Šiuo metu esate neprisijungę, laukiama, kol iš naujo prisijungsite prie interneto

Jūsų naršyklė nepalaikoma

Kad galėtumėte naudotis svetaine, turite atnaujinti naršyklę.

Įdiekite naujausią „Internet Explorer“ versiją

Kliento, tarnybos ir programos klausimais gali kilti, jei galite keisti saugos parametrus ir vartotojų teisių priskyrimus

Nutrauktas „Windows XP“ palaikymas

Nuo 2014 m. balandžio 8 d. „Microsoft“ nutraukė „Windows XP“ palaikymą. Tai paveikė programinės įrangos naujinimus ir saugą. Sužinokite, ką tai reiškia jums ir kaip užtikrinti kompiuterio saugą.

2015 m. liepos 14 d. buvo nutrauktas „Windows Server 2003“ palaikymas

2015 m. liepos 14 d. „Microsoft“ nutraukė „Windows Server 2003“ palaikymą. Tai paveikė programinės įrangos naujinimus ir saugą. Sužinokite, ką tai reiškia jums ir kaip užtikrinti kompiuterio saugą.

SVARBU: šis straipsnis išverstas naudojant „Microsoft“ mašininio vertimo programinę įrangą ir gali būti pataisytas naudojant „Community Translation Framework“ (CTF) technologiją. „Microsoft“ siūlo mašinos išverstus ir po to bendruomenės suredaguotus straipsnius, taip pat žmogaus išverstus straipsnius siekdama suteikti prieigą prie visų savo žinių bazės straipsnių daugeliu kalbų. Mašinos išverstuose ir vėliau paredaguotuose straipsniuose gali būti žodyno, sintaksės ir / arba gramatikos klaidų. „Microsoft“ neatsako už jokius netikslumus, klaidas arba žalą, patirtą dėl neteisingo turinio vertimo arba mūsų klientų naudojimosi juo. Daugiau apie CTF žr. http://support.microsoft.com/gp/machine-translation-corrections.

Spustelėkite čia, norėdami pamatyti šio straipsnio versiją anglų kalba: 823659
Santrauka
Saugos parametrus ir vartotojų teisių priskyrimus keičiamas į vietos politiką ir grupės strategijos padėti sugriežtinti užstato už domeno valdikliai ir nario kompiuteriuose. Tačiau, padidinto saugumo trūkumas yra nustatyti nesuderinamumai su klientais, paslaugų ir programų.

Šiame straipsnyje aprašoma nesuderinamumai, gali atsirasti klientų kompiuteriuose, kuriuose veikia Windows XP arba ankstesnės versijos Windows, kai keičiate konkrečius saugos parametrai ir vartotojo teisių prieskyros domenui Windows Server 2003 arba ankstesnėse Windows Server domenas.

Daugiau informacijos apie grupės politikos for Windows 7, Windows Server 2008 R2 ir Windows Server 2008, ieškokite šiais straipsniais: Pastaba: Likęs kiekis šiame straipsnyje yra susijusios su Windows XP, Windows Server 2003 ir ankstesnėmis Windows versijomis.

Windows XP

Spauskite čia norėdami pamatyti informaciją, kuri yra susijusios su Windows XP
Būtų labiau klaidingai saugos parametrų, naudokite grupės strategijos objekto rengyklę įrankį keisti saugos parametrus. Kai naudojate grupės strategijos objekto rengyklę, vartotojo teises užduotis yra tvirtesnis šių operacinių sistemų:
  • Windows XP profesinį Service Pack 2 (SP2)
  • Windows Server 2003 1 pakeitimų paketas (SP1)
Patobulintas funkcija yra dialogo langą, kuriame yra nuoroda į šį straipsnį. Atsidaro dialogo langas kai keisite saugos parametrų arba vartotojo teisių priskyrimas, kuriame, kad siūlo mažesnis suderinamumo ir yra labiau ribojančios. Jei tiesiogiai pakeisti patį saugumo aplinkoje arba vartotojo teisių priskyrimas naudojant registro arba naudoti saugumo šablonus, poveikis yra toks pat, kaip pakeisti parametrą į grupės strategijos objekto rengyklę. Tačiau nepasirodo dialogo langas, kuriame yra nuoroda į šį straipsnį.

Šiame straipsnyje pateikiami pavyzdžiai klientams, programų ir atliekamos operacijos, kurios turi įtakos konkrečių saugos parametrus ir vartotojų teisių priskyrimus. Tačiau pavyzdžių nėra autoritetingų visus Microsoft operacinių sistemų, visos trečiųjų šalių operacinės sistemos ar visos programos versijų, kurios turi įtakos. Ne visi saugos parametrus ir vartotojų teisių priskyrimus pateikiamos šiame straipsnyje.

Mes rekomenduojame, kad jums patvirtinti visi saugumu susijusių konfigūracijos pakeitimai bandymo miško suderinamumą prieš jums juos supažindinti gamybos aplinkoje. Bandymo miško turiu veidrodis gamybos miško vienu iš šių būdų:
  • Kliento ir serverio operacinės sistemos versijos, kliento andserver programų, paslaugų paketo versijas, karštąsias pataisas, schemos pakeitimai, securitygroups, narystę grupėse, teisių objektai, failų sistema, sharedfolders, registro, Active Directory katalogo tarnybą, vietos ir GroupPolicy parametrus ir objekto skaičius, rūšis ir vieta
  • Administratoriaus užduotis, atliekama, administrativetools, kurie yra naudojami ir operacinių sistemų, kuriuos naudoja performadministrative užduotys
  • Veiksmus, pavyzdžiui, taip:
    • Kompiuterio ir vartotojo registravimosi tapatumo nustatymo
    • Slaptažodį iš naujo nustato vartotojų, kompiuteriai ir administratoriams
    • Naršymas
    • Nustatant teises į failų sistemą, už bendrai naudojamus aplankus, registro ir Active Directory išteklius naudojant ACL rengyklė visus kliento operacinės sistemos visose sąskaitą arba išteklių domenai iš visų kliento operacinės sistemos iš visos sąskaitos ar išteklių domenai
    • Spausdinimas iš administracinių ir nonadministrative sąskaitų

Windows Server 2003 SP1

Spauskite čia norėdami pamatyti informaciją, kuri yra susijusios su Windows Server SP1

Įspėjimai gpedit.msc

Užtikrinti, kad klientai žino, kad jie yra redaguoti vartotojo teisę arba saugumo variantą, kuris gali turėti neigiamos įtakos jų tinklo, dvi įspėjimo mechanizmai buvo priskirti gpedit.msc. Kai administratoriams redaguoti vartotojo teisei, kurios gali neigiamai paveikti visą įmonės, jie matys naują piktogramą, panašus derlius ženklas. Jie taip pat gausite perspėjimo pranešimą, kad yra nuoroda į Microsoft žinių bazės straipsnyje 823659. Šio pranešimo tekstas yra toks:
Pakeisti šį parametrą gali turėti įtakos suderinamumui su klientais, paslaugų ir programų. Daugiau informacijos ieškokite <user right="" or="" security="" option="" being="" modified="">(Q823659)</user>
Jei jums buvo nurodyta šio žinių bazės straipsnio nuorodą gpedit.msc, įsitikinkite, kad jums skaityti ir suprasti su pateiktu paaiškinimu ir gali turėti įtakos šio parametro pakeitimas. Po to bus rodomas vartotojo teises, kurios yra įspėjimo tekstas:
  • Pasiekti šį kompiuterį iš tinklo
  • Prisijungti lokaliai
  • Aplinkkelio feed tikrinimas
  • Kompiuteriai ir vartotojai už patikimų delegacija
Po to bus rodomas saugos parinktys, kad įspėjimo ir laikinajame pranešime:
  • Domeno narys: Skaitmeniniu būdu užšifruoti ar pasirašyti saugaus kanalo duomenų (visada)
  • Domeno narys: Reikalauja stiprus (Windows 2000 arba vėlesnė versija) sesijos raktas
  • Domeno valdiklio: LDAP serverio pasirašymo reikalavimai
  • Microsoft tinklo serverio: elektroniniu parašu pasirašyti pranešimai (visada)
  • Prieigą prie tinklo: Leidžia anoniminis Sid / vardo Vertimas
  • Prieigą prie tinklo: Neleidžia anoniminius išvardijimo Sam sąskaitas ir akcijų
  • Tinklo saugumas: LAN Manager autentifikaciją lygis
  • Audito: Išjungti sistemos iš karto jei prisijungimo saugumo auditus
  • Tinklo prieiga: LDAP klientas pasirašymo reikalavimai
Daugiau informacijos
Šiuose skyriuose aprašoma nesuderinamumai, gali įvykti, kai jūs keisti konkrečius parametrus į domenus, Windows NT 4.0, Windows 2000 domenų ir Windows Server 2003 domenai.

Vartotojo teisės

Spauskite čia norėdami pamatyti informaciją apie vartotojo teises
Šiame sąraše aprašoma vartotojo teisę, identifikuoja s±rankos parametrus, gali kilti problemų, aprašoma, kodėl jums reikėtų kreiptis į vartotojo teisę ir kodėl jūs norėsite pašalinti vartotojo teisę, ir pateikiami pavyzdžiai suderinamumo problemas, kurios gali atsirasti, kai tinkamą vartotojo sukonfigūruotas.
  1. Pasiekti šį kompiuterį iš tinklo
    1. Fono

      Gebėjimas bendrauti su Windows pagrindu nuotoliniuose reikalauja prieigos šį kompiuterį iš tinklo vartotojo teisę. Tokių tinklų operacijų pavyzdžiai yra šie:
      • Active Directory replikuojant tarp domeno valdiklių bendro domeno arba miško
      • Autentiškumo prašymus į domeno valdiklius iš vartotojų ir kompiuterių
      • Prieiga prie bendrinamų aplankų, spausdintuvų ir kitų sistemos tarnybas, esančius nuotolinių kompiuterių tinkle


      Vartotojai, kompiuteriai ir paslaugų sąskaitų arba praranda galimybę šį kompiuterį iš tinklo vartotojo teisės yra aiškiai ar numanomai pripažįsta pridėta arba pašalinta iš saugos grupę suteikiama ši teisė. Pvz., vartotojo abonementą arba kompiuterio abonementą galima aiškiai pridėti pasirinktinį saugos grupę arba įtaisytosios saugos administratoriaus, ar gali būti netiesiogiai operacinės sistemos prie kompiuterinė saugumo grupės pvz., domeno vartotojai, autentifikuoti vartotojai ar įmonės domeno valdikliuose.

      Pagal numatytuosius nustatymus vartotojų abonementus ir kompiuterių sąskaitos suteikiamos prieigos šį kompiuterį iš tinklo vartotojas kuomet kompiuterinė grupės pvz., visi arba geriausiai Autentifikuota vartotojams, o domeno valdikliai, įmonės domeno valdiklių grupę, nurodomos numatytoji domeno valdiklių grupės politikos objektas (GPO).
    2. Rizikingas konfigūracijų

      Toliau pateikiami kenksmingų konfigūracijos parametrai:
      • Pašalinti įmonės domeno valdiklių saugos grupę iš ši vartotojo teisė
      • Pašalinti autentifikuotų vartotojų grupė arba aiškiai grupė, kuri leidžia vartotojams, kompiuteriai ir tarnybos abonementus, reikalingus vartotojo teisę jungtis prie kompiuterių tinkle
      • Pašalinti visi vartotojai ir kompiuteriai iš šio vartotojo teisė
    3. Priežasčių suteikti ši vartotojo teisė
      • Prieiga šį kompiuterį iš tinklo vartotojo teisę įmonės domeno valdiklių grupę atitinka autentifikavimo reikalavimai kad turite turėti Active Directory kopijavimo replikacijos ciklui vykti tarp domeno valdiklių tame pačiame miške.
      • Ši vartotojo teisė leidžia pasiekti bendrai naudojamus failus, spausdintuvai ir sistemos paslaugų, įskaitant Active Directory vartotojai ir kompiuteriai.
      • Ši vartotojo teisė yra reikalingi naudotojams prieigą prie pašto naudodami Microsoft Outlook Web Access (OWA) versijas.
    4. Priežasčių pašalinti ši vartotojo teisė
      • Vartotojai, kurie gali prisijungti savo kompiuterius prie tinklo galite prieiti prie išteklių nuotolinio kompiuterius, kad jie turi leidimą. Pvz., ši vartotojo teisė yra reikalingos vartotojui prijungti prie bendro naudojimo spausdintuvai ir aplankams. Jei ši vartotojo teisė yra suteikta ir visiems grupės, ir jeigu kai kurie bendrinamų aplankų dalis ir NTFS failų sistemos teisės sukonfigūruotas taip, kad tos pačios grupės turi skaitymo teises, kiekvienas gali matyti failus į šiuos aplankus. Vis dėlto tai yra mažai tikėtina, situacija šviežių įrenginiams Windows Server 2003 nes numatytoji dalis ir NTFS leidimus Windows Server 2003 nėra įtraukti visi grupės. Sistemoms, kuriose yra atnaujinami nuo Microsoft Windows NT 4.0 arba Windows 2000, šis pažeidžiamumas gali turėti didesnę riziką, nes numatytoji dalis ir failų sistemos teisių šių operacinių sistemų nėra taip kaip numatytąsias teises Windows Server 2003 ribojančių.
      • Yra svarbių priežasčių nuo ši vartotojo teisė pašalinti įmonės domeno valdiklių grupę.
      • Visi grupės yra paprastai pašalinamas naudai autentifikuotų vartotojų grupė. Jei visi grupės yra pašalintas, autentifikuotų vartotojų grupė turi būti suteikta ši teisė.
      • Windows NT 4.0 sričių, kurios yra atnaujinant į Windows 2000 aiškiai nesuteikia prieigos šį kompiuterį iš tinklo vartotojo teisę į visi grupės, autentifikuotų vartotojų grupė arba įmonės domeno valdiklių grupę. Todėl, kai pašalinate grupę visi Windows NT 4.0 domeno politika, Active Directory kopijavimo ar nepavyksta su klaidos pranešimą "Prieiga uždrausta" atnaujinę į Windows 2000. Winnt32.exe Windows Server 2003 vengia tai neteisinga, suteikiant įmonės domeno valdiklių grupę ši vartotojo teisė plėtodami Windows NT 4.0 pagrindiniai domeno kontrolieriai (PDCs). Suteikti įmonės domeno valdiklių grupę šiam vartotojui teisę, jei tai nėra šios grupės strategijos objekto rengyklę.
    5. Suderinamumo problemų pavyzdžiai
      • Windows 2000 ir Windows Server 2003: Replikacijos šių pertvarų nepavyks su "Access Denied" klaidų kaip praneša stebėsenos priemones, pavyzdžiui, REPLMON ir REPADMIN ar replikavimo įvykių įvykių žurnalo.
        • Active Directory Schema pasiskirstymo
        • Konfigūracijos pasiskirstymo
        • Domeno pasiskirstymo
        • Visuotinio katalogo skaidinio
        • Taikyti pasiskirstymo
      • Visus Microsoft operacines sistemas:Vartotojo sąskaitos patvirtinimas nuotolinio tinklo kliento kompiuteryje nepavyksta, jei vartotojas arba saugos grupę, kurioje vartotojas yra narys neturi ši vartotojo teisė.
      • Visus Microsoft operacines sistemas:Paskyros patvirtinimas nuotolinio tinklo klientams nepavyks negavus sąskaitą arba saugos grupės abonementas priklauso šio vartotojo teisė. Šiuo atveju taikoma į vartotojų abonementus, kompiuterių sąskaitos, ir tarnybos abonementus.
      • Visus Microsoft operacines sistemas:Pašalinti visas sąskaitas iš ši vartotojo teisė neleis bet kurį abonementą nuo bandančių įeiti į domeną arba prieigą prie tinklo išteklių. Jei skaičiuojant tokias grupes, kaip įmonės domeno valdikliai, pašalinami visi, ar autentifikuoti vartotojai, jums turi aiškiai suteikti ši vartotojo teisė sąskaitų arba saugos grupes, kad sąskaita yra narys prieiti prie nuotolinių kompiuterių tinkle. Šiuo atveju taikoma į visus vartotojų abonementus, visų kompiuterių sąskaitos, ir visos tarnybos abonementus.
      • Visus Microsoft operacines sistemas:Vietinio administratoriaus abonementą naudoja "tuščią" slaptažodį. Tinklo ryšio su tuščia slaptažodžius nepritaikyta internetiniams administratoriaus abonementų domeno aplinkoje. Naudodami šią konfigūraciją, galite tikėtis gauti klaidos pranešimą "Prieiga uždrausta".
  2. Leisti prisijungti, lokaliai
    1. Fono

      Vartotojai, kurie bando prisijungti prie kompiuterio su Windows konsolės (Naudodami sparčiuosius klavišus CTRL + ALT + DELETE) ir sąskaitų, kurie bando pradėti paslaugų turėti vietos įėjimo teises priėmimo kompiuteryje. Vietos įėjimo operacijų pavyzdžiai administratoriams, kurie yra prisijungę prie konsolių, valstybės kompiuteriuose ar domeno valdikliuose visoje įmonės ir domeno vartotojai, kurie yra prisijungę prie valstybės kompiuterių norint pasiekti savo darbalaukius naudojant ne privilegijuota sąskaitas. Vartotojams, kurie naudoja nuotolinio darbalaukio ryšį arba terminalų tarnybos turi leisti prisijungti lokaliai vartotojo teisę į paskirties kompiuterius, kuriuose veikia Windows 2000 ar Windows XP nes šitiems įėjimo laikomi vietos į hostingo kompiuterį. Vartotojams, kurie yra prisijungę prie serverio, kurio terminalo serveryje įgalintas ir kurie neturi šio vartotojo teisė gali dar pradėti nuotolinio interaktyvios sesijos Windows Server 2003 srityse, jei jie turi teisę leisti prisijungti per terminalų tarnybas vartotojo.
    2. Rizikingas konfigūracijų

      Toliau pateikiami kenksmingų konfigūracijos parametrai:
      • Pašalinti administracinių apsaugos grupių, įskaitant į operatorių, atsarginio kopijavimo operatorių, spausdinti operatoriai arba serverio ūkio subjektų, ir įmontuotą administratorių grupės iš numatytojo domeno valdiklio politikos.
      • Pašalinti tarnybų abonementus, kurie yra naudojami komponentai ir iš programos valstybės kompiuteriuose ir domeno valdikliuose nuo numatytojo domeno valdiklio politikos srityje.
      • Pašalindami vartotojus ar saugos grupes, kad prisijungti prie konsolės valstybės kompiuterių srityje.
      • Pašalinti tarnybų abonementus, kurie yra apibrėžti vietos saugumo sąskaitų vadybininkas (SAM) bazėje nario kompiuteriuose ar darbo grupių kompiuterius.
      • Pašalinti ne-pastatytas į administracines ataskaitas, yra patvirtinamas per terminalo paslaugos, kad veikia domeno valdiklyje.
      • Visų abonementų pridėjimą srityje tiesiogiai ar netiesiogiai per visi grupės, neigti įėjimo vietoje prisijungti dešinėje. Ši konfigūracija bus neleidžia vartotojams prisijungti prie bet kurio kompiuterio, valstybės arba bet koks domeno valdiklio srityje.
    3. Priežasčių suteikti ši vartotojo teisė
      • Vartotojams turi būti leisti prisijungti lokaliai vartotojo teisė prieiti prie konsolės arba darbalaukio darbo grupės kompiuterio, valstybės kompiuterį ar domeno valdiklis.
      • Vartotojai turi būti ši teisė prisijungti per terminalų tarnybas seansą, kuris veikia lango 2000 nario kompiuteryje arba domeno valdiklis.
    4. Priežasčių pašalinti ši vartotojo teisė
      • Nesugebėjimas neapribotų konsolės į teisėtus vartotojų abonementus gali sukelti leidimo neturintiems vartotojams atsisiųsti ir vykdyti kenkėjiškų pakeisti savo vartotojo teises.
      • Teisę leisti prisijungti lokaliai vartotojo panaikinimas apsaugo nuo neteisėto įėjimams konsolių kompiuterių, pvz., domeno valdiklius arba taikomųjų programų serverius.
      • Panaikinimas ši registravimosi teisė neleidžia ne domeno sąskaitas Prisijungę ne konsolės valstybės kompiuterių srityje.
    5. Suderinamumo problemų pavyzdžiai
      • Windows 2000 terminalų serverių:Teisę leisti prisijungti lokaliai vartotojo reikalingas vartotojams prisijungti prie Windows 2000 terminalų serverių.
      • Windows NT 4.0, Windows 2000, Windows XP arba Windows Server 2003:Vartotojų abonementai turi būti suteikta ši vartotojo teisė į kompiuterius, kuriuose veikia Windows NT 4.0, Windows 2000, Windows XP arba Windows Server 2003 konsolės prisijungti.
      • Windows NT 4.0 ir vėlesnės:Kompiuteriuose, kuriuose veikia Windows NT 4.0 ir vėliau, jei jūs įtraukiate leisti prisijungti, lokaliai vartotojo teisę, bet jūs aiškiai ar netiesiogiai taip pat suteikia neigti įėjimo vietoje įėjimo teisę, sąskaitos nebus galės prisijungti prie domeno valdiklių konsolės.
  3. Aplinkkelio feed tikrinimas
    1. Fono

      Teisę apeiti feed patikrinti vartotojo leidžia vartotojui naršyti aplankus į NTFS failų sistemos arba registro nepatikrindami Feed aplanko specialios prieigos teisių. Teisę apeiti feed patikrinti vartotojo neleidžia vartotojui sąrašą aplanko turinį. Jis leidžia vartotojui feed tik savo aplankus.
    2. Rizikingas konfigūracijų

      Toliau pateikiami kenksmingų konfigūracijos parametrai:
      • Pašalinti ne administracines ataskaitas, kad įeiti į Windows 2000 pagrindu Terminal Services kompiuterių ar neturite teisių prieiti prie failų ir aplankų failo sistemoje Windows Server 2003 pagrindu terminalų tarnybos kompiuteriai.
      • Pašalinti visi grupės iš saugos principai, kurie turi šio vartotojo teisė pagal numatytąją reikšmę, sąrašą. Operacinės sistemos Windows, ir taip pat daug programų, skirtos tikintis, kad kiekvienas, kuris gali teisėtai pasinaudoti turės teisę apeiti feed patikrinti vartotojo. Todėl, pašalinti visi grupės sąraše saugos pagrindai, kuriems ši teisė numatyta galėtų sukelti operacinės sistemos nestabilumą ar programa nepakankamumas. Tai geriau palikti šį parametrą savo įsipareigojimų nevykdymas.
    3. Priežasčių suteikti ši vartotojo teisė

      Pagal nutylėjimą teisę apeiti feed patikrinti vartotojo yra leisti bet kam apeiti feed tikrinimas. Patyręs Windows sistemos administratoriams, tai laukiamą elgesį, ir jie sukonfigūruokite failų sistemos prieigos valdymo sąrašus (SACLs) atitinkamai. Tik scenarijus, jei numatytoji konfigūracija gali lemti nelaimingas, jei administratoriui, kuris konfigūruoja teises nesupranta elgesį ir tikisi, kad vartotojai, kurie negali patekti į aukštesnio lygio aplanką bus suteikta galimybė naudotis bet kuris vaikas aplankų turinį.
    4. Priežasčių pašalinti ši vartotojo teisė

      Stengtis užkirsti kelią patekti į failus ar aplankus į failų sistemą, organizacijų, kurios yra labai susirūpinę dėl saugumo gali bandyti pašalinti visi grupės, ar net vartotojų grupei, iš grupių, kurios teisė apeiti feed patikrinti vartotojo sąrašo.
    5. Suderinamumo problemų pavyzdžiai
      • Windows 2000, Windows Server 2003:Jei teisinga apeiti feed patikrinti vartotojo pašalinamas arba netinkamai sukonfigūruotas kompiuteriuose, kuriuose veikia Windows 2000 ar Windows Server 2003, grupės strategijos parametrai SYVOL aplanke bus pakartoti tarp domeno valdiklių srityje.
      • Windows 2000, Windows XP Professional, Windows Server 2003:Kompiuteriams, kuriuose veikia Windows 2000, Windows XP Professional ar Windows Server 2003 bus registruojami įvykiai 1000 ir 1202 ir bus suteikta galimybė taikyti kompiuterio politiką ir vartotojų politiką kai reikalingo failo sistemos teisės yra pašalintas iš SYSVOL medžio jei aplinkkelio feed tikrinimo vartotojo teisė pašalinama arba netinkamai sukonfigūruotas.

        Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
        290647 Įvykio ID 1000, 1001 užregistruojamas kas penkias minutes į programos įvykių žurnalą
      • Windows 2000, Windows Server 2003: Kompiuteriuose, kuriuose veikia Windows 2000 ar Windows Server 2003, kvotos skirtuką Windows Explorer dingsta kai peržiūrite savybių tome.
      • Windows 2000: Ne administratoriams, kurie įeiti į Windows 2000 terminalų serverio galite gauti tokį klaidos pranešimą:
        Userinit.exe programos klaida. Paraiškos nebuvo tinkamai 0xc0000142 spustelėkite Gerai, jei norite nutraukti programą.
        Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
        272142 Vartotojai yra automatiškai pašalinti kai bando prisijungti prie terminalų tarnybų
      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003:Vartotojai, kurių kompiuteriuose veikia Windows NT 4.0, Windows 2000, Windows XP arba Windows Server 2003 gali nepavykti pasiekti bendrai naudojamus aplankus arba failus į aplankus, ir jie gauti klaidos pranešimą "Prieiga uždrausta" jei jie nėra suteikta apeiti feed patikrinti vartotojo teisė.

        Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
        277644 "Prieiga uždrausta" klaidos pranešimas, kai vartotojai bando juo pasinaudoti bendrinamų aplankų
      • Windows NT 4.0:Windows NT 4.0 kompiuteriuose, tinkamą apeiti feed patikrinti vartotojo panaikinimas sukels failo kopija lašas failą srautus. Pašalinus ši teisė, kai failas kopijuojamas iš Windows klientas arba Windows NT 4.0 domeno valdiklį, kuris veikia paslaugos skirta "Macintosh" Macintosh klientui, paskirties failo srautas yra prarastas, ir failas rodomas kaip tik teksto failą.

        Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
        172930 Panaikinimas "Aplinkkelio feed patikrinimo" sukelia failo kopija atsisakyti srautus
      • Microsoft Windows 95, Microsoft Windows 98:Kliento kompiuteryje, kuriame veikia Windows 95 ar Windows 98, į Grynasis naudojimo * / home komanda nebus įvykdyta su klaidos pranešimą "Prieiga uždrausta" Jei autentifikuotų vartotojų grupė yra apeiti feed patikrinti vartotojo teisę.
      • Outlook Web Access:Ne administratoriams negalėsite prisijungti prie Microsoft Outlook Web Access, ir jie bus gauti klaidos pranešimą "Prieiga uždrausta", jei jie nėra suteikiamos apeiti feed patikrinti vartotojo teisę.

Saugos parametrai

Spauskite čia norėdami pamatyti informaciją apie saugos parametrai
Šiame sąraše nurodo saugos lygis, ir Struktϋrizuoti sΰraπas aprašoma apie saugos parametrą, identifikuoja s±rankos parametrus, gali kilti problemų, aprašoma, kodėl turėtų būti taikoma saugos lygis ir tada apibūdina priežasčių kodėl jūs norėsite pašalinti saugos parametrą. Struktϋrizuoti sΰraπas tada suteikia simbolinę pavadinimo saugumo ir saugos parametrą registro kelyje. Galiausiai, pateikiami pavyzdžiai apie suderinamumo problemas, kurios gali atsirasti, kai saugos lygis yra sukonfigūruotas.
  1. Audito: Išjungti sistemos iš karto jei prisijungimo saugumo auditus
    1. Fono
      • Į audito: išjungti sistemos iš karto jei prisijungimo saugumo auditus parametras nustato, ar sistemos išjungimo, jei nepavyks prisijungti saugumo įvykius. Šis parametras yra būtinas patikimos kompiuterių saugumo vertinimo kriterijų (TCSEC) programa C2 vertinimo ir bendrus kriterijus dėl informacijos technologijų saugumo įvertinimo užkirsti kelią audito įvykių jei audito sistemos negalima šių įvykių. Jei Audito sistema neveikia, sistema yra uždaryti, ir pasirodo stabdymo klaidos pranešimas.
      • Jei kompiuteris negali įrašyti renginių, skirtų saugumo prisijungti, po pavojų saugumui keliantis incidentas gali būti paprašytas ypatingos svarbos įrodymų ar trikčių šalinimo informacija.
    2. Rizikingas konfigūracijos

      Toliau pateikiamas kenksmingų konfigūraciją, konfigūracijos parametras: Į audito: išjungti sistemos iš karto jei prisijungimo saugumo auditus nustatymas yra įjungtas, ir saugumo atveju žurnalas dydį riboja neperrašo renginiai (išvalyti žurnalą rankiniu būdu) galimybė, parinktį perrašyti įvykius kaip reikia , arba Perrašyti įvykių vyresni nei numeris dienų galimybė įvykių peržiūros programa. Matyti informaciją apie konkrečius pavojus, kompiuteriams, kuriuose veikia išleido sukūrusi Windows 2000, Windows 2000 Service Pack 1 (SP1), Windows 2000 SP2 ar Windows 2000 SP3 "Suderinamumo problemų pavyzdžiai" skyrius.
    3. Priežasčių, kad šis parametras

      Jei kompiuteris negali įrašyti renginių, skirtų saugumo prisijungti, po pavojų saugumui keliantis incidentas gali būti paprašytas ypatingos svarbos įrodymų ar trikčių šalinimo informacija.
    4. Priežasčių išjungti šį parametrą
      • Kad į audito: išjungti sistemos iš karto jei prisijungimo saugumo auditus nustatymas nustoja sistema jei saugumo audito negali būti prisijungęs, jei dėl kokios nors priežasties. Paprastai, įvykis negali būti prisijungęs, kai saugumo audito žurnale yra pilnas ir kada jo nurodytu metodu yra arba neperrašo renginiai (išvalyti žurnalą rankiniu būdu) galimybė arba Perrašyti įvykių vyresni nei numeris dienų galimybė.
      • Administracinę naštą galima į audito: išjungti sistemos iš karto jei prisijungimo saugumo auditus nustatymas gali būti labai didelė, ypač jei jūs taip pat įjungti parinktį neperrašo renginiai (išvalyti žurnalą rankiniu būdu) , dėl saugumo prisijungti. Šis parametras nustato individualius atskaitomybės operatoriaus veiksmų. Pvz., administratorius gali iš naujo nustatyti teises visiems vartotojams, kompiuteriuose ir grupių organizacijos vienete (OU) tais atvejais, kai audito buvo įjungtas naudojant įtaisytasis administratoriaus abonementas arba kitų bendrą sąskaitą ir tada paneigti, kad jie iš naujo nustatyti tokias teises. Tačiau, leidžia nustatyti sumažinti sistemos tinkamumą nes serveryje gali būti priversti sustabdytas iki didele ji su įėjimo įvykius ir kitų saugumo įvykius į saugumo prisijungti. Be to, nes išjungimo subtili, gali sukelti nepataisomą žalą operacinės sistemos, programų ar duomenų. O NTFS garantuoja nenutraukti failų sistemos vientisumą, ungraceful sistemos išjungimo metu, jis negarantuoja, kad kiekvienas duomenų failo kiekviena programa bus kad butu paleidus sistemą.
    5. Simbolinis pavadinimas:

      CrashOnAuditFail

    6. Registro kelyje:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)
    7. Suderinamumo problemų pavyzdžiai
      • Windows 2000:Dėl klaidų, kompiuteriams, kuriuose veikia išleido sukūrusi Windows 2000, Windows 2000 SP1, Windows 2000 SP2 ar Windows Server SP3 gali sustabdyti registruodama įvykius nesulaukus tą dydį, kuris yra nurodytas maksimalus žurnalo dydis galimybę taikyti saugumo atveju žurnalas. Šią klaidą tvirtinamas Windows 2000 4 pakeitimų paketui (SP4). Įsitikinkite, kad jūsų Windows 2000 domeno kontrolieriai turi prieš manote, kad šis parametras įdiegti "Windows 2000" 4 pakeitimų paketą.

        Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
        312571 Įvykių sustoja prisijungti renginiai prieš pasiekiant didžiausią žurnalo dydį
      • Windows 2000, Windows Server 2003:Kompiuteriams, kuriuose veikia Windows 2000 ar Windows Server 2003 gali nustoti reaguoti ir tada gali spontaniškai iš naujo Jei į audito: išjungti sistemos iš karto jei prisijungimo saugumo auditus nustatymas yra įjungtas, saugos žurnalas yra pilnas ir įvykių žurnalą įrašo atnaujinti negalima. Kai kompiuteris paleidžiamas iš naujo, pasirodo šį stabdymo klaidos pranešimą:
        STOTELĖ: C0000244 {audito atlikti nepavyko}
        Nepavyko sukurti saugumo auditas.
        Susigrąžinti, administratorius turi įeiti, archyvas (pasirinktinai) saugos žurnalas, išvalykite saugumo prisijungti ir tada iš naujo nustatyti šią parinktį (neprivaloma ir taip reikalingą).
      • Microsoft tinklo klientas MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003:Ne administratoriams, bandantiems prisijungti prie domeno gausite tokį klaidos pranešimą:
        Jūsų sąskaita yra sukonfigūruotas neleidžia naudojasi šiuo kompiuteriu. Bandykite kitą kompiuterį.
        Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
        160783 Klaidos pranešimas: vartotojai negali prisijungti prie darbo vietos
      • Windows 2000:Windows 2000 kompiuteriuose, ne administratoriai negalėsite prisijungti prie nuotolinės prieigos serveriuose, ir jie bus gauti klaidos pranešimą, panašų į toliau:
        Nežinomas vartotojas arba blogai slaptažodis
        Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
        285665 Klaidos pranešimas: paskyros yra sukonfigūruotas taip, kad išvengti jus nuo naudojasi šiuo kompiuteriu
      • Windows 2000:Windows 2000 domeno valdikliuose, Intersite pranešimų tarnyba (Ismserv.exe) bus sustabdytas ir negali būti perkrauta. DCDIAG bus pranešti apie klaidą kaip "nepavyko bandymas paslaugų ISMserv", o įvykio ID 1083 bus užregistruota tuo atveju žurnalas.
      • Windows 2000:Windows 2000 domeno valdikliuose, Active Directory kopijavimo žlugs, o pranešimą "Prieiga uždrausta" bus rodomi, jei saugumo atveju žurnalas yra pilna.
      • Microsoft Exchange 2000:Serveriai, kuriuose veikia Exchange 2000 bus galima prijungti informacijos saugyklos duomenų bazės, ir renginys 2102 bus užregistruotas, jei žurnalo.

        Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
        314294 Exchange 2000 klaidos pranešimai generuojami dėl SeSecurityPrivilege teise ir Policytest klausimus
      • Outlook, Outlook Web Access: Ne administratoriams bus galima prieiti prie savo pašto Microsoft Outlook arba Microsoft Outlook Web Access, ir jie gaus 503 klaida.
  2. Domeno valdiklio: LDAP serverio pasirašymo reikalavimai
    1. Fono

      Į domeno valdiklio: LDAP serverio pasirašymo reikalavimai saugos parametru nustatoma, ar Lightweight Directory Access Protocol (LDAP) serveris reikalauja LDAP klientams derėtis dėl duomenų pasirašymas. Galimos reikšmės šis strategijos parametras yra taip:
      • Nė vienas: Duomenų pasirašymas nėra būtina susieti su serveriu. Jei klientas prašo duomenų pasirašymas, serveris palaiko tai.
      • Reikalauja pasirašyti: LDAP duomenų pasirašymo galimybė turi būti deramasi nebent transporto sluoksnis saugumo/Secure Socket Layer (TLS/SSL) yra naudojamas.
      • nėra apibrėžta: Šis nustatymas nėra įjungiamas arba išjungiamas.
    2. Rizikingas konfigūracijų

      Toliau pateikiami kenksmingų konfigūracijos parametrai:
      • Objektus, kurie leidžia reikalauja pasirašyti aplinkoje kur klientai nepalaiko LDAP pasirašymo arba kai kliento LDAP pasirašymo neįjungtas klientas
      • Taikant Windows 2000 ar Windows Server 2003 Hisecdc.inf saugumo šabloną aplinkoje, kur klientai nepalaiko LDAP pasirašymo arba kai kliento LDAP pasirašymas nėra įjungtas
      • Taikant Windows 2000 ar Windows Server 2003 Hisecws.inf saugumo šabloną aplinkoje, kur klientai nepalaiko LDAP pasirašymo arba kai kliento LDAP pasirašymas nėra įjungtas
    3. Priežasčių, kad šis parametras

      Nepasirašytos tinklo srautas yra jautrūs žmogus-in-the-middle išpuolių kai įsibrovėlis fiksuoja paketus tarp kliento ir serverio, keičia į paketus, ir tada perduoda juos į serverį. Kai taip atsitinka LDAP serveryje, užpuolikas gali sukelti serverio priimti sprendimus, remiasi klaidinga užklausų iš LDAP kliento. Jūs galite sumažinti šį pavojų įmonės tinkle įgyvendinant stiprus fizinės apsaugos priemones siekiant apsaugoti tinklo infrastruktūrą. Interneto protokolo sauga (IPSec) autentiškumo nustatymo antraštės būdas gali padėti išvengti žmogus-in-the-middle išpuolių. Autentifikavimo antraštės režimu atlieka abipusio autentifikavimo ir paketinis vientisumą IP eismo.
    4. Priežasčių išjungti šį parametrą
      • Klientams, kurie nėra paremti LDAP pasirašymo bus sudarytos sąlygos atlikti LDAP užklausų nuo domeno valdikliai ir pasaulio katalogai jei NTLM autentifikavimas yra ir jei teisingai pakeitimų paketuose nėra įdiegti Windows 2000 domeno valdikliuose.
      • Bus užšifruoti tinklo pėdsakai LDAP eismo tarp klientų ir serverių. Tai sunku patikrinti LDAP pokalbius.
      • Windows 2000-serverių turi būti Windows 2000 Service Pack 3 (SP3) arba įdiegta, kai jie vartojami su programomis, kad parama LDAP pasirašymo, paleidžiamos iš klientų kompiuterių, kuriuose įdiegta Windows 2000 SP4, Windows XP arba Windows Server 2003. Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
        325465 Windows 2000 domeno valdikliai reikalauja Service Pack 3 arba vėliau, kai naudojant Windows Server 2003 administration tools
    5. Simbolinis pavadinimas:

      LDAPServerIntegrity
    6. Registro kelyje:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)
    7. Suderinamumo problemų pavyzdžiai
      • Paprastas jungiasi nepavyks, ir jūs gausite tokį klaidos pranešimą:
        Ldap_simple_bind_s() nepavyko: griežtą autentifikavimą reikia.
      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003:Dėl klientų, kuriuose veikia Windows 2000 SP4, Windows XP arba Windows Server 2003, kai kurie Active Directory administravimo įrankiai neveiks tinkamai prieš domeno valdikliai, kuriuose veikia Windows 2000 versijos, kuri yra ankstesnė už SP3 kai deramasi, NTLM autentifikavimą.

        Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
        325465 Windows 2000 domeno valdikliai reikalauja Service Pack 3 arba vėliau, kai naudojant Windows Server 2003 administration tools
      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003:Dėl klientų, kuriuose veikia Windows 2000 SP4, Windows XP arba Windows Server 2003, kai kurie Active Directory administravimo įrankiai kad paskirties domeno valdikliai, kuriuose veikia Windows 2000, kurios yra ankstesnės nei SP3 neveiks tinkamai, jei jie naudoja IP adresus versijos (pvz., "dsa.msc /server =XXXX"kai XXXX yra IP adresas).

        Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
        325465 Windows 2000 domeno valdikliai reikalauja Service Pack 3 arba vėliau, kai naudojant Windows Server 2003 administration tools
      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003:Dėl klientų, kuriuose veikia Windows 2000 SP4, Windows XP arba Windows Server 2003, kai kurie Active Directory administravimo įrankiai, kurie skirti domeno valdikliai, kuriuose veikia Windows 2000 versijos, kuri yra ankstesnė už SP3 teisingai neveiks.

        Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
        325465 Windows 2000 domeno valdikliai reikalauja Service Pack 3 arba vėliau, kai naudojant Windows Server 2003 administration tools
  3. Domeno narys: reikalauja stiprios (Windows 2000 arba naujesnę) sesijos raktas
    1. Fono
      • Į domeno narys: reikalauja stiprios (Windows 2000 arba naujesnę) sesijos raktas parametras nustato, ar saugų kanalą galima nustatyti su domeno valdiklį, kuris negali užšifruoti saugaus kanalo eismo su stiprus, 128 bitų sesijos raktą. Kad šis parametras neleidžia nustatyti saugų kanalą su bet domeno valdikliui, kurį negali užšifruoti saugaus kanalo duomenų stiprus raktu. Blokavus šį nustatymą 64 bitų seansų raktais.
      • Norėdami įgalinti šį parametrą valstybės darbo vietoje arba serveryje, narys priklauso domene visi domeno valdikliai turi būti prie saugaus kanalo duomenims šifruoti su stiprus, 128 bitų raktą. Tai reiškia, kad visų šių domenų valdiklių sistema Windows 2000 arba naujesnę.
    2. Rizikingas konfigūracijos

      Kad į domeno narys: reikalauja stiprios (Windows 2000 arba naujesnę) sesijos raktas aplinkoje yra kenksmingų konfigūraciją, konfigūracijos parametras.
    3. Priežasčių, kad šis parametras
      • Sesijos raktus, kurie yra naudojami sukurti saugų kanalą ryšį tarp valstybės kompiuterių ir domeno valdikliai yra daug stipresni ir Windows 2000 nei ankstesnės versijos Microsoft operacinių sistemų.
      • Kai tai yra įmanoma, tai gera idėja pasinaudoti šių stipresnis sesijos raktus Norėdami apsaugoti saugaus kanalo ryšių iš slapto pasiklausymo ir sesijos vogimą tinklo atakų. Eavesdropping yra kenkėjiškas kur tinklo duomenų yra skaityti arba yra pakeistas forma. Duomenis galima keisti Slėpti arba pakeisti siuntėjo arba peradresuoti.
      Svarbu. Kompiuteryje, kuriame veikia Windows Server 2008 R2 "arba" Windows 7 palaiko tik stiprus raktai naudojant saugiais kanalais. Šis apribojimas užkerta kelią pasitikėjimą tarp bet kurio Windows NT 4.0 pagrindu domeno ir bet koks Windows Server 2008 R2 saugyklomis pagrįstame domene. Be to, šis apribojimas blokuoja Windows NT 4.0 saugyklomis pagrįstas domenas narystės kompiuteriams, kuriuose veikia Windows 7 "arba" Windows Server 2008 R2, ir atvirkščiai.
    4. Priežasčių išjungti šį parametrą

      Domene yra valstybės kompiuterių, kuriuose veikia operacinės sistemos Windows 2000, Windows XP arba Windows Server 2003.
    5. Simbolinis pavadinimas:

      StrongKey
    6. Registro kelyje:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)
    7. Suderinamumo problemų pavyzdžiai

      Windows NT 4.0:Windows NT 4.0 kompiuteriuose, iš naujo nustatyti saugiais kanalais pasitikėjimo santykius tarp Windows NT 4.0 ir Windows 2000 domenų su NLTEST nepavyksta. Rodomas klaidos pranešimas "Prieiga uždrausta":
      Patikimas ryšys tarp pirminio ir patikimo domenų nepavyko.

      Windows 7 ir Server 2008 R2:Windows 7 ir vėlesnės versijos ir Windows Server 2008 R2 ir vėlesnės versijos, šis parametras nėra gerbiamas ilgiau ir stiprus raktas naudojamas visada. Dėl to, kad tikisi su Windows NT 4.0 srityse ilgiau neveikia.
  4. Domeno narys: skaitmeniniu būdu užšifruoti ar pasirašyti saugaus kanalo duomenų (visada)
    1. Fono
      • Kad domeno narys: skaitmeniniu būdu užšifruoti ar pasirašyti saugaus kanalo duomenų (visada) neleidžia nustatyti saugų kanalą su bet domeno valdiklį, kuris negali pasirašyti arba užšifruoti visus saugaus kanalo duomenis. Siekiant apsaugoti autentifikavimo eismo iš žmogus-in-the-middle atakų, pakartojimo išpuolių ir kitų rūšių tinklo atakų, Windows kompiuteriai sukurti ryšio kanalą, kuris yra žinomas kaip saugų kanalą per tarnybos Net Logon autentifikuoti kompiuterių sąskaitos. Saugiais kanalais taip pat naudojami, kai vieno domeno vartotojas prisijungia prie tinklo išteklių nuotolinis domenas. Šis srautas autentiškumo patvirtinimo ar pass-through autentifikavimo, leidžia Windows kompiuteryje, kuriame jau prisijungė domeno susipažinti su vartotojo abonentų duomenų bazės savo domeno ir jokių patikimų domenų.
      • Kad į domeno narys: skaitmeniniu būdu užšifruoti ar pasirašyti saugaus kanalo duomenų (visada) parametrą kompiuteryje, narys, narys priklauso domene visi domeno valdikliai turi turėti galimybę pasirašyti arba užšifruoti visus saugaus kanalo duomenis. Tai reiškia, kad visi tokie domeno kontrolieriai turi būti įdiegta Windows NT 4.0 su Service Pack 6a (SP6a) arba vėliau.
      • Leidžia į domeno narys: skaitmeniniu būdu užšifruoti ar pasirašyti saugaus kanalo duomenų (visada) nustatymas automatiškai leidžia į domeno narys: skaitmeniniu būdu užšifruoti ar pasirašyti saugaus kanalo duomenų (kai įmanoma) nustatymas.
    2. Rizikingas konfigūracijos

      Kad į domeno narys: skaitmeniniu būdu užšifruoti ar pasirašyti saugaus kanalo duomenų (visada) kai ne visi domeno valdikliai gali pasirašyti arba užšifruoti saugaus kanalo duomenų sritis yra kenksmingų konfigūraciją, konfigūracijos parametras.
    3. Priežasčių, kad šis parametras

      Nepasirašytos tinklo srautas yra jautrūs žmogus-in-the-middle išpuolių, kur įsibrovėlis fiksuoja paketus tarp serverio ir kliento ir tada keičia juos prieš siunčiant juos į klientą. Kai taip atsitinka Lightweight Directory Access Protocol (LDAP) serveryje, įsibrovėlis gali sukelti klientui priimti sprendimus, kurie pagrįsti neteisingų įrašų iš LDAP katalogų. Jūs galite sumažinti riziką išpuolių kolektyviniame tinkle įgyvendinant stiprus fizinės apsaugos priemones siekiant apsaugoti tinklo infrastruktūrą. Be to, įgyvendinant interneto protokolo sauga (IPSec) autentifikavimo antraštės režimu neleis žmogus-in-the-middle išpuolių. Šiame režime atlieka abipusio autentifikavimo ir paketinis vientisumą IP eismo.
    4. Priežasčių išjungti šį parametrą
      • Kompiuteriai, vietinių ar išorinių domenų palaiko saugiame saugiais kanalais.
      • Ne visi domeno valdikliai domene turi atitinkamų paslaugų paketo peržiūros lygis remti saugiame saugiais kanalais.
    5. Simbolinis pavadinimas:

      StrongKey
    6. Registro kelyje:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)
    7. Suderinamumo problemų pavyzdžiai
      • Windows NT 4.0: Windows 2000 nario kompiuteriuose negalėsite prisijungti prie Windows NT 4.0 domenai ir gausite tokį klaidos pranešimą:
        Sąskaita neturi teisės įeiti iš šios stoties.
        Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
        281648 Klaidos pranešimas: sąskaitos nėra leidžiama prisijungti iš šios stoties
      • Windows NT 4.0:Windows NT 4.0 domenai bus galima sukurti žemesnio lygio pasitikėjimą su Windows 2000 domene ir gausite tokį klaidos pranešimą:
        Sąskaita neturi teisės įeiti iš šios stoties.
        Esamų žemesnio lygio fondus gali taip pat negali autentifikuoti vartotojus iš patikimų domeno. Kai kurie vartotojai gali turėti problemų prisijungti prie domeno, ir jie gali gauti klaidos pranešimą, kuris nurodo, kad klientas negali rasti domeno.
      • Windows XP:Windows XP klientams, kurie jungiami prie Windows NT 4.0 domenai bus galima autentifikuoti įėjimai ir galite gauti šį klaidos pranešimą, ar šie įvykiai gali būti registruojami įvykių žurnale:
        Windows negali prisijungti prie domeno to domeno valdiklis neveikia arba yra nepasiekiamas arba dėl jūsų abonento nepavyko rasti

        Renginys 5723: Sesijos nustatymą iš kompiuterio ComputerName Nepavyko autentifikuoti. Nuorodos į saugumo duomenų bazės abonemento vardą, yra ComputerName. Įvyko ši klaida: prieiga uždrausta.

        3227 Renginys: Sesijos setup Windows NT ar Windows 2000 domeno kontrolierius Serverio pavadinimas domeno Domeno vardas nepavyko, nes Serverio pavadinimas nepalaiko pasirašymo ar sandarinimo tinklo registravimo sesijos. Atnaujinkite domeno valdiklį, arba nustatyti RequireSignOrSeal registro įrašą šiame kompiuteryje 0.

        Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
        318266 Windows XP klientas negali prisijungti prie Windows NT 4.0 domeno
      • Microsoft Network:Microsoft Network klientams bus gauti vieną iš šių klaidos pranešimų:
        Prisijungimo klaida: nežinomas vartotojo vardą ar blogai slaptažodį.
        Nėra jokios vartotojo sesijos raktas nurodyta registravimosi seansu.
  5. Microsoft tinklo klientas: elektroniniu parašu pasirašyti pranešimai (visada)
    1. Fono

      Serverio pranešimų bloką (SMB) yra bendras išteklių dalijimasis protokolą, kurį palaiko daug Microsoft operacinių sistemų. Tai pagrindas tinklo pagrindinę įvesties ir išvesties sistemą (NetBIOS) ir daugelis kitų protokolų. SMB parašo autentifikuoja vartotojo ir serverio, kuriame yra duomenys. Jei abi puses atpažinimo procesą, duomenų perdavimo neįvyks.

      Kad SMB pasirašymo prasideda SMB protokolo derybų metu. SMB parašo politiką nustatyti, ar kompiuteris visada elektroniniu parašu pasirašo klientų ryšiui.

      Į Windows 2000 SMB protokolą palaiko abipusis autentifikavimas. Abipusis autentifikavimas uždaro "žmogus-in-the-middle" ataka. Windows 2000 SMB autentifikavimo protokolas taip pat palaiko pranešimą autentifikavimą. Pranešimų autentifikavimo išvengsite aktyvaus pranešimo išpuolių. Suteikti jums šį autentifikavimo, SMB parašo kelia skaitmeninį parašą į kiekvieną SMB. Kliento ir serverio patikrinti elektroninį parašą.

      Naudoti SMB parašo, turite įgalinti SMB parašo gedimo arba reikalauti SMB pasirašymo SMB klientas ir SMB serveris. Įgalinus SMB parašo serveryje, klientų, taip pat įjungta SMB pasirašymo naudoti ant pakuotės pasirašymo protokolo visi po sesijų metu. Jei SMB parašo serveryje, klientas negali nustatyti sesijos nebent klientas yra įjungtas arba reikalingi SMB parašo gedimo.

      Kad elektroniniam parašui didelio saugumo tinklų padeda išvengti apsimetimo klientų ir serverių. Šios rūšies Apsimetinėjimas yra žinomas kaip sesijos vogimą. Αsilauώλlis kuris gali prieiti prie to paties tinklo kaip klientas arba serveris naudoja sesijos vogimą įrankiai nutraukti, baigti arba pavogti per sesija. Užpuolikas gali perimti ir modifikuoti nepasirašytos SMB paketus, keisti eismo ir tada pateikia ją taip, kad serveris galėtų atlikti nepageidaujamus veiksmus. Arba, užpuolikas gali kelti kaip serverio arba kliento po teisėtų autentifikavimo ir tada gauti neteisėtą prieigą prie duomenų.

      SMB protokolą, naudojama norint bendrinti failą ir spausdinti dalintis į kompiuterius, kuriuose veikia Windows 2000 Server, Windows 2000 Professional, Windows XP Professional ar Windows Server 2003 palaiko abipusis autentifikavimas. Abipusis autentifikavimas uždaro sesijos vogimą išpuolių ir palaiko pranešimą autentifikavimą. Todėl, jis apsaugo nuo vyro-in-the-middle išpuolių. SMB parašo suteikia šiuo autentifikavimu pateikdamas skaitmeninį parašą, kiekvieną SMB. Kliento ir serverio tada patikrinti parašą.

      Pastabos
      • Kaip alternatyvus atsakomųjų priemonių, galite įgalinti skaitmeninių parašų su IPSec apsaugoti viso tinklo srauto. Yra aparatūra spartintuvų IPSec šifravimo ir pasirašymas, galite naudoti siekiant sumažinti jų veiklos poveikį iš serverio CPU. Yra ne toks spartintuvų, skirtos SMB parašo gedimo.

        Daugiau informacijos ieškokite pagal Skaitmeniniu būdu pasirašykite serverio pranešimų skyriaus Microsoft MSDN svetainėje.

        Konfigūruoti SMB parašo per grupės strategijos objekto rengyklę nes vietos registro reikšmę pakeitimas neturi įtakos jei yra svarbiausias domeno politika.
      • Windows 95, Windows 98 ir Windows 98 Second Edition, katalogo paslaugas klientas turi naudoti SMB parašo kai tai patvirtina su Windows Server 2003 serverių naudodami NTLM autentifikavimą. Tačiau šiems klientams naudojame SMB pasirašymo kai jie autentifikuoti su šių serverių naudojant NTLMv2 autentifikavimo. Be to, Windows 2000 serveriams nereaguoja į SMB pasirašymo prašymus iš šių klientų. Norėdami gauti daugiau informacijos, žr. 10 punktą: "tinklo saugumas: Lan Manager autentifikavimo lygis."
    2. Rizikingas konfigūracijos

      Toliau pateikiamas kenksmingų konfigūraciją, konfigūracijos parametras: palieka tiek į Microsoft tinklo klientas: elektroniniu parašu pasirašyti pranešimai (visada) nustatymas ir Microsoft tinklo klientas: skaitmeniniu būdu pasirašyti ryšių (jei serverio sutinka) nustatyti "Neapibrėžta" arba išjungta. Šie parametrai leidžia peradresavimo priemonė siųsti paprasto teksto slaptažodžiai Microsoft SMB serveriai, palaikantys ne slaptažodį šifravimo tapatumo nustatymo metu.
    3. Priežasčių, kad šis parametras

      Kad Microsoft tinklo klientas: elektroniniu parašu pasirašyti pranešimai (visada) reikalauja klientams pasirašyti SMB srautą su serveriais, kurie nereikalauja SMB parašo gedimo. Tai leidžia klientams bus sesijos vogimą išpuolių.
    4. Priežasčių išjungti šį parametrą
      • Kad Microsoft tinklo klientas: elektroniniu parašu pasirašyti pranešimai (visada) apsaugo klientus nuo bendravimo su tikslinės serveriai, kurie nėra paremti SMB parašo gedimo.
      • Konfigūravimas kompiuterių ignoruoti visus nepasirašytos SMB ryšio neleidžia ankstesnėse programos ir operacinės sistemos prisijungti.
    5. Simbolinis pavadinimas:

      RequireSMBSignRdr
    6. Registro kelyje:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
    7. Suderinamumo problemų pavyzdžiai
      • Windows NT 4.0:Ne galima iš naujo nustatyti saugų kanalą yra pasitikėjimo domenui Windows Server 2003 ir Windows NT 4.0 domeno naudojant NLTEST arba NETDOM, ir jūs gausite klaidos pranešimą "Prieiga uždrausta".
      • Windows XP:Kopijuoti failus iš Windows XP klientams serverių Windows 2000 ir Windows Server 2003 serverių gali trukti ilgiau.
      • Jums nebus galėtų susieti tinklo diską iš kliento su Šis parametras įgalintas, ir jūs gausite tokį klaidos pranešimą:
        Sąskaita neturi teisės įeiti iš šios stoties.
    8. Iš naujo paleiskite reikalavimus

      Iš naujo paleiskite kompiuterį, arba iš naujo paleisti darbo vietos tarnybą. Norėdami tai padaryti, į komandų eilutę įrašykite šias komandas. Paspauskite Enter po kiekvienos komandos.
      Grynasis sustabdyti darbo vietos
      Grynasis pradėti darbo vietos
  6. Microsoft tinklo serverio: elektroniniu parašu pasirašyti pranešimai (visada)
    1. Fono
      • Serverio Messenger bloką (SMB) yra bendras išteklių dalijimasis protokolą, kurį palaiko daug Microsoft operacinių sistemų. Tai pagrindas tinklo pagrindinę įvesties ir išvesties sistemą (NetBIOS) ir daugelis kitų protokolų. SMB parašo autentifikuoja vartotojo ir serverio, kuriame yra duomenys. Jei abi puses atpažinimo procesą, duomenų perdavimo neįvyks.

        Kad SMB pasirašymo prasideda SMB protokolo derybų metu. SMB parašo politiką nustatyti, ar kompiuteris visada elektroniniu parašu pasirašo klientų ryšiui.

        Į Windows 2000 SMB protokolą palaiko abipusis autentifikavimas. Abipusis autentifikavimas uždaro "žmogus-in-the-middle" ataka. Windows 2000 SMB autentifikavimo protokolas taip pat palaiko pranešimą autentifikavimą. Pranešimų autentifikavimo išvengsite aktyvaus pranešimo išpuolių. Suteikti jums šį autentifikavimo, SMB parašo kelia skaitmeninį parašą į kiekvieną SMB. Kliento ir serverio patikrinti elektroninį parašą.

        Naudoti SMB parašo, turite įgalinti SMB parašo gedimo arba reikalauti SMB pasirašymo SMB klientas ir SMB serveris. Įgalinus SMB parašo serveryje, klientų, taip pat įjungta SMB pasirašymo naudoti ant pakuotės pasirašymo protokolo visi po sesijų metu. Jei SMB parašo serveryje, klientas negali nustatyti sesijos nebent klientas yra įjungtas arba reikalingi SMB parašo gedimo.

        Kad elektroniniam parašui didelio saugumo tinklų padeda išvengti apsimetimo klientų ir serverių. Šios rūšies Apsimetinėjimas yra žinomas kaip sesijos vogimą. Αsilauώλlis kuris gali prieiti prie to paties tinklo kaip klientas arba serveris naudoja sesijos vogimą įrankiai nutraukti, baigti arba pavogti per sesija. Užpuolikas gali perimti ir modifikuoti nepasirašytos potinklio Bandwidth Manager (BP) paketus, keisti eismo ir tada pateikia ją taip, kad serveris galėtų atlikti nepageidaujamus veiksmus. Arba, užpuolikas gali kelti kaip serverio arba kliento po teisėtų autentifikavimo ir tada gauti neteisėtą prieigą prie duomenų.

        SMB protokolą, naudojama norint bendrinti failą ir spausdinti dalintis į kompiuterius, kuriuose veikia Windows 2000 Server, Windows 2000 Professional, Windows XP Professional ar Windows Server 2003 palaiko abipusis autentifikavimas. Abipusis autentifikavimas uždaro sesijos vogimą išpuolių ir palaiko pranešimą autentifikavimą. Todėl, jis apsaugo nuo vyro-in-the-middle išpuolių. SMB parašo suteikia šiuo autentifikavimu pateikdamas skaitmeninį parašą, kiekvieną SMB. Kliento ir serverio tada patikrinti parašą.
      • Kaip alternatyvus atsakomųjų priemonių, galite įgalinti skaitmeninių parašų su IPSec apsaugoti viso tinklo srauto. Yra aparatūra spartintuvų IPSec šifravimo ir pasirašymas, galite naudoti siekiant sumažinti jų veiklos poveikį iš serverio CPU. Yra ne toks spartintuvų, skirtos SMB parašo gedimo.
      • Windows 95, Windows 98 ir Windows 98 Second Edition, katalogo paslaugas klientas turi naudoti SMB parašo kai tai patvirtina su Windows Server 2003 serverių naudodami NTLM autentifikavimą. Tačiau šiems klientams naudojame SMB pasirašymo kai jie autentifikuoti su šių serverių naudojant NTLMv2 autentifikavimo. Be to, Windows 2000 serveriams nereaguoja į SMB pasirašymo prašymus iš šių klientų. Norėdami gauti daugiau informacijos, žr. 10 punktą: "tinklo saugumas: Lan Manager autentifikavimo lygis."
    2. Rizikingas konfigūracijos

      Toliau pateikiamas kenksmingų konfigūraciją, konfigūracijos parametras: leidžia į Microsoft tinklo serverio: elektroniniu parašu pasirašyti pranešimai (visada) nustatyti serverius ir domeno valdiklius, kurie yra prieinami nesuderinama Windows pagrindo kompiuteriuose ir trečiųjų šalių operacinės sistemos pagrindu kliento kompiuteryje, vietinių ar išorinių domenų.
    3. Priežasčių, kad šis parametras
      • Visi kliento kompiuteryje, kad šis parametras tiesiogiai registro arba grupės strategijos parametrų remti SMB parašo gedimo. Kitaip tariant, visus kliento kompiuteryje, kad šis parametras įgalintas paleisti arba Windows 95 su įdiegta, DS klientas Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional ar Windows Server 2003.
      • Jei Microsoft tinklo serverio: elektroniniu parašu pasirašyti pranešimai (visada) yra išjungtas, SMB parašo gedimo yra visiškai užblokuotas. Visiškai išjungti visus SMB pasirašymo palieka kompiuterių labiau pažeidžiami sesijos vogimą išpuolių.
    4. Priežasčių išjungti šį parametrą
      • Pagal šį parametrą gali sukelti lėčiau failo kopiją ir tinklo veiklos klientų kompiuterių.
      • Kad šis parametras leis išvengti klientų, negali derėtis dėl SMB pasirašymo nuo bendravimo su serverius ir domeno valdiklius. Tai sukelia operacijas, tokias kaip domeno prisijungia, vartotojo ir kompiuterio autentifikavimą, arba prieigos prie tinklo programų žlugti.
    5. Simbolinis pavadinimas:

      RequireSMBSignServer
    6. Registro kelyje:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)
    7. Suderinamumo problemų pavyzdžiai
      • Windows 95:Windows 95 klientams, kurie neturi Directory Services (DS) klientas įdiegtas nepavyks įėjimo autentifikavimo ir gausite tokį klaidos pranešimą:
        Pateiktus domeno slaptažodis yra neteisingas, arba nebuvo užtikrintas patekimas prie įėjimo serverio.
        Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
        811497 Klaidos pranešimas, kai Windows 95 arba Windows NT 4.0 klientas įeina į Windows Server 2003 domeno
      • Windows NT 4.0: Klientų kompiuteriuose, kuriuose veikia Windows NT 4.0 versijos, kuri yra ankstesnė už 3 pakeitimų paketą (SP3) bus nesėkmingi registravimosi autentifikavimo ir gausite tokį klaidos pranešimą:
        Sistema gali įeiti. Įsitikinkite, kad naudotojo vardą ir jūsų domenas yra teisingi, tada dar kartą įveskite slaptažodį.
        Kai kurie Microsoft SMB serveriai palaiko tik neužšifruotą slaptažodį keistis tapatumo nustatymo metu. (Šie mainai taip pat žinomas kaip "Paprastasis tekstas" mainai.) Windows NT 4.0 SP3 ir vėlesnės versijos, SMB peradresavimo priemonė ne siųsti neužšifruotą slaptažodį tapatumo SMB serveris Jei konkretų registro įrašas.
        Paprastasis slaptažodžius SMB klientas Windows NT 4.0 SP 3 ir naujesnėse sistemose, keisti registro taip: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        Vertę pavadinimą: EnablePlainTextPassword
        Duomenų tipas: REG_DWORD
        Duomenys: 1

        Daugiau informacijos apie susijusias temas, spustelėkite šiuos numerius peržiūrėkite straipsnius Microsoft žinių bazėje:
        224287 Klaidos pranešimas: sistemos 1240 klaida. Sąskaitos nėra leidžiama prisijungti iš šios stoties.
        166730 Paprastasis slaptažodžius gali sukelti 3 pakeitimų paketo nepavyksta prisijungti prie SMB serverių
      • Windows Server 2003: Pagal numatytuosius nustatymus, saugumo nustatymus domeno valdiklius, kurie paleisti Windows Server 2003 yra sukonfigūruotos apsisaugoti nuo domeno valdiklio ryšių sulaikytas ar kenkėjiški vartotojai jos pažeisti. Vartotojams sėkmingai bendrauti su domeno valdiklį, kuris veikia Windows Server 2003, kliento kompiuteryje naudoti tiek SMB parašo ir šifravimo arba saugaus kanalo eismo pasirašymo. Pagal numatytuosius nustatymus, klientams, kad paleisti Windows NT 4.0 su Service Pack 2 (SP2) arba anksčiau įdiegta ir klientams, kad paleisti Windows 95 neturi SMB paketo parašo įjungtas. Todėl šių klientų gali nepavykti autentifikuoti Windows Server 2003 saugyklomis pagrįsto domeno valdikliui.
      • Windows 2000 ir Windows Server 2003 strategijos parametrai: Priklausomai nuo jūsų konkrečiame įrenginyje poreikius ir konfigūracijos, mes rekomenduojame kad jums nustatyti šiuos strategijos parametrus mažiausia subjektą būtina sritį hierarchijoje Microsoft valdymo konsolės grupės strategijos rengyklę pridėtinį įrankį:
        • Kompiuterio Configuration\Windows saugumo Settings\Security galimybes
        • Siųsti neužšifruotą slaptažodį prisijungti prie trečiosios šalies SMB serverių (Šis parametras skirtas Windows 2000)
        • Microsoft tinklo klientas: siųsti neužšifruotą slaptažodį į trečiosios šalies SMB serveriai (Šis parametras skirtas Windows Server 2003)

        Pastaba. Kai kurių trečiųjų šalių CIFS serveriai, pavyzdžiui, Samba senesnė, negalite Užšifruoti slaptažodžius.
      • Šie klientai yra nesuderinama su į Microsoft tinklo serverio: elektroniniu parašu pasirašyti pranešimai (visada) nustatymas:
        • Apple Computer, Inc., Mac OS Xclients
        • Microsoft MS-DOS tinklo klientams (pvz., Microsoft LAN Manager)
        • Microsoft Windows Workgroupsclients
        • Microsoft Windows 95 klientams be įdiegta DSClient
        • Microsoft Windows NT 4.0 pagrindu computerswithout SP3 arba vėlesnę versiją
        • Novell Netware 6 CIFS klientams
        • SAMBA SMB klientams, kurie neturi paramos dėl SMB parašo gedimo
    8. Iš naujo paleiskite reikalavimus

      Iš naujo paleiskite kompiuterį, arba iš naujo paleisti serverio paslaugos. Norėdami tai padaryti, į komandų eilutę įrašykite šias komandas. Paspauskite Enter po kiekvienos komandos.
      Grynasis stotelė serverio
      Grynasis paleisti serverio
  7. Tinklo prieiga: leidžia anoniminis SID/pavadinimas Vertimas
    1. Fono

      Kad tinklo prieiga: leidžia anoniminis SID/neišverstas saugos parametru nustatoma, ar anoniminis vartotojas gali prašyti kito vartotojo atributus saugumo identifikavimo numeris (SID).
    2. Rizikingas konfigūracijos

      Kad į tinklo prieiga: leidžia anoniminis SID/neišverstas aplinkoje yra kenksmingų konfigūraciją, konfigūracijos parametras.
    3. Priežasčių, kad šis parametras

      Jei į tinklo prieiga: leidžia anoniminis SID/neišverstas parametras yra neįgaliųjų, ankstesnės operacinės sistemos arba paraiškos negali būti galėtų susisiekti su Windows Server 2003 srityse. Pavyzdžiui, šių operacinių sistemų, paslaugų arba programų negali dirbti:
      • Windows NT 4.0 pagrindu nuotolinės prieigos tarnybos serveriai
      • Microsoft SQL serverio, kuriame veikia Windows NT 3.x kompiuteriuose ar kompiuteriuose su Windows NT 4.0
      • Nuotolinės prieigos tarnybos, kuriame veikia Windows 2000 kompiuteriuose, esančius Windows NT 3.x domenai arba Windows NT 4.0 domenai
      • SQL serverio, kuriame veikia Windows 2000 kompiuteriuose, esančių Windows NT 3.x domenai arba Windows NT 4.0 domenai
      • Windows NT 4.0 išteklių domeno vartotojai, kurie nori suteikti teises naudotis failus, aplankus ir registro objektus į vartotojų abonementus iš sąskaitos domenų, kuriuose yra Windows Server 2003 domeno valdikliai
    4. Priežasčių išjungti šį parametrą

      Jei šis nustatymas yra įjungtas, kenkėjiškas vartotojas naudoti žinomų administratoriai SID gauti vardas įtaisytasis administratoriaus abonementas, net jei sąskaita buvo pervardytas. Tas asmuo gali tada naudokite abonemento pavadinimas pradėti slaptažodį atspėti išpuolių.
    5. Simbolinis pavadinimas: N/A
    6. Registro kelyje: Nė vienas. Kelias yra nurodytas UI kodas.
    7. Suderinamumo problemų pavyzdžiai

      Windows NT 4.0:Kompiuteriai Windows NT 4.0 išteklių srityse bus rodomas "Į nežinomas" klaidos pranešimą, ACL rengyklė jei išteklių, įskaitant aplankus, bendrai naudojamus failus ir registro objektus, apsaugoti apsaugos principai, kad gyventi į domenuose, kuriuose yra Windows Server 2003 domeno valdiklius.
  8. Tinklo prieiga: neleidžia anoniminius išvardijimo Sam sąskaitų
    1. Fono
      • Kad tinklo prieiga: neleidžia anoniminius išvardijimo Sam sąskaitų parametras nustato, kokios papildomos teisės suteikiamos anoniminėms prieigoms prie kompiuterio. Windows leidžia anoniminiams vartotojams atlikti tam tikrus veiksmus, pvz., išvardijami pavadinimai ir serveriams saugumo sąskaitų vadybininkas (SAM) sąskaitas ir tinklo dalių. Pavyzdžiui, administratorius gali naudoti tai suteikti prieigą vartotojams patikimame domene, kuriame nereikalaujama abipusės atsakomybės. Po seanso, esate anoniminis vartotojas gali turėti tokią pačią prieigą, kuris yra suteiktas visi grupę paremtą nustatymo lange, tinklo prieiga: tegul visi teises taikyti anoniminiams vartotojams nustatymą arba savo nuožiūra taikomas prieigos teisių sąrašo (DACL) objekto.

        Paprastai, anoniminėms prašoma ankstesnių versijų klientų (žemesnio lygio Klientai) SMB sesija sąrankos metu. Tokiais atvejais tinklo brėžinys rodo, kad SMB proceso ID (PID) yra kliento peradresavimo priemonė pvz 0xFEFF Windows 2000 arba 0xCAFE į Windows NT. RPC taip pat galite pabandyti padaryti anoniminėms.
      • Svarbus© Is parametras nedaro jokios įtakos domeno valdikliuose. Domeno valdikliuose, taip valdo apie "NT AUTHORITY\ANONYMOUS Prisijungimas", "Ankstesnės nei Windows versijos 2000 suderinamos prieigos".
      • Windows 2000, panašus nustatyti vadinamas Papildomų apribojimų anoniminėms prieigoms valdo ir
        RestrictAnonymous
        registro reikšmė. Ši vertė yra taip
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
        Daugiau informacijos apie RestrictAnonymous registro reikšmę, spustelėkite šiuos numerius peržiūrėkite straipsnius Microsoft žinių bazėje:
        246261 Kaip naudotis RestrictAnonymous registro reikšmę Windows 2000
        143474 Apriboti informaciją anonimiškai prisiregistravę vartotojai
    2. Rizikingas konfigūracijų

      Kad ir tinklo prieiga: neleidžia anoniminius išvardijimo Sam sąskaitų aplinkoje yra kenksmingų konfigūraciją, konfigūracijos parametras suderinamumo požiūriu. Jį išjungti yra kenksmingų konfigūraciją, konfigūracijos parametras saugumo požiūriu.
    3. Priežasčių, kad šis parametras

      Neteisėtas vartotojas gali anonimiškai sąrašas abonementai ir tada naudoti informaciją, kad atspėti slaptažodį arba atlikti socialiniais išpuoliais. Socialinės inžinerijos yra žargonas, tai tracking ώmoniψ atskleisti savo slaptažodžius arba kokią nors apsaugos informacijos.
    4. Priežasčių išjungti šį parametrą

      Jei šis parametras įgalintas, neįmanoma nustatyti investicinių fondų su Windows NT 4.0 srityse. Šis nustatymas taip pat sukelia problemų su žemesnio lygio Klientai (pvz., Windows NT 3.51 klientams ir Windows 95 klientams), kurie bando naudoti išteklių serveryje.
    5. Simbolinis pavadinimas:


      RestrictAnonymousSAM
    6. Registro kelyje:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)
    7. Suderinamumo problemų pavyzdžiai
    • SMS tinklo aptikimas bus gauti operacinės sistemos informacijos ir parašyti "Nežinomas" ypatybę OperatingSystemNameandVersion.
    • Windows 95, Windows 98:Windows 95 klientams ir Windows 98 klientams bus gali keisti savo slaptažodžius.
    • Windows NT 4.0:Ne Windows NT 4.0 pagrindu valstybės kompiuteriai galės būti autentifikuoti.
    • Windows 95, Windows 98:Ne Windows 95 ir Windows 98-kompiuteriai galės būti patvirtintas Microsoft domeno valdiklius.
    • Windows 95, Windows 98:Vartotojai Windows 95 ir Windows 98 paremtas kompiuteriuose bus gali keisti savo abonementų slaptažodžius.
  9. Tinklo prieiga: neleidžia anoniminius išvardijimo Sam sąskaitas ir akcijų
    1. Fono
      • Kad tinklo prieiga: neleidžia anoniminius išvardijimo Sam sąskaitas ir akcijų (taip pat žinomas kaip RestrictAnonymous) parametras nustato, ar leidžiama anoniminė išvardijimo saugumo sąskaitų vadybininkas (SAM) sąskaitų ir akcijų. Windows leidžia anoniminiams vartotojams atlikti tam tikrus veiksmus, pvz., išvardijami pavadinimai domeno sąskaitas (vartotojams, kompiuteriuose ir grupės) ir tinklo dalių. Tai patogu, pvz., kai administratorius nori suteikti prieigą vartotojams patikimame domene, kuriame nereikalaujama abipusės atsakomybės. Jei nenorite leisti anoniminis išvardijimo SAM ir akcijų, įgalinkite šį parametrą.
      • Windows 2000, panašus nustatyti vadinamas Papildomų apribojimų anoniminėms prieigoms valdo ir
        RestrictAnonymous
        registro reikšmė. Ši vertė yra tokia:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    2. Rizikingas konfigūracijos

      Kad ir tinklo prieiga: neleidžia anoniminius išvardijimo Sam sąskaitas ir akcijų aplinkoje yra kenksmingų konfigūraciją, konfigūracijos parametras.
    3. Priežasčių, kad šis parametras
      • Kad į tinklo prieiga: neleidžia anoniminius išvardijimo Sam sąskaitas ir akcijų parametras neleidžia išvardijimo SAM sąskaitų ir akcijų iš vartotojų ir kompiuterių, kurie naudoja anoniminių sąskaitų.
    4. Priežasčių išjungti šį parametrą
      • Jei šis parametras įgalintas, neteisėtas vartotojas gali anonimiškai sąrašas abonementai ir tada naudoti informaciją, kad atspėti slaptažodį arba atlikti socialiniais išpuoliais. Socialinės inžinerijos yra žargonas, tai tracking ώmoniψ atskleisti savo slaptažodį arba kokią nors apsaugos informacijos.
      • Įgalinus šį parametrą, tai bus neįmanoma nustatyti investicinių fondų su Windows NT 4.0 srityse. Šis nustatymas taip pat gali kilti problemų su žemesnio lygio Klientai pvz., Windows NT 3.51 ir Windows 95 klientams, kurie bando naudoti išteklių serveryje.
      • Ji bus neįmanoma suteikti prieigą vartotojams išteklių domenų nes tikėjo domeno administratoriams bus prie išvardyti sąrašus iš kitų domeno abonementus. Vartotojams, kurie naudojasi failų ir spausdinimo serveriai anonimiškai nebus galėtų bendrai naudojamame tinklo išteklių tuose serveriuose. Vartotojai turi patvirtinti peržiūrėti bendrai naudojamų aplankų ir spausdintuvų sąrašai.
    5. Simbolinis pavadinimas:

      RestrictAnonymous
    6. Registro kelyje:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
    7. Suderinamumo problemų pavyzdžiai
      • Windows NT 4.0: Ne vartotojai galės keisti slaptažodžius iš Windows NT 4.0 darbo vietų Įgalinus RestrictAnonymous domeno valdikliuose vartotojų domene. Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
        198941 Vartotojai negali keisti slaptažodį įeiti
      • Windows NT 4.0:Pridėti vartotojus ar pasaulio grupes iš patikimų Windows 2000 domenų Windows NT 4.0 vietos grupėms – vartotojo vadovas nepavyks, ir toks klaidos pranešimas bus rodomas:
        Šiuo metu nėra įėjimo serverių, kurie aptarnautų įėjimo užklausas.
        Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
        296405 "RestrictAnonymous" registro reikšmė gali nutraukti pasitikėjimą Windows 2000 domene
      • Windows NT 4.0:Ne Windows NT 4.0 pagrindu kompiuteriai galės prisijungti prie domenai sąrankos metu arba naudojant domeno prisijungti prie vartotojo sąsajos.

        Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
        184538 Klaidos pranešimas: nepavyko rasti šio domeno kontrolerio
      • Windows NT 4.0:Nepavyks sukurti žemesnio lygio pasitikėjimą su Windows NT 4.0 išteklių srityse. Toks klaidos pranešimas bus rodomas kai RestrictAnonymous įjungta patikimą domeną:
        Nepavyko rasti domeno valdiklio šioje srityje.
        Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
        178640 Nepavyko rasti domeno valdiklio nustatant patikos
      • Windows NT 4.0:Vartotojams, prisiregistravusiems prie Windows NT 4.0 pagrindu Terminal Server kompiuterių bus priskirti numatytąjį namų katalogą vietoj katalogą, kuris domenai – vartotojo vadovas.

        Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
        236185 Terminalo serverio vartotojo profiliai ir pagrindiniame aplanke pėsčiųjų takai yra ignoruojami pritaikę SP4 arba vėliau
      • Windows NT 4.0:Windows NT 4.0 pagalbiniai domeno kontrolieriai (BDCs) bus galima pradėti Net Logon paslaugos, gauti atsarginę naršyklių sąrašą, arba sinchronizuoti SAM duomenų bazės iš Windows 2000 ar Windows Server 2003 domeno valdiklių tame pačiame domene.

        Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
        293127 Windows NT 4.0 BDC Net Logon paslauga neveikia Windows 2000 domene
      • Windows 2000:Windows 2000 nario kompiuteriuose Windows NT 4.0 srityse bus galima matyti spausdintuvai išoriniams domenams jei neturi galimybės be aiškiai anoniminis teisių nustatymas yra įjungtas vietos saugumo politikos kliento kompiuteryje.

        Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
        280329 Vartotojas negali valdyti arba peržiūrėti spausdintuvo ypatybes
      • Windows 2000:Windows 2000 domeno vartotojai negalėsite pridėti tinklo spausdintuvai iš Active Directory; Tačiau, jie galės pridėti spausdintuvai po to, kai jie pasirinkti juos iš medžio rodinyje.

        Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
        318866 "Outlook" klientams negali Rodyti Visuotiniame adresų sąraše, kai įdiegiate saugos specifinių naujinimų paketas 1 (SRP1) visuotinio katalogo serveryje
      • Windows 2000:Windows 2000 kompiuteriuose, ACL rengyklė nebus galima pridėti vartotojus ar pasaulio grupes iš patikimų Windows NT 4.0 domenų.

        Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
        296403 RestrictAnonymous reikšmė sulaužo pasitikėjimą sumaišyti domeno aplinkoje
      • ADMT versija 2:Slaptažodį perkelti naudotojų paskyrose perkeliami tarp miškų su Active Directory migracijos įrankis (ADMT) versija 2 nepavyks.

        Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
        322981 Kaip spręsti tarpusavio miško slaptažodį migracijos su ADMTv2
      • "Outlook" klientams:Visuotiniame adresų sąraše bus rodomas tuščias Microsoft Exchange "Outlook" klientams.

        Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
        318866 "Outlook" klientams negali Rodyti Visuotiniame adresų sąraše, kai įdiegiate saugos specifinių naujinimų paketas 1 (SR) visuotinio katalogo serveryje
        321169 SMB našumo kopijuojant failus iš Windows XP į Windows 2000 domeno kontrolierius
      • SMS:Ne Microsoft sistemos valdymo serverio (SMS) tinklo aptikimas galės gauti operacinės sistemos informacija. Todėl jis parašys "Nežinomas" OperatingSystemNameandVersion nuosavybė ypatybę SMS DDR aptikimo duomenų įrašo (DDR).

        Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
        229769 Kaip aptikimo duomenų valdytojas nustato, kada reikia sukurti kliento konfigūracijos prašymą
      • SMS: Naudojant SMS administratoriaus vartotojo vedlys turi ieškoti vartotojų ir grupių, bus rodomos ne vartotojus ar grupes. Be to, pažangių klientų negali bendrauti su valdymo punktas. Anoniminės prieigos reikalingas valdymo klausimu.

        Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
        302413 Nė vienas vartotojas ar grupės yra išvardytos administratoriaus vartotojo vedlys
      • SMS: Kai naudojate funkciją tinklo aptikimas SMS 2.0 ir nuotolinio versijos įdiegimas pasiliekant topologijos, klientas, ir AK klientų operacinės sistemos tinklo atradimas įjungtas, kompiuteriai gali būti pastebėtos bet neįdiegtas.

        Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
        311257 Išteklių neatskleidžiamas jei anoniminis ryšiai yra išjungti
  10. Tinklo saugumas: Lan Manager autentifikavimo lygis
    1. Fono

      LAN Manager (LM) autentifikavimas yra protokolas, paprastai naudojamas autentifikuoti Windows klientų tinklo operacijų, įskaitant domenų sujungimo, prieigos prie tinklo išteklių, ir vartotojo arba kompiuterio autentifikavimą. LM autentifikavimo lygis nurodo, kurį iššūkis arba atsakas autentifikavimo protokolą dėl tarp kliento ir serverio kompiuteriuose. Konkrečiai, LM autentifikavimo lygis lemia kurį autentifikavimo protokolą, klientas bando derėtis arba kad serveris bus priimti. Vertė, kuri yra nustatyta LmCompatibilityLevel nustato, kurios iššūkis arba atsakas autentifikavimo protokolas yra naudojamas registruojantis tinkle. Ši vertė pasireiškia klientams naudoti autentifikavimo protokolas lygį, susitarė sesijos saugumo lygis, ir nustatymo lygį naudodamos priima serveriai.

      Įmanoma parametrai yra šie.
      VertėNustatymasAprašymas
      0 Siųsti LM & NTLM atsakymaiKlientai naudotis LM ir NTLM autentifikavimą ir niekada nenaudos NTLMv2 sesijos saugumo. Domeno kontrolierių priimti LM, NTLM ir NTLMv2 autentifikavimą.
      1Siųsti LM & NTLM - naudoti NTLMv2 sesijos saugumo jeiKlientams naudoti LM ir NTLM autentifikavimą, ir naudoti NTLMv2 sesijos saugumo jei serveris palaiko. Domeno kontrolierių priimti LM, NTLM ir NTLMv2 autentifikavimą.
      2Siųsti tik NTLM atsakymąKlientams naudoti tik NTLM autentifikavimas ir naudoti NTLMv2 sesijos saugumo jei serveris palaiko. Domeno kontrolierių priimti LM, NTLM ir NTLMv2 autentifikavimą.
      3Siųsti NTLMv2 atsako tikKlientams naudoti NTLMv2 autentifikavimą tik ir naudoti NTLMv2 sesijos saugumo, jei serveris palaiko tai. Domeno kontrolierių priimti LM, NTLM ir NTLMv2 autentifikavimą.
      4Siųsti NTLMv2 atsakymai tik / atsisakyti LMKlientams naudoti NTLMv2 autentifikavimą tik ir naudoti NTLMv2 sesijos saugumo, jei serveris palaiko tai. Domeno valdikliai atsisakyti LM ir priimti tik NTLM ir NTLMv2 autentifikavimą.
      5Siųsti NTLMv2 atsakymai tik / atsisakyti LM & NTLMKlientams naudoti NTLMv2 autentifikavimą tik ir naudoti NTLMv2 sesijos saugumo, jei serveris palaiko tai. Domeno valdikliai atsisakyti LM ir NTLM ir priimti tik NTLMv2 autentifikavimą.
      Pastaba. Windows 95, Windows 98 ir Windows 98 Second Edition, katalogo paslaugas klientas turi naudoti SMB parašo kai tai patvirtina su Windows Server 2003 serverių naudodami NTLM autentifikavimą. Tačiau šiems klientams naudojame SMB pasirašymo kai jie autentifikuoti su šių serverių naudojant NTLMv2 autentifikavimo. Be to, Windows 2000 serveriams nereaguoja į SMB pasirašymo prašymus iš šių klientų.

      Žymės LM autentifikavimo lygis: Keisti serverį leisti NTLM politika, ar turite sukonfigūruoti kliento kompiuterio remti NTLMv2.

      Politika yra nustatytas (5) siųsti NTLMv2 atsakas only\refuse LM & NTLM paskirties kompiuteryje, kurį norite prisijungti prie, turi sumažinti nustatymas tame kompiuteryje arba nustatyti saugą į patį parametrus, kuriuos savo šaltinio kompiuteryje, iš kurio jungiatės.

      Rasti tinkamą vietą kur galite pakeisti LAN manager autentifikavimo lygmeniu klientas ir serveris lygį. Radus politika, kurios yra LAN manager autentifikavimo lygio nustatymas, jei norite prisijungti ir iš kompiuterių, kuriuose veikia ankstesnės sistemos Windows versijos, sumažinti reikšmė bent (1) siųsti LM & NTLM - naudoti NTLM versijos 2 seanso saugos jei. Vienas poveikis nesuderinamas parametrai yra tai, kad jei serveris reikalauja NTLMv2 (vertina 5), bet klientas sukonfigūruotas naudoti LM ir NTLMv1 tik (vertė 0), bando autentifikavimo vartotojo patirtį prisijungimo klaida kuri blogai slaptažodį ir kad didindami blogai slaptažodį skaičiavimas. Jei į lokauto sukonfigūruota, vartotojas galiausiai gali būti užrakinta.

      Pavyzdžiui, jums gali tekti ieškoti domeno valdiklyje, arba jums gali tekti domeno valdiklio politikos kryptis.

      Atrodo domeno valdiklyje

      Pastaba. Jums gali tekti pakartoti šią procedūrą visi domeno valdikliuose.
      1. Spustelėkite pradėti, nukreipkite žymiklį į programosir tada spustelėkite Administravimo įrankiai.
      2. Vietinių saugos parametrų, padidinkite Vietos.
      3. Spustelėkite saugos parinktys.
      4. Dukart spustelėkite tinklas saugumas: LAN manager autentifikavimo lygis, ir tada spustelėkite sąrašo reikšmę.

      Jei veiksmingas nustatymas ir vietinis parametras yra tos pačios, politika buvo pakeista šiuo lygiu. Jei parametrai yra skirtingi, reikia patikrinti domeno valdiklio politika siekiant nustatyti, ar į tinklo saugumo: LAN manager autentifikavimo lygis parametras nustatomas ten. Jei ji ten nenurodyta, išnagrinėti domeno valdiklio politiką.

      Išnagrinėtidomeno valdiklio politikos
      1. Spustelėkite pradėti, nukreipkite žymiklį į programosir tada spustelėkite Administravimo įrankiai.
      2. Domeno valdiklio saugos strategija, išskleisti Apsaugos parametrai, o tada padidinkite Vietos.
      3. Spustelėkite saugos parinktys.
      4. Dukart spustelėkite tinklas saugumas: LAN manager autentifikavimo lygis, ir tada spustelėkite sąrašo reikšmę.

      Pastaba
      • Jūs taip pat gali tekti patikrinti politiką, kuri yra susijusios svetainės lygio, domeno lygio ar organizacinio vieneto (OU) lygiui nustatyti, jei turite sukonfigūruoti LAN manager autentifikavimo lygis.
      • Jei taikysite grupės strategijos parametrą kaip numatytoji domeno strategija, kad politika taikoma visų kompiuterių srityje.
      • Jei taikysite grupių strategijos nustatymas kaip numatytojo domeno valdiklio politika, politika taikoma tik į serverius su domeno kontrolieriaus naujaus.
      • Tai gera idėja autentifikavimo lygio nustatymas LAN manager mažiausia subjekto reikia pobūdžio politikos taikymas hierarchijoje.

      Windows Server 2003 turi naują nutylėjimą NTLMv2 vartojamos. Pagal nutylėjimą, Windows Server 2003 ir Windows 2000 Server SP3 domeno valdikliams leido į "Microsoft tinklo serverio: elektroniniu parašu pasirašyti pranešimai (visada)" politikos. Šį parametrą reikia SMB serveris atlikti SMB paketo parašo.Windows Server 2003 buvo keičiamas nes domeno valdikliai, failų serverių, tinklo infrastruktūros serverių ir interneto serverių bet kurioje organizacijoje reikalauja skirtingų parametrai, padidinantys saugumą.

      Jei norite įgyvendinti NTLMv2 autentifikavimo tinkle, turite įsitikinti, kad visi kompiuteriai domene yra nustatyti naudoti šį autentifikavimo lygis. Jei aktyvus Directory kliento plėtinius už Windows 95 ar Windows 98 ir Windows NT 4.0, kliento plėtinius naudoti patobulintus autentifikavimo priemones, kurias galima naudoti NTLMv2. Nes klientų kompiuteriuose, kuriuose veikia bet kurį iš šių operacinės sistemos neturi įtakos Windows 2000 grupės strategijos objektus, jums gali tekti rankiniu būdu konfigūruoti šių klientų:
      • Microsoft Windows NT 4.0
      • Microsoft Windows Millennium Edition
      • Microsoft Windows 98
      • Microsoft Windows 95
      Pastaba. Jei įjungsite ir tinklo saugumas: Nelaikykite LAN manager maišos vertė kitas slaptažodžio keitimas politikos ar rinkinys NoLMHash registro rakto, Windows 95 ir Windows 98-klientams, nėra įdiegta katalogo paslaugas klientas negali prisijungti prie domeno po slaptažodžio pakeitimo.

      Daugelis trečiosios šalies CIFS serveriai, pvz., Novell Netware 6, nežino NTLMv2 ir naudoti NTLM tik. Todėl, lygiai viršija 2 neleidžia ryšį. Taip pat yra trečiųjų šalių SMB klientams, kurie nenaudoja išplėstas seanso saugos. Tokiais atvejais LmCompatiblityLevel išteklių serveryje nėra atsižvelgiama nustatant. Serverio tada paketai iki šio paveldo prašymą ir siunčia jį į vartotojo domeno valdiklį. Domeno valdiklio parametrus tada nuspręsti ką hashes naudojami patikrinti prašymą ir ar tai yra domeno valdiklio saugumo reikalavimų laikymuisi.

      Norėdami gauti daugiau informacijos apie tai, kaip rankiniu būdu konfigūruoti LAN manager autentifikavimo lygis, spustelėkite toliau straipsnio numerius ir peržiūrėkite straipsnius Microsoft žinių bazėje:
      147706 Kaip išjungti LM autentifikavimo Windows NT
      175641 LMCompatibilityLevel ir jo poveikis
      299656 Kaip neleisti Windows saugoti LAN manager maišos slaptažodį Active Directory ir vietinių SAM duomenų bazių
      312630 "Outlook" ir toliau greitai jus įėjimo kredencialus
      2701704Tikrinimo tipo įvykis rodo autentifikavimo paketas kaip NTLMv1 vietoj NTLMv2
      Daugiau informacijos apie LM autentifikavimo lygį, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
      239869 Kaip įgalinti NTLM 2 autentifikavimą
    2. Rizikingas konfigūracijų

      Toliau pateikiami kenksmingų konfigūracijos parametrai:
      • Nonrestrictive parametrai, siųsti slaptažodžius kaip nešifruotą tekstą ir kad paneigti NTLMv2 derybų
      • Ribojančių parametrais, neleidžiančiais daryti nesuderinama klientams ar domeno valdikliuose derėtis dėl autentifikavimo protokolas
      • NTLMv2 atpaûinimo valstybės kompiuteriuose ir domeno valdiklius, kurie veikia Windows NT 4.0 versijos, kuri yra ankstesnė už 4 pakeitimų paketui (SP4) reikalavimas
      • NTLMv2 atpaûinimo Windows 95 klientams arba Windows 98 klientams, kurie neturi Windows katalogo paslaugas klientas įdiegtas reikalavimas.
      • Jei spustelėję pažymite žymės langelį reikalauti NTLMv2 sesijos saugumo Microsoft valdymo konsolės grupės strategijos rengyklę snap-in Windows Server 2003 arba Windows 2000 3 pakeitimų paketą kompiuteryje, ir jums sumažinti LAN manager autentifikavimo lygis 0, dvi konfliktų, ir galite gauti šį klaidos pranešimą Secpol.msc failą ar failo GPEdit.msc:
        Sistema Windows negali atidaryti lokalios duomenų bazės. Įvyko nežinoma klaida bandant atidaryti duomenų bazę.
        Daugiau informacijos apie saugos konfigūraciją ir analizės įrankis, ieškokite Windows 2000 ar Windows Server 2003 žinyno failų.

        Norėdami gauti daugiau informacijos apie tai, kaip analizuoti apsaugos lygius Windows 2000 ir Windows Server 2003, spustelėkite šiuos numerius peržiūrėkite straipsnius Microsoft žinių bazėje:
        313203 Kaip analizuoti sistemos saugumo Windows 2000
        816580 Kaip analizuoti sistemos saugumo Windows Server 2003
    3. Priežasčių pakeisti šį parametrą
      • Norite padidinti mažiausią bendrą autentifikavimo protokolas, palaikomas klientams ir domeno valdiklius organizacijoje.
      • Kai saugaus autentifikavimo verslo reikalavimas, jūs norite neleisti derybų dėl LM ir NTLM protokolų.
    4. Priežasčių išjungti šį parametrą

      Kliento ar serverio autentifikavimo reikalavimus, arba abu, buvo padidintas iki taško, kur negalimas autentifikavimo per protokolas.
    5. Simbolinis pavadinimas:

      LmCompatibilityLevel
    6. Registro kelyje:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
    7. Suderinamumo problemų pavyzdžiai
      • Windows Server 2003:Pagal numatytuosius nustatymus Windows Server 2003 NTLMv2 siųsti NTLM atsakymų nustatymas yra įjungtas. Todėl, Windows Server 2003 gauna klaidos pranešimą "Prieiga uždrausta" po pradinio įrengimo kai bandote prisijungti prie Windows NT 4.0 pagrindu klasteris arba prie LanManager V2.1 pagrįstiems serveriams, pvz., OS/2 Lanserver. Ši problema taip pat kyla jei bandysite prisijungti iš ankstesnės versijos kliento prie Windows Server 2003 platformos serveriu.
      • Turite įdiegti Windows 2000 saugos specifinių naujinimų paketas 1 (SRP1).SRP1 pajėgų NTLM 2 (NTLMv2) versija. Šis specifinių naujinimų paketas buvo išleistas pasirodžius Windows 2000 2 pakeitimų paketą (SP2). Norėdami gauti daugiau informacijos apie SRP1, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:

        311401 Windows 2000 saugos specifinių naujinimų paketas 1, 2002 m. sausio
      • Windows 7 ir Windows Server 2008 R2: daug trečiųjų šalių CIFS serveriai, pvz., Novell Netware 6 arba Linux pagrindu Samba serverius, nežino NTLMv2 ir naudoti NTLM tik. Todėl lygis didesnis nei "2" neleidžia ryšį. Dabar operacinės sistemos versijoje numatytasis LmCompatibilityLevel buvo pakeistas į "3". Taigi plėtodami Windows, šių trečiųjų šalių filers gali nebeveikti.
      • Microsoft Outlook klientų gali paprašyti kredencialų nors jie jau yra prisijungęs prie domeno. Kai vartotojai pateikia savo kredencialus, jie gauti tokį klaidos pranešimą: Windows 7 ir Windows Server 2008 R2
        Įėjimo kredencialus pateikti neteisingi. Įsitikinkite, kad jūsų vartotojo vardas ir domenas yra teisingi, tada dar kartą įveskite slaptažodį.
        Kai paleidžiate programą Outlook, galite pamatyti prašym jūsų asmeninę informaciją net jei įėjimo tinklo saugos lygis yra nustatytas Passthrough arba slaptažodžio autentifikavimą. Įvedus teisingą kredencialus, galite gauti tokį klaidos pranešimą:
        Prisijungimo kredencialų pateikti neteisingi.
        Tinklo monitoriaus sekimo gali įrodyti, kad visuotinio katalogo išduotas nuotolinių procedūrų iškvietimo (RPC) kaltės 0x5 būsenos. Dalinai 0x5 reiškia "Prieiga uždrausta."
      • Windows 2000:Tinklo monitoriaus fiksavimo gali Rodyti šios klaidos NetBIOS per TCP/IP (NetBT) serverio pranešimų bloką (SMB) sesija:
        SVV R paieškos katalogas Dos klaidą, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) netinkamas vartotojo identifikatorius
      • Windows 2000: Jei Windows 2000 domeno su NTLMv2 2 lygio ar vėliau ieškodami domenui Windows NT 4.0, Windows 2000 pagrindu valstybės kompiuterių išteklių srityje gali pasireikšti autentifikavimo klaidų.

        Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
        305379 Autentifikavimo problemų Windows 2000 su NTLM 2 lygiai viršija 2 domenas, Windows NT 4.0
      • Windows 2000 ir Windows XP:Pagal nutylėjimą, Windows 2000 ir Windows XP nustatyti pasirinktį LAN Manager autentifikavimo lygis vietos saugumo politikos 0. Parametras 0 reiškia "siųsti LM ir NTLM atsakymai."

        Pastaba. Windows NT 4.0 pagrindu grupių naudoti LM administracija.
      • Windows 2000: Windows 2000 įmonių grupes autentifikuoti sujungimo mazgas jei tiek mazgų yra Windows NT 4.0 papildymo paketą 6a (SP6a) domeno.

        Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
        305379 Autentifikavimo problemų Windows 2000 su NTLM 2 lygiai viršija 2 domenas, Windows NT 4.0
      • IIS Lockdown Tool (HiSecWeb) nustato visos LMCompatibilityLevel reikšmei priskirtos 5 ir 2 RestrictAnonymous reikšmė.
      • Paslaugoms skirta "Macintosh"

        Naudotojo autentifikavimo modulis (UAM): Microsoft UAM (naudotojo autentifikavimo modulis) suteikia metodas šifravimo slaptažodžius, kuriuos naudojate prisijungti prie Windows AFP (AppleTalk padavimo Protocol) serverių. Apple naudotojo autentifikavimo modulis (UAM) suteikia tik minimaliai arba šifruoti. Todėl jūsų slaptažodis gali būti sulaikytas lengvai LAN arba internetu. Nors į UAM nebūtina, ji teikia saugiame autentifikavimo Windows 2000 serveriams, vykdomos paslaugų už Macintosh. Ši versija apima paramą NTLMv2 128 bitų saugiame autentifikavimo ir MacOS X 10.1 suderinamą spaudai.

        Pagal numatytuosius nustatymus Macintosh serverio palaikymą Windows Server 2003 leidžia tik Microsoft Authentication.

        Daugiau informacijos spustelėkite šiuos numerius peržiūrėkite straipsnius Microsoft žinių bazėje:
        834498 Macintosh klientas negali prisijungti prie paslaugos, Mac Windows Server 2003
        838331 Mac OS X vartotojams negali atidaryti Macintosh bendrai aplankus serveryje, Windows Server 2003 pagrindu
      • Windows Server 2008, Windows Server 2003, Windows XP ir Windows 2000: Jei būsite ją sukonfigūravę visos LMCompatibilityLevel reikšmei priskirtos 0 arba 1 ir tada konfigūruoti NoLMHash vertė turi būti 1, taikomosios programos ir komponentai gali būti nesuteikta prieiga per NTLM. Ši problema kyla todėl, kad kompiuteris sukonfigūruotas taip, kad LM bet nenaudoti LM saugomi slaptažodžiai.

        Jei būsite ją sukonfigūravę NoLMHash vertė turi būti 1, turite sukonfigūruoti visos LMCompatibilityLevel reikšmei priskirtos 2 arba didesnis.
  11. Tinklo saugumas: LDAP kliento pasirašymo reikalavimai
    1. Fono

      Kad tinklo saugumas: LDAP kliento pasirašymas reikalavimus parametras nustato lygį, duomenų pasirašyti, kad prašoma klientų, kad klausimas Lightweight Directory Access Protocol (LDAP) susieti vardu prašo taip:
      • Nė vienas: The LDAP susiejimo prašymu išduodamas su skambinančiojo nurodytų variantų.
      • Derėtis dėl pasirašymo: jei į užtikrinti saugiųjų jungčių lygmens/transportavimo lygmens saugą (SSL/TLS) nepradėta, LDAP susiejimo prašymą pradedamas su LDAP duomenų pasirašymo galimybė be to skambinančiojo nurodytas parinktis. Jei prasidėjo SSL/TLS, LDAP susiejimo prašymą pradedamas su skambinančiojo nurodytų variantų.
      • Reikia pasirašyti: tai tas pats kaip derėtis dėl pasirašymo. Tačiau, jei LDAP serverio tarpinių saslBindInProgress atsakymo dar nereiškia, kad LDAP eismo pasirašyti nereikia, skambinantysis yra pasakyta, kad LDAP susiejimo komandos užklausa nepavyko.
    2. Rizikingas konfigūracijos

      Kad į tinklo saugumas: LDAP kliento pasirašymas reikalavimus aplinkoje yra kenksmingų konfigūraciją, konfigūracijos parametras. Jei serveris reikalauja LDAP parašų, turėsite sukonfigūruoti LDAP pasirašymo kliento. Ne konfigūravimas kliento LDAP parašų naudojimas padės išvengti ryšio su serveriu. Tai sukelia vartotojo autentifikavimą, grupės strategijos parametrai, prisijungimo scenarijų ir kitų funkcijų žlugti.
    3. Priežasčių pakeisti šį parametrą

      Nepasirašytos tinklo srautas yra jautrūs žmogus-in-the-middle išpuolių kai įsibrovėlis fiksuoja paketus tarp klientų ir serverių, keičia juos, ir tada perduoda juos į serverį. Kai tai atsitinka LDAP serveryje, užpuolikas gali sukelti tarnybinζ atsakyti remiantis klaidingą užklausų iš LDAP kliento. Jūs galite sumažinti šį pavojų įmonės tinkle įgyvendinant stiprus fizinės apsaugos priemones siekiant apsaugoti tinklo infrastruktūrą. Be to, jums gali padėti užkirsti kelią visų rūšių žmogus-in-the-middle išpuolių reikalaujant skaitmeniniai parašai ant visų duomenų paketus pagal IPSec autentifikavimo antraštes.
    4. Simbolinis pavadinimas:

      LDAPClientIntegrity
    5. Registro kelyje:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
  12. Įvykių žurnalą: Maksimalus saugumo žurnalo dydis
    1. Fono

      Dėl įvykių: maksimalus saugumo žurnalo dydis saugos parametras nurodo maksimalų dydį saugumo atveju žurnalas. Šiame žurnale yra maksimalus dydis 4 GB. Norėdami rasti šį parametrą, išplėsti Windows parametrus, ir tada išplėskite Saugos parametrus.
    2. Rizikingas konfigūracijų

      Toliau pateikiami kenksmingų konfigūracijos parametrai:
      • Draudimo žurnalo dydį ir saugos žurnalo saugojimo būdą kai į audito: išjungti sistemos iš karto jei prisijungimo saugumo auditus nustatymas yra įjungtas. Pamatyti ir "audito: išjungti sistemos iš karto jei prisijungimo saugumo auditus" šio straipsnio daugiau informacijos skyriuje.
      • Apriboti draudimo žurnalo dydį, kad saugumo įvykius svarbos bus perrašyti.
    3. Priežasčių padidinti šį parametrą

      Verslo ir saugumo reikalavimus gali diktuoti kad jį padidinsite saugumo žurnalo dirbti papildomą saugumo žurnalo išsamiai ar pasilikti saugumo rąstų ilgesnį laiką.
    4. Priežasčių sumažinti šį parametrą

      Įvykių peržiūros programa žurnalai yra atminties zamapowanym failai. Maksimalus dydis įvykių žurnalą būtų apriboti neleidžiant fizinės atminties vietos kompiuteryje ir Virtualioji atmintis, galimas įvykio prisijungimo procesą. Padidinti žurnalą už virtualios atminties turima vyki nedidina žurnalo įrašus, išlaikomi skaičius.
    5. Suderinamumo problemų pavyzdžiai

      Windows 2000:Kompiuteriams, kuriuose veikia Windows 2000 versijos, kurios yra ankstesnės nei 4 pakeitimų paketui (SP4) gali sustabdyti registruodama įvykius įvykių žurnalo prieš pasiekė dydį, nurodyta didžiausia urnalo dydis nustatyti įvykių peržiūros programa Jei neperrašo renginiai (išvalyti žurnalą rankiniu būdu) parinktis įjungta.

      Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
      312571 Įvykių sustoja prisijungti renginiai prieš pasiekiant didžiausią žurnalo dydį
  13. Įvykių žurnalą: Išlaikyti saugos žurnalas
    1. Fono

      Dėl įvykių: išlaikyti saugos žurnalas saugos parametru nustatoma saugos žurnalas "įvyniojimas" metodas. Norėdami rasti šį parametrą, išplėsti Windows parametrus, ir tada išplėskite Saugos parametrus.
    2. Rizikingas konfigūracijų

      Toliau pateikiami kenksmingų konfigūracijos parametrai:
      • Nesugeba išlaikyti visi prisijungęs saugumo įvykius iki jos perrašomos
      • Konfigūravimas daugiau saugumo žurnalo dydį nustatyti per maža, kad saugumo įvykius, bus perrašyti
      • Apriboti saugos žurnalo dydį ir saugojimo būdą kartu su audito: išjungti sistemos iš karto jei prisijungimo saugumo auditus saugumo nustatymas yra įjungtas
    3. Priežasčių, kad šis parametras

      Įgalintų šį parametrą tik tada, jei pasirinksite perrašyti įvykių dienomis saugojimo būdas. Jei galite naudoti įvykio koreliacijos sistemą, apklausos renginiams, įsitikinkite, kad dienų skaičius yra ne mažiau kaip tris kartus apklausos dažnumas. Tai kad nepavyko apklausa ciklų.
  14. Tinklo prieiga: tegul visi teises taikyti anoniminiams vartotojams
    1. Fono

      Numatyta, kad tinklo prieiga: tegul visi teises taikyti anoniminiams vartotojams parametras nustatytas kaip Neapibrėžta Windows Server 2003. Pagal nutylėjimą, Windows Server 2003 neapima anoniminės prieigos atpažinimo ženklo visi grupės.
    2. Suderinamumo problemų pavyzdys

      Šią reikšmę
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
      [REG_DWORD] = 0x0 pertraukos pasitikėjimo kūrimas Windows Server 2003 ir Windows NT 4.0, Windows Server 2003 domenas yra abonemento domeno ir Windows NT 4.0 domenas yra išteklių domenas. Tai reiškia, kad į domeno yra patikimas Windows NT 4.0 ir išteklių domenas yra pasitikėjimas Windows Server 2003 m. pusėje. Taip įvyksta todėl, kad procesą pradėti pasitikėti po anoniminis prijungimo yra ACL būtų su visais ženklas, kuris apima anoniminis SID ant Windows NT 4.0.
    3. Priežasčių pakeisti šį parametrą

      Vertė turi būti nustatyta 0x1 arba nustatyti naudojant GPO domeno valdiklio OU, kad: tinklo prieiga: tegul visi teises taikyti anoniminiams vartotojams - leido , kad pasitikėjimo kūrinių galima.

      Pastaba. Dauguma kitų saugos parametrų eiti į vertę o ne iki 0x0 labiausiai apsaugotos būsenos. Saugesnis praktika būtų pakeisti pagrindinis domeno kontrolierius emuliatorius o ne visi domeno valdikliuose registrui. Jei pirminio domeno valdiklio emuliatorius vaidmuo yra perkeliamas dėl bet kokios priežasties, registras turi būti atnaujinta į naują serverį.

      Iš naujo nereikia, po to, kai šią vertę.
    4. Registro kelyje
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
  15. NTLMv2 autentifikavimo

    1. Seanso saugos

      Seanso saugos nustato minimalius apsaugos standartus, kliento ir serverio sesijų. Tai gera idėja patikrinti šių saugumo strategijos parametrus Microsoft valdymo konsolės grupės strategijos rengyklę snap-in:
      • Kompiuteris Settings\Windows Settings\Security parametrai\Vietos Policies\Security funkcijos
      • Tinklo saugumas: Minimalus seanso saugos NTLM SSP pagal (įskaitant saugų RPC) serverių
      • Tinklo saugumas: Minimalus seanso saugos NTLM SSP pagal (įskaitant saugų RPC) klientams
      Galimybėmis, šie parametrai yra tokie:
      • Reikalauja pranešimo vientisumo
      • Reikalauja pranešimo konfidencialumo
      • Reikia NTLM versijos 2 seanso saugos
      • Reikalauti 128 bitų šifravimo
      Pagal nutylėjimą iki Windows 7 yra reikalavimų nėra. Pradedant nuo Windows 7, numatytąjį pakeistas į reikia 128 bitų šifravimo didesniam saugumui. Pagal šį numatytąjį Senstelėjusi įranga, kurios nepalaiko 128-bitų šifravimo negalės prisijungti.

      Šios politikos nustatyti minimalius apsaugos standartus, paraiškos taikymas ryšio sesijos serveryje, klientas.

      Istoriškai, Windows NT parėmė šiuos du iššūkio arba atsakymo variantus skirtus tinklo registravimuisi:
      • LM iššūkis arba atsakas
      • NTLM versijos 1 iššūkis arba atsakas
      LM leidžia sąveikos su įrengtos bazės klientų ir serverių. NTLM suteikia patikimesnis už susisiekimą tarp klientų ir serverių.

      Atitinkamą registro raktai yra tokie:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"
    2. Rizikingas konfigūracijų

      Šis parametras kontroliuoja, kaip bus tvarkomi tinklo posėdžiai apsaugotas naudojant NTLM. Tai turi įtakos RPC pagrįstas sesijų patvirtintas su HTML, pvz. Yra šiais atvejais:
      • Nepasirašančios komunikacijos (vientisumą) padaro bendravimą jautrūs pakeitimo ant vielos.
      • Ne šifravimo komunikacijos (konfidencialumo) padaro bendravimą jautrūs patikrinimo ant vielos.
      • Naudojant vyresnio amžiaus autentifikavimo metodus nei NTLMv2 padaro bendravimą lengviau atakuoti dėl paprastesnės maišymo metodai.
      • Naudojant šifravimo raktais mažesnės nei 128 bitų leidžia puola nutraukti pokalbiuose brute-force atakas.

Laiko sinchronizavimas

Laiko sinchronizavimas nepavyko. Laikas yra ne daugiau nei 30 minučių dėl nukentėjusių kompiuterio. Įsitikinkite, kad kliento kompiuterio laikrodis sinchronizuojamas su domeno valdiklio laikrodis.

Dėl SMB parašo gedimo

Spauskite čia informacijos apie tai, kaip apeiti SMB parašo klausimai
Mes rekomenduojame įdiegti 6a pakeitimų paketo (SP6a) Windows NT 4.0 klientams, kad veikti Windows Server 2003 saugyklomis pagrįstame domene. Windows 98 Second Edition klientuose, Windows 98 klientuose ir Windows 95 klientuose paleisti Directory Services klientą atlikti NTLMv2. Jei Windows NT 4.0 pagrindu klientų turite Windows NT 4.0 SP6 įdiegta arba jei Windows 95 klientuose, Windows 98 klientuose ir Windows 98SE įsikūrusiems pirkėjams ar Directory Services klientą neįdiegėte, išjungti SMB prisijungdami numatytojo domeno valdiklio politikos dėl domeno valdiklio OU, ir tada susieti šią politiką visų skirtingų plėtojimo, kad domeno valdiklius.

Katalogo paslaugas klientui už Windows 98 Second Edition, Windows 98 ir Windows 95 atliks SMB parašo su Windows 2003 serverių pagal NTLM autentifikavimą, bet ne pagal NTLMv2 autentifikavimo. Be to, Windows 2000 serveriams nereaguos į SMB parašo prašymus iš šių klientų.

Nors mes rekomenduojame jį, galite apsisaugoti nuo SMB parašo gedimo iš nereikalaujant pateikti dėl visų domeno valdiklius, kurie vykdomi Windows Server 2003 domene. Konfigūruoti šį saugos parametrą, atlikite šiuos veiksmus:
  1. Atidaryti numatytojo domeno valdiklio politikos.
  2. Atidarykite aplanką Kompiuteryje Configuration\Windows Settings\Security parametrai\Vietos Policies\Security parinktys .
  3. Raskite ir spustelėkite į Microsoft tinklo serverio: elektroniniu parašu pasirašyti pranešimai (visada) strategijos parametrą, o tada spustelėkite negalia.
Svarbu. Šiame skyriuje, metodo ar užduoties aprašyme pateikiami žingsniai, kuriais nurodoma, kaip keisti sistemos registrą. Turėkite omeny, kad gali kilti rimtų problemų, jei registro duomenis pakeisite netinkamai. Todėl įsitikinkite, kad šiuos žingsnius atliekate atsargiai. Papildomai apsaugai, sukurkite rezervinę registro kopiją prieš darant pakeitimus. Tokiu būdu galite atkurti registrą iškilus problemai. Norėdami gauti daugiau informacijos apie tai, kaip kurti rezervines registro kopijas ir atkurti registrą, spustelėkite toliau esantį Microsoft žinių bazės straipsnio numerį straipsnio peržiūrai:
322756 Kaip sukurti rezervinę registro kopiją ir atkurti registrą sistemoje "Windows"
Taip pat galite išjungti SMB pasirašymo serveryje modifikuodami registrą. Norėdami tai padaryti, atlikite šiuos veiksmus:
  1. Spustelėkite pradėti, spustelėkite vykdyti, tipo regedit, tada spustelėkite gerai.
  2. Raskite ir spustelėkite šį dalinį raktą:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters
  3. Spustelėkite įrašo enablesecuritysignature .
  4. Meniu Redaguoti spustelėkite keisti.
  5. – Į reikšmės duomenys , įveskite 0, tada spustelėkite gerai.
  6. Išeikite iš registro tvarkyklės.
  7. Perkrauti kompiuterį, arba sustabdyti ir tada iš naujo paleiskite serverio paslaugos. Norėdami tai padaryti, įrašykite šias komandas į komandų eilutę ir paspauskite Enter po kiekvienos komandos:
    Grynasis stotelė serverio
    Grynasis paleisti serverio
Pastaba. Atitinkamą klavišą kliento kompiuteryje yra šiame registro daliniame rakte:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters
Po to bus rodomas išverstų klaidų kodus būsenos kodai ir pažodžiui klaidos pranešimų, kad yra minėta anksčiau:
klaidos 5
ERROR_ACCESS_DENIED
Prieiga nesuteikta.
klaida 1326
ERROR_LOGON_FAILURE
Prisijungimo klaida: nežinomas vartotojo vardą ar blogai slaptažodį.
klaida 1788
ERROR_TRUSTED_DOMAIN_FAILURE
Patikimas ryšys tarp pirminio ir patikimo domenų nepavyko.
klaida 1789
ERROR_TRUSTED_RELATIONSHIP_FAILURE
Patikimas ryšys tarp šios darbo vietos ir pirminiame domene nepavyko.
Daugiau informacijos spustelėkite šiuos numerius peržiūrėkite straipsnius Microsoft žinių bazėje:
324802 Kaip konfigūruoti grupės strategijos nustatyti saugumo sistemos Windows Server 2003
306771 "Prieiga uždrausta" klaida sukonfigūravę Windows Server 2003 klasteris
101747 Kaip įdiegti Microsoft autentifikavimo Macintosh
161372 Kaip įgalinti SMB prisijungdami Windows NT
236414 Negalima naudoti akcijų su LMCompatibilityLevel nustatyti tik NTLM 2 autentifikavimą
241338 Windows NT LAN Manager versija 3 klientas su pirmą kartą registruojantis neleidžia vėliau registravimosi veikla
262890 Negali gauti katalogą automobiliu ryšio mišrus aplinkoje
308580 Pagrindiniame aplanke rodymo į žemesnio lygio serveriai gali neveikti įeinant
285901 Nuotolinės prieigos, VPN ir RIS klientams negali nustatyti sesijų su serverio, kuris sukonfigūruotas priimti tik NTLM 2 variantas autentifikavimą
816585 Kaip taikyti iš anksto nustatytą saugumo šablonai, Windows Server 2003
820281 Turite pateikti Windows abonemento kredencialus kai jungiatės prie Exchange serverio 2003 naudojant Outlook 2003 RPC per HTTP funkcija
Vartotojo tinkamą saugumo aplinkoje suderinamo suderinamumo registro saugaus grupės politikos acl teisių gpedit pdce

Įspėjimas: šis straipsnis išverstas automatiškai

Savybės

Straipsnio ID: 823659 – Paskutinė peržiūra: 10/08/2013 22:04:00 – Peržiūra: 1.0

  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP leidimas profesionalams
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server (serveris)
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 95
  • kbinfo kbmt KB823659 KbMtlt
Atsiliepimai
"//c.microsoft.com/ms.js'><\/script>");