Клиента, службы и программы проблем может возникнуть при изменении параметров безопасности и назначенных прав пользователей

Поддержка Windows XP завершена

8 апреля 2014 г. корпорация Майкрософт прекратила поддержку Windows XP. Это повлияло на обновления программного обеспечения и параметры безопасности. Узнайте, что это значит для вас и какие меры по безопасности можно предпринять.

Поддержка Windows Server 2003 завершилась 14 июля 2015 г.

Корпорация Майкрософт завершила поддержку Windows Server 2003 14 июля 2015 г. Это повлияло на обновления программного обеспечения и параметры безопасности. Узнайте, что это значит для вас и какие меры по безопасности можно предпринять.

ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.

Эта статья на английском языке: 823659
Аннотация
Можно изменить параметры безопасности и назначенных прав пользователей в локальные политики и групповые политики для повышения уровня безопасности на контроллерах домена и рядовые компьютеры. Однако недостатком повышенный уровень безопасности является введение несовместимости с клиентов, служб и программ.

Данная статья содержит несовместимости, которые могут возникать на клиентских компьютерах под управлением Windows XP или более ранней версии Windows, при изменении параметров безопасности и назначенных прав пользователей в домене Windows Server 2003 или домене Windows Server более ранних версий.

Дополнительные сведения о групповой политике для Windows 7 Windows Server 2008 R2 и Windows Server 2008 см. следующие статьи:Примечание. Остальное содержимое в данной статье относится только к Windows XP, Windows Server 2003 и более ранних версиях Windows.

Windows XP

Щелкните здесь, чтобы просмотреть сведения, характерные для Windows XP
Чтобы повысить осведомленность неправильно настроенных параметров безопасности, инструмент Редактор объектов групповой политики для изменения параметров безопасности. При использовании редактора объектов групповой политики прав пользователей повышается в следующих операционных систем:
  • Профессиональный Пакет обновления 2 (SP2) для Windows XP
  • Пакет обновления 1 (SP1) для Windows Server 2003
Усовершенствованное средство — это диалоговое окно, которое содержит ссылку на эту статью. Диалоговое окно появляется при изменении параметра безопасности или назначение прав доступа к установкам, предлагает меньше совместимости и является более строгим. Если же безопасности параметр или назначенных прав пользователей непосредственно изменить с помощью реестра или с помощью шаблонов безопасности, эффект будет таким же, как изменять этот параметр в редакторе объектов групповой политики. Тем не менее не отображается диалоговое окно, содержащее ссылку на эту статью.

Данная статья содержит примеры клиентов, программ и операций, которые затрагивает отдельных параметров безопасности и назначенных прав пользователей. Однако приведенные примеры не являются полномочными для всех операционных систем Microsoft, для всех независимых операционных систем или версий программ, которые влияют. В этой статье включены не все параметры безопасности и назначенных прав пользователей.

Рекомендуется проверить совместимость всех изменений конфигурации безопасности в тестовом лесу, прежде чем вводить их в производственной среде. Должны быть воспроизведены производственный лес следующими способами:
  • Версии операционной системы клиента и сервера, клиента и серверные программы, версии пакетов обновления, исправления, изменения схемы, безопасность группы, членство в группах, разрешения на объекты в файловой системе, общие папки, реестр, службы каталогов Active Directory, локальных и групповых Тип и расположение счетчика объектов и параметров политики
  • Административных задач, выполняемых, административные средств и операционных систем, которые используются для выполнения административные задачи
  • Выполняемые операции, как показано ниже:
    • Проверку подлинности компьютера и пользователя
    • Сброс паролей пользователей, компьютеров и администраторов
    • Обзор
    • Установка разрешений для файловой системы, для общих папок, реестра и ресурсов Active Directory с помощью редактора списка управления Доступом во всех клиентских операционных системах в учетной записи, домены ресурсов из любой клиентской операционной системы из всех учетных записей или домены ресурсов
    • Печать из учетных записей администратора и не являющихся администраторами

Windows Server 2003 SP1

Щелкните здесь, чтобы просмотреть сведения, относящиеся к Windows Server с пакетом обновления 1

Предупреждения в Gpedit.msc

Для оповещения пользователей о том, что они редактируют право или параметр безопасности, который может быть отрицательно влияет на их сети, в gpedit.msc были добавлены два механизма предупреждений. При редактировании права пользователей, которое может неблагоприятно повлиять на всю организацию, они увидят значок нового вида "Уступи дорогу". Они также получат предупреждающее сообщение, содержащее ссылку на статью 823659 базы знаний Майкрософт. Текст этого сообщения выглядит следующим образом:
Изменение этого параметра может повлиять на совместимость с клиентами, службами и приложениями. Для получения дополнительных сведений см <user right="" or="" security="" option="" being="" modified="">(Q823659)</user>
Если по ссылке в Gpedit.msc были направлен в данной статье базы знаний Майкрософт, убедитесь, что чтение и понимание с приведенным объяснением и возможными последствиями изменения этого параметра. В следующем списке перечислены права пользователей, содержащих текст предупреждения:
  • Доступ к этому компьютеру из сети
  • Локальный вход в систему
  • Обход перекрестной проверки
  • Включение компьютеров и пользователей для доверенного делегирования
В следующем списке перечислены параметры безопасности с предупреждением и всплывающее сообщение:
  • Член домена: Цифровая подпись или шифрование потока данных безопасного канала (всегда)
  • Член домена: Требует strong (Windows 2000 или более поздней версии) ключ сеанса
  • Контроллера домена: Сервер LDAP требования подписывания
  • Сервер сети Microsoft: использовать цифровую подпись (всегда)
  • Сетевой доступ: Разрешает анонимный идентификатор Sid / преобразование имен
  • Сетевой доступ: Не разрешать перечисление SAM анонимными пользователями учетных записей и общих ресурсов
  • Сетевая безопасность: уровень проверки подлинности LAN Manager
  • Аудит: Немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности
  • Сетевого доступа: Требования подписывания для клиента LDAP
Дополнительная информация
В следующих разделах описаны проблемы с совместимостью, возникающих при изменении параметров, определенных в доменов Windows NT 4.0, Windows 2000 доменов и доменов Windows Server 2003.

Права пользователя

Щелкните здесь, чтобы просмотреть сведения о правах пользователей
Следующий список описывает права пользователя, определяет параметры конфигурации, которые могут вызвать проблемы, описывается, почему следует применять прав пользователя и почему может потребоваться удалить право пользователя и предоставляет примеры проблем совместимости, возникающих при настройке право пользователя.
  1. Доступ к этому компьютеру из сети
    1. Фон

      Возможность взаимодействия с удаленными компьютерами под управлением Windows необходимо право доступ к компьютеру из сети . Следующие примеры таких сетевых операций.
      • Репликация Active Directory между контроллерами домена в обычном домене или лесу
      • Запросы на проверку подлинности на контроллеры домена от пользователей и компьютеров
      • Доступ к общим папкам, принтеры и другие системные службы, находящиеся на удаленных компьютерах в сети


      Пользователи, компьютеры и учетные записи служб, получить или теряют право доступ к компьютеру из сети , когда явно или неявно добавлены или удалены из группы безопасности, которой было предоставлено это право. Например учетной записи пользователя или учетной записи компьютера может быть добавлена явно Настраиваемая группа безопасности или встроенную группу безопасности администратором или могут быть неявно добавлены операционной системой вычисляемый группу безопасности пользователей домена, контроллеры домена предприятия или Прошедшие проверку.

      По умолчанию, учетные записи пользователей и учетные записи компьютеров, получают доступ к компьютеру из сети вправо при определении вычисляемого группы Everyone или, предпочтительно, прошедшие проверку и для контроллеров домена, в группе «контроллеры домена предприятия» на контроллерах домена по умолчанию объект групповой политики (GPO).
    2. Рискованные конфигурации

      Ниже перечислены параметры конфигурации опасность.
      • Удаление безопасности контроллеры домена предприятия Группа из это право пользователя
      • Удаление группы пользователей, прошедших проверку или явно определенной группы, в котором пользователь пользователи, компьютеры и учетные записи служб право подключаться к компьютерам в сети
      • Удаление всех пользователей и компьютеров из этого пользователя справа
    3. Основания для предоставления этого права пользователя
      • Предоставление право доступ к компьютеру из сети в группу «контроллеры домена предприятия» удовлетворяет требованиям проверки подлинности, должны иметь репликации Active Directory для репликации между контроллерами домена в одном лесу.
      • Это право пользователя позволяет пользователям и компьютерам доступ к общим файлам, принтеры и системные службы, включая активный Каталог.
      • Это право необходимо пользователям для доступа к почта с использованием ранних версий из Microsoft Outlook Web Access (OWA).
    4. Основания для отмены этого права пользователя
      • Подключенных компьютерах для пользователей сетевой доступ к ресурсам на удаленных компьютерах, что у них есть разрешения для. Например это право пользователя является обязательным для пользователя подключиться к общим принтеров и папок. Если это право предоставляется всем пользователям группы а если некоторые общие папки общего ресурса и NTFS разрешения файловой системы настроен таким образом, та же группа имеет доступ на чтение, любой пользователь может просматривать файлы в Эти общие папки. Однако это маловероятно, что ситуация для заново Установка Windows Server 2003 из-за общего ресурса и NTFS разрешения в Windows Server 2003 не включает в себя все группы. Для Microsoft Windows NT 4.0 или Windows 2000, обновляемые это Уязвимость может иметь более высокий уровень риска, так как по умолчанию используют и разрешения файловой системы для этих операционных систем не настолько жестки как разрешения по умолчанию в Windows Server 2003.
      • Нет допустимых причин для удаления предприятия Группа контроллеров домена данного права.
      • Группа «все» обычно удаляется для Группа пользователей, прошедших проверку. При удалении группы «все» Прошедшие проверку пользователи группы должно быть предоставлено это право.
      • В Windows 2000 при обновлении домена Windows NT 4.0 не разрешали доступ к компьютеру из сети право группе «все», «проверенные пользователи» или группы «контроллеры домена предприятия». Таким образом при удалении группы «все» из политики домена Windows NT 4.0, после обновления до Windows 2000 репликации Active Directory завершится ошибкой с сообщением об ошибке «Доступ запрещен». Winnt32.exe в Windows Server 2003 позволяет избежать такой ситуации предоставляет это право группе контроллеры домена предприятия при обновлении контроллеров домена Windows NT 4.0 (PDC). Предоставьте это право, если он отсутствует в редакторе объектов групповой политики для группы «контроллеры домена предприятия».
    5. Примеры проблем совместимости
      • Windows 2000 и Windows Server 2003: Сообщаемых средствами REPLMON, REPADMIN и события в журнале событий репликации следующие секции будет завершаться ошибки «Доступ запрещен».
        • Активный раздел каталога схемы
        • Раздел конфигурации
        • Раздел домена
        • Раздел глобального каталога
        • Раздел приложения
      • Майкрософт все сетевые операционные системы:Если пользователю или группе безопасности, членом которого является пользователь предоставлено это право пользователя не проверку подлинности учетной записи пользователя с удаленных сетевых компьютеров-клиентов.
      • Майкрософт все сетевые операционные системы:Если учетная запись или учетная запись является членом группы безопасности предоставлено это право пользователя не пройдет проверку подлинности учетной записи с удаленного клиента в сети. Этот сценарий применяется для учетных записей пользователей, учетных записей компьютеров и учетных записей служб.
      • Майкрософт все сетевые операционные системы:Удаление всех учетных записей из этого права пользователя предотвратит любую учетную запись входа в домен или получить доступ к сетевым ресурсам. Если расчетных групп, таких как контроллеры домена предприятия, удаляются все или прошедшие необходимо явно предоставить это право учетным записям или группам безопасности, членом которого является учетная запись для доступа к удаленным компьютерам в сети. Это распространяется на все учетные записи пользователей, все учетные записи компьютеров и все учетные записи служб.
      • Майкрософт все сетевые операционные системы:Учетной записи локального администратора с «пустым» паролем. Подключение к сети с пустыми паролями для учетных записей администраторов в доменной среде не поддерживается. При такой конфигурации можно ожидать появляется сообщение об ошибке «Доступ запрещен».
  2. Локальный вход в систему
    1. Фон

      Пользователи, пытающиеся войти в систему с консоли на компьютере под управлением Windows (с помощью сочетания клавиш CTRL + ALT + DELETE) и счетов, которые пытаются запустить службу необходимо иметь права локального входа в систему на данном компьютере. Примеры таких операций включают администраторов, вход в систему с консоли, рядовые компьютеры и контроллеры домена в пределах предприятия и домена пользователей входа на рядовой компьютер для доступа к их рабочим столам с помощью учетной записи непривилегированного. Пользователи, использующие подключение удаленному рабочему столу или службы терминалов должен осуществить Локальный вход в систему на компьютере назначения под управлением Windows 2000 или Windows XP Поскольку эти входа в систему считается локальным на данном компьютере. Пользователи который осуществляется вход на сервер с включенными службами терминалов, а кто нет у этого пользователя с правом могут по-прежнему запуска удаленного интерактивного сеанса в Windows Server 2003 доменов, если они имеют право Разрешать вход в систему через службы терминалов .
    2. Рискованные конфигурации

      Ниже перечислены параметры конфигурации опасность.
      • Удаление административных групп безопасности, включая операторы учета, операторы архива, операторы печати и операторы сервера и встроенной группы «Администраторы» из политики контроллера домена по умолчанию.
      • Удаление учетных записей службы, которые используются компонентами и программами на рядовых компьютерах и контроллерах домена в домене из политики контроллера домена по умолчанию.
      • Удаление пользователей или групп безопасности, которые входят в систему консоль рядовые компьютеры в домене.
      • Удаление учетных записей служб, которые определены в локальной базе данных диспетчера учетных записей безопасности (SAM) на рядовых компьютерах или компьютерах рабочей группы.
      • Удаление не построен-административных учетных записей, подлинность через службы терминалов, на котором выполняется на контроллере домена.
      • Явное добавление всех учетных записей пользователей в домене или неявно через все группы право Отклонить локальный вход . Данная конфигурация позволит пользователям получать ведения журнала любой член компьютер или к любому контроллеру домена в домене.
    3. Основания для предоставления этого права пользователя
      • Пользователи должны иметь право пользователя Локальный вход в систему для доступа к консоли или на рабочем столе, в состав рабочей группы компьютер, рядовом компьютере или контроллере домена.
      • Пользователи должны иметь право войти в систему через сеанс служб терминалов, на котором выполняется на компьютере под управлением Windows 2000 или контроллера домена.
    4. Основания для отмены этого права пользователя
      • Не удалось ограничить законный доступ к консоли учетные записи пользователей может привести к неавторизованным пользователям загрузить и выполнить вредоносный код может изменить уровень прав пользователя.
      • Удаление право пользователя Локальный вход в систему позволяет предотвратить несанкционированный вход с консоли на определенные компьютеров, таких как контроллеры домена и серверы приложений.
      • Предотвращает удаление этого права без домена учетные записи входа в систему с консоли на рядовые компьютеры домен.
    5. Примеры проблем совместимости
      • Серверы терминалов Windows 2000:Право пользователя Локальный вход в систему необходимо пользователям для входа в Windows 2000 серверы терминалов.
      • Windows NT 4.0, Windows 2000, Windows XP или Windows Server 2003:Учетные записи пользователей, необходимо предоставить это право пользователя войти в систему на компьютерах под управлением Windows NT 4.0, Windows 2000, Windows XP или Windows Server 2003 с консолью.
      • Windows NT 4.0 и более поздних версий:На компьютерах, работающих под управлением Windows NT 4.0 и более поздней версии, если явным или неявным образом добавить право Локальный вход в систему , но также право Отклонить локальный вход вход в систему, учетные записи не смогут войти консоли на контроллеры домена.
  3. Обход перекрестной проверки
    1. Фон

      Право Обход перекрестной проверки позволяет пользователям просматривать папки файловой системы NTFS файловой системы или реестра без проверки наличия разрешения специального доступа Обзор папок . Право Обход перекрестной проверки не позволяет пользователю выводить список содержимого папки. Он позволяет пользователю проходить только его папок.
    2. Рискованные конфигурации

      Ниже перечислены параметры конфигурации опасность.
      • Удаление без административных учетных записей для входа на компьютеры служб терминалов под управлением Windows 2000 или на компьютерах под управлением Windows Server 2003 службы терминалов, не имеющих разрешения на доступ к файлам и папкам в файловой системе.
      • Удаление группы «все» из списка участников безопасности, имеющих этого пользователя по умолчанию. Операционные системы Windows, а также многие программы разработаны в предположении, что каждый, кто законно получил доступ к компьютеру, будет иметь право Обход перекрестной проверки . Таким образом удалив все группы из списка участников безопасности, которые имеют это право по умолчанию может привести к нестабильной работе операционной системы или сбой программы. Рекомендуется оставить этот параметр по умолчанию.
    3. Основания для предоставления этого права пользователя

      Разрешить всем пользователям обход перекрестной проверки имеет право Обход перекрестной проверки по умолчанию. Для Опытные системные администраторы Windows, это ожидаемое поведение, и они соответствующим образом настроить файл системы управления доступом (SACL). Только сценарий, где конфигурация по умолчанию может привести к негативные — Если Администратор, который назначает разрешения не понимает поведение и ожидает, что невозможно получить доступ к родительской папке пользователи не будут иметь доступ к содержимое вложенных папок.
    4. Основания для отмены этого права пользователя

      Попробуйте для предотвращения доступа к файлам и папкам файловой системы организаций, которые очень беспокоятся о безопасности оправданно удаление группы «все» или даже группы «Пользователи» в списке групп, имеющих право Обход перекрестной проверки .
    5. Примеры проблем совместимости
      • Windows 2000, Windows Server 2003:Если удаляется право Обход перекрестной проверки , или неправильно настроенных на компьютерах, являющихся под управлением Windows 2000 или Windows Server 2003 параметры групповой политики в SYVOL папки не будут реплицированы между контроллерами домена в домене.
      • Windows 2000, Windows XP Professional, Windows Server 2003:Компьютеры под управлением Windows 2000, Windows XP Professional или Windows Server 2003 регистрируются события с кодом 1000 и 1202 и не сможет применить политики компьютера и политики пользователя при необходимых разрешений файловой системы удаляются из дерева SYSVOL, если обход перекрестной проверки право удаляется или неправильно настроено.

        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
        290647Каждые пять минут в журнале событий приложений регистрируются события с кодом 1000, 1001
      • Windows 2000, Windows Server 2003: На компьютерах под управлением Windows 2000 или Windows Server 2003 г., Квоты Вкладка в проводнике Windows не будут появляться при Просмотр свойств тома.
      • Windows 2000: Не администраторы, выполнившие вход сервер терминалов Windows 2000 может появиться следующее сообщение об ошибке:
        USERINIT.exe Ошибка приложения. Приложению не удалось инициализировать 0xc0000142 Нажмите кнопку ОК, чтобы завершить приложение.
        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
        272142Пользователи отключены автоматически, когда при входе в систему для служб терминалов
      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003:Пользователи компьютеров под управлением Windows NT 4.0, Windows 2000, Windows XP или Windows Server 2003 не удается получить доступ к общим папкам или файлам в общих папках, и они появляются сообщения об ошибке «Доступ запрещен», если они не будут предоставлены права Обход перекрестной проверки .

        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
        277644Сообщение «Отказано в доступе» при попытке пользователей получить доступ к общим папкам
      • Windows NT 4.0:На компьютерах под управлением Windows NT 4.0 Удаление право Обход перекрестной проверки приведет к обрыву файлового потока для операции копирования. Если вы удалить это право пользователя при копировании файла из клиента Windows или Клиент Macintosh на контроллер домена Windows NT 4.0, на котором запущены службы для Macintosh, файловый поток назначения будет потеряно, и он отобразится как текстовый файл.

        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
        172930Удаление «Обход перекрестной проверки» вызывает копировании файла
      • Microsoft Windows 95, Microsoft Windows 98:На клиентском компьютере под управлением Windows 95 или Windows 98 net use * / home команда не будет выполняться с «доступ Сообщение об ошибке Отказано в доступе» при группа Authenticated Users не обладает правом Обход перекрестной проверки .
      • Outlook Web Access:Не администраторы не смогут войти в Microsoft Outlook Web Access, и они получат сообщение об ошибке «Доступ запрещен», если они не будут предоставлены права Обход перекрестной проверки .

Параметры безопасности

Щелкните здесь, чтобы просмотреть сведения о параметрах безопасности
В следующем списке перечислены параметр безопасности и вложенного списка содержит описание о параметр безопасности определяет параметры конфигурации, которые могут вызвать проблемы, описывает, почему следует применять параметр безопасности и затем описание причин, почему необходимо удалить параметр безопасности. Вложенный список затем предоставляет символическое имя для параметра безопасности и путь в реестре параметра безопасности. Наконец примеры приводятся проблем совместимости, возникающих при настройке параметра безопасности.
  1. Аудит: Немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности
    1. Фон
      • Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности параметр определяет ли система завершать работу, если не удается зарегистрировать события безопасности. Этот параметр необходим для оценки C2 программе доверенного компьютера безопасности оценки условий (TCSEC) и общие критерии для оценки безопасности сведения о технологии для предотвращения подлежащие аудиту события, если эти события не войти в систему аудита. Если происходит сбой системы аудита, система выключена, и появляется сообщение об ошибке.
      • Если компьютер не удается записать события журнал безопасности, критические свидетельства или важные сведения об устранении неполадок может После проблемы с безопасностью, не будут доступны для просмотра.
    2. Рискованная конфигурация

      Ниже приведен параметр конфигурации опасные: Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности включен и размер журнала безопасности ограничен значением параметра Не затирать события (чистка журнала вручную) , параметр Затирать старые события по необходимости , или Затирать события старее номер дней параметр в окне просмотра событий. Примеры совместимость " Проблемы"раздела сведения о проблемах, возникающих на компьютерах в исходной версии Windows 2000, Windows 2000 служба С пакетом обновления 1 (SP1) для Windows 2000 с пакетом обновления 2 или 3 (SP3) для Windows 2000.
    3. Основания для включения этого параметра

      Если компьютер не удается записать события в журнал безопасности, критические свидетельства или важные сведения об устранении неполадок может оказаться доступны для просмотра после проблемы с безопасностью.
    4. Основания для отключения этого параметра
      • Включение Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности параметр останавливает работу системы, если аудит безопасности не может быть зарегистрировано для какой-либо причине. Как правило событие не может быть зарегистрировано, когда журнал аудита безопасности является полной и когда его выбран метод сохранения Не затирать события (чистка журнала вручную) переключатель или Затирать события старее номер дней параметр.
      • Включение административную нагрузку Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности параметр может быть очень высокой, особенно в том случае, если необходимо также включить параметр Не затирать события (чистка журнала вручную) для журнала безопасности. Этот параметр позволяет повысить ответственность операторов за выполняемые действия. Например администратор может сбросить разрешения для всех пользователей, компьютеров и групп в организационное подразделение (OU), где был включен режим аудита с помощью встроенной учетной записи администратора или общей учетной записи, а затем отрицать это такие разрешения. Тем не менее Включение параметра приводит к снижению устойчивости системы, поскольку сервер может быть вынужден завершить работу, спровоцировав большое количество событий входа в систему и другие события безопасности, которые записываются в журнал безопасности. Кроме того поскольку завершение работы выполняется некорректно, может привести к непоправимый ущерб для операционной системы, программ или данных. В то время как NTFS гарантирует, что в файловой системе целостность некорректного завершения работы компьютера, не гарантирует что каждый файл данных для каждой программы по-прежнему будет в форме можно использовать при запуске системы.
    5. Символическое имя:

      CrashOnAuditFail

    6. Раздел реестра:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)
    7. Примеры проблем совместимости
      • Windows 2000:Из-за ошибки на компьютерах с исходной версии Windows 2000, Windows 2000 с пакетом обновления 1, Windows 2000 с пакетом обновления 2 или 3 (SP3) для Windows Server перестает регистрация событий Максимальный размер журнала достигнуто. Эта ошибка исправлена в Windows 2000 Пакет обновления 4 (SP4). Убедитесь, что ваш домен Windows 2000 контроллеры имеют 4 для Windows 2000 Пакет обновления установлен перед Включение этого параметра.

        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
        312571Журнал событий прекращает регистрировать события при достижении максимального размера журнала
      • Windows 2000, Windows Server 2003:Компьютеры под управлением Windows 2000 или Windows Server 2003 может перестать отвечать на запросы, а затем самопроизвольно перезагрузиться, если Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности включен, журнал безопасности заполнен и не могут быть перезаписаны существующие записи в журнале событий. После перезагрузки компьютера появляется следующее сообщение об ошибке:
        STOP: C0000244 {Неудачная попытка аудита}
        Не удалось аудита безопасности.
        Для восстановления, администратор должен войти в систему, архивировать журнал безопасности (необязательно) Очистить журнал безопасности, а затем сброс данного параметра (необязательный и в случае необходимости).
      • Клиент сети Microsoft для MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003:Не администраторами, пытающиеся войти в домен получают следующее сообщение об ошибке:
        Ваша учетная запись настроена на запретить использование данного компьютера. Попробуйте еще раз компьютер.
        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
        160783Сообщение об ошибке: пользователи не могут войти на рабочую станцию
      • Windows 2000:На компьютерах под управлением Windows 2000 не являющиеся администраторами, не смогут войти на серверы удаленного доступа, и они получат сообщение об ошибке, подобное приведенному ниже:
        Неизвестное имя пользователя или неверный пароль
        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
        285665Сообщение об ошибке: ваша учетная запись настроена для предотвращения использования компьютера
      • Windows 2000:На контроллерах домена Windows 2000 служба межсайтовых сообщений (Ismserv.exe) останавливается и не может быть перезапущен. DCDIAG будет сообщать об ошибке, как "Ошибка проверки служб ISMserv", а в журнале событий регистрируется событие с кодом 1083.
      • Windows 2000:На контроллерах домена Windows 2000 произойдет сбой репликации Active Directory и появляется сообщение «Доступ запрещен», если журнал безопасности заполнен.
      • Microsoft Exchange 2000:Серверы под управлением Exchange 2000 не удается подключить базу данных, а в журнале событий регистрируется событие с кодом 2102.

        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
        314294Из-за проблемы Policytest и право SeSecurityPrivilege создаются сообщения об ошибках Exchange 2000
      • Outlook, Outlook, веб-доступа: Не администратор не удается получить доступ к своей почты через Microsoft Outlook или с помощью Microsoft Outlook Web Access, и они будут сообщение об ошибке 503.
  2. Контроллер домена: требования подписывания для LDAP-сервера
    1. Фон

      Контроллер домена: требования подписывания для LDAP-сервера параметр безопасности определяет, требует ли сервер Lightweight Directory Access Protocol (LDAP) клиентов LDAP проводить согласование подписывания данных. Ниже приведены возможные значения данного параметра политики.
      • Нет: Подписывание данных для связи с сервером не требуется. Если подписывание данных запросов клиента, сервер ее поддерживает.
      • Требуется цифровая подпись: Если параметр подписывания данных LDAP должен согласовываться транспорта Используется слоя безопасности/Secure Socket (TLS/SSL).
      • не определен: Этот параметр не включен или отключен.
    2. Рискованные конфигурации

      Ниже перечислены параметры конфигурации опасность.
      • Включение в средах, где клиенты не поддерживают подписывания LDAP требуется цифровая подпись или где подписывания для LDAP клиента не включена на клиентском компьютере
      • Применение Windows 2000 или Windows Server Шаблон Hisecdc.inf 2003 в средах, где клиенты не поддерживает подписывание LDAP или когда подписывания для LDAP клиента не включено
      • Применение Windows 2000 или Windows Server 2003 Hisecws.inf шаблона безопасности в средах, где клиенты не поддерживает подписывание LDAP или когда подписывания для LDAP клиента не включено
    3. Основания для включения этого параметра

      Неподписанный сетевой трафик делает возможной атаки в середине, когда злоумышленник перехватывает пакеты между клиентом и сервером, изменяет пакеты и пересылает их на сервер. В этом случае на LDAP-сервере, злоумышленник может вызвать сервер для принятия решений, основанных на значение false, запросы от клиента LDAP. Чтобы снизить риск в корпоративной сети путем реализации строгие физические меры безопасности для защиты сетевой инфраструктуры. Режима заголовков проверки подлинности протокола IP-безопасность (IPSec) может помочь предотвратить атаки в середине. Режима заголовков проверки подлинности выполняется взаимная проверка подлинности и целостности пакетов IP-трафика.
    4. Основания для отключения этого параметра
      • Клиенты, которые не поддерживают подписывания LDAP не будет возможность выполнять запросы LDAP контроллерам домена и глобального каталоги, если согласование проверки подлинности NTLM и правильные пакеты не установлены на контроллерах домена Windows 2000.
      • Сетевая трассировка трафика по протоколу LDAP между клиентами и серверами шифруется. Это затрудняет для изучения сложностей.
      • Серверы под управлением Windows 2000 требуется Пакет обновления 3 (SP3) для Windows 2000 или установлен, когда они управляются с помощью программы, которая поддерживает подписывание LDAP, с клиентского компьютера под управлением Windows 2000 SP4, Windows XP или Windows Server 2003. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
        325465Контроллеры домена Windows 2000 требуется Пакет обновления 3 или более поздняя при использовании средств администрирования Windows Server 2003
    5. Символическое имя:

      LDAPServerIntegrity
    6. Раздел реестра:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)
    7. Примеры проблем совместимости
      • Простые привязки завершаются сбоем, и вы получите следующее сообщение об ошибке:
        Ошибка Ldap_simple_bind_s(): Требуется строгая проверка подлинности.
      • Windows 2000 Пакет обновления 4, Windows XP, Windows Server 2003:На компьютере под управлением Windows 2000 SP4, Windows XP или Windows Server 2003 некоторые средства администрирования Active Directory функционируют неправильно контроллеров домена под управлением Windows 2000, более ранних, чем 3 (SP3), если производится согласование проверки подлинности NTLM.

        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
        325465Контроллеры домена Windows 2000 требуется Пакет обновления 3 или более поздняя при использовании средств администрирования Windows Server 2003
      • Windows 2000 Пакет обновления 4, Windows XP, Windows Server 2003:На компьютере под управлением Windows 2000 SP4, Windows XP или Windows Server 2003, некоторые средства администрирования Active Directory контроллерам домена под управлением Windows 2000, более ранних, чем 3 (SP3) будет работать неправильно, если они используют IP-адреса (например, "dsa.msc/Server =x.x.x.x«где x.x.x.x представляет IP-адрес).

        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
        325465Контроллеры домена Windows 2000 требуется Пакет обновления 3 или более поздняя при использовании средств администрирования Windows Server 2003
      • Windows 2000 Пакет обновления 4, Windows XP, Windows Server 2003:На компьютере под управлением Windows 2000 SP4, Windows XP или Windows Server 2003 некоторые средства администрирования Active Directory, предназначенных для контроллеров домена под управлением Windows 2000, более ранних, чем 3 (SP3) не будут правильно работать.

        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
        325465Контроллеры домена Windows 2000 требуется Пакет обновления 3 или более поздняя при использовании средств администрирования Windows Server 2003
  3. Член домена: требует стойкого ключа сеанса (Windows 2000 или более поздней версии)
    1. Фон
      • Член домена: требует стойкого ключа сеанса (Windows 2000 или более поздней версии) параметр для определения возможности установления безопасного канала с помощью контроллера домена, который не способен шифровать трафик безопасного канала с сеанс с надежной, 128-разрядный ключ. Этот параметр служит для запрещения установки безопасного канала с контроллером домена, который не способен шифровать безопасного канала данные с использованием стойкого ключа. Отключение этого параметра позволяет 64-разрядных ключей.
      • Перед включением этого параметра на члене рабочей станции или сервере, все контроллеры домена в домене, член должен иметь возможность шифровать данные безопасного канала с строгим, 128-битный ключ. Это означает, что контроллеры домена под управлением Windows 2000 или более поздней версии.
    2. Рискованная конфигурация

      Включение член домена: требует стойкого ключа сеанса (Windows 2000 или более поздней версии) задается значение параметра конфигурации опасность.
    3. Основания для включения этого параметра
      • Ключи сеанса, которые используются для установления безопасных канал связи между рядовые компьютеры и контроллеры домена являются большая сильный в Windows 2000, чем в более ранних версиях Microsoft операционные системы.
      • Если это возможно, рекомендуется использовать более надежные ключи сеансов для защиты от перехвата и от сети чужого сеанса безопасного канала связи. Прослушивание является формой которых доступен для чтения данных в сети или вредоносной атаки изменено при переносе. Данные могут быть изменены, чтобы скрыть или изменить отправителя, или его перенаправления.
      Важно Компьютер под управлением Windows Server 2008 R2 или Windows 7 поддерживает только надежные ключи при использовании безопасных каналов. Это ограничение предотвращает отношение доверия между любого домена под управлением Windows NT 4.0 и любого домена под управлением Windows Server 2008 R2. Кроме того, это ограничение блокирует членство в домене под управлением Windows NT 4.0 на компьютерах с Windows 7 или Windows Server 2008 R2, и наоборот.
    4. Основания для отключения этого параметра

      Домен содержит рядовые компьютеры под управлением операционных систем Windows 2000, Windows XP или Windows Server 2003.
    5. Символическое имя:

      StrongKey
    6. Раздел реестра:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)
    7. Примеры проблем совместимости

      Windows NT 4.0:На компьютерах под управлением Windows NT 4.0 безопасных каналов доверительных отношений между доменами Windows 2000 с NLTEST и Windows NT 4.0 не. Появляется сообщение об ошибке «Доступ запрещен»:
      Доверие отношение между основным доменом и доверенным доменом не удалось.

      Windows 7 и Server 2008 R2:Windows 7 и более поздних версиях Windows Server 2008 R2 и более поздних версиях этот параметр больше не удовлетворяется и стойкого ключа используется всегда. Поэтому доверительные отношения между доменами Windows NT 4.0 больше не работают.
  4. Член домена: цифровая подпись или шифрование потока данных безопасного канала (всегда)
    1. Фон
      • Включение член домена: цифровая подпись или шифрование потока данных безопасного канала (всегда) служит для запрещения установки безопасного канала с контроллером домена, который не удается подписать или зашифровать все данные безопасного канала. Для защиты трафика проверки подлинности от атак в середине, атак и других видов атак по сети компьютеров под управлением Windows создать канал связи, который называется безопасный канал через службу Net Logon для проверки подлинности учетных записей компьютеров. Безопасные каналы используются также при подключении к сетевым ресурсам в удаленном домене пользователя в одном домене. Проверка подлинности несколькими доменами или сквозную проверку подлинности, позволяет компьютер под управлением Windows, который присоединен к домену, чтобы доступ к базе данных учетных записей пользователей домена и всех доверенных доменах.
      • Чтобы включить член домена: цифровая подпись или шифрование потока данных безопасного канала (всегда) установки на рядовом компьютере, все контроллеры домена в домене, к которому принадлежит член должен иметь возможность подписывания или шифрования всех данных безопасного канала. Это означает, что все контроллеры домена работают под управлением Windows NT 4.0 с Пакет обновления 6a (SP6a) или более поздней версии.
      • Включение член домена: цифровая подпись или шифрование потока данных безопасного канала (всегда) автоматически включает член домена: цифровая подпись или шифрование потока данных безопасного канала (если возможно) параметр.
    2. Рискованная конфигурация

      Включение член домена: цифровая подпись или шифрование потока данных безопасного канала (всегда) канала в домене, где не все контроллеры домена можно подписать или шифрование данных безопасного канала устанавливается опасные конфигурации.
    3. Основания для включения этого параметра

      Неподписанный сетевой трафик делает возможной атаки в середине, когда злоумышленник перехватывает пакеты между сервером и клиентом и затем изменяет их, прежде чем передать их клиенту. Когда это происходит на сервере Lightweight Directory Access Protocol (LDAP), злоумышленник может заставить клиента для принятия решений, основанных на фальшивых записей из каталога LDAP. Чтобы снизить риск проведения такой атаки в корпоративной сети путем реализации строгие физические меры безопасности для защиты сетевой инфраструктуры. Кроме того Реализация безопасности протокола IP (IPSec) режима заголовков проверки подлинности может помочь предотвратить атаки в середине. В этом режиме выполняется обоюдная проверка подлинности и целостности пакетов IP-трафика.
    4. Основания для отключения этого параметра
      • Компьютеры в локальной или внешней поддержки зашифрованных безопасных каналов.
      • Не все контроллеры домена в домене имеют уровни редакций пакет обновления для поддержки зашифрованных безопасных каналы.
    5. Символическое имя:

      StrongKey
    6. Раздел реестра:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)
    7. Примеры проблем совместимости
      • Windows NT 4.0: Рядовые компьютеры под управлением Windows 2000 не смогут присоединиться Домены Windows NT 4.0 и появляется следующее сообщение об ошибке:
        Для входа в систему с этой учетной записи не авторизован станция.
        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
        281648Сообщение об ошибке: учетная запись не имеет прав для входа в систему с данной рабочей станции
      • Windows NT 4.0:Домены Windows NT 4.0 не удается установить доверительные отношения с доменом Windows 2000 нижнего уровня и появляется следующее сообщение об ошибке:
        Для входа в систему с этой учетной записи не авторизован станция.
        Существующие доверительные отношения нижнего уровня могут также не проверить подлинность пользователей доверенного домена. Некоторые пользователи испытывают проблемы при входе в домен, и появляется сообщение об ошибке о том, что клиент не может найти домен.
      • Windows XP:Клиенты Windows XP, которые входят в состав домена Windows NT 4.0, не смогут пройти проверку подлинности при входе в систему и может появиться следующее сообщение об ошибке или в журнале событий могут регистрироваться следующие события:
        Не удалось подключиться к домену либо потому что контроллер домена не работает или недоступна по другим причинам или из-за компьютера учетная запись не найдена

        События 5723: При установке сеанса компьютера ComputerName не удалось проверить подлинность. Имя учетной записи, указанные в безопасности База данных ComputerName. Следующее сообщение об ошибке произошло: отказано в доступе.

        Событие 3227: Установка сеанса к Windows NT или Windows 2000 контроллер домена Имя сервера для домена Имя домена Сбой Сервер Имя не поддерживает подписывание или запечатывание сеанса Netlogon. Обновить контроллер домена, либо установить реестра RequireSignOrSeal для этого компьютера равным 0.

        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
        318266Клиент Windows XP не удается войти в домен Windows NT 4.0
      • Сети Microsoft:Клиенты сети Microsoft будет получено одно из следующих сообщений об ошибке:
        Ошибка входа в систему: неизвестное имя пользователя или неверный пароль.
        Отсутствует ключ сеанса для пользователя сеанс входа в систему.
  5. Клиент сети Microsoft: использовать цифровую подпись (всегда)
    1. Фон

      Блок сообщений сервера (SMB) является протокол общего доступа к ресурсу, который поддерживается многими операционными системами Microsoft. Она является основой базовой сетевой системы ввода вывода (NetBIOS) и многих других протоколов. Подписывание SMB проверяет подлинность пользователя и сервер, на котором размещены данные. Передача данных не происходит при сбое проверки подлинности каждой стороны.

      Включение подписывания SMB начинается во время согласования протокола SMB. Политики подписывания SMB определяют ли компьютер всегда имеют цифровую подпись связи с клиентами.

      Протокол проверки подлинности Windows 2000 SMB поддерживает взаимную проверку подлинности. Взаимная проверка подлинности закрывает атаки «-в посредник». Протокол проверки подлинности Windows 2000 SMB также поддерживает проверку подлинности сообщений. Предотвращающую активные атаки через сообщения. Для предоставления проверки подлинности, подписывания SMB помещается цифровая подпись в каждый пакет SMB. Клиент и сервер проверки цифровой подписи.

      Чтобы использовать подписывание SMB, необходимо разрешить использование подписи SMB или потребовать подписывание SMB-клиент и сервер SMB SMB. Если подписывание SMB включено на сервере, клиенты, которые также включили подписывание SMB, используют протокол подписывания пакетов во всех последующих сеансов. Если подписывание SMB требуется на сервере, клиент не сможет установить сеанс, если клиенту разрешено или является обязательным для подписывания SMB.

      Использование цифровых подписей в сетях с высоким уровнем безопасности помогает предотвратить олицетворение клиентов и серверов. Этот тип олицетворения называется захват сеанса. Злоумышленник, имеющий доступ к сети, в которой клиент или сервер использует специальной программы, чтобы прервать, завершить или завладеть текущим сеансом в данный момент. Злоумышленник может перехватывать и изменять неподписанные пакеты SMB, изменения трафика и затем перенаправить сервер для выполнения необходимых ему действий. Или злоумышленник выдав легально пройти проверку подлинности сервера или клиента и получить несанкционированный доступ к данным.

      Протокол SMB, который используется для доступа к файлам и принтерам на компьютере под управлением Windows 2000 Server, Windows 2000 Professional, Windows XP Professional или Windows Server 2003 поддерживает взаимную проверку подлинности. Взаимная проверка подлинности чужого сеанса и поддерживает проверку подлинности сообщений. Таким образом он предотвращает атаки в середине. Подписывание SMB обеспечивают такую проверку, помещая в каждый блок SMB цифровую подпись. Клиент и сервер, затем проверить подпись.

      Примечания
      • В качестве альтернативного способа можно разрешить цифровые подписи с помощью протокола IPSec для защиты всего трафика в сети. Существуют аппаратные ускорители шифрования IPSec и подписи, можно использовать, чтобы свести к минимуму влияние на производительность процессора сервера. Нет никаких подобных ускорителей для подписывания SMB.

        Дополнительные сведения см. Использовать цифровую подпись сервера Глава на веб-узле Microsoft MSDN.

        Настройте подписывание SMB через редактор объектов групповой политики, поскольку изменение локального параметра реестра не оказывает влияния, если существует перекрывающая политика домена.
      • В Windows 95, Windows 98 и Windows 98 Second Edition клиент службы каталогов использует подписывание SMB при проверке подлинности с серверами Windows Server 2003 с помощью проверки подлинности NTLM. Тем не менее эти клиенты не используют подписывание SMB при аутентификации на этих серверах посредством проверки подлинности NTLMv2. Кроме того серверы Windows 2000 не отвечают на запросы от этих клиентов на подписывание SMB. Дополнительные сведения см.: «сетевая безопасность: уровень проверки подлинности Lan Manager.»
    2. Рискованная конфигурация

      Ниже приведен параметр конфигурации опасные: оставляя оба Клиент сети Microsoft: использовать цифровую подпись (всегда) параметр и Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера) параметр равным «Не определено» или отключена. Эти параметры позволяет перенаправителю отправлять пароли в формате обычного текста серверам SMB сторонних разработчиков, которые не поддерживают шифрование паролей во время проверки подлинности.
    3. Основания для включения этого параметра

      Включение Клиент сети Microsoft: использовать цифровую подпись (всегда) клиенты обязаны подписывать трафик по протоколу SMB при подключении к серверам, которые не требуют подписывания SMB. Это делает клиенты менее уязвимыми для чужого сеанса.
    4. Основания для отключения этого параметра
      • Включение Клиент сети Microsoft: использовать цифровую подпись (всегда) не позволяет клиентам устанавливать связь с серверами, которые не поддерживают подписывание SMB.
      • Игнорирование всех SMB без знака не позволяет более ранних версий программ и операционной системы подключение.
    5. Символическое имя:

      RequireSMBSignRdr
    6. Раздел реестра:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
    7. Примеры проблем совместимости
      • Windows NT 4.0:Не удается сбросить безопасный канал доверительных отношений между доменами Windows Server 2003 и Windows NT 4.0 с помощью команд NLTEST или NETDOM, и вы получите сообщение об ошибке «Доступ запрещен».
      • Windows XP:Копирование файлов с Windows XP клиентов на серверы под управлением Windows 2000 и серверы под управлением Windows Server 2003 может занять больше времени.
      • Не удается подключить сетевой диск с Клиент эта политика включена и вы получите следующее сообщение об ошибке сообщение об ошибке:
        Учетная запись не имеет прав для регистрации из этой станции.
    8. Необходимость перезагрузки

      Перезагрузите компьютер или перезапустите службу рабочей станции. Для этого введите следующие команды в командной строке. Нажмите клавишу ВВОД после ввода каждой команды.
      net stop рабочей станции
      NET start рабочей станции
  6. Сервер сети Microsoft: использовать цифровую подпись (всегда)
    1. Фон
      • Блок сообщений сервера (SMB) является протокол общего доступа к ресурсу, который поддерживается многими операционными системами Microsoft. Она является основой базовой сетевой системы ввода вывода (NetBIOS) и многих других протоколов. Подписывание SMB проверяет подлинность пользователя и сервер, на котором размещены данные. Передача данных не происходит при сбое проверки подлинности каждой стороны.

        Включение подписывания SMB начинается во время согласования протокола SMB. Политики подписывания SMB определяют ли компьютер всегда имеют цифровую подпись связи с клиентами.

        Протокол проверки подлинности Windows 2000 SMB поддерживает взаимную проверку подлинности. Взаимная проверка подлинности закрывает атаки «-в посредник». Протокол проверки подлинности Windows 2000 SMB также поддерживает проверку подлинности сообщений. Предотвращающую активные атаки через сообщения. Для предоставления проверки подлинности, подписывания SMB помещается цифровая подпись в каждый пакет SMB. Клиент и сервер проверки цифровой подписи.

        Чтобы использовать подписывание SMB, необходимо разрешить использование подписи SMB или потребовать подписывание SMB-клиент и сервер SMB SMB. Если подписывание SMB включено на сервере, клиенты, которые также включили подписывание SMB, используют протокол подписывания пакетов во всех последующих сеансов. Если подписывание SMB требуется на сервере, клиент не сможет установить сеанс, если клиенту разрешено или является обязательным для подписывания SMB.

        Использование цифровых подписей в сетях с высоким уровнем безопасности помогает предотвратить олицетворение клиентов и серверов. Этот тип олицетворения называется захват сеанса. Злоумышленник, имеющий доступ к сети, в которой клиент или сервер использует специальной программы, чтобы прервать, завершить или завладеть текущим сеансом в данный момент. Злоумышленник может перехватить неподписанные пакеты диспетчеру пропускной способностью подсети (SBM) изменять, изменения трафика и затем перенаправить сервер для выполнения необходимых ему действий. Или злоумышленник выдав легально пройти проверку подлинности сервера или клиента и получить несанкционированный доступ к данным.

        Протокол SMB, который используется для доступа к файлам и принтерам на компьютере под управлением Windows 2000 Server, Windows 2000 Professional, Windows XP Professional или Windows Server 2003 поддерживает взаимную проверку подлинности. Взаимная проверка подлинности чужого сеанса и поддерживает проверку подлинности сообщений. Таким образом он предотвращает атаки в середине. Подписывание SMB обеспечивают такую проверку, помещая в каждый блок SMB цифровую подпись. Клиент и сервер, затем проверить подпись.
      • В качестве альтернативного способа можно разрешить цифровые подписи с помощью протокола IPSec для защиты всего трафика в сети. Существуют аппаратные ускорители шифрования IPSec и подписи, можно использовать, чтобы свести к минимуму влияние на производительность процессора сервера. Нет никаких подобных ускорителей для подписывания SMB.
      • В Windows 95, Windows 98 и Windows 98 Second Edition клиент службы каталогов использует подписывание SMB при проверке подлинности с серверами Windows Server 2003 с помощью проверки подлинности NTLM. Тем не менее эти клиенты не используют подписывание SMB при аутентификации на этих серверах посредством проверки подлинности NTLMv2. Кроме того серверы Windows 2000 не отвечают на запросы от этих клиентов на подписывание SMB. Дополнительные сведения см.: «сетевая безопасность: уровень проверки подлинности Lan Manager.»
    2. Рискованная конфигурация

      Ниже приведен параметр конфигурации опасные: Включение сервер сети Microsoft: использовать цифровую подпись (всегда) на сервере или контроллере домена, к которым подключены несовместимые компьютеры под управлением Windows и драйверы сторонних производителей на базе операционной системы компьютеров локальной или внешних доменов.
    3. Основания для включения этого параметра
      • Все клиентские компьютеры, на которых включен непосредственно в реестре или через групповую политику поддержки SMB подписи. Другими словами все клиентские компьютеры, имеющие этот параметр включен Запустите клиент DS установлен, Windows 98, Windows NT 4.0, либо Windows 95 Windows 2000, Windows XP Professional или Windows Server 2003.
      • Если сервер сети Microsoft: использовать цифровую подпись (всегда) будет отключена, SMB полностью отключено. Полностью Отключение подписывания SMB все оставляет компьютеров более уязвим для захвата сеанса атак.
    4. Основания для отключения этого параметра
      • Включение этого параметра может привести к медленнее копирования файлов и производительности сети на клиентских компьютерах.
      • Включение данного параметра позволит клиентам, не удается согласовать подписывание SMB для обмена данными с серверами и домена контроллеры. В результате операции, такие как соединения домена пользователя и компьютера Проверка подлинности, или сетевой доступ программ к сбою.
    5. Символическое имя:

      RequireSMBSignServer
    6. Раздел реестра:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)
    7. Примеры проблем совместимости
      • Windows 95:Клиенты Windows 95, не установлен клиент службы каталогов (DS) произойдет сбой проверки подлинности при входе и появляется следующее сообщение об ошибке:
        Не введен пароль домена исправить или доступ ко входу в систему отклонен сервером.
        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
        811497Сообщение об ошибке при входе клиента Windows 95 или Windows NT 4.0 в домене Windows Server 2003
      • Windows NT 4.0: Клиентские компьютеры под управлением Windows NT 4.0 Пакет обновления 3 (SP3) будет не пройти проверку подлинности и будет появляется следующее сообщение об ошибке:
        Не удалось вход в систему. Убедитесь, что имя пользователя и домен указаны правильно, а затем введите ваш пароль еще раз.
        Некоторые серверы SMB сторонних разработчиков поддерживают только обмена незашифрованного пароля во время проверки подлинности. (Эти обмены также называется обменов «обычный текст».) 3 (SP3) для Windows NT 4.0 и более поздних версиях перенаправителю SMB не посылать незашифрованный пароль при проверке подлинности серверу SMB без добавления реестра.
        Чтобы разрешить обмен незашифрованными паролями для клиента SMB в 3 (SP3) для Windows NT 4.0 и более поздних версиях, измените реестр следующим образом: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        Название: EnablePlainTextPassword
        Тип данных: REG_DWORD
        Данные: 1

        Дополнительные сведения по этой теме щелкните следующие номера статей базы знаний Майкрософт:
        224287Сообщение об ошибке: Произошла системная ошибка 1240. Учетная запись не имеет прав для входа в систему с данной рабочей станции.
        166730 Незашифрованные пароли могут вызвать Пакет обновления 3 для не удается подключиться к SMB-серверам
      • Windows Server 2003: По умолчанию параметры безопасности на контроллерах домена под управлением Windows Server 2003 настроены для предотвращения перехвата и подделаны пользователями-злоумышленниками взаимодействия контроллера. Чтобы пользователи могли успешно взаимодействовать с контроллером домена под управлением Windows Server 2003 клиентские компьютеры должны использовать как подписывание SMB и шифрование или подписывание трафика безопасного канала. По умолчанию клиенты, которые имеют Пакет обновления 2 (SP2) для Windows NT 4.0 или более ранних версий и клиенты под управлением Windows 95 не имеют подписи SMB-пакетов включена. Таким образом эти клиенты не смогут пройти проверку подлинности на контроллере домена под управлением Windows Server 2003.
      • Параметры политики в Windows 2000 и Windows Server 2003: В зависимости от конкретных требований к установке и конфигурации рекомендуется устанавливать для следующих параметров политики минимальные объекты необходимого диапазона в иерархии оснастки Редактор групповой политики:
        • Конфигурация компьютера\Параметры безопасности параметров Settings\Security
        • Посылать незашифрованный пароль для подключения к серверам SMB сторонних (этот параметр предназначен для Windows 2000)
        • Клиент сети Microsoft: посылать незашифрованный пароль сторонним SMB серверам (этот параметр предназначен для Windows Server 2003)

        Примечание На некоторых серверах CIFS независимых производителей, например, старые версии Samba нельзя использовать зашифрованные пароли.
      • Следующие клиенты несовместимы с сервер сети Microsoft: использовать цифровую подпись (всегда) параметр:
        • Apple Computer, Inc., Mac OS X Клиенты
        • Microsoft MS-DOS (например, сетевые клиенты Microsoft LAN Manager)
        • Microsoft Windows для рабочих групп Клиенты
        • Клиенты Microsoft Windows 95 без DS Установлен клиент
        • Компьютеры под управлением Windows NT 4.0 Microsoft без 3 (SP3) или более поздней версии
        • Клиенты Novell Netware 6 CIFS
        • Клиенты SAMBA SMB, не поддерживают подписывания SMB
    8. Необходимость перезагрузки

      Перезагрузите компьютер или перезапустите службу сервера. Для этого введите следующие команды в командной строке. Нажмите клавишу ВВОД после ввода каждой команды.
      net stop server
      NET start server
  7. Сетевой доступ: разрешить трансляцию анонимного SID в имя
    1. Фон

      Доступ к сети: разрешить трансляцию анонимного SID в имя параметр безопасности определяет, может ли анонимный пользователь запрашивать Атрибуты безопасности идентификационный номер (SID) другого пользователя.
    2. Рискованная конфигурация

      Включение доступ к сети: разрешить трансляцию анонимного SID в имя задается значение параметра конфигурации опасность.
    3. Основания для включения этого параметра

      Если доступ к сети: разрешить трансляцию анонимного SID в имя параметр будет отключен, то более ранних операционных систем или приложений не может иметь возможность связи с доменами Windows Server 2003. Например, операционные системы, службы или приложения могут не работать:
      • Служба удаленного доступа под управлением Windows NT. серверы
      • Microsoft SQL Server, которая установлена на компьютерах с Windows NT 3.x или компьютеров под управлением Windows NT 4.0
      • Служба удаленного доступа, на котором выполняется на компьютерах под управлением Windows 2000, находящихся в доменах Windows NT 3.x или доменов Windows NT 4.0
      • SQL Server, на котором выполняется на компьютерах под управлением Windows 2000, которые находятся в доменах Windows NT 3.x или в доменах Windows NT 4.0
      • Пользователи в домене ресурсов Windows NT 4.0, необходимо Предоставление разрешений на доступ к файлам, общие папки и объекты реестра для пользователя учетные записи доменов учетных записей, которые содержат домен Windows Server 2003 контроллеры
    4. Основания для отключения этого параметра

      Если эта политика включена, злонамеренный пользователь может использовать известный идентификатор безопасности администратора получить реальное имя встроенной учетной записи администратора, даже если учетная запись была переименована. Затем это лицо можно использовать имя учетной записи для инициирования взлом пароля.
    5. Символическое имя: Н/Д
    6. Путь в реестре: Нет. Путь указывается в коде пользовательского интерфейса.
    7. Примеры проблем совместимости

      Windows NT 4.0:На компьютерах домена ресурсов Windows NT 4.0 отображается «Неизвестная учетная запись» сообщение об ошибке в редакторе ACL Если ресурсы, включая общие папки, общие файлы и объекты реестра защищены участниками безопасности, которые находятся в домене учетных записей, содержащем контроллеры домена Windows Server 2003.
  8. Сетевой доступ: не разрешать перечисление SAM анонимными пользователями учетных записей
    1. Фон
      • Сетевой доступ: не разрешать перечисление SAM анонимными пользователями учетных записей параметр определяет, какие дополнительные разрешения будут предоставлены анонимным подключениям к компьютеру. Windows позволяет анонимным пользователям выполнять определенные операции, например, перечислять имена общих сетевых ресурсов и рабочих станций и серверов учетные записи диспетчера учетных записей безопасности (SAM). Например администратор может использовать это, чтобы предоставить доступ пользователям в доверенном домене, не поддерживающем взаимное доверие. После сеанса анонимный пользователь может иметь те же права доступа, которые предоставляются все группы на основе параметров в сетевой доступ: разрешать применение разрешений для применения к анонимным пользователям параметр или список управления доступом на уровне пользователей (DACL) объекта.

        Как правило анонимные подключения запрашиваются клиентами более ранних версий клиентов (клиентов нижнего уровня) во время установки сеанса SMB. В этих случаях трассировка сети показывает, что код SMB процесса (PID) — 0xFEFF в Windows 2000 или 0xCAFE в Windows NT. RPC перенаправитель клиентского компьютера могут также попытаться установить анонимные подключения.
      • ВажноЭтот параметр не оказывает влияния на домен контроллеры. На контроллерах домена это поведение определяется наличием «Вход NT AUTHORITY\ANONYMOUS» в «Пред-Windows 2000 доступ».
      • В Windows 2000 управляет аналогичный параметр Дополнительные ограничения для анонимных подключений
        RestrictAnonymous
        значение реестра. Используется следующее расположение этого значения
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
        Дополнительные сведения о параметре RestrictAnonymous щелкните следующие номера статей базы знаний Майкрософт:
        246261Использование параметра реестра RestrictAnonymous в Windows 2000
        143474 Ограничение доступа анонимных пользователей
    2. Рискованные конфигурации

      Включение сетевой доступ: не разрешать перечисление SAM анонимными пользователями учетных записей задается значение параметра конфигурации опасные с точки зрения совместимости. Отключение его — параметр конфигурации опасные с точки зрения безопасности.
    3. Основания для включения этого параметра

      Неавторизованный пользователь может анонимно перечислить имена учетных записей, а затем воспользоваться этими данными для взлома паролей или социотехники . Социотехника -это жаргонный термин, который означает вынуждают людей открыли свои или паролей и другой информации о безопасности.
    4. Основания для отключения этого параметра

      Если этот параметр включен, невозможно установить доверительные отношения между доменами Windows NT 4.0. Этот параметр также вызывает проблемы с клиентами нижнего уровня (например, для клиентов Windows NT 3.51 и Windows 95), которые пытаются использовать ресурсы на сервере.
    5. Символическое имя:


      RestrictAnonymousSAM
    6. Раздел реестра:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)
    7. Примеры проблем совместимости
    • Обнаружение сети SMS не сможет получить сведения о системе и будет написан «Неизвестно» в Свойство OperatingSystemNameandVersion.
    • Windows 95, Windows 98:Клиенты Windows 95 и Windows 98 не будет изменять свои пароли.
    • Windows NT 4.0:Windows NT 4.0 на рядовых компьютерах не будет проходить проверку подлинности.
    • Windows 95, Windows 98:Компьютеры под управлением Windows 95 и Windows 98 не удается пройти проверку подлинности Microsoft контроллеров домена.
    • Windows 95, Windows 98:Пользователи, на компьютерах под управлением Windows 95 и Windows 98 не будет изменять пароли для учетных записей пользователей.
  9. Сетевой доступ: не разрешать перечисление SAM анонимными пользователями учетных записей и общих ресурсов
    1. Фон
      • Сетевой доступ: не разрешать перечисление SAM анонимными пользователями учетных записей и общих ресурсов параметр (также известная как RestrictAnonymous) определяет анонимного перечисления учетных записей безопасности Допускается (SAM) диспетчера учетных записей и общих ресурсов. Windows позволяет анонимным пользователям Выполните определенные операции, например, перечислять имена учетных записей домена (пользователи, компьютеры и группы) и общих сетевых ресурсов. Это удобно для Пример, когда администратор хочет предоставить доступ пользователям в доверенном домен, не поддерживающем взаимное доверие. Если вы не хотите разрешать анонимное перечисление учетных записей SAM и общих ресурсов, включите этот параметр.
      • В Windows 2000 управляет аналогичный параметр Дополнительные ограничения для анонимных подключений
        RestrictAnonymous
        значение реестра. Расположение это значение будет следующим:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    2. Рискованная конфигурация

      Включение сетевой доступ: не разрешать перечисление SAM анонимными пользователями учетных записей и общих ресурсов задается значение параметра конфигурации опасность.
    3. Основания для включения этого параметра
      • Включение сетевой доступ: не разрешать перечисление SAM анонимными пользователями учетных записей и общих ресурсов позволяет предотвратить перечисление учетных записей SAM и общих ресурсов пользователями и компьютеры, использующие анонимных учетных записей.
    4. Основания для отключения этого параметра
      • Если этот параметр включен, неавторизованный пользователь может анонимно перечислить имена учетных записей, а затем воспользоваться этими данными для взлома паролей или социотехники . Социотехника -это жаргонный термин, который означает вынуждают людей открыли свои или пароля и другой информации о безопасности.
      • Если этот параметр включен, он будет невозможно Чтобы установить доверительные отношения между доменами Windows NT 4.0. Этот параметр также приведет к проблемы с клиентами нижнего уровня, таких как клиенты Windows NT 3.51 и Windows 95 Попытка использования ресурсов на сервере.
      • Невозможно предоставить доступ пользователям доменов ресурсов, так как Администраторы домена-доверителя не сможет отображать список учетных записей в другом домене. Пользователи, анонимный доступ к файлам и серверов печати не будет список общих сетевых ресурсов на этих серверах. Пользователи должны пройти, прежде чем они могут просматривать список общих папок и принтеров.
    5. Символическое имя:

      RestrictAnonymous
    6. Раздел реестра:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
    7. Примеры проблем совместимости
      • Windows NT 4.0: Пользователи не смогут изменять свои пароли из Windows NT. 4.0 станций при включении параметра RestrictAnonymous на контроллерах домена в домене пользователя. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
        198941Запретить смену пароля при входе в систему
      • Windows NT 4.0:Добавление пользователей и глобальные группы из доверенных доменов Windows 2000 в локальные группы Windows NT 4.0 в диспетчере пользователей произойдет сбой и появится следующее сообщение об ошибке:
        В настоящее время отсутствуют серверы входа в систему могли бы обработать запрос на вход.
        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
        296405Значение реестра «RestrictAnonymous» может нарушить доверие к домену Windows 2000
      • Windows NT 4.0:Компьютеры под управлением Windows NT не будет входить в домены во время установки или с помощью пользовательского интерфейса.

        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
        184538Сообщение об ошибке: не удалось найти контроллер этого домена
      • Windows NT 4.0:Доверительные отношения нижнего уровня с доменами ресурсов Windows NT 4.0 не удастся. При включении параметра RestrictAnonymous на доверенном домене, появится следующее сообщение об ошибке:
        Не удалось найти контроллер домена для данного домена.
        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
        178640Не удалось найти контроллер домена, при установлении доверительных отношений
      • Windows NT 4.0:Войдите на сервер терминалов под управлением Windows NT 4.0 пользователи подключаются к домашнему каталогу по умолчанию вместо домашнего каталога, определенного в диспетчере пользователей для доменов.

        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
        236185Профили пользователей сервера терминалов и пути к домашним папкам игнорируются после применения SP4 или более поздней версии
      • Windows NT 4.0:Windows NT 4.0 резервные контроллеры домена (BDC) не удается запустить службу Net Logon, получить список резервных обозревателей или синхронизации базы данных SAM, Windows 2000 или Windows Server 2003 контроллеры домена в том же домене.

        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
        293127Служба Net Logon резервного контроллера домена Windows NT 4.0 в домене Windows 2000 не работает
      • Windows 2000:Компьютеры под управлением Windows 2000 в домене Windows NT 4.0, не смогут просматривать принтеры во внешних доменах, если включен параметр Запретить доступ без явного разрешения анонимного доступа в локальной политике безопасности клиента компьютер.

        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
        280329Пользователь не может управлять или просматривать свойства принтера
      • Windows 2000:Пользователи домена Windows 2000 не сможет добавлять сетевые принтеры из Active Directory; Тем не менее они смогут добавлять принтеры после их выбора из дерева.

        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
        318866Клиенты Outlook не могут просматривать глобальный список адресов после установки исправлений безопасности 1 (SRP1) на сервере глобального каталога
      • Windows 2000:На компьютерах под управлением Windows 2000 редактор ACL нельзя будет добавлять пользователей и глобальные группы из доверенных доменов Windows NT 4.0.

        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
        296403Значение параметра RestrictAnonymous нарушает доверительные отношения в смешанном домене
      • ADMT версии 2:Миграция паролей для учетных записей пользователей, которые перемещаются между лесами с миграции Active Directory инструмент (ADMT) версии 2 не удастся.

        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
        322981Устранение неполадок при переносе паролей между лесами миграции с ADMTv2
      • Клиенты outlook:Глобальный список адресов будет отображаться пустым, чтобы клиенты Microsoft Exchange Outlook.

        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
        318866Клиенты Outlook не могут просматривать глобальный список адресов после установки на сервере глобального каталога безопасности накопительного пакета обновления пакета 1 (SR)
        321169 Снижение производительности SMB при копировании файлов из Windows XP в контроллере домена Windows 2000
      • SMS:Обнаружение сети Microsoft Systems Management Server (SMS) не удается получить сведения об операционной системе. Таким образом будет написан «Неизвестно» в свойстве OperatingSystemNameandVersion SMS DDR свойства записи обнаружения данных (DDR).

        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
        229769Как диспетчер данных обнаружения определяет, когда следует создавать запрос конфигурации клиента
      • SMS: При использовании мастера пользователей SMS администратора для просмотра пользователей и групп, пользователи или группы, не будут перечислены. Кроме того расширенные клиенты не могут взаимодействовать с точки управления. Анонимный доступ необходим для точки управления.

        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
        302413Пользователи или группы, не перечисленные в мастере администратора пользователей
      • SMS: При использовании функции обнаружения сети SMS 2.0 и в удаленной установки клиента, топология, клиент и клиентские операционные системы сетевого обнаружения включен параметр может обнаружить компьютеры но не может быть установлено.

        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
        311257Ресурсы не обнаруживаются, если отключить анонимные подключения
  10. Сетевая безопасность: уровень проверки подлинности Lan Manager
    1. Фон

      Проверка подлинности LAN Manager (LM)-это протокол, используемый для проверки подлинности клиентов Windows для сетевых операций, включая соединения домена, доступ к сетевым ресурсам и проверка подлинности пользователя или компьютера. Уровень проверки подлинности LM определяет, какой запрос/ответ протокол проверки подлинности согласовывается между клиентом и сервером. В частности уровень проверки подлинности LM определяет, какие протоколы проверки подлинности, клиент будет пытаться согласовывать или принимается сервером. Значение, указанное для параметра LmCompatibilityLevel определяет, какой протокол проверки подлинности запросом и подтверждением используется при входе в сеть. Это значение влияет на уровень протокола проверки подлинности, используемый клиентами, уровень согласования безопасности сеанса и уровень проверки подлинности, принимаемый серверами.

      Ниже перечислены возможные значения.
      ЗначениеПараметрОписание
      0 Отправлять LM и NTLM & ответыКлиенты используют протоколы LM и NTLM для проверки подлинности и никогда не использовать сеансовую безопасность NTLMv2. Контроллеры домена допускают проверку подлинности LM, NTLM и NTLMv2.
      1Отправлять & LM и NTLM - использовать сеансовую безопасность NTLMv2 при согласованииКлиенты используют протоколы LM и NTLM для проверки подлинности и использовать сеансовую безопасность NTLMv2, если сервер ее поддерживает. Контроллеры домена допускают проверку подлинности LM, NTLM и NTLMv2.
      2Отправлять только NTLM ответКлиенты используют только проверку подлинности NTLM и используют сеансовую безопасность NTLMv2, если сервер ее поддерживает. Контроллеры домена допускают проверку подлинности LM, NTLM и NTLMv2.
      3Отправлять только NTLMv2 ответКлиенты используют только проверку подлинности NTLMv2 и используют сеансовую безопасность NTLMv2, если сервер ее поддерживает. Контроллеры домена допускают проверку подлинности LM, NTLM и NTLMv2.
      4Отправлять только NTLMv2 ответ, отказывать LMКлиенты используют только проверку подлинности NTLMv2 и используют сеансовую безопасность NTLMv2, если сервер ее поддерживает. Контроллеры доменов, отказывать LM и допускают подлинности NTLM и NTLMv2.
      5Отправлять только NTLMv2 ответ, отказывать LM и NTLM &Клиенты используют только проверку подлинности NTLMv2 и используют сеансовую безопасность NTLMv2, если сервер ее поддерживает. Контроллеры доменов, отказывать LM и NTLM и допускают только проверку подлинности NTLMv2.
      Примечание В Windows 95, Windows 98 и Windows 98 Second Edition клиент службы каталогов использует подписывание SMB при проверке подлинности с серверами Windows Server 2003 с помощью проверки подлинности NTLM. Тем не менее эти клиенты не используют подписывание SMB при аутентификации на этих серверах посредством проверки подлинности NTLMv2. Кроме того серверы Windows 2000 не отвечают на запросы от этих клиентов на подписывание SMB.

      Проверить уровень проверки подлинности LM: Необходимо изменить политику на сервере, чтобы разрешить NTLM, или необходимо настроить клиентский компьютер на поддержку NTLMv2.

      Если политика (5) отправлять только NTLMv2 ответ, отказывать LM и NTLM & на целевом компьютере, вы хотите подключиться, понизить значение параметра на этом компьютере или установить безопасность для параметра же на исходном компьютере, с которого устанавливается подключение.

      Найти нужное место, где LAN manager можно изменить уровень проверки подлинности, чтобы установить клиент и сервер на том же уровне. После обнаружения политику, Настройка LAN manager уровень проверки подлинности, если требуется соединение с компьютерами под управлением более ранних версий Windows, понизьте значение, по крайней (1) отправлять LM & NTLM - использовать NTLM версии 2 безопасность NTLMv2 при согласовании. Один из результатов несовместимости параметров является то, что если сервер требует NTLMv2 (значение 5), но клиент настроен на использование LM и NTLMv1 только (значение 0), проверке подлинности пользователя будет возникать ошибка входа с неправильным паролем и который увеличивает значение счетчика неверных паролей. Если настроена блокировка учетной записи, пользователь может в конечном итоге будет заблокирован.

      Например возможно, придется искать на контроллере домена или может понадобиться проверить политики контроллера домена.

      Поиск контроллера домена

      Примечание Возможно, потребуется повторить следующую процедуру на всех контроллерах домена.
      1. Нажмите кнопку Пуск, выберите пункт Программы, а затем нажмите кнопку Администрирование.
      2. В группе Локальные параметры безопасности, разверните узел Локальные политики.
      3. Нажмите кнопку Параметры безопасности.
      4. Дважды щелкните значок Сетевая безопасность: Уровень проверки подлинности LANи выберите значение в списке.

      Если значения действующей и локальной политики совпадают, политика была изменена на этом уровне. Если параметры не совпадают, необходимо проверить политику контроллера домена для определения ли Сетевая безопасность: уровень проверки подлинности LAN manager определен на этом. Если его нет, проверьте политики контроллера домена.

      Проверитьполитики контроллера домена
      1. Нажмите кнопку Пуск, выберите пункт Программы, а затем нажмите кнопку Администрирование.
      2. В Безопасность контроллера домена. политики, разверните узел Параметры безопасности, а затем разверните Локальные политики.
      3. Нажмите кнопку Параметры безопасности.
      4. Дважды щелкните Сетевая безопасность: уровень проверки подлинности LAN managerи выберите значение в списке.

      Примечание
      • Кроме того, необходимо проверить политики связаны на уровне сайта, домена или подразделения (OU) уровень, чтобы определить, где необходимо настроить уровень проверки подлинности LAN manager.
      • При реализации параметра групповой политики, как политика домена по умолчанию, политика применяется ко всем компьютерам в домене.
      • При реализации параметра групповой политики в качестве политики контроллера домена по умолчанию, политика применяется только к серверам в Подразделении контроллера домена.
      • Рекомендуется установить уровень проверки подлинности LAN manager в минимальные объекты необходимого диапазона в иерархии применения политики.

      Обновите политику после внесения изменений. (Если изменения на уровне параметров безопасности локальных изменений производится немедленно. Тем не менее необходимо перезагрузить клиенты перед тестированием.)

      По умолчанию параметры групповой политики обновляются на контроллерах домена каждые пять минут. Чтобы немедленно обновить параметры политики в Windows 2000 или более поздней версии, используйте команду gpupdate .

      Команда gpupdate/force обновляет локальные параметры групповой политики и параметры групповой политики, основанные на службе каталогов Active Directory, включая параметры безопасности. Эта команда заменяет параметр устаревшая /refreshpolicy/refreshpolicy команды secedit .

      Команды gpupdate используется следующий синтаксис:
      gpupdate [/ target: {компьютер|пользователь[}] [/ Force] [/ wait:значение] [/logoff] / [boot]

      Примените новый объект групповой политики (GPO) с помощью команды gpupdate вручную применить все параметры политики. Для этого введите в командной строке следующую команду и нажмите клавишу ВВОД:
      GPUpdate/Force
      Просмотрите журнал событий приложений, чтобы убедиться, что параметр политики были применены успешно.

      В Windows XP и Windows Server 2003 можно использовать оснастку «Результирующая политика» для просмотра эффективное значение. Для этого нажмите кнопкуПуск, нажмите кнопку Запуск, тип RSoP.msc, а затем нажмите кнопку ОК.

      Если неполадки продолжают возникать после внесения изменений в политику, перезапустите сервер под управлением Windows и проверьте, устранена ли проблема.

      Примечание При наличии нескольких контроллеров домена под управлением Windows 2000 и контроллеры домена под управлением Windows Server 2003, может потребоваться выполнить репликацию Active Directory, чтобы убедиться, что эти контроллеры домена были отражены внесенные изменения немедленно.

      Кроме того этот параметр может отображаться установить минимальное значение в локальной политике безопасности. Если параметр можно применять при помощи базы данных безопасности, можно также задать уровень проверки подлинности LAN manager в реестре, изменив LMCompatibilityLevel в следующий подраздел реестра :
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
      Windows Server 2003 имеет значение по умолчанию для использования только NTLMv2. По умолчанию контроллеры домена под управлением Windows 2000 Server с пакетом обновления 3 и Windows Server 2003 включены «сервер сети Microsoft: использовать цифровую подпись (всегда)» политики. Этот параметр требует подписи SMB-пакетов на сервере SMB.Были внесены изменения в Windows Server 2003, так как контроллеры домена, файловых серверов, серверов сетевой инфраструктуры и веб-серверов в любой организации требуются различные параметры для повышения безопасности.

      Если вы хотите реализовать проверку подлинности NTLMv2 в сети, необходимо убедиться, что все компьютеры в домене, настроены на использование данного уровня проверки подлинности. При установке Active Directory клиентских расширений для Windows 95 или Windows 98 и Windows NT 4.0, расширения клиента использовать возможности усовершенствованные способы проверки подлинности, доступные в, NTLMv2. Поскольку объекты групповой политики в Windows 2000 не подвержены клиентские компьютеры под управлением любой операционной системы, может потребоваться вручную настроить эти клиенты:
      • Microsoft Windows NT 4.0
      • Microsoft Windows Millennium Edition
      • Microsoft Windows 98
      • Microsoft Windows 95
      Примечание Если включен Сетевая безопасность: не хранить хеш-значений LAN manager при следующей смене пароля политики или набора NoLMHash раздел реестра, клиентов под управлением Windows 95 и Windows 98, на которых не установлен клиент службы каталогов не удается войти в домен после изменения пароля.

      Многие серверы CIFS независимых производителей, такие как Novell Netware 6, не поддерживают NTLMv2 и использование только NTLM. Таким образом уровни выше 2 не разрешают подключение.

      Дополнительные сведения о том, как вручную настроить уровень проверки подлинности LAN manager, щелкните следующие номера статей базы знаний Майкрософт:
      147706Как отключить проверку подлинности Windows NT LM
      175641 Параметра LMCompatibilityLevel и его эффекты
      299656 Как запретить хранение диспетчера LAN хэш пароля в Active Directory и локальных базах данных SAM
      312630 Outlook продолжает запрашивать учетные данные для входа
      Дополнительные сведения об уровнях проверки подлинности LM щелкните следующий номер статьи базы знаний Майкрософт:
      239869Включение проверки подлинности NTLM 2
    2. Рискованные конфигурации

      Ниже перечислены параметры конфигурации опасность.
      • Свободная конфигурация, отправлять пароли открытый текст и что запрещение согласование по протоколу NTLMv2
      • Строгие параметры, препятствующие несовместимы клиентам и контроллерам домена проводить согласование общего протокола проверки подлинности
      • Проверка подлинности по протоколу NTLMv2 на рядовых компьютерах и контроллерам домена под управлением Windows NT 4.0 более ранних, чем Пакет обновления 4 (SP4)
      • Проверка подлинности NTLMv2 в Windows 95 Клиенты или на клиентах Windows 98, нет папки Windows Клиент службы.
      • Если установить флажок Требовать сеансовую безопасность NTLMv2 флажок в Microsoft консоли редактора групповой политики управления оснастки Windows Server 2003 или под управлением Windows 2000 Пакет обновления 3 компьютера, а также снизить уровень проверки подлинности LAN manager значение 0 и два параметра будут конфликтовать в файле Secpol.msc или GPEdit.msc может появиться следующее сообщение об ошибке:
        Не удалось открыть базу данных локальной политики. Неизвестная ошибка при попытке открыть базу данных.
        Дополнительные сведения о конфигурации безопасности и средства анализа Windows 2000 или файлы справки для Windows Server 2003 см.

        Дополнительные сведения об анализе уровней безопасности в Windows 2000 и Windows Server 2003 щелкните следующие номера статей базы знаний Майкрософт:
        313203Анализ системы безопасности в Windows 2000
        816580 Анализ безопасности системы Windows Server 2003
    3. Причины для изменения этого параметра
      • Вы хотите увеличить наименьшее общее протокол проверки подлинности, поддерживаемые клиенты и контроллеры домена организации.
      • Где безопасной проверки подлинности — бизнеса требования, необходимо запретить согласование LM и NTLM протоколы.
    4. Основания для отключения этого параметра

      Клиент требования проверки подлинности сервера или оба, были увеличены до точки, где проверка подлинности с использованием общего протокола невозможен.
    5. Символическое имя:

      Параметра LmCompatibilityLevel
    6. Раздел реестра:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
    7. Примеры проблем совместимости
      • Windows Server 2003:По умолчанию включен параметр Windows Server 2003 по протоколу NTLMv2 отправить NTLM ответы. Таким образом Windows Server 2003 получает сообщение об ошибке «Доступ запрещен» после начальной установки при попытке подключения к кластеру под управлением Windows NT 4.0 или LanManager V2.1 серверов, таких как OS/2 Lanserver. Эта проблема также возникает при попытке подключиться к серверу под управлением Windows Server 2003 из клиента более ранней версии.
      • Для установки Windows 2000 Security Rollup пакет 1 (SRP1).SRP1 заставляет NTLM версии 2 (NTLMv2). Этот накопительный пакет был выпущен после выпуска Windows 2000 Пакет обновления 2 (SP2). Дополнительные сведения о SRP1 щелкните следующий номер статьи базы знаний Майкрософт:

        311401 Windows 2000 исправлений безопасности 1 января 2002 г.
      • Windows 7 и Windows Server 2008 R2: многие серверы CIFS сторонних серверах Novell Netware 6 или Samba под управлением Linux, например, не поддерживают NTLMv2 и использование только NTLM. Таким образом уровни выше «2» не разрешают подключение. Теперь в данной версии операционной системы по умолчанию для параметра LmCompatibilityLevel было изменено на «3». Поэтому при обновлении Windows эти сторонних filers могут перестать работать.
      • Клиенты Microsoft Outlook запрашиваться учетные данные, даже если они уже вошли в домен. При вводе учетных данных, они получают следующее сообщение об ошибке: Windows 7 и Windows Server 2008 R2
        Предоставленные учетные данные входа в систему некорректны. Убедитесь, что имя пользователя и домен указаны верно, затем повторите ввод пароля.
        При запуске Outlook появления учетных данных даже в том случае, если ваш безопасный вход в сеть установлено значение Passthrough или проверка пароля. После ввода правильных учетных данных, может появиться следующее сообщение об ошибке:
        Предоставленные учетные данные входа некорректны.
        Трассировка сетевого монитора показывает что глобальный каталог сбой удаленного вызова процедур (RPC) с кодом состояния 0x5. Состояние означает отказ в доступе.»
      • Windows 2000:Сетевого монитора показывает следующие ошибки в NetBIOS TCP/IP (NetBT) сервера сообщений протокол SMB сеансе:
        Ошибка поиска каталога SMB R Dos, (5) STATUS_LOGON_FAILURE ACCESS_DENIED (109) (91) недопустимым идентификатором
      • Windows 2000: Если доверенный домен Windows 2000 с поддержкой NTLMv2 уровня 2 или более поздней версии домен Windows NT 4.0, компьютеры под управлением Windows 2000 в ресурсе домена возможно возникновение ошибок проверки подлинности.

        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
        305379Сбои при проверке подлинности в Windows 2000 с NTLM 2 уровня 2 в домене Windows NT 4.0 или выше
      • Windows 2000 и Windows XP: По умолчанию Windows 2000 и Windows XP установить параметр LAN Manager проверки подлинности локальной политики безопасности уровня 0. Значение 0 означает «Отправлять LM и NTLM ответы.»

        Примечание Для администрирования кластеров под управлением Windows NT необходимо использовать LM.
      • Windows 2000: Кластер Windows 2000 проверяет подлинность присоединяемого узла, если оба узла входят в состав Windows NT 4.0 Пакет обновления 6a (SP6a) домена.

        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
        305379Сбои при проверке подлинности в Windows 2000 с NTLM 2 уровня 2 в домене Windows NT 4.0 или выше
      • Средство блокировки IIS (HiSecWeb) устанавливает значение параметра LMCompatibilityLevel 5 и 2 для параметра реестра RestrictAnonymous.
      • Службы для Macintosh

        Модуль проверки подлинности пользователя (UAM): (Пользовательский модуль проверки подлинности) обеспечивает способ шифрования паролей, используемых для входа на серверы Windows AFP (AppleTalk Filing Protocol). Модуль проверки подлинности пользователя (UAM) Apple предоставляет только минимальные или без шифрования. Таким образом пароль может быть легко перехвачен в локальной сети или в Интернете. Хотя UAM не является обязательным, он предоставляет шифрованной проверки подлинности для серверов Windows 2000, запущены службы для Macintosh. Данная версия включает поддержку NTLMv2 128-разрядной шифрованной проверки подлинности и MacOS X 10.1-совместимый выпуск.

        По умолчанию службы Windows Server 2003 для Macintosh позволяет использовать проверку подлинности Microsoft.

        Для получения дополнительных сведений щелкните следующие номера статей базы знаний Майкрософт:
        834498Клиент Macintosh не может подключиться к службам для Mac в Windows Server 2003
        838331 Пользователи Mac OS X не удается открыть общие папки Macintosh на сервере под управлением Windows Server 2003
      • Windows Server 2008, Windows Server 2003, Windows XP и Windows 2000: Если установить значение параметра LMCompatibilityLevel в 0 или 1, а затем установить параметр NoLMHash в значение 1, приложений и компонентов может быть запрещен доступ на уровне NTLM. Эта проблема возникает, если компьютер настроен на использование LM, но не для использования паролей LM.

        Если задан параметр NoLMHash в значение 1, необходимо настроить значение параметра LMCompatibilityLevel, 2 или выше.
  11. Сетевая безопасность: требования подписывания для LDAP клиента
    1. Фон

      Сетевая безопасность: требования подписывания для LDAP клиента параметр определяет уровень подписи данных, соответствующих запросу от имени клиентов, которые выдают Lightweight Directory Access Protocol (LDAP) BIND запрашивает следующим образом:
      • None: с вызывающий объект указал выдается запрос LDAP BIND. параметры.
      • Согласование подписывания: Если Secure Sockets слой/протокол TLS (SSL/TLS) не был запущен, запрос LDAP BIND отправляется с данных LDAP параметр подписи равным Кроме параметров вызывающий объект указал. Если протокол SSL/TLS был запущен, запрос LDAP BIND отправляется с вызывающий объект указал параметры.
      • Требуется цифровая подпись: это то же самое, что Согласование подписывания. Тем не менее если промежуточный сервер LDAP saslBindInProgress ответ не означает, что необходим подписывание трафика LDAP, вызывающий объект сказали, что произошла ошибка запроса команды LDAP BIND.
    2. Рискованная конфигурация

      Включение Сетевая безопасность: требования подписывания для LDAP клиента задается значение параметра конфигурации опасность. Если сервер требует цифровые подписи, необходимо также настроить подписывание LDAP и для клиента. Конфигурация клиента для использования подписи LDAP не позволит связь с сервером. В результате проверки подлинности пользователя, групповой политики параметры, сценарии входа в систему и другие возможности сбоя.
    3. Причины для изменения этого параметра

      Неподписанный сетевой трафик делает возможной атаки в середине, когда злоумышленник перехватывает пакеты между клиентом и серверами, вносит в них изменения и затем перенаправляет их на сервер. Когда это происходит на сервере LDAP, злоумышленник может ответить на основании ложных запросов от клиента LDAP сервера. Чтобы снизить риск в корпоративной сети путем реализации строгие физические меры безопасности для защиты сетевой инфраструктуры. Кроме того это поможет предотвратить все виды атак в середине, требуя цифровые подписи для всех сетевых пакетов с помощью заголовков проверки подлинности IPSec.
    4. Символическое имя:

      LDAPClientIntegrity
    5. Раздел реестра:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
  12. Журнал событий: Максимальный размер журнала безопасности
    1. Фон

      Журнал событий: максимальный размер журнала безопасности параметр безопасности задает максимальный размер события безопасности журнал. Этот журнал не может превышать 4 ГБ. Чтобы найти этот параметр, разверните узел Параметры Windows, а затем разверните Безопасность Параметры.
    2. Рискованные конфигурации

      Ниже перечислены параметры конфигурации опасность.
      • Ограничение размера журнала безопасности и безопасности метод сохранения журнала при Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности политика. Увидеть «Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности» данной статьи для получения дополнительных сведений.
      • Поэтому ограничение размера журнала безопасности, безопасность события будут перезаписаны.
    3. Увеличьте значение данного параметра причины

      Специфическими требованиями и требованиями безопасности, которые Увеличение размера журнала безопасности для обработки дополнительной безопасности сведений журнала или сохранять журналы безопасности на больший период времени.
    4. Основания для уменьшения размера журнала

      Журналы средства просмотра событий, размещенные в памяти файлы. Максимальное число размер журнала событий ограничивается объем физической памяти в локальный компьютер и виртуальной памяти, доступной в журнал событий процесс. Увеличение размера журнала за объем виртуальной памяти для просмотра событий не увеличивает число записей журнала, которые являются сохраняются.
    5. Примеры проблем совместимости

      Windows 2000:Компьютер под управлением Windows 2000 с раньше, чем Пакет обновления 4 (SP4) может остановить ведение журнала событий в журнале событий перед достижения, указано в параметре Максимальный размер журнала в окне просмотра событий, если включен параметр Не затирать события (чистка журнала вручную) .

      Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
      312571Журнал событий прекращает регистрировать события при достижении максимального размера журнала
  13. Журнал событий: Сохранение событий в журнале безопасности
    1. Фон

      Журнал событий: Сохранение событий в журнале безопасности параметр безопасности определяет метод «переноса» журнал безопасности. Чтобы найти этот параметр, разверните узел Параметры Windows, и затем разверните узел Параметры безопасности.
    2. Рискованные конфигурации

      Ниже перечислены параметры конфигурации опасность.
      • Несохранение зарегистрированных событий безопасности перед они перезаписываются
      • Настройка параметра слишком мал, чтобы события безопасности Максимальный размер журнала безопасности перезапись
      • Ограничение размера журнала безопасности и крепления метод при Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности параметр безопасности включен
    3. Основания для включения этого параметра

      Включите этот параметр, только если установлен флажок Затирать старые события по дням метод сохранения. При использовании системы, опрашивает корреляции событий для событий, убедитесь, что это количество дней, по крайней мере три раза частоту опроса. Сделать возможным неудачных циклов опроса выполняйте.
  14. Сетевой доступ: разрешать применение разрешений для всех к анонимным пользователям
    1. Фон

      По умолчанию сетевой доступ: разрешать применение разрешений для применения к анонимным пользователям установлено значение Не определен для Windows Server 2003. По умолчанию Windows Server 2003 не содержит маркер анонимного доступа все группы.
    2. Пример проблемы совместимости

      Следующие значения параметра
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
      [REG_DWORD] = 0x0 доверительные отношения между Windows Server 2003 и Windows NT 4.0, когда домен Windows Server 2003 учетная запись домена и домена Windows NT 4.0 домена ресурсов. Это означает, что является доверенной учетной записи домена Windows NT 4.0, и домен ресурсов является доверяющим на стороне сервера Windows Server 2003. Такое поведение наблюдается, поскольку в процессе установления доверительных отношений после установления анонимного подключения ACL для всех включает анонимный идентификатор SID Windows NT 4.0.
    3. Причины для изменения этого параметра

      Значение должно быть значение 0x1 или с помощью объекта групповой Политики в Подразделении контроллера домена для: сетевой доступ: разрешать применение разрешений для применения к анонимным пользователям чтобы сделать возможным создание доверия.

      Примечание Большинство других параметров безопасности go up в значение вместо наибольшем в большинстве состоянии. Более безопасные рекомендуется вносить изменения в реестр на эмулятор основного контроллера домена вместо на всех контроллерах домена. Роль эмулятора основного контроллера при перемещении по любой причине, необходимо обновить реестр на новом сервере.

      После этого значение необходима перезагрузка.
    4. Путь реестра
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
  15. Проверка подлинности NTLMv2

    Безопасность сеанса

    Безопасность сеанса определяет минимальные стандарты безопасности для сеансов клиента и сервера. Рекомендуется проверить следующие параметры политики безопасности в редактор групповой политики:
    • Безопасности\Брандмауэр Windows Windows\Параметры безопасности\Локальные Политики\параметры безопасности
    • Сетевая безопасность: Минимальная сеансовая безопасность для серверов на базе NTLM SSP (включая безопасный RPC)
    • Сетевая безопасность: Минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасный RPC)
    Ниже приведены параметры для этих параметров:
    • Требовать целостности сообщений
    • Требовать конфиденциальность сообщения
    • Требовать Сеансовую безопасность NTLMv2
    • Требуется 128-разрядное шифрование
    Значение по умолчанию — никаких требований.

    Эти политики определяют минимальные стандарты безопасности для сеансов связи для приложений на сервере для клиента.

    Исторически Windows NT поддерживала два варианта проверки подлинности с запросом и подтверждением при входе в сеть:
    • Запрос/ответ LM
    • Запрос/ответ NTLM версии 1
    LM обеспечивает возможность взаимодействия с установленной базой клиентов и серверов. NTLM обеспечивает повышенную безопасность соединений между клиентами и серверами.

    Ниже приведены соответствующие разделы реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

Во время синхронизации

Ошибка синхронизации времени. По более чем 30 минут на пораженном компьютере время отключено. Убедитесь, что часы на клиентском компьютере синхронизированы с часами контроллера домена.

Обход для подписывания SMB

Сведения о способах решения проблем, подписывание SMB
Рекомендуется установить Пакет обновления 6a (SP6a) для клиентов Windows NT 4.0, взаимодействующих с доменом под управлением Windows Server 2003. Клиенты под управлением Windows 98 Second Edition, клиентов под управлением Windows 98 и клиентах под управлением Windows 95 необходимо запустить клиент служб каталогов для использования NTLMv2. Если Windows NT 4.0 SP6 установлена или если клиенты под управлением Windows 95, клиентов под управлением Windows 98 и Windows 98SE клиентов сделать не клиент службы каталогов установлены клиенты под управлением Windows NT 4.0 не имеют, отключить подписывание SMB в политика контроллера домена по умолчанию в Подразделении контроллера домена, а затем привязать эту политику ко всем подразделениям с контроллерами доменов.

Каталог службы клиента для Windows 98 второго издания, Windows 98 и Windows 95 выполняет подписывание SMB с серверами Windows 2003 при проверке подлинности NTLM, но не при проверке подлинности NTLMv2. Кроме того серверы Windows 2000 не будет отвечать на запросы на подписывание SMB от этих клиентов.

Несмотря на то, что не рекомендуется, можно отключить подписывание SMB от проверки на всех контроллерах домена, работающих в домене Windows Server 2003. Чтобы настроить этот параметр безопасности, выполните следующие действия.
  1. Откройте политику контроллера домена по умолчанию.
  2. Откройте папку « Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные Политики\параметры безопасности ».
  3. Найдите и выделите сервер сети Microsoft: использовать цифровую подпись (всегда) параметр политики и нажмите кнопку отключен.
Важно Этот раздел, метод или задача содержит действия, о том, как внести изменения в реестр. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому точно выполняйте следующие действия. Для дополнительной защиты создайте резервную копию реестра перед внесением изменений. Затем при возникновении неполадок можно восстановить реестр. Для дополнительных сведений о способах создания резервной копии и восстановлении реестра щелкните следующий номер статьи базы знаний Майкрософт:
322756 Как провести резервное копирование и восстановление реестра Windows
Также можно отключите подписывание SMB на сервере путем изменения реестра. Чтобы сделать это, выполните следующие действия.
  1. Нажмите кнопку Пуск, нажмите кнопку Запуск, тип regedit, а затем нажмите кнопку ОК.
  2. Найдите и выделите следующий подраздел:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters
  3. Нажмите кнопку EnableSecuritySignature запись.
  4. На Изменить меню, нажмите кнопку Изменить.
  5. В Значение данных поле типа 0, а затем нажмите кнопку ОК.
  6. Закройте редактор реестра.
  7. Перезагрузите компьютер, или остановите и перезапустите службу сервера. Для этого введите следующие команды в командной строке и нажмите клавишу ВВОД после ввода каждой команды:
    net stop server
    NET start server
Примечание Соответствующий раздел на клиентском компьютере находится в следующем разделе реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters
В следующем списке перечислены номера переведенный ошибок кода коды состояния и точные сообщения об упомянутых ранее:
Ошибка 5
ERROR_ACCESS_DENIED
Отказано в доступе.
Ошибка 1326
ERROR_LOGON_FAILURE
Ошибка входа в систему: неизвестное имя пользователя или пароль не опознаны.
Ошибка 1788
ERROR_TRUSTED_DOMAIN_FAILURE
Не удалось доверительных отношений между основным доменом и доверенным доменом.
ошибка 1789
ERROR_TRUSTED_RELATIONSHIP_FAILURE
Не удалось выполнить доверительные отношения между этой рабочей станцией и основным доменом.
Для получения дополнительных сведений щелкните следующие номера статей базы знаний Майкрософт:
324802Настройка групповых политик безопасности для системных служб в Windows Server 2003
306771 После настройки кластера Windows Server 2003 появляется сообщение «Отказано в доступе»
101747 Как установить проверку подлинности Майкрософт на компьютерах Macintosh
161372 Включение подписывания SMB в Windows NT.
236414 Нельзя использовать общие ресурсы с параметра LMCompatibilityLevel значение проверки подлинности NTLM 2
241338 Первого входа клиента Windows NT LAN Manager версии 3 запрещает вход в систему
262890 Не удалось получить основной каталог подключения дисков в смешанной среде
308580 Домашняя папка сопоставления на серверы нижнего уровня могут не работать при входе в систему
285901 Удаленного доступа, VPN и RIS клиентам не удается установить сеанс с сервером, который настроен на прием только проверка подлинности NTLM версии 2
816585 Применение готовых шаблонов безопасности в Windows Server 2003
820281 Необходимо предоставить учетные данные Windows при подключении к Exchange Server 2003 с помощью Outlook 2003 RPC через HTTP
реестр пользователя правой безопасности параметр совместимого совместимости группы безопасности политики acl права gpedit pdce

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 823659 — последний просмотр: 07/16/2013 07:18:00 — редакция: 25.1

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows XP Professional, операционная система Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Workstation 4.0 Developer Edition, Microsoft Windows 98 Standard Edition, Операционная система Microsoft Windows 95

  • kbinfo kbmt KB823659 KbMtru
Отзывы и предложения