Je bent nu offline; er wordt gewacht tot er weer een internetverbinding is

Client, service en problemen met programma's kunnen optreden als het wijzigen van beveiligingsinstellingen en toewijzingen van gebruikersrechten

De ondersteuning voor Windows XP is beëindigd

De ondersteuning voor Office 2003 is door Microsoft beëindigd op 8 april. Deze wijziging heeft gevolgen voor software-updates en beveiligingsopties. Meer informatie over wat voor gevolgen dit voor u heeft en hoe u beveiligd blijft.

De ondersteuning voor Windows Server 2003 is op 14 juli 2015 beëindigd

De ondersteuning voor Windows Server 2003 is door Microsoft op 14 juli 2015 beëindigd. Deze wijziging heeft gevolgen voor software-updates en beveiligingsopties. Meer informatie over wat voor gevolgen dit voor u heeft en hoe u beveiligd blijft.

BELANGRIJK: Dit artikel is vertaald door middel van automatische vertalingssoftware van Microsoft en is mogelijk nabewerkt door de Microsoft Community via CTF-technologie (Community Translation Framework) of door een menselijke vertaler. Microsoft biedt zowel automatisch vertaalde, door mensen vertaalde en door de community nabewerkte artikelen aan, zodat er in meerdere talen toegang is tot alle artikelen in onze Knowledge Base. Een vertaald of bewerkt artikel kan fouten bevatten in vocabulaire, syntaxis of grammatica.. Microsoft is niet verantwoordelijk voor eventuele onjuistheden, fouten of schade ten gevolge van een foute vertaling van de inhoud van een bericht of het gebruik van deze vertaalde berichten door onze klanten.

De Engelstalige versie van dit artikel is de volgende: 823659
Samenvatting
Beveiligingsinstellingen en toewijzingen van gebruikersrechten kunnen worden gewijzigd in lokale beleidsregels en groep om de beveiliging op domeincontrollers en lidcomputers. Het nadeel van veiligere is echter de invoering van compatibiliteitsproblemen met clients, services en programma's.

Dit artikel beschrijft de compatibiliteitsproblemen die zich kunnen voordoen op clientcomputers met Windows XP of een eerdere versie van Windows wanneer u specifieke beveiligingsinstellingen en toewijzingen van gebruikersrechten in Windows Server 2003-domein of een eerdere Windows Server-domein.

Zie de volgende artikelen voor informatie over de Groepsbeleid voor Windows 7, Windows Server 2008 R2 en Windows Server 2008:Opmerking: De resterende inhoud van dit artikel is specifiek voor Windows XP, Windows Server 2003 en eerdere versies van Windows.

Windows XP

Klik hier voor informatie die specifiek is voor Windows XP
Bewustwording van onjuist geconfigureerde beveiligingsinstellingen gebruikt u het hulpprogramma Groepsbeleidsobjecteditor beveiligingsinstellingen te wijzigen. Wanneer u Groepsbeleidobjecteditor gebruikt, worden de toewijzingen van gebruikersrechten verbeterd op de volgende besturingssystemen:
  • Windows XP Professional servicepack 2 (SP2)
  • Windows Server 2003 servicepack 1 (SP1)
De verbeterde functie is een dialoogvenster met een koppeling naar dit artikel. Het dialoogvenster wordt weergegeven wanneer u een beveiligingsinstelling wijzigt of een toewijzing van gebruikersrechten een instelling die minder compatibiliteit biedt en meer beperkend is. Als u de dezelfde beveiliging instelling of toewijzing van gebruikersrechten rechtstreeks wijzigt via het register of met beveiligingssjablonen, is het effect hetzelfde als het wijzigen van de instelling in de Groepsbeleidsobjecteditor. Het dialoogvenster met de koppeling naar dit artikel wordt echter niet weergegeven.

Dit artikel bevat voorbeelden van clients, programma's en bewerkingen die worden beïnvloed door specifieke beveiligingsinstellingen of toewijzingen van gebruikersrechten. De voorbeelden zijn echter niet bindend voor alle Microsoft-besturingssystemen, voor alle besturingssystemen van derden of voor alle programmaversies die worden beïnvloed. Niet alle beveiligingsinstellingen en toewijzingen van gebruikersrechten zijn opgenomen in dit artikel.

Het is raadzaam om de compatibiliteit van alle configuratiewijzigingen in de van beveiliging in een testforest te valideren voordat u ze in een productieomgeving. De testforest moet productieforest mirror op de volgende manieren:
  • Besturingssysteemversies van client en server, client en programma's, versies van service packs, hotfixes, schemawijzigingen, beveiliging groepen, groepslidmaatschappen, machtigingen voor objecten in het bestandssysteem, gedeelde mappen, het register, Active Directory-adreslijstservice, lokale en groep Beleidsinstellingen, en objecttellingstype en locatie
  • Administratieve taken die uitgevoerd, administratieve worden hulpprogramma's die worden gebruikt en besturingssystemen die worden gebruikt voor het uitvoeren administratieve taken
  • Bewerkingen die worden uitgevoerd, zoals het volgende:
    • Computer en gebruiker aanmeldingsverificatie
    • Opnieuw instellen van wachtwoorden door gebruikers, computers en beheerders
    • Bladeren
    • Machtigingen instellen voor het bestandssysteem, voor gedeelde mappen, voor het register en voor Active Directory-bronnen middels ACL Editor in alle clientbesturingssystemen in alle account- of brondomeinen vanuit alle clientbesturingssystemen vanuit alle account- of brondomeinen
    • Administratieve en niet-administratieve accounts afdrukken

Windows Server 2003 SP1

Klik hier voor informatie die specifiek is voor Windows Server SP1

Waarschuwingen in Gpedit.msc

Om klanten bewust te maken dat ze een gebruikersrecht bewerken of beveiligingsoptie die nadelig kan zijn van invloed op hun netwerk, zijn twee toegevoegd aan gpedit.msc. Wanneer beheerders een gebruikersrecht dat gevolgen voor de hele onderneming hebben kan bewerken, zien ze een nieuw pictogram dat lijkt op een bord rendement. Ze ontvangt ook een waarschuwing met een koppeling naar Microsoft Knowledge Base-artikel 823659. De tekst van dit bericht is als volgt:
Deze instelling wijzigt, kan dat gevolgen hebben voor compatibiliteit met clients, services en toepassingen. Zie voor meer informatie <user right="" or="" security="" option="" being="" modified="">(Q823659)</user>
Als u naar dit Knowledge Base-artikel uit een koppeling in Gpedit.msc doorverwezen bent, controleert u of u lezen en begrijpen van de betreffende uitleg en het mogelijke effect van deze instelling te wijzigen. De volgende lijsten gebruikersrechten die de waarschuwingstekst van de bevatten:
  • Deze computer benaderen vanaf netwerk
  • Lokaal aanmelden
  • Controle op bladeren negeren
  • Computers en gebruikers voor vertrouwde overdracht inschakelen
De volgende bevat beveiligingsopties waarvoor de waarschuwing en een pop-up bericht:
  • Lid van domein: Digitaal coderen of ondertekenen (altijd) gegevens in beveiligd kanaal
  • Lid van domein: Sterke vereisen (Windows 2000 of hoger) sessiesleutel
  • Domeincontroller: Vereisten voor handtekening LDAP-server
  • Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (altijd)
  • Netwerktoegang: Kunt u anonieme Sid / naamomzetting
  • Netwerktoegang: Niet toestaan anonieme inventarisatie van SAM-accounts en shares
  • Netwerkbeveiliging: LAN Manager-verificatieniveau
  • Controle: Systeem onmiddellijk if unable to log security audits afsluiten
  • Netwerktoegang: Vereisten voor ondertekenen LDAP-client
Meer informatie
De volgende secties worden de compatibiliteitsproblemen die zich voordoen kunnen wanneer u bepaalde instellingen in Windows NT 4.0-domeinen, Windows 2000-domeinen en Windows Server 2003-domeinen wijzigen.

Gebruikersrechten

Klik hier voor informatie over gebruikersrechten
De volgende lijst beschrijft een gebruikersrecht, identificeert u configuratie-instellingen kunnen er problemen ontstaan, wordt beschreven waarom het gebruikersrecht moet worden toegepast en waarom u wilt verwijderen van het gebruikersrecht en voorbeelden van compatibiliteitsproblemen die voordoen geeft zich wanneer het gebruikersrecht is geconfigureerd.
  1. Deze computer benaderen vanaf netwerk
    1. Achtergrond

      De mogelijkheid om te communiceren met externe Windows-computers moet het gebruikersrecht toegang tot deze computer vanaf het netwerk . Voorbeelden van dergelijke netwerkbewerkingen zijn de volgende:
      • Replicatie van Active Directory tussen domeincontrollers in een gemeenschappelijk domein of forest
      • Verificatieverzoeken aan domeincontrollers van gebruikers en computers
      • Toegang tot gedeelde mappen, printers en andere systeemservices die op externe computers op het netwerk bevinden zich


      Gebruikers, computers en serviceaccounts krijgen of verliezen het gebruikersrecht toegang tot deze computer vanaf netwerk door expliciet of impliciet worden toegevoegd of verwijderd uit een beveiligingsgroep waaraan dit gebruikersrecht is toegekend. Een gebruikersaccount of een computeraccount kan expliciet worden toegevoegd aan een aangepaste beveiligingsgroep of een ingebouwde beveiliging door een beheerder of kan impliciet worden toegevoegd door het besturingssysteem aan een berekende beveiligingsgroep, zoals Domeingebruikers, geverifieerde gebruikers of Ondernemingsdomeincontrollers.

      Standaard gebruikersaccounts en computeraccounts de gebruiker toegang tot deze computer vanaf het netwerk worden toegekend wanneer berekende groepen, zoals iedereen of, bij voorkeur, geverifieerde gebruikers en voor domeincontrollers de groep Ondernemingsdomeincontrollers, zijn gedefinieerd in het standaardbeleid voor domeincontrollers Group Policy Object (GPO) rechts.
    2. Riskante configuraties

      Schadelijke configuratie-instellingen zijn:
      • De Ondernemings-domeincontrollers beveiliging verwijderen groep uit dit gebruikersrecht
      • De groep Geverifieerde gebruikers verwijderen of een expliciete groep die gebruikers, computers en serviceaccounts de gebruiker rechts verbinding maken met computers via het netwerk
      • Alle gebruikers en computers verwijderen van deze gebruikers rechts
    3. Redenen om dit gebruikersrecht toekennen
      • Het recht van toegang tot deze computer vanaf netwerk gebruiker aan de groep Ondernemingsdomeincontrollers voldoet verificatievereisten die Active Directory-replicatie moet hebben voor replicatie tussen domeincontrollers in hetzelfde forest.
      • Dit gebruikersrecht hebben gebruikers en computers toegang tot gedeelde bestanden, printers en systeemservices, waaronder Active De map.
      • Dit recht is vereist voor gebruikers e-mail met oudere versies van Microsoft Outlook Web Access (OWA).
    4. Redenen om dit gebruikersrecht te verwijderen
      • Gebruikers kunnen verbinding maken om de netwerk toegang tot bronnen op externe computers zij machtigingen hebben voor. Dit gebruikersrecht is bijvoorbeeld vereist voor een gebruiker verbinding maken met gedeelde printers en mappen. Als dit gebruikersrecht is toegekend aan iedereen groep en als sommige gedeelde mappen zowel share- als NTFS-bestandssysteemmachtigingen geconfigureerd zodat dezelfde groep leestoegang heeft, kan iedereen de bestanden in bekijken Deze gedeelde mappen. Dit is echter een onwaarschijnlijke situatie voor vers installaties van Windows Server 2003 omdat de standaardshare- en NTFS machtigingen in Windows Server 2003 geen groep Iedereen. Voor systemen waarop een van Microsoft Windows NT 4.0 of Windows 2000 upgrade dit beveiligingslek mogelijk een hoger niveau van risico omdat de standaard delen en de machtigingen voor het bestandssysteem voor deze besturingssystemen zijn niet zo beperkend als de standaardmachtigingen in Windows Server 2003.
      • Er is geen geldige reden voor het verwijderen van de onderneming Domain Controllers groep uit dit gebruikersrecht.
      • De groep Iedereen wordt doorgaans verwijderd voor de groep Geverifieerde gebruikers. Als de groep Iedereen wordt verwijderd, de Geverifieerde gebruikers, groep, moet dit recht worden toegekend.
      • Windows NT 4.0-domeinen worden opgewaardeerd naar Windows 2000 de gebruiker toegang tot deze computer vanaf het netwerk aan de groep Iedereen, de groep Geverifieerde gebruikers of de groep Ondernemings-domeincontrollers niet expliciet toegekend. Wanneer u de groep Iedereen uit voor Windows NT 4.0-domein, Active Directory-replicatie mislukt met een foutbericht 'Toegang geweigerd' na de upgrade naar Windows 2000. Winnt32.exe in Windows Server 2003 wordt deze onjuiste configuratie door toekenning van dat de Ondernemings-domeincontrollers groep dit gebruikersrecht wanneer u een upgrade uitvoert van Windows NT 4.0 primaire domeincontrollers (PDC's). Verleen de groep Ondernemingsdomeincontrollers dit gebruikersrecht als niet aanwezig in de Groepsbeleidsobjecteditor.
    5. Voorbeelden van compatibiliteitsproblemen
      • Windows 2000 en Windows Server 2003: Replicatie van de volgende partities mislukt met 'Toegang geweigerd'-fouten zoals gemeld door controlehulpprogramma's als REPLMON en REPADMIN of replicatiegebeurtenissen gebeurtenissen in het gebeurtenislogboek.
        • Partitie van Active Directory-Schema
        • Configuratiepartitie
        • Domeinpartitie van het
        • Partitie van de globale catalogus
        • Partitie
      • Alle Microsoft network operating systems:Accountverificatie van clientcomputers voor externe netwerk mislukt tenzij dit gebruikersrecht is toegekend aan de gebruiker of een beveiligingsgroep waarvan de gebruiker lid van is is.
      • Alle Microsoft network operating systems:Accountverificatie vanuit externe netwerkclients mislukt tenzij dit gebruikersrecht is toegekend aan de account of een beveiligingsgroep waarvan die de account lid van is is. Dit scenario geldt voor gebruikersaccounts, computeraccounts en serviceaccounts.
      • Alle Microsoft network operating systems:Alle accounts verwijderen uit dit gebruikersrecht dat elke account aanmelden bij het domein of toegang tot netwerkbronnen. Als berekende groepen, zoals Ondernemingsdomeincontrollers, dat iedereen of geverifieerde gebruikers worden verwijderd, u moet expliciet dit gebruikersrecht toekennen aan accounts of beveiligingsgroepen waarvan de account lid van is toegang tot externe computers via het netwerk. Dit scenario geldt voor alle gebruikersaccounts, computeraccounts en serviceaccounts.
      • Alle Microsoft network operating systems:De lokale beheerdersaccount gebruikt een 'leeg' wachtwoord. Netwerkverbindingen met lege wachtwoorden niet toegestaan voor beheerdersaccounts in een domeinomgeving. Met deze configuratie kunt u een foutbericht 'Toegang geweigerd'.
  2. Lokaal aanmelden toestaan
    1. Achtergrond

      Gebruikers die proberen aan te melden bij de console van een Windows-computer (met behulp van de sneltoets CTRL + ALT + DELETE) en accounts die u probeert een service te starten moet machtigingen voor lokaal aanmelden op de hostcomputer. Voorbeelden van lokale aanmeldingsbewerkingen zijn beheerders die aanmelden zich op de consoles van lidcomputers, of domeincontrollers binnen de onderneming en domeingebruikers gebruikers die aanmelden zich op lidcomputers om toegang te krijgen tot hun bureaublad via niet-gemachtigde accounts. Gebruikers die een verbinding met extern bureaublad of Terminal Services gebruiken, moeten de gebruiker Lokaal aanmelden toestaan hebben op doelcomputers waarop Windows 2000 of Windows XP omdat deze aanmeldingsmodi worden beschouwd als lokaal op de hostcomputer. Gebruikers die zich aanmelden bij een server waarop Terminal Server is ingeschakeld en die niet Deze gebruiker rechts kunt stilstaande start een externe interactieve sessie in Windows Server 2003-domeinen als ze het gebruikersrecht Aanmelden via Terminal Services toestaan .
    2. Riskante configuraties

      Schadelijke configuratie-instellingen zijn:
      • Verwijderen van administratieve beveiligingsgroepen, waaronder Accountoperators, back-upoperators, Printeroperators of Serveroperators, en de ingebouwde groep Administrators van het beleid van de standaard-domeincontroller.
      • Het verwijderen van serviceaccounts die worden gebruikt door onderdelen en programma's op lidcomputers en domeincontrollers in het domein van het beleid van de standaard-domeincontroller.
      • Verwijderen van gebruikers of beveiligingsgroepen die zich aanmelden bij de console van lidcomputers in het domein.
      • Het verwijderen van serviceaccounts die zijn gedefinieerd in de lokale database Security Accounts Manager (SAM) van lidcomputers of werkgroepcomputers
      • Het verwijderen van niet-ingebouwde administratieve accounts die worden geverifieerd via Terminal Services dat wordt uitgevoerd op een domeincontroller.
      • Expliciet toevoegen alle gebruikersaccounts in het domein of impliciet door iedereen groep aan het aanmeldingsrecht Lokaal aanmelden weigeren . Deze configuratie wordt voorkomen dat gebruikers registreren een lidcomputer of naar elke domeincontroller in het domein.
    3. Redenen om dit gebruikersrecht toekennen
      • Gebruikers moeten het gebruikersrecht Lokaal aanmelden toestaan voor toegang tot de console of het bureaublad van een werkgroep computer, een lidcomputer of een domeincontroller.
      • Gebruikers moeten dit gebruikersrecht aanmelden via Terminal Services-sessie die wordt uitgevoerd op een domeincontroller of lidcomputer met Windows 2000.
    4. Redenen om dit gebruikersrecht te verwijderen
      • Fout consoletoegang tot legitieme beperken gebruikersaccounts kunnen resulteren in onbevoegde gebruikers downloaden en uitvoeren schadelijke code wijzigen van gebruikersrechten.
      • Het verwijderen van het gebruikersrecht Lokaal aanmelden toestaan voorkomt niet-gemachtigde aanmeldingen op de consoles van computers, zoals domeincontrollers of toepassingsservers.
      • Dit aanmeldingsrecht te verwijderen voorkomt u dat niet-domein accounts aanmelden op de console van lidcomputers in het domein.
    5. Voorbeelden van compatibiliteitsproblemen
      • Windows 2000-terminalservers:Het gebruikersrecht Lokaal aanmelden toestaan is vereist voor de gebruikers zich aanmelden bij Windows 2000 Terminal-servers.
      • Windows NT 4.0, Windows 2000, Windows XP of Windows Server 2003:Gebruikersaccounts moeten dit gebruikersrecht aanmelden op de console van computers waarop Windows NT 4.0, Windows 2000, Windows XP of Windows Server 2003 worden toegekend.
      • Windows NT 4.0 en hoger:Op computers waarop Windows NT 4.0 wordt uitgevoerd en later, als u het gebruikersrecht Lokaal aanmelden toestaan maar u impliciet of expliciet ook het aanmeldingsrecht Lokaal aanmelden weigeren verlenen , accounts is niet mogelijk aan te melden bij de de console van de domeincontrollers.
  3. Controle op bladeren negeren
    1. Achtergrond

      Het gebruikersrecht controle op bladeren negeren kan de gebruiker bladeren door mappen in NTFS bestandssysteem of in het register, zonder te controleren of de speciale machtiging door map bladeren . Het gebruikersrecht controle op bladeren negeren kan de gebruiker de inhoud van een map niet. Kan de gebruiker alleen de mappen te bladeren.
    2. Riskante configuraties

      Schadelijke configuratie-instellingen zijn:
      • Niet-administratieve accounts die zich op basis van Windows 2000 Terminal Services-computers of computers met Windows Server 2003 Terminal Services die geen toegangsmachtigingen aanmelden voor bestanden en mappen in het bestandssysteem verwijderen.
      • De groep Iedereen verwijderen uit de lijst met beveiligings-principals die deze gebruikers standaard rechts hebben. Windows-besturingssystemen en ook veel programma's zijn ontworpen met de verwachting dat iedereen die wettig toegang de computer tot het gebruikersrecht controle op bladeren negeren hebben. Dus kan iedereen verwijderen groep uit de lijst van beveiligings-principals die dit gebruikersrecht standaard hebben leiden tot instabiliteit van het besturingssysteem of tot programmaproblemen. Het is beter laat deze instelling op de standaardwaarde.
    3. Redenen om dit gebruikersrecht toekennen

      De standaardinstelling voor het gebruikersrecht controle op bladeren negeren is dat iedereen de controle op bladeren negeren. Voor ervaren Windows-systeembeheerders is dit de verwachte werking en zij configureren bestand system access control list (SACL) dienovereenkomstig. De enige scenario waarbij de standaardconfiguratie tot problemen kan leiden als de de beheerder die de machtigingen configureert begrijpt het gedrag niet en verwacht dat gebruikers geen toegang een bovenliggende map tot niet zal toegang tot de inhoud van onderliggende mappen.
    4. Redenen om dit gebruikersrecht te verwijderen

      Om te voorkomen dat toegang tot de bestanden of mappen in het bestandssysteem, kunnen organisaties die beveiliging zijn de verleiding komen aan de groep Iedereen verwijderen of zelfs de groep gebruikers uit de lijst met groepen die het gebruikersrecht controle op bladeren negeren hebben.
    5. Voorbeelden van compatibiliteitsproblemen
      • Windows 2000, Windows Server 2003:Als het gebruikersrecht controle op bladeren negeren is verwijderd of is niet juist geconfigureerd op computers die zijn Windows 2000 of Windows Server 2003, groepsbeleidsinstellingen in de SYVOL map niet gerepliceerd tussen domeincontrollers in het domein.
      • Windows 2000, Windows XP Professional, Windows Server 2003:Computers waarop Windows 2000, Windows XP Professional of Windows Server 2003 worden gebeurtenissen 1000 en 1202 en kunnen geen computerbeleid en gebruikersbeleid worden toegepast wanneer de vereiste bestandssysteemmachtigingen zijn verwijderd uit de SYSVOL-structuur als de Bypass traverse met foutcontrole gebruikersrecht is verwijderd of is onjuist geconfigureerd.

        Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
        290647Gebeurtenis-ID 1000, 1001 wordt elke vijf minuten in het toepassingslogboek geregistreerd
      • Windows 2000, Windows Server 2003: Op computers waarop Windows 2000 of Windows Server 2003, de Quota tabblad in Windows Explorer verdwijnt wanneer u kunt eigenschappen weergeven op een volume.
      • Windows 2000: Niet-beheerders zich bij een Windows 2000 terminal server aanmelden wordt het volgende foutbericht weergegeven:
        Userinit.exe toepassingsfout. De toepassing niet juist initialiseren 0xc0000142 Klik op OK om de toepassing te beëindigen.
        Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
        272142Gebruikers worden automatisch afgemeld bij het aanmelden bij Terminal Services
      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003:Gebruikers met computers met Windows NT 4.0, Windows 2000, Windows XP of Windows Server 2003 mogelijk geen toegang tot gedeelde mappen of bestanden op gedeelde mappen en ze foutberichten 'Toegang geweigerd' als ze niet het gebruikersrecht controle op bladeren negeren verleend.

        Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
        277644Foutbericht 'Toegang geweigerd' wanneer gebruikers gedeelde mappen
      • Windows NT 4.0:Op computers met Windows NT 4.0 wordt het verwijderen van het gebruikersrecht controle op bladeren negeren bestanden bestandsstromen kopiëren. Als u Dit gebruikersrecht te verwijderen wanneer een bestand wordt gekopieerd vanaf een Windows-client of een Macintosh-client naar een Windows NT 4.0-domeincontroller waarop Services voor Macintosh, het stream-doelobject wordt verbroken en het bestand wordt weergegeven als een alleen-tekstbestand.

        Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
        172930Verwijdering van "Bypass Traverse Checking" zorgt ervoor dat het bestand kopiëren
      • Microsoft Windows 95, Microsoft Windows 98:Op een clientcomputer waarop Windows 95 of Windows 98, wordt de net use * / home opdracht mislukt met 'toegang Geweigerd' weergegeven als de groep Geverifieerde gebruikers niet verleend het gebruikersrecht controle op bladeren negeren .
      • Outlook Web Access:Niet-beheerders worden niet aanmelden bij Microsoft Outlook Web Access en ze ontvangt een foutbericht 'Toegang geweigerd' als ze niet het gebruikersrecht controle op bladeren negeren verleend.

Beveiligingsinstellingen

Klik hier voor informatie over beveiligingsinstellingen
De volgende lijst bevat een beveiligingsinstelling en de geneste lijst bevat een beschrijving over de instelling, identificeert u configuratie-instellingen die problemen kunnen veroorzaken, wordt beschreven waarom u de beveiligingsinstelling moet toepassen en beschrijving van redenen waarom u mogelijk wilt verwijderen van de beveiligingsinstelling. De geneste lijst biedt vervolgens een symbolische naam voor de instelling en het registerpad van het van de instelling. Ten slotte dienen voorbeelden van compatibiliteitsproblemen die voordoen zich wanneer de beveiligingsinstelling is geconfigureerd.
  1. Controle: Systeem onmiddellijk if unable to log security audits afsluiten
    1. Achtergrond
      • De controle: systeem onmiddellijk if unable to log security audits afsluiten bepaalt of het systeem wordt afgesloten als u zich niet voor beveiligingsgebeurtenissen aanmelden. Deze instelling is vereist voor de C2-evaluatie van de vertrouwde Computer Security evaluatie Criteria (TCSEC)-programma en voor de Common Criteria voor Information Technology Security Evaluation om controleerbare gebeurtenissen te voorkomen als de audit-systeem kan deze gebeurtenissen niet aanmelden. Als het controlesysteem uitvalt, het systeem is afgesloten en wordt een Stop-foutbericht weergegeven.
      • Als de computer niet van gebeurtenissen naar opnemen de beveiligingslogboek, essentieel bewijs of belangrijke informatie voor probleemoplossing kunnen niet beschikbaar voor evaluatie na een veiligheidsincident.
    2. Riskante configuratie

      Het volgende is een schadelijke configuratie-instelling: de controle: systeem onmiddellijk if unable to log security audits afsluiten is ingeschakeld en de grootte van het beveiligingslogboek wordt beperkt door de optie niet overschrijven (logboek handmatig wissen) gebeurtenissen , de optie Gebeurtenissen indien nodig overschrijven of de Gebeurtenissen overschrijven ouder dan nummer dagen optie in Logboeken. Zie 'voorbeelden van compatibiliteit Sectie oplossen' voor informatie over specifieke risico's voor computers de oorspronkelijke versie van Windows 2000, Windows 2000-Service wordt uitgevoerd Pack 1 (SP1), Windows 2000 SP2 of Windows 2000 SP3.
    3. Redenen om deze instelling

      Als de computer niet van gebeurtenissen in het beveiligingslogboek opnemen, essentieel bewijs of belangrijke informatie voor probleemoplossing mogelijk niet beschikbaar voor evaluatie na een beveiligingsincident.
    4. Redenen om deze instelling
      • Inschakelen van de controle: systeem onmiddellijk if unable to log security audits afsluiten instelling stopt het systeem als een beveiligingscontrole kan niet worden geregistreerd voor elke reden. Normaal gesproken worden een gebeurtenis niet geregistreerd als het beveiligingslogboek is volledige en wanneer de opgegeven bewaarperiode is ofwel de optie niet overschrijven (logboek handmatig wissen) gebeurtenissen of de Gebeurtenissen overschrijven ouder dan nummer dagen optie.
      • De administratieve last van het inschakelen van de controle: systeem onmiddellijk if unable to log security audits afsluiten instelling kan zeer hoog zijn, vooral als u ook de optie niet overschrijven (logboek handmatig wissen) gebeurtenissen voor het beveiligingslogboek inschakelen. Deze instelling biedt voor individuele verantwoording van de acties van de operator. Een beheerder kan bijvoorbeeld machtigingen opnieuw instellen op alle gebruikers, computers en groepen in een organisatie-eenheid waarin controle is ingeschakeld via de ingebouwde administrator-account of een andere gedeelde account en vervolgens weigeren dat zij dergelijke machtigingen opnieuw instellen. Echter inschakelen van de instelling verminderen de robuustheid van het systeem omdat een server kan worden geforceerd afgesloten door deze wordt overstelpt met aanmeldingsgebeurtenissen en met andere beveiligingsgebeurtenissen die naar het beveiligingslogboek worden geschreven. Bovendien, omdat het afsluiten geen correcte, onherstelbare schade aan het besturingssysteem, programma's of gegevens mogelijk. Hoewel NTFS de integriteit van het bestandssysteem tijdens een geforceerd afsluiten garandeert, is er geen garantie dat elk gegevensbestand voor elk programma nog bruikbaar is wanneer het systeem opnieuw wordt opgestart.
    5. Symbolische naam:

      CrashOnAuditFail

    6. Registerpad:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)
    7. Voorbeelden van compatibiliteitsproblemen
      • Windows 2000:Door een fout wordt de logboekregistratie stopgezet op computers waarop de oorspronkelijke versie van Windows 2000, Windows 2000 SP1, Windows 2000 SP2 of Windows Server SP3 wordt uitgevoerd, voordat de grootte die is opgegeven met de optie Max. logboekgrootte voor het logboek met beveiligingsgebeurtenissen is bereikt. Deze fout is verholpen. in Windows 2000 Service Pack 4 (SP4). Zorg ervoor dat uw Windows 2000-domein domeincontrollers hebt Windows 2000 Service Pack 4 zijn geïnstalleerd voordat u het inschakelen van deze instelling.

        Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
        312571Het gebeurtenislogboek stopt met het vastleggen van gebeurtenissen voordat de maximale logboekgrootte is bereikt
      • Windows 2000, Windows Server 2003:Kunnen computers waarop Windows 2000 of Windows Server 2003 reageert en start vervolgens spontaan opnieuw als de controle: systeem onmiddellijk if unable to log security audits afsluiten is ingeschakeld, het beveiligingslogboek vol is en een bestaande logboekvermelding niet kan worden overschreven. Wanneer de computer opnieuw opstart, wordt het volgende Stop-foutbericht weergegeven:
        STOP: C0000244 {Controle mislukt}
        Een poging om een beveiligingscontrole te genereren is mislukt.
        Als u wilt herstellen, moet beheerder aanmelden, archiveren (optioneel), het beveiligingslogboek het beveiligingslogboek wissen en opnieuw instellen van deze optie (optioneel en indien nodig).
      • Microsoft Network Client voor MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003:Niet-beheerders die zich aanmeldt bij een domein, ontvangt de volgende foutbericht weergegeven:
        Uw account is geconfigureerd voorkomen dat u deze computer gebruikt. Probeer een andere computer.
        Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
        160783Foutbericht: gebruikers zich niet aanmelden bij een werkstation
      • Windows 2000:Niet-beheerders worden niet met RAS-servers aanmelden op computers met Windows 2000 en zij ontvangt een foutbericht dat lijkt op het volgende:
        Onbekende gebruiker of onjuist wachtwoord
        Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
        285665Foutbericht: uw account is geconfigureerd om te voorkomen dat u met deze computer
      • Windows 2000:Op Windows 2000-domeincontrollers is de Intersite Messaging-service (Ismserv.exe) stopt en kan niet worden gestart. DCDIAG meldt de fout 'failed test services ISMserv' en gebeurtenis-ID 1083 wordt in het gebeurtenislogboek geregistreerd.
      • Windows 2000:Op Windows 2000-domeincontrollers mislukt Active Directory-replicatie en een bericht 'Toegang geweigerd' weergegeven als het beveiligingslogboek vol is.
      • Microsoft Exchange 2000:Servers waarop Exchange 2000 worden niet de informatiearchiefdatabase koppelen en wordt gebeurtenis 2102 in het gebeurtenislogboek geregistreerd.

        Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
        314294Foutberichten van Exchange 2000 worden gegenereerd als rechts en problemen met Policytest
      • Outlook, Outlook Web Access: Niet-beheerders worden geen toegang tot hun e-mail via Microsoft Outlook of Microsoft Outlook Web Access, en zij zal ontvangen een 503-fout.
  2. Domeincontroller: vereisten voor ondertekenen LDAP-server
    1. Achtergrond

      De domeincontroller: vereisten voor ondertekenen LDAP-server bepaalt of het Lightweight Directory Access Protocol (LDAP)-server LDAP-clients onderhandelen over het ondertekenen van gegevens vereist. De mogelijke waarden voor deze instelling zijn als volgt:
      • Geen: Gegevensondertekening is niet vereist voor het verbinden met de server. Als de client verzoeken ondertekenen van gegevens, de server ondersteund.
      • Moet ondertekenen: De LDAP-ondertekeningsoptie tenzij moet worden onderhandeld Transport Layer Security/Secure Socket Layer (TLS/SSL) wordt gebruikt.
      • niet gedefinieerd: Deze instelling is niet ingeschakeld of uitgeschakeld.
    2. Riskante configuraties

      Schadelijke configuratie-instellingen zijn:
      • Handtekening is vereist inschakelt in omgevingen waarin clients ondertekenen van LDAP niet ondersteunen of waar ondertekenen van LDAP aan clientzijde niet is ingeschakeld op de client
      • De Windows 2000 of Windows Server toepassen 2003 Beveiligingssjabloon Hisecdc.inf in omgevingen waarin de clients niet ondertekenen van LDAP ondersteunen of wanneer ondertekenen van LDAP aan clientzijde niet ingeschakeld
      • De Windows 2000 of Windows Server toepassen 2003 Beveiligingssjabloon Hisecws.inf in omgevingen waarin de clients niet ondertekenen van LDAP ondersteunen of wanneer ondertekenen van LDAP aan clientzijde niet ingeschakeld
    3. Redenen om deze instelling

      Niet-ondertekend netwerkverkeer is gevoeliger voor man-in-the-middle-aanvallen waarbij een indringer pakketten onderschept tussen de client en de server, de pakketten verandert en ze doorstuurt naar de server. Wanneer dit op een LDAP-server plaatsvindt, kan een aanvaller een server beslissingen neemt op basis van onjuiste query's van de LDAP-client. U kunt dit risico in een bedrijfsnetwerk verminderen door sterke fysieke beveiligingsmaatregelen ter bescherming van de netwerkinfrastructuur implementeren. Internet Protocol security (IPSec) de verificatieheadermodus voorkomen man-in-the-middle-aanvallen. De verificatieheadermodus wordt wederzijdse verificatie en pakketintegriteit voor IP-verkeer uitgevoerd.
    4. Redenen om deze instelling
      • Clients die ondertekenen van LDAP niet ondersteunen, wordt niet Kan LDAP-query's tegen domeincontrollers en globale verrichten catalogussen als wordt onderhandeld over NTLM-verificatie en de juiste service packs zijn niet geïnstalleerd op Windows 2000-domeincontrollers.
      • Netwerk-traces van LDAP-verkeer tussen clients en servers worden gecodeerd. Dit maakt het moeilijk-conversaties.
      • Windows 2000-servers moeten Windows 2000 Service Pack 3 (SP3) of geïnstalleerd wanneer ze worden beheerd met programma's die die ondertekenen van LDAP ondersteunen worden uitgevoerd vanaf clientcomputers waarop Windows 2000 SP4, Windows XP of Windows Server 2003 wordt uitgevoerd. Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
        325465Domeincontrollers met Windows 2000 vereist servicepack 3 of hoger met Windows Server 2003-beheerprogramma 's
    5. Symbolische naam:

      LDAPServerIntegrity
    6. Registerpad:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)
    7. Voorbeelden van compatibiliteitsproblemen
      • Eenvoudige bindingen mislukken en u ontvangt de volgende foutbericht weergegeven:
        Ldap_simple_bind_s() mislukt: Sterke verificatie vereist.
      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003:Op clients waarop Windows 2000 SP4, Windows XP of Windows Server 2003, goed enkele Active Directory-beheerprogramma's niet met domeincontrollers waarop versies van Windows 2000 die ouder dan SP3 zijn wanneer NTLM-verificatie wordt onderhandeld.

        Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
        325465Domeincontrollers met Windows 2000 vereist servicepack 3 of hoger met Windows Server 2003-beheerprogramma 's
      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003:Op clients waarop Windows 2000 SP4, Windows XP of Windows Server 2003, enkele Active Directory-beheerprogramma's domeincontrollers waarop versies van Windows 2000 wordt uitgevoerd zijn vóór SP3 niet goed als ze IP-adressen (bijvoorbeeld ' dsa.msc/server =x.x.x.x"waar x.x.x.x een IP-adres is).

        Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
        325465Domeincontrollers met Windows 2000 vereist servicepack 3 of hoger met Windows Server 2003-beheerprogramma 's
      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003:Op clients waarop Windows 2000 SP4, Windows XP of Windows Server 2003, enkele beheerprogramma's van Active Directory dat doel zijn domeincontrollers waarop versies van Windows 2000 zijn ouder dan SP3 niet goed werken.

        Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
        325465Domeincontrollers met Windows 2000 vereist servicepack 3 of hoger met Windows Server 2003-beheerprogramma 's
  3. Lid van domein: sterke sessiesleutel verplicht (Windows 2000 of hoger)
    1. Achtergrond
      • De lid van domein: sterke sessiesleutel verplicht (Windows 2000 of hoger) bepaalt of een veilig kanaal kan worden vastgesteld met een domeincontroller die niet verkeer via beveiligde kanalen met coderen een sterke, 128-bits sessiesleutel. Deze instelling inschakelt tot oprichting van een beveiligd kanaal met een domeincontroller die beveiligd kanaal niet kan coderen gegevens met een sterke sleutel. Uitschakelen van deze instelling toegestaan 64-bits sessiesleutels.
      • Voordat u deze instelling op een lid kunt inschakelen werkstation of op een server alle domeincontrollers in het domein die de lid behoort moet kunnen gegevens in beveiligd kanaal met een sterke codering 128-bits sleutel. Dit betekent dat deze domeincontrollers moeten worden uitgevoerd Windows 2000 of hoger.
    2. Riskante configuratie

      Inschakelen van de lid van domein: sterke sessiesleutel verplicht (Windows 2000 of hoger) is ingesteld op een schadelijke configuratie-instelling.
    3. Redenen om deze instelling
      • Sessiesleutels die worden gebruikt voor het veilig stellen kanaal communicatie tussen lidcomputers en domeincontrollers, zijn veel in Windows 2000 sterker dan in eerdere versies van Microsoft besturingssystemen.
      • Wanneer het mogelijk is, is het verstandig om te profiteren van deze sterkere sessiesleutels beveiligen van communicatie via beveiligde kanalen uit afluisteren en netwerkaanvallen waarbij sessies. Afluisteren is een schadelijke aanval waarbij netwerkgegevens lezen is of is gewijzigd in transit. De gegevens kunnen worden gewijzigd, verbergen of wijzigen van de afzender of het omleiden.
      Belangrijk Een computer waarop Windows Server 2008 R2 of Windows 7 ondersteunt alleen sterke sleutels als veilige kanalen worden gebruikt. Deze beperking voorkomt dat een vertrouwensrelatie tussen een Windows NT 4.0-domein en een Windows Server 2008 R2-domein. Ook deze beperking geblokkeerd voor het lidmaatschap Windows NT 4.0-domein van computers waarop Windows 7 of Windows Server 2008 R2 en vice versa.
    4. Redenen om deze instelling

      Het domein bevat lidcomputers waarop andere besturingssystemen dan Windows 2000, Windows XP of Windows Server 2003.
    5. Symbolische naam:

      StrongKey
    6. Registerpad:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)
    7. Voorbeelden van compatibiliteitsproblemen

      Windows NT 4.0:Op computers met Windows NT 4.0 mislukt opnieuw instellen van veilige kanalen van vertrouwensrelaties tussen Windows NT 4.0 en Windows 2000-domeinen met NLTEST. Foutbericht 'Toegang geweigerd' wordt weergegeven:
      De vertrouwensrelatie relatie tussen het primaire domein en het vertrouwde domein is mislukt.

      Windows 7 en Server 2008 R2:Deze instelling is niet langer van kracht en de sterke sleutel altijd wordt gebruikt voor Windows 7 en hoger en Windows Server 2008 R2 en hogere versies. Door die werken vertrouwensrelaties met Windows NT 4.0-domeinen niet langer.
  4. Lid van domein: digitaal coderen of ondertekenen (altijd) gegevens in beveiligd kanaal
    1. Achtergrond
      • Inschakelen van lid van domein: digitaal coderen of ondertekenen (altijd) gegevens in beveiligd kanaal tot stand brengen van een beveiligd kanaal met een domeincontroller die niet kan ondertekenen of coderen van alle gegevens in beveiligd kanaal voorkomt. Om verificatieverkeer beschermen tegen man-in-the-middle-aanvallen, replay-aanvallen en andere typen netwerkaanvallen, maken Windows-computers met een communicatiekanaal dat een veilig kanaal via de Net Logon-service voor de verificatie van computeraccounts wordt genoemd. Veilige kanalen worden ook gebruikt wanneer een gebruiker in een domein met een netwerkbron in een extern domein verbindt. Deze verificatie met meerdere domeinen of indirecte verificatiekan een Windows-computer die lid is van een domein hebben toegang tot de database met gebruikersaccounts in het domein en in alle vertrouwde domeinen.
      • Inschakelen van de lid van domein: digitaal coderen of ondertekenen (altijd) gegevens in beveiligd kanaal instellen op een lidcomputer, alle domeincontrollers in het domein waartoe het lid moet kunnen ondertekenen of coderen van alle gegevens in beveiligd kanaal. Dit betekent dat deze domeincontrollers moeten worden uitgevoerd Windows NT 4.0 met Service Pack 6a (SP6a) of hoger.
      • Inschakelen van de lid van domein: digitaal coderen of ondertekenen (altijd) gegevens in beveiligd kanaal automatisch kunnen de lid van domein: digitaal coderen of ondertekenen van gegevens in beveiligd kanaal (indien mogelijk) instelling.
    2. Riskante configuratie

      Inschakelen van de lid van domein: digitaal coderen of ondertekenen (altijd) gegevens in beveiligd kanaal in domeinen waarin niet alle domeincontrollers kunnen ondertekenen of codeert gegevens in beveiligd kanaal is een schadelijke configuratie-instelling.
    3. Redenen om deze instelling

      Niet-ondertekend netwerkverkeer is gevoeliger voor man-in-the-middle-aanvallen, waar een hacker pakketten onderschept tussen de client en de server en alvorens deze worden doorgestuurd naar de client. Wanneer dit probleem op een Lightweight Directory Access Protocol (LDAP)-server optreedt, kan de indringer een client beslissingen neemt op basis van onjuiste records uit de LDAP-directory. U kunt het risico van een dergelijke aanval in een bedrijfsnetwerk verminderen door sterke fysieke beveiligingsmaatregelen ter bescherming van de netwerkinfrastructuur implementeren. Bovendien, kunt Internet Protocol security (IPSec) te implementeren verificatieheadermodus man-in-the-middle-aanvallen te voorkomen. In deze modus wordt wederzijdse verificatie en pakketintegriteit voor IP-verkeer.
    4. Redenen om deze instelling
      • Computers in lokale of externe domeinen ondersteunen gecodeerde veilige kanalen.
      • Niet alle domeincontrollers in het domein de juiste service pack revisieniveaus voor de ondersteuning van beveiligde gecodeerd kanalen.
    5. Symbolische naam:

      StrongKey
    6. Registerpad:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)
    7. Voorbeelden van compatibiliteitsproblemen
      • Windows NT 4.0: Windows 2000-lidcomputers worden niet deelnemen Windows NT 4.0-domeinen en ontvangen het volgende foutbericht weergegeven:
        De account mag zich niet aanmelden vanaf dit station.
        Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
        281648Foutbericht: de account mag zich niet aanmelden vanaf dit station
      • Windows NT 4.0:Windows NT 4.0-domeinen zijn niet tot stand brengen van een downlevel-vertrouwensrelatie met een Windows 2000-domein en ontvangen het volgende foutbericht weergegeven:
        De account mag zich niet aanmelden vanaf dit station.
        Bestaande vertrouwensrelaties van lager niveau verifiëren bovendien geen gebruikers uit het vertrouwde domein. Sommige gebruikers hebben problemen bij het aanmelden bij het domein en wordt een foutbericht wordt gemeld dat de client het domein niet vinden.
      • Windows XP:Windows XP-clients die lid zijn van Windows NT 4.0-domeinen kunnen geen aanmeldingspogingen verifiëren en wordt het volgende foutbericht weergegeven of de volgende gebeurtenissen worden vastgelegd in het gebeurtenislogboek:
        Windows kan geen verbinding met het domein of omdat de domeincontroller is uitgeschakeld of niet beschikbaar is of omdat uw computer account is niet gevonden.

        Gebeurtenis 5723: De sessie-instellingen van computer Computernaam verificatie mislukt. De naam van de account waarnaar wordt verwezen in de beveiliging database Computernaam. De volgende fout opgetreden: de toegang is geweigerd.

        Gebeurtenis 3227: De sessie-instellingen voor Windows NT of Windows 2000-domeincontroller Servernaam van de voor het domein Domeinnaam is mislukt omdat Server Naam ondersteunt niet ondertekenen of verzegelen van de Netlogon-sessie. De domeincontroller of stel de registervermelding RequireSignOrSeal op Deze computer in op 0.

        Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
        318266Windows XP-client aanmelden niet bij een Windows NT 4.0-domein
      • Microsoft Network:Microsoft-netwerkclients ontvangen een van de volgende foutberichten weergegeven:
        Aanmeldingsfout: onbekende gebruikersnaam of ongeldig wachtwoord.
        Er is geen gebruikerssessiesleutel voor de opgegeven aanmeldingssessie.
  5. Microsoft-netwerkclient: clientcommunicatie digitaal ondertekenen (altijd)
    1. Achtergrond

      Server Message Block (SMB) is het protocol voor delen van bronnen die door veel Microsoft-besturingssystemen wordt ondersteund. Het is de basis van het network basic input/output system (NetBIOS) en vele andere protocollen. SMB-ondertekening verifieert de gebruiker en de server waarop de gegevens. Als beide zijden het verificatieproces mislukt, wordt gegevensoverdracht niet plaats.

      SMB begint tijdens het onderhandelen over SMB-protocol inschakelen. De beleidsregels voor het ondertekenen van SMB bepalen of de computer clientcommunicatie altijd digitaal ondertekent.

      Windows 2000 SMB-verificatieprotocol ondersteunt wederzijdse verificatie. Wederzijdse verificatie sluit een 'man-in-the-middle'-aanvallen. De Windows 2000 SMB-verificatieprotocol ondersteunt ook verificatie bericht. Berichtverificatie voorkomt aanvallen van het actieve bericht. SMB-ondertekening zodat u deze verificatie, wordt een digitale handtekening in elk SMB geplaatst. Controleer of de digitale handtekening de client en de server.

      U moet u ondertekenen van SMB SMB inschakelen of op zowel de SMB-client als de SMB-ondertekening van SMB vereisen. Als SMB-ondertekening is ingeschakeld op een server-clients die ook worden ingeschakeld voor SMB-ondertekening gebruiken de pakketondertekening protocol tijdens alle volgende sessies. Als SMB-ondertekening op een server is vereist, kan een client geen verbinding kan maken tenzij de client is ingeschakeld of voor de SMB-ondertekening vereist.

      Digitaal ondertekenen in netwerken met hoge beveiliging waardoor wordt voorkomen dat de imitatie van clients en servers. Dit type imitatie wordt genoemd van de sessie overnemen. Een aanvaller die toegang tot hetzelfde netwerk als de client of de server heeft gebruikt waarbij extra sessies te onderbreken, beëindigen of stelen van een sessie in uitvoering. Een aanvaller kan onderscheppen en wijzigen van niet-getekende SMB-pakketten, het verkeer en doorsturen, zodat de server wellicht ongewenste acties. Of de aanvaller kan opleveren als de server of de client na een legitieme verificatie en vervolgens onbevoegde toegang tot gegevens.

      Het SMB-protocol dat wordt gebruikt voor het delen van bestanden en printers op computers waarop Windows 2000 Server, Windows 2000 Professional, Windows XP Professional of Windows Server 2003 ondersteunt wederzijdse verificatie. Wederzijdse verificatie sluit aanvallen waarbij sessies en ondersteunt berichtverificatie. Daarom kunnen man-in-the-middle-aanvallen. SMB-ondertekening vindt verificatie plaats door in elk SMB een digitale handtekening te plaatsen. De client en de server controleert de handtekening.

      Notities
      • Als een andere tegenmaatregel kunnen digitale handtekeningen met IPSec beveiligen al het netwerkverkeer. Er zijn hardware gebaseerde versnellers voor IPSec-codering en ondertekening kunt u de gevolgen van de prestaties van de CPU van de server. Er zijn geen dergelijke versnellers beschikbaar voor het ondertekenen van SMB zijn.

        Zie voor meer informatie de Servercommunicatie digitaal ondertekenen hoofdstuk op de Microsoft MSDN-website.

        Configureer ondertekenen van SMB via Groepsbeleidobjecteditor omdat een wijziging in een lokale registerwaarde geen effect heeft als er een hoger domeinbeleid bestaat.
      • In Windows 95, Windows 98 en Windows 98 Tweede editie wordt de Directory Services Client ondertekenen van SMB tijdens de verificatie op Windows Server 2003-servers via NTLM-verificatie. Deze clients gebruiken echter geen SMB-ondertekening wanneer ze met deze servers verifiëren met NTLMv2-verificatie. Bovendien reageren Windows 2000-servers niet op verzoeken van deze clients ondertekenen van SMB. Zie voor meer informatie artikel 10: ' Netwerkbeveiliging: Lan Manager-verificatieniveau. "
    2. Riskante configuratie

      Het volgende is een schadelijke configuratie-instelling: zowel de Microsoft network client: servercommunicatie digitaal ondertekenen (altijd) instelling en de Microsoft netwerkclient: clientcommunicatie digitaal ondertekenen (indien mogelijk van server) instelling ingesteld op 'Niet gedefinieerd' of uitgeschakeld. Deze instellingen kunnen de redirector ongecodeerde wachtwoorden verzenden naar niet - Microsoft SMB-servers die geen ondersteuning voor wachtwoordcodering tijdens verificatie bieden.
    3. Redenen om deze instelling

      Inschakelen van Microsoft netwerkclient: clientcommunicatie digitaal ondertekenen (altijd) moeten clients SMB-verkeer ondertekenen wanneer verbinding met servers waarvoor geen SMB-ondertekening vereist. Clients zijn hierdoor minder kwetsbaar voor aanvallen waarbij sessies.
    4. Redenen om deze instelling
      • Inschakelen van Microsoft-netwerkclient: clientcommunicatie digitaal ondertekenen (altijd) kunnen clients niet communiceren met doelservers die geen ondertekenen van SMB ondersteunen.
      • Computers configureren voor het negeren van alle niet-ondertekende SMB communicatie voorkomt dat oudere programma's en besturingssystemen verbinding maken.
    5. Symbolische naam:

      RequireSMBSignRdr
    6. Registerpad:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
    7. Voorbeelden van compatibiliteitsproblemen
      • Windows NT 4.0:U niet mogelijk het beveiligde kanaal van een vertrouwensrelatie tussen een Windows Server 2003-domein en een Windows NT 4.0-domein opnieuw instellen met NLTEST of NETDOM, en u ontvangt een foutbericht 'Toegang geweigerd'.
      • Windows XP:Kopiëren van bestanden van Windows XP kunnen clients op basis van een Windows 2000-servers en servers met Windows Server 2003 langer duren.
      • U wordt niet een netwerkverbinding van een de client met deze instelling is ingeschakeld en u ontvangt de volgende fout bericht:
        De account mag zich niet aanmelden vanaf Dit station.
    8. Opnieuw opstarten vereist

      Start de computer of Workstation-service opnieuw. Typ hiervoor de volgende opdrachten bij de opdrachtprompt. Druk na elke opdracht op Enter.
      net stop workstation
      net start workstation
  6. Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (altijd)
    1. Achtergrond
      • Server Messenger Block (SMB) is het protocol voor delen van bronnen die door veel Microsoft-besturingssystemen wordt ondersteund. Het is de basis van het network basic input/output system (NetBIOS) en vele andere protocollen. SMB-ondertekening verifieert de gebruiker en de server waarop de gegevens. Als beide zijden het verificatieproces mislukt, wordt gegevensoverdracht niet plaats.

        SMB begint tijdens het onderhandelen over SMB-protocol inschakelen. De beleidsregels voor het ondertekenen van SMB bepalen of de computer clientcommunicatie altijd digitaal ondertekent.

        Windows 2000 SMB-verificatieprotocol ondersteunt wederzijdse verificatie. Wederzijdse verificatie sluit een 'man-in-the-middle'-aanvallen. De Windows 2000 SMB-verificatieprotocol ondersteunt ook verificatie bericht. Berichtverificatie voorkomt aanvallen van het actieve bericht. SMB-ondertekening zodat u deze verificatie, wordt een digitale handtekening in elk SMB geplaatst. Controleer of de digitale handtekening de client en de server.

        U moet u ondertekenen van SMB SMB inschakelen of op zowel de SMB-client als de SMB-ondertekening van SMB vereisen. Als SMB-ondertekening is ingeschakeld op een server-clients die ook worden ingeschakeld voor SMB-ondertekening gebruiken de pakketondertekening protocol tijdens alle volgende sessies. Als SMB-ondertekening op een server is vereist, kan een client geen verbinding kan maken tenzij de client is ingeschakeld of voor de SMB-ondertekening vereist.

        Digitaal ondertekenen in netwerken met hoge beveiliging waardoor wordt voorkomen dat de imitatie van clients en servers. Dit type imitatie wordt genoemd van de sessie overnemen. Een aanvaller die toegang tot hetzelfde netwerk als de client of de server heeft gebruikt waarbij extra sessies te onderbreken, beëindigen of stelen van een sessie in uitvoering. Een aanvaller kan onderscheppen en niet ondertekend (SBM: Subnet bandbreedte Manager)-pakketten wijzigen, het verkeer en doorsturen, zodat de server wellicht ongewenste acties. Of de aanvaller kan opleveren als de server of de client na een legitieme verificatie en vervolgens onbevoegde toegang tot gegevens.

        Het SMB-protocol dat wordt gebruikt voor het delen van bestanden en printers op computers waarop Windows 2000 Server, Windows 2000 Professional, Windows XP Professional of Windows Server 2003 ondersteunt wederzijdse verificatie. Wederzijdse verificatie sluit aanvallen waarbij sessies en ondersteunt berichtverificatie. Daarom kunnen man-in-the-middle-aanvallen. SMB-ondertekening vindt verificatie plaats door in elk SMB een digitale handtekening te plaatsen. De client en de server controleert de handtekening.
      • Als een andere tegenmaatregel kunnen digitale handtekeningen met IPSec beveiligen al het netwerkverkeer. Er zijn hardware gebaseerde versnellers voor IPSec-codering en ondertekening kunt u de gevolgen van de prestaties van de CPU van de server. Er zijn geen dergelijke versnellers beschikbaar voor het ondertekenen van SMB zijn.
      • In Windows 95, Windows 98 en Windows 98 Tweede editie wordt de Directory Services Client ondertekenen van SMB tijdens de verificatie op Windows Server 2003-servers via NTLM-verificatie. Deze clients gebruiken echter geen SMB-ondertekening wanneer ze met deze servers verifiëren met NTLMv2-verificatie. Bovendien reageren Windows 2000-servers niet op verzoeken van deze clients ondertekenen van SMB. Zie voor meer informatie artikel 10: ' Netwerkbeveiliging: Lan Manager-verificatieniveau. "
    2. Riskante configuratie

      Het volgende is een schadelijke configuratie-instelling: waardoor de Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (altijd) op servers en domeincontrollers die worden benaderd door een incompatibel Windows-computers en clientcomputers gebaseerde van derden in lokale of externe domeinen.
    3. Redenen om deze instelling
      • Alle clientcomputers waarop deze instelling inschakelen rechtstreeks via het register of de instelling ondersteunen SMB ondertekenen. Met andere woorden, alle clientcomputers die beschikken over deze instelling ingeschakeld Windows 95 met de DS-client geïnstalleerd, Windows 98, Windows NT 4.0 wordt uitgevoerd Windows 2000, Windows XP Professional of Windows Server 2003.
      • Als Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (altijd) is uitgeschakeld, ondertekenen van SMB volledig uitgeschakeld. Volledig alle SMB-ondertekening uitschakelen kwetsbaarder computers voor hacken sessie aanvallen.
    4. Redenen om deze instelling
      • Inschakelen van deze instelling kan trager bestand kopiëren en de prestaties van het netwerk op clientcomputers.
      • Inschakelen van deze instelling wordt voorkomen dat clients die kan niet onderhandelen over SMB-ondertekening niet communiceren met servers en domein domeincontrollers. Bewerkingen zoals domein joins, gebruiker en computer verificatie, of netwerktoegang door programma's worden uitgevoerd.
    5. Symbolische naam:

      RequireSMBSignServer
    6. Registerpad:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)
    7. Voorbeelden van compatibiliteitsproblemen
      • Windows 95:Windows 95-clients die geen Directory-Services (DS)-Client geïnstalleerd aanmeldingsverificatie mislukt en wordt het volgende foutbericht:
        Het opgegeven domeinwachtwoord is niet Corrigeer of toegang voor de aanmelding bij de server is geweigerd.
        Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
        811497Foutbericht wanneer u Windows 95 of Windows NT 4.0-client zich aanmeldt bij Windows Server 2003-domein
      • Windows NT 4.0: Clientcomputers waarop versies van Windows NT 4.0 wordt uitgevoerd ouder dan Service Pack 3 (SP3) wordt aanmeldingsverificatie mislukt en wordt wordt het volgende foutbericht weergegeven:
        Het systeem kan niet u aanmelden. Controleer of uw gebruikersnaam en het domein juist zijn en typ uw wachtwoord opnieuw.
        Sommige niet - Microsoft SMB-servers ondersteunen alleen uitwisseling van gecodeerde wachtwoorden tijdens de verificatie. (Deze uitwisselingen ook wel 'plain text'-uitwisselingen.) Voor Windows NT 4.0 SP3 en latere versies verzendt de SMB-redirector geen een gecodeerde wachtwoorden tijdens de verificatie van een SMB-server tenzij u een specifieke registervermelding toevoegen.
        Als niet-gecodeerde wachtwoorden voor de SMB-client op Windows NT 4.0 SP 3 en nieuwere systemen inschakelen, wijzigt u het register als volgt: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        Naam: EnablePlainTextPassword
        Gegevenstype: REG_DWORD
        Gegevens: 1

        Klik op de volgende artikelnummers om de artikelen in de Microsoft Knowledge Base voor meer informatie over verwante onderwerpen:
        224287Foutbericht: Systeemfout 1240 is opgetreden. De account mag zich niet aanmelden vanaf dit station.
        166730 Ongecodeerde wachtwoorden mogelijk Service Pack 3 verbinding maakt met SMB-servers
      • Windows Server 2003: Standaard zijn beveiligingsinstellingen op domeincontrollers met Windows Server 2003 geconfigureerd om te voorkomen dat communicatie op een domeincontroller worden onderschept of vervalst door kwaadwillende gebruikers. Gebruikers communiceren met een domeincontroller waarop Windows Server 2003 wordt uitgevoerd, moeten clientcomputers zowel SMB-ondertekening en codering of ondertekening van beveiligde kanalen verkeer gebruiken. Standaard worden clients die het uitvoeren van Windows NT 4.0 met Service Pack 2 (SP2) of eerder is geïnstalleerd en clients met Windows 95 geen SMB-pakketondertekening ingeschakeld. Daarom deze clients mogelijk niet kunnen worden geverifieerd bij een domeincontroller met Windows Server 2003.
      • Beleidsinstellingen voor Windows 2000 en Windows Server 2003: De behoeften van specifieke installatie en configuratie, is het raadzaam de volgende beleidsinstellingen op te stellen op de laagste entiteit van het noodzakelijke bereik in de Microsoft Management Console Groepsbeleidsobjecteditor-hiërarchie:
        • Computer Computerconfiguratie\Windows-Beveiligingsinstellingen\beveiligingsopties
        • Niet gecodeerd wachtwoord verzenden om verbinding maken met een SMB-servers van derden (deze instelling is voor Windows 2000)
        • Microsoft-netwerkclient: niet-gecodeerd wachtwoord verzenden SMB-servers van derden (deze instelling is voor Windows Server 2003)

        Opmerking In enkele CIFS-servers van derden, zoals de oudere Samba-versies u geen gecodeerde wachtwoorden gebruiken.
      • De volgende clients zijn niet compatibel met de Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (altijd) instelling:
        • Apple Computer, Inc., Mac OS X clients
        • Microsoft MS-DOS-netwerkclients (bijvoorbeeld Microsoft LAN Manager)
        • Microsoft Windows voor Workgroups clients
        • Microsoft Windows 95-clients zonder de DS Client geïnstalleerd
        • Computers met Microsoft Windows NT 4.0 zonder SP3 of hoger geïnstalleerd
        • Novell Netware 6 CIFS-clients
        • SAMBA SMB-clients die geen ondersteuning voor SMB-ondertekening
    8. Opnieuw opstarten vereist

      De computer opnieuw opstart of de Server-service opnieuw starten. Typ hiervoor de volgende opdrachten bij de opdrachtprompt. Druk na elke opdracht op Enter.
      net stop server
      net start server
  7. Netwerktoegang: anonieme SID-/ naamomzetting toestaan
    1. Achtergrond

      De Netwerktoegang: anonieme SID-/ naamomzetting toestaan bepaalt of een anonieme gebruiker kan aanvragen Beveiligingskenmerken identificatie nummer (SID) voor een andere gebruiker.
    2. Riskante configuratie

      Inschakelen van de Netwerktoegang: anonieme SID-/ naamomzetting toestaan instelling is een schadelijke configuratieinstelling.
    3. Redenen om deze instelling

      Als de Netwerktoegang: anonieme SID-/ naamomzetting toestaan instelling is uitgeschakeld, kunnen oudere besturingssystemen of toepassingen mogelijk niet communiceren met Windows Server 2003-domeinen. Bijvoorbeeld: de volgende besturingssystemen, services of toepassingen werken niet:
      • Windows NT 4.0 gebaseerde RAS servers
      • Microsoft SQL Server die worden uitgevoerd op computers met Windows NT 3.x of Windows NT 4.0-computers
      • Remote Access-Service wordt uitgevoerd op Windows 2000-computers die zich in Windows NT 3.x-domeinen of Windows NT 4.0-domeinen
      • SQL-Server waarop Windows 2000-computers die zich bevinden in Windows NT 3.x-domeinen of Windows NT 4.0-domeinen
      • Gebruikers in Windows NT 4.0-brondomein die machtigingen voor toegang tot bestanden, gedeelde mappen en registerobjecten gebruiker gebruikersaccounts in accountdomeinen met Windows Server 2003-domein domeincontrollers
    4. Redenen om deze instelling

      Als deze instelling is ingeschakeld, kan een kwaadwillende gebruiker de bekende beheerders-SID te verkrijgen van de echte naam van de ingebouwde Administrator-account gebruiken, zelfs als de account is gewijzigd. Die persoon kan de accountnaam vervolgens gebruiken om een aanval raden van wachtwoorden.
    5. Symbolische naam: N.V.T.
    6. Registerpad: Geen. Het pad is opgegeven in UI-code.
    7. Voorbeelden van compatibiliteitsproblemen

      Windows NT 4.0:Computers in Windows NT 4.0 resource domains verschijnt het foutbericht 'Onbekende Account' in ACL-Editor als bronnen, zoals gedeelde mappen, gedeelde bestanden en registerobjecten, zijn beveiligd met beveiligingsprincipals die zich bevinden in accountdomeinen die Windows Server 2003-domeincontrollers bevatten.
  8. Netwerktoegang: geen anonieme inventarisatie van SAM-accounts toestaan
    1. Achtergrond
      • De Netwerktoegang: geen anonieme inventarisatie van SAM-accounts toestaan bepaalt u welke extra machtigingen worden toegekend voor anonieme verbindingen met de computer. Windows mogen anonieme gebruikers bepaalde activiteiten uitvoeren, zoals de namen van accounts voor workstation en server Security Accounts Manager (SAM) en netwerkshares inventariseren. Bijvoorbeeld kunt een beheerder deze toegang verleent aan gebruikers in een vertrouwd domein dat geen omkeerbare vertrouwensrelatie onderhoudt. Nadat een sessie is gemaakt, mogelijk anonieme gebruikers dezelfde toegang wordt verleend aan iedereen groep op basis van de instelling in de Netwerktoegang: machtigingen voor Iedereen toepassen op anonieme gebruikers instelling of de discretionaire toegangsbeheerlijst (DACL) van het object.

        Anonieme verbindingen worden gewoonlijk aangevraagd door eerdere versies van clients (downlevel-clients) tijdens de installatie van de SMB-sessie. In deze gevallen is een netwerktracering dat de SMB-PID (Process ID) is dat de client-redirector zoals 0xFEFF in Windows 2000 of 0xCAFE in Windows NT RPC proberen ook anonieme verbindingen maken.
      • BelangrijkDeze instelling heeft geen invloed op het domein domeincontrollers. Op domeincontrollers wordt dit gedrag bepaald door de aanwezigheid van 'NT AUTHORITY\ANONYMOUS LOGON' in "Pre-Windows 2000 compatible Access".
      • In Windows 2000 een soortgelijke instelling Extra beperkingen voor anonieme verbindingen beheert de
        RestrictAnonymous
        registerwaarde. De locatie van deze waarde is als volgt
        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
        Voor meer informatie over de registerwaarde RestrictAnonymous klikt u op de volgende artikelnummers om de artikelen in de Microsoft Knowledge Base:
        246261De registerwaarde RestrictAnonymous gebruiken in Windows 2000
        143474 Informatie beperken waarover anoniem aangemelde gebruikers
    2. Riskante configuraties

      Inschakelen van de Netwerktoegang: geen anonieme inventarisatie van SAM-accounts toestaan instelling is een schadelijke configuratieinstelling van de compatibiliteit. Het uitschakelen van is een schadelijk configuratie-instelling uit een oogpunt van beveiliging.
    3. Redenen om deze instelling

      Een onbevoegde gebruiker kan anoniem accountnamen en de gegevens vervolgens gebruiken om naar wachtwoorden te raden of social engineering -aanvallen uit te voeren. Social engineering is jargon dat inhoudt dat mensen tricking verleiden hun wachtwoorden of andere beveiligingsinformatie.
    4. Redenen om deze instelling

      Als deze instelling is ingeschakeld, is het onmogelijk maken van vertrouwensrelaties met Windows NT 4.0-domeinen. Deze instelling zorgt ervoor dat problemen met downlevel-clients (zoals Windows NT 3.51-clients en Windows 95-clients) waartoe het gebruik van bronnen op de server.
    5. Symbolische naam:


      RestrictAnonymousSAM
    6. Registerpad:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)
    7. Voorbeelden van compatibiliteitsproblemen
    • SMS Network Discovery worden niet verkrijgen Systeeminfo en 'Onbekend' worden geschreven de De eigenschap OperatingSystemNameandVersion.
    • Windows 95, Windows 98:Windows 95 en Windows 98-clients niet mogelijk hun wachtwoorden te wijzigen.
    • Windows NT 4.0:Windows NT 4.0-lidcomputers kunnen niet worden geverifieerd.
    • Windows 95, Windows 98:Computers met Windows 95 en Windows 98 kunnen niet worden geverifieerd door Microsoft-domeincontrollers.
    • Windows 95, Windows 98:Gebruikers op computers met Windows 95 en Windows 98 mogelijk niet de wachtwoorden voor hun gebruikersaccounts wijzigen.
  9. Netwerktoegang: doen niet anonieme inventarisatie van SAM-accounts en shares toestaan
    1. Achtergrond
      • De Netwerktoegang: laat geen anonieme inventarisatie van SAM-accounts en shares (ook bekend als RestrictAnonymous) bepaalt of anonieme inventarisatie van beveiligingsaccounts De SAM-accounts en -shares is toegestaan. Windows mogen anonieme gebruikers bepaalde activiteiten uitvoeren, zoals het inventariseren van domeinaccounts (gebruikers, computers en groepen) en netwerkshares. Dit is handig voor bijvoorbeeld, wanneer een beheerder toegang wil verlenen aan gebruikers in een vertrouwde domein dat geen omkeerbare vertrouwensrelatie onderhoudt. Als u niet wilt toestaan anonieme inventarisatie van SAM-accounts en shares, kunt u deze instelling inschakelt.
      • In Windows 2000 een soortgelijke instelling Extra beperkingen voor anonieme verbindingen beheert de
        RestrictAnonymous
        registerwaarde. De locatie van deze waarde is als volgt:
        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
    2. Riskante configuratie

      Inschakelen van de Netwerktoegang: laat geen anonieme inventarisatie van SAM-accounts en shares instelling is een schadelijke configuratieinstelling.
    3. Redenen om deze instelling
      • Inschakelen van de Netwerktoegang: laat geen anonieme inventarisatie van SAM-accounts en shares instelling voorkomt de inventarisatie van SAM-accounts en shares door gebruikers en computers die anonieme accounts gebruiken.
    4. Redenen om deze instelling
      • Als deze instelling is ingeschakeld, een onbevoegde gebruiker Kan anoniem accountnamen en de informatie te gebruiken wachtwoorden te raden of social engineering -aanvallen uitvoeren. Social engineering is jargon dat inhoudt dat mensen tricking verleiden hun wachtwoord of andere beveiligingsinformatie.
      • Als deze instelling is ingeschakeld, kan onmogelijk vertrouwensrelaties met Windows NT 4.0-domeinen maken. Deze instelling veroorzaakt eveneens problemen met downlevel-clients zoals Windows NT 3.51 en Windows 95-clients dat zijn bronnen proberen te gebruiken op de server.
      • Het is onmogelijk om toegang te verlenen aan gebruikers van brondomeinen omdat beheerders in het vertrouwende domein niet kunnen inventariseren van accounts in het andere domein. Gebruikers die anoniem toegang krijgen bestands- en afdrukservers tot kunnen geen lijst van de gedeelde netwerkbronnen op die servers. De gebruikers moeten worden geverifieerd voordat ze lijsten van gedeelde mappen en printers kunnen bekijken.
    5. Symbolische naam:

      RestrictAnonymous
    6. Registerpad:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
    7. Voorbeelden van compatibiliteitsproblemen
      • Windows NT 4.0: Gebruikers hebben geen wachtwoorden wijzigen van Windows NT 4.0-werkstations wanneer RestrictAnonymous is ingeschakeld op domeincontrollers in het domein van de gebruikers. Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
        198941Gebruikers kunnen wachtwoord niet wijzigen bij het aanmelden
      • Windows NT 4.0:Toevoegen van gebruikers of globale groepen vanuit vertrouwde Windows 2000-domeinen aan lokale Windows NT 4.0-groepen in Gebruikersbeheer, mislukt en het volgende foutbericht weergegeven:
        Er zijn momenteel geen aanmeldingsservers beschikbaar om de aanmeldingsaanvraag te verwerken.
        Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
        296405De registerwaarde "RestrictAnonymous" raken de vertrouwensrelatie een Windows 2000-domein
      • Windows NT 4.0:Windows NT 4.0 gebaseerde computers kunnen geen lid worden van domeinen tijdens setup of via de gebruikersinterface voor domeinlidmaatschap.

        Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
        184538Foutbericht: kan de domeincontroller voor dit domein niet vinden
      • Windows NT 4.0:Een downlevel-vertrouwensrelatie met Windows NT 4.0-brondomeinen mislukt. Wanneer RestrictAnonymous op het vertrouwde domein is ingeschakeld, wordt het volgende foutbericht weergegeven:
        Kan niet domeincontroller vinden voor dit domein.
        Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
        178640Kan geen domeincontroller vinden bij een vertrouwensrelatie
      • Windows NT 4.0:Gebruikers die zich op basis van Windows NT 4.0 Terminal Server-computers aanmelden wordt toegewezen aan de standaardbasismap in plaats van de basismap die in Gebruikersbeheer voor domeinen is gedefinieerd.

        Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
        236185Terminal Server-gebruikersprofielen en paden naar basismappen worden genegeerd na toepassing van SP4 of hoger
      • Windows NT 4.0:Windows NT 4.0-reservedomeincontrollers (BDC's) worden niet de Net Logon-service starten, een lijst met back-upbrowsers opvragen of de SAM-database van Windows 2000 of Windows Server 2003-domeincontrollers in hetzelfde domein synchroniseren.

        Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
        293127De Net Logon-service van een Windows NT 4.0 BDC werkt niet in een Windows 2000-domein
      • Windows 2000:Windows 2000-lidcomputers in Windows NT 4.0-domeinen worden geen printers in externe domeinen weergeven als de instelling geen toegang zonder uitdrukkelijke anonieme machtigingen is ingeschakeld in het lokale beveiligingsbeleid van de client computer.

        Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
        280329Gebruiker niet beheren of weergeven van eigenschappen van printer
      • Windows 2000:Gebruikers van Windows 2000-domein is geen netwerkprinters toevoegen vanuit Active Directory. ze worden echter wel printers toevoegen nadat zij deze vanuit de boomstructuurweergave.

        Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
        318866Outlook-clients kunnen geen algemene adreslijsten weergeven na installatie van Security Rollup Package 1 (SRP1) op een globale-catalogusserver
      • Windows 2000:Op computers met Windows 2000 is ACL-Editor niet mogelijk voor het toevoegen van gebruikers of globale groepen vanuit vertrouwde Windows NT 4.0-domeinen.

        Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
        296403De waarde RestrictAnonymous verbreekt de vertrouwensrelatie in een gemengd domein
      • ADMT versie 2:Wachtwoordmigratie voor gebruikersaccounts die worden gemigreerd tussen forests met Active Directory Migration Tool (ADMT) versie 2 zal mislukken.

        Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
        322981Problemen met migratie van wachtwoorden tussen forests met ADMTv2
      • Outlook-clients:De algemene adreslijst worden weergegeven leeg voor Microsoft Exchange Outlook-clients.

        Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
        318866Outlook-clients kunnen geen algemene adreslijsten weergeven na installatie van Security Rollup Package 1 (SR) op een globale-catalogusserver
        321169 SMB traag wanneer u bestanden van Windows XP naar een Windows 2000-domeincontroller kopieert
      • SMS:Microsoft Systems Management Server (SMS) Network Discovery worden niet verkrijgen van informatie van het besturingssysteem. Daarom wordt het schrijven 'Onbekend' in de eigenschap OperatingSystemNameandVersion van de SMS DDR-eigenschap van de gegevensrecord discovery (DDR).

        Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
        229769Hoe Discovery Data Manager bepaalt wanneer een verzoek om clientconfiguratie genereren
      • SMS: Wanneer u de Wizard Administrator User voor SMS gebruiken om te bladeren voor gebruikers en groepen, worden geen gebruikers of groepen weergegeven. Daarnaast communiceren geavanceerde clients niet met het Management Point. Anonieme toegang is vereist voor het Management Point.

        Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
        302413Geen gebruikers of groepen worden weergegeven in de Wizard Administrator User
      • SMS: Wanneer u de functie Network Discovery van SMS 2.0 gebruikt en Remote Client Installation Topology, client, and client operating systems network discovery optie inschakelt op kunnen computers worden gevonden maar kan niet worden geïnstalleerd.

        Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
        311257Resources worden niet herkend als anonieme verbindingen zijn uitgeschakeld
  10. Netwerkbeveiliging: Lan Manager-verificatieniveau
    1. Achtergrond

      Verificatie van LAN Manager (LM) is het protocol waarmee Windows-clients voor netwerkbewerkingen, zoals lidmaatschap van domeinen toegang tot netwerkbronnen en verificatie van gebruiker of computer verifiëren. Het LM-verificatieniveau bepaalt welk vraag/antwoord-verificatieprotocol wordt overeengekomen tussen de client en server-computers. Het LM-verificatieniveau bepaalt met name welke verificatieprotocollen die de client probeert te onderhandelen of de server zal accepteren. De waarde die voor LmCompatibilityLevel wordt ingesteld, bepaalt welk vraag/antwoord-verificatieprotocol wordt gebruikt voor netwerkaanmeldingen. Deze waarde is van invloed op het niveau van het verificatieprotocol dat clients gebruiken, het niveau van de sessiebeveiliging waarover wordt onderhandeld en het verificatieniveau geaccepteerd door servers.

      Mogelijke instellingen zijn de volgende.
      WaardeInstellingBeschrijving
      0 LM & NTLM-antwoorden verzendenClients gebruiken LM- en NTLM-verificatie en gebruiken nooit NTLMv2-sessiebeveiliging. Domeincontrollers accepteren LM-, NTLM- en NTLMv2-verificatie.
      1& LM en NTLM verzenden - gebruik NTLMv2-sessiebeveiliging indien onderhandeldClients gebruiken LM- en NTLM-verificatie en gebruiken NTLMv2-sessiebeveiliging als de server ondersteunt. Domeincontrollers accepteren LM-, NTLM- en NTLMv2-verificatie.
      2NTLM-antwoord verzendenClients gebruiken alleen NTLM-verificatie en gebruiken NTLMv2-sessiebeveiliging als de server ondersteunt. Domeincontrollers accepteren LM-, NTLM- en NTLMv2-verificatie.
      3Alleen een NTLMv2-antwoord verzendenClients gebruiken alleen NTLMv2-verificatie en gebruiken NTLMv2-sessiebeveiliging als de server ondersteunt. Domeincontrollers accepteren LM-, NTLM- en NTLMv2-verificatie.
      4Alleen een NTLMv2-antwoord verzenden / LM weigerenClients gebruiken alleen NTLMv2-verificatie en gebruiken NTLMv2-sessiebeveiliging als de server ondersteunt. Domeincontrollers weigeren LM en accepteren alleen NTLM- en NTLMv2-verificatie.
      5Alleen een NTLMv2-antwoord verzenden / LM & NTLM weigerenClients gebruiken alleen NTLMv2-verificatie en gebruiken NTLMv2-sessiebeveiliging als de server ondersteunt. Domeincontrollers weigeren LM en NTLM en accepteren alleen NTLMv2-verificatie.
      Opmerking In Windows 95, Windows 98 en Windows 98 Tweede editie wordt de Directory Services Client ondertekenen van SMB tijdens de verificatie op Windows Server 2003-servers via NTLM-verificatie. Deze clients gebruiken echter geen SMB-ondertekening wanneer ze met deze servers verifiëren met NTLMv2-verificatie. Bovendien reageren Windows 2000-servers niet op verzoeken van deze clients ondertekenen van SMB.

      Controleer het LM-verificatieniveau: Moet u het beleid op de server voor het toestaan van NTLM of moet u NTLMv2 ondersteunen de clientcomputer configureren.

      Als u het beleid (5) alleen een NTLMv2-antwoord NTLMv2 LM & NTLM op de doelcomputer waarmee u verbinding wilt maken, moet u de instelling op die computer verlagen of de beveiliging instellen op dezelfde instelling als op de broncomputer van waaruit u verbinding maakt.

      Zoek de juiste locatie waar u het LAN manager kunt wijzigen verificatieniveau op de client en de server ingesteld op hetzelfde niveau. Nadat u het beleid dat de instelling de LAN manager authentication level zoeken als u verbinding wilt maken en naar computers waarop eerdere versies van Windows, verlaagt u de waarde naar minstens (1) verzenden LM & NTLM - NTLM versie 2-sessiebeveiliging indien onderhandeld. Een effect van incompatibele instellingen is dat als de server NTLMv2 (waarde 5), maar de client is geconfigureerd voor gebruik van LM en NTLMv1 alleen (waarde 0), wordt de gebruiker die verificatie ervaringen een aanmeldingsfout die een onjuist wachtwoord heeft en dat het aantal onjuist wachtwoord wordt verhoogd. Als accountvergrendeling is geconfigureerd, kan de gebruiker uiteindelijk worden uitgesloten.

      Bijvoorbeeld wellicht op de domeincontroller of u moet het beleid van de domeincontroller bekijken.

      Zoeken op de domeincontroller

      Opmerking U moet de volgende procedure op alle domeincontrollers.
      1. Klik op Start, wijs Programma 's, en klik vervolgens op Systeembeheer.
      2. Onder Lokale beveiligingsinstellingen, vouw Lokaal beleid.
      3. Klik op Beveiligingsopties.
      4. Dubbelklik op Netwerkbeveiliging: LAN manager-verificatieniveau, en klik vervolgens op een waarde in de lijst.

      Als actieve instelling en lokale instelling dezelfde zijn, is het beleid op dit niveau gewijzigd. Als de instellingen verschillend zijn, moet u controleren beleid van de domeincontroller om te bepalen of de Netwerkbeveiliging: LAN manager-verificatieniveau instelling er is gedefinieerd. Als het niet daar is gedefinieerd, onderzoekt het beleid van de domeincontroller.

      Onderzoekenhet beleid van de domeincontroller
      1. Klik op Start, wijs Programma 's, en klik vervolgens op Systeembeheer.
      2. In de Domeincontroller Groepsbeleid, vouw Beveiligingsinstellingen, en klik op Lokaal beleid.
      3. Klik op Beveiligingsopties.
      4. Dubbelklik op Netwerkbeveiliging: LAN manager-verificatieniveau, en klik vervolgens op een waarde in de lijst.

      Opmerking
      • Mogelijk moet u beleidsinstellingen controleren die zijn gekoppeld aan het niveau van de site, domein of organisatie-eenheid (OU) niveau om te bepalen waar u het LAN manager-verificatieniveau moet configureren.
      • Als u een Groepsbeleid-instelling als het standaarddomeinbeleid implementeert, wordt het beleid toegepast op alle computers in het domein.
      • Als u een Groepsbeleid-instelling als de standaard de domeincontroller implementeert, wordt het beleid geldt alleen voor de servers in de organisatie-eenheid van de domeincontroller.
      • Het is verstandig om het LAN manager-verificatieniveau instellen in de laagste entiteit van noodzakelijke bereik in de hiërarchie van de toepassing beleid.

      Vernieuw het beleid nadat u wijzigingen aanbrengt. (Als de wijziging wordt aangebracht op het niveau van lokale beveiligingsinstellingen, de wijziging is onmiddellijk. Echter, moet u opnieuw de clients voordat u gaat testen.)

      Standaard worden instellingen voor Groepsbeleid bijgewerkt op domeincontrollers elke vijf minuten. Als onmiddellijk het bijwerken van de beleidsinstellingen voor Windows 2000 of hoger, gebruikt u de opdracht gpupdate .

      De opdracht gpupdate/force werkt lokale groepsbeleidsinstellingen en groepsbeleidsinstellingen die zijn gebaseerd op Active Directory-service, inclusief de beveiligingsinstellingen. Deze opdracht vervangt de nu verouderde refreshpolicy optie voor de opdracht secedit .

      De opdracht gpupdate gebruikt de volgende syntaxis:
      gpupdate [/ target: {computer|gebruiker}] [/ Force] [/ wait:waarde] [/ Logoff] [/ Boot]

      De nieuwe Group Policy Object (GPO) door de opdracht gpupdate om alle beleidsinstellingen handmatig opnieuw toepassen. Hiertoe typt u de volgende opdracht bij de opdrachtprompt en druk op Enter:
      GPUpdate/Force
      Bekijk het logboek voor toepassingsgebeurtenissen om te controleren of de beleidsinstelling met succes is toegepast.

      Op Windows XP en Windows Server 2003, kunt u de module Resulterende verzameling beleidsregels op de actieve instelling bekijken. Hiertoe klikt u opStart, klik op Uitvoeren, typ RSoP.msc, en klik vervolgens op OK.

      Als het probleem zich blijft voordoen nadat u de wijziging in het beleid, de Windows-server opnieuw en controleer of het probleem is opgelost.

      Opmerking Als u meerdere Windows 2000-domeincontrollers, Windows Server 2003-domeincontrollers of beide, is het mogelijk voor het repliceren van Active Directory om ervoor te zorgen dat deze domeincontrollers onmiddellijk de bijgewerkte wijzigingen hebben.

      De instelling lijkt ook worden ingesteld op de laagste instelling in het lokale beveiligingsbeleid. Als u de instelling van een beveiligingsdatabase afdwingt, kunt u het LAN manager-verificatieniveau ook instellen in het register door het bewerken van het item LmCompatibilityLevel in de volgende registersubsleutel:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
      Windows Server 2003 heeft een nieuwe standaardinstelling alleen NTLMv2 wordt gebruikt. Standaard Windows Server 2003 en Windows 2000 Server SP3-domeincontrollers hebt ingeschakeld de ' Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (altijd) ' beleid. Deze instelling moet de SMB-server SMB-pakketondertekening uitvoeren.Windows Server 2003 zijn gewijzigd omdat domeincontrollers, bestandsservers, infrastructuur voor netwerkservers en webservers in elke organisatie weer andere instellingen voor een optimale beveiliging nodig.

      Als u NTLMv2-verificatie implementeren in uw netwerk, moet u ervoor zorgen dat alle computers in het domein zijn ingesteld op het gebruik van dit verificatieniveau. Als u Active Directory Client Extensions voor Windows 95 of Windows 98 en Windows NT 4.0 toepast, gebruiken de clientextensies de verbeterde verificatiefuncties die beschikbaar in NTLMv2 zijn. Omdat de clientcomputers waarop een van de volgende besturingssystemen worden niet beïnvloed door de Windows 2000-groepsbeleidobjecten, moet u wellicht deze clients handmatig configureren:
      • Microsoft Windows NT 4.0
      • Microsoft Windows Millennium Edition
      • Microsoft Windows 98
      • Microsoft Windows 95
      Opmerking Als u inschakelt de Netwerkbeveiliging: hashwaarde van LAN manager niet bewaren bij volgende wachtwoordwijziging inschakelt of de NoLMHash registersleutel, Windows 95 en Windows 98-clients die geen van de Directory servicesclient is geïnstalleerd aanmelden niet bij het domein na een wachtwoordwijziging.

      Veel leveranciers CIFS-servers, zoals Novell Netware 6, ondersteunen geen NTLMv2 en gebruiken alleen NTLM. Daarom niveaus hoger dan 2 verbindingen niet toegestaan.

      Klik voor meer informatie over het handmatig configureren van het LAN manager-verificatieniveau op de volgende artikelnummers om de artikelen in de Microsoft Knowledge Base:
      147706Windows NT LM-verificatie uitschakelen
      175641 LMCompatibilityLevel en de effecten
      299656 Voorkomen dat Windows een LAN manager-hash van uw wachtwoord opslaat in Active Directory and local SAM databases
      312630 Outlook blijft om aanmeldingsreferenties vragen
      Voor meer informatie over LM-verificatieniveaus klikt u op het volgende artikel in de Microsoft Knowledge Base:
      239869NTLM 2-verificatie inschakelen
    2. Riskante configuraties

      Schadelijke configuratie-instellingen zijn:
      • Beperkende instellingen die wachtwoorden verzenden leesbare tekst en die weigeren NTLMv2-onderhandelingen
      • Beperkende instellingen die voorkomen niet compatibel dat clients of domeincontrollers uit het onderhandelen over een gemeenschappelijk verificatieprotocol
      • NTLMv2-verificatie op computers die lid en domeincontrollers waarop versies van Windows NT 4.0 wordt uitgevoerd eerder dan Service Pack 4 (SP4)
      • NTLMv2-verificatie in Windows 95 clients of Windows 98-clients waarop geen Windows-map Services-Client is geïnstalleerd.
      • Als u de NTLMv2-sessiebeveiliging vereisen het selectievakje in de Microsoft Management Console Groepsbeleid-Editor-module op een Windows Server 2003 of Windows 2000 Service Pack 3 gebaseerde computer en verlaagt het LAN manager-verificatieniveau op 0, de twee instellingen in conflict en wordt het volgende foutbericht in het bestand Secpol.msc of het bestand GPEdit.msc:
        Windows kan de database met lokaal beleid niet openen. Een onbekende fout opgetreden bij het openen van de database.
        Zie de Windows 2000 of Windows Server 2003 Help-bestanden voor meer informatie over Beveiligingsconfiguratie en -analyse-hulpmiddel.

        Klik op de volgende artikelnummers om de artikelen in de Microsoft Knowledge Base voor meer informatie over de analyse van beveiligingsniveaus in Windows 2000 en Windows Server 2003:
        313203Hoe u Systeembeveiliging analyseren in Windows 2000
        816580 Hoe u Systeembeveiliging analyseren in Windows Server 2003
    3. Redenen om deze instelling te wijzigen
      • U wilt de laagste gemeenschappelijke vergroten een verificatieprotocol dat wordt ondersteund door clients en domeincontrollers in uw organisatie.
      • Wanneer beveiligde verificatie is een bedrijf vereiste wilt onderhandeling over LM en NTLM weigeren protocollen.
    4. Redenen om deze instelling

      Client of server verificatie eisen of beide zijn verhoogd tot het punt waarop verificatie via een algemeen protocol niet kan optreden.
    5. Symbolische naam:

      LmCompatibilityLevel
    6. Registerpad:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
    7. Voorbeelden van compatibiliteitsproblemen
      • Windows Server 2003:De Windows Server 2003 NTLMv2 NTLM-antwoord verzenden instellen is standaard ingeschakeld. Windows Server 2003 daarom ontvangt het foutbericht 'Toegang geweigerd' na de installatie wanneer u een verbinding op basis van Windows NT 4.0-cluster of met LanManager V2.1-servers, zoals OS/2-Lanserver. Dit probleem treedt ook op als u vanaf een eerdere versie client verbinding met een server met Windows Server 2003.
      • U installeert Windows 2000 Security Rollup Package 1 (SRP1).SRP1 vereist NTLM versie 2 (NTLMv2). Dit updatepakket is uitgegeven na de release van Windows 2000 Service Pack 2 (SP2). Klik voor meer informatie over SRP1 op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base:

        311401 Windows 2000 Security Rollup Package 1 januari 2002
      • Windows 7 en Windows Server 2008 R2: veel leveranciers CIFS-servers, zoals Novell Netware 6- of Linux-gebaseerde Samba servers, ondersteunen geen NTLMv2 en gebruiken alleen NTLM. Daarom niveaus hoger dan "2" verbindingen niet toegestaan. De standaardwaarde voor LmCompatibilityLevel is nu in deze versie van het besturingssysteem gewijzigd in "3". Dus wanneer u Windows bijwerkt, deze derde partij filers werkt niet.
      • Microsoft Outlook-clients kunnen worden gevraagd om referenties, hoewel ze al zijn aangemeld bij het domein. Wanneer gebruikers hun referenties opgeven, wordt het volgende foutbericht: Windows 7 en Windows Server 2008 R2
        De aanmeldingsgegevens zijn onjuist. Controleer of uw gebruikersnaam en domein correct zijn en typ het wachtwoord opnieuw.
        Wanneer u Outlook start, u gevraagd uw referenties zelfs als de instelling Netwerkbeveiliging bij aanmelden is ingesteld op doorvoer of op wachtwoordverificatie. Nadat u de juiste referenties typt, wordt het volgende foutbericht weergegeven:
        De aanmeldingsgegevens zijn onjuist.
        Een netwerkcontrole-trace kan aangeven dat de globale catalogus een remote procedure call (RPC)-fout met status 0x5 uitgegeven. Status 0x5 betekent 'Toegang geweigerd'.
      • Windows 2000:Netwerkcontrole kan de volgende fouten weergeven in de NetBIOS via TCP/IP (NetBT) server message block (SMB)-sessie:
        SMB R Search Directory Dos error, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) ongeldige gebruikers-id
      • Windows 2000: Als een Windows 2000-domein met NTLMv2 niveau 2 of hoger vertrouwd wordt door een domein in Windows NT 4.0, Windows 2000-lidcomputers in de bron domein kan verificatiefouten optreden.

        Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
        305379Verificatieproblemen in Windows 2000 met NTLM 2-niveaus hoger dan 2 in een Windows NT 4.0-domein
      • Windows 2000 en Windows XP: Windows 2000 en Windows XP wordt de optie LAN Manager Authentication Level lokaal beveiligingsbeleid standaard ingesteld op 0. De instelling 0 betekent "verzenden LM en NTLM-antwoorden."

        Opmerking Windows NT 4.0 gebaseerde clusters moeten LM gebruiken voor beheer.
      • Windows 2000: Windows 2000-clustering wordt niet geverifieerd samengesteld knooppunt als beide knooppunten deel uitmaken van een Windows NT 4.0 Service Pack 6a (SP6a) domein.

        Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
        305379Verificatieproblemen in Windows 2000 met NTLM 2-niveaus hoger dan 2 in een Windows NT 4.0-domein
      • Het hulpprogramma IIS Lockdown (HiSecWeb) wordt de waarde LMCompatibilityLevel op 5 en de waarde RestrictAnonymous op 2.
      • Services for Macintosh

        User Authentication Module (UAM): De Microsoft UAM (User Authentication Module) biedt een methode voor de wachtwoorden die u gebruikt voor aanmelding bij Windows AFP (AppleTalk Filing Protocol)-servers. De Apple User Authentication Module (UAM) vindt u slechts minimale of geen codering. Dus kan uw wachtwoord gemakkelijk worden onderschept op het LAN of het Internet. Hoewel de UAM niet verplicht is, biedt het gecodeerde verificatie op Windows 2000-Servers waarop Services For Macintosh wordt uitgevoerd. Deze versie bevat ondersteuning voor NTLMv2 128-bits gecodeerde verificatie en een MacOS X 10.1-compatibele versie.

        De Windows Server 2003 Services for Macintosh-server staat standaard alleen Microsoft-verificatie.

        Klik op de volgende artikelnummers in de Microsoft Knowledge Base voor meer informatie:
        834498Macintosh-client kan geen verbinding maken met Services voor Macintosh op Windows Server 2003
        838331 Mac OS X-gebruikers kunnen geen gedeelde Macintosh-mappen op een server met Windows Server 2003 openen
      • Windows Server 2008, Windows Server 2003, Windows XP en Windows 2000: Als u de waarde LMCompatibilityLevel 0 of 1 en configureer vervolgens de waarde van NoLMHash 1, toepassingen en onderdelen mogelijk toegang geweigerd via NTLM. Dit probleem treedt op omdat de computer is geconfigureerd, schakelen LM maar niet opgeslagen LM-wachtwoorden gebruiken.

        Als u de waarde van NoLMHash 1 configureert, moet u de waarde van LMCompatibilityLevel 2 of hoger configureren.
  11. Netwerkbeveiliging: vereisten voor handtekening van LDAP-client
    1. Achtergrond

      De Netwerkbeveiliging: vereisten voor handtekening van LDAP-client bepaalt het niveau van gegevensondertekening dat is aangevraagd op namens clients die LDAP Lightweight Directory Access Protocol (LDAP) BIND aanvragen als volgt:
      • Geen: de LDAP BIND-aanvraag wordt gegeven met de beller opgegeven opties.
      • Onderhandelen over handtekening: als het Secure Sockets Layer/Transport Layer Security (SSL/TLS) niet is gestart, wordt het LDAP BIND-verzoek gestart met de LDAP-gegevens bovendien de beller opgegeven opties ondertekening optie ingesteld. Als SSL/TLS is gestart, wordt het LDAP BIND-verzoek gestart met aanroeper zijn opgegeven opties.
      • Handtekening vereisen: dit is hetzelfde als onderhandelen over handtekening. Echter, als de LDAP-server van tussenliggende saslBindInProgress antwoord betekent niet dat ondertekening van LDAP-verkeer is vereist, wordt de beller gemeld dat het LDAP BIND-aanvraag mislukt.
    2. Riskante configuratie

      Inschakelen van de Netwerkbeveiliging: vereisten voor handtekening van LDAP-client instelling is een schadelijke configuratieinstelling. Als u de server LDAP-handtekeningen vereist, moet u ook LDAP-ondertekening op de client te configureren. De client gebruik LDAP-handtekeningen niet configureren voor voorkomt communicatie met de server. Hierdoor gebruikersverificatie, Groepsbeleid instellingen, aanmeldingsscripts en andere functies mislukken.
    3. Redenen om deze instelling te wijzigen

      Niet-ondertekend netwerkverkeer is gevoeliger voor man-in-the-middle-aanvallen waarbij een hacker pakketten onderschept tussen de client en de servers aanpast en ze doorstuurt naar de server. Wanneer dit op een LDAP-server plaatsvindt, kan een aanvaller een server reageert op basis van onjuiste query's van de LDAP-client. U kunt dit risico in een bedrijfsnetwerk verminderen door sterke fysieke beveiligingsmaatregelen ter bescherming van de netwerkinfrastructuur implementeren. Bovendien kunt u alle soorten man-in-the-middle-aanvallen voorkomen door digitale handtekeningen op alle pakketten vereisen middels IPSec-verificatieheaders.
    4. Symbolische naam:

      LDAPClientIntegrity
    5. Registerpad:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
  12. Gebeurtenislogboek: Maximale grootte van het beveiligingslogboek
    1. Achtergrond

      De gebeurtenislogboek: maximale grootte van het logboekbestand beveiligingsinstelling geeft de maximale grootte van het beveiligingslogboek logboek. Dit logboek heeft een maximale grootte van 4 GB. Als u deze instelling opzoeken, vouw Windows-instellingen, en klik op Beveiliging Instellingen.
    2. Riskante configuraties

      Schadelijke configuratie-instellingen zijn:
      • De grootte van het beveiligingslogboek en de beveiliging beperken Bewaarmethode melden wanneer de controle: systeem onmiddellijk if unable to log security audits afsluiten instelling is ingeschakeld. Zie de ' controle: systeem onmiddellijk if unable to log security audits afsluiten "sectie van dit artikel voor meer informatie.
      • Zodat de grootte van het beveiligingslogboek beperken dat gebeurtenissen worden overschreven.
    3. Redenen om deze instelling te verhogen

      Bedrijfsmatige vereisten en beveiligingsaspecten kunnen dicteren die u Verhoog de grootte van het beveiligingslogboek meer verwerken of beveiligingslogboeken behouden voor een langere periode.
    4. Redenen om deze instelling te verlagen

      Logboeken zijn geheugen toegewezen bestanden. De maximale grootte van een gebeurtenislogboek wordt beperkt door de hoeveelheid fysiek geheugen in de lokale computer en door het virtuele geheugen die beschikbaar is voor het gebeurtenislogboek proces. Aanmelden vergroten dan de hoeveelheid virtueel geheugen die is beschikbare logboeken wordt niet vergroot het aantal logitems zijn gehandhaafd.
    5. Voorbeelden van compatibiliteitsproblemen

      Windows 2000:Computers waarop versies van Windows 2000 wordt uitgevoerd eerder dan Service Pack 4 (SP4) niet meer in het logboek voor gebeurtenissen de grootte is bereikt die is opgegeven met de instelling maximale grootte van beveiligingslogboek in Logboeken als de optie niet overschrijven (logboek handmatig wissen) gebeurtenissen is ingeschakeld.

      Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
      312571Het gebeurtenislogboek stopt met het vastleggen van gebeurtenissen voordat de maximale logboekgrootte is bereikt
  13. Gebeurtenislogboek: Beveiligingslogboek bewaren
    1. Achtergrond

      De gebeurtenislogboek: beveiligingslogboek bewaren bepaalt de "verpakking"-methode voor de beveiligingslogboek. Als u deze instelling opzoeken, vouw Windows-instellingen, en klik op Beveiligingsinstellingen.
    2. Riskante configuraties

      Schadelijke configuratie-instellingen zijn:
      • Niet behouden geregistreerde alle beveiligingsgebeurtenissen verwijderen voordat ze worden overschreven
      • De maximale grootte van het beveiligingslogboek te klein instellen zodat beveiligingsgebeurtenissen configureren overschreven
      • De grootte van het beveiligingslogboek en behoud beperken terwijl de controle: systeem onmiddellijk if unable to log security audits afsluiten is ingeschakeld
    3. Redenen om deze instelling

      Schakel deze instelling alleen als u de Gebeurtenissen op dagen overschrijven Bewaarmethode. Als u een gebeurtenis correlatie systeem opgevraagd voor gebeurtenissen, zorg ervoor dat het aantal dagen ten minste driemaal de poll frequentie. Hiervoor mislukte controlecycli toestaan.
  14. Netwerktoegang: de permissies voor iedereen op anonieme gebruikers toepassen
    1. Achtergrond

      Standaard de Netwerktoegang: machtigingen voor Iedereen toepassen op anonieme gebruikers is ingesteld op Niet gedefinieerd op Windows Server 2003. Standaard Windows Server 2003 bevat geen anonieme toegang in iedereen groep.
    2. Voorbeeld van compatibiliteitsproblemen

      De volgende waarde van
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
      [REG_DWORD] = 0x0 verbreekt de vertrouwensrelatie tussen Windows Server 2003 en Windows NT 4.0 als Windows Server 2003-domein de domeinaccount en het Windows NT 4.0-domein het brondomein is. Dit betekent dat het accountdomein op Windows NT 4.0 wordt vertrouwd en het brondomein vertrouwen aan de Windows Server 2003. Dit probleem treedt op omdat tijdens het starten van de vertrouwensrelatie na de eerste anonieme verbinding ACL zou met de groep Iedereen die de anonieme SID op Windows NT 4.0 bevat.
    3. Redenen om deze instelling te wijzigen

      De waarde moet worden ingesteld op 0x1 of met het GPO op de organisatorische eenheid van de domeincontroller worden ingesteld: Netwerktoegang: machtigingen voor Iedereen toepassen op anonieme gebruikers - ingeschakeld de gemaakte vertrouwensrelatie mogelijk te maken.

      Opmerking Meeste andere beveiligingsinstellingen lopen op in waarde in plaats van tot 0x0 in hun status. Veiliger zou zijn om het register op de emulator van de primaire domein-controller in plaats van op alle domeincontrollers wijzigen. Als de primaire emulator domeincontroller om welke reden wordt verplaatst, moet u het register op de nieuwe server bijgewerkt.

      Opnieuw opstarten is vereist nadat deze waarde is ingesteld.
    4. Registerpad
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
  15. NTLMv2-verificatie

    Sessiebeveiliging

    Sessiebeveiliging bepaalt de minimale beveiligingsstandaards voor client- en serversessies. Het is verstandig om te controleren of de volgende beveiligingsbeleidsinstellingen in de Microsoft Management Console Groepsbeleid-Editor:
    • Computerinstellingen\Windows-instellingen\Beveiligingsinstellingen\Lokaal Beleid\beveiligingsopties
    • Netwerkbeveiliging: Minimale sessiebeveiliging voor op NTLM SSP gebaseerde (inclusief beveiligde RPC) servers
    • Netwerkbeveiliging: Minimale sessiebeveiliging voor op NTLM SSP gebaseerde (inclusief beveiligde RPC) clients
    De opties voor deze instellingen zijn als volgt:
    • Integriteit van berichten vereisen
    • Geheimhouding van berichten vereisen
    • Sessiebeveiliging vereisen sessiebeveiliging
    • 128-Bits codering vereisen
    De standaardinstelling is geen vereisten.

    Dit beleid bepaalt de minimale beveiligingsstandaards voor een communicatiesessie tussen toepassingen-sessie op een server voor een client.

    In het verleden heeft Windows NT de volgende twee varianten van vraag/antwoord-verificatie voor netwerkaanmeldingen ondersteund:
    • LM-vraag/antwoord
    • Vraag/antwoord van NTLM versie 1
    LM staat interoperabiliteit toe met de geïnstalleerde clients en servers. NTLM biedt verbeterde beveiliging voor verbindingen tussen clients en servers.

    De corresponderende registersleutels zijn als volgt:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\ "NtlmMinServerSec"

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\ "NtlmMinClientSec"

Tijdsynchronisatie

Tijdsynchronisatie is mislukt. De tijd is uitgeschakeld op een computer meer dan 30 minuten. Zorg ervoor dat de klok van de clientcomputer is gesynchroniseerd met de klok van de domeincontroller.

Ondertekenen van SMB omzeilen

Klik hier voor informatie over het ondertekenen van SMB-problemen omzeilen
Wij raden aan dat u Service Pack 6a installeert (SP6a) op Windows NT 4.0-clients die in een Windows Server 2003-domein samenwerken. Clients op basis van Windows 98 Tweede editie, Windows 98-clients en clients met Windows 95-computers moeten de Directory Services-Client uitvoeren om NTLMv2 te worden uitgevoerd. Als op basis van Windows NT 4.0-clients geen Windows NT 4.0 SP6 geïnstalleerd of als clients op basis van Windows 95, Windows 98-clients en Windows 98TE clients doen niet de Directory Services-Client geïnstalleerd, in de standaardbeleidsinstelling van de organisatie-eenheid van de domeincontroller ondertekening van SMB uitschakelen en dit beleid vervolgens koppelen aan alle organisatorische eenheden die domeincontrollers verzorgen.

De Directory Services Client voor Windows 98 Tweede editie, Windows 98 en Windows 95 wordt uitgevoerd SMB-ondertekening met Windows 2003-servers onder NTLM-verificatie, maar niet onder NTLMv2-verificatie. Windows 2000-servers wordt bovendien niet reageren op aanvragen voor SMB-ondertekening van deze clients.

Hoewel we niet wordt aangeraden, kunt u voorkomen dat SMB-ondertekening verplicht is op alle domeincontrollers met Windows Server 2003 in een domein. Als u deze beveiligingsinstelling configureren, als volgt:
  1. Open de Standaarddomeincontroller beleid.
  2. Open de map Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Lokaal Beleid\beveiligingsopties .
  3. Klik op de Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (altijd) instelling en klik op uitgeschakeld.
Belangrijk Deze sectie, methode of taak bevat stappen voor het wijzigen van het register. Echter, kunnen ernstige problemen optreden als u het register onjuist bewerkt. Zorg ervoor dat u deze zorgvuldig stappen. Reservekopie van het register voordat u het wijzigt voor extra bescherming. Vervolgens kunt u het register herstellen als er een probleem optreedt. Voor meer informatie over de back-up en terugzetten van het register, klikt u op het volgende artikel in de Microsoft Knowledge Base:
322756 Back-up en terugzetten van het register in Windows
U kunt ook SMB-ondertekening op de server door het register uitschakelen. Hiertoe de volgende stappen uit:
  1. Klik op Start, klik op Uitvoeren, typ Regedit, en klik vervolgens op OK.
  2. Zoek en klik op de volgende subsleutel:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters
  3. Klik op de enablesecuritysignature post.
  4. Op de Bewerken menu, klikt u op Wijzigen.
  5. In de Waardegegevens in het vak 0, en klik vervolgens op OK.
  6. Sluit Register-Editor.
  7. Start de computer opnieuw op of stop en start de Server-service opnieuw. Hiertoe typt u de volgende opdrachten bij de opdrachtprompt en druk na elke opdracht op Enter:
    net stop server
    net start server
Opmerking De corresponderende sleutel op de clientcomputer is in de volgende registersubsleutel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters
Hieronder vindt de vertaalde foutcodenummers statuscodes en de verbatim foutberichten die eerder zijn vermeld:
Fout 5
ERROR_ACCESS_DENIED
Toegang is geweigerd.
Fout 1326
ERROR_LOGON_FAILURE
Aanmeldingsfout: onbekende gebruikersnaam of ongeldig wachtwoord.
Fout nr
ERROR_TRUSTED_DOMAIN_FAILURE
De vertrouwensrelatie tussen het primaire domein en het vertrouwde domein is mislukt.
fout uw tekst
ERROR_TRUSTED_RELATIONSHIP_FAILURE
De vertrouwensrelatie tussen dit werkstation en het primaire domein is mislukt.
Klik op de volgende artikelnummers in de Microsoft Knowledge Base voor meer informatie:
324802Groepsbeleid instellen voor systeemservices in Windows Server 2003 configureren
306771 Foutbericht 'Toegang geweigerd' na het configureren van een cluster met Windows Server 2003
101747 Microsoft-verificatie installeren op een Macintosh
161372 Het inschakelen van SMB-ondertekening in Windows NT
236414 Kan geen shares gebruiken als LMCompatibilityLevel is ingesteld op uitsluitend NTLM 2-verificatie
241338 Windows NT LAN Manager versie 3-client met de eerste aanmelding onmogelijk verdere aanmeldingen
262890 Kan de basismap station verbinding in een gemengde omgeving
308580 Toewijzing van basismappen aan downlevel-servers werkt niet tijdens het aanmelden
285901 RAS-VPN- en RIS clients kunnen geen verbinding krijgen met een server die is geconfigureerd voor het accepteren alleen NTLM-verificatie versie 2
816585 Hoe u vooraf gedefinieerde beveiligingssjablonen toepassen in Windows Server 2003
820281 U moet Windows-accountreferenties opgeven wanneer u verbinding met Exchange Server 2003 met Outlook 2003 RPC via HTTP-functie
gebruiker recht beveiliging instelling compat compatibiliteit register veilig Groepsbeleid acl rechten gpedit pdce

Waarschuwing: dit artikel is automatisch vertaald

Eigenschappen

Artikel-id: 823659 - Laatst bijgewerkt: 07/16/2013 04:09:00 - Revisie: 23.1

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows XP Professional, Microsoft Windows® 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Workstation 4.0 Developer Edition, Microsoft Windows 98 Standard Edition, Microsoft Windows 95

  • kbinfo kbsmbportal kbmt KB823659 KbMtnl
Feedback
html>>