Обзор

Настройки параметров безопасности и назначенных прав пользователей могут быть изменены в локальных политиках и групповых политиках для повышения уровня безопасности на контроллерах домена и рядовых компьютерах. Однако недостатком повышения безопасности является введение несовместимости с клиентами, службами и программами.

В данной статье описывается совместимости, которые могут возникать на клиентских компьютерах под управлением Windows XP или более ранней версии Windows, при изменении параметров безопасности и назначенных прав пользователей в домене Windows Server 2003 или более ранних версий Windows Сервер домена.

Дополнительные сведения о групповой политике для Windows 7 Windows Server 2008 R2 и Windows Server 2008, см. следующие статьи:

  • Windows 7 см.

  • Для Windows 7 и Windows Server 2008 R2 увидеть

  • Windows Server 2008 в разделе

Примечание. Остальное содержимое в этой статье относится только к Windows XP, Windows Server 2003 и более ранних версий Windows.

Windows XP

Чтобы повысить осведомленность о неправильно настроенных параметров безопасности, инструмент Редактор объектов групповой политики для изменения параметров безопасности. При использовании редактора объектов групповой политики прав пользователей повышается в следующих операционных системах:

  • Профессиональный Пакет обновления 2 (SP2) для Windows XP

  • Пакет обновления 1 (SP1) для Windows Server 2003

Усовершенствованное средство это диалоговое окно, содержащее ссылку на эту статью. Диалоговое окно появляется при изменении параметра безопасности или назначение прав пользователя значение меньше совместимости и является более строгим. Если же безопасности параметр или назначенных прав пользователей непосредственно изменить с помощью реестра или с помощью шаблонов безопасности, эффект будет таким же, как изменение значения параметра в редакторе объектов групповой политики. Тем не менее не отображается диалоговое окно, содержащее ссылку на эту статью.

Эта статья содержит примеры клиентов, программ и операций, которые затронуты отдельных параметров безопасности и назначенных прав пользователей. Однако приведенные примеры не являются полномочными для всех операционных систем корпорации Майкрософт, для всех независимых операционных систем или для всех версий программы, которые затрагивает. В этой статье включены не все параметры безопасности и назначенных прав пользователей.

Корпорация Майкрософт рекомендует проверить совместимость всех изменений конфигурации безопасности в тестовом лесу перед изменением в производственной среде. Должны быть воспроизведены производственный лес следующими способами:

  • Клиентских и серверных версий операционной системы, клиентские и серверные программы, версиями пакета обновления, исправления, изменения схемы, группы безопасности, членство в группах, разрешения для объектов файловой системы, общие папки, реестр, каталога Active Directory Тип и расположение счетчика службы, локальных и параметры групповой политики и объектов

  • Административные задачи, которые выполняются, средства администрирования, которые используются и операционных систем, которые используются для выполнения задач администрирования

  • Выполняемые операции, как показано ниже:

    • Проверку подлинности компьютера и пользователя

    • Сброс паролей пользователями, компьютерами и администраторами

    • Просмотр

    • Установка разрешений для файловой системы, для общих папок, реестра и ресурсов Active Directory с помощью редактора списка управления Доступом во всех клиентских операционных системах во всех доменах учетных записей или ресурсов из всех клиентских операционных системах из всех учетных записей и ресурсов домены

    • Печать с помощью административной и неадминистративных учетных записей

Windows Server 2003 SP1

Предупреждения в Gpedit.msc

Для оповещения пользователей о том, что они редактируют право пользователя или параметр безопасности, которые могут отрицательно повлиять на их сети, в gpedit.msc были добавлены два механизма предупреждений. При редактировании права пользователей, которое может неблагоприятно повлиять на всю организацию, они увидят значок нового вида "Уступи дорогу". Они также получат предупреждающее сообщение, содержащее ссылку на статью 823659 базы знаний Майкрософт. Текст этого сообщения выглядит следующим образом:

Изменение этого параметра может повлиять на совместимость с клиентами, службами и приложениями. Дополнительные сведения см. в <право пользователя или параметр безопасности изменяется> (823659) Если вы были перенаправлены на на эту статью базы знаний по ссылке в Gpedit.msc, убедитесь, что вы прочли и поняли приведенные объяснения и возможные последствия изменения этого параметра. В следующем списке перечислены права пользователей, содержащие текст предупреждения:

  • Доступ к этому компьютеру из сети

  • Вход в систему

  • Обход перекрестной проверки

  • Включение компьютеров и пользователей для доверенного делегирования

В следующем списке перечислены параметры безопасности с предупреждением и всплывающее сообщение:

  • Член домена: Цифровая подпись или шифрование потока данных безопасного канала (всегда)

  • Член домена: Требуется ключ сеанса strong (Windows 2000 или более поздней версии)

  • Контроллер домена: Требования подписывания сервера LDAP

  • Сервер сети Microsoft: использовать цифровую подпись (всегда)

  • Сетевой доступ: Разрешает анонимный идентификатор Sid / преобразование имен

  • Сетевой доступ: Не разрешать перечисление SAM анонимными пользователями учетных записей и общих ресурсов

  • Сетевая безопасность: уровень проверки подлинности LAN Manager

  • Аудит: Немедленное отключение системы, если невозможно войти в журнал записи об аудите безопасности

  • Сетевого доступа: Требования подписывания для клиента LDAP

Дополнительные сведения

В следующих разделах описаны проблемы с совместимостью, возникающих при изменении определенных настроек в доменов Windows NT 4.0, Windows 2000 доменов и доменов Windows Server 2003.

Права пользователей

Следующий список описывает права пользователя, определяет параметры конфигурации, которые могут вызвать проблемы, описывает, почему следует применять прав пользователя и почему может потребоваться удалить права пользователя, а также примеры проблем совместимости, возникающих при пользователя настроить справа.

  1. Доступ к этому компьютеру из сети

    1. Фоновый (Background)

      Для взаимодействия с удаленными компьютерами под управлением Windows необходимо право Доступ к компьютеру из сети. Примеры таких сетевых операций:

      • Репликация Active Directory между контроллерами домена в обычном домене или лесу

      • Запросы на проверку подлинности на контроллеры домена от пользователей и компьютеров

      • Доступ к общим папкам, принтеры и другие системные службы, расположенные на удаленных компьютерах в сети



      Пользователи, компьютеры и учетные записи служб получить или потерять право доступ к компьютеру из сети , когда явно или неявно добавляется или удаляется из группы безопасности, которой было предоставлено такое право. Например учетной записи пользователя или учетной записи компьютера могут быть явно добавлены в группу безопасности или группу встроенной безопасности администратором, или могут быть неявно добавлены операционной системой группы вычисляемый безопасности пользователей домена, например проверку подлинности Пользователи, или контроллеры домена предприятия.

      По умолчанию учетные записи пользователей и учетные записи компьютеров предоставляется право, когда вычисляется пользователя доступ к компьютеру из сети группы, такие как все или (предпочтительно), прошедшие проверку и контроллеров домена, группу «контроллеры домена предприятия» , определенные в объекте групповой политики (GPO) контроллеров домена по умолчанию.

    2. Рискованные конфигурации

      Ниже перечислены параметры конфигурации опасные.

      • Удаление группы безопасности «контроллеры домена предприятия» из этого права пользователя

      • Удаление группы прошедших проверку пользователей или явно определенной группы, позволяющей подключаться к компьютерам в сети пользователям, компьютерам и учетным записям служб

      • Удаление всех пользователей и компьютеров из этого права пользователя

    3. Основания для предоставления этого права пользователя

      • Предоставить право доступ к компьютеру из сети в группу «контроллеры домена предприятия» удовлетворяет требованиям проверки подлинности, репликации службы каталогов Active Directory необходимо иметь для репликации между контроллерами домена в том же леса.

      • Это право пользователя позволяет пользователям и компьютерам получать доступ к общим файлам, принтерам и системным службам, включая службы каталогов Active Directory.

      • Это право необходимо пользователям для доступа к почте с помощью ранних версий из Microsoft Outlook Web Access (OWA).

    4. Основания для отмены права

      • Пользователи, которые могут подключить компьютеры к сети, могут получить доступ к ресурсам на удаленных компьютерах, к которым они имеют доступ. Например, это право требуется пользователю для подключения к общим принтерам и папкам. Если это право предоставляется пользователям группы "Все", и если некоторые общие папки общего ресурса и разрешения файловой системы NTFS настроены так, что эта же группа имеет доступ на чтение, то любой пользователь сможет просматривать файлы в этих общих папках. Тем не менее это маловероятная ситуация для новых установок Windows Server 2003, поскольку настройки по умолчанию общего ресурса и разрешения NTFS в Windows Server 2003 не включают группу «Все». Для систем с установленным Microsoft Windows NT 4.0 или Windows 2000 данной уязвимостью могут иметь более высокий уровень риска, так как по умолчанию общего ресурса и разрешения файловой системы для этих операционных систем не ограничения разрешений по умолчанию в Windows Server 2003.

      • Нет веских причин для удаления группы "Контроллеры корпоративного домена" из этого права пользователя.

      • Группа «Все» как правило удаляется вместо группы "Пользователи, прошедшие проверку". При удалении группы «Все», это право должно быть предоставлено группе "Пользователи, прошедшие проверку".

      • Домены Windows NT 4.0, которые обновляются до Windows 2000 не разрешали доступ к компьютеру из сети право группе «все», группе прошедших проверку пользователей или группы «контроллеры домена предприятия». Таким образом при удалении группы «все» из политики домена Windows NT 4.0, после обновления до Windows 2000 репликации Active Directory завершится ошибкой с сообщением об ошибке «Доступ запрещен». Winnt32.exe в Windows Server 2003 позволяет избежать такой ситуации предоставляет это право группе контроллеры домена предприятия при обновлении контроллеров домена Windows NT 4.0 (PDC). Предоставьте это право, если оно отсутствует в редакторе объектов групповой политики для группы «контроллеры домена предприятия».

    5. Примеры проблем с совместимостью

      • Windows 2000 и Windows Server 2003: Как сообщается средствами REPLMON, REPADMIN и события в журнале событий репликации следующие секции завершится неудачно с ошибки «Доступ запрещен».

        • Активный раздел каталога схемы

        • Раздел конфигурации

        • Раздел домена

        • Раздел глобального каталога

        • Раздел приложения

      • Майкрософт все сетевые операционные системы: Если пользователю или группе безопасности, членом которого является пользователь предоставлено это право пользователя не проверку подлинности учетной записи пользователя с удаленных сетевых компьютеров-клиентов.

      • Майкрософт все сетевые операционные системы: Если учетная запись или учетная запись является членом группы безопасности предоставлено это право пользователя не проверка подлинности учетной записи с удаленного клиента в сети. Этот сценарий применяется для учетных записей пользователей, учетных записей компьютеров и учетных записей служб.

      • Майкрософт все сетевые операционные системы: Удаление всех учетных записей из этого права не позволит любой учетной записи входа в домен или получить доступ к сетевым ресурсам. Если вычисленное группы, такие как контроллеры домена предприятия, удаляются все или проверку подлинности пользователей, следует явно предоставить это право пользователя, чтобы учетные записи или группы безопасности, членом которого является учетная запись для доступа к удаленным компьютерам по сети. Это распространяется на все учетные записи пользователей, всех учетных записей компьютеров и все учетные записи служб.

      • Майкрософт все сетевые операционные системы: Учетная запись локального администратора использует «пустым» паролем. Подключение к сети с пустыми паролями не допускается для учетных записей администраторов в среде домена. В такой конфигурации можно ожидать появляется сообщение об ошибке «Доступ запрещен».

  2. Локальный вход в систему

    1. Фоновый (Background)

      Пользователи, пытающиеся войти в систему с консоли компьютера под управлением Windows (с помощью сочетания клавиш CTRL + ALT + DELETE) и учетные записи, которые пытаются запустить службу необходимо иметь права локального входа в систему на данном компьютере. Примеры таких операций администраторов, вход в систему с консоли, рядовые компьютеры или контроллеры домена в пределах предприятия и домена пользователей входа на рядовой компьютер для доступа к их настольных компьютеров с помощью непривилегированный учетные записи. Пользователи, использующие подключение удаленному рабочему столу или службы терминалов должен иметь пользователя Локальный вход в систему на компьютере назначения под управлением Windows 2000 или Windows XP, поскольку эти входа в систему считается локальным на данном компьютере. Пользователи, которым осуществляется вход на сервер, служб терминалов и которые не имеют этого права пользователя может по-прежнему запустить удаленного интерактивного сеанса в доменах Windows Server 2003, если они имеют право Разрешать вход в систему через службы терминалов .

    2. Рискованные конфигурации

      Ниже перечислены параметры конфигурации опасные.

      • Удаление административных групп безопасности, включая операторы учета, операторы архива, операторы печати и операторы сервера и встроенной группы «Администраторы» из политики контроллера домена по умолчанию.

      • Удаление учетных записей службы, которые используются компонентами и программами на рядовых компьютерах и контроллерах домена, из политики контроллера домена по умолчанию.

      • Удаление пользователей или групп безопасности, которые входят на рядовые компьютеры домена с консоли.

      • Удаление учетных записей службы, которые определены в локальной базе данных диспетчера учетных записей безопасности (SAM) на рядовых компьютерах или компьютерах рабочей группы.

      • Удаление не построен-административных учетных записей, подлинность через службы терминалов, на котором выполняется на контроллере домена.

      • Добавление всех учетных записей пользователей в домене, явно или неявно через все группы, чтобы Отклонить локальный вход вход справа. Эта конфигурация будет исключает ведения журнала на компьютере любого члена или к любому контроллеру домена в домене.

    3. Основания для предоставления этого права пользователя

      • Пользователи должны иметь право пользователя Локальный вход в систему для доступа к консоли или на рабочем столе компьютера рабочей группы, рядовом компьютере или контроллере домена.

      • Пользователи должны иметь права пользователя войти в систему через сеанс служб терминалов, на котором выполняется на компьютере под управлением Windows 2000 или контроллера домена.

    4. Основания для отмены права

      • Чтобы ограничить доступ к консоли законным пользователям может появиться непроверенным пользователям загрузить и выполнить вредоносные программы, чтобы изменить свои права.

      • Удаление право пользователя Локальный вход в систему позволяет предотвратить несанкционированный вход с консоли на определенные компьютеры, такие как контроллеры домена и серверы приложений.

      • Удаление этого права запрещает вход в систему с консоли рядовые компьютеры в домене учетные записи домена.

    5. Примеры проблем с совместимостью

      • Серверы терминалов Windows 2000: Право пользователя Локальный вход в систему необходимо пользователям для входа на серверы терминалов Windows 2000.

      • Windows NT 4.0, Windows 2000, Windows XP или Windows Server 2003: Учетные записи должно быть предоставлено это право на вход в консоль компьютеров под управлением Windows NT 4.0, Windows 2000, Windows XP или Windows Server 2003.

      • Windows NT версии 4.0 и более поздних версий: На компьютерах, работающих под управлением Windows NT 4.0 и более поздних версий при их добавлении в Локальный вход в систему , но явно или неявно также имеет право Отклонить локальный вход вход в систему, учетные записи не смогут войти в домен с консоли контроллеры.

  3. Обход перекрестной проверки

    1. Фоновый (Background)

      Право Обход перекрестной проверки позволяет пользователю просматривать папки файловой системы NTFS или реестра без проверки наличия разрешения специального доступа Обзор папок . Право Обход перекрестной проверки не позволяет пользователю выводить список содержимого папки. Она позволяет пользователю просматривать только ее папок.

    2. Рискованные конфигурации

      Ниже перечислены параметры конфигурации опасные.

      • Удаление без административных учетных записей для входа на службы терминалов под управлением Windows 2000 компьютеров или служб терминалов под управлением Windows Server 2003, не имеющие разрешения на доступ к файлам и папкам в файловой системе.

      • Удаление группы «все» из списка участников безопасности, имеющих этого пользователя по умолчанию. Операционные системы Windows, а также многие программы разработаны в предположении, что каждый, кто законно получил доступ к компьютеру будет иметь право Обход перекрестной проверки . Таким образом удалить все группы из списка участников безопасности, имеющих это право по умолчанию может привести к нестабильной работе операционной системы или сбой программы. Рекомендуется оставить этот параметр по умолчанию.

    3. Основания для предоставления этого права пользователя

      Разрешить всем пользователям обход перекрестной проверки имеет право Обход перекрестной проверки по умолчанию. Это ожидаемое поведение для опытных системных администраторов Windows, и соответствующим образом настроить файл системы управления доступом (SACL). Единственный сценарий, где умолчанию конфигурации может иметь негативные, если администратор, который назначает разрешения не понимает поведение и ожидает, что невозможно получить доступ к родительской папке пользователи не будет возможность получить доступ к содержимому любого дочернего элемента папки.

    4. Основания для отмены права

      Чтобы повторить для предотвращения доступа к файлам и папкам в файловой системе, удаление группы «все» или группу пользователей из списка групп, имеющих Обход перекрестной проверки , даже оправданно организаций, которые очень беспокоятся о безопасности право пользователя.

    5. Примеры проблем с совместимостью

      • Windows 2000, Windows Server 2003: Если удаляется право Обход перекрестной проверки , или неправильно настроено на компьютерах под управлением Windows 2000 или Windows Server 2003, репликация параметров групповой политики в папке SYSVOL между контроллерами домена в домене не будет.

      • Windows 2000, Windows XP Professional, Windows Server 2003: Компьютеры под управлением Windows 2000, Windows XP Professional или Windows Server 2003 регистрируются события с кодом 1000 и 1202 и не смогут применить политики компьютера и политики пользователя, при необходимых разрешений файловой системы удаляются из дерева SYSVOL, если обход перекрестной проверки прав пользователя будет удален или настроен неправильно.

        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:

        событие с кодом 1000, 1001 регистрируется каждые пять минут в журнале событий приложений
         

      • Windows 2000, Windows Server 2003: На компьютерах под управлением Windows 2000 или Windows Server 2003 вкладка Квота в проводнике Windows не будут появляться при просмотре свойств тома.

      • Windows 2000: Не администраторов, войдите на сервер терминалов Windows 2000 может появиться следующее сообщение об ошибке:

        Ошибка приложения USERINIT.exe. Не удалось инициализировать 0xc0000142 приложения нажмите кнопку ОК для завершения работы приложения.

      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Пользователи компьютеров под управлением Windows NT 4.0, Windows 2000, Windows XP или Windows Server 2003 не удается получить доступ к общим папкам или файлам в общих папках, и появляется сообщение об ошибке «Отказано в доступе» не предоставляются Обход перекрестной Проверка право.


        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:

        «Доступ запрещен» сообщение об ошибке при попытке доступа к общим папкам
         

      • Windows NT 4.0: На компьютерах под управлением Windows NT 4.0 удаления право Обход перекрестной проверки приведет к обрыву файлового потока для операции копирования. При удалении этого права копирования файла с клиента Windows или на компьютере Macintosh на контроллер домена Windows NT 4.0, где запущены службы для Macintosh, файловый поток назначения снимается, и он отобразится как текстовый файл.

      • Microsoft Windows 95, Microsoft Windows 98: На клиентском компьютере под управлением Windows 95 или Windows 98 net use * / home команды завершится ошибкой с сообщением об ошибке «Доступ запрещен», если группы прошедших проверку пользователей не предоставляется право Обход перекрестной проверки .

      • Outlook Web Access: Не администраторы не смогут войти в Microsoft Outlook Web Access, и они получат сообщение об ошибке «Доступ запрещен», если они не будут предоставлены права Обход перекрестной проверки .

Параметры безопасности

В следующем списке перечислены параметры безопасности и вложенный список содержит описание настройки безопасности, определяет параметры конфигурации, которые могут вызвать проблемы, описывает, почему следует применять параметр безопасности, а затем описывает причины, почему можно удалить параметр безопасности. Вложенный список затем предоставляет символическое имя параметра безопасности и путь в реестре параметра безопасности. И, наконец примеры приводятся проблем совместимости, возникающих при настройке параметров безопасности.

  1. Аудит: Немедленное отключение системы, если невозможно войти в журнал записи об аудите безопасности

    1. Фоновый (Background)

      • Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности параметр определяет, будет ли система завершать работу, если не удается зарегистрировать события безопасности. Этот параметр является обязательным для оценки C2 программы доверенного компьютера безопасности оценки условий (TCSEC) и общих критериев для оценки безопасности сведения о технологии для предотвращения подлежащие аудиту события, если не войти в эти события аудита системы. Если происходит сбой системы аудита, завершение работы системы, и появляется сообщение о неустранимой ошибке.

      • Если компьютер не удается записать события в журнал безопасности, критических свидетельства или важные сведения об устранении неполадок может оказаться доступны для просмотра после проблемы с безопасностью.

    2. Рискованная конфигурация

      Ниже приведен параметр конфигурации опасные: Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности включен, а размер журнала безопасности ограничен Не затирать события (чистка журнала вручную) параметр, параметр Затирать старые события по необходимости или параметр Затирать события старее число дней в окне просмотра событий. Дополнительные сведения о проблемах, возникающих на компьютерах под управлением исходной версии Windows 2000, Пакет обновления 1 (SP1) для Windows 2000, Windows 2000 с пакетом обновления 2 или Windows 2000 с пакетом обновления 3 в разделе «Примеры проблем совместимости».

    3. Основания для включения этого параметра

      Если компьютер не удается записать события в журнал безопасности, критических свидетельства или важные сведения об устранении неполадок может оказаться доступны для просмотра после проблемы с безопасностью.

    4. Основания для отключения этого параметра

      • Включение Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности параметр останавливает работу системы, если для какой-либо причине не может быть зарегистрировано событие безопасности. Как правило события не могут входить при полной и при его выбран метод сохранения Не затирать события (чистка журнала вручную) или Затирать события старее число дней журнал аудита безопасности.

      • Включение административную нагрузку Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности параметр может быть очень высокой, особенно если необходимо также включить параметр Не затирать события (чистка журнала вручную) для журнала безопасности. Этот параметр позволяет повысить ответственность операторов за выполняемые действия. Например администратор может сбросить разрешения для всех пользователей, компьютеров и групп в организационное подразделение (OU), где был включен режим аудита с помощью встроенной учетной записи администратора или общей учетной записи, а затем отрицать это такие разрешения. Тем не менее Включение параметра приводит к снижению устойчивости системы, поскольку сервер может принудительно завершить работу, забрасывая его с событий входа в систему и другие события безопасности, которые записываются в журнал безопасности. Кроме того так как завершение работы выполняется некорректно, может привести к непоправимый ущерб для операционной системы, программ или данных. В то время как NTFS гарантирует, что файловая система целостность некорректного завершения работы компьютера, нельзя гарантировать что каждый файл данных для каждой программы по-прежнему будет в практичной форме при перезагрузке системы.

    5. Символическое имя:

      CrashOnAuditFail

    6. Путь в реестре:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

    7. Примеры проблем с совместимостью

      • Windows 2000: Из-за ошибки, запущенных в исходной версии Windows 2000, Windows 2000 с пакетом обновления 1, Windows 2000 с пакетом обновления 2 или Windows Server с пакетом обновления 3 может прекратиться до размера, указанного в параметре Максимальный размер журнала безопасности для ведения журнала событий журнал событий будет достигнут. Эта ошибка исправлена в Windows 2000 Пакет обновления 4 (SP4). Убедитесь, что контроллеры домена Windows 2000 Windows 2000 Пакет обновления 4 установлен перед включением этого параметра.

        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:

        журнала событий прекращает регистрировать события при достижении максимального размера журнала
         

      • Windows 2000, Windows Server 2003: Компьютеры под управлением Windows 2000 или Windows Server 2003 может перестать отвечать на запросы, а затем самопроизвольно перезагрузиться, если Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности включен, журнал безопасности является полной и существующий записи в журнале событий не может быть перезаписан. После перезагрузки компьютера появляется следующее сообщение об ошибке:

        STOP: C0000244 {Неудачная попытка аудита}
        Не удалось создать аудита безопасности.

        Для восстановления, администратор должен войти в систему, архивировать журнал безопасности (необязательно), очищать журнал безопасности и затем сброс данного параметра (необязательный и в случае необходимости).

      • Клиент сети Microsoft для MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Не администраторам при входе в домен будет получено следующее сообщение об ошибке:

        Ваша учетная запись настроена для предотвращения использования компьютера. Используйте другой компьютер.

      • Windows 2000: На компьютерах под управлением Windows 2000 не являющиеся администраторами, не смогут войти на серверы удаленного доступа и появляется сообщение об ошибке, подобное приведенному ниже:

        Неизвестное имя пользователя или неправильный пароль

        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:

        сообщение об ошибке: Ваша учетная запись настроена для предотвращения использования компьютера
         

      • Windows 2000: На контроллерах домена Windows 2000 служба межсайтовых сообщений (Ismserv.exe) останавливается и не перезапускается. DCDIAG выдаст сообщение об ошибке, как «ошибка проверки служб ISMserv», а в журнале событий регистрируется событие с кодом 1083.

      • Windows 2000: На контроллерах домена Windows 2000 произойдет сбой репликации Active Directory и появляется сообщение «Доступ запрещен», если журнал безопасности заполнен.

      • Microsoft Exchange 2000: Серверы под управлением Exchange 2000 не удается подключить базу данных, а в журнале событий регистрируется событие с кодом 2102.

      • Outlook, Outlook, веб-доступа: Не администратор не удается получить доступ к своей почты через Microsoft Outlook или Microsoft Outlook Web Access и появляется сообщение об ошибке 503.

  2. Контроллер домена: требования подписывания для LDAP сервера

    1. Фоновый (Background)

      Контроллер домена: требования подписывания для LDAP-сервера параметр безопасности определяет, требует ли сервер Lightweight Directory Access Protocol (LDAP) клиентов LDAP проводить согласование подписывания данных. Ниже приведены возможные значения этого параметра:

      • Нет: Для связи с сервером подписывание данных не требуется. Если клиент запрашивает подписывание данных, сервер ее поддерживает.

      • Требуется цифровая подпись: Возможность подписывания данных LDAP должен согласовываться Если используется транспорт безопасности/Secure Socket слоя (TLS/SSL).

      • не определен: Этот параметр не включен или отключен.

    2. Рискованные конфигурации

      Ниже перечислены параметры конфигурации опасные.

      • Включение требуется цифровая подпись в средах, где клиенты не поддерживают подписывания LDAP или где подписывания для LDAP клиента не включена на клиентском компьютере

      • Применение Windows 2000 или Windows Server 2003 Hisecdc.inf шаблон безопасности в средах, где клиенты не поддерживают подписывания LDAP или подписывание LDAP-на стороне клиента не включено

      • Применение Windows 2000 или Windows Server 2003 Hisecws.inf шаблон безопасности в средах, где клиенты не поддерживают подписывания LDAP или подписывание LDAP-на стороне клиента не включено

    3. Основания для включения этого параметра

      Неподписанный сетевой трафик делает возможной атаки в середине, когда злоумышленник перехватывает пакеты между клиентом и сервером, изменяет пакеты и пересылает их на сервер. В этом случае на LDAP-сервере, злоумышленник может вызвать сервер для принятия решений, основанных на значение false, запросы от клиента LDAP. Чтобы снизить этот риск в корпоративной сети путем реализации строгие физические меры безопасности для защиты сетевой инфраструктуры. Режима заголовков проверки подлинности протокола IP-безопасность (IPSec) может помочь в предотвращении атак в середине. Режима заголовков проверки подлинности выполняется взаимная проверка подлинности и целостности пакетов IP-трафика.

    4. Основания для отключения этого параметра

      • Клиенты, которые не поддерживают подписывания LDAP не будет выполнять запросы LDAP контроллерам домена и глобальному каталогу, если согласование проверки подлинности NTLM, а на контроллерах домена Windows 2000 не установлены соответствующие пакеты обновления.

      • Трассировка с помощью сетевого трафика по протоколу LDAP между клиентами и серверами шифруется. Это затрудняет для изучения сложностей.

      • Серверы на базе Windows 2000 требуется Пакет обновления 3 (SP3) для Windows 2000 или установлен, когда они управляются с помощью программы, которая поддерживает подписывание LDAP, с клиентского компьютера под управлением Windows 2000 SP4, Windows XP или Windows Server 2003. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:

        На контроллерах доменов Windows 2000 требуется Пакет обновления 3 или более поздней версии, для использования средств администрирования Windows Server 2003
         

    5. Символическое имя:

      LDAPServerIntegrity

    6. Путь в реестре:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

    7. Примеры проблем с совместимостью

      • Простые привязки завершаются сбоем, и появляется следующее сообщение об ошибке:

        Ldap_simple_bind_s() Ошибка: требуется строгая проверка подлинности.

      • Windows 2000 Пакет обновления 4, Windows XP, Windows Server 2003: На компьютере под управлением Windows 2000 SP4, Windows XP или Windows Server 2003, некоторые средства администрирования Active Directory функционируют неправильно с контроллеров домена под управлением Windows 2000, более ранних, чем SP3 при NTLM согласование проверки подлинности.

        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:

        На контроллерах доменов Windows 2000 требуется Пакет обновления 3 или более поздней версии, для использования средств администрирования Windows Server 2003
         

      • Windows 2000 Пакет обновления 4, Windows XP, Windows Server 2003: На компьютере под управлением Windows 2000 SP4, Windows XP или Windows Server 2003 некоторые средства администрирования Active Directory, предназначенных для контроллеров домена под управлением Windows 2000, более ранних, чем SP3 будет работать неправильно, если они являются с помощью IP-адреса (например, «dsa.msc/Server =x.x.x.x"где
        x.x.x.x представляет IP-адрес).


        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:

        На контроллерах доменов Windows 2000 требуется Пакет обновления 3 или более поздней версии, для использования средств администрирования Windows Server 2003
         

      • Windows 2000 Пакет обновления 4, Windows XP, Windows Server 2003: На компьютере под управлением Windows 2000 SP4, Windows XP или Windows Server 2003 некоторые средства администрирования Active Directory, ориентированных на контроллерах домена под управлением Windows 2000, или выше, не будут правильно работать с пакетом обновления 3.

        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:

        На контроллерах доменов Windows 2000 требуется Пакет обновления 3 или более поздней версии, для использования средств администрирования Windows Server 2003
         

  3. Член домена: требует стойкого ключа сеанса (Windows 2000 или более поздней версии)

    1. Фоновый (Background)

      • Член домена: требует стойкого ключа сеанса (Windows 2000 или более поздней версии) параметр определяет, может ли установления безопасного канала с контроллером домена, который не способен шифровать трафик по безопасному каналу с помощью ключа сеанса надежной, 128-разрядное. Этот параметр служит для запрещения установки безопасного канала с контроллером домена, который не способен шифровать данные безопасного канала с использованием стойкого ключа. Отключение этого параметра позволяет 64-разрядных ключей.

      • Перед включением этого параметра член рабочей станции или сервере, все контроллеры домена в домене, к которому принадлежит член должен иметь возможность шифровать данные безопасного канала с надежной, 128-разрядного ключа. Это означает, что все контроллеры домена должны работать под управлением Windows 2000 или более поздней версии.

    2. Рискованная конфигурация

      Включение член домена: требует стойкого ключа сеанса (Windows 2000 или более поздней версии) параметр является параметром опасные конфигурации.

    3. Основания для включения этого параметра

      • Ключи сеанса, которые используются для установления безопасных каналов связи между рядовыми компьютерами и контроллерами домена в Windows 2000 намного надежнее, чем в более ранних версиях операционных систем корпорации Майкрософт.

      • Если это возможно, рекомендуется использовать более надежные ключи сеансов для защиты трафика безопасного канала из прослушивание и сеансом сетевых атак. Прослушивание представляет собой форму вредоносной атаки, где сетевых данных считывается или изменены в процессе передачи. Чтобы скрыть или изменить отправителя или направления данных можно изменить.

      Важно. Компьютер под управлением Windows Server 2008 R2 или Windows 7 поддерживает только надежные ключи при использовании безопасных каналов. Это ограничение предотвращает доверия между любого домена под управлением Windows NT 4.0 и любого домена под управлением Windows Server 2008 R2. Кроме того, это ограничение блокирует членство в домене под управлением Windows NT 4.0 для компьютеров под управлением Windows 7 или Windows Server 2008 R2, и наоборот.

    4. Основания для отключения этого параметра

      Домен содержит рядовые компьютеры под управлением операционных систем Windows 2000, Windows XP или Windows Server 2003.

    5. Символическое имя:

      StrongKey

    6. Путь в реестре:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

    7. Примеры проблем с совместимостью

      Windows NT 4.0: На компьютерах под управлением Windows NT 4.0 безопасных каналов доверительные отношения между доменами Windows 2000 с NLTEST и Windows NT 4.0 не выполняется. Появляется сообщение об ошибке «Доступ запрещен»:

      Не удалось доверительных отношений между основным доменом и доверенным доменом.

      Server 2008 R2 и Windows 7: Windows 7 и более поздних версий Windows Server 2008 R2 и более поздних версиях этот параметр больше не удовлетворяется и стойкого ключа используется всегда. Поэтому доверительные отношения между доменами Windows NT 4.0, не работают больше.

  4. Член домена: цифровая подпись или шифрование потока данных безопасного канала (всегда)

    1. Фоновый (Background)

      • Включение член домена: цифровая подпись или шифрование потока данных безопасного канала (всегда) служит для запрещения установки безопасного канала с контроллером домена, который не удается подписать или зашифровать все данные безопасного канала. Для защиты трафика проверки подлинности от атак в середине, атак и других видов сетевых атак, создать канал связи, который называется безопасный канал службой сетевого входа в систему для компьютеров под управлением Windows Проверка подлинности учетных записей компьютеров. Кроме того, безопасные каналы используются при подключении к сетевому ресурсу в удаленный домен пользователя в одном домене. Несколькими доменами проверки подлинности или сквозная проверка подлинностипозволяет компьютеру под управлением Windows, который присоединен к домену, для доступа к базе данных учетных записей пользователей домена и всех доверенных доменах.

      • Чтобы включить член домена: цифровая подпись или шифрование потока данных безопасного канала (всегда) установки на рядовом компьютере, все контроллеры домена в домене, к которому принадлежит член должен иметь возможность подписывания или шифрования всех данных безопасного канала. Это означает, что все такие контроллеры доменов должны быть предоставлены Windows NT 4.0 Пакет обновления 6a (SP6a) или более поздней версии.

      • Включение член домена: цифровая подпись или шифрование потока данных безопасного канала (всегда) автоматически включает член домена: цифровая подпись или шифрование потока данных безопасного канала (если возможно) параметр.

    2. Рискованная конфигурация

      Включение член домена: цифровая подпись или шифрование потока данных безопасного канала (всегда) в домене, где не все контроллеры домена могут подписи или шифрование данных безопасного канала является параметром опасные конфигурации.

    3. Основания для включения этого параметра

      Неподписанный сетевой трафик делает возможной атаки в середине, когда злоумышленник перехватывает пакеты между клиентом и сервером и изменяет их, прежде чем передать их клиенту. В этом случае на сервере Lightweight Directory Access Protocol (LDAP), злоумышленник может заставить клиента для принятия решений на основании фальшивых записей из каталога LDAP. Можно снизить риск проведения такой атаки, в корпоративной сети путем реализации строгие физические меры безопасности для защиты сетевой инфраструктуры. Кроме того реализация безопасности протокола IP (IPSec) режима заголовков проверки подлинности может помочь предотвратить атаки в середине. В этом режиме выполняется обоюдная проверка подлинности и целостности пакетов IP-трафика.

    4. Основания для отключения этого параметра

      • Компьютеры в локальной или внешних доменов поддержки зашифрованных безопасных каналов.

      • Не все контроллеры домена в домене установлены пакет обновления для поддержки зашифрованных безопасных каналов.

    5. Символическое имя:

      StrongKey

    6. Путь в реестре:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

    7. Примеры проблем с совместимостью

      • Windows NT 4.0: Рядовые компьютеры под управлением Windows 2000 не смогут входить в домены Windows NT 4.0 и появляется следующее сообщение об ошибке:

        Учетная запись не имеет прав для входа в систему с данной рабочей станции.

        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:

        Сообщение об ошибке : учетная запись не имеет прав для входа в систему с данной рабочей станции
         

      • Windows NT 4.0: Доменов Windows NT 4.0 не удается установить доверительные отношения нижнего уровня с доменом Windows 2000 и появляется следующее сообщение об ошибке:

        Учетная запись не имеет прав для входа в систему с данной рабочей станции.

        Существующих доверительных отношений нижнего уровня может также не выполнена проверка подлинности пользователей из доверенных доменов. Некоторые пользователи могут возникнуть проблемы при входе в домен, и появляется сообщение об ошибке, предупреждающее, что клиент не может найти домен.

      • Windows XP: Клиенты Windows XP, которые входят в состав домена Windows NT 4.0, не смогут пройти проверку подлинности при входе в систему и может появиться следующее сообщение об ошибке, или в журнале событий могут регистрироваться следующие события:

        Windows не может подключиться к домену, поскольку контроллер домена не работает или недоступна по другим причинам или учетная запись этого компьютера не найдена.

      • Сети Microsoft: Клиенты сети Microsoft будет получено одно из следующих сообщений об ошибке:

        Ошибка входа в систему: неизвестное имя пользователя или пароль не опознаны.

        Отсутствует ключ сеанса пользователя для сеанса входа в систему.

  5. Клиент сети Microsoft: использовать цифровую подпись (всегда)

    1. Фоновый (Background)

      Блок сообщений сервера (SMB) — это протокол совместного использования ресурсов, поддерживается многими операционными системами Microsoft. Она является основой базовой сетевой системы ввода вывода (NetBIOS) и многих других протоколов. Подписывание SMB проверяет подлинность пользователя и сервера, на котором размещены данные. Если обе стороны не процесс проверки подлинности, передача данных не происходит.

      Включение подписывания SMB начинается во время согласования протокола SMB. Политики подписывания SMB определяют ли компьютер всегда имеют цифровую подпись связи с клиентами.

      Протокол проверки подлинности Windows 2000 SMB поддерживает взаимную проверку подлинности. Взаимная проверка подлинности закрывает атаки «man третьего». Протокол проверки подлинности Windows 2000 SMB также поддерживает проверку подлинности сообщений. Предотвращающую активные атаки через сообщения. Для предоставления проверки подлинности, подписывания SMB помещается цифровая подпись в каждый пакет SMB. Клиент и сервер проверки цифровой подписи.

      Чтобы использовать подписывание SMB, необходимо разрешить использование подписи SMB или потребовать подписывание SMB-клиент и сервер SMB SMB. Если подписывание SMB включено на сервере, клиенты, которые также включили подписывание SMB, используют протокол подписывания пакетов во всех последующих сеансов. Если подписывание SMB требуется на сервере, клиент не сможет установить сеанс, если клиенту разрешено или является обязательным для подписывания SMB.


      Использование цифровых подписей в сетях с высоким уровнем безопасности помогает предотвратить олицетворение клиентов и серверов. Этот тип олицетворения называется захват сеанса. Злоумышленник, обладающий доступом к сети, в которой клиент или сервер использует специальной программы, чтобы прервать, завершить или завладеть текущим сеансом в данный момент. Злоумышленник может перехватить и изменить неподписанные пакеты SMB, изменения трафика и затем отправить их серверу для выполнения необходимых ему действий. Или злоумышленник выдав легально пройти проверку подлинности как сервер или клиент и получить несанкционированный доступ к данным.

      Протокол SMB, который используется для доступа к файлам и принтерам на компьютере под управлением Windows 2000 Server, Windows 2000 Professional, Windows XP Professional или Windows Server 2003 поддерживает взаимную проверку подлинности. Взаимная проверка подлинности закрывает чужого сеанса и включает проверку подлинности сообщений. Таким образом он предотвращает атаки в середине. Подписывание SMB осуществления такой проверки подлинности в каждый блок SMB помещается цифровая подпись. Клиент и сервер проверить подпись.

      Примечания

      • В качестве альтернативного способа можно включить цифровые подписи безопасности IPSec для защиты всего трафика в сети. Существуют аппаратные ускорители шифрования IPSec и подписывания, можно использовать, чтобы минимизировать нагрузку на центральный Процессор сервера. Нет никаких подобных ускорителей для подписывания SMB.

        Для получения дополнительных сведений обратитесь к главе на веб-узле Microsoft MSDN.

        Настройте подписывание SMB через редактор объектов групповой политики, поскольку изменение локального параметра реестра не оказывает влияния в случае перекрывающая политика домена.

      • В Windows 95, Windows 98 и Windows 98 Second Edition клиент службы каталогов использует подписывание SMB при проверке подлинности с серверами Windows Server 2003 с помощью проверки подлинности NTLM. Тем не менее эти клиенты не используют подписывание SMB при аутентификации на этих серверах посредством проверки подлинности NTLMv2. Кроме того серверы Windows 2000 не отвечают на запросы от этих клиентов на подписывание SMB. Дополнительные сведения см.: «сетевая безопасность: уровень проверки подлинности Lan Manager.»

    2. Рискованная конфигурация

      Ниже приведен параметр конфигурации опасные: оставляя оба Клиент сети Microsoft: использовать цифровую подпись (всегда) параметр и Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера) установлено значение " Не определен» "или" отключено ". Это позволяет перенаправителю отправлять пароли в формате обычного текста серверам SMB сторонних разработчиков, не поддерживающим шифрование паролей во время проверки подлинности.

    3. Основания для включения этого параметра

      Включение Клиент сети Microsoft: использовать цифровую подпись (всегда) клиенты обязаны подписывать трафик по протоколу SMB при подключении к серверам, которые не требуют подписывания SMB. Это делает клиенты менее уязвимыми для чужого сеанса.

    4. Основания для отключения этого параметра

      • Включение Клиент сети Microsoft: использовать цифровую подпись (всегда) не позволяет клиентам устанавливать связь с серверами, которые не поддерживают подписывание SMB.

      • Игнорирование всех неподписанного трафика по протоколу SMB предотвращает более ранних операционных систем и программ подключение.

    5. Символическое имя:

      RequireSMBSignRdr

    6. Путь в реестре:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

    7. Примеры проблем с совместимостью

      • Windows NT 4.0: Не будет иметь возможность сброса безопасного канала для доверия между доменами Windows Server 2003 и Windows NT 4.0 с помощью команд NLTEST или NETDOM, и появляется сообщение об ошибке «Доступ запрещен».

      • Windows XP: Копирование файлов из Windows XP клиентов на серверы под управлением Windows 2000 и серверы под управлением Windows Server 2003 может занять больше времени.

      • Подключить сетевой диск с клиента эта политика включена, будет невозможно, и вы получите следующее сообщение об ошибке:

        Учетная запись не имеет прав для входа в систему с данной рабочей станции.

    8. Необходимость перезагрузки

      Перезагрузите компьютер или перезапустите службу рабочей станции. Для этого введите следующие команды в командной строке. Нажмите клавишу ВВОД после ввода каждой команды.

      net stop рабочей станции
      net start рабочей станции

  6. Сервер сети Microsoft: использовать цифровую подпись (всегда)

    1. Фоновый (Background)

      • Блок сообщений сервера (SMB) — это протокол совместного использования ресурсов, поддерживается многими операционными системами Microsoft. Она является основой базовой сетевой системы ввода вывода (NetBIOS) и многих других протоколов. Подписывание SMB проверяет подлинность пользователя и сервера, на котором размещены данные. Если обе стороны не процесс проверки подлинности, передача данных не происходит.

        Включение подписывания SMB начинается во время согласования протокола SMB. Политики подписывания SMB определяют ли компьютер всегда имеют цифровую подпись связи с клиентами.

        Протокол проверки подлинности Windows 2000 SMB поддерживает взаимную проверку подлинности. Взаимная проверка подлинности закрывает атаки «man третьего». Протокол проверки подлинности Windows 2000 SMB также поддерживает проверку подлинности сообщений. Предотвращающую активные атаки через сообщения. Для предоставления проверки подлинности, подписывания SMB помещается цифровая подпись в каждый пакет SMB. Клиент и сервер проверки цифровой подписи.

        Чтобы использовать подписывание SMB, необходимо разрешить использование подписи SMB или потребовать подписывание SMB-клиент и сервер SMB SMB. Если подписывание SMB включено на сервере, клиенты, которые также включили подписывание SMB, используют протокол подписывания пакетов во всех последующих сеансов. Если подписывание SMB требуется на сервере, клиент не сможет установить сеанс, если клиенту разрешено или является обязательным для подписывания SMB.


        Использование цифровых подписей в сетях с высоким уровнем безопасности помогает предотвратить олицетворение клиентов и серверов. Этот тип олицетворения называется захват сеанса. Злоумышленник, обладающий доступом к сети, в которой клиент или сервер использует специальной программы, чтобы прервать, завершить или завладеть текущим сеансом в данный момент. Злоумышленник может перехватить неподписанные пакеты диспетчеру пропускной способностью подсети (SBM) изменить, изменения трафика и переслать его таким образом, сервер может выполнять нежелательные действия. Или злоумышленник выдав легально пройти проверку подлинности как сервер или клиент и получить несанкционированный доступ к данным.

        Протокол SMB, который используется для доступа к файлам и принтерам на компьютере под управлением Windows 2000 Server, Windows 2000 Professional, Windows XP Professional или Windows Server 2003 поддерживает взаимную проверку подлинности. Взаимная проверка подлинности закрывает чужого сеанса и включает проверку подлинности сообщений. Таким образом он предотвращает атаки в середине. Подписывание SMB осуществления такой проверки подлинности в каждый блок SMB помещается цифровая подпись. Клиент и сервер проверить подпись.

      • В качестве альтернативного способа можно включить цифровые подписи безопасности IPSec для защиты всего трафика в сети. Существуют аппаратные ускорители шифрования IPSec и подписывания, можно использовать, чтобы минимизировать нагрузку на центральный Процессор сервера. Нет никаких подобных ускорителей для подписывания SMB.

      • В Windows 95, Windows 98 и Windows 98 Second Edition клиент службы каталогов использует подписывание SMB при проверке подлинности с серверами Windows Server 2003 с помощью проверки подлинности NTLM. Тем не менее эти клиенты не используют подписывание SMB при аутентификации на этих серверах посредством проверки подлинности NTLMv2. Кроме того серверы Windows 2000 не отвечают на запросы от этих клиентов на подписывание SMB. Дополнительные сведения см.: «сетевая безопасность: уровень проверки подлинности Lan Manager.»

    2. Рискованная конфигурация

      Ниже приведен параметр конфигурации опасные: Включение сервер сети Microsoft: использовать цифровую подпись (всегда) установки на серверах и контроллерах домена, к которым подключены несовместимые компьютеры под управлением Windows и независимых производителей операционную систему на клиентских компьютерах в локальной или внешних доменов.

    3. Основания для включения этого параметра

      • Все клиентские компьютеры, на которых включен непосредственно в реестре или через групповую политику поддерживают подписывание SMB. Другими словами все клиентские компьютеры, на которых данная функция включена управлением либо Windows 95 с клиентом службы Каталогов установки Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional или Windows Server 2003.

      • Если сервер сети Microsoft: использовать цифровую подпись (всегда) будет отключена, SMB полностью отключено. Отключение всех SMB полностью подписи уязвимым компьютеров более чужого сеанса.

    4. Основания для отключения этого параметра

      • Включение этого параметра может привести к снижению производительности сети и копировать файл на клиентских компьютерах.

      • Включение данного параметра позволит клиентам, которые не могут согласовать подписи SMB между связь с серверами и контроллерами домена. В результате операции соединения домена, проверка подлинности пользователя и компьютера или сетевого доступа программ к сбою.

    5. Символическое имя:

      RequireSMBSignServer

    6. Путь в реестре:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

    7. Примеры проблем с совместимостью

      • Windows 95: Клиенты Windows 95, на которых не установлен клиент службы каталогов (DS) произойдет сбой проверки подлинности и появляется следующее сообщение об ошибке:

        Неверный пароль домена или доступе к серверу регистрации.

        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:

        сообщение об ошибке при входе в систему клиента Windows 95 или Windows NT 4.0 в домене Windows Server 2003
         

      • Windows NT 4.0: Клиентские компьютеры под управлением Windows NT 4.0, более ранних, Пакет обновления 3 (SP3) не сможет пройти проверку подлинности и появляется следующее сообщение об ошибке:

        Пользователь не может войти в систему. Убедитесь, что имя пользователя и домен указаны верно, затем заново введите пароль.

        Некоторые серверы SMB сторонних разработчиков поддерживают только обмена незашифрованного пароля во время проверки подлинности. (Их также называют обменивается обменов «обычный текст».) SP3 для Windows NT 4.0 и более поздних версиях перенаправителю SMB не посылать незашифрованный пароль во время проверки подлинности с сервером SMB без добавления записи реестра.
        Чтобы разрешить обмен незашифрованными паролями для клиента SMB в Windows NT 4.0 SP 3 и более поздних версиях, измените реестр следующим образом: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters

        Значение имени: EnablePlainTextPassword

        Тип данных: REG_DWORD

        Данные: 1


        Дополнительные сведения по этой теме щелкните следующий номер статьи базы знаний Майкрософт:

        сообщение об ошибке: Произошла системная ошибка 1240. Учетная запись не имеет прав входа в систему с данной рабочей станции.

      • Windows Server 2003: По умолчанию параметры безопасности на контроллерах домена под управлением Windows Server 2003 настроены для предотвращения перехвата и подделаны пользователями-злоумышленниками подключений к контроллеру домена. Чтобы пользователи могли успешно взаимодействовать с контроллером домена под управлением Windows Server 2003 клиентские компьютеры должны использовать как подписывание SMB и шифрование или подписывание трафика безопасного канала. По умолчанию клиенты, которые имеют Пакет обновления 2 (SP2 для) Windows NT 4.0 или более ранних версий и клиенты под управлением Windows 95 не имеют подписи SMB-пакетов включена. Таким образом эти клиенты не смогут пройти проверку подлинности на контроллере домена под управлением Windows Server 2003.

      • Параметры политики в Windows 2000 и Windows Server 2003: В зависимости от конкретных требований к установке и конфигурации рекомендуется устанавливать для следующих параметров политики минимальные объекты необходимого диапазона в иерархии оснастки редактора групповой политики консоли управления Microsoft.

        • Параметры компьютера Конфигурация безопасности Settings\Security

        • Посылать незашифрованный пароль для подключения к серверам SMB сторонних (этот параметр предназначен для Windows 2000)

        • Клиент сети Microsoft: посылать незашифрованный пароль сторонним SMB серверам (этот параметр предназначен для Windows Server 2003)


        Примечание. На некоторых серверах CIFS независимых производителей, например, более старые версии Samba нельзя использовать зашифрованные пароли.

      • Следующие клиенты не совместимы с сервер сети Microsoft: использовать цифровую подпись (всегда) параметр:

        • Mac OS X клиентов Apple Computer, Inc.

        • Клиенты сети Microsoft MS-DOS (например, Microsoft LAN Manager)

        • Microsoft Windows для рабочих групп клиентов

        • Установлены клиенты Microsoft Windows 95 без DS клиента

        • Компьютеры под управлением Windows NT 4.0 без SP3 или более поздней версии Microsoft установлен

        • Клиенты Novell Netware 6 CIFS

        • Клиенты SAMBA SMB, которые не поддерживают подписывания SMB

    8. Необходимость перезагрузки

      Перезагрузите компьютер или перезапустите службу сервера. Для этого введите следующие команды в командной строке. Нажмите клавишу ВВОД после ввода каждой команды.

      net stop server
      net start server

  7. Доступ к сети: разрешить трансляцию анонимного SID в имя

    1. Фоновый (Background)

      Доступ к сети: разрешить трансляцию анонимного SID в имя параметр безопасности определяет, может ли анонимный пользователь запрашивать атрибуты идентификационный номер безопасности (SID) другого пользователя.

    2. Рискованная конфигурация

      Включение доступ к сети: разрешить трансляцию анонимного SID в имя параметр является параметром опасные конфигурации.

    3. Основания для включения этого параметра

      Если доступ к сети: разрешить трансляцию анонимного SID в имя отключен, то более ранние операционные системы или приложения не смогут взаимодействовать с доменами Windows Server 2003. Например операционных систем, служб и приложений могут работать:

      • Серверы служб удаленного доступа под управлением Windows NT

      • Microsoft SQL Server, который работает под управлением Windows NT 3.x-компьютерах или компьютерах под управлением Windows NT 4.0

      • Служба удаленного доступа, на котором выполняется на компьютерах под управлением Windows 2000, находящихся в доменах Windows NT 3.x или доменов Windows NT 4.0

      • SQL Server, на котором выполняется на компьютерах под управлением Windows 2000, которые находятся в доменах Windows NT 3.x или в доменах Windows NT 4.0

      • Пользователи в домене ресурсов Windows NT 4.0, необходимо предоставить разрешения на доступ к файлы, общие папки и объекты реестра для учетных записей пользователей из доменов учетных записей, содержащем контроллеры домена Windows Server 2003

    4. Основания для отключения этого параметра

      Если эта политика включена, злонамеренный пользователь может использовать хорошо известному идентификатору SID администратора получить реальное имя встроенной учетной записи администратора, даже если учетная запись была переименована. Он затем можно использовать имя учетной записи для запуска атаки подбора пароля.

    5. Символическое имя: Н/Д

    6. Путь в реестре: Нет. Путь указывается в коде интерфейса пользователя.

    7. Примеры проблем с совместимостью

      Windows NT 4.0: Компьютеров в доменах ресурсов будет отображать сообщении об ошибке «Неизвестная учетная запись» в редакторе ACL Если ресурсы, включая общие файлы, папки и объекты реестра защищены участниками безопасности, которые расположены в Windows NT 4.0 учётных записей содержат контроллеры домена Windows Server 2003.

  8. Сетевой доступ: не разрешать перечисление SAM анонимными пользователями учетных записей

    1. Фоновый (Background)

      • Сетевой доступ: не разрешать перечисление SAM анонимными пользователями учетных записей параметр определяет, какие дополнительные разрешения будут предоставлены анонимным подключениям к компьютеру. Windows позволяет анонимным пользователям выполнять определенные операции, например, перечислять имена общих сетевых ресурсов и учетных записей рабочей станции и сервера диспетчера учетных записей безопасности (SAM). Например администратор может использовать это для предоставить доступ пользователям в доверенном домене, не поддерживающем взаимное доверие. После сеанса анонимный пользователь может иметь те же права доступа, которые предоставляются все группы на основе параметров в доступ к сети: применение разрешать применение разрешений для всех к анонимным пользователям параметр или список управления доступом на уровне пользователей (DACL) из объект.

        Как правило анонимные подключения запрашиваются в более ранних версиях клиентов (нижнего уровня) во время установки сеанса SMB. В этих случаях Трассировка сети показывает, что SMB Кодов процессов (PID) — перенаправителей клиентов 0xFEFF в Windows 2000 или 0xCAFE в Windows NT. RPC также может попытаться установить анонимные подключения.

      • Важно! Этот параметр не оказывает влияния на контроллерах домена. На контроллерах домена это поведение определяется наличием «NT AUTHORITY\ANONYMOUS вход в СИСТЕМУ» в «Пред-Windows 2000 доступ».

      • В Windows 2000 похожий параметр называется Дополнительные ограничения для анонимных подключений управляет параметр реестра RestrictAnonymous . Находится в следующей папке этого значения

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA Дополнительные сведения о параметре RestrictAnonymous щелкните приведенные ниже номера статей базы знаний Майкрософт:

        как использовать раздел реестра RestrictAnonymous в Windows 2000
         

        ограничение доступа анонимных пользователей
         

    2. Рискованные конфигурации

      Включение сетевой доступ: не разрешать перечисление SAM анонимными пользователями учетных записей параметр является параметром конфигурации опасные с точки зрения совместимости. Его отключение — параметр конфигурации опасные с точки зрения безопасности.

    3. Основания для включения этого параметра

      Неавторизованный пользователь может анонимно перечислить имена учетных записей, а затем воспользоваться этими данными для взлома паролей или социотехники . Социотехника -это жаргонный термин, который означает обман пользователей пароли или какого-либо рода сведения о безопасности.

    4. Основания для отключения этого параметра

      Если этот параметр включен, невозможно установить доверительные отношения между доменами Windows NT 4.0. Этот параметр также вызывает проблемы с клиентами нижнего уровня (например, клиенты с Windows NT 3.51 и Windows 95), которые пытаются использовать ресурсы на сервере.

    5. Символическое имя:


      RestrictAnonymousSAM

    6. Путь в реестре:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

    7. Примеры проблем с совместимостью

    • Обнаружение сети SMS не сможет получить сведения об операционной системе и запишет «Неизвестно» в свойстве OperatingSystemNameandVersion.

    • Windows 95, Windows 98: Клиенты Windows 95 и Windows 98 не будет изменять свои пароли.

    • Windows NT 4.0: Windows NT 4.0, на рядовых компьютерах не смогут пройти проверку подлинности.

    • Windows 95, Windows 98: Компьютеры Windows 95 и Windows 98 не удается пройти проверку подлинности на контроллерах домена Microsoft.

    • Windows 95, Windows 98: Пользователи компьютеров под управлением Windows 95 и Windows 98 нельзя будет изменить пароли для учетных записей пользователей.

  9. Сетевой доступ: не разрешать перечисление SAM анонимными пользователями учетных записей и общих ресурсов

    1. Фоновый (Background)

      • Сетевой доступ: не разрешать перечисление SAM анонимными пользователями учетных записей и общих ресурсов (также известная как RestrictAnonymous) параметр определяет, разрешено ли анонимное перечисление записей диспетчера учетных записей безопасности (SAM) и общих ресурсов. Windows позволяет анонимным пользователям выполнять определенные операции, например, перечислять имена общих сетевых ресурсов и учетных записей домена (пользователи, компьютеры и группы). Это удобно, например, если администратор хочет предоставить доступ пользователям в доверенном домене, не поддерживающем взаимное доверие. Если вы не хотите разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями, включите этот параметр.

      • В Windows 2000 похожий параметр называется Дополнительные ограничения для анонимных подключений управляет параметр реестра RestrictAnonymous . Расположение это значение выглядит следующим образом:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

    2. Рискованная конфигурация

      Включение сетевой доступ: не разрешать перечисление SAM анонимными пользователями учетных записей и общих ресурсов параметр является параметром опасные конфигурации.

    3. Основания для включения этого параметра

      • Включение сетевой доступ: не разрешать перечисление SAM анонимными пользователями учетных записей и общих ресурсов позволяет предотвратить перечисление учетных записей SAM и общих ресурсов, пользователей и компьютеры, использующие анонимных учетных записей.

    4. Основания для отключения этого параметра

      • Если этот параметр включен, неавторизованный пользователь может анонимно перечислить имена учетных записей, а затем воспользоваться этими данными для взлома паролей или социотехники . Социотехника -это жаргонный термин, который означает обман пользователей пароль или какого-либо рода сведения о безопасности.

      • Если этот параметр включен, невозможно установить доверительные отношения между доменами Windows NT 4.0. Также, в этом случае возникают неполадки с клиентами нижнего уровня, например Windows NT 3.51 и Windows 95 клиентов, которые пытаются использовать ресурсы на сервере.

      • Невозможно предоставить доступ пользователям из доменов ресурсов, поскольку администраторы домена-доверителя не смогут отображать список учетных записей в другом домене. Пользователи, анонимный доступ к серверов файлов и печати не будет список общих сетевых ресурсов на этих серверах. Пользователи должны пройти проверку подлинности могут просматривать список общих папок и принтеров.

    5. Символическое имя:

      RestrictAnonymous

    6. Путь в реестре:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

    7. Примеры проблем с совместимостью

      • Windows NT 4.0: Пользователи не смогут изменять свои пароли с рабочей станции Windows NT 4.0, при включении параметра RestrictAnonymous на контроллерах домена в домене пользователя.

      • Windows NT 4.0: Добавление пользователей и глобальные группы из доверенных доменов Windows 2000 в локальные группы Windows NT 4.0 в диспетчере пользователей произойдет сбой и появится следующее сообщение об ошибке:

        В настоящий момент отсутствуют серверы, которые могли бы обработать запрос на вход.

      • Windows NT 4.0: Windows NT 4.0 на компьютерах не будет входить в домены во время установки или с помощью пользовательского интерфейса.

      • Windows NT 4.0: Доверительные отношения нижнего уровня с доменами ресурсов Windows NT 4.0 не удастся. Когда на доверенном домене включен параметр RestrictAnonymous , появится следующее сообщение об ошибке:

        Не удалось найти контроллер домена для этого домена.

      • Windows NT 4.0: Войдите на сервер терминалов под управлением Windows NT 4.0 пользователи подключаются к домашнему каталогу по умолчанию вместо домашнего каталога, определенного в диспетчере пользователей для доменов.

      • Windows NT 4.0: Windows NT 4.0 резервные контроллеры домена (BDC) не смогут запустить службу Net Logon, получить список резервных обозревателей или синхронизации базы данных SAM из Windows 2000 или контроллеры домена Windows Server 2003 в том же домене.

      • Windows 2000: Компьютеры под управлением Windows 2000 в Windows NT 4.0 доменов не смогут просматривать принтеры во внешних доменах, если в локальной политике безопасности клиентского компьютера включен параметр Нет доступа без явного разрешения анонимного доступа .

      • Windows 2000: Пользователи домена Windows 2000 не сможет добавлять сетевые принтеры из службы каталогов Active Directory; Тем не менее они смогут добавлять принтеры после их выбора из дерева.

      • Windows 2000: На компьютерах под управлением Windows 2000 редактор ACL нельзя будет добавлять пользователей и глобальные группы из доверенных доменов Windows NT 4.0.

      • ADMT версии 2: Миграция паролей для учетных записей пользователей, которые перемещаются между лесами с миграции Active Directory инструмент (ADMT) версии 2 не удастся.

        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:

        об устранении неполадок при переносе паролей между лесами с помощью утилиты ADMTv2

      • Клиенты outlook: Глобальный список адресов будет отображаться пустым, чтобы клиенты Microsoft Exchange Outlook.

        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:

        медленно SMB производительность при копировании файлов из Windows XP для контроллера домена Windows 2000

      • SMS: Обнаружение сети Microsoft Systems Management Server (SMS) не удается получить сведения об операционной системе. Таким образом он будет записывать «Неизвестно» в свойстве OperatingSystemNameandVersion SMS DDR свойства записи данных обнаружения (DDR).

      • SMS: При использовании мастера пользователей SMS администратора для просмотра пользователей и групп будут перечислены не пользователей или групп. Кроме того Дополнительно клиенты не может взаимодействовать с точкой управления. В точке управления необходим анонимный доступ.

      • SMS: При использовании функции обнаружения сети в SMS 2.0 и удаленной установки клиента топология, клиент и клиентских операционных систем сетевого обнаружения параметр включен, компьютеры могут быть обнаружены, но могут быть не установлены.

  10. Сетевая безопасность: уровень проверки подлинности Lan Manager

    1. Фоновый (Background)

      Проверка подлинности LAN Manager (LM)-это протокол, используемый для проверки подлинности клиентов Windows для сетевых операций, включая присоединение к домену, доступ к сетевым ресурсам и проверку подлинности пользователя или компьютера. Уровень проверки подлинности LM определяет, какой запрос/ответ протокол проверки подлинности согласовывается между клиентом и сервером. В частности уровень проверки подлинности LM определяет, какие протоколы проверки подлинности, клиент будет пытаться согласовывать или принимается сервером. Значение, указанное для параметра LmCompatibilityLevel определяет, какой протокол проверки подлинности (запрос или подтверждение) используется при входе в сеть. Это значение влияет на уровень протокола проверки подлинности, используемый клиентами, уровень согласуемой безопасности сеанса и уровень проверки подлинности, принимаемый серверами.

      Ниже перечислены возможные параметры.

      Значение

      Параметр

      Описание

      0

      Отправлять LM и NTLM ответы

      Клиенты используют протоколы LM и NTLM для проверки подлинности и никогда не используют сеансовую безопасность NTLMv2. Контроллеры домена допускают проверку подлинности LM, NTLM и NTLMv2.

      1

      Отправлять LM и NTLM - использовать сеансовую безопасность NTLMv2 при согласовании

      Клиенты используют протоколы LM и NTLM для проверки подлинности и использовать сеансовую безопасность NTLMv2, если сервер ее поддерживает. Контроллеры домена допускают проверку подлинности LM, NTLM и NTLMv2.

      2

      Отправлять только NTLM ответ

      Клиенты используют только проверку подлинности NTLM и используют безопасность сеанса NTLMv2, если сервер ее поддерживает. Контроллеры домена допускают проверку подлинности LM, NTLM и NTLMv2.

      3

      Отправлять только NTLMv2 ответ

      Клиенты используют только проверку подлинности NTLMv2 и используют сеансовую безопасность NTLMv2, если сервер ее поддерживает. Контроллеры домена допускают проверку подлинности LM, NTLM и NTLMv2.

      4

      Отправлять только NTLMv2 ответ, отказывать LM

      Клиенты используют только проверку подлинности NTLMv2 и используют сеансовую безопасность NTLMv2, если сервер ее поддерживает. Контроллеры домена отвергают LM и допускают проверку подлинности только по протоколам NTLM и NTLMv2.

      5

      Отправлять только NTLMv2 ответ, отказывать LM и NTLM

      Клиенты используют только проверку подлинности NTLMv2 и используют сеансовую безопасность NTLMv2, если сервер ее поддерживает. Контроллеры доменов отвергают LM и NTLM и допускают только проверку подлинности NTLMv2.

      Примечание. В Windows 95, Windows 98 и Windows 98 Second Edition клиент службы каталогов использует подписывание SMB при проверке подлинности с серверами Windows Server 2003 с помощью проверки подлинности NTLM. Тем не менее эти клиенты не используют подписывание SMB при аутентификации на этих серверах посредством проверки подлинности NTLMv2. Кроме того серверы Windows 2000 не отвечают на запросы от этих клиентов на подписывание SMB.

      Проверить уровень проверки подлинности LM: Необходимо изменить политику на сервере, чтобы разрешить NTLM, или необходимо настроить клиентский компьютер на поддержку NTLMv2.

      Если параметр имеет значение (5) отправлять только NTLMv2 ответ, отказывать LM и NTLM на конечном компьютере необходимо подключиться, необходимо понизить значение параметра на этом компьютере или установить для те же настройки, на исходном компьютере, conn безопасности ecting с.

      Найти нужное место, где LAN manager можно изменить уровень проверки подлинности для установки клиента и сервера на том же уровне. После обнаружения политики, Настройка LAN manager уровень проверки подлинности, если вы хотите подключиться с компьютерами под управлением более ранних версий Windows, понизьте значение, по крайней (1) Отправлять LM и NTLM - использовать Сеансовую безопасность NTLMv2 при согласование. Одним из результатов несовместимости параметров является то, что если сервер требует использования NTLMv2 (значение 5), а клиент настроен на использование LM и NTLMv1 только (значение 0), проверке подлинности пользователя будет возникать ошибка входа с неправильный пароль, который увеличивает плохо Счетчик паролей. Если настроена блокировка учетной записи, пользователь может в конечном итоге будет заблокирован.

      Например возможно, для поиска контроллера домена, или может потребоваться проверить политики контроллера домена.

      Поиск контроллера домена

      Примечание. Повторите следующую процедуру на всех контроллерах домена может потребоваться.

      1. Нажмите кнопку Пуск, выберите пункт программыи затем Администрирование.

      2. В окне Локальные параметры безопасностиразверните узел Локальные политики.

      3. Нажмите кнопку Параметры безопасности.

      4. Дважды щелкните Сетевая безопасность: уровень проверки подлинности LAN managerи выберите значение в списке.


      Если значения действующей и локальной политики совпадают, политика была изменена на этом уровне. Если параметры не совпадают, необходимо проверить политику контроллера домена, чтобы определить ли Сетевая безопасность: уровень проверки подлинности LAN manager определен на этом. Если его нет, проверьте политики контроллера домена.

      Проверить Политика контроллера домена

      1. Нажмите кнопку Пуск, выберите пункт программыи затем Администрирование.

      2. В политике Безопасности контроллера домена параметры Безопасностии Локальныеполитики.

      3. Нажмите кнопку Параметры безопасности.

      4. Дважды щелкните Сетевая безопасность: уровень проверки подлинности LAN managerи выберите значение в списке.


      Note

      • Кроме того, необходимо проверить политики на уровне сайта, домена или подразделения (OU) уровень, чтобы определить, где необходимо настроить уровень проверки подлинности LAN manager.

      • При реализации параметра групповой политики в качестве политики домена по умолчанию политика применяется ко всем компьютерам в домене.

      • При реализации параметра групповой политики в качестве политики контроллера домена по умолчанию политика применяется только к серверам в Подразделении контроллера домена.

      • Рекомендуется установить уровень проверки подлинности LAN manager в минимальные объекты необходимого диапазона в иерархии применения политики.

      Windows Server 2003 имеет значение по умолчанию для использования только по протоколу NTLMv2. По умолчанию контроллеры домена под управлением Windows 2000 Server с пакетом обновления 3 и Windows Server 2003 включены «сервер сети Microsoft: использовать цифровую подпись (всегда)» политики. Этот параметр требует подписывание пакетов SMB на сервере SMB. Так как контроллеры домена, файловых серверов, серверов сетевой инфраструктуры и веб-серверов в любой организации требуются различные параметры для повышения безопасности были внесены изменения в Windows Server 2003.

      Если вы хотите реализовать проверку подлинности по протоколу NTLMv2 в сети, необходимо убедиться, что все компьютеры в домене установлены для использования данного уровня проверки подлинности. При установке Active Directory клиентских расширений для Windows 95 или Windows 98 и Windows NT 4.0, расширения клиента использовать возможности усовершенствованные способы проверки подлинности, доступные в NTLMv2. Так как объекты групповой политики Windows 2000 не подвержены клиентские компьютеры под управлением любой операционной системы, может потребоваться вручную настроить эти клиенты:

      • Microsoft Windows NT 4.0

      • Microsoft Windows Millennium Edition

      • Microsoft Windows 98

      • Microsoft Windows 95

      Примечание. При включении Сетевая безопасность: не хранить хеш-значений LAN manager при следующей смене пароля политики или установке раздела реестра NoLMHash клиенты под управлением Windows 95 и Windows 98, на которых не установлен клиент службы каталогов не может Войдите в домен после изменения пароля.

      Многие серверы CIFS независимых производителей, такие как Novell Netware 6, не поддерживают NTLMv2 и использование только NTLM. Таким образом уровни выше 2 не разрешают подключение. Также существуют клиенты сторонних SMB, не использующие расширенные сеанса безопасности. В этих случаях LmCompatiblityLevel ресурсов сервера не принимаются во внимание. Затем сервер пакеты этот устаревший запрос и отправляет его на контроллер домена пользователя. Параметры контроллера домена затем решить, какие хэш-коды используются для проверки запроса и ли эти отвечают требованиям безопасности контроллера домена.

      Дополнительные сведения о том, как вручную настроить уровень проверки подлинности LAN manager щелкните следующий номер статьи базы знаний Майкрософт:

      Как отключить проверку подлинности Windows NT LM
       

      Как запретить хранение пароля хэш диспетчера LAN в Active Directory и локальных базах данных SAM
       

      outlook продолжает запрашивать учетные данные для входа
       

      Событие аудита пакет проверки подлинности отображается как NTLMv1 вместо NTLMv2 Дополнительные сведения об уровнях проверки подлинности LM щелкните следующий номер статьи базы знаний Майкрософт:

      Как для включения проверки подлинности NTLM 2
       

    2. Рискованные конфигурации

      Ниже перечислены параметры конфигурации опасные.

      • Свободная конфигурация, отправлять пароли открытым текстом, которые блокировать согласование по протоколу NTLMv2

      • Строгие параметры, которые не позволяют несовместимым клиентам и контроллерам домена проводить согласование общего протокола проверки подлинности

      • Требование проверки подлинности по протоколу NTLMv2 на рядовых компьютерах и контроллерах домена под управлением Windows NT 4.0, более ранние, чем Пакет обновления 4 (SP4)

      • Проверка подлинности по протоколу NTLMv2 на клиенты Windows 95 или Windows 98 клиенты, на которых не установлен клиент службы каталогов Windows.

      • Если щелкнуть флажок Требовать сеансовую безопасность NTLMv2 в оснастке редактор групповой политики на компьютере под управлением Windows 2000 Пакет обновления 3 или Windows Server 2003 и понизить уровень проверки подлинности LAN manager 0 конфликт двух параметров и может появиться следующее сообщение об ошибке в файле Secpol.msc или GPEdit.msc:

        Не удалось открыть базу данных локальной политики. Неизвестная ошибка при попытке открыть базу данных.

        Дополнительные сведения о конфигурации безопасности и средство анализа файлов справки Windows Server 2003 или Windows 2000 см.

    3. Причины для изменения этого параметра

      • Вы хотите увеличить наименьшего общего протокола проверки подлинности, поддерживаемые клиенты и контроллеры домена в организации.

      • Если требование бизнеса безопасной проверки подлинности, необходимо запретить согласования LM и NTLM протоколов.

    4. Основания для отключения этого параметра

      Клиентские требования проверки подлинности сервера и/или, были увеличены до точки, где проверка подлинности с использованием общего протокола невозможен.

    5. Символическое имя:

      Параметра LmCompatibilityLevel

    6. Путь в реестре:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. Примеры проблем с совместимостью

      • Windows Server 2003: По умолчанию включен параметр ответов NTLM отправить Windows Server 2003 по протоколу NTLMv2. Таким образом Windows Server 2003 получает сообщение об ошибке «Доступ запрещен» после начальной установки при попытке подключения к кластеру под управлением Windows NT 4.0 или серверам под управлением LanManager V2.1, таким как OS/2 Lanserver. Эта проблема также возникает при попытке подключиться к серверу под управлением Windows Server 2003 из клиента более ранней версии.

      • Установить пакет Rollup 1 (SRP1) для Windows 2000 безопасности. SRP1 заставляет NTLM версии 2 (NTLMv2). Этот накопительный пакет был выпущен после выпуска Windows 2000 Пакет обновления 2 (SP2). Дополнительные сведения о SRP1 щелкните следующий номер статьи базы знаний Майкрософт:

        Windows 2000 исправлений безопасности 1 января 2002 г.
         

      • Windows 7 и Windows Server 2008 R2: многие серверы CIFS независимых производителей, такие как серверов Novell Netware 6 или Samba под управлением Linux, не поддерживают NTLMv2 и использование только NTLM. Таким образом уровни выше «2» не разрешают подключение. Теперь в этой версии операционной системы по умолчанию для параметра LmCompatibilityLevel был изменен на «3». Поэтому при обновлении Windows эти filers сторонних производителей могут перестать работать.

      • Клиенты Microsoft Outlook запрашиваться учетные данные, даже если они уже вошли в домен. При вводе учетных данных, они получают следующее сообщение об ошибке: Windows 7 и Windows Server 2008 R2

        Указаны неверные данные для входа. Убедитесь, что имя пользователя и домен указаны верно, затем заново введите пароль.

        При запуске Outlook потребуется ввести учетные данные даже если настроек безопасности сетевого входа в систему имеет значение Passthrough или проверка пароля. После ввода правильных учетных данных может появиться следующее сообщение об ошибке:

        Предоставленные учетные данные входа некорректны.

        Трассировка сетевого монитора показывает что глобальный каталог сбой удаленного вызова процедур (RPC) с кодом состояния 0x5. Состояния 0x5 означает «Access Denied».

      • Windows 2000: Сетевого монитора показывает следующие ошибки в NetBIOS через TCP/IP (NetBT) сервера сообщений протокола SMB сеанса:

        Ошибка поиска каталога SMB R Dos, (5) STATUS_LOGON_FAILURE ACCESS_DENIED (109) (91) недопустимым идентификатором

      • Windows 2000: Если домен Windows 2000 с поддержкой NTLMv2 уровня 2 или более поздней версии является доверенным доменом Windows NT 4.0, компьютеры под управлением Windows 2000 в домене ресурсов могут возникать ошибки проверки подлинности.

      • Windows 2000 и Windows XP: По умолчанию Windows 2000 и Windows XP установить параметр LAN Manager проверки подлинности локальной политики безопасности уровня 0. Значение 0 означает «Отправлять LM и NTLM ответы.»

        Примечание. Для администрирования Windows NT 4.0 на кластерах следует использовать LM.

      • Windows 2000: Кластер Windows 2000 проверяет подлинность присоединяемого узла, если оба узла входят в состав Windows NT 4.0 Пакет обновления 6a (SP6a) домена.

      • Средство блокировки IIS (HiSecWeb) задает значение параметра LMCompatibilityLevel RestrictAnonymous значения 2 и 5.

      • Службы для Macintosh

        Модуль проверки подлинности пользователя (UAM): (Модуль проверки подлинности пользователя) обеспечивает способ шифрования паролей, используемых для входа на серверы Windows AFP (AppleTalk Filing Protocol). Модуль проверки подлинности пользователя (UAM) Apple предоставляет только минимальные или без шифрования. Таким образом пароль может быть легко перехвачен в локальной сети или в Интернете. Хотя UAM не является обязательным, он предоставляет зашифрованную проверку подлинности для серверов Windows 2000, запущены службы для Macintosh. Данная версия включает поддержку NTLMv2 128-разрядной шифрованной проверки подлинности и MacOS X 10.1-совместимый выпуск.

        По умолчанию Windows Server 2003 сервер служб для Macintosh позволяет использовать проверку подлинности Microsoft.


        Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:

        клиент Macintosh не может подключиться к службам для Mac в Windows Server 2003

      • Windows Server 2008, Windows Server 2003, Windows XP и Windows 2000: Если установить значение параметра LMCompatibilityLevel в 0 или 1 а затем установить параметр NoLMHash в значение 1, приложениям и компонентам может быть запрещен доступ на уровне NTLM. Эта проблема возникает, поскольку компьютер настроен на использование LM, но не для использования паролей LM.

        Если задан параметр NoLMHash в значение 1, необходимо настроить значение параметра LMCompatibilityLevel 2 или более поздней версии.

  11. Сетевая безопасность: требования подписывания для LDAP клиента

    1. Фоновый (Background)

      Сетевая безопасность: требования подписывания для LDAP клиента параметр определяет уровень подписи данных, запрашиваемых по поручению клиентов, которые выдают ПРИВЯЗКИ Lightweight Directory Access Protocol (LDAP) запрашивает следующим образом:

      • Нет: выдается запрос LDAP BIND с параметрами, определенный вызывающим.

      • Согласование подписывания: Если Secure Sockets слой/протокол TLS (SSL/TLS) не был запущен, запрос LDAP BIND для инициализации параметра, кроме параметров вызывающий объект указал значение подписывания данных LDAP. Если запущен протокол SSL/TLS, инициируется запрос LDAP BIND с параметрами, определенный вызывающим.

      • Требуется цифровая подпись: это то же самое, что и Согласование подписывания. Тем не менее если ответ промежуточного saslBindInProgress LDAP-сервера не показывают, что подписывание трафика LDAP является обязательным, вызывающий объект сообщается, что произошла ошибка запроса команды LDAP BIND.

    2. Рискованная конфигурация

      Включение Сетевая безопасность: требования подписывания для LDAP клиента параметр является параметром опасные конфигурации. Если сервер требует цифровые подписи, необходимо также настроить подписывание LDAP и для клиента. Настройка клиента для использования подписи LDAP не предотвратит связь с сервером. В результате проверки подлинности пользователя, групповой политики параметры, сценарии входа в систему и другие возможности сбоя.

    3. Причины для изменения этого параметра

      Неподписанный сетевой трафик делает возможной атаки в середине которой злоумышленник перехватывает пакеты между клиентом и серверами, вносит в них изменения и отправляет их на сервер. В этом случае на LDAP-сервере, злоумышленник может ответить на основании false запросы от клиента LDAP сервера. Чтобы снизить этот риск в корпоративной сети путем реализации строгие физические меры безопасности для защиты сетевой инфраструктуры. Кроме того может помочь предотвратить все виды атак в середине запрашиваются цифровые подписи на все сетевые пакеты с помощью заголовков проверки подлинности IPSec.

    4. Символическое имя:

      LDAPClientIntegrity

    5. Путь в реестре:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

  12. Журнал событий: Максимальный размер журнала безопасности

    1. Фоновый (Background)

      Журнала событий: максимальный размер журнала безопасности параметр безопасности задает максимальный размер журнала событий безопасности. Этот журнал не может превышать 4 ГБ. Чтобы найти этот параметр, разверните узел
      Параметры Windowsи параметры Безопасности.

    2. Рискованные конфигурации

      Ниже перечислены параметры конфигурации опасные.

      • Ограничение размера и способа хранения журнала безопасности при Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности включен. Увидеть «Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности» данной статьи для получения дополнительных сведений.

      • Ограничение размера журнала безопасности затираются важных событий.

    3. Основания для увеличения размера этот параметр

      Специфическими требованиями и требованиями безопасности увеличить размер журнала безопасности для обработки дополнительной безопасности сведений журнала или сохранения журнала на более длительный период времени.

    4. Основания для уменьшения размера журнала

      Журналы просмотра событий представляют собой размещенные в памяти файлы. Максимальный размер журнала событий ограничен объем физической памяти на локальном компьютере и виртуальной памяти, доступной процессу журнала событий. Увеличение размера журнала за объем виртуальной памяти, доступной для просмотра событий не увеличивает число записей журнала, которые поддерживаются.

    5. Примеры проблем с совместимостью

      Windows 2000: Компьютеры под управлением Windows 2000, более ранних, чем Пакет обновления 4 (SP4) может прекратить запись событий в журнал событий до достижения размера, указанного в поле Максимальный размер журнала , установив в окне просмотра событий, если Не затирать события (чистка журнала вручную) параметр включен.


      Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:

      журнала событий прекращает регистрировать события при достижении максимального размера журнала
       

  13. Журнал событий: Сохранение событий в журнале безопасности

    1. Фоновый (Background)

      Журнала событий: сохранение событий в журнале безопасности параметр безопасности определяет метод «переноса» для журнала безопасности. Чтобы найти этот параметр, конфигурация Windowsи параметры Безопасности.

    2. Рискованные конфигурации

      Ниже перечислены параметры конфигурации опасные.

      • Несохранение зарегистрированных событий безопасности перед перезаписью.

      • Настройка параметра слишком мало затираются событий безопасности Максимальный размер журнала безопасности

      • Ограничение безопасности размера и способа хранения журнала во время Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности параметр безопасности включен

    3. Основания для включения этого параметра

      Этот параметр включен только в том случае, если выбран метод сохранения Затирать старые события по дням . При использовании системы корреляции событий, которая выполняет опрос событий, убедитесь, что число дней, по крайней мере в три раза превышает частоту опроса. Для этого для неудачных циклов опроса выполняйте.

  14. Сетевой доступ: разрешать применение разрешений для всех к анонимным пользователям

    1. Фоновый (Background)

      По умолчанию сетевой доступ: разрешать применение разрешений для применения к анонимным пользователям установлено значение Не определен для Windows Server 2003. По умолчанию Windows Server 2003 не включает маркер анонимного доступа на все группы.

    2. Пример проблемы совместимости

      Следующие значения параметра

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous[REG_DWORD] = 0x0 доверительные отношения между Windows Server 2003 и Windows NT 4.0, когда домен Windows Server 2003 учетной записи домена и домена Windows NT 4.0 в домене ресурсов. Это означает, что является доверенной учетной записи домена Windows NT 4.0, а домен ресурсов является доверяющим со стороны Windows Server 2003. Такое поведение наблюдается, поскольку в процессе установления доверительных отношений после установления анонимного подключения ACL с группа «Все» включает анонимный идентификатор SID в Windows NT 4.0.

    3. Причины для изменения этого параметра

      Значение должно быть значение 0x1 или с помощью объекта групповой Политики в Подразделении контроллера домена для: сетевой доступ: разрешать применение разрешений для применения к анонимным пользователям чтобы сделать возможным создание доверия.

      Примечание. Большинство других параметров безопасности переход вверх в значение, а не к 0x0 в большинстве состоянии. В целях безопасности рекомендуется вносить изменения в реестр на эмулятор основного контроллера домена вместо на всех контроллерах домена. Если роль эмулятора основного контроллера перемещается по любой причине, необходимо обновить реестр на новом сервере.

      После этого значение необходима перезагрузка.

    4. Путь реестра

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

  15. Проверка подлинности NTLMv2

    1. Безопасность сеанса

      Безопасность сеанса определяет минимальные стандарты безопасности для сеансов клиента и сервера. Рекомендуется проверить следующие параметры политики безопасности в редактор групповой политики:

      • Безопасности\Брандмауэр Windows Windows\Параметры безопасности\Локальные Политики\параметры безопасности

      • Сетевая безопасность: Минимальная сеансовая безопасность для NTLM SSP основе (включая безопасный RPC) серверов

      • Сетевая безопасность: Минимальная сеансовая безопасность для NTLM SSP основе (включая безопасный RPC) клиентов

      Имеются следующие параметры для этих параметров:

      • Требовать целостности сообщений

      • Требовать конфиденциальность сообщения

      • Требовать Сеансовую безопасность NTLMv2

      • Требуется 128-разрядное шифрование

      Значение по умолчанию до версии 7 – требования отсутствуют. Начиная с Windows 7, значение по умолчанию изменено на требуется 128-разрядное шифрование для повышения безопасности. Это по умолчанию устаревших устройств, которые не поддерживают 128-битное шифрование будет не удается подключиться.

      Эти политики определяют минимальные стандарты безопасности для сеансов связи приложения на сервере для клиента.

      Обратите внимание, что несмотря на то, что описано как допустимые значения флагов требуется конфиденциальность и целостность сообщений не используются при определяется сеансовую безопасность NTLM.

      Исторически Windows NT поддерживала два варианта проверки подлинности с запросом и подтверждением при входе в сеть:

      • Запрос/ответ LM

      • Запрос/ответ NTLM версии 1

      LM обеспечивает возможность взаимодействия с установленной базой клиентов и серверов. NTLM обеспечивает повышенную безопасность соединений между клиентами и серверами.

      Ниже приведены соответствующие разделы реестра:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

    2. Рискованные конфигурации

      Этот параметр определяет, как будут обрабатываться сеансах в сети защищены с помощью NTLM. Это влияет на основе RPC сеансы, проверку подлинности с использованием протокола NTLM, например. Существуют следующие риски:

      • Использование старых методов проверки подлинности, чем NTLMv2 упрощает связь от атак из-за простой хэширования методы, используемые.

      • Меньше, чем 128-разрядных ключей шифрования позволяет разорвать связь с использованием перебора атак злоумышленников.

Синхронизация времени

Ошибка во время синхронизации. По более чем 30 минут на пораженном компьютере время отключено. Убедитесь, что часы клиентского компьютера синхронизированы с часами контроллера домена.

Обход для подписывания SMB

Рекомендуется установить Пакет обновления 6a (SP6a) на клиентах Windows NT 4.0, взаимодействующих с доменом под управлением Windows Server 2003. Клиенты под управлением Windows 98 Second Edition, клиентов под управлением Windows 98 и клиенты под управлением Windows 95 необходимо запустить клиент служб каталогов для использования NTLMv2. Если клиенты под управлением Windows NT 4.0 не имеют Windows NT 4.0 SP6 установлен или клиенты под управлением Windows 95, клиентов под управлением Windows 98 и Windows 98SE клиентов не установлен, клиент службы каталогов отключен SMB подписи в домене по умолчанию Политика контроллера на контроллере домена в Подразделении, а затем привязать эту политику ко всем подразделениям с контроллерами доменов.

Каталог служб клиента для Windows 98 второго издания, Windows 98 и Windows 95 выполняет подписывание SMB с серверами Windows 2003 при проверке подлинности NTLM, но не при проверке подлинности NTLMv2. Кроме того серверы Windows 2000 не будет отвечать на запросы на подписывание SMB от этих клиентов.

Несмотря на то, что мы не рекомендуем, можно отключить подписывание SMB требование на всех контроллерах доменов под управлением Windows Server 2003 в домене. Чтобы настроить данный параметр безопасности, выполните следующие действия.

  1. Откройте политику контроллера домена по умолчанию.

  2. Откройте папку « Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные Политики\параметры безопасности ».

  3. Найдите и выберите сервер сети Microsoft: использовать цифровую подпись (всегда) параметр политики и нажмите кнопку отключен.

Важно. Этот раздел, метод или задача содержат действия, содержащие указания по изменению реестра. Однако, при некорректных изменениях реестра могут возникнуть серьезные проблемы. Поэтому выполняйте следующие действия внимательно. Для дополнительной защиты сделайте резервную копию реестра перед внесением изменений. В таком случае при возникновении неполадок можно будет восстановить реестр. Чтобы узнать дополнительные сведения о резервном копировании и восстановлении реестра, щелкните следующий номер статьи базы знаний Майкрософт:

как резервное копирование и восстановление реестра WindowsКроме того отключите подписывание SMB на сервере путем изменения реестра. Чтобы сделать это, выполните следующие действия.

  1. Нажмите кнопку Пуск, выберите пункт Выполнить, введите команду regedit и нажмите кнопку ОК.

  2. Найдите и выделите следующий подраздел:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

  3. Щелкните запись enablesecuritysignature .

  4. В меню Правка выберите команду Изменить.

  5. В поле значение введите 0и нажмите кнопку ОК.

  6. Закройте редактор реестра.

  7. Перезапустите компьютер, или остановите и перезапустите службу сервера. Для этого введите следующие команды в командной строке и нажмите клавишу ВВОД после ввода каждой команды:
    net stop server
    net start server

Примечание. Соответствующий раздел на клиентском компьютере находится в следующем разделе реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\ParametersВ следующем списке перечислены номера ошибок преобразованный код коды состояния и точные сообщения об упомянутых ранее:

Ошибка 5
ERROR_ACCESS_DENIED

Отказано в доступе.

Ошибка 1326

ERROR_LOGON_FAILURE

Ошибка входа в систему: неизвестное имя пользователя или пароль не опознаны.

Ошибка 1788

ERROR_TRUSTED_DOMAIN_FAILURE

Не удалось доверительных отношений между основным доменом и доверенным доменом.

ошибка 1789

ERROR_TRUSTED_RELATIONSHIP_FAILURE

Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом.

Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:

способ настройки групповых политик безопасности для системных служб в Windows Server 2003
 

Включение подписывания SMB в Windows NT как
 

способ применения готовых шаблонов безопасности в Windows Server 2003
 

необходимо предоставить учетные данные Windows при подключении к Exchange Server 2003 с помощью Outlook 2003 RPC через HTTP

Нужна дополнительная помощь?

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединение к программе предварительной оценки Майкрософт

Были ли сведения полезными?

Насколько вы удовлетворены качеством перевода?

Что повлияло на вашу оценку?

Добавите что-нибудь? Это необязательно

Спасибо за ваш отзыв!

×