Klient-, tjeneste- og programproblemer kan oppstå hvis du endrer sikkerhetsinnstillinger og tilordninger av brukerrettigheter

Windows XP

Hvis du vil øke bevisstheten om feilkonfigurerte sikkerhetsinnstillinger, bruker du verktøyet gruppepolicy Objektredigering til å endre sikkerhetsinnstillingene. Når du bruker gruppepolicy Object Editor, forbedres tilordninger av brukerrettigheter på følgende operativsystemer:

• Windows XP Professional Service Pack 2 (SP2)

• Windows Server 2003 Service Pack 1 (SP1)

Den forbedrede funksjonen er en dialogboks som inneholder en kobling til denne artikkelen. Dialogboksen vises når du endrer en sikkerhetsinnstilling eller en brukerrettighetstilordning til en innstilling som gir mindre kompatibilitet og er mer restriktiv. Hvis du endrer den samme sikkerhetsinnstillingen eller brukerrettighetstilordningen direkte ved hjelp av registeret eller ved hjelp av sikkerhetsmaler, er effekten den samme som å endre innstillingen i gruppepolicy Objektredigering. Dialogboksen som inneholder koblingen til denne artikkelen, vises imidlertid ikke.

Denne artikkelen inneholder eksempler på klienter, programmer og operasjoner som påvirkes av bestemte sikkerhetsinnstillinger eller tilordninger av brukerrettigheter. Eksemplene er imidlertid ikke autoritative for alle Microsoft-operativsystemer, for alle tredjeparts operativsystemer eller for alle programversjoner som påvirkes. Ikke alle sikkerhetsinnstillinger og tilordninger av brukerrettigheter er inkludert i denne artikkelen.

Vi anbefaler at du validerer kompatibiliteten til alle sikkerhetsrelaterte konfigurasjonsendringer i en testskog før du introduserer dem i et produksjonsmiljø. Testskogen må speile produksjonsskogen på følgende måter:

• Versjoner av klient- og serveroperativsystemet, klient- og serverprogrammer, oppdateringspakkeversjoner, hurtigreparasjoner, skjemaendringer, sikkerhetsgrupper, gruppemedlemskap, tillatelser for objekter i filsystemet, delte mapper, registeret, Active Directory-katalogtjenesten, lokale og gruppepolicy innstillinger og objektantallstype og plassering

• Administrative oppgaver som utføres, administrative verktøy som brukes, og operativsystemer som brukes til å utføre administrative oppgaver

• Operasjoner som utføres, for eksempel følgende:

  • Godkjenning av datamaskin og brukerpålogging

  • Passord tilbakestilles av brukere, etter datamaskiner og av administratorer

  • Surfing

  • Angi tillatelser for filsystemet, for delte mapper, for registret og active directory-ressurser ved hjelp av ACL Editor i alle klientoperativsystemer i alle konto- eller ressursdomener fra alle klientoperativsystemer fra alle konto- eller ressursdomener

  • Utskrift fra administrative og ikke-administrative kontoer

Windows Server 2003 SP1

Brukerrettigheter

Listen nedenfor beskriver en brukerrettighet, identifiserer konfigurasjonsinnstillinger som kan forårsake problemer, beskriver hvorfor du bør bruke brukerrettigheten og hvorfor du kanskje vil fjerne brukerrettigheten, og gir eksempler på kompatibilitetsproblemer som kan oppstå når brukerrettigheten er konfigurert.

1. Få tilgang til denne datamaskinen fra nettverket

   1. Bakgrunn
      
      Muligheten til å samhandle med eksterne Windows-baserte datamaskiner krever access denne datamaskinen fra nettverkets brukerrettighet. Eksempler på slike nettverksoperasjoner inkluderer følgende:

      • Replikering av Active Directory mellom domenekontrollere i et felles domene eller skog

      • Godkjenningsforespørsler til domenekontrollere fra brukere og fra datamaskiner

      • Tilgang til delte mapper, skrivere og andre systemtjenester som er plassert på eksterne datamaskiner på nettverket

      
      
      Brukere, datamaskiner og tjenestekontoer får eller mister Access denne datamaskinen fra nettverksbrukeren ved å bli eksplisitt eller implisitt lagt til eller fjernet fra en sikkerhetsgruppe som har fått denne brukerrettigheten. En brukerkonto eller en datamaskinkonto kan for eksempel eksplisitt legges til i en egendefinert sikkerhetsgruppe eller en innebygd sikkerhetsgruppe av en administrator, eller den kan implisitt legges til av operativsystemet i en beregnet sikkerhetsgruppe, for eksempel domenebrukere, godkjente brukere eller domenekontrollere for virksomheter.
      
      Brukerkontoer og datamaskinkontoer gis som standard Tilgang til denne datamaskinen fra nettverksbrukeren direkte når beregnede grupper, for eksempel Alle, eller fortrinnsvis Godkjente brukere og, for domenekontrollere, Enterprise Domain Controllers-gruppen, er definert i standard domenekontrollere gruppepolicy Object (GPO).

   2. Risikable konfigurasjoner
      
      Følgende er skadelige konfigurasjonsinnstillinger:

      • Fjerner sikkerhetsgruppen Enterprise Domain Controllers fra denne brukerrettigheten

      • Fjerne gruppen Godkjente brukere eller en eksplisitt gruppe som tillater brukere, datamaskiner og tjenestekontoer brukeren har rett til å koble til datamaskiner over nettverket

      • Fjerner alle brukere og datamaskiner fra denne brukerrettigheten

   3. Grunner til å gi denne brukeren rettighet

      • Hvis du gir tilgang til denne datamaskinen fra nettverksbrukerrettigheten til gruppen Enterprise Domain Controllers, oppfylles godkjenningskravene som Active Directory-replikering må ha for at replikering skal forekomme mellom domenekontrollere i samme skog.

      • Denne brukerrettigheten gir brukere og datamaskiner tilgang til delte filer, skrivere og systemtjenester, inkludert Active Directory.

      • Denne brukerrettigheten kreves for at brukere skal få tilgang til e-post ved hjelp av tidlige versjoner av Microsoft Outlook Web Access (OWA).

   4. Grunner til å fjerne denne brukerrettigheten

      • Brukere som kan koble datamaskinene sine til nettverket, kan få tilgang til ressurser på eksterne datamaskiner de har tillatelser til. Denne brukerrettigheten er for eksempel nødvendig for at en bruker skal kunne koble til delte skrivere og mapper. Hvis denne brukerrettigheten gis til Alle-gruppen, og hvis noen delte mapper har både tillatelser for å dele og NTFS-filsystem konfigurert slik at den samme gruppen har lesetilgang, kan hvem som helst vise filer i de delte mappene. Dette er imidlertid en usannsynlig situasjon for nye installasjoner av Windows Server 2003 fordi standarddelingen og NTFS-tillatelsene i Windows Server 2003 ikke inkluderer Alle-gruppen. For systemer som oppgraderes fra Microsoft Windows NT 4.0 eller Windows 2000, kan dette sikkerhetsproblemet ha høyere risikonivå fordi standarddelingen og filsystemtillatelsene for disse operativsystemene ikke er like restriktive som standardtillatelsene i Windows Server 2003.

      • Det er ingen gyldig grunn til å fjerne enterprise domain controllers-gruppen fra denne brukerrettigheten.

      • Alle-gruppen fjernes vanligvis til fordel for gruppen Godkjente brukere. Hvis Alle-gruppen fjernes, må gruppen Godkjente brukere gis denne brukerrettigheten.

      • Windows NT 4.0-domener som oppgraderes til Windows 2000, gir ikke eksplisitt tilgang til denne datamaskinen fra nettverksbrukerrettigheten til Alle-gruppen, gruppen Godkjente brukere eller enterprise-domenekontrollergruppen. Når du fjerner Alle-gruppen fra Windows NT 4.0-domenepolicyen, vil Active Directory-replikering mislykkes med feilmeldingen Ingen tilgang etter at du har oppgradert til Windows 2000. Winnt32.exe i Windows Server 2003 unngår denne feilkonfigurasjonen ved å gi Enterprise Domain Controllers-gruppen denne brukeren rett når du oppgraderer windows NT 4.0 primære domenekontrollere (PDCer). Gi gruppen virksomhetsdomenekontrollere denne brukeren rett hvis den ikke finnes i gruppepolicy Object Editor.

   5. Eksempler på kompatibilitetsproblemer

      • Windows 2000 og Windows Server 2003: Replikering av følgende partisjoner vil mislykkes med «Ingen tilgang»-feil, som rapportert av overvåkingsverktøy som REPLMON og REPADMIN eller replikeringshendelser i hendelsesloggen.

        • Active Directory-skjemapartisjon

        • Konfigurasjonspartisjon

        • Domenepartisjon

        • Global katalogpartisjon

        • Programpartisjon

      • Alle operativsystemer for Microsoft-nettverk: Godkjenning av brukerkonto fra eksterne nettverksklientdatamaskiner mislykkes med mindre brukeren eller en sikkerhetsgruppe som brukeren er medlem av, har fått denne brukerrettigheten.

      • Alle operativsystemer for Microsoft-nettverk: Kontogodkjenning fra eksterne nettverksklienter vil mislykkes med mindre kontoen eller en sikkerhetsgruppe kontoen er medlem av, har fått denne brukerrettigheten. Dette scenarioet gjelder for brukerkontoer, datamaskinkontoer og tjenestekontoer.

      • Alle operativsystemer for Microsoft-nettverk: Hvis du fjerner alle kontoer fra denne brukerrettigheten, hindrer du at en konto logger seg på domenet eller får tilgang til nettverksressurser. Hvis beregnede grupper som Enterprise Domain Controllers, Everyone eller Authenticated Users fjernes, må du eksplisitt gi denne brukeren rett til kontoer eller sikkerhetsgrupper som kontoen er medlem av for å få tilgang til eksterne datamaskiner over nettverket. Dette scenarioet gjelder for alle brukerkontoer, alle datamaskinkontoer og for alle tjenestekontoer.

      • Alle operativsystemer for Microsoft-nettverk: Den lokale administratorkontoen bruker et tomt passord. Nettverkstilkobling med tomme passord er ikke tillatt for administratorkontoer i et domenemiljø. Med denne konfigurasjonen kan du forvente å motta feilmeldingen Ingen tilgang.

2. Tillat pålogging lokalt

   1. Bakgrunn
      
      Brukere som prøver å logge seg på konsollen på en Windows-basert datamaskin (ved hjelp av hurtigtasten CTRL+ALT+DELETE), og kontoer som prøver å starte en tjeneste, må ha lokale påloggingsrettigheter på vertsdatamaskinen. Eksempler på lokale påloggingsoperasjoner inkluderer administratorer som logger seg på konsollene på medlemsdatamaskiner, eller domenekontrollere i hele bedriften og domenebrukere som logger seg på medlemsdatamaskiner for å få tilgang til skrivebordene sine ved hjelp av kontoer som ikke er privilegerte. Brukere som bruker en tilkobling til eksternt skrivebord eller Terminal Services, må ha tillatelsespåloggingen lokalt på måldatamaskiner som kjører Windows 2000 eller Windows XP, fordi disse påloggingsmodusene anses som lokale for vertsdatamaskinen. Brukere som logger på en server som har Terminal Server aktivert og som ikke har denne brukerrettigheten, kan fortsatt starte en ekstern interaktiv økt i Windows Server 2003-domener hvis de har brukerrettigheten Tillat pålogging via Terminal Services.

   2. Risikable konfigurasjoner
      
      Følgende er skadelige konfigurasjonsinnstillinger:

      • Fjerner administrative sikkerhetsgrupper, inkludert kontooperatorer, sikkerhetskopioperatorer, utskriftsoperatorer eller serveroperatorer, og den innebygde administratorgruppen fra policyen for standard domenekontroller.

      • Fjerner tjenestekontoer som brukes av komponenter og programmer på medlemsdatamaskiner og på domenekontrollere i domenet, fra policyen for standard domenekontroller.

      • Fjerner brukere eller sikkerhetsgrupper som logger på konsollen på medlemsdatamaskinene i domenet.

      • Fjerner tjenestekontoer som er definert i den lokale SAM-databasen (Security Accounts Manager) for medlemsdatamaskiner eller arbeidsgruppedatamaskiner.

      • Fjerner ikke-innebygde administrative kontoer som godkjenner over Terminal Services som kjører på en domenekontroller.

      • Legge til alle brukerkontoer i domenet eksplisitt eller implisitt gjennom Alle-gruppen i påloggingsrettigheten Avslå lokalt. Denne konfigurasjonen hindrer brukere i å logge seg på en medlemsdatamaskin eller til en domenekontroller i domenet.

   3. Grunner til å gi denne brukeren rettighet

      • Brukere må ha tillatelsesrettigheter for lokalt pålogging for å få tilgang til konsollen eller skrivebordet på en arbeidsgruppedatamaskin, en medlemsdatamaskin eller en domenekontroller.

      • Brukere må ha denne brukerrettigheten til å logge på over en Terminal Services-økt som kjører på en Windows 2000-basert medlemsdatamaskin eller domenekontroller.

   4. Grunner til å fjerne denne brukerrettigheten

      • Hvis du ikke begrenser konsolltilgang til legitime brukerkontoer, kan det føre til at uautoriserte brukere laster ned og kjører skadelig kode for å endre brukerrettighetene.

      • Fjerning av tillat pålogging lokalt brukerrettighet hindrer uautorisert pålogging på konsollene på datamaskiner, for eksempel domenekontrollere eller programservere.

      • Fjerning av denne påloggingsrettigheten hindrer kontoer som ikke er domenet, fra å logge på på konsollen på medlemsdatamaskinene i domenet.

   5. Eksempler på kompatibilitetsproblemer

      • Terminalservere for Windows 2000: Tillat pålogging lokalt brukerrettighet kreves for at brukere skal kunne logge seg på Terminal-servere i Windows 2000.

      • Windows NT 4.0, Windows 2000, Windows XP eller Windows Server 2003: Brukerkontoer må gis denne brukerrettigheten til å logge på konsollen på datamaskiner som kjører Windows NT 4.0, Windows 2000, Windows XP eller Windows Server 2003.

      • Windows NT 4.0 og nyere: På datamaskiner som kjører Windows NT 4.0 og nyere, hvis du legger til rettigheten Tillat pålogging lokalt, men du implisitt eller eksplisitt også gir påloggingsrettigheten Avslå lokalt, vil ikke kontoene kunne logge seg på konsollen til domenekontrollerne.

3. Omgå traverskontroll

   1. Bakgrunn
      
      Med brukerrettigheten Hopp over traversering kan brukeren bla gjennom mapper i NTFS-filsystemet eller i registeret uten å se etter tillatelsen for spesiell tilgang til traversmappen. Brukerrettigheten Hopp over traversering tillater ikke at brukeren lister opp innholdet i en mappe. Det gjør det mulig for brukeren å krysse bare sine mapper.

   2. Risikable konfigurasjoner
      
      Følgende er skadelige konfigurasjonsinnstillinger:

      • Fjerner ikke-administrative kontoer som logger på Windows 2000-baserte Terminal Services-datamaskiner eller Windows Server 2003-baserte Terminal Services-datamaskiner som ikke har tillatelse til å få tilgang til filer og mapper i filsystemet.

      • Fjerner Alle-gruppen fra listen over sikkerhetskontohavere som har denne brukeren rett som standard. Windows operativsystemer, og også mange programmer, er utformet med forventning om at alle som kan legitimt få tilgang til datamaskinen vil ha Bypass traversering sjekke brukerens rett. Hvis du fjerner Alle-gruppen fra listen over sikkerhetskontohavere som har denne brukerrettigheten som standard, kan dette føre til ustabilitet i operativsystemet eller programfeil. Det er bedre at du lar denne innstillingen stå som standard.

   3. Grunner til å gi denne brukeren rettighet
      
      Standardinnstillingen for brukerrettigheten hopp over traversering er å tillate alle å hoppe over traverskontroll. For erfarne Systemansvarlige i Windows er dette den forventede virkemåten, og de konfigurerer filsystemtilgangskontrollister (SACLer) tilsvarende. Det eneste scenarioet der standardkonfigurasjonen kan føre til et uhell, er hvis administratoren som konfigurerer tillatelser, ikke forstår virkemåten og forventer at brukere som ikke får tilgang til en overordnet mappe, ikke får tilgang til innholdet i underordnede mapper.

   4. Grunner til å fjerne denne brukerrettigheten
      
      For å prøve å hindre tilgang til filene eller mappene i filsystemet, kan organisasjoner som er svært opptatt av sikkerhet, bli fristet til å fjerne Alle-gruppen, eller til og med Brukere-gruppen, fra listen over grupper som har bypass-traverskontroll av brukerrettighet.

   5. Eksempler på kompatibilitetsproblemer

      • Windows 2000, Windows Server 2003: Hvis brukerrettigheten bypass-traversering fjernes eller er feilkonfigurert på datamaskiner som kjører Windows 2000 eller Windows Server 2003, replikeres gruppepolicy innstillingene i SYVOL-mappen ikke mellom domenekontrollere i domenet.

      • Windows 2000, Windows XP Professional, Windows Server 2003: Datamaskiner som kjører Windows 2000, Windows XP Professional eller Windows Server 2003 loggfører hendelser 1000 og 1202 og vil ikke kunne bruke datamaskinpolicy og brukerpolicy når de nødvendige filsystemtillatelsene fjernes fra SYSVOL-treet hvis forbikoblingskontrollens brukerrettighet fjernes eller er feilkonfigurert.
        
         

      • Windows 2000, Windows Server 2003: På datamaskiner som kjører Windows 2000 eller Windows Server 2003, forsvinner Kvote-fanen i Windows Utforsker når du viser egenskaper på et volum.

      • Windows 2000: Ikke-administratorer som logger seg på en Windows 2000 terminalserver, kan få følgende feilmelding:

        Userinit.exe programfeil. Programmet kan ikke initialiseres riktig 0xc0000142 klikk OK for å avslutte appen.

      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Brukere med datamaskiner som kjører Windows NT 4.0, Windows 2000, Windows XP eller Windows Server 2003, får kanskje ikke tilgang til delte mapper eller filer i delte mapper, og de kan få feilmeldingen «Ingen tilgang» hvis de ikke får tilgang til forbikoblingskontroll av brukerens rettighet.
        
        
         

      • Windows NT 4.0: På Windows NT 4.0-baserte datamaskiner vil fjerning av forbikoblingskontroll av brukerrettighet føre til at en filkopi slipper filstrømmer. Hvis du fjerner denne brukerrettigheten når en fil kopieres fra en Windows-klient eller fra en Macintosh-klient til en Windows NT 4.0-domenekontroller som kjører Services for Macintosh, går målfilstrømmen tapt, og filen vises som en ren tekstfil.

      • Microsoft Windows 95, Microsoft Windows 98: På en klientdatamaskin som kjører Windows 95 eller Windows 98, vil kommandoen net use * /home mislykkes med feilmeldingen «Ingen tilgang» hvis gruppen Godkjente brukere ikke får rettigheten Omgå traverseringskontroll.

      • Outlook Web Access: Ikke-administratorer kan ikke logge på Microsoft Outlook Web Access, og de får feilmeldingen Ingen tilgang hvis de ikke får rettigheten Omgå traverseringskontroll.

Sikkerhetsinnstillinger

Listen nedenfor identifiserer en sikkerhetsinnstilling, og den nestede listen gir en beskrivelse av sikkerhetsinnstillingen, identifiserer konfigurasjonsinnstillinger som kan forårsake problemer, beskriver hvorfor du bør bruke sikkerhetsinnstillingen, og beskriver deretter hvorfor du kanskje vil fjerne sikkerhetsinnstillingen. Den nestede listen gir deretter et symbolsk navn for sikkerhetsinnstillingen og registerbanen til sikkerhetsinnstillingen. Til slutt finnes det eksempler på kompatibilitetsproblemer som kan oppstå når sikkerhetsinnstillingen er konfigurert.

1. Overvåking: Avslutt systemet umiddelbart hvis det ikke kan logge sikkerhetsrevisjoner

   1. Bakgrunn

      • Overvåking: Avslutt systemet umiddelbart hvis innstillingene for sikkerhetsovervåking ikke kan logges, avgjør om systemet slås av hvis du ikke kan logge sikkerhetshendelser. Denne innstillingen er nødvendig for C2-evalueringen til programmet Trusted Computer Security Evaluation Criteria (TCSEC) og for Common Criteria for Information Technology Security Evaluation for å forhindre overvåkingshendelser hvis overvåkingssystemet ikke kan logge disse hendelsene. Hvis overvåkingssystemet mislykkes, avsluttes systemet, og det vises en Stopp-feilmelding.

      • Hvis datamaskinen ikke kan registrere hendelser i sikkerhetsloggen, kan det hende at kritiske bevis eller viktig feilsøkingsinformasjon ikke er tilgjengelig for gjennomgang etter en sikkerhetshendelse.

   2. Risikabel konfigurasjon
      
      Følgende er en skadelig konfigurasjonsinnstilling: Overvåking: Avslutt systemet umiddelbart hvis innstillingen for sikkerhetsrevisjoner ikke er aktivert, og størrelsen på sikkerhetshendelsesloggen begrenses av alternativet Ikke overskriv hendelser (tøm logg manuelt), alternativet Overskriv hendelser etter behov eller alternativet Overskriv hendelser eldre enn antall dager i Hendelsesliste. Se delen Eksempler på kompatibilitetsproblemer hvis du vil ha informasjon om bestemte risikoer for datamaskiner som kjører den opprinnelige utgitte versjonen av Windows 2000, Windows 2000 Service Pack 1 (SP1), Windows 2000 SP2 eller Windows 2000 SP3.

   3. Grunner til å aktivere denne innstillingen
      
      Hvis datamaskinen ikke kan registrere hendelser i sikkerhetsloggen, kan det hende at kritiske bevis eller viktig feilsøkingsinformasjon ikke er tilgjengelig for gjennomgang etter en sikkerhetshendelse.

   4. Grunner til å deaktivere denne innstillingen

      • Aktivering av overvåking: Avslutt systemet umiddelbart hvis innstillingen for sikkerhetsovervåking ikke kan logges hvis en sikkerhetsrevisjon av en eller annen grunn ikke kan logges. Vanligvis kan ikke en hendelse logges når sikkerhetsovervåkingsloggen er full, og når den angitte oppbevaringsmetoden enten er alternativet Ikke overskriv hendelser (fjern logg manuelt) eller alternativet Overskriv hendelser som er eldre enn antall dager.

      • Den administrative byrden ved aktivering av revisjonen: Avslutt systemet umiddelbart hvis innstillingen for sikkerhetsrevisjoner ikke kan logges, kan være svært høy, spesielt hvis du også aktiverer alternativet Ikke overskriv hendelser (fjern logg manuelt) for sikkerhetsloggen. Denne innstillingen gir individuell ansvar for operatorhandlinger. En administrator kan for eksempel tilbakestille tillatelser for alle brukere, datamaskiner og grupper i en organisasjonsenhet (OU), der overvåking ble aktivert ved hjelp av den innebygde administratorkontoen eller en annen delt konto, og deretter nekte at de tilbakestiller slike tillatelser. Aktivering av innstillingen reduserer imidlertid robustheten til systemet fordi en server kan bli tvunget til å slå av ved å overvelde den med påloggingshendelser og med andre sikkerhetshendelser som er skrevet til sikkerhetsloggen. I tillegg, fordi avslutningen ikke er grasiøs, kan uopprettelig skade på operativsystemet, programmene eller dataene resultere. Selv om NTFS garanterer at filsystemets integritet opprettholdes under en ikke-raceful systemavslutning, kan det ikke garanteres at hver datafil for hvert program fortsatt vil være i brukbar form når systemet starter på nytt.

   5. Symbolsk navn:
      
      CrashOnAuditFail

   6. Registerbane:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

   7. Eksempler på kompatibilitetsproblemer

      • Windows 2000: På grunn av en feil kan datamaskiner som kjører den opprinnelige utgitte versjonen av Windows 2000, Windows 2000 SP1, Windows 2000 SP2 eller Windows Server SP3 stoppe loggingshendelser før størrelsen som er angitt i alternativet Maksimal loggstørrelse for sikkerhetshendelsesloggen, er nådd. Denne feilen er løst i Windows 2000 Service Pack 4 (SP4). Kontroller at windows 2000-domenekontrollerne har Windows 2000 Service Pack 4 installert før du vurderer å aktivere denne innstillingen.
        
         

      • Windows 2000, Windows Server 2003: Datamaskiner som kjører Windows 2000 eller Windows Server 2003, kan slutte å svare, og kan deretter starte på nytt spontant hvis overvåkingen: Avslutt systemet umiddelbart hvis innstillingen for sikkerhetsovervåking ikke er aktivert, sikkerhetsloggen er full, og en eksisterende oppføring i hendelsesloggen kan ikke overskrives. Når datamaskinen starter på nytt, vises følgende Stopp-feilmelding:

        STOPP: C0000244 {Overvåking mislyktes}
        Et forsøk på å generere en sikkerhetsrevisjon mislyktes.

        Hvis du vil gjenopprette, må en administrator logge på, arkivere sikkerhetsloggen (valgfritt), fjerne sikkerhetsloggen og deretter tilbakestille dette alternativet (valgfritt og etter behov).

      • Microsoft Network Client for MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Ikke-administratorer som prøver å logge på et domene, får følgende feilmelding:

        Kontoen din er konfigurert for å hindre deg i å bruke denne datamaskinen. Prøv en annen datamaskin.

      • Windows 2000: På Windows 2000-baserte datamaskiner vil ikke ikke administratorer kunne logge på servere for ekstern tilgang, og de vil få en feilmelding som ligner på følgende:

        Ukjent bruker eller ugyldig passord

      • Windows 2000: På windows 2000-domenekontrollere stopper Intersite Messaging-tjenesten (Ismserv.exe) og kan ikke startes på nytt. DCDIAG rapporterer feilen som «mislykket testtjenester ISMserv», og hendelses-ID 1083 registreres i hendelsesloggen.

      • Windows 2000: På windows 2000-domenekontrollere vil Active Directory-replikering mislykkes, og meldingen Ingen tilgang vises hvis sikkerhetshendelsesloggen er full.

      • Microsoft Exchange 2000: Servere som kjører Exchange 2000, kan ikke montere databasen for informasjonslageret, og hendelse 2102 blir registrert i hendelsesloggen.

      • Outlook, Outlook Web Access: Ikke-administratorer får ikke tilgang til e-posten via Microsoft Outlook eller Via Microsoft Outlook Web Access, og de får en 503-feil.

2. Domenekontroller: Krav til LDAP-serversignering

   1. Bakgrunn
      
      Domenekontrolleren: Sikkerhetsinnstillingen for LDAP-serversigneringskrav bestemmer om LDAP-serveren (Lightweight Directory Access Protocol) krever LDAP-klienter for å forhandle om datasignering. Mulige verdier for denne policyinnstillingen er som følger:

      • Ingen: Datasignering er ikke nødvendig for å binde med serveren. Hvis klienten ber om datasignering, støtter serveren det.

      • Krev signering: Alternativet for LDAP-datasignering må forhandles med mindre Transport Layer Security/Secure Socket Layer (TLS/SSL) brukes.

      • ikke definert: Denne innstillingen er ikke aktivert eller deaktivert.

   2. Risikable konfigurasjoner
      
      Følgende er skadelige konfigurasjonsinnstillinger:

      • Aktivering av Krev påloggingsmiljøer der klienter ikke støtter LDAP-signering eller der LDAP-signering på klientsiden ikke er aktivert på klienten

      • Bruke sikkerhetsmalen Windows 2000 eller Windows Server 2003 Hisecdc.inf i miljøer der klientene ikke støtter LDAP-signering eller der LDAP-signering på klientsiden ikke er aktivert

      • Bruke sikkerhetsmalen Windows 2000 eller Windows Server 2003 Hisecws.inf i miljøer der klientene ikke støtter LDAP-signering eller der LDAP-signering på klientsiden ikke er aktivert

   3. Grunner til å aktivere denne innstillingen
      
      Usignert nettverkstrafikk er utsatt for mann-i-midten angrep der en inntrenger fanger pakker mellom klienten og serveren, endrer pakkene, og deretter videresender dem til serveren. Når dette skjer på en LDAP-server, kan en angriper føre til at en server tar avgjørelser som er basert på falske spørringer fra LDAP-klienten. Du kan redusere denne risikoen i et bedriftsnettverk ved å implementere sterke fysiske sikkerhetstiltak for å beskytte nettverksinfrastrukturen. IpSec-godkjenningshodemodus (Internet Protocol Security) kan bidra til å forhindre angrep i midten. Godkjenningshodemodus utfører gjensidig godkjenning og pakkeintegritet for IP-trafikk.

   4. Grunner til å deaktivere denne innstillingen

      • Klienter som ikke støtter LDAP-signering, kan ikke utføre LDAP-spørringer mot domenekontrollere og mot globale kataloger hvis NTLM-godkjenning forhandles, og hvis de riktige oppdateringspakkene ikke er installert på windows 2000-domenekontrollere.

      • Nettverkssporinger av LDAP-trafikk mellom klienter og servere krypteres. Dette gjør det vanskelig å undersøke LDAP-samtaler.

      • Windows 2000-baserte servere må ha Windows 2000 Service Pack 3 (SP3) eller installert når de administreres med programmer som støtter LDAP-signering som kjøres fra klientdatamaskiner som kjører Windows 2000 SP4, Windows XP eller Windows Server 2003.  

   5. Symbolsk navn:
      
      LDAPServerIntegrity

   6. Registerbane:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

   7. Eksempler på kompatibilitetsproblemer

      • Enkle bindinger vil mislykkes, og du får følgende feilmelding:

        Ldap_simple_bind_s() mislyktes: Sterk godkjenning kreves.

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: På klienter som kjører Windows 2000 SP4, Windows XP eller Windows Server 2003, vil enkelte administrasjonsverktøy for Active Directory ikke fungere riktig mot domenekontrollere som kjører versjoner av Windows 2000 som er tidligere enn SP3 når NTLM-godkjenning forhandles.
        
         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: På klienter som kjører Windows 2000 SP4, Windows XP eller Windows Server 2003, fungerer enkelte administrasjonsverktøy for Active Directory som retter seg mot domenekontrollere som kjører versjoner av Windows 2000 som er eldre enn SP3, ikke fungerer som de skal hvis de bruker IP-adresser (for eksempel "dsa.msc /server=x.x.x.x" der
        x.x.x.x er en IP-adresse).
        
        
         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: På klienter som kjører Windows 2000 SP4, Windows XP eller Windows Server 2003, fungerer enkelte administrasjonsverktøy for Active Directory som retter seg mot domenekontrollere som kjører versjoner av Windows 2000 som er eldre enn SP3, ikke fungerer som de skal.
        
         

3. Domenemedlem: Krever sterk (Windows 2000 eller nyere) øktnøkkel

   1. Bakgrunn

      • Domenemedlemmet: Krever sterk (Windows 2000 eller nyere) øktnøkkelinnstilling bestemmer om en sikker kanal kan etableres med en domenekontroller som ikke kan kryptere sikker kanaltrafikk med en sterk 128-biters øktnøkkel. Aktivering av denne innstillingen hindrer oppretting av en sikker kanal med en domenekontroller som ikke kan kryptere sikre kanaldata med en sterk nøkkel. Deaktivering av denne innstillingen tillater 64-biters øktnøkler.

      • Før du kan aktivere denne innstillingen på en medlemsarbeidsstasjon eller på en server, må alle domenekontrollere i domenet som medlemmet tilhører, kunne kryptere sikre kanaldata med en sterk 128-biters nøkkel. Dette betyr at alle slike domenekontrollere må kjøre Windows 2000 eller nyere.

   2. Risikabel konfigurasjon
      
      Aktivering av domenemedlemmet: Krever sterk (Windows 2000 eller nyere) øktnøkkelinnstilling er en skadelig konfigurasjonsinnstilling.

   3. Grunner til å aktivere denne innstillingen

      • Øktnøkler som brukes til å etablere sikker kanalkommunikasjon mellom medlemsdatamaskiner og domenekontrollere, er mye sterkere i Windows 2000 enn de er i tidligere versjoner av Microsoft-operativsystemer.

      • Når det er mulig, er det lurt å dra nytte av disse sterkere øktnøklene for å beskytte sikker kanalkommunikasjon fra avlytting og øktkapring av nettverksangrep. Avlytting er en form for ondsinnet angrep der nettverksdata leses eller endres i transitt. Dataene kan endres for å skjule eller endre avsenderen eller omadressere dem.

      Viktig En datamaskin som kjører Windows Server 2008 R2 eller Windows 7, støtter bare sterke nøkler når sikre kanaler brukes. Denne begrensningen hindrer klarering mellom windows NT 4.0-baserte domener og alle Windows Server 2008 R2-baserte domener. I tillegg blokkerer denne begrensningen Windows NT 4.0-basert domenemedlemskap for datamaskiner som kjører Windows 7 eller Windows Server 2008 R2, og omvendt.

   4. Grunner til å deaktivere denne innstillingen
      
      Domenet inneholder medlemsdatamaskiner som kjører andre operativsystemer enn Windows 2000, Windows XP eller Windows Server 2003.

   5. Symbolsk navn:
      
      StrongKey

   6. Registerbane:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

   7. Eksempler på kompatibilitetsproblemer
      
      Windows NT 4.0: På Windows NT 4.0-baserte datamaskiner mislykkes tilbakestilling av sikre kanaler med klareringsrelasjoner mellom Windows NT 4.0- og Windows 2000-domener med NLTEST. Feilmeldingen Ingen tilgang vises:

      Klareringsrelasjonen mellom det primære domenet og det klarerte domenet mislyktes.
      
      Windows 7 og Server 2008 R2: For Windows 7 og nyere versjoner og Windows Server 2008 R2 og nyere versjoner, er ikke denne innstillingen knyttet lenger, og den sterke nøkkelen brukes alltid. På grunn av dette fungerer ikke klareringer med Windows NT 4.0-domener lenger.

4. Domenemedlem: Krypter digitalt eller signer sikre kanaldata (alltid)

   1. Bakgrunn

      • Aktivering av domenemedlem: Digitalt kryptere eller signere sikre kanaldata (alltid) hindrer oppretting av en sikker kanal med en domenekontroller som ikke kan signere eller kryptere alle sikre kanaldata. Windows-baserte datamaskiner oppretter en kommunikasjonskanal som kalles en sikker kanal gjennom Net Logon-tjenesten for å godkjenne datakontoer, for å beskytte godkjenningstrafikken mot man-in-the-middle-angrep, replay-angrep og andre typer nettverksangrep. Sikre kanaler brukes også når en bruker i ett domene kobler til en nettverksressurs i et eksternt domene. Denne godkjenningen med flere domener, eller direktegodkjenning, gjør det mulig for en Windows-basert datamaskin som har koblet seg til et domene, å ha tilgang til brukerkontodatabasen i domenet og i alle klarerte domener.

      • Slik aktiverer du domenemedlemmet: Digitalt kryptering eller signer sikker kanaldata (alltid) på en medlemsdatamaskin, må alle domenekontrollere i domenet som medlemmet tilhører, kunne signere eller kryptere alle sikre kanaldata. Dette betyr at alle slike domenekontrollere må kjøre Windows NT 4.0 med Service Pack 6a (SP6a) eller nyere.

      • Aktivering av domenemedlemmet: Innstillingen For digitalt kryptering eller signering av sikre kanaldata (alltid) aktiverer domenemedlemmet automatisk: Digitalt kryptere eller signere en innstilling for sikre kanaldata (når det er mulig).

   2. Risikabel konfigurasjon
      
      Aktivering av domenemedlemmet: Å kryptere eller signere sikre kanaldata (alltid) i domener der ikke alle domenekontrollere kan signere eller kryptere sikre kanaldata, er en skadelig konfigurasjonsinnstilling.

   3. Grunner til å aktivere denne innstillingen
      
      Usignert nettverkstrafikk er utsatt for mann-i-midten angrep, hvor en inntrenger fanger pakker mellom serveren og klienten og deretter endrer dem før videresending dem til klienten. Når dette skjer på en LDAP-server (Lightweight Directory Access Protocol), kan inntrengeren føre til at en klient tar avgjørelser som er basert på falske poster fra LDAP-katalogen. Du kan redusere risikoen for et slikt angrep på et bedriftsnettverk ved å implementere sterke fysiske sikkerhetstiltak for å beskytte nettverksinfrastrukturen. I tillegg kan implementering av IPSec-godkjenningshodemodus (Internet Protocol Security) bidra til å forhindre angrep i midten. Denne modusen utfører gjensidig godkjenning og pakkeintegritet for IP-trafikk.

   4. Grunner til å deaktivere denne innstillingen

      • Datamaskiner i lokale eller eksterne domener støtter krypterte sikre kanaler.

      • Ikke alle domenekontrollere i domenet har riktige revisjonsnivåer for oppdateringspakken for å støtte krypterte sikre kanaler.

   5. Symbolsk navn:
      
      StrongKey

   6. Registerbane:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

   7. Eksempler på kompatibilitetsproblemer

      • Windows NT 4.0: Windows 2000-baserte medlemsdatamaskiner kan ikke bli med i Windows NT 4.0-domener og vil få følgende feilmelding:

        Kontoen er ikke autorisert til å logge på fra denne stasjonen.

        Hvis du vil ha mer informasjon, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

        281648 Feilmelding: Kontoen er ikke autorisert til å logge på fra denne stasjonen
         

      • Windows NT 4.0: Windows NT 4.0-domener vil ikke kunne etablere en klarering på et nivå nednivå med et Windows 2000-domene, og vil få følgende feilmelding:

        Kontoen er ikke autorisert til å logge på fra denne stasjonen.

        Eksisterende klareringer på nednivå kan heller ikke godkjenne brukere fra det klarerte domenet. Noen brukere kan ha problemer med å logge seg på domenet, og de kan få en feilmelding om at klienten ikke finner domenet.

      • Windows XP: Windows XP-klienter som er koblet til Windows NT 4.0-domener, kan ikke godkjenne påloggingsforsøk og kan få følgende feilmelding, eller følgende hendelser kan være registrert i hendelsesloggen:

        Windows kan ikke koble til domenet enten fordi domenekontrolleren er nede eller på annen måte er utilgjengelig eller fordi datamaskinkontoen ikke ble funnet

      • Microsoft Network: Microsoft Network-klienter får én av følgende feilmeldinger:

        Påloggingsfeil: ukjent brukernavn eller ugyldig passord.

        Det finnes ingen brukerøktnøkkel for den angitte påloggingsøkten.

5. Microsoft-nettverksklient: Signere kommunikasjon digitalt (alltid)

   1. Bakgrunn
      
      Servermeldingsblokk (SMB) er protokollen for ressursdeling som støttes av mange Microsoft-operativsystemer. Det er grunnlaget for netBIOS (network basic input/output system) og mange andre protokoller. SMB-signering godkjenner både brukeren og serveren som er vert for dataene. Hvis en av sidene mislykkes i godkjenningsprosessen, vil ikke dataoverføring skje.
      
      Aktivering av SMB-signering starter under SMB-protokollforhandlinger. SMB-signeringspolicyene avgjør om datamaskinen alltid signerer klientkommunikasjon digitalt.
      
      Godkjenningsprotokollen for Windows 2000 SMB støtter gjensidig godkjenning. Gjensidig godkjenning lukker et "mann-i-midten" angrep. Godkjenningsprotokollen for Windows 2000 SMB støtter også meldingsgodkjenning. Meldingsgodkjenning bidrar til å forhindre aktive meldingsangrep. For å gi deg denne godkjenningen setter SMB-signering en digital signatur inn i hver SMB. Klienten og serveren bekrefter hver sin digitale signatur.
      
      Hvis du vil bruke SMB-signering, må du aktivere SMB-signering eller kreve SMB-signering på både SMB-klienten og SMB-serveren. Hvis SMB-signering er aktivert på en server, bruker klienter som også er aktivert for SMB-signering, pakkesigneringsprotokollen i alle påfølgende økter. Hvis SMB-signering kreves på en server, kan ikke en klient opprette en økt med mindre klienten er aktivert eller nødvendig for SMB-signering.
      
      
      Aktivering av digital pålogging i nettverk med høy sikkerhet bidrar til å forhindre representasjon av klienter og servere. Denne typen etterligning er kjent som øktkapring. En angriper som har tilgang til det samme nettverket som klienten eller serveren, bruker øktkapringsverktøy til å avbryte, avslutte eller stjele en økt som pågår. En angriper kan fange opp og endre usignerte SMB-pakker, endre trafikken og deretter videresende den slik at serveren kan utføre uønskede handlinger. Eller angriperen kan utgjøre som serveren eller klienten etter en legitim godkjenning og deretter få uautorisert tilgang til data.
      
      SMB-protokollen som brukes til fildeling og utskriftsdeling på datamaskiner som kjører Windows 2000 Server, Windows 2000 Professional, Windows XP Professional eller Windows Server 2003, støtter gjensidig godkjenning. Gjensidig godkjenning lukker øktkapringsangrep og støtter meldingsgodkjenning. Derfor hindrer det mann-i-midten angrep. SMB-signering gir denne godkjenningen ved å plassere en digital signatur i hver SMB. Klienten og serveren bekrefter deretter signaturen.
      
      Notater

      • Som et alternativt mottiltak kan du aktivere digitale signaturer med IPSec for å beskytte all nettverkstrafikk. Det finnes maskinvarebaserte akseleratorer for IPSec-kryptering og signering som du kan bruke til å minimere ytelsespåvirkningen fra serverens CPU. Det finnes ingen slike akseleratorer som er tilgjengelige for SMB-signering.
        
        Hvis du vil ha mer informasjon, kan du se kommunikasjonskapittelet digitalt signere server på Microsoft MSDN-nettstedet.
        
        Konfigurer SMB-signering gjennom gruppepolicy Object Editor fordi en endring i en lokal registerverdi ikke har noen virkning hvis det finnes en overordnet domenepolicy.

      • I Windows 95, Windows 98 og Windows 98 Second Edition bruker Directory Services Client SMB-signering når den godkjennes med Windows Server 2003-servere ved hjelp av NTLM-godkjenning. Disse klientene bruker imidlertid ikke SMB-signering når de godkjenner med disse serverne ved hjelp av NTLMv2-godkjenning. Windows 2000-servere svarer heller ikke på SMB-signeringsforespørsler fra disse klientene. Hvis du vil ha mer informasjon, kan du se element 10: Nettverkssikkerhet: Lan Manager-godkjenningsnivå.

   2. Risikabel konfigurasjon
      
      Følgende er en skadelig konfigurasjonsinnstilling: Hvis du forlater både Microsoft-nettverksklienten, kan du la både Microsoft-nettverksklienten: Digitalt signere kommunikasjonsinnstilling (hvis serveren godtar) satt til «Ikke definert» eller deaktivert. Disse innstillingene gjør det mulig for omadressereren å sende passord for ren tekst til ikke-Microsoft SMB-servere som ikke støtter passordkryptering under godkjenning.

   3. Grunner til å aktivere denne innstillingen
      
      Aktivering av Microsoft-nettverksklient: Digitalt signere kommunikasjon (alltid) krever at klienter signerer SMB-trafikk når de kontakter servere som ikke krever SMB-signering. Dette gjør kundene mindre sårbare for øktkapring angrep.

   4. Grunner til å deaktivere denne innstillingen

      • Aktivering av Microsoft-nettverksklient: Digitalt signer kommunikasjon (alltid) hindrer klienter i å kommunisere med målservere som ikke støtter SMB-signering.

      • Konfigurering av datamaskiner til å ignorere all usignert SMB-kommunikasjon hindrer tidligere programmer og operativsystemer i å koble til.

   5. Symbolsk navn:
      
      RequireSMBSignRdr

   6. Registerbane:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

   7. Eksempler på kompatibilitetsproblemer

      • Windows NT 4.0: Du kan ikke tilbakestille den sikre kanalen for en klarering mellom et Windows Server 2003-domene og et Windows NT 4.0-domene ved hjelp av NLTEST eller NETDOM, og du får feilmeldingen Ingen tilgang.

      • Windows XP: Kopiering av filer fra Windows XP-klienter til Windows 2000-baserte servere og til Windows Server 2003-baserte servere kan ta mer tid.

      • Du vil ikke kunne tilordne en nettverksstasjon fra en klient med denne innstillingen aktivert, og du får følgende feilmelding:

        Kontoen er ikke autorisert til å logge på fra denne stasjonen.

   8. Krav til
      
      omstart Start datamaskinen på nytt, eller start Workstation-tjenesten på nytt. Hvis du vil gjøre dette, skriver du inn følgende kommandoer i en ledetekst. Trykk ENTER etter at du har skrevet inn hver kommando.

      net stop workstation
      net start workstation

6. Microsoft-nettverksserver: Signere kommunikasjon digitalt (alltid)

   1. Bakgrunn

      • Server Messenger Block (SMB) er protokollen for ressursdeling som støttes av mange Microsoft-operativsystemer. Det er grunnlaget for netBIOS (network basic input/output system) og mange andre protokoller. SMB-signering godkjenner både brukeren og serveren som er vert for dataene. Hvis en av sidene mislykkes i godkjenningsprosessen, vil ikke dataoverføring skje.
        
        Aktivering av SMB-signering starter under SMB-protokollforhandlinger. SMB-signeringspolicyene avgjør om datamaskinen alltid signerer klientkommunikasjon digitalt.
        
        Godkjenningsprotokollen for Windows 2000 SMB støtter gjensidig godkjenning. Gjensidig godkjenning lukker et "mann-i-midten" angrep. Godkjenningsprotokollen for Windows 2000 SMB støtter også meldingsgodkjenning. Meldingsgodkjenning bidrar til å forhindre aktive meldingsangrep. For å gi deg denne godkjenningen setter SMB-signering en digital signatur inn i hver SMB. Klienten og serveren bekrefter hver sin digitale signatur.
        
        Hvis du vil bruke SMB-signering, må du aktivere SMB-signering eller kreve SMB-signering på både SMB-klienten og SMB-serveren. Hvis SMB-signering er aktivert på en server, bruker klienter som også er aktivert for SMB-signering, pakkesigneringsprotokollen i alle påfølgende økter. Hvis SMB-signering kreves på en server, kan ikke en klient opprette en økt med mindre klienten er aktivert eller nødvendig for SMB-signering.
        
        
        Aktivering av digital pålogging i nettverk med høy sikkerhet bidrar til å forhindre representasjon av klienter og servere. Denne typen etterligning er kjent som øktkapring. En angriper som har tilgang til det samme nettverket som klienten eller serveren, bruker øktkapringsverktøy til å avbryte, avslutte eller stjele en økt som pågår. En angriper kan fange opp og endre usignerte SBM-pakker (Subnet Bandwidth Manager), endre trafikken og deretter videresende den slik at serveren kan utføre uønskede handlinger. Eller angriperen kan utgjøre som serveren eller klienten etter en legitim godkjenning og deretter få uautorisert tilgang til data.
        
        SMB-protokollen som brukes til fildeling og utskriftsdeling på datamaskiner som kjører Windows 2000 Server, Windows 2000 Professional, Windows XP Professional eller Windows Server 2003, støtter gjensidig godkjenning. Gjensidig godkjenning lukker øktkapringsangrep og støtter meldingsgodkjenning. Derfor hindrer det mann-i-midten angrep. SMB-signering gir denne godkjenningen ved å plassere en digital signatur i hver SMB. Klienten og serveren bekrefter deretter signaturen.

      • Som et alternativt mottiltak kan du aktivere digitale signaturer med IPSec for å beskytte all nettverkstrafikk. Det finnes maskinvarebaserte akseleratorer for IPSec-kryptering og signering som du kan bruke til å minimere ytelsespåvirkningen fra serverens CPU. Det finnes ingen slike akseleratorer som er tilgjengelige for SMB-signering.

      • I Windows 95, Windows 98 og Windows 98 Second Edition bruker Directory Services Client SMB-signering når den godkjennes med Windows Server 2003-servere ved hjelp av NTLM-godkjenning. Disse klientene bruker imidlertid ikke SMB-signering når de godkjenner med disse serverne ved hjelp av NTLMv2-godkjenning. Windows 2000-servere svarer heller ikke på SMB-signeringsforespørsler fra disse klientene. Hvis du vil ha mer informasjon, kan du se element 10: Nettverkssikkerhet: Lan Manager-godkjenningsnivå.

   2. Risikabel konfigurasjon
      
      Følgende er en skadelig konfigurasjonsinnstilling: Aktivering av Microsoft-nettverksserveren: Digitalt signere kommunikasjonsinnstilling (alltid) på servere og på domenekontrollere som åpnes av inkompatible Windows-baserte datamaskiner og tredjeparts operativsystembaserte klientdatamaskiner i lokale eller eksterne domener.

   3. Grunner til å aktivere denne innstillingen

      • Alle klientdatamaskiner som aktiverer denne innstillingen direkte gjennom registeret eller gjennom gruppepolicy innstillingen, støtter SMB-signering. Med andre ord kjører alle klientdatamaskiner som har denne innstillingen aktivert, enten Windows 95 med DS-klienten installert, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional eller Windows Server 2003.

      • Hvis Microsofts nettverksserver: Digitalt signere kommunikasjon (alltid) er deaktivert, er SMB-signering fullstendig deaktivert. Fullstendig deaktivering av alle SMB-signeringer gjør datamaskiner mer sårbare for øktkapring av angrep.

   4. Grunner til å deaktivere denne innstillingen

      • Aktivering av denne innstillingen kan føre til langsommere filkopiering og nettverksytelse på klientdatamaskiner.

      • Aktivering av denne innstillingen vil hindre klienter som ikke kan forhandle SMB-signering fra å kommunisere med servere og med domenekontrollere. Dette fører til at operasjoner som domenekoblinger, bruker- og datamaskingodkjenning eller nettverkstilgang fra programmer mislykkes.

   5. Symbolsk navn:
      
      RequireSMBSignServer

   6. Registerbane:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

   7. Eksempler på kompatibilitetsproblemer

      • Windows 95: Windows 95-klienter som ikke har Directory Services (DS)-klienten installert, vil mislykkes påloggingsgodkjenning og vil få følgende feilmelding:

        Det angitte domenepassordet er ikke riktig, eller tilgangen til påloggingsserveren er nektet.

      • Windows NT 4.0: Klientdatamaskiner som kjører versjoner av Windows NT 4.0 som er eldre enn Service Pack 3 (SP3), vil mislykkes påloggingsgodkjenning og vil få følgende feilmelding:

        Systemet kan ikke logge deg på. Kontroller at brukernavnet og domenet er riktig, og skriv deretter inn passordet på nytt.

        Noen ikke-Microsoft SMB-servere støtter bare ukrypterte passordutvekslinger under godkjenning. (Disse børsene kalles også «ren tekst»-utvekslinger.) For Windows NT 4.0 SP3 og nyere versjoner sender ikke SMB-omadressereren et ukryptert passord under godkjenning til en SMB-server med mindre du legger til en bestemt registeroppføring.
        Hvis du vil aktivere ukrypterte passord for SMB-klienten på Windows NT 4.0 SP 3 og nyere systemer, endrer du registeret på følgende måte: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        
        Verdinavn: EnablePlainTextPassword
        
        Datatype: REG_DWORD
        
        Data: 1
        
         

      • Windows Server 2003: Sikkerhetsinnstillinger på domenekontrollere som kjører Windows Server 2003, er som standard konfigurert for å hindre at domenekontrollerkommunikasjon fanges opp eller tukles med av ondsinnede brukere. For at brukere skal kunne kommunisere med en domenekontroller som kjører Windows Server 2003, må klientdatamaskiner bruke både SMB-signering og kryptering eller sikker kanaltrafikksignering. Som standard er klienter som kjører Windows NT 4.0 med Service Pack 2 (SP2) eller tidligere installert, og klienter som kjører Windows 95, ikke har SMB-pakkesignering aktivert. Derfor kan det hende at disse klientene ikke kan godkjenne til en Windows Server 2003-basert domenekontroller.

      • Policyinnstillinger for Windows 2000 og Windows Server 2003: Avhengig av dine spesifikke installasjonsbehov og -konfigurasjon, anbefaler vi at du angir følgende policyinnstillinger på den laveste enheten av nødvendig omfang i snapin-hierarkiet for Microsoft Management Console gruppepolicy Editor:

        • Datamaskinkonfigurasjon\Windows Sikkerhet Innstillinger\Sikkerhetsalternativer

        • Send ukryptert passord for å koble til tredjeparts SMB-servere (denne innstillingen er for Windows 2000)

        • Microsoft-nettverksklient: Send ukryptert passord til tredjeparts SMB-servere (denne innstillingen gjelder for Windows Server 2003)

        
        Obs! I noen tredjeparts CIFS-servere, for eksempel eldre Samba-versjoner, kan du ikke bruke krypterte passord.

      • Følgende klienter er ikke kompatible med Microsoft-nettverksserveren: Digitalt signere kommunikasjonsinnstilling (alltid):

        • Apple Computer, Inc., Mac OS X-klienter

        • Microsoft MS-DOS-nettverksklienter (for eksempel Microsoft LAN Manager)

        • Microsoft Windows for Workgroups-klienter

        • Microsoft Windows 95-klienter uten DS Client installert

        • Microsoft Windows NT 4.0-baserte datamaskiner uten SP3 eller nyere installert

        • Novell Netware 6 CIFS-klienter

        • SAMBA SMB-klienter som ikke har støtte for SMB-signering

   8. Krav til
      
      omstart Start datamaskinen på nytt, eller start servertjenesten på nytt. Hvis du vil gjøre dette, skriver du inn følgende kommandoer i en ledetekst. Trykk ENTER etter at du har skrevet inn hver kommando.

      net stop server
      net start server

7. Nettverkstilgang: Tillat anonym SID/navneoversettelse

   1. Bakgrunn
      
      Nettverkstilgang: Tillat anonym sikkerhetsinnstilling for SID/navn-oversettelse bestemmer om en anonym bruker kan be om SID-attributter (Security Identification Number) for en annen bruker.

   2. Risikabel konfigurasjon
      
      Aktivering av nettverkstilgang: Tillat anonym SID/navn-oversettelse er en skadelig konfigurasjonsinnstilling.

   3. Grunner til å aktivere denne innstillingen
      
      Hvis innstillingen nettverkstilgang: Tillat anonym SID/navn-oversettelse er deaktivert, kan det hende at tidligere operativsystemer eller programmer ikke kan kommunisere med Windows Server 2003-domener. Det kan for eksempel hende at følgende operativsystemer, tjenester eller programmer ikke fungerer:

      • Windows NT 4.0-baserte servere for ekstern tilgangstjeneste

      • Microsoft SQL Server som kjører på Windows NT 3.x-baserte datamaskiner eller Windows NT 4.0-baserte datamaskiner

      • Ekstern tilgangstjeneste som kjører på Windows 2000-baserte datamaskiner som er plassert i Windows NT 3.x-domener eller Windows NT 4.0-domener

      • SQL Server som kjører på Windows 2000-baserte datamaskiner som er plassert i Windows NT 3.x-domener eller i Windows NT 4.0-domener

      • Brukere i Windows NT 4.0-ressursdomenet som ønsker å gi tillatelse til å få tilgang til filer, delte mapper og registerobjekter til brukerkontoer fra kontodomener som inneholder Windows Server 2003-domenekontrollere

   4. Grunner til å deaktivere denne innstillingen
      
      Hvis denne innstillingen er aktivert, kan en ondsinnet bruker bruke den velkjente administrator-SID-en for å få det virkelige navnet på den innebygde administratorkontoen, selv om kontoen har fått nytt navn. Denne personen kan deretter bruke kontonavnet til å starte et passordgjetningsangrep.

   5. Symbolsk navn: I/T

   6. Registerbane: Ingen. Banen er angitt i brukergrensesnittkoden.

   7. Eksempler på kompatibilitetsproblemer
      
      Windows NT 4.0: Datamaskiner i Windows NT 4.0-ressursdomener viser feilmeldingen "Ukjent konto" i ACL Editor hvis ressurser, inkludert delte mapper, delte filer og registerobjekter, er sikret med sikkerhetskontohavere som befinner seg i kontodomener som inneholder Windows Server 2003-domenekontrollere.

8. Nettverkstilgang: Ikke tillat anonym opplisting av SAM-kontoer

   1. Bakgrunn

      • Nettverkstilgang: Ikke tillat anonym opplisting av SAM-kontoinnstillingen bestemmer hvilke tilleggstillatelser som skal gis for anonyme tilkoblinger til datamaskinen. Windows gjør det mulig for anonyme brukere å utføre bestemte aktiviteter, for eksempel å liste opp navnene på workstation- og server Security Accounts Manager (SAM)-kontoer og nettverksressurser. En administrator kan for eksempel bruke dette til å gi tilgang til brukere i et klarert domene som ikke opprettholder en gjensidig klarering. Når en økt er gjort, kan en anonym bruker ha samme tilgang som gis til Alle-gruppen basert på innstillingen i nettverkstilgangen: La alle tillatelser gjelde for anonyme brukere eller den skjønnsmessige tilgangskontrollisten (DACL) for objektet.
        
        Anonyme tilkoblinger blir vanligvis forespurt av tidligere versjoner av klienter (klienter på nednivå) under konfigurasjon av SMB-økt. I slike tilfeller viser en nettverkssporing at SMB-prosess-ID (PID) er klientomadressereren, for eksempel 0xFEFF i Windows 2000 eller 0xCAFE i Windows NT. RPC kan også prøve å opprette anonyme tilkoblinger.

      • Viktig! Denne innstillingen har ingen innvirkning på domenekontrollere. På domenekontrollere kontrolleres denne virkemåten av "NT AUTHORITY\ANONYMOUS LOGON" i "Pre-Windows 2000 compatible Access".

      • I Windows 2000 administrerer en lignende innstilling kalt Tilleggsbegrensninger for anonyme tilkoblinger registerverdien RestrictAnonymous . Plasseringen til denne verdien er som følger

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA  

   2. Risikable konfigurasjoner
      
      Aktivering av nettverkstilgang: Ikke tillat anonym opplisting av SAM-kontoinnstillingen er en skadelig konfigurasjonsinnstilling fra et kompatibilitetsperspektiv. Deaktivering er en skadelig konfigurasjonsinnstilling fra et sikkerhetsperspektiv.

   3. Grunner til å aktivere denne innstillingen
      
      En uautorisert bruker kan anonymt føre opp kontonavn og deretter bruke informasjonen til å prøve å gjette passord eller utføre angrep på sosial ingeniørarbeid. Sosial ingeniørfag er sjargong som betyr å lure folk til å avsløre passordene sine eller en form for sikkerhetsinformasjon.

   4. Grunner til å deaktivere denne innstillingen
      
      Hvis denne innstillingen er aktivert, er det umulig å etablere klareringer med Windows NT 4.0-domener. Denne innstillingen forårsaker også problemer med klienter på nednivå (for eksempel Windows NT 3.51-klienter og Windows 95-klienter) som prøver å bruke ressurser på serveren.

   5. Symbolsk navn:
      
      
      RestrictAnonymousSAM

   6. Registerbane:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

   7. Eksempler på kompatibilitetsproblemer

   • SMS Network Discovery vil ikke kunne hente informasjon om operativsystemet og skriver "Ukjent" i egenskapen OperatingSystemNameandVersion.

   • Windows 95, Windows 98: Windows 95-klienter og Windows 98-klienter kan ikke endre passordene sine.

   • Windows NT 4.0: Windows NT 4.0-baserte medlemsdatamaskiner kan ikke godkjennes.

   • Windows 95, Windows 98: Windows 95-baserte og Windows 98-baserte datamaskiner kan ikke godkjennes av Microsoft-domenekontrollere.

   • Windows 95, Windows 98: Brukere på Windows 95-baserte og Windows 98-baserte datamaskiner kan ikke endre passordene for brukerkontoene sine.

9. Nettverkstilgang: Ikke tillat anonym opplisting av SAM-kontoer og -ressurser

   1. Bakgrunn

      • Nettverkstilgang: Ikke tillat anonym opplisting av SAM-kontoer og -delingsinnstilling (også kjent som RestrictAnonymous) bestemmer om anonym opplisting av SAM-kontoer (Security Accounts Manager) og delinger er tillatt. Windows gjør det mulig for anonyme brukere å utføre bestemte aktiviteter, for eksempel opplisting av navnene på domenekontoer (brukere, datamaskiner og grupper) og nettverksressurser. Dette er praktisk, for eksempel når en administrator ønsker å gi tilgang til brukere i et klarert domene som ikke opprettholder en gjensidig klarering. Hvis du ikke vil tillate anonym opplisting av SAM-kontoer og delte ressurser, aktiverer du denne innstillingen.

      • I Windows 2000 administrerer en lignende innstilling kalt Tilleggsbegrensninger for anonyme tilkoblinger registerverdien RestrictAnonymous . Plasseringen til denne verdien er som følger:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

   2. Risikabel konfigurasjon
      
      Aktivering av nettverkstilgang: Ikke tillat anonym opplisting av SAM-kontoer, og delingsinnstillingen er en skadelig konfigurasjonsinnstilling.

   3. Grunner til å aktivere denne innstillingen

      • Aktivering av nettverkstilgang: Ikke tillat anonym opplisting av SAM-kontoer og delte ressurser-innstillingen hindrer opplisting av SAM-kontoer og -delinger av brukere og datamaskiner som bruker anonyme kontoer.

   4. Grunner til å deaktivere denne innstillingen

      • Hvis denne innstillingen er aktivert, kan en uautorisert bruker anonymt føre opp kontonavn og deretter bruke informasjonen til å prøve å gjette passord eller utføre angrep på sosial ingeniørarbeid. Sosial ingeniørfag er sjargong som betyr å lure folk til å avsløre passordet eller en form for sikkerhetsinformasjon.

      • Hvis denne innstillingen er aktivert, vil det være umulig å etablere klareringer med Windows NT 4.0-domener. Denne innstillingen vil også føre til problemer med klienter på nednivå, for eksempel Windows NT 3.51- og Windows 95-klienter som prøver å bruke ressurser på serveren.

      • Det vil være umulig å gi tilgang til brukere av ressursdomener fordi administratorer i det klarerte domenet ikke kan liste opp lister over kontoer i det andre domenet. Brukere som har tilgang til fil- og utskriftsservere anonymt, kan ikke liste opp de delte nettverksressursene på disse serverne. Brukerne må godkjenne før de kan vise listene over delte mapper og skrivere.

   5. Symbolsk navn:
      
      Restrictanonymous

   6. Registerbane:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

   7. Eksempler på kompatibilitetsproblemer

      • Windows NT 4.0: Brukere kan ikke endre passordene sine fra Windows NT 4.0-arbeidsstasjoner når RestrictAnonymous er aktivert på domenekontrollere i brukernes domene.

      • Windows NT 4.0: Hvis du legger til brukere eller globale grupper fra klarerte Windows 2000-domener i Lokale Windows NT 4.0-grupper i Brukerbehandling, vil følgende feilmelding vises:

        Det finnes for øyeblikket ingen påloggingsservere som kan betjene påloggingsforespørselen.

      • Windows NT 4.0: Windows NT 4.0-baserte datamaskiner kan ikke bli med i domener under konfigurasjonen eller ved hjelp av brukergrensesnittet for domenetilføyning.

      • Windows NT 4.0: Oppretting av en klarering på nednivå med Windows NT 4.0-ressursdomener vil mislykkes. Følgende feilmelding vises når RestrictAnonymous er aktivert på det klarerte domenet:

        Finner ikke domenekontroller for dette domenet.

      • Windows NT 4.0: Brukere som logger seg på Windows NT 4.0-baserte Terminal Server-datamaskiner, tilordnes til standard hjemmekatalog i stedet for hjemmekatalogen som er definert i User Manager for domener.

      • Windows NT 4.0: Windows NT 4.0-domenekontrollere for sikkerhetskopiering av domener (BDCer) kan ikke starte Net-påloggingstjenesten, få en liste over sikkerhetskopinettlesere eller synkronisere SAM-databasen fra Windows 2000 eller fra Windows Server 2003-domenekontrollere i samme domene.

      • Windows 2000: Windows 2000-baserte medlemsdatamaskiner i Windows NT 4.0-domener vil ikke kunne vise skrivere i eksterne domener hvis innstillingen Ingen tilgang uten eksplisitt anonyme tillatelser er aktivert i den lokale sikkerhetspolicyen for klientdatamaskinen.

      • Windows 2000: Brukere av Windows 2000-domener kan ikke legge til nettverksskrivere fra Active Directory. De vil imidlertid kunne legge til skrivere etter at de har valgt dem fra trevisningen.

      • Windows 2000: På Windows 2000-baserte datamaskiner kan ikke ACL Editor legge til brukere eller globale grupper fra klarerte Windows NT 4.0-domener.

      • ADMT versjon 2: Passordoverføring for brukerkontoer som overføres mellom skoger med Active Directory Migration Tool (ADMT) versjon 2, vil mislykkes.
        
        Hvis du vil ha mer informasjon, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

        322981 Slik feilsøker du passordoverføring mellom skoger med ADMTv2

      • Outlook-klienter: Den globale adresselisten vises tom for Microsoft Exchange Outlook-klienter.

      • SMS: Microsoft Systems Management Server (SMS) Network Discovery kan ikke hente informasjon om operativsystemet. Derfor skriver den "Ukjent" i OperatingSystemNameandVersion-egenskapen for SMS DDR-egenskapen til søkedataposten (DDR).

      • SMS: Når du bruker brukerveiviseren for SMS-administrator til å søke etter brukere og grupper, vises ingen brukere eller grupper. I tillegg kan ikke avanserte klienter kommunisere med administrasjonspunktet. Anonym tilgang kreves på administrasjonspunktet.

      • SMS: Når du bruker Network Discovery-funksjonen i SMS 2.0 og i ekstern klientinstallasjon med alternativet Topologi, klient og klientoperativsystemer for nettverkssøk aktivert, kan datamaskiner bli oppdaget, men kan ikke installeres.

10. Nettverkssikkerhet: Lan Manager-godkjenningsnivå

    1. Bakgrunn
       
       LAN Manager-godkjenning (LM) er protokollen som brukes til å godkjenne Windows-klienter for nettverksoperasjoner, inkludert domenetilføyninger, tilgang til nettverksressurser og bruker- eller datamaskingodkjenning. Godkjenningsnivået for LM bestemmer hvilken protokoll for utfordring/svar-godkjenning som forhandles mellom klienten og serverdatamaskinene. Nærmere bestemt bestemmer LM-godkjenningsnivået hvilke godkjenningsprotokoller klienten vil prøve å forhandle om, eller som serveren vil godta. Verdien som er angitt for LmCompatibilityLevel bestemmer hvilken protokoll for utfordring/svar-godkjenning som brukes for nettverkspålogginger. Denne verdien påvirker nivået på godkjenningsprotokollen som klientene bruker, nivået på øktsikkerheten som er forhandlet frem, og godkjenningsnivået som er godtatt av servere.
       
       Mulige innstillinger omfatter følgende.

       Verdi	Innstilling	Beskrivelse
       0	Send LM-& NTLM-svar	Klienter bruker LM- og NTLM-godkjenning og bruker aldri NTLMv2-øktsikkerhet. Domenekontrollere godtar LM-, NTLM- og NTLMv2-godkjenning.
       1	Send LM & NTLM – bruk NTLMv2-øktsikkerhet hvis det forhandles	Klienter bruker LM- og NTLM-godkjenning, og bruker NTLMv2-øktsikkerhet hvis serveren støtter det. Domenekontrollere godtar LM-, NTLM- og NTLMv2-godkjenning.
       2.	Send bare NTLM-svar	Klienter bruker bare NTLM-godkjenning og bruker NTLMv2-øktsikkerhet hvis serveren støtter det. Domenekontrollere godtar LM-, NTLM- og NTLMv2-godkjenning.
       3	Send bare NTLMv2-svar	Klienter bruker bare NTLMv2-godkjenning og bruker NTLMv2-øktsikkerhet hvis serveren støtter det. Domenekontrollere godtar LM-, NTLM- og NTLMv2-godkjenning.
       4	Send bare NTLMv2-svar/nekte LM	Klienter bruker bare NTLMv2-godkjenning og bruker NTLMv2-øktsikkerhet hvis serveren støtter det. Domenekontrollere nekter LM og godtar bare NTLM- og NTLMv2-godkjenning.
       5	Send bare NTLMv2-svar/nekte LM & NTLM	Klienter bruker bare NTLMv2-godkjenning og bruker NTLMv2-øktsikkerhet hvis serveren støtter det. Domenekontrollere nekter LM og NTLM og godtar bare NTLMv2-godkjenning.

       Obs! I Windows 95, Windows 98 og Windows 98 Second Edition bruker Directory Services Client SMB-signering når den godkjennes med Windows Server 2003-servere ved hjelp av NTLM-godkjenning. Disse klientene bruker imidlertid ikke SMB-signering når de godkjenner med disse serverne ved hjelp av NTLMv2-godkjenning. Windows 2000-servere svarer heller ikke på SMB-signeringsforespørsler fra disse klientene.
       
       Kontroller LM-godkjenningsnivået: Du må endre policyen på serveren for å tillate NTLM, eller du må konfigurere klientdatamaskinen til å støtte NTLMv2.
       
       Hvis policyen er satt til (5) Send BARE NTLMv2-svar\nekte LM & NTLM på måldatamaskinen du vil koble til, må du enten senke innstillingen på datamaskinen eller angi sikkerheten til den samme innstillingen som er på kildedatamaskinen du kobler til fra.
       
       Finn riktig plassering der du kan endre godkjenningsnivået for LAN Manager for å angi klienten og serveren til samme nivå. Når du har funnet policyen som angir godkjenningsnivået lan manager, hvis du vil koble til og fra datamaskiner som kjører tidligere versjoner av Windows, kan du senke verdien til minst (1) Send LM & NTLM – bruk NTLM versjon 2 øktsikkerhet hvis forhandlet. Én effekt av inkompatible innstillinger er at hvis serveren krever NTLMv2 (verdi 5), men klienten er konfigurert til å bruke bare LM og NTLMv1 (verdi 0), opplever brukeren som prøver godkjenning, en påloggingsfeil som har et ugyldig passord, og som øker det dårlige passordantallet. Hvis kontolåsing er konfigurert, kan brukeren etter hvert bli låst ute.
       
       Du må for eksempel kanskje se på domenekontrolleren, eller du må kanskje undersøke domenekontrollerens policyer.
       
       Se på domenekontrolleren
       
       Obs! Du må kanskje gjenta følgende fremgangsmåte på alle domenekontrollerne.

       1. Klikk Start, pek på Programmer, og klikk deretter Administrative verktøy.

       2. Utvid lokale policyer under Lokale sikkerhetsinnstillinger.

       3. Klikk Sikkerhetsalternativer.

       4. Dobbeltklikk Nettverkssikkerhet: Godkjenningsnivå for LAN Manager, og klikk deretter en verdi i listen.

       
       Hvis den gjeldende innstillingen og den lokale innstillingen er de samme, er policyen endret på dette nivået. Hvis innstillingene er forskjellige, må du kontrollere domenekontrollerens policy for å finne ut om innstillingen nettverkssikkerhet: GODKJENNINGSNIVÅ for LAN Manager er definert der. Hvis det ikke er definert der, kan du undersøke domenekontrollerens policyer.
       
       Undersøk domenekontrollerens policyer

       1. Klikk Start, pek på Programmer, og klikk deretter Administrative verktøy.

       2. Utvid sikkerhetsinnstillingene i sikkerhetspolicyen for domenekontrolleren, og utvid deretter lokale policyer.

       3. Klikk Sikkerhetsalternativer.

       4. Dobbeltklikk Nettverkssikkerhet: Godkjenningsnivå for LAN Manager, og klikk deretter en verdi i listen.

       
       Merk

       • Du må kanskje også kontrollere policyer som er koblet på nettstedsnivå, domenenivå eller organisasjonsenhetsnivå (OU) for å finne ut hvor du må konfigurere godkjenningsnivået for LAN Manager.

       • Hvis du implementerer en gruppepolicy innstilling som standard domenepolicy, brukes policyen på alle datamaskiner i domenet.

       • Hvis du implementerer en gruppepolicy-innstilling som standard domenekontrollerpolicy, gjelder policyen bare for serverne i domenekontrollerens OU.

       • Det er lurt å angi godkjenningsnivå for LAN Manager i den laveste enheten av nødvendig omfang i policyprogramhierarkiet.

       Windows Server 2003 har en ny standardinnstilling som bare bruker NTLMv2. Som standard har Windows Server 2003- og Windows 2000 Server SP3-baserte domenekontrollere aktivert policyen «Microsoft-nettverksserver: Signere kommunikasjon digitalt (alltid)». Denne innstillingen krever at SMB-serveren utfører SMB-pakkesignering. Endringer i Windows Server 2003 ble gjort fordi domenekontrollere, filservere, servere for nettverksinfrastruktur og webservere i enhver organisasjon krever forskjellige innstillinger for å maksimere sikkerheten.
       
       Hvis du vil implementere NTLMv2-godkjenning i nettverket, må du kontrollere at alle datamaskinene i domenet er satt til å bruke dette godkjenningsnivået. Hvis du bruker Active Directory-klienttillegg for Windows 95 eller Windows 98 og Windows NT 4.0, bruker klientutvidelsene de forbedrede godkjenningsfunksjonene som er tilgjengelige i NTLMv2. Fordi klientdatamaskiner som kjører et av følgende operativsystemer ikke påvirkes av Windows 2000 gruppepolicy Objects, må du kanskje konfigurere disse klientene manuelt:

       • Microsoft Windows NT 4.0

       • Microsoft Windows Millennium Edition

       • Microsoft Windows 98

       • Microsoft Windows 95

       Obs! Hvis du aktiverer nettverkssikkerheten: Ikke lagre HASH-verdi for LAN-behandling ved neste policy for passordendring , eller angi NoLMHash-registernøkkelen , kan ikke Windows 95-baserte og Windows 98-baserte klienter som ikke har Directory Services Client installert, logge på domenet etter en passordendring.
       
       Mange tredjeparts CIFS-servere, for eksempel Novell Netware 6, er ikke klar over NTLMv2 og bruker bare NTLM. Nivåer som er større enn 2, tillater derfor ikke tilkobling. Det finnes også tredjeparts SMB-klienter som ikke bruker utvidet øktsikkerhet. I slike tilfeller tas det ikke hensyn til LmCompatiblityLevel for ressursserveren. Serveren pakker deretter opp denne eldre forespørselen og sender den til brukerdomenekontrolleren. Innstillingene på domenekontrolleren bestemmer deretter hvilke hash-koder som brukes til å bekrefte forespørselen, og om disse oppfyller sikkerhetskravene til domenekontrolleren.
       
        

       299656 Slik forhindrer du at Windows lagrer en LAN Manager-hash for passordet i Active Directory og lokale SAM-databaser
        

       2701704Overvåkingshendelsen viser godkjenningspakken som NTLMv1 i stedet for NTLMv2 Hvis du vil ha mer informasjon om godkjenningsnivåer for LM, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

       239869 Slik aktiverer du NTLM 2-godkjenning
        

    2. Risikable konfigurasjoner
       
       Følgende er skadelige konfigurasjonsinnstillinger:

       • Ikke-trictive innstillinger som sender passord i klartekst og som nekter NTLMv2-forhandling

       • Restriktive innstillinger som hindrer inkompatible klienter eller domenekontrollere i å forhandle om en felles godkjenningsprotokoll

       • Krever NTLMv2-godkjenning på medlemsdatamaskiner og domenekontrollere som kjører versjoner av Windows NT 4.0 som er eldre enn Service Pack 4 (SP4)

       • Krever NTLMv2-godkjenning på Windows 95-klienter eller windows 98-klienter som ikke har Windows Directory Services Client installert.

       • Hvis du klikker for å merke av for Krev NTLMv2-øktsikkerhet i snapin-modulen for Microsoft Management Console gruppepolicy Editor på en Windows Server 2003- eller Windows 2000 Service Pack 3-basert datamaskin, og du senker godkjenningsnivået for LAN Manager til 0, er de to innstillingene i konflikt, og du kan få følgende feilmelding i Secpol.msc-filen eller GPEdit.msc-filen:

         Windows kan ikke åpne den lokale policydatabasen. Det oppstod en ukjent feil under forsøk på å åpne databasen.

         Hvis du vil ha mer informasjon om verktøyet for konfigurasjon og analyse av sikkerhet, kan du se hjelpefilene for Windows 2000 eller Windows Server 2003.

    3. Grunner til å endre denne innstillingen

       • Du vil øke den laveste vanlige godkjenningsprotokollen som støttes av klienter og domenekontrollere i organisasjonen.

       • Der sikker godkjenning er et forretningskrav, vil du forby forhandlinger av LM- og NTLM-protokollene.

    4. Grunner til å deaktivere denne innstillingen
       
       Krav til klient- eller servergodkjenning, eller begge deler, har blitt økt til det punktet hvor godkjenning over en felles protokoll ikke kan forekomme.

    5. Symbolsk navn:
       
       Lmcompatibilitylevel

    6. Registerbane:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. Eksempler på kompatibilitetsproblemer

       • Windows Server 2003: Som standard er innstillingen for Send NTLM-svar for Windows Server 2003 NTLMv2 aktivert. Derfor får Windows Server 2003 feilmeldingen Ingen tilgang etter den første installasjonen når du prøver å koble til en Windows NT 4.0-basert klynge eller lanmanager V2.1-baserte servere, for eksempel OS/2 Lanserver. Dette problemet oppstår også hvis du prøver å koble fra en tidligere versjonsklient til en Windows Server 2003-basert server.

       • Du installerer Windows 2000 Security Rollup Package 1 (SRP1). SRP1 tvinger NTLM versjon 2 (NTLMv2). Denne pakken for beregnet verdi ble utgitt etter utgivelsen av Windows 2000 Service Pack 2 (SP2).
          

       • Windows 7 og Windows Server 2008 R2: Mange tredjeparts CIFS-servere, for eksempel Novell Netware 6 eller Linux-baserte Samba-servere, er ikke klar over NTLMv2 og bruker bare NTLM. Nivåer som er større enn "2" tillater derfor ikke tilkobling. I denne versjonen av operativsystemet ble standarden for LmCompatibilityLevel nå endret til «3». Så når du oppgraderer Windows, kan det hende at disse tredjepartsfilene slutter å fungere.

       • Microsoft Outlook-klienter kan bli bedt om legitimasjon selv om de allerede er logget på domenet. Når brukere oppgir legitimasjonen sin, får de følgende feilmelding: Windows 7 og Windows Server 2008 R2

         Påloggingslegitimasjonen som ble angitt, var feil. Kontroller at brukernavnet og domenet er riktig, og skriv deretter inn passordet på nytt.

         Når du starter Outlook, kan det hende du blir bedt om legitimasjon selv om innstillingen for påloggingssikkerhet er satt til Passthrough eller passordgodkjenning. Når du har skrevet inn riktig legitimasjon, kan du få følgende feilmelding:

         Den angitte påloggingslegitimasjonen var feil.

         En network monitor-sporing kan vise at den globale katalogen utstedte en ekstern prosedyrekallfeil (RPC) med statusen 0x5. Statusen 0x5 betyr Ingen tilgang.

       • Windows 2000: Et nettverksovervåkingsopptak kan vise følgende feil i NetBIOS over TCP/IP(NetBT)-servermeldingsblokkøkt (SMB):

         Feil i SMB R-søkekatalog, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Ugyldig brukeridentifikator

       • Windows 2000: Hvis et Windows 2000-domene med NTLMv2 nivå 2 eller nyere er klarert av et Windows NT 4.0-domene, kan Windows 2000-baserte medlemsdatamaskiner i ressursdomenet oppleve godkjenningsfeil.

       • Windows 2000 og Windows XP: Som standard angir Windows 2000 og Windows XP alternativet lokal sikkerhetspolicy på LAN Manager-godkjenningsnivå til 0. En innstilling på 0 betyr «Send LM- og NTLM-svar».
         
         Obs! Windows NT 4.0-baserte klynger må bruke LM for administrasjon.

       • Windows 2000: Windows 2000-klynger godkjenner ikke en sammenføyningsnode hvis begge nodene er en del av et Windows NT 4.0 Service Pack 6a (SP6a)-domene.

       • IIS Lockdown Tool (HiSecWeb) angir verdien LMCompatibilityLevel til 5 og RestrictAnonymous-verdien til 2.

       • Tjenester for Macintosh
         
         UAM (User Authentication Module): Microsoft UAM (User Authentication Module) inneholder en metode for å kryptere passordene du bruker til å logge på Windows AFP-servere (AppleTalk Filing Protocol). Apple User Authentication Module (UAM) gir bare minimal eller ingen kryptering. Derfor kan passordet enkelt fanges opp på lokalnettet eller på Internett. Selv om UAM ikke er nødvendig, gir den kryptert godkjenning til Windows 2000-servere som kjører Services For Macintosh. Denne versjonen inkluderer støtte for NTLMv2 128-biters kryptert godkjenning og en MacOS X 10.1-kompatibel utgivelse.
         
         Som standard tillater Windows Server 2003 Services for Macintosh-serveren bare Microsoft-godkjenning.
          

       • Windows Server 2008, Windows Server 2003, Windows XP og Windows 2000: Hvis du konfigurerer verdien LMCompatibilityLevel til 0 eller 1 og deretter konfigurerer NoLMHash-verdien til 1, kan programmer og komponenter bli nektet tilgang via NTLM. Dette problemet oppstår fordi datamaskinen er konfigurert til å aktivere LM, men ikke bruke LM-lagrede passord.
         
         Hvis du konfigurerer NoLMHash-verdien til å være 1, må du konfigurere LMCompatibilityLevel-verdien til å være 2 eller høyere.

11. Nettverkssikkerhet: Krav til LDAP-klientsignering

    1. Bakgrunn
       
       Innstillingen for nettverkssikkerhet: LDAP-klientsigneringskrav bestemmer nivået på datasigneringen som er forespurt på vegne av klienter som utsteder BIND-forespørsler for Lightweight Directory Access Protocol (LDAP) på følgende måte:

       • Ingen: LDAP BIND-forespørselen er utstedt med de oppringerangitte alternativene.

       • Forhandle signering: Hvis SSL/TLS (Secure Sockets Layer/Transport Layer Security) ikke er startet, startes LDAP BIND-forespørselen med LDAP-alternativet for datasignering angitt i tillegg til de oppringerangitte alternativene. Hvis SSL/TLS er startet, startes LDAP BIND-forespørselen med de anroperangitte alternativene.

       • Krev signering: Dette er det samme som negotiate-signering. Hvis LDAP-serverens mellomliggende saslBindInProgress-svar ikke angir at LDAP-trafikksignering er nødvendig, blir anroperen fortalt at LDAP BIND-kommandoforespørselen mislyktes.

    2. Risikabel konfigurasjon
       
       Aktivering av nettverkssikkerhet: Innstillingen for LDAP-klientsigneringskrav er en skadelig konfigurasjonsinnstilling. Hvis du angir at serveren skal kreve LDAP-signaturer, må du også konfigurere LDAP-signering på klienten. Hvis klienten ikke konfigureres til å bruke LDAP-signaturer, hindres kommunikasjon med serveren. Dette fører til at brukergodkjenning, gruppepolicy innstillinger, påloggingsskript og andre funksjoner mislykkes.

    3. Grunner til å endre denne innstillingen
       
       Usignert nettverkstrafikk er utsatt for mann-i-midten angrep der en inntrenger fanger pakker mellom klienten og serverne, endrer dem, og deretter videresender dem til serveren. Når dette skjer på en LDAP-server, kan en angriper føre til at en server svarer basert på falske spørringer fra LDAP-klienten. Du kan redusere denne risikoen i et bedriftsnettverk ved å implementere sterke fysiske sikkerhetstiltak for å beskytte nettverksinfrastrukturen. I tillegg kan du bidra til å forhindre alle typer mann-i-midten-angrep ved å kreve digitale signaturer på alle nettverkspakker ved hjelp av IPSec-godkjenningshoder.

    4. Symbolsk navn:
       
       LDAPClientIntegrity

    5. Registerbane:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

12. Hendelseslogg: Maksimal sikkerhetsloggstørrelse

    1. Bakgrunn
       
       Hendelsesloggen: Maksimum sikkerhetsinnstilling for sikkerhetsloggstørrelse angir den maksimale størrelsen på sikkerhetshendelsesloggen. Denne loggen har en maksimal størrelse på 4 GB. Hvis du vil finne denne innstillingen, utvider
       du Windows-innstillinger og utvider deretter Sikkerhetsinnstillinger.

    2. Risikable konfigurasjoner
       
       Følgende er skadelige konfigurasjonsinnstillinger:

       • Begrens størrelsen på sikkerhetsloggen og oppbevaringsmetoden for sikkerhetsloggen når overvåking: Avslutt systemet umiddelbart hvis innstillingen for sikkerhetsrevisjoner ikke er aktivert. Se avsnittet «Revisjon: Avslutt systemet umiddelbart hvis du ikke kan logge sikkerhetsrevisjoner» i denne artikkelen for mer informasjon.

       • Begrense størrelsen på sikkerhetsloggen slik at sikkerhetshendelser av interesse overskrives.

    3. Grunner til å øke denne innstillingen
       
       Forretnings- og sikkerhetskrav kan tilsier at du øker størrelsen på sikkerhetsloggen for å håndtere flere sikkerhetsloggdetaljer eller beholde sikkerhetslogger i en lengre periode.

    4. Grunner til å redusere denne innstillingen
       
       Hendelsesliste logger er minnetilordnede filer. Den maksimale størrelsen på en hendelseslogg begrenses av mengden fysisk minne på den lokale datamaskinen og av det virtuelle minnet som er tilgjengelig for hendelsesloggprosessen. Hvis du øker loggstørrelsen utover mengden virtuelt minne som er tilgjengelig for Hendelsesliste, økes ikke antall loggoppføringer som opprettholdes.

    5. Eksempler på kompatibilitetsproblemer
       
       Windows 2000: Datamaskiner som kjører versjoner av Windows 2000 som er tidligere enn Service Pack 4 (SP4), kan stoppe loggingshendelser i hendelsesloggen før de når størrelsen som er angitt i maksimumsinnstillingen for loggstørrelse i Hendelsesliste hvis alternativet Ikke overskriv hendelser (fjern logg manuelt) er aktivert.
       
       
        

13. Hendelseslogg: Behold sikkerhetslogg

    1. Bakgrunn
       
       Hendelsesloggen: Behold sikkerhetsinnstillingen for sikkerhetsloggen bestemmer «wrapping»-metoden for sikkerhetsloggen. Hvis du vil finne denne innstillingen, utvider du Windows-innstillinger og utvider deretter Sikkerhetsinnstillinger.

    2. Risikable konfigurasjoner
       
       Følgende er skadelige konfigurasjonsinnstillinger:

       • Kan ikke beholde alle loggførte sikkerhetshendelser før de overskrives

       • Konfigurere innstillingen for maksimal sikkerhetsloggstørrelse for liten, slik at sikkerhetshendelser overskrives

       • Begrense størrelsen og oppbevaringsmetoden for sikkerhetsloggen mens overvåking: Avslutt systemet umiddelbart hvis sikkerhetsinnstillingene for sikkerhetsrevisjoner ikke kan logges, er aktivert

    3. Grunner til å aktivere denne innstillingen
       
       Aktiver denne innstillingen bare hvis du velger Overskriv hendelser etter dager-oppbevaringsmetoden. Hvis du bruker et hendelseskorrelasjonssystem som undersøker hendelser, må du kontrollere at antall dager er minst tre ganger avspørringsfrekvensen. Gjør dette for å tillate mislykkede undersøkelsessykluser.

14. Nettverkstilgang: La alle tillatelser gjelde for anonyme brukere

    1. Bakgrunn
       
       Nettverkstilgang: La alle-tillatelser gjelde for anonyme brukere er som standard satt til Ikke definert på Windows Server 2003. Som standard inkluderer ikke Windows Server 2003 anonym tilgang-tokenet i Alle-gruppen.

    2. Eksempel på kompatibilitetsproblemer
       
       Følgende verdi av

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous [REG_DWORD]=0x0 bryter klareringsoppretting mellom Windows Server 2003 og Windows NT 4.0, når Windows Server 2003-domenet er kontodomenet og Windows NT 4.0-domenet er ressursdomenet. Dette betyr at kontodomenet er klarert på Windows NT 4.0 og ressursdomenet klarerer på Windows Server 2003-siden. Dette skjer fordi prosessen for å starte klarering etter den første anonyme tilkoblingen er ACL'd med Alle-tokenet som inkluderer anonym SID på Windows NT 4.0.

    3. Grunner til å endre denne innstillingen
       
       Verdien må settes til 0x1 eller angis ved hjelp av et gruppepolicyobjekt på domenekontrollerens OU for å være: Nettverkstilgang: La alle tillatelser gjelde for anonyme brukere – Aktivert for å gjøre klareringsopprettinger mulig.
       
       Vær oppmerksom på at de fleste andre sikkerhetsinnstillinger går opp i verdi i stedet for ned til 0x0 i den mest sikrede tilstanden. En sikrere fremgangsmåte er å endre registeret på den primære domenekontrollerens emulator i stedet for på alle domenekontrollerne. Hvis den primære domenekontrollerens emulatorrolle flyttes av en eller annen grunn, må registret oppdateres på den nye serveren.
       
       En omstart kreves etter at denne verdien er angitt.

    4. Registerbane

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

15. NTLMv2-godkjenning

    1. Øktsikkerhet
       
       Øktsikkerhet bestemmer minimum sikkerhetsstandarder for klient- og serverøkter. Det er lurt å bekrefte følgende sikkerhetspolicyinnstillinger i snapin-modulen for Microsoft Management Console gruppepolicy Editor:

       • Datamaskininnstillinger\Windows-innstillinger\Sikkerhetsinnstillinger\Lokale policyer\Sikkerhetsalternativer

       • Nettverkssikkerhet: Minimum øktsikkerhet for NTLM SSP-baserte (inkludert sikre RPC)-servere

       • Nettverkssikkerhet: Minimum øktsikkerhet for NTLM SSP-baserte (inkludert sikre RPC)-klienter

       Alternativene for disse innstillingene er som følger:

       • Krev meldingsintegritet

       • Krev meldingskonfidensialitet

       • Krev ntlm versjon 2 øktsikkerhet

       • Krev 128-biters kryptering

       Standardinnstillingen før Windows 7 er Ingen krav. Fra og med Windows 7 er standarden endret til Krev 128-biters kryptering for forbedret sikkerhet. Med denne standardinnstillingen kan ikke eldre enheter som ikke støtter 128-biters kryptering, koble til.
       
       Disse policyene bestemmer minimum sikkerhetsstandarder for en program-til-program-kommunikasjonsøkt på en server for en klient.
       
       Vær oppmerksom på at selv om det beskrives som gyldige innstillinger, brukes ikke flaggene for å kreve meldingsintegritet og konfidensialitet når NTLM-øktsikkerheten bestemmes.
       
       Historisk har Windows NT støttet følgende to varianter av utfordring/svar-godkjenning for nettverkspålogginger:

       • LM-utfordring/-respons

       • NTLM versjon 1 utfordring/svar

       LM gir interoperabilitet med den installerte grunntallet for klienter og servere. NTLM gir bedre sikkerhet for tilkoblinger mellom klienter og servere.
       
       De tilsvarende registernøklene er som følger:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec»
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec»

    2. Risikable konfigurasjoner
       
       Denne innstillingen styrer hvordan nettverksøkter som er sikret med NTLM, skal håndteres. Dette påvirker for eksempel RPC-baserte økter som er godkjent med NTLM. Det finnes følgende risikoer:

       • Bruk av eldre godkjenningsmetoder enn NTLMv2 gjør kommunikasjonen enklere å angripe på grunn av de enklere hash-metodene som brukes.

       • Ved hjelp av krypteringsnøkler som er lavere enn 128-biters, kan angripere bryte kommunikasjonen ved hjelp av angrep med brute-force.

Tidssynkronisering

Tidssynkronisering mislyktes. Tiden er deaktivert med mer enn 30 minutter på en berørt datamaskin. Kontroller at klokken på klientdatamaskinen er synkronisert med domenekontrollerens klokke.

Løsning for SMB-signering

Vi anbefaler at du installerer Service Pack 6a (SP6a) på Windows NT 4.0-klienter som interoperaterer i et Windows Server 2003-basert domene. Windows 98 Second Edition-baserte klienter, Windows 98-baserte klienter og Windows 95-baserte klienter må kjøre Directory Services Client for å utføre NTLMv2. Hvis Windows NT 4.0-baserte klienter ikke har Windows NT 4.0 SP6 installert, eller hvis Windows 95-baserte klienter, Windows 98-baserte klienter og Windows 98SE-baserte klienter ikke har Directory Services Client installert, deaktiverer du SMB-signering i standard domenekontrollerens policyinnstilling på domenekontrollerens OU, og deretter kobler du denne policyen til alle OUs som er vert for domenekontrollere.

Directory Services Client for Windows 98 Second Edition, Windows 98 og Windows 95 utfører SMB-signering med Windows 2003-servere under NTLM-godkjenning, men ikke under NTLMv2-godkjenning. Windows 2000-servere vil i tillegg ikke svare på SMB-signeringsforespørsler fra disse klientene.

Selv om vi ikke anbefaler det, kan du hindre at SMB-signering kreves på alle domenekontrollere som kjører Windows Server 2003 i et domene. Følg disse trinnene for å konfigurere denne sikkerhetsinnstillingen:

1. Åpne policyen for standard domenekontroller.

2. Åpne mappen Datamaskinkonfigurasjon\Windows-innstillinger\Sikkerhetsinnstillinger\Lokale policyer\Sikkerhetsalternativer.

3. Finn og klikk deretter Microsoft-nettverksserveren: Signer policyinnstillingen digitalt (alltid), og klikk deretter Deaktivert.

Viktig! Denne inndelingen, metoden eller oppgaven inneholder trinn som forteller deg hvordan du endrer registeret. Det kan imidlertid oppstå alvorlige problemer hvis du endrer registeret feil. Sørg derfor for at du følger disse trinnene nøye. Sikkerhetskopier registeret før du endrer det for ekstra beskyttelse. Deretter kan du gjenopprette registeret hvis det oppstår et problem. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registeret, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

322756 Slik sikkerhetskopierer og gjenoppretter du registeret i Windows Alternativt kan du slå av SMB-signering på serveren ved å endre registeret. For å gjøre dette, følger du disse trinnene:

1. Klikk Start, klikk Kjør, skriv regedit, og klikk deretter OK.

2. Finn og klikk deretter følgende undernøkkel:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

3. Klikk enablesecuritysignature-oppføringen .

4. Klikk Endre på Rediger-menyen.

5. Skriv inn 0 i Verdidata-boksen , og klikk deretter OK.

6. Avslutt registerredigering.

7. Start datamaskinen på nytt, eller stopp og start servertjenesten på nytt. Hvis du vil gjøre dette, skriver du inn følgende kommandoer i en ledetekst, og deretter trykker du enter etter at du har skrevet inn hver kommando:
   net stop server
   net start server

Obs! Den tilsvarende nøkkelen på klientdatamaskinen er i følgende registerundernøkkel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters Nedenfor vises de oversatte feilkodenumrene til statuskoder og de ordrette feilmeldingene som er nevnt tidligere:

Hvis du vil ha mer informasjon, klikker du følgende artikkelnumre for å vise artiklene i Microsoft Knowledge Base:

324802 Slik konfigurerer du gruppepolicyer for å angi sikkerhet for systemtjenester i Windows Server 2003

816585 Slik bruker du forhåndsdefinerte sikkerhetsmaler i Windows Server 2003