato il seguente messaggio di errore:

        Il sistema non può connetterti. Assicurarsi che il proprio nome utente e il dominio siano corretti, quindi digitare nuovamente la password.

        Durante l'autenticazione, alcuni server SMB non Microsoft supportano solo gli scambi di password non crittografata. (Questi scambi noto anche come scambi di "testo normale".) Per Windows NT 4.0 SP3 e versioni successive, il redirector SMB non invia una password non crittografata durante l'autenticazione a un server SMB se non si aggiunge una voce del Registro di sistema.
        Per abilitare le password non crittografate per i client SMB in Windows NT 4.0 SP 3 e sistemi più recenti, modificare il Registro di sistema come segue: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters

        Nome valore: EnablePlainTextPassword

        Tipo di dati: REG_DWORD

        Dati: 1


        Per ulteriori informazioni sugli argomenti correlati, fare clic sul numero riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base riportato di seguito:

        Messaggio di errore : errore di sistema 1240. L'account non è autorizzato a connettersi da questa workstation.

      • Windows Server 2003: Per impostazione predefinita, le impostazioni di protezione controller di dominio che eseguono Windows Server 2003 sono configurate per evitare comunicazioni dei controller di dominio vengano intercettate o alterate da utenti malintenzionati. Per gli utenti di comunicare con un controller di dominio che esegue Windows Server 2003, è necessario utilizzare computer client sia la firma SMB e la crittografia o la firma del traffico del canale protetto. Per impostazione predefinita, i client che eseguono Windows NT 4.0 con Service Pack 2 (SP2) o una versione precedente e i client che eseguono Windows 95 non è la firma dei pacchetti SMB è attivata. Di conseguenza, questi client potrebbero risultare per l'autenticazione a un controller di dominio basato su Windows Server 2003.

      • Le impostazioni dei criteri di Windows 2000 e Windows Server 2003: Seconda delle esigenze specifiche di installazione e configurazione, si consiglia di impostare le seguenti impostazioni dei criteri sull'entità più bassa dell'ambito necessario nella gerarchia di snap-in Criteri di gruppo di Microsoft Management Console:

        • Opzioni di Windows\Impostazioni protezione Configurazione computer

        • Invia password non crittografata per la connessione a server SMB di terze parti (impostazione valida per Windows 2000)

        • Client di rete Microsoft: invia password non crittografata a server SMB di terze parti (impostazione valida per Windows Server 2003)


        Nota: In alcuni server CIFS di terzi, ad esempio versioni Samba meno recenti, è possibile utilizzare le password crittografate.

      • Non sono compatibili con i seguenti client di server di rete Microsoft: firma digitale alle comunicazioni (sempre) impostazione:

        • Client di Mac OS X di Apple Computer, Inc.,

        • Client di rete Microsoft MS-DOS (ad esempio Microsoft LAN Manager)

        • Microsoft Windows per Workgroup

        • Client di Microsoft Windows 95 senza Client DS installato

        • Computer basati su Windows NT 4.0 senza SP3 o versione successiva installato Microsoft

        • Client Novell Netware 6 CIFS

        • Client SAMBA SMB che non dispongono di supporto per la firma SMB

    8. Necessità di riavvio

      Riavviare il computer o riavviare il servizio Server. A tale scopo, digitare i seguenti comandi al prompt. Premere INVIO dopo ciascun comando.

      net stop server
      net start server

  7. Accesso di rete: Consenti conversione anonima SID/nome

    1. Sfondo

      Il accesso di rete: Consenti conversione anonima SID/nome impostazione di protezione determina se un utente anonimo può richiedere gli attributi di numero di identificazione di protezione (SID) per un altro utente.

    2. Configurazione rischiosa

      Attivazione della accesso di rete: Consenti conversione anonima SID/nome è un'impostazione di configurazione nocivi.

    3. Motivi per abilitare questa impostazione

      Se il accesso di rete: Consenti conversione anonima SID/nome l'impostazione è disattivati, precedenti sistemi operativi o applicazioni potrebbero non essere possibile comunicare con i domini di Windows Server 2003. Ad esempio, i seguenti sistemi operativi, servizi o applicazioni non funzionino:

      • Windows NT Server 4.0 basato su servizio di accesso remoto

      • Microsoft SQL Server in esecuzione sul computer Windows NT 3. x o di computer basati su Windows NT 4.0

      • Servizio di accesso remoto in esecuzione su computer basati su Windows 2000 che si trovano nei domini di Windows NT 3. x o Windows NT 4.0

      • SQL Server in esecuzione su computer basati su Windows 2000 che si trovano in domini di Windows NT 3. x o in domini Windows NT 4.0

      • Utenti nel dominio di risorse Windows NT 4.0 che desidera concedere le autorizzazioni per accedere a file, cartelle condivise e oggetti del Registro di sistema per gli account utente da domini di account contenenti controller di dominio Windows Server 2003

    4. Motivi per disabilitare questa impostazione

      Se questa impostazione è attivata, un utente malintenzionato potrebbe utilizzare il SID degli amministratori conosciuto per ottenere il nome reale dell'account Administrator incorporato, anche se l'account è stato rinominato. Tale persona potrebbe quindi utilizzare il nome dell'account per avviare un attacco di indovinare la password.

    5. Nome simbolico: N/D

    6. Percorso del Registro di sistema: Nessuno. Il percorso specificato nel codice dell'interfaccia utente.

    7. Esempi di problemi di compatibilità

      Di Windows NT 4.0: In Windows NT 4.0 i domini di risorse verranno visualizzato il messaggio di errore "Account sconosciuto" nell'Editor ACL se le risorse, inclusi gli oggetti del Registro di sistema, cartelle condivise e file condivisi sono protette con identità di protezione che si trovano in computer account domini contiene il controller di dominio di Windows Server 2003.

  8. Accesso di rete: non consentire l'enumerazione anonima di SAM account

    1. Sfondo

      • Il accesso alla rete: non consentire l'enumerazione anonima di SAM account impostazione determina le autorizzazioni aggiuntive concesse per le connessioni anonime al computer. Windows consente agli utenti anonimi di effettuare determinate attività, ad esempio l'enumerazione dei nomi di server e workstation account Gestione account di protezione (SAM) e delle condivisioni di rete. Ad esempio, un amministratore può utilizzare questo per concedere l'accesso agli utenti in un dominio trusted che non mantiene una relazione di trust reciproca. Una volta effettuata una sessione, un utente anonimo potrebbe avere lo stesso accesso concesso a Everyone gruppo in base all'impostazione nel accesso alla rete: applicano autorizzazioni account Everyone agli utenti anonimi impostazione o un elenco di controllo di accesso discrezionale (DACL) del l'oggetto.

        In genere, le connessioni anonime sono richiesti dalle versioni precedenti di client (client di livello inferiore) durante l'installazione della sessione SMB. In questi casi, una traccia di rete indica che l'ID di processo SMB (PID) il redirector del client, ad esempio 0xFEFF per Windows 2000 o 0xCAFE per Windows NT. RPC può inoltre effettuare le connessioni anonime.

      • Importante Questa impostazione non influisce sui controller di dominio. Nei controller di dominio, questo comportamento è controllato dalla presenza di "NT AUTHORITY\ANONYMOUS accesso" in "Pre-Windows 2000 compatible Access".

      • In Windows 2000, il valore del Registro di sistema RestrictAnonymous gestisce l'impostazione analoga Restrizioni addizionali per connessioni anonime . Il percorso di questo valore è la seguente

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA Per ulteriori informazioni sul valore del Registro di sistema RestrictAnonymous, fare clic sui numeri per visualizzare gli articoli della Microsoft Knowledge Base riportato di seguito:

        come utilizzare il valore del Registro di sistema RestrictAnonymous in Windows 2000
         

        limitazione delle informazioni disponibili per gli utenti anonimi
         

    2. Configurazioni rischiose

      Attivazione della accesso alla rete: non consentire l'enumerazione anonima di SAM account è un'impostazione di configurazione nocivi da una prospettiva di compatibilità. La sua disabilitazione è un'impostazione di configurazione nocivi dal punto di vista della protezione.

    3. Motivi per abilitare questa impostazione

      Un utente non autorizzato potrebbe elencare in modo anonimo i nomi account e quindi utilizzare le informazioni per cercare di indovinare le password o per eseguire altri attacchi. Ingegneria sociale è gergo che significa indurre gli utenti a rivelare le password o altre informazioni di sicurezza.

    4. Motivi per disabilitare questa impostazione

      Se questa impostazione è attivata, non è possibile stabilire relazioni di trust con i domini Windows NT 4.0. Questa impostazione, anche i problemi con i client di livello inferiore (ad esempio i client Windows NT 3.51 e Windows 95) che sta tentando di utilizzare le risorse sul server.

    5. Nome simbolico:


      RestrictAnonymousSAM

    6. Percorso del Registro di sistema:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

    7. Esempi di problemi di compatibilità

    • SMS Network Discovery non sarà possibile ottenere informazioni sul sistema operativo e verrà scritto "Sconosciuto" nella proprietà OperatingSystemNameandVersion.

    • Windows 95, Windows 98: I client Windows 95 e Windows 98 non sarà possibile modificare le proprie password.

    • Di Windows NT 4.0: Non sarà possibile autenticare computer membri basati su 4.0 di Windows NT.

    • Windows 95, Windows 98: Computer basati su Windows 98 e Windows 95 non sarà possibile essere autenticato dal controller di dominio di Microsoft.

    • Windows 95, Windows 98: Gli utenti dei computer basati su Windows 98 e Windows 95 non sarà possibile modificare le password degli account utente.

  9. Accesso di rete: non consentire l'enumerazione anonima di SAM account e condivisioni

    1. Sfondo

      • Il accesso alla rete: non consentire l'enumerazione anonima di SAM account e condivisioni (anche noto come RestrictAnonymous) determina se è consentita l'enumerazione anonima di account Gestione account di protezione (SAM) e condivisioni. Windows consente agli utenti anonimi di effettuare determinate attività, ad esempio l'enumerazione dei nomi degli account di dominio (utenti, computer e gruppi) e delle condivisioni di rete. Ciò risulta utile, ad esempio, quando un amministratore desidera concedere l'accesso agli utenti in un dominio trusted che non mantiene una relazione di trust reciproca. Se non si desidera consentire l'enumerazione anonima degli account SAM e condivisioni, attivare questa impostazione.

      • In Windows 2000, il valore del Registro di sistema RestrictAnonymous gestisce l'impostazione analoga Restrizioni addizionali per connessioni anonime . Il percorso di questo valore è la seguente:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

    2. Configurazione rischiosa

      Attivazione della accesso alla rete: non consentire l'enumerazione anonima di SAM account e condivisioni è un'impostazione di configurazione nocivi.

    3. Motivi per abilitare questa impostazione

      • Attivazione della accesso alla rete: non consentire l'enumerazione anonima di SAM account e condivisioni impostazione impedisce l'enumerazione di account SAM e condivisioni da utenti e computer che utilizzano account anonimi.

    4. Motivi per disabilitare questa impostazione

      • Se questa impostazione è attivata, un utente non autorizzato potrebbe elencare in modo anonimo i nomi account e quindi utilizzare le informazioni per cercare di indovinare le password o per effettuare attacchi di ingegneria sociale . Ingegneria sociale è gergo che significa indurre gli utenti a rivelare la propria password o altre informazioni di sicurezza.

      • Se questa impostazione è attivata, non sarà possibile stabilire i trust con i domini Windows NT 4.0. Questa impostazione provocherà inoltre dei problemi con i client di livello inferiore, come i client Windows NT 3.51 e Windows 95 che sta tentando di utilizzare le risorse sul server.

      • Non sarà possibile concedere l'accesso agli utenti di domini di risorse perché gli amministratori del dominio trusting non saranno in grado di enumerare gli elenchi di account in altro dominio. Gli utenti che accedono in modo anonimo file e i server di stampa non sarà possibile elencare le risorse di rete condivise su tali server. Gli utenti devono autenticarsi prima di visualizzare gli elenchi delle cartelle e stampanti condivise.

    5. Nome simbolico:

      RestrictAnonymous

    6. Percorso del Registro di sistema:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

    7. Esempi di problemi di compatibilità

      • Di Windows NT 4.0: Gli utenti non sarà possibile modificare le password dalle workstation Windows NT 4.0 quando RestrictAnonymous è abilitato nei controller di dominio nel dominio degli utenti.

      • Di Windows NT 4.0: Aggiunta di utenti o gruppi globali da domini Windows 2000 trusted a gruppi locali di Windows NT 4.0 in User Manager avrà esito negativo e verrà visualizzato il seguente messaggio di errore:

        Attualmente non sono presenti server di accesso disponibile per soddisfare la richiesta di accesso.

      • Di Windows NT 4.0: Windows NT 4.0 i computer non sarà possibile aggiungere domini durante l'installazione oppure utilizzando l'interfaccia utente.

      • Di Windows NT 4.0: Stabilire un trust di livello inferiore con domini di risorse Windows NT 4.0 non riuscirà. Quando RestrictAnonymous è abilitato nel dominio trusted, verrà visualizzato il seguente messaggio di errore:

        Impossibile trovare il controller di dominio per questo dominio.

      • Di Windows NT 4.0: Gli utenti che accedono al computer basato su Windows NT 4.0 Terminal Server verranno eseguito il mapping alla directory principale predefinita anziché la home directory definita in User Manager per domini.

      • Di Windows NT 4.0: I controller di dominio di backup (BDC) di Windows NT 4.0 non sarà possibile avviare il servizio Accesso rete, ottenere un elenco di browser di backup o sincronizzare il database SAM di Windows 2000 o dai controller di dominio Windows Server 2003 nello stesso dominio.

      • Windows 2000: Computer membri basati su Windows 2000 in Windows NT 4.0 domini non sarà possibile visualizzare le stampanti nei domini esterni se è attivata l'impostazione non consentire l'accesso senza autorizzazioni anonime esplicite nel criterio di protezione locale del computer client.

      • Windows 2000: Gli utenti del dominio di Windows 2000 non sarà possibile aggiungere stampanti di rete da Active Directory. Tuttavia, sarà aggiunta di stampanti dopo selezionarli dalla visualizzazione struttura.

      • Windows 2000: Nei computer basati su Windows 2000, l'Editor ACL non sarà possibile aggiungere utenti o gruppi globali da domini Windows NT 4.0 trusted.

      • ADMT versione 2: Migrazione delle password degli account utente migrati tra insiemi di strutture con Active Directory Migration Tool (ADMT) versione 2 avrà esito negativo.

        Per ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:

        Come risolvere i problemi di migrazione delle password tra insiemi di strutture diversi con ADMTv2

      • Client di outlook: L'elenco indirizzi globale apparirà vuoto ai client Outlook di Microsoft Exchange.

        Per ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:

        Prestazioni di SMB quando si copiano file da Windows XP a un controller di dominio Windows 2000

      • SMS: Microsoft Systems Management Server (SMS) Network Discovery non sarà possibile ottenere informazioni sul sistema operativo. Di conseguenza, verrà scritto "Sconosciuto" nella proprietà OperatingSystemNameandVersion della proprietà DDR SMS del record di dati di rilevamento (DDR).

      • SMS: Quando si utilizza SMS Administrator User Wizard per cercare utenti e gruppi, utenti o i gruppi verranno elencati. Inoltre, i client avanzati non possono comunicare con il punto di gestione. È necessario l'accesso anonimo al Management Point.

      • SMS: Quando si utilizza la funzionalità di individuazione della rete in SMS 2.0 e Remote Client Installation con l'opzione di individuazione rete topologia, client e sistemi operativi client attivata, i computer possono essere individuati, ma potrebbero non essere installati.

  10. Protezione di rete: livello di autenticazione di Lan Manager

    1. Sfondo

      Autenticazione di LAN Manager (LM) è il protocollo utilizzato per autenticare i client Windows per le operazioni di rete, incluse le unioni di domini, accesso alle risorse di rete e l'autenticazione utente o computer. Il livello di autenticazione LM determina quale protocollo di autenticazione challenge/response viene negoziato tra il computer client e il server. In particolare, il livello di autenticazione LM determina quali protocolli di autenticazione che il client tenterà di negoziare oppure che il server accetterà. Il valore impostato per LmCompatibilityLevel determina quale protocollo di autenticazione challenge/response viene utilizzato per gli accessi alla rete. Questo valore influenza il livello di protocollo di autenticazione utilizzato dai client, il livello di protezione della sessione negoziato e il livello di autenticazione accettato dai server.

      Di seguito sono elencate le possibili impostazioni.

      Valore

      Impostazione

      Descrizione

      0

      Invia risposte LM e NTLM

      I client utilizzano l'autenticazione LM e NTLM e non utilizzano mai la protezione di sessione NTLMv2. Controller di dominio accettano l'autenticazione LM, NTLM e NTLMv2.

      1

      Invia LM e NTLM - utilizza la protezione sessione NTLMv2 se negoziata

      I client utilizzano l'autenticazione LM e NTLM e utilizzano la protezione di sessione NTLMv2 se supportata dal server. Controller di dominio accettano l'autenticazione LM, NTLM e NTLMv2.

      2

      Invia solo risposta NTLM

      I client utilizzano solo l'autenticazione NTLM e utilizzano la protezione di sessione NTLMv2 se supportata dal server. Controller di dominio accettano l'autenticazione LM, NTLM e NTLMv2.

      3

      Invia solo risposta NTLMv2

      I client utilizzano solo l'autenticazione NTLMv2 e utilizzano la protezione di sessione NTLMv2 se supportata dal server. Controller di dominio accettano l'autenticazione LM, NTLM e NTLMv2.

      4

      Invia solo risposta NTLMv2 / Rifiuta LM

      I client utilizzano solo l'autenticazione NTLMv2 e utilizzano la protezione di sessione NTLMv2 se supportata dal server. Controller di dominio rifiutano LM e accettano solo l'autenticazione NTLM e NTLMv2.

      5

      Invia solo risposta NTLMv2 / Rifiuta LM e NTLM

      I client utilizzano solo l'autenticazione NTLMv2 e utilizzano la protezione di sessione NTLMv2 se supportata dal server. Controller di dominio rifiutano LM e NTLM e accettano solo l'autenticazione NTLMv2.

      Nota: In Windows 95, Windows 98 e Windows 98 Seconda edizione, il Client Active Directory utilizza la firma SMB se l'autenticazione con server Windows Server 2003 utilizzando l'autenticazione NTLM. Tuttavia, questi client non utilizzano la firma SMB se l'autenticazione con questi server utilizzando l'autenticazione NTLMv2. Inoltre, Windows 2000 Server non rispondono alla firma SMB inoltrate da tali client.

      Controlla il livello di autenticazione LM: È necessario modificare i criteri sul server per consentire NTLM oppure è necessario configurare il computer client per supportare NTLMv2.

      Se il criterio è impostato su (5) Invia NTLMv2 risposta NTLMv2\Rifiuta LM e NTLM nel computer di destinazione che si desidera connettersi, è necessario diminuire l'impostazione del computer oppure impostare la protezione per la stessa impostazione presente nel computer di origine che si sta conn ecting da.

      Individuare il percorso corretto in cui è possibile modificare di LAN manager di livello di autenticazione per impostare il client e il server allo stesso livello. Dopo aver trovato il criterio di impostazione livello di autenticazione di LAN manager se si desidera connettersi da e verso computer che eseguono versioni precedenti di Windows, diminuire il valore di almeno (1) Invia LM e NTLM - utilizza NTLM versione 2 la protezione di sessione se negoziazione di. Un effetto delle impostazioni non compatibili è che se il server richiede NTLMv2 (valore 5), ma il client è configurato per utilizzare l'autenticazione LM e NTLMv1 solo (valore 0), l'utente che tenta l'autenticazione si verifica un errore di accesso che dispone di una password errata e che incrementa sincera conteggio delle password. Se blocco account è configurato, l'utente è possibile che venga bloccato.

      Ad esempio, potrebbe essere necessario cercare sul controller di dominio oppure potrebbe essere necessario esaminare i criteri del controller di dominio.

      Cerca sul controller di dominio

      Nota: Potrebbe essere necessario ripetere la procedura seguente su tutti i controller di dominio.

      1. Fare clic su Start, scegliere programmie quindi fare clic su Strumenti di amministrazione.

      2. In Impostazioni protezione locale, espandere Criteri locali.

      3. Fare clic su Opzioni di protezione.

      4. Fare doppio clic su la protezione di rete: livello di autenticazione di LAN manager, quindi fare clic su un valore nell'elenco.


      Se l'impostazione effettiva e l'impostazione locale sono uguali, il criterio è stato modificato a questo livello. Se le impostazioni sono diverse, è necessario controllare i criteri del controller di dominio per determinare se il la protezione di rete: livello di autenticazione di LAN manager impostazione è definita. Se non vi è definito, esaminare i criteri del controller di dominio.

      Esaminare criteri del controller di dominio

      1. Fare clic su Start, scegliere programmie quindi fare clic su Strumenti di amministrazione.

      2. Nei criteri di Protezione Controller di dominio , espandere Impostazioni di protezionee quindi espandere Criteri locali.

      3. Fare clic su Opzioni di protezione.

      4. Fare doppio clic su la protezione di rete: livello di autenticazione di LAN manager, quindi fare clic su un valore nell'elenco.


      Note

      • Inoltre è necessario verificare i criteri collegati al livello di sito, il livello di dominio o unità organizzativa di livello (OU) per determinare dove è necessario configurare il livello di autenticazione di LAN manager.

      • Se si implementa un'impostazione di criteri di gruppo come criterio di dominio predefinito, il criterio viene applicato a tutti i computer del dominio.

      • Se si implementa un'impostazione di criteri di gruppo come criterio del controller di dominio predefinito, il criterio si applica solo ai server nell'unità Organizzativa del controller di dominio.

      • È consigliabile impostare il livello di autenticazione di LAN manager sull'entità più bassa dell'ambito necessario nella gerarchia di applicazione di criteri.

      Windows Server 2003 dispone di una nuova impostazione predefinita da utilizzare solo NTLMv2. Per impostazione predefinita, Windows Server 2003 e controller di dominio basato su Windows 2000 Server SP3 è stato attivato il "server di rete Microsoft: firma digitale alle comunicazioni (sempre)" dei criteri. Questa impostazione richiede al server SMB di firmare il pacchetto SMB. Poiché i controller di dominio, file server, server di infrastruttura di rete e server Web in qualsiasi organizzazione richiedono impostazioni diverse ottimizzare la sicurezza, sono state apportate modifiche a Windows Server 2003.

      Se si desidera implementare l'autenticazione NTLMv2 nella rete, è necessario assicurarsi che tutti i computer nel dominio sono configurati per utilizzare questo livello di autenticazione. Se si applica Active Directory Client Extensions per Windows 95 o Windows 98 e Windows NT 4.0, le estensioni del client utilizzare le funzionalità di autenticazione avanzate disponibili in NTLMv2. Poiché i computer client che eseguono i seguenti sistemi operativi non sono interessati da oggetti Criteri di gruppo di Windows 2000, potrebbe essere necessario configurare manualmente questi client:

      • Microsoft Windows NT 4.0

      • Microsoft Windows Millennium Edition

      • Microsoft Windows 98

      • Microsoft Windows 95

      Nota: Se si attiva la protezione di rete: non memorizzare il valore hash di LAN manager al prossimo cambio di password criteri o impostare la chiave del Registro di sistema NoLMHash , client basati su Windows 98 e Windows 95 che non hanno installato il Client servizio Directory non può accedere al dominio dopo la modifica della password.

      Molti server CIFS di terzi, ad esempio Novell Netware 6, non sono consapevoli di NTLMv2 e utilizzano solo NTLM. Pertanto, livelli maggiori di 2 non consentono la connettività. Esistono anche client SMB di terze parti che non utilizzano la protezione di sessione estesa. In questi casi, il LmCompatiblityLevel del server di risorse non viene preso in considerazione. Il server quindi Pack questa richiesta legacy e la invia al Controller di dominio utente. Le impostazioni del Controller di dominio quindi decidere quali gli hash vengono utilizzati per verificare la richiesta e se questi sono conformi a requisiti di protezione del Controller di dominio.

      Per ulteriori informazioni su come configurare manualmente il livello di autenticazione di LAN manager, fare clic sui numeri per visualizzare gli articoli della Microsoft Knowledge Base riportato di seguito:

      come disabilitare l'autenticazione LM in Windows NT
       

      Come impedire a Windows di archiviare un hash di LAN manager della password in Active Directory e database SAM locali
       

      in outlook vengono ripetutamente richieste le credenziali di accesso
       

      Evento di controllo appare pacchetto di autenticazione NTLMv1 anziché NTLMv2 Per ulteriori informazioni sui livelli di autenticazione LM, fare clic sul numero riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base riportato di seguito:

      come abilitare l'autenticazione NTLM 2
       

    2. Configurazioni rischiose

      Le impostazioni di configurazione dannosi sono i seguenti:

      • Impostazioni non restrittive che invia le password in testo non crittografato e di negare la negoziazione NTLMv2

      • Impostazioni restrittive che impediscono di controller di dominio o di client non compatibili di negoziare un protocollo di autenticazione comune

      • Richiesta dell'autenticazione NTLMv2 su computer membri e controller di dominio che eseguono versioni di Windows NT 4.0 precedenti al Service Pack 4 (SP4)

      • Richiesta dell'autenticazione NTLMv2 nei client Windows 95 o sui client Windows 98 che non hanno installato Windows Directory Services Client.

      • Se si fa clic per selezionare la casella di controllo Richiedi protezione sessione NTLMv2 nello snap-in Editor criteri di gruppo di Microsoft Management Console in un computer basato su Windows 2000 Service Pack 3 o il Windows Server 2003 e si riduce il livello di autenticazione di LAN manager su 0, il conflitto di due impostazioni e potrebbe essere visualizzato il seguente messaggio di errore nel file secpol. msc o il file Gpedit. msc:

        Impossibile aprire il database dei criteri locali. Si è verificato un errore sconosciuto durante il tentativo di aprire il database.

        Per ulteriori informazioni sulla configurazione di protezione e strumento di analisi, vedere Windows 2000 o i file della Guida di Windows Server 2003.

    3. Motivi per modificare questa impostazione

      • Si desidera aumentare il protocollo di autenticazione comune più basso supportato dai client e controller di dominio nell'organizzazione.

      • Se l'autenticazione protetta è un requisito aziendale, che si desidera disattivare la negoziazione dei protocolli NTLM e LM.

    4. Motivi per disabilitare questa impostazione

      Requisiti di autenticazione server o client o entrambi, sono stati aumentati al punto in cui non si verifica l'autenticazione tramite un protocollo comune.

    5. Nome simbolico:

      LmCompatibilityLevel

    6. Percorso del Registro di sistema:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. Esempi di problemi di compatibilità

      • Windows Server 2003: Per impostazione predefinita di Windows Server 2003 NTLMv2 impostazione invia risposte NTLM è attivata. Di conseguenza, Windows Server 2003 riceve il messaggio di errore "Accesso negato" dopo l'installazione iniziale quando si tenta di connettersi a un cluster basato su Windows NT 4.0 o ai server basati su LanManager v 2.1, come OS/2 Lanserver. Questo problema si verifica anche se si tenta di connettersi da un client di versioni precedenti a un server basato su Windows Server 2003.

      • Installare Windows 2000 Security Rollup Package 1 (SRP1). SRP1 impone NTLM versione 2 (NTLMv2). Questo pacchetto cumulativo è stato rilasciato dopo il rilascio di Windows 2000 Service Pack 2 (SP2). Per ulteriori informazioni su SRP1, fare clic sul numero riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base riportato di seguito:

        Windows 2000 Security Rollup Package 1, gennaio 2002
         

      • Windows 7 e Windows Server 2008 R2: molti server CIFS di terzi, come server Novell Netware 6 o Samba basati su Linux, non sono consapevoli di NTLMv2 e utilizzano solo NTLM. Pertanto, livelli maggiori di "2" non consentono la connettività. Ora in questa versione del sistema operativo, il valore predefinito di LmCompatibilityLevel è stato modificato in "3". Pertanto quando si esegue l'aggiornamento di Windows, questi filer di terze parti potrebbe smettere di funzionare.

      • I client Microsoft Outlook potrebbero essere richiesto per le credenziali anche se è già connessi al dominio. Quando gli utenti forniscono le credenziali, ricevono il seguente messaggio di errore: Windows 7 e Windows Server 2008 R2

        Credenziali di accesso non sono corrette. Assicurarsi che il nome utente e il dominio siano corretti, quindi digitare nuovamente la password.

        Quando si avvia Outlook, potrebbe richieste le credenziali anche se le impostazioni di protezione di accesso rete sono impostata su Passthrough o autenticazione tramite Password. Dopo aver digitato le credenziali corrette, è che venga visualizzato il seguente messaggio di errore:

        Credenziali di accesso non sono corrette.

        Una traccia di Network Monitor potrebbe mostrare che il catalogo globale ha emesso un errore di chiamata (RPC) di procedura remota con lo stato 0x5. Lo stato 0x5 significa "Accesso negato".

      • Windows 2000: Un'acquisizione di Network Monitor venga visualizzati i seguenti messaggi di errore NetBIOS sulla sessione di TCP/IP (NetBT) server messaggio block (SMB):

        SMB R ricerca Directory Dos error, identificatore di utente non valido (91) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (5)

      • Windows 2000: Se un dominio di Windows 2000 con NTLMv2 livello 2 o versioni successive è ritenuto attendibile da un dominio Windows NT 4.0, il computer membro basato su Windows 2000 nel dominio di risorse potrebbe verificarsi errori di autenticazione.

      • Windows 2000 e Windows XP: Per impostazione predefinita, Windows 2000 e Windows XP impostare l'opzione di LAN Manager autenticazione livello criteri di protezione locali su 0. Il valore 0 significa "Invia LM e NTLM risposte".

        Nota: Windows NT 4.0 basato su cluster devono utilizzare LM per l'amministrazione.

      • Windows 2000: Il clustering di Windows 2000 non autentica un nodo di unione se entrambi i nodi fanno parte di un Windows NT 4.0 Service Pack 6a (SP6a) dominio.

      • IIS Lockdown Tool (HiSecWeb) imposta il valore LMCompatibilityLevel su 5 e il valore RestrictAnonymous su 2.

      • Servizi per Macintosh

        Modulo autenticazione utenti (UAM): Microsoft UAM (modulo di autenticazione utente) fornisce un metodo di crittografia delle password che consente di accedere ai server Windows AFP (AppleTalk Filing Protocol). Il modulo di autenticazione utente Apple (UAM) fornisce solo minima o Nessuna crittografia. Di conseguenza, la password potrebbe essere facilmente intercettata sulla LAN o su Internet. Sebbene il UAM non sia necessario, un'autenticazione crittografata al server di Windows 2000 che esegue servizi per Macintosh. Questa versione include il supporto per autenticazione crittografata NTLMv2 128-bit e una versione di MacOS X 10.1 compatibile.

        Per impostazione predefinita, i servizi di Windows Server 2003 per Macintosh consente solo Microsoft Authentication.


        Per ulteriori informazioni, fare clic sui numeri per visualizzare gli articoli della Microsoft Knowledge Base:

        client Macintosh non possono connettersi ai servizi per Mac su Windows Server 2003

      • Windows Server 2008, Windows Server 2003, Windows XP e Windows 2000: Se si configura il valore LMCompatibilityLevel su 0 o 1 e quindi configurare il valore NoLMHash su 1, applicazioni e componenti potrebbero essere negati l'accesso tramite NTLM. Questo problema si verifica perché il computer è configurato per l'abilitazione di LM ma di non utilizzare password memorizzate LM.

        Se si configura il valore NoLMHash su 1, è necessario configurare il valore LMCompatibilityLevel almeno su 2 o versione successiva.

  11. Protezione di rete: requisiti di la firma client LDAP

    1. Sfondo

      La protezione di rete: requisiti di la firma client LDAP impostazione determina il livello di firma dei dati che è richiesto per conto dei client che emettono BIND Lightweight Directory Access Protocol (LDAP) richiede come segue:

      • Nessuno: richiesta di binding LDAP del viene emessa con le opzioni specificate dal chiamante.

      • Negozia firma: se il Secure Sockets Layer/Transport Layer Security (SSL/TLS) non è stato avviato, la richiesta di binding LDAP viene iniziata con dati LDAP opzione inoltre impostare le opzioni specificate dal chiamante per la firma. Se SSL/TLS è stato avviato, la richiesta di binding LDAP viene iniziata con le opzioni specificate dal chiamante.

      • Richiedi firma: questo è lo stesso di negoziare la firma digitale. Tuttavia, se la risposta intermedia saslBindInProgress del server LDAP non indica che è necessaria la firma del traffico LDAP, il chiamante verrà comunicato che la richiesta del comando binding LDAP non riuscita.

    2. Configurazione rischiosa

      Attivazione di protezione di rete: requisiti di la firma client LDAP è un'impostazione di configurazione nocivi. Se si imposta il server per richiedere firme LDAP, è necessario configurare anche la firma LDAP sui client. Non configurando il client per l'utilizzo di firme LDAP impedisce la comunicazione con il server. In questo modo l'autenticazione utente, criteri di gruppo impostazioni, gli script di accesso e altre funzionalità di.

    3. Motivi per modificare questa impostazione

      Senza segno il traffico di rete è soggetto ad attacchi man-in-the-middle, dove un intruso acquisisce i pacchetti tra il client e il server, li modifica e quindi li inoltra al server. Quando ciò si verifica su un server LDAP, un utente malintenzionato un server di rispondere in base alle query false del client LDAP. È possibile ridurre questo rischio in una rete aziendale implementando misure di protezione fisica per proteggere l'infrastruttura di rete. Inoltre, è possibile impedire tutti i tipi di attacchi man-in-the-middle richiedendo le firme digitali in tutti i pacchetti di rete tramite le intestazioni di autenticazione IPSec.

    4. Nome simbolico:

      LDAPClientIntegrity

    5. Percorso del Registro di sistema:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

  12. Registro eventi: Dimensione massima registro protezione

    1. Sfondo

      Il del registro eventi: dimensione massima registro protezione impostazione di protezione specifica la dimensione massima del registro eventi di protezione. Questo registro ha una dimensione massima di 4 GB. Per individuare questa impostazione, espandere
      Impostazioni di Windows, quindi espandere Impostazioni di protezione.

    2. Configurazioni rischiose

      Le impostazioni di configurazione dannosi sono i seguenti:

      • Limitare la dimensione del Registro di protezione e il metodo di conservazione del Registro di protezione quando il controllo: arresto del sistema immediato se non è possibile registrare i controlli di protezione è abilitata. Vedere il "controllo: arresto del sistema immediato se non è possibile registrare i controlli di protezione" sezione di questo articolo per ulteriori dettagli.

      • Limitare la dimensione del Registro di protezione in modo da sovrascrivere gli eventi di protezione degli interessi.

    3. Motivi per aumentare questa impostazione

      Requisiti aziendali e di protezione potrebbero indurre ad aumentare la dimensione del Registro di protezione per gestire i dettagli di log di protezione aggiuntive o per conservare i registri di protezione per un periodo di tempo più lungo.

    4. Motivi per ridurre questa impostazione

      Registri del Visualizzatore eventi sono file mappati in memoria. La dimensione massima del log eventi è vincolata dalla quantità di memoria fisica del computer locale e dalla memoria virtuale disponibile per il processo di log eventi. Aumentare la dimensione del registro oltre la quantità di memoria virtuale disponibile per il Visualizzatore eventi non aumenta il numero di voci di registro che vengono gestiti.

    5. Esempi di problemi di compatibilità

      Windows 2000: I computer che eseguono versioni di Windows 2000 che sono precedenti al Service Pack 4 (SP4) potrebbero smettere di registrare gli eventi nel registro eventi prima di raggiungere la dimensione specificata la dimensione massima registro nel Visualizzatore eventi se il non sovrascrivere eventi (pulizia manuale del registro) opzione è attivata.


      Per ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:

      registro eventi di interruzione della registrazione di eventi prima di raggiungere la dimensione massima del Registro
       

  13. Registro eventi: Gestione registro protezione per

    1. Sfondo

      Il del registro eventi: gestione registro protezione per impostazione di protezione determina il metodo di "wrapping" del Registro di protezione. Per individuare questa impostazione, espandere Impostazioni di Windowse quindi espandere Impostazioni di protezione.

    2. Configurazioni rischiose

      Le impostazioni di configurazione dannosi sono i seguenti:

      • Impossibilità di conservare tutti registrati gli eventi di protezione prima che vengano sovrascritti

      • Configurare la dimensione massima registro protezione impostazione troppo piccolo in modo da sovrascrivere gli eventi di protezione

      • Limitando il registro dimensioni e conservazione metodo di protezione durante il controllo: arresto del sistema immediato se non è possibile registrare i controlli di protezione è attivata l'impostazione di protezione

    3. Motivi per abilitare questa impostazione

      Attivare questa impostazione solo se si seleziona il metodo di conservazione Sovrascrivi eventi ogni giorno . Se si utilizza un sistema che esegue il polling degli eventi, assicurarsi che il numero di giorni è almeno tre volte la frequenza di polling. Utilizzare questa opzione per consentire i cicli di polling non riuscita.

  14. Accesso di rete: Consenti accesso libero agli utenti anonimi

    1. Sfondo

      Per impostazione predefinita, il accesso alla rete: applicano autorizzazioni account Everyone agli utenti anonimi è impostata su Non definita in Windows Server 2003. Per impostazione predefinita, Windows Server 2003 non include il token di accesso anonimo in Everyone gruppo.

    2. Esempio di problemi di compatibilità

      Il seguente valore di

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous[REG_DWORD] = 0x0 interrompe la creazione di trust tra Windows Server 2003 e Windows NT 4.0, quando il dominio di Windows Server 2003 è il dominio di account e dominio di Windows NT 4.0 è il dominio di risorse. Ciò significa che il dominio dell'account è Trusted in Windows NT 4.0 e il dominio di risorse sarà di tipo Trusting sul lato Windows Server 2003. Questo comportamento è dovuto al fatto che il processo venga avviato il trust dopo la connessione anonima iniziale ACL sarebbe con il token Everyone, che include il SID anonimo in Windows NT 4.0.

    3. Motivi per modificare questa impostazione

      Il valore deve essere impostato su 0x1 o utilizzando un oggetto Criteri di gruppo in unità Organizzativa del controller di dominio a: accesso alla rete: applicano autorizzazioni account Everyone agli utenti anonimi - abilitati per rendere possibile la creazione di trust.

      Nota: Molte altre impostazioni di protezione salire valore invece di riduzione a 0x0, allo stato più protetto. Una pratica più sicura, è possibile modificare il Registro di sistema sull'emulatore controller primario di dominio invece che su tutti i controller di dominio. Se il ruolo di emulatore del controller primario di dominio viene spostato per qualsiasi motivo, è necessario aggiornare il Registro di sistema sul nuovo server.

      Dopo aver impostato questo valore, è necessario un riavvio.

    4. Percorso del Registro di sistema

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

  15. Autenticazione NTLMv2

    1. Protezione di sessione

      Protezione sessione determina gli standard minimi di protezione per le sessioni client e server. È buona norma verificare le seguenti impostazioni di criteri di protezione nello snap-in Criteri di gruppo di Microsoft Management Console:

      • Protezione\Windows di Windows\Impostazioni protezione\Criteri Locali\opzioni di protezione

      • Protezione di rete: Basato su protezione sessione minima per NTLM SSP (incluso RPC protetto) Server

      • Protezione di rete: Basato su protezione sessione minima per NTLM SSP (incluso RPC protetto) client

      Le opzioni per queste impostazioni sono come segue:

      • Richiedi integrità messaggio

      • Richiedi riservatezza messaggio

      • NTLM versione 2 richiedono la protezione di sessione

      • Richiedi crittografia a 128 bit

      L'impostazione predefinita precedenti a Windows 7 non è Nessun requisito. A partire da Windows 7, modificata l'impostazione predefinita per richiedere la crittografia a 128 per migliorare la protezione. Con questa impostazione predefinita, i dispositivi legacy che non supportano la crittografia a 128 bit in grado di connettersi.

      Questi criteri determinano gli standard minimi di protezione per una sessione di comunicazione per applicazioni su un server per un client.

      Si noti che sebbene descritto come le impostazioni valide, i flag per richiedere la riservatezza e integrità dei messaggi non vengono utilizzati quando si determina la protezione di sessione NTLM.

      Storicamente, in Windows NT supportava le due varianti autenticazione in attesa/risposta per gli accessi alla rete:

      • In attesa/risposta LM

      • Attesa/risposta NTLM versione 1

      LM consente l'interoperabilità con la base installata di client e server. NTLM fornisce maggiore protezione per le connessioni tra client e server.

      Le chiavi del Registro di sistema sono i seguenti:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

    2. Configurazioni rischiose

      Questa impostazione controlla la modalità di gestione delle sessioni di rete protette tramite NTLM. Questo problema riguarda le sessioni basate su RPC autenticate con NTLM, ad esempio. Sono disponibili i seguenti rischi:

      • Utilizzo di metodi di autenticazione meno recenti rispetto a quelli NTLMv2 semplifica la comunicazione agli attacchi per i metodi più semplici di hash utilizzati.

      • Utilizzando le chiavi di crittografia inferiore a 128 bit consente a utenti malintenzionati di interrompere la comunicazione tramite attacchi brute-force.

Sincronizzazione dell'ora

Sincronizzazione non riuscita. Il tempo è scaduto da più di 30 minuti su un computer interessato. Assicurarsi che l'orologio del computer client sia sincronizzato con l'orologio del controller di dominio.

Soluzione alternativa per la firma SMB

Si consiglia di installare il Service Pack 6a (SP6a) sui client Windows NT 4.0 che interagiscono con un dominio basato su Windows Server 2003. Client basati su Windows 98 Seconda edizione, client basati su Windows 98 e client basati su Windows 95 è necessario eseguire il Client di servizi di Directory per l'esecuzione di NTLMv2. Se i client basati su Windows NT 4.0 non è installato Windows NT 4.0 SP6 o se i client basati su Windows 95, client basati su Windows 98 e Windows 98SE basato su client non è installato, il Client di servizi Directory disattivare SMB la firma nel dominio predefinito impostazione del controller di dominio del criterio del controller dell'unità Organizzativa e quindi collegare il criterio a tutte le unità organizzative che ospitano i controller di dominio.

La Directory Services Client per Windows 98 Seconda edizione, Windows 98 e Windows 95 verrà eseguita la firma SMB con i server Windows 2003 utilizzando l'autenticazione NTLM, ma non quella NTLMv2. Inoltre, Windows 2000 Server non risponderà alle richieste di firma SMB da tali client.

Sebbene sia consigliabile, è possibile impedire la firma SMB venga richiesta su tutti i controller di dominio che eseguono Windows Server 2003 in un dominio. Per configurare questa impostazione di protezione, attenersi alla seguente procedura:

  1. Aprire il criterio del controller di dominio predefinito.

  2. Aprire la cartella Configurazione computer\Impostazioni di Windows\Impostazioni protezione\Criteri Locali\opzioni di protezione .

  3. Individuare e selezionare il server di rete Microsoft: firma digitale alle comunicazioni (sempre) impostazione dei criteri e quindi fare clic su disattivato.

Importante Questa sezione, metodo o attività contiene passaggi su come modificare il Registro di sistema. Tuttavia, una modifica errata del registro di sistema potrebbe causare gravi problemi. Pertanto, assicurarsi di seguire attentamente i passaggi. Per maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Cosicché sia possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:

come eseguire il backup e ripristinare il Registro di sistema WindowsIn alternativa, si consiglia di disattivare la firma SMB nei server modificando il Registro di sistema. A tale scopo, attenersi alla seguente procedura:

  1. Fare clic su Start, scegliere Esegui, digitare regedit e quindi fare clic su OK.

  2. Individuare e fare clic sulla seguente sottochiave:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

  3. Selezionare la voce enablesecuritysignature .

  4. Dal menu Modifica, fare clic su Modifica.

  5. Nella casella dati valore digitare 0e quindi fare clic su OK.

  6. Uscire dall'Editor del Registro di sistema.

  7. Riavviare il computer, oppure interrompere e riavviare il servizio Server. A tale scopo, digitare i comandi seguenti al prompt dei comandi e premere INVIO dopo ciascun comando:
    net stop server
    net start server

Nota: La chiave corrispondente nel computer client è nella seguente sottochiave del Registro di sistema:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\ParametersDi seguito sono elencati i numeri di codice di errore tradotto ai codici di stato e per i messaggi di errore precedentemente menzionati:

Errore 5
ERROR_ACCESS_DENIED

Accesso negato.

Errore 1326

ERROR_LOGON_FAILURE

Errore durante l'accesso: nome utente sconosciuto o password non valida.

Errore 1788

ERROR_TRUSTED_DOMAIN_FAILURE

La relazione di trust tra il dominio primario e il dominio trusted non è riuscita.

Errore 1789

ERROR_TRUSTED_RELATIONSHIP_FAILURE

La relazione di trust tra questa workstation e il dominio primario non è riuscita.

Per ulteriori informazioni, fare clic sui numeri per visualizzare gli articoli della Microsoft Knowledge Base:

come configurare criteri di gruppo per impostare la protezione per servizi di sistema in Windows Server 2003
 

come abilitare la firma SMB in Windows NT
 

come applicare i modelli di protezione predefiniti in Windows Server 2003
 

è necessario fornire le credenziali dell'account di Windows quando ci si connette a Exchange Server 2003 utilizzando Outlook 2003 RPC su HTTP

Serve aiuto?

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa a Microsoft Insider

Queste informazioni sono risultate utili?

Grazie per il feedback!

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×