Applies ToMicrosoft Windows XP Professional

Suvestinė

Saugos parametrus ir vartotojų teisių priskyrimus galima keisti vietinėse strategijose ir grupės strategijose, kad būtų galima sustiprinti domeno valdiklių ir narių kompiuterių saugą. Tačiau didesnės saugos trūkumas yra nesuderinamumo su klientais, paslaugomis ir programomis įvedimas.Šiame straipsnyje aprašoma nesuderinamumo, kuris gali atsirasti klientų kompiuteriuose, kuriuose veikia Windows XP arba ankstesnės versijos Windows, kai pakeičiate konkrečius saugos parametrus ir vartotojo teisių priskyrimus Windows Server 2003 domeno arba ankstesnės Windows Server domeno.Informacijos apie Grupės strategija, skirtas "Windows 7", "Windows Server 2008 R2" ir "Windows Server 2008", ieškokite šiuose straipsniuose:

Pastaba: likęs šio straipsnio turinys būdingas "Windows XP", "Windows Server 2003" ir ankstesnėms "Windows" versijoms.

Windows XP

Norėdami geriau suprasti netinkamai sukonfigūruotus saugos parametrus, naudokite Grupės strategija objektų rengyklės įrankį, kad pakeistumėte saugos parametrus. Kai naudojate Grupės strategija objektų rengyklę, vartotojo teisių priskyrimai yra patobulinti šiose operacinėse sistemose:

  • "Windows XP Professional" 2 pakeitimų paketas (SP2)

  • "Windows Server 2003" 1 pakeitimų paketas (SP1)

Patobulinta funkcija yra dialogo langas, kuriame yra saitas į šį straipsnį. Dialogo langas rodomas, kai pakeičiate saugos parametrą arba vartotojo teisių priskyrimą parametru, kuris siūlo mažesnį suderinamumą ir yra griežtesnis. Jei tiesiogiai pakeisite tą patį saugos parametrą arba vartotojo teisių priskyrimą naudodami registrą arba saugos šablonus, efektas bus toks pat kaip keičiant parametrą Grupės strategija objektų rengyklėje. Tačiau dialogo langas, kuriame yra saitas į šį straipsnį, nerodomas.Šiame straipsnyje pateikiami klientų, programų ir operacijų, kurioms turi įtakos konkretūs saugos parametrai arba vartotojo teisių priskyrimai, pavyzdžiai. Tačiau šie pavyzdžiai nėra patikimi visoms "Microsoft" operacinėms sistemoms, visoms trečiųjų šalių operacinėms sistemoms arba visoms paveiktoms programų versijoms. Ne visi saugos parametrai ir vartotojų teisių priskyrimai įtraukti į šį straipsnį.Rekomenduojame patikrinti visų su sauga susijusių konfigūracijos pakeitimų suderinamumą bandomajame miške prieš pristatnt juos gamybos aplinkoje. Bandomas miškas turi atspindėti gamybinį mišką šiais būdais:

  • Kliento ir serverio operacinės sistemos versijos, kliento ir serverio programos, pakeitimų paketo versijos, karštosios pataisos, schemos pakeitimai, saugos grupės, grupių narystės, teisės į objektus failų sistemoje, bendrinami aplankai, registras, "Active Directory" katalogų tarnyba, vietiniai ir Grupės strategija parametrai bei objektų skaičiaus tipas ir vieta

  • Atliekamos administravimo užduotys, naudojami administraciniai įrankiai ir operacinės sistemos, naudojamos administracinėms užduotims atlikti

  • Atliktos operacijos, pvz.:

    • Kompiuterio ir vartotojo prisijungimo autentifikavimas

    • Vartotojų, kompiuterių ir administratorių slaptažodžių nustatymas iš naujo

    • Naršymo

    • Failų sistemos, bendrinamų aplankų, registro ir "Active Directory" išteklių teisių nustatymas naudojant ACL rengyklę visose kliento operacinėse sistemose visose paskyrose arba išteklių domenuose iš visų klientų operacinių sistemų iš visų paskyrų arba išteklių domenų

    • Spausdinimas iš administravimo ir neadministravimo paskyrų

Windows Server 2003 SP1

Įspėjimai Gpedit.msc

Siekiant padėti klientams suprasti, kad redaguoja vartotojo teisę arba saugos parinktį, kuri galėjo neigiamai paveikti jų tinklą, į gpedit.msc įtraukti du įspėjimo mechanizmai. Kai administratoriai redaguoja vartotojo teisę, kuri gali neigiamai paveikti visą įmonę, jie matys naują piktogramą, kuri primena derliaus ženklą. Jie taip pat gaus įspėjimo pranešimą, kuriame yra saitas į "Microsoft" žinių bazės straipsnį 823659. Šio pranešimo tekstas yra toks:

Šio parametro modifikavimas gali turėti įtakos suderinamumui su klientais, tarnybomis ir programomis. Daugiau informacijos žr. <vartotojo teisę arba saugos parinktį, kuri modifikuojama> (Q823659) Jei buvote nukreipti į šį žinių bazės straipsnį iš saito Gpedit.msc, perskaitykite ir supraskite pateiktą paaiškinimą bei galimą šio parametro keitimo poveikį. Toliau išvardijamos vartotojo teisės, kuriose yra įspėjimo tekstas:

  • Pasiekti šį kompiuterį iš tinklo

  • Įeiti vietoje

  • Apėjimo tikrinimas

  • Kompiuterių ir vartotojų įgalinimas patikimam perdavimui

Toliau išvardytos saugos parinktys su įspėjimu ir iššokančiu pranešimu:

  • Domeno narys: skaitmeniniu būdu užšifruoti arba pasirašyti saugaus kanalo duomenis (visada)

  • Domeno narys: būtinas stiprus ("Windows 2000" arba naujesnės versijos) seanso raktas

  • Domeno valdiklis: LDAP serverio pasirašymo reikalavimai

  • "Microsoft" tinklo serveris: skaitmeniniu parašu pasirašyti ryšiai (visada)

  • Prieiga prie tinklo: leidžia anoniminį sid / vardo vertimą

  • Prieiga prie tinklo: neleisti anoniminių SAM paskyrų ir bendrinimų išvardijimo

  • Tinklo sauga: LAN tvarkytuvo autentifikavimo lygis

  • Auditas: nedelsdami išjunkite sistemą, jei nepavyksta registruoti saugos audito

  • Tinklo prieiga: LDAP kliento pasirašymo reikalavimai

Daugiau informacijos

Tolesniuose skyriuose aprašoma nesuderinamumo atvejų, kurie gali atsirasti pakeitus konkrečius "Windows NT 4.0" domenų, "Windows 2000" domenų ir "Windows Server 2003" domenų parametrus.

Vartotojo teisės

Šiame sąraše aprašoma vartotojo teisė, identifikuojami konfigūracijos parametrai, kurie gali sukelti problemų, aprašoma, kodėl reikia taikyti vartotojo teisę ir kodėl galite norėti pašalinti vartotojo teisę, taip pat pateikiami suderinamumo problemų, kurios gali kilti sukonfigūravus vartotojo teisę, pavyzdžiai.

  1. Pasiekti šį kompiuterį iš tinklo

    1. Fono Norint sąveikauti su nuotoliniais "Windows" kompiuteriais, reikia, kad "Access" šį kompiuterį iš tinklo vartotojo būtų teisus. Tokių tinklo operacijų pavyzdžiai:

      • "Active Directory" replikavimas tarp domeno valdiklių bendrame domene arba miške

      • Autentifikavimo užklausos domeno valdikliams iš vartotojų ir iš kompiuterių

      • Prieiga prie bendrinamų aplankų, spausdintuvų ir kitų sistemos tarnybų, esančių nuotoliniuose tinklo kompiuteriuose

      Vartotojai, kompiuteriai ir tarnybos paskyros gauna arba praranda prieigą prie šio kompiuterio iš tinklo vartotojo teisės, aiškiai ar netiesiogiai įtraukdami arba pašalindami iš saugos grupės, kuriai buvo suteikta ši vartotojo teisė. Pavyzdžiui, administratorius gali aiškiai įtraukti vartotojo paskyrą arba kompiuterio paskyrą į pasirinktinę saugos grupę arba įtaisytąją saugos grupę arba operacinė sistema gali netiesiogiai ją įtraukti į apskaičiuojamą saugos grupę, pvz., domeno vartotojus, autentifikuotus vartotojus arba įmonės domeno valdiklius.Pagal numatytuosius parametrus vartotojų abonementams ir kompiuterio abonementams suteikiama prieiga prie šio kompiuterio iš tinklo vartotojo, kai apskaičiuotos grupės, pvz., Visi, arba, pageidautina, Autentifikuoti vartotojai, o domeno valdikliams – įmonės domeno valdiklių grupė, apibrėžiamos numatytuose domeno valdikliuose Grupės strategija objektą (GPO).

    2. Rizikingos konfigūracijos Toliau nurodyti kenksmingi konfigūracijos parametrai:

      • Šalinama įmonės domeno valdiklių saugos grupė iš šio vartotojo teisės

      • Autentifikuotų vartotojų grupės arba aiškaus grupės, kuri leidžia vartotojams, kompiuteriams ir tarnybos paskyroms prisijungti prie kompiuterių tinkle, pašalinimas

      • Šalinami visi šio vartotojo vartotojai ir kompiuteriai

    3. Priežastys suteikti šiam vartotojui teisę

      • Suteikus prieigą prie šio kompiuterio iš tinklo vartotojo teisės įmonės domeno valdiklių grupei, laikomasi autentifikavimo reikalavimų, kuriuos turi atitikti "Active Directory" replikavimas, kad replikavimas vyktų tarp domeno valdiklių tame pačiame miške.

      • Ši vartotojo teisė leidžia vartotojams ir kompiuteriams pasiekti bendrinamus failus, spausdintuvus ir sistemos tarnybas, įskaitant "Active Directory".

      • Ši vartotojo teisė reikalinga, kad vartotojai galėtų pasiekti paštą naudodami ankstesnes "Microsoft Outlook Web Access" (OWA) versijas.

    4. Priežastys, kodėl reikia pašalinti šį vartotoją

      • Vartotojai, kurie gali prijungti savo kompiuterius prie tinklo, gali pasiekti nuotolinių kompiuterių, kurių teises turi, išteklius. Pvz., ši vartotojo teisė reikalinga, kad vartotojas galėtų prisijungti prie bendrinamų spausdintuvų ir aplankų. Jei ši vartotojo teisė suteikiama grupei Visi ir kai kurie bendrinami aplankai turi ir bendrinimo, ir NTFS failų sistemos teises, sukonfigūruotas taip, kad ta pati grupė turėtų skaitymo prieigą, visi gali peržiūrėti šių bendrinamų aplankų failus. Tačiau tai mažai tikėtina, jei naujai įdiegtumėte "Windows Server 2003", nes numatytasis bendrinimas ir NTFS teisės "Windows Server 2003" neapima grupės Visi. Sistemose, kurios atnaujinamos iš "Microsoft Windows NT 4.0" arba "Windows 2000", šis pažeidžiamumas gali turėti aukštesnio lygio riziką, nes numatytoji dalis ir failų sistemos teisės šių operacinių sistemų nėra taip ribojantis kaip numatytosios teisės Windows Server 2003.

      • Nėra leistinos priežasties pašalinti įmonės domeno valdiklių grupę iš šio vartotojo teisės.

      • Grupė Visi paprastai pašalinama autentifikuotų vartotojų grupės naudai. Pašalinus grupę Visi, autentifikuotų vartotojų grupei turi būti suteiktos šios vartotojo teisės.

      • "Windows NT 4.0" domenai, atnaujinti į "Windows 2000", aiškiai nesuteikia prieigos prie šio kompiuterio iš tinklo vartotojo tiesiogiai grupei Visi, autentifikuotiems vartotojams arba įmonių domenų valdiklių grupei. Todėl, kai pašalinate visi grupės Windows NT 4.0 domeno strategijos, Active Directory replikavimas nepavyks su klaidos pranešimu "Prieiga uždrausta" atnaujinus versiją į Windows 2000. Winnt32.exe "Windows Server 2003" išvengs šios netinkamos konfigūracijos, suteikdami įmonės domeno valdiklių grupei šį vartotoją teisiai naujinant "Windows NT 4.0" pirminius domeno valdiklius (PDCs). Suteikti įmonės domeno valdiklių grupei šį vartotoją tinkamai, jei jo nėra Grupės strategija objektų rengyklėje.

    5. Suderinamumo problemų pavyzdžiai

      • "Windows 2000" ir "Windows Server 2003": šių skaidinių replikavimas nepavyks dėl klaidų "Prieiga uždrausta", apie kurią pranešė stebėjimo įrankiai, pvz., REPLMON ir REPADMIN arba replikavimo įvykiai įvykių žurnale.

        • "Active Directory" schemos skaidinys

        • Konfigūracijos skaidinys

        • Domeno skaidinys

        • Visuotinio katalogo skaidinys

        • Programos skaidinys

      • Visos "Microsoft" tinklo operacinės sistemos: vartotojo paskyros autentifikavimas iš nuotolinio tinklo klientų kompiuterių nepavyks, nebent vartotojui arba saugos grupei, kurios narys yra vartotojas, bus suteikta ši vartotojo teisė.

      • Visos "Microsoft" tinklo operacinės sistemos: paskyros autentifikavimas iš nuotolinio tinklo klientų nepavyks, nebent paskyra arba saugos grupė, kurios narys yra paskyra, suteiks šią vartotojo teisę. Šis scenarijus taikomas vartotojų paskyroms, kompiuterio paskyroms ir tarnybos paskyroms.

      • Visos "Microsoft" tinklo operacinės sistemos: pašalinus visas paskyras iš šios vartotojo teisės, jokia paskyra negalės prisijungti prie domeno arba pasiekti tinklo išteklių. Jei apskaičiuotos grupės, pvz., įmonės domeno valdikliai, visi arba autentifikuoti vartotojai, pašalinami, turite aiškiai suteikti šiam vartotojui teisę į paskyras arba saugos grupes, kurių narys yra paskyra, kad galėtumėte pasiekti nuotolinius kompiuterius per tinklą. Šis scenarijus taikomas visoms vartotojų paskyroms, visoms kompiuterio paskyroms ir visoms tarnybos paskyroms.

      • Visos "Microsoft" tinklo operacinės sistemos: vietinio administratoriaus paskyra naudoja tuščią slaptažodį. Tinklo ryšys su tuščiais slaptažodžiais neleidžiamas administratoriaus paskyroms domeno aplinkoje. Naudodami šią konfigūraciją galite tikėtis gauti klaidos pranešimą "Prieiga uždrausta".

  2. Leisti įeiti vietoje

    1. Fono Vartotojai, kurie bando prisijungti prie "Windows" pagrįsto kompiuterio konsolės (naudodami CTRL + ALT + DELETE sparčiuosius klavišus) ir paskyros, kurios bando paleisti tarnybą, privalo turėti vietinio prisijungimo teises išteklių nuomos kompiuteryje. Vietinio prisijungimo operacijų pavyzdžiai: administratoriai, kurie prisijungia prie narių kompiuterių konsolės, arba domeno valdikliai visoje įmonėje ir domeno vartotojai, kurie prisijungia prie narių kompiuterių, kad galėtų pasiekti savo darbalaukius naudodami ne privilegijuotus abonementus. Vartotojai, naudojantys nuotolinį darbalaukį arba terminalo tarnybas, turi turėti leisti įeiti vietiniame kompiuteryje tiesiog paskirties kompiuteriuose, kuriuose veikia "Windows 2000" arba "Windows XP", nes šie prisijungimo režimai laikomi vietiniais išteklių nuomos kompiuteryje. Vartotojai, kurie prisijungia prie serverio, kuriame įgalintas terminalo serveris ir kurie neturi šios vartotojo teisės, vis tiek gali pradėti nuotolinį interaktyvų seansą "Windows Server 2003" domenuose, jei jie turi teisę Leisti prisijungti per terminalų tarnybų vartotoją.

    2. Rizikingos konfigūracijos Toliau nurodyti kenksmingi konfigūracijos parametrai:

      • Iš numatytojo domeno valdiklio strategijos šalinamos administravimo saugos grupės, įskaitant paskyros operatorius, atsarginių kopijų operatorius, spausdinimo operatorius arba serverio operatorius ir įtaisytąją administratorių grupę.

      • Pašalinkite tarnybos abonementus, kuriuos naudoja komponentai ir programos narių kompiuteriuose ir domeno valdikliuose iš numatytojo domeno valdiklio strategijos.

      • Šalinami vartotojai arba saugos grupės, kurie įeina į domeno narių kompiuterių konsolę.

      • Šalinami tarnybų abonementai, apibrėžti narių kompiuterių arba darbo grupės kompiuterių vietinėje saugos paskyrų tvarkytuvo (SAM) duomenų bazėje.

      • Šalinamos neįmontuotosios administravimo paskyros, kurios autentifikuojamos naudojant terminalo tarnybas, veikiančias domeno valdiklyje.

      • Visų vartotojų paskyrų įtraukimas domene tiesiogiai arba netiesiogiai per grupę Visi į teisę Neleisti prisijungti vietiniame kompiuteryje. Ši konfigūracija neleis vartotojams prisijungti prie bet kurio nario kompiuterio arba prie bet kurio domeno valdiklio domene.

    3. Priežastys suteikti šiam vartotojui teisę

      • Norėdami pasiekti darbo grupės kompiuterio, nario kompiuterio arba domeno valdiklio konsolę arba darbalaukį, vartotojai turi turėti teisę prisijungti vietiniame kompiuteryje.

      • Vartotojai turi turėti šią vartotojo teisę įeiti per terminalų tarnybų seansą, kuris veikia "Windows 2000" pagrįstame nario kompiuteryje arba domeno valdiklyje.

    4. Priežastys, kodėl reikia pašalinti šį vartotoją

      • Nepavykus apriboti konsolės prieigos prie teisėtų vartotojų paskyrų, neįgalioti vartotojai gali atsisiųsti ir vykdyti kenkėjišką kodą, kad pakeistų savo vartotojo teises.

      • Pašalinus teisę Leisti įeiti vietiniame kompiuteryje, neleidžiama įeiti į kompiuterių konsoles, pvz., domeno valdiklius arba taikomųjų programų serverius.

      • Pašalinus šią prisijungimo teisę, ne domeno abonementai negali prisijungti prie domeno narių kompiuterių konsolės.

    5. Suderinamumo problemų pavyzdžiai

      • "Windows 2000" terminalų serveriai: Vartotojams, norintiems įeiti į "Windows 2000" terminalų serverius, reikalinga teisė Leisti įeiti vietoje.

      • "Windows NT 4.0", "Windows 2000", "Windows XP" arba "Windows Server 2003": vartotojo abonementams turi būti suteikta teisė įeiti konsolėje kompiuteriuose, kuriuose veikia "Windows NT 4.0", "Windows 2000", "Windows XP" arba "Windows Server 2003".

      • "Windows NT 4.0" ir naujesnės versijos: kompiuteriuose, kuriuose veikia "Windows NT 4.0" ir naujesnė versija, jei įtrauksite teisę Leisti įeiti vietiniame kompiuteryje, bet netiesiogiai arba aiškiai suteiksite teisę neleisti įeiti vietoje, paskyros negalės prisijungti prie domeno valdiklių konsolės.

  3. Apėjimo tikrinimas

    1. Fono Apeiti pereiti patikrinti vartotojo teisė leidžia vartotojui naršyti aplankus NTFS failų sistemoje arba registre netikrinant, ar nėra traverse aplanko specialių prieigos teisių. Atvirkštinė vartotojo tikrinimo teisė neleidžia vartotojui pateikti aplanko turinio. Jis leidžia vartotojui naršyti tik jo aplankus.

    2. Rizikingos konfigūracijos Toliau nurodyti kenksmingi konfigūracijos parametrai:

      • Šalinami ne administravimo abonementai, kurie prisijungia prie "Windows 2000" terminalų tarnybų kompiuterių arba "Windows Server 2003" terminalų tarnybų kompiuterių, neturinčių teisių pasiekti failų sistemos failus ir aplankus.

      • Pagal numatytuosius nustatymus pašalinus grupę Visi iš saugos sistemos narių, turinčių šį vartotoją, sąrašo. "Windows" operacinės sistemos ir daugelis programų sukurtos taip, kad tikisi, jog bet kas, turintis teisėtą prieigą prie kompiuterio, turės teisę apeiti vartotojo tikrinimo teises. Todėl pašalinus grupę Visi iš saugos sistemos narių, kurie pagal numatytuosius parametrus turi šį vartotoją, sąrašo gali kilti operacinės sistemos nestabilumas arba programos triktis. Geriau palikti šį parametrą kaip numatytąjį.

    3. Priežastys suteikti šiam vartotojui teisę Numatytasis vartotojo apėjimo patikros parametras yra leisti visiems apeiti atvirkštinį tikrinimą. Patyrusiems "Windows" sistemos administratoriams tai numatytas veikimas ir jie atitinkamai sukonfigūruoja failų sistemos prieigos kontrolės sąrašus (SACLs). Vienintelis scenarijus, kai numatytoji konfigūracija gali sukelti nelaimingą veiksmą, yra tai, kad administratorius, kuris sukonfigūruoja teises, nesupranta veikimo būdo ir tikisi, kad vartotojai, negalintys pasiekti pirminio aplanko, negalės pasiekti jokių antrinių aplankų turinio.

    4. Priežastys, kodėl reikia pašalinti šį vartotoją Norint neleisti pasiekti failų arba aplankų failų sistemoje, organizacijoms, kurios labai nerimauja dėl saugos, gali kilti pagunda pašalinti grupę Visi ar net vartotojų grupę iš grupių, kuriose atvirkštinė tikrinamas vartotojas, sąrašo.

    5. Suderinamumo problemų pavyzdžiai

      • "Windows 2000", "Windows Server 2003": Jei apeiti keliauja tikrinti vartotojo teisė yra pašalintas arba netinkamai sukonfigūruotas kompiuteriuose, kuriuose veikia Windows 2000 "arba" Windows Server 2003, Grupės strategija parametrus SYVOL aplanke nebus replikuoti domeno valdiklių domeno.

      • "Windows 2000", "Windows XP Professional", "Windows Server 2003": kompiuteriai, kuriuose veikia "Windows 2000", "Windows XP Professional" arba "Windows Server 2003", užregistruos įvykius 1000 ir 1202 ir negalės taikyti kompiuterio strategijos ir vartotojo strategijos, kai būtinos failų sistemos teisės pašalinamos iš SYSVOL medžio, jei pašalinama atvirkštinė tikrinimo vartotojo teisė arba ji netinkamai sukonfigūruota.  

      • "Windows 2000", "Windows Server 2003": kompiuteriuose, kuriuose veikia "Windows 2000" arba "Windows Server 2003", "Windows Explorer" skirtukas Kvota išnyks, kai peržiūrite tomo ypatybes.

      • "Windows 2000": ne administratoriai, kurie įeina į "Windows 2000" terminalo serverį, gali gauti tokį klaidos pranešimą:

        Userinit.exe programos klaida. Programai nepavyko tinkamai inicijuoti 0xc0000142 spustelėkite Gerai, kad nutrauktumėte taikomąją programą.

      • "Windows NT 4.0", "Windows 2000", "Windows XP", "Windows Server 2003": vartotojams, kurių kompiuteriuose veikia "Windows NT 4.0", "Windows 2000", "Windows XP" arba "Windows Server 2003", gali nepavykti pasiekti bendrinamų aplankų arba failų bendrinamuose aplankuose ir jie gali gauti klaidos pranešimus "Prieiga uždrausta", jei jiems nesuteikta teisė apeiti vartotojo tikrinimo teises.  

      • "Windows NT 4.0": "Windows NT 4.0" kompiuteriuose pašalinus apėjimo tikrinimą vartotojo dešinėje, failo kopija bus numestų failų srautus. Jei teisingai pašalinsite šį vartotoją, kai failas kopijuojamas iš Windows kliento arba Macintosh kliento į Windows NT 4.0 domeno valdiklį, kuriame veikia Services for Macintosh, paskirties failų srautas prarandamas ir failas rodomas kaip tik tekstinis failas.

      • "Microsoft Windows 95", "Microsoft Windows 98": kliento kompiuteryje, kuriame veikia "Windows 95" arba "Windows 98", net use * /home komanda nepavyks dėl klaidos pranešimo "Prieiga uždrausta", jei autentifikuotų vartotojų grupei nesuteikta atvirkštinė vartotojo tikrinimo teisė.

      • "Outlook Web Access": ne administratoriai negalės prisijungti prie "Microsoft Outlook Web Access" ir gaus klaidos pranešimą "Prieiga uždrausta", jei jiems nebus suteikta teisė apeiti vartotojo tikrinimą.

Saugos parametrai

Šiame sąraše nurodomas saugos parametras, o įdėtasis sąrašas pateikia saugos parametro aprašą, identifikuoja konfigūracijos parametrus, kurie gali sukelti problemų, aprašo, kodėl turite taikyti saugos parametrą, tada aprašo priežastis, kodėl galite norėti pašalinti saugos parametrą. Tada įdėtasis sąrašas pateikia saugos parametro simbolinį pavadinimą ir saugos parametro registro kelią. Galiausiai pateikiami suderinamumo problemų, kurios gali kilti sukonfigūravus saugos parametrą, pavyzdžiai.

  1. Auditas: nedelsdami išjunkite sistemą, jei nepavyksta registruoti saugos audito

    1. Fonas

      • Tikrinimas: iš karto išjunkite sistemą, jei nepavyksta registruoti saugos audito parametrų, nustato, ar sistema išjungiama, jei negalite registruoti saugos įvykių. Šis parametras būtinas patikimo kompiuterio saugos vertinimo kriterijų (TCSEC) programos C2 vertinimui ir bendrųjų informacinių technologijų saugos vertinimo kriterijų, kad būtų išvengta tikrinamų įvykių, jei audito sistema negali šių įvykių registruoti. Jei audito sistema neveikia, sistema išjungiama ir rodomas klaidos pranešimas Stabdyti.

      • Jei kompiuteris negali įrašyti įvykių į saugos žurnalą, kritinių įrodymų arba svarbios trikčių šalinimo informacijos gali nepavykti peržiūrėti po saugos incidento.

    2. Rizikinga konfigūracija Toliau nurodytas kenkėjiškos konfigūracijos parametras: Audito: išjunkite sistemą iš karto, jei įjungtas saugos audito registravimo parametras, o saugos įvykių žurnalo dydį riboja parinktis Neperrašyti įvykių (išvalyti žurnalą rankiniu būdu), parinktis Perrašyti įvykius pagal poreikį arba Perrašyti įvykius, senesnius nei skaičių dienų Įvykių peržiūros programa. Informacijos apie konkrečią riziką kompiuteriuose, kuriuose veikia pradinė išleista "Windows 2000", "Windows 2000" 1 pakeitimų paketas (SP1), "Windows 2000" SP2 arba "Windows 2000" SP3, ieškokite skyriuje "Suderinamumo problemų pavyzdžiai".

    3. Priežastys, kodėl reikia įjungti šį parametrą Jei kompiuteris negali įrašyti įvykių į saugos žurnalą, kritinių įrodymų arba svarbios trikčių šalinimo informacijos gali nepavykti peržiūrėti po saugos incidento.

    4. Priežastys, kodėl reikia išjungti šį parametrą

      • Audito įgalinimas: iš karto išjunkite sistemą, jei nepavyksta užregistruoti saugos audito parametro, sustabdo sistemą, jei dėl kokios nors priežasties negalima užregistruoti saugos audito. Paprastai įvykio negalima registruoti, kai saugos audito žurnalas yra pilnas ir kai nurodytas saugojimo metodas yra parinktis Neperrašyti įvykių (išvalyti žurnalą rankiniu būdu) arba parinktis Perrašyti įvykius, senesnius nei dienų skaičius .

      • Administracinė našta įgalinant auditą: išjunkite sistemą iš karto, jei negalite registruoti saugos audito parametrų, gali būti labai didelė, ypač jei taip pat įjungiate saugos žurnalo parinktį Neperrašyti įvykių (išvalyti žurnalą rankiniu būdu). Šis parametras numato atskirą operatoriaus veiksmų atskaitomybę. Pvz., administratorius gali iš naujo nustatyti teises visiems vartotojams, kompiuteriams ir grupėms organizacijos skyriuje (OU), kuriame auditas buvo įgalintas naudojant įtaisytąją administratoriaus paskyrą arba kitą bendrinamą paskyrą, tada atmesti, kad iš naujo nustato tokias teises. Tačiau įgalinus šį parametrą sumažinamas sistemos patikimumas, nes serveris gali būti priverstinai išjungiamas jį naudojant prisijungimo įvykius ir kitus saugos įvykius, įrašytus į saugos žurnalą. Be to, kadangi išjungimas nėra grakštus, gali atsirasti nepataisomai sugadinta operacinė sistema, programos arba duomenys. NTFS garantuoja, kad failų sistemos vientisumas bus palaikomas nesklandaus sistemos išjungimo metu, tačiau negarantuoja, kad iš naujo paleidus sistemą, visi kiekvienos programos duomenų failai vis tiek bus naudojamos formos.

    5. Simbolinis pavadinimas: "CrashOnAuditFail"

    6. Registro kelias:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

    7. Suderinamumo problemų pavyzdžiai

      • "Windows 2000": dėl klaidos kompiuteriai, kuriuose veikia pradinė išleista "Windows 2000", "Windows 2000 SP1", "Windows 2000 SP2" arba "Windows Server SP3", gali sustabdyti registravimo įvykius prieš pasiekiant dydį, nurodytą saugos įvykių žurnalo parinktyje Maksimalus žurnalo dydis. Ši klaida išspręsta "Windows 2000" 4 pakeitimų pakete (SP4). Prieš įjungdami šį parametrą įsitikinkite, kad jūsų "Windows 2000" domeno valdikliai turi įdiegtą "Windows 2000" 4 pakeitimų paketą.  

      • "Windows 2000", "Windows Server 2003": kompiuteriai, kuriuose veikia "Windows 2000" arba "Windows Server 2003", gali nebeatsakyti ir gali būti spontaniškai paleisti iš naujo, jei auditas: išjungimas iš karto, jei įjungtas saugos tikrinimo parametras, saugos žurnalas yra pilnas ir esamo įvykių žurnalo įrašo perrašyti negalima. Kai kompiuteris paleidžiamas iš naujo, rodomas šis stabdymo klaidos pranešimas:

        STOP: C0000244 {Auditas nepavyko} Nepavyko sugeneruoti saugos audito.

        Norint atkurti, administratorius turi įeiti, archyvuoti saugos žurnalą (pasirinktinai), išvalyti saugos žurnalą, tada iš naujo nustatyti šią parinktį (pasirinktinai ir prireikus).

      • "Microsoft" tinklo klientas, skirtas MS-DOS, "Windows 95", "Windows 98", "Windows NT 4.0", "Windows 2000", "Windows XP", "Windows Server 2003": ne administratoriai, bandantys įeiti į domeną, gaus tokį klaidos pranešimą:

        Jūsų abonementas sukonfigūruotas taip, kad jūs nenaudotumėte šio kompiuterio. Bandykite kitą kompiuterį.

      • "Windows 2000": "Windows 2000" kompiuteriuose ne administratoriai negalės prisijungti prie nuotolinės prieigos serverių ir gaus klaidos pranešimą, panašų į šį:

        Nežinomas vartotojas arba blogas slaptažodis

      • "Windows 2000": "Windows 2000" domenų valdikliuose "Intersite Messaging Service" (Ismserv.exe) bus sustabdyta ir jos negalima paleisti iš naujo. DCDIAG praneš apie klaidą kaip "nepavyko išbandyti tarnybų ISMserv", o įvykio ID 1083 bus užregistruotas įvykių žurnale.

      • "Windows 2000": "Windows 2000" domeno valdikliuose "Active Directory" replikavimas nepavyks, o saugos įvykių žurnale bus rodomas pranešimas "Prieiga uždrausta".

      • "Microsoft Exchange 2000": serveriai, kuriuose veikia "Exchange 2000", negalės prijungti informacijos saugyklos duomenų bazės, o įvykis 2102 bus užregistruotas įvykių žurnale.

      • "Outlook", "Outlook Web Access": ne administratoriai negalės pasiekti savo pašto per "Microsoft Outlook" arba "Microsoft Outlook Web Access" ir jiems bus rodoma 503 klaida.

  2. Domeno valdiklis: LDAP serverio pasirašymo reikalavimai

    1. Fono Domeno valdiklis: LDAP serverio pasirašymo reikalavimų saugos parametras nustato, ar supaprastintosios prieigos prie katalogų protokolo (LDAP) serveriui reikia, kad LDAP klientai galėtų derėtis dėl duomenų pasirašymo. Galimos šio strategijos parametro reikšmės yra tokios:

      • Nėra: duomenų pasirašymo nereikia susieti su serveriu. Jei klientas paprašo duomenų pasirašymo, serveris tai palaiko.

      • Reikalauti pasirašymo: turi būti deramasi dėl LDAP duomenų pasirašymo parinkties, nebent naudojamas transportavimo lygmens saugos / saugiųjų jungčių lygmuo (TLS/SSL).

      • neapibrėžta: šis parametras neįgalintas arba išjungtas.

    2. Rizikingos konfigūracijos Toliau nurodyti kenksmingi konfigūracijos parametrai:

      • Įgalinimas Reikalauti prisijungimo aplinkų, kuriose klientai nepalaiko LDAP pasirašymo arba kai kliento LDAP pasirašymas neįgalintas kliente

      • "Windows 2000" arba "Windows Server 2003" Hisecdc.inf saugos šablono taikymas aplinkose, kuriose klientai nepalaiko LDAP pasirašymo arba kai kliento LDAP pasirašymas neįgalintas

      • "Windows 2000" arba "Windows Server 2003" Hisecws.inf saugos šablono taikymas aplinkose, kuriose klientai nepalaiko LDAP pasirašymo arba kurioje neįgalintas kliento LDAP pasirašymas

    3. Priežastys, kodėl reikia įjungti šį parametrą Nepasirašytas tinklo srautas yra pažeidžiamas vidurio atakoms, kai įsibrovėlis užfiksuoja paketus tarp kliento ir serverio, modifikuoja paketus ir persiunčia juos į serverį. Kai ši problema kyla LDAP serveryje, pažeidėjas gali sukelti serverio priimti sprendimus, pagrįstus klaidingomis užklausomis iš LDAP kliento. Šią riziką įmonės tinkle galite sumažinti įgyvendindami griežtas fizines saugos priemones, padedančias apsaugoti tinklo infrastruktūrą. Interneto protokolo saugos (IPSec) autentifikavimo antraštės režimas gali padėti išvengti artimųjų atakų. Autentifikavimo antraštės režimas atlieka ip srauto abipusį autentifikavimą ir paketų vientisumą.

    4. Priežastys, kodėl reikia išjungti šį parametrą

      • Klientai, kurie nepalaiko LDAP pasirašymo, negalės atlikti LDAP užklausų domeno valdikliuose ir visuotiniuose kataloguose, jei deramasi dėl NTLM autentifikavimo ir jei tinkami pakeitimų paketai neįdiegti "Windows 2000" domeno valdikliuose.

      • LDAP srauto tarp klientų ir serverių tinklo pėdsakai bus užšifruoti. Dėl to sunku ištirti LDAP pokalbius.

      • "Windows 2000" pagrindo serveriuose turi būti įdiegtas "Windows 2000" 3 pakeitimų paketas (SP3) arba įdiegtas, kai jie administruojami su programomis, palaikančiomis LDAP pasirašymą, kuris paleidžiamas iš klientų-kompiuterių, kuriuose veikia "Windows 2000 SP4", "Windows XP" arba "Windows Server 2003".  

    5. Simbolinis pavadinimas: LDAPServerIntegrity

    6. Registro kelias:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

    7. Suderinamumo problemų pavyzdžiai

      • Nesudėtingas susiejimas nepavyks ir gausite tokį klaidos pranešimą:

        Ldap_simple_bind_s() nepavyko: būtinas griežtas autentifikavimas.

      • "Windows 2000" 4 pakeitimų paketas, "Windows XP", "Windows Server 2003": klientuose, kuriuose veikia "Windows 2000 SP4", "Windows XP" arba "Windows Server 2003", kai kurie "Active Directory" administravimo įrankiai neveiks tinkamai domeno valdikliuose, kuriuose veikia "Windows 2000" versijos, ankstesnės nei SP3, kai deramasi dėl NTLM autentifikavimo.  

      • "Windows 2000" 4 pakeitimų paketas, "Windows XP", "Windows Server 2003": klientuose, kuriuose veikia "Windows 2000 SP4", "Windows XP" arba "Windows Server 2003", kai kurie "Active Directory" administravimo įrankiai, skirti domeno valdikliams, kuriuose veikia ankstesnės nei SP3 "Windows 2000" versijos, tinkamai neveiks, jei naudoja IP adresus (pvz., "dsa.msc /server=x.x.x.x", kurx.x.x.x yra IP adresas).  

      • "Windows 2000" 4 pakeitimų paketas, "Windows XP", "Windows Server 2003": klientuose, kuriuose veikia "Windows 2000 SP4", "Windows XP" arba "Windows Server 2003", kai kurie "Active Directory" administravimo įrankiai, skirti domeno valdikliams, kuriuose veikia "Windows 2000" versijos, ankstesnės nei SP3, neveiks tinkamai.  

  3. Domeno narys: būtinas stiprus ("Windows 2000" arba naujesnės versijos) seanso raktas

    1. Fonas

      • Domeno narys: būtinas stiprus ("Windows 2000" arba naujesnės versijos) seanso rakto parametras nustato, ar saugų kanalą galima sukurti naudojant domeno valdiklį, kuris negali šifruoti saugaus kanalo srauto naudodamas stiprų 128 bitų seanso raktą. Įgalinus šį parametrą neleidžiama sukurti saugaus kanalo su bet kuriuo domeno valdikliu, kuris negali šifruoti saugių kanalo duomenų naudojant sudėtingą raktą. Išjungus šį parametrą, galima naudoti 64 bitų seanso klavišus.

      • Prieš įgalindami šį parametrą nario darbo vietoje arba serveryje, visi domeno valdikliai domene, kuriam priklauso narys, turi galėti šifruoti saugius kanalo duomenis naudodami stiprų 128 bitų raktą. Tai reiškia, kad visuose tokiuose domenų valdikliuose turi veikti "Windows 2000" arba naujesnė versija.

    2. Rizikinga konfigūracija Domeno nario įgalinimas: būtinas stiprus ("Windows 2000" arba naujesnės versijos) seanso rakto parametras yra žalingas konfigūracijos parametras.

    3. Priežastys, kodėl reikia įjungti šį parametrą

      • Seansų raktai, naudojami nustatyti saugų kanalo ryšį tarp narių kompiuterių ir domeno valdiklių, sistemoje "Windows 2000" yra daug stipresni nei ankstesnėse "Microsoft" operacinių sistemų versijose.

      • Kai tai įmanoma, naudinga pasinaudoti šiais stipresniais seanso raktais, kad būtų galima apsaugoti saugaus kanalo ryšius nuo slapto pasiklausymo ir nuo seanso užgrobimo tinklo atakų. "Eavesdropping" – tai kenkėjiškos atakos forma, kai tinklo duomenys nuskaitomas arba pakeičiamas transportuojant. Duomenis galima modifikuoti norint paslėpti arba pakeisti siuntėją arba juos peradresuoti.

      Svarbu Kompiuteris, kuriame veikia "Windows Server 2008 R2" arba "Windows 7", palaiko tik sudėtingus klavišus, kai naudojami saugūs kanalai. Šis apribojimas neleidžia pasitikėti tarp bet kurio "Windows NT 4.0" pagrįsto domeno ir bet kurio "Windows Server 2008 R2" pagrįsto domeno. Be to, šis apribojimas blokuoja Windows NT 4.0 domeno narystę kompiuteriuose, kuriuose veikia Windows 7 "arba" Windows Server 2008 R2, ir atvirkščiai.

    4. Priežastys, kodėl reikia išjungti šį parametrą Domene yra narių kompiuterių, kuriuose veikia ne "Windows 2000", "Windows XP" arba "Windows Server 2003" operacinės sistemos.

    5. Simbolinis pavadinimas: "StrongKey"

    6. Registro kelias:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

    7. Suderinamumo problemų pavyzdžiai Windows NT 4.0: Windows NT 4.0 kompiuteriuose, iš naujo nustatyti patikimų ryšių tarp Windows NT 4.0 ir Windows 2000 domenų NLTEST nepavyksta. Rodomas klaidos pranešimas "Prieiga uždrausta":

      Patikimas ryšys tarp pirminio domeno ir patikimo domeno nepavyko."Windows 7" ir "Server 2008 R2": jei naudojate "Windows 7" ir naujesnes versijas bei "Windows Server 2008 R2" ir naujesnes versijas, šis parametras nebėra taikomas ir visada naudojamas stiprus klavišas. Todėl pasitikėjimas "Windows NT 4.0" domenais nebeveikia.

  4. Domeno narys: skaitmeniniu būdu užšifruoti arba pasirašyti saugaus kanalo duomenis (visada)

    1. Fonas

      • Domeno nario įgalinimas: skaitmeniniu būdu užšifruoti arba pasirašyti saugaus kanalo duomenų (visada) neleidžia sukurti saugaus kanalo su bet kokiu domeno valdikliu, kuris negali pasirašyti ar užšifruoti visų saugių kanalo duomenų. Siekiant apsaugoti autentifikavimo srautą nuo tarpininko atakų, atkartoimo atakų ir kitų tipų tinklo atakų, "Windows" kompiuteriai sukuria ryšio kanalą, vadinamą saugiu kanalu per "Net Logon" tarnybą, kad būtų galima autentifikuoti kompiuterio paskyras. Saugūs kanalai taip pat naudojami, kai vartotojas viename domene prisijungia prie nuotolinio domeno tinklo išteklių. Šis kelių domenų autentifikavimas arba tiesioginė autentifikacija leidžia "Windows" pagrįstam kompiuteriui, kuris prisijungė prie domeno, turėti prieigą prie vartotojo paskyros duomenų bazės savo domene ir bet kuriame patikimame domene.

      • Norėdami įgalinti domeno narį: skaitmeniniu būdu užšifruoti arba pasirašyti saugaus kanalo duomenų (visada) parametrą nario kompiuteryje, visi domeno valdikliai domene, kuriam priklauso narys, turi turėti galimybę pasirašyti arba šifruoti visus saugius kanalo duomenis. Tai reiškia, kad visuose tokių domenų valdikliuose turi veikti "Windows NT 4.0" su 6a pakeitimų paketu (SP6a) arba naujesnė versija.

      • Domeno nario įgalinimas: skaitmeniniu būdu užšifruoti arba pasirašyti saugaus kanalo duomenų (visada) parametrą automatiškai įgalina parametrą Domeno narys: skaitmeniniu būdu užšifruoti arba pasirašyti saugaus kanalo duomenis (jei įmanoma).

    2. Rizikinga konfigūracija Domeno nario įgalinimas: skaitmeniniu būdu užšifruoti arba pasirašyti saugaus kanalo duomenų (visada) parametrą domenuose, kur ne visi domeno valdikliai gali pasirašyti arba užšifruoti saugius kanalo duomenis, yra kenkėjiškas konfigūracijos parametras.

    3. Priežastys, kodėl reikia įjungti šį parametrą Nepasirašytas tinklo srautas yra pažeidžiamas artimojo ryšio atakoms, kai įsibrovėlis užfiksuoja paketus tarp serverio ir kliento ir tada juos modifikuoja prieš peradresuodami klientui. Kai ši problema kyla supaprastintosios prieigos prie katalogų protokolo (LDAP) serveryje, įsibrovėlis gali sukelti klientą priimti sprendimus, pagrįstus klaidingais įrašais iš LDAP katalogo. Tokio išpuolio prieš įmonės tinklą riziką galite sumažinti įgyvendindami griežtas fizines saugos priemones, padedančias apsaugoti tinklo infrastruktūrą. Be to, interneto protokolo saugos (IPSec) autentifikavimo antraštės režimas gali padėti išvengti artimųjų atakų. Šis režimas atlieka abipusį autentifikavimą ir paketo vientisumą IP srautui.

    4. Priežastys, kodėl reikia išjungti šį parametrą

      • Vietiniai arba išoriniai kompiuteriai palaiko šifruotus saugius kanalus.

      • Ne visi domeno valdikliai turi atitinkamus pakeitimų paketo redakcijos lygius, kad palaikytų šifruotus saugius kanalus.

    5. Simbolinis pavadinimas: "StrongKey"

    6. Registro kelias:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

    7. Suderinamumo problemų pavyzdžiai

      • "Windows NT 4.0": "Windows 2000" pagrindo narių kompiuteriai negalės prisijungti prie "Windows NT 4.0" domenų ir gaus tokį klaidos pranešimą:

        Abonementas neturi teisės prisijungti iš šios stoties.

        Jei norite gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:

        281648 Klaidos pranešimas: abonementas neturi teisės prisijungti iš šios stoties  

      • Windows NT 4.0: Windows NT 4.0 domenai negalės sukurti žemesnio lygio pasitikėjimą Windows 2000 domeno ir gausite tokį klaidos pranešimą:

        Abonementas neturi teisės prisijungti iš šios stoties.

        Esami žemesnio lygio pasitikėjimas taip pat gali neautentifikuoti vartotojų iš patikimo domeno. Kai kuriems vartotojams gali kilti problemų jungiantis prie domeno ir jie gali gauti klaidos pranešimą, kad klientas negali rasti domeno.

      • "Windows XP": "Windows XP" klientai, kurie yra prijungti prie "Windows NT 4.0" domenų, negalės autentifikuoti bandymų prisijungti ir gali gauti šį klaidos pranešimą arba įvykių žurnale gali būti užregistruoti šie įvykiai:

        Windows negali prisijungti prie domeno, nes domeno valdiklis neveikia arba yra nepasiekiamas kitaip arba jūsų kompiuterio abonementas nerastas

      • "Microsoft" tinklas: "Microsoft" tinklo klientai gaus vieną iš šių klaidų pranešimų:

        Įėjimo klaida: nežinomas vartotojo vardas arba blogas slaptažodis.

        Nurodytam prisijungimo seansui nėra vartotojo seanso rakto.

  5. "Microsoft" tinklo klientas: skaitmeniniu parašu pasirašyti ryšiai (visada)

    1. Fono Serverio pranešimų blokas (SMB) yra išteklių bendrinimo protokolas, kurį palaiko daugelis "Microsoft" operacinių sistemų. Tai tinklo pagrindinio įvesties / išvesties sistemos (NetBIOS) ir daugelio kitų protokolų pagrindas. SMB parašas autentifikuoja ir vartotoją, ir serverį, kuriame yra duomenys. Jei bet kurios pusės autentifikavimo procesas nepavyksta, duomenų perdavimas neįvyksta.SMB pasirašymo įgalinimas pradedamas SMB protokolo derybų metu. SMB pasirašymo strategijos nustato, ar kompiuteris visada skaitmeniniu parašu pasirašo kliento ryšius."Windows 2000" SMB autentifikavimo protokolas palaiko abipusį autentifikavimą. Abipusis autentifikavimas uždaro ataką "vyras vidurį". "Windows 2000" SMB autentifikavimo protokolas taip pat palaiko pranešimų autentifikavimą. Pranešimo autentifikavimas padeda išvengti aktyvių pranešimų atakų. Kad suteiktų jums šį autentifikavimą, SMB parašas įdeda skaitmeninį parašą į kiekvieną SMB. Kiekvienas klientas ir serveris patikrina skaitmeninį parašą.Norėdami naudoti SMB pasirašymą, turite įjungti SMB pasirašymą arba reikalauti SMB pasirašymo SMB kliente ir SMB serveryje. Jei SMB pasirašymas yra įjungtas serveryje, klientai, kurie taip pat yra įgalinti SMB pasirašymo naudoti paketo pasirašymo protokolą per visus paskesnius seansus. Jei SMB pasirašymo reikia serveryje, klientas negali sukurti seanso, nebent klientas yra įjungtas arba būtinas SMB pasirašymui.Skaitmeninio prisijungimo prie didelės saugos tinklų įgalinimas padeda išvengti klientų ir serverių apsimetimo. Toks apsimetimas vadinamas seanso užgrobimu. Pažeidėjas, turintis prieigą prie to paties tinklo kaip klientas arba serveris naudoja seanso užgrobimo įrankius, kad nutrauktų, užbaigtų arba pavogtų vykstantį seansą. Pažeidėjas gali perimti ir modifikuoti nepasirašytus SMB paketus, modifikuoti srautą ir persiųsti jį, kad serveris galėtų atlikti nepageidaujamus veiksmus. Arba pažeidėjas gali kelti kaip serverį arba kaip klientą po teisėto autentifikavimo ir gauti neteisėtą prieigą prie duomenų.SMB protokolas, naudojamas failų bendrinimui ir spausdinimo bendrinimui kompiuteriuose, kuriuose veikia "Windows 2000 Server", "Windows 2000 Professional", "Windows XP Professional" arba "Windows Server 2003", palaiko abipusį autentifikavimą. Abipusis autentifikavimas uždaro sesija užgrobimo atakas ir palaiko pranešimų autentifikavimą. Todėl jis neleidžia man-in-the-middle atakų. SMB parašas pateikia šį autentifikavimą, į kiekvieną SMB įdėdamas skaitmeninį parašą. Tada klientas ir serveris patvirtina parašą.Pastabos

      • Kaip alternatyvą priemonė, galite įjungti skaitmeninius parašus su IPSec, kad padėtumėte apsaugoti visą tinklo srautą. Yra aparatūra pagrįsti "IPSec" šifravimo ir pasirašymo spartintuvai, kuriuos galite naudoti norėdami sumažinti serverio CPU įtaką veikimui. Nėra tokių spartintuvų, kuriuos būtų galima naudoti SMB pasirašant.Norėdami gauti daugiau informacijos, žr. skyrių Serverio ryšių skaitmeniniu parašu "Microsoft" MSDN svetainėje.Konfigūruokite SMB pasirašymą per Grupės strategija objektų rengyklę, nes vietinio registro reikšmės pakeitimas neturi įtakos, jei yra perrašytą domeno strategiją.

      • "Windows 95", "Windows 98" ir "Windows 98 Second Edition" katalogų tarnybų klientas naudoja SMB pasirašymą, kai autentifikuoja su "Windows Server 2003" serveriais naudodamas NTLM autentifikavimą. Tačiau šie klientai nenaudoja SMB pasirašymo, kai autentifikuojasi šiuose serveriuose naudodami NTLMv2 autentifikavimą. Be to, "Windows 2000" serveriai nereaguoja į SMB pasirašymo užklausas iš šių klientų. Daugiau informacijos žr. 10 elemente: "Tinklo sauga: Lan Manager autentifikavimo lygis".

    2. Rizikinga konfigūracija Toliau nurodytas kenkėjiškos konfigūracijos parametras: Paliekamas "Microsoft" tinklo klientas: bendravimo skaitmeniniu parašu (visada) parametras ir "Microsoft" tinklo klientas: bendravimo skaitmeniniu parašu (jei serveris sutinka) parametras nustatytas kaip "Neapibrėžta" arba išjungta. Šie parametrai leidžia peradresavimo priemonei siųsti paprastojo teksto slaptažodžius ne "Microsoft" SMB serveriams, kurie autentifikavimo metu nepalaiko slaptažodžių šifravimo.

    3. Priežastys, kodėl reikia įjungti šį parametrą "Microsoft" tinklo kliento įgalinimas: norint skaitmeniniu parašu pasirašyti ryšius (visada), klientams reikia pasirašyti SMB srautą, kai susisiekiama su serveriais, kuriems nereikia SMB pasirašymo. Dėl to klientai mažiau pažeidžiami seanso užgrobimo atakoms.

    4. Priežastys, kodėl reikia išjungti šį parametrą

      • "Microsoft" tinklo kliento įgalinimas: skaitmeniniu parašu pasirašyti ryšiai (visada) neleidžia klientams palaikyti ryšio su paskirties serveriais, kurie nepalaiko SMB pasirašymo.

      • Konfigūruojant kompiuterius nepaisyti visų nepasirašytų SMB ryšių, ankstesnės programos ir operacinės sistemos negali prisijungti.

    5. Simbolinis pavadinimas: RequireSMBSignRdr

    6. Registro kelias:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

    7. Suderinamumo problemų pavyzdžiai

      • "Windows NT 4.0": Negalėsite iš naujo nustatyti saugaus patikimo kanalo tarp "Windows Server 2003" domeno ir "Windows NT 4.0" domeno naudodami NLTEST arba NETDOM ir gausite klaidos pranešimą "Prieiga uždrausta".

      • "Windows XP": Failų kopijavimas iš "Windows XP" klientų į "Windows 2000" serverius ir "Windows Server 2003" serverius gali užtrukti ilgiau.

      • Negalėsite susieti tinklo disko iš kliento su įgalintu šiuo parametru ir gausite tokį klaidos pranešimą:

        Abonementas neturi teisės prisijungti iš šios stoties.

    8. Paleidimo iš naujo reikalavimai Iš naujo paleiskite kompiuterį arba iš naujo paleiskite darbo vietos tarnybą. Norėdami tai padaryti, komandinėje eilutėje įveskite šias komandas. Įvedę kiekvieną komandą, paspauskite "Enter".

      net stop workstation net start workstation

  6. "Microsoft" tinklo serveris: skaitmeniniu parašu pasirašyti ryšiai (visada)

    1. Fonas

      • Server Messenger Block (SMB) yra išteklių bendrinimo protokolas, kurį palaiko daugelis "Microsoft" operacinių sistemų. Tai tinklo pagrindinio įvesties / išvesties sistemos (NetBIOS) ir daugelio kitų protokolų pagrindas. SMB parašas autentifikuoja ir vartotoją, ir serverį, kuriame yra duomenys. Jei bet kurios pusės autentifikavimo procesas nepavyksta, duomenų perdavimas neįvyksta.SMB pasirašymo įgalinimas pradedamas SMB protokolo derybų metu. SMB pasirašymo strategijos nustato, ar kompiuteris visada skaitmeniniu parašu pasirašo kliento ryšius."Windows 2000" SMB autentifikavimo protokolas palaiko abipusį autentifikavimą. Abipusis autentifikavimas uždaro ataką "vyras vidurį". "Windows 2000" SMB autentifikavimo protokolas taip pat palaiko pranešimų autentifikavimą. Pranešimo autentifikavimas padeda išvengti aktyvių pranešimų atakų. Kad suteiktų jums šį autentifikavimą, SMB parašas įdeda skaitmeninį parašą į kiekvieną SMB. Kiekvienas klientas ir serveris patikrina skaitmeninį parašą.Norėdami naudoti SMB pasirašymą, turite įjungti SMB pasirašymą arba reikalauti SMB pasirašymo SMB kliente ir SMB serveryje. Jei SMB pasirašymas yra įjungtas serveryje, klientai, kurie taip pat yra įgalinti SMB pasirašymo naudoti paketo pasirašymo protokolą per visus paskesnius seansus. Jei SMB pasirašymo reikia serveryje, klientas negali sukurti seanso, nebent klientas yra įjungtas arba būtinas SMB pasirašymui.Skaitmeninio prisijungimo prie didelės saugos tinklų įgalinimas padeda išvengti klientų ir serverių apsimetimo. Toks apsimetimas vadinamas seanso užgrobimu. Pažeidėjas, turintis prieigą prie to paties tinklo kaip klientas arba serveris naudoja seanso užgrobimo įrankius, kad nutrauktų, užbaigtų arba pavogtų vykstantį seansą. Pažeidėjas gali perimti ir modifikuoti nepasirašytus potinklio pralaidumo tvarkytuvo (SBM) paketus, modifikuoti srautą ir persiųsti, kad serveris galėtų atlikti nepageidaujamus veiksmus. Arba pažeidėjas gali kelti kaip serverį arba kaip klientą po teisėto autentifikavimo ir gauti neteisėtą prieigą prie duomenų.SMB protokolas, naudojamas failų bendrinimui ir spausdinimo bendrinimui kompiuteriuose, kuriuose veikia "Windows 2000 Server", "Windows 2000 Professional", "Windows XP Professional" arba "Windows Server 2003", palaiko abipusį autentifikavimą. Abipusis autentifikavimas uždaro sesija užgrobimo atakas ir palaiko pranešimų autentifikavimą. Todėl jis neleidžia man-in-the-middle atakų. SMB parašas pateikia šį autentifikavimą, į kiekvieną SMB įdėdamas skaitmeninį parašą. Tada klientas ir serveris patvirtina parašą.

      • Kaip alternatyvą priemonė, galite įjungti skaitmeninius parašus su IPSec, kad padėtumėte apsaugoti visą tinklo srautą. Yra aparatūra pagrįsti "IPSec" šifravimo ir pasirašymo spartintuvai, kuriuos galite naudoti norėdami sumažinti serverio CPU įtaką veikimui. Nėra tokių spartintuvų, kuriuos būtų galima naudoti SMB pasirašant.

      • "Windows 95", "Windows 98" ir "Windows 98 Second Edition" katalogų tarnybų klientas naudoja SMB pasirašymą, kai autentifikuoja su "Windows Server 2003" serveriais naudodamas NTLM autentifikavimą. Tačiau šie klientai nenaudoja SMB pasirašymo, kai autentifikuojasi šiuose serveriuose naudodami NTLMv2 autentifikavimą. Be to, "Windows 2000" serveriai nereaguoja į SMB pasirašymo užklausas iš šių klientų. Daugiau informacijos žr. 10 elemente: "Tinklo sauga: Lan Manager autentifikavimo lygis".

    2. Rizikinga konfigūracija Toliau nurodytas kenkėjiškos konfigūracijos parametras: "Microsoft" tinklo serverio įgalinimas: bendravimo skaitmeniniu parašu (visada) parametras serveriuose ir domeno valdikliuose, kuriuos pasiekia nesuderinami "Windows" kompiuteriai ir trečiųjų šalių operacinės sistemos klientų kompiuteriai vietiniame arba išoriniame domene.

    3. Priežastys, kodėl reikia įjungti šį parametrą

      • Visi kliento kompiuteriai, kurie įgalina šį parametrą tiesiogiai per registrą arba per Grupės strategija parametrą palaiko SMB pasirašymą. Kitaip tariant, visuose klientų kompiuteriuose, kuriuose įgalintas šis parametras, veikia "Windows 95" su įdiegtu DS klientu, "Windows 98", "Windows NT 4.0", "Windows 2000", "Windows XP Professional" arba "Windows Server 2003".

      • Jei "Microsoft" tinklo serveris: skaitmeniniu parašu pasirašyti ryšiai (visada) yra išjungti, SMB pasirašymas yra visiškai išjungtas. Visiškai išjungus visus SMB pasirašymo palieka kompiuterius labiau pažeidžiama sesija užgrobimo atakas.

    4. Priežastys, kodėl reikia išjungti šį parametrą

      • Įgalinus šį parametrą gali lėčiau kopijuoti failus ir veikti tinklas kompiuteriuose.

      • Įgalinus šį parametrą, klientai, kurie negali derėtis dėl SMB prisijungimo, negalės palaikyti ryšio su serveriais ir domeno valdikliais. Dėl to nepavyksta atlikti tokių operacijų kaip prisijungimas prie domeno, vartotojo ir kompiuterio autentifikavimas arba programų prieiga prie tinklo.

    5. Simbolinis pavadinimas: RequireSMBSignServer

    6. Registro kelias:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

    7. Suderinamumo problemų pavyzdžiai

      • "Windows 95": "Windows 95" klientams, kurie neturi įdiegto katalogų tarnybos (DS) kliento, nepavyks prisijungti ir bus rodomas šis klaidos pranešimas:

        Jūsų pateiktas domeno slaptažodis neteisingas arba prieiga prie įėjimo serverio uždrausta.

      • Windows NT 4.0: klientų kompiuteriuose, kuriuose veikia Windows NT 4.0 versijas, kurios yra ankstesnės nei 3 pakeitimų paketas (SP3) nepavyks prisijungti autentifikavimo ir bus rodomas toks klaidos pranešimas:

        Sistema negali jūsų įsijungti. Įsitikinkite, kad jūsų vartotojo vardas ir domenas yra teisingi, tada dar kartą įveskite slaptažodį.

        Kai kurie ne "Microsoft" SMB serveriai autentifikavimo metu palaiko tik neužšifruotus slaptažodžių mainus. (Šie mainai dar vadinami paprastojo teksto mainais.) Jei naudojate "Windows NT 4.0 SP3" ir naujesnes versijas, SMB peradresavimo priemonė nesiunčia nešifruoto slaptažodžio autentifikavimo metu į SMB serverį, nebent įtrauksite konkretų registro įrašą.Norėdami įgalinti nešifruotus SMB kliento slaptažodžius "Windows NT 4.0" SP 3 ir naujesnėse sistemose, modifikuokite registrą taip: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters Reikšmės pavadinimas: EnablePlainTextPassword Duomenų tipas: REG_DWORD Duomenys: 1  

      • "Windows Server 2003": pagal numatytuosius parametrus domeno valdiklių, kuriuose veikia "Windows Server 2003", saugos parametrai sukonfigūruoti taip, kad neleistų kenkėjiškiems vartotojams perimti arba piktavališkai keisti domeno valdiklio ryšių. Kad vartotojai galėtų sėkmingai bendrauti su domeno valdikliu, kuriame veikia "Windows Server 2003", kliento kompiuteriai turi naudoti SMB pasirašymą ir šifravimą arba saugų kanalo srauto pasirašymą. Pagal numatytuosius parametrus klientuose, kuriuose veikia "Windows NT 4.0" su 2 pakeitimų paketu (SP2) arba anksčiau įdiegta, ir klientuose, kuriuose veikia "Windows 95", nėra įgalintas SMB paketo pasirašymas. Todėl šių klientų gali nepavykti autentifikuoti Windows Server 2003 domeno valdiklis.

      • "Windows 2000" ir "Windows Server 2003" strategijos parametrai: atsižvelgiant į konkrečius diegimo poreikius ir konfigūraciją, rekomenduojame "Microsoft" valdymo konsolėje Grupės strategija rengyklės pridėtinių įrankių hierarchijoje nustatyti toliau nurodytus strategijos parametrus žemiausiu reikiamu objektu:

        • Kompiuterio konfigūracija\"Windows" sauga Parametrai\Saugos parinktys

        • Siųsti nešifruotą slaptažodį, kad būtų galima prisijungti prie trečiųjų šalių SMB serverių (šis parametras skirtas "Windows 2000")

        • "Microsoft" tinklo klientas: siųsti nešifruotą slaptažodį į trečiosios šalies SMB serverius (šis parametras skirtas "Windows Server 2003")

        Pastaba Kai kuriuose trečiųjų šalių CIFS serveriuose, pvz., senesnėse "Samba" versijose, šifruotų slaptažodžių naudoti negalima.

      • Šie klientai nesuderinami su "Microsoft" tinklo serveriu: bendravimo skaitmeniniu parašu (visada) parametras:

        • Apple Computer, Inc., Mac OS X clients

        • "Microsoft" MS-DOS tinklo klientai (pvz., "Microsoft LAN Manager")

        • "Microsoft Windows" darbo grupės klientams

        • "Microsoft Windows 95" klientai be įdiegto DS kliento

        • "Microsoft Windows NT 4.0" kompiuteriuose be SP3 arba naujesnės versijos

        • Novell Netware 6 CIFS klientai

        • SAMBA SMB klientai, kurie nepalaiko SMB pasirašymo

    8. Paleidimo iš naujo reikalavimai Iš naujo paleiskite kompiuterį arba iš naujo paleiskite serverio tarnybą. Norėdami tai padaryti, komandinėje eilutėje įveskite šias komandas. Įvedę kiekvieną komandą, paspauskite "Enter".

      net stop server net start server

  7. Prieiga prie tinklo: leisti anoniminį SID/pavadinimo vertimą

    1. Fono Prieiga prie tinklo: leisti anoniminio SID/pavadinimo vertimo saugos parametras nustato, ar anoniminis vartotojas gali prašyti kito vartotojo saugos identifikavimo numerio (SID) atributų.

    2. Rizikinga konfigūracija Prieigos prie tinklo įgalinimas: leisti anoniminio SID/pavadinimo vertimo parametrą yra žalingas konfigūracijos parametras.

    3. Priežastys, kodėl reikia įjungti šį parametrą Jei tinklo prieiga: leisti anoniminio SID/pavadinimo vertimo parametras išjungtas, ankstesnės operacinės sistemos arba programos gali nepavykti užmegzti ryšio su Windows Server 2003 domenais. Pavyzdžiui, gali neveikti šios operacinės sistemos, paslaugos arba programos:

      • Windows NT 4.0 pagrindu veikiančios nuotolinės prieigos tarnybos serveriai

      • Microsoft "SQL Server", kurios veikia Windows NT 3.x kompiuteriuose arba Windows NT 4.0 kompiuteriuose

      • Nuotolinės prieigos tarnyba, veikianti "Windows 2000" kompiuteriuose, esančiuose "Windows NT 3.x" domenuose arba "Windows NT 4.0" domenuose

      • "SQL Server", kuriame veikia Windows 2000 kompiuteriuose, kurie yra Windows NT 3.x domenų arba Windows NT 4.0 domenų

      • "Windows NT 4.0" išteklių domeno vartotojai, kurie nori suteikti teises pasiekti failus, bendrinamus aplankus ir registro objektus vartotojų paskyrų domenuose, kuriuose yra "Windows Server 2003" domeno valdikliai

    4. Priežastys, kodėl reikia išjungti šį parametrą Jei šis parametras įgalintas, kenkėjiškas vartotojas gali naudoti gerai žinomą administratorių SID, kad gautų įtaisytosios administratoriaus paskyros realųjį vardą, net jei paskyra buvo pervardyta. Tada tas asmuo gali naudoti paskyros pavadinimą, kad inicijuotų slaptažodžio atakas.

    5. Simbolinis pavadinimas: N/A

    6. Registro kelias: nėra. Kelias nurodytas vartotojo sąsajos kode.

    7. Suderinamumo problemų pavyzdžiai "Windows NT 4.0": "Windows NT 4.0" išteklių domenuose esantys kompiuteriai ACL rengyklėje rodys klaidos pranešimą "Paskyros nežinoma", jei ištekliai, įskaitant bendrinamus aplankus, bendrinamus failus ir registro objektus, yra apsaugoti saugos sistemos, esančios paskyros domenuose, kuriuose yra "Windows Server 2003" domenų valdikliai.

  8. Prieiga prie tinklo: neleisti anoniminių SAM paskyrų išvardijimo

    1. Fonas

      • Prieiga prie tinklo: neleisti anoniminių SAM paskyrų išvardijimo nustato, kurios papildomos anoniminių ryšių su kompiuteriu teisės bus suteiktos. "Windows" leidžia anoniminiams vartotojams atlikti tam tikrą veiklą, pvz., išvardyti darbo vietos ir serverio saugos paskyrų tvarkytuvo (SAM) paskyrų bei tinklo bendrinimo vietų pavadinimus. Pvz., administratorius gali tai naudoti, kad suteiktų prieigą patikimo domeno vartotojams, kurie nepalaiko abipusio patikimumo. Atlikus seansą, anoniminis vartotojas gali turėti tokią pačią prieigą, kuri suteikiama grupei Visi, atsižvelgiant į parametrą, esantį tinklo prieigos parametre: Leisti visiems taikyti teises anoniminiams vartotojams arba objekto diskrecinį prieigos teisių sąrašą (DACL).Paprastai anoniminių ryšių reikalauja ankstesnės klientų versijos (žemesnio lygio klientai) SMB seanso sąrankos metu. Tokiais atvejais, tinklo sekimas rodo, kad SMB proceso ID (PID) yra kliento peradresavimo priemonė, pvz., 0xFEFF Windows 2000 arba 0xCAFE Windows NT. RPC taip pat gali pabandyti padaryti anoniminius ryšius.

      • Svarbu Šis parametras neturi įtakos domeno valdikliams. Domeno valdikliuose šį veikimą valdo "NT AUTHORITY\ANONYMOUS LOGON" buvimas "Prieš Windows 2000 suderinamą prieigą".

      • "Windows 2000" panašus parametras, vadinamas Papildomais anoniminių ryšių apribojimais, valdo RestrictAnonymous registro reikšmę. Šios reikšmės vieta yra tokia:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA  

    2. Rizikingos konfigūracijos Prieigos prie tinklo įgalinimas: neleisti anoniminio SAM paskyrų išvardijimo yra žalingas konfigūravimo parametras suderinamumo požiūriu. Išjungimas yra pavojingas konfigūracijos parametras žvelgiant iš saugos perspektyvos.

    3. Priežastys, kodėl reikia įjungti šį parametrą Neįgaliotas vartotojas gali anonimiškai išvardyti paskyrų pavadinimus ir naudoti informaciją, kad pabandytų atspėti slaptažodžius arba atlikti socialinės inžinerijos atakas. Socialinė inžinerija yra žargonas, o tai reiškia, kad apgaulė žmones atskleidžiant jų slaptažodžius ar tam tikros formos saugos informaciją.

    4. Priežastys, kodėl reikia išjungti šį parametrą Jei šis parametras įgalintas, neįmanoma nustatyti patikimumo su Windows NT 4.0 domenais. Šis parametras taip pat sukelia problemų su žemesnio lygio klientais (pvz., "Windows NT 3.51" klientais ir "Windows 95" klientais), kurie bando naudoti išteklius serveryje.

    5. Simbolinis pavadinimas: ApribotianonimousSAM

    6. Registro kelias:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

    7. Suderinamumo problemų pavyzdžiai

    • SMS tinklo aptikimas negalės gauti operacinės sistemos informacijos ir ypatybėje OperatingSystemNameandVersion įrašys "Nežinoma".

    • "Windows 95", "Windows 98": "Windows 95" klientai ir "Windows 98" klientai negalės keisti savo slaptažodžių.

    • "Windows NT 4.0": "Windows NT 4.0" pagrindu veikiančiuose narių kompiuteriuose nebus galima autentifikuoti.

    • "Windows 95", "Windows 98": "Windows 95" ir "Windows 98" kompiuteriuose "Microsoft" domenų valdikliai negalės autentifikuoti.

    • "Windows 95", "Windows 98": vartotojai, naudojantys "Windows 95" ir "Windows 98" kompiuterius, negalės keisti savo vartotojų paskyrų slaptažodžių.

  9. Prieiga prie tinklo: neleisti anoniminių SAM paskyrų ir bendrinimų išvardijimo

    1. Fonas

      • Prieiga prie tinklo: neleisti anoniminių SAM paskyrų ir bendrinimų nustatymo (dar vadinamo RestrictAnonymous) nustato, ar leidžiamas anoniminis saugos paskyrų tvarkytuvo (SAM) paskyrų ir bendrinimų išvardijimas. "Windows" leidžia anoniminiams vartotojams atlikti tam tikrą veiklą, pvz., išvardyti domenų paskyrų (vartotojų, kompiuterių ir grupių) ir bendrai naudojamų tinklo dalių vardus. Tai patogu, pvz., kai administratorius nori suteikti prieigą patikimo domeno vartotojams, kurie nepalaiko abipusio patikimumo. Jei nenorite leisti anoniminių SAM paskyrų ir bendrinimų išvardijimo, įgalinkite šį parametrą.

      • "Windows 2000" panašus parametras, vadinamas Papildomais anoniminių ryšių apribojimais, valdo RestrictAnonymous registro reikšmę. Šios reikšmės vieta yra tokia:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

    2. Rizikinga konfigūracija Prieigos prie tinklo įgalinimas: neleisti anoniminio SAM paskyrų ir bendrinimų išvardijimo yra žalingas konfigūracijos parametras.

    3. Priežastys, kodėl reikia įjungti šį parametrą

      • Prieigos prie tinklo įgalinimas: neleisti anoniminių SAM paskyrų ir bendrinimų išvardijimo neleidžia išvardyti SAM paskyrų ir bendrai naudojamų vartotojų ir kompiuterių, naudojančių anonimines paskyras.

    4. Priežastys, kodėl reikia išjungti šį parametrą

      • Jei šis parametras įgalintas, neįgaliotas vartotojas gali anonimiškai išvardyti paskyrų pavadinimus ir naudoti informaciją, kad pabandytų atspėti slaptažodžius arba atlikti socialinės inžinerijos atakas. Socialinė inžinerija yra žargonas, o tai reiškia, kad apgaulė žmones atskleidžiant jų slaptažodį ar tam tikros formos saugos informaciją.

      • Įgalinus šį parametrą, bus neįmanoma nustatyti patikimumo su Windows NT 4.0 domenais. Šis parametras taip pat gali sukelti problemų su žemesnio lygio klientais, pvz., "Windows NT 3.51" ir "Windows 95" klientais, kurie bando naudoti išteklius serveryje.

      • Bus neįmanoma suteikti prieigos išteklių domenų vartotojams, nes patikimo domeno administratoriai negalės išvardyti kito domeno paskyrų sąrašų. Vartotojai, kurie turi prieigą prie failų ir spausdinimo serverių anonimiškai, negalės pateikti bendrinamų tinklo išteklių tuose serveriuose. Vartotojai turi autentifikuoti, kad galėtų peržiūrėti bendrinamų aplankų ir spausdintuvų sąrašus.

    5. Simbolinis pavadinimas: Restrictanonymous

    6. Registro kelias:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

    7. Suderinamumo problemų pavyzdžiai

      • "Windows NT 4.0": vartotojai negalės keisti savo slaptažodžių "Windows NT 4.0" darbo vietose, kai "RestrictAnonymous" įjungtas vartotojų domeno valdikliuose.

      • Windows NT 4.0: Vartotojų tvarkytuve nepavyks įtraukti vartotojų arba visuotinių grupių iš patikimų "Windows 2000" domenų į "Windows NT 4.0" vietines grupes ir bus rodomas šis klaidos pranešimas:

        Šiuo metu nėra įėjimo serverių, kuriuos būtų galima naudoti norint aptarnauti prisijungimo užklausą.

      • "Windows NT 4.0": "Windows NT 4.0" pagrindo kompiuteriai negalės prisijungti prie domenų sąrankos metu arba naudodami domeno prisijungimo vartotojo sąsają.

      • "Windows NT 4.0": nepavyks sukurti žemesnio lygio patikimumo su "Windows NT 4.0" išteklių domenais. Šis klaidos pranešimas bus rodomas įgalinus RestrictAnonymous patikimame domene:

        Nepavyko rasti šio domeno valdiklio.

      • "Windows NT 4.0": Vartotojai, kurie įeina į "Windows NT 4.0" pagrindo terminalo serverio kompiuterius, susieja su numatytuoju namų katalogu, o ne namų katalogu, kuris apibrėžtas domenų vartotojų tvarkytuve.

      • "Windows NT 4.0": "Windows NT 4.0" atsarginės kopijos domeno valdikliai (BDCs) negalės paleisti "Net Logon" paslaugos, gauti atsarginių kopijų naršyklių sąrašo arba sinchronizuoti SAM duomenų bazės iš "Windows 2000" arba iš "Windows Server 2003" domenų valdiklių tame pačiame domene.

      • "Windows 2000": "Windows 2000" pagrindo narių kompiuteriai, esantys "Windows NT 4.0" domenuose, negalės peržiūrėti spausdintuvų išoriniuose domenuose, jei kliento kompiuterio vietinėje saugos strategijoje įgalintas parametras Nėra prieigos be aiškiai anoniminių teisių.

      • "Windows 2000": "Windows 2000" domeno vartotojai negalės įtraukti tinklo spausdintuvų iš "Active Directory"; Tačiau jie galės įtraukti spausdintuvus, kai pasirinksite juos medžio rodinyje.

      • "Windows 2000": "Windows 2000" kompiuteriuose ACL rengyklė negalės įtraukti vartotojų arba visuotinių grupių iš patikimų "Windows NT 4.0" domenų.

      • ADMT 2 versija: vartotojų paskyrų, kurios perkeliamos tarp miškų su "Active Directory" perkėlimo įrankio (ADMT) 2 versija, slaptažodžių perkėlimas nepavyks.Jei norite gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:

        322981 Kaip pašalinti tarpmiškų slaptažodžių perkėlimą su ADMTv2

      • "Outlook" klientai: Visuotinis adresų sąrašas Microsoft Exchange Outlook klientams bus rodomas tuščias.

      • SMS: "Microsoft Systems Management Server" (SMS) tinklo aptikimas negalės gauti operacinės sistemos informacijos. Todėl ji užrašys "Nežinoma" į OperatingSystemNameandVersion ypatybės SMS DDR ypatybės aptikimo duomenų įrašo (DDR).

      • SMS: Kai naudojate SMS administratoriaus vartotojo vedlys naršyti vartotojus ir grupes, vartotojai ar grupės nebus išvardyti. Be to, išplėstiniai klientai negali užmegzti ryšio su valdymo tašku. Valdymo punkte reikia anoniminės prieigos.

      • SMS: kai naudojate tinklo aptikimo funkciją SMS 2.0 ir nuotolinio kliento diegime su įjungta topologijos, kliento ir kliento operacinių sistemų tinklo aptikimo parinktimi, kompiuteriai gali būti aptikti, bet negali būti įdiegti.

  10. Tinklo sauga: Lan Manager autentifikavimo lygis

    1. Fono LAN tvarkytuvo (LM) autentifikavimas yra protokolas, naudojamas autentifikuoti "Windows" klientus tinklo operacijoms, įskaitant domenų sujungimus, prieigą prie tinklo išteklių ir vartotojo arba kompiuterio autentifikavimą. LM autentifikavimo lygis nustato, kuris iššūkio / atsakymo autentifikavimo protokolas derasi tarp kliento ir serverio kompiuterių. Tiksliau LM autentifikavimo lygis nustato, kuriuos autentifikavimo protokolus klientas bandys derėtis arba kuriuos serveris priims. Reikšmė, kuri nustatyta LmCompatibilityLevel, nustato, kuris iššūkio / atsakymo autentifikavimo protokolas naudojamas prisijungiant prie tinklo. Ši reikšmė turi įtakos kliento naudojamo autentifikavimo protokolo lygiui, seansų saugos, dėl kurios deramasi, lygiui ir serverių priimamo autentifikavimo lygiui.Galimi parametrai:

      Reikšmė

      Parametras

      Aprašas

      0

      Siųsti LM & NTLM atsakymus

      Klientai naudoja LM ir NTLM autentifikavimą ir niekada nenaudoja "NTLMv2" seanso saugos. Domeno valdikliai priima LM, NTLM ir NTLMv2 autentifikavimą.

      1

      Siųsti LM & NTLM – naudokite NTLMv2 seanso saugą, jei vyksta derybos

      Klientai naudoja LM ir NTLM autentifikavimą ir, jei serveris palaiko, naudokite NTLMv2 seanso saugą. Domeno valdikliai priima LM, NTLM ir NTLMv2 autentifikavimą.

      2

      Siųsti tik NTLM atsakymą

      Klientai naudoja tik NTLM autentifikavimą ir naudoja NTLMv2 seanso saugą, jei serveris tai palaiko. Domeno valdikliai priima LM, NTLM ir NTLMv2 autentifikavimą.

      3

      Siųsti tik NTLMv2 atsakymą

      Klientai naudoja tik NTLMv2 autentifikavimą ir naudoja NTLMv2 seanso saugą, jei serveris tai palaiko. Domeno valdikliai priima LM, NTLM ir NTLMv2 autentifikavimą.

      4

      Siųsti tik NTLMv2 atsakymą /atsisakyti LM

      Klientai naudoja tik NTLMv2 autentifikavimą ir naudoja NTLMv2 seanso saugą, jei serveris tai palaiko. Domeno valdikliai atmeta LM ir priima tik NTLM ir NTLMv2 autentifikavimą.

      5

      Siųsti tik NTLMv2 atsakymą / atsisakyti LM & NTLM

      Klientai naudoja tik NTLMv2 autentifikavimą ir naudoja NTLMv2 seanso saugą, jei serveris tai palaiko. Domeno valdikliai atmeta LM ir NTLM ir priima tik NTLMv2 autentifikavimą.

      Pastaba. "Windows 95", "Windows 98" ir "Windows 98 Second Edition" katalogų tarnybų klientas naudoja SMB pasirašymą, kai autentifikuojasi naudodamas "Windows Server 2003" serverius naudodamas NTLM autentifikavimą. Tačiau šie klientai nenaudoja SMB pasirašymo, kai autentifikuojasi šiuose serveriuose naudodami NTLMv2 autentifikavimą. Be to, "Windows 2000" serveriai nereaguoja į SMB pasirašymo užklausas iš šių klientų.Patikrinkite LM autentifikavimo lygį: Turite pakeisti strategiją serveryje, kad būtų leidžiama NTLM, arba turite sukonfigūruoti kliento kompiuterį, kad jis palaikytų NTLMv2.Jei strategija nustatyta kaip (5) Siųsti tik NTLMv2 atsakymą\atsisakyti LM & NTLM tiksliniame kompiuteryje, prie kurio norite prisijungti, turite sumažinti parametrą tame kompiuteryje arba nustatyti tokį patį saugos parametrą, kuris yra šaltinio kompiuteryje, iš kurio jungiatės.Raskite teisingą vietą, kur galite pakeisti LAN tvarkytuvo autentifikavimo lygį, kad nustatytumėte tą patį kliento ir serverio lygį. Radę strategiją, kuri nustato LAN tvarkytuvo autentifikavimo lygį, jei norite prisijungti prie kompiuterių, kuriuose veikia ankstesnės "Windows" versijos, ir iš jų, sumažinkite reikšmę iki bent (1) Siųsti LM & NTLM – naudokite NTLM 2 versijos seanso saugą, jei deramasi. Vienas iš nesuderinamų parametrų efekto yra tas, kad jei serveriui reikia NTLMv2 (reikšmė 5), bet klientas sukonfigūruotas naudoti tik LM ir NTLMv1 (reikšmė 0), vartotojas, kuris bando autentifikavimą, susiduria su įėjimo klaida, kuri turi netinkamą slaptažodį ir padidina netinkamų slaptažodžių skaičių. Jei paskyros užrakinimas sukonfigūruotas, vartotojas galiausiai gali būti užrakintas.Pavyzdžiui, jums gali tekti ieškoti domeno valdiklyje arba jums gali tekti patikrinti domeno valdiklio strategijas.Ieškokite domeno valdiklyje Pastaba. Gali tekti pakartoti šią procedūrą visuose domeno valdikliuose.

      1. Spustelėkite Pradėti, nukreipkite žymiklį į Programos, tada spustelėkite Administravimo įrankiai.

      2. Dalyje Vietinės saugos parametrai išplėskite Vietinės strategijos.

      3. Spustelėkite Saugos parinktys.

      4. Dukart spustelėkite Tinklo sauga: LAN tvarkytuvo autentifikavimo lygis, tada spustelėkite reikšmę sąraše.

      Jei faktinis parametras ir vietinis parametras yra tokie patys, strategija buvo pakeista šiuo lygiu. Jei parametrai skiriasi, turite patikrinti domeno valdiklio strategiją, kad nustatytumėte, ar čia apibrėžtas tinklo sauga: LAN tvarkytuvo autentifikavimo lygio parametras. Jei ji nėra apibrėžta, patikrinkite domeno valdiklio strategijas.Domeno valdiklio strategijų nagrinėjimas

      1. Spustelėkite Pradėti, nukreipkite žymiklį į Programos, tada spustelėkite Administravimo įrankiai.

      2. Domeno valdiklio saugos strategijoje išplėskite Saugos parametrai, tada išplėskite Vietinės strategijos.

      3. Spustelėkite Saugos parinktys.

      4. Dukart spustelėkite Tinklo sauga: LAN tvarkytuvo autentifikavimo lygis, tada spustelėkite reikšmę sąraše.

      Pastaba

      • Taip pat gali tekti patikrinti strategijas, susietas svetainės lygiu, domeno lygiu arba organizacijos vieneto (OU) lygiu, kad nustatytumėte, kur reikia konfigūruoti LAN tvarkytuvo autentifikavimo lygį.

      • Jei Grupės strategija parametrą įgyvendinsite kaip numatytąją domeno strategiją, strategija bus taikoma visiems domeno kompiuteriams.

      • Jei vykdote Grupės strategija parametrą kaip numatytojo domeno valdiklio strategiją, strategija taikoma tik serveriams domeno valdiklio OU.

      • Rekomenduojama nustatyti LAN tvarkytuvo autentifikavimo lygį žemiausiame reikiamos aprėpties objekte strategijos programų hierarchijoje.

      "Windows Server 2003" yra naujas numatytasis parametras, skirtas naudoti tik NTLMv2. Pagal numatytuosius parametrus "Windows Server 2003" ir "Windows 2000 Server SP3" domeno valdikliai įgalino strategiją "Microsoft" tinklo serveris: skaitmeniniu parašu pasirašyti ryšius (visada)." Šiam parametrui reikia SMB serverio norint atlikti SMB paketo pasirašymą. "Windows Server 2003" buvo pakeista, nes domeno valdikliai, failų serveriai, tinklo infrastruktūros serveriai ir žiniatinklio serveriai bet kokioje organizacijoje reikalauja skirtingų parametrų, kad būtų padidinta jų sauga.Jei norite savo tinkle įdiegti "NTLMv2" autentifikavimą, turite įsitikinti, kad visi domeno kompiuteriai nustatyti naudoti šį autentifikavimo lygį. Jei pritaikote "Active Directory" kliento plėtinius, skirtus "Windows 95" arba "Windows 98" ir "Windows NT 4.0", kliento plėtiniai naudoja patobulintas autentifikavimo funkcijas, pasiekiamas NTLMv2. Kadangi "Windows 2000" Grupės strategija objektai neturi įtakos kliento kompiuteriams, kuriuose veikia bet kuri iš šių operacinių sistemų, gali tekti rankiniu būdu sukonfigūruoti šiuos klientus:

      • Microsoft Windows NT 4.0

      • "Microsoft Windows Millennium Edition"

      • Microsoft Windows 98

      • Microsoft Windows 95

      Pastaba Jei įgalinote tinklo saugą: saugokite LAN tvarkytuvo maišos reikšmę kito slaptažodžio keitimo strategijoje arba nustatykite NoLMHash registro raktą, "Windows 95" ir "Windows 98" pagrindo klientams, kurie neturi įdiegto katalogų tarnybos kliento, negali įeiti į domeną pakeitus slaptažodį.Daugelis trečiųjų šalių CIFS serverių, pvz., "Novell Netware 6", nežino apie NTLMv2 ir naudoja tik NTLM. Todėl didesnis nei 2 lygis neleidžia ryšio. Taip pat yra trečiųjų šalių SMB klientų, kurie nenaudoja išplėstinio seanso saugos. Tokiais atvejais į išteklių serverio LmCompatiblityLevel neatsižvelgiama. Tada serveris supakuos šią senstelėjusią užklausą ir išsiųs ją į vartotojo domeno valdiklį. Domeno valdiklio parametrai tada nusprendžia, kokios maišos naudojamos užklausai patikrinti ir ar jos atitinka domeno valdiklio saugos reikalavimus.  

      299656 Kaip neleisti "Windows" saugoti jūsų slaptažodžio LAN tvarkytuvo maišos "Active Directory" ir vietinėse SAM duomenų bazėse  

      2701704Audito įvykis rodo autentifikavimo paketą kaip NTLMv1 vietoj NTLMv2 Daugiau informacijos apie LM autentifikavimo lygius, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:

      239869 Kaip įgalinti NTLM 2 autentifikavimą  

    2. Rizikingos konfigūracijos Toliau nurodyti kenksmingi konfigūracijos parametrai:

      • Nonrestrictive settings that send passwords in cleartext and that deny NTLMv2 negotiation

      • Ribojamieji parametrai, neleidžiantys nesuderinamiems klientams arba domeno valdikliams derėtis dėl bendro autentifikavimo protokolo

      • Reikalaujama NTLMv2 autentifikavimo narių kompiuteriuose ir domeno valdikliuose, kuriuose veikia "Windows NT 4.0" versijos, ankstesnės nei 4 pakeitimų paketas (SP4)

      • Reikia NTLMv2 autentifikavimo "Windows 95" klientuose arba "Windows 98" klientuose, kuriuose neįdiegtas "Windows" katalogų tarnybos klientas.

      • Jei spustelėdami pažymėkite žymės langelį Reikalauti NTLMv2 seanso saugos "Microsoft" valdymo konsolės Grupės strategija rengyklės pridėtinį įrankį kompiuteryje su "Windows Server 2003" arba "Windows 2000" 3 pakeitimų paketu, o JŪS sumažinate LAN tvarkytuvo autentifikavimo lygį iki 0, dviejų parametrų konfliktas, ir galite gauti šį klaidos pranešimą Secpol.msc faile arba GPEdit.msc faile:

        Windows negali atidaryti vietinės strategijos duomenų bazės. Bandant atidaryti duomenų bazę įvyko nežinoma klaida.

        Daugiau informacijos apie saugos konfigūravimo ir analizės įrankį žr. "Windows 2000" arba "Windows Server 2003" žinyno failuose.

    3. Priežastys, kodėl reikia modifikuoti šį parametrą

      • Norite padidinti mažiausią bendrą autentifikavimo protokolą, kurį palaiko jūsų organizacijos klientai ir domeno valdikliai.

      • Kai saugus autentifikavimas yra verslo reikalavimas, norite neleisti vesti derybų dėl LM ir NTLM protokolų.

    4. Priežastys, kodėl reikia išjungti šį parametrą Kliento arba serverio autentifikavimo reikalavimai arba abu buvo padidinti iki taško, kuriame nepavyksta atlikti autentifikavimo naudojant bendrą protokolą.

    5. Simbolinis pavadinimas: LmCompatibilityLevel

    6. Registro kelias:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. Suderinamumo problemų pavyzdžiai

      • "Windows Server 2003": pagal numatytuosius parametrus įjungtas "Windows Server 2003" NTLMv2 siųsti NTLM atsakymus parametras. Todėl Windows Server 2003 gauna klaidos pranešimą "Prieiga uždrausta" po pradinio diegimo, kai bandote prisijungti prie Windows NT 4.0 grupės arba LanManager V2.1 pagrindu serverių, pvz., OS/2 lanserver. Ši problema taip pat kyla, jei bandote prisijungti iš ankstesnės versijos kliento "Windows Server 2003" serverio.

      • Įdiegiate Windows 2000 saugos naujinimų paketas 1 (SRP1). SRP1 priverčia NTLM 2 versiją (NTLMv2). Šis specifinių naujinimų paketas buvo išleistas išleidus "Windows 2000" 2 pakeitimų paketą (SP2).  

      • "Windows 7" ir "Windows Server 2008 R2": daugelis trečiųjų šalių CIFS serverių, pvz., "Novell Netware 6" arba "Linux" pagrindu veikiančių "Samba" serverių, nežino apie NTLMv2 ir naudoja tik NTLM. Todėl didesni nei "2" lygiai neleidžia ryšio. Dabar šioje operacinės sistemos versijoje numatytasis LmCompatibilityLevel buvo pakeistas į "3". Todėl atnaujinus "Windows" versiją, šie trečiųjų šalių failų failai gali nustoti veikti.

      • "Microsoft Outlook" klientai gali būti paraginti įvesti kredencialus, net jei jie jau yra prisijungę prie domeno. Kai vartotojai pateikia savo kredencialus, jie gauna tokį klaidos pranešimą: "Windows 7" ir "Windows Server 2008 R2"

        Pateikti įėjimo kredencialai buvo neteisingi. Įsitikinkite, kad jūsų vartotojo vardas ir domenas teisingi, tada dar kartą įveskite slaptažodį.

        Kai paleidžiate "Outlook", galite būti paraginti įvesti savo kredencialus, net jei jūsų prisijungimo tinklo saugos parametras nustatytas kaip Perėjimas arba Slaptažodžio autentifikavimas. Įvedę tinkamus kredencialus, galite gauti tokį klaidos pranešimą:

        Pateikti įėjimo kredencialai neteisingi.

        A Network Monitor trace may show that the global catalog issued a remote procedure call (RPC) fault with a status of 0x5. 0x5 būsena reiškia "Prieiga uždrausta".

      • Windows 2000: A Network Monitor capture may show the following errors in the NetBIOS over TCP/IP (NetBT) server message block (SMB) session:

        SMB R ieškos katalogų dos klaida, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Neleistinas vartotojo identifikatorius

      • "Windows 2000": jei "Windows 2000" domeno su NTLMv2 2 ar naujesne versija pasitiki "Windows NT 4.0" domenas, "Windows 2000" pagrindu veikiančiuose narių kompiuteriuose išteklių domene gali kilti autentifikavimo klaidų.

      • "Windows 2000" ir "Windows XP": pagal numatytuosius parametrus "Windows 2000" ir "Windows XP" nustato LAN tvarkytuvo autentifikavimo lygio vietinės saugos strategijos parinktį į 0. 0 parametras reiškia "Siųsti LM ir NTLM atsakymus". Pastaba Windows NT 4.0 pagrindu grupės turi naudoti LM administravimo.

      • "Windows 2000": "Windows 2000" grupavimas neatpažįsta jungiamojo mazgo, jei abu mazgai yra "Windows NT 4.0" 6a pakeitimų paketo (SP6a) domeno dalis.

      • IIS blokavimo įrankis (HiSecWeb) nustato LMCompatibilityLevel reikšmę į 5, o RestrictAnonymous reikšmę į 2.

      • Tarnybos, skirtos Macintosh Vartotojo autentifikavimo modulis (UAM): "Microsoft" UAM (vartotojo autentifikavimo modulis) suteikia galimybę šifruoti slaptažodžius, kuriuos naudojate įeidami į "Windows" AFP ("AppleTalk Filing Protocol") serverius. "Apple" vartotojo autentifikavimo modulis (UAM) teikia tik minimalų šifravimą arba jo visai nešifruoja. Todėl jūsų slaptažodis gali būti lengvai perimtas LAN arba internete. Nors UAM nėra būtina, ji teikia šifruotą autentifikavimą "Windows 2000" serveriams, kuriuose veikia "Services for Macintosh". Į šią versiją įtrauktas 128 bitų NTLMv2 užšifruoto autentifikavimo ir su "MacOS X 10.1" suderinamo leidimo palaikymas.Pagal numatytuosius nustatymus Windows Server 2003 tarnybos, skirtos Macintosh serveriui, leidžia tik Microsoft autentifikavimą.  

      • "Windows Server 2008", "Windows Server 2003", "Windows XP" ir "Windows 2000": jei konfigūruojate LMCompatibilityLevel reikšmę kaip 0 arba 1 ir tada konfigūruojate NoLMHash reikšmę kaip 1, programų ir komponentų gali būti uždrausta prieiga per NTLM. Ši problema kyla dėl to, kad kompiuteris yra sukonfigūruotas įgalinti LM, bet ne naudoti LM saugomus slaptažodžius.Jei konfigūruojate NoLMHash reikšmę kaip 1, turite sukonfigūruoti LMCompatibilityLevel reikšmę į 2 arba didesnę.

  11. Tinklo sauga: LDAP kliento pasirašymo reikalavimai

    1. Fono Tinklo sauga: LDAP kliento pasirašymo reikalavimų parametras nustato duomenų pasirašymo lygį, kuris prašomas klientų, kurie išduoda supaprastintosios prieigos prie katalogų protokolo (LDAP) BIND užklausas, vardu:

      • Nėra: LDAP BIND užklausa pateikiama su skambinančiojo nurodytomis parinktimis.

      • Sutartinis pasirašymas: jei saugiųjų jungčių lygmens / transportavimo lygmens sauga (SSL/TLS) nepradėta, LDAP BIND užklausa inicijuojama su LDAP duomenų pasirašymo parinktimi, nustatyta kartu su skambinančiojo nurodytomis parinktimis. Jei paleista SSL/TLS, LDAP BIND užklausa inicijuojama su skambinančiojo nurodytomis parinktimis.

      • Reikalauti pasirašymo: tai tas pats, kas sutartinis pasirašymas. Tačiau, jei LDAP serverio tarpinis saslBindInProgress atsakymas nereiškia, kad LDAP srauto pasirašymo reikia, skambinančiajai pranešama, kad LDAP BIND komandos užklausa nepavyko.

    2. Rizikinga konfigūracija Tinklo saugos įgalinimas: LDAP kliento pasirašymo reikalavimų parametras yra žalingas konfigūracijos parametras. Jei nustatysite, kad serveryje būtų reikalaujama LDAP parašų, taip pat turite sukonfigūruoti LDAP pasirašymą kliente. Nesukonfigūravus kliento naudoti LDAP parašų, nebus galimas ryšys su serveriu. Dėl to nepavyksta atlikti vartotojo autentifikavimo, Grupės strategija parametrų, prisijungimo scenarijų ir kitų funkcijų.

    3. Priežastys, kodėl reikia modifikuoti šį parametrą Nepasirašytas tinklo srautas yra pažeidžiamas vidurio atakoms, kai įsibrovėlis užfiksuoja paketus tarp kliento ir serverių, juos modifikuoja ir persiunčia į serverį. Kai tai įvyksta LDAP serveryje, programišius gali sukelti serverio atsaką pagal klaidingas užklausas iš LDAP kliento. Šią riziką įmonės tinkle galite sumažinti įgyvendindami griežtas fizines saugos priemones, padedančias apsaugoti tinklo infrastruktūrą. Be to, galite padėti išvengti visų rūšių man-in-the-middle atakų reikalaujant skaitmeninius parašus visuose tinklo paketuose naudojant IPSec autentifikavimo antraštes.

    4. Simbolinis pavadinimas: LDAPClientIntegrity

    5. Registro kelias:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

  12. Įvykių žurnalas: maksimalus saugos žurnalo dydis

    1. Fono Įvykių žurnalas: maksimalus saugos žurnalo dydžio saugos parametras nurodo maksimalų saugos įvykių žurnalo dydį. Šio žurnalo maksimalus dydis yra 4 GB. Norėdami rasti šį parametrą, išplėskite"Windows" parametrai, tada išplėskite Saugos parametrai.

    2. Rizikingos konfigūracijos Toliau nurodyti kenksmingi konfigūracijos parametrai:

      • Saugos žurnalo dydžio ir saugos žurnalo saugojimo metodo apribojimas, kai įgalintas parametras Auditas: išjunkite sistemą iš karto, jei nepavyksta registruoti saugos audito. Daugiau informacijos žr. šio straipsnio skyriuje "Auditas: nedelsdami išjunkite sistemą, jei nepavyksta registruoti saugos audito".

      • Saugos žurnalo dydžio apribojimas, kad būtų perrašyti dominantys saugos įvykiai.

    3. Priežastys, kodėl reikia padidinti šį parametrą Verslo ir saugos reikalavimai gali diktuoti, kad padidinsite saugos žurnalo dydį, kad tvarkytumėte papildomą saugos žurnalo informaciją arba saugos žurnalus išlaikytumėte ilgesnį laikotarpį.

    4. Šio parametro mažinimo priežastys Įvykių peržiūros programa žurnalai yra atminties susieti failai. Maksimalus įvykių žurnalo dydis ribojamas atsižvelgiant į fizinės atminties kiekį vietiniame kompiuteryje ir virtualiąją atmintį, kurią galima naudoti įvykių žurnalo procese. Padidinus žurnalo dydį už virtualiosios atminties, kurią galima Įvykių peržiūros programa, dydis nepadeda tvarkomų žurnalo įrašų skaičiaus.

    5. Suderinamumo problemų pavyzdžiai "Windows 2000": kompiuteriai, kuriuose veikia "Windows 2000" versijos, ankstesnės nei 4 pakeitimų paketas (SP4), gali sustabdyti įvykių žurnalo registravimo įvykius prieš pasiekdami dydį, nurodytą parametre Maksimalus žurnalo dydis Įvykių peržiūros programa jei įjungta parinktis Neperrašyti įvykių (išvalyti žurnalą rankiniu būdu).  

  13. Įvykių žurnalas: saugos žurnalo išsaugojimas

    1. Fono Įvykių žurnalas: saugos žurnalo saugos parametro išlaikymas nustato saugos žurnalo kėlimo metodą. Norėdami rasti šį parametrą, išplėskite "Windows" parametrai, tada išplėskite Saugos parametrai.

    2. Rizikingos konfigūracijos Toliau nurodyti kenksmingi konfigūracijos parametrai:

      • Neišsaugomi visi užregistruoti saugos įvykiai prieš juos perrašydami

      • Parametro Maksimalus saugos žurnalo dydis konfigūravimas per mažas, kad būtų perrašyti saugos įvykiai

      • Saugos žurnalo dydžio ir saugojimo metodo apribojimas, kai tikrinimas: iš karto išjungti sistemą, jei saugos audito saugos parametras įgalintas

    3. Priežastys, kodėl reikia įjungti šį parametrą Šį parametrą įgalinkite tik tada, jei pasirenkate metodą Perrašyti įvykius pagal dienas . Jei naudojate įvykio koreliacijos sistemą, kuri tikrina įvykius, įsitikinkite, kad dienų skaičius yra bent tris kartus mažesnis už apklausos dažnumą. Atlikite tai, kad būtų galima atlikti nepavykusius apklausos ciklus.

  14. Prieiga prie tinklo: leisti visiems taikyti teises anoniminiams vartotojams

    1. Fono Pagal numatytuosius parametrus tinklo prieiga: Leisti visiems taikyti teises anoniminiams vartotojams nustatyta į Neapibrėžta "Windows Server 2003". Pagal numatytuosius parametrus "Windows Server 2003" neapima anoniminės prieigos atpažinimo ženklo grupėje Visi.

    2. Suderinamumo problemų pavyzdys Ši reikšmė

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous [REG_DWORD]=0x0 nutraukia patikimumo kūrimą tarp "Windows Server 2003" ir "Windows NT 4.0", kai "Windows Server 2003" domenas yra paskyros domenas, o "Windows NT 4.0" domenas yra išteklių domenas. Tai reiškia, kad paskyros domenas yra patikimas "Windows NT 4.0" ir išteklių domenas yra patikimas "Windows Server 2003" pusėje. Taip nutinka, nes procesas pradėti patikimumą po pradinio anoniminio ryšio yra ACL'd su visi atpažinimo ženklas, kuriame yra Anoniminis SID Windows NT 4.0.

    3. Priežastys, kodėl reikia modifikuoti šį parametrą Reikšmė turi būti nustatyta kaip 0x1 arba nustatyta naudojant GPO domeno valdiklio OU turi būti: tinklo prieiga: Leisti visiems taikyti teises anoniminiams vartotojams – įgalinta, kad būtų galima kurti pasitikėjimą.Pastaba. Daugelis kitų saugos parametrų vietoj 0x0 apsaugotos būsenos pereis į viršų. Saugesnė praktika būtų pakeisti pirminio domeno valdiklio emuliatoriaus registrą, o ne visus domeno valdiklius. Jei dėl kokios nors priežasties perkeliamas pirminio domeno valdiklio emuliatoriaus vaidmuo, registras turi būti atnaujintas naujame serveryje.Nustačius šią reikšmę reikia paleisti iš naujo.

    4. Registro kelias

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

  15. NTLMv2 autentifikavimas

    1. Seanso sauga Seanso sauga nustato minimalius kliento ir serverio seansų saugos standartus. Rekomenduojama patikrinti šiuos saugos strategijos parametrus "Microsoft" valdymo konsolės Grupės strategija rengyklės pridėtinajame įrankyje:

      • Kompiuterio parametrai\"Windows" parametrai\Saugos parametrai\Vietinės strategijos\Saugos parinktys

      • Tinklo sauga: minimali NTLM SSP pagrįsto seanso sauga (įskaitant saugius RPC) serverius;

      • Tinklo sauga: minimali seanso sauga NTLM SSP pagrindo (įskaitant saugius RPC) klientus

      Šių parametrų parinktys yra šios:

      • Reikalauti pranešimo vientisumo

      • Pranešimo konfidencialumo reikalavimas

      • Reikalauti NTLM 2 versijos seanso saugos

      • Reikalauti 128 bitų šifravimo

      Numatytasis parametras, ankstesnis už "Windows 7", neatitinka reikalavimų. Pradedant nuo "Windows 7", numatytoji reikšmė pakeista į Būtinas 128 bitų šifravimas, kad būtų pagerinta sauga. Pagal šį numatytąjį nustatymą senstelėję įrenginiai, kurie nepalaiko 128 bitų šifravimo, negalės prisijungti.Šios strategijos nustato minimalius kliento taikomųjų programų ryšių seanso saugos standartus.Atkreipkite dėmesį, kad nors aprašyme kaip galiojantys parametrai, žymės, reikalaujančios pranešimo vientisumo ir konfidencialumo, nenaudojamos, kai nustatoma NTLM seanso sauga.Anksčiau "Windows NT" palaikė šiuos du iššūkio / atsakymo autentifikavimo variantus prisijungiant prie tinklo:

      • LM iššūkis / atsakymas

      • NTLM 1 versijos iššūkis / atsakymas

      LM leidžia sąveikauti su įdiegta klientų ir serverių baze. NTLM teikia geresnę ryšių tarp klientų ir serverių saugą.Atitinkami registro raktai yra tokie:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

    2. Rizikingos konfigūracijos Šis parametras valdo, kaip bus apdorojami tinklo seansai, apsaugoti naudojant NTLM. Tai turi įtakos, pvz., RPC pagrįstiems seansams, autentifikuotiems naudojant NTLM. Yra tokia rizika:

      • Naudojant senesnius autentifikavimo metodus nei NTLMv2, bendravimą lengviau ataka dėl paprastesnio maišos metodų naudojimo.

      • Naudojant mažesnius nei 128 bitų šifravimo raktus, programišiai gali nutraukti ryšį naudodami brute-force atakas.

Laiko sinchronizavimas

Laiko sinchronizuoti nepavyko. Paveiktame kompiuteryje laikas yra išjungtas daugiau nei 30 minučių. Įsitikinkite, kad kliento kompiuterio laikrodis sinchronizuotas su domeno valdiklio laikrodžiu.

SMB pasirašymo sprendimo būdas

Rekomenduojame įdiegti 6a pakeitimų paketą (SP6a) "Windows NT 4.0" klientuose, kurie sąveikauja "Windows Server 2003" pagrįstame domene. "Windows 98 Second Edition" pagrįsti klientai, "Windows 98" klientai ir "Windows 95" klientai turi paleisti katalogų tarnybų klientą, kad galėtų atlikti NTLMv2. Jei "Windows NT 4.0" klientai neturi įdiegtos "Windows NT 4.0 SP6" arba jei "Windows 95" klientai, "Windows 98" klientai ir "Windows 98SE" pagrįsti klientai neturi įdiegto katalogų tarnybų kliento, išjunkite SMB prisijungimą prie numatytojo domeno valdiklio strategijos parametro domeno valdiklio OU, tada susiekite šią strategiją su visais pagrindinio kompiuterio domeno valdikliais.Katalogų tarnybų klientas, skirtas "Windows 98 Second Edition", "Windows 98" ir "Windows 95", atliks SMB pasirašymą su "Windows 2003" serveriais naudodamas NTLM autentifikavimą, bet ne naudodamas NTLMv2 autentifikavimą. Be to, "Windows 2000" serveriai neatsakys į šių klientų SMB pasirašymo užklausas.Nors mes to nerekomenduojame, galite neleisti SMB pasirašymui būtino visuose domeno valdikliuose, kuriuose veikia "Windows Server 2003" domene. Norėdami konfigūruoti šį saugos parametrą, atlikite šiuos veiksmus:

  1. Atidarykite numatytojo domeno valdiklio strategiją.

  2. Atidarykite aplanką Kompiuterio konfigūracija\"Windows" parametrai\Saugos parametrai\Vietinės strategijos\Saugos parinktys.

  3. Raskite ir spustelėkite "Microsoft" tinklo serverį: skaitmeniniu parašu pasirašyti ryšių (visada) strategijos parametrą, tada spustelėkite Išjungta.

Svarbu Šiame skyriuje, metode arba užduotyje yra veiksmų, kurie nurodo, kaip modifikuoti registrą. Tačiau gali kilti rimtų problemų, jei netinkamai modifikuosite registrą. Todėl įsitikinkite, kad atidžiai atliekate šiuos veiksmus. Norėdami papildomai apsaugoti, prieš modifikuodami registrą sukurkite atsarginę jo kopiją. Tada galite atkurti registrą, jei kyla problemų. Jei norite gauti daugiau informacijos apie tai, kaip sukurti atsarginę kopiją ir atkurti registrą, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:

322756 Kaip sukurti atsarginę kopiją ir atkurti registrą sistemoje "Windows", arba išjunkite SMB pasirašymą serveryje modifikuodami registrą. Norėdami tai padaryti, atlikite šiuos veiksmus:

  1. Spustelėkite Pradėti, Vykdyti, įveskite regedit, tada spustelėkite Gerai.

  2. Raskite ir spustelėkite šį dalinį raktą:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

  3. Spustelėkite įrašą enablesecuritysignature .

  4. Meniu Redagavimas spustelėkite Modifikuoti.

  5. Lauke Reikšmės duomenys įveskite 0, tada spustelėkite Gerai.

  6. Išeikite iš registro rengyklės.

  7. Paleiskite kompiuterį iš naujo arba sustabdykite ir iš naujo paleiskite serverio tarnybą. Norėdami tai padaryti, komandinėje eilutėje įveskite šias komandas ir, įvedę kiekvieną komandą, paspauskite "Enter": net stop server net start server

Pastaba Atitinkamas raktas kliento kompiuteryje yra šiame daliniame registro rakte:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters Toliau pateikiami išverstų klaidų kodų numeriai į būsenos kodus ir pažodžiui klaidų pranešimus, kurie buvo paminėti anksčiau:

5 klaida ERROR_ACCESS_DENIED Prieiga uždrausta.

klaida 1326 ERROR_LOGON_FAILURE Įėjimo klaida: nežinomas vartotojo vardas arba blogas slaptažodis.

klaida 1788 ERROR_TRUSTED_DOMAIN_FAILURE Patikimas ryšys tarp pirminio domeno ir patikimo domeno nepavyko.

klaida 1789 ERROR_TRUSTED_RELATIONSHIP_FAILURE Patikimas ryšys tarp šios darbo vietos ir pirminio domeno nepavyko.

Norėdami gauti daugiau informacijos, spustelėkite toliau nurodytus straipsnių numerius ir peržiūrėkite "Microsoft" žinių bazės straipsnius:

324802 Kaip sukonfigūruoti grupės strategijas, kad būtų nustatyta "Windows Server 2003" sistemos tarnybų sauga

816585 Kaip taikyti iš anksto apibrėžtus saugos šablonus "Windows Server 2003"

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.