Conectați-vă cu Microsoft
Conectați-vă sau creați un cont
Salut,
Selectați un alt cont.
Aveți mai multe conturi
Alegeți contul cu care doriți să vă conectați.

Rezumat

Setările de securitate și atribuirile drepturilor de utilizator pot fi modificate în politicile locale și politicile de grup, pentru a îmbunătăți securitatea pe controlerele de domeniu și pe computerele membre. Totuși, dezavantajul creșterii securității este introducerea incompatibilităților cu clienții, serviciile și programele.

Acest articol descrie incompatibilitățile care pot apărea pe computerele client care rulează Windows XP sau pe o versiune anterioară de Windows, atunci când modificați anumite setări de securitate și atribuiri de drepturi de utilizator într-un domeniu Windows Server 2003 sau într-un domeniu Windows Server mai vechi.

Pentru informații despre Politică de grup pentru Windows 7, Windows Server 2008 R2 și Windows Server 2008, consultați următoarele articole:

Notă: Conținutul rămas din acest articol este specific pentru Windows XP, Windows Server 2003 și versiunile anterioare de Windows.

Windows XP

Pentru a crește gradul de conștientizare a setărilor de securitate configurate greșit, utilizați instrumentul Politică de grup Object Editor pentru a modifica setările de securitate. Atunci când utilizați Politică de grup Object Editor, atribuirile de drepturi de utilizator sunt îmbunătățite pe următoarele sisteme de operare:

  • Windows XP Professional Service Pack 2 (SP2)

  • Windows Server 2003 Service Pack 1 (SP1)

Caracteristica îmbunătățită este o casetă de dialog care conține un link la acest articol. Caseta de dialog apare atunci când modificați o setare de securitate sau o atribuire de drepturi de utilizator la o setare care oferă mai puțină compatibilitate și este mai restrictivă. Dacă modificați direct aceeași setare de securitate sau aceeași atribuire de drepturi de utilizator utilizând registry sau șabloane de securitate, efectul este același cu modificarea setării în Politică de grup Editor obiect. Totuși, caseta de dialog care conține linkul la acest articol nu se afișează.

Acest articol conține exemple de clienți, programe și operațiuni afectate de setări de securitate specifice sau atribuiri de drepturi de utilizator. Totuși, exemplele nu sunt de autoritate pentru toate sistemele de operare Microsoft, pentru toate sistemele de operare de la terți sau pentru toate versiunile de program afectate. Nu toate setările de securitate și atribuirile drepturilor de utilizator sunt incluse în acest articol.

Vă recomandăm să validați compatibilitatea tuturor modificărilor de configurație legate de securitate într-o pădure de testare înainte de a le introduce într-un mediu de producție. Pădurea de testare trebuie să oglindescă pădurea de producție în următoarele moduri:

  • Versiunile sistemului de operare client și server, programele client și server, versiunile pachetului Service Pack, remedierile rapide, modificările schemei, grupurile de securitate, apartenența la grup, permisiunile la obiectele din sistemul de fișiere, folderele partajate, registry, serviciul directorului Active Directory, setările locale și Politică de grup și tipul și locația numărului de obiecte

  • Activitățile administrative care sunt efectuate, instrumentele administrative utilizate și sistemele de operare care sunt utilizate pentru a efectua activități administrative

  • Operațiuni efectuate, cum ar fi următoarele:

    • Autentificarea de conectare a computerului și a utilizatorului

    • Parole resetate de utilizatori, de computere și de administratori

    • Navigare

    • Setarea permisiunilor pentru sistemul de fișiere, pentru foldere partajate, pentru registry și pentru resursele Active Directory, utilizând ACL Editor în toate sistemele de operare client din toate domeniile de cont sau de resurse din toate sistemele de operare client din toate domeniile de cont sau de resurse

    • Imprimarea din conturi administrative și neadministrative

Windows Server 2003 SP1

Avertismente în Gpedit.msc

Pentru a-i ajuta pe clienți să știe că editează un drept de utilizator sau o opțiune de securitate care le-ar fi putut afecta negativ rețeaua, au fost adăugate două mecanisme de avertizare la gpedit.msc. Atunci când administratorii editează un drept de utilizator care poate afecta negativ întreaga întreprindere, vor vedea o pictogramă nouă care seamănă cu un semn de venit. De asemenea, aceștia vor primi un mesaj de avertizare care are un link către articolul 823659 din Baza de cunoștințe Microsoft. Textul acestui mesaj este după cum urmează:

Modificarea acestei setări poate afecta compatibilitatea cu clienții, serviciile și aplicațiile. Pentru mai multe informații, consultați <opțiunea de drept sau de securitate a utilizatorului care se modifică> (Q823659) Dacă ați fost direcționat către acest articol din Baza de cunoștințe de la un link din Gpedit.msc, asigurați-vă că citiți și înțelegeți explicația furnizată și efectul posibil al modificării acestei setări. Următoarele listează Drepturile de utilizator care conțin textul avertismentului:

  • Accesați acest computer din rețea

  • Conectați-vă local

  • Ocolire verificare traversare

  • Activați computerele și utilizatorii pentru delegarea de încredere

Următoarele listează Opțiuni de securitate care au avertismentul și un mesaj pop-up:

  • Membru al domeniului: criptarea sau semnarea digitală a datelor de canal securizat (întotdeauna)

  • Membru de domeniu: Necesită o cheie de sesiune puternică (Windows 2000 sau o versiune mai recentă)

  • Controler de domeniu: cerințe de semnare a serverului LDAP

  • Server de rețea Microsoft: comunicații prin semnare digitală (întotdeauna)

  • Acces în rețea: Permite traducerea anonimă a sidului/numelui

  • Acces la rețea: Nu se permite enumerarea anonimă a conturilor și partajării SAM

  • Securitatea rețelei: nivel de autentificare LAN Manager

  • Audit: Închideți imediat sistemul dacă nu se pot înregistra în jurnal audituri de securitate

  • Acces la rețea: Cerințe de semnare a clientului LDAP

Mai multe informații

Secțiunile următoare descriu incompatibilitățile care pot apărea atunci când modificați anumite setări din domeniile Windows NT 4.0, din domeniile Windows 2000 și din domeniile Windows Server 2003.

Drepturi de utilizator

Următoarea listă descrie un drept de utilizator, identifică setările de configurare care pot provoca probleme, descrie de ce trebuie să aplicați utilizatorul corect și de ce se recomandă să eliminați dreptul de utilizator și oferă exemple de probleme de compatibilitate care pot apărea atunci când este configurat dreptul de utilizator.

  1. Accesați acest computer din rețea

    1. Fundal

      Capacitatea de a interacționa cu computere bazate pe Windows la distanță necesită dreptul de a accesa acest computer de la utilizatorul rețelei. Printre exemplele de astfel de operațiuni de rețea se numără următoarele:

      • Reproducerea Active Directory între controlerele de domeniu dintr-un domeniu comun sau dintr-o pădure

      • Solicitări de autentificare pentru controlerele de domeniu de la utilizatori și de la computere

      • Acces la foldere, imprimante și alte servicii de sistem partajate care se află pe computere la distanță din rețea



      Utilizatorii, computerele și conturile de serviciu câștigă sau pierd dreptul de acces la acest computer din dreptul utilizatorului de rețea, fiind adăugați sau eliminați în mod explicit sau implicit dintr-un grup de securitate căruia i s-a acordat acest drept de utilizator. De exemplu, un cont de utilizator sau un cont de computer poate fi adăugat în mod explicit la un grup de securitate particularizat sau la un grup de securitate predefinit de către un administrator sau poate fi adăugat implicit de sistemul de operare la un grup de securitate calculat, cum ar fi Utilizatori domeniu, Utilizatori autentificați sau Controlere de domeniu enterprise.

      În mod implicit, conturilor de utilizator și conturilor de computer li se acordă dreptul de a accesa acest computer de la un utilizator de rețea atunci când se calculează grupuri cum ar fi Oricine sau, preferabil, Utilizatori autentificați și, pentru controlerele de domeniu, grupul Controlere de domeniu enterprise, sunt definite în controlerele de domeniu implicite Politică de grup Object (GPO).

    2. Configurații riscante

      Următoarele sunt setări de configurare dăunătoare:

      • Se elimină grupul de securitate Controlere de domeniu enterprise din acest drept de utilizator

      • Eliminarea grupului Utilizatori autentificați sau a unui grup explicit care permite utilizatorilor, computerelor și conturilor de serviciu dreptul utilizatorului de a se conecta la computere prin rețea

      • Se elimină toți utilizatorii și computerele din acest drept de utilizator

    3. Motive pentru acordarea acestui drept de utilizator

      • Acordarea accesului acestui computer de la dreptul utilizatorului de rețea la grupul Controlere domeniu întreprindere îndeplinește cerințele de autentificare pe care trebuie să le aibă replicarea Active Directory pentru ca reproducerea să aibă loc între controlerele de domeniu din aceeași pădure.

      • Acest drept de utilizator permite utilizatorilor și computerelor să acceseze fișiere, imprimante și servicii de sistem partajate, inclusiv Active Directory.

      • Acest drept de utilizator este necesar pentru ca utilizatorii să acceseze e-mailul utilizând versiuni anterioare de Microsoft Outlook Web Access (OWA).

    4. Motive pentru a elimina acest drept de utilizator

      • Utilizatorii care își pot conecta computerele la rețea pot accesa resursele de pe computerele la distanță pentru care au permisiuni. De exemplu, acest drept de utilizator este necesar pentru ca un utilizator să se conecteze la imprimante partajate și la foldere. Dacă acest drept de utilizator este acordat grupului Oricine și unele foldere partajate au atât permisiuni de partajare, cât și permisiuni de sistem de fișiere NTFS configurate astfel încât același grup să aibă acces de citire, oricine poate vizualiza fișierele din acele foldere partajate. Totuși, aceasta este o situație puțin probabilă pentru instalările noi de Windows Server 2003, deoarece partajarea implicită și permisiunile NTFS din Windows Server 2003 nu includ grupul Oricine. Pentru sistemele cărora li s-a făcut upgrade de la Microsoft Windows NT 4.0 sau Windows 2000, această vulnerabilitate poate avea un nivel de risc mai mare, deoarece partajarea implicită și permisiunile pentru sistemul de fișiere pentru aceste sisteme de operare nu sunt la fel de restrictive ca permisiunile implicite din Windows Server 2003.

      • Nu există niciun motiv valid pentru eliminarea grupului Controlere de domeniu enterprise din acest drept de utilizator.

      • Grupul Oricine este eliminat în general în favoarea grupului Utilizatori autentificați. Dacă grupul Oricine este eliminat, grupului Utilizatori autentificați trebuie să i se acorde acest drept de utilizator.

      • Domeniile Windows NT 4.0 cărora li s-a făcut upgrade la Windows 2000 nu acordă în mod explicit acces acestui computer de la utilizatorul rețelei la grupul Oricine, la grupul Utilizatori autentificați sau la grupul Controlere de domeniu de întreprindere. Prin urmare, atunci când eliminați grupul Oricine din politica de domeniu Windows NT 4.0, reproducerea Active Directory nu va reuși, cu un mesaj de eroare "Acces refuzat" după ce faceți upgrade la Windows 2000. Winnt32.exe în Windows Server 2003 evită această configurare greșită, acordând grupului Controlere de domeniu enterprise acest utilizator chiar atunci când faceți upgrade controlerelor de domeniu principale (PDCS) Windows NT 4.0. Acordați grupului Controlere domeniu întreprindere acest drept de utilizator dacă nu este prezent în editorul de obiecte Politică de grup.

    5. Exemple de probleme de compatibilitate

      • Windows 2000 și Windows Server 2003: Reproducerea următoarelor partiții va eșua cu erorile "Acces refuzat", așa cum sunt raportate de instrumentele de monitorizare, cum ar fi REPLMON și REPADMIN sau evenimentele de replicare din jurnalul de evenimente.

        • Partiție schemă Active Directory

        • Partiție de configurare

        • Partiție de domeniu

        • Partiție catalog global

        • Partiție aplicație

      • Toate sistemele de operare de rețea Microsoft: Autentificarea contului de utilizator de la computerele client de rețea la distanță nu va reuși decât dacă utilizatorului sau unui grup de securitate al căror membru este utilizatorul i s-a acordat acest drept de utilizator.

      • Toate sistemele de operare de rețea Microsoft: Autentificarea contului de la clienții de rețea la distanță nu va reuși decât dacă contului sau unui grup de securitate al căror cont este membru i s-a acordat acest drept de utilizator. Acest scenariu se aplică conturilor de utilizator, conturilor de computer și conturilor de serviciu.

      • Toate sistemele de operare de rețea Microsoft: Eliminarea tuturor conturilor din acest drept de utilizator va împiedica orice cont să se conecteze la domeniu sau să acceseze resurse de rețea. În cazul în care grupurile calculate, cum ar fi Controlere de domeniu de întreprindere, Oricine sau Utilizatori autentificați sunt eliminate, trebuie să acordați în mod explicit acestui utilizator dreptul de a conturilor sau grupurilor de securitate în care este membru contul pentru a accesa computerele la distanță prin rețea. Acest scenariu se aplică tuturor conturilor de utilizator, tuturor conturilor de computer și tuturor conturilor de serviciu.

      • Toate sistemele de operare de rețea Microsoft: Contul de administrator local utilizează o parolă "necompletată". Conectivitatea de rețea cu parole necompletate nu este permisă pentru conturile de administrator dintr-un mediu de domeniu. Cu această configurație, vă puteți aștepta să primiți un mesaj de eroare "Acces refuzat".

  2. Se permite conectarea locală

    1. Fundal

      Utilizatorii care încearcă să se conecteze la consola unui computer windows (utilizând comanda rapidă de la tastatură CTRL+ALT+DELETE) și conturile care încearcă să pornească un serviciu trebuie să aibă privilegii locale de conectare pe computerul de găzduire. Printre exemplele de operațiuni de conectare locale se numără administratorii care se conectează la consolele computerelor membre sau controlerele de domeniu din întreaga întreprindere și de domeniu care se conectează la computerele membre pentru a-și accesa desktopurile utilizând conturi care nu sunt privilegiate. Utilizatorii care utilizează o conexiune Desktop la distanță sau Terminal Services trebuie să aibă dreptul de conectare la utilizatorul local pe computerele destinație care rulează Windows 2000 sau Windows XP, deoarece aceste moduri de conectare sunt considerate locale pentru computerul gazdă. Utilizatorii care se conectează la un server care are Terminal Server activat și care nu au acest drept de utilizator pot începe în continuare o sesiune interactivă la distanță în domeniile Windows Server 2003 dacă au dreptul să se conecteze prin Terminal Services.

    2. Configurații riscante

      Următoarele sunt setări de configurare dăunătoare:

      • Eliminarea grupurilor de securitate administrative, inclusiv a operatorilor de cont, a operatorilor de backup, a operatorilor de imprimare sau a operatorilor de server și a grupului de administratori încorporați din politica controlerului de domeniu implicit.

      • Eliminarea conturilor de serviciu care sunt utilizate de componente și de programe pe computerele membre și pe controlerele de domeniu din domeniu din politica controlerului de domeniu implicit.

      • Se elimină utilizatorii sau grupurile de securitate care se conectează la consola computerelor membre din domeniu.

      • Eliminarea conturilor de serviciu definite în baza de date SAM (Local Security Accounts Manager) a computerelor membre sau a computerelor grupului de lucru.

      • Eliminarea conturilor administrative necorporale care se autentifică prin Terminal Services care rulează pe un controler de domeniu.

      • Adăugarea tuturor conturilor de utilizator din domeniu în mod explicit sau implicit, prin grupul Oricine la dreptul de conectare locală Deconectare refuzată. Această configurație va împiedica utilizatorii să se conecteze la orice computer membru sau la orice controler de domeniu din domeniu.

    3. Motive pentru acordarea acestui drept de utilizator

      • Utilizatorii trebuie să aibă dreptul de conectare la utilizatorul local pentru a accesa consola sau desktopul unui computer al grupului de lucru, al unui computer membru sau al unui controler de domeniu.

      • Utilizatorii trebuie să aibă acest utilizator dreptul de a se conecta printr-o sesiune Terminal Services care rulează pe un computer membru sau pe un controler de domeniu bazat pe Windows 2000.

    4. Motive pentru a elimina acest drept de utilizator

      • Dacă nu restricționați accesul consolei la conturi de utilizator legitime, utilizatorii neautorizați descarcă și execută cod rău intenționat pentru a-și modifica drepturile de utilizator.

      • Eliminarea drepturilor de conectare la conectare locală împiedică conectările neautorizate pe consolele computerelor, cum ar fi controlerele de domeniu sau serverele de aplicații.

      • Eliminarea acestui drept de conectare împiedică conturile non-domeniu să se conecteze la consola computerelor membre din domeniu.

    5. Exemple de probleme de compatibilitate

      • Servere terminal Windows 2000: Este necesar să permiteți conectarea la dreapta utilizatorului local pentru ca utilizatorii să se conecteze la servere terminal Windows 2000.

      • Windows NT 4.0, Windows 2000, Windows XP sau Windows Server 2003: Conturilor de utilizator trebuie să i se acorde acestui utilizator dreptul de a se conecta la consola computerelor care rulează Windows NT 4.0, Windows 2000, Windows XP sau Windows Server 2003.

      • Windows NT 4.0 și versiuni mai recente: Pe computerele care rulează Windows NT 4.0 și versiuni mai recente, dacă adăugați dreptul Se permite conectarea la utilizatorul local, dar acordați implicit sau explicit dreptul de conectare locală, conturile nu se vor putea conecta la consola controlerelor de domeniu.

  3. Ocolire verificare traversare

    1. Fundal

      Bypass traverse checking user right allows the user to browse through folders in the NTFS file system or in registry without checking for the Traverse Folder special access permission. Bypass traverse checking user right does not allow the user to list the contents of a folder. Acesta permite utilizatorului să parcurgă numai folderele sale.

    2. Configurații riscante

      Următoarele sunt setări de configurare dăunătoare:

      • Eliminarea conturilor neadministratorii care se conectează la computere Terminal Services bazate pe Windows 2000 sau la computere Terminal Services bazate pe Windows Server 2003 care nu au permisiunea de a accesa fișiere și foldere din sistemul de fișiere.

      • Se elimină grupul Oricine din lista de coordonatori de securitate care au acest utilizator în mod implicit. Sistemele de operare Windows, precum și multe programe, sunt proiectate cu așteptarea că orice persoană care poate accesa în mod legitim computerul va avea dreptul de traversare Bypass verificarea utilizatorului. Prin urmare, eliminarea grupului Oricine din lista de coordonatori de securitate care au acest utilizator drept în mod implicit ar putea duce la instabilitatea sistemului de operare sau la erori de program. Este mai bine să lăsați această setare la valoarea implicită.

    3. Motive pentru acordarea acestui drept

      de utilizator Setarea implicită pentru verificarea la dreapta a traversării de ocolire este de a permite oricui să ignore verificarea traversării. Pentru administratorii de sistem Windows cu experiență, acesta este comportamentul așteptat și aceștia configurează în consecință listele de control al accesului la sistemul de fișiere (SALS). Singurul scenariu în care configurația implicită poate duce la un incident este dacă administratorul care configurează permisiunile nu înțelege comportamentul și așteaptă ca utilizatorii care nu pot accesa un folder părinte să nu poată accesa conținutul niciunui folder fiu.

    4. Motive pentru a elimina acest drept

      de utilizator Pentru a încerca să împiedicați accesul la fișierele sau folderele din sistemul de fișiere, organizațiile care sunt foarte preocupate de securitate pot fi tentați să elimine grupul Oricine sau chiar grupul Utilizatori din lista de grupuri care au traversarea Ocolire verificând utilizatorul la dreapta.

    5. Exemple de probleme de compatibilitate

      • Windows 2000, Windows Server 2003: Dacă verificarea traversării ocolirii este eliminată sau nu este configurată corect pe computerele care rulează Windows 2000 sau Windows Server 2003, setările Politică de grup din folderul SYVOL nu se vor reproduce între controlerele de domeniu din domeniu.

      • Windows 2000, Windows XP Professional, Windows Server 2003: Computerele care rulează Windows 2000, Windows XP Professional sau Windows Server 2003 vor înregistra în jurnal evenimentele 1000 și 1202 și nu vor putea aplica politica computerului și politica de utilizator atunci când permisiunile necesare pentru sistemul de fișiere sunt eliminate din arborele SYSVOL dacă traversul bypass verifică dreapta utilizatorului este eliminat sau este configurat greșit.

         

      • Windows 2000, Windows Server 2003: Pe computerele care rulează Windows 2000 sau Windows Server 2003, fila Cotă din Windows Explorer va dispărea atunci când vizualizați proprietățile unui volum.

      • Windows 2000: Este posibil ca non-administratorii care se conectează la un server terminal Windows 2000 să primească următorul mesaj de eroare:

        Userinit.exe eroare de aplicație. Aplicația nu a reușit să se inițializeze corect 0xc0000142 faceți clic pe OK pentru a închide aplicația.

      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Este posibil ca utilizatorii ale căror computere rulează Windows NT 4.0, Windows 2000, Windows XP sau Windows Server 2003 să nu poată accesa folderele sau fișierele partajate în foldere partajate și pot primi mesaje de eroare "Acces refuzat" dacă nu li se acordă traversarea ocolire care verifică utilizatorul la dreapta.


         

      • Windows NT 4.0: Pe computerele bazate pe Windows NT 4.0, eliminarea opțiunii Ocolire la verificarea la dreapta a utilizatorului va determina ca o copie de fișier să fixeze fluxuri de fișiere. Dacă eliminați acest drept de utilizator, atunci când un fișier este copiat dintr-un client Windows sau dintr-un client Macintosh pe un controler de domeniu Windows NT 4.0 care rulează Servicii pentru Macintosh, fluxul de fișiere destinație se pierde, iar fișierul apare ca fișier doar text.

      • Microsoft Windows 95, Microsoft Windows 98: Pe un computer client care rulează Windows 95 sau Windows 98, comanda net use * /home va eșua cu un mesaj de eroare "Acces refuzat" dacă grupului Utilizatori autentificați nu i se acordă dreptul de traversare de ocolire.

      • Outlook Web Access: Non-administratorii nu se vor putea conecta la Microsoft Outlook Web Access și vor primi un mesaj de eroare "Acces refuzat" dacă nu li se acordă dreptul de ocolire a verificării traversării utilizatorului.

Setări de securitate

Următoarea listă identifică o setare de securitate, iar lista imbricată furnizează o descriere despre setarea de securitate, identifică setările de configurare care pot provoca probleme, descrie de ce ar trebui să aplicați setarea de securitate, apoi descrie motivele pentru care se recomandă să eliminați setarea de securitate. Lista imbricată oferă apoi un nume simbolic pentru setarea de securitate și calea de registry a setării de securitate. În sfârșit, sunt furnizate exemple de probleme de compatibilitate care pot apărea atunci când este configurată setarea de securitate.

  1. Audit: Închideți imediat sistemul dacă nu se pot înregistra în jurnal audituri de securitate

    1. Fundal

      • Audit: Închideți sistemul imediat dacă nu se poate înregistra în jurnal setările de audit de securitate determină dacă sistemul se închide dacă nu puteți înregistra în jurnal evenimente de securitate. Această setare este necesară pentru evaluarea C2 a programului Trusted Computer Security Evaluation Criteria (TCSEC) și pentru evaluarea de securitate a criteriilor comune pentru tehnologia informației, pentru a preveni evenimentele auditabile dacă sistemul de audit nu poate înregistra în jurnal acele evenimente. Dacă sistemul de auditare nu reușește, sistemul este închis și apare un mesaj de eroare Oprire.

      • În cazul în care computerul nu poate înregistra evenimente în jurnalul de securitate, este posibil ca dovezile critice sau informațiile importante de depanare să nu fie disponibile pentru revizuire după un incident de securitate.

    2. Configurație

      riscantă Următoarea este o setare de configurare dăunătoare: Audit: Închideți sistemul imediat dacă setarea Nu se pot înregistra în jurnal audituri de securitate este activată și dimensiunea jurnalului de evenimente de securitate este restricționată de opțiunea Nu se suprascrie evenimentele (goliți jurnalul manual), de opțiunea Suprascriere evenimente după cum este necesar sau de opțiunea Suprascriere evenimente mai vechi de număr de zile din Vizualizator evenimente. Consultați secțiunea "Exemple de probleme de compatibilitate" pentru informații despre riscurile specifice pentru computerele care rulează versiunea originală lansată de Windows 2000, Windows 2000 Service Pack 1 (SP1), Windows 2000 SP2 sau Windows 2000 SP3.

    3. Motive pentru activarea acestei setări

      În cazul în care computerul nu poate înregistra evenimente în jurnalul de securitate, este posibil ca dovezile critice sau informațiile importante de depanare să nu fie disponibile pentru revizuire după un incident de securitate.

    4. Motive pentru dezactivarea acestei setări

      • Activarea Audit: Închideți imediat sistemul dacă setarea nu poate înregistra în jurnal audituri de securitate oprește sistemul dacă un audit de securitate nu poate fi înregistrat din niciun motiv. De obicei, un eveniment nu poate fi înregistrat când jurnalul de auditare de securitate este plin și atunci când metoda de retenție specificată este opțiunea Nu suprascrieți evenimentele (goliți jurnalul manual) sau opțiunea Suprascriere evenimente mai vechi de număr de zile.

      • Sarcina administrativă a activării auditului: Închideți imediat sistemul dacă setarea nu poate înregistra în jurnal audituri de securitate poate fi foarte mare, mai ales dacă activați și opțiunea Nu suprascrieți evenimente (goliți jurnalul manual) pentru jurnalul de securitate. Această setare oferă responsabilitate individuală pentru acțiunile operatorului. De exemplu, un administrator poate reseta permisiunile pentru toți utilizatorii, computerele și grupurile dintr-o unitate organizațională (OU), unde auditarea a fost activată utilizând contul de administrator predefinit sau alt cont partajat, apoi poate nega faptul că resetează astfel de permisiuni. Totuși, activarea setării reduce robustețea sistemului, deoarece un server poate fi forțat să se închidă, copleșind-o cu evenimente de conectare și cu alte evenimente de securitate care sunt scrise în jurnalul de securitate. În plus, deoarece închiderea nu este elegantă, pot apărea daune ireparabile la sistemul de operare, programe sau date. Deși NTFS garantează că integritatea sistemului de fișiere este menținută în timpul închiderii sistemului, acesta nu poate garanta că fiecare fișier de date pentru fiecare program va fi în continuare într-o formă utilizabilă atunci când sistemul repornește.

    5. Nume simbolic:

      Crashonauditfail

    6. Cale registry:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

    7. Exemple de probleme de compatibilitate

      • Windows 2000: Din cauza unei erori, computerele care rulează versiunea originală lansată de Windows 2000, Windows 2000 SP1, Windows 2000 SP2 sau Windows Server SP3 pot opri înregistrarea în jurnal a evenimentelor înainte să fie atinsă dimensiunea specificată în opțiunea Dimensiune maximă jurnal pentru jurnalul de evenimente de securitate. Această eroare este remediată în Windows 2000 Service Pack 4 (SP4). Asigurați-vă că controlerele de domeniu Windows 2000 au Instalat Windows 2000 Service Pack 4 înainte de a lua în considerare activarea acestei setări.

         

      • Windows 2000, Windows Server 2003: Computerele care rulează Windows 2000 sau Windows Server 2003 pot să nu mai răspundă, apoi pot reporni spontan dacă auditarea: Închideți imediat sistemul dacă setarea auditurilor de securitate nu este activată, jurnalul de securitate este plin și o intrare existentă în jurnalul de evenimente nu poate fi suprascrisă. Atunci când computerul repornește, apare următorul mesaj de eroare Oprire:

        STOP: C0000244 {Audit nereușit}
        Încercarea de a genera un audit de securitate nu a reușit.

        Pentru a recupera, un administrator trebuie să se conecteze, să arhiveze jurnalul de securitate (opțional), să golească jurnalul de securitate, apoi să reinițialeze această opțiune (opțional și după cum este necesar).

      • Microsoft Network Client pentru MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Non-administratorii care încearcă să se conecteze la un domeniu vor primi următorul mesaj de eroare:

        Contul dvs. este configurat să vă împiedice să utilizați acest computer. Încercați un alt computer.

      • Windows 2000: Pe computerele bazate pe Windows 2000, non-administratorii nu se vor putea conecta la serverele de acces la distanță și vor primi un mesaj de eroare similar cu următorul:

        Utilizator necunoscut sau parolă incorectă

      • Windows 2000: Pe controlerele de domeniu Windows 2000, serviciul de mesagerie intersite (Ismserv.exe) se va opri și nu va putea fi repornit. DCDIAG va raporta eroarea ca "servicii de testare nereușite ISMserv", iar ID-ul de eveniment 1083 va fi înregistrat în jurnalul de evenimente.

      • Windows 2000: Pe controlerele de domeniu Windows 2000, reproducerea Active Directory nu va reuși și va apărea un mesaj "Acces refuzat" dacă jurnalul de evenimente de securitate este plin.

      • Microsoft Exchange 2000: Serverele care rulează Exchange 2000 nu vor putea monta baza de date a depozitului de informații, iar evenimentul 2102 va fi înregistrat în jurnalul de evenimente.

      • Outlook, Outlook Web Access: Non-administratorii nu își vor putea accesa corespondența prin Microsoft Outlook sau prin Microsoft Outlook Web Access și vor primi o eroare 503.

  2. Controler de domeniu: cerințe de semnare a serverului LDAP

    1. Fundal

      Setarea de securitate pentru cerințele de semnare a serverului LDAP: pentru controlerul de domeniu determină dacă serverul Lightweight Directory Access Protocol (LDAP) necesită clienți LDAP pentru a negocia semnarea datelor. Valorile posibile pentru această setare de politică sunt următoarele:

      • Fără: Semnarea datelor nu este necesară pentru legarea la server. Dacă clientul solicită semnarea datelor, serverul le acceptă.

      • Necesită semnare: Opțiunea de semnare a datelor LDAP trebuie negociată dacă nu se utilizează Transport Layer Security/Secure Socket Layer (TLS/SSL).

      • nespecificat: această setare nu este activată sau dezactivată.

    2. Configurații riscante

      Următoarele sunt setări de configurare dăunătoare:

      • Activarea Se solicită conectarea mediilor în care clienții nu acceptă semnarea LDAP sau în care semnarea LDAP pe partea client nu este activată pentru client

      • Aplicarea șablonului de securitate Windows 2000 sau Windows Server 2003 Hisecdc.inf în mediile în care clienții nu acceptă semnarea LDAP sau în care semnarea LDAP pe partea client nu este activată

      • Aplicarea șablonului de securitate Windows 2000 sau Windows Server 2003 Hisecws.inf în medii în care clienții nu acceptă semnarea LDAP sau în care semnarea LDAP pe partea client nu este activată

    3. Motive pentru activarea acestei setări

      Traficul de rețea nesemnat este susceptibil la atacuri de tip om-în-mijloc, în care un intrus capturează pachete între client și server, modifică pachetele, apoi le redirecționează către server. Atunci când acest comportament apare pe un server LDAP, un atacator poate determina un server să ia decizii bazate pe interogări false de la clientul LDAP. Puteți reduce acest risc într-o rețea de corporație, prin implementarea unor măsuri puternice de securitate fizică, pentru a contribui la protejarea infrastructurii de rețea. Modul antet de autentificare IPSec (Internet Protocol Security) vă poate ajuta să preveniți atacurile om-în-mijloc. Modul antet de autentificare efectuează autentificarea reciprocă și integritatea pachetelor pentru traficul IP.

    4. Motive pentru dezactivarea acestei setări

      • Clienții care nu acceptă semnarea LDAP nu vor putea să efectueze interogări LDAP împotriva controlerelor de domeniu și a cataloagelor globale dacă autentificarea NTLM este negociată și dacă nu sunt instalate pachete Service Pack corecte pe controlerele de domeniu Windows 2000.

      • Urmăririle de rețea ale traficului LDAP între clienți și servere vor fi criptate. Acest lucru îngreunează examinarea conversațiilor LDAP.

      • Serverele bazate pe Windows 2000 trebuie să aibă Windows 2000 Service Pack 3 (SP3) sau instalate atunci când sunt administrate cu programe care acceptă semnarea LDAP care rulează de pe computere client care rulează Windows 2000 SP4, Windows XP sau Windows Server 2003.  

    5. Nume simbolic:

      LDAPServerIntegrity

    6. Cale registry:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

    7. Exemple de probleme de compatibilitate

      • Legarea simplă nu va reuși și veți primi următorul mesaj de eroare:

        Ldap_simple_bind_s() nu a reușit: Autentificare puternică necesară.

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Pentru clienții care rulează Windows 2000 SP4, Windows XP sau Windows Server 2003, unele instrumente de administrare Active Directory nu vor funcționa corect împotriva controlerelor de domeniu care rulează versiuni de Windows 2000 care sunt anterioare SP3 atunci când se negociază autentificarea NTLM.

         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Pentru clienții care rulează Windows 2000 SP4, Windows XP sau Windows Server 2003, unele instrumente de administrare Active Directory care vizează controlerele de domeniu care rulează versiuni de Windows 2000 care sunt mai vechi decât SP3 nu vor funcționa corect dacă utilizează adrese IP (de exemplu, "dsa.msc /server=x.x.x.x", unde
        x.x.x.x este o adresă IP).


         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Pentru clienții care rulează Windows 2000 SP4, Windows XP sau Windows Server 2003, unele instrumente de administrare Active Directory care vizează controlerele de domeniu care rulează versiuni de Windows 2000 anterioare SP3 nu vor funcționa corect.

         

  3. Membru al domeniului: Necesită o cheie de sesiune puternică (Windows 2000 sau o versiune mai recentă)

    1. Fundal

      • Membru al domeniului: Setarea pentru cheia de sesiune pentru solicitarea unei sesiuni puternice (Windows 2000 sau o versiune mai recentă) determină dacă se poate stabili un canal sigur cu un controler de domeniu care nu poate cripta traficul de canal securizat cu o cheie de sesiune puternică, pe 128 de biți. Activarea acestei setări împiedică stabilirea unui canal sigur cu orice controler de domeniu care nu poate cripta datele de canal securizate cu o cheie puternică. Dezactivarea acestei setări permite taste de sesiune pe 64 de biți.

      • Înainte de a putea activa această setare pe o stație de lucru membru sau pe un server, toate controlerele de domeniu din domeniul de care aparține membrule trebuie să poată cripta datele de canal securizate cu o cheie puternică, pe 128 de biți. Acest lucru înseamnă că toate aceste controlere de domeniu trebuie să ruleze Windows 2000 sau o versiune mai recentă.

    2. Configurație

      riscantă Activarea membrului domeniului: Setarea pentru cheia de sesiune puternică (Windows 2000 sau o versiune mai recentă) este o setare de configurare dăunătoare.

    3. Motive pentru activarea acestei setări

      • Cheile de sesiune care sunt utilizate pentru a stabili comunicații de canal securizate între computerele membre și controlerele de domeniu sunt mult mai puternice în Windows 2000 decât în versiunile anterioare ale sistemelor de operare Microsoft.

      • Atunci când este posibil, este o idee bună să profitați de aceste chei de sesiune mai puternice pentru a contribui la protejarea comunicațiilor securizate de canal de la eavesdropping și de la sesiuni deturnarea atacurilor de rețea. Eavesdropping este o formă de atac rău intenționat în care datele de rețea sunt citite sau modificate în tranzit. Datele pot fi modificate pentru a ascunde sau a modifica expeditorul sau pentru a le redirecționa.

      Important Un computer care rulează Windows Server 2008 R2 sau Windows 7 acceptă doar taste puternice atunci când sunt utilizate canale securizate. Această restricție împiedică o încredere între orice domeniu bazat pe Windows NT 4.0 și orice domeniu bazat pe Windows Server 2008 R2. În plus, această restricție blochează apartenența la domeniu bazată pe Windows NT 4.0 a computerelor care rulează Windows 7 sau Windows Server 2008 R2 și invers.

    4. Motive pentru dezactivarea acestei setări

      Domeniul conține computere membre care rulează alte sisteme de operare decât Windows 2000, Windows XP sau Windows Server 2003.

    5. Nume simbolic:

      Cheie puternică

    6. Cale registry:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

    7. Exemple de probleme

      de compatibilitate Windows NT 4.0: Pe computerele bazate pe Windows NT 4.0, resetarea canalelor securizate ale relațiilor de încredere între domeniile Windows NT 4.0 și Windows 2000 cu NLTEST nu reușește. Apare un mesaj de eroare "Acces refuzat":

      Relația de încredere dintre domeniul principal și domeniul de încredere nu a reușit.

      Windows 7 și Server 2008 R2: Pentru Windows 7 și versiunile mai recente și Windows Server 2008 R2 și versiunile mai recente, această setare nu mai este onorată și cheia puternică este utilizată întotdeauna. Din acest motiv, trusturile cu domeniile Windows NT 4.0 nu mai funcționează.

  4. Membru al domeniului: criptarea sau semnarea digitală a datelor de canal securizat (întotdeauna)

    1. Fundal

      • Activarea membrului domeniului: criptarea sau semnarea digitală a datelor de canal securizat (întotdeauna) împiedică stabilirea unui canal sigur cu orice controler de domeniu care nu poate semna sau cripta toate datele de canal securizat. Pentru a contribui la protejarea traficului de autentificare împotriva atacurilor directe, a atacurilor de tip reluare și a altor tipuri de atacuri de rețea, computerele bazate pe Windows creează un canal de comunicare cunoscut drept canal securizat prin serviciul Net Logon pentru autentificarea conturilor de computer. Canalele securizate sunt utilizate, de asemenea, atunci când un utilizator dintr-un domeniu se conectează la o resursă de rețea dintr-un domeniu la distanță. Această autentificare multidomeniu sau autentificarea directă permite unui computer bazat pe Windows care s-a asociat unui domeniu să aibă acces la baza de date a contului de utilizator din domeniul său și din orice domenii de încredere.

      • Pentru a activa membrului domeniului: criptarea digitală sau conectarea datelor de canal securizat (întotdeauna) pe un computer membru, toate controlerele de domeniu din domeniul de care aparține membrule trebuie să poată să semneze sau să cripteze toate datele de canal securizate. Acest lucru înseamnă că toate aceste controlere de domeniu trebuie să ruleze Windows NT 4.0 cu Service Pack 6a (SP6a) sau o versiune mai recentă.

      • Activarea membrului domeniului: setarea Criptați sau semnați digital datele de canal securizat (întotdeauna) activează automat setarea Membru domeniu: criptarea digitală sau semnarea datelor de canal securizat (atunci când este posibil).

    2. Configurație

      riscantă Activarea membrului domeniului: Criptarea digitală sau semnarea datelor de canal securizat (întotdeauna) în domenii în care nu toate controlerele de domeniu pot să semneze sau să cripteze date de canal securizat este o setare de configurare dăunătoare.

    3. Motive pentru activarea acestei setări

      Traficul de rețea nesemnat este susceptibil la atacuri de tip intermediar, în care un intrus capturează pachete între server și client, apoi le modifică înainte de a le redirecționa către client. Când se produce acest comportament pe un server Lightweight Directory Access Protocol (LDAP), intrusul poate determina un client să ia decizii bazate pe înregistrări false din directorul LDAP. Puteți reduce riscul unui astfel de atac asupra unei rețele de corporație prin implementarea unor măsuri puternice de securitate fizică pentru a contribui la protejarea infrastructurii de rețea. În plus, implementarea modului antet de autentificare IPSec (Internet Protocol security) vă poate ajuta să preveniți atacurile de tip om la mijloc. Acest mod efectuează autentificarea reciprocă și integritatea pachetelor pentru traficul IP.

    4. Motive pentru dezactivarea acestei setări

      • Computerele din domeniile locale sau externe acceptă canale securizate criptate.

      • Nu toate controlerele de domeniu din domeniu au nivelurile de revizuire corespunzătoare ale pachetului Service Pack pentru a accepta canalele securizate criptate.

    5. Nume simbolic:

      Cheie puternică

    6. Cale registry:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

    7. Exemple de probleme de compatibilitate

      • Windows NT 4.0: Computerele membre bazate pe Windows 2000 nu se vor putea asocia domeniilor Windows NT 4.0 și vor primi următorul mesaj de eroare:

        Contul nu este autorizat să se conecteze de la această stație.

        Pentru mai multe informații, faceți clic pe următorul număr de articol pentru a vizualiza articolul în Baza de cunoștințe Microsoft:

        281648 Mesaj de eroare: Contul nu este autorizat să se conecteze de la această stație
         

      • Windows NT 4.0: Domeniile Windows NT 4.0 nu vor putea stabili o încredere de nivel inferior cu un domeniu Windows 2000 și vor primi următorul mesaj de eroare:

        Contul nu este autorizat să se conecteze de la această stație.

        De asemenea, trusturile de nivel inferior existente pot să nu autentifice utilizatorii din domeniul de încredere. Unii utilizatori pot avea probleme la conectarea la domeniu și pot primi un mesaj de eroare care spune că clientul nu poate găsi domeniul.

      • Windows XP: Clienții Windows XP asociați la domeniile Windows NT 4.0 nu vor putea autentifica încercările de conectare și pot primi următorul mesaj de eroare sau următoarele evenimente pot fi înregistrate în jurnalul de evenimente:

        Windows nu se poate conecta la domeniu fie deoarece controlerul de domeniu este închis, fie nu este disponibil în alt mod, fie pentru că nu a fost găsit contul dvs. de computer

      • Microsoft Network: clienții Microsoft Network vor primi unul dintre următoarele mesaje de eroare:

        Conectare nereușită: nume de utilizator necunoscut sau parolă incorectă.

        Nu există nicio cheie de sesiune de utilizator pentru sesiunea de conectare specificată.

  5. Client de rețea Microsoft: semnarea digitală a comunicațiilor (întotdeauna)

    1. Fundal

      Server Message Block (SMB) este protocolul de partajare a resurselor care este acceptat de multe sisteme de operare Microsoft. Este baza sistemului de intrare/ieșire de bază al rețelei (NetBIOS) și a multor alte protocoale. Semnarea SMB autentifică atât utilizatorul, cât și serverul care găzduiește datele. Dacă oricare dintre părți nu reușește procesul de autentificare, transmiterea datelor nu va avea loc.

      Activarea semnării SMB începe în timpul negocierii protocolului SMB. Politicile de semnare SMB determină dacă computerul semnează întotdeauna digital comunicațiile clientului.

      Protocolul de autentificare Windows 2000 SMB acceptă autentificarea reciprocă. Autentificarea reciprocă închide un atac de tip "om-în-mijloc". Protocolul de autentificare Windows 2000 SMB acceptă, de asemenea, autentificarea mesajelor. Autentificarea mesajelor ajută la prevenirea atacurilor active ale mesajelor. Pentru a vă oferi această autentificare, semnarea SMB pune o semnătură digitală în fiecare SMB. Clientul și serverul verifică fiecare semnătura digitală.

      Pentru a utiliza semnarea SMB, trebuie să activați semnarea SMB sau să solicitați semnarea SMB atât pe clientul SMB, cât și pe serverul SMB. Dacă semnarea SMB este activată pe un server, clienții care sunt activați și pentru semnarea SMB utilizează protocolul de semnare a pachetelor în timpul tuturor sesiunilor ulterioare. Dacă este necesară semnarea SMB pe un server, un client nu poate stabili o sesiune decât dacă clientul este activat sau necesar pentru semnarea SMB.


      Activarea conectării digitale în rețele de înaltă securitate contribuie la prevenirea substituirii identității clienților și a serverelor. Acest tip de asumare a identității este cunoscută ca deturnarea sesiunii. Un atacator care are acces la aceeași rețea ca clientul sau serverul utilizează sesiune de deturnare instrumente pentru a întrerupe, a încheia sau a fura o sesiune în curs. Un atacator poate să intercepteze și să modifice pachetele SMB nesemnate, să modifice traficul, apoi să îl redirecționeze, astfel încât serverul să poată efectua acțiuni nedorite. Sau atacatorul ar putea fi serverul sau clientul după o autentificare legitimă, apoi să obțină acces neautorizat la date.

      Protocolul SMB utilizat pentru partajarea fișierelor și pentru partajarea imprimării pe computere care rulează Windows 2000 Server, Windows 2000 Professional, Windows XP Professional sau Windows Server 2003 acceptă autentificarea reciprocă. Autentificarea reciprocă închide sesiunea deturnând atacuri și acceptă autentificarea mesajelor. Prin urmare, previne atacurile om-în-mijloc. Semnarea SMB oferă această autentificare prin plasarea unei semnături digitale în fiecare SMB. Clientul și serverul verifică apoi semnătura.

      Note

      • Ca o contramăsură alternativă, puteți activa semnăturile digitale cu IPSec pentru a proteja tot traficul de rețea. Există acceleratoare bazate pe hardware pentru criptarea și semnarea IPSec pe care le puteți utiliza pentru a minimiza impactul de performanță din procesorul serverului. Nu există asemenea acceleratoare disponibile pentru semnarea SMB.

        Pentru mai multe informații, consultați capitolul de comunicații despre serverul de semnare digitală de pe site-ul web Microsoft MSDN.

        Configurați semnarea SMB prin Politică de grup Object Editor, deoarece o modificare a unei valori de registry locale nu are efect dacă există o politică de domeniu înlocuitoare.

      • În Windows 95, Windows 98 și Ediția a doua de Windows 98, clientul Directory Services utilizează semnarea SMB atunci când se autentifică cu serverele Windows Server 2003 utilizând autentificarea NTLM. Totuși, acești clienți nu utilizează semnarea SMB atunci când se autentifică cu aceste servere utilizând autentificarea NTLMv2. În plus, serverele Windows 2000 nu răspund la solicitările de semnare SMB de la acești clienți. Pentru mai multe informații, consultați elementul 10: "Securitate rețea: nivel de autentificare Lan Manager".

    2. Configurație

      riscantă Următoarea este o setare de configurare dăunătoare: Se părăsește atât setarea Pentru clientul de rețea Microsoft: semnați digital comunicațiile (întotdeauna), cât și clientul de rețea Microsoft: semnați digital comunicațiile (dacă serverul este de acord) setată la "Nespecificat" sau dezactivată. Aceste setări permit redirectorului să trimită parole în text simplu către servere care nu sunt Microsoft SMB care nu acceptă criptarea parolelor în timpul autentificării.

    3. Motive pentru activarea acestei setări

      Activarea clientului de rețea Microsoft: comunicațiile prin semnare digitală (întotdeauna) necesită ca clienții să semneze traficul SMB atunci când contactează servere care nu necesită semnare SMB. Acest lucru face clienții mai puțin vulnerabile la sesiuni deturnarea atacurilor.

    4. Motive pentru dezactivarea acestei setări

      • Activarea clientului de rețea Microsoft: comunicațiile prin semnare digitală (întotdeauna) împiedică clienții să comunice cu servere țintă care nu acceptă semnarea SMB.

      • Configurarea computerelor pentru a ignora toate comunicațiile SMB nesemnate împiedică conectarea programelor și sistemelor de operare anterioare.

    5. Nume simbolic:

      RequireSMBSignRdr

    6. Cale registry:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

    7. Exemple de probleme de compatibilitate

      • Windows NT 4.0: Nu veți putea reseta canalul securizat al unei încrederi între un domeniu Windows Server 2003 și un domeniu Windows NT 4.0 utilizând NLTEST sau NETDOM și veți primi un mesaj de eroare "Acces refuzat".

      • Windows XP: Copierea fișierelor de la clienții Windows XP pe servere bazate pe Windows 2000 și pe servere bazate pe Windows Server 2003 poate dura mai mult timp.

      • Nu veți putea mapa o unitate de rețea de la un client cu această setare activată și veți primi următorul mesaj de eroare:

        Contul nu este autorizat să se conecteze de la această stație.

    8. Cerințe de

      repornire Reporniți computerul sau reporniți serviciul Stație de lucru. Pentru a face acest lucru, tastați următoarele comenzi într-o linie de comandă. Apăsați pe Enter după ce tastați fiecare comandă.

      stație
      de lucru net stop net start workstation

  6. Server de rețea Microsoft: comunicații prin semnare digitală (întotdeauna)

    1. Fundal

      • Server Messenger Block (SMB) este protocolul de partajare a resurselor care este acceptat de multe sisteme de operare Microsoft. Este baza sistemului de intrare/ieșire de bază al rețelei (NetBIOS) și a multor alte protocoale. Semnarea SMB autentifică atât utilizatorul, cât și serverul care găzduiește datele. Dacă oricare dintre părți nu reușește procesul de autentificare, transmiterea datelor nu va avea loc.

        Activarea semnării SMB începe în timpul negocierii protocolului SMB. Politicile de semnare SMB determină dacă computerul semnează întotdeauna digital comunicațiile clientului.

        Protocolul de autentificare Windows 2000 SMB acceptă autentificarea reciprocă. Autentificarea reciprocă închide un atac de tip "om-în-mijloc". Protocolul de autentificare Windows 2000 SMB acceptă, de asemenea, autentificarea mesajelor. Autentificarea mesajelor ajută la prevenirea atacurilor active ale mesajelor. Pentru a vă oferi această autentificare, semnarea SMB pune o semnătură digitală în fiecare SMB. Clientul și serverul verifică fiecare semnătura digitală.

        Pentru a utiliza semnarea SMB, trebuie să activați semnarea SMB sau să solicitați semnarea SMB atât pe clientul SMB, cât și pe serverul SMB. Dacă semnarea SMB este activată pe un server, clienții care sunt activați și pentru semnarea SMB utilizează protocolul de semnare a pachetelor în timpul tuturor sesiunilor ulterioare. Dacă este necesară semnarea SMB pe un server, un client nu poate stabili o sesiune decât dacă clientul este activat sau necesar pentru semnarea SMB.


        Activarea conectării digitale în rețele de înaltă securitate contribuie la prevenirea substituirii identității clienților și a serverelor. Acest tip de asumare a identității este cunoscută ca deturnarea sesiunii. Un atacator care are acces la aceeași rețea ca clientul sau serverul utilizează sesiune de deturnare instrumente pentru a întrerupe, a încheia sau a fura o sesiune în curs. Un atacator poate să intercepteze și să modifice pachetele Unsigned Subnet Bandwidth Manager (SBM), să modifice traficul, apoi să îl redirecționeze, astfel încât serverul să poată efectua acțiuni nedorite. Sau atacatorul ar putea fi serverul sau clientul după o autentificare legitimă, apoi să obțină acces neautorizat la date.

        Protocolul SMB utilizat pentru partajarea fișierelor și pentru partajarea imprimării pe computere care rulează Windows 2000 Server, Windows 2000 Professional, Windows XP Professional sau Windows Server 2003 acceptă autentificarea reciprocă. Autentificarea reciprocă închide sesiunea deturnând atacuri și acceptă autentificarea mesajelor. Prin urmare, previne atacurile om-în-mijloc. Semnarea SMB oferă această autentificare prin plasarea unei semnături digitale în fiecare SMB. Clientul și serverul verifică apoi semnătura.

      • Ca o contramăsură alternativă, puteți activa semnăturile digitale cu IPSec pentru a proteja tot traficul de rețea. Există acceleratoare bazate pe hardware pentru criptarea și semnarea IPSec pe care le puteți utiliza pentru a minimiza impactul de performanță din procesorul serverului. Nu există asemenea acceleratoare disponibile pentru semnarea SMB.

      • În Windows 95, Windows 98 și Ediția a doua de Windows 98, clientul Directory Services utilizează semnarea SMB atunci când se autentifică cu serverele Windows Server 2003 utilizând autentificarea NTLM. Totuși, acești clienți nu utilizează semnarea SMB atunci când se autentifică cu aceste servere utilizând autentificarea NTLMv2. În plus, serverele Windows 2000 nu răspund la solicitările de semnare SMB de la acești clienți. Pentru mai multe informații, consultați elementul 10: "Securitate rețea: nivel de autentificare Lan Manager".

    2. Configurație

      riscantă Următoarea este o setare de configurare dăunătoare: Activarea serverului de rețea Microsoft: setarea Semnați digital comunicațiile (întotdeauna) pe servere și pe controlerele de domeniu care sunt accesate de computere incompatibile bazate pe Windows și de computere client bazate pe sisteme de operare terțe din domenii locale sau externe.

    3. Motive pentru activarea acestei setări

      • Toate computerele client care activează această setare direct prin registry sau prin setarea Politică de grup acceptă semnarea SMB. Cu alte cuvinte, toate computerele client care au această setare activată rulează Windows 95 cu clientul DS instalat, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional sau Windows Server 2003.

      • Dacă serverul de rețea Microsoft: comunicațiile prin semnare digitală (întotdeauna) sunt dezactivate, semnarea SMB este complet dezactivată. Dezactivarea completă a tuturor semnăturilor SMB lasă computerele mai vulnerabile la atacuri de deturnare de sesiune.

    4. Motive pentru dezactivarea acestei setări

      • Activarea acestei setări poate cauza o copiere mai lentă a fișierelor și o performanță de rețea mai lentă pe computerele client.

      • Activarea acestei setări va împiedica clienții care nu pot negocia comunicarea semnării SMB cu serverele și cu controlerele de domeniu. Acest lucru face ca operațiunile, cum ar fi asocierile la domeniu, autentificarea utilizatorilor și a computerului sau accesul la rețea al programelor să nu reușească.

    5. Nume simbolic:

      RequireSMBSignServer

    6. Cale registry:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

    7. Exemple de probleme de compatibilitate

      • Windows 95: Clienții Windows 95 care nu au instalat clientul Servicii director (DS) nu vor reuși autentificarea de conectare și vor primi următorul mesaj de eroare:

        Parola de domeniu furnizată nu este corectă sau accesul la serverul de conectare a fost refuzat.

      • Windows NT 4.0: Computerele client care rulează versiuni de Windows NT 4.0 anterioare pachetului Service Pack 3 (SP3) nu vor reuși autentificarea de conectare și vor primi următorul mesaj de eroare:

        Sistemul nu v-a putut conecta. Asigurați-vă că numele de utilizator și domeniul sunt corecte, apoi tastați din nou parola.

        Unele servere SMB non-Microsoft acceptă doar schimburi de parole necriptate în timpul autentificrii. (Aceste schimburi, cunoscute și ca schimburi de tip "text simplu".) Pentru Windows NT 4.0 SP3 și versiunile mai recente, redirectorul SMB nu trimite o parolă necriptată în timpul autentificării la un server SMB decât dacă adăugați o anumită intrare de registry.
        Pentru a activa parole necriptate pentru clientul SMB pe Windows NT 4.0 SP 3 și pe sisteme mai noi, modificați registry-ul după cum urmează: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters

        Nume valoare: EnablePlainTextPassword

        Tip de date: REG_DWORD

        Date: 1

         

      • Windows Server 2003: În mod implicit, setările de securitate pentru controlerele de domeniu care rulează Windows Server 2003 sunt configurate pentru a împiedica interceptarea sau falsificarea comunicațiilor controlerului de domeniu de către utilizatorii rău intenționați. Pentru ca utilizatorii să comunice cu succes cu un controler de domeniu care rulează Windows Server 2003, computerele client trebuie să utilizeze atât semnarea SMB, cât și criptarea sau semnarea securizată a traficului de canal. În mod implicit, clienții care rulează Windows NT 4.0 cu Pachetul Service Pack 2 (SP2) sau o versiune anterioară instalată și clienții care rulează Windows 95 nu au activată semnarea pachetelor SMB. Prin urmare, este posibil ca acești clienți să nu se poată autentifica la un controler de domeniu bazat pe Windows Server 2003.

      • Setările de politică pentru Windows 2000 și Windows Server 2003: În funcție de necesitățile specifice de instalare și de configurare, vă recomandăm să setați următoarele setări de politică la cea mai joasă entitate din domeniul de aplicare necesar din ierarhia utilitarului de completare snap-in Microsoft Management Console Politică de grup Editor:

        • Configurație computer\Securitate Windows Setări\Opțiuni de securitate

        • Trimiteți o parolă necriptată pentru a vă conecta la servere SMB de la terți (această setare este pentru Windows 2000)

        • Client de rețea Microsoft: Trimiteți o parolă necriptată către servere SMB terțe (această setare este pentru Windows Server 2003)


        Notă În unele servere CIFS de la terți, cum ar fi versiunile mai vechi de Samba, nu puteți utiliza parole criptate.

      • Următorii clienți sunt incompatibili cu serverul de rețea Microsoft: setarea De comunicații prin semnare digitală (întotdeauna):

        • Clienți Apple Computer, Inc., Mac OS X

        • Clienți de rețea Microsoft MS-DOS (de exemplu, Microsoft LAN Manager)

        • Clienții Microsoft Windows pentru grupuri de lucru

        • Clienți Microsoft Windows 95 fără clientul DS instalat

        • Computere Bazate pe Microsoft Windows NT 4.0 fără SP3 sau o versiune mai recentă instalate

        • Novell Netware 6 CIFS clients

        • Clienți SAMBA SMB care nu au suport pentru semnarea SMB

    8. Cerințe de

      repornire Reporniți computerul sau reporniți serviciul Server. Pentru a face acest lucru, tastați următoarele comenzi într-o linie de comandă. Apăsați pe Enter după ce tastați fiecare comandă.

      net stop server
      net start server

  7. Acces la rețea: Permiteți traducerea sid-ului/numelui anonim

    1. Fundal

      Acces la rețea: Setarea de securitate anonimă pentru traducerea SID/Nume determină dacă un utilizator anonim poate solicita atribute de număr de identificare de securitate (SID) pentru un alt utilizator.

    2. Configurație

      riscantă Activarea accesului la rețea: setarea Permiteți traducerea anonimă SID/Name este o setare de configurare dăunătoare.

    3. Motive pentru activarea acestei setări

      Dacă setarea De acces la rețea: Permiteți setarea anonimă de traducere SID/Nume este dezactivată, este posibil ca sistemele de operare sau aplicațiile anterioare să nu poată comunica cu domeniile Windows Server 2003. De exemplu, următoarele sisteme de operare, servicii sau aplicații pot să nu funcționeze:

      • Servere de servicii de acces la distanță bazate pe Windows NT 4.0

      • Microsoft SQL Server care rulează pe computere bazate pe Windows NT 3.x sau pe computere bazate pe Windows NT 4.0

      • Remote Access Service care rulează pe computere Windows 2000 care se află în domenii Windows NT 3.x sau în domenii Windows NT 4.0

      • SQL Server care rulează pe computere bazate pe Windows 2000 care se află în domenii Windows NT 3.x sau în domenii Windows NT 4.0

      • Utilizatorii din domeniul de resurse Windows NT 4.0 care doresc să acorde permisiuni pentru a accesa fișiere, foldere partajate și obiecte de registry pentru conturile de utilizator din domeniile de cont care conțin controlere de domeniu Windows Server 2003

    4. Motive pentru dezactivarea acestei setări

      Dacă această setare este activată, un utilizator rău intenționat ar putea utiliza SID-ul administratorilor cunoscuți pentru a obține numele real al contului de administrator încorporat, chiar dacă contul a fost redenumit. Acea persoană ar putea folosi numele contului pentru a iniția un atac de ghicire a parolei.

    5. Nume simbolic: N/A

    6. Cale registry: Fără. Calea este specificată în codul IU.

    7. Exemple de probleme

      de compatibilitate Windows NT 4.0: Computerele din domeniile de resurse Windows NT 4.0 vor afișa mesajul de eroare "Cont necunoscut" în Editorul ACL dacă resursele, inclusiv folderele partajate, fișierele partajate și obiectele de registry, sunt securizate cu conturi principale care se află în domenii de cont care conțin controlere de domeniu Windows Server 2003.

  8. Acces la rețea: Nu se permite enumerarea anonimă a conturilor SAM

    1. Fundal

      • Setarea Acces în rețea: Nu se permite enumerarea anonimă a conturilor SAM determină ce permisiuni suplimentare vor fi acordate pentru conexiuni anonime la computer. Windows permite utilizatorilor anonimi să efectueze anumite activități, cum ar fi enumerarea numelor conturilor Managerului de conturi de securitate (SAM) de stație de lucru și server și ale partajărilor de rețea. De exemplu, un administrator poate utiliza această opțiune pentru a acorda acces utilizatorilor dintr-un domeniu de încredere care nu păstrează o încredere reciprocă. După ce se efectuează o sesiune, un utilizator anonim poate avea același acces care este acordat grupului Oricine pe baza setării din Acces în rețea: Permiteți tuturor permisiunile să se aplice setărilor utilizatorilor anonimi sau listei de control al accesului (DACL) discreționare a obiectului.

        De obicei, conexiunile anonime sunt solicitate de versiuni anterioare de clienți (clienți de nivel inferior) în timpul configurării sesiunii SMB. În aceste cazuri, o trasare de rețea arată că ID-ul de proces SMB (PID) este redirectorul client, cum ar fi 0xFEFF în Windows 2000 sau 0xCAFE în Windows NT. RPC poate încerca, de asemenea, să facă conexiuni anonime.

      • Important Această setare nu are niciun impact asupra controlerelor de domeniu. Pe controlerele de domeniu, acest comportament este controlat de prezența "NT AUTHORITY\ANONYMOUS LOGON" în "Acces compatibil cu Pre-Windows 2000".

      • În Windows 2000, o setare similară denumită Restricții suplimentare pentru conexiuni anonime gestionează valoarea de registry RestrictAnonymous . Locația acestei valori este după cum urmează

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA  

    2. Configurații riscante

      Activarea accesului la rețea: Nu se permite enumerarea anonimă a conturilor SAM este o setare de configurare dăunătoare dintr-o perspectivă de compatibilitate. Dezactivarea acesteia este o setare de configurare dăunătoare dintr-o perspectivă de securitate.

    3. Motive pentru activarea acestei setări

      Un utilizator neautorizat poate lista anonim numele conturilor, apoi ar putea utiliza informațiile pentru a încerca să ghicească parole sau să efectueze atacuri de inginerie socială. Ingineria socială este un jargon care înseamnă păcălirea oamenilor să-și dezvăluie parolele sau o formă de informații de securitate.

    4. Motive pentru dezactivarea acestei setări

      Dacă această setare este activată, este imposibil să stabiliți trusturi cu domeniile Windows NT 4.0. Această setare cauzează, de asemenea, probleme cu clienții de nivel inferior (cum ar fi clienții Windows NT 3.51 și clienții Windows 95) care încearcă să utilizeze resursele de pe server.

    5. Nume simbolic:


      RestrictAnonymousSAM

    6. Cale registry:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

    7. Exemple de probleme de compatibilitate

    • SMS Network Discovery nu va putea obține informații despre sistemul de operare și va scrie "Necunoscut" în proprietatea OperatingSystemNameandVersion.

    • Clienții Windows 95, Windows 98: Clienții Windows 95 și clienții Windows 98 nu își vor putea modifica parolele.

    • Windows NT 4.0: Computerele membre bazate pe Windows NT 4.0 nu vor putea fi autentificate.

    • Computerele windows 95, Windows 98: bazate pe Windows 95 și cele bazate pe Windows 98 nu vor putea fi autentificate de controlerele de domeniu Microsoft.

    • Windows 95, Windows 98: Utilizatorii de pe computerele bazate pe Windows 95 și bazate pe Windows 98 nu vor putea modifica parolele pentru conturile lor de utilizator.

  9. Acces la rețea: Nu se permite enumerarea anonimă a conturilor și partajării SAM

    1. Fundal

      • Setarea Acces la rețea: Nu se permite enumerarea anonimă a conturilor și partajării SAM (numită și RestrictAnonymous) determină dacă este permisă enumerarea anonimă a conturilor și partajării de conturi de securitate (SAM). Windows permite utilizatorilor anonimi să efectueze anumite activități, cum ar fi enumerarea numelor conturilor de domeniu (utilizatori, computere și grupuri) și a partajării de rețea. Acest lucru este convenabil, de exemplu, atunci când un administrator dorește să acorde acces utilizatorilor dintr-un domeniu de încredere care nu păstrează o încredere reciprocă. Dacă nu doriți să permiteți enumerarea anonimă a conturilor SAM și a partajării, activați această setare.

      • În Windows 2000, o setare similară denumită Restricții suplimentare pentru conexiuni anonime gestionează valoarea de registry RestrictAnonymous . Locația acestei valori este după cum urmează:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

    2. Configurație

      riscantă Activarea accesului la rețea: Nu permiteți enumerarea anonimă a conturilor și partajărilor SAM este o setare de configurare dăunătoare.

    3. Motive pentru activarea acestei setări

      • Activarea accesului la rețea: Nu permiteți enumerarea anonimă a conturilor și partajării SAM împiedică enumerarea conturilor și partajării SAM de către utilizatorii și computerele care utilizează conturi anonime.

    4. Motive pentru dezactivarea acestei setări

      • Dacă această setare este activată, un utilizator neautorizat poate lista anonim numele conturilor, apoi poate utiliza informațiile pentru a încerca să ghicească parole sau să efectueze atacuri de inginerie socială. Ingineria socială este un jargon care înseamnă păcălirea oamenilor să-și dezvăluie parola sau o formă de informații de securitate.

      • Dacă această setare este activată, va fi imposibil să stabiliți trusturi cu domeniile Windows NT 4.0. Această setare va provoca, de asemenea, probleme cu clienții de nivel inferior, cum ar fi clienții Windows NT 3.51 și Windows 95 care încearcă să utilizeze resursele de pe server.

      • Va fi imposibil să acordați acces utilizatorilor de domenii de resurse, deoarece administratorii din domeniul de încredere nu vor putea enumera listele de conturi din celălalt domeniu. Utilizatorii care accesează anonim serverele de fișiere și de imprimare nu vor putea lista resursele de rețea partajate pe acele servere. Utilizatorii trebuie să se autentifice înainte de a putea vizualiza listele de foldere și imprimante partajate.

    5. Nume simbolic:

      Restrictanonymous

    6. Cale registry:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

    7. Exemple de probleme de compatibilitate

      • Windows NT 4.0: Utilizatorii nu își vor putea modifica parolele din stațiile de lucru Windows NT 4.0 atunci când este activat RestrictAnonymous pe controlerele de domeniu din domeniul utilizatorilor.

      • Windows NT 4.0: Adăugarea utilizatorilor sau a grupurilor globale de la domenii Windows 2000 de încredere la grupurile locale Windows NT 4.0 din User Manager nu va reuși și va apărea următorul mesaj de eroare:

        Momentan nu există servere de conectare disponibile pentru a deservi solicitarea de conectare.

      • Windows NT 4.0: Computerele bazate pe Windows NT 4.0 nu vor putea să se asocieze domeniilor în timpul instalării sau utilizând interfața utilizator de asociere la domeniu.

      • Windows NT 4.0: Stabilirea unei încrederi de nivel inferior cu domeniile de resurse Windows NT 4.0 nu va reuși. Următorul mesaj de eroare va apărea atunci când este activat RestrictAnonymous în domeniul de încredere:

        Imposibil de găsit controlerul de domeniu pentru acest domeniu.

      • Windows NT 4.0: Utilizatorii care se conectează la computere Terminal Server bazate pe Windows NT 4.0 se vor mapa la directorul de pornire implicit în locul directorului de pornire definit în User Manager pentru domenii.

      • Windows NT 4.0: Controlerele de domeniu de backup Windows NT 4.0 (BDC) nu vor putea să pornească serviciul Net Logon, să obțină o listă de browsere de backup sau să sincronizeze baza de date SAM din Windows 2000 sau de la controlerele de domeniu Windows Server 2003 din același domeniu.

      • Windows 2000: Computerele membre bazate pe Windows 2000 din domeniile Windows NT 4.0 nu vor putea vizualiza imprimantele din domeniile externe dacă setarea Nu se accesează fără permisiuni anonime în mod explicit este activată în politica de securitate locală a computerului client.

      • Windows 2000: Utilizatorii de domenii Windows 2000 nu vor putea adăuga imprimante de rețea din Active Directory; cu toate acestea, vor putea adăuga imprimante după ce le selectează din vizualizarea arborescentă.

      • Windows 2000: Pe computerele bazate pe Windows 2000, Editorul ACL nu va putea adăuga utilizatori sau grupuri globale din domenii Windows NT 4.0 de încredere.

      • ADMT versiunea 2: Migrarea parolelor pentru conturile de utilizator care sunt migrate între păduri cu Active Directory Migration Tool (ADMT) versiunea 2 nu va reuși.

        Pentru mai multe informații, faceți clic pe următorul număr de articol pentru a vizualiza articolul în Baza de cunoștințe Microsoft:

        322981 Cum se depanează migrarea parolelor între păduri cu ADMTv2

      • Clienți Outlook: Lista globală de adrese va apărea goală pentru clienții Microsoft Exchange Outlook.

      • SMS: Descoperirea rețelei Microsoft Systems Management Server (SMS) nu va putea obține informații despre sistemul de operare. Prin urmare, va scrie "Necunoscut" în proprietatea OperatingSystemNameandVersion a proprietății SMS DDR a înregistrării de date de descoperire (DDR).

      • SMS: Atunci când utilizați Expertul utilizator administrator SMS pentru a naviga după utilizatori și grupuri, nu vor fi listați utilizatori sau grupuri. În plus, clienții Avansați nu pot comunica cu Punctul de gestionare. Accesul anonim este necesar în Punctul de gestionare.

      • SMS: Atunci când utilizați caracteristica Descoperire rețea în SMS 2.0 și în Instalarea clientului la distanță cu opțiunea Topologie, client și sisteme de operare client de descoperire a rețelei activată, computerele pot fi descoperite, dar pot să nu fie instalate.

  10. Securitatea rețelei: nivel de autentificare Lan Manager

    1. Fundal

      Autentificarea LAN Manager (LM) este protocolul utilizat pentru autentificarea clienților Windows pentru operațiuni de rețea, inclusiv asocierile la domeniu, accesarea resurselor de rețea și autentificarea utilizatorului sau a computerului. Nivelul de autentificare LM determină protocolul de autentificare de provocare/răspuns negociat între client și computerele de server. Mai exact, nivelul de autentificare LM determină protocoalele de autentificare pe care clientul va încerca să le negocieze sau pe care serverul le va accepta. Valoarea setată pentru LmCompatibilityLevel determină protocolul de autentificare de provocare/răspuns utilizat pentru conectările la rețea. Această valoare afectează nivelul protocolului de autentificare utilizat de clienți, nivelul de securitate a sesiunii negociat și nivelul de autentificare acceptat de servere.

      Printre setările posibile se numără următoarele.

      Valoare

      Setare

      Descriere

      0

      Trimiterea răspunsurilor NTLM & LM

      Clienții utilizează autentificarea LM și NTLM și nu utilizează niciodată securitatea sesiunii NTLMv2. Controlerele de domeniu acceptă autentificarea LM, NTLM și NTLMv2.

      1

      Trimitere LM & NTLM - utilizați securitatea sesiunii NTLMv2 dacă se negociază

      Clienții utilizează autentificarea LM și NTLM și utilizează securitatea sesiunii NTLMv2 dacă serverul acceptă acest lucru. Controlerele de domeniu acceptă autentificarea LM, NTLM și NTLMv2.

      2

      Se trimite doar răspunsul NTLM

      Clienții utilizează doar autentificarea NTLM și utilizează securitatea sesiunii NTLMv2 dacă serverul acceptă acest lucru. Controlerele de domeniu acceptă autentificarea LM, NTLM și NTLMv2.

      3

      Se trimite doar răspunsul NTLMv2

      Clienții utilizează doar autentificarea NTLMv2 și utilizează securitatea sesiunii NTLMv2 dacă serverul o acceptă. Controlerele de domeniu acceptă autentificarea LM, NTLM și NTLMv2.

      4

      Trimitere doar răspuns NTLMv2/LM refuzat

      Clienții utilizează doar autentificarea NTLMv2 și utilizează securitatea sesiunii NTLMv2 dacă serverul o acceptă. Controlerele de domeniu refuză LM și acceptă numai autentificarea NTLM și NTLMv2.

      5

      Trimitere numai răspuns NTLMv2/refuz LM & NTLM

      Clienții utilizează doar autentificarea NTLMv2 și utilizează securitatea sesiunii NTLMv2 dacă serverul o acceptă. Controlerele de domeniu refuză LM și NTLM și acceptă doar autentificarea NTLMv2.

      Notă În Windows 95, Windows 98 și Ediția a doua de Windows 98, clientul Directory Services utilizează semnarea SMB atunci când se autentifică cu serverele Windows Server 2003 utilizând autentificarea NTLM. Totuși, acești clienți nu utilizează semnarea SMB atunci când se autentifică cu aceste servere utilizând autentificarea NTLMv2. În plus, serverele Windows 2000 nu răspund la solicitările de semnare SMB de la acești clienți.

      Verificați nivelul de autentificare LM: Trebuie să modificați politica de pe server pentru a permite NTLM sau trebuie să configurați computerul client pentru a accepta NTLMv2.

      Dacă politica este setată la (5) Trimiteți doar răspuns NTLMv2\refuzați LM & NTLM pe computerul țintă la care doriți să vă conectați, fie micșorați setarea de pe acel computer, fie setați securitatea la aceeași setare de pe computerul sursă de la care vă conectați.

      Găsiți locația corectă în care puteți modifica nivelul de autentificare al managerului LAN pentru a seta clientul și serverul la același nivel. După ce găsiți politica care setează nivelul de autentificare al managerului LAN, dacă doriți să vă conectați la și de pe computere care rulează versiuni anterioare de Windows, reduceți valoarea la cel puțin (1) Trimitere LM & NTLM - utilizați securitatea sesiunii NTLM versiunea 2 dacă se negociază. Un efect al setărilor incompatibile este că, dacă serverul necesită NTLMv2 (valoarea 5), dar clientul este configurat să utilizeze numai LM și NTLMv1 (valoarea 0), utilizatorul care încearcă autentificarea se confruntă cu o eroare de conectare care are o parolă greșită și care incrementează numărul de parole greșite. Dacă este configurată blocarea contului, utilizatorul poate fi în cele din urmă blocat.

      De exemplu, poate fi necesar să căutați pe controlerul de domeniu sau poate fi necesar să examinați politicile controlerului de domeniu.

      Uitați-vă la controlerul

      de domeniu Notă Poate fi necesar să repetați următoarea procedură pe toate controlerele de domeniu.

      1. Faceți clic pe Start, indicați spre Programe, apoi faceți clic pe Instrumente de administrare.

      2. Sub Setări de securitate locală, extindeți Politici locale.

      3. Faceți clic pe Opțiuni de securitate.

      4. Faceți dublu clic pe Securitate rețea: nivel de autentificare manager LAN, apoi faceți clic pe o valoare din listă.


      Dacă Setarea efectivă și Setarea locală sunt aceleași, politica a fost modificată la acest nivel. Dacă setările sunt diferite, trebuie să verificați politica controlerului de domeniu pentru a determina dacă setarea nivelului de autentificare network Security: LAN manager este definită acolo. Dacă nu este definit acolo, examinați politicile controlerului de domeniu.

      Examinați politicile controlerului de domeniu

      1. Faceți clic pe Start, indicați spre Programe, apoi faceți clic pe Instrumente de administrare.

      2. În politica de securitate controler de domeniu , extindeți Setări de securitate, apoi extindeți Politici locale.

      3. Faceți clic pe Opțiuni de securitate.

      4. Faceți dublu clic pe Securitate rețea: nivel de autentificare manager LAN, apoi faceți clic pe o valoare din listă.


      Notă

      • De asemenea, poate fi necesar să verificați politicile legate la nivel de site, la nivel de domeniu sau la nivelul de unitate organizațională (OU) pentru a determina unde trebuie să configurați nivelul de autentificare al managerului LAN.

      • Dacă implementați o setare de Politică de grup ca politică de domeniu implicită, politica se aplică tuturor computerelor din domeniu.

      • Dacă implementați o setare de Politică de grup ca politică implicită a controlerului de domeniu, politica se aplică doar serverelor din OU-ul controlerului de domeniu.

      • Este o idee bună să setați nivelul de autentificare al managerului LAN în entitatea cea mai joasă a domeniului necesar în ierarhia de aplicații de politică.

      Windows Server 2003 are o nouă setare implicită pentru a utiliza doar NTLMv2. În mod implicit, controlerele de domeniu bazate pe Windows Server 2003 și Windows 2000 Server SP3 au activat politica "Server de rețea Microsoft: comunicații prin semnare digitală (întotdeauna)". Această setare necesită ca serverul SMB să efectueze semnarea pachetelor SMB. Modificările la Windows Server 2003 au fost efectuate, deoarece controlerele de domeniu, serverele de fișiere, serverele de infrastructură de rețea și serverele web din orice organizație necesită setări diferite pentru a le maximiza securitatea.

      Dacă doriți să implementați autentificarea NTLMv2 în rețea, trebuie să vă asigurați că toate computerele din domeniu sunt setate să utilizeze acest nivel de autentificare. Dacă aplicați Extensiile client Active Directory pentru Windows 95 sau Windows 98 și Windows NT 4.0, extensiile client utilizează caracteristicile de autentificare îmbunătățite care sunt disponibile în NTLMv2. Deoarece computerele client care rulează oricare dintre următoarele sisteme de operare nu sunt afectate de Obiecte Politică de grup Windows 2000, poate fi necesar să configurați manual acești clienți:

      • Microsoft Windows NT 4.0

      • Microsoft Windows Millennium Edition

      • Microsoft Windows 98

      • Microsoft Windows 95

      Notă Dacă activați securitatea rețelei: Nu stocați valoarea hash a managerului LAN în următoarea politică de modificare a parolei sau setați cheia de registry NoLMHash , clienții bazați pe Windows 95 și cei bazate pe Windows 98 care nu au instalat clientul Directory Services nu se pot conecta la domeniu după o modificare de parolă.

      Multe servere CIFS de la terți, cum ar fi Novell Netware 6, nu cunosc NTLMv2 și utilizează doar NTLM. Prin urmare, nivelurile mai mari decât 2 nu permit conectivitatea. De asemenea, există clienți SMB terți care nu utilizează securitatea extinsă a sesiunilor. În aceste cazuri, LmCompatiblityLevel al serverului de resurse nu este luat în considerare. Serverul împachetează apoi această solicitare moștenită și o trimite la Controlerul de domeniu de utilizator. Setările de pe controlerul de domeniu decid apoi ce hash-uri sunt utilizate pentru a verifica solicitarea și dacă acestea îndeplinesc cerințele de securitate ale Controlerului de domeniu.

       

      299656 Cum să împiedicați Windows să stocheze un cod hash de manager LAN al parolei în Active Directory și în bazele de date SAM locale
       

      2701704Evenimentul de audit afișează pachetul de autentificare ca NTLMv1 în loc de NTLMv2 Pentru mai multe informații despre nivelurile de autentificare LM, faceți clic pe următorul număr de articol pentru a vedea articolul în Baza de cunoștințe Microsoft:

      239869 Cum se activează autentificarea NTLM 2
       

    2. Configurații riscante

      Următoarele sunt setări de configurare dăunătoare:

      • Setări nerestricționate care trimit parole în text clar și care refuză negocierea NTLMv2

      • Setări restrictive care împiedică clienții sau controlerele de domeniu incompatibile să negocieze un protocol de autentificare comun

      • Solicitarea autentificării NTLMv2 pe computerele membre și pe controlerele de domeniu care rulează versiuni de Windows NT 4.0 anterioare Pachetului Service Pack 4 (SP4)

      • Solicitarea autentificării NTLMv2 pe clienții Windows 95 sau pe clienții Windows 98 care nu au instalat clientul Windows Directory Services.

      • Dacă faceți clic pentru a bifa caseta de selectare Se solicită securitatea sesiunii NTLMv2 din Microsoft Management Console Politică de grup Pe un computer bazat pe Windows Server 2003 sau Windows 2000 Service Pack 3 și reduceți nivelul de autentificare al managerului LAN la 0, cele două setări intră în conflict și este posibil să primiți următorul mesaj de eroare în fișierul Secpol.msc sau în fișierul GPEdit.msc:

        Windows nu poate deschide baza de date de politică locală. Eroare necunoscută la încercarea de deschidere a bazei de date.

        Pentru mai multe informații despre Instrumentul de configurare și analiză a securității, consultați fișierele de Ajutor Windows 2000 sau Windows Server 2003.

    3. Motive pentru modificarea acestei setări

      • Doriți să măriți cel mai mic protocol de autentificare comun care este acceptat de clienții și controlerele de domeniu din organizația dvs.

      • Acolo unde autentificarea securizată este o cerință de afaceri, doriți să nu permiteți negocierea protocoalelor LM și NTLM.

    4. Motive pentru dezactivarea acestei setări

      Cerințele de autentificare pentru client sau server sau ambele au fost mărite la punctul în care autentificarea printr-un protocol comun nu poate apărea.

    5. Nume simbolic:

      Lmcompatibilitylevel

    6. Cale registry:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. Exemple de probleme de compatibilitate

      • Windows Server 2003: În mod implicit, este activată setarea De răspunsuri NTLM pentru Windows Server 2003 NTLM2. Prin urmare, Windows Server 2003 primește mesajul de eroare "Acces refuzat" după instalarea inițială atunci când încercați să vă conectați la un cluster bazat pe Windows NT 4.0 sau la servere bazate pe LanManager V2.1, cum ar fi OS/2 Lanserver. Această problemă apare, de asemenea, dacă încercați să vă conectați de la un client de versiune anterioară la un server bazat pe Windows Server 2003.

      • Instalați Pachetul de actualizări de securitate Windows 2000 1 (SRP1). SRP1 forțează NTLM versiunea 2 (NTLMv2). Acest pachet de seturi a fost lansat după lansarea Windows 2000 Service Pack 2 (SP2).
         

      • Windows 7 și Windows Server 2008 R2: Multe servere CIFS terțe, cum ar fi Novell Netware 6 sau serverele Samba bazate pe Linux, nu cunosc NTLMv2 și utilizează doar NTLM. Prin urmare, nivelurile mai mari decât "2" nu permit conectivitatea. Acum, în această versiune a sistemului de operare, valoarea implicită pentru LmCompatibilityLevel a fost modificată la "3". Așadar, atunci când faceți upgrade la Windows, acești fișiere terți pot să nu mai funcționeze.

      • Clienților Microsoft Outlook li se pot solicita acreditările, chiar dacă sunt deja conectați la domeniu. Atunci când utilizatorii își furnizează acreditările, primesc următorul mesaj de eroare: Windows 7 și Windows Server 2008 R2

        Acreditările de conectare furnizate au fost incorecte. Asigurați-vă că numele de utilizator și domeniul sunt corecte, apoi tastați din nou parola.

        Atunci când porniți Outlook, este posibil să vi se solicite acreditările, chiar dacă setarea De securitate în rețea de conectare este setată la Passthrough sau la Autentificare prin parolă. După ce tastați acreditările corecte, este posibil să primiți următorul mesaj de eroare:

        Acreditările de conectare furnizate au fost incorecte.

        O urmărire monitor rețea poate arăta că catalogul global a emis o eroare de apel de procedură la distanță (RPC) cu starea 0x5. Starea 0x5 înseamnă "Acces refuzat".

      • Windows 2000: O captură monitor de rețea poate afișa următoarele erori în sesiunea netBIOS prin TCP/IP (NetBT) server message block (SMB):

        SMB R Search Directory Dos error, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Identificator de utilizator nevalid

      • Windows 2000: Dacă un domeniu Windows 2000 cu NTLMv2 nivel 2 sau mai recent este de încredere pentru un domeniu Windows NT 4.0, computerele membre bazate pe Windows 2000 din domeniul de resurse pot întâmpina erori de autentificare.

      • Windows 2000 și Windows XP: În mod implicit, Windows 2000 și Windows XP setează opțiunea de Politică locală de securitate la nivel de autentificare LAN Manager la 0. O setare 0 înseamnă "Trimiteți răspunsuri LM și NTLM".

        Notă Clusterele bazate pe Windows NT 4.0 trebuie să utilizeze LM pentru administrare.

      • Windows 2000: Clusteringul Windows 2000 nu autentifică un nod de asociere dacă ambele noduri fac parte dintr-un domeniu Windows NT 4.0 Service Pack 6a (SP6a).

      • Instrumentul de blocare IIS (HiSecWeb) setează valoarea LMCompatibilityLevel la 5 și valoarea RestrictAnonymous la 2.

      • Servicii pentru Macintosh

        User Authentication Module (UAM): Microsoft UAM (User Authentication Module) furnizează o metodă de criptare a parolelor pe care le utilizați pentru a vă conecta la serverele Windows AFP (AppleTalk Filing Protocol). Modulul de autentificare a utilizatorilor Apple (UAM) oferă doar o criptare minimă sau fără criptare. Prin urmare, parola dvs. poate fi interceptată cu ușurință pe LAN sau pe internet. Deși UAM nu este obligatoriu, oferă autentificare criptată serverelor Windows 2000 care rulează Servicii pentru Macintosh. Această versiune include suport pentru autentificarea criptată NTLMv2 pe 128 de biți și o versiune compatibilă cu MacOS X 10.1.

        În mod implicit, serverul Windows Server 2003 Services pentru Macintosh permite numai autentificarea Microsoft.
         

      • Windows Server 2008, Windows Server 2003, Windows XP și Windows 2000: În cazul în care configurați valoarea LMCompatibilityLevel să fie 0 sau 1, apoi configurați valoarea NoLMHash la 1, aplicațiilor și componentelor li se poate refuza accesul prin NTLM. Această problemă apare deoarece computerul este configurat să activeze LM, dar nu să utilizeze parole stocate în LM.

        Dacă configurați valoarea NoLMHash la 1, trebuie să configurați valoarea LMCompatibilityLevel să fie 2 sau mai mare.

  11. Securitatea rețelei: Cerințe de semnare a clientului LDAP

    1. Fundal

      Setarea Cerințe de semnare a clientului LDAP determină nivelul de semnare a datelor solicitat în numele clienților care emit solicitări BIND Lightweight Directory Access Protocol (LDAP) după cum urmează:

      • Fără: Solicitarea LDAP BIND este emisă cu opțiunile specificate de apelant.

      • Negociere semnare: dacă nu s-a pornit Secure Sockets Layer/Transport Layer Security (SSL/TLS), solicitarea LDAP BIND este inițiată cu opțiunea de semnare a datelor LDAP setată în plus față de opțiunile specificate de apelant. Dacă SSL/TLS a fost pornit, solicitarea LDAP BIND este inițiată cu opțiunile specificate de apelant.

      • Semnare obligatorie: Aceasta este aceeași cu negocierea semnării. Totuși, dacă răspunsul saslBindInProgress intermediar al serverului LDAP nu indică faptul că este necesară semnarea traficului LDAP, apelantului i se spune că solicitarea de comandă LDAP BIND nu a reușit.

    2. Configurație

      riscantă Activarea setării Pentru securitatea rețelei: Setarea cerințelor de semnare a clientului LDAP este o setare de configurare dăunătoare. Dacă setați serverul să solicite semnături LDAP, trebuie să configurați și semnarea LDAP pe client. Neconfigurarea clientului să utilizeze semnături LDAP va împiedica comunicarea cu serverul. Acest lucru face ca autentificarea utilizatorului, setările Politică de grup, scripturile de conectare și alte caracteristici să nu reușească.

    3. Motive pentru modificarea acestei setări

      Traficul de rețea nesemnat este susceptibil la atacuri de tip om-în-mijloc, în care un intrus capturează pachete între client și servere, le modifică, apoi le redirecționează către server. Atunci când se întâmplă acest lucru pe un server LDAP, un atacator poate face ca un server să răspundă pe baza interogărilor false de la clientul LDAP. Puteți reduce acest risc într-o rețea de corporație, prin implementarea unor măsuri puternice de securitate fizică, pentru a contribui la protejarea infrastructurii de rețea. În plus, puteți ajuta la prevenirea tuturor tipurilor de atacuri de tip om-în-mijloc, solicitând semnături digitale pe toate pachetele de rețea, prin intermediul anteturilor de autentificare IPSec.

    4. Nume simbolic:

      LDAPClientIntegrity

    5. Cale registry:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

  12. Jurnal de evenimente: dimensiunea maximă a jurnalului de securitate

    1. Fundal

      Jurnalul de evenimente: setarea de securitate pentru dimensiunea maximă a jurnalului de securitate specifică dimensiunea maximă a jurnalului de evenimente de securitate. Acest jurnal are o dimensiune maximă de 4 GB. Pentru a găsi această setare, extindeți
      Setări Windows, apoi extindeți Setări de securitate.

    2. Configurații riscante

      Următoarele sunt setări de configurare dăunătoare:

      • Restricționarea dimensiunii jurnalului de securitate și a metodei de retenție a jurnalului de securitate atunci când este activată setarea Auditare: Închidere imediată a sistemului dacă nu se poate înregistra în jurnal auditări de securitate. Consultați secțiunea "Auditare: Închidere imediată a sistemului dacă nu se pot înregistra în jurnal audituri de securitate" din acest articol pentru mai multe detalii.

      • Restricționarea dimensiunii jurnalului de securitate, astfel încât evenimentele de securitate de interes să fie suprascrise.

    3. Motive pentru a mări această setare

      Cerințele de afaceri și de securitate vă pot dicta să măriți dimensiunea jurnalului de securitate pentru a gestiona detalii suplimentare ale jurnalului de securitate sau să păstrați jurnalele de securitate pentru o perioadă mai lungă de timp.

    4. Motive pentru a micșora această setare

      Vizualizator evenimente jurnalele sunt fișiere mapate de memorie. Dimensiunea maximă a unui jurnal de evenimente este restricționată de cantitatea de memorie fizică de pe computerul local și de memoria virtuală disponibilă pentru procesul jurnalului de evenimente. Mărirea dimensiunii jurnalului dincolo de cantitatea de memorie virtuală disponibilă pentru Vizualizator evenimente nu mărește numărul de intrări jurnal menținute.

    5. Exemple de probleme

      de compatibilitate Windows 2000: Computerele care rulează versiuni de Windows 2000 anterioare pachetului Service Pack 4 (SP4) pot opri înregistrarea în jurnal a evenimentelor înainte de a atinge dimensiunea specificată în setarea Dimensiune maximă jurnal din Vizualizator evenimente dacă opțiunea Nu suprascrieți evenimente (goliți jurnalul manual) este activată.


       

  13. Jurnal de evenimente: rețineți jurnalul de securitate

    1. Fundal

      Jurnalul de evenimente: Păstrarea setării de securitate a jurnalului de securitate determină metoda de "încadrare" pentru jurnalul de securitate. Pentru a găsi această setare, extindeți Setări Windows, apoi extindeți Setări de securitate.

    2. Configurații riscante

      Următoarele sunt setări de configurare dăunătoare:

      • Nu se reușește păstrarea tuturor evenimentelor de securitate înregistrate înainte ca acestea să fie suprascrise

      • Configurarea setării Pentru dimensiunea maximă a jurnalului de securitate este prea mică, astfel încât evenimentele de securitate să fie suprascrise

      • Restricționarea dimensiunii jurnalului de securitate și a metodei de retenție în timp ce Audit: Închideți imediat sistemul dacă nu se poate înregistra în jurnal setarea de securitate pentru auditurile de securitate este activată

    3. Motive pentru activarea acestei setări

      Activați această setare doar dacă selectați metoda de retenție Suprascriere evenimente după zile . Dacă utilizați un sistem de corelare a evenimentelor care face sondaje pentru evenimente, asigurați-vă că numărul de zile este de cel puțin trei ori mai mare decât frecvența sondajului. Faceți acest lucru pentru a permite cicluri de sondaj nereușite.

  14. Acces la rețea: Permiteți tuturor permisiunile să se aplice utilizatorilor anonimi

    1. Fundal

      În mod implicit, setarea Acces în rețea: Permiteți tuturor să se aplice pentru utilizatorii anonimi este setată la Nespecificat pe Windows Server 2003. În mod implicit, Windows Server 2003 nu include simbolul Acces anonim în grupul Oricine.

    2. Exemplu de probleme

      de compatibilitate Următoarea valoare a

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous [REG_DWORD]=0x0 întrerupe crearea încrederii între Windows Server 2003 și Windows NT 4.0, atunci când domeniul Windows Server 2003 este domeniul de cont și domeniul Windows NT 4.0 este domeniul de resurse. Acest lucru înseamnă că domeniul de cont este de încredere în Windows NT 4.0 și domeniul de resurse are încredere în partea Windows Server 2003. Acest comportament se produce deoarece procesul de pornire a încrederii după conexiunea anonimă inițială este ACL'd cu tokenul Oricine care include SID anonim în Windows NT 4.0.

    3. Motive pentru modificarea acestei setări

      Valoarea trebuie setată la 0x1 sau setată utilizând un GPO din OU-ul controlerului de domeniu astfel: Acces în rețea: Permiteți tuturor permisiunile să se aplice utilizatorilor anonimi - Activat pentru a face posibile creațiile de încredere.

      Notă Majoritatea celorlalte setări de securitate au o valoare mai mare în loc să coboare la 0x0 în starea lor cea mai securizată. O practică mai sigură ar fi să modificați registry-ul pe emulatorul principal de controler de domeniu, nu pe toate controlerele de domeniu. Dacă rolul principal de emulator de controler de domeniu este mutat din orice motiv, registry-ul trebuie actualizat pe noul server.

      Este necesară o repornire după setarea acestei valori.

    4. Cale registry

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

  15. Autentificare NTLMv2

    1. Securitatea sesiunilor

      Securitatea sesiunilor determină standardele minime de securitate pentru sesiunile client și server. Este o idee bună să verificați următoarele setări de politică de securitate în utilitarul de completare snap-in Microsoft Management Console Politică de grup Editor:

      • Setări computer\Setări Windows\Setări de securitate\Politici locale\Opțiuni de securitate

      • Securitatea rețelei: securitate minimă a sesiunii pentru serverele NTLM SSP bazate pe (inclusiv RPC securizat)

      • Securitatea rețelei: securitate minimă a sesiunii pentru clienții NTLM SSP (inclusiv RPC securizat)

      Opțiunile pentru aceste setări sunt următoarele:

      • Se solicită integritatea mesajului

      • Solicitați confidențialitatea mesajelor

      • Se solicită securitatea sesiunii NTLM versiunea 2

      • Se solicită criptarea pe 128 de biți

      Setarea implicită anterioară Windows 7 este Nu există cerințe. Începând cu Windows 7, setarea implicită s-a modificat la Solicitați criptarea pe 128 de biți pentru securitate îmbunătățită. Cu această setare implicită, dispozitivele moștenite care nu acceptă criptarea pe 128 de biți nu se vor putea conecta.

      Aceste politici determină standardele minime de securitate pentru o sesiune de comunicații aplicație-aplicație pe un server pentru un client.

      Rețineți că, deși sunt descrise ca setări valide, semnalizările care necesită integritatea și confidențialitatea mesajelor nu se utilizează atunci când se determină securitatea sesiunii NTLM.

      Din punct de vedere istoric, Windows NT a acceptat următoarele două variante de autentificare prin provocare/răspuns pentru conectările la rețea:

      • Provocarea/răspunsul LM

      • NTLM versiunea 1 provocare/răspuns

      LM permite interoperabilitatea cu baza instalată de clienți și servere. NTLM oferă securitate îmbunătățită pentru conexiunile între clienți și servere.

      Cheile de registry corespunzătoare sunt următoarele:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

    2. Configurații riscante

      Această setare controlează modul în care vor fi gestionate sesiunile de rețea securizate utilizând NTLM. Acest lucru afectează sesiunile bazate pe RPC autentificate cu NTLM, de exemplu. Există următoarele riscuri:

      • Utilizarea metodelor de autentificare mai vechi decât NTLMv2 face comunicarea mai ușor de atacat, din cauza metodelor hash mai simple utilizate.

      • Utilizarea cheilor de criptare mai mici de 128 de biți permite atacatorilor să întrerupă comunicarea utilizând atacuri cu forță brută.

Sincronizarea timpului

Sincronizarea timpului nu a reușit. Timpul este dezactivat cu mai mult de 30 de minute pe un computer afectat. Asigurați-vă că ceasul computerului client este sincronizat cu ceasul controlerului de domeniu.

Soluție pentru semnarea SMB

Vă recomandăm să instalați Service Pack 6a (SP6a) pe clienții Windows NT 4.0 care interoperează într-un domeniu bazat pe Windows Server 2003. Clienții Windows 98 din a doua ediție, clienții bazați pe Windows 98 și clienții windows 95 trebuie să ruleze clientul Directory Services pentru a efectua NTLMv2. Dacă clienții bazați pe Windows NT 4.0 nu au instalat Windows NT 4.0 SP6 sau dacă clienții bazate pe Windows 95, clienții bazați pe Windows 98 și clienții bazați pe Windows 98SE nu au instalat clientul Directory Services, dezactivați conectarea SMB la setarea de politică a controlerului de domeniu implicit din OU-ul controlerului de domeniu, apoi legați această politică la toate controlerele de domeniu gazdă.

Clientul Directory Services pentru Windows 98 a doua ediție, Windows 98 și Windows 95 va efectua semnarea SMB cu servere windows 2003 sub autentificare NTLM, dar nu sub autentificare NTLMv2. În plus, serverele Windows 2000 nu vor răspunde solicitărilor de semnare SMB de la acești clienți.

Deși nu recomandăm acest lucru, puteți împiedica conectarea SMB să fie necesară pe toate controlerele de domeniu care rulează Windows Server 2003 într-un domeniu. Pentru a configura această setare de securitate, urmați acești pași:

  1. Deschideți politica controlerului de domeniu implicit.

  2. Deschideți folderul Configurație computer\Setări Windows\Setări de securitate\Politici locale\Opțiuni de securitate.

  3. Găsiți și apoi faceți clic pe serverul de rețea Microsoft: Semnați digital setările de politică (întotdeauna), apoi faceți clic pe Dezactivat.

Important Această secțiune, metodă sau activitate conține pași care vă spun cum să modificați registry. Totuși, pot apărea probleme grave dacă faceți modificări incorecte în registry. Prin urmare, asigurați-vă că urmați acești pași cu atenție. Pentru protecție suplimentară, faceți backup registry înainte de a-l modifica. Apoi, puteți restaura registry dacă apare o problemă. Pentru mai multe informații despre copierea de rezervă și restaurarea registry, faceți clic pe următorul număr de articol pentru a vizualiza articolul în Baza de cunoștințe Microsoft:

322756 Cum să faceți backup și să restaurați registry în Windows Alternativ, dezactivați semnarea SMB pe server prin modificarea registry. Pentru a face acest lucru, urmați acești pași:

  1. Faceți clic pe Start, pe Executare, tastați regedit, apoi faceți clic pe OK.

  2. Găsiți și faceți clic pe următoarea subcheie:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

  3. Faceți clic pe intrarea enablesecuritysignature .

  4. În meniul Editare , faceți clic pe Modificare.

  5. În caseta Date valoare , tastați 0, apoi faceți clic pe OK.

  6. Ieșiți din Registry Editor.

  7. Reporniți computerul sau opriți și reporniți serviciul Server. Pentru a face acest lucru, tastați următoarele comenzi într-o linie de comandă, apoi apăsați pe Enter după ce tastați fiecare comandă:
    net stop server
    net start server

Notă Cheia corespunzătoare de pe computerul client se află în următoarea subcheie de registry:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters Următoarele listează numerele de cod de eroare traduse în codurile de stare și mesajele de eroare verbale menționate anterior:

eroare 5
ERROR_ACCESS_DENIED

Accesul este refuzat.

eroarea 1326



ERROR_LOGON_FAILURE Conectare nereușită: nume de utilizator necunoscut sau parolă incorectă.

eroarea 1788



ERROR_TRUSTED_DOMAIN_FAILURE Relația de încredere dintre domeniul principal și domeniul de încredere nu a reușit.

eroarea 1789



ERROR_TRUSTED_RELATIONSHIP_FAILURE Relația de încredere dintre această stație de lucru și domeniul principal nu a reușit.

Pentru mai multe informații, faceți clic pe următoarele numere de articol pentru a vizualiza articolele din Baza de cunoștințe Microsoft:

324802 Cum se configurează politicile de grup pentru a seta securitatea pentru serviciile de sistem în Windows Server 2003

816585 Cum se aplică șabloanele de securitate predefinite în Windows Server 2003

Facebook LinkedIn E-mail
ABONAȚI-VĂ LA FLUXURI RSS

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Descoperiți Comunitate

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Beneficiile abonamentului Microsoft 365

Instruire Microsoft 365

Securitate Microsoft

Centru de accesibilitate

Comunitățile vă ajută să adresați întrebări și să răspundeți la întrebări, să oferiți feedback și să primiți feedback de la experți cu cunoștințe bogate.

Întrebați Comunitatea Microsoft

Comunitatea tehnică Microsoft

Utilizatorii Windows Insider

Utilizatori Insider Microsoft 365

Au fost utile aceste informații?

Cât de mulțumit sunteți de calitatea limbajului?
Ce v-a afectat experiența?
Apăsând pe Trimitere, feedbackul dvs. va fi utilizat pentru a îmbunătăți produsele și serviciile Microsoft. Administratorul dvs. IT va avea posibilitatea să colecteze aceste date. Angajamentul de respectare a confidențialității.

Vă mulțumim pentru feedback!

×