現在オフラインです。再接続するためにインターネットの接続を待っています

セキュリティ設定およびユーザー権利の割り当てを変更する場合は、クライアント、サービス、およびプログラムの問題が発生する可能性

Windows XP のサポートは終了しました

マイクロソフトでは、2014 年 4 月 8 日に Windows XP のサポートを終了しました。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:823659
スモール ビジネスのお客様の場合は、追加のトラブルシューティング ラーニング リソースを検索します。 スモール ビジネス向けのサポート サイトです。
概要
ローカル ポリシーおよびグループ ポリシーがドメイン コント ローラーとメンバー コンピューターのセキュリティ強化を支援するには、セキュリティ設定およびユーザー権利の割り当てを変更できます。ただし、セキュリティ強化のマイナス面は、非互換性の導入に伴い、クライアント、サービス、およびプログラムです。

ここは固有のセキュリティ設定およびユーザー権利の割り当てでは、Windows Server 2003 ドメインまたはそれ以前の Windows Server ドメインを変更する場合は、Windows XP、または以前のバージョンの Windows を実行しているクライアント コンピューター上に発生することができます互換性の問題を説明します。

Windows 7、Windows Server 2008 R2 および Windows Server 2008 におけるグループ ポリシーの詳細については、次の資料を参照してください。注: この資料の残りのコンテンツは、Windows XP、Windows Server 2003、および Windows の以前のバージョンに固有です。

Windows XP の場合

Windows XP に固有の情報を表示するのには、ここをクリックします。
セキュリティが正しく構成されていない設定の意識を高めるには、セキュリティの設定を変更するのには、グループ ポリシー オブジェクト エディター ツールを使用します。グループ ポリシー オブジェクト エディターを使用すると、ユーザー権利の割り当ては、次のオペレーティング システムで拡張されています。
  • Windows XP サービス パック 2 (SP2)
  • Windows Server 2003 Service Pack 1 (SP1)
拡張機能は、この記事へのリンクが含まれているダイアログ ボックスです。ダイアログ ボックスには、セキュリティの設定を変更した場合、またはユーザー権利の割り当てには以下の互換性を提供しより制限の厳しい設定が表示されます。同じセキュリティ設定またはユーザー権利の割り当てをレジストリまたはセキュリティ テンプレートを使用して直接変更した場合、効果では、グループ ポリシー オブジェクト エディターの設定を変更することと同じです。ただし、この記事へのリンクを含む、ダイアログ ボックスは表示されません。

クライアント、プログラム、および特定のセキュリティ設定またはユーザー権利の割り当てによって影響を受ける操作の例を掲載しています。ただし、例のすべての Microsoft オペレーティング システム、すべてのサード パーティ製オペレーティング システム、または影響を受けるプログラム バージョンをすべてないです。この資料では、すべてのセキュリティ設定およびユーザー権利の割り当てに含まれます。

それらを運用環境に導入する前にすべてのセキュリティ関連の構成変更をテスト用のフォレストで互換性を検証することをお勧めします。テスト、実作業のフォレスト以下の方法で同じする必要があります。
  • クライアントおよびサーバーのオペレーティング システム バージョン、クライアントおよびサーバーのプログラム、service pack のバージョン、修正プログラム、スキーマの変更、セキュリティグループ、グループ メンバーシップ、共有、ファイル ・ システム内のオブジェクトに対するアクセス許可フォルダー、レジストリ、Active Directory ディレクトリ サービス、ローカルおよびグループポリシーの設定およびオブジェクト カウントの型および場所
  • 実行される、管理用の管理タスク使用するツールおよびオペレーティング システムを実行するために使用管理タスク
  • 操作を実行、次のよう:
    • コンピューターとユーザーのログオン認証
    • ユーザー、コンピューター、および管理者のパスワードのリセット
    • 参照
    • ファイル システムのアクセス許可を設定するをフォルダー、レジストリ、および Active Directory リソースに対して ACL エディターを使用して、すべてのアカウントまたはリソース ドメインからすべてのクライアント オペレーティング システムのすべてのアカウントまたはリソース ドメイン内のすべてのクライアント オペレーティング システムで共有
    • 管理者と管理者以外のアカウントからの印刷

Windows Server 2003 SP1

Windows Server SP1 に固有の情報を表示するのには、ここをクリックします。

Gpedit.msc で警告

顧客のユーザー権限を編集しているまたは悪影響を与える可能性がありますセキュリティ オプションは、ネットワークに影響を与えることに注意してくださいするのには、次の 2 つの警告メカニズムが gpedit.msc に追加されました。管理者は、全体の企業に悪影響を与えることができますは、ユーザー権利を編集すると、徐行を表す標識に似た新しいアイコンが表示されます。また、Microsoft とおりへのリンクがあるという警告メッセージが表示されます。このメッセージのテキストは次のとおりです。
この設定を変更するクライアント、サービス、およびアプリケーションとの互換性に影響を与える可能性があります。詳細については、 <user right="" or="" security="" option="" being="" modified="">(Q823659)</user>を参照してください。
このサポート技術情報」資料に Gpedit.msc のリンクから来た場合は、読み取りし、記載されている説明とこの設定を変更する可能性のある影響を理解することを確認します。警告のテキストを含むユーザーの権限を次に示します。
  • ネットワーク経由でコンピューターへアクセスします。
  • ローカルでログオンしてください。
  • 走査チェックをバイパスします。
  • コンピューターおよびユーザー委任時の信頼を有効にします。
セキュリティの警告とポップアップ メッセージがオプションを次に示します。
  • ドメイン メンバー: デジタル暗号化やセキュリティで保護されたチャネル データを常に署名
  • ドメイン メンバー: 強力な (Windows 2000 かそれ以降のバージョン) が必要なセッション ・ キー
  • ドメイン コント ローラー: LDAP サーバーが署名の要件
  • Microsoft ネットワーク サーバー: 常に通信に署名
  • ネットワーク アクセス: 匿名の Sid ができますと名前の変換
  • ネットワーク アクセス: 匿名の列挙 SAM のアカウントと共有をできません。
  • ネットワーク セキュリティ: LAN Manager 認証レベル
  • 監査: セキュリティ監査のログを記録できない場合システムをシャット ダウンします。
  • ネットワーク アクセス: 必須の署名 LDAP クライアント
詳細
Windows NT 4.0 ドメイン、Windows 2000 ドメイン、および Windows Server 2003 ドメイン内の特定の設定を変更する場合に発生する互換性の問題について説明します。

ユーザーの権利

ユーザーの権利についての情報を表示するのには、ここをクリックします。
次の一覧ユーザー権利について説明し、問題を引き起こす可能性のある構成設定を識別する、ユーザー権利を適用する必要がありますなぜ、理由、ユーザー権利を削除する必要があり、ユーザー権限が構成されている場合に発生する互換性の問題の例を示しますを示します。
  1. ネットワーク経由でコンピューターへアクセスします。
    1. バック グラウンド

      リモートの Windows ベースのコンピューターとの対話には、ネットワーク経由でコンピューターへアクセス] ユーザー権利が必要です。このようなネットワーク ・ オペレーションの例を次に示します。
      • 共通のドメインまたはフォレスト内のドメイン コント ローラー間の Active Directory のレプリケーション
      • ユーザーおよびコンピューターからの認証要求をドメイン コント ローラー
      • 共有フォルダー、プリンター、およびネットワーク上のリモート コンピューター上にある他のシステム サービスへのアクセス


      ユーザー、コンピューター、およびサービス アカウントを取得または、ネットワーク経由でコンピューターへアクセス] ユーザー権利が明示的または暗黙的に追加またはこのユーザーの権利が与えられているセキュリティ グループからの削除が失われます。ユーザー アカウントまたはコンピューター アカウントされるカスタム セキュリティ グループまたはビルトイン セキュリティ グループを管理者が明示的に追加可能性がありますなどの暗黙的にはオペレーティング システムによって計算されたセキュリティ グループ Domain Users、Authenticated Users、エンタープライズ ドメイン コント ローラーなどに追加できます。

      既定では、ネットワーク経由でコンピューターへアクセスユーザーのユーザー アカウントとコンピューター アカウントが与えられます右の計算グループはすべての人か、可能であれば、認証済みのユーザーなど、エンタープライズ ドメイン コントローラ グループは、ドメイン コント ローラーの既定ドメイン コント ローラー グループ ポリシー オブジェクト (GPO) を定義するとします。
    2. 危険な設定

      有害な構成設定を次に示します。
      • エンタープライズ ドメイン コント ローラーのセキュリティを削除します。グループからこのユーザーの権利
      • Authenticated Users グループを削除するか、ユーザー、コンピューター、およびサービス アカウントをユーザーが明示的なグループ右は、ネットワーク経由でコンピューターに接続するのには
      • すべてのユーザーとコンピューターからユーザーを削除します。右
    3. このユーザー権利を付与する理由
      • エンタープライズ ドメイン コントローラ グループは、ネットワーク経由でコンピューターへアクセスユーザー権利を付与すると、Active Directory のレプリケーションに必要の認証要件を同じフォレスト内のドメイン コント ローラー間にレプリケーションを満たしています。
      • このユーザー権利をユーザーとコンピューターをことができます。共有ファイル、プリンター、およびシステム サービスをアクティブにアクセスします。ディレクトリです。
      • このユーザー権利はユーザーのアクセスが必要です。以前のバージョンの Microsoft Outlook Web Access (OWA) を使用してメールを。
    4. このユーザー権利を削除する理由
      • 自分のコンピューターに接続できるユーザーはネットワークにはアクセス許可があること、リモート コンピューター上のリソースにアクセスできます。用します。たとえば、このユーザーの権利が共有に接続するユーザーには不要です。プリンターとフォルダーします。このユーザー権利をすべてのユーザーに許可されている場合グループファイル システムのアクセス許可のといくつかの共有フォルダーに共有と NTFS の両方があるかどうか同じグループに対する読み取りアクセス権を持っているように構成されて、誰でもファイルを表示できます。これらの共有フォルダー。しかし、これはめったに新規でください。Windows Server 2003 のためのデフォルトの共有と NTFSWindows Server 2003 のアクセス許可では Everyone グループは使用できません。をMicrosoft Windows NT 4.0 または Windows 2000 からアップグレードしたシステムこれ既定値を共有するための脆弱性は、高レベルのリスクが、これらのオペレーティング システムのファイル システムのアクセス権と同じレベルで制限されません。Windows Server 2003 の既定のアクセス許可。
      • 企業を削除する正当な理由がないです。ドメイン コント ローラーのグループからこのユーザーの権利。
      • Everyone グループは、通常の優先が削除されます。認証されたユーザー グループです。Everyone グループが削除された場合は、認証されたユーザー グループこのユーザーの権利を与える必要があります。
      • Windows 2000 にアップグレードする Windows NT 4.0 ドメインに明示的にネットワーク経由でコンピューターへアクセスユーザー右、Everyone グループ、Authenticated Users グループ、またはエンタープライズ ドメイン コントローラ グループに与えないようにします。したがってを削除すると、Everyone グループから Windows NT 4.0 ドメインのポリシー、Windows 2000 へのアップグレード後 Active Directory による複製は、「アクセス拒否」のエラー メッセージが失敗します。Windows Server 2003 Winnt32.exe この構成が正しくない Windows NT 4.0 のプライマリ ドメイン コント ローラー (Pdc) をアップグレードする場合は、エンタープライズのドメイン コント ローラー グループのこのユーザーの権利を付与することによって回避できます。エンタープライズ ドメイン コントローラ グループはこのユーザーがグループ ポリシー オブジェクト エディターに存在しない場合は、権限を付与します。
    5. 互換性の問題の例
      • Windows 2000 および Windows Server 2003:次のパーティションのレプリケーション ツールなどは、REPLMON、REPADMIN またはレプリケーションのイベント ログのイベントを監視することによって報告された「アクセス拒否」エラーが発生が失敗します。
        • Active Directory スキーマ パーティション
        • 構成パーティション
        • ドメイン パーティション
        • グローバル カタログのパーティション
        • アプリケーション パーティション
      • すべてのマイクロソフト ネットワーク オペレーティング システム:リモート ネットワークのクライアント コンピューターからのユーザー アカウントの認証は、ユーザーまたはセキュリティ グループにユーザーがのメンバーで、このユーザー権利を付与されていない場合に失敗します。
      • すべてのマイクロソフト ネットワーク オペレーティング システム:アカウントまたはセキュリティ グループ アカウントのメンバーでこのユーザー権利が付与されていない場合、リモート ネットワーク クライアントからのアカウント認証は失敗します。このシナリオでは、ユーザー アカウント、コンピューター アカウント、およびサービス アカウントに適用されます。
      • すべてのマイクロソフト ネットワーク オペレーティング システム:このユーザー権利からすべてのアカウントを削除するすべてのアカウント ドメインへのログオンまたはネットワーク リソースにアクセスできなくなります。か、または認証されたユーザーが削除され、エンタープライズ ドメイン コント ローラーなどのグループを計算する場合にアカウント、またはネットワーク経由でリモート コンピューターにアクセスするのには、アカウントのメンバーでのセキュリティ グループにこのユーザーの権利を明示的に付与する必要があります。このシナリオでは、すべてのユーザー アカウント、コンピューターのすべてのアカウントおよびサービス アカウントをすべて適用されます。
      • すべてのマイクロソフト ネットワーク オペレーティング システム:ローカルの管理者アカウントに「空白」のパスワードを使用します。空のパスワードでのネットワーク接続は、管理者のアカウントは、ドメイン環境で許可されていません。この構成では、「アクセスが拒否されました」エラー メッセージが表示されることができます。
  2. ローカル ログオンの許可します。
    1. バック グラウンド

      (ctrl キー + ALT キーを押しながら DEL キーボード ショートカットを使用して) Windows ベースのコンピューターのコンソールにログオンしようとしているユーザーとサービスを開始しようとしているアカウントをホストしているコンピューターにローカル ログオンの特権必要があります。ローカル ログオン操作の例としてには、権限のないアカウントを使用して自分のデスクトップにアクセスするのには、メンバー コンピューターにログオンしているコンピューターまたはエンタープライズおよびドメイン ユーザー全体のドメイン コント ローラーのコンソールにログオンしている管理者が含まれます。ユーザーがリモート デスクトップ接続またはターミナル サービスを使用して Windows 2000 を実行しているセットアップ先コンピューターに権限、ローカル ログオンを許可するユーザー必要があります。または Windows XPこれらのログオン モードが、ホストしているコンピューターにローカルと見なされるためです。ユーザーユーザーは、ターミナル サーバーが有効になっているし、実行しない、サーバーにログオンしています。このユーザーの権利は開始対話型のセッションをリモートでは、Windows することができますがあります。Server 2003 のドメインをターミナル サービスを通したログオンを許可する] ユーザー権利がある場合。
    2. 危険な設定

      有害な構成設定を次に示します。
      • Account Operators、Backup Operators、Print Operators またはサーバー オペレーターの管理セキュリティ グループ、およびビルトインの Administrators グループから既定のドメイン コント ローラーのポリシーを削除します。
      • コンポーネントやメンバー コンピューター上およびドメイン コント ローラー、既定のドメイン コント ローラーのポリシーは、ドメインでプログラムによって使用されるサービス アカウントを削除します。
      • ユーザーまたはログオンするセキュリティ グループを削除します。ドメイン内のメンバー コンピューターのコンソール。
      • ローカル セキュリティ アカウント マネージャー (SAM) データベースのメンバー コンピューターまたはワークグループ コンピューターで定義されているサービス アカウントを削除します。
      • ドメイン コント ローラーで実行しているターミナル サービスで認証を受ける非組み込みの管理者アカウントを削除します。
      • ドメイン内のすべてのユーザー アカウントを明示的に追加または暗黙的に、すべてのユーザーをログオンを拒否するローカルログオンの権利をグループ化します。ログからこの構成できないようにします。すべてのメンバー コンピューターにログオンまたはドメインのドメイン コント ローラーにします。
    3. このユーザー権利を付与する理由
      • ユーザーは、コンソールまたはワークグループのデスクトップにアクセスするのには、ローカル ログオンを許可するユーザー権利が必要コンピューター、メンバー コンピューターまたはドメイン コント ローラー。
      • ユーザーが Window 2000 ベースのメンバー コンピューターまたはドメイン コント ローラーで実行されているターミナル サービス セッション経由でログオン時にこのユーザー権利が必要です。
    4. このユーザー権利を削除する理由
      • エラーをコンソールへのアクセスを正規のものに制限するのにはダウンロードして実行する権限のないユーザーのユーザー アカウントが生じる可能性があります。悪質なコードを使用して、ユーザーの権限を変更します。
      • ローカル ログオンを許可する] ユーザー権利の削除を許可されていないログオンを防止します。ドメイン コント ローラーやアプリケーション サーバーなどのコンピューター。
      • このログオン権利を削除ドメインを防止します。メンバー コンピューターのコンソールにログオン アカウント、ドメイン。
    5. 互換性の問題の例
      • Windows 2000 ターミナル サーバー:ローカル ログオンを許可する] ユーザー権利を Windows 2000 にログオンすることが必要です。ターミナル サーバー。
      • Windows NT 4.0、Windows 2000、Windows XP、または Windows Server 2003:ユーザー アカウントの Windows NT 4.0、Windows 2000、Windows XP、または Windows Server 2003 を実行しているコンピューターのコンソールにログオンするのにはこのユーザーの権利を与える必要があります。
      • Windows NT 4.0 およびそれ以降:コンピューターで Windows NT 4.0 を実行して、ユーザーのログオンを許可する権利は、暗黙的または明示的に追加する場合はその後もローカルでログオンを拒否するログオン権限が与え、アカウントにログオンすることができません、ドメイン コント ローラーのコンソール。
  3. 走査チェックをバイパスします。
    1. バック グラウンド

      Ntfs フォルダーを参照するのには、ユーザーに"走査チェックのバイパス"のユーザー権利を許可します。システム ファイルまたはフォルダーのスキャンの特殊なアクセス許可を確認せず、レジストリにします。フォルダーの内容を一覧表示するのには、ユーザーに"走査チェックのバイパス"のユーザー権利ができません。それは、そのフォルダーをスキャンできます。
    2. 危険な設定

      有害な構成設定を次に示します。
      • Windows 2000 ベースのターミナル サービスのコンピューターやファイルおよびフォルダーをファイル システムにアクセスする権限がない Windows Server 2003 ベースのターミナル サービス コンピューターにログオンする管理者以外のアカウントを削除します。
      • Everyone グループを削除する、既定でこのユーザーを持つセキュリティ プリンシパルの一覧から。Windows オペレーティング システム、および多くのプログラムは、すべてのユーザーがコンピューターにアクセスすることができます合法的に"走査チェックのバイパス"のユーザー権利を持つことを前提に設計されています。したがって、Everyone 削除デフォルトでこのユーザー権利を持つセキュリティ プリンシパルの一覧からグループにオペレーティング システムが不安定になる、またはプログラム エラー発生可能性があります。お勧めこの設定は、既定のままにします。
    3. このユーザー権利を付与する理由

      "走査チェックのバイパス"のユーザー権利を既定の設定は、走査チェックをバイパスすることを許可することです。をWindows システム管理者は、発生これは正常な動作ですし、ファイル システムのアクセス制御リスト (Sacl) を構成します。のみ不手際を既定の構成があります潜在顧客シナリオだ場合は、アクセス許可を設定する管理者が動作を理解しませんし、親フォルダーにアクセスできないユーザーにアクセスできなくなりますを期待します。すべての子フォルダーの内容。
    4. このユーザー権利を削除する理由

      ファイル システム内のファイルまたはフォルダーにアクセスを防止するのには、セキュリティについて非常に懸念している組織または Users グループに"スキャン チェックのバイパス"のユーザー権利を持つグループの一覧から Everyone グループを削除たくなることがあります。
    5. 互換性の問題の例
      • Windows 2000、Windows Server 2003:場合は、"走査チェックのバイパス"のユーザー権利が削除されるかのコンピューターで正しく構成されていません。Windows 2000 または Windows Server 2003 のグループ ポリシー設定で、SYVOL を実行しています。フォルダーがドメイン内のドメイン コント ローラー間でレプリケートされません。
      • Windows 2000、Windows XP Professional、Windows Server 2003:Windows 2000、Windows XP Professional、または Windows Server 2003 を実行しているコンピューターは 1000年および 1202年イベントがログに記録され、使用しない走査チェック ユーザーの権利が削除されますが誤って構成されている場合、必要なファイル システムのアクセス許可から SYSVOL ツリーを削除すると、コンピューター ポリシーとユーザー ポリシーを適用することはできません。

        詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
        290647イベント ID 1000 および 1001年が 5 分おきにアプリケーション イベント ログ記録されます。
      • Windows 2000、Windows Server 2003:Windows 2000 または Windows Server を実行しているコンピューターで2003 年、 クォータ エクスプ ローラー] タブが表示されない場合ボリュームのプロパティを表示します。
      • Windows 2000:管理者以外のユーザーが Windows 2000 ターミナル サーバーにログオン ユーザー次のエラー メッセージが表示されることがあります。
        Userinit.exeアプリケーション エラーが発生します。アプリケーションを 0xc0000142 正しく初期化に失敗しましたアプリケーションを終了するのには、[ok] をクリックします。
        詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
        272142ユーザーがターミナル サービスにログオンしようとすると自動的にログオフされます。
      • Windows NT 4.0、Windows 2000、Windows XP、Windows Server 2003:コンピューターが Windows NT 4.0、Windows 2000、Windows XP、または Windows Server 2003 を実行しているユーザーは、共有フォルダーまたは共有フォルダー上のファイルにアクセスすることができませんされ、[走査チェックのバイパス] ユーザー権利を付与されていない場合、「アクセス拒否」のエラー メッセージが表示されます可能性があります。

        詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
        277644ユーザーが共有フォルダーにアクセスしようとすると「アクセスが拒否されました」のエラー メッセージ
      • Windows NT 4.0:Windows NT 4.0 ベースのコンピューターでは、"走査チェックのバイパス"のユーザー権利の削除ファイルのストリームを削除するのには、ファイルのコピーが発生します。場合は、や、Windows クライアントからファイルをコピーするときにこのユーザーの権利を削除します。Macintosh クライアントは、サービスを実行している Windows NT 4.0 ドメイン コント ローラーにMacintosh の場合、コピー先のファイル ストリームは失われます、ファイルとして表示されます、テキスト専用のファイルです。

        詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
        172930「走査チェックのバイパス」のストリームを削除するのには、ファイルのコピーが発生します。
      • Microsoft Windows 95、Microsoft Windows 98:Windows 95 または Windows 98 を実行しているクライアント コンピューターで、 net use * ホーム コマンドは、"アクセスが失敗しますAuthenticated Users グループがない場合拒否」のエラー メッセージは、[走査チェックのバイパス] ユーザー権利を付与しました。
      • Outlook Web アクセス:管理者以外のユーザーは Microsoft Outlook Web Access にログオンすることはできませんされ、[走査チェックのバイパス] ユーザー権利を付与されていない場合は、「アクセス拒否」のエラー メッセージが表示されます。

セキュリティの設定

セキュリティの設定に関する情報を表示するのには、ここをクリックします。
セキュリティの設定を以下に示し、ネストされたリスト、セキュリティの設定の詳細について説明、問題が発生する可能性があります、セキュリティの設定を適用する必要があります理由について説明する構成設定を指定、セキュリティの設定を削除するのにはすることがあります理由について説明します。入れ子になったリストは、セキュリティ設定とセキュリティの設定のレジストリ パスのシンボリック名前を提供します。最後に、例として、セキュリティ設定が構成されている場合に発生する互換性の問題を提供されています。
  1. 監査: セキュリティ監査のログを記録できない場合システムをシャット ダウンします。
    1. バック グラウンド
      • 監査: セキュリティ監査のログを記録できない場合システムをシャット ダウンセキュリティ イベントを記録できない場合に、システムをシャット ダウンするかどうかを設定します。この設定は、信頼されたコンピューターのセキュリティの評価基準 (TCSEC) プログラムの C2 評価と監査システム イベント ログに記録することはできない場合は、監査可能なイベントを防ぐためには、情報技術セキュリティ評価の共通基準が必要です。監査システムに障害が発生した場合は、システムがシャット ダウンされ、Stop エラー メッセージが表示されます。
      • コンピューターにイベントを記録できない場合は、セキュリティ ログ、重大な証拠や重要なトラブルシューティング情報があります。セキュリティ インシデントの後確認のためにできません。
    2. 危険な設定

      次の危険な設定です。監査: セキュリティ監査のログを記録できない場合システムをシャット ダウンの設定をオンにし、 (手動でログを消去) イベントを上書きしないオプションで、[必要に応じてイベントを上書きする] オプションをセキュリティ イベント ログのサイズが制限されますまたは、 古いイベントを上書きします。 番号 イベント ビューアーでオプションです。「例の互換性を参照してください。問題」セクションで、コンピューターの特定のリスクについてWindows 2000 は、Windows 2000 サービスの元のリリース バージョン実行しています。1 (SP1)、Windows 2000 SP2、または Windows 2000 SP3 をパックします。
    3. この設定を有効にする理由

      コンピューターのセキュリティ ログにイベントを記録できない場合は、重大な証拠や重要なトラブルシューティング情報は、セキュリティ インシデント発生後確認のためできない場合があります。
    4. この設定を無効にする理由
      • 有効にすると、の監査: セキュリティ監査のログを記録できない場合システムをシャット ダウン設定は、セキュリティ監査を記録できない場合にシステムを停止何かの理由。通常、セキュリティ監査のログをするとイベントが記録されることはできません。完全とは、指定した保存方法が(手動でログを消去) イベントを上書きしないオプションまたは、 古いイベントを上書きします。 番号 オプションです。
      • 有効にすると、管理の負担が監査: セキュリティ監査のログを記録できない場合システムをシャット ダウン設定することができる場合は特に、 (手動でログを消去) イベントを上書きしないオプションをセキュリティ ログにするも、非常に高いにします。この設定に関する責任の独立の演算子の動作について説明します。たとえば、管理者はユーザー、コンピューター、およびグループ、監査、ビルトインの管理者アカウントまたは他の共有アカウントを使用して可能が組織単位 (OU) 内のすべてのアクセス許可をリセットし、このようなアクセス許可をリセットすることを拒否でした。ただし、サーバーその他のセキュリティ イベントをセキュリティ ログに書き込まれるログオン イベントと圧倒をシャット ダウンする必要がありますので、設定を有効にするシステムの保全性が軽減されること。さらに、シャット ダウンは手荒な動作ではありませんので、オペレーティング システム、プログラム、またはデータに修復不可能な損傷があります。NTFS では、手荒なシステムのシャット ダウン時に、ファイル システムの整合性が維持されていることを保障するが、システムを再起動するとすべてのプログラムのすべてのデータ ファイルが使用可能な形式でことを保証できません。
    5. シンボリック名:

      CrashOnAuditFail

    6. レジストリ パス:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)
    7. 互換性の問題の例
      • Windows 2000:バグがあるため、Windows 2000、Windows 2000 SP1、Windows 2000 SP2、または Windows Server SP3 の元のリリース バージョン実行しているコンピューターがセキュリティ イベント ログの最大ログ サイズオプションで指定されたサイズに達する前にイベントのログ記録を停止します。このバグを修正します。Windows 2000 サービス パックで 4 (SP4)。確認します Windows 2000 ドメインコント ローラーを検討する前にインストールされている Windows 2000 Service Pack 4 があります。この設定を有効にします。

        詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
        312571イベント ログ イベント ログが最大サイズに達する前にログの記録を停止します。
      • Windows 2000、Windows Server 2003:Windows 2000 または Windows Server 2003 を実行しているコンピューターことがあります。応答を停止し、自発的に場合再起動可能性があります、監査: セキュリティ監査のログを記録できない場合システムをシャット ダウンの設定有効になって、セキュリティ ログがいっぱいになった、および既存のイベント ログ エントリを上書きすることはできません。コンピューターを再起動すると、次の Stop エラー メッセージが表示されます。
        停止: C0000244{監査の失敗}
        セキュリティ監査の生成に失敗しました。
        回復するのには、管理者する必要がありますログオンすると、(オプション) のセキュリティ ログをアーカイブします。セキュリティ ログを消去し、このオプション (省略可能なおよび必要に応じた) をリセットします。
      • Microsoft ネットワークのクライアントには、MS-DOS、Windows 95、Windows 98、Windows NT 4.0、Windows 2000、Windows XP、Windows Server 2003:管理者以外のユーザーはドメインにログオンしようとしましたユーザーに届く、。次のエラー メッセージします。
        アカウントを構成するのにはこのコンピューターを使用するを防ぐ。ほかの選択してください。コンピューターです。
        詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
        160783エラー メッセージ: は、ワークステーションにログオンすることはできません
      • Windows 2000:Windows 2000 ベースのコンピューターで、管理者以外のユーザーのリモート アクセス サーバーにログオンすることはできなくなり、次のようなエラー メッセージが表示されます。
        不明なユーザー、または不正です。パスワード
        詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
        285665エラー メッセージ: アカウントはこのコンピューターを使用できないように構成されています。
      • Windows 2000:Windows 2000 ドメイン コント ローラー (Ismserv.exe) に、サイト間メッセージング サービスは停止し、再起動することはできません。DCDIAG と「テスト サービス ISMserv は失敗しました」エラーが返されます、イベント ログにイベント ID 1083 を登録します。
      • Windows 2000:Windows 2000 ドメイン コント ローラー Active Directory レプリケーションは失敗し、セキュリティ イベント ログがいっぱいになると、「アクセス拒否」のメッセージが表示されます。
      • Microsoft Exchange 2000:Exchange 2000 を実行しているサーバーのインフォメーション ストア データベースをマウントできなくなります、2102年のイベントがイベント ログに登録されます。

        詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
        314294SeSecurityPrivilege 権利および Policytest の問題があるため Exchange 2000 のエラー メッセージが生成されます。
      • Outlook、Outlook Web Access:管理者以外のユーザーは、メールを介してアクセスすることはできなくなりますMicrosoft Outlook または Microsoft Outlook Web Access とは503 エラーが表示されます。
  2. ドメイン コント ローラー: LDAP サーバーが署名の要件
    1. バック グラウンド

      のドメイン コント ローラー: LDAP サーバーの要件を署名セキュリティ設定では、ライトウェイト ディレクトリ アクセス プロトコル (LDAP) サーバーが LDAP クライアントがデータ署名のネゴシエートをする必要があるかどうかを指定します。このポリシーの設定値は次のとおりです。
      • なし:データの署名をサーバーにバインドするのには必要ありません。場合は、署名クライアント データを要求、サーバーがサポートされています。
      • の署名を必要とする:場合を除き、LDAP データ署名オプションをネゴシエートする必要がありますトランスポートセキュリティとセキュリティで保護されたソケット レイヤー (TLS/SSL) を使用しています。
      • が定義されていません。この設定を有効に無効し、なります。
    2. 危険な設定

      有害な構成設定を次に示します。
      • 署名を必要とする環境では、クライアント サポートしていない LDAP 署名を有効にするかクライアント側の LDAP 署名がクライアントで無効です。
      • Windows 2000 や Windows Server に適用します。2003 の Hisecdc.inf セキュリティ テンプレートの環境では、クライアントを行うLDAP 署名をサポートするかは、クライアント側の LDAP 署名されません。有効になって
      • Windows 2000 や Windows Server に適用します。2003 の Hisecws.inf セキュリティ テンプレートの環境では、クライアントを行うLDAP 署名をサポートするかは、クライアント側の LDAP 署名されません。有効になって
    3. この設定を有効にする理由

      署名されていないネットワーク トラフィックは、仲介者攻撃は、侵入者がクライアントとサーバーの間でパケットをキャプチャ、パケットを改ざん、後サーバーに転送するの影響を受けです。LDAP サーバーに対してこの現象を発生すると、攻撃者が LDAP クライアントからの間違ったクエリに基づいて意思決定を行うには、サーバー可能性があります。ネットワーク インフラストラクチャを保護するための強力な物理的セキュリティ対策を実装することにより、企業ネットワークにおけるこのリスクを減らすことができます。インターネット プロトコル セキュリティ (IPSec) の認証ヘッダー モードは、中間の攻撃を防ぐのに役立ちます。認証ヘッダー モード IP トラフィックに対する相互認証およびパケットの整合性確認が実行されます。
    4. この設定を無効にする理由
      • LDAP 署名をサポートしないクライアントは表示されません。LDAP クエリをドメイン コント ローラー、およびグローバルに対して実行することができます。NTLM 認証がネゴシエートされない場合、および場合は、正しいサービス パック カタログします。Windows 2000 ドメイン コント ローラーにはインストールされていません。
      • クライアントとサーバーの間の LDAP トラフィックのネットワーク トレースが暗号化されます。LDAP の通信内容の調査が困難できます。
      • Windows 2000 ベースのサーバーは、Windows 2000 Service Pack 3 (SP3) が必要または、LDAP 署名をサポートする実行することは、Windows 2000 SP4、Windows XP、または Windows Server 2003 を実行しているクライアント コンピューターからプログラムを管理するときにインストールします。 詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
        325465Windows 2000 ドメイン コント ローラーを Service Pack 3 またはそれ以降の Windows Server 2003 管理ツールを使用すると必要とします。
    5. シンボリック名:

      LDAPServerIntegrity
    6. レジストリ パス:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)
    7. 互換性の問題の例
      • 単純バインドは失敗、しが表示されます、次のエラー メッセージします。
        Ldap_simple_bind_s() に失敗しました。強力な認証を必要とします。
      • Windows 2000 Service Pack 4、Windows XP、Windows Server 2003:Windows 2000 SP4、Windows XP、または Windows Server 2003 を実行しているクライアントでは、Active Directory 管理ツールは NTLM 認証がネゴシエートされる場合は、SP3 より前のバージョンの Windows 2000 を実行しているドメイン コント ローラーに対して正しく動作しません。

        詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
        325465Windows 2000 ドメイン コント ローラーを Service Pack 3 またはそれ以降の Windows Server 2003 管理ツールを使用すると必要とします。
      • Windows 2000 Service Pack 4、Windows XP、Windows Server 2003:Windows 2000 SP4、Windows XP、または Windows Server 2003 を実行しているクライアントでは、バージョンの Windows 2000 を実行しているドメイン コント ローラーに対して、Active Directory 管理ツールは、IP アドレスを使用している場合は、SP3 が正しく動作しませんです (たとえば、「dsa.msc/server =x.x.x.x「どこで x.x.x.x IP アドレスです)。

        詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
        325465Windows 2000 ドメイン コント ローラーを Service Pack 3 またはそれ以降の Windows Server 2003 管理ツールを使用すると必要とします。
      • Windows 2000 Service Pack 4、Windows XP、Windows Server 2003:Windows 2000 SP4、Windows XP、または Windows Server 2003、Active Directory 管理ツールは、ターゲットを実行しているクライアントでは、Windows 2000 のバージョンを実行しているドメイン コント ローラー SP3 は正常に機能しないです。

        詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
        325465Windows 2000 ドメイン コント ローラーを Service Pack 3 またはそれ以降の Windows Server 2003 管理ツールを使用すると必要とします。
  3. ドメイン メンバー: 強力な (Windows 2000 以降のバージョン) セッション キーを必要とします。
    1. バック グラウンド
      • ドメイン メンバー: 強力な (Windows 2000 以降のバージョン) セッション キーを必要とするは、セキュリティで保護されたチャネルを確立することができるかどうかを設定セキュリティで保護されたチャネルのトラフィックを暗号化できないドメイン コント ローラーでは、強力な 128 ビット セッション キーです。この設定を有効にするを防ぐことが確立することは、セキュリティで保護されたチャネルをセキュリティで保護されたチャネルを暗号化することはできません任意のドメイン コント ローラーデータは、強力なキーを持つ。この設定を無効にするには、64 ビット セッション キーことができます。
      • この設定は、メンバーを有効にすることができます前にワークステーションまたはサーバーをドメイン内のすべてのドメイン コント ローラーでは、メンバーが属している必要がありますするには、強力なセキュリティで保護されたチャネル データを暗号化することができます。128 ビットのキーです。これらのすべてのドメイン コント ローラーを実行する必要があることを意味します。Windows 2000 またはそれ以降。
    2. 危険な設定

      有効にすると、ドメイン メンバー: 強力な (Windows 2000 以降のバージョン) セッション キーを必要とする設定は危険な設定です。
    3. この設定を有効にする理由
      • 安全を確立するために使用されるセッション キーメンバー コンピューターとドメイン コント ローラー間の通信をチャネルの方が強力な Windows 2000 のマイクロソフトの以前のバージョンよりもオペレーティング システムです。
      • 可能な場合、セキュリティで保護されたチャネルの通信を盗聴およびセッション ハイジャック ネットワーク攻撃から保護するためにこれらの強力なセッション キーを活用することをお勧め。盗聴は、通信はネットワーク データの読み取りまたは悪意のある攻撃の一種です。送信中に変更します。データは、非表示にするか、送信者を変更するのには変更することができます、またはリダイレクトします。
      重要セキュリティで保護されたチャネルを使用すると、Windows Server 2008 R2 または Windows 7 を実行しているコンピューターは強力なキーをサポートします。この制限は、Windows NT 4.0 ベースのドメインと Windows Server 2008 R2 ベースのドメイン間に信頼関係を防止します。さらに、この制限は Windows 7 または Windows Server 2008 R2 を実行しているコンピューターの Windows NT 4.0 ベースのドメイン メンバーシップをブロックし、その逆。
    4. この設定を無効にする理由

      ドメインにはメンバーのコンピューターは、Windows 2000、Windows XP、または Windows Server 2003 以外のオペレーティング システムを実行しているが含まれています。
    5. シンボリック名:

      StrongKey
    6. レジストリ パス:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)
    7. 互換性の問題の例

      Windows NT 4.0:Windows NT 4.0 ベースのコンピューターでは、Windows NT 4.0 および Windows 2000 ドメインでは、NLTEST の間の信頼関係のセキュリティで保護されたチャネルのリセットに失敗します。「アクセス拒否」エラー メッセージが表示されます。
      信頼関係プライマリ ドメインと信頼される側のドメインの間の関係失敗しました。

      Windows 7 とサーバー 2008 R2:Windows 7 とそれ以降のバージョンと Windows Server 2008 R2 およびそれ以降のバージョン、今後この設定が反映されないし常に強力なキーが使用されます。そのため、Windows NT 4.0 ドメインとの信頼関係はもはや動作しません。
  4. ドメイン メンバー: デジタルに暗号化または署名するセキュリティで保護されたチャネルのデータを常に
    1. バック グラウンド
      • 有効にするとドメイン メンバー: デジタルに暗号化または署名するセキュリティで保護されたチャネルのデータを常に署名またはセキュリティで保護されたチャネルのすべてのデータを暗号化できないドメイン コント ローラーをセキュリティで保護されたチャネルを確立できなくなります。仲介者攻撃、リプレイ攻撃、およびその他の種類のネットワーク攻撃から認証トラフィックを保護するために、Windows ベースのコンピューターのコンピューター アカウントを認証するのには、Net Logon サービスを介してセキュリティで保護されたチャネルとして知られている通信チャネルを作成します。セキュリティで保護されたチャネルは、1 つのドメイン内のユーザーは、リモート ドメイン内のネットワーク リソースに接続するときにも使用されます。このマルチ ドメインの認証やパススルー認証は、ドメインに参加している Windows ベースのコンピューターことができます。そのドメインと信頼されたドメインのユーザー アカウント データベースにアクセスします。
      • 有効にするのには、ドメイン メンバー: デジタルに暗号化または署名するセキュリティで保護されたチャネルのデータを常にのメンバー コンピューター上の設定は、メンバーが所属するドメイン内のすべてのドメイン コント ローラーに署名するか、セキュリティで保護されたチャネルのすべてのデータを暗号化できる必要があります。などのすべてのドメイン コント ローラー Windows NT 4.0 Service Pack 6a を実行している必要があることを意味 (SP6a) 以降。
      • 有効にすると、ドメイン メンバー: デジタルに暗号化または署名するセキュリティで保護されたチャネルのデータを常にを自動的に設定を有効に、ドメイン メンバー: デジタルに暗号化または署名する (可能な場合、セキュリティ チャネルのデータ設定。
    2. 危険な設定

      有効にすると、ドメイン メンバー: デジタルに暗号化または署名するセキュリティで保護されたチャネルのデータを常に内のドメインの場所することができますすべてのドメイン コント ローラーに署名を設定するか暗号化セキュリティで保護されたチャネルのデータが、有害な構成の設定。
    3. この設定を有効にする理由

      署名されていないネットワーク トラフィックは、仲介者攻撃、侵入者がサーバーとクライアント間のパケットをキャプチャし、それらをクライアントに転送する前に変更するにです。この問題は、ライトウェイト ディレクトリ アクセス プロトコル (LDAP) サーバー上で発生すると、侵入者は、LDAP ディレクトリからの間違ったレコードに基づいて意思決定を行うには、クライアント可能性があります。ネットワーク インフラストラクチャを保護するための強力な物理的セキュリティ対策を実装することにより、このような攻撃は、企業ネットワーク上のリスクを減らすことができます。また、インターネット プロトコル セキュリティ (IPSec) を実装する認証ヘッダー モードで仲介者攻撃を防止できます。このモードは IP トラフィックに対する相互認証およびパケットの整合性確認を実行します。
    4. この設定を無効にする理由
      • ローカルまたは外部ドメイン内のコンピューターは、暗号化されたセキュリティで保護されたチャネルをサポートしています。
      • ドメイン内のすべてのドメイン コント ローラーが、適切なサービス パックのリビジョン レベルをサポートするためにセキュリティで保護された暗号化チャンネル。
    5. シンボリック名:

      StrongKey
    6. レジストリ パス:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)
    7. 互換性の問題の例
      • Windows NT 4.0:Windows 2000 ベースのメンバー コンピューターに参加することはできなくなりますWindows NT 4.0 ドメインをクリックし、次のエラー メッセージが表示されます。
        このアカウントからログインする権限がありません。ステーションです。
        詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
        281648エラー メッセージ: アカウントはこのステーションからのログインを許可されていません
      • Windows NT 4.0:Windows NT 4.0 ドメインはダウンレベルの信頼関係を Windows 2000 ドメインを確立することはできませんし、次のエラー メッセージが表示されます。
        このアカウントからログインする権限がありません。ステーションです。
        既存のダウンレベルの信頼関係は、信頼される側のドメインからのユーザーも認証しない可能性がします。一部のユーザーは、ドメインへのログオンに問題があり、クライアントがドメインを検出できないことを示すエラー メッセージが表示されます。
      • Windows XP:Windows XP クライアントの Windows NT 4.0 ドメインに参加しているログオンの試行を認証することはできませんし、次のエラー メッセージが表示されることがありますか、次のイベントがイベント ログに登録する可能性があります。
        接続できませんドメインには、ため、ドメイン コント ローラーがダウンしているか、それ以外の場合は使用できないため、または、コンピューターアカウントが見つかりませんでした。

        イベント5723: コンピューターからのセッション設定 コンピューター名 認証に失敗しました。セキュリティで参照されたアカウントの名前データベースでください。 コンピューター名.次のエラー発生しました: アクセスが拒否されました。

        イベント 3227: セッション セットアップ、Windows NT、または Windows に2000 のドメイン コント ローラー サーバー名 ドメイン用 ドメイン名 に失敗しました サーバーName 署名または Netlogon セッションの暗号化はサポートされていません。ドメイン コント ローラーをアップグレードするか、または、RequireSignOrSeal のレジストリ エントリを設定このコンピューターは 0 です。

        詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
        318266Windows XP クライアントが Windows NT 4.0 ドメインにログオンすることはできません。
      • Microsoft ネットワーク:Microsoft ネットワーク クライアントは、次のエラー メッセージのいずれかが表示されます。
        ログオン失敗: 不明なユーザー名または不正なパスワードです。
        ユーザー セッション キーがありません、指定したログオン セッションです。
  5. Microsoft ネットワーク クライアント: 常に通信に署名
    1. バック グラウンド

      サーバー メッセージ ブロック (SMB) は、多くの Microsoft オペレーティング システムでサポートされているリソース共有プロトコルです。これと他の多くのプロトコルのネットワーク基本入出力システム (NetBIOS) の基礎です。SMB 署名は、データをホストするサーバーとユーザーの両方を認証します。いずれかの側、認証処理が失敗した場合は、データ転送は行われません。

      SMB の開始時に、SMB プロトコル ネゴシエーション署名を有効にします。SMB 署名ポリシーは、クライアントとの通信、コンピューターは常にデジタル署名をするかどうかを確認します。

      Windows 2000 SMB 認証のプロトコルは、相互認証をサポートします。相互認証は、「- の-中間"攻撃が終了します。Windows 2000 SMB 認証のプロトコルは、メッセージの認証もサポートします。メッセージ認証は、アクティブ メッセージ攻撃を防ぐことができます。この認証を付与するのには、SMB 署名は、デジタル署名それぞれの SMB に設定します。デジタル署名は、クライアントとサーバーのそれぞれを確認します。

      SMB 署名を使用するのには、SMB 署名を有効にするか、SMB が SMB クライアントと SMB サーバーの両方の署名が必要なする必要があります。SMB 署名がサーバー上に SMB を使用するすべての後続のセッション中にプロトコル パケット署名を有効にするクライアントを有効にする場合。サーバーで SMB 署名を要求する場合は、クライアントを有効にするか、SMB 署名を要求しない限り、クライアントはセッションを確立することはできません。

      高度なセキュリティ ネットワークでデジタル署名を有効にするクライアントおよびサーバーの偽装防止します。この種の偽装は、セッションをハイジャックとして知られています。攻撃者は、クライアントまたはサーバーと同じネットワークにアクセスが中断または終了したり、実行中のセッションを盗みにセッション ハイジャック ツールを使用します。攻撃者は傍受および未署名の SMB パケットを変更する、トラフィックを変更するし、サーバー不要なアクションを実行するように、転送。または、攻撃者は、サーバーまたはクライアントとして正式な認証後に発生し、データへの承認されていないアクセスを取得します。

      ファイルの共有、およびプリンターの共有を Windows 2000 Server、Windows 2000 Professional、Windows XP Professional、または Windows Server 2003 を実行しているコンピューターで使用される SMB プロトコルは、相互認証をサポートします。相互認証は、セッション ハイジャック攻撃が終了し、メッセージの認証をサポートしています。したがって、- 仲介者攻撃を防ぎます。SMB 署名は、各 SMB にデジタル署名することによってこの認証を提供します。クライアントとサーバーの署名を確認します。

      注意
      • 別の対策として、すべてのネットワーク トラフィックを保護するためには、IPSec でデジタル署名を有効にできます。ハードウェア ベースのアクセラレータには、IPSec の暗号化と署名がサーバーの CPU のパフォーマンスへの影響を最小限に抑えることができますがあります。SMB 署名を使用できるそのようなアクセラレータはありません。

        詳細についてを参照してください、 サーバー間の通信にデジタル署名を行う Microsoft MSDN の web サイト上の章。

        ドメインのポリシーをオーバーライドする場合は、ローカルのレジストリ値への変更効果はないためにのグループ ポリシー オブジェクト エディター使用して SMB 署名を設定します。
      • Windows 95、Windows 98、および Windows 98 Second Edition でディレクトリ サービス クライアントは、Windows Server 2003 サーバーで NTLM 認証を使用して認証する場合に SMB 署名を使用します。ただし、これらのクライアントは SMB 署名、NTLMv2 認証を使用してこれらのサーバーでの認証時に使わないでください。さらに、Windows 2000 サーバーは SMB クライアントからの要求に署名するのには応答しません。詳細については、10 の項目を参照してください:"ネットワーク セキュリティ: Lan Manager 認証レベル」。
    2. 危険な設定

      次の危険な設定です: 両方のまま、 Microsoft ネットワーク クライアント: 通信に常に署名設定し、 Microsoft ネットワーク クライアント: (サーバーが同意すれば、通信にデジタル署名を行う設定を [未定義] に設定または無効します。これらの設定は、認証時にパスワード暗号化をサポートしない Microsoft 以外の SMB サーバーにプレーン テキスト パスワードを送信する、リダイレクターできます。
    3. この設定を有効にする理由

      有効にするMicrosoft ネットワーク クライアント: 常に通信に署名クライアントが SMB 署名を必要としないサーバーと通信すると SMB トラフィックに署名する必要があります。これにより、クライアント セッション ハイジャック攻撃に対する脆弱性が低減されます。
    4. この設定を無効にする理由
      • 有効にするMicrosoft ネットワーク クライアント: 常に通信に署名クライアントから、SMB 署名をサポートしていないサーバーとは通信できなくなります。
      • 署名のない SMB をすべて無視するようにコンピューターを構成します。古いプログラムおよびオペレーティング システムからの通信を防止します。接続しています。
    5. シンボリック名:

      RequireSMBSignRdr
    6. レジストリ パス:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
    7. 互換性の問題の例
      • Windows NT 4.0:NLTEST または NETDOM を使用してが Windows NT 4.0 ドメインの Windows Server 2003 ドメイン間の信頼のセキュリティで保護されたチャネルをリセットすることができず、「アクセス拒否」エラー メッセージが表示されます。
      • Windows XP:Windows XP でファイルをコピーするクライアントを Windows 2000 ベースのサーバーおよび Windows Server 2003 ベースのサーバーに多くの時間をかかることがあります。
      • ネットワーク ドライブをマップすることができなくなります、クライアントが有効な場合は、この設定を使用して、次のエラーが表示されます。メッセージ:
        このアカウントからログインする権限がありません。このステーションです。
    8. 再起動の必要性

      コンピューターを再起動または、ワークステーション サービスを再起動します。これを行うには、コマンド プロンプトで次のコマンドを入力します。各コマンドを入力した後 Enter キーを押します。
      net stop ワークステーション
      net start ワークステーション
  6. Microsoft ネットワーク サーバー: 常に通信に署名
    1. バック グラウンド
      • サーバーの Messenger ブロック (SMB) は、多くの Microsoft オペレーティング システムでサポートされているリソース共有プロトコルです。これと他の多くのプロトコルのネットワーク基本入出力システム (NetBIOS) の基礎です。SMB 署名は、データをホストするサーバーとユーザーの両方を認証します。いずれかの側、認証処理が失敗した場合は、データ転送は行われません。

        SMB の開始時に、SMB プロトコル ネゴシエーション署名を有効にします。SMB 署名ポリシーは、クライアントとの通信、コンピューターは常にデジタル署名をするかどうかを確認します。

        Windows 2000 SMB 認証のプロトコルは、相互認証をサポートします。相互認証は、「- の-中間"攻撃が終了します。Windows 2000 SMB 認証のプロトコルは、メッセージの認証もサポートします。メッセージ認証は、アクティブ メッセージ攻撃を防ぐことができます。この認証を付与するのには、SMB 署名は、デジタル署名それぞれの SMB に設定します。デジタル署名は、クライアントとサーバーのそれぞれを確認します。

        SMB 署名を使用するのには、SMB 署名を有効にするか、SMB が SMB クライアントと SMB サーバーの両方の署名が必要なする必要があります。SMB 署名がサーバー上に SMB を使用するすべての後続のセッション中にプロトコル パケット署名を有効にするクライアントを有効にする場合。サーバーで SMB 署名を要求する場合は、クライアントを有効にするか、SMB 署名を要求しない限り、クライアントはセッションを確立することはできません。

        高度なセキュリティ ネットワークでデジタル署名を有効にするクライアントおよびサーバーの偽装防止します。この種の偽装は、セッションをハイジャックとして知られています。攻撃者は、クライアントまたはサーバーと同じネットワークにアクセスが中断または終了したり、実行中のセッションを盗みにセッション ハイジャック ツールを使用します。攻撃者は傍受しサブネット帯域幅マネージャー (SBM) の符号なしのパケットを変更する、トラフィックを変更し、サーバー不要なアクションを実行するように、転送。または、攻撃者は、サーバーまたはクライアントとして正式な認証後に発生し、データへの承認されていないアクセスを取得します。

        ファイルの共有、およびプリンターの共有を Windows 2000 Server、Windows 2000 Professional、Windows XP Professional、または Windows Server 2003 を実行しているコンピューターで使用される SMB プロトコルは、相互認証をサポートします。相互認証は、セッション ハイジャック攻撃が終了し、メッセージの認証をサポートしています。したがって、- 仲介者攻撃を防ぎます。SMB 署名は、各 SMB にデジタル署名することによってこの認証を提供します。クライアントとサーバーの署名を確認します。
      • 別の対策として、すべてのネットワーク トラフィックを保護するためには、IPSec でデジタル署名を有効にできます。ハードウェア ベースのアクセラレータには、IPSec の暗号化と署名がサーバーの CPU のパフォーマンスへの影響を最小限に抑えることができますがあります。SMB 署名を使用できるそのようなアクセラレータはありません。
      • Windows 95、Windows 98、および Windows 98 Second Edition でディレクトリ サービス クライアントは、Windows Server 2003 サーバーで NTLM 認証を使用して認証する場合に SMB 署名を使用します。ただし、これらのクライアントは SMB 署名、NTLMv2 認証を使用してこれらのサーバーでの認証時に使わないでください。さらに、Windows 2000 サーバーは SMB クライアントからの要求に署名するのには応答しません。詳細については、10 の項目を参照してください:"ネットワーク セキュリティ: Lan Manager 認証レベル」。
    2. 危険な設定

      次の有害な構成の設定が: を有効にする、 Microsoft ネットワーク サーバー: 通信に常に署名サーバーと互換性のない Windows ベース コンピューターおよびサードパーティ製オペレーティング システム ベースのクライアント コンピューターにローカルまたは外部ドメインによってアクセスされているドメイン コント ローラーを設定します。
    3. この設定を有効にする理由
      • この設定を有効にするすべてのクライアント コンピューターまたは、グループ ポリシーの設定をレジストリで直接 SMB をサポートします。署名しています。つまり、すべてのクライアント コンピューターは、この設定は有効になっているあります。インストールされている場合は、DS クライアントが Windows 98, Windows NT 4.0 か Windows 95 を実行します。Windows 2000、Windows XP Professional、または Windows Server 2003。
      • Microsoft ネットワーク サーバー: 常に) の通信にデジタル署名をが無効、SMB 署名は完全に無効です。完全にすべての SMB 署名を無効にするコンピューターがセッション ハイジャックを受けになります攻撃します。
    4. この設定を無効にする理由
      • この設定を有効にすると遅いファイルのコピーが発生する可能性があります。クライアント コンピューター上のネットワークのパフォーマンス。
      • この設定を有効にするクライアントを防ぐことサーバーおよびドメインの通信からの SMB 署名をネゴシエートすることはできません。コント ローラー。これは、ユーザーおよびコンピューターにドメインの結合などの操作をが認証、またはネットワーク アクセスが失敗するプログラム。
    5. シンボリック名:

      RequireSMBSignServer
    6. レジストリ パス:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)
    7. 互換性の問題の例
      • Windows 95:ディレクトリ サービス (DS) クライアントをインストールしていない windows 95 クライアント ログオン認証は失敗し、次のエラー メッセージが表示されます。
        入力されたドメイン パスワードがありません。修正またはアクセス サーバーにログオンが拒否されました。
        詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
        811497Windows 95 または Windows NT 4.0 のクライアントを Windows Server 2003 ドメインにログオンするとエラー メッセージ
      • Windows NT 4.0:バージョンの Windows NT 4.0 を実行しているクライアント コンピューターService Pack 3 (SP3) するログオン認証が失敗してされるよりも前のバージョンします。次のエラー メッセージが表示されます。
        システムことはできません。ログオンします。あなたのユーザー名とドメインが正しい、か、入力を確認してください、パスワードのもう一度。
        一部の Microsoft 以外の SMB サーバー認証中には、暗号化されていないパスワードの交換のみをサポートします。(これらの交換は、「プレーン テキスト」交換とも呼ばれます。)特定のレジストリ エントリを追加しない限り、Windows NT 4.0 SP3 とそれ以降のバージョンについては、SMB リダイレクターは、暗号化されていないパスワードする SMB サーバーへの認証時に送信されません。
        SMB クライアントの Windows NT 4.0 SP 3 およびそれ以降のシステムでは暗号化されていないパスワードを有効にするのには、レジストリを次のよう変更: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        値の名前: EnablePlainTextPassword
        データ型: REG_DWORD
        データ: 1

        関連トピックの詳細については、マイクロソフト サポート技術情報の記事を表示するのには、次の資料番号をクリックします。
        224287エラー メッセージ: システム エラー 1240年が発生しました。アカウントはこのステーションからログインする権限がありません。
        166730 暗号化されていないパスワードを Service Pack 3 の SMB サーバーへの接続に失敗するが可能性があります。
      • Windows Server 2003:既定では、ドメイン コント ローラーの通信を傍受または悪意のあるユーザーによって改ざんを防止するのには、Windows Server 2003 を実行するドメイン コント ローラー上のセキュリティ設定が構成されます。ユーザーは正常に Windows Server 2003 を実行するドメイン コント ローラーとの通信には、クライアント コンピューターは両方の SMB 署名および暗号化やセキュリティで保護されたチャネル トラフィックの署名を使用する必要があります。既定では、Windows NT 4.0 Service Pack 2 (SP2) を実行、または以前にインストールされているクライアントは、Windows 95 を実行するクライアント SMB パケット署名を有効にしていません。したがって、これらのクライアントは、Windows Server 2003 ベースのドメイン コント ローラーに認証できなく可能性があります。
      • Windows 2000 および Windows Server 2003 のポリシーの設定:特定のインストール要件および構成によっては、次のポリシー設定は、Microsoft 管理コンソールのグループ ポリシー エディター スナップインの階層内で必要なスコープの一番低いエンティティで設定することをお勧めします。
        • コンピューターの構成のセキュリティの設定 \ セキュリティ オプション
        • サード パーティ製の SMB サーバーへ接続するのには、暗号化されていないパスワードを送信します。(この設定は Windows 2000 の場合です)
        • Microsoft ネットワーク クライアント: サード パーティ製の SMB サーバーに暗号化されていないパスワードを送信(この設定は Windows Server 2003 用です)

        メモ 一部のサードパーティ CIFS サーバの Samba の古いバージョンなどの暗号化されたパスワードを使用できません。
      • 次のクライアントと互換性がない、 Microsoft ネットワーク サーバー: 通信に常に署名の設定。
        • アップル コンピューター, Inc. は、Mac OS Xクライアント
        • Microsoft MS-DOS ネットワーク クライアント (たとえば、Microsoft LAN Manager)
        • ワークグループの Windowsクライアント
        • Microsoft Windows 95、クライアントが DS にクライアントのインストール
        • Microsoft Windows NT 4.0 ベースのコンピューターSP3 以降がインストールされて
        • Novell Netware 6 CIFS クライアント
        • SMB 署名をサポートしていない SAMBA SMB クライアント
    8. 再起動の必要性

      コンピューターを再起動または、サーバー サービスを再起動します。これを行うには、コマンド プロンプトで次のコマンドを入力します。各コマンドを入力した後 Enter キーを押します。
      net stop server
      net start server
  7. ネットワーク アクセス: 匿名の SID と名前の変換を許可します。
    1. バック グラウンド

      ネットワーク アクセス: 匿名の SID と名前の変換を許可するセキュリティ設定では、匿名ユーザーが要求できるかどうか他のユーザーのセキュリティ識別番号 (SID) 属性。
    2. 危険な設定

      有効にすると、ネットワーク アクセス: 匿名の SID と名前の変換を許可する設定は危険な設定です。
    3. この設定を有効にする理由

      場合は、ネットワーク アクセス: 匿名の SID と名前の変換を許可するの設定が無効な場合、以前のオペレーティング システムやアプリケーションWindows Server 2003 ドメインと通信できない可能性があります。たとえば、次のオペレーティング システム、サービス、またはアプリケーションは機能しません。
      • Windows NT 4.0 ベースのリモート アクセス サービスサーバー
      • Windows NT 3.x ベースのコンピューターまたは Windows NT 4.0 ベースのコンピューターで実行されている Microsoft SQL Server
      • Windows NT 3.x ドメインまたは Windows NT 4.0 ドメインにある Windows 2000 ベースのコンピューターで実行しているリモート アクセス サービス
      • Windows NT 3.x ドメインまたは Windows NT 4.0 ドメインにある Windows 2000 ベースのコンピューターで実行されている SQL Server
      • 必要とする Windows NT 4.0 リソース ドメイン内のユーザーファイル、共有フォルダー、およびレジストリ オブジェクトへのユーザー アクセス許可を付与します。Windows Server 2003 のドメインがアカウント ドメインからのアカウントコント ローラー
    4. この設定を無効にする理由

      この設定が有効になっている場合は、アカウントの名前を変更した場合でも、悪意のあるユーザー管理者の既知の SID のビルトインの Administrator アカウントの本当の名前を取得します。その人は、パスワードの推測攻撃を開始するのには、アカウント名を使用できます。
    5. シンボル名:該当なし
    6. のレジストリ パス:[なし]。パスは UI のコードで指定されます。
    7. 互換性の問題の例

      Windows NT 4.0:共有フォルダー、共有ファイル、およびレジストリ オブジェクトなどのリソースを Windows Server 2003 ドメイン コント ローラーを含むアカウント ドメイン内に存在するセキュリティ プリンシパルにセキュリティ保護されている場合は、Windows NT 4.0 リソース ドメイン内のコンピューターは、「不明なアカウント」エラー メッセージ ACL エディターで表示されます。
  8. ネットワーク アクセス: 匿名接続のアカウントを許可しません。
    1. バック グラウンド
      • ネットワークへのアクセス: アカウントの SAM の匿名の列挙を許可しない、コンピューターへの匿名接続を追加のアクセス許可を付与するかを設定します。Windows のワークステーションおよび server のセキュリティ アカウント マネージャー (SAM) アカウントおよびネットワーク共有の名前の列挙などの特定の活動を実行するのには、匿名のユーザーことができます。たとえば、管理者この、相互信頼のない信頼されたドメイン内のユーザーにアクセスを許可できます。セッションが確立されると、匿名ユーザーは、すべてのユーザーに許可されている同じアクセス必要がありますグループの設定に基づいて、ネットワーク アクセス: Everyone のアクセス許可を匿名ユーザーに適用の設定またはオブジェクトの随意アクセス制御リスト (DACL)。

        通常、匿名接続クライアント (下位) の以前のバージョンでは SMB セッションのセットアップ中に要求されます。このような場合は、ネットワーク トレースを SMB のプロセス ID (PID) クライアント リダイレクターを書き込んで Windows 2000 または Windows NT します。 RPC の 0xCAFE なども匿名接続を確立しようといます。
      • 重要この設定のドメインには影響しませんコント ローラー。ドメイン コント ローラーでは、この現象を"Pre-Windows 2000 互換性 Access"の「NT AUTHORITY\ANONYMOUS ログオン」の存在によって制御されます。
      • Windows 2000 では、匿名接続に対する追加の制限と呼ばれる同様の設定を管理します。
        RestrictAnonymous
        レジストリの値です。この値の場所を次のとおりです。
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
        RestrictAnonymous レジストリ値の詳細については、マイクロソフト サポート技術情報の記事を表示するのには、次の資料番号をクリックします。
        246261Windows 2000 でレジストリ値 RestrictAnonymous を使用する方法
        143474 匿名ログオン ユーザーが利用できる情報を制限します。
    2. 危険な設定

      有効にすると、ネットワーク アクセス: アカウントの SAM の匿名の列挙を許可しないは互換性の観点からの有害な構成設定の設定です。それを無効にすると有害な構成の設定は、セキュリティの観点からです。
    3. この設定を有効にする理由

      権限のないユーザーでした匿名でアカウント名をリストし、情報を使用してパスワードを推測したり、ソーシャル エンジニア リング攻撃を実行してください。ソーシャル エンジニア リングは、明らかにユーザーを仕向ける際のことを意味する専門用語ですがパスワードやなんらかのセキュリティ情報。
    4. この設定を無効にする理由

      この設定が有効になっている場合は、Windows NT 4.0 ドメインとの信頼関係を確立することが可能です。この設定は、サーバー上のリソースを使用しようとしている下位レベル クライアント (Windows NT 3.51 クライアントや Windows 95 クライアント) などの問題もします。
    5. シンボリック名:


      RestrictAnonymousSAM
    6. レジストリ パス:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)
    7. 互換性の問題の例
    • SMS のネットワーク探索を取得することはできなくなりますオペレーティング システムの情報と、「不明」が書き込まれます、書き込まプロパティです。
    • Windows 95、Windows 98:Windows 95 クライアントおよび Windows 98 ベースのクライアントがパスワードを変更することができません。
    • Windows NT 4.0:Windows NT 4.0 ベースのメンバー コンピューターは、認証を受けることができなくなります。
    • Windows 95、Windows 98:Windows 95 および Windows 98 ベースのコンピューターは、マイクロソフトのドメイン コント ローラーで認証を受けることができなくなります。
    • Windows 95、Windows 98:Windows 95 および Windows 98 ベースのコンピューター上のユーザーは、自分のユーザー アカウントのパスワードを変更することができなくなります。
  9. ネットワーク アクセス: 匿名の列挙 SAM のアカウントと共有を許可しません。
    1. バック グラウンド
      • ネットワーク アクセス: アカウントおよび共有の匿名の列挙を許可しない設定 ( RestrictAnonymousとも呼ばれます) は、匿名かどうかを決定のセキュリティ アカウントの列挙マネージャー (SAM) アカウントおよび共有の使用あります。Windows の匿名ユーザーに許可します。ドメイン アカウントの名前の列挙など、特定のアクティビティを実行します。(ユーザー、コンピューター、およびグループ) やネットワーク共有。これは便利です。管理者は、信頼される側のユーザーにアクセスを許可する必要がある場合の例相互の信頼関係のないドメインです。許可しない場合SAM アカウントおよび共有の匿名の列挙は、この設定を有効にします。
      • Windows 2000 では、匿名接続に対する追加の制限と呼ばれる同様の設定を管理します。
        RestrictAnonymous
        レジストリの値です。この値の場所は次のとおりです。
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    2. 危険な設定

      有効にすると、ネットワーク アクセス: アカウントおよび共有の匿名の列挙を許可しない設定は危険な設定です。
    3. この設定を有効にする理由
      • 有効にすると、ネットワークへのアクセス: アカウントおよび共有の匿名の列挙を許可しないの設定の列挙 SAM アカウントと共有のユーザーを防ぐことがまた、匿名アカウントを使用しているコンピューター。
    4. この設定を無効にする理由
      • この設定が有効になっている場合は、権限のないユーザー可能性があります、匿名でアカウント名をリストの情報を使用してするのにはパスワードの推測やソーシャル エンジニア リング攻撃を実行します。ソーシャル エンジニア リングは、明らかにユーザーを仕向ける際のことを意味する専門用語ですがパスワードやなんらかのセキュリティ情報。
      • この設定が有効になっている場合は、可能なできない状態Windows NT 4.0 ドメインとの信頼関係を確立します。この設定は、発生しますクライアントが Windows NT 3.51 や Windows 95 などのダウンレベルのクライアントに関する問題サーバー上のリソースを使用しようとしています。
      • 信頼する側のドメインの管理者は、他のドメイン内のアカウントのリストを列挙することができないために、リソース ドメインのユーザーにアクセスを許可することが可能になります。ファイル サーバーとプリント サーバーに匿名でアクセスするユーザーは、それらのサーバー上の共有ネットワーク リソースを一覧表示することができなくなります。共有フォルダーおよびプリンターの一覧を表示することができます前に、ユーザーを認証する必要があります。
    5. シンボリック名:

      RestrictAnonymous
    6. レジストリ パス:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
    7. 互換性の問題の例
      • Windows NT 4.0:ユーザーの Windows NT パスワードを変更することはできなくなりますRestrictAnonymousがユーザーのドメイン内のドメイン コント ローラーを有効にすると、ワークステーション 4.0。 詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
        198941ユーザーがログオン時にパスワードを変更することはできません。
      • Windows NT 4.0:Windows NT 4.0 ローカル グループ ユーザー マネージャーで信頼される側の Windows 2000 ドメインからユーザーまたはグローバル グループの追加は失敗し、次のエラー メッセージが表示されます。
        現在のログオン サーバーはありません。ログオン要求をサービスするに使用できます。
        詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
        296405"RestrictAnonymous"レジストリ値が Windows 2000 ドメインに信頼関係を損なうおそれがあります。
      • Windows NT 4.0:Windows NT 4.0 ベースのコンピューターは、セットアップ中またはドメイン結合のユーザー インターフェイスを使用してドメインに参加することができなくなります。

        詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
        184538エラー メッセージ: このドメイン コント ローラーが見つかりませんでした
      • Windows NT 4.0:ダウンレベルの信頼関係を Windows NT 4.0 リソース ドメインを確立することはできません。RestrictAnonymousが信頼される側のドメインで有効にすると、次のエラー メッセージが表示されます。
        できません。このドメインのドメイン コント ローラーを検索します。
        詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
        178640信頼関係を確立するときにドメイン コント ローラーが見つかりませんでした。
      • Windows NT 4.0:ターミナル サーバーの Windows NT 4.0 ベースのコンピューターにログオンするユーザーは既定のホーム ディレクトリ ユーザー マネージャーでドメインの定義されているホーム ディレクトリの代わりにマップされます。

        詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
        236185ターミナル サーバーのユーザー プロファイルとホーム フォルダーのパスを無視した後、SP4 を適用するまたは後では
      • Windows NT 4.0:Windows NT 4.0 のバックアップ ドメイン コント ローラー (Bdc) は、Net Logon サービスを開始、バックアップ ブラウザーのリストを取得または、Windows 2000 または Windows Server 2003 ドメイン コント ローラーと同じドメインからの SAM データベースを同期することができなくなります。

        詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
        293127Windows 2000 ドメインで、Net Logon サービスは、Windows NT 4.0 の BDC が機能しません。
      • Windows 2000:Windows NT 4.0 ドメイン内の Windows 2000 ベースのメンバー コンピューターでは明示的に匿名アクセス権がなければアクセスできません。 、クライアントのローカル セキュリティ ポリシーの設定は、外部ドメインでプリンターを表示することができません。コンピューターです。

        詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
        280329ユーザーを管理またはプリンターのプロパティを表示できません。
      • Windows 2000:Windows 2000 ドメインのユーザーは、Active Directory からネットワーク プリンターを追加することができなくなります。しかし、それらをツリー ビューから選択したプリンターを追加することになります。

        詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
        318866グローバル カタログ サーバーにセキュリティ ロールアップ パッケージ 1 (SRP1) をインストールした後、outlook クライアントがグローバル アドレス一覧表示できなく
      • Windows 2000:Windows 2000 ベースのコンピューターでは、ACL エディターは信頼されている Windows NT 4.0 ドメインからユーザーまたはグローバル グループを追加することができません。

        詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
        296403混在ドメイン環境で信頼の RestrictAnonymous の値を分割します。
      • ADMT バージョン 2:フォレストと Active ディレクトリ移行 ADMT バージョン 2 の間で移行されるユーザー アカウントのパスワードの移行は失敗します。

        詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
        322981ADMTv2 を使用してフォレスト間のパスワード移行のトラブルシューティングを行う方法
      • Outlook クライアント:グローバル アドレス一覧は、Microsoft Exchange の Outlook クライアントには空が表示されます。

        詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
        318866グローバル カタログ サーバーにセキュリティ ロールアップ パッケージ 1 (SR) をインストールした後、outlook クライアントがグローバル アドレス一覧表示できなく
        321169 Windows XP から Windows 2000 ドメイン コント ローラーにファイルをコピーすると時間がかかる SMB のパフォーマンス
      • SMS:Microsoft Systems Management Server (SMS) のネットワーク探索は、オペレーティング システムの情報を取得することができなくなります。したがって、「不明」が書き込まプロパティの探索データ レコード (DDR) の SMS DDR プロパティを記述します。

        詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
        229769データ探索マネージャーがクライアント構成要求を生成するタイミングを決定
      • SMS:ユーザーおよびグループを参照するのには、SMS 管理のユーザー ウィザードを使用すると、ユーザーまたはグループは表示されません。さらに、アドバンスト クライアントは管理ポイントと通信できません。匿名アクセスは、管理ポイントを必要があります。

        詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
        302413ユーザーまたはグループの管理者ユーザー ウィザードで表示されません。
      • SMS:使用時、ネットワーク探索機能 SMS 2.0 では、リモート クライアントのインストールのオプションをオンに [トポロジ、クライアント、およびクライアントのオペレーティング システムネットワークの検出の探索されたコンピューターインストールされていない可能性がありますが。

        詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
        311257匿名接続が無効な場合にリソースが探索されません。
  10. ネットワーク セキュリティ: Lan Manager 認証レベル
    1. バック グラウンド

      LAN Manager (LM) 認証は、ネットワーク リソース、およびユーザーまたはコンピューターの認証にアクセスする Windows クライアントのドメインへの参加など、ネットワーク操作を認証するために使用されるプロトコルです。LM 認証レベルは、チャレンジ/レスポンス認証プロトコルがクライアント コンピューターとサーバー コンピューター間でネゴシエートされますを決定します。具体的には、LM 認証レベルは、クライアントをネゴシエートしようとします、または、サーバーが受け入れる認証プロトコルを決定します。LmCompatibilityLevel が設定されている値は、ネットワーク ログオンにどのチャレンジ/レスポンス認証プロトコルが使用されますを決定します。この値はクライアントが使用する認証プロトコルのレベル、ネゴシエートされるセッション セキュリティのレベルをサーバーで適用された認証レベルに影響します。

      設定できる値を次に示します。
      設定説明
      0 LM & NTLM 応答を送信します。クライアントは LM および NTLM 認証を使用し、NTLMv2 セッション セキュリティを使用することはありません。ドメイン コント ローラーは、LM、NTLM、および NTLMv2 認証を受け入れます。
      1LM & NTLM を送信 - ネゴシエーションの場合、NTLMv2 セッション セキュリティを使用クライアントは LM および NTLM 認証を使用して、サーバーがサポートしている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コント ローラーは、LM、NTLM、および NTLMv2 認証を受け入れます。
      2NTLM 応答のみ送信します。クライアントは NTLM 認証のみを使用して、サーバーがサポートしている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コント ローラーは、LM、NTLM、および NTLMv2 認証を受け入れます。
      3NTLMv2 応答のみ送信します。クライアントだけに NTLMv2 認証を使用して、サーバーがサポートしている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コント ローラーは、LM、NTLM、および NTLMv2 認証を受け入れます。
      4NTLMv2 応答のみ送信すると、LM を拒否します。クライアントだけに NTLMv2 認証を使用して、サーバーがサポートしている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コント ローラーは、LM を拒否して、NTLM および NTLMv2 の認証のみを受け入れます。
      5NTLMv2 応答のみ送信すると、LM & NTLM を拒否します。クライアントだけに NTLMv2 認証を使用して、サーバーがサポートしている場合は NTLMv2 セッション セキュリティを使用します。ドメイン コント ローラーは、LM と NTLM を拒否して、NTLMv2 認証のみを使用します。
      メモ Windows 95、Windows 98、および Windows 98 Second Edition でディレクトリ サービス クライアントは、Windows Server 2003 サーバーで NTLM 認証を使用して認証する場合に SMB 署名を使用します。ただし、これらのクライアントは SMB 署名、NTLMv2 認証を使用してこれらのサーバーでの認証時に使わないでください。さらに、Windows 2000 サーバーは SMB クライアントからの要求に署名するのには応答しません。

      、LM 認証レベル確認:NTLM を許可するサーバーのポリシーを変更する必要があります。 または NTLMv2 をサポートするようにクライアント コンピューターを構成する必要があります。

      (5) [NTLMv2 応答のみ LM & NTLM接続するターゲット コンピューターにポリシーが設定されている場合は、そのコンピューターの設定を下げるか、セキュリティを接続元のコンピューターに同じ設定を設定する必要があります。

      認証レベルをクライアントとサーバーが同じレベルに設定するのには、LAN マネージャーを変更することができます場所を特定します。およびそれ以前のバージョンの Windows を実行しているコンピューターに接続する場合は、LAN manager 認証レベルを設定するポリシーを検索すると、値の少なくとも削減(1) 送信 LM & NTLM の使用する NTLM バージョン 2 セッション セキュリティのネゴシエートされた場合。互換性のない設定の 1 つの影響は、サーバーが NTLMv2 が必要な場合 (値 5) が、クライアントは LM および NTLMv1 のみ (値 0) に設定されている、認証しようとしたユーザーが無効なパスワードおよび無効なパスワード カウントをインクリメントするログオンの失敗が発生します。アカウントのロックアウトが構成されている場合、ユーザーは最終的にロックアウトされる可能性があります。

      たとえば、ドメイン コント ローラーで、表示する必要があります。 または、ドメイン コント ローラーのポリシーを確認する必要があります。

      ドメイン コント ローラーを検索します。

      メモ すべてのドメイン コント ローラー上の次の手順を繰り返す必要があります。
      1. クリックしてください。 スタートをポイントするのには プログラムプロパティ 管理ツール.
      2. ローカル セキュリティの設定を展開 ローカル ポリシー.
      3. クリックしてください。 セキュリティ オプション.
      4. ダブルクリックします。 ネットワーク セキュリティ: LAN manager 認証レベル、をクリックし、[値] ボックスの一覧] をクリックします。

      効果的な設定とローカルの設定が同じ場合、ポリシーはこのレベルで変更されました。設定が異なる場合を確認するのには、ドメイン コント ローラーのポリシーを確認する必要があるかどうか、ネットワーク セキュリティ: LAN manager 認証レベルの設定が定義されています。定義されていない場合は、ドメイン コント ローラーのポリシーを確認します。

      調査ドメイン コント ローラーのポリシー
      1. クリックしてください。 スタートをポイントするのには プログラムプロパティ 管理ツール.
      2. で、 ドメイン コント ローラーのセキュリティ ポリシーを展開 セキュリティの設定、し、展開 ローカル ポリシー.
      3. クリックしてください。 セキュリティ オプション.
      4. ダブルクリックしてネットワーク セキュリティ: LAN manager 認証レベルをクリックし、[値] ボックスの一覧] をクリックします。

      • また (OU) のレベルで LAN manager の認証レベルを構成する必要がありますを確認するのには、サイト レベル、ドメイン レベル、または組織単位にリンクされているポリシーを確認する必要があります。
      • 既定のドメイン ポリシーとしてグループ ポリシーを実装する場合は、ドメイン内のすべてのコンピューターに、ポリシーが適用されます。
      • グループ ポリシーの設定、既定のドメイン コント ローラーのポリシーとして実装すると、ドメイン コント ローラーの OU 内のサーバーだけにポリシーを適用します。
      • LAN manager 認証レベル ポリシー アプリケーションの階層内で必要なスコープの一番低いエンティティで設定することをお勧めします。

      変更を行った後、ポリシーを更新します。(ローカル セキュリティ設定のレベルで変更する場合は、変更すぐです。テストの前にしかしは、クライアントを再起動する必要があります。)

      既定では、グループ ポリシーの設定のドメイン コント ローラーでは 5 分ごとに更新されます。すぐに、ポリシー設定は、Windows 2000 またはそれ以降の更新プログラムを強制的にするには、 gpupdateコマンドを使用します。

      Gpupdate/forceコマンドは、ローカルのグループ ポリシー設定およびセキュリティ設定も含め、Active Directory ディレクトリ サービスに基づくグループ ポリシー設定を更新します。このコマンドseceditコマンドはのなった/refreshpolicyオプションより優先されます。

      Gpupdateコマンドは、次の構文を使用します。
      gpupdate [/target: {コンピューター|user}] [/force] [/wait:[/logoff] [/boot]

      Gpupdateコマンドを使用して手動でポリシーのすべての設定を再適用するのには、新しいグループ ポリシー オブジェクト (GPO) を適用します。これを行うには、コマンド プロンプトで、次を入力し、Enter キーを押します。
      GPUpdate/Force
      ポリシー設定が正常に適用されているかどうかを確認するのには、アプリケーションのイベント ログを参照してください。

      Windows XP および Windows Server 2003 では、ポリシーの結果セット スナップインを使用を効果的な設定を参照してくださいすることができます。これを行うをクリックしてください。スタート[ Exchange Server 2010 SP1 をインストールした後 Outlook クライアント アプリケーションがパブリック フォルダーに接続できない] rsop.mscプロパティ ].

      ポリシーを変更した後も問題が解決しない場合は、Windows ベースのサーバーを再起動し、問題が解決されたことを確認します。

      メモ 複数の Windows 2000 ベースのドメイン コント ローラーの Windows Server 2003 ベースのドメイン コント ローラー、またはその両方がある場合、これらのドメイン コント ローラーの最新の変更をすぐがあることを確認するのには、Active Directory をレプリケートする必要があります。

      別の方法として、設定は一番低い設定で、ローカル セキュリティ ポリシーを設定することがあります。セキュリティ データベースで設定を適用することができる場合は、または LAN manager の認証レベルをレジストリにLmCompatibilityLevelのエントリには、次のレジストリ サブキーを編集することによって設定できます。
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
      Windows Server 2003 だけに NTLMv2 を使用する新しい既定の設定があります。既定では、Windows Server 2003 および Windows 2000 Server SP3 ベースのドメイン コント ローラーが有効になっている、"Microsoft ネットワーク サーバー: 通信に常に署名"ポリシー。この設定は、SMB サーバーが SMB パケット署名を実行する必要があります。ドメイン コント ローラー、ファイル サーバー、ネットワーク インフラストラクチャ サーバー、および組織内の Web サーバーのセキュリティを最大限に活用するのには、さまざまな設定が必要なため Windows Server 2003 への変更が行われました。

      ネットワークで NTLMv2 認証を実装する場合は、この認証レベルを使用するのには、ドメイン内のすべてのコンピューターが設定されていることを確認する必要があります。Active Directory クライアント拡張機能の Windows 95 または Windows 98 と Windows NT 4.0 に適用すると、NTLMv2 で利用可能な強化された認証機能、クライアント拡張機能を使用します。Windows 2000 のグループ ポリシー オブジェクトによって、次のオペレーティング システムのいずれかを実行しているクライアント コンピューターは影響を受けませんので、これらのクライアントを手動で構成する必要があります。
      • Microsoft Windows NT 4.0
      • Microsoft Windows Millennium Edition
      • Microsoft Windows 98
      • Microsoft Windows 95
      メモ 有効にするかどうかは、 ネットワーク セキュリティ: LAN manager のハッシュの値が次のパスワードの変更を保存しません。 ポリシーまたは設定します。 NoLMHash レジストリ キー、ディレクトリ サービス クライアントをインストールしていない Windows 95 および Windows 98 ベースのクライアントをドメインにパスワードの変更後ログオンできません。

      など、Novell Netware 6 CIFS がサード パーティの多くのサーバーは、NTLMv2 を認識しないので、NTLM のみを使用します。したがって、2 よりも高いレベルの接続を許可していません。

      LAN manager 認証レベルを手動で構成する方法の詳細については、マイクロソフト サポート技術情報の記事を表示するのには、次の資料番号をクリックします。
      147706Windows NT 上の LM 認証を無効にする方法
      175641 このとその効果
      299656 Windows Active Directory およびローカルの SAM データベース内のパスワードの LAN manager のハッシュの保存を禁止する方法
      312630 Outlook 用のログオン資格情報のプロンプトを表示し続けます
      LM 認証レベルの詳細については、マイクロソフト サポート技術情報の資料を参照する次の資料番号をクリックします。
      239869NTLM 2 認証を有効にする方法
    2. 危険な設定

      有害な構成設定を次に示します。
      • パスワードの送信に制限のない設定クリア テキストとは、NTLMv2 ネゴシエーションを拒否します。
      • 互換性のないようにする限定の設定一般的な認証プロトコルをネゴシエートするから、ドメイン コント ローラーまたはクライアント
      • メンバーのコンピューターで NTLMv2 認証を必要とします。バージョンの Windows NT 4.0 を実行しているドメイン コント ローラーです。以前のサービス パックの 4 (SP4)
      • Windows 95 で NTLMv2 認証を必要とします。クライアントまたは Windows 98 のクライアント、Windows ディレクトリがないです。サービスのクライアントをインストールします。
      • オンにすると、 NTLMv2 セッション セキュリティが必要 チェック ボックスで、Microsoft 管理コンソール グループ ポリシー エディター スナップインは、Windows Server 2003 または Windows 2000 Service Pack 3 ベースのコンピューター、LAN manager の認証レベルを 0 に削減、2 つの設定が競合、および、Secpol.msc ファイルまたは GPEdit.msc ファイルに次のエラー メッセージが表示されることがあります。
        Windows は、ローカル ポリシー データベースを開くことができません。データベースを開こうとしたときに原因不明のエラーが発生しました。
        セキュリティの構成と分析ツールの詳細については、Windows 2000 または Windows Server 2003 のヘルプ ファイルを参照してください。

        Windows 2000 および Windows Server 2003 のセキュリティ レベルを分析する方法の詳細については、マイクロソフト サポート技術情報の記事を表示するのには、次の資料番号をクリックします。
        313203Windows 2000 のシステム セキュリティを分析する方法
        816580 Windows Server 2003 でシステム セキュリティを分析する方法
    3. この設定を変更する理由
      • 最下位の共通を増加させるクライアントとドメイン コント ローラーでサポートされている認証プロトコル組織。
      • セキュリティで保護された認証は、ビジネスとはLM、NTLM のネゴシエーションを禁止する要求プロトコルです。
    4. この設定を無効にする理由

      クライアントまたはサーバーの認証の要件、またはその両方で共通のプロトコルで認証が発生することはできませんポイントに増加しました。
    5. シンボリック名:

      この
    6. レジストリ パス:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
    7. 互換性の問題の例
      • Windows Server 2003:既定では、設定する送信 Windows サーバー 2003 NTLMv2 NTLM 応答が表示されます。したがって、Windows Server 2003 OS クライアントからなどのベースのサーバーまたは Windows NT 4.0 ベースのクラスターに接続しようとすると、「アクセス拒否」のエラー メッセージ、最初のインストール後受け取ります。この問題は、以前のバージョンのクライアントから Windows Server 2003 ベースのサーバーに接続するときにも発生します。
      • Windows 2000 セキュリティ ロールアップ パッケージ 1 (SRP1) をインストールします。SRP1 NTLM バージョン 2 (NTLMv2) を強制します。このロールアップ パッケージは、Windows 2000 Service Pack 2 (SP2) のリリース後リリースされました。SRP1 の詳細については、マイクロソフト サポート技術情報の資料を参照する次の資料番号をクリックします。

        311401 Windows 2000 セキュリティ ロールアップ パッケージ 1、2002 年 1 月
      • Windows 7 および Windows Server 2008 R2します。 Novell Netware 6 または Linux ベースの Samba サーバーなどの多くのサードパーティ CIFS サーバ、NTLMv2 の気付いていない、NTLM のみを使用します。したがって、レベルの「2」より接続が許可されません。これで、オペレーティング システムのこのバージョンでは、LmCompatibilityLevel のデフォルト「3」が変更されました。Windows をアップグレードする場合、したがってこれらのサード パーティ製のファイラ働かなくなります。
      • 既にドメインにログオンしても Microsoft Outlook クライアントの資格情報を求められます。ユーザーの資格情報を入力するは、次のエラー メッセージが表示されます: Windows 7 および Windows Server 2008 R2 の
        指定したログオン資格情報が無効でした。ユーザー名とドメインが正しい、こと、再度パスワードを入力してください。
        Outlook を起動すると、パススルーまたはパスワード認証をログオン ネットワーク セキュリティ設定が設定されている場合でも、資格情報を必要があります。適切な資格情報を入力すると、次のエラー メッセージが表示されます。
        指定されたログイン資格情報が無効でした。
        グローバル カタログは、リモート プロシージャ コール (RPC) の障害は、状態が 0x5 ので発行すること、ネットワーク モニターのトレースが表示されます。状態 0x5 は、「アクセスが拒否されました」の
      • Windows 2000:ネットワーク モニターのキャプチャは、NetBIOS の TCP/IP (NetBT) サーバー メッセージ ブロック (SMB) セッションでの次のエラー メッセージ可能性があります。
        SMB R の検索ディレクトリの Dos のエラー (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) の無効なユーザー識別子
      • Windows 2000:NTLMv2 のレベル 2 またはそれ以降の Windows 2000 ドメインが信頼されている場合Windows NT 4.0 ドメインで、Windows 2000 ベースのメンバー コンピューター ・ リソースドメインの認証エラーが発生する可能性があります。

        詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
        305379Windows 2000 で NTLM 2 のレベル 2 では、Windows NT 4.0 ドメイン上での認証の問題
      • Windows 2000 および Windows XP:既定では、Windows 2000 および Windows XP [LAN Manager 認証レベル [ローカル セキュリティ ポリシー] オプションを 0 に設定します。[送信 LM と NTLM 応答します] に 0 を設定することを意味します。

        メモ Windows NT 4.0 ベースのクラスター LM 管理を使用する必要があります。
      • Windows 2000:Windows 2000 クラスタに参加するノードと認証を行っていません。両方のノードは、Windows NT 4.0 Service Pack 6a の一部である (SP6a) のドメイン。

        詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
        305379Windows 2000 で NTLM 2 のレベル 2 では、Windows NT 4.0 ドメイン上での認証の問題
      • IIS Lockdown ツール (HiSecWeb) LMCompatibilityLevel の値は 5、RestrictAnonymous の値を 2 に設定します。
      • Macintosh 用のサービス

        ユーザー認証モジュール (UAM):Microsoft UAM (ユーザー認証モジュール) Windows AFP (AppleTalk ファイリング プロトコル) サーバーへのログオンに使用したパスワードを暗号化する方法を説明します。アップル ユーザー認証モジュール (UAM) を最小限に提供、または暗号化なし。そのため、パスワードは LAN 上またはインターネット上簡単に傍受可能性があります。UAM は必須ではありませんが、Macintosh 用のサービスを実行する Windows 2000 サーバーに、暗号化された認証を提供は。このバージョンには、NTLMv2 128 ビット暗号化認証および MacOS X 10.1 対応のリリースのサポートが含まれます。

        既定では、Windows Server 2003 サービスの Macintosh サーバー Microsoft 認証のみを許可します。

        詳細について、マイクロソフト サポート技術記事を表示するには、次の資料番号をクリックしてください。
        834498Macintosh クライアントの Mac で Windows Server 2003 のサービスに接続できません。
        838331 Mac OS X ユーザーは、Windows Server 2003 ベースのサーバー上の Macintosh 共有フォルダーを開くことができません。
      • Windows Server 2008、Windows Server 2003、Windows XP、および Windows 2000:0 または 1 を指定して、NoLMHash 値を 1 に設定すると、LMCompatibilityLevel 値を構成する場合は、アプリケーションとコンポーネントに NTLM によってアクセスが拒否されます。この問題は、LM を有効にするが、LM で保存されているパスワードは使用しないようにコンピューターが構成されているために発生します。

        NoLMHash 値を 1 に構成するは、LMCompatibilityLevel 値を 2 以上に設定します。
  11. ネットワーク セキュリティ: 必須の署名している LDAP クライアント
    1. バック グラウンド

      ネットワーク セキュリティ: LDAP クライアントの要件を署名に要求されるデータ署名のレベルを設定ライトウェイト ディレクトリ アクセス プロトコル (LDAP) バインドを発行するクライアントの代理として次のとおり要求します。
      • なし: LDAP BIND 要求を発行、呼び出し元が指定したがオプションです。
      • ネゴシエーション署名: 場合は、Secure Sockets Layer/トランスポート層セキュリティ (SSL/TLS)されていない、LDAP BIND 要求は LDAP データを開始署名オプションまた、呼び出し元が指定したオプションを設定します。SSL/TLS がある場合されて、LDAP BIND 要求は呼び出し元が指定したが開始されますオプションです。
      • 必須署名: これはネゴシエーション署名] と同じです。ただし、LDAP サーバーの中間の場合 saslBindInProgress応答はありません LDAP トラフィックの署名が必要で、呼び出し元がLDAP BIND コマンド要求が失敗したことを通知します。
    2. 危険な設定

      有効にすると、ネットワーク セキュリティ: LDAP クライアントの要求に署名設定は危険な設定です。LDAP 署名を要求するようにサーバーを設定すると、クライアントでも LDAP 署名を構成する必要もあります。クライアントが LDAP 署名を使用するを構成しないと、サーバーとの通信ができなくなります。これは、ユーザー認証、グループ ポリシーの設定、ログオン スクリプト、およびその他の機能が失敗するが発生します。
    3. この設定を変更する理由

      署名されていないネットワーク トラフィックは、仲介者攻撃、侵入者、クライアントとサーバー間のパケットを取り込み、それらを変更、後サーバーに転送するの影響を受けです。LDAP サーバーの場合、攻撃者が LDAP クライアントからの偽のクエリに基づいた応答には、サーバー可能性があります。ネットワーク インフラストラクチャを保護するための強力な物理的セキュリティ対策を実装することにより、企業ネットワークにおけるこのリスクを減らすことができます。さらに、IPSec 認証ヘッダーを使用すべてのネットワーク パケットにデジタル署名を要求することで、あらゆる種類の仲介者攻撃を防止できます。
    4. シンボリック名:

      LDAPClientIntegrity
    5. レジストリ パス:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
  12. イベント ログ: セキュリティ ログの最大サイズ
    1. バック グラウンド

      イベント ログ: セキュリティ ログの最大サイズセキュリティ設定は、セキュリティ イベントの最大サイズを指定ログです。このログは、最大サイズは 4 GB です。この設定を検索するのには、展開します。 Windows の設定、し、展開 セキュリティ設定.
    2. 危険な設定

      有害な構成設定を次に示します。
      • セキュリティ ログのサイズおよびセキュリティを制限します。ログの保存方法と、監査: セキュリティ監査のログを記録できない場合システムをシャット ダウン設定が有効な。参照してください、「監査: セキュリティ監査ログを記録できない場合システムをシャット ダウン」の詳細については、この資料「。
      • したがって、セキュリティ ログのサイズを制限すること、セキュリティ関心のあるイベントが上書きされます。
    3. この設定値を大きくには、理由

      ビジネス要件とセキュリティ要件がありますが求められていることセキュリティ ログの詳細を処理するために、セキュリティ ログのサイズを増やすにセキュリティ ログは、時間の長い期間を保持します。
    4. この設定を小さくには、理由

      イベント ビューアーのログは、メモリ マップ ファイルです。最大値イベント ログのサイズが物理メモリの量によって制限されて、ローカル コンピューターと、イベント ログに使用可能な仮想メモリによってプロセスです。仮想メモリの容量より大きいログ サイズを増やすイベント ビューアーを使用するログ ・ エントリの数字は増えていません。維持します。
    5. 互換性の問題の例

      Windows 2000:Windows 2000 のバージョンを実行しているコンピューターです。Service Pack 4 (SP4) がイベント ログにイベントのログ記録を停止するよりも早く(手動でログを消去) イベントを上書きしない] オプションがオンになっている場合は、サイズに到達することでイベント ビューアーの最大ログ サイズ設定で指定されます。

      詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
      312571イベント ログ イベント ログが最大サイズに達する前にログの記録を停止します。
  13. イベント ログ: セキュリティ ログを保存します。
    1. バック グラウンド

      イベント ログ: セキュリティ ログの保存セキュリティ設定では、「ラッピング」方法をします。セキュリティ ログ。この設定を検索するのには、展開します。 Windows の設定,展開 セキュリティの設定.
    2. 危険な設定

      有害な構成設定を次に示します。
      • 保持に失敗するすべてのセキュリティ イベントの前に記録上書きされます。
      • 小さすぎる設定するセキュリティ イベントはセキュリティ ログの最大サイズを構成します。上書き
      • セキュリティ ログのサイズと保存期間の制限メソッドが、監査: セキュリティ監査のログを記録できない場合システムをシャット ダウンのセキュリティ設定が有効な
    3. この設定を有効にする理由

      のみを選択した場合は、この設定を有効にします。 日のイベントを上書きします。 保存方法。イベントをポーリングするイベント相関処理システムを使用する場合は、日数がポーリング周期の 3 倍以上であることを確認します。この失敗のポーリング ・ サイクルを許可する. します。
  14. ネットワーク アクセス: Everyone のアクセス許可を匿名ユーザーに適用します。
    1. バック グラウンド

      既定では、ネットワーク アクセス: Everyone のアクセス許可を匿名ユーザーに適用が定義されていないWindows Server 2003 に設定されています。既定では、Windows Server 2003 の匿名のアクセス トークン内の全員がありますグループ。
    2. 互換性の問題の例

      次の値
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
      [REG_DWORD] = 0x0 の区切りの信頼の作成 Windows Server 2003、および Windows NT 4.0、Windows Server 2003 ドメインで、アカウントのドメインが、Windows NT 4.0 ドメインはリソース ドメインとの間で。つまり、上の Windows NT 4.0 アカウント ドメインを信頼して、リソース ドメインを信頼する側の Windows Server 2003 にあります。この現象は、全員に匿名 SID が Windows NT 4.0 が含まれているトークンと ACL 最初の匿名の接続をした後、信頼を開始するプロセスをするために発生します。
    3. この設定を変更する理由

      値を 0x1 に設定または、ドメイン コント ローラーの OU に GPO を使用してに設定する必要があります:ネットワーク アクセス: Everyone のアクセス許可は有効に匿名ユーザーに適用する信頼の作成を可能にします。

      メモ 他のほとんどのセキュリティの設定の代わりに値 0x0 では、最もセキュリティで保護された状態を参照してください。より安全な方法はレジストリのすべてのドメイン コント ローラーをプライマリ ドメイン コント ローラー エミュレーターのロールを変更することです。何らかの理由でプライマリ ドメイン コント ローラー エミュレーターの役割を移動すると、新しいサーバーでレジストリを更新する必要があります。

      この値を設定すると、再起動が必要です。
    4. レジストリのパス
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
  15. NTLMv2 認証

    セッション セキュリティ

    セッション セキュリティはクライアントおよびサーバー セッションを最低限のセキュリティ標準を決定します。Microsoft 管理コンソールのグループ ポリシー エディター スナップインの次のセキュリティ ポリシー設定を確認することをお勧めします。
    • コンピューター構成設定セキュリティの設定ローカル ポリシー セキュリティ オプション
    • ネットワーク セキュリティ: 最小のセッション セキュリティ ベースの NTLM SSP セキュア RPC を含むサーバー
    • ネットワーク セキュリティ: 最小のセッション セキュリティ ベースの NTLM SSP セキュア RPC を含むクライアント
    これらの設定のオプションは次のとおりです。
    • メッセージの整合性が必要
    • メッセージの機密性が必要
    • NTLM バージョン 2 を必要とするセッションのセキュリティ
    • 128 ビット暗号化を要求します。
    既定の設定は、すべてです。

    これらポリシーでは、最低限のセキュリティ標準、アプリケーション間の通信セッションは、サーバー上のクライアントを指定します。

    これまで、Windows NT ネットワーク ログオン時に次の 2 種類のチャレンジ/レスポンス認証をサポートしています。
    • LM チャレンジ/レスポンス
    • NTLM version 1 チャレンジ/レスポンス
    LM は、インストール ベースのクライアントおよびサーバーと相互運用をできます。NTLM はクライアントとサーバー間の接続のセキュリティの向上を提供します。

    対応するレジストリ キーは次のとおりです。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

時刻の同期

時刻の同期に失敗しました。時間を 30 分以上は、影響を受けるコンピューター上でです。クライアント コンピューターの時計がドメイン コント ローラーの時計と同期されていることを確認します。

SMB 署名の回避策

SMB 署名の問題を回避を操作する方法の詳細については、ここをクリックします。
Service Pack 6a をインストールすることをお勧め (SP6a)、Windows Server 2003 ベースのドメインに相互運用可能の Windows NT 4.0 クライアントにします。NTLMv2 を実行するのには、ディレクトリ サービス クライアント Windows 98 Second Edition ベースのクライアント、Windows 98 ベースのクライアント、および Windows 95 ベースのクライアントを実行する必要があります。Windows NT 4.0 ベースのクライアントでは Windows NT 4.0 SP6 のインストールまたは Windows 95 クライアント、Windows 98 ベースのクライアント、および Windows 98 se ベースのクライアントの操作を行いますが、ディレクトリ サービス クライアントがインストールされているかどうかがあるない場合は、SMB 署名はドメイン コント ローラーの OU 上の設定、既定のドメイン コント ローラーのポリシーで無効にして、このポリシー設定をドメイン コント ローラーをホストするすべての Ou にリンクします。

ディレクトリ サービス クライアントを Windows 98 Second Edition、Windows 98、および Windows 95 の SMB 署名を Windows 2003 サーバーで NTLM 認証が NTLMv2 認証ではなく実行されます。さらに、Windows 2000 サーバーへの SMB 署名要求をこれらのクライアント応答しません。

マイクロソフトでは推奨していませんが、ドメインに Windows Server 2003 を実行するすべてのドメイン コント ローラー上の必要から、SMB 署名を防ぐことができます。このセキュリティ設定を構成するのには、次の手順を実行します。
  1. 既定のドメイン コント ローラーのポリシー] を開きます。
  2. [コンピューターの構成 \windows の設定セキュリティの設定ローカル ポリシー セキュリティ オプション] フォルダーを開きます。
  3. 検索しをクリックして、 Microsoft ネットワーク サーバー: 通信に常に署名] ポリシー設定をクリックし、[無効] をクリックします。
重要このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。そのため、この手順を慎重に実行するようにしてください。万一に備えて、編集の前にレジストリをバックアップしてください。そうすることで、問題が発生した場合でもレジストリを復元できます。レジストリをバックアップおよび復元する方法の詳細については、以下のサポート技術情報番号をクリックしてください。
322756 Windows でレジストリをバックアップおよび復元する方法
また、そのサーバーでレジストリを変更することによって SMB 署名オフにします。これを行うには、次の手順を実行します。
  1. クリックしてください。 スタート[ Exchange Server 2010 SP1 をインストールした後 Outlook クライアント アプリケーションがパブリック フォルダーに接続できない] regeditプロパティ ].
  2. 次のサブ キーを見つけて、クリックします。
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters
  3. クリックして、 enablesecuritysignature エントリです。
  4. で、 編集 メニューをクリックして 変更.
  5. で、 [値のデータ ボックス型 0プロパティ ].
  6. レジストリ エディターを終了します。
  7. コンピューターを再起動または停止し、サーバー サービスを再起動します。これを行うには、コマンド プロンプトで、次のコマンドを入力し、各コマンドの入力後、Enter キーを押します。
    net stop server
    net start server
メモ 対応するキーがクライアント コンピューター上で次のレジストリ サブキーです。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters
変換後のエラー コード番号は状態コードに、上記で説明した、正確なエラー メッセージを次に示します。
エラー 5
ERROR_ACCESS_DENIED
アクセスが拒否されました。
エラー 1326
ERROR_LOGON_FAILURE
ログオン失敗: 不明なユーザー名またはパスワードが間違っています。
エラー 1788
ERROR_TRUSTED_DOMAIN_FAILURE
プライマリ ドメインと信頼される側のドメイン間の信頼関係に失敗しました。
エラー 1789
ERROR_TRUSTED_RELATIONSHIP_FAILURE
このワークステーションとプライマリ ドメインとの信頼関係に失敗しました。
詳細について、マイクロソフト サポート技術記事を表示するには、次の資料番号をクリックしてください。
324802Windows Server 2003 のシステム サービスのセキュリティを設定するのには、グループ ポリシーを構成する方法
306771 Windows Server 2003 クラスターを構成した後の「アクセス拒否」エラー メッセージ
101747 Macintosh では、Microsoft の認証をインストールする方法
161372 SMB 署名の Windows NT でを有効にする方法
236414 NTLM 2 の認証にのみ設定を LMCompatibilityLevel で共有を使用することはできません。
241338 その後のログオンの利用状況を Windows NT LAN Manager バージョン 3 クライアントの最初のログオンを防ぐことが
262890 混在環境でホーム ディレクトリ ドライブの接続を取得できません。
308580 ホーム フォルダー マッピングをダウンレベルのサーバーへのログオン時に動作しません。
285901 リモート アクセス、VPN、および RIS クライアントは、NTLM バージョン 2 認証のみを受け付けるように構成されているサーバーとのセッションを確立することはできません
816585 Windows Server 2003 で定義済みのセキュリティ テンプレートを適用する方法
820281 HTTP 機能で Outlook 2003 の RPC を使用して Exchange Server 2003 に接続すると、Windows アカウントの資格情報を提供する必要があります。
ユーザー権利のセキュリティ互換性互換性レジストリの設定安全なグループ ポリシー acl 権利 gpedit pdce

警告: この記事は自動翻訳されています

プロパティ

文書番号:823659 - 最終更新日: 07/16/2013 01:31:00 - リビジョン: 26.1

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Workstation 4.0 Developer Edition, Microsoft Windows 98 Standard Edition, Microsoft Windows 95

  • kbinfo kbmt KB823659 KbMtja
フィードバック
&t=">