Klientu, pakalpojumu un programmu problēmas var rasties, ja maināt drošības iestatījumus un lietotāju tiesības piešķires

Kopsavilkums

Lokālās politikas un grupas politikas, kas palīdzēs pastiprināt drošību domēnu kontrolleri un datoros var mainīt drošības iestatījumus un lietotāju tiesības uzdevumus. Tomēr lielāku drošību negatīvi ir nesaderība ar klientu, pakalpojumiem un programmām.

Šajā rakstā nesaderību, kas var rasties klienta datoros, kuros darbojas sistēma Windows XP vai vecāka Windows versija, mainot specifiskas drošības iestatījumus un lietotāju tiesības uzdevumiem sistēmā Windows Server 2003 domēna vai vecāka Windows Servera domēnā.

Informāciju par grupas politikas sistēmas Windows 7 un Windows Server 2008, Windows Server 2008 R2 skatiet šajos rakstos:

  • Windows 7, skatiet

  • Windows 7 un Windows Server 2008 R2, skatiet

  • Windows Server 2008, skatiet

Piezīme. Pārējās šī raksta saturs attiecas uz Windows XP, Windows Server 2003 un vecākām Windows versijām.

Windows XP

Lai palielinātu izpratni par misconfigured drošības iestatījumus, izmantojiet rīku grupas politikas objekta redaktoru mainīt drošības iestatījumus. Izmantojot grupas politikas objektu redaktoru, lietotāja tiesības uzdevumi ir uzlabota šādās operētājsistēmās:

  • Windows XP Professional 2. servisa pakotni (SP2)

  • Windows Server 2003 1. servisa pakotne (SP1)

Uzlabota līdzeklis ir dialoglodziņš, kas satur saiti uz šo rakstu. Mainot drošības iestatījumu vai lietotāju tiesību piešķiršana iestatījumu, kas piedāvā mazāk saderības un vairāk ierobežotu, tiek parādīts dialoglodziņš. Mainot tieši vienā drošības iestatījums vai lietotāju tiesību piešķiršana, izmantojot reģistra vai drošības veidnes, spēkā ir tāda pati kā iestatījuma grupas politikas objekta redaktoru. Tomēr neparādās dialoglodziņš, kurā ir saite uz šo rakstu.

Šajā rakstā ir klientiem, programmas un darbības, kas tiek ietekmēta, īpaši drošības iestatījumi vai lietotāja tiesību norīkojumus piemēri. Piemēri nav autoritatīvs Microsoft operētājsistēmu, trešo pušu operētājsistēmas vai visu programmu versijas, kas ietekmē. Šajā rakstā ir iekļauti visi drošības iestatījumus un lietotāju tiesības piešķires.

Ieteicams pārbaudīt saderības pārbaudes mežā visas drošības konfigurācijas izmaiņas, pirms jūs tos ieviest ražošanas vidē. Testa mežā ir spogulis ražošanas meža šādi:

  • Klienta un servera operētājsistēmas versijas klienta un servera programmas, servisa pakotnes versijas, labojumfailus, shēmas izmaiņas, drošības grupas, dalība grupā, atļaujas objektu failu sistēma, koplietojamās mapes, reģistru, Active Directory direktoriju pakalpojumu, vietējā un grupas politikas iestatījumus, objektu skaits veidu un atrašanās vietu

  • Administratīvos uzdevumus, kas tiek veiktas un administratīvie rīki, kas izmanto operētājsistēmas, ko izmanto, lai veiktu administratīvos uzdevumus

  • Darbības, kas tiek veiktas, piemēram, šādi:

    • Datoru un lietotāja pieteikšanās autentifikāciju

    • Paroles atiestatīšanas lietotājiem, datoriem un administratori

    • Pārlūkošana

    • Iestatījumu failu sistēmas atļaujas, uz koplietojamās mapes, reģistru, kā arī Active Directory resursu, izmantojot ACL redaktoru visas lietotāju operētājsistēmas visu kontu vai resursu domēnu no visas lietotāju operētājsistēmas no visiem kontu vai resursu domēni

    • Drukāšana, izmantojot administratīvo un nav administratora konti

Windows Server 2003 SP1

Brīdinājumi gpedit. msc

Lai uzlabotu klientiem apzinās, ka tās rediģēšanas lietotāja tiesības vai drošības opcijas, kas var negatīvi ietekmēt to tīklā, divi mehānismi brīdinājuma pievienotas gpedit. msc. Administratori rediģētu lietotāja tiesības, kas var negatīvi ietekmēt visu uzņēmumu, kad viņi redz jaunas ikonas, kas līdzinās ieguves zīme. Arī tiek parādīts brīdinājuma ziņojums, kurā ir saite uz Microsoft zināšanu bāzes rakstā 823659. Šī ziņojuma teksts ir šāds:

Šo iestatījumu izmaiņas var ietekmēt saderību ar klientiem, pakalpojumi un lietojumprogrammas. Papildinformāciju skatiet sadaļā < lietotāja tiesības vai drošības iespēju modificēt > (Q823659) Ja tikāt novirzīts uz šo zināšanu bāzes rakstu saitē gpedit. msc, pārliecinieties, vai lasīt un sniedz skaidrojumu un iespējamā ietekme mainīt šo iestatījumu. Tālāk norādītas lietotāja tiesības, kas ir brīdinājuma teksts:

  • Piekļūt šim datoram no tīkla

  • Pieteikties lokāli

  • Apiet pārvietošanas pārbaude

  • Ļauj datoriem un lietotājiem uzticamu deleģēšana

Tālāk norādītas brīdinājuma un uznirstošajā ziņojumā drošības opcijas:

  • Domēnā: Digitāli šifrētu vai pierakstīties drošu kanālu datus (vienmēr)

  • Domēnā: Nepieciešama stipra (Windows 2000 vai jaunāka versija) sesijas atslēga

  • Domēna kontrolleri: LDAP servera pierakstīšanās prasības

  • Microsoft tīkla serveri: ciparparakstu sakari (vienmēr)

  • Tīkla piekļuves: Ļauj anonīmu Sid / nosaukuma tulkojumu

  • Tīkla piekļuves: Neatļaut anonīmā SAM uzskaitījums kontus un akcijas

  • Tīkla drošība: lokālā tīkla pārvaldnieka autentifikācijas līmenis

  • Audita: Beidzēt sistēmu nekavējoties, ja nevar pieteikties drošības kontroles

  • Tīkla piekļuves: LDAP klienta pierakstīšanās prasības

Papildinformācija

Nākamajās sadaļās ir aprakstīts nesaderību, kas var rasties, ja maināt iestatījumus konkrētu domēnu Windows NT 4.0, Windows 2000 domēnu un Windows Server 2003 domēnu.

Lietotāja tiesības

Šajā sarakstā ir aprakstīts lietotāja tiesības, norāda konfigurācijas iestatījumi, kas var radīt problēmas, aprakstīts, kāpēc jums vajadzētu pieteikties lietotāja tiesības un kāpēc jūs, iespējams, vēlēsities noņemt lietotāja tiesības, un sniegti piemēri saderības problēmas, kas var rasties, ja lietotājs tiesības ir konfigurēta.

  1. Piekļūt šim datoram no tīkla

    1. Fons

      Iespēja sadarboties ar attāliem datoriem Windows platformas pieprasa piekļuvi šim datoram no tīkla lietotāja tiesības. Šāda tīkla darbības piemēri:

      • Active Directory replicēšana starp domēnu kontrolleriem bieži domēna vai meža

      • Autentifikācijas pieprasījumus domēna kontrolleru lietotāji un datori

      • Piekļuve koplietojamām mapēm, printeri un citas sistēmas pakalpojumus, kas atrodas attālā tīkla datoros



      Lietotāji un datori pakalpojuma kontu iegūt vai zaudēt piekļuvi šim datoram no tīkla lietotāja tiesības, ja to tieši vai tieši pievienot vai noņemt no drošības grupa, kurai ir piešķirtas lietotāja tiesības. Piemēram, lietotāja vai datora kontu var tieši pievienot pielāgotas drošības grupas vai iebūvēta drošības grupas administrators, vai var tieši pievienot operētājsistēmai aprēķinātā drošības grupas domēna lietotāji autentificēti Lietotājiem vai uzņēmuma domēna kontrolleros.

      Pēc noklusējuma lietotāju kontus un datoru kontus tiek piešķirta atļauja piekļūt šim datoram no tīkla lietotāja tiesības, aprēķina grupas ikviens vai, ieteicams autentificēts lietotājiem un domēna kontrolleru uzņēmuma domēna kontrolleru grupa , ir norādīti noklusējuma domēna kontrolleris grupas politikas objekta (GPO).

    2. Risku konfigurācija

      Kaitīgo konfigurācijas iestatījumi ir šādi:

      • Lietotāja tiesības uzņēmuma domēnu kontrolleri drošības grupu noņemšana

      • Autentificēto lietotāju grupa vai skaidri grupu, kas ļauj lietotājiem, datoriem un pakalpojumu konti lietotāja tiesības, veidojot savienojumu ar datoru tīklā

      • Visi lietotāji un datori noņemšana no šī lietotāja tiesības

    3. Iemesli, lai piešķirtu lietotāja tiesības

      • Piešķirt piekļuvi šim datoram no tīkla lietotāja tiesības uzņēmuma domēnu kontrolleri grupai atbilst autentifikācijas prasības, kas ir nepieciešama Active Directory replicēšanas replicēšanu pastāv starp domēnu kontrolleriem vienā un tajā pašā mežā.

      • Šī lietotāja tiesības ļauj piekļūt koplietotajiem failiem un printeriem sistēmas pakalpojumi, tostarp Active Directory lietotāji un datori.

      • Lietotāja tiesības ir vajadzīga lietotājiem piekļūt pastam, izmantojot agrīnās versijas Microsoft Outlook Web Access (OWA).

    4. Iemesli, kāpēc noņemt šo lietotāja tiesības

      • Lietotāji, kuri var izveidot savienojumu ar tīklu, datoru var piekļūt resursiem attālā datoros, kuros tie ir atļaujas. Piemēram, šī lietotāja tiesības ir nepieciešama lietotājiem izveidot savienojumu ar koplietojamu printeri un mapēm. Ja šī lietotāja tiesības piešķir visiem grupas un ja kādu koplietojamās mapes koplietošanas gan NTFS failu sistēmas atļaujas ir konfigurēts tā, ka tiem pašiem lasīt, ikviens var skatīt failus koplietojamās mapes. Tomēr tas ir maz situāciju jaunas instalācijas Windows Server 2003, jo noklusējuma koplietošanas gan NTFS atļaujas sistēmā Windows Server 2003 neietver grupu ikviens. Sistēmām, kurās ir jaunināšanu no Microsoft Windows NT 4.0 vai Windows 2000, šī ievainojamība var būt augstāka līmeņa risku noklusējuma koplietojumu un failu sistēmas atļaujas šīm operētājsistēmām nav iespējas traucēt kā noklusējuma atļaujas Windows Server 2003.

      • Nav derīga iemeslu uzņēmuma domēnu kontrolleri grupas noņemšana no šī lietotāja tiesības.

      • Visi grupas parasti tiek noņemta labu autentificēto lietotāju grupa. Ja grupai ikviens noņemšanas autentificēto lietotāju grupa jāpiešķir lietotāja tiesības.

      • Tiek jaunināta uz Windows 2000, Windows NT 4.0 domēnu tieši nepiešķir piekļuvi šim datoram no tīkla lietotāja grupu ikviens, autentificēto lietotāju grupa vai grupas uzņēmuma domēna kontrolleros. Tāpēc, noņemot ikviens grupas no Windows NT 4.0 domēna politika, Active Directory replicēšanas neizdodas ar kļūdas ziņojumu "Piekļuve liegta", pēc jaunināšanas uz Windows 2000. Winnt32.exe sistēmā Windows Server 2003, piešķirot uzņēmuma domēnu kontrolleri grupas lietotāja tiesības, jauninot Windows NT 4.0 primāro domēna kontrolleri (PDCs) novērš šis nepareiza konfigurācija. Uzņēmuma domēnu kontrolleri grupai piešķirt šim lietotājam tiesības, ja tas nav grupas politikas objekta redaktoru.

    5. Piemēram, saderības problēmas

      • Windows 2000 un Windows Server 2003: Šo nodalījumu replicēšanas neizdosies "Piekļuve liegta" kļūdas ziņojis, piemēram, REPLMON pārraudzība un REPADMIN vai replicēšanas notikumi notikumu žurnālā.

        • Active Directory Schema nodalījums

        • Konfigurācijas nodalījums

        • Domēna nodalījums

        • Kopkataloga nodalījums

        • Lietojumprogrammu nodalījuma

      • Visas Microsoft tīkla operētājsistēmas: Lietotāja konta autentifikācijas no attālā tīkla klientdatoriem neizdosies, ja lietotājs vai drošības grupa, kurai lietotājs pieder ir piešķirtas lietotāja tiesības.

      • Visas Microsoft tīkla operētājsistēmas: Attālā tīkla klientu kontu autentifikācija neizdodas, ja konts vai konts ir iekļauts drošības grupa ir piešķirta šī lietotāja tiesības. Šis gadījums attiecas lietotāju kontus, datora kontu un pakalpojuma kontu.

      • Visas Microsoft tīkla operētājsistēmas: Noņemot visu kontu no lietotāja tiesības novērsīs kontu no domēna pieteikšanās vai piekļūt tīkla resursiem. Ja aprēķina grupas uzņēmuma domēnu kontrolleri piemēram, tiek noņemti visi vai autentificētie lietotāji tieši jāpiešķir tiesības lietotāja kontus un drošības grupas, kas konts ir iekļauts piekļūt attāliem datoriem tīklā. Šis gadījums attiecas visu lietotāju kontus, visu datora kontu un visu pakalpojuma kontu.

      • Visas Microsoft tīkla operētājsistēmas: Vietējā administratora kontam ir aizsargāta ar paroli "tukša". Tīkla savienojamība ar tukšu paroli administratora konta domēna vidē nav atļauta. Ar šo konfigurāciju var paredzat, ka saņemsit kļūdas ziņojumu "Piekļuve liegta".

  2. Atļaut žurnāla lokāli

    1. Fons

      Mēģināt pieteikties pie datora, kurā darbojas sistēma Windows konsole (, izmantojot tastatūras saīsni CTRL + ALT + DELETE) lietotājiem un konti, kas mēģina sākt pakalpojumu jābūt vietējā pieteikšanās privilēģijas viesošanas datorā. Pieteikšanās lokālajā darbības piemēri administratoriem pieteikties konsoles datoros vai domēna kontrolleros visā uzņēmumā un domēna lietotājiem, kuri pieteikties piekļūt, izmantojot savu darbvirsmas datoros Priviliģēto kontu. Lietotāji, kuri izmanto attālās darbvirsmas savienojumu vai termināļa pakalpojumu jābūt atļaut pieteikties lokāli lietotāja tiesības uz mērķa datoriem, kuros darbojas sistēma Windows 2000 vai Windows XP, jo šie pieteikšanās režīmi tiek uzskatīti par vietējo viesošanas datorā. Lietotājiem, kuri ir pieteikties serverī, termināļa serverī ir iespējota un, kuriem nav šīs lietotāja tiesības joprojām varat uzsākt attālās interaktīvā sesijā domēnu Windows Server 2003, ja tie ir Atļaut pieteikšanās termināļa pakalpojumu lietotāju tiesību.

    2. Risku konfigurācija

      Kaitīgo konfigurācijas iestatījumi ir šādi:

      • Administratīvie drošības grupām, tostarp kontu operatoru dublēšanas operatori, drukas operatori vai servera operatori un iebūvēto administratoru grupas noņemšana no noklusējuma domēna kontrollera politika.

      • Noņemot pakalpojumu konti, kas izmanto komponentus un programmas dalībnieku datoros un domēnu kontrolleri domēnā no noklusējuma domēna kontrollera politika.

      • Noņemot lietotājus vai drošības grupas, kas pieteikties konsoles domēna dalībnieks datorus.

      • Noņemot pakalpojumu kontiem, kas definētas lokālās drošības kontu pārvaldnieka (SAM) datu bāzes datoros vai darbgrupas datorus.

      • Noņemot nav veidotas-, administratora konti, kas ir autentificēšana, izmantojot termināļa pakalpojumus, kas darbojas domēna kontrollerī.

      • Visi domēna lietotāja kontu pievienošana tieši vai tieši ar visiem grupas liegt pieteikšanās lokāli pieteikšanās tiesības. Šī konfigurācija neļaus lietotājiem pieteikšanās uz jebkuru dalībnieku datoru vai jebkura domēna kontrolleri domēnā.

    3. Iemesli, lai piešķirtu lietotāja tiesības

      • Lietotājiem jābūt atļaut pieteikties lokāli lietotāja tiesības piekļūt konsoles vai darbvirsmas darbgrupas datorā, dalībnieku datora vai domēna kontrolleri.

      • Lietotājiem jābūt lietotāja tiesības pieteikties, izmantojot termināļa pakalpojumu sesiju, kurā darbojas sistēma Windows 2000 datorā vai domēna kontrolleri.

    4. Iemesli, kāpēc noņemt šo lietotāja tiesības

      • Neizdodas ierobežot piekļuvi konsolei likumīgu lietotāju kontus var izraisīt nesankcionēti lietotāji lejupielādi un izpildīt ļaunprātīgu kodu mainīt savu lietotāja tiesībām.

      • Atļaut pieteikties lokāli lietotāja tiesību noņemšanas novērš nesankcionētu pieteikšanos uz datoriem, piemēram, domēnu kontrolleri vai lietojumprogrammas serveriem konsoles.

      • Pieteikšanās domēna dalībnieku datoros konsolē noņemšanas pieteikšanās tiesības neļauj-domēna kontu.

    5. Piemēram, saderības problēmas

      • Windows 2000 termināļa serveriem: Atļaut pieteikties lokāli lietotāja tiesības ir vajadzīga lietotājiem, lai pieteiktos sistēmā Windows 2000 termināļa serveriem.

      • Windows NT 4.0, Windows 2000, Windows XP vai Windows Server 2003: No datoriem, kuros darbojas sistēma Windows NT 4.0, Windows 2000, Windows XP vai Windows Server 2003 konsoles pieteikšanās lietotāja tiesības jāpiešķir lietotāju konti.

      • Windows NT 4.0 un jaunākām versijām: Datoros, kuros darbojas sistēma Windows NT 4.0 un vēlāk, ja pievienojat atļaut pieteikties lokāli lietotāja tiesības, bet tieši vai tieši piešķirt tiesības liegt pieteikšanās lokāli pieteikšanās, kontu nevar pieteikties uz domēna konsole kontrolleriem.

  3. Apiet pārvietošanas pārbaude

    1. Fons

      Pārlūkotu mapes NTFS failu sistēmā vai reģistrā bez pārbaudes Rsot mapi īpašās atļaujas lietotājam ļauj apiet pārvietošanas pārbaudes lietotāja tiesības. Apiet pārbaudi pārvietošanas lietotāja tiesības neļauj lietotāja mapes satura sarakstu. Tas ļauj lietotājam rsot tikai tās mapes.

    2. Risku konfigurācija

      Kaitīgo konfigurācijas iestatījumi ir šādi:

      • Noņemot-administratora konti, kas pieteikties Windows 2000 termināļa pakalpojumu datoriem vai sistēma Windows Server 2003 termināļa pakalpojumu datoros, kuros nav pietiekamu atļauju, lai piekļūtu failiem un mapēm failu sistēma.

      • Noņemot grupu ikviens drošības vadītāji, kas ir tieši pēc noklusējuma šis lietotājs sarakstā. Windows operētājsistēmu un arī daudzas programmas ir paredzētas ar aizdomas, ka ikviens var likumīgi piekļūt datoram ir apiet pārvietošanas pārbaudes lietotāja tiesības. Tāpēc, noņemot ikviens grupas sarakstā drošības vadītāji, kas ir noklusējuma lietotāja tiesības var izraisīt operētājsistēmu nestabilitāti vai programmas kļūmes. Ieteicams atstāt šis iestatījums pēc noklusējuma.

    3. Iemesli, lai piešķirtu lietotāja tiesības

      Noklusējuma iestatījums apiet pārvietošanas pārbaudes lietotāja tiesības ir ļauj ikvienam apiet pārvietošanas pārbaudi. Nepieredzējis Windows sistēmu administratoriem, tas ir paredzamā rīcība, un tās attiecīgi konfigurēt failu sistēmas piekļuves vadības sarakstus (SACLs). Tikai gadījumā, ja negadījums var radīt noklusēto konfigurāciju, ja administrators konfigurē atļaujas nevar saprast darbība un sagaida, lietotājiem, kuri nevar piekļūt vecākmapes nevarēs piekļūt saturu visiem bērniem mapes.

    4. Iemesli, kāpēc noņemt šo lietotāja tiesības

      Mēģināt novērst piekļuvi failiem un mapēm, failu sistēma, organizācijas, kas ir ļoti uztraucies par drošību var mēģināt noņemt grupu ikviens vai pat lietotāju grupa grupas, kuru apiet rsot pārbaudes sarakstā lietotāja tiesības.

    5. Piemēram, saderības problēmas

      • Windows 2000, Windows Server 2003: Ja apiet pārvietošanas pārbaudes lietotāja tiesības tiek noņemta vai datoros, kuros darbojas sistēma Windows 2000 vai Windows Server 2003 ir nav pareizi konfigurēta, grupas politikas iestatījumu mapē SYVOL nevar dublēt starp domēna kontrolleri domēnā.

      • Windows 2000, Windows XP Professional, Windows Server 2003: Datoriem, kuros darbojas sistēma Windows 2000, Windows XP Professional vai Windows Server 2003 reģistrēs 1000 un 1202 notikumi un nevar lietot datoru un lietotāja politika, nepieciešamo failu sistēmas atļaujas ir noņemta SYSVOL koka ja apiet pārvietošanas pārbaudītu lietotāja tiesības tiek noņemta vai ir nav pareizi konfigurēta.

        Lai iegūtu papildinformāciju, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:

        notikuma ID 1000 1001 tiek reģistrēta lietojumprogrammu notikumu žurnālā katru piecu minūšu laikā
         

      • Windows 2000, Windows Server 2003: Datoros, kuros darbojas sistēma Windows 2000 vai Windows Server 2003, skatot sējuma rekvizītus pazūd kvotu cilnes programmā Windows Explorer.

      • Windows 2000: Nav administratori, kuri pieteikties Windows 2000 termināļa serverī, iespējams, saņemsit šādu kļūdas ziņojumu:

        Userinit.exe lietojumprogrammas kļūda. Lietojumprogramma nav inicializēta pareizi 0xc0000142 noklikšķiniet uz Labi, lai pārtrauktu lietojumprogrammas.

      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Lietotājiem, kuru datoros darbojas sistēma Windows NT 4.0, Windows 2000, Windows XP vai Windows Server 2003, iespējams, nevarēsit piekļūt koplietošanas mapēm vai failiem koplietojamās mapes, un tie var saņemt kļūdas ziņojumu "Piekļuve liegta", ja tās netiek piešķirtas apiet rsot pārbaudot lietotāja tiesības.


        Lai iegūtu papildinformāciju, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:

        piekļuve liegta" kļūdas ziņojumu, kad lietotāji mēģina atvērt koplietojamās mapes
         

      • Windows NT 4.0: Datoros ar Windows NT 4.0, noņemšanas apiet pārvietošanas pārbaudes lietotāja tiesības izraisīs nomest failu plūsmu faila kopiju. Noņemot šo lietotāja tiesības, kopējot failu no Windows klienta vai Windows NT 4.0 domēna kontrolleri, kas darbojas pakalpojumi operētājsistēmai Macintosh Macintosh klientam, plūsmas mērķa fails tiek zaudēta, un fails tiek rādīts kā tikai teksta fails.

      • Microsoft Windows 95, Microsoft Windows 98: Klienta datorā, kurā darbojas sistēma Windows 95 vai Windows 98 net use * / mājas komandu neizdodas ar kļūdas ziņojumu "Piekļuve liegta", ja autentificēto lietotāju grupa nav piešķirtas lietotāja tiesības apiet pārvietošanas pārbaudi .

      • Outlook Web Access: Lietotājiem, kas nav administratori nevar pieteikties Microsoft Outlook Web Access un saņems kļūdas ziņojumu "Piekļuve liegta", ja tās netiek piešķirtas lietotāja tiesības apiet pārvietošanas pārbaudi .

Drošības iestatījumi

Šajā sarakstā norāda drošības iestatījumu un ligzdotu sarakstu aprakstīts drošības iestatījums norāda konfigurācijas iestatījumi, kas var radīt problēmas, ir aprakstīts, kāpēc jālieto drošības iestatījumus, un raksturoti iemesli, kāpēc iespējams, vēlēsities noņemt drošības iestatījumus. Ligzdotu sarakstu piedāvā drošības iestatījumu un drošības iestatījumu reģistra ceļš simbolisku nosaukumu. Visbeidzot, piemēri sniegti saderības problēmas, kas var rasties, ja drošības iestatījums ir konfigurēts.

  1. Audita: Beidzēt sistēmu nekavējoties, ja nevar pieteikties drošības kontroles

    1. Fons

      • Audita: beidzēt sistēmu nekavējoties, ja nevar pieteikties drošības kontroles iestatījums nosaka, vai sistēma tiek izslēgta, ja nevarat pieteikties ar drošību saistīti notikumi. Šis iestatījums ir nepieciešams programmu uzticamas datoru drošības novērtēšanas kritēriji (TCSEC) C2 novērtējums un informācijas tehnoloģiju drošības novērtējuma novērst apmaiņas notikumus, ja audita sistēmu nevar pieteikties šiem notikumiem bieži kritērijiem. Auditēšanas sistēmas kļūme, ja sistēma ir izslēgta, un tiek parādīts kļūdas ziņojums par pārtraukšanu.

      • Ja datoru nevar ierakstīt drošības notikumu reģistrācijas žurnāla notikumu, kritisko pierādījumus vai svarīgu informāciju par problēmu novēršanu var nebūt pieejami pārskatīšanai pēc drošības incidenta.

    2. Risku konfigurācija

      Tālāk ir kaitīgas konfigurācijas iestatījumu: audita: beidzēt sistēmu nekavējoties, ja nevar pieteikties drošības kontroles iestatījums ir ieslēgts un drošības notikumu žurnāla lielumu ierobežo nepārraksta notikumi (notīrīt žurnālu manuāli) opcija, nepieciešams pārrakstīt notikumi kā opcija, vai Pārrakstīt notikumi, kas vecāka par dienu skaitu notikumu skatītājā. Skatiet sadaļu "Piemēri saderības problēmas" informāciju par konkrētu risku datoriem, kuros darbojas sistēma Windows 2000, Windows 2000 1. servisa pakotne (SP1), Windows 2000 SP2 vai Windows 2000 SP3 oriģinālo izlaides versija.

    3. Šis iestatījums ļauj iemesli

      Ja datoru nevar ierakstīt drošības notikumu reģistrācijas žurnāla notikumu, kritisko pierādījumus vai svarīgu informāciju par problēmu novēršanu var nebūt pieejami pārskatīšanai pēc drošības incidenta.

    4. Lai atspējotu šo iestatījumu iemesli

      • Iespējojot audita: beidzēt sistēmu nekavējoties, ja nevar pieteikties drošības kontroles iestatījums pārtrauc sistēmas, ja kāda iemesla dēļ nevar jāpiesakās drošības kontroles. Parasti notikums nav reģistrēts, ja drošības audita žurnāls ir pilns un ja tās norādītā saglabāšanas metode ir opcija nepārraksta notikumi (notīrīt žurnālu manuāli) vai opcija Pārrakstīt notikumi, kas vecāka par dienu skaitu .

      • Administratīvo apgrūtinājumu ļautu audita: beidzēt sistēmu nekavējoties, ja nevar pieteikties drošības kontroles iestatījums var būt ļoti liels, īpaši, ja ir ieslēgta arī drošības žurnālā opcija nepārraksta notikumi (notīrīt žurnālu manuāli) . Šis iestatījums nodrošina atsevišķu atbildību par operatora darbības. Piemēram, administrators var atiestatīt atļaujas visiem lietotājiem, datoriem un grupas organizatoriskajai vienībai (OU), ja ir iespējota auditēšana, izmantojot iebūvēto administratora kontu vai citu kontu koplietojamo un pēc tam noraidīt šādas atļaujas atiestatīšana tās. Tomēr iestatījuma iespējošana samazināt sistēmas stabilitāti, jo serverim var piespiedu beidzēšanu, pārņemot to ar pieteikšanās notikumi un citi drošības notikumus drošības žurnālā. Turklāt jo beidzēšanas nav labvēlīga, nelabojami operētājsistēma, programmas vai datus var sabojāt. NTFS garantē, ka ungraceful sistēmas izslēgšanas laikā tiek saglabāta sistēmas failu integritāti, to nevar garantēt, ka katra datu faila katrai programmai joprojām būs izmantojamā formā pēc sistēmas restartēšanas.

    5. Simbolisku nosaukumu:

      CrashOnAuditFail

    6. Reģistra ceļš:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

    7. Piemēram, saderības problēmas

      • Windows 2000: Kļūda, jo datoros, kuros darbojas sākotnējā laidiena versija Windows 2000, Windows 2000 SP1, Windows 2000 SP2 vai Windows Server SP3 var pārtraukt notikumu reģistrēšana pirms lielumu, kas ir norādītas drošības opciju maksimālais žurnāla lielums notikumu žurnālā tiek sasniegts. Šī kļūda ir novērsta Windows 2000 4. servisa pakotni (SP4). Pārliecinieties, vai Windows 2000 domēna kontrolleris ir Windows 2000 4. servisa pakotni, pirms jūs uzskatāt, ka šis iestatījums ļauj.

        Lai iegūtu papildinformāciju, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:

        notikumu žurnālu pārtrauc notikumu reģistrēšana pirms maksimālais žurnāla lielums
         

      • Windows 2000, Windows Server 2003: Datoriem, kuros darbojas sistēma Windows 2000 vai Windows Server 2003 var pārstāt reaģēt, un pēc tam var pēkšņi restartēties, ja audita: beidzēt sistēmu nekavējoties, ja nevar pieteikties drošības kontroles iestatījums ir ieslēgts, drošības žurnālā ir pilna un esošo notikumu žurnāla ierakstu nevar pārrakstīt. Kad dators ir restartēts, tiek parādīts šāds apturēšanas kļūdas ziņojums:

        STOP: C0000244 {audits neizdevās}
        Mēģinājums ģenerēt drošības auditu neizdevās.

        Atkopt, administrators ir pieteikties, arhivēt drošības žurnālā (neobligāti), notīriet drošības žurnālā un atiestatiet šo opciju (neobligāti un kā nepieciešams).

      • Microsoft tīklu klientu MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Lietotājiem, kas nav administratori, kurš mēģina pieteikties domēna, tiek parādīts šāds kļūdas ziņojums:

        Jūsu konts ir konfigurēts, lai neļautu jums lietot šo datoru. Lūdzu, mēģiniet pieteikties citā datorā.

      • Windows 2000: Windows 2000 datoros nav administratori nevar pieteikties attālās piekļuves serveri un tiek parādīts kļūdas ziņojums, kas līdzīgs šim:

        Nezināms lietotājs vai nepareiza parole

        Lai iegūtu papildinformāciju, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:

        kļūdas ziņojumu: jūsu konts ir konfigurēts, lai neļautu jums lietot šo datoru
         

      • Windows 2000: Windows 2000 domēna kontrolleros Intersite ziņojumapmaiņas pakalpojums (Ismserv.exe) tiks pārtraukta un nevar restartēt. DCDIAG ziņo par kļūdu kā "test pakalpojumu ISMserv neizdevās" un notikumu ID 1083 tiks reģistrēts notikumu žurnālu.

      • Windows 2000: Windows 2000 domēna kontrolleri, Active Directory replicēšanas neizdodas, un tiek parādīts paziņojums "Piekļuve liegta", ja ir pilna drošības notikumu žurnālu.

      • Microsoft Exchange 2000: Serveros, kuros darbojas Exchange 2000 nevar montēt informācijas krātuves datu bāzi un notikumu 2102 tiks reģistrēts notikumu žurnālu.

      • Outlook, Outlook Web Access: Lietotājiem, kas nav administratori nevarēs piekļūt pasta, izmantojot Microsoft Outlook vai Microsoft Outlook Web Access un saņems 503 kļūdas.

  2. Domēna kontrolleri: LDAP servera pierakstīšanās prasības

    1. Fons

      Domēna kontrolleri: LDAP servera pierakstīšanās prasības drošības iestatījums nosaka, vai direktoriju vieglpiekļuves protokols (LDAP) serverim nepieciešama LDAP klientiem apspriest datu parakstīšanu. Šis politikas iestatījums iespējamās vērtības ir šādas:

      • Neviens: Pierakstīšanās dati nav nepieciešams saistīt ar serveri. Klients pieprasa datu parakstīšanu, ja serveris to atbalsta.

      • Pieprasīt pierakstīšanos: LDAP datu parakstīšanu opcija ir sarunās, izņemot gadījumus, kad tiek izmantota transporta slāņa drošības/Secure Socket Layer (TLS/SSL).

      • nav definēts: Šis iestatījums nav iespējota vai atspējota.

    2. Risku konfigurācija

      Kaitīgo konfigurācijas iestatījumi ir šādi:

      • Ļauj pieprasīt pierakstīšanos vidē, kur klienti neatbalsta LDAP pierakstīšanos vai ja klienta LDAP pierakstīšanos nav iespējots klients

      • Lietojot Windows 2000 vai Windows Server 2003 Hisecdc.inf drošības veidne vidē, kur klienti neatbalsta LDAP pierakstīšanos vai ja klienta LDAP pierakstīšanos nav iespējots

      • Lietojot Windows 2000 vai Windows Server 2003 Hisecws.inf drošības veidne vidē, kur klienti neatbalsta LDAP pierakstīšanos vai ja klienta LDAP pierakstīšanos nav iespējots

    3. Šis iestatījums ļauj iemesli

      Neparakstīta tīkla datplūsma ir jutīga pret starpnieka uzbrukumiem, ja uzbrucējs pārtver pakotnes starp klientu un serveri, maina paketes un pārsūta tās uz serveri. Ja tā notiek LDAP serverī, uzbrucējs var likt serverim pieņemt lēmumus, kas pamatojas uz viltus vaicājumus no LDAP klienta. Ieviešot spēcīgs fiziskās drošības līdzekli, kas palīdz aizsargāt tīkla infrastruktūra var samazināt šo risku ar uzņēmuma tīklu. Interneta protokola drošība (IPSec) autentifikācijas galvenes režīmā var palīdzēt novērst pret starpnieka uzbrukumiem. Autentifikācijas galvenes režīms veic savstarpējā autentifikācija un pakešu integritāti IP trafiku.

    4. Lai atspējotu šo iestatījumu iemesli

      • Klientiem, kas neatbalsta LDAP pierakstīšanos nevarēs veikt LDAP vaicājumu pret domēna kontrolleri un globālajiem katalogiem, ja ir panākta NTLM autentifikāciju un pareizo servisa pakotnes nav instalēta Windows 2000 domēna kontrolleri.

      • Tiks šifrēts tīkla trasēšanu LDAP trafiku starp klientiem un serveriem. Tas ir grūti pārbaudīt LDAP sarunu.

      • Windows 2000 serveriem jābūt instalētai Windows 2000 Service Pack 3 (SP3) vai ja tās pārvalda ar programmām, tiek izmantotas LDAP pierakstīšanos, kas atbalsta klienta datoriem, kuros darbojas Windows 2000 SP4, Windows XP vai Windows Server 2003. Lai iegūtu papildinformāciju, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:

        3. servisa pakotni vai jaunāka versija, izmantojot Windows Server 2003 administrēšanas rīkiem nepieciešama Windows 2000 domēna kontrolleri
         

    5. Simbolisku nosaukumu:

      Šādai

    6. Reģistra ceļš:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

    7. Piemēram, saderības problēmas

      • Vienkārši saista neizdodas, un tiek parādīts šāds kļūdas ziņojums:

        Ldap_simple_bind_s () neizdevās: nepieciešama stingrā autentifikācija.

      • Windows 2000 4. servisa pakotnē, Windows XP, Windows Server 2003: Klientiem, kuros darbojas sistēma Windows 2000 SP4, Windows XP vai Windows Server 2003, daži Active Directory administrācijas rīki nedarbosies pareizi pret domēna kontrolleros, kuros darbojas sistēma Windows 2000, kas ir vecāka par SP3 versijas, NTLM autentifikācijas sarunu.

        Lai iegūtu papildinformāciju, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:

        3. servisa pakotni vai jaunāka versija, izmantojot Windows Server 2003 administrēšanas rīkiem nepieciešama Windows 2000 domēna kontrolleri
         

      • Windows 2000 4. servisa pakotnē, Windows XP, Windows Server 2003: Klientiem, kuros darbojas sistēma Windows 2000 SP4, Windows XP vai Windows Server 2003, daži Active Directory administrācijas rīki, mērķa domēna kontrolleros, kuros darbojas sistēma Windows 2000 versijas, kas ir vecāka par SP3 nedarbosies pareizi, ja tie ir izmantojot IP adreses (piemēram, "dsa.msc /server =x.x.x.x" kur
        IP adrese ir x.x.x.x ).


        Lai iegūtu papildinformāciju, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:

        3. servisa pakotni vai jaunāka versija, izmantojot Windows Server 2003 administrēšanas rīkiem nepieciešama Windows 2000 domēna kontrolleri
         

      • Windows 2000 4. servisa pakotnē, Windows XP, Windows Server 2003: Klientiem, kuros darbojas sistēma Windows 2000 SP4, Windows XP vai Windows Server 2003, daži Active Directory administrācijas rīki, mērķa domēna kontrolleros, kuros darbojas sistēma Windows 2000 versijas, kas ir vecāka par SP3 nedarbosies pareizi.

        Lai iegūtu papildinformāciju, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:

        3. servisa pakotni vai jaunāka versija, izmantojot Windows Server 2003 administrēšanas rīkiem nepieciešama Windows 2000 domēna kontrolleri
         

  3. Domēnā: nepieciešama stipra sesijas atslēga (Windows 2000 vai jaunāka versija)

    1. Fons

      • Domēnā: nepieciešama stipra (Windows 2000 vai jaunāka versija) sesijas atslēga iestatījums nosaka, vai var izveidot drošu kanālu ar domēna kontrolleri, kas nevar šifrēt drošu kanālu trafika sesijas stipra, 128 bitu atslēgu. Šis iestatījums ļauj neļauj izveidot drošu kanālu ar jebkuru domēna kontrolleri, kas spēcīgs atslēgu nevar šifrēt drošu kanālu datus. Atspējojot šis iestatījums ļauj 64 bitu sesijas atslēgas.

      • Pirms dalībnieku darbstacijā vai serverī šī iestatījuma iespējošanas visu domēnu kontrolleri domēnā, kuram pieder dalībnieku jāspēj drošu kanālu datu šifrēšana ar stipra, 128 bitu atslēgu. Tas nozīmē, ka visiem domēnu kontrolleriem jādarbojas sistēmai Windows 2000 vai jaunāka versija.

    2. Risku konfigurācija

      Iespējojot domēnā: nepieciešama stipra (Windows 2000 vai jaunāka versija) sesijas atslēga iestatījums ir kaitīgas konfigurācijas iestatījumu.

    3. Šis iestatījums ļauj iemesli

      • Sesijas atslēgas izmanto, lai izveidot drošu kanālu sakarus starp domēna kontrolleri un datoros ir daudz lielāks sistēmā Windows 2000 nav vecākās Microsoft operētājsistēmu.

      • Ja tas ir iespējams, ieteicams izmantot lielāku šīs sesijas atslēgas aizsargāt drošu kanālu sakaru lasīšanu un sesijas nolaupīšana tīkla uzbrukumu. Eavesdropping ir ļaunprātīga uzbrukuma, kur tiek nolasīta tīkla datus vai ceļā ir mainīta. Paslēpt vai mainīt sūtītāja vai novirzīt var modificēt datus.

      Svarīgi! Datorā, kurā darbojas sistēma Windows 7 vai Windows Server 2008 R2 atbalsta tikai stipra atslēgas, izmantojot drošu kanālu. Šis ierobežojums neļauj jebkurā domēna Windows NT 4.0 un jebkura sistēma Windows Server 2008 R2 domēna uzticamības. Turklāt šis ierobežojums neļauj no datoriem, kuros darbojas operētājsistēma Windows 7 vai Windows Server 2008 R2, Windows NT 4.0 domēna dalības un otrādi.

    4. Lai atspējotu šo iestatījumu iemesli

      Dalībnieku datoros, kuros darbojas operētājsistēmas Windows 2000, Windows XP vai Windows Server 2003, nevis domēnā.

    5. Simbolisku nosaukumu:

      StrongKey

    6. Reģistra ceļš:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

    7. Piemēram, saderības problēmas

      Windows NT 4.0: Datoros ar Windows NT 4.0, atiestatot drošu kanālu uzticamības relācijas Windows NT 4.0 un Windows 2000 domēnu ar NLTEST neizdodas. Tiek parādīts kļūdas ziņojums "Access Denied":

      Uzticamības relācija starp primāro domēnu un uzticamo domēnu neizdevās.

      Windows 7 un Server 2008 R2: Windows 7 un jaunākās versijās un Windows Server 2008 R2 un jaunākas versijas, šis iestatījums nav cienījams vairs un spēcīgs tiek lietota vienmēr. Tāpēc, ka uzticamība ar Windows NT 4.0 domēnu nedarbojas vairs.

  4. Domēnā: digitāli šifrētu vai pierakstīties drošu kanālu datus (vienmēr)

    1. Fons

      • Iespējojot domēnā: digitāli šifrētu vai zīme (vienmēr) drošu kanālu datu neļauj izveidot drošu kanālu ar jebkuru domēna kontrolleri, kas nevar pierakstīties vai šifrētu drošu kanālu visus datus. Datoros, kuros darbojas Windows aizsargāt autentifikācijas trafiku no pret starpnieka uzbrukumiem, atkārtotu uzbrukumu un cita veida tīkla uzbrukumiem, izveidot sakaru kanālu, ko dēvē par drošu kanālu līdz pakalpojums Net Logon autentificēt datora kontu. Drošu kanālu tiek izmantoti arī tad, ja viens domēna lietotājs izveido savienojumu ar tīkla resursiem attālā domēna. Šī multidomain autentifikācija vai tranzīta autentifikāciju, ļauj Windows datorā, kas pievienots domēna piekļūt datubāzes lietotāja konta domēna un visas uzticamiem domēniem.

      • Lai iespējotu domēnā: digitāli šifrētu vai zīme (vienmēr) drošu kanālu datu iestatījumu datorā dalībnieks, visi domēnu kontrolleri domēnā, kuram pieder dalībnieku jāspēj vai šifrēšana visus datus drošu kanālu. Tas nozīmē, ka šāda domēna kontrolleru jādarbojas Windows NT 4.0 ar 6. servisa pakotni (sp6a atinstalēšanas) vai jaunākai versijai.

      • Ļauj domēnā: digitāli šifrētu vai zīme (vienmēr) drošu kanālu datu iestatījums automātiski iespējo domēnā: digitāli šifrētu vai pierakstīties drošu kanālu datus (ja iespējams) iestatījumu.

    2. Risku konfigurācija

      Iespējojot domēnā: digitāli šifrētu vai zīme (vienmēr) drošu kanālu datu iestatījums, kur visi domēnu kontrolleri var pierakstīties vai drošu kanālu datu šifrēšana ir kaitīgas konfigurācijas iestatījumu.

    3. Šis iestatījums ļauj iemesli

      Neparakstīta tīkla datplūsma ir jutīga pret starpnieka uzbrukumiem, ja uzbrucējs pārtver pakotnes starp klientu un serveri un pēc tam tos modificē, pirms tos nosūta klientam. Ja tā notiek direktoriju vieglpiekļuves protokols (LDAP) servera, uzbrucējs var izraisīt klienta lēmumus, kuru pamatā ir viltus ierakstus no LDAP direktoriju. Korporatīvā tīklā šāda uzbrukuma risku var samazināt ar spēcīgās fiziskās drošības pasākumiem, lai aizsargātu tīkla infrastruktūra. Turklāt interneta protokola drošība (IPSec) ieviešana autentifikācijas galvenes režīmā var palīdzēt novērst pret starpnieka uzbrukumiem. Šis režīms veic savstarpējā autentifikācija un pakešu integritāti IP trafiku.

    4. Lai atspējotu šo iestatījumu iemesli

      • Datori vietējā vai ārējā domēnu atbalsta drošā šifrētu kanālu.

      • Visi domēnu kontrolleri domēnā ir attiecīgā servisa pakotnes pārskatījuma līmeņi atbalsta drošā šifrētu kanālu.

    5. Simbolisku nosaukumu:

      StrongKey

    6. Reģistra ceļš:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

    7. Piemēram, saderības problēmas

      • Windows NT 4.0: Sistēma Windows 2000 datoriem nevar pievienoties Windows NT 4.0 domēnu un tiek parādīts šāds kļūdas ziņojums:

        Lietotāja kontam nav atļauts pieteikties no šīs vietas.

        Lai iegūtu papildinformāciju, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:

        kļūdas ziņojums: lietotāja kontam nav atļauts pieteikties no šīs vietas
         

      • Windows NT 4.0: Windows NT 4.0 domēnu nevar izveidot ar Windows 2000 domēna uzticamības zemākā līmeņa un tiek parādīts šāds kļūdas ziņojums:

        Lietotāja kontam nav atļauts pieteikties no šīs vietas.

        Esošo zemākā līmeņa uzticamība nav arī autentificēt lietotāju no uzticama domēna. Daži lietotāji var būt pieteikšanās domēna problēmas, un tās var saņemt kļūdas ziņojumu, kurā teikts, ka klients nevar atrast domēna.

      • Windows XP: Windows XP klienti, kas ir pievienoti Windows NT 4.0 domēnu nevarēs autentificēt pieteikšanās mēģinājumi un var tikt parādīts šāds kļūdas ziņojums, vai notikumu žurnālā var reģistrēt šādi notikumi:

        Windows nevar izveidot savienojumu ar domēnu jo domēna kontrolleris nedarbojas vai nav pieejams citādi vai arī nav atrasts jūsu datora konts

      • Microsoft Network: Microsoft Network klientiem tiks parādīts kāds no šiem kļūdu ziņojumiem:

        Pieteikšanās kļūme: nezināms lietotājvārds vai nepareiza parole.

        Norādītajai pieteikšanās sesijai nav lietotāja sesijas atslēgas.

  5. Microsoft tīkla klients: ciparparakstu sakari (vienmēr)

    1. Fons

      Daudzas Microsoft operētājsistēmas atbalsta resursu koplietošanas protokols ir servera ziņojumu bloka (SMB). Tas ir pamata tīkla pamata ievadizvades sistēma (NetBIOS) un daudz citu protokolu. SMB parakstīšana autentificē lietotāju, gan serverim datus. Ja abām pusēm neizdodas autentifikācija procesu, datu pārsūtīšana nenotiek.

      Iespējojot SMB SMB protokolu sarunas laikā parakstīšanu sākas. SMB parakstīšanās politiku noteikt, vai dators vienmēr elektroniski paraksta saziņai ar klientu.

      Windows 2000 SMB autentificēšanas protokols neatbalsta abpusēju autentifikāciju. Savstarpējā autentifikācija tiek aizvērta "pret starpnieka" uzbrukumiem. Windows 2000 SMB autentificēšanas protokols nodrošina ziņojumu autentifikācija. Ziņojumu autentifikācija palīdz novērst aktīvā ziņa uzbrukumiem. Jums šo autentifikāciju, SMB pierakstīšanās liek ciparparakstu katram SMB. Klienta un servera pārbaudīt ciparparakstu.

      Lai lietotu SMB pierakstīšanās, iespējojiet SMB pierakstīšanās vai pieprasīt pierakstīšanos gan SMB klienta un servera SMB SMB. Aktivizējot SMB pierakstīšanos serverī, klientiem, kas tiek aktivizēti arī SMB pierakstīšanās izmantot turpmākajās sesijās parakstīšanas protokola paketi. SMB pierakstīšanos serverī, ir nepieciešama, ja klients nevar izveidot sesiju tikai tad, ja klients ir iespējots vai nepieciešama SMB pierakstīšanos.


      Iespējojot ciparparakstam augstas drošības tīklu palīdz novērst personifikācijas klientiem un serveriem. Šāda veida personifikācijas tiek saukts par sesiju nolaupīšana. Uzbrucējs, kurš piekļūst vienam tīklam klients vai serveris izmanto sesijas nolaupīšana rīki pārtraukt, beigt vai nozagt sesijas laikā. Uzbrucējs var pārtvert modificēt parakstīts SMB paketes, modificēt trafiku, un pēc tam nosūtīt to, lai serveris varētu veikt nevēlamas darbības. Vai uzbrucējs var radīt servera vai klienta pēc likumīgi autentifikācijas un pēc tam iegūt nesankcionētu piekļuvi datiem.

      Savstarpējā autentifikācija atbalsta SMB protokolu, kas izmanto failu koplietošana un drukas koplietošanu datoriem, kuros darbojas sistēma Windows 2000 Server, Windows 2000 Professional, Windows XP Professional vai Windows Server 2003. Savstarpējā autentifikācija aizver sesiju nolaupīšana uzbrukumiem un atbalsta ziņojumu autentifikācija. Tāpēc tas novērš pret starpnieka uzbrukumiem. Ievietojot ciparparakstu katram SMB SMB parakstīšanas nodrošina šo autentifikāciju. Klienta un servera pārbaudiet parakstu.

      Piezīmes

      • Kā alternatīvu pretpasākumu, jūs varat iespējot ciparparakstus ar IPSec aizsargāt visus tīkla trafiku. Ir aparatūras paātrināšanas IPSec šifrēšana un paraksta, ko var izmantot, lai samazinot ietekmi no servera Procesora veiktspēju. Nav šādu paātrinātāju, pieejamajām SMB pierakstīšanos.

        Lai iegūtu papildinformāciju, skatiet sadaļas Microsoft MSDN vietnē.

        Konfigurējiet SMB parakstīšanu ar grupas politikas objektu redaktoru, jo lokālā reģistra vērtību maiņa neietekmē ja galvenais domēna politika.

      • Sistēmā Windows 95, Windows 98 un Windows 98 Second Edition, direktoriju pakalpojumu klients izmanto SMB pierakstīšanās, tā autentificē ar Windows Server 2003 serveri, izmantojot NTLM autentifikāciju. Tomēr šos klientus neizmantot SMB pierakstīšanās, autentificētu šiem serveriem, izmantojot NTLMv2 autentifikāciju. Turklāt Windows 2000 serveriem nereaģē SMB pierakstīšanās pieprasījumi no šiem klientiem. Plašāku informāciju skatiet item 10: "tīkla drošība: lokālā tīkla pārvaldnieka autentifikācijas līmenis."

    2. Risku konfigurācija

      Tālāk ir kaitīgas konfigurācijas iestatījumu: paturot gan Microsoft tīkla klients: ciparparakstu sakari (vienmēr) iestatījumu un Microsoft tīkla klients: ciparparakstu sakari (ja serveris piekrīt) iestatījums " Nav definēts"vai atspējota. Šie iestatījumi ļauj novirzītājs teksta paroles nosūtīt korporācijai Microsoft SMB serveriem, kas neatbalsta paroles šifrēšana autentifikācijas laikā.

    3. Šis iestatījums ļauj iemesli

      Iespējojot Microsoft tīkla klients: ciparparakstu sakari (vienmēr) nepieciešams klientiem parakstītu sazinoties ar serveri, kas nepieprasa pierakstīšanos SMB SMB trafiku. Tas ļauj klientiem aizsardzību pret sesijas nolaupīšana uzbrukumiem.

    4. Lai atspējotu šo iestatījumu iemesli

      • Iespējojot Microsoft tīkla klients: ciparparakstu sakari (vienmēr) neļauj klientiem sazināties ar mērķa serveri, kas neatbalsta SMB pierakstīšanos.

      • Konfigurējot datoru ignorēt visus paziņojumus, kas parakstīts SMB neļauj iepriekšējās programmas un operētājsistēmas savienojumu.

    5. Simbolisku nosaukumu:

      RequireSMBSignRdr

    6. Reģistra ceļš:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

    7. Piemēram, saderības problēmas

      • Windows NT 4.0: Nevarēs atiestatīt domēna Windows NT 4.0 un Windows Server 2003 domēna uzticamības drošu kanālu, izmantojot NLTEST vai NETDOM, un jūs saņemsit kļūdas ziņojumu "Piekļuve liegta".

      • Windows XP: Kopēt failus no Windows XP, Windows 2000 serveriem un sistēma Windows Server 2003 serveru klientu var aizņemt vairāk laika.

      • Nevar kartēt tīkla disku no klienta šis iestatījums ir iespējots, un tiek parādīts šāds kļūdas ziņojums:

        Lietotāja kontam nav atļauts pieteikties no šīs vietas.

    8. Restartēšanas nepieciešamība

      Restartējot datoru, vai darbstacijas pakalpojums. Lai to paveiktu, komandu uzvednē ierakstiet šādas komandas. Pēc katras komandas ievadīšanas nospiediet taustiņu Enter.

      net stop darbstacija
      net start darbstacija

  6. Microsoft tīkla serveri: ciparparakstu sakari (vienmēr)

    1. Fons

      • Servera pakalpojuma Messenger Block (SMB) ir daudzas Microsoft operētājsistēmas atbalsta resursu koplietošanas protokols. Tas ir pamata tīkla pamata ievadizvades sistēma (NetBIOS) un daudz citu protokolu. SMB parakstīšana autentificē lietotāju, gan serverim datus. Ja abām pusēm neizdodas autentifikācija procesu, datu pārsūtīšana nenotiek.

        Iespējojot SMB SMB protokolu sarunas laikā parakstīšanu sākas. SMB parakstīšanās politiku noteikt, vai dators vienmēr elektroniski paraksta saziņai ar klientu.

        Windows 2000 SMB autentificēšanas protokols neatbalsta abpusēju autentifikāciju. Savstarpējā autentifikācija tiek aizvērta "pret starpnieka" uzbrukumiem. Windows 2000 SMB autentificēšanas protokols nodrošina ziņojumu autentifikācija. Ziņojumu autentifikācija palīdz novērst aktīvā ziņa uzbrukumiem. Jums šo autentifikāciju, SMB pierakstīšanās liek ciparparakstu katram SMB. Klienta un servera pārbaudīt ciparparakstu.

        Lai lietotu SMB pierakstīšanās, iespējojiet SMB pierakstīšanās vai pieprasīt pierakstīšanos gan SMB klienta un servera SMB SMB. Aktivizējot SMB pierakstīšanos serverī, klientiem, kas tiek aktivizēti arī SMB pierakstīšanās izmantot turpmākajās sesijās parakstīšanas protokola paketi. SMB pierakstīšanos serverī, ir nepieciešama, ja klients nevar izveidot sesiju tikai tad, ja klients ir iespējots vai nepieciešama SMB pierakstīšanos.


        Iespējojot ciparparakstam augstas drošības tīklu palīdz novērst personifikācijas klientiem un serveriem. Šāda veida personifikācijas tiek saukts par sesiju nolaupīšana. Uzbrucējs, kurš piekļūst vienam tīklam klients vai serveris izmanto sesijas nolaupīšana rīki pārtraukt, beigt vai nozagt sesijas laikā. Uzbrucējs var pārtvert modificēt parakstīts apakštīkla joslas pārvaldnieks (SBM) paketes, modificēt trafiku, un pēc tam nosūtīt to, lai serveris varētu veikt nevēlamas darbības. Vai uzbrucējs var radīt servera vai klienta pēc likumīgi autentifikācijas un pēc tam iegūt nesankcionētu piekļuvi datiem.

        Savstarpējā autentifikācija atbalsta SMB protokolu, kas izmanto failu koplietošana un drukas koplietošanu datoriem, kuros darbojas sistēma Windows 2000 Server, Windows 2000 Professional, Windows XP Professional vai Windows Server 2003. Savstarpējā autentifikācija aizver sesiju nolaupīšana uzbrukumiem un atbalsta ziņojumu autentifikācija. Tāpēc tas novērš pret starpnieka uzbrukumiem. Ievietojot ciparparakstu katram SMB SMB parakstīšanas nodrošina šo autentifikāciju. Klienta un servera pārbaudiet parakstu.

      • Kā alternatīvu pretpasākumu, jūs varat iespējot ciparparakstus ar IPSec aizsargāt visus tīkla trafiku. Ir aparatūras paātrināšanas IPSec šifrēšana un paraksta, ko var izmantot, lai samazinot ietekmi no servera Procesora veiktspēju. Nav šādu paātrinātāju, pieejamajām SMB pierakstīšanos.

      • Sistēmā Windows 95, Windows 98 un Windows 98 Second Edition, direktoriju pakalpojumu klients izmanto SMB pierakstīšanās, tā autentificē ar Windows Server 2003 serveri, izmantojot NTLM autentifikāciju. Tomēr šos klientus neizmantot SMB pierakstīšanās, autentificētu šiem serveriem, izmantojot NTLMv2 autentifikāciju. Turklāt Windows 2000 serveriem nereaģē SMB pierakstīšanās pieprasījumi no šiem klientiem. Plašāku informāciju skatiet item 10: "tīkla drošība: lokālā tīkla pārvaldnieka autentifikācijas līmenis."

    2. Risku konfigurācija

      Tālāk ir kaitīgas konfigurācijas iestatījumu: iespējošana Microsoft tīkla serveri: ciparparakstu sakari (vienmēr) serveriem un domēnu kontrolleriem, kas piekļūst nesaderīgu Windows datoriem un trešās puses vietējā vai ārējā domēnu operētājsistēmas klienta datoriem.

    3. Šis iestatījums ļauj iemesli

      • Visas klienta datoriem, kuros ir iespējots šis iestatījums tieši caur reģistru vai grupas politikas iestatījumu atbalsta SMB pierakstīšanos. Citiem vārdiem, visos klienta datoros, kuros ir iespējots šis iestatījums palaist gan Windows 95 DS klienta instalēšanas Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional vai Windows Server 2003.

      • Ja Microsoft tīkla serveri: ciparparakstu sakari (vienmēr) ir atspējota, SMB pierakstīšanās ir pilnībā atspējots. Pilnībā atspējot visus SMB pierakstīšanās lapas datoriem neaizsargātāks sesijas nolaupīšana uzbrukumiem.

    4. Lai atspējotu šo iestatījumu iemesli

      • Šis iestatījums ļauj var izraisīt lēni faila kopiju un tīkla darbības klienta datoriem.

      • Šis iestatījums ļauj novērsīs klientiem, kas nevar apspriest SMB pierakstīšanās saziņu ar serveriem un domēnu kontrolleriem. Tādējādi darbības, piemēram, pievienojas domēnam, lietotāju un datoru autentifikācija vai tīkla piekļuves programmas kļūmi.

    5. Simbolisku nosaukumu:

      RequireSMBSignServer

    6. Reģistra ceļš:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

    7. Piemēram, saderības problēmas

      • Windows 95: Windows 95 klientiem, kas nav instalēts klienta Directory Services (DS) pieteikšanās autentifikācija neizdodas, un tiek parādīts šāds kļūdas ziņojums:

        Domēna parole nav pareiza, vai pieteikšanās servera piekļuve ir liegta.

        Lai iegūtu papildinformāciju, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:

        kļūdas ziņojums, Windows Server 2003 domēna piesakoties Windows 95 vai Windows NT 4.0 klients
         

      • Windows NT 4.0: Klienta datoriem, kuros darbojas sistēma Windows NT 4.0 versijās, kas ir vecāka par 3. servisa pakotne (SP3) pieteikšanās autentifikācija neizdodas, un tiek parādīts šāds kļūdas ziņojums:

        Sistēma nevarēja pieteikties datorā. Pārliecinieties, vai jūsu lietotājvārdu un domēna ir pareizi un pēc tam vēlreiz ievadiet savu paroli.

        Daži Microsoft SMB serveri atbalsta tikai nešifrētā paroles apmaiņas laikā autentifikācija. (Šīs apmaiņas zināms arī kā "teksta" apmaiņas.) Windows NT 4.0 SP3 un jaunākas versijas SMB novirzītājs nevar nosūtīt nešifrētā paroles autentifikācijas laikā SMB serverim Ja pievienojat konkrēto reģistra ierakstu.
        Lai nešifrētā paroles SMB klienta SP 3 Windows NT 4.0 un jaunāku sistēmu, reģistra modificēšanas šādi: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters

        Vērtības nosaukums: EnablePlainTextPassword

        Datu tips: REG_DWORD

        Dati: 1


        Lai iegūtu papildinformāciju par saistītām tēmām, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:

        kļūdas ziņojums: 1240 sistēmas kļūda. Lietotāja kontam nav atļauts pieteikties no šīs vietas.

      • Windows Server 2003: Pēc noklusējuma domēna kontrolleros, kur darbojas Windows Server 2003 drošības iestatījumi ir konfigurēti tā, lai nepieļautu domēna kontrollera sakaru pārveidots pret ļaunprātīgu lietotāju vai aizturēta. Lietotāji varētu sekmīgi sazināties ar domēna kontrolleri, kurā darbojas sistēma Windows Server 2003, gan SMB paraksta un šifrēšanas vai drošu kanālu trafika pierakstīšanās jāizmanto klienta datoriem. Pēc noklusējuma, palaižot Windows NT 4.0 ar 2. servisa pakotni (SP2) vai iepriekš instalētas klientiem un klientiem, kas darbojas Windows 95 nav SMB paketes parakstīšana iespējota. Tādēļ šiem klientiem nevar autentificēt sistēma Windows Server 2003 domēna kontrolleri.

      • Windows 2000 un Windows Server 2003 politikas iestatījumi: Atkarībā no vajadzībām instalācijai un konfigurāciju, ieteicams iestatīt šādi politikas iestatījumi viszemāko entītijas Microsoft pārvaldības konsoles grupu politikas redaktora papildprogrammu hierarhijas nepieciešamās darbības laikā:

        • Configuration\Windows datora drošības Settings\Security opcijas

        • Nosūtiet nešifrētā paroli, lai izveidotu savienojumu ar trešās puses SMB serveriem (Šis iestatījums ir paredzēts sistēmai Windows 2000)

        • Microsoft tīkla klients: nešifrētā nosūtīt paroli trešās puses SMB serveriem (Šis iestatījums ir Windows Server 2003)


        Piezīme. Dažas trešo pušu CIFS serveros, Samba vecākas versijas, piemēram, nevar izmantot paroles šifrētā.

      • Šādi klienti ir saderīgs ar Microsoft tīkla serveri: ciparparakstu sakari (vienmēr) iestatījums:

        • Apple Computer, Inc., Mac OS X klientiem

        • Microsoft MS-DOS tīkla klientiem (piemēram, Microsoft LAN Manager)

        • Microsoft Windows darbgrupas klientiem

        • Microsoft Windows 95 klientiem bez DS klienta instalēšanas

        • Microsoft Windows NT 4.0 datoros, kuros darbojas bez SP3 vai jaunāku versiju instalēšanas

        • Novell Netware 6 CIFS klientiem

        • SAMBA SMB klientiem, kas nav atbalsta SMB parakstīšana

    8. Restartēšanas nepieciešamība

      Restartējot datoru, vai pakalpojumu serveri. Lai to paveiktu, komandu uzvednē ierakstiet šādas komandas. Pēc katras komandas ievadīšanas nospiediet taustiņu Enter.

      net stop server
      net start server

  7. Tīkla piekļuves: atļaut anonīmu SID/nosaukuma tulkojums

    1. Fons

      Tīkla piekļuves: atļaut anonīmu SID/nosaukuma tulkojums drošības iestatījums nosaka, vai anonīms lietotājs var pieprasīt drošības identifikācijas numurs (SID) atribūti cits lietotājs.

    2. Risku konfigurācija

      Iespējojot tīkla piekļuves: atļaut anonīmu SID/nosaukuma tulkojums iestatījums ir kaitīgas konfigurācijas iestatījumu.

    3. Šis iestatījums ļauj iemesli

      Ja tīkla piekļuves: atļaut anonīmu SID/nosaukuma tulkojums iestatījums ir atspējots, iepriekšējās operētājsistēmas vai lietojumprogrammas nevar sazināties ar domēnu Windows Server 2003. Piemēram, šo operētājsistēmu, pakalpojumi vai lietojumprogrammas nedarbojas:

      • Windows NT 4.0 darbojas attālās piekļuves pakalpojuma serveriem

      • Microsoft SQL Server, kurā darbojas sistēma Windows NT 4.0 vai Windows NT 3. x datoriem

      • Attālās piekļuves pakalpojums, kas darbojas sistēmā Windows 2000 datoriem, kuros atrodas domēni Windows NT 4.0 vai Windows NT 3. x domēni

      • SQL serverī, kurā darbojas Windows 2000 datoros, kas atrodas Windows NT 3. x domēnu vai Windows NT 4.0 domēni

      • Sistēmā Windows NT 4.0 resursu domēna lietotājiem, kuri vēlas piešķirt atļauju, lai piekļūtu failiem koplietojamās mapes un reģistra objektu lietotāju konti no konta domēniem, kas satur Windows Server 2003 domēna kontrolleri

    4. Lai atspējotu šo iestatījumu iemesli

      Ja šis iestatījums ir iespējots ļaunprātīgs lietotājs varētu izmantot pazīstams administratori SID iegūt reālu nosaukumu iebūvēto administratora kontu, pat tad, ja konts ir pārdēvēta. Personas varētu izmantot konta nosaukumu uzsākt paroles minēt uzbrukumiem.

    5. Simbolisku nosaukumu: N/A

    6. Reģistra ceļš: Nav. Ceļš ir norādīts UI kodu.

    7. Piemēram, saderības problēmas

      Windows NT 4.0: Datori Windows NT 4.0 resursu domēnu parādīs kļūdas ziņojumu "Unknown kontu" ACL redaktoru ja resursiem, tostarp koplietojamo mapju koplietotajiem failiem un reģistra objektiem, ir droši ar drošības vadītāji, kas atrodas konta domēnu, kas satur Windows Server 2003 domēna kontrolleriem.

  8. Tīkla piekļuves: neatļaut anonīmā SAM uzskaitījums konti

    1. Fons

      • Tīkla piekļuves: neatļaut anonīmā SAM uzskaitījums konti iestatījums nosaka papildu atļaujas piešķirs anonīmu savienojumu ar datoru. Windows anonīmi lietotāji var veikt noteiktas darbības, piemēram, uzskaitot nosaukumus, darbstaciju un serveru drošības kontu pārvaldnieka (SAM) un tīkla koplietojumu. Piemēram, administrators var izmantot šo piekļuves tiesību piešķiršana lietotājiem, neuztur savstarpējās uzticamības uzticamā domēnā. Pēc tam, kad sesijas anonīms lietotājs var piekļūt pašu piešķir ikviens grupas atkarībā no iestatījuma tīkla piekļuves: ļaut visiem atļaujas attiecas uz anonīmu lietotāju iestatījums vai īpašnieka piekļuves vadības sarakstu (DACL) objektu.

        Parasti anonīmu savienojumu pieprasa klienti (zemākā līmeņa klientiem) versijās SMB sesija uzstādīšanas laikā. Šādā gadījumā tīkla trasēšana parāda, ka SMB procesa ID (PID) ir klienta novirzītājs piemēram 0xFEFF sistēmā Windows 2000 vai Windows NT. RPC 0xCAFE var mēģināt veikt anonīmu savienojumu.

      • Svarīgi! Šis iestatījums neietekmē domēna kontrolleros. Domēna kontrolleros, tā kontrolē "NT AUTHORITY\ANONYMOUS pieteikšanās" "Windows 2000 saderīga piekļuve" klātbūtnes.

      • Sistēmā Windows 2000 līdzīgi iestatījumu sauc par Papildu ierobežojumi anonīmu savienojumu pārvalda RestrictAnonymous reģistra vērtību. Šo vērtību atrašanās vieta ir šāda

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA Lai iegūtu papildinformāciju par reģistra vērtību RestrictAnonymous, noklikšķiniet uz šiem rakstu numuriem un lasiet Microsoft zināšanu bāzes rakstus:

        Kā sistēmā Windows 2000 izmantot reģistra vērtību RestrictAnonymous
         

        Anonīmā pieteikšanās lietotāju ierobežo pieejamā informācija
         

    2. Risku konfigurācija

      Iespējojot tīkla piekļuves: neatļaut anonīmā SAM uzskaitījums konti iestatījums ir saderības perspektīvu kaitīgas konfigurācijas iestatījumu. Atspējojiet to ir drošības plāna kaitīgas konfigurācijas iestatījumu.

    3. Šis iestatījums ļauj iemesli

      Neautorizēts lietotājs var anonīmi kontu nosaukumu sarakstu, un pēc tam izmantojiet informāciju minēt paroles vai veikt sociālās inženierijas uzbrukumiem. Sociālās inženierijas ir saprotamāka, tas nozīmē, ka cilvēki tricking atklāt savas paroles vai cita veida informācija par drošību.

    4. Lai atspējotu šo iestatījumu iemesli

      Ja šis iestatījums ir iespējots, nav iespējams noteikt ar Windows NT 4.0 domēnu uzticamība. Šis iestatījums izraisa arī problēmas, kas saistītas ar zemākā līmeņa klientiem (piemēram, Windows NT 3.51 klientiem un Windows 95 klientiem), mēģināt izmantot resursus serverī.

    5. Simbolisku nosaukumu:


      RestrictAnonymousSAM

    6. Reģistra ceļš:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

    7. Piemēram, saderības problēmas

    • SMS tīkla noteikšanu nevar iegūt informāciju par operētājsistēmas un rakstīt "Unknown" rekvizītu OperatingSystemNameandVersion.

    • Windows 95, Windows 98: Klienti Windows 95 un Windows 98 klienti nevar nomainīt paroles.

    • Windows NT 4.0: Windows NT 4.0 platformas datoros nevar autentificēt.

    • Windows 95, Windows 98: Nebūs autentificēt domēna kontrolleru Microsoft Windows 95 un Windows 98 datoros.

    • Windows 95, Windows 98: Windows 95 un Windows 98 datoros lietotāji nevar mainīt savu lietotāja kontu paroles.

  9. Tīkla piekļuves: neļauj anonīmā SAM uzskaitījums kontus un akcijas

    1. Fons

      • Tīkla piekļuves: neļauj anonīmā SAM uzskaitījums kontus un akcijas iestatījums (zināms arī kā RestrictAnonymous) nosaka anonīmu uzskaitījums (Security Accounts Manager — SAM) kontus un akcijas drīkst. Windows anonīmi lietotāji var veikt noteiktas darbības, piemēram, uzskaitot domēna kontu (lietotāju datoros un grupas) un tīkla koplietojumu vārdi. Šī ir ērta, piemēram, ja administrators vēlas piešķirt piekļuvi lietotājiem, kas neuztur savstarpējās uzticamības uzticamā domēnā. Ja nevēlaties, lai atļautu anonīmo uzskaitījums SAM kontus un daļas, jāiespējo šis iestatījums.

      • Sistēmā Windows 2000 līdzīgi iestatījumu sauc par Papildu ierobežojumi anonīmu savienojumu pārvalda RestrictAnonymous reģistra vērtību. Šo vērtību atrašanās vieta ir šāda:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

    2. Risku konfigurācija

      Iespējojot tīkla piekļuves: neļauj anonīmā SAM uzskaitījums kontus un akcijas iestatījums ir kaitīgas konfigurācijas iestatījumu.

    3. Šis iestatījums ļauj iemesli

      • Iespējojot tīkla piekļuves: neļauj anonīmā SAM uzskaitījums kontus un akcijas iestatījums neļauj uzskaitījums SAM kontu un akcijas lietotājus un datorus, izmantojot anonīmu kontu.

    4. Lai atspējotu šo iestatījumu iemesli

      • Ja šis iestatījums ir iespējots, Neautorizēts lietotājs var anonīmi kontu nosaukumu sarakstu, un pēc tam izmantojiet informāciju minēt paroles vai veikt sociālās inženierijas uzbrukumiem. Sociālās inženierijas ir saprotamāka, kas ir tricking cilvēki atklāj savu paroli vai cita veida informācija par drošību.

      • Ja šis iestatījums ir iespējots, nebūs iespējams izveidot ar Windows NT 4.0 domēnu uzticamība. Arī šis iestatījums var radīt problēmas ar zemākā līmeņa klientiem, piemēram, Windows 95 un Windows NT 3.51 klientiem, kas mēģina izmantot servera resursiem.

      • Nebūs iespējams piešķirt piekļuvi domēnu resursu lietotājiem, jo uzticēšanās domēna administratoriem vairs nevarēs numurētu sarakstu citu domēna kontu. Lietotājiem, kuri failu un drukas serveri anonīmi nevarēs sarakstā serveros koplietotā tīkla resursiem. Lietotājiem veikt autentifikāciju, lai skatītu sarakstu koplietojamās mapes un printeri.

    5. Simbolisku nosaukumu:

      RestrictAnonymous

    6. Reģistra ceļš:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

    7. Piemēram, saderības problēmas

      • Windows NT 4.0: Lietotāji nevar nomainīt paroles no Windows NT 4.0 darbstaciju, domēnu kontrolleri domēnā lietotāju RestrictAnonymous ir iespējota.

      • Windows NT 4.0: Pievienot lietotāju vai grupu pasaules no uzticamiem domēniem Windows 2000 Windows NT 4.0 vietējās grupas lietotāju pārvaldnieka neizdosies un tiks parādīts šāds kļūdas ziņojums:

        Pašreiz nav pieejamu pieteikšanās serveru, kam apkalpot pieteikšanās pieprasījumu.

      • Windows NT 4.0: Windows NT 4.0 datoriem nevar pievienoties domēnu uzstādīšanas laikā vai, izmantojot lietotāja interfeisu domēna savienojums.

      • Windows NT 4.0: Izveido zemākā līmeņa uzticamība ar Windows NT 4.0 resursu domēnu neizdodas. Šāds kļūdas ziņojums parādās, kad ir iespējota RestrictAnonymous uzticamā domēnā:

        Nevar atrast domēna kontrolleri domēnā.

      • Windows NT 4.0: Noklusējuma mājas direktoriju, nevis mājas direktoriju, kas nav definēts lietotāju pārvaldnieka domēnu kartēt lietotājus, kuri piesakās termināļa serveri, kurā darbojas Windows NT 4.0 datoru.

      • Windows NT 4.0: Windows NT 4.0 dublējuma domēnu kontrolleri (BDCs) nevarēs startēt pakalpojums Net Logon, iegūt dublējuma pārlūkprogrammas sarakstu vai sinhronizēt SAM datu bāzes no Windows 2000 vai Windows Server 2003 domēna kontrolleru tajā pašā domēnā.

      • Windows 2000: Windows NT 4.0 domēnu nevar skatīt printeri ārējiem domēniem, ja klienta datora lokālā drošības politika ir iespējots iestatījums nav pieejams bez skaidri anonīms atļaujas sistēma Windows 2000 datoriem.

      • Windows 2000: Windows 2000 domēna lietotāji nevarēs pievienot tīkla printeri pakalpojumā Active Directory; Tomēr tos var pievienot printeri, pēc tās izvēlēties koka skatu.

      • Windows 2000: Datoros ar Windows 2000, ACL redaktors nevarēs pievienot lietotāju vai grupu pasaules no uzticamiem domēniem Windows NT 4.0.

      • ADMT 2. versija: Parole migrācijas lietotāju kontus, kas ir pārvietotas starp mežiem ar Active Directory migrācijas rīks (ADMT) versija 2 neizdodas.

        Lai iegūtu papildinformāciju, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:

        kā novērst savstarpējā meža paroles migrāciju ar ADMTv2

      • Programmas outlook klienti: Globālais adrešu saraksts tiek parādīts tukšs Microsoft Exchange Outlook klientiem.

        Lai iegūtu papildinformāciju, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:

        SMB lēna veiktspēja, kopēt failus no Windows XP un Windows 2000 domēna kontrolleri

      • SMS: Microsoft Systems Management Server (SMS) tīkla noteikšanu nevar iegūt informāciju par operētājsistēmu. Tāpēc rakstu "Unknown" rekvizītu OperatingSystemNameandVersion SMS DDR rekvizīta datu ieraksta noteikšana (DDR).

      • SMS: Izmantojot SMS administratora lietotāja vednis meklējiet lietotājiem un grupām tiks uzskaitīti no lietotājiem vai grupām. Turklāt papildu klienti nevar sazināties ar pārvaldības punkta. Pārvaldības punkta nepieciešama anonīmu piekļuvi.

      • SMS: Lietojot tīkla noteikšanas līdzekli SMS 2.0 un attālu klienta instalēšanu topoloģija, klienta un klienta operētājsistēmas tīkla noteikšanas opcija ir ieslēgta, datoros var atklāt, bet nav instalēta.

  10. Tīkla drošība: lokālā tīkla pārvaldnieka autentifikācijas līmenis

    1. Fons

      Autentifikācija (LAN Manager — LM) ir protokols, ko izmanto, lai autentificētu Windows klientu tīkla darbības, kā arī pievienojas domēnam, piekļūt tīkla resursiem un lietotāja vai datora autentifikācija. LM autentifikācijas līmenis nosaka, kuru izaicinājumu/atbildi autentificēšanas protokols ir panākta starp klientu un servera datoriem. Noteikti LM autentifikācijas līmenis nosaka, kuru autentifikācijas protokoli klients mēģinās vienoties vai serverim pieņemt. Vērtību, kas ir iestatīts LmCompatibilityLevel nosaka, veicot pieteikšanos tīklā tiek izmantota kāda izaicinājumu/atbildi autentificēšanas protokols. Šī vērtība attiecas uz autentificēšanas protokols, ka klienti izmanto līmeni, sarunu sesijas drošības līmeni un serveru pieņem autentifikācijas līmenis.

      Iespējamie iestatījumi ir šādi.

      Vērtība

      Iestatījums

      Apraksts

      0

      Nosūtīt LM un NTLM atbildes

      Klienti izmanto LM un NTLM autentifikāciju un nekad neizmanto NTLMv2 sesijas drošību. Domēnu kontrolleri akceptē LM, NTLM un NTLMv2 autentifikāciju.

      1.

      Nosūtīt LM un NTLM - izmanto NTLMv2 sesijas drošību, ja

      Klienti izmanto LM un NTLM autentifikāciju un izmanto NTLMv2 sesijas drošību, ja serveris to atbalsta. Domēnu kontrolleri akceptē LM, NTLM un NTLMv2 autentifikāciju.

      2.

      Nosūtīt tikai NTLM atbildi

      Klienti izmanto tikai NTLM autentifikāciju un izmanto NTLMv2 sesijas drošību, ja serveris to atbalsta. Domēnu kontrolleri akceptē LM, NTLM un NTLMv2 autentifikāciju.

      3.

      Sūtīt tikai NTLMv2 atbildi

      Klienti izmanto tikai NTLMv2 autentifikāciju un izmanto NTLMv2 sesijas drošību, ja serveris to atbalsta. Domēnu kontrolleri akceptē LM, NTLM un NTLMv2 autentifikāciju.

      4.

      Sūtīt tikai NTLMv2 atbildi / nepieņem LM

      Klienti izmanto tikai NTLMv2 autentifikāciju un izmanto NTLMv2 sesijas drošību, ja serveris to atbalsta. Domēnu kontrolleri nepieņem LM un akceptē tikai NTLM un NTLMv2 autentifikāciju.

      5.

      Sūtīt tikai NTLMv2 atbildi / nepieņem LM un NTLM

      Klienti izmanto tikai NTLMv2 autentifikāciju un izmanto NTLMv2 sesijas drošību, ja serveris to atbalsta. Domēnu kontrolleri nepieņem LM un NTLM un akceptē tikai NTLMv2 autentifikāciju.

      Piezīme. Sistēmā Windows 95, Windows 98 un Windows 98 Second Edition, direktoriju pakalpojumu klients izmanto SMB pierakstīšanās, tā autentificē ar Windows Server 2003 serveri, izmantojot NTLM autentifikāciju. Tomēr šos klientus neizmantot SMB pierakstīšanās, autentificētu šiem serveriem, izmantojot NTLMv2 autentifikāciju. Turklāt Windows 2000 serveriem nereaģē SMB pierakstīšanās pieprasījumi no šiem klientiem.

      Pārbaudīt LM autentifikācijas līmenis: Jāmaina politika ļauj NTLM servera vai klienta datorā, lai atbalstītu NTLMv2 jākonfigurē.

      Ja politika ir iestatīta uz (5) NTLMv2 nosūtīt atbildi only\refuse LM un NTLM mērķa datorā, kuru vēlaties izveidot savienojumu, ir samaziniet iestatījumu datorā vai iestatīt drošību pašu iestatījumu, kas atrodas avota datorā esat sav no ietekmē.

      Atrodiet pareizajā atrašanās vietā, kur varat mainīt lokālā tīkla pārvaldnieka tajā pašā līmenī, kas klienta un servera autentifikācijas līmenis. Kad esat atradis politika, kas nosaka lokālā tīkla pārvaldnieka autentifikācijas līmenis, ja vēlaties, lai izveidotu savienojumu no datoriem, kuros darbojas iepriekšējās sistēmas Windows versijās, pazemināt vērtību vismaz (1) nosūtīt LM un NTLM — izmantot NTLM 2. versija sesijas drošības ja sarunas. Viena saderīga iestatījumi ir, ja serveris prasa NTLMv2 (vērtība 5), bet klients ir konfigurēts, lai izmantotu LM un NTLMv1 tikai (vērtība 0), lietotājs mēģina autentifikācijas pieteikšanās kļūme, kuram ir nepareiza parole un kas palielina slikto pieredzi paroļu skaits. Ja konta bloķēšana izejošais ir konfigurēts, lietotājs var galu galā bloķēts.

      Piemēram, izlasiet domēna kontrollerī, vai arī jums ir pārbaudīt domēna kontrollera politika.

      Meklējiet domēna kontrollerī

      Piezīme. Iespējams, atkārtojiet šo procedūru domēna kontrolleros.

      1. Noklikšķiniet uz Sākt, norādiet uz programmasun pēc tam noklikšķiniet uz Administratīvie rīki.

      2. Lokālās drošības iestatījumus, izvērsiet Local Policies (lokālā politika).

      3. Noklikšķiniet uz drošības opcijas.

      4. Veiciet dubultklikšķi uz tīkla drošība: LAN manager autentifikācijas līmenis, un pēc tam noklikšķiniet uz vērtības sarakstā.


      Ja spēkā iestatījumu un lokāls iestatījums ir vienādi, šajā līmenī politika ir mainīta. Iestatījumi atšķiras, ja jums ir jāpārbauda domēna kontrollera politika, lai noteiktu, vai tīkla drošības: LAN manager autentifikācijas līmenis tur ir definēts iestatījums. Ja tas nav definēts ir pārbaudīt domēna kontrollera politika.

      Pārbaude domēna kontrollera politika

      1. Noklikšķiniet uz Sākt, norādiet uz programmasun pēc tam noklikšķiniet uz Administratīvie rīki.

      2. Domēna kontrollera drošības politikā izvērsiet Drošības iestatījumusun pēc tam Lokālās politikas.

      3. Noklikšķiniet uz drošības opcijas.

      4. Veiciet dubultklikšķi uz tīkla drošība: LAN manager autentifikācijas līmenis, un pēc tam noklikšķiniet uz vērtības sarakstā.


      Note

      • Var būt arī pārbaudīt politikas, kas saistītas vietnes līmenī, domēna līmenī vai organizatoriskajai vienībai (OU) līmeni, lai noteiktu, kur ir jākonfigurē LAN manager autentifikācijas līmenis.

      • Ja izmantojat noklusējuma domēna politika kā grupas politikas iestatījumu, politika tiek lietots visos uzņēmuma datoros domēnā.

      • Ja izmantojat noklusējuma domēna kontrollera politika kā grupas politikas iestatījumu, politika attiecas tikai uz domēna kontrolleri OU serveriem.

      • Ieteicams iestatīt lokālā tīkla pārvaldnieka autentifikācijas līmenis viszemāko entītijas nepieciešamās darbības politikas programmu hierarhijas.

      Windows Server 2003 ir jauns noklusējuma iestatījumu izmantot tikai NTLMv2. Pēc noklusējuma ir iespējots Windows Server 2003 un Windows 2000 Server SP3 domēnu kontrolleriem "Microsoft tīkla serveri: ciparparakstu sakari (vienmēr)" politiku. Šis iestatījums ir nepieciešams SMB serveri, lai veiktu SMB paketes parakstīšana. Tā kā domēna kontrolleri, failu serveri, tīkla infrastruktūra serveru un tīmekļa serveriem uzņēmumā nepieciešams palielināt drošību dažādu iestatījumu veiktas izmaiņas Windows Server 2003.

      Ja vēlaties, lai ieviestu NTLMv2 autentifikācijas tīklā, pārliecinieties, vai visi domēna datori ir iestatīts izmantot šo autentifikācijas līmenis. Ja lietojat Active Directory klienta paplašinājumus sistēmai Windows 95 vai Windows 98 un Windows NT 4.0, klientu paplašinājumi izmantot uzlabotas autentifikācijas līdzekļiem, kuri ir pieejami NTLMv2. Klienta datoriem, kuros darbojas kāda no šīm operētājsistēmām Windows 2000 grupas politikas objektu neietekmē, jo, iespējams, vajadzēs manuāli konfigurēt šos klientus:

      • Microsoft Windows NT 4.0

      • Microsoft Windows Millennium Edition

      • Microsoft Windows 98

      • Microsoft Windows 95

      Piezīme. Ja iespējojat tīkla drošība: nesaglabā LAN manager hash vērtību uz nākamo paroles maiņa politikas vai NoLMHash reģistra atslēgu kopa, Windows 95 un Windows 98 klienti, kas nav instalēts Directory Services klientu nevar pieteikšanās domēna pēc paroles maiņa.

      Daudzas trešo pušu CIFS serveriem, piemēram, Novell Netware 6, nav informēti par NTLMv2 un izmantot tikai NTLM. Tādēļ līmeņi ir lielāks par 2 neatļauj savienojumu. Pastāv arī trešo pušu SMB klientiem, kas neizmanto paplašinātā sesijas drošību. Šādos gadījumos LmCompatiblityLevel resursu servera netika ņemta vērā. Server pakotnes izveidi mantotā šo pieprasījumu un nosūta lietotāja domēna kontrolleri. Domēna kontrollerī iestatījumus izlemt, ko jaukšana tiek izmantoti, lai pārbaudītu pieprasījumu un vai tās atbilst domēna kontrollera drošības prasībām.

      Lai iegūtu papildinformāciju par to, kā manuāli konfigurēt LAN manager autentifikācijas līmenis, noklikšķiniet uz šiem rakstu numuriem un lasiet Microsoft zināšanu bāzes rakstus:

      Kā sistēmā Windows NT atspējot LM autentifikāciju
       

      Kā neļaut sistēmai Windows saglabājot paroli hash LAN manager Active Directory un vietējā SAM datu bāzes
       

      outlook turpina pieprasīs ievadīt pieteikšanās akreditācijas datus
       

      Audita notikums tiek parādīta kā NTLMv1, nevis NTLMv2 autentifikācijas pakotne Lai iegūtu papildinformāciju par LM autentifikāciju līmeņiem, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:

      kā iespējot NTLM 2 autentifikāciju
       

    2. Risku konfigurācija

      Kaitīgo konfigurācijas iestatījumi ir šādi:

      • Nonrestrictive iestatījumus, ko nosūtīt paroles atklāts teksts un kas liegtu NTLMv2 saskaņošana

      • Traucēt iestatījumus, kas saderīga klienti vai domēna kontrolleros neļauj sarunu kopējo autentificēšanas protokols

      • Nepieciešama autentifikācija NTLMv2 dalībnieku datoros un domēna kontrolleros, kuros darbojas sistēma Windows NT 4.0 versijās, kas ir vecākas par 4. servisa pakotni (SP4)

      • Pieprasot NTLMv2 autentifikācijas klientiem, Windows 95 vai Windows 98 klienti, kas nav instalēta Windows Directory Services klientu.

      • Ja noklikšķināsit uz atzīmējiet izvēles rūtiņu pieprasīt NTLMv2 sesijas drošību , Microsoft pārvaldības konsoles grupu politikas redaktora papildprogrammu operētājsistēmā Windows Server 2003 vai Windows 2000 3. servisa pakotni datorā, un jūs samaziniet LAN manager autentifikācijas līmenis 0, divi iestatījumi konfliktē, un iespējams, saņemsit šādu kļūdas ziņojumu fails secpol. msc vai gpedit. msc faila:

        Windows nevar atvērt datu bāzi lokālās politikas. Mēģinot atvērt datu bāzi, radās nezināma kļūda.

        Lai iegūtu papildinformāciju par drošības konfigurācijas un analīzes rīku, skatiet Windows 2000 vai Windows Server 2003 palīdzības failus.

    3. Iemeslu, lai mainītu šo iestatījumu

      • Vēlaties palielināt viszemāko kopējo autentificēšanas protokols, kas nodrošina klientiem un jūsu uzņēmuma domēna kontrolleros.

      • Ja drošu autentifikācijas darba prasības, vēlaties atspējot LM un NTLM protokolu sarunu.

    4. Lai atspējotu šo iestatījumu iemesli

      Klienta vai servera autentifikācijas prasības vai tie abi ir palielināti punktā, kur nevar notiek autentifikācijas kopēju protokolu.

    5. Simbolisku nosaukumu:

      LmCompatibilityLevel

    6. Reģistra ceļš:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. Piemēram, saderības problēmas

      • Windows Server 2003: Pēc noklusējuma ir iespējots iestatījums Windows Server 2003 NTLMv2 nosūtīt NTLM atbildes. Tādēļ Windows Server 2003 saņem kļūdas ziņojumu "Piekļuve liegta" pēc sākotnējās uzstādīšanas, mēģinot izveidot savienojumu ar klastera sistēma Windows NT 4.0 vai LanManager v 2.1 serveriem, piemēram, OS/2 Lanserver. Šī problēma rodas arī, ja mēģināt izveidot savienojumu ar serveri, kurā darbojas sistēma Windows Server 2003 vecākas versijas klientā.

      • Jūs instalējat Windows 2000 Security apkopojuma pakotni 1 (SRP1). SRP1 liek NTLM 2 (NTLMv2) versija. Šī pakotne tika izlaists pēc Windows 2000 2. servisa pakotni (SP2) izlaišanas. Lai iegūtu papildinformāciju par SRP1, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:

        Windows 2000 Security apkopojuma pakotni 1, 2002. gada janvārī
         

      • Windows 7 un Windows Server 2008 R2: daudzas trešo pušu CIFS serveriem, piemēram, Novell Netware 6 vai Internet Explorer darbojas Linux Samba serveri, nav informēti par NTLMv2 un izmantot tikai NTLM. Tādēļ līmeņi pārsniedz "2" neļauj veidot savienojumu. Tagad šīs operētājsistēmas versijas noklusējuma LmCompatibilityLevel tika mainīts uz "3". Tāpēc, jauninot Windows, šīs trešās puses filers var pārstāt darboties.

      • Microsoft Outlook klienti var tikt prasīts akreditācijas datus pat tad, ja tie jau esat pieteicies domēnā. Lietotājiem sniedz akreditācijas dati, tās saņemt šādu kļūdas ziņojumu: Windows 7 un Windows Server 2008 R2

        Pieteikšanās akreditācijas dati nav pareiza. Pārliecinieties, vai jūsu lietotājvārds un domēns ir pareizi un pēc tam vēlreiz ievadiet savu paroli.

        Startējot Outlook, iespējams, tiks parādīts uzaicinājums ievadīt akreditācijas datus pat tad, ja jūsu pieteikšanās tīkla drošības iestatījums ir iestatīts tranzītu vai paroles autentifikāciju. Esat ierakstījis pareizu akreditācijas datus, varat saņemt šādu kļūdas ziņojumu:

        Pieteikšanās akreditācijas dati nav pareiza.

        Tīkla pārraudzības trasēšanas var parādīt, globālo katalogu izsniedz attālās procedūras izsaukumu (RPC) kļūme 0x5 statusu. Statusa 0x5 nozīmē "Piekļuve liegta".

      • Windows 2000: Network Monitor tveršanas var parādīt šādu kļūdas NetBIOS pār TCP/IP (NetBT) servera ziņojumu bloka (SMB) sesiju:

        SMB R meklēšanas direktorija Dos kļūdas (5) STATUS_LOGON_FAILURE ACCESS_DENIED (109) (91) nederīgs lietotāja identifikators

      • Windows 2000: Ja Windows 2000 domēna ar NTLMv2 Level 2 vai jaunāku Windows NT 4.0 domēna ir uzticams, sistēma Windows 2000 domēna resursu datoros var rasties autentifikācijas kļūdas.

      • Windows 2000 un Windows XP: Pēc noklusējuma Windows 2000 un Windows XP iestatiet opciju LAN Manager autentifikācijas līmenis lokālā drošības politika uz 0. Vērtība 0 nozīmē "nosūtīt LM un NTLM atbildes."

        Piezīme. Windows NT 4.0 darbojas klasteru jāizmanto LM administrēšanai.

      • Windows 2000: Windows 2000 klastera autentificēt savieno mezglu, ja abas mezgli ir daļa no Windows NT 4.0 servisa pakotnes 6a (sp6a atinstalēšanas) domēnā.

      • IIS Lockdown rīks (HiSecWeb) iestata LMCompatibilityLevel vērtību RestrictAnonymous vērtību uz 2. līdz 5.

      • Pakalpojumi operētājsistēmai Macintosh

        Lietotāja autentifikācijas modulis (UAM): Microsoft UAM (lietotāja autentifikācijas modulis) nodrošina paroles, ko izmantojat, lai pieteiktos sistēmā Windows AFP (AppleTalk reģistrācijas protokols) serveru šifrēšanas metodi. Apple lietotāja autentifikācijas modulis (UAM) nodrošina tikai minimāla vai bez šifrēšanas. Tādēļ savu paroli viegli aizturēto, LAN vai internetā. Lai gan UAM nav obligāti, to nodrošina šifrētu autentifikāciju Windows 2000 serveriem, kas palaiž pakalpojumu sistēmai Macintosh. Šī versija ietver atbalstu NTLMv2 128 bitu šifrētu autentifikāciju un MacOS X 10.1 saderīgu laidienu.

        Pēc noklusējuma Windows Server 2003 Services Macintosh Server ļauj tikai Microsoft Authentication.


        Lai iegūtu papildinformāciju, noklikšķiniet uz šiem rakstu numuriem un lasiet Microsoft zināšanu bāzes rakstus:

        Macintosh klients nevar izveidot savienojumu ar pakalpojumu Mac operētājsistēmā Windows Server 2003

      • Windows Server 2008, Windows Server 2003, Windows XP un Windows 2000: Ja konfigurējat LMCompatibilityLevel vērtību 0 vai 1 un pēc tam konfigurējiet NoLMHash vērtība ir 1, lietojumprogrammas un komponenti var liegt piekļuvi, izmantojot NTLM. Šī problēma rodas tāpēc, ka dators ir konfigurēts LM iespējot, bet neizmantot LM saglabātas paroles.

        Ja konfigurējat NoLMHash vērtība ir 1, jākonfigurē LMCompatibilityLevel vērtības ir 2 vai jaunāku.

  11. Tīkla drošība: LDAP klienta pierakstīšanās prasības

    1. Fons

      Tīkla drošība: LDAP klienta pierakstīšanās prasības iestatījums nosaka datu parakstīšanu līmeni, ka tiek pieprasīts šo jautājumu Lightweight Directory Access Protocol (LDAP) BIND klientu vārdā pieprasa šādi:

      • None: LDAP BIND pieprasījuma izsniedz zvanītājs norādītās opcijas.

      • Vienojas par pierakstīšanos: Secure Sockets Layer/transporta slāņa drošība (SSL/TLS) netiek startēta, ja pieprasījumu LDAP BIND sāk ar datu LDAP pierakstīšanos iestatīts papildus zvanītājs norādītās opcijas. Ja SSL/TLS sācis pieprasījumu LDAP BIND uzsāk zvanītājs norādītās opcijas.

      • Pieprasīt pierakstīšanos: šī ir tā pati vienojas par pierakstīšanos. Tomēr vidējā līmeņa saslBindInProgress LDAP servera atbilde neliecina par LDAP pierakstīšanos trafiks ir nepieciešama, ja zvanītājs ir lika LDAP BIND komandu pieprasījums neizdevās.

    2. Risku konfigurācija

      Iespējojot tīkla drošība: LDAP klienta pierakstīšanās prasības iestatījums ir kaitīgas konfigurācijas iestatījumu. Ja serverim nepieciešama LDAP paraksti, jākonfigurē LDAP pierakstīšanos klientam. Nevar konfigurēt klienta LDAP nelietojat neļaus saziņa ar serveri. Tas izraisa lietotāju autentifikāciju, grupas politikas iestatījumi, pieteikšanās skriptu un citas iespējas kļūmi.

    3. Iemeslu, lai mainītu šo iestatījumu

      Neparakstīta tīkla datplūsma ir jutīga pret starpnieka uzbrukumiem, ja uzbrucējs pārtver pakotnes starp klientu un serveri, maina tos un pārsūta tās uz serveri. Kad tas notiek LDAP serverī, uzbrucējs var likt serverim atbildēt pamatā ir viltus vaicājumi no LDAP klienta. Ieviešot spēcīgs fiziskās drošības līdzekli, kas palīdz aizsargāt tīkla infrastruktūra var samazināt šo risku ar uzņēmuma tīklu. Turklāt jūs varat palīdzēt novērst visa veida pret starpnieka uzbrukumiem, pieprasot ciparparakstus, visas tīkla paketes ar IPSec autentifikācijas galvenes.

    4. Simbolisku nosaukumu:

      LDAPClientIntegrity

    5. Reģistra ceļš:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

  12. Notikumu žurnālu: Maksimālais drošības žurnāla lielums

    1. Fons

      Notikumu žurnālu: maksimālais žurnāla lielums drošības drošības iestatījums norāda maksimālo lielumu drošības notikumu žurnālu. Šis žurnāls ir maksimālais lielums ir 4 GB. Lai atrastu šo iestatījumu, izvērsiet
      Windows iestatījumus, un pēc tam izvērsiet Drošības iestatījumus.

    2. Risku konfigurācija

      Kaitīgo konfigurācijas iestatījumi ir šādi:

      • Ierobežo drošības žurnāla lielumu un drošības žurnālā saglabāšanas metodi, audita: beidzēt sistēmu nekavējoties, ja nevar pieteikties drošības kontroles iestatījums ir iespējots. Skatiet "audita: beidzēt sistēmu nekavējoties, ja nevar pieteikties drošības kontroles" sīkāku šī raksta sadaļā.

      • Tādējādi tiek pārrakstīti drošību saistītos notikumos interešu ierobežošana drošības žurnāla lielumu.

    3. Iemeslu dēļ, lai palielinātu šo iestatījumu

      Biznesa un drošības prasības var nosaka, jūs palielināt drošības žurnālā rīkoties detalizēti papildu drošības žurnālā vai drošības žurnāli saglabā ilgāku laiku.

    4. Iemesli, lai samazinātu šo iestatījumu

      Notikumu skatītāja žurnālos ir kartēts atmiņas faili. Notikumu žurnāla maksimālais garums ir ierobežota lokālā datora fiziskās atmiņas apjomu un virtuālo atmiņu, ko var veikt notikumu žurnālu. Palielina žurnālu ārpus virtuālās atmiņas apjoms, ko notikumu skatītājā var palielināties žurnāla ierakstus, kas saglabāti skaits.

    5. Piemēram, saderības problēmas

      Windows 2000: Datoriem, kuros darbojas sistēma Windows 2000 versijas, kas ir vecāka nekā 4. servisa pakotni (SP4) var pārtraukt notikumu reģistrēšanas sistēmas notikumu žurnālā pirms sasniedzot lielumu, kas ir norādīts maksimālais žurnāla lielums iestatījumu notikumu skatītājā, ja nepārraksta notikumi (manuāli notīrīt žurnālu) opcija ir ieslēgta.


      Lai iegūtu papildinformāciju, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:

      notikumu žurnālu pārtrauc notikumu reģistrēšana pirms maksimālais žurnāla lielums
       

  13. Notikumu žurnālu: Saglabā drošības žurnāls

    1. Fons

      Notikumu žurnālu: saglabā drošības žurnālā drošības iestatījums nosaka drošības žurnālā "aplaušana" metodi. Lai atrastu šo iestatījumu, izvērsiet Windows iestatījumusun pēc tam Drošības iestatījumus.

    2. Risku konfigurācija

      Kaitīgo konfigurācijas iestatījumi ir šādi:

      • Nevar saglabāt visas reģistrēti drošības notikumus, pirms tie tiek pārrakstīti

      • Maksimālais žurnāla lielums drošības iestatījumu pārāk mazs, lai drošības notikumu, tiek pārrakstītas konfigurēšana

      • Drošības žurnāla lielumu un saglabāšanas metodi, ierobežojot audita: beidzēt sistēmu nekavējoties, ja nevar pieteikties drošības kontroles drošības iestatījums ir iespējots

    3. Šis iestatījums ļauj iemesli

      Iespējot šo iestatījumu tikai tad, ja pārrakstīšanas notikumi dienām saglabāšanas metodi. Ja lietojat notikumu atbilstības sistēmu, kas saņem notikumiem, pārliecinieties, vai dienu skaits ir vismaz trīs reizes aptaujas biežums. To izdarīt ļauj neizdevās aptaujas cikliem.

  14. Tīkla piekļuves: ļaut visiem lietotājiem lietošanas atļaujas

    1. Fons

      Pēc noklusējuma tīkla piekļuves: ļaut visiem atļaujas attiecas uz anonīmu lietotāju iestatījums ir Windows Server 2003 Nav definēts . Pēc noklusējuma Windows Server 2003 neietver Anonīmas piekļuves pilnvara ikviens grupas.

    2. Saderības problēmas piemērs

      Šī vērtība

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous[REG_DWORD] = 0x0 pārtraukumi uzticamības izveidi starp Windows NT 4.0 un Windows Server 2003, Windows Server 2003 domēna domēna kontu un domēna Windows NT 4.0 ir resursu domēnā. Tas nozīmē, ka sistēmā Windows NT 4.0 ir uzticams domēna kontu un resursu domēns ir Trusting pusē Windows Server 2003. Tas notiek tāpēc, ka procesu sākt trust ACL pēc sākotnējās anonīmu savienojumu ar visiem pilnvaru, kas ietver anonīms SID sistēmā Windows NT 4.0.

    3. Iemeslu, lai mainītu šo iestatījumu

      Vērtību iestatītu 0x1 vai izmantojot GPO OU domēna kontrolleris ir: tīkla piekļuves: ļaut visiem atļaujas attiecas uz anonīmu lietotāju - iespējots ļauj uzticamības darbi.

      Piezīme. Lielākajā daļā citu drošības iestatījumus atradīsies vērtību nevis uz leju līdz 0x0 ļoti droša stāvoklī. Drošāku prakse būtu jāmaina datora reģistrs primārā domēnu kontrollera emulatora vietā domēna kontrolleros. Pārvietojot primāro domēna kontrollera emulatora loma jebkāda iemesla dēļ, reģistrā ir jāatjaunina uz jaunu serveri.

      Pēc šī vērtība ir iestatīta, ir nepieciešama restartēšana.

    4. Reģistra ceļš

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

  15. NTLMv2 autentifikācija

    1. Sesijas drošību

      Klienta un servera sesijas minimālo drošības standartu nosaka sesijas drošību. Ieteicams pārbaudīt šo drošības politikas iestatījumi programmā Microsoft pārvaldības konsoles grupu politikas redaktora papildprogrammu:

      • Datora Settings\Windows Settings\Security Settings\Local Policies\Security opcijas

      • Tīkla drošība: Vismaz sesijas drošības NTLM SSP sistēma (tostarp drošu RPC) serveriem

      • Tīkla drošība: Vismaz sesijas drošības NTLM SSP sistēma (tostarp drošu RPC) klienti

      Šie iestatījumi opcijas ir šādas:

      • Pieprasīt ziņojumu integritāte

      • Pieprasīt ziņojumu konfidencialitāte

      • Nepieciešama NTLM 2. versiju sesijas drošību

      • Pieprasīt 128 bitu šifrēšana

      Pirms Windows 7 noklusējuma iestatījums ir No prasībām. Sākot ar sistēmu Windows 7, noklusējuma uzlabotai drošībai mainīti pieprasīt 128 bitu šifrēšanu . Ar noklusējuma, pārmantotām ierīcēm, kas nav atbalsta 128 bitu šifrēšanu nevar izveidot savienojumu.

      Šīs politikas nosaka minimālo drošības standartu programma-programmai sakaru sesijas klienta serverī.

      Ņemiet vērā, ka kaut arī aprakstīts, kā derīgu iestatījumus, karodziņu ziņojumu integritāti un konfidencialitāti neizmanto NTLM sesijas drošību, nosakot.

      Vēsturiski Windows NT atbalstīja šo divu veidu izaicinājuma/atbildes autentifikāciju, veicot pieteikšanos tīklā:

      • LM izaicinājumu/atbildi

      • NTLM 1. versijas izaicinājumu/atbildi

      LM atļauj sadarbspēju ar uzstādīto bāzes klientiem un serveriem. NTLM sniedz labāku drošību savienojumu starp klientiem un serveriem.

      Atbilstošo reģistra atslēgas ir šādi:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

    2. Risku konfigurācija

      Šis iestatījums kontrolē to, kā jārīkojas tīkla sesijas droši izmanto NTLM. Tas ietekmē RPC sistēma sesijas autentificēta ar NTLM, piemēram. Pastāv šāds risks:

      • Izmantojot vecākas autentifikācijas metodes nekā NTLMv2 vienkāršo sakaru uzbrukumu dēļ vienkāršāku jaukšanas metodes.

      • Zemāka par 128 bitu šifrēšanas atslēgas izmantošana ļauj uzbrucēji saraut sakarus, izmantojot necilvēks-force uzbrukumus.

Laika sinhronizācija

Laika sinhronizācija neizdevās. Laiks pēc vairāk nekā 30 minūtes attiecīgajā datorā ir izslēgts. Pārliecinieties, ka klienta datora pulkstenī ir sinhronizēts ar domēna kontrolleri pulksteni.

SMB pierakstīšanās risinājums

Ieteicams instalēt servisa pakotnes 6a (sp6a atinstalēšanas) sadarboties domēnā Windows Server 2003, Windows NT 4.0 klientiem. Sistēma Windows 98 Second Edition klientiem, klientiem sistēma Windows 98 un Windows 95 klientos jāpalaiž Directory Services klientu veikt NTLMv2. Ja sistēma Windows NT 4.0 klienti nav instalēta Windows NT 4.0 SP6 vai sistēma Windows 95 klientiem, klientiem darbojas operētājsistēma Windows 98 un Windows 98 SE klientos nav Directory Services klientu instalēšanas atspējojiet SMB noklusējuma domēna pieteikšanās kontroliera politikas iestatījuma domēna kontrollerī ir OU un saistīt šo politiku visas ou, kas vieso domēna kontrolleri.

Direktoriju pakalpojumu klienta sistēmai Windows 98 Second Edition un Windows 98, Windows 95 veiks SMB parakstīšanu ar Windows 2003 serveriem NTLM autentifikāciju, bet nav saskaņā NTLMv2 autentifikācija. Turklāt Windows 2000 serveriem neatbild SMB pierakstīšanās pieprasījumiem no šiem klientiem.

Lai gan mēs neiesakām, varat novērst SMB parakstīšanu no prasības par visu domēna kontrolleri, kas izmanto Windows Server 2003 domēna. Lai konfigurētu šo drošības iestatījumu, rīkojieties šādi:

  1. Atvērt noklusējuma domēna kontrollera politika.

  2. Atveriet mapi Datora Configuration\Windows Settings\Security Settings\Local Policies\Security opcijas .

  3. Atrodiet un pēc tam noklikšķiniet uz Microsoft tīkla serveri: ciparparakstu sakari (vienmēr) politikas iestatījumu un pēc tam noklikšķiniet uz atspējots.

Svarīgi! Šī sadaļa, metode vai uzdevums ietver darbības, kuras izpildot, var modificēt reģistru. Tomēr, ja reģistru modificēsit nepareizi, var rasties nopietnas problēmas. Tāpēc veiciet šīs darbības uzmanīgi. Papildu drošībai dublējiet reģistru pirms tā mainīšanas. Pēc tam varat atjaunot reģistru, ja rodas problēmas. Lai iegūtu papildinformāciju par to, kā dublēt un atjaunot reģistru, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:

kā dublēt un atjaunot reģistru sistēmā WindowsIzslēdziet arī SMB pierakstīšanos serverī, modificējot reģistru. Lai to izdarītu, izpildiet tālāk norādītās darbības.

  1. Noklikšķiniet uz Sākt, noklikšķiniet uz palaist, ierakstiet regeditun pēc tam noklikšķiniet uz Labi.

  2. Atrodiet šādu apakšatslēgu un noklikšķiniet uz:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

  3. Noklikšķiniet uz ieraksta enablesecuritysignature .

  4. Izvēlnē Rediģēt noklikšķiniet uz Mainīt.

  5. Vērtības datu lodziņā ievadiet 0un pēc tam noklikšķiniet uz Labi.

  6. Aizveriet reģistra redaktoru.

  7. Restartējiet datoru vai pārtraukt un pēc tam restartējiet servera pakalpojums. Lai to paveiktu, komandu uzvednē ierakstiet šādas komandas un pēc katras komandas ievadīšanas nospiediet taustiņu Enter:
    net stop server
    net start server

Piezīme. Atbilstošo taustiņu klienta datorā atrodas šajā reģistra apakšatslēgā:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\ParametersTālāk norādītas tulkots kļūdu kodi statusa kodi un vārds vārdā kļūdu ziņojumi, kas ir minēts iepriekš:

5. kļūda
ERROR_ACCESS_DENIED

Piekļuve liegta.

1326 kļūdas

ERROR_LOGON_FAILURE

Pieteikšanās kļūme: nezināms lietotāja vārds vai nederīga parole.

kļūda 1788

ERROR_TRUSTED_DOMAIN_FAILURE

Uzticamības relācija starp primāro domēnu un uzticamo domēnu neizdevās.

kļūda 1789

ERROR_TRUSTED_RELATIONSHIP_FAILURE

Uzticamības relācija starp šo darbstaciju un primāro domēnu neizdevās.

Lai iegūtu papildinformāciju, noklikšķiniet uz šiem rakstu numuriem un lasiet Microsoft zināšanu bāzes rakstus:

kā konfigurēt grupu politikas, lai iestatītu sistēmā Windows Server 2003 drošības sistēmas pakalpojumi
 

iespējošanu SMB pierakstīšanos sistēmā Windows NT
 

kā pieteikties iepriekš drošības veidnes sistēmā Windows Server 2003
 

jums ir jānorāda Windows konta akreditācijas datus, veidojot savienojumu ar Exchange Server 2003, izmantojot Outlook 2003 RPC over HTTP līdzeklis

Vai nepieciešama papildu palīdzība?

Paplašiniet savas prasmes
Iepazīties ar apmācību
Esiet pirmais, kas saņem jaunās iespējas
Pievienoties Microsoft Insider

Vai šī informācija bija noderīga?

Paldies par jūsu atsauksmēm!

Paldies par atsauksmēm! Šķiet, ka jums varētu būt noderīgi sazināties ar kādu no mūsu Office atbalsta speciālistiem.

×