Client, servicii și probleme de program se poate produce dacă modificați setările de securitate și atribuirile de drepturi de utilizator

Rezumat

Setările de securitate și atribuirile de drepturi de utilizator poate fi modificată în politicile locale și politici de grup pentru a strânge de securitate pe controlerele de domeniu și computere membru. Cu toate acestea, o serie de riscuri de securitate este introducerea incompatibilități cu clienții, servicii și programe.

Acest articol descrie incompatibilităţi care pot apărea pe computerele client care execută Windows XP sau o versiune anterioară de Windows, atunci când modificați setările de securitate specifice și atribuirile de drepturi de utilizator într-un domeniu Windows Server 2003 sau un Windows anterioare Server de domeniu.

Pentru informații despre politica de grup pentru Windows 7, Windows Server 2008 R2 şi Windows Server 2008, consultaţi următoarele articole:

  • Pentru Windows 7, consultați

  • Pentru Windows 7 și Windows Server 2008 R2, vedeți

  • Pentru Windows Server 2008, vedeți

Notă: Conținutul rămase în acest articol este specific pentru Windows XP, Windows Server 2003 și versiuni anterioare de Windows.

Windows XP

Pentru a spori gradul de recunoaștere a setărilor de securitate greşit, utilizați instrumentul Group Policy Object Editor pentru a modifica setările de securitate. Când utilizați Group Policy Object Editor, atribuirile de drepturi de utilizator sunt avansată pe următoarele sisteme de operare:

  • Windows XP Professional Service Pack 2 (SP2)

  • Windows Server 2003 Service Pack 1 (SP1)

Caracteristica îmbunătățită este o casetă de dialog care conține un link la acest articol. Caseta de dialog apare când modificați o setare de securitate sau o atribuire de drepturi de utilizator la o setare care oferă mai puțin de compatibilitate și este mai restrictivă. Dacă modificați direct aceeași securitate setare sau un utilizator drepturi de atribuire utilizând registry sau utilizarea șabloanelor de securitate, efectul este la fel ca modificarea setarea în Group Policy Object Editor. Cu toate acestea, nu apare caseta de dialog care conține link la acest articol.

Acest articol conține exemple de clienți, programe și operațiuni care sunt afectate de setările de securitate specifice sau atribuirile de drepturi de utilizator. Cu toate acestea, exemplele nu sunt cu autoritate pentru toate sistemele de operare Microsoft, pentru toate sistemele de operare terț sau pentru toate versiunile de program, care sunt afectate. Nu toate setările de securitate și atribuirile de drepturi de utilizator sunt incluse în acest articol.

Se recomandă ca să validați compatibilitatea toate modificările de configurație legate de securitate într-o pădure de testare înainte de a vă introduce-le într-un mediu de producție. Test pădure trebuie să oglindă pădure producție în următoarele moduri:

  • Versiuni de sisteme de operare client și server programele client și server, service pack versiuni, remedieri rapide, modificările de schemă, grupuri de securitate, Apartenenţe la grup, permisiunile pentru obiectele din sistemul de fișiere, foldere partajate, registry, Director Active Directory service, local și setările politicii de grup, și tipul de ai obiect și locație

  • Activități administrative care se efectuează, instrumente de administrare care sunt utilizate și sisteme de operare care sunt utilizate pentru a efectua activități administrative

  • Operațiile executate, cum ar fi următoarele:

    • Autentificare de log on computer și utilizator

    • Resetează parola de utilizatori de computere și de administratori

    • Navigare

    • Setarea permisiunilor pentru sistemul de fișiere, pentru folderele partajate, pentru registry și pentru resurse Active Directory utilizând editorul ACL din toate sistemele de operare client în toate domeniile de cont sau resurse de la toate sistemele de operare client la toate cont sau resurse domenii

    • Imprimarea de la conturile de administrator și non-administrative

Windows Server 2003 SP1

Avertizări în Gpedit.msc

Pentru a face clienții știe că acestea sunt editarea dreptul de utilizator sau opțiunea de securitate care ar putea avea negativ afectează lor de rețea, două mecanisme de avertizare s-au adăugat la gpedit.msc. Când administratori editare dreptul de utilizator care pot afecta negativ întreaga întreprindere, vor vedea o pictogramă nouă care seamănă cu un semn de randament. De asemenea, vor primi un mesaj de avertizare care are un link către articolul din baza de cunoștințe Microsoft 823659. Textul din acest mesaj este după cum urmează:

Modificarea această setare poate afecta compatibilitatea cu clienții, servicii și aplicații. Pentru mai multe informații, consultați < utilizator dreapta sau securitate opțiunea fiind modificate > (Q823659) Dacă ați fost direcționat către acest articol din baza de cunoștințe de la un link în Gpedit.msc, asigurați-vă să citiți și să înțeleagă explicarea furnizate și efectul posibil al modificarea acestei setări. Următoarele liste drepturile de utilizator care conțin text de avertizare:

  • Acces la acest computer din rețea

  • Faceți Log on local

  • Bypass traverse verificarea

  • Activați computerele și utilizatorii de încredere delegare

Următoarele listează opțiunile de securitate care au avertizare și un mesaj pop-up:

  • Membru de domeniu: Digital criptarea sau semn canal securizat de date (întotdeauna)

  • Membru de domeniu: Necesită strong (Windows 2000 sau o versiune ulterioară) cheie sesiune

  • Controler de domeniu: LDAP server cerințe de semnare

  • Microsoft network server: Digitally sign communications (always)

  • Network Access: Permite anonim Sid / nume de traducere

  • Network Access: Nu se permite anonim enumerarea SAM conturi și acțiuni

  • Securitate de rețea: nivel de autentificare LAN Manager

  • Audit: Shut down sistem imediat dacă nu reușiți să faceți log Auditurile de securitate

  • Network Access: Client LDAP cerințe de semnare

Mai multe informații

Secțiunile următoare descriu incompatibilităţi care pot apărea atunci când modificați setările specifice în domenii de Windows NT 4.0, Windows 2000 domenii și domenii de Windows Server 2003.

Drepturi de utilizator

Următoarea listă descrie dreptul de utilizator, setările de configurare care poate provoca probleme, identifică descrie de ce trebuie să se aplice utilizatorului chiar și de ce este posibil să doriți să eliminați dreptul de utilizator și oferă exemple de probleme de compatibilitate care pot apărea atunci când utilizatorul dreapta este configurat.

  1. Acces la acest computer din rețea

    1. Fundal

      Capacitatea de a interacționa cu computerele bazate pe Windows la distanță necesită acces la acest computer din rețea dreptul de utilizator. Exemple de astfel de operațiuni rețea includ următoarele:

      • Replicare Active Directory între controlerele de domeniu într-un domeniu comun sau pădure

      • Solicitări de autentificare la controlerele de domeniu de utilizatori și de computere

      • Acces la folderele partajate, imprimantele și alte servicii de sistem care se află pe computere la distanță în rețea



      Utilizatori, computere și conturile de serviciu obţine sau pierde acces la acest computer din rețea utilizatorului dreptul de a fi explicit sau implicit adăugat sau eliminat dintr-un grup de securitate care s-au acordat acest drept de utilizator. De exemplu, un cont de utilizator sau un cont de computer pot fi adăugate în mod explicit la un grup de securitate particularizate sau un grup de securitate de un administrator, sau poate fi adăugat implicit de sistemul de operare la un grup de securitate calculat, cum ar fi utilizatorii de domeniu, autentificat Utilizatorii sau controlerele de domeniu Enterprise.

      În mod implicit, conturile de utilizator și conturile de computer se acordă utilizatorului acces la acest computer din rețea dreapta când calculat grupuri, astfel ca toată lumea sau preferat, Authenticated Users și, pentru controlerele de domeniu, grupul de controlere de domeniu Enterprise , sunt definite în controlerele de domeniu implicit obiectul politică de grup (GPO).

    2. Configurații de risc

      Setările de configurare dăunătoare sunt următoarele:

      • Eliminarea grupul de securitate Enterprise Domain Controllers din acest drept de utilizator

      • Eliminarea grupul de utilizatori autentificați sau un grup explicit care permite utilizatorilor, computerelor și conturile de servicii dreptul de utilizator pentru a vă conecta la computere prin rețea

      • Eliminarea tuturor utilizatorilor și computerele de la acest utilizator

    3. Motive pentru a acorda acest drept de utilizator

      • Acordarea de acces la acest computer din rețea dreptul de utilizator la grupul de controlere de domeniu Enterprise îndeplinește cerințele de autentificare necesare pentru ca reproducerea Active Directory pentru reproducerea să aibă între controlere de domeniu în aceeași pădure.

      • Acest utilizator permite utilizatori şi computere pentru a accesa fișierele partajate, imprimantele și serviciile de sistem, inclusiv Active Directory.

      • Acest drept de utilizator este necesar pentru ca utilizatorii să acceseze mail utilizând primele versiuni de Microsoft Outlook Web Access (OWA).

    4. Motive pentru a elimina acest drept de utilizator

      • Utilizatorii care se poate conecta computerele lor la rețea poate accesa resurse pe computere la distanță care au permisiuni pentru. De exemplu, acest drept de utilizator este necesar pentru un utilizator pentru conectarea la imprimante partajate și la foldere. Dacă acest utilizator este acordat pentru oricine grup, și dacă unele foldere partajate aveți permisiunile pentru partajare și permisiunile de sistem de fișiere NTFS configurat astfel încât același grup are acces de citire, oricine poate vedea fișierele în acele Foldere partajate. Cu toate acestea, aceasta este o situație improbabil pentru instalările nouă de Windows Server 2003, deoarece partajarea implicită și permisiunile NTFS în Windows Server 2003 nu include grupul Everyone. Pentru sistemele care se face upgrade la Microsoft Windows NT 4.0 sau Windows 2000, acest element vulnerabil poate avea un nivel mai înalt de risc, deoarece partajarea implicită și permisiunile sistemului de fișiere pentru aceste sisteme de operare nu sunt ca restrictivă ca permisiunile implicite în Windows Server 2003.

      • Nu există nici un motiv valabil pentru eliminarea Enterprise Domain Controllers grup de la acest utilizator.

      • Grupul Everyone este eliminat în general în favoarea grupul de utilizatori autentificați. Dacă grupul Everyone este eliminat, grupul de utilizatori autentificați se acordă acest drept de utilizator.

      • Domenii de Windows NT 4.0, care se face upgrade la Windows 2000 nu explicit acordă utilizatorului acces la acest computer din rețea direct la grupul Everyone, grupul de utilizatori autentificați sau grupul de controlere de domeniu Enterprise. De aceea, când eliminați Everyone grup de politică de domeniu Windows NT 4.0, reproducerea Active Directory nu va reuși cu un mesaj de eroare "Access Denied" după ce faceți upgrade la Windows 2000. Winnt32.exe în Windows Server 2003 se evită această misconfiguration acorda Enterprise Domain Controllers grup acest drept de utilizator atunci când faceți upgrade de Windows NT 4.0 controlerele de domeniu principal (PDCs). Acordaţi grupului Enterprise Domain Controllers acest utilizator chiar dacă nu este prezentă în Group Policy Object Editor.

    5. Exemple de probleme de compatibilitate

      • Windows 2000 și Windows Server 2003: Reproducerea partițiilor următorul nu va reuși cu "Access Denied" erori raportate de monitorizare instrumente cum ar fi REPLMON și REPADMIN sau reproducerea evenimente în Jurnalul de evenimente.

        • Partiției Active Directory Schema

        • Partiție de configurare

        • Partiție de domeniu

        • Partiție de Global catalog

        • Partiție de aplicație

      • Sisteme de operare Microsoft toate rețea: Autentificare cont utilizator de pe computerele client de rețea la distanță nu va reuși dacă utilizatorul sau un grup de securitate pe care utilizatorul este membru al s-au acordat acest drept de utilizator.

      • Sisteme de operare Microsoft toate rețea: Autentificare cont de rețea la distanță clienții nu va reuși dacă contul sau un grup de securitate contul este membru al s-au acordat acest utilizator direct. Acest scenariu se aplică pentru conturile de utilizator, conturile de computer, și conturile de serviciu.

      • Sisteme de operare Microsoft toate rețea: Eliminați toate conturile de la acest drept de utilizator va împiedica orice cont de logare pe domeniul sau la accesarea resursele de rețea. Dacă calculată grupuri, cum ar fi Enterprise Domain Controllers, sunt eliminate toate persoanele sau utilizatori autentificați, ce trebuie să acorde explicit acest drept de utilizator la conturi sau grupuri de securitate care contul este membru al pentru acces la computere la distanță prin rețea. Acest scenariu se aplică la toate conturile de utilizator, toate conturile de computer și pentru toate conturile de servicii.

      • Sisteme de operare Microsoft toate rețea: Contul de local administrator utilizează o parolă "vidă". Conectivitate la rețea cu parole necompletate nu este permisă pentru conturile de administrator într-un mediu de domeniu. Cu această configurație, vă puteţi aştepta să primiți un mesaj de eroare "Access Denied".

  2. Permite log on local

    1. Fundal

      Utilizatorii care încearcă să faceți log on la consola un computer bazat pe Windows (utilizând comanda rapidă de tastatură CTRL + ALT + DELETE) și conturile pe care încercați să porniți un serviciu trebuie să aveți privilegii de log on local pe computerul gazdă. Exemple de operațiuni de log on local administratori care sunt log on la console de computere membru sau Controleri de domeniu pe parcursul utilizatorii enterprise și domeniu care sunt logon computere membru să acceseze lor desktopuri utilizând conturi non-privilegiat. Utilizatorii care folosesc o conexiune Desktop la distanță sau Terminal Services trebuie să aveți utilizatorul permite log on local direct de pe computerele destinație care se execută Windows 2000 sau Windows XP, deoarece aceste moduri de conectare sunt considerate local computer gazdă. Utilizatorii care se face Log on la un server care are activat Terminal Server și care nu au acest drept de utilizator poate încă începe o sesiune interactiv la distanță în domenii de Windows Server 2003 dacă au utilizator permite log on prin Terminal Services .

    2. Configurații de risc

      Setările de configurare dăunătoare sunt următoarele:

      • Eliminarea grupurilor de securitate administrative, inclusiv operatorii de cont, operatorii de copiere de rezervă, operatorii de imprimare sau operatori Server, și grupului de administratori predefinite din controlerul de domeniu implicit politică.

      • Eliminarea conturile de servicii, care sunt utilizate de componente și de programe pe computere membru și pe controlerele de domeniu din domeniu din controlerul de domeniu implicit politică.

      • Eliminarea utilizatori sau grupuri de securitate, faceți Log on la consola de computere membru în domeniu.

      • Eliminarea conturile de servicii, care sunt definite în Security Accounts (Manager SAM) bază de date locală de computere membru sau computerele grupului de lucru.

      • Eliminarea non-construit-în conturi administrative care sunt autentificare prin Terminal Services care se execută pe un controler de domeniu.

      • Adăugarea toate conturile de utilizator din domeniu explicit sau implicit prin Everyone grup la Deny log on local de log on direct. Această configurație va împiedica utilizatorii în jurnal la orice computer membru sau orice controler de domeniu din domeniu.

    3. Motive pentru a acorda acest drept de utilizator

      • Utilizatorii trebuie să aveți dreptul de utilizator permite log on local pentru a accesa consola de lucru un computer din grupul de lucru, un computer membru sau un controler de domeniu.

      • Utilizatorii trebuie să aibă acest drept de utilizator pentru a face log on printr-o sesiune Terminal Services care se execută pe un computer bazat pe Windows 2000 membru sau un controler de domeniu.

    4. Motive pentru a elimina acest drept de utilizator

      • Eroare pentru a restricționa consola de acces la conturile de utilizator legitime pot conduce la la utilizatorii neautorizați descărcarea și executarea de cod rău intenționat pentru a modifica drepturile de utilizator.

      • Eliminarea de utilizator permite log on local dreapta împiedică conectările neautorizate pe console de computere, cum ar fi controlerele de domeniu sau servere de aplicaţii.

      • Eliminarea acestui drept de log on împiedică conturi non-domeniu de log on la consola de computere membru în domeniu.

    5. Exemple de probleme de compatibilitate

      • Servere de terminale Windows 2000: Utilizatorul permite log on local dreapta este necesar pentru ca utilizatorii să faceți log on la serverele terminale Windows 2000.

      • Windows NT 4.0, Windows 2000, Windows XP sau Windows Server 2003: Conturile de utilizator se acordă acest drept de utilizator pentru a face log on la consola de computere care execută Windows NT 4.0, Windows 2000, Windows XP sau Windows Server 2003.

      • Windows NT 4.0 și ulterioare: Pe computerele care execută Windows NT 4.0 și mai târziu, dacă adăugați permite log on local utilizatorului direct, dar tu, implicit sau explicit, de asemenea, acordă dreptul de log on Deny log on local , conturile nu va fi capabil să faceți log on la consola de domeniu controlere.

  3. Bypass traverse verificarea

    1. Fundal

      Utilizator Bypass traverse verificarea dreapta permite utilizatorului să răsfoiți folderele de în sistemul de fișiere NTFS sau în registru fără a verifica permisiunea de acces speciale Parcurgere Folder . Utilizator Bypass traverse verificarea dreapta nu permite utilizatorului să lista conținutul unui folder. Acesta permite utilizatorului pentru a parcurge numai sale foldere.

    2. Configurații de risc

      Setările de configurare dăunătoare sunt următoarele:

      • Eliminarea conturi non-administrative care face log on pe computerele bazate pe Windows 2000 Terminal Services sau computerele bazate pe Windows Server 2003 Terminal Services care nu aveți permisiuni pentru a accesa fișierele și folderele în sistemul de fișiere.

      • Eliminarea grupul Everyone din lista de principii de securitate care au acest utilizator direct în mod implicit. Sisteme de operare Windows, și, de asemenea, multe programe, sunt proiectate cu aşteptare că oricine poate accesa în mod legitim computerul va avea utilizator Bypass traverse verificarea dreapta. De aceea, eliminarea Everyone grup din lista de principii de securitate care au acest drept de utilizator implicit pot conduce la instabilitatea sistemului de operare sau la erori de program. Este bine să lăsați această setare implicită.

    3. Motive pentru a acorda acest drept de utilizator

      Setarea implicită pentru utilizator Bypass traverse verificarea dreapta este de a permite oricui să bypass traverse de verificare. Pentru administratorii de sistem cu Windows, acesta este comportamentul normal, și ele configurați listele de control fișier sistem de acces (SACLs) în mod corespunzător. Singurul scenariu în cazul în care configurația implicită poate conduce la un incident este dacă administratorul care configurează permisiuni nu înțelege comportamentul și așteaptă ca utilizatorii care nu pot accesa un folder părinte nu va putea accesa conținutul orice copil foldere.

    4. Motive pentru a elimina acest drept de utilizator

      Pentru a împiedica accesul la fișierele sau folderele în sistemul de fișiere, poate fi tentat organizațiile care sunt foarte preocupat de securitate pentru a elimina grupul Everyone, sau chiar grupul de utilizatori, din lista de grupuri care au Bypass traverse de verificare dreptul de utilizator.

    5. Exemple de probleme de compatibilitate

      • Windows 2000, Windows Server 2003: Dacă utilizatorul Bypass traverse verificarea dreapta s-a eliminat sau este configurat incorect pe computere care execută Windows 2000 sau Windows Server 2003, setările politicii de grup în folderul SYVOL nu va reproduce între controlerii de domeniu din domeniu.

      • Windows 2000, Windows XP Professional, Windows Server 2003: Computerele care execută Windows 2000, Windows XP Professional sau Windows Server 2003 va jurnalul de evenimente 1000 și 1202 și nu va putea să aplice politica computerului și politica de utilizator atunci când permisiunile sistemului de fișiere necesare sunt eliminate din arborele SYSVOL dacă Bypass Traverse verificarea dreptul de utilizator s-a eliminat sau este configurat incorect.

        Pentru mai multe informaţii, faceţi clic pe următorul număr de articol pentru a vedea articolul în baza de cunoştinţe Microsoft:

        ID eveniment 1000, 1001 este înregistrat fiecare cinci minute în Jurnalul de evenimente al aplicației
         

      • Windows 2000, Windows Server 2003: Pe computerele care execută Windows 2000 sau Windows Server 2003, în fila cotă în Windows Explorer va dispărea atunci când Vizualizați proprietățile pe un volum.

      • Windows 2000: Non-administratori care fac log on la un server terminal Windows 2000 posibil să primiți următorul mesaj de eroare:

        Eroare de aplicație userinit.exe. Aplicația nu a reușit inițializarea corect 0xc0000142, faceți clic pe OK pentru a termina aplicația.

      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Utilizatorii ale căror computere se execută Windows NT 4.0, Windows 2000, Windows XP sau Windows Server 2003 nu poate fi capabil să acceseze folderele partajate sau fișierele în folderele partajate, şi pot primi mesaje de eroare "Access Denied" dacă nu se acordă Bypass traverse verificarea dreptul de utilizator.


        Pentru mai multe informaţii, faceţi clic pe următorul număr de articol pentru a vedea articolul în baza de cunoştinţe Microsoft:

        "Access Denied" mesaj de eroare atunci când utilizatorii încearcă să acceseze folderele partajate
         

      • Windows NT 4.0: Pe computerele cu Windows NT 4.0, eliminarea de utilizator Bypass traverse verificarea dreapta va provoca o copie de fișier să renunțe la fluxurile de fișier. Dacă eliminați acest drept de utilizator, atunci când un fișier este copiat de la un client Windows sau de la un client Macintosh la un controler de domeniu Windows NT 4.0, care se execută serviciile pentru Macintosh, flux de fișiere destinație se pierde și fișierul apare ca un fișier text.

      • Microsoft Windows 95, Microsoft Windows 98: Pe un computer client care execută Windows 95 sau Windows 98, net use * / home comandă nu va reuși cu un mesaj de eroare "Access Denied" dacă grupul de utilizatori autentificați nu se acordă dreptul de utilizator Bypass traverse de verificare .

      • Outlook Web Access: Non-administratori nu va putea să faceți log on în Microsoft Outlook Web Access, și vor primi un mesaj de eroare "Access Denied" dacă nu se acordă dreptul de utilizator Bypass traverse de verificare .

Setările de securitate

Lista de mai jos identifică o setare de securitate și lista imbricată furnizează o descriere despre setarea de securitate, identifică setările de configurare care poate provoca probleme, descrie de ce ar trebui să se aplice setarea de securitate, și apoi descrie motivele ce poate doriți să eliminați setarea de securitate. Lista imbricată, apoi furnizează un nume simbolic pentru setarea de securitate și calea registry setarea de securitate. În cele din urmă, sunt furnizate exemple de probleme de compatibilitate care pot apărea atunci când setarea de securitate este configurat.

  1. Audit: Shut down sistem imediat dacă nu reușiți să faceți log Auditurile de securitate

    1. Fundal

      • Audit: Shut down sistem imediat dacă nu reușiți să faceți log Auditurile de securitate setare stabileşte dacă sistemul se închide dacă nu vă puteți conecta evenimentele de securitate. Această setare este necesar pentru programul de încredere Computer Security evaluare criterii (TCSEC) C2 evaluare și criterii comune pentru informații despre tehnologia evaluare securitate pentru a preveni evenimente se pot audita dacă sistemul de audit imposibil de făcut log aceste evenimente. Dacă sistemul de audit nu reușește, sistemul se închide și se afișează un mesaj de eroare Stop.

      • În cazul în care computerul nu poate înregistra evenimente în Jurnalul de securitate, critice dovada sau informații de depanare important este să nu fie disponibile pentru revizuire după un incident de securitate.

    2. Configurare risc

      Mai jos se află o setare de configurare dăunătoare: Audit: Shut down sistem imediat dacă nu reușiți să faceți log Auditurile de securitate este activată setarea și dimensiunea Jurnalul de evenimente de securitate este limitată de nu suprascrie evenimente (debifați jurnal manual) , opțiunea de suprascriere evenimente ca necesare , fie opțiunea de Suprascriere evenimente mai vechi decât numărul de zile în Vizualizator evenimente. Consultați secțiunea "Exemple de probleme de compatibilitate" pentru informații despre riscuri specifice pentru computerele care execută versiunea originală lansată de Windows 2000, Windows 2000 Service Pack 1 (SP1), Windows 2000 SP2 sau Windows 2000 SP3.

    3. Motive pentru a activa această setare

      În cazul în care computerul nu poate înregistra evenimente în Jurnalul de securitate, critice dovada sau informații de depanare important este să nu fie disponibile pentru revizuire după un incident de securitate.

    4. Motive pentru a dezactiva această setare

      • Activarea Audit: Shut down sistem imediat dacă nu reușiți să faceți log Auditurile de securitate setarea sistemului se oprește dacă un audit de securitate nu poate fi conectat din orice motiv. De obicei, un eveniment nu poate fi înregistrat atunci când Jurnalul de audit de securitate este complet și atunci când metoda reținerea specificat este opțiunea nu suprascrie evenimente (debifați jurnal manual) sau opțiunea de Suprascriere evenimente mai vechi decât numărul de zile .

      • Sarcina de administrare a activarea Audit: Shut down sistem imediat dacă nu reușiți să faceți log Auditurile de securitate setare poate fi foarte mare, mai ales dacă, de asemenea, activați opțiunea nu suprascrie evenimente (debifați jurnal manual) pentru Jurnalul de securitate. Această setare furnizează accountability individuale de operator acțiuni. De exemplu, un administrator poate reinițializa permisiunile pentru utilizatori, computere și grupuri dintr-o unitate organizațională (OU) în cazul în care a fost activată auditarea utilizând contul de administrator predefinit sau alt cont partajat toate și apoi refuza că ele Reinițializare aceste permisiuni. Cu toate acestea, care să permită setarea reduce robusteţea a sistemului, deoarece un server poate fi obligat să închideți cople it cu evenimentele de log on și cu alte evenimente de securitate care sunt scrise în Jurnalul de securitate. În plus, deoarece închiderea nu este elegantă, ireparabil pentru sistemul de operare, programe sau date poate avea ca rezultat. În timp ce NTFS garantează menținerea integrității sistemul de fișiere în timpul închiderii unui sistem dizgraţios, acesta nu poate garanta că fiecare fișier de date pentru fiecare program va fi într-o formă uşor de utilizat când sistemul repornește.

    5. Nume simbolic:

      CrashOnAuditFail

    6. Cale de registry:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

    7. Exemple de probleme de compatibilitate

      • Windows 2000: Din cauza unui defect, computere care execută versiunea originală lansată de Windows 2000, Windows 2000 SP1, Windows 2000 SP2 sau Windows Server SP3 poate opri înregistrarea în jurnal evenimente înainte de dimensiunea specificată în Maximum log size opțiunea de securitate Jurnalul de evenimente este accesibil. Această problemă este rezolvată în Windows 2000 Service Pack 4 (SP4). Asigurați-vă că Windows 2000 Service Pack 4 instalat înainte să luați în considerare activarea această setare de controlere de domeniu Windows 2000.

        Pentru mai multe informaţii, faceţi clic pe următorul număr de articol pentru a vedea articolul în baza de cunoştinţe Microsoft:

        Jurnalul de evenimente se opreşte înregistrarea în jurnal evenimente înainte de a ajunge la dimensiunea maximă jurnal
         

      • Windows 2000, Windows Server 2003: Computerele care execută Windows 2000 sau Windows Server 2003 poate înceta să răspundă și apoi să spontan reporniți dacă Audit: Shut down sistem imediat dacă nu reușiți să faceți log Auditurile de securitate este activată setarea, Jurnalul de securitate este complet și existent nu poate fi suprascris intrarea de jurnal de evenimente. Când computerul repornește, apare următorul mesaj de eroare Stop:

        STOP: C0000244 {Audit Failed}
        Încercarea de a genera un audit de securitate nu a reușit.

        Pentru a recupera, un administrator trebuie să faceți log on, Arhiva Jurnalul de securitate (opțional), debifați Jurnalul de securitate și apoi reinițializa această opțiune (opțională și nevoie).

      • Microsoft Network Client pentru MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Non-administratori pe care încercați să faceți log on la un domeniu, veți primi următorul mesaj de eroare:

        Contul este configurat pentru a împiedica utilizarea acestui computer. Încercați alt computer.

      • Windows 2000: Pe computerele Windows 2000, non-administratori nu va putea să faceți log on la serverele de acces la distanță și vor primi un mesaj de eroare asemănător cu următorul:

        Utilizator necunoscut sau parolă rău

        Pentru mai multe informaţii, faceţi clic pe următorul număr de articol pentru a vedea articolul în baza de cunoştinţe Microsoft:

        Mesaj de eroare : contul este configurat pentru a împiedica utilizarea acest computer
         

      • Windows 2000: Pe controlerele de domeniu Windows 2000, Intersite Messaging service (Ismserv.exe) se va opri și nu poate fi repornit. DCDIAG raportează eroarea ca "failed test services ISMserv" și event ID 1083 va fi înregistrate în jurnal.

      • Windows 2000: Pe controlerele de domeniu Windows 2000, reproducerea Active Directory nu va reuși și un mesaj "Access Denied" va apărea dacă jurnalul de evenimente de securitate este plină.

      • Microsoft Exchange 2000: Serverele care execută Exchange 2000 nu va putea să montați baza de date de depozit de informații și evenimente 2102 va fi înregistrate în jurnal.

      • Outlook, Outlook Web Access: Non-administratori nu va putea accesa lor mail Microsoft Outlook sau prin Microsoft Outlook Web Access, și vor primi o eroare 503.

  2. Controler de domeniu: server LDAP cerințe de semnare

    1. Fundal

      Controler de domeniu: server LDAP semnarea cerințele setarea de securitate determină dacă serverul Lightweight Directory Access Protocol (LDAP) necesită LDAP clienții să negocieze date semnarea. Valori posibile pentru această setare de politică sunt după cum urmează:

      • None: Data de semnare nu este necesar pentru a lega cu serverul. Dacă clientul solicită date semnarea, acceptată de server.

      • Solicita semnarea: Opțiunea de semnare date LDAP trebuie să fie negociat decât dacă se utilizează Transport Layer Security/Secure Socket Layer (TLS/SSL).

      • nedefinit: Această setare nu este activat sau dezactivat.

    2. Configurații de risc

      Setările de configurare dăunătoare sunt următoarele:

      • Activarea necesită semnarea în medii, în cazul în care clienții nu acceptă semnarea LDAP sau în cazul în care partea client LDAP semnarea nu este activat pe client

      • Aplicarea Windows 2000 sau Windows Server 2003 Hisecdc.inf securitate șablonul în medii în cazul în care clienții nu acceptă semnarea LDAP sau în cazul în care partea client LDAP semnarea nu este activată

      • Aplicarea Windows 2000 sau Windows Server 2003 Hisecws.inf securitate șablonul în medii în cazul în care clienții nu acceptă semnarea LDAP sau în cazul în care partea client LDAP semnarea nu este activată

    3. Motive pentru a activa această setare

      Nesemnate traficul de rețea este sensibil la atacuri om în mijlocul în cazul în care un intrus surprinde pachete între client și server, modifică pachetele și apoi le redirecționează la server. Când acest comportament se produce pe un server LDAP, un atacator poate provoca un server pentru a lua decizii pe care se bazează pe fals interogări de la LDAP client. Poate reduce acest risc într-o rețea de firmă de aplicare puternică fizice de securitate pentru a proteja infrastructura de rețea. Internet Protocol security (IPSec) antet modul de autentificare poate ajuta la prevenirea atacurilor de om în mijlocul. Modul de antet de autentificare efectuează autentificare reciprocă și integritatea pachet pentru traficul IP.

    4. Motive pentru a dezactiva această setare

      • Clienții care nu acceptă semnarea LDAP nu va putea să efectueze interogări LDAP împotriva controlerele de domeniu și cataloage globale dacă autentificarea NTLM se negociază și pachetele de service corecte nu sunt instalate pe controlerele de domeniu Windows 2000.

      • Rețea urme de trafic LDAP între clienții și serverele vor fi criptate. Acest lucru este dificil să examinați LDAP conversații.

      • Serverele bazate pe Windows 2000 trebuie să aveți instalat Windows 2000 Service Pack 3 (SP3) sau atunci când acestea sunt administrate cu programe care suport LDAP semnarea care se execută de pe computerele client care se execută Windows 2000 SP4, Windows XP sau Windows Server 2003. Pentru mai multe informații, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:

        Controlerele de domeniu Windows 2000 necesită Service Pack 3 sau o versiune ulterioară, atunci când se utilizează Windows Server 2003 administration tools
         

    5. Nume simbolic:

      LDAPServerIntegrity

    6. Cale de registry:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

    7. Exemple de probleme de compatibilitate

      • Simplă leagă nu va reuși și veți primi următorul mesaj de eroare:

        Ldap_simple_bind_s() nu a reușit: Strong autentificare necesare.

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Clienţii care execută Windows 2000 SP4, Windows XP sau Windows Server 2003, unele instrumente de administrare Active Directory nu va funcţiona corect împotriva controlerele de domeniu care execută versiuni de Windows 2000 care sunt anterioare SP3 când NTLM autentificarea se negociază.

        Pentru mai multe informaţii, faceţi clic pe următorul număr de articol pentru a vedea articolul în baza de cunoştinţe Microsoft:

        Controlerele de domeniu Windows 2000 necesită Service Pack 3 sau o versiune ulterioară, atunci când se utilizează Windows Server 2003 administration tools
         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Clienţii care execută Windows 2000 SP4, Windows XP sau Windows Server 2003, unele instrumente de administrare Active Directory ca ţintă controlerele de domeniu care execută versiuni de Windows 2000 care sunt anterioare SP3 nu va funcţiona corect dacă sunt utilizarea IP adrese (de exemplu, "dsa.msc a =x.x.x.x" în cazul în care
        x.x.x.x este o adresă IP).


        Pentru mai multe informaţii, faceţi clic pe următorul număr de articol pentru a vedea articolul în baza de cunoştinţe Microsoft:

        Controlerele de domeniu Windows 2000 necesită Service Pack 3 sau o versiune ulterioară, atunci când se utilizează Windows Server 2003 administration tools
         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Clienţii care execută Windows 2000 SP4, Windows XP sau Windows Server 2003, unele instrumente de administrare Active Directory ca ţintă controlerele de domeniu care execută versiuni de Windows 2000 care sunt anterioare SP3 va nu funcționează corect.

        Pentru mai multe informaţii, faceţi clic pe următorul număr de articol pentru a vedea articolul în baza de cunoştinţe Microsoft:

        Controlerele de domeniu Windows 2000 necesită Service Pack 3 sau o versiune ulterioară, atunci când se utilizează Windows Server 2003 administration tools
         

  3. Membru de domeniu: necesită puternică cheie de sesiune (Windows 2000 sau o versiune ulterioară)

    1. Fundal

      • Membru de domeniu: necesită puternică (Windows 2000 sau o versiune ulterioară) cheie sesiune setare stabileşte dacă poate stabili un canal securizat cu un controler de domeniu care nu pot fi criptate canal securizat traficul cu o cheie de sesiune puternică, 128 de biți. Activarea această setare împiedică stabilirea un canal securizat cu orice controler de domeniu care nu pot fi criptate canal securizat date cu o cheie puternică. Dezactivaţi această setare permite cheile de sesiune de 64 de biți.

      • Înainte, aveți posibilitatea să activați această setare de pe o stație de lucru membru sau pe un server, toate controlerele de domeniu în domeniul care aparține membru trebuie să poată cripta date canal securizat cu o cheie de 128 de biți puternică. Aceasta înseamnă că toate controlerele de domeniu trebuie să executați Windows 2000 sau o versiune ulterioară.

    2. Configurare risc

      Activarea membru de domeniu: necesită puternică (Windows 2000 sau o versiune ulterioară) cheie sesiune setarea este o setare de configurare dăunătoare.

    3. Motive pentru a activa această setare

      • Sesiune de chei care sunt utilizate pentru a stabili canal securizat de comunicare între computere membre şi Controleri de domeniu sunt mult mai puternic în Windows 2000 decât în versiunile anterioare de sisteme de operare Microsoft.

      • Atunci când este posibil, este o idee bună să beneficiați de aceste chei de sesiune mai puternic pentru a proteja communications canal securizat de interceptarea și de sesiune deturnarea atacurilor de reţea. Eavesdropping este o formă de atac rău intenționat, unde datele de rețea este citit sau este modificat în tranzit. Datele pot fi modificate pentru a ascunde sau pentru a modifica expeditorul sau să-l redirecționați.

      Important Un computer care execută Windows Server 2008 R2 sau Windows 7 acceptă numai chei puternic atunci când sunt utilizate canalele securizat. Această restricție împiedică o relație de încredere între orice domeniu bazat pe Windows NT 4.0 și orice domeniu bazat pe Windows Server 2008 R2. În plus, această restricție blochează membru de domeniu Windows NT 4.0 de computere care execută Windows 7 sau Windows Server 2008 R2, și invers.

    4. Motive pentru a dezactiva această setare

      Domeniul conține membru computere care execută sisteme de operare decât Windows 2000, Windows XP sau Windows Server 2003.

    5. Nume simbolic:

      StrongKey

    6. Cale de registry:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

    7. Exemple de probleme de compatibilitate

      Windows NT 4.0: Pe computerele cu Windows NT 4.0, resetarea securizat de canale de relații de încredere între domenii de Windows 2000 cu NLTEST și Windows NT 4.0 nu reușește. Apare un mesaj de eroare "Access Denied":

      Relație de încredere între primar de domeniu și domeniu de încredere nu a reușit.

      Windows 7 şi Server 2008 R2: Pentru Windows 7 și versiunile ulterioare și Windows Server 2008 R2 și versiunile ulterioare, această setare nu este onoare mai și cheia puternică se utilizează întotdeauna. Din acest motiv, trusts cu Windows NT 4.0 domenii funcționează mai.

  4. Membru de domeniu: Digital criptarea sau semn canal securizat de date (întotdeauna)

    1. Fundal

      • Activarea membru de domeniu: Digital criptarea sau semn canal securizat de date (always) împiedică stabilirea un canal securizat cu orice controler de domeniu care nu poate semna sau cripta toate datele de canal securizat. Pentru a ajuta la protejarea trafic de autentificare la om în mijlocul atacurilor, atacurilor de reluare și alte tipuri de atacuri de rețea, computerele bazate pe Windows creează un canal de comunicare, care este cunoscută ca un canal securizat prin serviciul Net Logon la autentifica conturile de computer. Canale sigure, de asemenea, sunt utilizate atunci când un utilizator într-un domeniu se conectează la o resursă de rețea într-un domeniu la distanță. Această multidomain autentificare sau autentificarea directă, permite un computer Windows care are asociat unui domeniu pentru a avea acces la baza de date de cont de utilizator din domeniu său și din toate domeniile de încredere.

      • Pentru a activa membru de domeniu: Digital criptarea sau semn canal securizat de date (always) setarea pe un computer membru, toate controlerele de domeniu în domeniul care aparține membru trebuie să poată semna sau cripta toate datele de canal securizat. Acest lucru înseamnă că toate astfel de controlere de domeniu trebuie să executați Windows NT 4.0 cu Service Pack 6a (SP6a) sau o versiune ulterioară.

      • Activarea membru de domeniu: Digital criptarea sau semn canal securizat de date (always) setarea automat permite membru de domeniu: Digital criptarea sau semn date canal securizat (atunci când este posibil) setare.

    2. Configurare risc

      Activarea membru de domeniu: Digital criptarea sau semn canal securizat de date (always) în domenii unde nu toate controlerele de domeniu poate semna sau cripta date canal securizat este o setare de configurare dăunătoare.

    3. Motive pentru a activa această setare

      Nesemnate traficul de rețea este sensibil la atacuri om din mijloc, în cazul în care un intrus surprinde pachete între client și server și apoi le modifică înainte de a le redirecționarea către client. Când acest comportament se produce pe un server Lightweight Directory Access Protocol (LDAP), intrusul poate provoca un client a lua decizii pe care se bazează pe fals înregistrările din directorul LDAP. Poate reduce riscul de un astfel de atac pe o rețea de firmă de aplicare puternică fizice de securitate pentru a proteja infrastructura de rețea. În plus, implementarea Internet Protocol security (IPSec) modul de antet de autentificare poate ajuta la prevenirea atacurilor de om în mijlocul. Acest mod efectuează autentificare reciprocă și integritatea pachet pentru traficul IP.

    4. Motive pentru a dezactiva această setare

      • Computerele în domenii local sau extern acceptă canalele criptate securizat.

      • Nu toate controlerele de domeniu din domeniu au corespunzător service pack revizie niveluri pentru a accepta canalele criptate securizat.

    5. Nume simbolic:

      StrongKey

    6. Cale de registry:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

    7. Exemple de probleme de compatibilitate

      • Windows NT 4.0: Computerele bazate pe Windows 2000 membru nu va fi capabil să se alăture domenii Windows NT 4.0 și veți primi următorul mesaj de eroare:

        Contul nu este autorizat să vă conectaţi la acest post de radio.

        Pentru mai multe informaţii, faceţi clic pe următorul număr de articol pentru a vedea articolul în baza de cunoştinţe Microsoft:

        Mesaj de eroare : contul nu este autorizat de conectare la acest post de radio
         

      • Windows NT 4.0: Domenii de Windows NT 4.0 nu va putea stabili un nivel de încredere cu un domeniu Windows 2000 și veți primi următorul mesaj de eroare:

        Contul nu este autorizat să vă conectaţi la acest post de radio.

        Existente nivel trusts poate, de asemenea, nu se autentifică utilizatorii dintr-un domeniu de încredere. Unii utilizatori pot avea probleme de log on la domeniu, și poate să apară un mesaj de eroare care afirmă că clientul nu poate găsi un domeniu.

      • Windows XP: Clienții Windows XP, care sunt asociate la domeniile de Windows NT 4.0 nu va putea autentifica log on și posibil să primiți următorul mesaj de eroare sau următoarele evenimente pot fi înregistrate în Jurnalul de evenimente:

        Windows nu se poate conecta la domeniu deoarece controlerul de domeniu este oprit sau este indisponibil sau deoarece contul computerului nu s-a găsit

      • Microsoft Network: Microsoft Network clienții vor primi unul dintre următoarele mesaje de eroare:

        Log on nereușit: nume de utilizator necunoscut sau parolă rău.

        Nu există nici o cheie de sesiune de utilizator pentru sesiune specificat.

  5. Microsoft network client: Digitally sign communications (always)

    1. Fundal

      Bloc de mesaj server (SMB) este protocolul partajarea resurselor care este acceptat de mai multe sisteme de operare Microsoft. Este baza de sistem de intrare-ieșire bază rețea (NetBIOS) și multe alte protocoale. Semnarea SMB autentifică atât de utilizator și serverul care găzduiește datele. Dacă oricare nu reușește procesul de autentificare, transmisie de date nu se va produce.

      Activarea pornește în timpul SMB protocol negociere de semnare SMB. Politicile de semnare SMB se determină dacă computerul semne întotdeauna digital client communications.

      Protocolul de autentificare Windows 2000 SMB acceptă autentificare reciprocă. Autentificare reciprocă se închide un atac "om-în--mijloc". Protocolul de autentificare Windows 2000 SMB acceptă, de asemenea, mesajul de autentificare. Mesaj de autentificare ajută la prevenirea atacurilor active mesaj. Pentru a vă oferi autentificarea, semnarea SMB pune o semnătură digitală în fiecare SMB. Clientul și serverul verifica semnătura digitală.

      Pentru a utiliza semnarea SMB, trebuie să activați semnarea SMB sau necesită atât SMB client și SMB server de semnare SMB. Dacă semnarea SMB este activată pe un server, clienții care au activat și utilizarea de semnare pachet semnare protocol în timpul sesiunilor toate ulterioare SMB. Dacă semnarea SMB este necesară pe un server, un client nu poate stabili o sesiune decât dacă clientul este activat sau necesar pentru semnarea SMB.


      Activarea semnarea digitală în rețele de securitate înaltă ajută la prevenirea asumare de clienți și de servere. Acest tip de asumare este cunoscută ca sesiune deturnarea. Un atacator care are acces la aceeași rețea ca client sau server utilizează sesiune deturnarea instrumente pentru a întrerupe, încheia sau furat o sesiune în curs de desfășurare. Un atacator poate intercepta modifica nesemnate SMB pachete, modifica traficul și apoi să-l astfel încât server poate efectua acțiuni nedorite. Sau, atacatorul poate reprezenta ca server sau client după autentificare un legitime și apoi acces neautorizat la date.

      Protocolul SMB care este utilizat pentru partajarea de fișiere și partajare de imprimare din computere care execută Windows 2000 Server, Windows 2000 Professional, Windows XP Professional sau Windows Server 2003 acceptă autentificare reciprocă. Autentificare reciprocă se închide sesiunea deturnarea atacuri și acceptă autentificare mesaj. Prin urmare, previne atacurile om din mijloc. Semnarea SMB furnizează autentificarea prin plasarea o semnătură digitală în fiecare SMB. Client și server, apoi verificați semnătura.

      Note

      • Ca un ea alternativă, aveți posibilitatea să activați semnături digitale cu IPSec pentru a proteja tot traficul de reţea. Există acceleratoarele bazate pe hardware-ul pentru criptare IPSec și care se pot utiliza pentru a minimiza impactul performanță de CPU pe serverul de semnare. Nu există nicio astfel acceleratoarele care sunt disponibile pentru semnarea SMB.

        Pentru mai multe informații, consultați capitolul pe site-ul Web Microsoft MSDN.

        Configurați semnarea SMB prin Group Policy Object Editor pentru că o modificare de la o valoare de local registry nu are efect dacă există o politică de domeniu superior.

      • În Windows 95, Windows 98 și Windows 98 Second Edition, Directory Services Client utilizează semnarea SMB când se autentifică cu servere Windows Server 2003 utilizând autentificarea NTLM. Cu toate acestea, acești clienți nu utilizați atunci când acestea se autentifică cu aceste servere utilizând autentificarea NTLMv2 de semnare SMB. În plus, serverele Windows 2000 nu răspunde la cererile de la acești clienți de semnare SMB. Pentru mai multe informații, consultați element 10: "securitate de rețea: Lan Manager nivel de autentificare."

    2. Configurare risc

      Mai jos se află o setare de configurare dăunătoare: lăsând ambele Microsoft network client: Digitally sign communications (always) setarea și Microsoft network client: Digitally sign communications (dacă serverul este de acord) setarea setată la " Nu este definit"sau dezactivat. Aceste setări vă permit redirector să trimiteți text simplu parolele la serverele Microsoft SMB care nu acceptă criptarea parola în timpul autentificare.

    3. Motive pentru a activa această setare

      Activarea Microsoft network client: Digitally sign communications (always) necesită clienții să semneze Trafic SMB când contacta serverele care nu necesită semnarea SMB. Acest lucru face mai vulnerabile la sesiunea deturnarea atacuri clienții.

    4. Motive pentru a dezactiva această setare

      • Activarea Microsoft network client: Digitally sign communications (always) împiedică comunicarea cu serverele țintă care nu acceptă semnarea SMB clienții.

      • Configurarea computere pentru a ignora toate comunicațiile nesemnate SMB împiedică anterioare programe și sisteme de operare conectarea.

    5. Nume simbolic:

      RequireSMBSignRdr

    6. Cale de registry:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

    7. Exemple de probleme de compatibilitate

      • Windows NT 4.0: Nu va putea să reinițializați canal securizat de o încredere între un domeniu Windows Server 2003 și un domeniu Windows NT 4.0 utilizând NLTEST sau NETDOM și veți primi un mesaj de eroare "Access Denied".

      • Windows XP: Copierea fișierelor din Windows XP clienții la serverele bazate pe Windows 2000 și la serverele bazate pe Windows Server 2003 poate dura mai mult timp.

      • Nu va putea să mapaţi o unitate de rețea de la un client având activată această setare, și veți primi următorul mesaj de eroare:

        Contul nu este autorizat să vă conectaţi la acest post de radio.

    8. Cerințe de repornire

      Reporniți computerul sau reporniți serviciul Workstation. Pentru aceasta, tastați următoarele comenzi în promptul de comandă. Apăsați Enter după fiecare comandă.

      net stop stație de lucru
      net start stație de lucru

  6. Microsoft network server: Digitally sign communications (always)

    1. Fundal

      • Server Messenger Block (SMB) este protocolul partajarea resurselor care este acceptat de mai multe sisteme de operare Microsoft. Este baza de sistem de intrare-ieșire bază rețea (NetBIOS) și multe alte protocoale. Semnarea SMB autentifică atât de utilizator și serverul care găzduiește datele. Dacă oricare nu reușește procesul de autentificare, transmisie de date nu se va produce.

        Activarea pornește în timpul SMB protocol negociere de semnare SMB. Politicile de semnare SMB se determină dacă computerul semne întotdeauna digital client communications.

        Protocolul de autentificare Windows 2000 SMB acceptă autentificare reciprocă. Autentificare reciprocă se închide un atac "om-în--mijloc". Protocolul de autentificare Windows 2000 SMB acceptă, de asemenea, mesajul de autentificare. Mesaj de autentificare ajută la prevenirea atacurilor active mesaj. Pentru a vă oferi autentificarea, semnarea SMB pune o semnătură digitală în fiecare SMB. Clientul și serverul verifica semnătura digitală.

        Pentru a utiliza semnarea SMB, trebuie să activați semnarea SMB sau necesită atât SMB client și SMB server de semnare SMB. Dacă semnarea SMB este activată pe un server, clienții care au activat și utilizarea de semnare pachet semnare protocol în timpul sesiunilor toate ulterioare SMB. Dacă semnarea SMB este necesară pe un server, un client nu poate stabili o sesiune decât dacă clientul este activat sau necesar pentru semnarea SMB.


        Activarea semnarea digitală în rețele de securitate înaltă ajută la prevenirea asumare de clienți și de servere. Acest tip de asumare este cunoscută ca sesiune deturnarea. Un atacator care are acces la aceeași rețea ca client sau server utilizează sesiune deturnarea instrumente pentru a întrerupe, încheia sau furat o sesiune în curs de desfășurare. Un atacator poate intercepta modifica nesemnate pachete de subrețea lățime de bandă Manager (SBM), modifica traficul și apoi să-l astfel încât server poate efectua acțiuni nedorite. Sau, atacatorul poate reprezenta ca server sau client după autentificare un legitime și apoi acces neautorizat la date.

        Protocolul SMB care este utilizat pentru partajarea de fișiere și partajare de imprimare din computere care execută Windows 2000 Server, Windows 2000 Professional, Windows XP Professional sau Windows Server 2003 acceptă autentificare reciprocă. Autentificare reciprocă se închide sesiunea deturnarea atacuri și acceptă autentificare mesaj. Prin urmare, previne atacurile om din mijloc. Semnarea SMB furnizează autentificarea prin plasarea o semnătură digitală în fiecare SMB. Client și server, apoi verificați semnătura.

      • Ca un ea alternativă, aveți posibilitatea să activați semnături digitale cu IPSec pentru a proteja tot traficul de reţea. Există acceleratoarele bazate pe hardware-ul pentru criptare IPSec și care se pot utiliza pentru a minimiza impactul performanță de CPU pe serverul de semnare. Nu există nicio astfel acceleratoarele care sunt disponibile pentru semnarea SMB.

      • În Windows 95, Windows 98 și Windows 98 Second Edition, Directory Services Client utilizează semnarea SMB când se autentifică cu servere Windows Server 2003 utilizând autentificarea NTLM. Cu toate acestea, acești clienți nu utilizați atunci când acestea se autentifică cu aceste servere utilizând autentificarea NTLMv2 de semnare SMB. În plus, serverele Windows 2000 nu răspunde la cererile de la acești clienți de semnare SMB. Pentru mai multe informații, consultați element 10: "securitate de rețea: Lan Manager nivel de autentificare."

    2. Configurare risc

      Mai jos se află o setare de configurare dăunătoare: activarea Microsoft network server: Digitally sign communications (always) setarea pe serverele și pe controlerele de domeniu care sunt accesate de computerele incompatibil cu Windows și terțe computerele bazate pe sistemul de operare client în domenii local sau extern.

    3. Motive pentru a activa această setare

      • Toate computerele client care activați această setare direct prin registry sau prin setarea de politică de grup acceptă semnarea SMB. Cu alte cuvinte, toate computerele client care au activată această setare executa fie Windows 95 cu clientul DS instalat, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional sau Windows Server 2003.

      • Dacă Microsoft network server: Digitally sign communications (always) este dezactivat, semnarea SMB este dezactivată complet. Dezactivarea complet toate SMB semnarea lasă computerele mai vulnerabile la sesiunea deturnarea atacuri.

    4. Motive pentru a dezactiva această setare

      • Activarea această setare poate provoca mai lente fișierul copie performanțelor de rețea și pe client computere.

      • Activarea această setare va împiedica clienții care nu negocieze la comunicarea cu serverele și cu controlerele de domeniu de semnare SMB. Acest lucru provoacă operațiuni, cum ar fi asocierile de domeniu, Autentificare utilizator și computer sau acces la rețea de programe să nu reușească.

    5. Nume simbolic:

      RequireSMBSignServer

    6. Cale de registry:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

    7. Exemple de probleme de compatibilitate

      • Windows 95: Clienții Windows 95, care nu au clientul Directory Services (DS) instalat va nu se și veți primi următorul mesaj de eroare:

        Parola de domeniu este furnizat nu este corectă sau a fost refuzat accesul la serverul de log on.

        Pentru mai multe informaţii, faceţi clic pe următorul număr de articol pentru a vedea articolul în baza de cunoştinţe Microsoft:

        mesaj de eroare atunci când un client Windows 95 sau Windows NT 4.0 log on la domeniu Windows Server 2003
         

      • Windows NT 4.0: Computerele client care execută versiuni de Windows NT 4.0, care sunt mai vechi decât Service Pack 3 (SP3) nu va reuși autentificare log on și veți primi următorul mesaj de eroare:

        Sistemul nu se poate log on. Asigurați-vă numele de utilizator şi domeniul dvs. sunt corecte, apoi tastați din nou parola.

        Unele servere Microsoft SMB acceptă numai parole necriptate schimburilor în timpul autentificare. (Schimburilor cunoscut și ca "text simplu" schimburilor.) Pentru Windows NT 4.0 SP3 și versiuni mai recente, redirector SMB nu trimite o parolă necriptate în timpul autentificare la un server SMB decât dacă adăugați o intrare de registry specifice.
        Pentru a activa parole necriptate pentru client SMB Windows NT 4.0 SP 3 și sisteme mai noi, modificaţi registry după cum urmează: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters

        Nume valoare: EnablePlainTextPassword

        Tip de date: REG_DWORD

        Data: 1


        Pentru mai multe informații despre subiecte înrudite, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:

        Mesaj de eroare : 1240 eroare de sistem. Contul nu este autorizat de conectare la acest post de radio.

      • Windows Server 2003: În mod implicit, setările de securitate pe controlerele de domeniu care execută Windows Server 2003 sunt configurate pentru a ajuta la prevenirea communications controler de domeniu interceptate sau falsificat de utilizatori rău intenționați. Pentru ca utilizatorii să comunice cu succes cu un controler de domeniu care execută Windows Server 2003, computerele client trebuie să utilizați atât semnarea SMB și criptarea sau semnarea traficul de canal securizat. În mod implicit, clienții care execută Windows NT 4.0 cu Service Pack 2 (SP2) sau instalat anterior și care se execută Windows 95 nu pachet semnarea SMB activat. Prin urmare, acești clienți nu putea autentifica la un controler de domeniu Windows Server 2003.

      • Windows 2000 și Windows Server 2003, setările de politică: În funcție de cerințele specifice de instalare și configurare, vă recomandăm să setaţi următoarele setări de politică la cea mai mică entitate de aplicare necesare în ierarhia de completare snap-in Microsoft Management Console Group Policy Editor:

        • Computer Configuration\Windows Settings\Security opțiunile de securitate

        • Trimite parole necriptate pentru conectarea la serverele de SMB terț (această setare este pentru Windows 2000)

        • Microsoft network client: trimite parola necriptate terțe SMB servere (această setare este pentru Windows Server 2003)


        Notă În unele servere de CIFS terțe, cum ar fi Samba versiuni mai vechi, aveți posibilitatea să utilizați parole criptat.

      • Clienții următoare sunt incompatibile cu Microsoft network server: Digitally sign communications (always) setare:

        • Apple Computer, Inc., clienții de Mac OS X

        • Clienții de rețea Microsoft MS-DOS (de exemplu, Microsoft LAN Manager)

        • Microsoft Windows for Workgroups clienți

        • Microsoft Windows 95 clienții fără DS Client instalat

        • Microsoft instalate pe computerele cu Windows NT 4.0 fără Service Pack 3 sau o versiune ulterioară

        • Novell Netware 6 CIFS clienți

        • SAMBA SMB clienții care nu au suport pentru semnarea SMB

    8. Cerințe de repornire

      Reporniți computerul sau repornirea serviciului Server. Pentru aceasta, tastați următoarele comenzi în promptul de comandă. Apăsați Enter după fiecare comandă.

      net stop cryptsvc
      net start server

  7. Network access: Allow anonymous SID/nume de traducere

    1. Fundal

      Network access: Allow anonymous SID/nume traducere setarea de securitate determină dacă un utilizator anonim poate solicita atribute număr de identificare de securitate (SID) pentru un alt utilizator.

    2. Configurare risc

      Activarea Network access: Allow anonymous SID/nume traducere setarea este o setare de configurare dăunătoare.

    3. Motive pentru a activa această setare

      Dacă Network access: Allow anonymous SID/nume traducere este dezactivat, anterioare de sisteme de operare sau aplicații nu poate fi capabil să comunice cu Windows Server 2003 domenii. De exemplu, următoarele sisteme de operare, servicii sau aplicații să nu funcționeze:

      • Windows NT 4.0 Remote Access servicii servere

      • Microsoft SQL Server care se execută pe computere Windows NT 4.0 sau Windows NT computerele 3.x

      • Remote Access Service care se execută pe computerele Windows 2000 care se află în domenii de Windows NT 4.0 sau Windows NT 3.x domenii

      • SQL Server care se execută pe computerele Windows 2000 care se află în Windows NT 3.x domenii sau în Windows NT 4.0 domenii

      • Utilizatorii în Windows NT 4.0 resource domeniu care doresc să Acordați permisiuni pentru a accesa fișierele, folderele partajate și obiectele de registry pentru conturile de utilizator din contul domenii care conțin controlerele de domeniu Windows Server 2003

    4. Motive pentru a dezactiva această setare

      Dacă această setare este activată, un utilizator rău intenționat ar putea utiliza bine cunoscute SID de administratori pentru a obține numele real al contul de Administrator încorporat, chiar dacă a fost redenumit contul. Persoana respectivă ar putea folosi apoi numele de cont pentru a iniţia atac logice parola.

    5. Nume simbolic: N/A

    6. Cale de registry: Nimic. Calea specificată în cod UI.

    7. Exemple de probleme de compatibilitate

      Windows NT 4.0: Computerele în Windows NT 4.0 resource domenii va afișa mesajul de eroare "Cont necunoscut" în editorul ACL dacă resurse, inclusiv folderele partajate, fișierele partajate și obiecte de registry sunt securizate cu directorii de securitate care se afla în cont domenii care conține controlerele de domeniu Windows Server 2003.

  8. Network access: nu se permite anonim enumerarea SAM conturi

    1. Fundal

      • Network access: nu se permite anonim enumerarea SAM conturi setare determină ce permisiuni suplimentare se acordă pentru conexiuni anonime pe computer. Windows permite utilizatorilor anonimi să efectueze anumite activități, cum ar fi enumerarea numele conturilor workstation și server Security Accounts (Manager SAM) și de partajări de rețea. De exemplu, un administrator poate utiliza acest lucru pentru a acorda acces utilizatorilor dintr-un domeniu de încredere care nu menține o încredere reciprocă. Odată ce se face o sesiune, un utilizator anonim poate avea același acces care este acordat pentru oricine grup bazate pe setarea din Network access: permisiuni permite toată lumea se aplică pentru utilizatorii anonimi setare sau lista de control al accesului deplin (dacl list) a obiect.

        De obicei, conexiuni anonime sunt solicitate de versiunile anterioare de clienți (nivel clienții) în timpul instalării de sesiune SMB. În aceste cazuri, o urmărire în rețea Arată că SMB proces ID (PID) este redirector de client, cum ar fi 0xFEFF în Windows 2000 sau 0xCAFE în Windows NT. RPC pot, de asemenea, să încerce să facă conexiuni anonime.

      • Important Această setare nu are impact asupra controlerii de domeniu. Pe controlerele de domeniu, acest comportament este controlată de prezența "NT AUTHORITY\ANONYMOUS log on" în "Pre-Windows 2000 compatibil Access".

      • În Windows 2000, o setare similare numit Restricții suplimentare pentru conexiuni anonime gestionează RestrictAnonymous valoarea de registry. Această valoare este după cum urmează

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA Pentru mai multe informații despre RestrictAnonymous valoarea de registry, faceți clic pe următoarele numere de articol pentru a vedea articolele în baza de cunoștințe Microsoft:

        cum se utilizează RestrictAnonymous valoarea de registry în Windows 2000
         

        restricționarea informații disponibile pentru utilizatorii de log on anonim
         

    2. Configurații de risc

      Activarea Network access: nu se permite anonim enumerarea SAM conturi setarea este o setare de configurare dăunătoare dintr-o perspectivă de compatibilitate. Dezactivarea aceasta este o setare de configurare dăunătoare dintr-o perspectivă de securitate.

    3. Motive pentru a activa această setare

      Un utilizator neautorizat poate anonim lista numele de cont și apoi utilizați informațiile pentru a încerca să parolele sau pentru a efectua atacuri de inginerie socială . Inginerie socială este doar de jargon care înseamnă că păcălindu persoane descoperirea parolele sau o formă de informații de securitate.

    4. Motive pentru a dezactiva această setare

      Dacă această setare este activată, este imposibil să stabilească trusts cu Windows NT 4.0 domenii. Această setare, de asemenea, provoacă probleme cu clienții de nivel (cum ar fi Windows NT 3.51 clienții și Windows 95) care încearcă să utilizeze resurse de pe server.

    5. Nume simbolic:


      RestrictAnonymousSAM

    6. Cale de registry:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

    7. Exemple de probleme de compatibilitate

    • Descoperirea rețelei de SMS-uri nu va putea obține informații de sistem de operare și va scrie "Necunoscut" în proprietatea OperatingSystemNameandVersion.

    • Windows 95, Windows 98: Clienții Windows 95 și Windows 98 nu va fi pentru a modifica parolele lor.

    • Windows NT 4.0: Windows NT 4.0 membru computere nu va putea autentifica.

    • Windows 95, Windows 98: Computerele bazate pe Windows 95 și Windows 98 nu va putea fi autentificate de controlere de domeniu Microsoft.

    • Windows 95, Windows 98: Utilizatorii de pe computerele Windows 95 și Windows 98 nu va putea să modificați parolele pentru conturile de utilizator.

  9. Network access: nu se permite anonim enumerarea SAM conturi și acțiuni

    1. Fundal

      • Network access: nu se permite anonim enumerarea SAM conturi și acțiuni setare (cunoscut și ca RestrictAnonymous) determină dacă enumerarea anonim partajările de conturi Security Accounts (Manager SAM) și este permisă. Windows permite utilizatorilor anonimi să efectueze anumite activități, cum ar fi enumerarea numele de conturi de domeniu (utilizatori, computere și grupuri) și de partajări de rețea. Acest lucru este convenabil, de exemplu, atunci când un administrator dorește să acorde acces utilizatorilor dintr-un domeniu de încredere care nu menține o încredere reciprocă. Dacă nu doriți să permiteți anonim enumerarea SAM conturilor și de acțiuni, activați această setare.

      • În Windows 2000, o setare similare numit Restricții suplimentare pentru conexiuni anonime gestionează RestrictAnonymous valoarea de registry. Locația de această valoare este după cum urmează:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

    2. Configurare risc

      Activarea Network access: nu se permite anonim enumerarea SAM conturi și acțiuni setarea este o setare de configurare dăunătoare.

    3. Motive pentru a activa această setare

      • Activarea Network access: nu se permite anonim enumerarea SAM conturi și acțiuni setare împiedică enumerarea partajările de utilizatori şi computere care utilizează anonim conturi și SAM conturi.

    4. Motive pentru a dezactiva această setare

      • Dacă această setare este activată, un utilizator neautorizat poate anonim lista numele de cont și apoi utilizați informațiile pentru a încerca să parolele sau pentru a efectua atacuri de inginerie socială . Inginerie socială este doar de jargon care înseamnă că păcălindu persoane dezvălui parola sau o formă de informații de securitate.

      • Dacă această setare este activată, va fi imposibil să stabilească trusts cu Windows NT 4.0 domenii. Această setare, de asemenea, va provoca probleme cu nivel de clienți, cum ar fi Windows NT 3.51 și Windows 95 clienții care încearcă să utilizeze resurse de pe server.

      • Va fi imposibil să acorde acces utilizatorilor de resurse domenii, deoarece Administratorii în domeniu de încredere nu va putea să parcurgă liste de conturi în alt domeniu. Utilizatorii care accesează fișierul și serverele de imprimare anonim nu va putea listează resursele de rețea partajat de pe serverele respective. Utilizatorii trebuie să se autentifice înainte de a le puteți vizualiza liste de foldere partajate și imprimante.

    5. Nume simbolic:

      RestrictAnonymous

    6. Cale de registry:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

    7. Exemple de probleme de compatibilitate

      • Windows NT 4.0: Utilizatorii nu vor putea să modificați parolele pe stațiile de lucru Windows NT 4.0, când RestrictAnonymous este activată pe controlerele de domeniu din domeniu utilizatorilor.

      • Windows NT 4.0: Adăugarea utilizatorilor sau grupurilor globale de la domeniile de încredere Windows 2000 la Windows NT 4.0 grupuri locale în User Manager nu va reuși și va apărea următorul mesaj de eroare:

        În prezent nu există niciun server de conectare disponibil pentru solicitarea de conectare.

      • Windows NT 4.0: Windows NT 4.0 computerele nu va putea să se alăture domenii în timpul instalării sau utilizând interfața utilizator de asociere la domeniu.

      • Windows NT 4.0: Instituirea unui nivel de încredere cu Windows NT 4.0 resource domenii nu va reuși. Următorul mesaj de eroare va apărea atunci când RestrictAnonymous este activat pe domeniu de încredere:

        Imposibil de găsit controler de domeniu pentru acest domeniu.

      • Windows NT 4.0: Utilizatorii care face log on pe computerele bazate pe Windows NT 4.0 Terminal Server va harta în directorul implicit acasă în loc de Director de reședință care este definit în User Manager pentru domenii.

      • Windows NT 4.0: Controlerele de domeniu de copiere de rezervă Windows NT 4.0 (BDCs) nu va putea să porniți serviciul Net Logon, obțineți o listă de browsere copie de rezervă sau sincroniza baza de date SAM din Windows 2000 sau din controlerele de domeniu Windows Server 2003 în același domeniu.

      • Windows 2000: Computerele bazate pe Windows 2000 membru în Windows NT 4.0 domenii nu va putea vedea imprimante în domenii externe, dacă nu au acces fără permisiuni explicit anonim setarea este activată în politica de securitate locală de pe computerul client.

      • Windows 2000: Utilizatorii de domeniu Windows 2000 nu va putea să adăugați imprimante de rețea din Active Directory; cu toate acestea, ele vor putea adăuga imprimante după ce le selectați-le din ierarhică.

      • Windows 2000: Pe computerele Windows 2000, editorul ACL nu va fi capabil să adăugaţi utilizatori sau grupuri global din domeniile de încredere Windows NT 4.0.

      • ADMT versiunea 2: Migrare parola pentru conturile de utilizator care sunt migrate între păduri cu Active Directory Migration Tool (ADMT) versiunea 2 nu va reuși.

        Pentru mai multe informaţii, faceţi clic pe următorul număr de articol pentru a vedea articolul în baza de cunoştinţe Microsoft:

        cum se depanează inter pădure parola migrare cu ADMTv2

      • Clienților outlook: Lista globală de adrese va apărea goală pentru clienții Microsoft Exchange Outlook.

        Pentru mai multe informaţii, faceţi clic pe următorul număr de articol pentru a vedea articolul în baza de cunoştinţe Microsoft:

        lent SMB performanță atunci când copiați fișiere de la Windows XP la un controler de domeniu Windows 2000

      • SMS: Descoperire de rețea Microsoft Systems Management Server (SMS) nu va putea obține informații de sistem de operare. De aceea, se va scrie "Necunoscut" în proprietatea OperatingSystemNameandVersion proprietatea SMS DDR înregistrarea datelor de descoperire (DDR).

      • SMS: Când utilizați expertul de utilizator Administrator SMS pentru a naviga pentru utilizatori și grupuri, va fi listat niciun utilizatori sau grupuri. În plus, clienții avansate nu poate comunica cu punctul de gestionare. Punct de gestionare este necesar accesul anonim.

      • SMS: Când utilizați caracteristica de descoperire rețea în SMS 2.0 și instalare Client la distanță cu topologia, client, și sisteme de operare client rețea descoperire opțiunea activată, computere poate fi descoperit, dar nu poate fi instalat.

  10. Securitate de rețea: Lan Manager nivel de autentificare

    1. Fundal

      Autentificare LAN Manager (LM) este protocolul care este utilizat pentru autentificarea clienții Windows pentru operațiuni de rețea, inclusiv asocierile de domeniu, accesează resursele de rețea și autentificarea utilizatorului sau computerul. Nivelul de autentificare LM determină ce provocare/răspuns authentication protocol se negociază între client și server computerele. Mai precis, nivelul de autentificare LM determină ce protocoale de autentificare care clientul va încerca să negocieze sau care va accepta server. Valoarea pe care este setat pentru LmCompatibilityLevel determină ce provocare/răspuns authentication protocol este utilizat pentru conectarea la rețea. Această valoare afectează nivelul de Protocolul de autentificare care clienții utilizează, nivelul de securitate de sesiune negociază și nivelul de autentificare acceptate de servere.

      Setări posibile se numără.

      Valoare

      Setare

      Descrierea

      0

      Trimite răspuns LM și NTLM

      Clienții utilizează autentificare LM și NTLM și nu utilizează securitatea de sesiune NTLMv2. Controlerii de domeniu acceptă autentificare LM, NTLM și NTLMv2.

      1

      Trimitere LM și NTLM - utilizează securitatea de sesiune NTLMv2 dacă negociază

      Clienții utilizează autentificare LM și NTLM și utilizează securitatea de sesiune NTLMv2 dacă serverul acceptă o. Controlerii de domeniu acceptă autentificare LM, NTLM și NTLMv2.

      2

      Trimite numai răspuns NTLM

      Clienții utilizează numai autentificare NTLM și utilizează securitatea de sesiune NTLMv2 dacă serverul acceptă o. Controlerii de domeniu acceptă autentificare LM, NTLM și NTLMv2.

      3

      Trimite numai răspuns NTLMv2

      Clienții utilizează autentificare NTLMv2 numai și utilizează securitatea de sesiune NTLMv2 dacă serverul acceptă o. Controlerii de domeniu acceptă autentificare LM, NTLM și NTLMv2.

      4

      Trimite numai răspuns NTLMv2 / refuza LM

      Clienții utilizează autentificare NTLMv2 numai și utilizează securitatea de sesiune NTLMv2 dacă serverul acceptă o. Controlerii de domeniu refuză LM și acceptă numai autentificare NTLM și NTLMv2.

      5

      Trimite numai răspuns NTLMv2 / refuza LM și NTLM

      Clienții utilizează autentificare NTLMv2 numai și utilizează securitatea de sesiune NTLMv2 dacă serverul acceptă o. Controlerii de domeniu refuză LM și NTLM și acceptă numai NTLMv2 autentificare.

      Notă În Windows 95, Windows 98 și Windows 98 Second Edition, Directory Services Client utilizează semnarea SMB când se autentifică cu servere Windows Server 2003 utilizând autentificarea NTLM. Cu toate acestea, acești clienți nu utilizați atunci când acestea se autentifică cu aceste servere utilizând autentificarea NTLMv2 de semnare SMB. În plus, serverele Windows 2000 nu răspunde la cererile de la acești clienți de semnare SMB.

      Verifica nivelul de autentificare LM: Trebuie să modificaţi politica pe server pentru a permite NTLM sau trebuie să configurați computerul client pentru a accepta NTLMv2.

      Dacă politica este setată la (5) only\refuse de NTLMv2 Trimite răspuns LM și NTLM pe computerul țintă care doriți să vă conectați la, trebuie să fie mai mică setare de pe acel computer sau setată securitatea la același setarea pe care se află pe computerul sursă că sunteți conn ECTA din.

      Găsiți locația corectă în cazul în care puteți modifica LAN manager nivel de autentificare pentru a seta clientul și serverul la același nivel. După ce găsiți politica care este setarea LAN manager nivel de autentificare, dacă doriți să vă conectați la şi de la computere care execută versiuni anterioare de Windows, reduce valoarea de cel puțin (1) trimite LM și NTLM - utiliza NTLM versiunea 2 securitatea de sesiune dacă negociază. Un efect de setări incompatibil este că, dacă serverul necesită NTLMv2 (valoare 5), dar clientul este configurat să utilizeze LM și NTLMv1 numai (valoarea 0), utilizatorul care încearcă autentificare se confruntă cu o eroare de log on, care are o parolă defecte și care poate incrementa rău ai parola. Dacă este configurat contul lock-out, utilizatorul să se blocheze în cele din urmă.

      De exemplu, trebuie să căutați pe controlerul de domeniu, sau trebuie să examinați politicile de controlerul de domeniu.

      Căutați pe controlerul de domeniu

      Notă Trebuie să repetați procedura următoare pe toate controlerele de domeniu.

      1. Faceți clic pe Start, indicați spre programeși apoi faceți clic pe Instrumente de administrare.

      2. Sub Local Security Settings, extindeți Local Policies.

      3. Faceți clic pe opțiunile de securitate.

      4. Faceți dublu clic pe Network Security: LAN manager nivel de autentificare, apoi faceți clic pe o valoare în lista.


      Dacă setarea efective și setarea Local sunt aceleași, politica s-a modificat la acest nivel. Dacă setările sunt diferite, trebuie să verificați politica controlerul de domeniu pentru a determina dacă Network Security: LAN manager nivel de autentificare setare este definit acolo. Dacă nu este definită acolo, examinați politicile de controlerul de domeniu.

      Examinați politici de controlerul de domeniu

      1. Faceți clic pe Start, indicați spre programeși apoi faceți clic pe Instrumente de administrare.

      2. În Domain Controller Security policy, extindeți Setările de securitate, și apoi extindeți Local Policies.

      3. Faceți clic pe opțiunile de securitate.

      4. Faceți dublu clic pe Network Security: LAN manager nivel de autentificare, apoi faceți clic pe o valoare în lista.


      Note

      • De asemenea, trebuie să verificați politicile care se leagă la nivel de site, nivelul de domeniu sau unitate organizațională (OU) nivel pentru a determina unde trebuie să configurați LAN manager nivel de autentificare.

      • Dacă implementați o setare de politică de grup ca politica de domeniu, politica se aplică pentru toate computerele din domeniu.

      • Dacă implementați o setare de politică de grup ca politica de controler de domeniu în mod implicit, politica se aplică numai pentru servere în OU controlerul de domeniu.

      • Este o idee bună să setați LAN manager nivel de autentificare în cea mai mică entitate de aplicare necesare în ierarhia politică de aplicație.

      Windows Server 2003 are o nouă setarea implicită pentru a utiliza numai NTLMv2. În mod implicit, Windows Server 2003 și controlerele de domeniu Windows 2000 Server SP3 activat "Microsoft network server: Digitally sign communications (always)" politică. Această setare necesită server SMB se efectuează semnarea SMB pachet. S-au efectuat modificări pentru Windows Server 2003 deoarece controlerii de domeniu, serverele de fişiere, infrastructură de servere şi servere Web în orice organizație necesită setări diferite pentru a maximiza lor de securitate.

      Dacă doriți să implementați NTLMv2 autentificare în rețea, trebuie să vă asigurați că toate computerele din domeniu sunt setate pentru a utiliza acest nivel de autentificare. Dacă aplicați Active Directory Client extensii pentru Windows 95 sau Windows 98 și Windows NT 4.0, extensiile client utilizează autentificarea îmbunătățită caracteristicile care sunt disponibile în NTLMv2. Deoarece computerele client care execută oricare dintre următoarele sisteme de operare nu sunt afectate de Windows 2000 obiectele politicii de grup, trebuie să configurați manual acești clienți:

      • Microsoft Windows NT 4.0

      • Microsoft Windows Millennium Edition

      • Microsoft Windows 98

      • Microsoft Windows 95

      Notă Dacă activați securitate de rețea: nu stoca LAN manager hash valoare pe următoarea modificare parolă politică sau set cheia de registry NoLMHash , clienții Windows 95 și Windows 98 care nu au instalat Directory Services Client nu faceți Log on la domeniu după o schimbare parolă.

      Multe terțe CIFS servere, cum ar fi Novell Netware 6, nu au cunoștință despre NTLMv2 și utiliza numai NTLM. De aceea, niveluri mai mare decât 2 permite conectivitatea. De asemenea, există SMB terţi care nu utilizează securitatea de sesiune extinsă. În aceste cazuri, LmCompatiblityLevel de resurse server nu este luate în considerare. Server apoi pachete de rezervă pentru această solicitare moștenite și trimite la controlerul de domeniu utilizator. Setările de pe controlerul de domeniu, apoi decideți ce linii oblice sunt utilizate pentru a verifica cererea şi dacă acestea sunt îndeplinesc cerințele de securitate a controlerului de domeniu.

      Pentru mai multe informații despre cum se configurează manual LAN manager nivel de autentificare, faceți clic pe următoarele numere de articol pentru a vedea articolele în baza de cunoștințe Microsoft:

      cum se dezactivează autentificarea LM în Windows NT
       

      Cum pentru a împiedica Windows să stocheze un LAN manager hash de parola în Active Directory și baze de date locale SAM
       

      outlook continuă să vă solicite acreditări de log on
       

      Eveniment de audit prezintă pachetul de autentificare ca NTLMv1 în loc de NTLMv2 Pentru mai multe informații despre nivelurile de autentificare LM, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:

      cum se activează autentificarea NTLM 2
       

    2. Configurații de risc

      Setările de configurare dăunătoare sunt următoarele:

      • Setări nonrestrictive care trimite parolele în text în clar și care refuza NTLMv2 negociere

      • Setări restrictivă care împiedică clienții incompatibile sau Controleri de domeniu negociază un protocol comun de autentificare

      • Care necesită autentificare NTLMv2 pe computere membru și controlerii de domeniu care execută versiuni de Windows NT 4.0, care sunt mai vechi decât Service Pack 4 (SP4)

      • Care necesită autentificare NTLMv2 clienții Windows 95 sau Windows 98 clienții care nu au Windows Directory Services Client instalat.

      • Dacă faceți clic pentru a bifa caseta de selectare securitatea de sesiune necesită NTLMv2 în Microsoft Management Console Group Policy Editor de completare snap-in pe un computer Windows 2000 Service Pack 3 sau Windows Server 2003, și reducerea nivelului de autentificare LAN manager la 0, două setări conflictul și posibil să primiți următorul mesaj de eroare în fișierul Secpol.msc sau GPEdit.msc:

        Windows nu poate deschide baza de date politica locală. A apărut o eroare necunoscută atunci când încercați să deschideți baza de date.

        Pentru mai multe informații despre configurația de securitate și instrument de analiză, consultați Windows 2000 sau fișierele de ajutor pentru Windows Server 2003.

    3. Motive pentru a modifica această setare

      • Doriți să crească mai mici comune autentificare protocolul care este acceptat de către clienți și controlerii de domeniu din organizația dvs.

      • În cazul în care autentificarea securizat este o cerinţă de business, pe care doriți să nu permite negocierea LM și NTLM protocoale.

    4. Motive pentru a dezactiva această setare

      Client sau cerințe de autentificare server sau ambele, a fost mărită la punctul în cazul în care autentificarea printr-un protocol comun nu poate să apară.

    5. Nume simbolic:

      LmCompatibilityLevel

    6. Cale de registry:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. Exemple de probleme de compatibilitate

      • Windows Server 2003: În mod implicit, Windows Server 2003 NTLMv2 trimite NTLM răspunsurile setarea este activat. De aceea, Windows Server 2003 primește mesajul de eroare "Access Denied" după instalarea inițială atunci când încercați să vă conectați la un cluster bazate pe Windows NT 4.0 sau la serverele bazate pe LanManager V2.1, cum ar fi Lanserver OS/2. Această problemă se produce dacă încercați să vă conectați la o versiune anterioară de client la un server Windows Server 2003.

      • Instalați Windows 2000 Security Rollup pachet 1 (SRP1). SRP1 impune NTLM versiunea 2 (NTLMv2). Acest pachet a fost lansat după lansarea Windows 2000 Service Pack 2 (SP2). Pentru mai multe informații despre SRP1, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:

        Windows 2000 Security pachet set de 1 ianuarie 2002
         

      • Windows 7 și Windows Server 2008 R2: multe terțe CIFS servere, cum ar fi servere Novell Netware 6 sau bazate pe Linux Samba, nu au cunoștință despre NTLMv2 și utiliza numai NTLM. De aceea, niveluri mai mare decât "2" permite conectivitatea. Acum în această versiune a sistemului de operare, valoarea implicită pentru LmCompatibilityLevel s-a schimbat la "3". Așadar, când faceți upgrade Windows, aceste filers terț să nu mai funcționeze.

      • Clienții Microsoft Outlook poate solicita acreditările chiar dacă acestea sunt deja log on la domeniu. Atunci când utilizatorii furnizeze acreditările, primesc următorul mesaj de eroare: Windows 7 și Windows Server 2008 R2

        Acreditările de log on furnizate au fost incorecte. Asigurați-vă numele de utilizator şi domeniu sunt corecte, apoi tastați din nou parola.

        Când porniți Outlook, se poate solicita acreditările chiar dacă setarea de securitate de rețea de log on este setată la Passthrough sau la autentificare prin parolă. După ce tastați acreditările corecte, este posibil să primiți următorul mesaj de eroare:

        Acreditările de conectare furnizat au fost incorecte.

        O urmă Monitor rețea poate Arată că global catalog a emis o eroare de remote procedure call (RPC) cu o stare de 0x5. O stare de 0x5 înseamnă "Acces refuzat."

      • Windows 2000: O captură Network Monitor poate afișa următoarele erori în NetBIOS prin TCP/IP (NetBT) server sesiune de mesaje block (SMB):

        Eroare SMB R căutare Director Dos, identificatorul de utilizator (91) STATUS_LOGON_FAILURE ACCESS_DENIED (109) (5)

      • Windows 2000: Dacă un domeniu Windows 2000 cu NTLMv2 nivel 2 sau o versiune mai recentă este de încredere de un domeniu Windows NT 4.0, computerele bazate pe Windows 2000 membru în domeniul resurselor posibil să apară erori de autentificare.

      • Windows 2000 și Windows XP: În mod implicit, Windows 2000 și Windows XP setați opțiunea LAN Manager autentificare nivel Local Security Policy la 0. O setare de 0 înseamnă "trimitere LM și NTLM răspunsuri."

        Notă Windows NT 4.0, bazat pe clustere trebuie să utilizați LM pentru administrare.

      • Windows 2000: Grupare în clustere Windows 2000 nu se autentifică un nod uneşte dacă ambele noduri fac parte dintr-un Windows NT 4.0 Service Pack 6a (SP6a) domeniu.

      • Instrumentul Lockdown IIS (HiSecWeb) setează valoarea LMCompatibilityLevel la 5 și valoarea RestrictAnonymous la 2.

      • Servicii pentru Macintosh

        Modul de autentificare utilizator (UAM): UAM Microsoft (modul de autentificare utilizator) oferă o metodă de criptare parolele pe care le utilizați pentru a face log on la serverele Windows AFP (AppleTalk depunere Protocol). Modul de autentificare utilizator Apple (UAM) oferă numai minim sau fără criptare. De aceea, parola ar putea fi interceptate cu ușurință pe LAN sau Internet. Deși UAM nu este obligatoriu, l oferi criptat autentificare Windows 2000 serverele care se execută serviciile pentru Macintosh. Această versiune include suport pentru autentificare criptat NTLMv2 128 de biți și o versiune de MacOS X 10.1 compatibil.

        În mod implicit, Windows Server 2003 servicii pentru Macintosh server permite numai Microsoft Authentication.


        Pentru mai multe informații, faceți clic pe următoarele numere de articol pentru a vedea articolele în baza de cunoștințe Microsoft:

        Macintosh client nu se poate conecta la servicii pentru Mac pe Windows Server 2003

      • Windows Server 2008, Windows Server 2003, Windows XP și Windows 2000: Dacă veți configura valoarea LMCompatibilityLevel pentru a fi 0 sau 1, apoi configurați valoarea NoLMHash pentru a fi 1, aplicații și componente pot fi refuzat accesul prin NTLM. Această problemă se produce deoarece computerul este configurat pentru a activa LM, dar nu se utilizează parolele stocate LM.

        Dacă veți configura valoarea NoLMHash pentru a fi 1, trebuie să configurați valoarea LMCompatibilityLevel pentru a fi 2 sau mai mare.

  11. Securitate de rețea: client LDAP cerințe de semnare

    1. Fundal

      De securitate de rețea: client LDAP semnarea cerințele setare stabileşte nivelul de semnare a datelor care este solicitată în numele clienților care BIND Lightweight Directory Access Protocol (LDAP) problemă solicită după cum urmează:

      • None: LDAP BIND solicitare este eliberat cu opțiuni apelantului specificat.

      • Negociere semnarea: dacă Secure Sockets Layer/Transport Layer Security (SSL/TLS) nu a fost lansat, solicitarea de LDAP BIND este inițiată de date LDAP semnarea opţiune setată în plus pentru opțiunile apelantului specificat. Dacă a fost lansat SSL/TLS, solicitarea de LDAP BIND este inițiată cu opțiuni apelantului specificat.

      • Solicita semnarea: aceasta este la fel ca negocieze semnarea. Cu toate acestea, dacă serverul LDAP intermediar saslBindInProgress răspuns indică faptul că LDAP traficul semnarea este necesară, apelantului este spus că solicitarea de comandă LDAP BIND nu a reușit.

    2. Configurare risc

      Activarea securitate de rețea: client LDAP semnarea cerințele setarea este o setare de configurare dăunătoare. Dacă setați server pentru a solicita LDAP semnături, de asemenea, trebuie să configurați LDAP semnarea pe client. Configurarea nu client pentru a utiliza LDAP semnături va împiedica comunicarea cu serverul. Acest lucru provoacă autentificarea, politica de grup setări, log on și alte caracteristici să nu reușească.

    3. Motive pentru a modifica această setare

      Nesemnate traficul de rețea este sensibil la atacuri om în mijlocul în cazul în care un intrus surprinde pachete între client și servere, le modifică și apoi le redirecționează la server. Când acest lucru se produce pe un server LDAP, un atacator poate provoca un server pentru a răspunde bazate pe fals interogări de la LDAP client. Poate reduce acest risc într-o rețea de firmă de aplicare puternică fizice de securitate pentru a proteja infrastructura de rețea. În plus, vă poate ajuta la prevenirea tot felul de om în mijlocul atacuri prin care necesită semnături digitale pe toate pachetele de rețea prin intermediul anteturile de autentificare IPSec.

    4. Nume simbolic:

      LDAPClientIntegrity

    5. Cale de registry:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

  12. Jurnalul de evenimente: Dimensiune jurnal maximă securitate

    1. Fundal

      Jurnalul de evenimente: dimensiune maximă securitate jurnal setarea de securitate specifică dimensiunea maximă a Jurnalul de evenimente de securitate. Acest jurnal are o dimensiune maximă de 4 GO. Pentru a găsi această setare, extindeți
      Setările Windows, apoi extindeți Setările de securitate.

    2. Configurații de risc

      Setările de configurare dăunătoare sunt următoarele:

      • Limitarea dimensiunii jurnalelor de securitate și securitate jurnal reținerea metoda când Audit: Shut down sistem imediat dacă nu reușiți să faceți log Auditurile de securitate este activată. Consultați "Audit: Shut down sistem imediat dacă nu reușiți să faceți log Auditurile de securitate" din acest articol pentru mai multe detalii.

      • Care limitează dimensiunea Jurnalul de securitate, astfel încât evenimentele de interes de securitate se vor suprascrie.

    3. Motive pentru a mări această setare

      Cerințe de afaceri și de securitate să dictați creșteți dimensiunea jurnalului de securitate pentru a gestiona detalii de jurnal de securitate suplimentare sau pentru a păstra jurnalele de securitate pentru o perioadă mai lungă de timp.

    4. Motive pentru a reduce această setare

      Jurnalele Vizualizatorului de evenimente sunt fișiere de memorie mapate. Dimensiunea maximă a unui jurnal de evenimente este limitată de cantitatea de memorie fizică în computerul local și de memorie virtuală, care este disponibil pentru procesul de jurnal de evenimente. Creşterea dimensiunii Jurnalului dincolo de cantitatea de memorie virtuală care este disponibil pentru Event Viewer nu crește numărul de intrări în jurnal care se păstrează.

    5. Exemple de probleme de compatibilitate

      Windows 2000: Computerele care execută versiuni de Windows 2000 care sunt mai vechi decât Service Pack 4 (SP4) se poate opri înregistrarea în jurnal evenimente în Jurnalul de evenimente înainte de a ajunge la dimensiunea care este specificat în Maximum log size setarea în Vizualizator evenimente, dacă nu suprascrie evenimente (debifați jurnal manual) este activată opțiunea.


      Pentru mai multe informaţii, faceţi clic pe următorul număr de articol pentru a vedea articolul în baza de cunoştinţe Microsoft:

      Jurnalul de evenimente se opreşte înregistrarea în jurnal evenimente înainte de a ajunge la dimensiunea maximă jurnal
       

  13. Jurnalul de evenimente: Menținerea în Jurnalul de securitate

    1. Fundal

      Jurnalul de evenimente: menținerea în Jurnalul de securitate setarea de securitate determină metoda "încadrarea" pentru Jurnalul de securitate. Pentru a găsi această setare, extindeți Setările Windowsși apoi extindeți Setările de securitate.

    2. Configurații de risc

      Setările de configurare dăunătoare sunt următoarele:

      • În caz contrar, pentru a păstra toate înregistrează evenimentele de securitate înainte ca acestea se vor suprascrie

      • Configurarea Dimensiune maximă securitate jurnal setarea prea mică, astfel încât evenimentele de securitate se vor suprascrie

      • Restricționarea jurnal dimensiunea și păstrarea metoda de securitate în timp ce Audit: Shut down sistem imediat dacă nu reușiți să faceți log Auditurile de securitate este activată setarea de securitate

    3. Motive pentru a activa această setare

      Activați această setare numai dacă Selectați metoda de retenţie suprascrie evenimentele de zile . Dacă utilizaţi un sistem de corelare eveniment sondaje pentru evenimente, asigurați-vă că numărul de zile este cel puțin de trei ori frecvența de sondaj. Aceasta pentru a permite nereușite sondaje care îl compun.

  14. Network access: toată lumea permisiuni se aplică utilizatorilor anonimi să

    1. Fundal

      În mod implicit, Network access: permisiuni permite toată lumea se aplică pentru utilizatorii anonimi este setată la Nu este definit în Windows Server 2003. În mod implicit, Windows Server 2003 nu include simbolul acces anonim în fiecare grup.

    2. Exemplu de probleme de compatibilitate

      Următoarea valoare de

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous[REG_DWORD] = 0x0 sfârșiturile de creare de încredere între Windows Server 2003 și Windows NT 4.0, când domeniu Windows Server 2003 este un domeniu de cont și de domeniu Windows NT 4.0 este un domeniu de resurse. Aceasta înseamnă că domeniul de cont este de încredere în Windows NT 4.0 și resurse de domeniu este de încredere în partea de Windows Server 2003. Acest comportament se produce deoarece procesul pentru a porni încredere după conexiune anonim inițială este ACL ar cu oricine simbolului care include anonim SID-ul în Windows NT 4.0.

    3. Motive pentru a modifica această setare

      Valoarea trebuie setată la 0x1 sau setați utilizând un obiect GPO pe controlerul de domeniu OU să fie: Network access: permisiuni permite toată lumea se aplică pentru utilizatorii anonimi - activat pentru a face posibilă creații de încredere.

      Notă Cele mai multe alte setări de securitate du-te în valoare în loc de până la 0x0 în starea lor cel mai securizat. Practică mai sigur ar fi pentru a modifica registry pe controlerul de domeniu principal emulator în loc de pe toate controlerele de domeniu. Dacă rolul de emulator controler primar de domeniu este mutat din orice motiv, registry trebuie să se actualizeze pe noul server.

      Este necesară o repornire după această valoare este setată.

    4. Cale de registry

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

  15. Autentificare NTLMv2

    1. Securitatea de sesiune

      Securitatea de sesiune determină standardele minime de securitate pentru sesiuni client și server. Este o idee bună să verificați următoarele setări de politică de securitate în de completare snap-in Microsoft Management Console Group Policy Editor:

      • Computer Settings\Windows Settings\Security setări Policies opţiuni

      • Rețea de securitate: Securitatea de sesiune minim pentru NTLM SSP (inclusiv securizat RPC) bazat pe servere

      • Securitate de rețea: Securitatea de sesiune minim pentru NTLM SSP (inclusiv securizat RPC) pe baza clienților

      Opțiunile pentru aceste setări sunt după cum urmează:

      • Necesită integritatea mesajelor

      • Necesită confidențialitatea mesajelor

      • Necesită NTLM versiunea 2 securitatea de sesiune

      • Necesită criptare pe 128 de biți

      Setarea implicită înainte de Windows 7 este cerințe. Începând cu Windows 7, implicit modificat la necesită 128-bit criptare pentru securitate îmbunătățită. Cu acest implicit, moștenite dispozitivele care nu acceptă criptarea pe 128 biți va fi imposibil de conectat.

      Aceste politici determina standardele minime de securitate pentru o sesiune de comunicații de aplicații pentru aplicația de pe un server pentru un client.

      Rețineți că, deși descrisă ca setările valide, semnalizări pentru a solicita integritatea mesajelor și confidențialitatea nu sunt utilizate atunci când este determinată securitatea de sesiune NTLM.

      În trecut, Windows NT a acceptat următoarele două variante de autentificare provocare/răspuns pentru conectările la rețea:

      • Provocare/răspuns LM

      • Provocare/răspuns NTLM versiunea 1

      LM permite interoperabilitate cu baza instalată de clienți și servere. NTLM furnizează securitate îmbunătățită pentru conexiunile între clienții și serverele.

      Cheile de registry corespunzătoare sunt după cum urmează:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

    2. Configurații de risc

      Această setare controlează modul în care vor fi tratate rețea sesiuni securizate cu NTLM. Acest lucru afectează bazate pe RPC sesiuni autentificat cu NTLM, de exemplu. Există riscuri următoarele:

      • Folosind metode de autentificare mai vechi decât NTLMv2 facilitează comunicarea la atacuri din cauza metodele mai simple hash utilizat.

      • Utilizarea cheile de criptare mai mică decât 128-bit permite atacatori Întrerupeți utilizarea brute-vigoare atacuri de comunicare.

Sincronizarea orei

Sincronizarea orei nu a reusit Timpul este oprit de mai mult de 30 de minute pe un computer afectat. Asiguraţi-vă că pe computerul client, ceasul este sincronizat cu ceasul controlerului de domeniu.

Soluție pentru semnarea SMB

Vă recomandăm să instalați Service Pack 6a (SP6a) în Windows NT 4.0 clienți care să conlucreze server într-un domeniu bazat pe Windows Server 2003. Clienții bazate pe Windows 98 Second Edition, clienții bazate pe Windows 98 și clienții bazate pe Windows 95, trebuie să executați Directory Services Client pentru a efectua NTLMv2. În cazul în care clienții bazate pe Windows NT 4.0 nu au Windows NT 4.0 SP6 instalat sau dacă clienții bazate pe Windows 95, clienții bazate pe Windows 98 și Windows bazate pe 98SE clienții nu au Directory Services Client instalat, dezactivați SMB semnarea în domeniul implicit Politica controlerului setarea pe controlerul de domeniu pe OU, și apoi leagă această politică toate ou care găzduiesc controlerii de domeniu.

Directory Services Client pentru Windows 98 Second Edition, Windows 98 și Windows 95 se va efectua semnarea SMB cu servere Windows 2003 sub autentificarea NTLM, dar nu sub NTLMv2 autentificare. În plus, serverele Windows 2000 nu va răspunde la cererile semnarea SMB de la acești clienți.

Deși nu se recomandă aceasta, îl puteți împiedica semnarea SMB din fiind necesar pe toate controlerele de domeniu care execută Windows Server 2003 într-un domeniu. Pentru a configura această setare de securitate, urmați acești pași:

  1. Deschideți controler de domeniu implicit politică.

  2. Deschideți folderul Computer Configuration\Windows Settings\Security setări Policies opţiuni .

  3. Găsiți, apoi faceți clic pe Microsoft network server: Digitally sign communications (always) setarea de politică, și apoi faceți clic pe Dezactivare.

Important Această secţiune, metodă sau activitate conţine paşi care vă spun cum să modificaţi registry-ul. Țineți cont că pot apărea probleme grave dacă modificaţi incorect registry-ul. Prin urmare, asiguraţi-vă că urmaţi aceşti paşi cu atenţie. Pentru protecţie suplimentară, faceți backup pentru registry înainte de a-l modifica. Apoi, puteți restabili registry-ul dacă apare o problemă. Pentru mai multe informaţii despre cyum se face backup şi cum se restabilește registry-ul, faceţi clic pe următorul număr de articol pentru a vedea articolul în baza de cunoştinţe Microsoft:

cum să creați copii de rezervă și restabilirea registry în WindowsCa alternativă, dezactivați semnarea pe server, modificând registry SMB. Pentru a face acest lucru, urmați acești pași:

  1. Faceți clic pe Start, faceți clic pe executare, tastați regedit, și apoi faceți clic pe OK.

  2. Găsiți, apoi faceți clic pe următoarea subcheie:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

  3. Faceți clic pe intrarea enablesecuritysignature .

  4. În meniul Editare , faceți clic pe Modify.

  5. În caseta Value data , tastați 0și apoi faceți clic pe OK.

  6. Închideți editorul de registry.

  7. Reporniți computerul, sau opriți și reporniți serviciul Server. Pentru aceasta, tastați următoarele comenzi în promptul de comandă, și apoi apăsați Enter după fiecare comandă:
    net stop cryptsvc
    net start server

Notă Cheia corespunzătoare pe computerul client este în următoarea subcheie de registry:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\ParametersUrmătoarele liste de numere de cod de eroare traduse pentru coduri de stare și mesajele de eroare verbatim care sunt menționate mai sus:

eroarea 5
ERROR_ACCESS_DENIED

Acces refuzat.

eroare 1326

ERROR_LOGON_FAILURE

Log on nereușit: nume de utilizator necunoscut sau parolă rău.

eroare 1788

ERROR_TRUSTED_DOMAIN_FAILURE

Relație de încredere între primar de domeniu și domeniu de încredere nu a reușit.

eroare 1789

ERROR_TRUSTED_RELATIONSHIP_FAILURE

Relație de încredere între această staţie de lucru şi de domeniu principal nu a reușit.

Pentru mai multe informații, faceți clic pe următoarele numere de articol pentru a vedea articolele în baza de cunoștințe Microsoft:

cum se configurează politici de grup pentru a seta de securitate pentru serviciile de sistem în Windows Server 2003
 

cum se activează Windows NT de semnare SMB
 

cum se aplică șabloane predefinite de securitate în Windows Server 2003
 

trebuie să furnizeze acreditările de cont Windows atunci când vă conectați la Exchange Server 2003 utilizând Outlook 2003 RPC prin HTTP

Aveți nevoie de ajutor suplimentar?

Extindeți-vă competențele
Explorați instruirea
Fiți primul care obține noile caracteristici
Alăturați-vă la Microsoft Insider

V-a fost de ajutor această informație?

Vă mulțumim pentru feedback!

Vă mulțumim pentru feedback! Se pare că ar fi util să luați legătura cu unul dintre agenții noștri de asistență Office.

×