Client-service en problemen met programma's kunnen zich voordoen als u beveiligingsinstellingen en toewijzingen van gebruikersrechten wijzigt

Samenvatting

Beveiligingsinstellingen en toewijzingen van gebruikersrechten kunnen in het lokale beleid en het groepsbeleid om de beveiliging op domeincontrollers en lidcomputers verbeteren worden gewijzigd. Het nadeel van verhoogde beveiliging is echter de invoering van compatibiliteitsproblemen met clients, services en programma's.

Dit artikel wordt beschreven compatibiliteitsproblemen die zich kunnen voordoen op clientcomputers met Windows XP of een eerdere versie van Windows, als u specifieke beveiligingsinstellingen en toewijzingen van gebruikersrechten in Windows Server 2003-domein of een eerdere Windows wijzigen Server-domein.

Raadpleeg de volgende artikelen voor meer informatie over de groep voor Windows 7, Windows Server 2008 R2 en Windows Server 2008:

  • Zie in Windows 7

  • Zie voor Windows 7 en Windows Server 2008 R2

  • Zie voor Windows Server 2008,

Opmerking: De resterende inhoud van dit artikel is specifiek voor Windows XP, Windows Server 2003 en eerdere versies van Windows.

Windows XP

Gebruik het hulpprogramma Groepsbeleidsobjecteditor beveiligingsinstellingen te wijzigen, een beter inzicht in onjuist geconfigureerde beveiligingsinstellingen. Wanneer u Groepsbeleidobjecteditor gebruikt, worden toewijzingen van gebruikersrechten verbeterd voor de volgende besturingssystemen:

  • Windows XP Professional servicepack 2 (SP2)

  • Windows Server 2003 servicepack 1 (SP1)

De verbeterde functie is een dialoogvenster met een koppeling naar dit artikel. Het dialoogvenster wordt weergegeven wanneer u een beveiligingsinstelling wijzigt of een toewijzing van gebruikersrechten voor een instelling die minder compatibiliteit biedt en meer beperkingen opgelegd. Als u direct de dezelfde beveiliging instelling of toewijzing van gebruikersrechten wijzigt met behulp van het register of met behulp van beveiligingssjablonen, is het effect hetzelfde als het wijzigen van de instelling in de Groepsbeleidsobjecteditor. Het dialoogvenster met de koppeling naar dit artikel wordt echter niet weergegeven.

Dit artikel bevat voorbeelden van clients, programma's en bewerkingen die worden beïnvloed door specifieke beveiligingsinstellingen of toewijzingen van gebruikersrechten. De voorbeelden zijn echter niet bindend voor alle Microsoft-besturingssystemen, voor alle besturingssystemen van derden of voor alle programma's die worden beïnvloed. Niet alle beveiligingsinstellingen en toewijzingen van gebruikersrechten zijn opgenomen in dit artikel.

Wij raden aan dat u de compatibiliteit van alle wijzigingen in de configuratie-beveiliging in een testforest valideren voordat u ze in een productieomgeving. De testforest moet gelijk zijn aan de productieforest op de volgende manieren:

  • Besturingssysteemversies van client en server, client en server programma's, versies van service packs, hotfixes, schemawijzigingen, beveiligingsgroepen, groepslidmaatschappen, machtigingen voor objecten in het bestandssysteem, gedeelde mappen, het register, Active Directory directory service, lokale en groepsbeleidsinstellingen, en objecttellingstype en -locatie

  • Administratieve taken die worden uitgevoerd, administratieve hulpprogramma's die worden gebruikt en besturingssystemen die worden gebruikt voor het uitvoeren van beheertaken

  • Bewerkingen die worden uitgevoerd, zoals het volgende:

    • Verificatie van gebruikers en aanmelden

    • Opnieuw instellen van wachtwoorden door gebruikers, computers en beheerders

    • Bladeren

    • Machtigingen instellen voor het bestandssysteem, voor gedeelde mappen, voor het register en voor Active Directory-bronnen middels ACL Editor in alle clientbesturingssystemen in alle account- of domeinen vanuit alle clientbesturingssystemen vanuit alle account- of resource domeinen

    • Van administratieve en niet-administratieve accounts afdrukken

Windows Server 2003 SP1

Waarschuwingen in Gpedit.msc

Om klanten bewust te maken dat ze een gebruikersrecht bewerken of beveiligingsoptie die nadelig kan zijn van invloed op het netwerk, zijn twee waarschuwingsmechanismen toegevoegd aan gpedit.msc. Wanneer beheerders een gebruikersrecht dat gevolgen kan hebben voor de hele onderneming bewerkt, zien ze een nieuw pictogram dat lijkt op een bord rendement. Zij ontvangt ook een waarschuwing met een koppeling naar Microsoft Knowledge Base-artikel 823659. De tekst van dit bericht is als volgt:

Het wijzigen van deze instelling van invloed op clients, services en toepassingen. Zie voor meer informatie < gebruiker rechter- of beveiligingsoptie > (Q823659) Als u naar dit Knowledge Base-artikel uit een koppeling in Gpedit.msc doorverwezen bent, moet u lezen en begrijpen van de uitleg en het mogelijke effect van deze instelling te wijzigen. Hieronder vindt u gebruikersrechten die de waarschuwingstekst bevatten:

  • Deze computer benaderen vanaf netwerk

  • Lokaal aanmelden

  • Controle op bladeren negeren

  • Computers en gebruikers voor vertrouwde overdracht inschakelen

De volgende bevat beveiligingsopties waarvoor de waarschuwing en een pop-up bericht:

  • Lid van domein: Digitaal coderen of ondertekenen (altijd) gegevens in beveiligd kanaal

  • Lid van domein: Sterke vereisen (Windows 2000 of een latere versie) sessiesleutel

  • Domeincontroller: Vereisten voor ondertekenen LDAP-server

  • Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (altijd)

  • Netwerktoegang: Kunt u anonieme Sid / naamomzetting toestaan

  • Netwerktoegang: Staan geen anonieme inventarisatie van SAM-accounts en shares

  • Netwerkbeveiliging: LAN Manager-verificatieniveau

  • Controle: Systeem onmiddellijk als beveiligingscontroles niet in logboek kunnen worden opgeslagen afsluiten

  • Netwerktoegang: Vereisten voor ondertekenen LDAP-client

Meer informatie

De volgende secties worden de compatibiliteitsproblemen die zich voordoen kunnen wanneer u bepaalde instellingen in Windows NT 4.0-domeinen, Windows 2000-domeinen en Windows Server 2003-domeinen wijzigen.

Gebruikersrechten

De volgende lijst beschrijft een gebruikersrecht, identificeert u configuratie-instellingen die mogelijk de oorzaak van problemen, wordt beschreven waarom u wordt aangeraden de gebruiker rechts en waarom u wilt verwijderen van het gebruikersrecht en geeft voorbeelden van compatibiliteitsproblemen die zich kunnen voordoen wanneer de gebruiker rechts is geconfigureerd.

  1. Deze computer benaderen vanaf netwerk

    1. Achtergrond

      De mogelijkheid om te communiceren met externe Windows-computers moet het gebruikersrecht toegang tot deze computer vanaf het netwerk . Voorbeelden van dergelijke netwerkbewerkingen zijn de volgende:

      • Replicatie van Active Directory tussen domeincontrollers in een gemeenschappelijk domein of forest

      • Verificatieverzoeken aan domeincontrollers van gebruikers en computers

      • Toegang tot gedeelde mappen, printers en andere systeemservices die zich op externe computers op het netwerk bevinden



      Gebruikers, computers en serviceaccounts krijgen of verliezen het gebruikersrecht toegang tot deze computer vanaf netwerk wordt expliciet of impliciet toegevoegd of verwijderd uit een beveiligingsgroep waaraan dit gebruikersrecht is toegekend. Bijvoorbeeld een gebruikersaccount of een computeraccount kan expliciet worden toegevoegd aan een aangepaste beveiligingsgroep of een ingebouwde groep door een beheerder of kan impliciet worden toegevoegd door het besturingssysteem aan een berekende beveiligingsgroep, zoals Domeingebruikers, geverifieerde Gebruikers of Ondernemingsdomeincontrollers.

      Standaard worden gebruikersaccounts en computeraccounts verleend de toegang tot deze computer vanaf netwerk gebruikersrecht wanneer berekende groepen zoals iedereen of, bij voorkeur, geverifieerde gebruikers en voor domeincontrollers de groep Ondernemingsdomeincontrollers , worden gedefinieerd in het standaardbeleid voor domeincontrollers Group Policy Object (GPO).

    2. Riskante configuraties

      Dit zijn schadelijke configuratie-instellingen:

      • Verwijderen van de beveiligingsgroep Ondernemingsdomeincontrollers uit dit gebruikersrecht

      • Het verwijderen van de groep Geverifieerde gebruikers of een expliciete groep die gebruikers, computers en serviceaccounts het gebruikersrecht verbinding maken met computers via het netwerk

      • Alle gebruikers en computers verwijderen uit dit gebruikersrecht

    3. Redenen om dit gebruikersrecht toekennen

      • Het recht van toegang tot deze computer vanaf het netwerk gebruiker aan de groep Ondernemings-domeincontrollers voldoet aan de verificatievereisten die Active Directory-replicatie moet voldoen zodat replicatie kan optreden tussen domeincontrollers in dezelfde forest.

      • Dit gebruikersrecht hebben gebruikers en computers toegang tot gedeelde bestanden, printers en systeemservices, waaronder Active Directory.

      • Dit recht is vereist voor gebruikers die toegang tot e-mail met oudere versies van Microsoft Outlook Web Access (OWA).

    4. Redenen om dit gebruikersrecht te verwijderen

      • Gebruikers die verbinding maken met hun computers op het netwerk toegang tot bronnen op externe computers waarvoor ze machtigingen voor hebben. Dit recht is bijvoorbeeld vereist voor een gebruiker verbinding maken met gedeelde printers en mappen. Als dit gebruikersrecht is toegekend aan iedereen groep, en als sommige gedeelde mappen zowel share- als NTFS-bestandssysteemmachtigingen zijn geconfigureerd zodat dezelfde groep leestoegang heeft, iedereen de bestanden in deze gedeelde mappen kunt bekijken. Dit is echter een onwaarschijnlijke situatie voor nieuwe installaties van Windows Server 2003 omdat de standaardshare- en het NTFS-machtigingen in Windows Server 2003 geen groep Iedereen. Voor systemen waarop een van Microsoft Windows NT 4.0 of Windows 2000 upgrade, dit beveiligingslek mogelijk een hogere mate van risico omdat de standaardshare- en machtigingen voor het bestandssysteem voor deze besturingssystemen niet zo beperkend als de standaardmachtigingen in Windows Server 2003.

      • Er is geen geldige reden om de groep Ondernemingsdomeincontrollers uit dit gebruikersrecht te verwijderen.

      • De groep Iedereen wordt doorgaans verwijderd en vervangen door de groep Geverifieerde gebruikers. Als de groep Iedereen wordt verwijderd, moet de groep Geverifieerde gebruikers dit recht worden toegekend.

      • Windows NT 4.0-domeinen die zijn bijgewerkt naar Windows 2000 de gebruiker toegang tot deze computer vanaf het netwerk aan de groep Iedereen, de groep Geverifieerde gebruikers of de groep Ondernemings-domeincontrollers niet expliciet toegekend. Daarom wanneer u de groep Iedereen uit voor Windows NT 4.0-domein, Active Directory-replicatie mislukt met een foutbericht 'Toegang geweigerd' wordt weergegeven na een upgrade naar Windows 2000. Winnt32.exe in Windows Server 2003 wordt deze onjuiste configuratie omzeild door het verlenen van dat de Ondernemings-domeincontrollers groep dit gebruikersrecht wanneer u een upgrade uitvoert van Windows NT 4.0 primaire domeincontrollers (PDC's) voorkomen. Met dit gebruikersrecht indien niet aanwezig in de Groepsbeleidsobjecteditor voor de groep Ondernemings-domeincontrollers verlenen.

    5. Voorbeelden van compatibiliteitsproblemen

      • Windows 2000 en Windows Server 2003: Replicatie van de volgende partities mislukt met de fout ' toegang geweigerd ' zoals gemeld door controlehulpprogramma's als REPLMON en REPADMIN of replicatiegebeurtenissen gebeurtenissen in het gebeurtenislogboek.

        • Partitie van Active Directory-Schema

        • Configuratiepartitie

        • Domein

        • Partitie van de globale catalogus

        • Toepassingspartitie

      • Alle Microsoft-besturingssystemen voor netwerk: Verificatie van gebruikersaccounts van clientcomputers voor externe netwerk mislukt tenzij dit gebruikersrecht is toegekend aan de gebruiker of een beveiligingsgroep waarvan de gebruiker lid van is is.

      • Alle Microsoft-besturingssystemen voor netwerk: Accountverificatie vanuit externe netwerkclients mislukt tenzij dit gebruikersrecht is toegekend aan de account of de account lid van de is groep is. Dit scenario geldt voor gebruikersaccounts, computeraccounts en serviceaccounts.

      • Alle Microsoft-besturingssystemen voor netwerk: Alle accounts verwijderen uit dit gebruikersrecht dat elke account aanmelden bij het domein of toegang tot netwerkbronnen. Als berekende groepen, zoals Ondernemingsdomeincontrollers, dat iedereen of geverifieerde gebruikers worden verwijderd, u moet expliciet dit gebruikersrecht toekennen aan accounts of beveiligingsgroepen waarvan de account lid van is toegang tot externe computers via het netwerk. Dit scenario geldt voor alle gebruikersaccounts, computeraccounts en serviceaccounts.

      • Alle Microsoft-besturingssystemen voor netwerk: De lokale beheerdersaccount gebruikt een 'leeg' wachtwoord. Netwerkverbindingen met lege wachtwoorden is niet toegestaan voor beheerdersaccounts in een domeinomgeving. Met deze configuratie kunt u verwachten een foutbericht 'Toegang geweigerd'.

  2. Lokaal aanmelden toestaan

    1. Achtergrond

      Gebruikers die zich aanmelden op de console van een Windows-computer (met behulp van de sneltoets CTRL + ALT + DELETE) en accounts die u probeert te starten van een service moeten bevoegd lokaal aanmelden op de hostcomputer. Voorbeelden van lokale aanmeldingsbewerkingen zijn beheerders die aanmelden zich op de consoles van lidcomputers, of domeincontrollers binnen de gebruikers van de onderneming en domeingebruikers die aanmelden zich op lidcomputers om toegang tot hun bureaublad via niet-gemachtigde accounts. Gebruikers die een verbinding met extern bureaublad of Terminal Services gebruiken, moeten het gebruikersrecht Lokaal aanmelden toestaan hebben op doelcomputers waarop Windows 2000 of Windows XP wordt uitgevoerd omdat deze aanmeldingsmodi als lokaal op de hostcomputer worden beschouwd. Gebruikers die bij een server aanmelden zich of Terminal Server is ingeschakeld en die dit gebruikersrecht niet hebben nog steeds een externe interactieve sessie in Windows Server 2003-domeinen starten kan als ze het gebruikersrecht Aanmelden via Terminal Services toestaan .

    2. Riskante configuraties

      Dit zijn schadelijke configuratie-instellingen:

      • Verwijderen van administratieve beveiligingsgroepen, waaronder Accountoperators, back-upoperators, Printeroperators of Serveroperators, en de ingebouwde groep Administrators van het beleid van de domeincontroller van de standaard.

      • Verwijderen van serviceaccounts die worden gebruikt door onderdelen en programma's op lidcomputers en op domeincontrollers in het domein van het beleid van de domeincontroller van de standaard.

      • Verwijderen van gebruikers of beveiligingsgroepen die zich bij de console van lidcomputers in het domein aanmelden.

      • Verwijderen van serviceaccounts die zijn gedefinieerd in de lokale database Security Accounts Manager (SAM) van lidcomputers of werkgroepcomputers.

      • Niet ingebouwd-administratieve accounts die worden geverifieerd via Terminal Services dat wordt uitgevoerd op een domeincontroller wordt verwijderd.

      • Toevoegen van alle gebruikersaccounts in het domein expliciet of impliciet door iedereen groep de Lokaal aanmelden weigeren direct aanmelden. Deze configuratie wordt te voorkomen dat gebruikers aanmelden bij een lidcomputer of een willekeurige domeincontroller in het domein.

    3. Redenen om dit gebruikersrecht toekennen

      • Gebruikers moeten het gebruikersrecht Lokaal aanmelden toestaan toegang te krijgen tot de bureaublad- of werkgroepcomputer, een lidcomputer of een domeincontroller hebben.

      • Gebruikers moeten dit gebruikersrecht aanmelden via een Terminal Services-sessie die wordt uitgevoerd op een Windows 2000-lidcomputer of -domeincontroller hebben.

    4. Redenen om dit gebruikersrecht te verwijderen

      • Niet-consoletoegang beperkt tot legitieme gebruikersaccounts kan resulteren in onbevoegde gebruikers downloaden en schadelijke code uitvoeren om hun gebruikersrechten te wijzigen.

      • Het verwijderen van het gebruikersrecht Lokaal aanmelden toestaan voorkomt niet-gemachtigde aanmeldingen op de consoles van computers, zoals domeincontrollers of toepassingsservers.

      • Dit aanmeldingsrecht te verwijderen voorkomt u dat niet-domeinaccounts zich aanmelden op de console van lidcomputers in het domein.

    5. Voorbeelden van compatibiliteitsproblemen

      • Windows 2000-terminalservers: Het gebruikersrecht Lokaal aanmelden toestaan is vereist voor de gebruikers zich aanmelden bij Windows 2000-terminalservers.

      • Windows NT 4.0, Windows 2000, Windows XP of Windows Server 2003: Gebruikersaccounts moeten dit gebruikersrecht aan te melden bij de console van computers waarop Windows NT 4.0, Windows 2000, Windows XP of Windows Server 2003 worden toegekend.

      • Windows NT 4.0 en hoger: Op computers waarop Windows NT 4.0 uitvoert en later, als u de gebruiker toestaan zich lokaal aanmelden , maar u impliciet of expliciet ook het aanmeldingsrecht Lokaal aanmelden weigeren verlenen , de rekeningen worden niet aanmelden bij de console van het domein domeincontrollers.

  3. Controle op bladeren negeren

    1. Achtergrond

      Het gebruikersrecht controle op bladeren negeren kan de gebruiker door mappen in het NTFS-bestandssysteem of in het register bladeren zonder de speciale toegangsmachtiging Door map bladeren wordt gecontroleerd. Het gebruikersrecht controle op bladeren negeren is niet toegestaan de inhoud van een map van de gebruiker. Dit kan de gebruiker alleen de mappen te bladeren.

    2. Riskante configuraties

      Dit zijn schadelijke configuratie-instellingen:

      • Het verwijderen van niet-administratieve accounts die zich op basis van een Windows 2000 Terminal Services-computers of computers met Windows Server 2003 Terminal Services die niet gemachtigd zijn aanmelden voor toegang tot bestanden en mappen in het bestandssysteem.

      • De groep Iedereen verwijderen uit de lijst met beveiligings-principals die deze gebruiker standaard rechts hebben. Windows-besturingssystemen, en ook veel programma's zijn ontworpen met de verwachting dat iedereen die wettig toegang de computer tot het gebruikersrecht controle op bladeren negeren hebben. Daarom kan de Iedereen verwijderen uit de groep van de lijst van beveiligings-principals die dit gebruikersrecht standaard hebben leiden tot instabiliteit van het besturingssysteem of tot programmaproblemen. Het is beter dat u deze instelling op de standaardinstelling laat.

    3. Redenen om dit gebruikersrecht toekennen

      De standaardinstelling voor het gebruikersrecht controle op bladeren negeren is dat iedereen controle op bladeren negeren. Voor ervaren Windows-systeembeheerders is dit de verwachte werking en zij bestand system access control list (SACL) dienovereenkomstig configureren. Het enige scenario waarbij de standaardconfiguratie tot problemen kan leiden is als de beheerder die de machtigingen configureert deze werking niet begrijpt heeft en verwacht dat gebruikers die geen toegang een bovenliggende map tot niet mogelijk toegang te krijgen tot de inhoud van een kind mappen.

    4. Redenen om dit gebruikersrecht te verwijderen

      Om te voorkomen dat toegang tot de bestanden of mappen in het bestandssysteem, organisaties die zeer bezorgd over beveiliging zijn men soms de neiging om de groep Iedereen verwijdert, of zelfs de groep gebruikers uit de lijst met groepen waarvan de Bladeren gebruikersrecht.

    5. Voorbeelden van compatibiliteitsproblemen

      • Windows 2000, Windows Server 2003: Als het gebruikersrecht controle op bladeren negeren is verwijderd of verkeerd is geconfigureerd op computers waarop Windows 2000 of Windows Server 2003, instellingen voor Groepsbeleid in de map SYVOL niet gerepliceerd tussen domeincontrollers in het domein.

      • Windows 2000, Windows XP Professional, Windows Server 2003: Computers met Windows 2000, Windows XP Professional of Windows Server 2003 worden gebeurtenissen 1000 en 1202 en niet kunnen computerbeleid en gebruikersbeleid worden toegepast wanneer de vereiste bestandssysteemmachtigingen zijn verwijderd uit de SYSVOL-structuur als de Bypass gebruikersrecht Controle op bladeren negeren is verwijderd of verkeerd is geconfigureerd.

        Voor meer informatie klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

        gebeurtenis-ID 1000, 1001 wordt elke vijf minuten vastgelegd in het logboek voor toepassingsgebeurtenissen
         

      • Windows 2000, Windows Server 2003: Op computers waarop Windows 2000 of Windows Server 2003 wordt uitgevoerd, verdwijnt het tabblad Quotum in Windows Verkenner wanneer u eigenschappen op een volume.

      • Windows 2000: Niet-beheerders die zich bij een Windows 2000 terminal-server aanmelden wordt het volgende foutbericht weergegeven:

        Userinit.exe toepassingsfout. De toepassing niet juist initialiseren 0xc0000142 klikt u op OK om de toepassing te beëindigen.

      • Windows NT 4.0, Windows 2000, Windows XP en Windows Server 2003: Gebruikers waarvan de computers Windows NT 4.0, Windows 2000, Windows XP of Windows Server 2003 wordt uitgevoerd mogelijk geen toegang krijgen tot gedeelde mappen of bestanden op gedeelde mappen, en deze foutberichten 'Toegang geweigerd' als ze niet zijn toegekend voor de negeren op Bladeren controle van recht.


        Voor meer informatie klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

        foutbericht 'Toegang geweigerd' wanneer gebruikers proberen toegang te krijgen tot gedeelde mappen
         

      • Windows NT 4.0: Op computers met Windows NT 4.0, het verwijderen van het gebruikersrecht controle op bladeren negeren zal een bestand kopiëren bestand. Als u dit gebruikersrecht verwijdert wanneer een bestand wordt gekopieerd van een Windows- of Macintosh-client naar een Windows NT 4.0-domeincontroller waarop Services for Macintosh wordt uitgevoerd, gaat de bestemming bestandsstroom verloren en wordt het bestand weergegeven als een bestand met alleen tekst.

      • Microsoft Windows 95, Microsoft Windows 98: Op een clientcomputer waarop Windows 95 of Windows 98, wordt het netto gebruik * / home opdracht werkt niet met een foutbericht 'Toegang geweigerd' als de groep Geverifieerde gebruikers is niet het gebruikersrecht controle op bladeren negeren toegekend.

      • Outlook Web Access: Niet-beheerders worden niet aanmelden bij Microsoft Outlook Web Access en zij ontvangt een foutbericht 'Toegang geweigerd' als ze niet het gebruikersrecht controle op bladeren negeren verleend.

Beveiligingsinstellingen

De volgende lijst bevat een beveiligingsinstelling en geneste lijst bevat een beschrijving over de instelling, wordt de configuratie-instellingen die problemen kunnen veroorzaken, wordt beschreven waarom u de beveiligingsinstelling moet worden toegepast en beschrijft vervolgens redenen waarom u kunt de instelling verwijderen. De geneste lijst levert vervolgens een symbolische naam voor de instelling en het registerpad van de beveiligingsinstelling. Ten slotte dienen voorbeelden van compatibiliteitsproblemen die zich voordoen kunnen wanneer de beveiligingsinstelling is geconfigureerd.

  1. Controle: Systeem onmiddellijk als beveiligingscontroles niet in logboek kunnen worden opgeslagen afsluiten

    1. Achtergrond

      • De controle: systeem onmiddellijk als beveiligingscontroles niet in logboek kunnen worden opgeslagen afsluiten instelling bepaalt of het systeem wordt afgesloten als u geen beveiligingsgebeurtenissen kunt registreren. Deze instelling is vereist voor de C2-evaluatie van het programma Trusted Computer Security evaluatie Criteria (TCSEC) en voor de Common Criteria voor Information Technology Security Evaluation om controleerbare gebeurtenissen te voorkomen dat als het controlesysteem die gebeurtenissen kan niet aanmelden. Het systeem wordt afgesloten als het controlesysteem uitvalt, en een Stop-foutbericht wordt weergegeven.

      • Als de computer kan geen gebeurtenissen in het beveiligingslogboek vastleggen, essentieel bewijs of belangrijke informatie voor probleemoplossing mogelijk niet beschikbaar voor evaluatie na een beveiligingsincident.

    2. Riskante configuratie

      Het volgende is een schadelijke configuratie-instelling: de controle: systeem onmiddellijk als beveiligingscontroles niet in logboek kunnen worden opgeslagen afsluiten is ingeschakeld en de grootte van het beveiligingslogboek wordt beperkt door de niet overschrijven (logboek handmatig wissen) gebeurtenissen optie, de optie Gebeurtenissen indien nodig overschrijven of de optie Gebeurtenissen overschrijven indien ouder dan aantal dagen in Logboeken. Zie de sectie 'Voorbeelden van compatibiliteitsproblemen' voor informatie over de specifieke risico's voor computers waarop de oorspronkelijke versie van Windows 2000, Windows 2000 Service Pack 1 (SP1), Windows 2000 SP2 of Windows 2000 SP3.

    3. Redenen om deze instelling inschakelen

      Als de computer kan geen gebeurtenissen in het beveiligingslogboek vastleggen, essentieel bewijs of belangrijke informatie voor probleemoplossing mogelijk niet beschikbaar voor evaluatie na een beveiligingsincident.

    4. Redenen om deze instelling uitschakelen

      • Inschakelen van de controleren: systeem onmiddellijk als beveiligingscontroles niet in logboek kunnen worden opgeslagen afsluiten instelling stopt het systeem als een beveiligingscontrole om welke reden niet kan worden vastgelegd. Normaal gesproken worden een gebeurtenis niet geregistreerd als het beveiligingslogboek vol is en wanneer de opgegeven bewaarperiode is de optie (logboek handmatig wissen) gebeurtenissen niet overschrijven of de optie Gebeurtenissen overschrijven indien ouder dan aantal dagen .

      • De administratieve last van het inschakelen van de controle: systeem onmiddellijk als beveiligingscontroles niet in logboek kunnen worden opgeslagen afsluiten instelling is zeer hoog, vooral als u ook de optie niet overschrijven (logboek handmatig wissen) gebeurtenissen voor het beveiligingslogboek inschakelen. Deze instelling biedt voor de individuele verantwoordelijkheid van de operatoracties. Een beheerder machtigingen opnieuw instellen op alle gebruikers, computers en groepen in een organisatie-eenheid waarin controle is ingeschakeld met behulp van de ingebouwde administrator-account of een andere gedeelde account en vervolgens weigeren dat zij dergelijke machtigingen opnieuw instellen. Echter, het inschakelen van de instelling vermindert de stabiliteit van het systeem omdat een server noodgedwongen soms moet worden afgesloten wanneer deze wordt overstelpt met aanmeldingsgebeurtenissen en met andere beveiligingsgebeurtenissen die naar het beveiligingslogboek geschreven. Bovendien, omdat het systeem geen correcte, onherstelbare schade aan het besturingssysteem, programma's of gegevens mogelijk. Hoewel NTFS de integriteit van het bestandssysteem tijdens een geforceerd afsluiten, is er kan geen garantie dat elk gegevensbestand voor elk programma nog steeds bruikbaar wanneer het systeem opnieuw wordt opgestart.

    5. Symbolische naam:

      CrashOnAuditFail

    6. Registerpad:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

    7. Voorbeelden van compatibiliteitsproblemen

      • Windows 2000: Door een fout, computers waarop de oorspronkelijke versie van Windows 2000, Windows 2000 SP1, Windows 2000 SP2 of Windows Server SP3 wordt de logboekregistratie stopgezet voordat de grootte die is opgegeven met de optie Max. logboekgrootte voor de beveiliging logboek is bereikt. Deze fout is verholpen in Windows 2000 Service Pack 4 (SP4). Zorg dat uw Windows 2000-domeincontrollers Windows 2000 Service Pack 4 zijn geïnstalleerd voordat u deze instelling inschakelt.

        Voor meer informatie klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

        het gebeurtenislogboek stopt met het vastleggen van gebeurtenissen voordat de maximale logboekgrootte is bereikt
         

      • Windows 2000, Windows Server 2003: Computers met Windows 2000 of Windows Server 2003 reageert niet meer en vervolgens kan starten spontaan opnieuw op als de controle: systeem onmiddellijk als beveiligingscontroles niet in logboek kunnen worden opgeslagen afsluiten is ingeschakeld, is het beveiligingslogboek vol is en een bestaande logboekvermelding niet kan worden overschreven. Wanneer de computer opnieuw opstart, wordt het volgende Stop-foutbericht weergegeven:

        Foutbericht ' STOP: C0000244 {Controle mislukt}
        Een beveiligingscontrole te genereren is mislukt.

        Als u wilt herstellen, moet beheerder aanmelden, archiveren (optioneel) het beveiligingslogboek het beveiligingslogboek wissen en vervolgens deze optie (optioneel en indien nodig) opnieuw instellen.

      • Microsoft Network Client voor MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Niet-beheerders die zich aanmeldt bij een domein, wordt het volgende foutbericht weergegeven:

        Uw account is geconfigureerd om te voorkomen dat u deze computer. Probeer een andere computer.

      • Windows 2000: Niet-beheerders worden niet aanmelden bij RAS-servers op Windows 2000-computers, en ze ontvangen een foutbericht dat lijkt op het volgende:

        Onbekende gebruiker of onjuist wachtwoord

        Voor meer informatie klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

        -foutbericht: uw account is geconfigureerd om te voorkomen dat u deze computer
         

      • Windows 2000: In Windows 2000-domeincontrollers is de Intersite Messaging-service (Ismserv.exe) wordt gestopt en kan niet opnieuw worden gestart. DCDIAG meldt de fout 'failed test services ISMserv' en gebeurtenis-ID 1083 wordt in het gebeurtenislogboek geregistreerd.

      • Windows 2000: Active Directory-replicatie mislukt op Windows 2000-domeincontrollers en het bericht 'Toegang geweigerd' wordt weergegeven als het beveiligingslogboek vol is.

      • Microsoft Exchange 2000: Servers waarop Exchange 2000 worden niet de informatiearchiefdatabase gekoppeld en wordt gebeurtenis 2102 in het gebeurtenislogboek geregistreerd.

      • Outlook, Outlook Web Access: Niet-beheerders niet mogelijk toegang tot hun e-mail via Microsoft Outlook of Microsoft Outlook Web Access en ze ontvangen een 503-fout.

  2. Domeincontroller: vereisten voor ondertekenen LDAP-server

    1. Achtergrond

      De -domeincontroller: vereisten voor ondertekenen LDAP-server bepaalt of de Lightweight Directory Access Protocol (LDAP)-server LDAP-clients onderhandelen over gegevensondertekening vereist. De mogelijke waarden voor deze instelling zijn als volgt:

      • Geen: Gegevensondertekening is niet vereist om te verbinden met de server. Als de client gegevensondertekening vraagt, wordt het door de server ondersteunt.

      • Moet ondertekenen: De LDAP-ondertekeningsoptie moet worden onderhandeld, tenzij Transport Layer Security/Secure Socket Layer (TLS/SSL) wordt gebruikt.

      • niet gedefinieerd: Deze instelling is niet ingeschakeld of uitgeschakeld.

    2. Riskante configuraties

      Dit zijn schadelijke configuratie-instellingen:

      • Inschakelen van handtekening is vereist in omgevingen waarin clients ondertekenen van LDAP niet ondersteunen of wanneer ondertekenen van LDAP aan clientzijde niet is ingeschakeld op de client

      • Toepassing van de Windows 2000 of de beveiligingssjabloon Hisecdc.inf van Windows Server 2003 in omgevingen waarin de clients ondertekenen van LDAP niet ondersteunen of ondertekenen van LDAP aan clientzijde is niet ingeschakeld

      • Toepassing van de Windows 2000 of de beveiligingssjabloon Hisecws.inf van Windows Server 2003 in omgevingen waarin de clients ondertekenen van LDAP niet ondersteunen of ondertekenen van LDAP aan clientzijde is niet ingeschakeld

    3. Redenen om deze instelling inschakelen

      Niet-ondertekend netwerkverkeer is gevoeliger voor man-in-the-middle-aanvallen waarbij een hacker pakketten onderschept tussen de client en de server, de pakketten verandert en ze doorstuurt naar de server. Wanneer dit op een LDAP-server plaatsvindt, kan een aanvaller een server beslissingen nemen op basis van onjuiste query's van de LDAP-client. U kunt dit risico in een bedrijfsnetwerk verminderen door sterke fysieke beveiligingsmaatregelen ter bescherming van de infrastructuur van het netwerk te implementeren. Internet Protocol security (IPSec) authentication header-modus kunt man-in-the-middle-aanvallen te voorkomen. Verificatieheadermodus wederzijdse verificatie en pakketintegriteit voor IP-verkeer.

    4. Redenen om deze instelling uitschakelen

      • Clients die ondertekenen van LDAP niet ondersteunen worden niet uitvoeren als wordt onderhandeld over NTLM-verificatie en als niet de juiste servicepacks zijn geïnstalleerd op Windows 2000-domeincontrollers LDAP-query's op domeincontrollers en globale catalogi.

      • Netwerk-traces van LDAP-verkeer tussen clients en servers worden gecodeerd. Dit maakt het moeilijk om te onderzoeken van LDAP-conversaties.

      • Op basis van een Windows 2000-servers moeten Windows 2000 Service Pack 3 (SP3) of geïnstalleerd wanneer ze worden beheerd met programma's die die ondertekenen van LDAP ondersteunen worden uitgevoerd vanaf clientcomputers waarop Windows 2000 SP4, Windows XP of Windows Server 2003 wordt uitgevoerd. Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:

        Windows 2000-domeincontrollers is servicepack 3 of hoger met Windows Server 2003-beheerprogramma's vereist
         

    5. Symbolische naam:

      LDAPServerIntegrity

    6. Registerpad:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

    7. Voorbeelden van compatibiliteitsproblemen

      • Eenvoudige bindingen mislukken en ontvangt u het volgende foutbericht weergegeven:

        Ldap_simple_bind_s() is mislukt: sterke verificatie vereist.

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Op clients waarop Windows 2000 SP4, Windows XP of Windows Server 2003 wordt uitgevoerd, werken enkele Active Directory-beheerprogramma's niet correct met domeincontrollers waarop versies van Windows 2000 die vóór SP3 wanneer NTLM verificatie wordt onderhandeld.

        Voor meer informatie klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

        Windows 2000-domeincontrollers is servicepack 3 of hoger met Windows Server 2003-beheerprogramma's vereist
         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Op clients waarop Windows 2000 SP4, Windows XP of Windows Server 2003, enkele beheerprogramma's van Active Directory dat doel zijn domeincontrollers waarop versies van Windows 2000 wordt uitgevoerd vóór SP3 werkt niet goed als ze met IP-adressen (bijvoorbeeld ' dsa.msc/server =x.x.x.x' waar
        x.x.x.x is een IP-adres).


        Voor meer informatie klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

        Windows 2000-domeincontrollers is servicepack 3 of hoger met Windows Server 2003-beheerprogramma's vereist
         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Op clients waarop Windows 2000 SP4, Windows XP of Windows Server 2003, enkele beheerprogramma's van Active Directory dat doel zijn domeincontrollers waarop versies van Windows 2000 wordt uitgevoerd vóór SP3 werkt niet goed.

        Voor meer informatie klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

        Windows 2000-domeincontrollers is servicepack 3 of hoger met Windows Server 2003-beheerprogramma's vereist
         

  3. Lid van domein: sterke sessiesleutel voor (Windows 2000 of hoger) is vereist

    1. Achtergrond

      • De lid van domein: sterke sessiesleutel voor (Windows 2000 of hoger) vereist instelling bepaalt of een veilig kanaal kan worden gerealiseerd met een domeincontroller die beveiligd kanaalverkeer niet met een sterke, 128-bits sessiesleutel coderen. Deze instelling inschakelt, tot stand brengen van een beveiligd kanaal met een domeincontroller die gegevens in beveiligd kanaal niet kan met een sterke sleutel coderen. Als u deze instelling uitschakelt, kunnen 64-bits sessiesleutels.

      • Voordat u deze instelling op een werkstation of op een server inschakelen kunt, moeten alle domeincontrollers in het domein waartoe het lid behoort gegevens in beveiligd kanaal te coderen met een sterke 128-bits sleutel worden. Dit betekent dat deze domeincontrollers moeten worden uitgevoerd Windows 2000 of hoger.

    2. Riskante configuratie

      Inschakelen van de lid van domein: sterke sessiesleutel voor (Windows 2000 of hoger) vereist is ingesteld op een schadelijke configuratie-instelling.

    3. Redenen om deze instelling inschakelen

      • Sessiesleutels die worden gebruikt voor het tot stand brengen van communicatie via beveiligde kanalen tussen lidcomputers en domeincontrollers, zijn veel sterker in Windows 2000 dan in eerdere versies van Microsoft-besturingssystemen.

      • Wanneer het mogelijk is, is het een goed idee om te profiteren van deze sterkere sessiesleutels ter bescherming van communicatie via beveiligde kanalen uit afluisteren en netwerkaanvallen waarbij sessies worden overgenomen. Afluisteren is een schadelijke aanval waarbij netwerkgegevens is gelezen of gewijzigd tijdens de verzending. De gegevens kunnen worden gewijzigd, verbergen of wijzigen van de afzender of het doorsturen.

      Belangrijk Een computer waarop Windows Server 2008 R2 of Windows 7 ondersteunt alleen sterke sleutels als veilige kanalen worden gebruikt. Deze beperking voorkomt dat een vertrouwensrelatie tussen Windows NT 4.0-domein en Windows Server 2008 R2-domein. Ook deze beperking blokkeert het lidmaatschap Windows NT 4.0-domein van computers waarop Windows 7 of Windows Server 2008 R2, en vice versa.

    4. Redenen om deze instelling uitschakelen

      Het domein bevat lidcomputers waarop andere besturingssystemen dan Windows 2000, Windows XP of Windows Server 2003 wordt uitgevoerd.

    5. Symbolische naam:

      StrongKey

    6. Registerpad:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

    7. Voorbeelden van compatibiliteitsproblemen

      Windows NT 4.0: Op computers met Windows NT 4.0 mislukt opnieuw instellen van veilige kanalen van vertrouwensrelaties tussen Windows NT 4.0 en Windows 2000-domeinen met NLTEST. Foutbericht 'Toegang geweigerd' wordt weergegeven:

      De vertrouwensrelatie tussen het primaire domein en het vertrouwde domein is mislukt.

      Windows 7 en Server 2008 R2: Deze instelling is niet langer van kracht en de sterke sleutel altijd wordt gebruikt voor Windows 7 en hoger en Windows Server 2008 R2 en hogere versies. Vanwege dat werken vertrouwensrelaties met Windows NT 4.0-domeinen niet langer.

  4. Lid van domein: digitaal coderen of ondertekenen (altijd) gegevens in beveiligd kanaal

    1. Achtergrond

      • Inschakelen van lid van domein: digitaal coderen of ondertekenen (altijd) gegevens in beveiligd kanaal voorkomt dat een beveiligd kanaal met een domeincontroller die niet kan ondertekenen of coderen van alle gegevens in beveiligd kanaal tot stand te brengen. Ter verificatieverkeer beveiligen tegen man-in-the-middle-aanvallen, replay-aanvallen en andere typen netwerkaanvallen, maken Windows-computers met een communicatiekanaal dat een veilig kanaal door de Net Logon-service wordt genoemd computeraccounts worden geverifieerd. Veilige kanalen worden ook gebruikt wanneer een gebruiker in het ene domein verbinding met een netwerkbron in een extern domein maakt. Deze verificatie met meerdere domeinen of Pass through-verificatie, kunt een Windows-computer die lid van een domein als u wilt toegang hebben tot de database met gebruikersaccounts in het domein en in alle vertrouwde domeinen.

      • Inschakelen van de lid van domein: digitaal coderen of ondertekenen (altijd) gegevens in beveiligd kanaal instellen op een computer, alle domeincontrollers in het domein waartoe het lid behoort moet kunnen ondertekenen of coderen van alle gegevens in beveiligd kanaal. Dit betekent dat deze domeincontrollers moeten worden uitgevoerd Windows NT 4.0 met Service Pack 6a (SP6a) of hoger.

      • Inschakelen van de lid van domein: digitaal coderen of ondertekenen (altijd) gegevens in beveiligd kanaal automatisch kunnen de lid van domein: digitaal coderen of ondertekenen van gegevens in beveiligd kanaal (indien mogelijk) instelling.

    2. Riskante configuratie

      Inschakelen van de lid van domein: digitaal coderen of ondertekenen (altijd) gegevens in beveiligd kanaal instelling in domeinen waarin niet alle domeincontrollers kunnen ondertekenen of coderen van de gegevens in beveiligd kanaal is een schadelijke configuratie-instelling.

    3. Redenen om deze instelling inschakelen

      Niet-ondertekend netwerkverkeer is gevoeliger voor man-in-the-middle-aanvallen waarbij een hacker pakketten onderschept tussen de client en de server en ze vervolgens gewijzigd voordat deze worden doorgestuurd naar de client. Als dit probleem op een Lightweight Directory Access Protocol (LDAP)-server optreedt, kan de indringer kan ervoor zorgen dat een client beslissingen nemen op basis van onjuiste records uit de LDAP-directory. U kunt het risico van een dergelijke aanval in een bedrijfsnetwerk verminderen door sterke fysieke beveiligingsmaatregelen ter bescherming van de infrastructuur van het netwerk te implementeren. Verder implementeren van Internet Protocol security (IPSec) verificatie kop modus kunt u man-in-the-middle-aanvallen te voorkomen. In deze modus wordt wederzijdse verificatie en pakketintegriteit voor IP-verkeer.

    4. Redenen om deze instelling uitschakelen

      • Computers in lokale of externe domeinen ondersteunen gecodeerde veilige kanalen.

      • Niet alle domeincontrollers in het domein zijn de juiste service pack revisieniveaus ondersteunen gecodeerde veilige kanalen.

    5. Symbolische naam:

      StrongKey

    6. Registerpad:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

    7. Voorbeelden van compatibiliteitsproblemen

      • Windows NT 4.0: Windows 2000-lidcomputers niet mogelijk lid worden van Windows NT 4.0-domeinen en ontvangen het volgende foutbericht weergegeven:

        De account mag zich niet aanmelden vanaf dit station.

        Voor meer informatie klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

        -foutbericht: de account mag zich niet aanmelden vanaf dit station
         

      • Windows NT 4.0: Windows NT 4.0-domeinen worden niet tot stand brengen van een downlevel-vertrouwensrelatie met een Windows 2000-domein en ontvangen het volgende foutbericht weergegeven:

        De account mag zich niet aanmelden vanaf dit station.

        Bestaande vertrouwensrelaties van lager niveau verifiëren bovendien geen gebruikers uit het vertrouwde domein. Sommige gebruikers hebben problemen bij het aanmelden bij het domein en wordt een foutbericht weergegeven waarin wordt gemeld dat de client het domein niet vinden.

      • Windows XP: Windows XP-clients die lid zijn van Windows NT 4.0-domeinen niet mogelijk om aanmeldingspogingen te verifiëren en wordt het volgende foutbericht weergegeven, of de volgende gebeurtenissen worden vastgelegd in het gebeurtenislogboek:

        Kan geen verbinding met het domein maken omdat de domeincontroller niet beschikbaar is of niet beschikbaar is of omdat de computeraccount niet is gevonden

      • Microsoft Network: Microsoft Network-netwerkclients ontvangen een van de volgende foutberichten weergegeven:

        Aanmeldingsfout: onbekende gebruikersnaam of ongeldig wachtwoord.

        Er is geen gebruikerssessiesleutel voor de opgegeven aanmeldingssessie.

  5. Microsoft-netwerkclient: clientcommunicatie digitaal ondertekenen (altijd)

    1. Achtergrond

      Server Message Block (SMB) is het protocol voor delen van bronnen die door veel Microsoft-besturingssystemen wordt ondersteund. Het is de basis van network basic input/output system (NetBIOS) en van vele andere protocollen. SMB-ondertekening wordt zowel de gebruiker als de server waarop de gegevens geverifieerd. Als beide zijden het verificatieproces gegevensoverdracht niet plaats mislukt.

      SMB begint tijdens het onderhandelen over SMB-protocol inschakelen. De beleidsregels voor het ondertekenen van SMB bepalen of de computer clientcommunicatie altijd digitaal wordt ondertekend.

      De Windows 2000 SMB-verificatieprotocol ondersteunt wederzijdse verificatie. Wederzijdse verificatie sluit u een 'man-in-the-middle'-aanvallen. De Windows 2000 SMB-verificatieprotocol ondersteunt eveneens berichtverificatie. Berichtverificatie kunt actieve berichtaanvallen te voorkomen. SMB-ondertekening zodat u deze verificatie, wordt een digitale handtekening in elk SMB geplaatst. Controleer of de digitale handtekening de client en de server.

      Voor het gebruik van SMB-ondertekening, moet u ondertekenen van SMB inschakelen of ondertekenen van SMB op zowel de SMB-client als de SMB-server vereist. Als SMB-ondertekening is ingeschakeld op een server en clients die ook beschikbaar zijn voor gebruik tijdens alle volgende sessies protocol met ondertekende pakketten ondertekenen van SMB. Als SMB-ondertekening op een server is vereist, kan een client geen verbinding kan maken als de client is ingeschakeld of voor de SMB-ondertekening vereist.


      Digitaal ondertekenen in netwerken met hoge beveiliging waardoor wordt voorkomen dat de imitatie van clients en servers. Dit type imitatie wordt session overnamegenoemd. Een aanvaller die toegang tot hetzelfde netwerk als de client of de server heeft gebruikt waarbij extra sessies te onderbreken, beëindigen of een sessie in uitvoering te stelen. Een aanvaller kan onderscheppen en niet-getekende SMB-pakketten te wijzigen, het verkeer en doorsturen zodat deze wellicht ongewenste acties op de server uitgevoerd. Of de aanvaller kan opleveren als de server of de client na een legitieme verificatie en vervolgens krijgt onbevoegd toegang tot gegevens.

      Het SMB-protocol dat wordt gebruikt voor het delen van bestanden en printers op computers waarop Windows 2000 Server, Windows 2000 Professional, Windows XP Professional of Windows Server 2003 ondersteunt wederzijdse verificatie. Wederzijdse verificatie sluit aanvallen waarbij sessies worden overgenomen, en ondersteunt berichtverificatie. Daarom kunnen de man-in-the-middle-aanvallen. SMB-ondertekening vindt verificatie plaats door in elk SMB een digitale handtekening te plaatsen. Vervolgens controleren of de handtekening op de client en de server.

      Opmerkingen

      • Als een andere tegenmaatregel kunt u digitale handtekeningen met IPSec beveiligen al het netwerkverkeer. Er zijn hardware gebaseerde versnellers voor IPSec-codering en ondertekening die u gebruiken kunt om te minimaliseren de invloed op de prestaties van de CPU van de server. Er zijn geen dergelijke versnellers beschikbaar voor het ondertekenen van SMB zijn.

        Zie het hoofdstuk op de website van Microsoft MSDN voor meer informatie.

        Configureer ondertekenen van SMB via Groepsbeleidobjecteditor omdat een wijziging in een lokale registerwaarde geen effect heeft als er een hoger domeinbeleid bestaat.

      • In Windows 95, Windows 98 en Windows 98 Tweede editie wordt de Directory Services Client ondertekenen van SMB tijdens de verificatie op Windows Server 2003-servers middels NTLM-verificatie. Deze clients gebruik echter geen SMB-ondertekening wanneer ze met deze servers verifiëren met NTLMv2-verificatie. Bovendien reageren Windows 2000-servers niet op verzoeken van deze clients ondertekenen van SMB. Zie voor meer informatie artikel 10: ' Netwerkbeveiliging: Lan Manager-verificatieniveau. "

    2. Riskante configuratie

      Het volgende is een schadelijke configuratie-instelling: zowel de Microsoft-netwerkclient: clientcommunicatie digitaal ondertekenen (altijd) instelling en de Microsoft-netwerkclient: clientcommunicatie digitaal ondertekenen (indien mogelijk) ingesteld op " Niet-gedefinieerd' of uitgeschakeld. Deze instellingen kunnen de redirector ongecodeerde wachtwoorden verzenden naar niet - Microsoft SMB-servers die geen ondersteuning voor wachtwoordcodering tijdens verificatie bieden.

    3. Redenen om deze instelling inschakelen

      Inschakelen van Microsoft-netwerkclient: clientcommunicatie digitaal ondertekenen (altijd) clients ondertekenen van SMB-verkeer wanneer contact met servers waarvoor geen SMB-ondertekening vereist. Clients zijn hierdoor minder kwetsbaar voor aanvallen waarbij sessies worden overgenomen.

    4. Redenen om deze instelling uitschakelen

      • Inschakelen van Microsoft-netwerkclient: clientcommunicatie digitaal ondertekenen (altijd) voorkomt dat clients niet communiceren met doelservers die geen ondertekenen van SMB ondersteunen.

      • Alle niet-ondertekende SMB-communicatie negeren computers configureren voor kan oudere besturingssystemen en programma's geen verbinding maken.

    5. Symbolische naam:

      RequireSMBSignRdr

    6. Registerpad:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

    7. Voorbeelden van compatibiliteitsproblemen

      • Windows NT 4.0: Worden niet beveiligd kanaal van een vertrouwensrelatie tussen een Windows Server 2003-domein en een Windows NT 4.0-domein opnieuw instellen met NLTEST of NETDOM, en u ontvangt een foutbericht 'Toegang geweigerd' weergegeven.

      • Windows XP: Kopiëren van bestanden van Windows XP kunnen clients naar Windows 2000-servers en servers met Windows Server 2003 langer duren.

      • Worden niet toewijzen vanaf een client met deze instelling is ingeschakeld en u ontvangt het volgende foutbericht weergegeven:

        De account mag zich niet aanmelden vanaf dit station.

    8. Opnieuw opstarten vereist

      Start de computer opnieuw op of de Workstation-service opnieuw starten. Typ hiervoor de volgende opdrachten bij een opdrachtprompt. Druk na elke opdracht op Enter.

      net stop workstation
      net start workstation

  6. Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (altijd)

    1. Achtergrond

      • Server Messenger Block (SMB) is het protocol voor delen van bronnen die door veel Microsoft-besturingssystemen wordt ondersteund. Het is de basis van network basic input/output system (NetBIOS) en van vele andere protocollen. SMB-ondertekening wordt zowel de gebruiker als de server waarop de gegevens geverifieerd. Als beide zijden het verificatieproces gegevensoverdracht niet plaats mislukt.

        SMB begint tijdens het onderhandelen over SMB-protocol inschakelen. De beleidsregels voor het ondertekenen van SMB bepalen of de computer clientcommunicatie altijd digitaal wordt ondertekend.

        De Windows 2000 SMB-verificatieprotocol ondersteunt wederzijdse verificatie. Wederzijdse verificatie sluit u een 'man-in-the-middle'-aanvallen. De Windows 2000 SMB-verificatieprotocol ondersteunt eveneens berichtverificatie. Berichtverificatie kunt actieve berichtaanvallen te voorkomen. SMB-ondertekening zodat u deze verificatie, wordt een digitale handtekening in elk SMB geplaatst. Controleer of de digitale handtekening de client en de server.

        Voor het gebruik van SMB-ondertekening, moet u ondertekenen van SMB inschakelen of ondertekenen van SMB op zowel de SMB-client als de SMB-server vereist. Als SMB-ondertekening is ingeschakeld op een server en clients die ook beschikbaar zijn voor gebruik tijdens alle volgende sessies protocol met ondertekende pakketten ondertekenen van SMB. Als SMB-ondertekening op een server is vereist, kan een client geen verbinding kan maken als de client is ingeschakeld of voor de SMB-ondertekening vereist.


        Digitaal ondertekenen in netwerken met hoge beveiliging waardoor wordt voorkomen dat de imitatie van clients en servers. Dit type imitatie wordt session overnamegenoemd. Een aanvaller die toegang tot hetzelfde netwerk als de client of de server heeft gebruikt waarbij extra sessies te onderbreken, beëindigen of een sessie in uitvoering te stelen. Een aanvaller kan onderscheppen en niet-ondertekende pakketten van Subnet bandbreedte Manager (SBM) wijzigen, het verkeer en doorsturen zodat deze wellicht ongewenste acties op de server uitgevoerd. Of de aanvaller kan opleveren als de server of de client na een legitieme verificatie en vervolgens krijgt onbevoegd toegang tot gegevens.

        Het SMB-protocol dat wordt gebruikt voor het delen van bestanden en printers op computers waarop Windows 2000 Server, Windows 2000 Professional, Windows XP Professional of Windows Server 2003 ondersteunt wederzijdse verificatie. Wederzijdse verificatie sluit aanvallen waarbij sessies worden overgenomen, en ondersteunt berichtverificatie. Daarom kunnen de man-in-the-middle-aanvallen. SMB-ondertekening vindt verificatie plaats door in elk SMB een digitale handtekening te plaatsen. Vervolgens controleren of de handtekening op de client en de server.

      • Als een andere tegenmaatregel kunt u digitale handtekeningen met IPSec beveiligen al het netwerkverkeer. Er zijn hardware gebaseerde versnellers voor IPSec-codering en ondertekening die u gebruiken kunt om te minimaliseren de invloed op de prestaties van de CPU van de server. Er zijn geen dergelijke versnellers beschikbaar voor het ondertekenen van SMB zijn.

      • In Windows 95, Windows 98 en Windows 98 Tweede editie wordt de Directory Services Client ondertekenen van SMB tijdens de verificatie op Windows Server 2003-servers middels NTLM-verificatie. Deze clients gebruik echter geen SMB-ondertekening wanneer ze met deze servers verifiëren met NTLMv2-verificatie. Bovendien reageren Windows 2000-servers niet op verzoeken van deze clients ondertekenen van SMB. Zie voor meer informatie artikel 10: ' Netwerkbeveiliging: Lan Manager-verificatieniveau. "

    2. Riskante configuratie

      Het volgende is een schadelijke configuratie-instelling: inschakelen van de Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (altijd) instellen op servers en domeincontrollers die worden gebruikt door niet-compatibele Windows-computers en derden besturingssysteem op clientcomputers in het lokale of externe domeinen.

    3. Redenen om deze instelling inschakelen

      • Alle clientcomputers waarop deze instelling via het register rechtstreeks of via de instelling van de ondersteunen SMB-ondertekening. Alle clientcomputers waarop deze instelling is ingeschakeld wordt met andere woorden, Windows 95 met de DS-client geïnstalleerd, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional of Windows Server 2003 uitgevoerd.

      • Als Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (altijd) is uitgeschakeld, ondertekenen van SMB volledig uitgeschakeld. SMB geheel uitschakelt kwetsbaarder ondertekening computers voor aanvallen waarbij sessies.

    4. Redenen om deze instelling uitschakelen

      • Inschakelen van deze instelling mogelijk bestand kopiëren en het netwerk trager op client computers.

      • Inschakelen van deze instelling wordt voorkomen dat clients die niet kunnen onderhandelen over SMB-ondertekening niet communiceren met servers en domeincontrollers. Dit zorgt ervoor dat bewerkingen zoals lidmaatschap van domeinen, gebruikers- en computerverificatie of netwerktoegang door programma's worden uitgevoerd.

    5. Symbolische naam:

      RequireSMBSignServer

    6. Registerpad:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

    7. Voorbeelden van compatibiliteitsproblemen

      • Windows 95: Windows 95-clients die geen Directory-Services (DS) de Client is geïnstalleerd aanmeldingsverificatie mislukt en wordt het volgende foutbericht:

        Het opgegeven domeinwachtwoord is onjuist of toegang tot de aanmeldingsserver is geweigerd.

        Voor meer informatie klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

        -foutbericht wanneer u Windows 95 of Windows NT 4.0-client zich aanmeldt bij Windows Server 2003-domein
         

      • Windows NT 4.0: Clientcomputers waarop versies van Windows NT 4.0 wordt uitgevoerd, zijn ouder dan Service Pack 3 (SP3) aanmeldingsverificatie mislukt en u het volgende foutbericht weergegeven ontvangt:

        Het systeem kan u niet aanmelden. Controleer of uw gebruikersnaam en het domein correct zijn en typ het wachtwoord opnieuw.

        Sommige niet - Microsoft SMB-servers ondersteunen alleen niet-gecodeerd wachtwoord uitwisseling tijdens de verificatie. (Deze uitwisselingen worden ook wel 'plain text'-uitwisselingen.) Voor Windows NT 4.0 SP3 en latere versies verzendt de SMB-redirector geen gecodeerde wachtwoorden tijdens de verificatie van een SMB-server tenzij u een specifieke registervermelding hebt toegevoegd.
        Als u niet-gecodeerde wachtwoorden voor de SMB-client op Windows NT 4.0 SP 3 en nieuwere systemen, wijzigt u het register als volgt: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters

        Naam: EnablePlainTextPassword

        Gegevenstype: REG_DWORD

        Gegevens: 1


        Voor meer informatie over verwante onderwerpen, klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base:

        -foutbericht: Systeemfout 1240 is opgetreden. De account mag zich niet aanmelden vanaf dit station.

      • Windows Server 2003: Standaard zijn beveiligingsinstellingen op domeincontrollers waarop Windows Server 2003 wordt uitgevoerd om te voorkomen dat communicatie op kan worden onderschept of vervalst door kwaadwillende gebruikers een domeincontroller geconfigureerd. Gebruikers kunnen communiceren met een domeincontroller waarop Windows Server 2003 wordt uitgevoerd, moeten clientcomputers zowel SMB-ondertekening en codering of ondertekening van beveiligde kanalen verkeer gebruiken. Standaard worden clients die het uitvoeren van Windows NT 4.0 met Service Pack 2 (SP2) of eerder is geïnstalleerd en clients met Windows 95 geen SMB-pakketondertekening ingeschakeld. Daarom deze clients mogelijk niet kunnen worden geverifieerd bij een domeincontroller met Windows Server 2003.

      • Instellingen voor Windows 2000 en Windows Server 2003: Afhankelijk van de behoeften van specifieke installatie en configuratie, raden we aan dat u de volgende beleidsinstellingen ingesteld op de laagste entiteit van het noodzakelijke bereik in de hiërarchie van de module Microsoft Management Console Groepsbeleid-Editor:

        • Computer\Computerconfiguratie\Windows-Beveiligingsinstellingen\beveiligingsopties

        • Verbinding maken met een SMB-servers van derden niet-gecodeerd wachtwoord verzenden (deze instelling is voor Windows 2000)

        • Microsoft-netwerkclient: niet-gecodeerd wachtwoord verzenden naar niet-Microsoft SMB-servers (deze instelling is voor Windows Server 2003)


        Opmerking In enkele CIFS-servers van derden, zoals de oudere Samba-versies, u geen gecodeerde wachtwoorden gebruiken.

      • De volgende clients zijn niet compatibel met de Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (altijd) instelling:

        • Mac OS X-clients van Apple Computer, Inc.

        • Microsoft MS-DOS-netwerkclients (bijvoorbeeld Microsoft LAN Manager)

        • Microsoft Windows voor Workgroups-clients

        • Microsoft Windows 95-clients zonder de DS-Client geïnstalleerd

        • Microsoft Windows NT 4.0-computer waarop SP3 of later geïnstalleerd

        • Novell Netware 6 CIFS-clients

        • SAMBA SMB-clients die geen ondersteuning voor SMB-ondertekening

    8. Opnieuw opstarten vereist

      De computer opnieuw opstart of de Server-service opnieuw starten. Typ hiervoor de volgende opdrachten bij een opdrachtprompt. Druk na elke opdracht op Enter.

      net stop server
      net start server

  7. Netwerktoegang: anonieme SID-/ naamomzetting toestaan

    1. Achtergrond

      De Netwerktoegang: anonieme SID-/ naamomzetting toestaan bepaalt of een anonieme gebruiker de kenmerken nummer beveiligings-id (SID) voor een andere gebruiker kan aanvragen.

    2. Riskante configuratie

      Inschakelen van de Netwerktoegang: anonieme SID-/ naamomzetting toestaan is ingesteld op een schadelijke configuratie-instelling.

    3. Redenen om deze instelling inschakelen

      Als de Netwerktoegang: anonieme SID-/ naamomzetting toestaan instelling is uitgeschakeld, kunnen oudere besturingssystemen of toepassingen mogelijk niet communiceren met Windows Server 2003-domeinen. Bijvoorbeeld werken de volgende besturingssystemen, services of toepassingen niet:

      • Windows NT 4.0 gebaseerde RAS-servers

      • Microsoft SQL Server die worden uitgevoerd op computers met Windows NT 3.x of Windows NT 4.0-computers

      • Remote Access-Service wordt uitgevoerd op Windows 2000-computers die in een Windows NT 3.x-domeinen of Windows NT 4.0-domeinen bevinden zich

      • SQL-Server die wordt uitgevoerd op Windows 2000-computers die zich bevinden in Windows NT 3.x-domeinen of Windows NT 4.0-domeinen

      • Gebruikers in Windows NT 4.0-brondomein die machtigen willen om toegang tot bestanden, gedeelde mappen en registerobjecten aan gebruikersaccounts in accountdomeinen met Windows Server 2003-domeincontrollers

    4. Redenen om deze instelling uitschakelen

      Als deze instelling is ingeschakeld, kan een kwaadwillende gebruiker de algemeen bekende beheerders-SID te verkrijgen van de echte naam van de ingebouwde Administrator-account gebruiken, zelfs als de account is gewijzigd. Die persoon kan de accountnaam vervolgens gebruiken om een aanval raden van wachtwoorden.

    5. Symbolische naam: N.V.T.

    6. Registerpad: Geen. Het pad is opgegeven in UI-code.

    7. Voorbeelden van compatibiliteitsproblemen

      Windows NT 4.0: Computers in Windows NT 4.0-brondomeinen het foutbericht 'Onbekende Account' in ACL-Editor verschijnt als bronnen, zoals gedeelde mappen, gedeelde bestanden en registerobjecten, zijn beveiligd met beveiligingsprincipals die zich bevinden in rekening domeinen Windows Server 2003-domeincontrollers bevatten.

  8. Netwerktoegang: geen anonieme inventarisatie van SAM-accounts toestaan

    1. Achtergrond

      • De Netwerktoegang: geen anonieme inventarisatie van SAM-accounts toestaan instelling bepaalt u welke extra machtigingen worden toegekend voor anonieme verbindingen met de computer. In Windows mogen anonieme gebruikers bepaalde activiteiten uitvoeren, zoals de namen van de workstation en server Security Accounts Manager (SAM) en netwerkshares inventariseren. Bijvoorbeeld kunt een beheerder deze toegang te verlenen aan gebruikers in een vertrouwd domein waarvoor geen wederzijdse vertrouwensrelatie onderhoudt. Als u een sessie wordt gemaakt, mogelijk anonieme gebruikers dezelfde toegang wordt verleend aan iedereen groep op basis van de instelling in de Netwerktoegang: machtigingen voor Iedereen toepassen op anonieme gebruikers instelling of de discretionaire toegangsbeheerlijst (DACL) van het object.

        Anonieme verbindingen worden gewoonlijk aangevraagd door eerdere versies van clients (downlevel-clients) tijdens de installatie van de SMB-sessie. In deze gevallen netwerktracering een dat de SMB-PID (Process ID) is dat de client-redirector zoals 0xFEFF in Windows 2000 of 0xCAFE in Windows NT RPC kan ook proberen om anonieme verbindingen te maken.

      • Belangrijk Deze instelling heeft geen invloed op domeincontrollers. Op domeincontrollers wordt dit gedrag bepaald door de aanwezigheid van 'NT AUTHORITY\ANONYMOUS LOGON' in "Pre-Windows 2000 compatible Access".

      • In Windows 2000 wordt de registerwaarde RestrictAnonymous beheerd door een soortgelijke instelling Extra beperkingen voor anonieme verbindingen. De locatie van deze waarde is als volgt

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA Voor meer informatie over de registerwaarde RestrictAnonymous klikt u op de volgende artikelnummers om de artikelen in de Microsoft Knowledge Base:

        het gebruik van de registerwaarde RestrictAnonymous in Windows 2000
         

        informatie beperken waarover anoniem aangemelde gebruikers
         

    2. Riskante configuraties

      Inschakelen van de Netwerktoegang: geen anonieme inventarisatie van SAM-accounts toestaan is ingesteld op een schadelijke configuratie-instelling van de compatibiliteit. Het uitschakelen van is een schadelijke configuratie-instelling uitgeschakeld.

    3. Redenen om deze instelling inschakelen

      Een onbevoegde gebruiker kan anoniem accountnamen weergeven en de informatie kunnen gebruiken om naar wachtwoorden te raden of social engineering -aanvallen uit te voeren. Social engineering is jargon dat inhoudt dat mensen met een truc aangezet in hun wachtwoorden of andere beveiligingsinformatie te onthullen.

    4. Redenen om deze instelling uitschakelen

      Als deze instelling is ingeschakeld, is het onmogelijk om vertrouwensrelaties met Windows NT 4.0-domeinen tot stand brengen. Deze instelling veroorzaakt ook problemen met downlevel-clients (zoals Windows NT 3.51-clients en Windows 95-clients) waartoe de resources te gebruiken op de server.

    5. Symbolische naam:


      RestrictAnonymousSAM

    6. Registerpad:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

    7. Voorbeelden van compatibiliteitsproblemen

    • SMS Network Discovery niet langer te verkrijgen en schrijft 'Onbekend' in de eigenschap OperatingSystemNameandVersion.

    • Windows 95, Windows 98: Clients met Windows 95 en Windows 98-clients niet mogelijk hun wachtwoorden te wijzigen.

    • Windows NT 4.0: Windows NT 4.0-lidcomputers worden niet worden geverifieerd.

    • Windows 95, Windows 98: Computers met Windows 95 en Windows 98 worden niet worden geverifieerd door Microsoft-domeincontrollers.

    • Windows 95, Windows 98: Gebruikers op computers met Windows 95 en Windows 98 worden niet kunnen de wachtwoorden voor hun gebruikersaccounts wijzigen.

  9. Netwerktoegang: geen anonieme inventarisatie van SAM-accounts en shares toestaan

    1. Achtergrond

      • De Netwerktoegang: geen anonieme inventarisatie van SAM-accounts en shares toestaan (ook bekend als RestrictAnonymous) bepaalt of anonieme inventarisatie van Security Accounts Manager (SAM)-accounts en -shares is toegestaan. In Windows mogen anonieme gebruikers bepaalde activiteiten uitvoeren, zoals de namen van domeinaccounts (gebruikers, computers en groepen) en netwerkshares inventariseren. Dit is bijvoorbeeld handig, wanneer een beheerder toegang wil verlenen aan gebruikers in een vertrouwd domein waarvoor geen wederzijdse vertrouwensrelatie onderhoudt. Als u niet anonieme inventarisatie van SAM-accounts en shares toestaan wilt, moet u deze instelling inschakelt.

      • In Windows 2000 wordt de registerwaarde RestrictAnonymous beheerd door een soortgelijke instelling Extra beperkingen voor anonieme verbindingen. De locatie van deze waarde is als volgt:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

    2. Riskante configuratie

      Inschakelen van de Netwerktoegang: geen anonieme inventarisatie van SAM-accounts en shares toestaan is ingesteld op een schadelijke configuratie-instelling.

    3. Redenen om deze instelling inschakelen

      • Inschakelen van de Netwerktoegang: geen anonieme inventarisatie van SAM-accounts en shares toestaan instelling voorkomt de inventarisatie van SAM-accounts en -shares door gebruikers en computers die anonieme accounts gebruiken.

    4. Redenen om deze instelling uitschakelen

      • Als deze instelling is ingeschakeld, kan een onbevoegde gebruiker anoniem accountnamen weergeven en de informatie kunnen gebruiken om naar wachtwoorden te raden of social engineering -aanvallen uit te voeren. Social engineering is jargon dat inhoudt dat mensen met een truc aangezet in hun wachtwoord of andere beveiligingsinformatie te onthullen.

      • Als deze instelling is ingeschakeld, worden geen vertrouwensrelaties met Windows NT 4.0-domeinen tot stand brengen. Deze instelling veroorzaakt eveneens problemen met downlevel-clients zoals Windows NT 3.51 en Windows 95-clients die bronnen op de server gebruiken.

      • Het zijn geen toegang verlenen aan gebruikers van brondomeinen omdat beheerders in het vertrouwende domein niet kunnen inventariseren van accounts in het andere domein. Gebruikers die anoniem toegang krijgen bestands- en afdrukservers tot is niet mogelijk om de gedeelde netwerkbronnen op die servers. De gebruikers moeten worden geverifieerd voordat ze lijsten van gedeelde mappen en printers kunnen bekijken.

    5. Symbolische naam:

      RestrictAnonymous

    6. Registerpad:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

    7. Voorbeelden van compatibiliteitsproblemen

      • Windows NT 4.0: Gebruikers worden niet kunnen hun wachtwoorden te wijzigen in Windows NT 4.0-werkstations wanneer RestrictAnonymous is ingeschakeld op domeincontrollers in het domein van de gebruikers.

      • Windows NT 4.0: Toevoegen van gebruikers of globale groepen vanuit vertrouwde Windows 2000-domeinen aan lokale Windows NT 4.0-groepen in Gebruikersbeheer, mislukt en het volgende foutbericht weergegeven:

        Er zijn momenteel geen aanmeldingsservers beschikbaar om de aanmeldingsaanvraag te verwerken.

      • Windows NT 4.0: Windows NT 4.0-computer is niet mogelijk voor lidmaatschap van domeinen tijdens de setup of via de gebruikersinterface voor domeinlidmaatschap.

      • Windows NT 4.0: Een downlevel-vertrouwensrelatie met Windows NT 4.0-brondomeinen mislukt. Het volgende foutbericht wordt weergegeven wanneer RestrictAnonymous op het vertrouwde domein is ingeschakeld:

        Kan de domeincontroller voor dit domein niet vinden.

      • Windows NT 4.0: Gebruikers die zich op computers op basis van Windows NT 4.0 Terminal Server aanmelden worden toegewezen aan de standaardbasismap in plaats van de basismap die in Gebruikersbeheer voor domeinen is gedefinieerd.

      • Windows NT 4.0: Windows NT 4.0-reservedomeincontrollers (BDC's) is niet mogelijk naar de Net Logon-service starten, een lijst met back-upbrowsers opvragen of de SAM-database van Windows 2000 of Windows Server 2003-domeincontrollers in hetzelfde domein synchroniseren.

      • Windows 2000: Windows 2000-lidcomputers in Windows NT 4.0-domeinen geen printers in externe domeinen weergeven kunnen als de instelling geen toegang zonder uitdrukkelijke anonieme machtigingen is ingeschakeld in het lokale beveiligingsbeleid van de clientcomputer.

      • Windows 2000: Gebruikers van Windows 2000-domein worden niet-netwerkprinters toevoegen vanuit Active Directory. echter mogelijk printers toevoegen nadat ze deze in de structuurweergave selecteren.

      • Windows 2000: Op computers met Windows 2000 is ACL-Editor niet mogelijk voor het toevoegen van gebruikers of globale groepen vanuit vertrouwde Windows NT 4.0-domeinen.

      • ADMT versie 2: Mislukt de migratie van wachtwoorden voor gebruikersaccounts die worden gemigreerd tussen forests met Active Directory Migration Tool (ADMT) versie 2.

        Voor meer informatie klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

        het oplossen van wachtwoordmigratie tussen forests oplossen met ADMTv2

      • Outlook-clients: De algemene adreslijst worden weergegeven voor Microsoft Exchange Outlook-clients leeg.

        Voor meer informatie klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

        SMB trage prestaties bij het kopiëren van bestanden van Windows XP naar een Windows 2000-domeincontroller

      • SMS: Microsoft Systems Management Server (SMS) Network Discovery niet mogelijk om het besturingssysteem informatie te verkrijgen. Daarom wordt het schrijven 'Onbekend' in de eigenschap OperatingSystemNameandVersion van de SMS DDR-eigenschap van de discovery record (DDR).

      • SMS: Wanneer u de SMS-Wizard Administrator User gebruikt om te bladeren naar gebruikers en groepen, worden geen gebruikers of groepen weergegeven. Daarnaast communiceren geavanceerde clients niet met het Management Point. Anonieme toegang is vereist voor het Management Point.

      • SMS: Wanneer u de functie Network Discovery van SMS 2.0 en Remote Client Installation met de Topology, client en client-besturingssystemen netwerkdetectie-optie ingeschakeld, computers mogelijk wel gedetecteerd, maar is mogelijk niet geïnstalleerd.

  10. Netwerkbeveiliging: Lan Manager-verificatieniveau

    1. Achtergrond

      Verificatie van LAN Manager (LM) is het protocol dat wordt gebruikt voor de verificatie van Windows-clients voor netwerkbewerkingen, zoals lidmaatschap van domeinen, toegang tot netwerkbronnen en verificatie van gebruiker of computer. Het LM-verificatieniveau bepaalt welk vraag/antwoord-verificatieprotocol wordt overeengekomen tussen de client en de server-computers. Het LM-verificatieniveau bepaalt met name welke verificatieprotocollen die probeert te onderhandelen over de client of de server worden geaccepteerd. De waarde die voor LmCompatibilityLevel wordt ingesteld, bepaalt welk vraag/antwoord-verificatieprotocol wordt gebruikt voor netwerkaanmeldingen. Deze waarde is van invloed op het niveau van het verificatieprotocol dat clients gebruiken, het niveau van de sessiebeveiliging waarover wordt onderhandeld en het niveau van het verificatieniveau dat door servers wordt geaccepteerd.

      Mogelijke instellingen zijn de volgende.

      Waarde

      Instelling

      Beschrijving

      0

      LM en NTLM-antwoorden verzenden

      Clients gebruiken LM- en NTLM-verificatie en gebruiken nooit NTLMv2-sessiebeveiliging. Domeincontrollers accepteren LM-, NTLM- en NTLMv2-verificatie.

      1

      LM en NTLM verzenden - gebruik NTLMv2-sessiebeveiliging indien onderhandeld

      Clients gebruiken LM- en NTLM-verificatie en gebruiken NTLMv2-sessiebeveiliging als de server dit ondersteunt. Domeincontrollers accepteren LM-, NTLM- en NTLMv2-verificatie.

      2

      Alleen een NTLM-antwoord verzenden

      Clients gebruiken alleen NTLM-verificatie en gebruiken NTLMv2-sessiebeveiliging als de server dit ondersteunt. Domeincontrollers accepteren LM-, NTLM- en NTLMv2-verificatie.

      3

      Alleen een NTLMv2-antwoord verzenden

      Clients gebruiken alleen NTLMv2-verificatie en gebruiken NTLMv2-sessiebeveiliging als de server dit ondersteunt. Domeincontrollers accepteren LM-, NTLM- en NTLMv2-verificatie.

      4

      Alleen een NTLMv2-antwoord verzenden / LM weigeren

      Clients gebruiken alleen NTLMv2-verificatie en gebruiken NTLMv2-sessiebeveiliging als de server dit ondersteunt. Domeincontrollers weigeren LM en accepteren alleen NTLM- en NTLMv2-verificatie.

      5

      Alleen een NTLMv2-antwoord verzenden / LM en NTLM weigeren

      Clients gebruiken alleen NTLMv2-verificatie en gebruiken NTLMv2-sessiebeveiliging als de server dit ondersteunt. Domeincontrollers weigeren LM en NTLM en accepteren alleen NTLMv2-verificatie.

      Opmerking In Windows 95, Windows 98 en Windows 98 Tweede editie wordt de Directory Services Client ondertekenen van SMB tijdens de verificatie op Windows Server 2003-servers middels NTLM-verificatie. Deze clients gebruik echter geen SMB-ondertekening wanneer ze met deze servers verifiëren met NTLMv2-verificatie. Bovendien reageren Windows 2000-servers niet op verzoeken van deze clients ondertekenen van SMB.

      Controleer het LM-verificatieniveau: Moet u het beleid op de server voor het toestaan van NTLM of moet u de clientcomputer om NTLMv2 ondersteunt.

      Als het beleid is ingesteld op (5) alleen een NTLMv2-antwoord verzenden\LM en NTLM op de doelcomputer waarmee u verbinding wilt maken, moet u de instelling op die computer verlagen of de beveiliging instellen op dezelfde instelling als op de broncomputer is dat u bent conn het gevolg van.

      Zoek de juiste locatie waar kunt u het LAN manager-verificatieniveau in te stellen van de client en de server op hetzelfde niveau. Als u het beleid dat de LAN manager-verificatieniveau, wordt ingesteld als u wilt verbinding naar en van computers waarop eerdere versies van Windows hebt gevonden, verlaagt u de waarde naar minstens (1) verzenden LM en NTLM - gebruiken NTLM versie 2 sessiebeveiliging als overeengekomen. Een effect van incompatibele instellingen is dat als u de server NTLMv2 (waarde 5), maar de client is geconfigureerd voor het gebruik van LM- en NTLMv1 alleen (waarde 0), wordt de gebruiker die verificatie een aanmeldingsfout met een onjuist wachtwoord, die wordt verhoogd met de slechte ervaringen aantal wachtwoord. Als accountvergrendeling is geconfigureerd, kan de gebruiker uiteindelijk worden uitgesloten.

      Bijvoorbeeld, moet u wellicht te zoeken op de domeincontroller of moet u wellicht het beleid van de domeincontroller bekijken.

      Zoeken op de domeincontroller

      Opmerking U moet Herhaal de volgende procedure op alle domeincontrollers.

      1. Klik op Start, wijs achtereenvolgens programma'sen klik vervolgens op Systeembeheer.

      2. Vouw Lokaal beleiduit onder Lokale beveiligingsinstellingen.

      3. Klik op Beveiligingsopties.

      4. Dubbelklik op Netwerkbeveiliging: LAN manager-verificatieniveau, en klik vervolgens op een waarde in de lijst.


      Als actieve instelling en lokale instelling dezelfde zijn, is het beleid op dit niveau gewijzigd. Als de instellingen verschillend zijn, moet u controleren beleid van de domeincontroller om te bepalen of de Netwerkbeveiliging: LAN manager-verificatieniveau instelling er is gedefinieerd. Als dit er niet gedefinieerd is, onderzoekt het beleid van de domeincontroller.

      Onderzoeken het beleid van de domeincontroller

      1. Klik op Start, wijs achtereenvolgens programma'sen klik vervolgens op Systeembeheer.

      2. In het Beveiligingsbeleid voor domeincontroller, vouw Beveiligingsinstellingenuit en vouw Lokaal beleid.

      3. Klik op Beveiligingsopties.

      4. Dubbelklik op Netwerkbeveiliging: LAN manager-verificatieniveau, en klik vervolgens op een waarde in de lijst.


      Note

      • U wellicht ook de beleidsinstellingen controleren die zijn gekoppeld aan het siteniveau van de, het niveau van het domein of de organisatie-eenheid (OU) niveau om te bepalen waar u het LAN manager-verificatieniveau moet configureren.

      • Als u een Groepsbeleid-instelling als het standaarddomeinbeleid implementeert, wordt het beleid toegepast op alle computers in het domein.

      • Als u een Groepsbeleid-instelling als de standaard de domeincontroller implementeert, wordt het beleid geldt alleen voor de servers in de organisatie-eenheid van de domeincontroller.

      • Het is verstandig om het LAN manager-verificatieniveau instellen in de laagste entiteit van het noodzakelijke bereik in de hiërarchie van de toepassing beleid.

      Windows Server 2003 heeft een nieuwe standaardinstelling alleen NTLMv2 wordt gebruikt. Windows Server 2003 en Windows 2000 Server SP3-domeincontrollers hebben standaard de ' Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (altijd) ' beleid. Deze instelling moet de SMB-server SMB-pakketondertekening uit. Windows Server 2003 zijn gewijzigd omdat domeincontrollers, bestandsservers, network infrastructure-servers en webservers in elke organisatie weer andere instellingen voor een optimale beveiliging nodig.

      Als u NTLMv2-verificatie implementeren in uw netwerk, moet u ervoor zorgen dat alle computers in het domein zijn ingesteld op het gebruik van dit verificatieniveau. Als u Active Directory Client Extensions voor Windows 95 of Windows 98 en Windows NT 4.0 toepast, gebruiken de clientextensies de verbeterde verificatiefuncties die beschikbaar in NTLMv2 zijn. Omdat de client-computers waarop een van de volgende besturingssystemen worden niet beïnvloed door de Windows 2000-groepsbeleidobjecten, moet u wellicht deze clients handmatig configureren:

      • Microsoft Windows NT 4.0

      • Microsoft Windows Millennium Edition

      • Microsoft Windows 98

      • Microsoft Windows 95

      Opmerking Als u de Netwerkbeveiliging: hashwaarde van LAN manager niet bewaren bij volgende wachtwoordwijziging beleid of de registersleutel NoLMHash set Windows 95 en Windows 98-clients die geen van de Directory Services Client geïnstalleerd kunnen niet Meld u aan bij het domein nadat een wachtwoord is gewijzigd.

      Veel CIFS servers van andere fabrikanten, zoals Novell Netware 6, ondersteunen geen NTLMv2 en gebruiken alleen NTLM. Daarom niveaus hoger dan 2 verbindingen niet toegestaan. Er zijn ook derden SMB-clients die geen van uitgebreide sessiebeveiliging gebruikmaken. In deze gevallen wordt de LmCompatiblityLevel van de server resource niet in aanmerking genomen. De server en vervolgens pakt deze oudere aanvraag en verzendt deze naar de domeincontroller van de gebruiker. De instellingen op de domeincontroller vervolgens beslissen welke hashes worden gebruikt om te controleren of de aanvraag en of deze voldoet aan de vereisten voor de beveiliging van de domeincontroller.

      Klik voor meer informatie over het handmatig configureren van het LAN manager-verificatieniveau op de volgende artikelnummers om de artikelen in de Microsoft Knowledge Base:

      Hoe in Windows NT LM-verificatie uitschakelen
       

      hoe u kunt voorkomen dat Windows een LAN manager-hash van uw wachtwoord opslaat in Active Directory en lokale SAM-databases
       

      outlook blijft om aanmeldingsreferenties vragen
       

      Controlegebeurtenis wordt verificatiepakket als NTLMv1 in plaats van NTLMv2 Voor meer informatie over LM-verificatieniveaus klikt u op het volgende artikel in de Microsoft Knowledge Base:

      het inschakelen van NTLM 2-verificatie
       

    2. Riskante configuraties

      Dit zijn schadelijke configuratie-instellingen:

      • Niet-beperkende instellingen die wachtwoorden in leesbare tekst verzonden en NTLMv2-onderhandelingen worden geweigerd

      • Beperkende instellingen die voorkomen dat niet-compatibele clients of domeincontrollers onderhandelen over een gemeenschappelijk verificatieprotocol

      • NTLMv2-verificatie op lidcomputers en domeincontrollers waarop versies van Windows NT 4.0 vóór Service Pack 4 (SP4) vereist

      • NTLMv2-verificatie op clients met Windows 95 of Windows 98-clients die niet de Windows Directory Services-Client geïnstalleerd vereist.

      • Als u klikt op het selectievakje vereist NTLMv2-sessiebeveiliging in de module Microsoft Management Console Groepsbeleidsobjecteditor op een computer met Windows 2000 Service Pack 3 of een Windows Server 2003 en u het LAN manager-verificatieniveau verlaagt op 0, wordt wordt het conflict twee instellingen en kunt u het volgende foutbericht in het bestand Secpol.msc of het bestand GPEdit.msc:

        Windows kan de database met lokaal beleid niet openen. Een onbekende fout opgetreden bij een poging om de database te openen.

        Zie de Windows 2000 of Windows Server 2003 Help-bestanden voor meer informatie over Beveiligingsconfiguratie en -analyse Tool.

    3. Redenen om deze instelling te wijzigen

      • Wilt u de laagste gemeenschappelijk verificatieprotocol dat wordt ondersteund door clients en domeincontrollers in uw organisatie te vergroten.

      • Wanneer beveiligde verificatie bedrijfsmatig vereist is, wilt u de onderhandeling over LM- en NTLM-protocollen niet toestaan.

    4. Redenen om deze instelling uitschakelen

      Client of server verificatie eisen of beide zijn verhoogd tot het punt waarop verificatie via een algemeen protocol niet kan optreden.

    5. Symbolische naam:

      LmCompatibilityLevel

    6. Registerpad:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. Voorbeelden van compatibiliteitsproblemen

      • Windows Server 2003: De Windows Server 2003 NTLMv2 NTLM-antwoord verzenden instellen is standaard ingeschakeld. Daarom ontvangt Windows Server 2003 het foutbericht 'Toegang geweigerd' na de installatie bij het verbinding maken met een op basis van Windows NT 4.0-cluster of met LanManager V2.1-servers, zoals OS/2-Lanserver. Dit probleem treedt ook op als u probeert vanaf een eerdere versie client verbinding met een server met Windows Server 2003.

      • U installeert Windows 2000 Security Rollup Package 1 (SRP1). SRP1 vereist NTLM versie 2 (NTLMv2 verplicht). Dit updatepakket is uitgegeven na de release van Windows 2000 Service Pack 2 (SP2). Klik voor meer informatie over SRP1 op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base:

        Windows 2000 Security Rollup Package 1, januari 2002
         

      • Windows 7 en Windows Server 2008 R2: veel CIFS servers van andere fabrikanten, zoals Novell Netware 6- of Linux-gebaseerde Samba-servers ondersteunen geen NTLMv2 en gebruiken alleen NTLM. Daarom niveaus hoger dan "2" verbindingen niet toegestaan. In deze versie van het besturingssysteem, is de standaardwaarde voor LmCompatibilityLevel nu gewijzigd in "3". Dus wanneer u Windows bijwerkt, deze derde partij filers werken meer.

      • Microsoft Outlook-clients kunnen worden gevraagd om referenties, zelfs als ze al zijn aangemeld bij het domein. Wanneer gebruikers hun referenties opgeven, wordt het volgende foutbericht: Windows 7 en Windows Server 2008 R2

        De aanmeldingsgegevens zijn onjuist. Controleer of de gebruikersnaam en het domein juist zijn en typ uw wachtwoord opnieuw.

        Wanneer u Outlook start, u mogelijk gevraagd uw referenties zelfs als de instelling Netwerkbeveiliging bij aanmelden is ingesteld op doorvoer of op wachtwoordverificatie. Nadat u de juiste referenties hebt getypt, wordt het volgende foutbericht weergegeven:

        De aanmeldingsgegevens zijn onjuist.

        Een netwerkcontrole-trace kan worden weergegeven dat de globale catalogus een remote procedure call (RPC) veroorzaakt met status 0x5 uitgegeven. Status 0x5 betekent 'Toegang geweigerd'.

      • Windows 2000: Netwerkcontrole kan de volgende fouten weergeven in de NetBIOS via TCP/IP (NetBT) server message block (SMB)-sessie:

        SMB R Search Directory Dos error, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) ongeldige gebruikers-id

      • Windows 2000: Als u een Windows 2000-domein met NTLMv2 niveau 2 of hoger wordt vertrouwd door een Windows NT 4.0-domein, kunnen Windows 2000-lidcomputers in het brondomein verificatiefouten optreden.

      • Windows 2000 en Windows XP: Windows 2000 en Windows XP wordt het LAN Manager-verificatie lokaal beveiligingsbeleid optie standaard ingesteld op 0. De instelling 0 betekent 'verzenden LM en NTLM-antwoorden.'

        Opmerking Windows NT 4.0 gebaseerde clusters moeten LM gebruiken voor beheer.

      • Windows 2000: Windows 2000-clustering wordt niet geverifieerd een samengesteld knooppunt als beide knooppunten deel van een Windows NT 4.0 Service Pack 6a uitmaken (SP6a) domein.

      • Het hulpprogramma IIS Lockdown (HiSecWeb) wordt de waarde LMCompatibilityLevel op 5 en de waarde RestrictAnonymous op 2.

      • Services for Macintosh

        User Authentication Module (UAM): De Microsoft UAM (User Authentication Module) biedt een methode voor het coderen van de wachtwoorden die u gebruikt voor aanmelding bij Windows AFP (AppleTalk Filing Protocol)-servers. Apple gebruiker Authentication Module (UAM) biedt slechts minimale of geheel geen codering. Dus kan uw wachtwoord gemakkelijk worden onderschept op het LAN of het Internet. Hoewel de UAM niet verplicht is, biedt het gecodeerde verificatie op Windows 2000-Servers waarop Services For Macintosh wordt uitgevoerd. Deze versie bevat ondersteuning voor NTLMv2 128-bits gecodeerde verificatie en een MacOS X 10.1-compatibele versie.

        De Windows Server 2003 Services for Macintosh-server staat standaard alleen Microsoft Authentication.


        Voor meer informatie klikt u op de volgende artikelnummers om de artikelen in de Microsoft Knowledge Base te bekijken:

        Macintosh-client kan geen verbinding maken met Services voor Macintosh op Windows Server 2003

      • Windows Server 2008, Windows Server 2003, Windows XP en Windows 2000: Als u de waarde van LMCompatibilityLevel 0 of 1 en configureer vervolgens het NoLMHash waarde 1 configureert, toepassingen en -onderdelen mogelijk toegang geweigerd via NTLM. Dit probleem treedt op omdat de computer is geconfigureerd, LM inschakelen, maar niet opgeslagen LM-om wachtwoorden te gebruiken.

        Als u de waarde van NoLMHash 1 configureert, moet u de waarde van LMCompatibilityLevel 2 of hoger.

  11. Netwerkbeveiliging: vereisten voor handtekening van LDAP-client

    1. Achtergrond

      De Netwerkbeveiliging: vereisten voor handtekening van LDAP-client bepaalt het niveau van gegevensondertekening dat is aangevraagd namens clients die LDAP Lightweight Directory Access Protocol (LDAP) BIND-aanvragen als volgt:

      • Geen: de LDAP BIND-aanvraag wordt gegeven met de opties die de aanroeper zijn opgegeven.

      • Onderhandelen over handtekening: als het Secure Sockets Layer/Transport Layer Security (SSL/TLS) niet is gestart, het LDAP BIND-verzoek gestart met de LDAP-gegevensondertekening ingesteld, naast opties die de aanroeper zijn opgegeven. Als SSL/TLS wel is gestart, wordt het LDAP BIND-verzoek gestart met opties die de aanroeper zijn opgegeven.

      • Handtekening vereisen: dit is hetzelfde als onderhandelen over handtekening. Echter, als het tussenliggende saslBindInProgress-reactie van de LDAP-server betekent niet dat ondertekening van LDAP-verkeer vereist is, wordt de aanroeper gemeld dat het LDAP BIND-aanvraag is mislukt.

    2. Riskante configuratie

      Inschakelen van de Netwerkbeveiliging: vereisten voor handtekening van LDAP-client is ingesteld op een schadelijke configuratie-instelling. Als u de server LDAP-handtekeningen vereist, moet u ook LDAP-ondertekening op de client te configureren. De client voor het gebruik van LDAP-handtekeningen niet configureren voor voorkomt communicatie met de server. Hierdoor wordt de gebruikersverificatie, Groepsbeleid instellingen, aanmeldingsscripts en andere functies worden uitgevoerd.

    3. Redenen om deze instelling te wijzigen

      Niet-ondertekend netwerkverkeer is gevoeliger voor man-in-the-middle-aanvallen waarbij een hacker pakketten onderschept tussen de client en de servers, verandert en ze doorstuurt naar de server. Wanneer dit op een LDAP-server plaatsvindt, kan een aanvaller ervoor zorgen dat een server reageert op basis van onjuiste query's van de LDAP-client. U kunt dit risico in een bedrijfsnetwerk verminderen door sterke fysieke beveiligingsmaatregelen ter bescherming van de infrastructuur van het netwerk te implementeren. Bovendien kunt u alle soorten man-in-the-middle-aanvallen voorkomen door digitale handtekeningen voor alle pakketten vereisen middels IPSec-verificatieheaders.

    4. Symbolische naam:

      LDAPClientIntegrity

    5. Registerpad:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

  12. Gebeurtenislogboek: Maximale grootte van logboekbestand

    1. Achtergrond

      De gebeurtenislogboek: maximale grootte van het logboekbestand beveiligingsinstelling stelt u de maximale grootte van het beveiligingslogboek. Dit logboek heeft een maximale grootte van 4 GB. Als u deze instelling, vouw
      Windows-instellingenen Beveiligingsinstellingen.

    2. Riskante configuraties

      Dit zijn schadelijke configuratie-instellingen:

      • Beperken de grootte van het beveiligingslogboek en de bewaarmethode logboek wanneer de controle: systeem onmiddellijk als beveiligingscontroles niet in logboek kunnen worden opgeslagen afsluiten instelling is ingeschakeld. Zie de ' controle: systeem onmiddellijk als beveiligingscontroles niet in logboek kunnen worden opgeslagen afsluiten "sectie van dit artikel voor meer informatie.

      • De grootte van het beveiligingslogboek beperken zodat belangrijke beveiligingsgebeurtenissen worden overschreven.

    3. Redenen om deze instelling te verhogen

      Bedrijfsmatige vereisten en beveiligingsaspecten kunnen voorschrijven dat u de grootte van het beveiligingslogboek voor het verwerken van meer of beveiligingslogboeken behouden voor een langere periode verhogen.

    4. Redenen om deze instelling te verlagen

      Logboeken zijn geheugen toegewezen bestanden. De maximale grootte van een gebeurtenislogboek wordt beperkt door de hoeveelheid fysiek geheugen op de lokale computer en het virtuele geheugen die beschikbaar is voor het proces van het logboek voor systeemgebeurtenissen. Het logboek groter maakt dan de hoeveelheid virtueel geheugen die beschikbaar is voor logboeken wordt niet vergroot het aantal vermeldingen in het beveiligingslogboek die worden onderhouden.

    5. Voorbeelden van compatibiliteitsproblemen

      Windows 2000: Computers waarop versies van Windows 2000 wordt uitgevoerd zijn vóór Service Pack 4 (SP4) wordt gestopt met het vastleggen van gebeurtenissen in het logboek voor systeemgebeurtenissen alvorens de grootte die is opgegeven in de maximale grootte van het logboek instellen in Logboeken als de gebeurtenissen niet overschrijven (logboek handmatig wissen) is ingeschakeld.


      Voor meer informatie klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

      het gebeurtenislogboek stopt met het vastleggen van gebeurtenissen voordat de maximale logboekgrootte is bereikt
       

  13. Gebeurtenislogboek: Beveiligingslogboek bewaren

    1. Achtergrond

      De gebeurtenislogboek: beveiligingslogboek bewaren beveiligingsinstelling bepaalt u hoe de "onmiddellijke verpakking" voor het beveiligingslogboek. Als u deze instelling, Windows-instellingen en Beveiligingsinstellingen.

    2. Riskante configuraties

      Dit zijn schadelijke configuratie-instellingen:

      • Niet te behouden geregistreerde beveiligingsgebeurtenissen verwijderen voordat ze worden overschreven

      • Configureren van de maximale grootte van het logboek te klein instellen zodat beveiligingsgebeurtenissen worden overschreven

      • Beperken het logboek grootte en het vasthouden van beveiligingsmethode tijdens de controle: systeem onmiddellijk als beveiligingscontroles niet in logboek kunnen worden opgeslagen afsluiten beveiligingsinstelling is ingeschakeld

    3. Redenen om deze instelling inschakelen

      Schakel deze instelling alleen als u de bewaarmethode voor gebeurtenissen op dagen overschrijven . Als u een gebeurteniscorrelatiesysteem die worden opgevraagd voor gebeurtenissen, zorg dat het aantal dagen ten minste driemaal de poll frequentie. Dit mislukte controlecycli kunt doen.

  14. Netwerktoegang: machtigingen voor iedereen op anonieme gebruikers toepassen laten

    1. Achtergrond

      Standaard de Netwerktoegang: machtigingen voor Iedereen toepassen op anonieme gebruikers is ingesteld op Niet gedefinieerd op Windows Server 2003. Standaard Windows Server 2003 bevat geen anonieme toegang in de iedereen groep.

    2. Voorbeeld van compatibiliteitsproblemen

      De volgende waarde van

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous[REG_DWORD] = 0x0 verbreekt de vertrouwensrelatie tussen Windows Server 2003 en Windows NT 4.0 als het Windows Server 2003-domein de domeinaccount en het Windows NT 4.0-domein het brondomein is. Dit betekent dat het accountdomein op Windows NT 4.0 wordt vertrouwd en dat het brondomein vertrouwen aan de kant van de Windows Server 2003. Dit probleem treedt op omdat het proces te starten de vertrouwensrelatie na de eerste anonieme verbinding geverifieerd met ACL wordt zou het iedereen die de anonieme SID op Windows NT 4.0.

    3. Redenen om deze instelling te wijzigen

      De waarde moet worden ingesteld op 0x1 of met behulp van een groepsbeleidsobject op organisatie-eenheid van de domeincontroller worden ingesteld: Netwerktoegang: machtigingen voor Iedereen toepassen op anonieme gebruikers - ingeschakeld mogelijk te maken de vertrouwensrelatie creaties.

      Opmerking Meeste andere beveiligingsinstellingen lopen op in waarde in plaats van tot 0x0 in hun status. Veiliger zou zijn om het register op de PDC-emulatormaster in plaats van op alle domeincontrollers wijzigen. Als een emulator voor de primaire domeincontroller om welke reden wordt verplaatst, moet het register op de nieuwe server worden bijgewerkt.

      Opnieuw opstarten is vereist nadat deze waarde is ingesteld.

    4. Register-pad

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

  15. NTLMv2-verificatie

    1. Sessiebeveiliging

      Sessiebeveiliging bepaalt de minimale beveiligingsstandaarden voor client- en serversessies. Het is een goed idee om te controleren of de volgende beveiligingsbeleidsinstellingen in de module Microsoft Management Console Groepsbeleid-Editor:

      • Computerinstellingen\Windows-instellingen\Beveiligingsinstellingen\Lokaal Beleid\beveiligingsopties

      • Netwerkbeveiliging: Minimale sessiebeveiliging voor op NTLM SSP gebaseerde (inclusief beveiligde RPC) servers

      • Netwerkbeveiliging: Minimale sessiebeveiliging voor op NTLM SSP gebaseerde (inclusief beveiligde RPC) clients

      De opties voor deze instellingen zijn als volgt:

      • Integriteit van berichten vereisen

      • Geheimhouding van berichten vereisen

      • NTLM versie 2 vereisen sessiebeveiliging

      • 128-bits codering vereisen

      De standaardinstelling voor Windows 7 is geen vereisten. Vanaf Windows 7 is de standaardinstelling gewijzigd in 128-bits codering vereisen voor verbeterde beveiliging. Met deze standaard worden oudere apparaten die geen ondersteuning voor 128-bits codering kan geen verbinding maken.

      Dit beleid bepaalt de minimale beveiligingsstandaarden voor een communicatiesessie toepassingen op een server voor een client.

      Houd er rekening mee dat hoewel beschreven als geldige instellingen, de vlaggen berichtintegriteit en vertrouwelijkheid moet niet worden gebruikt wanneer de beveiliging NTLM-sessie wordt bepaald.

      In het verleden, heeft Windows NT de volgende twee varianten van vraag/antwoord-verificatie voor netwerkaanmeldingen ondersteund:

      • LM-vraag/antwoord

      • Vraag/antwoord van NTLM versie 1

      LM staat interoperabiliteit toe met de geïnstalleerde groep clients en servers. NTLM biedt verbeterde beveiliging voor verbindingen tussen clients en servers.

      De corresponderende registersleutels zijn als volgt:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

    2. Riskante configuraties

      Deze instelling bepaalt hoe netwerksessies die worden beveiligd met behulp van NTLM worden verwerkt. Dit geldt voor verificatie met NTLM, bijvoorbeeld op basis van RPC-sessies. Er zijn de volgende risico's:

      • Met behulp van oudere verificatiemethoden dan NTLMv2 vergemakkelijkt de communicatie aanvallen vanwege de eenvoudigere hash-methoden worden gebruikt.

      • Met behulp van minder dan 128-bits coderingssleutels kan aanvallers om communicatie met brute kracht aanvallen.

Tijdsynchronisatie

Tijdsynchronisatie is mislukt. De tijd is uitgeschakeld door op een computer meer dan 30 minuten. Zorg ervoor dat de klok van de clientcomputer is gesynchroniseerd met de klok van de domeincontroller.

Ondertekenen van SMB omzeilen

Het is raadzaam dat u Service Pack 6a installeert (SP6a) op Windows NT 4.0-clients die in een Windows Server 2003-domein samenwerken. Clients met Windows 98 Tweede editie, Windows 98-clients en clients met Windows 95-computers moeten de Directory Services-Client uitvoeren om NTLMv2 te worden uitgevoerd. Als op basis van Windows NT 4.0-clients geen Windows NT 4.0 SP6 is geïnstalleerd of als op basis van een Windows 95-clients, Windows 98-clients en Windows 98TE-clients geen de Directory Services-Client is geïnstalleerd, SMB ondertekening uitschakelen in het standaarddomein de organisatie-eenheid de beleidsinstelling van de domeincontroller op de domeincontroller, en dit beleid vervolgens koppelen aan alle organisatorische eenheden die domeincontrollers verzorgen.

De Directory Services Client voor Windows 98 Tweede editie, Windows 98 en Windows 95 wordt uitgevoerd SMB-ondertekening met Windows 2003-servers onder NTLM-verificatie, maar niet onder NTLMv2-verificatie. Bovendien reageert Windows 2000-servers niet op ondertekenen van SMB-verzoeken van deze clients.

Hoewel het niet wordt aanbevolen, is het mogelijk om kunt u voorkomen dat SMB-ondertekening verplicht is bij alle domeincontrollers met Windows Server 2003 in een domein. Als u deze beveiligingsinstelling configureert, moet u deze stappen volgen:

  1. Open de standaard de domeincontroller.

  2. Open de map Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Lokaal Beleid\beveiligingsopties .

  3. Zoek en klik op de Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (altijd) instelling is ingeschakeld, en klik op uitgeschakeld.

Belangrijk Deze sectie, methode of taak bevat stappen voor het wijzigen van het register. Echter, er kunnen ernstige problemen optreden als u het register onjuist bewerkt. Daarom is het belangrijk de volgende stappen zorgvuldig te volgen. Als extra beveiliging maakt u een back-up van het register voordat u wijzigingen aanbrengt. Vervolgens kunt u het register herstellen als er een probleem optreedt. Voor meer informatie over hoe u een back-up van het register kunt maken en terugzetten, klikt u op het volgende artikel in de Microsoft Knowledge Base:

het back-up maken en het register terugzetten in WindowsU kunt ook SMB-ondertekening op de server door het register uitschakelen. Ga hiervoor als volgt te werk:

  1. Klik op Start, klik op Uitvoeren, typ regedit en klik vervolgens op OK.

  2. Zoek de volgende subsleutel en klik erop :
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

  3. Klik op de vermelding enablesecuritysignature .

  4. Klik in het menu Bewerken op Aanpassen.

  5. Typ 0in het vak Waardegegevens en klik op OK.

  6. Sluit Register-editor.

  7. Start de computer opnieuw op of stop en start de Server-service opnieuw op. Hiertoe typt u de volgende opdrachten bij een opdrachtprompt en druk na elke opdracht op Enter:
    net stop server
    net start server

Opmerking De corresponderende sleutel op de clientcomputer is in de volgende registersubsleutel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\ParametersHieronder vindt u de vertaalde foutcodenummers statuscodes en de verbatim foutberichten die eerder zijn vermeld:

Fout 5
ERROR_ACCESS_DENIED

Toegang is geweigerd.

Fout 1326

ERROR_LOGON_FAILURE

Aanmeldingsfout: onbekende gebruikersnaam of ongeldig wachtwoord.

Fout 1788

ERROR_TRUSTED_DOMAIN_FAILURE

De vertrouwensrelatie tussen het primaire domein en het vertrouwde domein is mislukt.

1789-fout

ERROR_TRUSTED_RELATIONSHIP_FAILURE

De vertrouwensrelatie tussen dit werkstation en het primaire domein is mislukt.

Voor meer informatie klikt u op de volgende artikelnummers om de artikelen in de Microsoft Knowledge Base te bekijken:

het configureren van Groepsbeleid voor het instellen van beveiliging van systeemservices in Windows Server 2003
 

het inschakelen van SMB-ondertekening in Windows NT
 

hoe u vooraf gedefinieerde beveiligingssjablonen toepassen in Windows Server 2003
 

moet u Windows-accountreferenties opgeven wanneer u verbinding met Exchange Server 2003 met behulp van Outlook 2003 RPC via HTTP-functie

Meer hulp nodig?

Uw vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Microsoft insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de vertaalkwaliteit?

Wat heeft uw ervaring beïnvloed?

Hebt u aanvullende feedback? (Optioneel)

Bedankt voor uw feedback.

×