Problemów dotyczących programów, usług i klientów może wystąpić po zmianie ustawień zabezpieczeń i przypisań praw użytkownika

Streszczenie

Ustawień zabezpieczeń i przypisań praw użytkownika można zmienić w zasadach lokalnych i zasadach grupy może pozwolić na podwyższenie poziomu zabezpieczeń na kontrolerach domeny i komputerach członkowskich. Jednak Wadą podwyższonego poziomu zabezpieczeń jest powstanie niezgodności z klientami, usługami i programami.

W tym artykule opisano niezgodności, które mogą wystąpić na komputerach klienckich z systemem Windows XP lub wcześniejszych wersji systemu Windows, po zmianie ustawień zabezpieczeń i przypisań praw użytkownika w domenie systemu Windows Server 2003 lub wcześniejsze wersje systemu Windows Domeny serwera.

Aby uzyskać informacje dotyczące zasady grupy dla systemu Windows 7, Windows Server 2008 R2 i Windows Server 2008 zobacz następujące artykuły:

  • Dla systemu Windows 7 zobacz

  • Dla systemu Windows 7 i Windows Server 2008 R2 zobacz

  • Dla systemu Windows Server 2008 zobacz temat

Uwaga: Pozostała zawartość tego artykułu jest specyficzny dla systemu Windows XP, Windows Server 2003 i wcześniejszych wersjach systemu Windows.

Windows XP

Zwiększenie świadomości błędnie skonfigurowanych ustawieniach zabezpieczeń, narzędzie Edytor obiektów zasady grupy Aby zmienić ustawienia zabezpieczeń. Korzystając z Edytora obiektów zasady grupy, rozszerzonego przypisywania praw użytkownika w następujących systemach operacyjnych:

  • Windows XP Professional z dodatkiem Service Pack 2 (SP2)

  • Windows Server 2003 z dodatkiem Service Pack 1 (SP1)

Funkcja rozszerzonych jest okno dialogowe, zawierającą łącze do tego artykułu. Po zmianie ustawienia zabezpieczeń lub przypisanie praw użytkowników, ustawienia, który oferuje mniejszym stopniu zgodne i bardziej restrykcyjne, pojawi się okno dialogowe. Zmiana bezpośrednio samą zabezpieczeń ustawienie lub przypisanie praw użytkownika za pomocą rejestru lub przy użyciu przystawki Szablony zabezpieczeń, efekt jest taki sam, jak zmiana ustawienia w przystawce Edytor obiektów zasady grupy. Jednakże nie ma okno dialogowe, która zawiera łącze do tego artykułu.

Ten artykuł zawiera przykłady klientów, programów i działań, które mogą mieć wpływ określonych ustawieniach zabezpieczeń lub przypisaniach praw użytkownika. Jednak przykłady nie są autorytatywne dla wszystkich systemów operacyjnych firmy Microsoft, we wszystkich systemach operacyjnych innych firm lub wszystkich wersji programów, które są zagrożone. Nie wszystkie ustawienia zabezpieczeń i przypisań praw użytkownika są zawarte w tym artykule.

Zaleca się sprawdzenie poprawności zgodność wszystkie zmiany konfiguracji związane z zabezpieczeniami w lesie testowym przed wprowadzeniem do środowiska produkcyjnego. Lasu testowego muszą odzwierciedlać las produkcyjny w następujący sposób:

  • Wersje systemu operacyjnego klienta i serwera, programy klienta i serwera, wersje dodatków service pack, poprawki, zmiany schematu, grupy zabezpieczeń, członkostwa grupy, uprawnienia do obiektów w systemie plików, foldery udostępnione, rejestru, katalogu usługi Active Directory usługi, lokalny i ustawienia zasady grupy i obiekt liczba typu i lokalizacji

  • Zadania administracyjne, które są wykonywane, narzędzia administracyjne, które są używane i systemów operacyjnych, które są używane do wykonywania zadań administracyjnych

  • Operacje, które są wykonywane, takie jak następujące:

    • Uwierzytelniania logowania użytkowników i komputerów

    • Resetowanie haseł przez użytkowników, przez komputery i przez administratorów

    • Przeglądanie

    • Ustawianie uprawnień dla systemu plików, dla folderów udostępnionych, dla rejestru i zasobów usługi Active Directory przy użyciu edytora list ACL we wszystkich systemach operacyjnych klienta we wszystkich domenach kont lub zasobów z wszystkich klienckich systemów operacyjnych ze wszystkich kont lub zasobów domeny

    • Drukowanie z kont administracyjnych i którzy nie są administratorami

Windows Server 2003 z dodatkiem SP1

Ostrzeżenia w pliku Gpedit.msc

Aby poinformować klienta, że edytuje prawo użytkownika lub opcję zabezpieczeń mogącą mieć niekorzystny wpływ na użytkowaną sieć, do pliku gpedit.msc zostały dodane dwa mechanizmy ostrzeżeń. Gdy administrator edytuje prawo użytkownika, które może niekorzystnie wpłynąć na całe przedsiębiorstwo, zobaczy jest nowa ikona ze znakiem ostrzegawczym. Również otrzymają komunikat ostrzegawczy, który zawiera łącze do artykułu 823659 w bazy wiedzy Microsoft Knowledge Base. Tekst tego komunikatu jest następujący:

Modyfikowanie tego ustawienia może mieć wpływ na zgodność z klientami, usługami i aplikacjami. Aby uzyskać więcej informacji, zobacz < użytkownik prawo lub opcja zabezpieczeń modyfikowany > (Q823659). Jeśli zostały skierowane do tego artykułu z bazy wiedzy Knowledge Base, łącza z Gpedit.msc, upewnij się, że przeczytać ze zrozumieniem podane wyjaśnienie oraz możliwe konsekwencje zmiany tego ustawienia. Poniżej przedstawiono listę praw użytkownika, które zawierają nowy tekst ostrzeżenia:

  • Dostęp do tego komputera z sieci

  • Logowanie lokalne

  • Pomijanie sprawdzania przy przechodzeniu przez folder

  • Włącz komputerów i użytkowników dla delegowania zaufanych

Poniżej podano opcji zabezpieczeń, które zapewniają wyświetlanie ostrzeżenia i wyskakującego:

  • Członek domeny: Szyfruj lub podpisuj cyfrowo dane bezpiecznego kanału (zawsze)

  • Członek domeny: Wymagaj silnego (system Windows 2000 lub nowszy) klucza sesji

  • Kontroler domeny: Wymagania podpisywania serwera LDAP

  • Serwer sieci Microsoft: podpisuj cyfrowo komunikację (zawsze)

  • Dostęp sieciowy: Zezwalaj anonimowe identyfikatory Sid / nazwa tłumaczenia

  • Dostęp sieciowy: Nie zezwalaj na anonimowe wyliczanie sam kont i udziałów

  • Zabezpieczenia sieci: poziom uwierzytelniania LAN Manager

  • Inspekcja: Zamknij system natychmiast, jeśli nie można rejestrować wyników inspekcji

  • Dostęp sieciowy: Wymagania podpisywania klienta LDAP

Więcej informacji

W poniższych sekcjach opisano niezgodności, które mogą wystąpić podczas modyfikowania określonych ustawień w domenach systemu Windows NT 4.0, domenach systemu Windows 2000 i domen systemu Windows Server 2003.

Prawa użytkownika

Poniższa lista opisuje prawo użytkownika, identyfikuje ustawienia konfiguracji, które mogą być przyczyną problemów, opisuje, dlaczego należy zastosować prawo użytkownika i dlaczego może być konieczne usunięcie prawa użytkownika i udostępnia przykłady problemów ze zgodnością, które mogą wystąpić podczas użytkownika prawo jest skonfigurowany.

  1. Dostęp do tego komputera z sieci

    1. Tło

      Możliwość interakcji ze zdalnym komputerem z systemem Windows wymaga prawa użytkownika Uzyskuj dostęp do tego komputera z sieci . Przykłady takich operacji sieciowych są następujące:

      • Replikacja usługi Active Directory między kontrolerami domeny we wspólnej domenie lub lesie

      • Żądania uwierzytelnienia do kontrolerów domeny od użytkowników i z komputerów

      • Dostęp do udostępnionych folderów, drukarek i innych usług systemowych, które znajdują się na komputerach zdalnych w sieci



      Użytkownicy, komputery i konta usług uzyskują lub tracą prawo użytkownika do dostępu do tego komputera z sieci będąc, jawnie lub niejawnie dodane lub usunięte z grupy zabezpieczeń, której udzielono tego prawa użytkownika. Na przykład konto użytkownika lub konto komputera może zostać jawnie dodane do grupy zabezpieczeń niestandardowej lub wbudowanej grupy zabezpieczeń przez administratora lub dodane niejawnie przez system operacyjny do obliczonej grupy zabezpieczeń takich jak użytkownicy domeny, uwierzytelniony Użytkownicy lub kontrolery domeny przedsiębiorstwa.

      Domyślnie konta użytkowników i konta komputerów są przyznało prawo, gdy obliczone dostęp do tego komputera z sieci użytkownika grup, takich jak wszyscy lub, lepiej, użytkownicy uwierzytelnieni i dla kontrolerów domeny, grupa kontrolerów domeny przedsiębiorstwa , są zdefiniowane w kontrolerach domeny domyślnej obiektu zasady grupy (GPO).

    2. Konfiguracje ryzykowne

      Dostępne są następujące ustawienia konfiguracji szkodliwe:

      • Usunięcie grupy zabezpieczeń kontrolery domeny przedsiębiorstwa z tego prawa użytkownika

      • Usunięcie grupy Użytkownicy uwierzytelnieni lub jawnej grupy, która pozwala użytkowników, komputerów i kont usług prawo użytkownika łączyć się z komputerami przez sieć

      • Usunięcie wszystkich użytkowników i komputerów z tego prawa użytkownika

    3. Przyczyny udzielenia tego prawa użytkownika

      • Przyznanie dostępu do tego komputera z sieci prawa użytkownika grupie Kontrolery domeny przedsiębiorstwa spełnia wymagania uwierzytelnienia, które musi posiadać replikacja usługi Active Directory dla replikacji między kontrolerami domeny w tej samej las.

      • To prawo użytkownika umożliwia użytkownikom i komputerom na dostęp do udostępnionych plików, drukarek i usług systemowych, w tym usługę Active Directory.

      • To prawo użytkownika jest wymagane dla użytkownikom dostęp do poczty przy użyciu pierwszych wersji programu Microsoft Outlook Web Access (OWA).

    4. Przyczyny usunięcia tego prawa użytkownika

      • Użytkownicy mogący połączyć swoje komputery z siecią mogą uzyskać dostęp do zasobów na komputerach zdalnych, które mają uprawnienia. Na przykład to prawo użytkownika jest wymagane dla użytkownika do połączenia się z udostępnionymi drukarkami i folderów. Jeśli udzielono tego prawa użytkownika grupie Wszyscy grupy, a niektóre foldery udostępnione mają zarówno udziału i uprawnienia systemu plików NTFS skonfigurowany tak, aby ta grupa ma dostęp do odczytu, każdy wyświetlać pliki w tych folderach udostępnionych. Jednak jest to mało prawdopodobne, sytuacja dla nowej instalacji systemu Windows Server 2003, ponieważ domyślne uprawnienia udziału i systemu plików NTFS w systemie Windows Server 2003 nie zawierają grupy Wszyscy. Dla systemów, które są uaktualniane z systemu Microsoft Windows NT 4.0 lub Windows 2000 tę usterkę mogą mieć wyższy poziom ryzyka, ponieważ domyślne udziału i uprawnienia systemu plików w tych systemach operacyjnych nie są tak restrykcyjne, jak uprawnienia domyślne w System Windows Server 2003.

      • Istnieje ważnej przyczyny usuwania grupy kontrolery domeny przedsiębiorstwa z tego prawa użytkownika.

      • Grupa Wszyscy jest zazwyczaj usuwana na korzyść grupy Użytkownicy uwierzytelnieni. Jeśli usunie się grupę Wszyscy, grupie Użytkownicy uwierzytelnieni muszą udzielić tego prawa użytkownika.

      • Domenami systemu Windows NT 4.0, które są uaktualniane do systemu Windows 2000 nie jawnie Udziel użytkownikowi dostępu do tego komputera z sieci prawo do grupie Wszyscy, grupie Użytkownicy uwierzytelnieni lub grupie Kontrolery domeny przedsiębiorstwa. W związku z tym podczas usuwania grupy Wszyscy z zasad domeny systemu Windows NT 4.0, po uaktualnieniu do systemu Windows 2000 replikacja usługi Active Directory zakończy się niepowodzeniem z komunikatem o błędzie "Odmowa dostępu". Winnt32.exe w systemie Windows Server 2003 pozwala uniknąć ten błąd w konfiguracji, udzielając tego prawa użytkownika grupie Kontrolery domeny przedsiębiorstwa podczas uaktualniania systemu Windows NT 4.0 podstawowych kontrolerów domeny (PDC). Udzielić grupie Kontrolery domeny przedsiębiorstwa to prawo, jeśli nie jest obecny w Edytorze obiektów zasady grupy użytkownika.

    5. Przykłady problemów ze zgodnością

      • Systemu Windows 2000 i Windows Server 2003: Zgłoszone przez narzędzia, takie jak REPLMON i REPADMIN lub zdarzenia replikacji w dzienniku zdarzeń do monitorowania replikacji następujące partycje zakończy się niepowodzeniem z błędami "Odmowa dostępu".

        • Aktywna partycja katalogu schematu

        • Partycja konfiguracji

        • Partycji domeny

        • Partycja katalogu globalnego

        • Partycja aplikacji

      • Microsoft wszystkie sieciowe systemy operacyjne: Uwierzytelnienia konta użytkownika ze zdalnych komputerów klienckich sieci nie powiedzie się, jeśli użytkownik lub grupa zabezpieczeń, której ten użytkownik jest członkiem nie udzielono tego prawa użytkownika.

      • Microsoft wszystkie sieciowe systemy operacyjne: Niepowodzenie uwierzytelnienia konta ze zdalnych klientów sieci Jeśli konto lub konto jest członkiem grupy zabezpieczeń nie udzielono tego prawa użytkownika. Ten scenariusz dotyczy kont użytkowników, kont komputerów i kont usług.

      • Microsoft wszystkie sieciowe systemy operacyjne: Usunięcie wszystkich kont z tego prawa użytkownika uniemożliwi dowolnego konta z zalogowaniem się do domeny lub uzyskiwania dostępu do zasobów sieciowych. Jeśli obliczana grup, takich jak kontrolery domeny przedsiębiorstwa, wszyscy lub Użytkownicy uwierzytelnieni są usuwane, należy jawnie udzielić tego prawa użytkownika do konta lub grupy zabezpieczeń, które konto jest członkiem dostępu komputerów zdalnych w sieci. Ten scenariusz dotyczy wszystkich kont użytkowników, kont komputerów i kont usług.

      • Microsoft wszystkie sieciowe systemy operacyjne: Konto administratora lokalnego używa "pustego" hasła. Połączenie sieciowe z użyciem pustych haseł nie jest dozwolona dla kont administratorów w środowisku domeny. Przy tej konfiguracji można oczekiwać, aby otrzymać komunikat o błędzie "Odmowa dostępu".

  2. Zezwalaj na logowanie lokalne

    1. Tło

      Użytkownicy, którzy próbują zalogować się do konsoli komputera z systemem Windows (za pomocą skrótu klawiaturowego CTRL + ALT + DELETE) i konta, które próbują uruchomić usługę, muszą mieć lokalne uprawnienia logowania na komputerze macierzystym. Operacje logowania lokalnego wykonują przykłady Administratorzy, którzy logują się do konsol komputerów członkowskich lub kontrolerów domeny w całym przedsiębiorstwie i użytkownicy domeny, którzy logują się do komputerów członkowskich dostępu do swoich pulpitów przy użyciu nieuprzywilejowanego konta. Użytkownicy korzystający z podłączania pulpitu zdalnego lub usług terminalowych musi mieć użytkownika Zezwalaj na logowanie lokalne prawo na komputerach docelowych, na których uruchomiono system Windows 2000 lub Windows XP, ponieważ te tryby logowania są traktowane jako lokalne względem komputera macierzystego. Użytkownicy, którzy logują się do serwera czy jest włączony serwer terminali, i którzy nie mają to prawo użytkownika, można wciąż uruchomić zdalną sesję interakcyjną w domenach systemu Windows Server 2003 jeśli posiadają prawo użytkownika Zezwalaj na logowanie za pomocą usług terminalowych .

    2. Konfiguracje ryzykowne

      Dostępne są następujące ustawienia konfiguracji szkodliwe:

      • Usunięcie administracyjnych grup zabezpieczeń, w tym Operatorzy kont, Operatorzy kopii zapasowych, Operatorzy drukowania lub Operatorzy serwerów oraz wbudowanej grupy Administratorzy z zasad domyślnego kontrolera domeny.

      • Usunięcie kont usług, które są używane przez składniki i programy na komputerach członkowskich i kontrolerach domeny w domenie z zasad domyślnego kontrolera domeny.

      • Usuwanie użytkowników lub grup zabezpieczeń, które zalogować się do konsoli komputerów członkowskich w domenie.

      • Usunięcie kont usług, które są zdefiniowane w lokalnej bazie danych Menedżera kont zabezpieczeń (SAM) komputerów członkowskich lub komputerów grupy roboczej.

      • Usuwanie non wbudowany kont administratorów, którzy są uwierzytelniani przy użyciu usług terminalowych, który jest uruchomiony na kontrolerze domeny.

      • Jawne lub niejawne dodanie wszystkich kont użytkowników w domenie przez wszyscy grupę do Odmowa logowania lokalnego logowania po prawej. Ta konfiguracja uniemożliwi użytkownikom rejestrowanie do dowolnego komputera członkowskiego lub dowolnego kontrolera domeny w domenie.

    3. Przyczyny udzielenia tego prawa użytkownika

      • Użytkownicy muszą mieć prawo użytkownika Zezwalaj na logowanie lokalne , dostęp do konsoli lub pulpitu komputera grupy roboczej, komputera członkowskiego lub kontrolera domeny.

      • Użytkownicy muszą mieć to prawo użytkownika, aby zalogować się przez sesję usług terminalowych, który jest uruchomiony na komputerze członkowskim z systemem Windows 2000 lub kontrolerze domeny.

    4. Przyczyny usunięcia tego prawa użytkownika

      • Brak ograniczenia dostępu do konsoli do uprawnionych kont użytkowników może spowodować nieautoryzowanych użytkowników pobieranie i wykonywanie destrukcyjnego kodu w celu zmiany ich praw użytkowników.

      • Usunięcie prawa użytkownika Zezwalaj na logowanie lokalne uniemożliwia nieautoryzowane logowanie na konsolach komputerów takich jak kontrolery domeny lub serwery aplikacji.

      • Usunięcie tego prawa logowania uniemożliwia zalogowanie się do konsoli komputerów członkowskich w domenie przez konta spoza domeny.

    5. Przykłady problemów ze zgodnością

      • Serwery terminali systemu Windows 2000: Zezwalaj na logowanie lokalne prawo użytkownika jest wymagane dla użytkowników do logowania się do serwerów terminali systemu Windows 2000.

      • Systemu Windows NT 4.0, Windows 2000, Windows XP lub systemu Windows Server 2003: Konta użytkowników musi mieć przyznane to prawo użytkownika, aby zalogować się do konsoli komputerów z systemem Windows NT 4.0, Windows 2000, Windows XP lub Windows Server 2003.

      • Systemu Windows NT 4.0 i nowszych: Na komputerach z systemem Windows NT 4.0 lub później, dodane Zezwalaj na logowanie lokalne prawo użytkownika, ale jawnie lub niejawnie udzieli się prawa logowania Odmawiaj logowania lokalnego , konta nie będą mogły zalogować się do konsoli domeny kontrolery.

  3. Pomijanie sprawdzania przy przechodzeniu przez folder

    1. Tło

      Prawo użytkownika Obejdź sprawdzanie przy przechodzeniu przez folder zezwala użytkownikowi na przechodzenie przez foldery w systemie plików NTFS lub w rejestrze bez sprawdzania, czy uprawnienie dostępu specjalnego Przechodzenie przez Folder . Prawo użytkownika Obejdź sprawdzanie przy przechodzeniu przez folder zezwala użytkownikowi na wyświetlanie zawartości folderu. Pozwala użytkownikowi na przechodzenie przez tylko jej folderów.

    2. Konfiguracje ryzykowne

      Dostępne są następujące ustawienia konfiguracji szkodliwe:

      • Usunięcie kont innych niż administracyjne, które logowania się do komputerów z usługami terminalowymi systemu Windows 2000 lub komputery usług terminalowych systemu Windows Server 2003, które nie mają uprawnień dostępu do plików i folderów w systemie plików.

      • Usunięcie grupy Wszyscy z listy podmiotów zabezpieczeń, które mają tego użytkownika prawo domyślnie. Systemy operacyjne Windows, a także wiele programów, są przeznaczone, przy założeniu, że każdy, kto ma prawo dostępu komputera będzie miał prawo użytkownika Obejdź sprawdzanie przy przechodzeniu przez folder . W związku z tym usunięcie wszyscy grupę z listy podmiotów zabezpieczeń, które domyślnie mają to prawo użytkownika, może spowodować niestabilność systemu operacyjnego lub awarię programu. Lepiej zmieniać ustawienia domyślnego.

    3. Przyczyny udzielenia tego prawa użytkownika

      Jest ustawieniem domyślnym prawo użytkownika Obejdź sprawdzanie przy przechodzeniu przez folder zezwala wszystkim na pomijanie sprawdzania przy przechodzeniu przez folder. Dla doświadczonych administratorów systemu Windows jest to oczekiwane zachowanie, oraz odpowiednio skonfigurują plików systemowych listach kontroli dostępu (SACL). Jedyny scenariusz, w którym domyślna konfiguracja może prowadzić do zdarzeń losowych jest Jeśli niezrozumienie tego zachowania przez administratora konfigurującego uprawnienia i oczekuje, że użytkownicy, którzy nie może uzyskać dostępu do folderu nadrzędnego nie będzie mógł uzyskać dostęp do zawartości każdego dziecka foldery.

    4. Przyczyny usunięcia tego prawa użytkownika

      Aby uniemożliwić dostęp do plików lub folderów w systemie plików, organizacji, które są bardzo wysoki poziom bezpieczeństwa może mieć ochotę na usunięcie grupy Wszyscy lub nawet grupę Użytkownicy z listy grup posiadających Pomiń sprawdzanie przechodzenia prawa użytkownika.

    5. Przykłady problemów ze zgodnością

      • Systemu Windows 2000, Windows Server 2003: Jeśli prawo użytkownika Obejdź sprawdzanie przy przechodzeniu przez folder zostanie usunięte lub jest niepoprawnie skonfigurowane na komputerach z systemem Windows 2000 lub Windows Server 2003, ustawienia zasady grupy w folderze SYSVOL nie będą replikowane między kontrolerami domeny w domenie.

      • Systemu Windows 2000, Windows XP Professional, Windows Server 2003: Komputery z systemem Windows 2000, Windows XP Professional lub Windows Server 2003 rejestrują zdarzenia 1000 i 1202 i nie będzie w stanie zastosować zasad komputera i zasad użytkownika po usunięciu wymaganych uprawnień systemowych z drzewa SYSVOL Jeśli Bypass prawo użytkownika sprawdzanie przy przechodzeniu przez folder zostanie usunięte lub jest niepoprawnie skonfigurowane.

        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

        zdarzenia o identyfikatorze 1000, 1001 jest rejestrowane co pięć minut w dzienniku zdarzeń aplikacji
         

      • Systemu Windows 2000, Windows Server 2003: Na komputerach z systemem Windows 2000 lub Windows Server 2003 karcie Przydział w Eksploratorze Windows zniknie podczas przeglądania właściwości woluminu.

      • Systemu Windows 2000: Użytkownikom nie będącym administratorami, którzy logują się do serwera terminali systemu Windows 2000 może zostać wyświetlony następujący komunikat o błędzie:

        Błąd aplikacji Userinit.exe. Aplikacja nie została właściwie zainicjowana 0xc0000142 kliknij przycisk OK, aby zakończyć aplikację.

      • Systemu Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Użytkownicy, których komputery są uruchomione w systemie Windows NT 4.0, Windows 2000, Windows XP lub Windows Server 2003 nie można uzyskać dostęp do udostępnionych folderów lub plików w folderach udostępnionych i może odbierać komunikaty o błędach "Odmowa dostępu", jeżeli nie udzielono im pominąć przy przechodzeniu przez folder Sprawdzanie prawa użytkownika.


        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

        "Odmowa dostępu" komunikat o błędzie przy próbie uzyskania dostępu do udostępnionych folderów
         

      • Systemu Windows NT 4.0: Na komputerach z systemem Windows NT 4.0 usunięcie prawa użytkownika Obejdź sprawdzanie przy przechodzeniu przez folder spowoduje strumieni plików podczas kopiowania plików. Jeśli usuniesz to prawo użytkownika, gdy plik jest kopiowany do kontrolera domeny systemu Windows NT 4.0, w którym są uruchomione usługi dla komputerów Macintosh z klientem systemu Windows lub komputer kliencki Macintosh, strumienia pliku docelowego zostaną utracone, a plik jest widoczny jako plik tekstowy.

      • Microsoft Windows 95, Microsoft Windows 98: Na komputerze klienckim, na którym jest uruchomiony system Windows 95 lub Windows 98 net użycia * / home polecenie zakończy się niepowodzeniem z komunikatem o błędzie "Odmowa dostępu", jeśli grupie Użytkownicy uwierzytelnieni nie przyznano prawo użytkownika Obejdź sprawdzanie przy przechodzeniu przez folder .

      • Program outlook Web Access: Użytkownicy niebędący administratorami nie będzie mógł zalogować się do programu Microsoft Outlook Web Access i otrzymają komunikat o błędzie "Odmowa dostępu", jeśli nie są one przyznane prawo użytkownika Obejdź sprawdzanie przy przechodzeniu przez folder .

Ustawienia zabezpieczeń

Poniższa lista zawiera ustawienia zabezpieczeń, a Lista zagnieżdżona dostarcza opis ustawienie zabezpieczeń, identyfikuje ustawienia konfiguracji, które mogą powodować problemy, opisuje, dlaczego należy zastosować ustawienia zabezpieczeń i opisano przyczyny, dlaczego może chcesz usunąć ustawienie zabezpieczeń. Lista zagnieżdżona następnie udostępnia Symboliczna nazwa ścieżki rejestru ustawienie zabezpieczeń i ustawienia zabezpieczeń. Wreszcie przedstawione przykłady problemów ze zgodnością, które mogą wystąpić podczas skonfigurowano ustawienie zabezpieczeń.

  1. Inspekcja: Zamknij system natychmiast, jeśli nie można rejestrować wyników inspekcji

    1. Tło

      • Inspekcja: Zamknij system natychmiast, jeśli nie można rejestrować wyników inspekcji ustawienie określa, czy system jest zamykany, jeśli nie można zarejestrować zdarzeń zabezpieczeń. To ustawienie jest wymagane dla oceny C2 programu zaufanego komputera zabezpieczeń oceny kryteriów (CRITERIA) oraz wspólnych kryteriów oceny bezpieczeństwa technologii informacyjnych zapobiec występowaniu zdarzeń podlegających inspekcji, jeśli system inspekcji nie mogą być rejestrowane zdarzenia. W przypadku awarii systemu inspekcji, system jest zamknięty i jest wyświetlany komunikat o błędzie zatrzymania.

      • Jeśli komputer nie może rejestrować zdarzenia w dzienniku zabezpieczeń, krytycznych dowodów lub ważnych informacji dotyczących rozwiązywania problemów może nie być dostępne do przeglądu po incydencie dotyczącym zabezpieczeń.

    2. Konfiguracja ryzykowna

      Ustawienie konfiguracji szkodliwych jest następujące: Inspekcja: Zamknij system natychmiast, jeśli nie można rejestrować wyników inspekcji opcja jest włączona, a rozmiar dziennika zdarzeń zabezpieczeń jest ograniczony przez Nie zastępuj zdarzeń (ręczne czyszczenie dziennika) opcję Zastąp zdarzenia w razie potrzeby , opcję lub opcję Zastąp zdarzenia starsze niż Liczba dni w Podglądzie zdarzeń. Zobacz sekcję "Przykłady problemów ze zgodnością", aby uzyskać informacje o określonych zagrożeniach dla komputerów z systemem oryginalnie opublikowaną wersją systemu Windows 2000, dodatku Service Pack 1 (SP1) dla systemu Windows 2000, Windows 2000 z dodatkiem SP2 lub Windows 2000 z dodatkiem SP3.

    3. Przyczyny włączenia tego ustawienia

      Jeśli komputer nie może rejestrować zdarzenia w dzienniku zabezpieczeń, krytycznych dowodów lub ważnych informacji dotyczących rozwiązywania problemów może nie być dostępne do przeglądu po incydencie dotyczącym zabezpieczeń.

    4. Przyczyny wyłączenia tego ustawienia

      • Włączanie Inspekcja: Zamknij system natychmiast, jeśli nie można rejestrować wyników inspekcji ustawienie zatrzymuje system, jeśli nie można rejestrować wyników inspekcji z jakiegokolwiek powodu. Zazwyczaj nie można zarejestrować zdarzenia, gdy dziennik inspekcji zabezpieczeń jest pełny, a jeśli wybraną metodą przechowywania jest opcja Nie zastępuj zdarzeń (ręczne czyszczenie dziennika) lub opcję Zastąp zdarzenia starsze niż Liczba dni .

      • Obciążenia administracyjne umożliwiające Inspekcja: Zamknij system natychmiast, jeśli nie można rejestrować wyników inspekcji ustawienie może być bardzo duży, zwłaszcza jeśli również włączyć opcję Nie zastępuj zdarzeń (ręczne czyszczenie dziennika) w dzienniku zabezpieczeń. Ustawienie to zapewnia możliwość indywidualnego rozliczania działań operatora. Na przykład administrator może Resetuj uprawnienia na wszystkich użytkowników, komputerów i grup w jednostce organizacyjnej (OU), której inspekcje zostały włączone za pomocą wbudowanego konta administratora lub innego konta udostępnionego, a następnie zaprzeczyć, że zresetowali oni te uprawnienia. Jednak włączenie ustawienia zmniejszenia odporności systemu, ponieważ serwer może być zmuszony do zamknięcia, zalewając go zdarzeniami logowania i innymi zdarzeniami zabezpieczeń, które są zapisywane w dzienniku zabezpieczeń. Ponadto ponieważ zamknięcie nie przebiega łagodnie, może spowodować nieodwracalne uszkodzenia systemu operacyjnego, programów lub danych. System plików NTFS gwarantuje zachowanie integralności systemu plików podczas nieprawidłowego zamknięcia systemu, nie może zagwarantować, że wszystkie pliki danych każdego z programów będą nadal użyteczne po ponownym uruchomieniu systemu.

    5. Nazwa symboliczna:

      CrashOnAuditFail

    6. Ścieżka rejestru:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

    7. Przykłady problemów ze zgodnością

      • Systemu Windows 2000: Z powodu błędu komputerów z systemem oryginalnie opublikowaną wersją systemu Windows 2000, Windows 2000 z dodatkiem SP1, Windows 2000 z dodatkiem SP2 lub dodatek SP3 dla systemu Windows Server może przestać rejestrować zdarzenia przed rozmiaru określonego w opcji Maksymalny rozmiar dziennika zabezpieczeń Dziennik zdarzeń zostanie osiągnięty. Ten problem został rozwiązany w dodatku Service Pack 4 (SP4) dla systemu Windows 2000. Upewnij się, że kontrolerów domeny systemu Windows 2000 jest zainstalowany przed włączeniem tego ustawienia Windows 2000 z dodatkiem Service Pack 4.

        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

        dziennik zdarzeń przerywa rejestrowanie zdarzeń przed osiągnięciem maksymalnego rozmiaru dziennika
         

      • Systemu Windows 2000, Windows Server 2003: Komputery z systemem Windows 2000 lub Windows Server 2003 może przestać odpowiadać, a następnie samoistnie uruchomić się ponownie Jeśli Inspekcja: Zamknij system natychmiast, jeśli nie można rejestrować wyników inspekcji ustawienie jest włączone, dziennik zabezpieczeń jest pełny, a istniejący Nie można zastąpić wpisu dziennika zdarzeń. Po ponownym uruchomieniu komputera pojawia się następujący komunikat o błędzie:

        STOP: C0000244 {Inspekcja nie powiodła się}
        Próba wygenerowania inspekcji zabezpieczeń nie powiodła się.

        Aby odzyskać, administrator musi zalogować, zarchiwizować dziennik zabezpieczeń (opcjonalnie), wyczyścić dziennik zabezpieczeń i następnie zresetować tę opcję (opcjonalnie i w razie potrzeby).

      • Oprogramowanie klienckie Microsoft Network dla systemu MS-DOS, Windows 95, Windows 98, systemu Windows NT 4.0, system Windows 2000, Windows XP, systemu Windows Server 2003: Użytkownikom nie będącym administratorami, którzy próbują zalogować się do domeny będzie wyświetlany następujący komunikat o błędzie:

        Twoje konto jest skonfigurowane do uniemożliwia korzystanie z tego komputera. Spróbuj użyć innego komputera.

      • Systemu Windows 2000: Na komputerach z systemem Windows 2000 użytkownicy inni niż administratorzy nie będzie mógł logować się z serwerami dostępu zdalnego, a otrzymają komunikat o błędzie podobny do następującego:

        Nieznany użytkownik lub nieprawidłowe hasło

        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

        komunikat o błędzie: Twoje konto jest skonfigurowane do uniemożliwia korzystanie z tego komputera
         

      • Systemu Windows 2000: Na kontrolerach domeny systemu Windows 2000 usługa Komunikacja międzylokacyjna (Ismserv.exe) zostanie przerwane i nie może zostać uruchomiony ponownie. Program DCDIAG będzie zgłaszał błąd jak "Niepowodzenie usług testowych ISMserv", a w dzienniku zdarzeń będzie zarejestrowany identyfikator zdarzenia 1083.

      • Systemu Windows 2000: Na kontrolerach domeny systemu Windows 2000 replikacji usługi Active Directory zakończy się niepowodzeniem i zostanie wyświetlony komunikat "Odmowa dostępu", jeśli dziennika zdarzeń zabezpieczeń jest zapełniony.

      • Programu Microsoft Exchange 2000: Serwerów z systemem Exchange 2000 nie będzie mógł zainstalować bazy danych magazynu informacji, a zdarzenie 2102 zostanie zarejestrowany w dzienniku zdarzeń.

      • Programu outlook, Outlook Web Access: Użytkownicy niebędący administratorami nie będzie mógł mieć dostępu do poczty za pośrednictwem programu Microsoft Outlook lub Microsoft Outlook Web Access i jest wyświetlany błąd 503.

  2. Kontroler domeny: wymagania podpisywania serwera LDAP

    1. Tło

      Kontroler domeny: wymagania podpisywania serwera LDAP ustawienie zabezpieczeń określa, czy serwer Lightweight Directory Access Protocol (LDAP) wymaga od klientów LDAP negocjowania podpisywania danych. Możliwe wartości dla tego ustawienia zasad są następujące:

      • None: Podpisywanie danych nie jest wymagane do powiązania z serwerem. Jeśli klient zażąda podpisywania danych, serwer je obsługuje.

      • Wymagaj podpisywania: Opcja podpisywania danych LDAP musi być negocjowana, chyba że używana jest Transport Layer Security/Secure Socket Layer (TLS/SSL).

      • nie zdefiniowano: To ustawienie nie jest włączone lub wyłączone.

    2. Konfiguracje ryzykowne

      Dostępne są następujące ustawienia konfiguracji szkodliwe:

      • Włączenie opcji Wymagaj podpisywania w środowiskach gdzie klienci nie obsługują podpisywania LDAP lub gdzie podpisywanie LDAP po stronie klienta nie jest włączone na komputerze klienckim

      • Stosowanie systemu Windows 2000 lub szablonu zabezpieczeń Hisecdc.inf programu Windows Server 2003 w środowiskach, gdzie klienci nie obsługują podpisywania LDAP lub gdzie podpisywanie LDAP po stronie klienta nie jest włączone

      • Stosowanie systemu Windows 2000 lub szablonu zabezpieczeń Hisecws.inf programu Windows Server 2003 w środowiskach, gdzie klienci nie obsługują podpisywania LDAP lub gdzie podpisywanie LDAP po stronie klienta nie jest włączone

    3. Przyczyny włączenia tego ustawienia

      Niepodpisany ruch sieciowy jest podatny na ataki man-in--middle, których intruz przechwytuje pakiety między klientem a serwerem, modyfikuje pakiety i przekazuje je do serwera. Jeśli zdarzy się to na serwerze LDAP, napastnik może spowodować, że serwer będzie podejmował decyzje oparte na fałszywych kwerendach z klienta LDAP. Tego ryzyka w sieci firmowej można zmniejszyć, wdrażając skuteczne zabezpieczenia fizyczne chroniące infrastrukturę sieci. Zabezpieczenia protokołu internetowego (IPSec) w trybie nagłówka uwierzytelniania może pomóc w zapobieganiu atakom man-in--middle. W trybie nagłówka uwierzytelniania jest wykonywane wzajemne uwierzytelnienie, które pozwala utrzymać integralność pakietów w ruchu IP.

    4. Przyczyny wyłączenia tego ustawienia

      • Klienci, którzy nie obsługują podpisywania LDAP, nie będzie w stanie wykonywać kwerend LDAP na kontrolerach domeny i wykazach globalnych, jeśli uwierzytelnienie NTLM jest negocjowane i na kontrolerach domeny systemu Windows 2000 nie są zainstalowane poprawne dodatki service pack.

      • Ślady sieciowe ruchu LDAP między klientami a serwerami będą zaszyfrowane. Utrudnia badanie konwersacji LDAP.

      • Zainstalowany podawanego za pomocą programów, że wsparcie podpisywanie LDAP, które są uruchamiane na komputerach klienckich systemu Windows 2000 z dodatkiem SP4, Windows XP lub Windows Server 2003 z serwerami z systemem Windows 2000 lub musi mieć dodatek Service Pack 3 (SP3) dla systemu Windows 2000. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

        Kontrolery domeny Windows 2000 wymagają dodatku SP3 lub nowszego w przypadku użycia narzędzi administracyjnych systemu Windows Server 2003
         

    5. Nazwa symboliczna:

      LDAPServerIntegrity

    6. Ścieżka rejestru:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

    7. Przykłady problemów ze zgodnością

      • Niepowodzenie prostego powiązania i otrzymasz następujący komunikat o błędzie:

        Ldap_simple_bind_s() nie powiodło się: wymagane jest silne uwierzytelnianie.

      • Systemu Windows 2000 z dodatkiem Service Pack 4, Windows XP i Windows Server 2003: Na klientach z systemem Windows 2000 z dodatkiem SP4, Windows XP lub Windows Server 2003, niektóre narzędzia administracyjne usługi Active Directory nie będzie działać prawidłowo z kontrolerów domeny, na których są uruchomione wersje systemu Windows 2000 starszych niż z dodatkiem SP3 podczas uwierzytelniania NTLM Uwierzytelnienie jest negocjowane.

        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

        Kontrolery domeny Windows 2000 wymagają dodatku SP3 lub nowszego w przypadku użycia narzędzi administracyjnych systemu Windows Server 2003
         

      • Systemu Windows 2000 z dodatkiem Service Pack 4, Windows XP i Windows Server 2003: Na klientach z systemem Windows 2000 z dodatkiem SP4, Windows XP lub Windows Server 2003, niektóre narzędzia administracyjne usługi Active Directory ukierunkowanego kontrolerów domeny, na których są uruchomione wersje systemu Windows 2000 które są wcześniejsze niż z dodatkiem SP3 nie będą działały poprawnie, jeśli są one z adresami IP (na przykład "dsa.msc/Server =x.x.x.x" gdzie
        adres IP jest x.x.x.x ).


        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

        Kontrolery domeny Windows 2000 wymagają dodatku SP3 lub nowszego w przypadku użycia narzędzi administracyjnych systemu Windows Server 2003
         

      • Systemu Windows 2000 z dodatkiem Service Pack 4, Windows XP i Windows Server 2003: Na klientach z systemem Windows 2000 z dodatkiem SP4, Windows XP lub Windows Server 2003, niektóre narzędzia administracyjne usługi Active Directory obiektu docelowego kontrolerów domeny, na których są uruchomione wersje systemu Windows 2000 które są wcześniejsze niż z dodatkiem SP3 nie będą działały poprawnie.

        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

        Kontrolery domeny Windows 2000 wymagają dodatku SP3 lub nowszego w przypadku użycia narzędzi administracyjnych systemu Windows Server 2003
         

  3. Członek domeny: Wymagaj silnego klucza sesji (system Windows 2000 lub nowszy)

    1. Tło

      • Członek domeny: Wymagaj silnego klucza sesji (system Windows 2000 lub nowszy) ustawienie określa, czy może być ustanowiony bezpieczny kanał dla kontrolera domeny, który nie może szyfrować ruchu w bezpiecznym kanale przy użyciu klucza sesji silnego, 128-bitowego. Włączenie tego ustawienia uniemożliwia ustanowienie bezpiecznego kanału z dowolnym kontrolerem domeny, który nie może szyfrować dane przesyłane bezpiecznym kanałem przy użyciu silnego klucza. Wyłączenie tego ustawienia umożliwia 64-bitowych kluczy sesji.

      • Aby można było włączyć to ustawienie na członkowskiej stacji roboczej lub na serwerze, wszystkie kontrolery domeny w domenie, do której należy członek, aby musi być w stanie szyfrować dane przesyłane bezpiecznym kanałem przy użyciu silnego, 128-bitowego klucza. Oznacza to, że wszystkich takich kontrolerach domeny musi być systemem Windows 2000 lub nowszy.

    2. Konfiguracja ryzykowna

      Włączanie Członek domeny: Wymagaj silnego klucza sesji (system Windows 2000 lub nowszy) jest ustawienie konfiguracji szkodliwych.

    3. Przyczyny włączenia tego ustawienia

      • Klucze sesji, które są używane do ustanowienia komunikacji w bezpiecznym kanale między komputerami Członkowskimi a kontrolerami domeny są o wiele silniejsze w systemie Windows 2000, niż w starszych wersjach systemów operacyjnych firmy Microsoft.

      • Gdy jest to możliwe, jest dobrym pomysłem, aby skorzystać z tych silniejsze klucze sesji, aby chronić komunikację w bezpiecznym kanale przed podsłuchiwaniem i porywaniem sesji. Podsłuchiwanie to rodzaj ataku, gdzie dane sieciowe jest odczytywane lub modyfikowane podczas przesyłania. Dane można modyfikować, aby ukryć lub zmienić nadawcę albo zmienić.

      Ważne Komputerze, na którym jest uruchomiony system Windows Server 2008 R2 lub Windows 7 obsługuje tylko silne klucze, gdy używane są bezpieczne kanały. To ograniczenie zapobiega relacji zaufania między dowolnej domeny z systemem Windows NT 4.0 i wszystkie domeny z systemem Windows Server 2008 R2. Ponadto ograniczenie to blokuje członkostwo w domenie systemu Windows NT 4.0, na komputerach z systemem Windows 7 lub Windows Server 2008 R2, i na odwrót.

    4. Przyczyny wyłączenia tego ustawienia

      Domena zawiera komputery Członkowskie, na których są uruchomione systemy operacyjne inne niż Windows 2000, Windows XP lub Windows Server 2003.

    5. Nazwa symboliczna:

      StrongKey

    6. Ścieżka rejestru:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

    7. Przykłady problemów ze zgodnością

      Systemu Windows NT 4.0: Na komputerach z systemem Windows NT 4.0 zresetować bezpiecznych kanałów relacji zaufania między domenami systemu Windows 2000 przy użyciu polecenia NLTEST i Windows NT 4.0 nie powiedzie się. Pojawia się komunikat o błędzie "Odmowa dostępu":

      Relacje zaufania między domeną podstawową a domeną zaufaną nie powiodło się.

      Windows 7 i Server 2008 R2: Dla systemu Windows 7 i nowszych wersjach i Windows Server 2008 R2 i nowszych wersjach to ustawienie nie jest honorowane dłużej i silnego klucza jest używany zawsze. Z tego powodu relacje zaufania z domenami systemu Windows NT 4.0 nie działają już.

  4. Członek domeny: szyfruj cyfrowo dane bezpiecznego kanału (zawsze)

    1. Tło

      • Włączanie Członek domeny: szyfruj cyfrowo dane bezpiecznego kanału (zawsze) uniemożliwia ustanowienie bezpiecznego kanału z dowolnym kontrolerem domeny, który nie może zarejestrować lub szyfrowania wszystkich danych bezpiecznego kanału. Do ochrony ruchu uwierzytelniania przed atakami man-in--middle, włamania i inne rodzaje ataków sieciowych, komputery z systemem Windows utwórz kanał komunikacyjny, który jest znany jako bezpieczny kanał poprzez usługę Logowanie do sieci uwierzytelnianie kont komputerów. Bezpieczne kanały są również używane, gdy użytkownik w jednej domenie łączy się z zasobem sieciowym w domenie zdalnej. Takie uwierzytelnienie lub uwierzytelnianie przechodnie, pozwala komputera opartych na systemie Windows, które przyłączyły się do dostępu do bazy danych kont użytkowników w danej domenie i w każdej innej zaufanej domenie.

      • Aby włączyć Członek domeny: szyfruj cyfrowo dane bezpiecznego kanału (zawsze) ustawienie na komputerze Członkowskim, wszystkie kontrolery domeny w domenie, do której należy członek, aby musi mieć możliwość podpisywania lub szyfrowania wszystkich danych bezpiecznego kanału. Oznacza to, że wszystkie takie kontrolery domeny musi być systemem Windows NT 4.0 z dodatkiem Service Pack 6a (SP6a) lub nowszym.

      • Włączanie Członek domeny: szyfruj cyfrowo dane bezpiecznego kanału (zawsze) ustawienie automatycznie włącza Członek domeny: szyfruj cyfrowo dane bezpiecznego kanału (jeśli możliwe) ustawienie.

    2. Konfiguracja ryzykowna

      Włączanie Członek domeny: szyfruj cyfrowo dane bezpiecznego kanału (zawsze) w domenach, gdzie nie wszystkie kontrolery domeny mogą podpisywać lub szyfrować dane przesyłane bezpiecznym kanałem jest ustawienie konfiguracji szkodliwych.

    3. Przyczyny włączenia tego ustawienia

      Niepodpisany ruch sieciowy jest podatny na ataki man-in--middle, których intruz przechwytuje pakiety między serwerem a klientem, a następnie je modyfikuje przed przesłaniem ich do klienta. Jeśli zdarzy się to na serwerze Lightweight Directory Access Protocol (LDAP), intruz może spowodować klient będzie podejmował decyzje oparte na fałszywych rekordach z katalogu LDAP. Zagrożenie takimi atakami w sieci firmowej można zmniejszyć, wdrażając skuteczne zabezpieczenia fizyczne chroniące infrastrukturę sieci. Ponadto realizacji zabezpieczenia protokołu internetowego (IPSec) w trybie nagłówka uwierzytelniania może pomóc w zapobieganiu atakom man-in--middle. W tym trybie jest wykonywane wzajemne uwierzytelnienie, które pozwala utrzymać integralność pakietów w ruchu IP.

    4. Przyczyny wyłączenia tego ustawienia

      • Komputery w lokalnej i domenach zewnętrznych obsługują szyfrowane bezpieczne kanały.

      • Nie wszystkie kontrolery domeny w domenie mają poziom wersji odpowiednie service pack obsługują szyfrowane bezpieczne kanały.

    5. Nazwa symboliczna:

      StrongKey

    6. Ścieżka rejestru:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

    7. Przykłady problemów ze zgodnością

      • Systemu Windows NT 4.0: Komputery z systemem Windows 2000 nie można przyłączyć się do domen systemu Windows NT 4.0 i zostanie następujący komunikat o błędzie:

        Konto nie ma uprawnień do logowania z tej stacji.

        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

        komunikat o błędzie: konto nie ma uprawnień do logowania z tej stacji
         

      • Systemu Windows NT 4.0: Domenami systemu Windows NT 4.0 nie będzie mógł ustanowić zaufania niskiego poziomu z domeną systemu Windows 2000 i zostanie następujący komunikat o błędzie:

        Konto nie ma uprawnień do logowania z tej stacji.

        Istniejące zaufania niskiego poziomu mogą nie uwierzytelniać użytkowników z domeny zaufanej. Niektórzy użytkownicy mogą mieć trudności z zalogowaniem się do domeny i może zostać wyświetlony komunikat o błędzie z informacją, że klient nie może odnaleźć domeny.

      • Systemu Windows XP: Klientów systemu Windows XP, które są przyłączone do domeny systemu Windows NT 4.0 nie będzie w stanie uwierzytelnić prób logowania i może zostać wyświetlony następujący komunikat o błędzie lub mogą być zarejestrowane następujące zdarzenia w dzienniku zdarzeń:

        System Windows nie może połączyć się z domeną, ponieważ kontroler domeny jest wyłączony lub jest niedostępny z innego albo nie znaleziono konta tego komputera

      • Sieci firmy Microsoft: Klienci Microsoft Network zostanie wyświetlony jeden z następujących komunikatów o błędach:

        Błąd logowania: Nieznana nazwa użytkownika lub nieprawidłowe hasło.

        Istnieje klucza sesji użytkownika dla określonej sesji logowania.

  5. Klient sieci Microsoft: podpisuj cyfrowo komunikację (zawsze)

    1. Tło

      Blok komunikatów serwera (SMB) to protokół udostępniania zasobów, który jest obsługiwany przez wiele systemów operacyjnych firmy Microsoft. Jest to podstawa podstawowego sieciowego systemu wejścia/wyjścia (NetBIOS) i wielu innych protokołów. Podpisywanie SMB uwierzytelnia zarówno użytkownika, jak i serwer, który obsługuje dane. Jeśli proces uwierzytelniania po obu stronach nie powiedzie się, transmisja danych nie nastąpi.

      Włączenie podpisywania SMB następuje podczas negocjowania protokołu SMB. Zasady podpisywania SMB określają, czy komputer ma zawsze dokonywane cyfrowe podpisywanie komunikacji z klientem.

      Protokół uwierzytelniania SMB systemu Windows 2000 obsługuje uwierzytelnianie wzajemne. Uwierzytelnianie wzajemne atakom typu "man-in--middle". Protokół uwierzytelniania SMB systemu Windows 2000 obsługuje również uwierzytelnianie wiadomości. Uwierzytelnianie wiadomości pozwala łatwiej zapobiegać atakom aktywnych wiadomości. Aby zapewnić takie uwierzytelnianie, protokół SMB umieszcza podpis cyfrowy w każdym pakiecie SMB. Klient, jak i serwer weryfikowania podpisu cyfrowego.

      Aby korzystać z podpisywania SMB, należy włączyć podpisywanie SMB lub zażądać podpisywania SMB na klienta SMB i serwera SMB. Jeśli podpisywanie SMB jest włączone na serwerze, klienci, których również włączono podpisywanie SMB, używają protokołu podpisywania pakietów podczas wszystkich kolejnych sesji. Jeśli podpisywanie SMB jest wymagane na serwerze, klient może ustanowić sesję, chyba, że klient jest włączone lub wymagane dla podpisywania SMB.


      Włączenie podpisywania cyfrowego w sieciach o wysokim poziomie zabezpieczeń ułatwia ochronę przed personifikacją klientów i serwerów. Ten typ personifikacji jest znany jako porywaniem sesji. Osoba atakująca, która ma dostęp do tej samej sieci co klient lub serwer używa narzędzia na przejmowaniu sesji w celu przerwania, rozłączenia lub trwającej sesji. Osoba atakująca może przechwycić i zmodyfikować niepodpisane pakiety SBM, zmodyfikować ruch a następnie przesłać go dalej, aby serwer wykonał niepożądane akcje. Lub atakujący może występować jako serwer lub klient po właściwym uwierzytelnieniu i uzyskać nieautoryzowany dostęp do danych.

      Protokół SMB, który jest używany do udostępniania plików i udostępniania drukarek na komputerach z systemem Windows 2000 Server, Windows 2000 Professional, Windows XP Professional lub Windows Server 2003 obsługuje wzajemne uwierzytelnianie. Wzajemne uwierzytelnianie uniemożliwia porywanie sesji i obsługuje uwierzytelnianie wiadomości. W związku z tym zapobiega atakom man-in--middle. Podpisywanie SMB zapewnia to uwierzytelnienie, umieszczając podpis cyfrowy w każdym pakiecie SMB. Klient i serwer następnie zweryfikować podpisu.

      Uwagi

      • Alternatywnym środkiem zapobiegawczym można włączyć podpisy cyfrowe z protokołem IPSec, aby chronić cały ruch sieciowy. Istnieje akceleratorów sprzętowych protokołu IPSec szyfrowania i podpisywania, którego można użyć, aby zminimalizować wpływ na wydajność procesora serwera. Nie istnieją żadne akceleratorów, które są dostępne dla podpisywania SMB.

        Aby uzyskać więcej informacji zobacz rozdział w witrynie sieci Web Microsoft MSDN.

        Skonfigurować podpisywanie SMB za pomocą Edytora obiektów zasady grupy, ponieważ zmiana wartości rejestru lokalnego nie przyniesie efektu, jeśli istnieje zastępująca ją zasada domeny.

      • W systemie Windows 95, Windows 98 i Windows 98 Wydanie drugie klient usług katalogowych używa podpisywania SMB podczas uwierzytelniania z serwerami systemu Windows Server 2003 za pomocą uwierzytelniania NTLM. Jednak te klienci nie używają podpisywania SMB podczas uwierzytelniania z tymi serwerami za pomocą uwierzytelniania NTLMv2. Ponadto serwery systemu Windows 2000 nie odpowiadają na żądania podpisywania SMB od tych klientów. Aby uzyskać więcej informacji, zobacz element 10: "zabezpieczenia sieci: poziom uwierzytelniania Lan Manager."

    2. Konfiguracja ryzykowna

      Ustawienie konfiguracji szkodliwych jest następujące: pozostawiając zarówno Klient sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) ustawienie i Klient sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą serwera) ustawienie " Nie zdefiniowano"lub wyłączony. Te ustawienia umożliwiają readresator wysyłać hasła w formacie zwykłego tekstu do serwerów SMB innych firm niż Microsoft, które nie obsługują szyfrowania hasła podczas uwierzytelniania.

    3. Przyczyny włączenia tego ustawienia

      Włączanie Klient sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) wymaga od klientów podpisywania ruchu SMB podczas kontaktowania się z serwerami, które nie wymagają podpisywania SMB. Dzięki temu klienci są mniej podatni na przejmowanie sesji.

    4. Przyczyny wyłączenia tego ustawienia

      • Włączanie Klient sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) uniemożliwia klientom komunikowanie się z serwerami docelowymi, które nie obsługują podpisywania SMB.

      • Konfigurowanie komputerów, aby zignorować wszystkie komunikację bez podpisów SMB uniemożliwia starszych programów i systemów operacyjnych połączenie.

    5. Nazwa symboliczna:

      RequireSMBSignRdr

    6. Ścieżka rejestru:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

    7. Przykłady problemów ze zgodnością

      • Systemu Windows NT 4.0: Nie można zresetować bezpiecznego kanału zaufania między domeną systemu Windows Server 2003 i domeny systemu Windows NT 4.0 przy użyciu polecenia NLTEST lub NETDOM i zostanie wyświetlony komunikat o błędzie "Odmowa dostępu".

      • Systemu Windows XP: Kopiowanie plików z systemu Windows XP klientów do serwerów z systemem Windows 2000 i serwery z systemem Windows Server 2003 może zająć więcej czasu.

      • Nie będziesz w stanie Mapuj dysk sieciowy od klienta, to ustawienie jest włączone, a otrzymasz następujący komunikat o błędzie:

        Konto nie ma uprawnień do logowania z tej stacji.

    8. Wymagania dotyczące ponownego uruchamiania

      Ponownie uruchom komputer lub ponownie uruchomić usługę Stacja robocza. Aby to zrobić, wpisz następujące polecenia w wierszu poleceń. Naciśnij klawisz Enter po wpisaniu każdego polecenia.

      polecenie net stop stacji roboczej
      polecenie net start workstation

  6. Serwer sieci Microsoft: podpisuj cyfrowo komunikację (zawsze)

    1. Tło

      • Server Messenger Block (SMB) to protokół udostępniania zasobów, który jest obsługiwany przez wiele systemów operacyjnych firmy Microsoft. Jest to podstawa podstawowego sieciowego systemu wejścia/wyjścia (NetBIOS) i wielu innych protokołów. Podpisywanie SMB uwierzytelnia zarówno użytkownika, jak i serwer, który obsługuje dane. Jeśli proces uwierzytelniania po obu stronach nie powiedzie się, transmisja danych nie nastąpi.

        Włączenie podpisywania SMB następuje podczas negocjowania protokołu SMB. Zasady podpisywania SMB określają, czy komputer ma zawsze dokonywane cyfrowe podpisywanie komunikacji z klientem.

        Protokół uwierzytelniania SMB systemu Windows 2000 obsługuje uwierzytelnianie wzajemne. Uwierzytelnianie wzajemne atakom typu "man-in--middle". Protokół uwierzytelniania SMB systemu Windows 2000 obsługuje również uwierzytelnianie wiadomości. Uwierzytelnianie wiadomości pozwala łatwiej zapobiegać atakom aktywnych wiadomości. Aby zapewnić takie uwierzytelnianie, protokół SMB umieszcza podpis cyfrowy w każdym pakiecie SMB. Klient, jak i serwer weryfikowania podpisu cyfrowego.

        Aby korzystać z podpisywania SMB, należy włączyć podpisywanie SMB lub zażądać podpisywania SMB na klienta SMB i serwera SMB. Jeśli podpisywanie SMB jest włączone na serwerze, klienci, których również włączono podpisywanie SMB, używają protokołu podpisywania pakietów podczas wszystkich kolejnych sesji. Jeśli podpisywanie SMB jest wymagane na serwerze, klient może ustanowić sesję, chyba, że klient jest włączone lub wymagane dla podpisywania SMB.


        Włączenie podpisywania cyfrowego w sieciach o wysokim poziomie zabezpieczeń ułatwia ochronę przed personifikacją klientów i serwerów. Ten typ personifikacji jest znany jako porywaniem sesji. Osoba atakująca, która ma dostęp do tej samej sieci co klient lub serwer używa narzędzia na przejmowaniu sesji w celu przerwania, rozłączenia lub trwającej sesji. Osoba atakująca może przechwycić i zmodyfikować niepodpisane pakiety Menedżer przepustowości podsieci (SBM), zmodyfikować ruch a następnie przesłać go dalej, aby serwer wykonał niepożądane akcje. Lub atakujący może występować jako serwer lub klient po właściwym uwierzytelnieniu i uzyskać nieautoryzowany dostęp do danych.

        Protokół SMB, który jest używany do udostępniania plików i udostępniania drukarek na komputerach z systemem Windows 2000 Server, Windows 2000 Professional, Windows XP Professional lub Windows Server 2003 obsługuje wzajemne uwierzytelnianie. Wzajemne uwierzytelnianie uniemożliwia porywanie sesji i obsługuje uwierzytelnianie wiadomości. W związku z tym zapobiega atakom man-in--middle. Podpisywanie SMB zapewnia to uwierzytelnienie, umieszczając podpis cyfrowy w każdym pakiecie SMB. Klient i serwer następnie zweryfikować podpisu.

      • Alternatywnym środkiem zapobiegawczym można włączyć podpisy cyfrowe z protokołem IPSec, aby chronić cały ruch sieciowy. Istnieje akceleratorów sprzętowych protokołu IPSec szyfrowania i podpisywania, którego można użyć, aby zminimalizować wpływ na wydajność procesora serwera. Nie istnieją żadne akceleratorów, które są dostępne dla podpisywania SMB.

      • W systemie Windows 95, Windows 98 i Windows 98 Wydanie drugie klient usług katalogowych używa podpisywania SMB podczas uwierzytelniania z serwerami systemu Windows Server 2003 za pomocą uwierzytelniania NTLM. Jednak te klienci nie używają podpisywania SMB podczas uwierzytelniania z tymi serwerami za pomocą uwierzytelniania NTLMv2. Ponadto serwery systemu Windows 2000 nie odpowiadają na żądania podpisywania SMB od tych klientów. Aby uzyskać więcej informacji, zobacz element 10: "zabezpieczenia sieci: poziom uwierzytelniania Lan Manager."

    2. Konfiguracja ryzykowna

      Ustawienie konfiguracji szkodliwych jest następujące: Włączanie serwer sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) na serwerach i na kontrolerach domeny, które są udostępniane przez niezgodne komputery z systemem Windows i innych firm komputery klienckie oparte na systemie operacyjnym w lokalnej i domenach zewnętrznych.

    3. Przyczyny włączenia tego ustawienia

      • Wszystkie komputery klienckie, które włączają to ustawienie bezpośrednio przez rejestr lub ustawienie zasady grupy, obsługują podpisywanie SMB. Innymi słowy wszystkich komputerów klienckich, które mają to ustawienie jest włączone uruchomiony system Windows 95 z zainstalowanym klientem DS, system Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional lub Windows Server 2003.

      • Jeśli serwer sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) jest wyłączone, podpisywanie SMB jest całkowicie wyłączone. Całkowite wyłączenie wszystkich SMB podpisywania sprawia, że komputery będą bardziej podatne na przejmowanie sesji.

    4. Przyczyny wyłączenia tego ustawienia

      • Włączenie tego ustawienia może spowodować wolniejsze pliku kopii i wydajność sieci na kliencie komputerów.

      • Włączenie tego ustawienia uniemożliwi klientom, które nie mogą negocjować podpisywania komunikowanie się z serwerami i kontrolerami domeny SMB. Powoduje to, że operacje, takie jak przyłączanie do domen, uwierzytelnianie użytkowników i komputerów lub dostępu do sieci przez programy nie powiedzie się.

    5. Nazwa symboliczna:

      RequireSMBSignServer

    6. Ścieżka rejestru:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

    7. Przykłady problemów ze zgodnością

      • Systemu Windows 95: Klienci systemu Windows 95, które nie jest zainstalowany klient usług katalogowych (DS) Niepowodzenie uwierzytelnienia logowania i jest wyświetlany następujący komunikat o błędzie:

        Hasło domeny, Przeslana jest niepoprawne lub odmówiono dostępu do serwera logowania.

        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

        komunikat o błędzie podczas logowania klienta systemu Windows 95 lub Windows NT 4.0 do domeny systemu Windows Server 2003
         

      • Systemu Windows NT 4.0: Komputery klienckie, na których są uruchomione wersje systemu Windows NT 4.0 które są wcześniejsze niż dodatek Service Pack 3 (SP3) Niepowodzenie uwierzytelnienia logowania i otrzymasz następujący komunikat o błędzie:

        System może nie zalogowanie. Upewnij się, Twoja nazwa użytkownika i domena są poprawne, a następnie wpisz hasło ponownie.

        Niektóre serwery SMB innych firm niż Microsoft obsługują tylko wymianę niezaszyfrowanych haseł podczas uwierzytelniania. (Te wymiany są nazywane także wymiany "zwykły tekst".) Dla systemu Windows NT 4.0 SP3 i nowszych wersji readresator SMB nie wysyła niezaszyfrowane hasło podczas uwierzytelniania do serwera SMB Jeżeli nie zostanie dodany określony wpis rejestru.
        Aby włączyć niezaszyfrowane hasła dla klienta SMB w systemie Windows NT 4.0 SP 3 i nowszych systemach, należy zmodyfikować rejestr w następujący sposób: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters

        Nazwa wartości: EnablePlainTextPassword

        Typ danych: REG_DWORD

        Dane: 1


        Aby uzyskać więcej informacji dotyczących pokrewnych tematów kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

        komunikat o błędzie: Wystąpił błąd systemowy 1240. Konto nie ma uprawnień do logowania z tej stacji.

      • Systemu Windows Server 2003: Domyślnie ustawienia zabezpieczeń na kontrolerach domeny z systemem Windows Server 2003 są skonfigurowane w celu zapobiegania komunikację kontrolera domeny przed przechwyceniem lub zmodyfikowany przez złośliwych użytkowników. Aby użytkownicy mogli pomyślnie komunikować się z kontrolerem domeny z systemem Windows Server 2003 komputery klienckie muszą używać zarówno podpisywania SMB i szyfrowania lub podpisywanie ruchu w bezpiecznym kanale. Domyślnie klientów, którzy systemem Windows NT 4.0 z dodatkiem Service Pack 2 (SP2) lub wcześniejszym oraz klienci z systemem Windows 95 nie mają włączonego podpisywania pakietów SMB. W związku z tym klienci ci nie można uwierzytelnić kontrolera domeny z systemem Windows Server 2003.

      • Ustawienia zasad systemu Windows 2000 i Windows Server 2003: W zależności od określonych potrzeb dotyczących instalacji i konfiguracji zaleca się, aby ustawić następujące ustawienia zasad w najniższej jednostce niezbędnego zakresu w hierarchii przystawki Microsoft Management Console zasady grupy Edytor:

        • Komputer Windows\opcje zabezpieczeń

        • Wyślij niezaszyfrowane hasło w celu połączenia do serwerów SMB innych firm (jest to ustawienie dla systemu Windows 2000)

        • Klient sieci Microsoft: Wyślij niezaszyfrowane hasło do serwerów SMB innych firm (jest to ustawienie dla systemu Windows Server 2003)


        Uwaga W niektórych serwerów CIFS innych firm, takich jak starsze wersje serwera Samba nie można używać zaszyfrowanych haseł.

      • Następujący klienci są niezgodni z serwer sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) ustawienie:

        • Klienci systemu Mac OS X firmy Apple Computer, Inc.

        • Klienci sieci Microsoft MS-DOS (na przykład Microsoft LAN Manager)

        • Microsoft Windows for Workgroups klientów

        • Zainstalowane klientów systemu Microsoft Windows 95 bez klienta usługi Katalogowej

        • Microsoft, zainstalowana na komputerach z systemem Windows NT 4.0 bez SP3 lub nowszy

        • Klienci systemu Novell Netware 6 CIFS

        • Klienci SAMBA SMB pozbawieni obsługi podpisywania SMB

    8. Wymagania dotyczące ponownego uruchamiania

      Ponownie uruchom komputer lub ponownie uruchomić usługę serwera. Aby to zrobić, wpisz następujące polecenia w wierszu poleceń. Naciśnij klawisz Enter po wpisaniu każdego polecenia.

      polecenie net stop server
      polecenie net start server

  7. Dostęp sieciowy: Zezwalaj na anonimową translację identyfikatorów SID/nazw

    1. Tło

      Dostęp sieciowy: Zezwalaj na anonimową translację identyfikatorów SID/nazw ustawienie zabezpieczeń określa, czy użytkownik anonimowy może żądać atrybutów numer identyfikacyjny zabezpieczeń (SID) dla innego użytkownika.

    2. Konfiguracja ryzykowna

      Włączanie Dostęp sieciowy: Zezwalaj na anonimową translację identyfikatorów SID/nazw jest ustawienie konfiguracji szkodliwych.

    3. Przyczyny włączenia tego ustawienia

      Jeśli Dostęp sieciowy: Zezwalaj na anonimową translację identyfikatorów SID/nazw ustawienie jest wyłączone, starsze systemy operacyjne lub aplikacje może nie być w stanie komunikować się z domenami systemu Windows Server 2003. Na przykład następujące systemy operacyjne, usługi lub aplikacje mogą nie działać:

      • System Windows NT 4.0, na usługi Dostęp zdalny, serwery

      • Microsoft SQL Server, które są uruchomione na komputerach z systemem Windows NT 4.0 lub komputerów systemu Windows NT 3.x

      • Usługa dostępu zdalnego, który jest uruchomiony na komputerach z systemem Windows 2000, które znajdują się w domenie systemu Windows NT 3.x lub domen systemu Windows NT 4.0

      • SQL Server uruchomionym na komputerach z systemem Windows 2000, które znajdują się w domenie systemu Windows NT 3.x lub w domenach systemu Windows NT 4.0

      • Użytkownicy w domenie zasobów systemu Windows NT 4.0, którzy mają być nadane uprawnienia, dostęp do plików, folderów udostępnionych i obiektów rejestru kontom użytkowników z domen kont zawierających kontrolery domeny systemu Windows Server 2003

    4. Przyczyny wyłączenia tego ustawienia

      Jeśli to ustawienie jest włączone, złośliwy użytkownik może wykorzystać dobrze znany identyfikator SID Administratorzy celu uzyskania prawdziwej nazwy wbudowanego konta administratora, nawet jeśli nazwa konta została zmieniona. Tej osoby może następnie wykorzystać nazwę konta do wszczęcia ataku polegającego na zgadywaniu haseł.

    5. Nazwa symboliczna: N/D!

    6. Ścieżki rejestru: Brak. Ścieżka jest określona w kodzie interfejsu użytkownika.

    7. Przykłady problemów ze zgodnością

      Systemu Windows NT 4.0: Komputery w domenach zasobów wyświetli komunikacie o błędzie "Konto nieznane" w edytorze ACL Jeśli zasobów, w tym foldery udostępnione, pliki udostępnione i obiekty rejestru, są zabezpieczone przy użyciu podmiotów zabezpieczeń, które znajdują się w systemie Windows NT 4.0 konta domeny zawiera kontrolery domeny systemu Windows Server 2003.

  8. Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie sam kont

    1. Tło

      • Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie sam kont ustawienie określa, jakie dodatkowe uprawnienia będą przyznawane dla anonimowych połączeń z komputerem. System Windows umożliwia anonimowym użytkownikom wykonywanie pewnych czynności, takich jak wyliczanie nazw kont Menedżera kont zabezpieczeń (SAM) stacji roboczych i serwerów i udziałów sieciowych. Na przykład administrator może użyć to, aby udzielić dostępu użytkownikom w zaufanej domenie, która nie utrzymuje wzajemnego zaufania. Po ustanowieniu sesji użytkownik anonimowy może mieć te same prawa dostępu, który jest udzielone wszystkim grupy na podstawie ustawienia w dostęp do sieci: Let Everyone permissions dotyczą użytkowników anonimowych ustawienie lub poufnej listy kontroli dostępu (DACL) obiekt.

        Zazwyczaj połączeń anonimowych żądają przez wcześniejsze wersje klientów (niskiego poziomu) podczas konfiguracji sesji SMB. W tych przypadkach Śledzenie sieci pokazuje, że SMB identyfikatorów procesów (PID) jest, że readresator klienta, takie jak 0xFEFF w systemie Windows 2000 lub 0xCAFE w usłudze RPC systemu Windows NT. może również próbować do połączeń anonimowych.

      • Ważne: To ustawienie nie ma wpływu na kontrolery domeny. Na kontrolerach domeny to zachowanie jest kontrolowane przez obecność "Zarządzanie NT\LOGOWANIE" w "Pre-Windows 2000 compatible Access".

      • W systemie Windows 2000 jest podobne ustawienie o nazwie Dodatkowe ograniczenia dla połączeń anonimowych zarządza wartości rejestru RestrictAnonymous . Lokalizacja tej wartości jest następująca

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA Aby uzyskać więcej informacji dotyczących wartości rejestru RestrictAnonymous kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:

        jak używać wartości rejestru RestrictAnonymous w systemie Windows 2000
         

        ograniczanie zakresu informacji dostępnych dla użytkowników anonimowych
         

    2. Konfiguracje ryzykowne

      Włączanie Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie sam konta jest ustawienie konfiguracji szkodliwych z punktu widzenia kompatybilności. Wyłączenie to jest ustawienie konfiguracji szkodliwych z punktu widzenia zabezpieczeń.

    3. Przyczyny włączenia tego ustawienia

      Nieautoryzowany użytkownik może anonimowo wyświetlić listę nazw kont, a następnie wykorzystać te informacje do odgadywania haseł lub sztuczek socjotechnicznych. Socjologicznych w żargonie oznacza socjotechniczne swoje hasło lub inne informacje dotyczące zabezpieczeń.

    4. Przyczyny wyłączenia tego ustawienia

      Jeśli to ustawienie jest włączone, to niemożliwe jest ustanowienie zaufania z domenami systemu Windows NT 4.0. Ustawienie to powoduje także problemy z klientów niskiego poziomu (takich jak klienci systemu Windows NT 3.51 i klienci systemu Windows 95), które próbują korzystać z zasobów na serwerze.

    5. Nazwa symboliczna:


      RestrictAnonymousSAM

    6. Ścieżka rejestru:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

    7. Przykłady problemów ze zgodnością

    • Odnajdowanie sieci SMS nie będzie w stanie uzyskać informacji o systemie operacyjnym i zapisuje wartość "Nieznany" we właściwości OperatingSystemNameandVersion.

    • Systemu Windows 95, Windows 98: Klientów systemu Windows 95 i Windows 98 nie będzie mógł zmienić swoich haseł.

    • Systemu Windows NT 4.0: System Windows NT 4.0 na komputerach członkowskich nie będzie mógł zostać uwierzytelniony.

    • Systemu Windows 95, Windows 98: Komputery z systemem Windows 95 i systemem Windows 98 nie będzie mógł zostać uwierzytelniony przez kontrolery domeny firmy Microsoft.

    • Systemu Windows 95, Windows 98: Nie będzie mógł zmienić hasła do swoich kont użytkowników na komputerach z systemem Windows 95 i systemem Windows 98.

  9. Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie sam kont i udziałów

    1. Tło

      • Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie sam kont i udziałów ustawienie (znany również jako RestrictAnonymous) określa, czy jest dozwolone anonimowe wyliczanie kont Menedżera kont zabezpieczeń (SAM) i udziałów. System Windows umożliwia anonimowym użytkownikom wykonywanie pewnych czynności, takich jak wyliczanie nazw kont domeny (użytkowników, komputerów i grup) oraz udziałów sieciowych. Jest to wygodne, na przykład, gdy administrator chce udzielić dostępu użytkownikom w zaufanej domenie, która nie utrzymuje wzajemnego zaufania. Jeśli nie zezwalaj na anonimowe wyliczanie kont SAM i udziałów, włącz to ustawienie.

      • W systemie Windows 2000 jest podobne ustawienie o nazwie Dodatkowe ograniczenia dla połączeń anonimowych zarządza wartości rejestru RestrictAnonymous . Lokalizacja tej wartości jest następująca:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

    2. Konfiguracja ryzykowna

      Włączanie Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie sam kont i udziałów jest ustawienie konfiguracji szkodliwych.

    3. Przyczyny włączenia tego ustawienia

      • Włączanie Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie sam kont i udziałów ustawienie uniemożliwia wyliczanie kont SAM i udziałów przez użytkowników i komputery, które korzystają z kont anonimowych.

    4. Przyczyny wyłączenia tego ustawienia

      • Jeśli to ustawienie jest włączone, nieautoryzowany użytkownik może anonimowo wyświetlić listę nazw kont, a następnie wykorzystać te informacje do odgadywania haseł lub sztuczek socjotechnicznych. Socjologicznych w żargonie oznacza oszukiwanie użytkowników, aby ujawnili swoje hasła lub jakąś formę informacji o zabezpieczeniach.

      • Jeśli to ustawienie jest włączone, będzie możliwe ustanowienie zaufania z domenami systemu Windows NT 4.0. Ustawienie to spowoduje także problemy z klientów niskiego poziomu, takich jak klienci systemu Windows 95 i Windows NT 3.51, które próbują korzystać z zasobów na serwerze.

      • Nie było możliwe udzielić dostępu do użytkowników domen zasobów, ponieważ administratorzy w domenie ufającej nie będzie w stanie wyliczyć listy kont w innej domenie. Użytkownicy, którzy anonimowo dostęp do serwerów plików i wydruku, nie będzie w stanie wyświetlić listy udostępnionych zasobów sieciowych na tych serwerach. Musi uwierzytelniać użytkowników, zanim mogą przeglądać listę udostępnionych folderów i drukarek.

    5. Nazwa symboliczna:

      RestrictAnonymous

    6. Ścieżka rejestru:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

    7. Przykłady problemów ze zgodnością

      • Systemu Windows NT 4.0: Użytkownicy nie będą w stanie zmienić swoich haseł ze stacji roboczych systemu Windows NT 4.0, gdy na kontrolerach domeny w domenie użytkownika jest włączone Ustawienie RestrictAnonymous .

      • Systemu Windows NT 4.0: Dodawanie użytkowników lub grup globalnych z zaufanych domen systemu Windows 2000 do grup lokalnych systemu Windows NT 4.0 w Menedżerze użytkowników nie powiedzie się i zostanie wyświetlony następujący komunikat o błędzie:

        Istnieją obecnie serwerów logowania dostępnych do obsługi żądania logowania.

      • Systemu Windows NT 4.0: Windows NT 4.0 na komputerach nie będzie można przyłączyć się do domen podczas instalacji lub przy użyciu interfejsu użytkownika przyłączania domeny.

      • Systemu Windows NT 4.0: Niepowodzenie ustanowienia zaufania niskiego poziomu z domenami zasobów systemu Windows NT 4.0. Gdy na domenie zaufanej jest włączone Ustawienie RestrictAnonymous , pojawi się następujący komunikat o błędzie:

        Nie można odnaleźć kontrolera domeny dla tej domeny.

      • Systemu Windows NT 4.0: Użytkownicy, którzy logują się do komputerów z systemem Windows NT 4.0 serwer terminali będzie mapować do domyślnego katalogu macierzystego zamiast katalogu głównego, który jest zdefiniowany w Menedżerze użytkowników dla domen.

      • Systemu Windows NT 4.0: Nie będzie mógł uruchomić usługę Net Logon, uzyskania listy zapasowych przeglądarek lub zsynchronizowania bazy danych SAM z systemu Windows 2000 lub z kontrolerów domeny systemu Windows Server 2003 w tej samej domenie systemu Windows NT 4.0 zapasowych kontrolerów domeny (BDC).

      • Systemu Windows 2000: Systemu Windows 2000 na komputerach członkowskich domeny nie będzie możliwe przeglądanie drukarek w zewnętrznych domenach, jeśli włączono ustawienie Brak dostępu bez wyraźnych zezwoleń anonimowych w lokalnych zasadach zabezpieczeń komputera klienckiego systemu Windows NT 4.0.

      • Systemu Windows 2000: Użytkownicy domeny systemu Windows 2000 nie będzie mógł dodawać drukarek sieciowych z usługi Active Directory; Jednakże mogą dodawać drukarki, po ich wybranych z widoku drzewa.

      • Systemu Windows 2000: Na komputerach z systemem Windows 2000 Edytor list ACL nie będzie możliwe dodawanie użytkowników lub grup globalnych z zaufanych domen systemu Windows NT 4.0.

      • Narzędzia ADMT w wersji 2: Migracja haseł dla kont użytkowników, które są migracji między lasami z Active Directory Migration Tool (ADMT) w wersji 2 nie powiedzie się.

        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

        jak rozwiązywać problemy z migracją haseł między lasami przy użyciu narzędzia ADMTv2

      • Klienci programu outlook: Globalna lista adresowa jest wyświetlana pusta na klientów programu Microsoft Exchange Outlook.

        Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

        niska wydajność protokołu SMB przy kopiowaniu plików z systemu Windows XP na kontroler domeny systemu Windows 2000

      • SMS: Funkcja odnajdowania sieci Microsoft Systems Management Server (SMS) nie można uzyskać informacji o systemie operacyjnym. W związku z tym będzie zapisywać "Nieznany" we właściwości OperatingSystemNameandVersion właściwości DDR programu SMS rekord danych odnajdywania (DDR).

      • SMS: Użycie Kreatora użytkownika administratora programu SMS do przeglądania dla użytkowników i grup, nie użytkowników lub grup zostaną wyświetlone. Ponadto klienci zaawansowani nie mogą komunikować się z punktem zarządzania. W punkcie zarządzania jest wymagany dostęp anonimowy.

      • SMS: Gdy używasz funkcji wykrywania sieci w programie SMS 2.0 i w Menedżerze Remote Client Installation z topologii, klienta i systemów operacyjnych klientów opcją wykrywania sieci włączone, komputery są wykrywane, ale mogą nie być zainstalowane.

  10. Zabezpieczenia sieci: poziom uwierzytelniania Lan Manager

    1. Tło

      Uwierzytelnianie programu LAN Manager (LM) jest protokołem, który jest używany do uwierzytelniania klientów systemu Windows na potrzeby operacji sieciowych, jak przyłączanie do domen, dostęp do zasobów sieciowych i uwierzytelnianie użytkownika lub komputera. Poziom uwierzytelniania LM określa, który protokół uwierzytelniania typu wyzwanie/odpowiedź jest negocjowane między klientem a komputery serwerów. W szczególności poziom uwierzytelniania LM określa, które protokoły uwierzytelniania klient będzie próbował negocjować lub serwer będzie akceptować. Wartość ustawiona dla wpisu LmCompatibilityLevel określa, który protokół uwierzytelniania typu wyzwanie/odpowiedź jest używany podczas logowania do sieci. Ta wartość ma wpływ na poziom protokołu uwierzytelniania używanego przez klientów, poziom negocjacji zabezpieczeń sesji oraz poziom uwierzytelniania akceptowany przez serwery.

      Oto możliwe ustawienia.

      Wartość

      Ustawienie

      Opis

      0

      Wyślij odpowiedzi typu LM i NTLM

      Klienci korzystają z uwierzytelniania LM i NTLM i nigdy nie korzystają z zabezpieczeń sesji NTLMv2. Kontrolery domen akceptują uwierzytelnianie LM, NTLM i NTLMv2.

      1

      Wyślij LM i NTLM - użyj zabezpieczeń sesji NTLMv2 po uzgodnieniu

      Klienci korzystają z uwierzytelniania LM i NTLM oraz używają zabezpieczeń sesji NTLMv2, jeśli serwer je obsługuje. Kontrolery domen akceptują uwierzytelnianie LM, NTLM i NTLMv2.

      2

      Wyślij tylko odpowiedź NTLM

      Klienci korzystają tylko z uwierzytelniania NTLM oraz używają zabezpieczeń sesji NTLMv2, jeśli serwer je obsługuje. Kontrolery domen akceptują uwierzytelnianie LM, NTLM i NTLMv2.

      3

      Wyślij tylko odpowiedź NTLMv2

      Klienci korzystają tylko z uwierzytelniania NTLMv2 oraz używają zabezpieczeń sesji NTLMv2, jeśli serwer je obsługuje. Kontrolery domen akceptują uwierzytelnianie LM, NTLM i NTLMv2.

      4

      Wyślij tylko odpowiedź NTLMv2 / odrzuć LM

      Klienci korzystają tylko z uwierzytelniania NTLMv2 oraz używają zabezpieczeń sesji NTLMv2, jeśli serwer je obsługuje. Kontrolery domeny odrzucają uwierzytelnianie LM i akceptują tylko uwierzytelnianie NTLM i NTLMv2.

      5

      Wyślij tylko odpowiedź NTLMv2 / odrzuć LM i NTLM

      Klienci korzystają tylko z uwierzytelniania NTLMv2 oraz używają zabezpieczeń sesji NTLMv2, jeśli serwer je obsługuje. Kontrolery domeny odrzucają uwierzytelnianie LM i NTLM i akceptują tylko uwierzytelnianie NTLMv2.

      Uwaga W systemie Windows 95, Windows 98 i Windows 98 Wydanie drugie klient usług katalogowych używa podpisywania SMB podczas uwierzytelniania z serwerami systemu Windows Server 2003 za pomocą uwierzytelniania NTLM. Jednak te klienci nie używają podpisywania SMB podczas uwierzytelniania z tymi serwerami za pomocą uwierzytelniania NTLMv2. Ponadto serwery systemu Windows 2000 nie odpowiadają na żądania podpisywania SMB od tych klientów.

      Sprawdź poziom uwierzytelniania LM: Musisz zmienić zasady na serwerze, aby zezwolić na uwierzytelnianie NTLM, lub należy skonfigurować komputer kliencki, aby obsługiwał uwierzytelnianie NTLMv2.

      Jeśli zasada jest ustawiona na (5) Wyślij NTLMv2 typu NTLMv2\odmów odpowiedzi typu LM i NTLM na komputerze docelowym, z którym chcesz się połączyć, musisz obniżyć ustawienie na tym komputerze lub określić takie samo ustawienie jest na komputerze źródłowym są conn zabezpieczeń mają wpływ na podstawie.

      Znajdź poprawną lokalizację, gdzie LAN manager można zmienić poziom uwierzytelniania, aby ustawić klienta i serwera na tym samym poziomie. Po odnalezieniu zasad ustawiających LAN manager poziom uwierzytelniania należy nawiązać do i z komputerów, na których są uruchomione starsze wersje systemu Windows, obniż tę wartość do co najmniej (1) Wyślij LM i NTLM - użyj NTLM w wersji 2 zabezpieczeń sesji Jeśli wynegocjowane. Jednym ze skutków niezgodności ustawień to, że jeśli serwer wymaga NTLMv2 (wartość 5), ale klient jest skonfigurowany do używania LM i NTLMv1 tylko (wartość 0), użytkownik usiłujący uwierzytelnić doświadczeń nieudanego logowania, który ma złe hasło i który zwiększa złe Licznik hasło. Jeżeli skonfigurowano blokadę konta, użytkownik może zostać zablokowany.

      Na przykład może trzeba będzie szukać na kontrolerze domeny lub może być konieczne zbadanie zasady kontrolera domeny.

      Szukaj na kontrolerze domeny

      Uwaga Należy powtórzyć tę procedurę na wszystkich kontrolerach domeny.

      1. Kliknij przycisk Start, wskaż polecenie Programy, a następnie kliknij ikonę Narzędzia administracyjne.

      2. W obszarze Ustawienia zabezpieczeń lokalnychrozwiń węzeł Zasady lokalne.

      3. Kliknij przycisk Opcje zabezpieczeń.

      4. Kliknij dwukrotnie Zabezpieczenia sieci: poziom uwierzytelniania LAN manager, a następnie kliknij odpowiednią wartość na liście.


      Jeśli ustawienie efektywne i ustawienie lokalne są takie same, zasady zostały zmienione na tym poziomie. Jeśli te ustawienia są różne, należy sprawdzić zasady kontrolera domeny do określenia czy Zabezpieczenia sieci: poziom uwierzytelniania LAN manager ustawienie jest w nich zdefiniowane. Jeżeli to nie jest zdefiniowane, należy sprawdzić zasady kontrolera domeny.

      Zbadać zasady kontrolera domeny

      1. Kliknij przycisk Start, wskaż polecenie Programy, a następnie kliknij ikonę Narzędzia administracyjne.

      2. W zasadach Zabezpieczeń Kontroler domeny ustawienia Zabezpieczeń, a następnie rozwiń węzeł Zasady lokalne.

      3. Kliknij przycisk Opcje zabezpieczeń.

      4. Kliknij dwukrotnie Zabezpieczenia sieci: poziom uwierzytelniania LAN manager, a następnie kliknij odpowiednią wartość na liście.


      Note

      • Należy również sprawdzić zasady, które są połączone na poziomie witryny, na poziomie domeny lub jednostki organizacyjnej (OU) poziom w celu określenia, gdzie należy skonfigurować poziom uwierzytelniania programu LAN manager.

      • W przypadku zastosowania ustawienia zasady grupy jako domyślna zasada domeny, zasady są stosowane do wszystkich komputerów w domenie.

      • W przypadku zastosowania ustawienia zasady grupy jako zasad domyślnego kontrolera domeny, zasady stosuje się tylko do serwerów w jednostce Organizacyjnej kontrolera domeny.

      • To dobry pomysł, aby ustawić poziom uwierzytelniania programu LAN manager w najniższej jednostce niezbędnego zakresu w hierarchii aplikacji zasad.

      Windows Server 2003 ma nowe ustawienie domyślne powodujące używanie wyłącznie uwierzytelniania NTLMv2. Domyślnie mają włączone Windows Server 2003 i kontrolery domeny z systemem Windows 2000 Server z dodatkiem SP3 "serwer sieci Microsoft: podpisuj cyfrowo komunikację (zawsze)" zasad. To ustawienie wymaga serwera SMB na podpisywanie pakietów SMB. Wprowadzono zmiany do systemu Windows Server 2003, ponieważ kontrolery domeny, serwery plików, serwery infrastruktury sieciowej i serwery sieci Web w dowolnej organizacji wymagają różnych ustawień w celu uzyskania maksymalnych zabezpieczeń.

      Jeśli chcesz zaimplementować uwierzytelnianie NTLMv2 w sieci, należy się upewnić, że wszystkie komputery w domenie są skonfigurowane do korzystania z tego poziomu uwierzytelniania. Jeśli zastosujesz Active Directory klienta rozszerzenia dla systemu Windows 95 lub Windows 98 i Windows NT 4.0, to rozszerzenia klienta użyj udoskonalone funkcje uwierzytelniania dostępnych w protokole uwierzytelniania NTLMv2. Ponieważ komputery klienckie, na których uruchomiono którykolwiek z następujących systemów operacyjnych nie dotyczy obiektów zasady grupy systemu Windows 2000, należy ręcznie skonfigurować tych klientów:

      • Microsoft Windows NT 4.0

      • Microsoft Windows Millennium Edition

      • Microsoft Windows 98

      • Microsoft Windows 95

      Uwaga Po uaktywnieniu Zabezpieczenia sieci: nie przechowywać wartość mieszania programu LAN manager dla następnej zmiany hasła zasad lub zestaw klucz rejestru NoLMHash nie klientów opartych na systemie Windows 95 i systemem Windows 98, które nie mają zainstalowany klient usług katalogowych Zaloguj się do domeny po zmianie hasła.

      Wiele serwerów CIFS innych firm, takich jak Novell Netware 6, nie są świadomi uwierzytelniania NTLMv2 i używa tylko uwierzytelniania NTLM. W związku z tym poziomy wyższe niż 2 nie umożliwiają połączenia. Istnieją również klienci SMB innych firm, które nie korzystają z zabezpieczeń sesji rozszerzone. W takich przypadkach LmCompatiblityLevel serwera zasobów nie jest brany pod uwagę. Serwer a następnie pakiety to żądanie w starszych i wysyła go do Kontroler domeny użytkownika. Ustawienia na Kontroler domeny następnie zdecydować, jakie wartości skrótu są używane do weryfikowania żądania i czy te spełniają wymogi bezpieczeństwa Kontroler domeny.

      Aby uzyskać więcej informacji o tym, jak ręcznie skonfigurować poziom uwierzytelniania programu LAN manager kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:

      jak włączyć uwierzytelnianie LM w systemie Windows NT
       

      jak zapobiec przechowywaniu LAN manager wartości mieszania hasła w usłudze Active Directory i w lokalnych bazach danych SAM system Windows
       

      program outlook nieustannie monituje o poświadczenia logowania
       

      Zdarzenia inspekcji zawiera pakiet uwierzytelniania jako NTLMv1 zamiast NTLMv2 Aby uzyskać więcej informacji dotyczących poziomów uwierzytelniania LM kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

      jak włączyć obsługę uwierzytelniania NTLM 2
       

    2. Konfiguracje ryzykowne

      Dostępne są następujące ustawienia konfiguracji szkodliwe:

      • Nierestrykcyjne ustawienia, które wysyłać hasła jako zwykły tekst i odmawiają negocjowania NTLMv2

      • Restrykcyjne ustawienia, które uniemożliwiają niezgodnym klientom lub kontrolerów domen z negocjowanie wspólnego protokołu uwierzytelniania

      • Wymaganie uwierzytelniania NTLMv2 na komputerach członkowskich i kontrolerach domeny, na których są uruchomione wersje systemu Windows NT 4.0, które są starsze niż z dodatkiem Service Pack 4 (SP4)

      • Wymaganie uwierzytelniania NTLMv2 na klientach z systemem Windows 95 lub na klientach systemu Windows 98, które nie mają zainstalowany klient usług katalogowych systemu Windows.

      • Jeżeli kliknij, aby zaznaczyć pole wyboru wymaga zabezpieczeń sesji NTLMv2 w przystawce Microsoft Management Console zasady grupy Edytor na komputerze z systemem Windows 2000 z dodatkiem Service Pack 3 lub systemu Windows Server 2003 i obniży poziom uwierzytelniania programu LAN manager 0 konflikt dwa ustawienia i może zostać wyświetlony następujący komunikat o błędzie w pliku Secpol.msc lub GPEdit.msc:

        System Windows nie może otworzyć bazy danych zasad lokalnych. Wystąpił nieznany błąd podczas próby otwarcia bazy danych.

        Aby uzyskać więcej informacji na temat konfiguracji zabezpieczeń i narzędzie do analizy Zobacz pliki Pomocy systemu Windows Server 2003 lub Windows 2000.

    3. Przyczyny zmodyfikowania tego ustawienia

      • Chcesz zwiększyć najniższy wspólny protokół uwierzytelniania, który jest obsługiwany przez klientów i kontrolery domeny w organizacji.

      • Jeśli bezpieczne uwierzytelnianie jest wymogiem biznesowym, należy zabronić negocjowania protokołów NTLM i LM.

    4. Przyczyny wyłączenia tego ustawienia

      Klient i/lub wymagania uwierzytelniania serwera zostały podwyższone do punktu, gdzie nie może być uwierzytelnianie przez wspólny protokół.

    5. Nazwa symboliczna:

      LmCompatibilityLevel

    6. Ścieżka rejestru:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. Przykłady problemów ze zgodnością

      • Systemu Windows Server 2003: Domyślnie włączone jest ustawienie odpowiedzi systemu Windows Server 2003 NTLMv2 wysyłania NTLM. W związku z tym system Windows Server 2003 otrzymuje komunikat o błędzie "Odmowa dostępu" po wstępnej instalacji, podczas próby połączenia do klastra z systemem Windows NT 4.0 lub serwerów opartych na LanManager V2.1, takich jak OS/2 Lanserver. Ten problem występuje również, jeśli próby nawiązania połączenia z wcześniejszej wersji klienta do serwera z systemem Windows Server 2003.

      • Zainstaluj system Windows 2000 pakietu zbiorczego zabezpieczeń 1 (SRP1). Pakiet SRP1 wymusza używanie protokołu NTLM w wersji 2 (NTLMv2). Ten pakiet zbiorczy został wydany po wydaniu dodatku Service Pack 2 (SP2) dla systemu Windows 2000. Aby uzyskać więcej informacji dotyczących pakietu SRP1 kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

        Pakiet zbiorczy aktualizacji zabezpieczeń 2000 Windows 1 stycznia 2002 r.
         

      • Windows 7 i Windows Server 2008 R2: wiele serwerów CIFS innych firm, takich jak serwery Novell Netware 6 lub opartych na systemie Linux Samba, nie są świadomi uwierzytelniania NTLMv2 i używa tylko uwierzytelniania NTLM. W związku z tym poziomy wyższe niż "2" nie umożliwiają połączenia. Obecnie w tej wersji systemu operacyjnego, domyślne dla wpisu LmCompatibilityLevel została zmieniona na "3". Tak więc po uaktualnieniu systemu Windows filtrach tych osób trzecich może przestać działać.

      • Klienci programu Microsoft Outlook może zostać wyświetlony monit o poświadczenia, nawet jeśli są już zalogowani w domenie. Gdy użytkownicy podają poświadczenia, otrzymali następujący komunikat o błędzie: Windows 7 i Windows Server 2008 R2

        Podane poświadczenia logowania były nieprawidłowe. Upewnij się, że nazwa użytkownika i domena są poprawne, a następnie wpisz hasło ponownie.

        Po uruchomieniu programu Outlook monitowania o podanie poświadczeń, nawet jeśli Twoje ustawienie Zabezpieczenia sieciowe logowania ma wartość przekazywanie lub uwierzytelnianie hasła. Po wpisaniu poprawnych poświadczeń może pojawić się następujący komunikat o błędzie:

        Podane poświadczenia logowania były nieprawidłowe.

        Ślad Monitora sieci może pokazywać, że wykaz globalny wykonał błąd procedury zdalnego wywoływania (procedur RPC) o stanie 0x5. Stan 0x5 oznacza "Odmowa dostępu".

      • Systemu Windows 2000: Przechwyconych przez Monitor sieci, mogą wykazywać następujące błędy w NetBIOS nad sesją block (SMB) wiadomości serwera TCP/IP (NetBT):

        Błąd protokołu SMB R wyszukiwania katalogu Dos, (5) STATUS_LOGON_FAILURE ACCESS_DENIED (109) (91) nieprawidłowy identyfikator użytkownika

      • Systemu Windows 2000: Jeśli w domenie systemu Windows 2000 z uwierzytelnianiem NTLMv2 poziomu 2 lub nowszym jest zaufane domeny systemu Windows NT 4.0, komputery z systemem Windows 2000 w domenie zasobów mogą występować błędy uwierzytelniania.

      • Systemu Windows 2000 i Windows XP: Domyślnie system Windows 2000 i Windows XP ustaw opcję LAN Manager uwierzytelniania poziomu zasad zabezpieczeń lokalnych na 0. Ustawienie 0 oznacza "Wyślij LM i NTLM odpowiedzi."

        Uwaga System Windows NT 4.0, na klastrów należy użyć LM dla administracji.

      • Systemu Windows 2000: Klastrowanie Windows 2000 nie uwierzytelnia węzła przyłączania, jeśli oba węzły są częścią systemu Windows NT 4.0 Service Pack 6a (SP6a) domeny.

      • Narzędzie IIS Lockdown Tool (HiSecWeb) ustawia wartość LMCompatibilityLevel 5, a wartość RestrictAnonymous równą 2.

      • Usługi dla komputerów Macintosh

        Moduł uwierzytelniania użytkowników (UAM): Program Microsoft UAM (moduł uwierzytelniania użytkowników) zapewnia metodę szyfrowania haseł używanych do logowania się serwerach Windows AFP (AppleTalk Filing Protocol). Moduł uwierzytelniania użytkowników firmy Apple (UAM) zapewnia tylko minimalne szyfrowanie lub nie. Dlatego hasło może zostać łatwo przechwycone w sieci lokalnej lub w Internecie. Chociaż moduł UAM nie jest wymagany, zapewnia szyfrowane uwierzytelnianie na serwerach systemu Windows 2000, który uruchomić usługi dla komputerów Macintosh. Ta wersja zawiera obsługę uwierzytelniania NTLMv2 128-bitowe szyfrowane uwierzytelnianie i Mac OS X 10.1 wersję zgodną z systemem.

        Domyślnie usługi Microsoft Windows Server 2003 dla serwera dla komputerów Macintosh zezwala na tylko Authentication firmy Microsoft.


        Aby uzyskać więcej informacji kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:

        klienta typu Macintosh nie może połączyć się z usługami dla komputerów Macintosh w systemie Windows Server 2003

      • Systemu Windows Server 2008, systemu Windows Server 2003, Windows XP i Windows 2000: Jeśli wartość LMCompatibilityLevel wynosić 0 lub 1, a następnie skonfiguruj ustawienia wartości NoLMHash na 1, aplikacje i składniki mogą mieć dostępu za pośrednictwem uwierzytelniania NTLM. Ten problem występuje, ponieważ komputer jest skonfigurowany, aby włączyć uwierzytelnianie LM, ale nie należy stosować haseł przechowywanych LM.

        W przypadku konfigurowania wartości NoLMHash na 1 należy skonfigurować wartość LMCompatibilityLevel równą 2 lub wyższą.

  11. Zabezpieczenia sieci: wymagania podpisywania klienta LDAP

    1. Tło

      Zabezpieczenia sieci: wymagania podpisywania klienta LDAP ustawienie określa poziom podpisywania danych wymaganych w imieniu klientów wysyłających BIND Lightweight Directory Access Protocol (LDAP) żąda w następujący sposób:

      • Brak: żądanie BIND protokołu LDAP jest wysyłane z opcjami określonymi przez obiekt wywołujący przez.

      • Negocjuj podpisywanie: Jeśli Secure Sockets Layer / Transport Layer Security (SSL/TLS) nie został uruchomiony, żądanie BIND protokołu LDAP jest inicjowane z opcją ustawioną opcjami określonymi przez obiekt wywołujący przez podpisywania danych LDAP. Jeśli protokół SSL/TLS został uruchomiony, żądanie BIND protokołu LDAP jest inicjowane z opcjami określonymi przez obiekt wywołujący przez.

      • Wymagaj podpisywania: to jest taka sama jak Negocjuj podpisywanie. Jednak jeśli odpowiedź serwera LDAP typu saslBindInProgress nie wskazuje, że jest wymagane podpisywanie ruchu LDAP, obiekt wywołujący jest informowany, że żądanie polecenia wiązania protokołu LDAP nie powiodło się.

    2. Konfiguracja ryzykowna

      Włączanie Zabezpieczenia sieci: wymagania podpisywania klienta LDAP jest ustawienie konfiguracji szkodliwych. Jeśli ustawisz serwer, aby wymagał podpisów LDAP, należy także skonfigurować podpisywanie protokołu LDAP na kliencie. Nie skonfigurowanie klienta do korzystania z podpisów LDAP nie będzie mógł komunikować z serwerem. Powoduje to, że uwierzytelnianie użytkownika, zasady grupy ustawień, skrypty logowania i inne funkcje nie powiedzie się.

    3. Przyczyny zmodyfikowania tego ustawienia

      Niepodpisany ruch sieciowy jest podatny na ataki man-in--middle, których intruz przechwytuje pakiety między klientem a serwerami, modyfikuje je i przekazuje je do serwera. W takim przypadku na serwerze LDAP, osoba atakująca może spowodować serwer będzie odpowiadał na podstawie fałszywych kwerend z klienta LDAP. Tego ryzyka w sieci firmowej można zmniejszyć, wdrażając skuteczne zabezpieczenia fizyczne chroniące infrastrukturę sieci. Ponadto można zapobiec wszelkiego rodzaju ataki man-in--middle wymaganie podpisów cyfrowych na wszystkich pakietach sieciowych przy użyciu nagłówków uwierzytelniania protokołu IPSec.

    4. Nazwa symboliczna:

      LDAPClientIntegrity

    5. Ścieżka rejestru:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

  12. Dziennik zdarzeń: Maksymalny rozmiar dziennika zabezpieczeń

    1. Tło

      Dziennik zdarzeń: maksymalny rozmiar dziennika zabezpieczeń ustawienie zabezpieczeń określa maksymalny rozmiar dziennika zdarzeń zabezpieczeń. Ten dziennik może wynosić maksymalnie 4 GB. Aby zlokalizować to ustawienie, rozwiń węzeł
      Ustawienia systemu Windows, a następnie rozwiń węzeł Ustawienia zabezpieczeń.

    2. Konfiguracje ryzykowne

      Dostępne są następujące ustawienia konfiguracji szkodliwe:

      • Ograniczanie rozmiaru dziennika zabezpieczeń i metody przechowywania dziennika zabezpieczeń podczas Inspekcja: Zamknij system natychmiast, jeśli nie można rejestrować wyników inspekcji jest włączone. Zobacz "Inspekcja: Zamknij system natychmiast, jeśli nie można rejestrować wyników inspekcji" sekcji tego artykułu, aby uzyskać więcej szczegółów.

      • Ograniczanie rozmiaru dziennika zabezpieczeń, tak, że interesujące zdarzenia dotyczące zabezpieczeń są zastępowane.

    3. Przyczyny zwiększenia tego ustawienia

      Firmy i wymaganiom zabezpieczeń mogą wymagać, aby zwiększyć rozmiar dziennika zabezpieczeń do obsługi szczegóły dziennika dodatkowych zabezpieczeń lub aby dzienniki zabezpieczeń na dłuższy okres czasu.

    4. Przyczyny zmniejszenia tego ustawienia

      Dzienniki Podglądu zdarzeń są plikami mapowanymi w pamięci. Maksymalny rozmiar dziennika zdarzeń jest ograniczony przez ilość pamięci fizycznej w komputerze lokalnym i pojemnością pamięci wirtualnej dostępnej dla procesu dziennika zdarzeń. Zwiększenie rozmiaru dziennika powyżej wielkości pamięci wirtualnej, która jest dostępna dla podglądu zdarzeń nie zwiększa liczbę wpisów dziennika, które są obsługiwane.

    5. Przykłady problemów ze zgodnością

      Systemu Windows 2000: Komputery, na których są uruchomione wersje systemu Windows 2000 które są wcześniejsze niż Service Pack 4 (SP4) mogą przestać rejestrować zdarzenia w dzienniku zdarzeń przed osiągnięciem rozmiaru określonego w polu Maksymalny rozmiar dziennika , ustawienia w Podglądzie zdarzeń, jeśli Nie zastępuj zdarzeń (ręczne czyszczenie dziennika) opcja jest włączona.


      Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

      dziennik zdarzeń przerywa rejestrowanie zdarzeń przed osiągnięciem maksymalnego rozmiaru dziennika
       

  13. Dziennik zdarzeń: Przechowuj dziennik zabezpieczeń

    1. Tło

      Dziennik zdarzeń: Przechowuj dziennik zabezpieczeń ustawienie zabezpieczeń określa metodę "zawijania" stosowaną w dzienniku zabezpieczeń. Aby zlokalizować to ustawienie, ustawienia Systemu Windows, a następnie rozwiń węzeł Ustawienia zabezpieczeń.

    2. Konfiguracje ryzykowne

      Dostępne są następujące ustawienia konfiguracji szkodliwe:

      • Niezachowanie wszystkich zarejestrowanych zdarzeń zabezpieczeń, zanim zostaną zastąpione

      • Konfigurowanie ustawienie zbyt małe, aby zdarzenia zabezpieczeń są zastępowane Maksymalny rozmiar dziennika zabezpieczeń

      • Ograniczanie dziennika rozmiaru i przechowywania metodę zabezpieczeń podczas Inspekcja: Zamknij system natychmiast, jeśli nie można rejestrować wyników inspekcji jest włączone ustawienie zabezpieczeń

    3. Przyczyny włączenia tego ustawienia

      To ustawienie należy włączyć tylko wtedy, gdy wybrano metodę przechowywania Zastąp zdarzenia według dni . Jeśli używasz system korelacji zdarzeń, który sonduje zdarzenia, upewnij się, że liczba dni jest co najmniej trzy razy częstotliwość sondowania. Do tej czynności umożliwi występowanie cykli sondowania zakończonych niepowodzeniem.

  14. Dostęp sieciowy: Pozwól na stosowanie uprawnień Wszyscy do anonimowych użytkowników

    1. Tło

      Domyślnie dostęp do sieci: Let Everyone permissions dotyczą użytkowników anonimowych ustawienie Nie zdefiniowane w systemie Windows Server 2003. Domyślnie, system Windows Server 2003 nie zawiera tokenu dostępu anonimowego w grupie Wszyscy grupy.

    2. Przykłady problemów ze zgodnością

      Następująca wartość klucza

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous[REG_DWORD] = 0x0 powoduje przerwanie tworzenia zaufania między systemu Windows Server 2003 i Windows NT 4.0, jeśli domena systemu Windows Server 2003 jest domeną konta oraz domena systemu Windows NT 4.0 jest domeną zasobu. Oznacza to, że domena konta jest zaufana w systemie Windows NT 4.0 i domena zasobu jest ufająca po stronie systemu Windows Server 2003. To zachowanie występuje, ponieważ proces uruchamiający tworzenie zaufania po wykonaniu anonimowego połączenia początkowego jest Potwierdzany z tokenu Everyone zawierającego anonimowe identyfikatory SID w systemie Windows NT 4.0.

    3. Przyczyny zmodyfikowania tego ustawienia

      Wartość musi być ustawiona wartość 0x1 lub ustawić za pomocą obiektu GPO na kontrolerze domeny jednostki Organizacyjnej za: dostęp do sieci: stosowanie uprawnień Niech wszyscy do anonimowych użytkowników - włączony aby umożliwić relacji zaufania.

      Uwaga Większości pozostałych ustawień zabezpieczeń zwiększenie wartości zmiennej powoduje 0x0 w ich stanu bezpieczeństwa. Bardziej bezpiecznym rozwiązaniem byłaby zmiana rejestru na emulator podstawowego kontrolera domeny zamiast na wszystkich kontrolerach domeny. Jeśli rolę emulatora kontrolera domeny podstawowej jest przenoszony z jakiegokolwiek powodu, należy zaktualizować rejestru na nowym serwerze.

      Po wartość ta jest ustawiana jest wymagane ponowne uruchomienie komputera.

    4. Ścieżka rejestru

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

  15. Uwierzytelnianie NTLMv2

    1. Zabezpieczenia sesji

      Zabezpieczenia sesji określają minimalne standardy zabezpieczeń sesji klienta i serwera. Jest dobrym pomysłem, aby zweryfikować następujące ustawienia zasad zabezpieczeń w przystawce Microsoft Management Console zasady grupy Edytor:

      • Ustawienia Windows\Ustawienia zabezpieczeń\Zasady Lokalne\opcje

      • Zabezpieczenia sieci: Minimalne zabezpieczenia sesji dla NTLM SSP na podstawie (włączając secure RPC) serwerów

      • Zabezpieczenia sieci: Minimalne zabezpieczenia sesji dla NTLM SSP na podstawie (włączając secure RPC) klientów

      Opcje dla tych ustawień są następujące:

      • Wymaga integralności komunikatów

      • Wymaga poufności komunikatów

      • NTLM w wersji 2 wymaga zabezpieczeń sesji

      • Wymagaj szyfrowania 128-bitowego

      Ustawienie domyślne systemu Windows 7 jest Brak wymagań. Począwszy od systemu Windows 7, wartością domyślną jest zmieniony na Wymagaj szyfrowania 128-bitowego ze względów bezpieczeństwa. Przy użyciu tego domyślnego starszych urządzeń, które nie obsługują szyfrowania 128-bitowego będzie mógł połączyć się.

      Te zasady określają minimalne standardy zabezpieczeń sesji komunikacji między dwiema aplikacji do aplikacji na serwerze dla klienta.

      Należy zauważyć, że chociaż opisane jako prawidłowe ustawienia, flagi, aby wymagać integralności i poufności nie są używane podczas zabezpieczeń sesji NTLM jest ustalona.

      Historycznie system Windows NT obsługiwał dwie odmiany uwierzytelniania typu wyzwanie/odpowiedź dla logowania sieciowego:

      • Wyzwanie/odpowiedź LM

      • Wyzwanie/odpowiedź NTLM w wersji 1

      Uwierzytelnianie LM umożliwia współdziałanie z zainstalowaną bazą klientów i serwerów. Uwierzytelnianie NTLM zapewnia ulepszone zabezpieczenia połączeń między klientami a serwerami.

      Odpowiadające im klucze rejestru są następujące:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

    2. Konfiguracje ryzykowne

      To ustawienie określa sposób obsługi sesji sieciowych zabezpieczonych za pomocą protokołu NTLM. Wpływa to na sesje opartych na protokole RPC uwierzytelniany przy użyciu uwierzytelniania NTLM, np. Istnieją następujące zagrożenia:

      • Przy użyciu starszych metod uwierzytelniania niż NTLMv2 ułatwia komunikacji na ataki z powodu prostsze metody mieszania używany.

      • Za pomocą niższych niż 128-bitowe klucze szyfrowania umożliwia napastnikowi złamać komunikacji przy użyciu siłowych ataków.

Synchronizacja czasu

Synchronizacja czasu nie powiodła się. Czas jest wyłączony przez ponad 30 minut na danym komputerze. Upewnij się, że zegar komputera klienckiego jest zsynchronizowany z zegarem kontrolera domeny.

Obejście problemu dla podpisywania SMB

Zaleca się zainstalowanie dodatku Service Pack 6a (SP6a) na komputerach klienckich systemu Windows NT 4.0, które współdziałają w domenie systemu Windows Server 2003. Klienci z systemem Windows 98 Wydanie drugie, klienci z systemem Windows 98 i klientów opartych na systemie Windows 95 należy uruchomić klient usług katalogowych do uwierzytelniania NTLMv2. Jeśli klienci z systemem Windows NT 4.0 nie mają zainstalowany system Windows NT 4.0 SP6 lub klientów opartych na systemie Windows 95, klientów opartych na systemie Windows 98 i Windows 98SE klientów nie masz zainstalowany, klient usług katalogowych wyłączyć SMB podpisywania w domenie domyślnej zasady kontrolera ustawienie na kontrolerze domeny w jednostce Organizacyjnej, a następnie połącz tę zasadę ze wszystkimi jednostkami organizacyjnymi obsługującymi kontrolery domeny.

Katalog usługi klienta dla systemu Windows 98 Wydanie drugie, Windows 98 i Windows 95 będzie wykonywać podpisywanie SMB z serwerami systemu Windows 2003 w ramach uwierzytelniania NTLM, ale nie w ramach uwierzytelniania NTLMv2. Ponadto serwery z systemem Windows 2000 nie będzie odpowiadają na żądania podpisywania SMB od tych klientów.

Chociaż firma Microsoft nie zaleca, można zapobiec podpisywania SMB na wszystkich kontrolerach domeny z systemem Windows Server 2003 w domenie. Aby skonfigurować to ustawienie zabezpieczeń, wykonaj następujące kroki:

  1. Otwieranie zasad domyślnego kontrolera domeny.

  2. Otwórz folder Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady Lokalne\opcje .

  3. Zlokalizuj, a następnie kliknij serwer sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) ustawienie zasad, a następnie kliknij opcję wyłączone.

Ważne Niniejsza sekcja, metoda lub zadanie zawiera informacje dotyczące modyfikowania rejestru. Jednak niepoprawne zmodyfikowanie rejestru może spowodować poważne problemy. W związku z tym upewnij się, że wykonujesz następujące kroki ostrożnie. Aby zapewnić sobie dodatkową ochronę, wykonaj kopię zapasową rejestru przed przystąpieniem do modyfikacji. Wtedy będziesz mógł przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

jak wykonać kopię zapasową i przywrócić rejestr w systemie WindowsAlternatywnie wyłącz podpisywanie SMB na serwerze przez modyfikację rejestru. Aby to zrobić, wykonaj następujące kroki:

  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit, a następnie kliknij OK.

  2. Zlokalizuj i kliknij następujący podklucz:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

  3. Kliknij wpis enablesecuritysignature .

  4. W menu Edycja kliknij polecenie Modyfikuj.

  5. W polu Dane wartości wpisz wartość 0, a następnie kliknij przycisk OK.

  6. Zamknij Edytor rejestru.

  7. Ponownie uruchom komputer lub Zatrzymaj i ponownie uruchom usługę serwer. Aby to zrobić, wpisz następujące polecenia w wierszu polecenia, a następnie naciśnij klawisz Enter po wpisaniu każdego polecenia:
    polecenie net stop server
    polecenie net start server

Uwaga Jest odpowiedni klucz na komputerze klienckim w następującym podkluczu rejestru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\ParametersPoniżej podano numery kodów błędów do kodów stanu i verbatim komunikaty, które są wymienione wcześniej:

Błąd 5
ERROR_ACCESS_DENIED

Odmowa dostępu.

Błąd 1326

ERROR_LOGON_FAILURE

Błąd logowania: Nieznana nazwa użytkownika lub nieprawidłowe hasło.

Błąd 1788

ERROR_TRUSTED_DOMAIN_FAILURE

Relacje zaufania między domeną podstawową a domeną zaufaną nie powiodło się.

Błąd 1789

ERROR_TRUSTED_RELATIONSHIP_FAILURE

Relacje zaufania między tą stacją roboczą a domeną podstawową nie powiodło się.

Aby uzyskać więcej informacji kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:

jak konfigurować zasady grupy do ustawiania zabezpieczeń dla usług systemowych w systemie Windows Server 2003
 

jak włączyć podpisywanie SMB w systemie Windows NT
 

jak stosować wstępnie zdefiniowane szablony zabezpieczeń w systemie Windows Server 2003
 

należy podać poświadczenia konta systemu Windows po podłączeniu do programu Exchange Server 2003 przy użyciu programu Outlook 2003 RPC przez HTTP funkcji

Potrzebna dalsza pomoc?

Rozwijaj swoje umiejętności
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów firmy Microsoft

Czy te informacje były pomocne?

Dziękujemy za opinię!

Dziękujemy za opinię! Wygląda na to, że połączenie Cię z jednym z naszych agentów pomocy technicznej pakietu Office może być pomocne.

×