Client-, service- en programmaproblemen kunnen optreden als u beveiligingsinstellingen en toewijzingen van gebruikersrechten wijzigt

Windows XP

Als u de kennis van onjuist geconfigureerde beveiligingsinstellingen wilt vergroten, gebruikt u het hulpprogramma groepsbeleid Objecteditor om beveiligingsinstellingen te wijzigen. Wanneer u groepsbeleid objecteditor gebruikt, worden toewijzingen van gebruikersrechten verbeterd op de volgende besturingssystemen:

• Windows XP Professional Service Pack 2 (SP2)

• Windows Server 2003 Service Pack 1 (SP1)

De verbeterde functie is een dialoogvenster met een koppeling naar dit artikel. Het dialoogvenster wordt weergegeven wanneer u een beveiligingsinstelling of een toewijzing van gebruikersrechten wijzigt in een instelling die minder compatibiliteit biedt en restrictiever is. Als u dezelfde beveiligingsinstelling of toewijzing van gebruikersrechten rechtstreeks wijzigt met behulp van het register of met behulp van beveiligingssjablonen, is het effect hetzelfde als het wijzigen van de instelling in groepsbeleid objecteditor. Het dialoogvenster met de koppeling naar dit artikel wordt echter niet weergegeven.

Dit artikel bevat voorbeelden van clients, programma's en bewerkingen die worden beïnvloed door specifieke beveiligingsinstellingen of toewijzingen van gebruikersrechten. De voorbeelden zijn echter niet bindend voor alle Microsoft-besturingssystemen, voor alle besturingssystemen van derden of voor alle programmaversies die worden beïnvloed. Niet alle beveiligingsinstellingen en toewijzingen van gebruikersrechten zijn opgenomen in dit artikel.

We raden u aan de compatibiliteit van alle beveiligingsgerelateerde configuratiewijzigingen in een testforest te valideren voordat u deze in een productieomgeving introduceert. Het testforest moet het productieforest op de volgende manieren spiegelen:

• Client- en serverbesturingssysteemversies, client- en serverprogramma's, servicepackversies, hotfixes, schemawijzigingen, beveiligingsgroepen, groepslidmaatschappen, machtigingen voor objecten in het bestandssysteem, gedeelde mappen, het register, Active Directory-adreslijstservice, lokale en groepsbeleid-instellingen, en type en locatie van het aantal objecten

• Beheertaken die worden uitgevoerd, beheerhulpprogramma's die worden gebruikt en besturingssystemen die worden gebruikt om beheertaken uit te voeren

• Bewerkingen die worden uitgevoerd, zoals de volgende:

  • Aanmeldingsverificatie voor computers en gebruikers

  • Wachtwoord opnieuw instellen door gebruikers, computers en beheerders

  • Browsen

  • Machtigingen instellen voor het bestandssysteem, voor gedeelde mappen, voor het register en voor Active Directory-resources met behulp van ACL-editor in alle clientbesturingssystemen in alle account- of resourcedomeinen van alle clientbesturingssystemen van alle account- of resourcedomeinen

  • Afdrukken vanaf beheerders- en niet-beheerdersaccounts

Windows Server 2003 SP1

Gebruikersrechten

De volgende lijst beschrijft een gebruikersrecht, identificeert configuratie-instellingen die problemen kunnen veroorzaken, beschrijft waarom u het gebruikersrecht moet toepassen en waarom u het gebruikersrecht wilt verwijderen, en bevat voorbeelden van compatibiliteitsproblemen die kunnen optreden wanneer het gebruikersrecht is geconfigureerd.

1. Toegang tot deze computer vanuit het netwerk

   1. Achtergrond
      
      De mogelijkheid om te communiceren met externe Windows-computers vereist toegang tot deze computer vanuit het netwerkgebruikersrecht. Voorbeelden van dergelijke netwerkbewerkingen zijn:

      • Replicatie van Active Directory tussen domeincontrollers in een gemeenschappelijk domein of forest

      • Verificatieaanvragen voor domeincontrollers van gebruikers en van computers

      • Toegang tot gedeelde mappen, printers en andere systeemservices die zich op externe computers in het netwerk bevinden

      
      
      Gebruikers, computers en serviceaccounts krijgen of verliezen toegang tot deze computer uit het netwerkgebruikersrecht door expliciet of impliciet te worden toegevoegd aan of verwijderd uit een beveiligingsgroep waaraan dit gebruikersrecht is verleend. Een gebruikersaccount of computeraccount kan bijvoorbeeld expliciet door een beheerder worden toegevoegd aan een aangepaste beveiligingsgroep of een ingebouwde beveiligingsgroep, of impliciet door het besturingssysteem worden toegevoegd aan een berekende beveiligingsgroep, zoals domeingebruikers, geverifieerde gebruikers of ondernemingsdomeincontrollers.
      
      Standaard krijgen gebruikersaccounts en computeraccounts toegang tot deze computer vanuit het netwerkgebruikersrecht wanneer berekende groepen zoals Iedereen of, bij voorkeur, geverifieerde gebruikers en, voor domeincontrollers, de groep Ondernemingsdomeincontrollers, worden gedefinieerd in de standaarddomeincontrollers groepsbeleid Object (GPO).

   2. Riskante configuraties
      
      Hieronder vindt u schadelijke configuratie-instellingen:

      • De beveiligingsgroep Ondernemingsdomeincontrollers verwijderen uit dit gebruikersrecht

      • Verwijderen van de groep Geverifieerde gebruikers of een expliciete groep waarmee gebruikers, computers en serviceaccounts het gebruikersrecht hebben om via het netwerk verbinding te maken met computers

      • Alle gebruikers en computers uit dit gebruikersrecht verwijderen

   3. Redenen om dit gebruikersrecht te verlenen

      • Het verlenen van toegang tot deze computer vanuit het netwerkgebruikersrecht aan de groep Ondernemingsdomeincontrollers voldoet aan de verificatievereisten die Active Directory-replicatie moet hebben om replicatie tussen domeincontrollers in hetzelfde forest te kunnen uitvoeren.

      • Met dit gebruikersrecht hebben gebruikers en computers toegang tot gedeelde bestanden, printers en systeemservices, waaronder Active Directory.

      • Dit gebruikersrecht is vereist voor gebruikers om toegang te krijgen tot e-mail met behulp van eerdere versies van Microsoft Outlook Web Access (OWA).

   4. Redenen om dit gebruikersrecht te verwijderen

      • Gebruikers die hun computers met het netwerk kunnen verbinden, hebben toegang tot bronnen op externe computers waarvoor ze machtigingen hebben. Dit gebruikersrecht is bijvoorbeeld vereist voor een gebruiker om verbinding te maken met gedeelde printers en mappen. Als dit gebruikersrecht wordt verleend aan de groep Iedereen en als voor sommige gedeelde mappen zowel share- als NTFS-bestandssysteemmachtigingen zijn geconfigureerd zodat dezelfde groep leestoegang heeft, kan iedereen bestanden in die gedeelde mappen bekijken. Dit is echter een onwaarschijnlijke situatie voor nieuwe installaties van Windows Server 2003, omdat de standaardshare en de NTFS-machtigingen in Windows Server 2003 niet de groep Iedereen bevatten. Voor systemen die zijn geüpgraded van Microsoft Windows NT 4.0 of Windows 2000, kan dit beveiligingsprobleem een hoger risiconiveau hebben omdat de standaardshare en de bestandssysteemmachtigingen voor deze besturingssystemen niet zo beperkend zijn als de standaardmachtigingen in Windows Server 2003.

      • Er is geen geldige reden om de groep Ondernemingsdomeincontrollers uit dit gebruikersrecht te verwijderen.

      • De groep Iedereen wordt over het algemeen verwijderd ten gunste van de groep Geverifieerde gebruikers. Als de groep Iedereen wordt verwijderd, moet aan de groep Geverifieerde gebruikers dit gebruikersrecht worden verleend.

      • Windows NT 4.0-domeinen die zijn geüpgraded naar Windows 2000 verlenen deze computer niet expliciet toegang tot deze computer vanuit de netwerkgebruiker aan de groep Iedereen, de groep Geverifieerde gebruikers of de groep Ondernemingsdomeincontrollers. Wanneer u de groep Iedereen verwijdert uit het domeinbeleid van Windows NT 4.0, mislukt de Active Directory-replicatie met het foutbericht 'Toegang geweigerd' nadat u een upgrade naar Windows 2000 hebt uitgevoerd. Winnt32.exe in Windows Server 2003 voorkomt deze onjuiste configuratie door de groep Ondernemingsdomeincontrollers deze gebruiker recht te verlenen wanneer u windows NT 4.0 primaire domeincontrollers (PDU's) bijwerkt. Verleen de groep Ondernemingsdomeincontrollers dit gebruikersrecht als deze niet aanwezig is in de groepsbeleid objecteditor.

   5. Voorbeelden van compatibiliteitsproblemen

      • Windows 2000 en Windows Server 2003: Replicatie van de volgende partities mislukt met 'Toegang geweigerd'-fouten zoals gerapporteerd door bewakingsprogramma's zoals REPLMON en REPADMIN of replicatiegebeurtenissen in het gebeurtenislogboek.

        • Active Directory-schemapartitie

        • Configuratiepartitie

        • Domeinpartitie

        • Globale cataloguspartitie

        • Toepassingspartitie

      • Alle Microsoft-netwerkbesturingssystemen: verificatie van gebruikersaccounts vanaf clientcomputers van externe netwerken mislukt, tenzij de gebruiker of een beveiligingsgroep waarvan de gebruiker lid is, dit gebruikersrecht heeft gekregen.

      • Alle Microsoft-netwerkbesturingssystemen: accountverificatie van externe netwerkclients mislukt, tenzij aan het account of een beveiligingsgroep waarvan het account lid is dit gebruikersrecht is verleend. Dit scenario is van toepassing op gebruikersaccounts, computeraccounts en serviceaccounts.

      • Alle Microsoft-netwerkbesturingssystemen: als u alle accounts uit dit gebruikersrecht verwijdert, voorkomt u dat een account zich aanmeldt bij het domein of toegang heeft tot netwerkbronnen. Als berekende groepen, zoals enterprise-domeincontrollers, iedereen of geverifieerde gebruikers, worden verwijderd, moet u deze gebruiker expliciet het recht verlenen aan accounts of aan beveiligingsgroepen waarvan het account lid is om toegang te krijgen tot externe computers via het netwerk. Dit scenario is van toepassing op alle gebruikersaccounts, op alle computeraccounts en op alle serviceaccounts.

      • Alle Microsoft-netwerkbesturingssystemen: het lokale beheerdersaccount gebruikt een 'leeg' wachtwoord. Netwerkconnectiviteit met lege wachtwoorden is niet toegestaan voor beheerdersaccounts in een domeinomgeving. Met deze configuratie kunt u verwachten dat u het foutbericht 'Toegang geweigerd' ontvangt.

2. Lokaal aanmelden toestaan

   1. Achtergrond
      
      Gebruikers die zich proberen aan te melden bij de console van een Windows-computer (met behulp van de sneltoets Ctrl+Alt+DELETE) en accounts die een service proberen te starten, moeten lokale aanmeldingsbevoegdheden hebben op de hostcomputer. Voorbeelden van lokale aanmeldingsbewerkingen zijn beheerders die zich aanmelden bij de consoles van lidcomputers of domeincontrollers in de hele onderneming en domeingebruikers die zich aanmelden bij lidcomputers om toegang te krijgen tot hun bureaubladen met behulp van niet-bevoegde accounts. Gebruikers die een verbinding met extern bureaublad of Terminal Services gebruiken, moeten lokaal aanmelden toestaan hebben op doelcomputers met Windows 2000 of Windows XP, omdat deze aanmeldingsmodi worden beschouwd als lokaal op de hostcomputer. Gebruikers die zich aanmelden bij een server waarop Terminal Server is ingeschakeld en die dit gebruikersrecht niet hebben, kunnen nog steeds een externe interactieve sessie starten in Windows Server 2003-domeinen als ze het gebruikersrecht Aanmelden via Terminal Services toestaan hebben.

   2. Riskante configuraties
      
      Hieronder vindt u schadelijke configuratie-instellingen:

      • Het verwijderen van beheerbeveiligingsgroepen, waaronder accountoperators, back-upoperators, afdrukoperators of serveroperators, en de ingebouwde groep Administrators uit het standaardbeleid van de domeincontroller.

      • Het verwijderen van serviceaccounts die worden gebruikt door onderdelen en door programma's op lidcomputers en op domeincontrollers in het domein uit het standaardbeleid van de domeincontroller.

      • Gebruikers of beveiligingsgroepen verwijderen die zich aanmelden bij de console van lidcomputers in het domein.

      • Serviceaccounts verwijderen die zijn gedefinieerd in de lokale SAM-database (Security Accounts Manager) van lidcomputers of werkgroepcomputers.

      • Niet-ingebouwde beheerdersaccounts verwijderen die worden geverifieerd via Terminal Services die worden uitgevoerd op een domeincontroller.

      • Alle gebruikersaccounts in het domein expliciet of impliciet via de groep Iedereen toevoegen aan het lokaal aanmeldingsrecht weigeren. Deze configuratie voorkomt dat gebruikers zich aanmelden bij een lidcomputer of op een domeincontroller in het domein.

   3. Redenen om dit gebruikersrecht te verlenen

      • Gebruikers moeten het recht hebben om lokaal aanmelden toe te staan om toegang te krijgen tot de console of het bureaublad van een werkgroepcomputer, een lidcomputer of een domeincontroller.

      • Gebruikers moeten dit gebruikersrecht hebben om zich aan te melden via een Terminal Services-sessie die wordt uitgevoerd op een lidcomputer of domeincontroller op basis van Windows 2000.

   4. Redenen om dit gebruikersrecht te verwijderen

      • Als u de toegang van de console tot legitieme gebruikersaccounts niet beperkt, kunnen onbevoegde gebruikers schadelijke code downloaden en uitvoeren om hun gebruikersrechten te wijzigen.

      • Als u het lokaal gebruikersrecht Aanmelden toestaan verwijdert, voorkomt u dat onbevoegde aanmeldingen worden gebruikt op de consoles van computers, zoals domeincontrollers of toepassingsservers.

      • Als u dit aanmeldingsrecht verwijdert, kunnen niet-domeinaccounts zich niet aanmelden op de console van lidcomputers in het domein.

   5. Voorbeelden van compatibiliteitsproblemen

      • Windows 2000-terminalservers: het recht Lokaal aanmelden toestaan is vereist voor gebruikers om zich aan te melden bij Windows 2000-terminalservers.

      • Windows NT 4.0, Windows 2000, Windows XP of Windows Server 2003: aan gebruikersaccounts moet dit gebruikersrecht worden verleend om zich aan te melden bij de console van computers met Windows NT 4.0, Windows 2000, Windows XP of Windows Server 2003.

      • Windows NT 4.0 en hoger: op computers met Windows NT 4.0 en hoger, als u lokaal gebruikersrecht toestaan toevoegt, maar u impliciet of expliciet ook het lokaal aanmeldingsrecht Weigeren verleent, kunnen de accounts zich niet aanmelden bij de console van de domeincontrollers.

3. Controle van doorkruising overslaan

   1. Achtergrond
      
      Met het gebruikersrecht Bypass-doorkruising kan de gebruiker bladeren door mappen in het NTFS-bestandssysteem of in het register zonder te controleren op de speciale toegangsmachtiging voor Traverse-mappen. Het gebruikersrecht Bypass-doorkruising staat de gebruiker niet toe de inhoud van een map weer te geven. Hiermee kan de gebruiker alleen de mappen doorkruisen.

   2. Riskante configuraties
      
      Hieronder vindt u schadelijke configuratie-instellingen:

      • Het verwijderen van niet-beheerdersaccounts die zich aanmelden bij Terminal Services-computers met Windows 2000 of Op Windows Server 2003 gebaseerde Terminal Services-computers die geen machtigingen hebben voor toegang tot bestanden en mappen in het bestandssysteem.

      • De groep Iedereen verwijderen uit de lijst met beveiligingsprincipals die dit gebruikersrecht standaard hebben. Windows-besturingssystemen, en ook veel programma's, zijn ontworpen met de verwachting dat iedereen die legitiem toegang heeft tot de computer, het bypass-controlerecht heeft. Daarom kan het verwijderen van de groep Iedereen uit de lijst met beveiligingsprincipals met dit gebruikersrecht standaard leiden tot instabiliteit van het besturingssysteem of tot programmafouten. Het is beter dat u deze instelling op de standaardinstelling laat staan.

   3. Redenen om dit gebruikersrecht
      
      te verlenen De standaardinstelling voor het gebruikersrecht Omkruising doorkruisen is om iedereen toe te staan om de controle van de doorkruising te omzeilen. Voor ervaren Windows-systeembeheerders is dit het verwachte gedrag en configureren ze de toegangsbeheerlijsten (SACL's) van het bestandssysteem dienovereenkomstig. Het enige scenario waarin de standaardconfiguratie kan leiden tot een probleem is als de beheerder die machtigingen configureert het gedrag niet begrijpt en verwacht dat gebruikers die geen toegang hebben tot een bovenliggende map geen toegang hebben tot de inhoud van onderliggende mappen.

   4. Redenen om dit gebruikersrecht
      
      te verwijderen Om toegang tot de bestanden of de mappen in het bestandssysteem te voorkomen, kunnen organisaties die erg bezorgd zijn over de beveiliging, geneigd zijn om de groep Iedereen of zelfs de groep Gebruikers te verwijderen uit de lijst met groepen met het gebruikersrecht Bypass-controle.

   5. Voorbeelden van compatibiliteitsproblemen

      • Windows 2000, Windows Server 2003: Als het gebruikersrecht Bypass-controle is verwijderd of onjuist is geconfigureerd op computers met Windows 2000 of Windows Server 2003, worden groepsbeleid instellingen in de SYVOL-map niet gerepliceerd tussen domeincontrollers in het domein.

      • Windows 2000, Windows XP Professional, Windows Server 2003: Computers met Windows 2000, Windows XP Professional of Windows Server 2003 registreren gebeurtenissen 1000 en 1202 en kunnen geen computerbeleid en gebruikersbeleid toepassen wanneer de vereiste bestandssysteemmachtigingen worden verwijderd uit de SYSVOL-structuur als het gebruikersrecht bypass-controle is verwijderd of onjuist is geconfigureerd.
        
         

      • Windows 2000, Windows Server 2003: Op computers met Windows 2000 of Windows Server 2003 verdwijnt het tabblad Quota in Windows Verkenner wanneer u eigenschappen op een volume weergeeft.

      • Windows 2000: Niet-beheerders die zich aanmelden bij een Windows 2000-terminalserver ontvangen mogelijk het volgende foutbericht:

        Userinit.exe toepassingsfout. De toepassing kan niet goed worden geïnitialiseerd 0xc0000142 klik op OK om de app te beëindigen.

      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Gebruikers met Windows NT 4.0, Windows 2000, Windows XP of Windows Server 2003 hebben mogelijk geen toegang tot gedeelde mappen of bestanden in gedeelde mappen, en ze kunnen foutberichten 'Toegang geweigerd' ontvangen als ze het gebruikersrecht Bypass-traversecontrole niet krijgen.
        
        
         

      • Windows NT 4.0: Op computers met Windows NT 4.0 zorgt het verwijderen van het gebruikersrecht bypass-controle ervoor dat een bestandskopie bestandsstromen verwijdert. Als u dit gebruikersrecht verwijdert wanneer een bestand wordt gekopieerd van een Windows-client of van een Macintosh-client naar een Windows NT 4.0-domeincontroller waarop Services voor Macintosh wordt uitgevoerd, gaat de doelbestandsstroom verloren en wordt het bestand weergegeven als een tekstbestand.

      • Microsoft Windows 95, Microsoft Windows 98: Op een clientcomputer waarop Windows 95 of Windows 98 wordt uitgevoerd, mislukt de opdracht net use * /home met het foutbericht 'Toegang geweigerd' als de groep Geverifieerde gebruikers niet het gebruikersrecht Bypass-controle heeft.

      • Outlook Web Access: niet-beheerders kunnen zich niet aanmelden bij Microsoft Outlook Web Access en krijgen een foutbericht 'Toegang geweigerd' als ze niet het gebruikersrecht Bypass-controle krijgen.

Beveiligingsinstellingen

De volgende lijst identificeert een beveiligingsinstelling en de geneste lijst bevat een beschrijving van de beveiligingsinstelling, identificeert configuratie-instellingen die problemen kunnen veroorzaken, beschrijft waarom u de beveiligingsinstelling moet toepassen en beschrijft vervolgens waarom u de beveiligingsinstelling wilt verwijderen. De geneste lijst bevat vervolgens een symbolische naam voor de beveiligingsinstelling en het registerpad van de beveiligingsinstelling. Ten slotte worden er voorbeelden gegeven van compatibiliteitsproblemen die kunnen optreden wanneer de beveiligingsinstelling is geconfigureerd.

1. Controle: Systeem onmiddellijk afsluiten als er geen beveiligingscontroles kunnen worden geregistreerd

   1. Achtergrond

      • De controle: het systeem onmiddellijk afsluiten als er geen beveiligingscontroles kunnen worden geregistreerd, bepaalt of het systeem wordt afgesloten als u geen beveiligingsgebeurtenissen kunt vastleggen. Deze instelling is vereist voor de C2-evaluatie van het TCSEC-programma (Trusted Computer Security Evaluation Criteria) en voor de algemene criteria voor de evaluatie van informatietechnologiebeveiliging om controlebare gebeurtenissen te voorkomen als het controlesysteem deze gebeurtenissen niet kan registreren. Als het controlesysteem uitvalt, wordt het systeem afgesloten en wordt het foutbericht Stop weergegeven.

      • Als de computer geen gebeurtenissen kan vastleggen in het beveiligingslogboek, is er mogelijk geen kritiek bewijs of belangrijke informatie over probleemoplossing beschikbaar voor controle na een beveiligingsincident.

   2. Riskante configuratie
      
      Hier volgt een schadelijke configuratie-instelling: De controle: het systeem onmiddellijk afsluiten als de instelling voor beveiligingscontroles niet kan worden geregistreerd, en de grootte van het beveiligingsgebeurtenislogboek wordt beperkt door de optie Gebeurtenissen niet overschrijven (handmatig wissen), de optie Gebeurtenissen overschrijven indien nodig of de optie Gebeurtenissen overschrijven ouder dan aantal dagen in Logboeken. Zie de sectie Voorbeelden van compatibiliteitsproblemen voor informatie over specifieke risico's voor computers met de oorspronkelijke uitgebrachte versie van Windows 2000, Windows 2000 Service Pack 1 (SP1), Windows 2000 SP2 of Windows 2000 SP3.

   3. Redenen om deze instelling
      
      in te schakelen Als de computer geen gebeurtenissen kan vastleggen in het beveiligingslogboek, is er mogelijk geen kritiek bewijs of belangrijke informatie over probleemoplossing beschikbaar voor controle na een beveiligingsincident.

   4. Redenen om deze instelling uit te schakelen

      • Controle inschakelen: sluit het systeem onmiddellijk af als de instelling voor beveiligingscontroles niet kan worden geregistreerd, waardoor het systeem wordt gestopt als een beveiligingscontrole om welke reden dan ook niet kan worden geregistreerd. Normaal gesproken kan een gebeurtenis niet worden geregistreerd wanneer het beveiligingscontrolelogboek vol is en wanneer de opgegeven bewaarmethode de optie Gebeurtenissen niet overschrijven (handmatig logboek wissen) of de optie Gebeurtenissen ouder dan aantal dagen overschrijven is.

      • De administratieve last van het inschakelen van de controle: het systeem onmiddellijk afsluiten als de instelling voor beveiligingscontroles niet kan worden geregistreerd, kan zeer hoog zijn, met name als u ook de optie Gebeurtenissen niet overschrijven (handmatig logboek wissen) voor het beveiligingslogboek inschakelt. Deze instelling biedt afzonderlijke verantwoordelijkheid voor operatoracties. Een beheerder kan bijvoorbeeld machtigingen opnieuw instellen voor alle gebruikers, computers en groepen in een organisatie-eenheid (OE) waar controle is ingeschakeld met behulp van het ingebouwde beheerdersaccount of een ander gedeeld account en vervolgens weigeren dat ze dergelijke machtigingen opnieuw instellen. Het inschakelen van de instelling vermindert echter de robuustheid van het systeem omdat een server kan worden gedwongen af te sluiten door deze te overdonderen met aanmeldings gebeurtenissen en met andere beveiligings gebeurtenissen die naar het beveiligingslogboek worden geschreven. Omdat het afsluiten niet netjes is, kan dit leiden tot onherstelbare schade aan het besturingssysteem, programma's of gegevens. Hoewel NTFS garandeert dat de integriteit van het bestandssysteem behouden blijft tijdens het afsluiten van het systeem, kan het niet garanderen dat elk gegevensbestand voor elk programma nog steeds in een bruikbare vorm is wanneer het systeem opnieuw wordt opgestart.

   5. Symbolische naam:
      
      CrashOnAuditFail

   6. Registerpad:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

   7. Voorbeelden van compatibiliteitsproblemen

      • Windows 2000: Vanwege een fout kunnen computers met de oorspronkelijke uitgebrachte versie van Windows 2000, Windows 2000 SP1, Windows 2000 SP2 of Windows Server SP3 de logboekregistratie van gebeurtenissen stoppen voordat de grootte die is opgegeven in de optie Maximale logboekgrootte voor het beveiligingslogboek is bereikt. Deze fout is opgelost in Windows 2000 Service Pack 4 (SP4). Zorg ervoor dat Windows 2000 Service Pack 4 op uw Windows 2000-domeincontrollers is geïnstalleerd voordat u deze instelling inschakelt.
        
         

      • Windows 2000, Windows Server 2003: Computers met Windows 2000 of Windows Server 2003 reageren mogelijk niet meer en kunnen vervolgens spontaan opnieuw worden opgestart als de instelling Controle: Systeem onmiddellijk afsluiten als de instelling voor beveiligingscontroles niet kan worden ingeschakeld, het beveiligingslogboek vol is en een bestaande gebeurtenislogboekvermelding niet kan worden overschreven. Wanneer de computer opnieuw wordt opgestart, wordt het volgende foutbericht weergegeven:

        STOP: C0000244 {Controle mislukt}
        Een poging om een beveiligingscontrole te genereren is mislukt.

        Om te herstellen, moet een beheerder zich aanmelden, het beveiligingslogboek archiveren (optioneel), het beveiligingslogboek wissen en deze optie opnieuw instellen (optioneel en indien nodig).

      • Microsoft Network Client voor MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Niet-beheerders die zich proberen aan te melden bij een domein, ontvangen het volgende foutbericht:

        Uw account is geconfigureerd om te voorkomen dat u deze computer gebruikt. Probeer een andere computer.

      • Windows 2000: Op computers met Windows 2000 kunnen niet-beheerders zich niet aanmelden bij rasservers en ontvangen ze een foutbericht dat er ongeveer als volgt uitziet:

        Onbekende gebruiker of ongeldig wachtwoord

      • Windows 2000: Op Windows 2000-domeincontrollers wordt de Intersite Messaging-service (Ismserv.exe) gestopt en kan deze niet opnieuw worden gestart. DCDIAG meldt de fout als 'failed test services ISMserv' en gebeurtenis-id 1083 wordt geregistreerd in het gebeurtenislogboek.

      • Windows 2000: Op Windows 2000-domeincontrollers mislukt Active Directory-replicatie en wordt het bericht 'Toegang geweigerd' weergegeven als het beveiligingsgebeurtenislogboek vol is.

      • Microsoft Exchange 2000: Servers met Exchange 2000 kunnen de gegevensarchiefdatabase niet koppelen en gebeurtenis 2102 wordt geregistreerd in het gebeurtenislogboek.

      • Outlook, Outlook Web Access: niet-beheerders hebben geen toegang tot hun e-mail via Microsoft Outlook of via Microsoft Outlook Web Access en krijgen een 503-fout.

2. Domeincontroller: vereisten voor LDAP-serverondertekening

   1. Achtergrond
      
      De domeincontroller: beveiligingsinstelling voor ldap-serverondertekening bepaalt of ldap-clients moeten onderhandelen over gegevensondertekening voor de LDAP-server (Lightweight Directory Access Protocol). De mogelijke waarden voor deze beleidsinstelling zijn als volgt:

      • Geen: gegevensondertekening is niet vereist om verbinding te maken met de server. Als de client gegevensondertekening aanvraagt, ondersteunt de server deze.

      • Ondertekening vereisen: er moet worden onderhandeld over de optie LDAP-gegevensondertekening, tenzij Transport Layer Security/Secure Socket Layer (TLS/SSL) wordt gebruikt.

      • niet gedefinieerd: deze instelling is niet ingeschakeld of uitgeschakeld.

   2. Riskante configuraties
      
      Hieronder vindt u schadelijke configuratie-instellingen:

      • Inschakelen: aanmeldingsomgevingen vereisen waarbij clients geen ONDERSTEUNING bieden voor LDAP-ondertekening of waarbij LDAP-ondertekening aan de clientzijde niet is ingeschakeld op de client

      • De beveiligingssjabloon Windows 2000 of Windows Server 2003 Hisecdc.inf toepassen in omgevingen waarin de clients ldap-ondertekening niet ondersteunen of waarbij LDAP-ondertekening aan de clientzijde niet is ingeschakeld

      • De beveiligingssjabloon Windows 2000 of Windows Server 2003 Hisecws.inf toepassen in omgevingen waarin de clients LDAP-ondertekening niet ondersteunen of waarbij LDAP-ondertekening aan clientzijde niet is ingeschakeld

   3. Redenen om deze instelling
      
      in te schakelen Niet-ondertekend netwerkverkeer is vatbaar voor man-in-the-middle-aanvallen waarbij een indringer pakketten tussen de client en de server vastlegt, de pakketten wijzigt en vervolgens doorstuurt naar de server. Wanneer dit gedrag optreedt op een LDAP-server, kan een aanvaller ervoor zorgen dat een server beslissingen neemt die zijn gebaseerd op valse query's van de LDAP-client. U kunt dit risico in een bedrijfsnetwerk verlagen door sterke fysieke beveiligingsmaatregelen te implementeren om de netwerkinfrastructuur te beschermen. De headermodus voor IPSec-verificatie (Internet Protocol Security) kan helpen man-in-the-middle-aanvallen te voorkomen. De verificatieheadermodus voert wederzijdse verificatie en pakketintegriteit uit voor IP-verkeer.

   4. Redenen om deze instelling uit te schakelen

      • Clients die ldap-ondertekening niet ondersteunen, kunnen geen LDAP-query's uitvoeren op domeincontrollers en globale catalogi als wordt onderhandeld over NTLM-verificatie en als de juiste servicepacks niet zijn geïnstalleerd op Windows 2000-domeincontrollers.

      • Netwerktraceringen van LDAP-verkeer tussen clients en servers worden versleuteld. Dit maakt het moeilijk om LDAP-gesprekken te onderzoeken.

      • Windows 2000-servers moeten Windows 2000 Service Pack 3 (SP3) hebben of zijn geïnstalleerd wanneer ze worden beheerd met programma's die LDAP-ondertekening ondersteunen die worden uitgevoerd vanaf clientcomputers met Windows 2000 SP4, Windows XP of Windows Server 2003.  

   5. Symbolische naam:
      
      LDAPServerIntegrity

   6. Registerpad:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

   7. Voorbeelden van compatibiliteitsproblemen

      • Eenvoudige bindingen mislukken en u ontvangt het volgende foutbericht:

        Ldap_simple_bind_s() is mislukt: Sterke verificatie vereist.

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Op clients met Windows 2000 SP4, Windows XP of Windows Server 2003 werken sommige Active Directory-beheerprogramma's niet correct op domeincontrollers met versies van Windows 2000 die ouder zijn dan SP3 wanneer over NTLM-verificatie wordt onderhandeld.
        
         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Op clients met Windows 2000 SP4, Windows XP of Windows Server 2003 werken sommige Active Directory-beheerprogramma's die zijn gericht op domeincontrollers met versies van Windows 2000 die ouder zijn dan SP3, niet goed als ze IP-adressen gebruiken (bijvoorbeeld "dsa.msc /server=x.x.x.x" waarbij
        x.x.x.x een IP-adres is).
        
        
         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Op clients met Windows 2000 SP4, Windows XP of Windows Server 2003 werken sommige Active Directory-beheerprogramma's die zijn gericht op domeincontrollers met versies van Windows 2000 die ouder zijn dan SP3 niet correct.
        
         

3. Domeinlid: sterke sessiesleutel (Windows 2000 of later) vereisen

   1. Achtergrond

      • Het lid domein: Vereisen sterke (Windows 2000 of later) sessiesleutel instelling bepaalt of een beveiligd kanaal kan worden ingesteld met een domeincontroller die geen beveiligd kanaalverkeer kan versleutelen met een sterke, 128-bits sessiesleutel. Als u deze instelling inschakelt, wordt voorkomen dat er een beveiligd kanaal wordt gemaakt met een domeincontroller die geen beveiligde kanaalgegevens kan versleutelen met een sterke sleutel. Als u deze instelling uitschakelt, worden 64-bits sessiesleutels toegestaan.

      • Voordat u deze instelling op een lidwerkstation of op een server kunt inschakelen, moeten alle domeincontrollers in het domein waartoe het lid behoort, beveiligde kanaalgegevens kunnen versleutelen met een sterke, 128-bits sleutel. Dit betekent dat op al deze domeincontrollers Windows 2000 of hoger moet worden uitgevoerd.

   2. Riskante configuratie
      
      Het inschakelen van het domeinlid: Sterke sessiesleutelinstelling vereisen (Windows 2000 of later) is een schadelijke configuratie-instelling.

   3. Redenen om deze instelling in te schakelen

      • Sessiesleutels die worden gebruikt om beveiligde kanaalcommunicatie tussen lidcomputers en domeincontrollers tot stand te brengen, zijn veel sterker in Windows 2000 dan in eerdere versies van Microsoft-besturingssystemen.

      • Wanneer het mogelijk is, is het een goed idee om te profiteren van deze sterkere sessiesleutels om beveiligde kanaalcommunicatie te beschermen tegen afluisteren en tegen netwerkaanvallen bij sessie-hijacking. Afluisteren is een vorm van kwaadaardige aanval waarbij netwerkgegevens tijdens de overdracht worden gelezen of gewijzigd. De gegevens kunnen worden gewijzigd om de afzender te verbergen of te wijzigen of om deze om te leiden.

      Belangrijk Een computer met Windows Server 2008 R2 of Windows 7 ondersteunt alleen sterke sleutels wanneer beveiligde kanalen worden gebruikt. Deze beperking voorkomt een vertrouwensrelatie tussen een windows NT 4.0-domein en een windows Server 2008 R2-domein. Bovendien blokkeert deze beperking het domeinlidmaatschap op basis van Windows NT 4.0 van computers met Windows 7 of Windows Server 2008 R2 en omgekeerd.

   4. Redenen om deze instelling
      
      uit te schakelen Het domein bevat lidcomputers met andere besturingssystemen dan Windows 2000, Windows XP of Windows Server 2003.

   5. Symbolische naam:
      
      StrongKey

   6. Registerpad:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

   7. Voorbeelden van compatibiliteitsproblemen
      
      Windows NT 4.0: Op Windows NT 4.0-computers mislukt het opnieuw instellen van beveiligde kanalen voor vertrouwensrelaties tussen Windows NT 4.0- en Windows 2000-domeinen met NLTEST. Het foutbericht 'Toegang geweigerd' wordt weergegeven:

      De vertrouwensrelatie tussen het primaire domein en het vertrouwde domein is mislukt.
      
      Windows 7 en Server 2008 R2: Voor Windows 7 en nieuwere versies en Windows Server 2008 R2 en latere versies wordt deze instelling niet langer gehonoreerd en wordt de sterke sleutel altijd gebruikt. Hierdoor werken vertrouwensrelaties met Windows NT 4.0-domeinen niet meer.

4. Domeinlid: gegevens van beveiligde kanalen digitaal versleutelen of ondertekenen (altijd)

   1. Achtergrond

      • Lid van domein inschakelen: Met gegevens van beveiligde kanalen digitaal versleutelen of ondertekenen (altijd) voorkomt u dat er een beveiligd kanaal wordt gemaakt met een domeincontroller die niet alle beveiligde kanaalgegevens kan ondertekenen of versleutelen. Om verificatieverkeer te beschermen tegen man-in-the-middle-aanvallen, herhalingsaanvallen en andere soorten netwerkaanvallen, maken Windows-computers een communicatiekanaal dat via de Net Logon-service een beveiligd kanaal wordt genoemd om computeraccounts te verifiëren. Beveiligde kanalen worden ook gebruikt wanneer een gebruiker in één domein verbinding maakt met een netwerkresource in een extern domein. Met deze verificatie met meerdere domeinen, of passthrough-verificatie, kan een Windows-computer die lid is van een domein toegang hebben tot de gebruikersaccountdatabase in het domein en in alle vertrouwde domeinen.

      • Om het lid domein in te schakelen: de instelling voor beveiligde kanaalgegevens (altijd) digitaal versleutelen of ondertekenen op een lidcomputer, moeten alle domeincontrollers in het domein waartoe het lid behoort, alle beveiligde kanaalgegevens kunnen ondertekenen of versleutelen. Dit betekent dat op al deze domeincontrollers Windows NT 4.0 met Service Pack 6a (SP6a) of hoger moet worden uitgevoerd.

      • Als u het domeinlid inschakelt: de instelling Voor het digitaal versleutelen of ondertekenen van beveiligde kanaalgegevens (altijd) schakelt het domeinlid automatisch in: de instelling Beveiligd-kanaalgegevens (indien mogelijk) digitaal versleutelen of ondertekenen.

   2. Riskante configuratie
      
      Het domeinlid inschakelen: de instelling Voor het digitaal versleutelen of ondertekenen van beveiligde kanaalgegevens (altijd) in domeinen waar niet alle domeincontrollers beveiligde kanaalgegevens kunnen ondertekenen of versleutelen, is een schadelijke configuratie-instelling.

   3. Redenen om deze instelling
      
      in te schakelen Niet-ondertekend netwerkverkeer is gevoelig voor man-in-the-middle-aanvallen, waarbij een indringer pakketten tussen de server en de client vastlegt en deze vervolgens wijzigt voordat ze naar de client worden doorgestuurd. Wanneer dit gedrag optreedt op een LDAP-server (Lightweight Directory Access Protocol), kan de indringer ervoor zorgen dat een client beslissingen neemt die zijn gebaseerd op valse records uit de LDAP-adreslijst. U kunt het risico op een dergelijke aanval op een bedrijfsnetwerk verlagen door sterke fysieke beveiligingsmaatregelen te implementeren om de netwerkinfrastructuur te beschermen. Bovendien kan het implementeren van ipSec-verificatieheadermodus (Internet Protocol Security) helpen man-in-the-middle-aanvallen te voorkomen. Deze modus voert wederzijdse verificatie en pakketintegriteit uit voor IP-verkeer.

   4. Redenen om deze instelling uit te schakelen

      • Computers in lokale of externe domeinen ondersteunen versleutelde beveiligde kanalen.

      • Niet alle domeincontrollers in het domein hebben de juiste servicepackrevisieniveaus ter ondersteuning van versleutelde beveiligde kanalen.

   5. Symbolische naam:
      
      StrongKey

   6. Registerpad:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

   7. Voorbeelden van compatibiliteitsproblemen

      • Windows NT 4.0: Lidcomputers van Windows 2000 kunnen niet deelnemen aan Windows NT 4.0-domeinen en ontvangen het volgende foutbericht:

        Het account is niet gemachtigd om u aan te melden vanaf dit station.

        Klik voor meer informatie op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

        281648 Foutbericht: Het account is niet gemachtigd om u aan te melden vanaf dit station
         

      • Windows NT 4.0: Windows NT 4.0-domeinen kunnen geen vertrouwensrelatie met een Windows 2000-domein tot stand brengen en ontvangen het volgende foutbericht:

        Het account is niet gemachtigd om u aan te melden vanaf dit station.

        Bestaande vertrouwensrelaties op downlevelniveau verifiëren mogelijk ook geen gebruikers uit het vertrouwde domein. Sommige gebruikers kunnen problemen ondervinden bij het aanmelden bij het domein en ze ontvangen mogelijk een foutbericht met de mededeling dat de client het domein niet kan vinden.

      • Windows XP: Windows XP-clients die lid zijn van Windows NT 4.0-domeinen kunnen aanmeldingspogingen niet verifiëren en ontvangen mogelijk het volgende foutbericht of de volgende gebeurtenissen kunnen worden geregistreerd in het gebeurtenislogboek:

        Windows kan geen verbinding maken met het domein omdat de domeincontroller offline is of anderszins niet beschikbaar is of omdat uw computeraccount niet is gevonden

      • Microsoft Network: Microsoft Network-clients ontvangen een van de volgende foutberichten:

        Aanmeldingsfout: onbekende gebruikersnaam of ongeldig wachtwoord.

        Er is geen gebruikerssessiesleutel voor de opgegeven aanmeldingssessie.

5. Microsoft-netwerkclient: communicatie digitaal ondertekenen (altijd)

   1. Achtergrond
      
      Server Message Block (SMB) is het protocol voor het delen van resources dat door veel Microsoft-besturingssystemen wordt ondersteund. Het is de basis van netBIOS (Network Basic Input/Output System) en van vele andere protocollen. SMB-ondertekening verifieert zowel de gebruiker als de server die als host fungeert voor de gegevens. Als het verificatieproces aan beide zijden mislukt, vindt er geen gegevensoverdracht plaats.
      
      Het inschakelen van SMB-ondertekening wordt gestart tijdens het onderhandelen over het SMB-protocol. Het SMB-ondertekeningsbeleid bepaalt of de computer clientcommunicatie altijd digitaal ondertekent.
      
      Het Windows 2000 SMB-verificatieprotocol ondersteunt wederzijdse verificatie. Wederzijdse verificatie sluit een man-in-the-middle-aanval. Het Windows 2000 SMB-verificatieprotocol ondersteunt ook berichtverificatie. Berichtverificatie helpt actieve berichtaanvallen te voorkomen. Om u deze verificatie te geven, plaatst SMB-ondertekening een digitale handtekening in elke SMB. De client en de server verifiëren elk de digitale handtekening.
      
      Als u SMB-ondertekening wilt gebruiken, moet u SMB-ondertekening inschakelen of SMB-ondertekening vereisen op zowel de SMB-client als de SMB-server. Als SMB-ondertekening is ingeschakeld op een server, gebruiken clients die ook zijn ingeschakeld voor SMB-ondertekening het protocol voor pakketondertekening tijdens alle volgende sessies. Als SMB-ondertekening vereist is op een server, kan een client geen sessie tot stand brengen, tenzij de client is ingeschakeld of vereist voor SMB-ondertekening.
      
      
      Het inschakelen van digitale aanmelding in netwerken met hoge beveiliging helpt de imitatie van clients en servers te voorkomen. Dit soort imitatie wordt sessie-hijacking genoemd. Een aanvaller die toegang heeft tot hetzelfde netwerk als de client of de server, gebruikt hulpprogramma's voor sessiekaping om een actieve sessie te onderbreken, te beëindigen of te stelen. Een aanvaller kan niet-ondertekende SMB-pakketten onderscheppen en wijzigen, het verkeer wijzigen en het vervolgens doorsturen, zodat de server ongewenste acties kan uitvoeren. Of de aanvaller kan zich voordoen als de server of als de client na een legitieme verificatie en vervolgens onbevoegde toegang krijgen tot gegevens.
      
      Het SMB-protocol dat wordt gebruikt voor het delen van bestanden en voor het delen van afdrukken op computers met Windows 2000 Server, Windows 2000 Professional, Windows XP Professional of Windows Server 2003 ondersteunt wederzijdse verificatie. Wederzijdse verificatie sluit aanvallen op sessie-hijacking en ondersteunt berichtverificatie. Daarom voorkomt het man-in-the-middle aanvallen. SMB-ondertekening biedt deze verificatie door een digitale handtekening in elke SMB te plaatsen. De client en de server verifiëren vervolgens de handtekening.
      
      Notities

      • Als alternatief tegenmaatregel kunt u digitale handtekeningen inschakelen met IPSec om al het netwerkverkeer te beschermen. Er zijn hardwareversnellers voor IPSec-versleuteling en -ondertekening die u kunt gebruiken om de prestatie-impact van de CPU van de server te minimaliseren. Er zijn geen dergelijke accelerators beschikbaar voor SMB-ondertekening.
        
        Zie het hoofdstuk Over de communicatie van de server digitaal ondertekenen op de Microsoft MSDN-website voor meer informatie.
        
        Configureer SMB-ondertekening via groepsbeleid objecteditor omdat een wijziging in een lokale registerwaarde geen effect heeft als er een overschrijvend domeinbeleid is.

      • In Windows 95, Windows 98 en Windows 98 Second Edition gebruikt de Directory Services-client SMB-ondertekening wanneer deze wordt geverifieerd met Windows Server 2003-servers met behulp van NTLM-verificatie. Deze clients gebruiken echter geen SMB-ondertekening wanneer ze verifiëren met deze servers met behulp van NTLMv2-verificatie. Bovendien reageren Windows 2000-servers niet op SMB-ondertekeningsaanvragen van deze clients. Zie item 10: 'Netwerkbeveiliging: Lan Manager-verificatieniveau' voor meer informatie.

   2. Riskante configuratie
      
      Hieronder ziet u een schadelijke configuratie-instelling: laat de Microsoft-netwerkclient ongewijzigd: De instelling Voor communicatie digitaal ondertekenen (altijd) en de Microsoft-netwerkclient: De instelling Voor communicatie digitaal ondertekenen (indien de server akkoord gaat) is ingesteld op Niet gedefinieerd of uitgeschakeld. Met deze instellingen kan de omleiding wachtwoorden zonder opmaak verzenden naar niet-Microsoft SMB-servers die geen ondersteuning bieden voor wachtwoordversleuteling tijdens verificatie.

   3. Redenen om deze instelling
      
      in te schakelen Microsoft-netwerkclient inschakelen: Voor het digitaal ondertekenen van communicatie (altijd) moeten clients SMB-verkeer ondertekenen wanneer ze contact opnemen met servers waarvoor geen SMB-ondertekening is vereist. Hierdoor zijn clients minder kwetsbaar voor sessie-hijacking-aanvallen.

   4. Redenen om deze instelling uit te schakelen

      • Microsoft-netwerkclient inschakelen: Communicatie digitaal ondertekenen (altijd) voorkomt dat clients communiceren met doelservers die geen ondersteuning bieden voor SMB-ondertekening.

      • Als u computers configureert om alle niet-ondertekende SMB-communicatie te negeren, voorkomt u dat eerdere programma's en besturingssystemen verbinding maken.

   5. Symbolische naam:
      
      RequireSMBSignRdr

   6. Registerpad:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

   7. Voorbeelden van compatibiliteitsproblemen

      • Windows NT 4.0: U kunt het beveiligde kanaal van een vertrouwensrelatie tussen een Windows Server 2003-domein en een Windows NT 4.0-domein niet opnieuw instellen met behulp van NLTEST of NETDOM, en u ontvangt het foutbericht 'Toegang geweigerd'.

      • Windows XP: het kopiëren van bestanden van Windows XP-clients naar Windows 2000-servers en naar Windows Server 2003-servers kan meer tijd in beslag nemen.

      • U kunt geen netwerkstation toewijzen vanaf een client waarvoor deze instelling is ingeschakeld en u ontvangt het volgende foutbericht:

        Het account is niet gemachtigd om u aan te melden vanaf dit station.

   8. Vereisten voor
      
      opnieuw opstarten Start de computer opnieuw op of start de Workstation-service opnieuw. Typ hiervoor de volgende opdrachten bij een opdrachtprompt. Druk op Enter nadat u elke opdracht hebt ingevoerd.

      net stop workstation
      net start workstation

6. Microsoft-netwerkserver: communicatie digitaal ondertekenen (altijd)

   1. Achtergrond

      • Server Messenger Block (SMB) is het protocol voor het delen van resources dat wordt ondersteund door veel Microsoft-besturingssystemen. Het is de basis van netBIOS (Network Basic Input/Output System) en van vele andere protocollen. SMB-ondertekening verifieert zowel de gebruiker als de server die als host fungeert voor de gegevens. Als het verificatieproces aan beide zijden mislukt, vindt er geen gegevensoverdracht plaats.
        
        Het inschakelen van SMB-ondertekening wordt gestart tijdens het onderhandelen over het SMB-protocol. Het SMB-ondertekeningsbeleid bepaalt of de computer clientcommunicatie altijd digitaal ondertekent.
        
        Het Windows 2000 SMB-verificatieprotocol ondersteunt wederzijdse verificatie. Wederzijdse verificatie sluit een man-in-the-middle-aanval. Het Windows 2000 SMB-verificatieprotocol ondersteunt ook berichtverificatie. Berichtverificatie helpt actieve berichtaanvallen te voorkomen. Om u deze verificatie te geven, plaatst SMB-ondertekening een digitale handtekening in elke SMB. De client en de server verifiëren elk de digitale handtekening.
        
        Als u SMB-ondertekening wilt gebruiken, moet u SMB-ondertekening inschakelen of SMB-ondertekening vereisen op zowel de SMB-client als de SMB-server. Als SMB-ondertekening is ingeschakeld op een server, gebruiken clients die ook zijn ingeschakeld voor SMB-ondertekening het protocol voor pakketondertekening tijdens alle volgende sessies. Als SMB-ondertekening vereist is op een server, kan een client geen sessie tot stand brengen, tenzij de client is ingeschakeld of vereist voor SMB-ondertekening.
        
        
        Het inschakelen van digitale aanmelding in netwerken met hoge beveiliging helpt de imitatie van clients en servers te voorkomen. Dit soort imitatie wordt sessie-hijacking genoemd. Een aanvaller die toegang heeft tot hetzelfde netwerk als de client of de server, gebruikt hulpprogramma's voor sessiekaping om een actieve sessie te onderbreken, te beëindigen of te stelen. Een aanvaller kan niet-ondertekende SBM-pakketten (Subnet Bandwidth Manager) onderscheppen en wijzigen, het verkeer wijzigen en het vervolgens doorsturen, zodat de server ongewenste acties kan uitvoeren. Of de aanvaller kan zich voordoen als de server of als de client na een legitieme verificatie en vervolgens onbevoegde toegang krijgen tot gegevens.
        
        Het SMB-protocol dat wordt gebruikt voor het delen van bestanden en voor het delen van afdrukken op computers met Windows 2000 Server, Windows 2000 Professional, Windows XP Professional of Windows Server 2003 ondersteunt wederzijdse verificatie. Wederzijdse verificatie sluit aanvallen op sessie-hijacking en ondersteunt berichtverificatie. Daarom voorkomt het man-in-the-middle aanvallen. SMB-ondertekening biedt deze verificatie door een digitale handtekening in elke SMB te plaatsen. De client en de server verifiëren vervolgens de handtekening.

      • Als alternatief tegenmaatregel kunt u digitale handtekeningen inschakelen met IPSec om al het netwerkverkeer te beschermen. Er zijn hardwareversnellers voor IPSec-versleuteling en -ondertekening die u kunt gebruiken om de prestatie-impact van de CPU van de server te minimaliseren. Er zijn geen dergelijke accelerators beschikbaar voor SMB-ondertekening.

      • In Windows 95, Windows 98 en Windows 98 Second Edition gebruikt de Directory Services-client SMB-ondertekening wanneer deze wordt geverifieerd met Windows Server 2003-servers met behulp van NTLM-verificatie. Deze clients gebruiken echter geen SMB-ondertekening wanneer ze verifiëren met deze servers met behulp van NTLMv2-verificatie. Bovendien reageren Windows 2000-servers niet op SMB-ondertekeningsaanvragen van deze clients. Zie item 10: 'Netwerkbeveiliging: Lan Manager-verificatieniveau' voor meer informatie.

   2. Riskante configuratie
      
      Hier volgt een schadelijke configuratie-instelling: De Microsoft-netwerkserver inschakelen: de instelling voor communicatie digitaal ondertekenen (altijd) op servers en op domeincontrollers die worden geopend door niet-compatibele Windows-computers en clientcomputers van een extern besturingssysteem in lokale of externe domeinen.

   3. Redenen om deze instelling in te schakelen

      • Alle clientcomputers die deze instelling rechtstreeks via het register of via de groepsbeleid-instelling inschakelen, ondersteunen SMB-ondertekening. Met andere woorden, op alle clientcomputers waarvoor deze instelling is ingeschakeld, wordt Windows 95 uitgevoerd waarop de DS-client is geïnstalleerd, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional of Windows Server 2003.

      • Als Microsoft-netwerkserver: Communicatie digitaal ondertekenen (altijd) is uitgeschakeld, is SMB-ondertekening volledig uitgeschakeld. Als u alle SMB-ondertekening volledig uitschakelt, zijn computers kwetsbaarder voor aanvallen met sessie-hijacking.

   4. Redenen om deze instelling uit te schakelen

      • Het inschakelen van deze instelling kan leiden tot tragere bestandskopie en netwerkprestaties op clientcomputers.

      • Als u deze instelling inschakelt, kunnen clients die niet kunnen onderhandelen over SMB-ondertekening, niet communiceren met servers en met domeincontrollers. Hierdoor mislukken bewerkingen zoals domeindeelnames, gebruikers- en computerverificatie of netwerktoegang door programma's.

   5. Symbolische naam:
      
      RequireSMBSignServer

   6. Registerpad:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

   7. Voorbeelden van compatibiliteitsproblemen

      • Windows 95: Windows 95-clients waarop de DS-client (Directory Services) niet is geïnstalleerd, mislukken met aanmeldingsverificatie en ontvangen het volgende foutbericht:

        Het domeinwachtwoord dat u hebt opgegeven, is niet juist of de toegang tot uw aanmeldingsserver is geweigerd.

      • Windows NT 4.0: Clientcomputers met versies van Windows NT 4.0 die ouder zijn dan Service Pack 3 (SP3) mislukken bij aanmeldingsverificatie en ontvangen het volgende foutbericht:

        Het systeem kan u niet aanmelden. Controleer of uw gebruikersnaam en domein juist zijn en typ uw wachtwoord opnieuw.

        Sommige niet-Microsoft SMB-servers ondersteunen alleen niet-versleutelde wachtwoorduitwisselingen tijdens verificatie. (Deze uitwisselingen worden ook wel uitwisselingen van tekst zonder opmaak genoemd.) Voor Windows NT 4.0 SP3 en latere versies verzendt de SMB-omleiding geen niet-versleuteld wachtwoord tijdens de verificatie naar een SMB-server, tenzij u een specifieke registervermelding toevoegt.
        Als u niet-versleutelde wachtwoorden wilt inschakelen voor de SMB-client op Windows NT 4.0 SP 3 en nieuwere systemen, wijzigt u het register als volgt: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        
        Waardenaam: EnablePlainTextPassword
        
        Gegevenstype: REG_DWORD
        
        Gegevens: 1
        
         

      • Windows Server 2003: Standaard zijn beveiligingsinstellingen op domeincontrollers met Windows Server 2003 geconfigureerd om te voorkomen dat communicatie van domeincontrollers wordt onderschept of gemanipuleerd door kwaadwillende gebruikers. Om gebruikers te laten communiceren met een domeincontroller waarop Windows Server 2003 wordt uitgevoerd, moeten clientcomputers zowel SMB-ondertekening als versleuteling gebruiken of verkeersondertekening via beveiligde kanalen gebruiken. Clients met Windows NT 4.0 met Service Pack 2 (SP2) of eerder geïnstalleerd en clients waarop Windows 95 wordt uitgevoerd, hebben standaard geen SMB-pakketondertekening ingeschakeld. Daarom kunnen deze clients mogelijk niet worden geverifieerd bij een windows Server 2003-domeincontroller.

      • Beleidsinstellingen voor Windows 2000 en Windows Server 2003: Afhankelijk van uw specifieke installatiebehoeften en configuratie, raden we u aan de volgende beleidsinstellingen in te stellen op de laagste entiteit van het vereiste bereik in de modulehiërarchie microsoft Management Console groepsbeleid Editor:

        • Computerconfiguratie\Windows-beveiliging Instellingen\Beveiligingsopties

        • Niet-versleuteld wachtwoord verzenden om verbinding te maken met SMB-servers van derden (deze instelling is voor Windows 2000)

        • Microsoft-netwerkclient: niet-versleuteld wachtwoord verzenden naar SMB-servers van derden (deze instelling is voor Windows Server 2003)

        
        Opmerking Op sommige CIFS-servers van derden, zoals oudere Samba-versies, kunt u geen versleutelde wachtwoorden gebruiken.

      • De volgende clients zijn niet compatibel met de Microsoft-netwerkserver: Instelling voor communicatie digitaal ondertekenen (altijd):

        • Apple Computer, Inc., Mac OS X-clients

        • Microsoft MS-DOS-netwerkclients (bijvoorbeeld Microsoft LAN Manager)

        • Microsoft Windows for Workgroups-clients

        • Microsoft Windows 95-clients zonder de DS-client geïnstalleerd

        • Microsoft Windows NT 4.0-computers zonder SP3 of later geïnstalleerd

        • Novell Netware 6 CIFS-clients

        • SAMBA SMB-clients die geen ondersteuning hebben voor SMB-ondertekening

   8. Vereisten voor
      
      opnieuw opstarten Start de computer opnieuw op of start de serverservice opnieuw op. Typ hiervoor de volgende opdrachten bij een opdrachtprompt. Druk op Enter nadat u elke opdracht hebt ingevoerd.

      net stop server
      net start server

7. Netwerktoegang: anonieme SID/naamomzetting toestaan

   1. Achtergrond
      
      De netwerktoegang: De beveiligingsinstelling Anonieme SID/Naamomzetting toestaan bepaalt of een anonieme gebruiker SID-kenmerken (Security Identification Number) voor een andere gebruiker kan aanvragen.

   2. Riskante configuratie
      
      Netwerktoegang inschakelen: anonieme SID/naamomzettingsinstelling toestaan is een schadelijke configuratie-instelling.

   3. Redenen om deze instelling
      
      in te schakelen Als de netwerktoegang: anonieme SID/naamomzettingsinstelling toestaan is uitgeschakeld, kunnen eerdere besturingssystemen of toepassingen mogelijk niet communiceren met Windows Server 2003-domeinen. De volgende besturingssystemen, services of toepassingen werken bijvoorbeeld mogelijk niet:

      • Windows NT 4.0-gebaseerde RAS-serviceservers

      • Microsoft SQL Server die worden uitgevoerd op Windows NT 3.x-computers of Windows NT 4.0-computers

      • Ras-service die wordt uitgevoerd op Windows 2000-computers die zich in Windows NT 3.x-domeinen of Windows NT 4.0-domeinen bevinden

      • SQL Server die wordt uitgevoerd op Windows 2000-computers die zich in Windows NT 3.x-domeinen of in Windows NT 4.0-domeinen bevinden

      • Gebruikers in het Windows NT 4.0-resourcedomein die machtigingen willen verlenen voor toegang tot bestanden, gedeelde mappen en registerobjecten voor gebruikersaccounts van accountdomeinen die Windows Server 2003-domeincontrollers bevatten

   4. Redenen om deze instelling
      
      uit te schakelen Als deze instelling is ingeschakeld, kan een kwaadwillende gebruiker de bekende beheerders-SID gebruiken om de echte naam van het ingebouwde beheerdersaccount te verkrijgen, zelfs als de naam van het account is gewijzigd. Die persoon kan vervolgens de accountnaam gebruiken om een aanval voor het raden van wachtwoorden te starten.

   5. Symbolische naam: N.v.t.

   6. Registerpad: geen. Het pad wordt opgegeven in ui-code.

   7. Voorbeelden van compatibiliteitsproblemen
      
      Windows NT 4.0: Computers in Windows NT 4.0-resourcedomeinen geven het foutbericht 'Account onbekend' weer in de ACL-editor als resources, waaronder gedeelde mappen, gedeelde bestanden en registerobjecten, worden beveiligd met beveiligingsprincipals die zich in accountdomeinen bevinden die Windows Server 2003-domeincontrollers bevatten.

8. Netwerktoegang: anonieme inventarisatie van SAM-accounts niet toestaan

   1. Achtergrond

      • De netwerktoegang: De instelling Anonieme inventarisatie van SAM-accounts niet toestaan bepaalt welke aanvullende machtigingen worden verleend voor anonieme verbindingen met de computer. Met Windows kunnen anonieme gebruikers bepaalde activiteiten uitvoeren, zoals het inventariseren van de namen van accounts voor werkstation- en serverbeveiligingsaccounts (SAM) en van netwerkshares. Een beheerder kan dit bijvoorbeeld gebruiken om toegang te verlenen aan gebruikers in een vertrouwd domein dat geen wederzijdse vertrouwensrelatie onderhoudt. Zodra een sessie is gemaakt, heeft een anonieme gebruiker mogelijk dezelfde toegang die wordt verleend aan de groep Iedereen op basis van de instelling in de netwerktoegang: Laat iedereen-machtigingen van toepassing zijn op de instelling anonieme gebruikers of de discretionaire toegangsbeheerlijst (DACL) van het object.
        
        Meestal worden anonieme verbindingen aangevraagd door eerdere versies van clients (downlevel clients) tijdens het instellen van de SMB-sessie. In deze gevallen laat een netwerktracering zien dat de SMB-proces-id (PID) de clientomleiding is, zoals 0xFEFF in Windows 2000 of 0xCAFE in Windows NT. RPC kan ook proberen anonieme verbindingen te maken.

      • Belangrijk Deze instelling heeft geen invloed op domeincontrollers. Op domeincontrollers wordt dit gedrag bepaald door de aanwezigheid van 'NT AUTHORITY\ANONYMOUS LOGON' in 'Pre-Windows 2000 compatible Access'.

      • In Windows 2000 beheert een vergelijkbare instelling met de naam Aanvullende beperkingen voor anonieme verbindingen de registerwaarde RestrictAnonymous . De locatie van deze waarde is als volgt

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA  

   2. Riskante configuraties
      
      Netwerktoegang inschakelen: anonieme inventarisatie van SAM-accounts is vanuit compatibiliteitsperspectief geen schadelijke configuratie-instelling. Het uitschakelen ervan is een schadelijke configuratie-instelling vanuit beveiligingsperspectief.

   3. Redenen om deze instelling
      
      in te schakelen Een onbevoegde gebruiker kan anoniem accountnamen vermelden en vervolgens de informatie gebruiken om wachtwoorden te raden of social engineering-aanvallen uit te voeren. Social engineering is een jargon dat betekent dat mensen worden misleid om hun wachtwoorden of een vorm van beveiligingsinformatie te onthullen.

   4. Redenen om deze instelling
      
      uit te schakelen Als deze instelling is ingeschakeld, is het onmogelijk om vertrouwensrelaties met Windows NT 4.0-domeinen tot stand te brengen. Deze instelling veroorzaakt ook problemen met downlevel clients (zoals Windows NT 3.51-clients en Windows 95-clients) die resources op de server proberen te gebruiken.

   5. Symbolische naam:
      
      
      RestrictAnonymousSAM

   6. Registerpad:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

   7. Voorbeelden van compatibiliteitsproblemen

   • SMS Network Discovery kan geen besturingssysteemgegevens verkrijgen en schrijft 'Onbekend' in de eigenschap OperatingSystemNameandVersion.

   • Windows 95, Windows 98: Windows 95-clients en Windows 98-clients kunnen hun wachtwoorden niet wijzigen.

   • Windows NT 4.0: Windows NT 4.0-gebaseerde lidcomputers kunnen niet worden geverifieerd.

   • Windows 95, Windows 98: Windows 95- en Windows 98-computers kunnen niet worden geverifieerd door Microsoft-domeincontrollers.

   • Windows 95, Windows 98: Gebruikers op computers met Windows 95 en Windows 98 kunnen de wachtwoorden voor hun gebruikersaccounts niet wijzigen.

9. Netwerktoegang: anonieme inventarisatie van SAM-accounts en -shares niet toestaan

   1. Achtergrond

      • De netwerktoegang: anonieme inventarisatie van SAM-accounts en -shares (ook wel RestrictAnonymous genoemd) is niet toegestaan, bepaalt of anonieme inventarisatie van SAM-accounts en -shares (Security Accounts Manager) is toegestaan. Met Windows kunnen anonieme gebruikers bepaalde activiteiten uitvoeren, zoals het inventariseren van de namen van domeinaccounts (gebruikers, computers en groepen) en van netwerkshares. Dit is bijvoorbeeld handig wanneer een beheerder toegang wil verlenen aan gebruikers in een vertrouwd domein dat geen wederzijdse vertrouwensrelatie onderhoudt. Als u anonieme inventarisatie van SAM-accounts en shares niet wilt toestaan, schakelt u deze instelling in.

      • In Windows 2000 beheert een vergelijkbare instelling met de naam Aanvullende beperkingen voor anonieme verbindingen de registerwaarde RestrictAnonymous . De locatie van deze waarde is als volgt:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

   2. Riskante configuratie
      
      Netwerktoegang inschakelen: anonieme inventarisatie van SAM-accounts en shares is geen schadelijke configuratie-instelling.

   3. Redenen om deze instelling in te schakelen

      • Netwerktoegang inschakelen: Anonieme inventarisatie van SAM-accounts en -shares is niet toegestaan voor het inventariseren van SAM-accounts en -shares door gebruikers en computers die gebruikmaken van anonieme accounts.

   4. Redenen om deze instelling uit te schakelen

      • Als deze instelling is ingeschakeld, kan een onbevoegde gebruiker anoniem accountnamen vermelden en vervolgens de informatie gebruiken om wachtwoorden te raden of social engineering-aanvallen uit te voeren. Social engineering is een jargon dat betekent dat mensen worden misleid om hun wachtwoord of een vorm van beveiligingsinformatie te onthullen.

      • Als deze instelling is ingeschakeld, is het onmogelijk om vertrouwensrelaties met Windows NT 4.0-domeinen tot stand te brengen. Deze instelling veroorzaakt ook problemen met downlevel clients zoals Windows NT 3.51- en Windows 95-clients die resources op de server proberen te gebruiken.

      • Het is onmogelijk om toegang te verlenen aan gebruikers van resourcedomeinen, omdat beheerders in het vertrouwende domein geen lijsten met accounts in het andere domein kunnen opsommen. Gebruikers die anoniem toegang hebben tot bestands- en afdrukservers, kunnen de gedeelde netwerkresources op die servers niet weergeven. De gebruikers moeten zich verifiëren voordat ze de lijsten met gedeelde mappen en printers kunnen bekijken.

   5. Symbolische naam:
      
      RestrictAnonymous

   6. Registerpad:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

   7. Voorbeelden van compatibiliteitsproblemen

      • Windows NT 4.0: Gebruikers kunnen hun wachtwoorden niet wijzigen van Windows NT 4.0-werkstations wanneer RestrictAnonymous is ingeschakeld op domeincontrollers in het domein van de gebruikers.

      • Windows NT 4.0: het toevoegen van gebruikers of globale groepen van vertrouwde Windows 2000-domeinen aan lokale Windows NT 4.0-groepen in Gebruikersbeheer mislukt en het volgende foutbericht wordt weergegeven:

        Er zijn momenteel geen aanmeldingsservers beschikbaar om de aanmeldingsaanvraag te verwerken.

      • Windows NT 4.0: Windows NT 4.0-computers kunnen niet deelnemen aan domeinen tijdens de installatie of met behulp van de gebruikersinterface voor domeindeelname.

      • Windows NT 4.0: Het instellen van een vertrouwensrelatie met Windows NT 4.0-resourcedomeinen mislukt. Het volgende foutbericht wordt weergegeven wanneer RestrictAnonymous is ingeschakeld op het vertrouwde domein:

        Kan de domeincontroller voor dit domein niet vinden.

      • Windows NT 4.0: Gebruikers die zich aanmelden bij Terminal Server-computers op basis van Windows NT 4.0, worden toegewezen aan de standaardmap van de basismap in plaats van de basismap die is gedefinieerd in Gebruikersbeheer voor domeinen.

      • Windows NT 4.0: Windows NT 4.0-back-updomeincontrollers (BPC's) kunnen de Net Logon-service niet starten, een lijst met back-upbrowsers ophalen of de SAM-database synchroniseren vanaf Windows 2000- of Windows Server 2003-domeincontrollers in hetzelfde domein.

      • Windows 2000: Op Windows 2000 gebaseerde lidcomputers in Windows NT 4.0-domeinen kunnen printers in externe domeinen niet weergeven als de instelling Geen toegang zonder expliciet anonieme machtigingen is ingeschakeld in het lokale beveiligingsbeleid van de clientcomputer.

      • Windows 2000: Windows 2000-domeingebruikers kunnen geen netwerkprinters toevoegen vanuit Active Directory; Ze kunnen echter printers toevoegen nadat ze ze in de structuurweergave hebben geselecteerd.

      • Windows 2000: Op computers met Windows 2000 kan de ACL-editor geen gebruikers of globale groepen toevoegen uit vertrouwde Windows NT 4.0-domeinen.

      • ADMT-versie 2: Wachtwoordmigratie voor gebruikersaccounts die worden gemigreerd tussen forests met ADMT-versie 2 (Active Directory Migration Tool) mislukt.
        
        Klik voor meer informatie op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

        322981 Problemen met wachtwoordmigratie tussen forests oplossen met ADMTv2

      • Outlook-clients: de algemene adreslijst wordt leeg weergegeven voor Microsoft Exchange Outlook-clients.

      • SMS: Microsoft Systems Management Server (SMS) Network Discovery kan de informatie van het besturingssysteem niet verkrijgen. Daarom wordt 'Onbekend' geschreven in de eigenschap OperatingSystemNameandVersion van de SMS DDR-eigenschap van de detectiegegevensrecord (DDR).

      • SMS: Wanneer u de wizard Sms-beheerder gebruikt om naar gebruikers en groepen te bladeren, worden er geen gebruikers of groepen weergegeven. Bovendien kunnen geavanceerde clients niet communiceren met het beheerpunt. Anonieme toegang is vereist op het beheerpunt.

      • SMS: Wanneer u de functie Netwerkdetectie gebruikt in SMS 2.0 en in de installatie van de externe client met de netwerkdetectieoptie Topologie, client en clientbesturingssystemen ingeschakeld, worden computers mogelijk gedetecteerd maar niet geïnstalleerd.

10. Netwerkbeveiliging: Lan Manager-verificatieniveau

    1. Achtergrond
       
       LM-verificatie (LAN Manager) is het protocol dat wordt gebruikt voor het verifiëren van Windows-clients voor netwerkbewerkingen, waaronder domeindeelnames, toegang tot netwerkbronnen en gebruikers- of computerverificatie. Het LM-verificatieniveau bepaalt welk verificatieprotocol voor uitdaging/antwoord wordt onderhandeld tussen de client en de servercomputers. Met name bepaalt het LM-verificatieniveau welke verificatieprotocollen de client probeert te onderhandelen of dat de server accepteert. De waarde die is ingesteld voor LmCompatibilityLevel bepaalt welk verificatieprotocol voor uitdaging/antwoord wordt gebruikt voor netwerkaanmeldingen. Deze waarde is van invloed op het verificatieprotocol dat clients gebruiken, het niveau van sessiebeveiliging waarover wordt onderhandeld en het verificatieniveau dat door servers wordt geaccepteerd.
       
       Mogelijke instellingen zijn onder andere:

       Waarde	Instelling	Beschrijving
       0	LM-& NTLM-antwoorden verzenden	Clients gebruiken LM- en NTLM-verificatie en gebruiken nooit NTLMv2-sessiebeveiliging. Domeincontrollers accepteren LM-, NTLM- en NTLMv2-verificatie.
       1	LM-& NTLM verzenden - NTLMv2-sessiebeveiliging gebruiken indien onderhandeld	Clients gebruiken LM- en NTLM-verificatie en gebruiken NTLMv2-sessiebeveiliging als de server dit ondersteunt. Domeincontrollers accepteren LM-, NTLM- en NTLMv2-verificatie.
       2	Alleen NTLM-antwoord verzenden	Clients gebruiken alleen NTLM-verificatie en gebruiken NTLMv2-sessiebeveiliging als de server dit ondersteunt. Domeincontrollers accepteren LM-, NTLM- en NTLMv2-verificatie.
       3	Alleen NTLMv2-antwoord verzenden	Clients gebruiken alleen NTLMv2-verificatie en gebruiken NTLMv2-sessiebeveiliging als de server dit ondersteunt. Domeincontrollers accepteren LM-, NTLM- en NTLMv2-verificatie.
       4	Alleen NTLMv2-antwoord verzenden/LM weigeren	Clients gebruiken alleen NTLMv2-verificatie en gebruiken NTLMv2-sessiebeveiliging als de server dit ondersteunt. Domeincontrollers weigeren LM en accepteren alleen NTLM- en NTLMv2-verificatie.
       5	Alleen NTLMv2-antwoord verzenden/LM-& NTLM weigeren	Clients gebruiken alleen NTLMv2-verificatie en gebruiken NTLMv2-sessiebeveiliging als de server dit ondersteunt. Domeincontrollers weigeren LM en NTLM en accepteren alleen NTLMv2-verificatie.

       Opmerking In Windows 95, Windows 98 en Windows 98 Second Edition gebruikt de Directory Services-client SMB-ondertekening wanneer deze wordt geverifieerd met Windows Server 2003-servers met behulp van NTLM-verificatie. Deze clients gebruiken echter geen SMB-ondertekening wanneer ze verifiëren met deze servers met behulp van NTLMv2-verificatie. Bovendien reageren Windows 2000-servers niet op SMB-ondertekeningsaanvragen van deze clients.
       
       Controleer het LM-verificatieniveau: u moet het beleid op de server wijzigen om NTLM toe te staan, of u moet de clientcomputer configureren om NTLMv2 te ondersteunen.
       
       Als het beleid is ingesteld op (5) Alleen NTLMv2-antwoord verzenden\LM weigeren & NTLM op de doelcomputer waarmee u verbinding wilt maken, moet u de instelling op die computer verlagen of de beveiliging instellen op dezelfde instelling als op de broncomputer waarmee u verbinding maakt.
       
       Zoek de juiste locatie waar u het verificatieniveau van LAN Manager kunt wijzigen om de client en de server op hetzelfde niveau in te stellen. Nadat u het beleid hebt gevonden waarmee het verificatieniveau voor LAN-beheer wordt ingesteld, verlaagt u de waarde als u verbinding wilt maken met en van computers met eerdere versies van Windows, naar ten minste (1) LM verzenden & NTLM - gebruik NTLM versie 2 sessiebeveiliging als wordt onderhandeld. Een effect van incompatibele instellingen is dat als voor de server NTLMv2 (waarde 5) is vereist, maar de client is geconfigureerd voor het gebruik van LM en NTLMv1 (waarde 0), de gebruiker die verificatie probeert uit te voeren een aanmeldingsfout ondervindt met een ongeldig wachtwoord en het aantal ongeldige wachtwoorden verhoogt. Als accountvergrendeling is geconfigureerd, kan de gebruiker uiteindelijk worden vergrendeld.
       
       U moet bijvoorbeeld op de domeincontroller kijken of u moet het beleid van de domeincontroller onderzoeken.
       
       Kijk op de domeincontroller
       
       Opmerking U moet mogelijk de volgende procedure herhalen op alle domeincontrollers.

       1. Klik op Start, wijs Programma's aan en klik vervolgens op Systeembeheer.

       2. Vouw onder Lokale beveiligingsinstellingenlokaal beleid uit.

       3. Klik op Beveiligingsopties.

       4. Dubbelklik op Netwerkbeveiliging: LAN Manager-verificatieniveau en klik vervolgens op een waarde in de lijst.

       
       Als de effectieve instelling en de lokale instelling hetzelfde zijn, is het beleid op dit niveau gewijzigd. Als de instellingen afwijken, moet u het beleid van de domeincontroller controleren om te bepalen of de instelling voor het verificatieniveau van LAN Manager daar is gedefinieerd. Als dit niet is gedefinieerd, controleert u het beleid van de domeincontroller.
       
       Het beleid van de domeincontroller controleren

       1. Klik op Start, wijs Programma's aan en klik vervolgens op Systeembeheer.

       2. Vouw in het beveiligingsbeleid voor domeincontrollersbeveiligingsinstellingen uit en vouw vervolgens Lokaal beleid uit.

       3. Klik op Beveiligingsopties.

       4. Dubbelklik op Netwerkbeveiliging: LAN Manager-verificatieniveau en klik vervolgens op een waarde in de lijst.

       
       Opmerking

       • Mogelijk moet u ook beleidsregels controleren die zijn gekoppeld op siteniveau, domeinniveau of organisatie-eenheidsniveau om te bepalen waar u het verificatieniveau van LAN-manager moet configureren.

       • Als u een groepsbeleid-instelling als het standaarddomeinbeleid implementeert, wordt het beleid toegepast op alle computers in het domein.

       • Als u een groepsbeleid-instelling implementeert als het standaardbeleid van de domeincontroller, is het beleid alleen van toepassing op de servers in de organisatie-eenheid van de domeincontroller.

       • Het is een goed idee om het verificatieniveau van LAN Manager in te stellen in de laagste entiteit van het vereiste bereik in de hiërarchie van de beleidstoepassing.

       Windows Server 2003 heeft een nieuwe standaardinstelling voor het gebruik van alleen NTLMv2. Standaard hebben domeincontrollers op basis van Windows Server 2003 en Windows 2000 Server SP3 het beleid 'Microsoft-netwerkserver: communicatie digitaal ondertekenen (altijd)' ingeschakeld. Voor deze instelling moet de SMB-server SMB-pakketondertekening uitvoeren. Er zijn wijzigingen aangebracht in Windows Server 2003 omdat domeincontrollers, bestandsservers, netwerkinfrastructuurservers en webservers in elke organisatie verschillende instellingen nodig hebben om hun beveiliging te maximaliseren.
       
       Als u NTLMv2-verificatie in uw netwerk wilt implementeren, moet u ervoor zorgen dat alle computers in het domein zijn ingesteld op het gebruik van dit verificatieniveau. Als u Active Directory-clientextensies toepast voor Windows 95 of Windows 98 en Windows NT 4.0, gebruiken de clientextensies de verbeterde verificatiefuncties die beschikbaar zijn in NTLMv2. Omdat clientcomputers met een van de volgende besturingssystemen niet worden beïnvloed door Windows 2000 groepsbeleid-objecten, moet u deze clients mogelijk handmatig configureren:

       • Microsoft Windows NT 4.0

       • Microsoft Windows Millennium Edition

       • Microsoft Windows 98

       • Microsoft Windows 95

       Opmerking Als u de netwerkbeveiliging inschakelt: sla de HASH-waarde van LAN Manager niet op bij het volgende beleid voor wachtwoordwijziging of stel de NoLMHash-registersleutel in, windows 95- en Windows 98-clients waarop de Directory Services-client niet is geïnstalleerd, kunnen zich niet aanmelden bij het domein na een wachtwoordwijziging.
       
       Veel CIFS-servers van derden, zoals Novell Netware 6, zijn niet op de hoogte van NTLMv2 en gebruiken alleen NTLM. Daarom maken niveaus groter dan 2 geen connectiviteit mogelijk. Er zijn ook SMB-clients van derden die geen uitgebreide sessiebeveiliging gebruiken. In deze gevallen wordt geen rekening gehouden met het LmCompatiblityLevel van de resourceserver. De server verpakt vervolgens deze verouderde aanvraag en verzendt deze naar de gebruikersdomeincontroller. De instellingen op de domeincontroller bepalen vervolgens welke hashes worden gebruikt om de aanvraag te verifiëren en of deze voldoen aan de beveiligingsvereisten van de domeincontroller.
       
        

       299656 Voorkomen dat Windows een LAN Manager-hash van uw wachtwoord opslaat in Active Directory en lokale SAM-databases
        

       2701704Controlegebeurtenis toont verificatiepakket als NTLMv1 in plaats van NTLMv2 Voor meer informatie over LM-verificatieniveaus klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

       239869 NTLM 2-verificatie inschakelen
        

    2. Riskante configuraties
       
       Hieronder vindt u schadelijke configuratie-instellingen:

       • Niet-ingewikkelde instellingen waarmee wachtwoorden in duidelijke tekst worden verzonden en die NTLMv2-onderhandeling weigeren

       • Beperkende instellingen die verhinderen dat incompatibele clients of domeincontrollers onderhandelen over een gemeenschappelijk verificatieprotocol

       • NTLMv2-verificatie vereisen op lidcomputers en domeincontrollers waarop versies van Windows NT 4.0 worden uitgevoerd die ouder zijn dan Service Pack 4 (SP4)

       • NTLMv2-verificatie vereisen op Windows 95-clients of op Windows 98-clients waarop de Windows Directory Services-client niet is geïnstalleerd.

       • Als u klikt om het selectievakje NTLMv2-sessiebeveiliging vereisen in te schakelen in de module Microsoft Management Console groepsbeleid Editor op een windows Server 2003- of Windows 2000 Service Pack 3-computer en u het verificatieniveau van LAN-beheer verlaagt naar 0, conflicterende twee instellingen en ontvangt u mogelijk het volgende foutbericht in het bestand Secpol.msc of het bestand GPEdit.msc:

         Windows kan de lokale beleidsdatabase niet openen. Er is een onbekende fout opgetreden bij het openen van de database.

         Zie de Help-bestanden voor Windows 2000 of Windows Server 2003 voor meer informatie over het hulpprogramma voor beveiligingsconfiguratie en -analyse.

    3. Redenen om deze instelling te wijzigen

       • U wilt het laagste algemene verificatieprotocol verhogen dat wordt ondersteund door clients en domeincontrollers in uw organisatie.

       • Waar veilige verificatie een zakelijke vereiste is, wilt u de onderhandeling van het LM en de NTLM-protocollen weigeren.

    4. Redenen om deze instelling
       
       uit te schakelen Client- of serververificatievereisten, of beide, zijn verhoogd tot het punt waar verificatie via een gemeenschappelijk protocol niet kan plaatsvinden.

    5. Symbolische naam:
       
       Lmcompatibilitylevel

    6. Registerpad:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. Voorbeelden van compatibiliteitsproblemen

       • Windows Server 2003: Standaard is de instelling NTLMv2 NTLM-antwoorden verzenden van Windows Server 2003 ingeschakeld. Daarom ontvangt Windows Server 2003 het foutbericht 'Toegang geweigerd' na de eerste installatie wanneer u verbinding probeert te maken met een Windows NT 4.0-cluster of met LanManager V2.1-servers, zoals OS/2 Lanserver. Dit probleem treedt ook op als u verbinding probeert te maken van een eerdere versieclient met een windows Server 2003-server.

       • U installeert Windows 2000 Security Rollup Package 1 (SRP1). SRP1 dwingt NTLM versie 2 (NTLMv2) af. Dit pakket is uitgebracht na de release van Windows 2000 Service Pack 2 (SP2).
          

       • Windows 7 en Windows Server 2008 R2: Veel CIFS-servers van derden, zoals Novell Netware 6 of Linux-gebaseerde Samba-servers, zijn niet op de hoogte van NTLMv2 en gebruiken alleen NTLM. Daarom maken niveaus die groter zijn dan '2' geen verbinding mogelijk. In deze versie van het besturingssysteem is de standaardwaarde voor LmCompatibilityLevel gewijzigd in '3'. Wanneer u Windows bijwerkt, werken deze filers van derden mogelijk niet meer.

       • Microsoft Outlook-clients kunnen worden gevraagd om referenties, ook al zijn ze al aangemeld bij het domein. Wanneer gebruikers hun referenties opgeven, ontvangen ze het volgende foutbericht: Windows 7 en Windows Server 2008 R2

         De opgegeven aanmeldingsreferenties zijn onjuist. Zorg ervoor dat uw gebruikersnaam en domein juist zijn en typ vervolgens uw wachtwoord opnieuw.

         Wanneer u Outlook start, wordt u mogelijk gevraagd om uw referenties, zelfs als uw instelling voor aanmeldingsnetwerkbeveiliging is ingesteld op Passthrough of wachtwoordverificatie. Nadat u de juiste referenties hebt opgegeven, ontvangt u mogelijk het volgende foutbericht:

         De opgegeven aanmeldingsreferenties zijn onjuist.

         Een Netwerkmonitor-tracering kan aantonen dat de globale catalogus een RPC-fout (Remote Procedure Call) heeft uitgegeven met de status 0x5. Een status van 0x5 betekent 'Toegang geweigerd'.

       • Windows 2000: Een network monitor-opname kan de volgende fouten in de NetBIOS via TCP/IP (NetBT) server message block (SMB) sessie weergeven:

         Fout SMB R Search Directory Dos, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Ongeldige gebruikers-id

       • Windows 2000: Als een Windows 2000-domein met NTLMv2 Niveau 2 of later wordt vertrouwd door een Windows NT 4.0-domein, kunnen op Windows 2000 gebaseerde lidcomputers in het brondomein verificatiefouten ondervinden.

       • Windows 2000 en Windows XP: Standaard stellen Windows 2000 en Windows XP de optie lokaal beveiligingsbeleid op LAN Manager-verificatieniveau in op 0. Een instelling van 0 betekent 'LM- en NTLM-antwoorden verzenden'.
         
         Houd er rekening mee dat Windows NT 4.0-clusters LM moeten gebruiken voor beheer.

       • Windows 2000: Windows 2000-clustering verifieert geen samenvoegend knooppunt als beide knooppunten deel uitmaken van een Windows NT 4.0 Service Pack 6a-domein (SP6a).

       • Met het IIS Lockdown Tool (HiSecWeb) wordt de LMCompatibilityLevel-waarde ingesteld op 5 en de waarde RestrictAnonymous op 2.

       • Services voor Macintosh
         
         User Authentication Module (UAM): De Microsoft UAM (User Authentication Module) biedt een methode voor het versleutelen van de wachtwoorden die u gebruikt om u aan te melden bij Windows AFP-servers (AppleTalk Filing Protocol). De Apple User Authentication Module (UAM) biedt slechts minimale of geen versleuteling. Daarom kan uw wachtwoord eenvoudig worden onderschept op het LAN of op internet. Hoewel de UAM niet vereist is, biedt deze wel versleutelde verificatie voor Windows 2000-servers waarop Services voor Macintosh wordt uitgevoerd. Deze versie bevat ondersteuning voor NTLMv2 128-bits versleutelde verificatie en een macOS X 10.1-compatibele release.
         
         Standaard staat de Windows Server 2003 Services voor Macintosh-server alleen Microsoft-verificatie toe.
          

       • Windows Server 2008, Windows Server 2003, Windows XP en Windows 2000: als u de waarde LMCompatibilityLevel configureert op 0 of 1 en vervolgens de NoLMHash-waarde configureert op 1, kunnen toepassingen en onderdelen de toegang via NTLM worden geweigerd. Dit probleem treedt op omdat de computer is geconfigureerd om LM in te schakelen, maar niet om door LM opgeslagen wachtwoorden te gebruiken.
         
         Als u de NoLMHash-waarde configureert op 1, moet u de waarde LMCompatibilityLevel configureren op 2 of hoger.

11. Netwerkbeveiliging: vereisten voor LDAP-clientondertekening

    1. Achtergrond
       
       De instelling Netwerkbeveiliging: de instelling voor ldap-clientondertekening bepaalt als volgt het niveau van gegevensondertekening dat wordt aangevraagd namens clients die LDAP-BINDING-aanvragen (Lightweight Directory Access Protocol) uitgeven:

       • Geen: De LDAP BIND-aanvraag wordt uitgegeven met de door de beller opgegeven opties.

       • Onderhandelen over ondertekening: als de Secure Sockets Layer/Transport Layer Security (SSL/TLS) niet is gestart, wordt de LDAP BIND-aanvraag gestart met de optie VOOR LDAP-gegevensondertekening ingesteld naast de opties die door de beller zijn opgegeven. Als SSL/TLS is gestart, wordt de LDAP BIND-aanvraag gestart met de door de beller opgegeven opties.

       • Ondertekening vereisen: dit is hetzelfde als onderhandelen over ondertekening. Als het tussenliggende saslBindInProgress-antwoord van de LDAP-server echter niet aangeeft dat LDAP-verkeersondertekening vereist is, krijgt de aanroeper te horen dat de LDAP BIND-opdrachtaanvraag is mislukt.

    2. Riskante configuratie
       
       Netwerkbeveiliging inschakelen: de instelling voor de vereisten voor LDAP-clientondertekening is een schadelijke configuratie-instelling. Als u de server zo instelt dat LDAP-handtekeningen vereist zijn, moet u ook LDAP-ondertekening op de client configureren. Als u de client niet configureert voor het gebruik van LDAP-handtekeningen, wordt communicatie met de server voorkomen. Dit zorgt ervoor dat gebruikersverificatie, groepsbeleid-instellingen, aanmeldingsscripts en andere functies mislukken.

    3. Redenen om deze instelling
       
       te wijzigen Niet-ondertekend netwerkverkeer is vatbaar voor man-in-the-middle-aanvallen waarbij een indringer pakketten tussen de client en de servers vastlegt, wijzigt en vervolgens doorstuurt naar de server. Wanneer dit gebeurt op een LDAP-server, kan een aanvaller ervoor zorgen dat een server reageert op basis van valse query's van de LDAP-client. U kunt dit risico in een bedrijfsnetwerk verlagen door sterke fysieke beveiligingsmaatregelen te implementeren om de netwerkinfrastructuur te beschermen. Daarnaast kunt u allerlei man-in-the-middle-aanvallen voorkomen door digitale handtekeningen op alle netwerkpakketten te vereisen via IPSec-verificatieheaders.

    4. Symbolische naam:
       
       LDAPClientIntegrity

    5. Registerpad:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

12. Gebeurtenislogboek: maximale grootte van het beveiligingslogboek

    1. Achtergrond
       
       Het gebeurtenislogboek: de maximale beveiligingsinstelling voor de grootte van het beveiligingslogboek geeft de maximale grootte van het beveiligingslogboek op. Dit logboek heeft een maximale grootte van 4 GB. U vindt deze instelling doorWindows-instellingen uit te vouwen
       en vervolgens Beveiligingsinstellingen uit te vouwen.

    2. Riskante configuraties
       
       Hieronder vindt u schadelijke configuratie-instellingen:

       • De grootte van het beveiligingslogboek en de bewaarmethode voor beveiligingslogboeken beperken wanneer de instelling Controle: Systeem onmiddellijk afsluiten als de instelling voor beveiligingscontroles voor logboeken niet kan worden ingeschakeld. Zie de sectie 'Controle: systeem onmiddellijk afsluiten als er geen beveiligingscontroles kunnen worden geregistreerd' van dit artikel voor meer informatie.

       • De grootte van het beveiligingslogboek beperken, zodat beveiligings gebeurtenissen van belang worden overschreven.

    3. Redenen om deze instelling
       
       te verhogen Bedrijfs- en beveiligingsvereisten kunnen bepalen dat u de grootte van het beveiligingslogboek vergroot om aanvullende details van het beveiligingslogboek te verwerken of om beveiligingslogboeken voor een langere periode te bewaren.

    4. Redenen om deze instelling
       
       te verlagen Logboeken logboeken zijn bestanden die aan het geheugen zijn toegewezen. De maximale grootte van een gebeurtenislogboek wordt beperkt door de hoeveelheid fysiek geheugen op de lokale computer en door het virtuele geheugen dat beschikbaar is voor het gebeurtenislogboekproces. Als u de logboekgrootte groter maakt dan de hoeveelheid virtueel geheugen dat beschikbaar is voor Logboeken, wordt het aantal logboekvermeldingen dat wordt bijgehouden niet verhoogd.

    5. Voorbeelden van compatibiliteitsproblemen
       
       Windows 2000: Computers met versies van Windows 2000 die ouder zijn dan Service Pack 4 (SP4) kunnen de logboekregistratie van gebeurtenissen in het gebeurtenislogboek stoppen voordat de grootte wordt bereikt die is opgegeven in de instelling Maximale logboekgrootte in Logboeken als de optie Gebeurtenissen niet overschrijven (logboek handmatig wissen) is ingeschakeld.
       
       
        

13. Gebeurtenislogboek: beveiligingslogboek behouden

    1. Achtergrond
       
       Het gebeurtenislogboek: De beveiligingsinstelling voor het beveiligingslogboek behouden bepaalt de methode 'wrapping' voor het beveiligingslogboek. U vindt deze instelling door Windows-instellingen uit te vouwen en vervolgens Beveiligingsinstellingen uit te vouwen.

    2. Riskante configuraties
       
       Hieronder vindt u schadelijke configuratie-instellingen:

       • Niet alle vastgelegde beveiligings gebeurtenissen behouden voordat ze worden overschreven

       • De instelling Maximale grootte van het beveiligingslogboek te klein configureren, zodat beveiligings gebeurtenissen worden overschreven

       • De grootte van het beveiligingslogboek en de retentiemethode beperken tijdens de controle: het systeem onmiddellijk afsluiten als de beveiligingsinstelling voor beveiligingscontroles niet kan worden geregistreerd

    3. Redenen om deze instelling
       
       in te schakelen Schakel deze instelling alleen in als u de bewaarmethode Voor het overschrijven van gebeurtenissen per dag selecteert. Als u een gebeurteniscorrelatiesysteem gebruikt dat op gebeurtenissen pollt, moet u ervoor zorgen dat het aantal dagen ten minste drie keer de pollfrequentie is. Doe dit om mislukte poll-cycli toe te staan.

14. Netwerktoegang: iedereen machtigingen laten toepassen op anonieme gebruikers

    1. Achtergrond
       
       Standaard is de instelling Netwerktoegang: Iedereen-machtigingen toepassen op anonieme gebruikers ingesteld op Niet gedefinieerd in Windows Server 2003. Standaard bevat Windows Server 2003 het token anonieme toegang niet in de groep Iedereen.

    2. Voorbeeld van compatibiliteitsproblemen
       
       De volgende waarde van

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous [REG_DWORD]=0x0 verbreekt het maken van vertrouwen tussen Windows Server 2003 en Windows NT 4.0, wanneer het domein Windows Server 2003 het accountdomein is en het Windows NT 4.0-domein het brondomein is. Dit betekent dat het accountdomein wordt vertrouwd in Windows NT 4.0 en dat het brondomein aan de zijde van Windows Server 2003 vertrouwt. Dit gedrag treedt op omdat het proces voor het starten van de vertrouwensrelatie na de initiële anonieme verbinding ACL's is met het iedereen-token dat de anonieme SID op Windows NT 4.0 bevat.

    3. Redenen om deze instelling
       
       te wijzigen De waarde moet worden ingesteld op 0x1 of met behulp van een groepsbeleidsobject op de organisatie-eenheid van de domeincontroller worden ingesteld op: Netwerktoegang: Iedereen-machtigingen toepassen op anonieme gebruikers - ingeschakeld om het maken van vertrouwensrelaties mogelijk te maken.
       
       Opmerking De meeste andere beveiligingsinstellingen gaan omhoog in waarde in plaats van omlaag naar 0x0 in hun meest beveiligde status. Een veiligere procedure is om het register op de primaire domeincontrolleremulator te wijzigen in plaats van op alle domeincontrollers. Als de primaire domeincontrolleremulatorrol om welke reden dan ook wordt verplaatst, moet het register worden bijgewerkt op de nieuwe server.
       
       Opnieuw opstarten is vereist nadat deze waarde is ingesteld.

    4. Registerpad

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

15. NTLMv2-verificatie

    1. Sessiebeveiliging
       
       Sessiebeveiliging bepaalt de minimale beveiligingsstandaarden voor client- en serversessies. Het is een goed idee om de volgende beveiligingsbeleidsinstellingen te controleren in de module Microsoft Management Console groepsbeleid Editor:

       • Computerinstellingen\Windows-instellingen\Beveiligingsinstellingen\Lokaal beleid\Beveiligingsopties

       • Netwerkbeveiliging: minimale sessiebeveiliging voor NTLM SSP-servers (inclusief beveiligde RPC)-servers

       • Netwerkbeveiliging: minimale sessiebeveiliging voor NTLM SSP-clients (inclusief beveiligde RPC)-clients

       De opties voor deze instellingen zijn als volgt:

       • Berichtintegriteit vereisen

       • Vertrouwelijkheid van berichten vereisen

       • NTLM versie 2-sessiebeveiliging vereisen

       • 128-bits versleuteling vereisen

       De standaardinstelling vóór Windows 7 is Geen vereisten. Vanaf Windows 7 is de standaardinstelling gewijzigd in 128-bits versleuteling vereisen voor verbeterde beveiliging. Met deze standaardinstelling kunnen oudere apparaten die geen ondersteuning bieden voor 128-bits versleuteling geen verbinding maken.
       
       Deze beleidsregels bepalen de minimale beveiligingsstandaarden voor een communicatiesessie tussen toepassingen op een server voor een client.
       
       Hoewel deze worden beschreven als geldige instellingen, worden de vlaggen voor het vereisen van berichtintegriteit en vertrouwelijkheid niet gebruikt wanneer de beveiliging van de NTLM-sessie wordt bepaald.
       
       In het verleden heeft Windows NT de volgende twee varianten van vraag-/antwoordverificatie ondersteund voor netwerkaanmeldingen:

       • LM-uitdaging/-antwoord

       • NTLM versie 1 vraag/antwoord

       LM maakt interoperabiliteit mogelijk met de geïnstalleerde basis van clients en servers. NTLM biedt verbeterde beveiliging voor verbindingen tussen clients en servers.
       
       De bijbehorende registersleutels zijn als volgt:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

    2. Riskante configuraties
       
       Met deze instelling bepaalt u hoe netwerksessies die met NTLM worden beveiligd, worden verwerkt. Dit is bijvoorbeeld van invloed op RPC-sessies die zijn geverifieerd met NTLM. Er zijn de volgende risico's:

       • Het gebruik van oudere verificatiemethoden dan NTLMv2 maakt de communicatie gemakkelijker aan te vallen vanwege de eenvoudigere hashingmethoden die worden gebruikt.

       • Als u versleutelingssleutels gebruikt die lager zijn dan 128-bits, kunnen aanvallers de communicatie verbreken met behulp van beveiligingsaanvallen.

Tijdsynchronisatie

Tijdsynchronisatie is mislukt. De tijd is meer dan 30 minuten vrij op een betrokken computer. Zorg ervoor dat de klok van de clientcomputer wordt gesynchroniseerd met de klok van de domeincontroller.

Tijdelijke oplossing voor SMB-ondertekening

We raden u aan Service Pack 6a (SP6a) te installeren op Windows NT 4.0-clients die interoperate in een domein op basis van Windows Server 2003. Windows 98 Second Edition-clients, Windows 98-clients en Windows 95-clients moeten de Directory Services-client uitvoeren om NTLMv2 uit te voeren. Als Windows NT 4.0-clients niet windows NT 4.0 SP6 geïnstalleerd of als Windows 95-gebaseerde clients, Windows 98-clients en Windows 98SE-clients niet de Directory Services-client geïnstalleerd, schakel SMB-aanmelding in de standaard domeincontroller beleidsinstelling op de organisatie-eenheid van de domeincontroller en koppel dit beleid vervolgens aan alle OE's die domeincontrollers hosten.

De Directory Services-client voor Windows 98 Second Edition, Windows 98 en Windows 95 voert SMB-ondertekening uit met Windows 2003-servers onder NTLM-verificatie, maar niet onder NTLMv2-verificatie. Bovendien reageren Windows 2000-servers niet op SMB-ondertekeningsaanvragen van deze clients.

Hoewel het niet wordt aanbevolen, kunt u voorkomen dat SMB-ondertekening vereist is op alle domeincontrollers met Windows Server 2003 in een domein. Volg deze stappen om deze beveiligingsinstelling te configureren:

1. Open het standaardbeleid van de domeincontroller.

2. Open de map Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Lokaal beleid\Beveiligingsopties.

3. Zoek en klik vervolgens op de Microsoft-netwerkserver: de beleidsinstelling voor communicatie digitaal ondertekenen (altijd) en klik vervolgens op Uitgeschakeld.

Belangrijk Deze sectie, methode of taak bevat stappen die u vertellen hoe u het register kunt wijzigen. Er kunnen echter ernstige problemen optreden als u het register onjuist wijzigt. Zorg er daarom voor dat u deze stappen zorgvuldig volgt. Voor extra beveiliging maakt u een back-up van het register voordat u het wijzigt. Vervolgens kunt u het register herstellen als er een probleem optreedt. Voor meer informatie over het maken van back-ups en het herstellen van het register klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

322756 Een back-up maken van het register en het register herstellen in Windows. U kunt ook SMB-ondertekening op de server uitschakelen door het register te wijzigen. Ga hiervoor als volgt te werk:

1. Klik op Start, klik op Uitvoeren, typ regedit en klik vervolgens op OK.

2. Zoek en klik vervolgens op de volgende subsleutel:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

3. Klik op de vermelding enablesecuritysignature .

4. Klik in het menu Bewerken op Wijzigen.

5. Typ 0 in het gegevensvak Waarde en klik op OK.

6. Sluit registereditor af.

7. Start de computer opnieuw op of stop de serverservice en start deze opnieuw op. Hiervoor typt u de volgende opdrachten bij een opdrachtprompt en drukt u op Enter nadat u elke opdracht hebt ingevoerd:
   net stop server
   net start server

Opmerking De bijbehorende sleutel op de clientcomputer bevindt zich in de volgende registersubsleutel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters Hieronder vindt u de vertaalde foutcodenummers voor statuscodes en de verbatim-foutberichten die eerder zijn vermeld:

Klik voor meer informatie op de volgende artikelnummers om de artikelen in de Microsoft Knowledge Base weer te geven:

324802 Groepsbeleid configureren voor het instellen van beveiliging voor systeemservices in Windows Server 2003

816585 Vooraf gedefinieerde beveiligingssjablonen toepassen in Windows Server 2003