Momentálne ste offline a čaká sa, kým sa znova pripojíte na internet

Program problémy klienta, služby a môže nastať, ak zmeníte nastavenie zabezpečenia a priradenia práv používateľov

Poskytovanie technickej podpory pre systém Windows XP sa skončilo

8. apríla 2014 ukončila spoločnosť Microsoft poskytovanie technickej podpory pre systém Windows XP. Táto zmena ovplyvnila aktualizácie softvéru a možnosti zabezpečenia. Zistite, čo to pre vás znamená a ako ponechať počítač zabezpečený.

Poskytovanie technickej podpory pre Windows Server 2003 sa skončilo 14 júla 2015

Spoločnosť Microsoft ukončila 14 júla 2015 poskytovanie technickej podpory pre Windows Server 2003. Táto zmena ovplyvnila aktualizácie softvéru a možnosti zabezpečenia. Zistite, čo to pre vás znamená a ako ponechať počítač zabezpečený.

DÔLEŽITÉ: Tento článok je preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft a možno ho opraviť prostredníctvom technológie Community Translation Framework (CTF). Microsoft ponúka strojovo preložené články, články upravené komunitou aj články preložené prekladateľmi, aby zabezpečil prístup ku všetkým článkom databázy Knowledge Base vo viacerých jazykoch. Strojovo preložené články aj upravené články môžu obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky. Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené neprávnym prekladom obsahu alebo jeho použitím zo strany našich zákazníkov. Ďalšie informácie o technológii CTF nájdete na lokalite http://support.microsoft.com/gp/machine-translation-corrections/sk.

Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem: 823659
Súhrn
Do miestnych politík a skupiny politík, ktoré pomôžu zvýšiť zabezpečenie na doménové radiče a členské počítače je možné zmeniť nastavenia zabezpečenia a priradenia práv používateľov. Nevýhodou zvýšenej bezpečnosti je však zavedenie nezlučiteľnosti s klientov, služby a programy.

Tento článok popisuje nekompatibility, ktoré môžu nastať v klientskych počítačoch so systémom Windows XP alebo staršia verzia systému Windows, keď môžete zmeniť špecifické nastavenia zabezpečenia a priradenia práv používateľov v doméne Windows Server 2003 alebo staršej Windows Server domény.

Informácie o skupinovej politiky pre systém Windows 7, Windows Server 2008 R2 a Windows Server 2008, nájdete v nasledujúcich článkoch: Poznámka: Zostávajúce obsah tohto článku je špecifické pre systém Windows XP, Windows Server 2003 a starších verziách systému Windows.

Windows XP

Kliknutím sem zobrazíte informácie, ktoré sú špecifické pre systém Windows XP
Zvýšiť povedomie o zle bezpečnostné nastavenia, pomocou nástroja Editor objektov politiky skupiny chcete zmeniť nastavenie zabezpečenia. Pri používaní editora objektov skupinovej politiky, priradenia práv používateľov sú rozšírené na nasledujúcich operačných systémov:
  • Windows XP Professional Service Pack 2 (SP2)
  • Windows Server 2003 Service Pack 1 (SP1)
Vylepšená funkcia je dialógové okno obsahujúci odkaz na tento článok. Dialógové okno pri zmene nastavenia zabezpečenia alebo priradenie práv používateľov pre nastavenie, ktoré ponúka menej kompatibility a je prísnejšia. Ak zmeníte priamo rovnaké bezpečnostné nastavenie alebo užívateľ priradenie práv pomocou databázy registry alebo pomocou šablóny zabezpečenia, efekt je rovnaký ako zmenou nastavenia v Editore objektov politiky skupiny. Dialógové okno obsahujúci odkaz na tento článok sa však nezobrazí.

Tento článok obsahuje príklady klientov, programy a činnosti, ktoré sú ovplyvnené osobitné bezpečnostné nastavenia alebo priradenia práv používateľov. Príklady však nie sú autoritatívne pre všetky operačné systémy Microsoft, pre všetky operačné systémy tretích strán, alebo pre všetky verzie programu, ktoré sú postihnuté. Nie všetky nastavenia zabezpečenia a priradenia používateľských práv sú zahrnuté v tomto článku.

Odporúčame, že ste overiť zlučiteľnosť všetky zmeny súvisiace so zabezpečením konfigurácie v lese test pred ich zavedenie v produkčnom prostredí. Test lesa zrkadlový produkcie lesa nasledujúcimi spôsobmi:
  • Klient a server verzie operačného systému, klient andserver programy, service pack verzie, rýchlych, zmeny schémy, securitygroups, členstvo v skupine, povolenia pre objekty systému súborov, sharedfolders, register, adresárovej služby Active Directory, miestne a GroupPolicy nastavenia a objekt počet, typ a umiestnenie
  • Administratívne úlohy, ktoré sú vykonávané, administrativetools, ktoré sú používané a operačných systémov, ktoré sa používajú na performadministrative úloh
  • Operácie, ktoré sa vykonáva takto:
    • Počítač a používateľa prihlasovacie overenie
    • Obnovenie hesla používateľmi, počítačmi a správcovia
    • Prehliadanie
    • Nastavenie povolení pre systém súborov, pre zdieľané priečinky, register a prostriedkov služby Active Directory pomocou ACL Editor v klientské operačné systémy všetkých účet alebo domény prostriedkov z všetky klientske operačné zo všetkých kont domény prostriedkov
    • Tlač z administratívnych a rutinných účtov

Windows Server 2003 SP1

Kliknutím sem zobrazíte informácie, ktoré sú špecifické pre systém Windows Server SP1

Varovanie gpedit.msc

Aby zákazníci vedomý, že oni modifikujú používateľské právo alebo možnosť zabezpečenia, ktoré by mohli mať nepriaznivý vplyv na ich sieti, dva výstražné mechanizmy boli pridané do gpedit.msc. Keď správcovia upravovať používateľské právo, ktoré môžu nepriaznivo ovplyvniť celý podnik, budú vidieť novú ikonu, ktorá sa podobá výnos znamenia. Dostanú aj upozornenie, že odkaz na článok databázy Microsoft Knowledge Base 823659. Znenie tejto správy je nasledovné:
Úprava tohto nastavenia môže ovplyvniť kompatibilitu s klientov, služby a aplikácie. Ďalšie informácie nájdete v téme <user right="" or="" security="" option="" being="" modified="">(Q823659)</user>
Ak ste boli presmerovaní na tento článok databázy Knowledge Base z odkazu v Gpedit.msc, uistite sa, že ste prečítali a porozumeli vysvetlením a možného vplyvu tohto nastavenia. Nasledovné zoznamy používateľskými právami, ktoré obsahujú text upozornenia:
  • Sprístupniť počítač zo siete
  • Prihlásiť sa lokálne
  • Obísť kontrolu prechádzania
  • Povoliť počítačov a používateľov pre dôveryhodné delegácie
Nasledovné zoznamy možnosti zabezpečenia, ktoré majú upozornenia a pop-up správy:
  • Člen domény: Digitálne zašifrovať alebo podpísať údaje zabezpečeného kanála (vždy)
  • Člen domény: Vyžadujú silné (Windows 2000 alebo novšia verzia) kľúča relácie
  • Radič domény: Prihlásenie požiadavky server LDAP
  • Server siete Microsoft: digitálne podpisovanie pri komunikácii (vždy)
  • Prístup na sieť: Umožňuje anonymné Sid / názov preklad
  • Prístup na sieť: Nepovolenie anonymného Sam kont a zdieľaných
  • Zabezpečenie siete: úroveň overovania pre program LAN Manager
  • Audit: Vypnúť systém okamžite v prípade nemožnosti zaznamenať do denníka audity zabezpečenia
  • Prístup na sieť: LDAP klient podpísaním požiadavky
Ďalšie informácie
Nasledujúce časti popisujú nekompatibility, ktoré môžu nastať, keď zmeníte špecifické nastavenia domény systému Windows NT 4.0, Windows 2000 domén a domény systému Windows Server 2003.

Používateľské práva

Kliknutím sem zobrazíte informácie o používateľských práv
Nasledujúci zoznam popisuje používateľské právo, určuje nastavenie konfigurácie, ktoré môžu spôsobiť problémy, opisuje, prečo mali by ste použiť používateľské právo a prečo budete chcieť odstrániť používateľské právo, a uvádza príklady problémov kompatibility, ktoré môže nastať, keď je používateľ správne nakonfigurovaný.
  1. Sprístupniť počítač zo siete
    1. Pozadie

      Schopnosť komunikovať s počítačom so systémom Windows vyžaduje používateľské právo Sprístupniť počítač zo siete . Príklady takýchto sieťové operácie patria:
      • Replikácia služby Active Directory medzi radičmi domény spoločné domény alebo v doménovom lese
      • Požiadavky na overenie na radičoch domény od používateľov a počítačov
      • Prístup do zdieľaných priečinkov, tlačiarní a iných systémových služieb, ktoré sú umiestnené vo vzdialených počítačoch v sieti


      Používatelia, počítače a služby účty získavajú alebo strácajú právo používateľa Sprístupniť počítač zo siete sa explicitne alebo implicitne pridané alebo odstránené zo skupiny zabezpečenia, ktorým bolo udelené toto používateľské právo. Napríklad používateľské konto alebo konto počítača môžu explicitne dopĺňa vlastnú bezpečnosť alebo skupinu Vstavaný bezpečnostný správca, alebo môžu doplniť implicitne operačným systémom vypočítanej zabezpečenia skupiny používateľov domény, Authenticated Users alebo radiče domény podniku.

      V predvolenom nastavení, používateľské kontá a kontá sú poskytované užívateľovi Sprístupniť počítač zo siete správne, keď vypočítaná skupiny všetci alebo, prednostne, Authenticated Users a pre radiče domény, radiče domény podniku skupiny, sú definované v predvolenom nastavení radiče domény Group Policy Object (GPO).
    2. Riskantné konfigurácie

      Nasledovné sú škodlivý konfiguraèné nastavenia:
      • Odstránenie skupiny zabezpečenia podniku radiče domény z toto používateľské právo
      • Odstránenie skupiny Authenticated Users alebo explicitné skupiny, ktorá umožňuje používateľov, počítače a služby účtov právo používateľa na pripojenie k počítačom v sieti
      • Odstránenie všetkých používateľov a počítače od tohto používateľa právo
    3. Dôvodov udeliť toto používateľské právo
      • Udeľovania Sprístupniť počítač zo siete používateľa do skupiny Enterprise radiče domény spĺňa požiadavky na overenie že replikácia služby Active Directory musia replikácia medzi radičmi domény v rovnakom lese.
      • Toto používateľské právo umožňuje používateľom a počítačom prístup zdieľané súbory, tlačiarne a systémových služieb, vrátane služby Active Directory.
      • Toto používateľské právo je potrebné pre používateľov na prístup k pošte pomocou skoré verzie Microsoft Outlook Web Access (OWA).
    4. Dôvody na odstránenie toto používateľské právo
      • Používatelia mohli pripoji na poèítaèe v sieti môžete prístup k prostriedkom na vzdialených počítačoch, ktoré majú povolenia. Toto používateľské právo je napríklad potrebné na pripojenie na zdieľané tlačiarne a priečinky používateľa. Ak tohto používateľa právo udeľuje všetkým skupiny, a ak niektoré zdieľané priečinky zdieľať a povolení systému súborov NTFS nakonfigurovaný tak, že skupine má prístup na čítanie, ktokoľvek môže prezerať súbory v týchto zdieľaných priečinkov. To je však nepravdepodobné situácie pre čerstvé inštalácie systému Windows Server 2003 pretože predvolenú akciu a oprávnenia NTFS v systéme Windows Server 2003 nezahŕňajú skupina Everyone. Pre systémy, ktoré sú inovované z Microsoft Windows NT 4.0 alebo Windows 2000, túto chybu môžu mať vyššiu úroveň rizika pretože predvolenú akciu a súbor systému povolení pre tieto operačné systémy nie sú tak reštriktívne ako predvolené povolenia v systéme Windows Server 2003.
      • Neexistuje žiadny dôvod na odstraňovanie radiče domény podniku skupiny z tohto používateľa právo.
      • Skupina Everyone je obvykle odstránený v prospech skupiny Authenticated Users. Ak skupina Everyone odstránený, skupina Authenticated Users musí udeliť toto používateľské právo.
      • Systém Windows NT 4.0 domény, ktoré sú inovované na systém Windows 2000 nie je výslovne priznať Sprístupniť počítač zo siete užívateľa priamo do skupiny Everyone, skupina Authenticated Users alebo skupiny Enterprise radiče domény. Preto, keď odstránite skupinu Everyone od politiky domény systému Windows NT 4.0, replikácia služby Active Directory zlyhá s "Prístup odmietnutý" chybové hlásenie po inovácii na systém Windows 2000. Winnt32.exe v systéme Windows Server 2003 vyhýba tejto chybným poskytnutím radiče domény podniku skupiny toto používateľské právo pri inovácii systému Windows NT 4.0 primárne radiče domény (primárny radiè). Udelí podniku doménové radiče skupiny toto používateľské právo, ak nie je prítomný v editore politiky skupiny objektov.
    5. Príklady problémov kompatibility
      • Windows 2000 a Windows Server 2003: Replikácia nasledujúcimi oddiely zlyhá s "Prístup odmietnutý" chyby ako reportovali monitorovacie nástroje ako REPLMON a REPADMIN alebo replikácie udalostí v denníku udalostí.
        • Active Directory Schema oddiel
        • Konfigurácia oblasť
        • Doménu oblasť
        • Globálny Katalóg oblasť
        • Oblasť aplikácie
      • Všetky Microsoft sieťové operačné systémy:Overenie používateľského konta zo vzdialenej sieti klientskych počítačov zlyhá ak používateľa alebo skupinu zabezpečenia, ktoré používateľ je členom bolo udelené toto používateľské právo.
      • Všetky Microsoft sieťové operačné systémy:Overenie účtu zo vzdialených sieťových klientov zlyhá ak konto alebo konto je členom skupiny zabezpečenia bolo udelené toto používateľské právo. Tento scenár sa vzťahuje na používateľské kontá, kontá a kontá služby.
      • Všetky Microsoft sieťové operačné systémy:Odstráni všetky kontá od tohto používateľa právo zabráni akýkoľvek účet z prihlásením do domény alebo prístup k sieťovým prostriedkom. Ak vypočítaná skupiny ako radiče domény podniku, všetci, alebo Authenticated Users sú odstránené, musíte explicitne pridelíte toto používateľské právo kontá alebo skupiny zabezpečenia, že konto je členom prístup k vzdialeným počítačom v sieti. Tento scenár sa vzťahuje na všetky používateľské kontá, všetky kontá a všetky kontá služby.
      • Všetky Microsoft sieťové operačné systémy:Lokálne konto správcu používa heslo "prázdne". Pre kontá administrator v prostredí domény nie je povolené pripojenie k sieti s prázdnymi heslami. S touto konfiguráciou, môžete očakávať, že sa zobrazí chybové hlásenie "Prístup odmietnutý".
  2. Povoliť prihlásenie na lokálne
    1. Pozadie

      Užívatelia, ktorí sa snažia prihlásiť na konzole systému Windows-založené počítača (pomocou klávesovej skratky CTRL + ALT + DELETE) a účtov, ktorí sa snažia spustiť službu musíte mať oprávnenia na miestne prihlásenie hosťovaní v počítači. Príklady operácií lokálny prihlasovací správcovia, ktorí sú prihlásení do konzoly členské počítače alebo radiče domény v celom podniku a domén používateľov, ktorí sú prihlásení na členské počítače pre prístup k ich počítačov pomocou non-privilegovaných kont. Používatelia, ktorí používajú Pripojenie vzdialenej skúsenosti s prácou s počítačom alebo terminálových služieb musí mať povolenie na miestne prihlásenie užívateľa priamo na cieľové počítače so systémom Windows 2000 alebo Windows XP pretože tieto prihlasovacie režimy sú považované za miestne hosťovaní počítač. Užívatelia, ktorí sú prihlásení na server, ktorý má terminálového servera povolené a ktorí nemajú toto používateľské právo stále možné spustiť vzdialenej relácie interaktívneho v doménach Windows Server 2003 ak majú právo používateľa Povoliť prihlásenie prostredníctvom terminálových služieb .
    2. Riskantné konfigurácie

      Nasledovné sú škodlivý konfiguraèné nastavenia:
      • Odstránenie administratívnej bezpečnosti skupín, vrátane účtu operátorov, Backup Operators, Print Operators alebo Server Operators, a vstavanej skupine Administrators z radiča domény predvolené politiky.
      • Odstránenie služby kontá použité komponenty a programy na členské počítače a radiče domény z radiča domény predvolené politiky.
      • Odstránenie používateľov alebo skupín zabezpečenia, ktoré prihlásenie ku konzole členské počítače v doméne.
      • Odstránenie služby účtov, ktoré sú definované v lokálnej databáze bezpečnostné účty správca (SAM) členské počítače alebo počítače v pracovnej skupine.
      • Odstránenie non-postavený-v správnych kont, ktoré sú autentifikáciu prostredníctvom terminálových služieb, ktorá je spustená na radiči domény.
      • Pridanie všetky používateľské kontá v doméne explicitne alebo implicitne cez každý skupiny zakázať lokálne prihlásenie prihlásiť priamo. Toto nastavenie zabráni užívateľom prihlásení na ľubovoľný členský počítač alebo na každý radič domény v doméne.
    3. Dôvodov udeliť toto používateľské právo
      • Používatelia musia mať povolenie na miestne prihlásenie používateľské právo prístupu k konzoly alebo na pracovnú plochu počítača workgroup, členské počítača alebo radiča domény.
      • Používatelia musia mať tento používateľ právo na prihlásenie počas relácie terminálových služieb, ktorý je spustený na počítači so systémom Window 2000 člen alebo radič domény.
    4. Dôvody na odstránenie toto používateľské právo
      • Obmedziť prístup ku konzole na legitímne používateľské kontá by mohlo dôjsť neoprávneným používateľom stiahnutie a spustenie škodlivý kód zmeniť svoje používateľské práva.
      • Odstránenie povolenie prihlásiť sa lokálne používateľské právo bráni neoprávnenému prihlásenia na konzolách počítačov, napríklad radiče domény alebo serverov aplikácií.
      • Odstránenie tohto prihlasovacie práva zabraňuje doménové kontá prihlásení na konzolu členské počítače v doméne.
    5. Príklady problémov kompatibility
      • Windows 2000 terminálové servery:Povoliť prihlásenie lokálne používateľské právo sa vyžaduje pre používateľov na prihlásenie do systému Windows 2000 terminálové servery.
      • Windows NT 4.0, Windows 2000, Windows XP alebo Windows Server 2003:Používateľské kontá sa musí udeliť toto používateľské právo na prihlásenie na konzolu počítače so systémom Windows NT 4.0, Windows 2000, Windows XP alebo Windows Server 2003.
      • Windows NT 4.0 a novší:Na počítačoch, ktoré sú systémom Windows NT 4.0 a neskôr, ak pridáte Povoliť prihlásenie na lokálne používateľské právo, ale implicitne alebo explicitne taktiež udeliť právo zakázať lokálne prihlásenie prihlásenie, závierky nebude môcť prihlásiť na konzole radiče domény.
  3. Obísť kontrolu prechádzania
    1. Pozadie

      Obísť kontrolu prechádzania používateľské právo umožňuje používateľovi prehľadávať priečinky v systéme súborov NTFS alebo v databáze registry bez kontroly špeciálne prístupové povolenia Prechádzať priečinok . Obísť kontrolu prechádzania používateľské právo neumožňuje používateľovi zobrazovať obsah priečinka. To umožňuje užívateľovi prechádzať len svoje priečinky.
    2. Riskantné konfigurácie

      Nasledovné sú škodlivý konfiguraèné nastavenia:
      • Odstránenie neadministratívneho účtov, ktorí sa prihlasujú na počítače so systémom Windows 2000 Terminal Services alebo Windows Server 2003-založené terminálových služieb počítačov, ktoré nemajú povolenia na prístup k súborov a priečinkov v systéme súborov.
      • Odstránenie skupiny Everyone zo zoznamu objektov zabezpečenia, ktorí majú toto používateľské právo podľa predvoleného nastavenia. Operačných systémov Windows a tiež mnohé programy sú navrhnuté s očakávaním, že každý, kto môže oprávnene prístup k počítaču budú mať obísť kontrolu prechádzania používateľské právo. Preto odstránenie každého skupinu zo zoznamu objektov zabezpečenia, ktorí majú toto používateľské právo podľa predvoleného nastavenia môže viesť nestabilitu operačného systému alebo zlyhania programu. Je lepšie, že necháte toto nastavenie predvolené.
    3. Dôvodov udeliť toto používateľské právo

      Predvolené nastavenie pre obísť kontrolu prechádzania používateľské právo je umožniť komukoľvek obísť kontrolu prechádzania. Skúsení správcovia systému Windows, to je očakávané správanie a nakonfigurovaní súborov systému zoznamy riadenia prístupu (DACL) príslušne. Jediný scenár kde predvolená konfigurácia môže viesť k nehody je ak správcu, ktorý nakonfiguruje povolenia nerozumie správanie a očakáva, že užívatelia, ktorí nemajú prístup k materskej zložky nebude možné pristupovať k obsahu všetkých priečinkov pre deti.
    4. Dôvody na odstránenie toto používateľské právo

      Pokúsiť sa zabrániť prístupu k súbory alebo priečinky v systéme súborov, organizácie, ktoré sú veľmi znepokojení bezpečnosti môže byť v pokušení odstrániť skupina Everyone, alebo dokonca skupine používateľov zo zoznamu skupín, ktoré majú obísť kontrolu prechádzania používateľské právo.
    5. Príklady problémov kompatibility
      • Windows 2000, Windows Server 2003:Ak obísť kontrolu prechádzania používateľské právo je odstránená alebo je zle na počítačoch so systémom Windows 2000 alebo Windows Server 2003, nastavenia skupinovej politiky v priečinku SYVOL nie kopírovať medzi radiče domén v doméne.
      • Windows 2000, Windows XP Professional, Windows Server 2003:Počítače so systémom Windows 2000, Windows XP Professional alebo Windows Server 2003 zaznamená do denníka udalosti 1000 a 1202 a nebude možné uplatniť politiky počítača a politiky používateľa pri systém povolenia požadovaného súboru odstránia zo stromu SYSVOL ak Bypass traverse kontroly právo používateľa sa odstráni alebo je zle.

        Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
        290647 Identifikácia udalosti 1000, 1001 je zaznamenaná každých päť minút v denníku udalostí aplikácie
      • Windows 2000, Windows Server 2003: Na počítačoch so systémom Windows 2000 alebo Windows Server 2003, kvóty kartu v programe Windows Explorer zmizne keď zobrazíte vlastnosti zväzku.
      • Windows 2000: Non-správcovia, ktorí sa prihlasujú na terminálový server, Windows 2000 mô¾ete dosta nasledujúce chybové hlásenie:
        Userinit.exe chyba aplikácie. Inicializácia aplikácie zlyhala správne 0xc0000142 kliknite na tlačidlo OK môžete aplikáciu ukončiť.
        Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
        272142 Používatelia automaticky odhlásení pri pokuse o prihlásenie na terminálových služieb
      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003:Užívatelia, ktorých počítače so systémom Windows NT 4.0, Windows 2000, Windows XP alebo Windows Server 2003 nemusí byť schopný získať prístup k zdieľaným priečinkom alebo súborom v zdieľaných priečinkoch, a môže prijímať "Prístup odmietnutý" chybové hlásenia ak nie sú poskytnuté obísť kontrolu prechádzania používateľské právo.

        Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
        277644 "Prístup bol odmietnutý" chybové hlásenie pri pokuse získať prístup k zdieľaným priečinkom
      • Windows NT 4.0:Na počítačoch so systémom Windows NT 4.0, spôsobí odstránenie obísť kontrolu prechádzania používateľské právo kópiu súboru kvapka súbor potokov. Ak odstránite toto používateľské právo, keď súbor je skopírovaný z klienta systému Windows alebo Macintosh klient k radiču domény systému Windows NT 4.0 so službou Services for Macintosh, cieľový súbor prúd je stratený, a súbor sa zobrazí ako textový súbor.

        Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
        172930 Odstránenie "Bypass Traverse Checking" spôsobí kopírovanie súborov na pokles prúdy
      • Microsoft Windows 95, Microsoft Windows 98:Na klientskom počítači so systémom Windows 95 alebo Windows 98, čisté využitie * / home príkaz zlyhá s "Prístup odmietnutý" chybové hlásenie ak skupina Authenticated Users neposkytuje obísť kontrolu prechádzania používateľské právo.
      • Služba outlook Web Access:Non-správca sa nebude môcť prihlásiť do programu Microsoft Outlook Web Access, a dostanú "Prístup odmietnutý" chybové hlásenie, ak nie sú poskytnuté obísť kontrolu prechádzania používateľské právo.

Nastavenia zabezpečenia

Kliknutím sem zobrazíte informácie o nastavení zabezpečenia
Nasledujúci zoznam identifikuje nastavenia zabezpečenia a vnoreného zoznamu obsahuje popis o nastavenie zabezpečenia určuje nastavenia konfigurácie, ktoré môžu spôsobiť problémy, opisuje, prečo mali by ste použiť nastavenie zabezpečenia a potom opisuje dôvody, prečo možno budete chcieť odstrániť nastavenie zabezpečenia. Vnoreného zoznamu potom poskytuje symbolický názov nastavenia zabezpečenia a sú cesty registra na nastavenie zabezpečenia. Napokon, príklady sú poskytované problémov kompatibility, ktoré sa môžu vyskytnúť pri konfigurácii nastavenia zabezpečenia.
  1. Audit: Vypnúť systém okamžite v prípade nemožnosti zaznamenať do denníka audity zabezpečenia
    1. Pozadie
      • Audit: vypnúť systém okamžite v prípade nemožnosti zaznamenať do denníka audity zabezpečenia nastavenie určuje, či sa systém vypne, ak sa nemôžete prihlásiť udalosti zabezpečenia. Toto nastavenie je potrebné pre vyhodnotenie programu dôveryhodný kritériá hodnotenia o zabezpečenia počítača (TCSEC) C2 a spoločné kritériá pre bezpečnostné vyhodnotenie informačnej technológie Ak chcete zabrániť kontrolovateľných akcií systému auditu nemôže prihlásiť týchto udalostí. Ak systém auditu zlyhá, systém je vypnutý, a sa zobrazí chybové hlásenie Stop.
      • Ak počítač nemôže zaznamenať udalosti do denníka zabezpečenia, rozhodujúce dôkazy alebo dôležité informácie o riešení problémov nebude k dispozícii pre preskúmanie po bezpečnostného incidentu.
    2. Riskantné konfigurácie

      Nasledujúci text je škodlivé konfiguračných: auditu: vypnúť systém okamžite v prípade nemožnosti zaznamenať do denníka audity zabezpečenia je zapnutá, a veľkosť denníka udalostí zabezpečenia je obmedzená možnosť Neprepisovať udalosti (denník vymazávať ručne) , potrebných prepísať udalosti ako možnosť, alebo Prepisovať udalosti staršie ako číslo dní možnosti zobrazovača udalostí. Nájdete v časti "Príklady problémov kompatibility" informácie o špecifických rizikách pre počítače so systémom pôvodnej vydanej verzii systému Windows 2000, Windows 2000 Service Pack 1 (SP1), Windows 2000 SP2 alebo Windows 2000 SP3.
    3. Dôvodov povoliť toto nastavenie

      Ak počítač nemôže zaznamenať udalosti do denníka zabezpečenia, rozhodujúce dôkazy alebo dôležité informácie o riešení problémov nebude k dispozícii pre preskúmanie po bezpečnostného incidentu.
    4. Dôvodov vypnúť toto nastavenie
      • Zapnutie Audit: vypnúť systém okamžite v prípade nemožnosti zaznamenať do denníka audity zabezpečenia nastavenie zastaví systém ak Bezpečnostný audit nedá sa prihlásiť z akéhokoľvek dôvodu. Typicky, nedá sa prihlásiť udalosť denníka auditu zabezpečenia je plný a keď jej špecifikovaného retenčného metóda je buď možnosť Neprepisovať udalosti (denník vymazávať ručne) alebo Prepisovať udalosti staršie ako číslo dní možnosť.
      • Administratívne bremeno umožňujúce auditu: vypnúť systém okamžite v prípade nemožnosti zaznamenať do denníka audity zabezpečenia nastavenie môže byť veľmi vysoká, najmä ak si zapnú možnosť Neprepisovať udalosti (denník vymazávať ručne) pre denník zabezpečenia. Toto nastavenie poskytuje individuálne zodpovednosť prevádzkovateľa akcií. Napríklad Správca mohol reset oprávnenia pre všetkých užívateľov, počítače a skupín do organizačnej jednotky (OU) kde auditovanie bolo povolené pomocou vstavané konto správcu alebo iného zdieľaného konta a potom popierať, že reset takýchto povolení. Však umožňuje nastavenie znížiť robustnosť systému, pretože server nemôže byť nútený k vypnutie ohromujúci udalosti prihlásenia a iných udalostí zabezpečenia, ktoré sa zapisujú do denníka zabezpečenia. Navyše, pretože vypnutie nie je pôvabná, nenapraviteľné poškodenie operačného systému, programov alebo dát môže viesť. Zatiaľ čo NTFS zaručuje, že integritu systému súborov je udržiavaná počas vypnutia ungraceful systému, nemôže zaručiť, že každý súbor s údajmi pre každý program ešte bude v použiteľnej forme pri reštarte systému.
    5. Symbolický názov:

      CrashOnAuditFail

    6. Cesty databázy Registry:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)
    7. Príklady problémov kompatibility
      • Windows 2000:Z dôvodu chyby, počítače so systémom pôvodnej vydanej verzii systému Windows 2000, Windows 2000 SP1, Windows 2000 SP2 a Windows Server SP3 môže zastaviť zapisovanie do denníka udalostí pred nedosiahne požadovanú veľkosť je zadaná vo voľbe maximálnu veľkosť denníka udalostí denníka zabezpečenia. Táto chyba je stanovená vo Windows 2000 Service Pack 4 (SP4). Uistite sa, že vaša radiče domény Windows 2000 Windows 2000 Service Pack 4 nainštalovaný pred zvážiť Zapnutie tohto nastavenia.

        Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
        312571 Denník udalostí sa zastaví zapisovanie do denníka udalostí pred dosiahnutím maximálna veľkosť denníka
      • Windows 2000, Windows Server 2003:Počítače so systémom Windows 2000 alebo Windows Server 2003 môže prestať reagovať a potom môže spontánne reštartovať Ak auditu: vypnúť systém okamžite v prípade nemožnosti zaznamenať do denníka audity zabezpečenia je zapnutá, denník zabezpečenia je plný a nedá sa prepísať existujúcu položku denníka udalostí. Po reštartovaní počítača sa zobrazí nasledujúce chybové hlásenie:
        ZASTÁVKA: C0000244 {neúspešný Audit}
        Pokus o vygenerovanie zabezpečovacieho auditu zlyhal.
        Obnoviť, musí správca prihlásiť, archivovať denník zabezpečenia (voliteľné), vymazať denník zabezpeèenia a potom obnoviť túto možnosť (dobrovoľné a podľa potreby).
      • Sieť Microsoft klient pre MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003:Non-správcovia, ktorí skúste prihlásiť k doméne sa zobrazí nasledovné chybové hlásenie:
        Vaše konto je nakonfigurované zabránite používa tento počítač. Skúste iný počítač.
        Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
        160783 Chybové hlásenie: nemožno používatelia prihlasovať pracovnej stanici
      • Windows 2000:Na počítačoch so systémom Windows 2000, non-správcovia nebude môcť prihlásiť na servery pre vzdialený prístup, a sa zobrazí chybové hlásenie podobné nasledovnému:
        Neznámy používateľ alebo zlé heslo
        Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
        285665 Chybové hlásenie: váš účet je nakonfigurovaný na zabrániť vám v používaní tohto počítača
      • Windows 2000:Na radičoch domény systému Windows 2000 medzi sieťami Messaging service (Ismserv.exe) sa zastaví a nedá sa reštartovať. DCDIAG ohlási chybu ako "zlyhal test služby ISMserv", a udalosť ID 1083 bude zaregistrovaná v prípade denníka.
      • Windows 2000:Na radičoch domény systému Windows 2000 služby Active Directory replication zlyhá a hlásenie "Prístup odmietnutý" sa objaví, ak udalosť denník zabezpečenia je plný.
      • Microsoft Exchange 2000:Servery, ktoré bežia Exchange 2000 nebude schopný pripojiť databázu informácií, a udalosť 2102 bude zapísaná v prípade denníka.

        Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
        314294 Exchange 2000 chybové správy sú vytvárané SeSecurityPrivilege právo a Policytest otázky
      • Outlook, Outlook Web Access: Non-správcovia nebude mať prístup k ich poštu prostredníctvom programu Microsoft Outlook alebo Microsoft Outlook Web Access, a budú dostávať chybu 503.
  2. Radič domény: server LDAP podpisu požiadavky
    1. Pozadie

      Radiča domény: server LDAP podpisu požiadavky nastavenie zabezpečenia určuje, či server Lightweight Directory Access Protocol (LDAP) vyžaduje LDAP klientov rokovať o podpísanie údajov. Možné hodnoty pre toto nastavenie politiky sa mení a dopĺňa takto:
      • Žiadna: Podpísanie údajov nie je povinný zaviazať so serverom. Ak klient požiada o podpísanie údajov, že ho server podporuje.
      • Vyžadujú prihlásenie: Možnosť podpísanie údajov LDAP musia prerokovať pokiaľ dopravy vrstvu zabezpečenia/Secure Socket Layer (TLS/SSL) je používaný.
      • nie je definovaná: Toto nastavenie nie je zapnuté alebo vypnuté.
    2. Riskantné konfigurácie

      Nasledovné sú škodlivý konfiguraèné nastavenia:
      • Umožňujúce vyžadovať podpísanie v prostredí, kde klienti nepodporujú LDAP podpisu alebo kde podpisom klienta LDAP nie je povolená na strane klienta
      • Použitie Windows 2000 alebo Windows Server 2003 isecdc.inf šablóna zabezpečenia v prostredí kde klienti nepodporujú LDAP podpisu alebo kde podpisom klienta LDAP nie je povolená
      • Použitie Windows 2000 alebo Windows Server 2003 Hisecws.inf šablóna zabezpečenia v prostredí kde klienti nepodporujú LDAP podpisu alebo kde podpisom klienta LDAP nie je povolená
    3. Dôvodov povoliť toto nastavenie

      Nepodpísané sieťovej prevádzky je citlivý na útoky man-in--middle kde votrelec zachytí pakety medzi klientom a serverom, modifikuje pakety, a potom je posiela na server. Keď toto správanie sa vyskytuje na serveri LDAP, útočník môže spôsobiť server robiť rozhodnutia, ktoré sú založené na falošných dotazy od klienta LDAP. Realizovaním silné fyzické bezpečnostné opatrenia na ochranu infraštruktúry siete môžete znížiť toto riziko v podnikovej sieti. Internet Protocol security (IPSec) overenie hlavičky režim pomáha zabraňovať útokom man-in--middle. Režim overovania hlavičky vykonáva vzájomného overenia a integrity paketov pre prenos protokolu IP.
    4. Dôvodov vypnúť toto nastavenie
      • Klientov, ktorí nepodporujú LDAP podpisu nebude schopný vykonávať LDAP dotazy proti radičov domény a globálnymi katalógmi Ak sa vyjedná overenie pomocou štandardu NTLM a ak nie sú nainštalované správne service pack na radičoch domény systému Windows 2000.
      • Siete stopy LDAP prenos medzi klientmi a servermi budú zašifrované. To sťažuje preskúmať LDAP konverzácie.
      • Servery so systémom Windows 2000 Windows 2000 Service Pack 3 (SP3) nainštalovaný program alebo keď sú podávané s programami, že podpora LDAP podpísania, ktoré sú spúšťané z klientske počítače so systémom Windows 2000 SP4, Windows XP alebo Windows Server 2003. Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
        325465 Radiče domény Windows 2000 vyžaduje Service Pack 3 alebo novšia, pri použití Windows Server 2003 administration tools
    5. Symbolický názov:

      LDAPServerIntegrity
    6. Cesty databázy Registry:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)
    7. Príklady problémov kompatibility
      • Jednoduché viaže zlyhá a zobrazí nasledujúce chybové hlásenie:
        Ldap_simple_bind_s() zlyhal: požaduje sa striktné overenie.
      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003:Klientov so systémom Windows 2000 SP4, Windows XP alebo Windows Server 2003, niektoré nástroje na správu služby Active Directory nebude fungovať správne proti radiče domény, ktoré sú spustené verzie systému Windows 2000, ktoré sú skôr než SP3 Ak sa vyjedná overenie pomocou štandardu NTLM.

        Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
        325465 Radiče domény Windows 2000 vyžaduje Service Pack 3 alebo novšia, pri použití Windows Server 2003 administration tools
      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003:Klientov so systémom Windows 2000 SP4, Windows XP alebo Windows Server 2003, nejaké Active Directory administratívne nástroje tento cieľ radiče domény, ktoré používajú verzie systému Windows 2000, ktoré sú staršie než SP3 nebude fungovať správne, ak sú pomocou IP adresy (napríklad "/ dsa.msc server =x.x.x.x"kde x.x.x.x je IP adresa).

        Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
        325465 Radiče domény Windows 2000 vyžaduje Service Pack 3 alebo novšia, pri použití Windows Server 2003 administration tools
      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003:Klientov so systémom Windows 2000 SP4, Windows XP alebo Windows Server 2003, niektoré nástroje na správu služby Active Directory tento cieľ radiče domény, ktoré sú spustené verzie systému Windows 2000, ktoré sú staršie než SP3 nebude pracovať správne.

        Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
        325465 Radiče domény Windows 2000 vyžaduje Service Pack 3 alebo novšia, pri použití Windows Server 2003 administration tools
  3. Člen domény: vyžadovanie účinného kľúča relácie (systém Windows 2000 alebo novší)
    1. Pozadie
      • Člen domény: vyžadovanie účinného kľúča relácie (systém Windows 2000 alebo novší) nastavenie určuje, či možno vytvoriť zabezpečený kanál s radičom domény, ktorý nie je možné šifrovať prenos cez zabezpečený kanál s silné, 128-bitového kľúča. Zapnutie tohto nastavenia sa zabráni vytvorenie zabezpečený kanál so žiadnym radičom domény, ktorý nie je možné zašifrovať údaje zabezpečeného kanála pomocou účinného kľúča. Vypnutie tohto nastavenia umožní 64-bitové kľúče relácie.
      • Pred povolením tohto nastavenia na členská pracovná stanica alebo server, všetky radiče domén v doméne, patria k musí byť schopný zašifrovať údaje zabezpečeného kanála s silné, 128-bitovým kľúčom. To znamená, že všetkých takých radičoch domén musí byť spustený systém Windows 2000 alebo novší.
    2. Riskantné konfigurácie

      Zapnutie člen domény: vyžadovanie účinného kľúča relácie (systém Windows 2000 alebo novší) nastavenie je škodlivé konfiguračné nastavenie.
    3. Dôvodov povoliť toto nastavenie
      • Kľúče relácie, ktoré sa používajú na vytvorenie zabezpečeného komunikačného kanála medzi členské počítače a radiče domény sú oveľa silnejšie v systéme Windows 2000, než oni sú v starších verziách operačných systémov spoločnosti Microsoft.
      • Ak je to možné, je dobré využiť tieto silnejšie kľúče relácie chrániť zabezpečeného komunikačného kanála z odpočúvania a zasadnutí uloupení sieťových útokov. Eavesdropping je forma útoku kde sieť dát je čítať alebo je zmenený v tranzite. Údaje môžu byť upravené, skryť alebo zmeniť odosielateľa alebo presmerovať.
      Dôležité: Počítač so systémom Windows Server 2008 R2 alebo Windows 7 podporuje iba silné kľúče pri zabezpečených kanálov sú používané. Toto obmedzenie zabraňuje dôveru medzi akéhokoľvek systému Windows NT 4.0 založená domény a všetky domény systému Windows Server 2008 R2-založené. Navyše toto obmedzenie blokuje domény založenej na systéme Windows NT 4.0 členstva v počítačoch so systémom Windows 7 alebo Windows Server 2008 R2, a naopak.
    4. Dôvodov vypnúť toto nastavenie

      Doména obsahuje èlenské poèítaèe, ktoré sú spustené operačné systémy ako Windows 2000, Windows XP alebo Windows Server 2003.
    5. Symbolický názov:

      StrongKey
    6. Cesty databázy Registry:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)
    7. Príklady problémov kompatibility

      Windows NT 4.0:Na počítačoch so systémom Windows NT 4.0, resetovanie zabezpečených kanálov vzťahy dôvery medzi systémom Windows NT 4.0 a Windows 2000 domén s NLTEST zlyhá. Zobrazí chybové hlásenie "Prístup odmietnutý":
      Vzťah dôvery medzi primárnou doménou a dôveryhodnou doménou zlyhal.

      Windows 7 a Server 2008 R2:Pre Windows 7 a novšie verzie a Windows Server 2008 R2 a novších verzií, toto nastavenie nie je poctený dlhšie a silné tlaãidlom vždy. Vzhľadom na to, že fondy s doménami systému Windows NT 4.0 nefungujú dlhšie.
  4. Člen domény: Digitálne zašifrovať alebo podpísať údaje zabezpečeného kanála (vždy)
    1. Pozadie
      • Zapnutie člen domény: Digitálne zašifrovať alebo podpísať údaje zabezpečeného kanála (vždy) bráni stanovenie zabezpečený kanál so žiadnym radičom domény, ktorý nemôže podpísať alebo šifrovať všetky údaje zabezpečeného kanála. Chrániť overenie prevádzky od man-in--middle útoky, útoky replay a iné druhy sieťových útokov, počítače so systémom Windows vytvoriť komunikačný kanál, ktorý je známy ako zabezpečeného kanála cez službu Prihlasovanie na sieť na overenie počítačových kont. Zabezpečené kanály sa používajú aj pri používateľa v jednej doméne pripojí k sieťovému prostriedku vo vzdialenej doméne. Tento multi-Domain overovania alebo overovania, umožňuje Windows-založené počítača, ktorý sa pripojil domény na prístup k databáze používateľských kont vo svojej doméne a vo všetkých dôveryhodných domén.
      • Aby člen domény: Digitálne zašifrovať alebo podpísať údaje zabezpečeného kanála (vždy) nastavenie na členskom počítači, všetky radiče domén v doméne, patria k musí byť schopný podpisovať alebo šifrovať všetky údaje zabezpečeného kanála. To znamená, že všetkých takých radičoch domén musí byť spustený systém Windows NT 4.0 s aktualizáciou Service Pack 6a (SP6a) alebo neskôr.
      • Zapnutie člen domény: Digitálne zašifrovať alebo podpísať údaje zabezpečeného kanála (vždy) nastavenie automaticky umožňuje člen domény: Digitálne zašifrovať alebo podpísať údaje zabezpečeného kanála (keď je to možné) nastavenie.
    2. Riskantné konfigurácie

      Zapnutie člen domény: Digitálne zašifrovať alebo podpísať údaje zabezpečeného kanála (vždy) nastavenie v oblastiach kde nie všetky radiče domén môžu podpísať alebo zašifrovať údaje zabezpečeného kanála je škodlivé konfiguračné nastavenie.
    3. Dôvodov povoliť toto nastavenie

      Nepodpísané sieťovej prevádzky je náchylná k man-in--middle útokov, kde votrelec zachytí pakety medzi serverom a klientom a modifikuje ich pred odovzdaním zákazníkovi. Keď toto správanie sa vyskytuje na serveri Lightweight Directory Access Protocol (LDAP), votrelec mohol spôsobiť klient robiť rozhodnutia, ktoré sú založené na nepravdivé záznamy z adresára LDAP. Realizovaním silné fyzické bezpečnostné opatrenia na ochranu infraštruktúry siete môže znížiť riziko takéhoto útoku v podnikovej sieti. Okrem toho vykonávanie Internet Protocol security (IPSec) hlavičky režim overovania môže pomôcť zabrániť man-in--middle útoky. Tento režim vykonáva vzájomného overenia a integrity paketov pre prenos protokolu IP.
    4. Dôvodov vypnúť toto nastavenie
      • Počítače v miestnych alebo externých domén podpora šifrované zabezpečené kanály.
      • Nie všetky radiče domény v doméne majú vhodnú službu pack revízie úrovne podpory šifrované zabezpečené kanály.
    5. Symbolický názov:

      StrongKey
    6. Cesty databázy Registry:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)
    7. Príklady problémov kompatibility
      • Windows NT 4.0: Počítače so systémom Windows 2000 člen nebude schopný pripojiť sa k systému Windows NT 4.0 domény a sa zobrazí nasledujúce chybové hlásenie:
        Konto nemá povolenie k prihláseniu sa z tejto stanice.
        Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
        281648 Chybové hlásenie: konto nemá povolenie k prihláseniu sa z tejto stanice
      • Windows NT 4.0:Systém Windows NT 4.0 domény nebude možné zriadiť nižšej úrovne dôvery s doménou systému Windows 2000 a sa zobrazí nasledujúce chybové hlásenie:
        Konto nemá povolenie k prihláseniu sa z tejto stanice.
        Existujúce nižšej úrovne dôveryhodnosti môžu tiež overiť používatelia z dôveryhodnej domény. Niektorí používatelia môžu mať problémy s prihlásením na doménu, a môže zobraziť chybové hlásenie, ktoré uvádza, že klient nemôže nájsť doména.
      • Windows XP:Windows XP klientov, ktoré sú pripojené k systému Windows NT 4.0 domény budú môcť overenie pokusov o prihlásenie a môže zobraziť nasledovné chybové hlásenie, alebo môžu byť registrované nasledujúce udalosti do denníka udalostí:
        Systém Windows nemôže pripojiť do domény, pretože radič domény je nadol alebo je inak nedostupný alebo konto počítača sa nepodarilo nájsť

        Udalosť 5723: Relácie nastavenia z počítača Názov_počítača zlyhalo overenie. Je názov konta v zabezpečovacej databáze Názov_počítača. Vyskytla sa nasledovná chyba: prístup bol odmietnutý.

        Udalosť 3227: Relácia Inštalátor Windows NT alebo Windows 2000 radič domény Názov servera pre doménu Doménové meno zlyhalo, pretože Názov servera nepodporuje podpisu alebo tesniace prihlasovanie relácií. Inovujte radič domény, alebo nastaviť RequireSignOrSeal databázy Registry na tomto počítači na 0.

        Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
        318266 Windows XP klientov nemôže prihlásiť k doméne systému Windows NT 4.0
      • Microsoft Network:Microsoft Network klienti získajú jedným z nasledujúcich chybových hlásení:
        Prihlásenie zlyhalo: neznáme užívateľské meno alebo zlé heslo.
        Neexistuje žiadny kľúč používateľskej relácie pre špecifikované prihlasovaciu reláciu.
  5. Klient siete Microsoft: digitálne podpisovanie pri komunikácii (vždy)
    1. Pozadie

      Bloku SMB (Server Message) je zdieľanie zdrojov protokol, ktorý podporuje mnoho operačných systémov spoločnosti Microsoft. To je základ siete základný vstupno-výstupný systém (NetBIOS) a mnohých ďalších protokolov. Podpisovanie blokov SMB overuje používateľa a server, ktorý hosťuje údaje. Ak ktorákoľvek strana zlyhá proces overovania, prenos nedôjde.

      Umožnenie SMB podpisu začína počas vyjednávania protokolu SMB. Podmienky podpisovania SMB určuje, či počítač vždy digitálne podpíše klientovu komunikáciu.

      Overovací protokol Windows 2000 SMB podporuje vzájomné overovanie. Vzájomné overenie zavrie útoku "man-in--middle". Overovací protokol Windows 2000 SMB podporuje overovanie správ. Správy overenia pomáhate útokov aktívnych správ. Aby ste toto overovanie, podpisovanie blokov SMB stavia digitálneho podpisu do každého SMB. Klient a server overiť digitálny podpis.

      Použitie podpisovanie blokov SMB, musíte zapnúť podpisovanie blokov SMB alebo vyžadujú SMB podpisu klienta SMB a servera SMB. Ak je podpisovanie blokov SMB zapnuté na server, klientov, ktorí zapnutým podpisovaním blokov SMB používajú protokol podpisovania paketov pri všetkých nasledujúcich reláciách. Ak je podpisovanie blokov SMB od servera požaduje, klient nemôže vytvoriť reláciu Ak klient má zapnuté alebo vyžiadané podpisovanie blokov SMB.

      Zapnutie digitálneho podpisu v high-bezpečnostné siete pomáha predchádzať zosobnenie klientov a serverov. Tento druh anonymity je známy ako zasadnutí uloupení. Útočník, ktorý má prístup k tej istej sieti ako klient alebo server používa zasadnutí uloupení nástroje prerušiť, ukončiť alebo ukradnúť prebieha relácia. Útočník mohol zachytiť a upraviť nepodpísané SMB paketov upraviť prevádzka a potom odovzdá ho tak, že server môže vykonať nežiaduce operácie. Alebo útočník mohol predstavovať ako server alebo klient po overení legitímne a potom získať neoprávnený prístup k údajom.

      SMB protokol, ktorý sa používa pre zdieľanie súborov a zdieľanie tlačiarní v počítačoch so systémom Windows 2000 Server, Windows 2000 Professional, Windows XP Professional alebo Windows Server 2003 podporuje vzájomné overovanie. Vzájomné overenie zavrie zasadnutí uloupení útoky a podporuje overovanie správ. Preto zabraňuje útokom man-in--middle. Podpisovanie blokov SMB zabezpečuje overovanie umiestnením digitálny podpis v každej SMB. Klient a server potom overiť podpis.

      Poznámky
      • Ako alternatívne protiopatrenia, môžete povoliť digitálne podpisy pomáhajú chrániť všetky sieťové prenosy IPSec. Existujú hardware-založené urýchľovače IPSec šifrovania a podpísania, ktoré umožňuje minimalizovať vplyv na výkon procesora servera. Neexistujú žiadne takéto urýchľovače, ktoré sú k dispozícii pre podpisovanie blokov SMB.

        Ďalšie informácie nájdete v téme Digitálne podpísať komunikáciu servera Kapitola na webovej lokalite Microsoft MSDN.

        Konfigurovať podpisovanie blokov SMB prostredníctvom editora objektov skupinovej politiky, pretože zmeny do lokálnej databázy registry hodnotu nemá žiadny vplyv, ak existuje prevažujúci politiky domény.
      • Windows 95, Windows 98 a Windows 98 Second Edition, klienta služby Directory Services používa podpisovanie blokov SMB keď sa overuje pomocou serverov Windows Server 2003 pomocou štandardu NTLM. Títo klienti však Nepoužívajte SMB podpisovanie pri overovaní s týmito servermi pomocou overovanie NTLMv2. Navyše Windows 2000 servery nereagujú na SMB podpísanie žiadosti od týchto klientov. Pre viac informácií, pozri bod 10: "zabezpečenie siete: úroveň overenia pre Lan Manager."
    2. Riskantné konfigurácie

      Nasleduje škodlivé konfiguračných: Takže ako klient siete Microsoft: digitálne podpisovanie pri komunikácii (vždy) nastavenie a klient siete Microsoft: digitálne podpisovanie pri komunikácii (ak server súhlasí) nastavenie nastavená na "" nie je definovaná alebo vypnuté. Tieto nastavenia umožňujú Presmerovač posielať heslá ako obyčajný text Microsoft SMB serverov, ktoré nepodporujú šifrovanie hesiel počas overovania.
    3. Dôvodov povoliť toto nastavenie

      Zapnutie klient siete Microsoft: digitálne podpisovanie pri komunikácii (vždy) vyžaduje klientov podpísať prenosu SMB, keď kontaktujú servery, ktoré nevyžadujú podpisovanie blokov SMB. To umožňuje klientom menej citlivá na zasadnutí uloupení útoky.
    4. Dôvodov vypnúť toto nastavenie
      • Zapnutie klient siete Microsoft: digitálne podpisovanie pri komunikácii (vždy) zabráni klientom komunikáciu s cieľové servery, ktoré nepodporujú podpisovanie blokov SMB.
      • Konfigurácia počítačov ignorovať všetky nepodpísané SMB komunikáciu bráni staršie programy a operačné systémy pripojenie.
    5. Symbolický názov:

      RequireSMBSignRdr
    6. Cesty databázy Registry:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
    7. Príklady problémov kompatibility
      • Windows NT 4.0:Nebudete môcť obnoviť zabezpečeného kanála dôvery medzi doméne systému Windows Server 2003 a Windows NT 4.0 domény pomocou NLTEST alebo NETDOM, a budete dostávať chybové hlásenie "Prístup odmietnutý".
      • Windows XP:Kopírovanie súborov z Windows XP klientov so systémom Windows 2000 servery a servery so systémom Windows Server 2003 môže trvať dlhšie.
      • Nebudete môcť pripojiť sieťovú jednotku od klienta je toto nastavenie zapnuté, a dostanete nasledovné chybové hlásenie:
        Konto nemá povolenie k prihláseniu sa z tejto stanice.
    8. Požiadavka na reštartovanie

      Reštartujte počítač, alebo reštartujte službu Pracovná stanica. To urobiť, zadajte nasledujúce príkazy v príkazovom riadku. Po zadaní každého príkazu stlačte kláves Enter.
      net stop workstation
      net start workstation
  6. Server siete Microsoft: digitálne podpisovanie pri komunikácii (vždy)
    1. Pozadie
      • Messenger bloku SMB (server) je zdieľanie zdrojov protokol, ktorý podporuje mnoho operačných systémov spoločnosti Microsoft. To je základ siete základný vstupno-výstupný systém (NetBIOS) a mnohých ďalších protokolov. Podpisovanie blokov SMB overuje používateľa a server, ktorý hosťuje údaje. Ak ktorákoľvek strana zlyhá proces overovania, prenos nedôjde.

        Umožnenie SMB podpisu začína počas vyjednávania protokolu SMB. Podmienky podpisovania SMB určuje, či počítač vždy digitálne podpíše klientovu komunikáciu.

        Overovací protokol Windows 2000 SMB podporuje vzájomné overovanie. Vzájomné overenie zavrie útoku "man-in--middle". Overovací protokol Windows 2000 SMB podporuje overovanie správ. Správy overenia pomáhate útokov aktívnych správ. Aby ste toto overovanie, podpisovanie blokov SMB stavia digitálneho podpisu do každého SMB. Klient a server overiť digitálny podpis.

        Použitie podpisovanie blokov SMB, musíte zapnúť podpisovanie blokov SMB alebo vyžadujú SMB podpisu klienta SMB a servera SMB. Ak je podpisovanie blokov SMB zapnuté na server, klientov, ktorí zapnutým podpisovaním blokov SMB používajú protokol podpisovania paketov pri všetkých nasledujúcich reláciách. Ak je podpisovanie blokov SMB od servera požaduje, klient nemôže vytvoriť reláciu Ak klient má zapnuté alebo vyžiadané podpisovanie blokov SMB.

        Zapnutie digitálneho podpisu v high-bezpečnostné siete pomáha predchádzať zosobnenie klientov a serverov. Tento druh anonymity je známy ako zasadnutí uloupení. Útočník, ktorý má prístup k tej istej sieti ako klient alebo server používa zasadnutí uloupení nástroje prerušiť, ukončiť alebo ukradnúť prebieha relácia. Útočník mohol zachytiť a upraviť nepodpísané podsiete Bandwidth Manager (SBM) pakety upraviť prevádzka a potom odovzdá ho tak, že server môže vykonať nežiaduce operácie. Alebo útočník mohol predstavovať ako server alebo klient po overení legitímne a potom získať neoprávnený prístup k údajom.

        SMB protokol, ktorý sa používa pre zdieľanie súborov a zdieľanie tlačiarní v počítačoch so systémom Windows 2000 Server, Windows 2000 Professional, Windows XP Professional alebo Windows Server 2003 podporuje vzájomné overovanie. Vzájomné overenie zavrie zasadnutí uloupení útoky a podporuje overovanie správ. Preto zabraňuje útokom man-in--middle. Podpisovanie blokov SMB zabezpečuje overovanie umiestnením digitálny podpis v každej SMB. Klient a server potom overiť podpis.
      • Ako alternatívne protiopatrenia, môžete povoliť digitálne podpisy pomáhajú chrániť všetky sieťové prenosy IPSec. Existujú hardware-založené urýchľovače IPSec šifrovania a podpísania, ktoré umožňuje minimalizovať vplyv na výkon procesora servera. Neexistujú žiadne takéto urýchľovače, ktoré sú k dispozícii pre podpisovanie blokov SMB.
      • Windows 95, Windows 98 a Windows 98 Second Edition, klienta služby Directory Services používa podpisovanie blokov SMB keď sa overuje pomocou serverov Windows Server 2003 pomocou štandardu NTLM. Títo klienti však Nepoužívajte SMB podpisovanie pri overovaní s týmito servermi pomocou overovanie NTLMv2. Navyše Windows 2000 servery nereagujú na SMB podpísanie žiadosti od týchto klientov. Pre viac informácií, pozri bod 10: "zabezpečenie siete: úroveň overenia pre Lan Manager."
    2. Riskantné konfigurácie

      Nasleduje škodlivé konfiguračné nastavenia: Zapnutie server siete Microsoft: digitálne podpisovanie pri komunikácii (vždy) nastavenie na servery a radiče domény, ktoré sú prístupné počítače kompatibilné so systémom Windows a tretej-party-operačný systém-založené klientskych počítačov v miestnych alebo externých domén.
    3. Dôvodov povoliť toto nastavenie
      • Všetky klientske počítače, ktoré umožňujú toto nastavenie priamo prostredníctvom registra alebo nastavenie skupinovej politiky podpory podpisovanie blokov SMB. Inými slovami, všetky klientske počítače, ktoré bolo toto nastavenie zapnuté spustiť buď Windows 95 s DS klient nainštalovaný, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional alebo Windows Server 2003.
      • Ak server siete Microsoft: digitálne podpisovanie pri komunikácii (vždy) je zakázaný, podpisovanie blokov SMB úplne vypnutá. Úplne vypnúť všetky SMB podpisu listy náchylnejší na zasadnutí uloupení útoky počítačov.
    4. Dôvodov vypnúť toto nastavenie
      • Zapnutie tohto nastavenia môžu spôsobiť pomalšie súbor kopírovať a výkon siete klientskych počítačov.
      • Zapnutie tohto nastavenia sa zabráni klientov, ktoré nemôžu vyjednať SMB podpisu v komunikácii s serverov a radičov domény. To spôsobuje operácie doméne pripojí, overovanie používateľa a počítača alebo siete prístup programy na neúspech.
    5. Symbolický názov:

      RequireSMBSignServer
    6. Cesty databázy Registry:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)
    7. Príklady problémov kompatibility
      • Windows 95:Klienti systému Windows 95, ktoré nemajú nainštalovaný klient adresárovej služby (DS) zlyhá prihlasovanie overenia a sa zobrazí nasledujúce chybové hlásenie:
        Zadané heslo domény nie je správne, alebo prístup k prihlasovaciemu serveru bol odmietnutý.
        Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
        811497 Chybové hlásenie, keď systém Windows 95 alebo Windows NT 4.0 klient prihlási do systému Windows Server 2003 domény
      • Windows NT 4.0: Klientske počítače, ktoré sú spustené verzie Windows NT 4.0, ktoré sú skôr ako Service Pack 3 (SP3) zlyhá prihlasovanie overenia a sa zobrazí nasledujúce chybové hlásenie:
        Systém vás nemohol prihlásiť. Skontrolujte, či vaše užívateľské meno a doménu, sú správne, potom znova zadajte heslo.
        Niektoré servery Microsoft SMB podporujú iba nešifrované heslo výmen počas autentifikácie. (Tieto výmeny tiež známy ako "obyčajný text" výmena.) Pre systém Windows NT 4.0 SP3 a novších verziách, SMB Presmerovač neposiela nezašifrovaného hesla počas overovania serverom SMB Ak pridáte položky databázy registry špecifické.
        Povoliť nešifrované heslá pre SMB klient systému Windows NT 4.0 SP 3 a novšie systémy, upravte databázu registry takto: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        Názov hodnoty: EnablePlainTextPassword
        Typ údajov: REG_DWORD
        Údajov: 1

        Ďalšie informácie o súvisiacich témach nájdete po kliknutí na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:
        224287 Chybové hlásenie: Vyskytla sa systémová chyba 1240. Konto nemá povolenie k prihláseniu sa z tejto stanice.
        166730 Nešifrované heslá môžu spôsobiť Service Pack 3 sa nedokážu pripojiť k serverom SMB ostatných spoločností
      • Windows Server 2003: Predvolene sú nakonfigurované nastavenia zabezpečenia na radičoch domény spustený systém Windows Server 2003 zabrániť domény radič komunikácie zachytené alebo sfalšovaný zlomyseľní používatelia. Používatelia úspešne komunikovať s radič domény, ktorý beží Windows Server 2003, klientske počítače musia používať aj podpisovanie blokov SMB a šifrovanie alebo zabezpečeného kanála dopravné značenie. V predvolenom nastavení, klientov, ktorí predtým nainštalovaný alebo systémom Windows NT 4.0 s balíkom Service Pack 2 (SP2) a klientov, ktoré bežia Windows 95 nemá podpísanie balíka SMB zapnuté. Preto, Títo klienti nemusia byť schopný autentifikovať na radiči domény založenej na systéme Windows Server 2003.
      • Nastavenie politiky systému Windows 2000 a Windows Server 2003: V závislosti od vašich potrieb osobitné inštalácie a konfigurácie, odporúčame vám nastaviť nasledovné nastavenia politiky na najnižšie entity potrebné pôsobnosť v hierarchii Editor politiky skupiny Microsoft Management Console modulu:
        • Počítač položke Konfigurácia počítača\Nastavenie systému možnosti zabezpečenia
        • Odoslanie nezašifrovaného hesla serverom SMB iných (Toto nastavenie je systém Windows 2000)
        • Klient siete Microsoft: odosielanie nezašifrovaného hesla serverom SMB iných (Toto nastavenie je systém Windows Server 2003)

        Poznámka: Niektoré servery tretích strán CIFS, ako sú staršie verzie samby, nemôžete použiť šifrované heslá.
      • Nasledujúcim klientom sú nekompatibilné s server siete Microsoft: digitálne podpisovanie pri komunikácii (vždy) nastavenia:
        • Apple Computer, Inc, Mac OS Xclients
        • Microsoft MS-DOS sieťových klientov (napríklad Microsoft LAN Manager)
        • Microsoft Windows for Workgroupsclients
        • Microsoft Windows 95 klientov bez DSClient nainštalovaný
        • Microsoft Windows NT 4.0 založená computerswithout SP3 alebo novší
        • Novell Netware 6 CIFS klientov
        • SAMBA SMB klientov, ktorá nemá podporu pre podpisovanie blokov SMB
    8. Požiadavka na reštartovanie

      Reštartujte počítač, alebo reštartujte službu Server. To urobiť, zadajte nasledujúce príkazy v príkazovom riadku. Po zadaní každého príkazu stlačte kláves Enter.
      net stop server
      čistý Štart server
  7. Prístup do siete: povoliť anonymný prevod SID/názov
    1. Pozadie

      Prístup do siete: povoliť anonymný prevod SID/názov nastavenie zabezpečenia určuje, či anonymný používateľ môže vyžiadať atribúty zabezpečenia identifikačné čísla (SID) iného používateľa.
    2. Riskantné konfigurácie

      Povolenie prístup do siete: povoliť anonymný prevod SID/názov nastavenie je škodlivé konfiguračné nastavenie.
    3. Dôvodov povoliť toto nastavenie

      Ak prístup do siete: povoliť anonymný prevod SID/názov nastavenie je zdravotne postihnutých, starších operačných systémov alebo aplikácií nemusí byť schopný komunikovať s domén systému Windows Server 2003. Napríklad, nasledovné operačné systémy, služby alebo aplikácie nemusí fungovať:
      • Systém Windows NT 4.0 založená službu pre vzdialený prístup serverov
      • Microsoft SQL Server, ktorý beží na Windows NT 3.x počítačoch alebo na počítačoch so systémom Windows NT 4.0
      • Remote Access Service, ktorá je spustená na počítačoch so systémom Windows 2000, ktoré sú umiestnené v doménach Windows NT 3.x alebo Windows NT 4.0 domény
      • SQL Server, ktorý beží na počítačoch so systémom Windows 2000, ktoré sa nachádzajú v doménach Windows NT 3.x alebo Windows NT 4.0 domény
      • Používatelia v doméne systému Windows NT 4.0 resource chcete prideliť povolenia na prístup súbory, zdieľané priečinky a objekty databázy registry používateľské kontá z účtu domén, ktoré obsahujú radiče domén systému Windows Server 2003
    4. Dôvodov vypnúť toto nastavenie

      Ak je toto nastavenie zapnuté, zlomyseľný používateľ mohol použiť známe správcov SID získať skutočný názov vstavaného konta správcu, aj keď účet bol premenovaný. Táto osoba by potom použiť názov konta iniciovať heslo-hádanie útok.
    5. Symbolický názov: N/A
    6. Cesty registra: Nikto. Cesta zadaná v používateľské rozhranie kód.
    7. Príklady problémov kompatibility

      Windows NT 4.0:Počítače v doménach Windows NT 4.0 resource zobrazí "Účet neznámy" chybové hlásenie v Editor ACL ak zdrojov vrátane zdieľaných priečinkov, zdieľané súbory a register predmetov, zabezpečené objekty zabezpečenia, ktoré sa nachádzajú v účte domén, ktoré obsahujú radiče domén systému Windows Server 2003.
  8. Prístup do siete: Nepovolenie anonymného Sam účtov
    1. Pozadie
      • Prístup do siete: Nepovolenie anonymného Sam účtov nastavenie určuje, ktoré ďalšie povolenia sa poskytnú v rámci anonymného pripojenia na počítač. Systém Windows umožňuje anonymným používateľom vykonávať určité činnosti, napríklad vyberajú mená pracovnou stanicou a serverom účtov bezpečnostné účty Manager (SAM) a zdieľaných miestach v sieti. Napríklad, správca môže použiť toto udeľovať prístup používateľom v dôveryhodnej doméne, ktorá neudržuje vzájomný vzťah dôveryhodnosti. Po vykonaní relácii anonymný užívateľ môže mať rovnaký prístup sa udeľuje všetkým skupina na základe nastavenia v prístup do siete: nechať každého povolenia pre anonymných používateľov použiť nastavenie alebo voliteľného zoznamu riadenia prístupu (DACL) objektu.

        Typicky, anonymné pripojenia požiada starších klientov (nižšej úrovne klientov) počas inštalácie relácie SMB. V týchto prípadoch sledovanie siete ukazuje, že SMB identifikácie procesu (PID) klient Presmerovač 0xFEFF v systéme Windows 2000 alebo 0xCAFE v systéme Windows NT. RPC môže tiež snažiť anonymné pripojenia.
      • Dôležité: Toto nastavenie nemá vplyv na radiče domén. Na radičoch domény, toto správanie je riadené prítomnosť "NT AUTHORITY\ANONYMOUS LOGON" v "Ktorí 2000 kompatibilné prístup".
      • V systéme Windows 2000, spravuje podobné nastavenia nazýva Dodatočné obmedzenia na anonymné pripojenia
        RestrictAnonymous
        hodnota databázy Registry. Umiestnenie tejto hodnoty je takto
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
        Ďalšie informácie o hodnotu RestrictAnonymous databázy registry, kliknite na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:
        246261 Ako používať hodnotu RestrictAnonymous databázy registry v systéme Windows 2000
        143474 Obmedzenia dostupných informácií pre anonymné prihlásenie užívateľa
    2. Riskantné konfigurácie

      Povolenie prístup do siete: Nepovolenie anonymného Sam účtov nastavenie je nastavenie konfigurácie škodlivé z hľadiska kompatibility. Vypnúť to je škodlivé Konfigurácia nastavenia z hľadiska zabezpečenia.
    3. Dôvodov povoliť toto nastavenie

      Neoprávnený používateľ mohol anonymne zoznam názvy kont a potom použiť informácie skúsiť uhádnuť heslo, alebo plniť sociálne inžinierstvo útoky. Sociálne inžinierstvo je žargónu, ktorý znamená podvádzať ľudí do odhaliť ich heslá, alebo nejakú formu bezpečnosti informácií.
    4. Dôvodov vypnúť toto nastavenie

      Ak je toto nastavenie zapnuté, je nemožné určiť dôveryhodnosti s Windows NT 4.0 domény. Toto nastavenie spôsobuje problémy s klientmi nižšej úrovne (napríklad Klienti systému Windows NT 3.51 a klienti systému Windows 95), ktoré sa snažia využívať zdroje na serveri.
    5. Symbolický názov:


      RestrictAnonymousSAM
    6. Cesty databázy Registry:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)
    7. Príklady problémov kompatibility
    • SMS Network Discovery nebude môcť získať informácie o operačnom systéme a napíše "Neznámy" vo vlastnosti OperatingSystemNameandVersion.
    • Systém Windows 95, Windows 98:Klienti systému Windows 95 a Windows 98 klientov nebude môcť zmeniť svoje heslá.
    • Windows NT 4.0:Systém Windows NT 4.0 založená členské počítače nebude schopný byť overený.
    • Systém Windows 95, Windows 98:Počítače systému Windows 95 a Windows 98 nebude schopný byť overený radiče domény Microsoft.
    • Systém Windows 95, Windows 98:Používatelia na počítačoch Windows 95 a Windows 98 nebude možné zmeniť heslo pre svoje používateľské kontá.
  9. Prístup do siete: Nepovolenie anonymného Sam kont a zdieľaných
    1. Pozadie
      • Prístup do siete: Nepovolenie anonymného Sam kont a zdieľaných nastavenie (tiež známy ako RestrictAnonymous) určuje, či je povolený anonymný výpočet kont bezpečnostné účty Manager (SAM) a zdieľaných. Systém Windows umožňuje anonymným používateľom vykonávať určité aktivity, ako sú zisťovanie názvov doménových kont (používatelia, počítače a skupiny) a zdieľaných miestach v sieti. Toto je vhodné napríklad ak chce správca udeliť prístup k užívateľom v dôveryhodnej doméne, ktorá neudržuje vzájomný vzťah dôveryhodnosti. Ak chcete povoliť anonymný výpočet kont SAM a akcií, povoľte toto nastavenie.
      • V systéme Windows 2000, spravuje podobné nastavenia nazýva Dodatočné obmedzenia na anonymné pripojenia
        RestrictAnonymous
        hodnota databázy Registry. Umiestnenie tejto hodnoty je nasledovné:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    2. Riskantné konfigurácie

      Povolenie prístup do siete: Nepovolenie anonymného Sam kont a zdieľaných nastavenie je škodlivé konfiguračné nastavenie.
    3. Dôvodov povoliť toto nastavenie
      • Povolenie prístup do siete: Nepovolenie anonymného Sam kont a zdieľaných nastavenie zabraňuje výpočet kont SAM a zdieľaných používateľov a počítače, ktoré používajú anonymné účty.
    4. Dôvodov vypnúť toto nastavenie
      • Ak toto nastavenie zapnuté, neoprávnený používateľ mohol anonymne zoznam názvy kont a potom použiť informácie skúsiť uhádnuť heslo, alebo plniť sociálne inžinierstvo útoky. Sociálne inžinierstvo je žargónu, ktorý znamená podvádzať ľudí do odhaľujú svoje heslo, alebo nejakú formu bezpečnosti informácií.
      • Ak je toto nastavenie zapnuté, bude nemožné vytvoriť dôveryhodnosti s Windows NT 4.0 domény. Toto nastavenie spôsobí problémy s nižšej úrovne klientov ako Windows 95 a Windows NT 3.51 klientov, ktorí sa snažia využívať zdroje na serveri.
      • Nebude možné udeliť prístup používateľov domény prostriedkov pretože správcov v adresároch dôverujúcej domény nebude schopný vymenovať zoznamy účtov v inej doméne. Užívatelia, ktorí prístup k súborové a tlačové servery anonymne nebude schopný zobraziť zoznam zdieľaných sieťových zdrojov na týchto serveroch. Používateľov musí overiť predtým, než môžu zobraziť zoznam zdieľané priečinky a tlačiarne.
    5. Symbolický názov:

      RestrictAnonymous
    6. Cesty databázy Registry:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
    7. Príklady problémov kompatibility
      • Windows NT 4.0: Používatelia nebudú môcť zmeniť svoje heslá z Windows NT 4.0 staníc pri RestrictAnonymous zapnuté radiče domény v doméne používateľov. Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
        198941 Používatelia nemôžu meniť heslo pri prihlasovaní
      • Windows NT 4.0:Pridanie používateľov alebo globálnych skupín z dôveryhodných domén systému Windows 2000 na systém Windows NT 4.0 lokálnych skupín v User Manager zlyhá a zobrazí nasledujúce chybové hlásenie:
        V súčasnosti neexistujú žiadne prihlasovacie servery k dispozícii služby žiadosti o prihlásenie.
        Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
        296405 Hodnota databázy registry "RestrictAnonymous" môže porušiť dôveru k doméne systému Windows 2000
      • Windows NT 4.0:Systém Windows NT 4.0-založené počítača nebude môcť pripojiť domény počas inštalácie alebo použitím domény pripojiť užívateľské rozhranie.

        Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
        184538 Chybové hlásenie: radič pre túto doménu sa nepodarilo nájsť
      • Windows NT 4.0:Stanovenie nižšej úrovne dôvery s Windows NT 4.0 domény prostriedkov zlyhá. Chybové hlásenie sa objaví pri RestrictAnonymous je zapnutý v dôveryhodnej doméne:
        Nemohol nájsť radič domény pre túto doménu.
        Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
        178640 Nemohol nájsť radič domény pri stanovovaní dôveryhodnosti
      • Windows NT 4.0:Používatelia prihlasovať na počítače založené na systéme Windows NT 4.0 terminálového servera bude máp domovského adresára predvolené miesto domovského adresára, ktorý je definovaný v User Manager pre domén.

        Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
        236185 Terminálový Server používateľské profily a domovský priečinok cesty sú ignorované po použití SP4 alebo novší
      • Windows NT 4.0:Systém Windows NT 4.0 záložné radiče domény (BDC) nebude schopný Štart Net Logon service, získať zoznam zálohovanie prehliadačov alebo synchronizovať databáza SAM, Windows 2000 alebo z radiče domén systému Windows Server 2003 v rovnakej doméne.

        Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
        293127 Služba Prihlasovanie na sieť v systéme Windows NT 4.0 BDC nefunguje v doméne systému Windows 2000
      • Windows 2000:Windows 2000-založené členské počítače v systéme Windows NT 4.0 domény nebude schopný zobraziť tlačiarne v externých doménach ak je aktivované nastavenie prístup bez výslovne anonymný povolenia v lokálnej politike zabezpečenia klientskeho počítača.

        Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
        280329 Používateľ nemôže spravovať alebo Zobraziť vlastnosti tlačiarne
      • Windows 2000:Windows 2000 domén používateľov nebude možné pridať sieťové tlačiarne zo služby Active Directory; však budú môcť pridať tlačiarne po oni vyberajú stromové zobrazenie.

        Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
        318866 Klientov Outlook nemôže zobraziť globálny zoznam adries Ak nainštalujete Security Rollup balík 1 (SRP1) na globálny katalógový server
      • Windows 2000:Na počítačoch so systémom Windows 2000, ACL Editor nebude schopný pridať používateľov alebo globálnych skupín z dôveryhodnej domény systému Windows NT 4.0.

        Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
        296403 RestrictAnonymous hodnota prestávky dôveru v prostredí zmiešané-domény
      • ADMT verzia 2:Migrácie heslo pre používateľské kontá, ktoré sú migrované medzi lesy s Active Directory migrácie Tool (ADMT) verzia 2 zlyhá.

        Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
        322981 Riešenie problémov s Inter-lesné heslo migrácie s ADMTv2
      • Klientov outlook:Globálny zoznam adries sa objaví prázdna Microsoft Exchange Outlook klientom.

        Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
        318866 Klientov Outlook nemôže zobraziť globálny zoznam adries po inštalácii bezpečnostný súhrnný balík 1 (SR) na globálny katalógový server
        321169 SMB pomalé pri kopírovaní súborov z Windows XP pre radič domény systému Windows 2000
      • SMS:Zisťovanie siete Microsoft Systems Management Server (SMS) nebude môcť získať informácie o operačnom systéme. Preto, že napíše "Neznámy" vo vlastnosti OperatingSystemNameandVersion vlastnosť SMS DDR objav údajového záznamu (DDR).

        Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
        229769 Ako manažér zisťovania údajov určuje, kedy sa má vytvoriť požiadavku konfigurácie klienta
      • SMS: Keď použijete sprievodcu SMS správcu užívateľa na prehliadanie pre používateľov a skupiny, budú uvedené bez používateľov alebo skupiny. Navyše, pokročilé klientov nemôže komunikovať s bodom riadenia. Anonymný prístup je potrebný na správy bod.

        Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
        302413 Bez používateľov alebo skupín sú uvedené v sprievodcovi užívateľa správcu
      • SMS: Keď používate funkciu zisťovania siete v SMS 2.0 a vzdialenej inštalácie klienta topológie, klient, a operačné systémy pre klientske sieť objav zapnutá možnosť, počítače môžu byť objavené, ale možno nie je nainštalovaný.

        Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
        311257 Zdroje nie sú objavené ak anonymné pripojenia sú vypnuté
  10. Zabezpečenie siete: úroveň overenia pre Lan Manager
    1. Pozadie

      Overenie LAN Manager (LM) je protokol, ktorý slúži na overenie klientov so systémom Windows pre sieťové operácie, vrátane doméne pripojí, prístup k sieťovým prostriedkom a overovanie používateľa alebo počítača. Úroveň overenia LM určuje, ktorý overovací protokol výzva a odpoveď je dohodnuté medzi klientom a serverových počítačov. Konkrétne, závisí od úrovne overovanie LM ktoré overovacie protokoly klient pokúsi vyjednať alebo že server bude akceptovať. Hodnota, ktorá je nastavená pre LmCompatibilityLevel určuje, ktorý overovací protokol výzva a odpoveď sa používa pri prihlasovaní na sieť. Táto hodnota ovplyvní úroveň overovacieho protokolu, ktoré klienti využívajú, úroveň dohodnuté zabezpečenie relácie a úroveň overovania, ktorú akceptujú servery.

      Možné nastavenia sú nasledovné:
      HodnotaNastaveniePopis
      0 Odosielať odpovede LM & NTLMKlienti používajú overovanie LM a NTLM a nikdy použiť zabezpečenie relácie NTLM, verzia 2. Radiče domén akceptujú overovanie LM, NTLM a NTLM, verzia 2.
      1Odosielať LM & NTLM - použiť zabezpečenie relácie NTLM, verzia 2 Ak dohodnutáKlienti používajú overovanie LM a NTLM a používajú zabezpečenie relácie NTLM, verzia 2, ak ho server podporuje. Radiče domén akceptujú overovanie LM, NTLM a NTLM, verzia 2.
      2Odosielať len odpovede NTLMKlienti používajú len overovanie NTLM a používajú zabezpečenie relácie NTLM, verzia 2, ak ho server podporuje. Radiče domén akceptujú overovanie LM, NTLM a NTLM, verzia 2.
      3Odosielať len odpovede NTLM, verzia 2Klienti používajú len overovanie NTLM, verzia 2 a použiť zabezpečenie relácie NTLM, verzia 2, ak ho server podporuje. Radiče domén akceptujú overovanie LM, NTLM a NTLM, verzia 2.
      4Odosielať len odpovede NTLM, verzia 2 / odmietnuť LMKlienti používajú len overovanie NTLM, verzia 2 a použiť zabezpečenie relácie NTLM, verzia 2, ak ho server podporuje. Radiče domény odmietajú LM a akceptovať len overovanie NTLM a NTLM, verzia 2.
      5Odosielať len odpovede NTLM, verzia 2 / odmietnuť LM & NTLMKlienti používajú len overovanie NTLM, verzia 2 a použiť zabezpečenie relácie NTLM, verzia 2, ak ho server podporuje. Radiče domény odmietajú LM a NTLM a akceptovať iba overovanie NTLMv2.
      Poznámka: Windows 95, Windows 98 a Windows 98 Second Edition, klienta služby Directory Services používa podpisovanie blokov SMB keď sa overuje pomocou serverov Windows Server 2003 pomocou štandardu NTLM. Títo klienti však Nepoužívajte SMB podpisovanie pri overovaní s týmito servermi pomocou overovanie NTLMv2. Navyše Windows 2000 servery nereagujú na SMB podpísanie žiadosti od týchto klientov.

      Skontrolovať úroveň overovania LM: Musíte zmeniť politiku na serveri povoliť protokol NTLM, alebo musíte nakonfigurovať klientsky počítač na podporu overovanie NTLMv2.

      Ak politika je nastavená na (5) overovanie NTLMv2 poslať odpoveď only\refuse LM & NTLM na cieľovom počítači, ktorý chcete pripojiť, musíte znížiť nastavenia na tomto počítači alebo nastaviť zabezpečenie na rovnaké nastavenie ako na zdrojovom počítači, ktorý sa pripájate.

      Nájsť správne miesto, kde môžete zmeniť LAN manager úroveň overovania klienta a server nastaviť na rovnakej úrovni. Po vyhľadaní politikou, ktorá je nastavenie LAN manager úroveň overovania, ak chcete pripojiť a z počítačov, ktoré používajú staršie verzie systému Windows, nižšie hodnoty aspoň (1) Odoslať LM & NTLM - použiť protokol NTLM verzia 2 zabezpečenia relácie ak dohodnutá. Jedným z účinkov nekompatibilných nastavení je, že ak server vyžaduje overovanie NTLMv2 (hodnota 5), ale klient je nakonfigurovaný na používanie LM a NTLMv1 len (hodnota 0), používateľ, ktorý sa pokúsi autentifikáciu zážitky pri prihlasovaní, ktorý má zlé heslo a ktorý inkrementuje gróf zlé heslo. Ak je nastavený účet výluky, používateľ môže nakoniec byť uzamknuté.

      Napríklad, možno budete musieť pozrieť na radiči domény, alebo budete musieť preskúmať politiky radiča domény.

      Pozrite na radiči domény

      Poznámka: Možno budete musieť opakovať tento postup na všetky radiče domény.
      1. Kliknite na tlačidlo Štart, ukážte na položku programya potom kliknite na položku Nástroje na správu.
      2. Podľa Miestne nastavenia zabezpečenia, rozbaľte Lokálne politiky.
      3. Kliknite na položku Možnosti zabezpečenia.
      4. Dvakrát kliknite na siete zabezpečenia: úroveň overenia pre LAN manager, a potom kliknite na hodnotu v zozname.

      Ak sú efektívne nastavenie a miestne nastavenia rovnaké, politika sa zmenila na tejto úrovni. Ak sú rôzne nastavenia, musíte skontrolovať politiky radiča domény na určenie, či zabezpečenia siete: úroveň overenia pre LAN manager je definované nastavenie tam. Ak to nie je definovaná, preskúmať politiky radiča domény.

      Preskúmaťradič domény podmienky
      1. Kliknite na tlačidlo Štart, ukážte na položku programya potom kliknite na položku Nástroje na správu.
      2. Politiky Zabezpečenia radič domény , rozbaľte Nastavenie zabezpečenia, a potom rozbaľte Lokálne politiky.
      3. Kliknite na položku Možnosti zabezpečenia.
      4. Dvakrát kliknite na siete zabezpečenia: úroveň overenia pre LAN manager, a potom kliknite na hodnotu v zozname.

      Poznámka:
      • Tiež možno budete musieť skontrolovať podmienky, ktoré sú prepojené na úrovni lokality, na úrovni domény alebo organizačnej jednotky (OU) úroveň zistiť, kde musíte nastaviť LAN manager stupeň overenia.
      • Ak implementujete skupinovej politiky nastavenie ako predvolenej politiky domény, politika sa aplikuje na všetky počítače v doméne.
      • Ak implementujete Nastavenie skupinovej politiky radiča domény predvolené politiky, politiky sa vzťahuje len na servery v doméne radič OU.
      • Je to dobrý nápad nastaviť LAN manager úroveň overovania najnižšie entity potrebné pôsobnosť v hierarchii uplatňovanie politiky.

      Windows Server 2003 má nové predvolené nastavenie len používa overovanie NTLMv2. Podľa predvoleného nastavenia systém Windows Server 2003 a radiče domény Windows 2000 Server SP3-založené povolili "server siete Microsoft: digitálne podpisovanie pri komunikácii (vždy)" politiky. Toto nastavenie vyžaduje, aby server SMB podpisoval pakety SMB.Pretože radiče domény, súborové servery, sieťové infraštruktúry serverov a webových serverov v akejkoľvek organizácii vyžadujú rôzne nastavenia pre maximalizáciu ich zabezpečenia boli vykonané zmeny na server Windows Server 2003.

      Ak chcete vykonávať overovanie NTLMv2 vo vašej sieti, musíte sa uistiť, že všetky počítače v doméne sú nastavené na použitie túto úroveň overovania. Ak použijete Active Directory klient rozšírenia pre systém Windows 95 alebo Windows 98 a Windows NT 4.0, klientske rozšírenia použiť vylepšené overovanie funkcií, ktoré sú k dispozícii v overovanie NTLMv2. Pretože klientske počítače, ktoré sú spustený niektorý z nasledovných operačných systémoch nie sú ovplyvnené objektov skupinovej politiky systému Windows 2000, budete musieť ručne nakonfigurovať týchto klientov:
      • Microsoft Windows NT 4.0
      • Systém Microsoft Windows Millennium Edition
      • Microsoft Windows 98
      • Microsoft Windows 95
      Poznámka: Ak povolíte zabezpečenia siete: neukladať hodnotu hash LAN manager pri nasledujúcej zmene hesla politiky alebo množinu kľúči databázy registry NoLMHash , založených na systéme Windows 95 a Windows 98-založené klientov, ktorí nemajú klienta služby Directory Services inštalovaný nemôžem sa prihlásiť na doménu po zmene hesla.

      Veľa serverov CIFS tretej strany, ako je Novell Netware 6, nie sú vedomí NTLMv2 a použitie NTLM. Preto úroveň vyššia než 2 neumožňujú pripojenie. Existujú tiež SMB treťou stranou-klienti, ktoré nepoužívajú zabezpečenie rozšírená relácie. V týchto prípadoch LmCompatiblityLevel zdrojov serverom sa neberú do úvahy. Server potom balenie Toto dedičstvo žiadosť a odošle ho používateľ radič domény. Nastavenia na radič domény potom rozhodnúť, aký hash sa používajú na overenie žiadosti a či tieto plnia požiadavky zabezpečenia radič domény.

      Ďalšie informácie o tom, ako ručne nastaviť stupeň overenia LAN manager, kliknite na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:
      147706 Ako zakázať overovanie LM v systéme Windows NT
      175641 LMCompatibilityLevel a jeho účinky
      299656 Ako zabrániť systému Windows ukladanie LAN manager hash hesla v Active Directory a miestnej databázy SAM
      312630 Program Outlook naďalej výzvu pre prihlasovacie poverenia
      2701704Udalosť audit ukazuje overovací balík ako NTLMv1 namiesto NTLM, verzia 2
      Ďalšie informácie o úrovniach overovanie LM, po kliknutí na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:
      239869 Ako povoliť overovanie pomocou protokolu NTLM 2
    2. Riskantné konfigurácie

      Nasledovné sú škodlivý konfiguraèné nastavenia:
      • Nerestriktivní nastavenia ktoré posielať heslá ako obyčajný text a overovanie NTLMv2 rokovaní, ktoré popierajú
      • Reštriktívne nastavenia, ktoré bránia rokovania overovací protokol kompatibilný klientov alebo radiče domény
      • Vyžadujúce overenie NTLM, verzia 2 na členské počítače a radiče domény, ktoré sú spustené verzie Windows NT 4.0, ktoré sú skôr ako Service Pack 4 (SP4)
      • Vyžadujúce overenie NTLM, verzia 2 na Klienti systému Windows 95 alebo Windows 98 klientov, ktorí nemajú nainštalovaný klient služby Windows adresár.
      • Ak kliknete na políčko vyžadovať overovanie NTLMv2 zabezpečenia relácie v Editor politiky skupiny Microsoft Management Console modulu na Windows Server 2003 alebo Windows 2000 Service Pack 3-založené počítača a znížite úroveň LAN manager overovania 0, dve nastavenia sú v konflikte, a môže sa zobraziť nasledovné chybové hlásenie Secpol.msc súbor alebo súbor GPEdit.msc:
        Systém Windows nemôže otvoriť databázu lokálnej politiky. Pri pokuse o otvorenie databázy sa vyskytla neznáma chyba.
        Ďalšie informácie o nástroj na analýzu a konfiguráciu zabezpečenia, pozrite si súbory Pomocníka aplikácie Windows Server 2003 alebo Windows 2000.

        Ďalšie informácie o tom, ako analyzovať úroveň zabezpečenia v systéme Windows 2000 a Windows Server 2003, kliknite na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:
        313203 Ako analyzovať zabezpečenia systému Windows 2000
        816580 Ako analyzovať zabezpečenia systému Windows Server 2003
    3. Dôvody na zmenu tohto nastavenia
      • Chcete zvýšiť najnižší spoločný overovacím protokolom podporovanými klientmi a radičom domény vo vašej organizácii.
      • Ak overenie zabezpečeným Biznis požiadavku, chcete zakázať rokovanie LM a NTLM protokolov.
    4. Dôvodov vypnúť toto nastavenie

      Klient alebo server overovanie požiadaviek, alebo oboje, sa zvýšili do bodu, kde nemôže dôjsť overenie cez protokol.
    5. Symbolický názov:

      LmCompatibilityLevel
    6. Cesty databázy Registry:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
    7. Príklady problémov kompatibility
      • Windows Server 2003:V predvolenom nastavení Windows Server 2003 NTLMv2 poslať NTLM reakcie nastavenie zapnuté. Preto, Windows Server 2003 dostane "Prístup odmietnutý" chybové hlásenie po počiatočnej inštalácii pri pokuse o pripojenie k systému Windows NT 4.0-cluster založený alebo štýle LanManager V2.1-založené servery, ako je OS/2 Lanserver. Tento problém sa vyskytne, ak sa snaží pripojiť z staršiu verziu klienta na server so systémom Windows Server 2003.
      • Môžete nainštalovať Windows 2000 Security Rollup balík 1 (SRP1).SRP1 sily NTLM verzia 2 (NTLM, verzia 2). Tento súhrnný balík bola vydaná po vydaní balíka Windows 2000 Service Pack 2 (SP2). Ďalšie informácie o SRP1 kliknutím na nasledujúce číslo článku čím zobrazíte článok v databáze Microsoft Knowledge Base:

        311401 Windows 2000 bezpečnostný súhrnný balík 1, január 2002
      • Windows 7 a Windows Server 2008 R2: veľa tretej strany CIFS serverov, ako je Novell Netware 6 alebo Samba Linux-based servery, nie sú vedomí NTLMv2 a použitie NTLM. Preto úrovniach väčší než "2" neumožňujú pripojenie. Teraz v tejto verzii operačného systému, predvolená hodnota pre LmCompatibilityLevel bol zmenený na "3". Takže pri inovácii systému Windows filers týchto tretích strán môžu prestať pracovať.
      • Klientom Microsoft Outlook môže výzva na zadanie poverení, aj keď už sú prihlásení do domény. Keď používatelia zadajú svoje poverenia, sa zobrazí nasledovné chybové hlásenie: systém Windows 7 a Windows Server 2008 R2
        Zadané prihlasovacie poverenia boli nesprávne. Skontrolujte, či vaše užívateľské meno a doménu, sú správne, potom znova zadajte heslo.
        Keď spustíte program Outlook, môžete byť vyzvaní na zadanie poverení aj keď Sieťové zabezpečenie pri prihlasovaní je nastavenie Passthrough alebo overenie hesla. Po zadaní správnych poverení, môže zobraziť nasledujúce chybové hlásenie:
        Zadané prihlasovacie poverenia boli nesprávne.
        Sledovanie siete stopových môže ukázať, že globálny katalóg vydaný vzdialený postup call (RPC) chyba so stavom 0x5. Stav 0x5 znamená "Prístup odmietnutý."
      • Windows 2000:Zachytenie sieťového Monitor môže zobraziť nasledovné chyby v NetBIOS nad protokolom TCP/IP (NetBT) server správu block (SMB) relácie:
        Chyba SMB R hľadať adresár systému Dos, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) neplatné užívateľské identifikátor
      • Windows 2000: Ak domény systému Windows NT 4.0 je dôveryhodný domény systému Windows 2000 s NTLMv2 Level 2 alebo novším, Windows 2000-založené členské počítače v doméne prostriedku môžu vyskytnúť chyby overenia.

        Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
        305379 Overenie problémov v systéme Windows 2000 s NTLM 2 úrovne nad 2 v doméne systému Windows NT 4.0
      • Windows 2000 a Windows XP:V predvolenom nastavení Windows 2000 a Windows XP nastavenie LAN Manager overovanie úrovne Lokálna politika zabezpečenia 0. Nastavenie 0 znamená "Odoslať LM a NTLM reakcie."

        Poznámka: Systém Windows NT 4.0 založených klastroch musíte použiť LM pre administratívu.
      • Windows 2000: Windows 2000 zhlukovaniu overiť pripájaného uzla Ak oba uzly sú súčasťou systému Windows NT 4.0 Service Pack 6a (SP6a) domény.

        Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
        305379 Overenie problémov v systéme Windows 2000 s NTLM 2 úrovne nad 2 v doméne systému Windows NT 4.0
      • IIS Lockdown nástroj (HiSecWeb) nastaví hodnoty LMCompatibilityLevel 5 a RestrictAnonymous hodnotu 2.
      • Služby pre systém Macintosh

        Užívateľ overovania modulu (UAM): Microsoft UAM (používateľské overenie Module) poskytuje metódu pre šifrovanie hesiel, ktoré používate na prihlásenie na servery Windows AFP (protokolu AppleTalk na podanie). Apple používateľské overenie modulu (UAM) poskytuje len minimálne alebo žiadne šifrovanie. Preto vaše heslo mohol zachytené ľahko v sieti LAN alebo na internete. Hoci UAM nevyžaduje, neposkytuje šifrovaného overovania Windows 2000 servery spustené služby pre Macintosh. Táto verzia obsahuje podporu pre šifrované overovanie NTLMv2 128-bitové a MacOS X 10,1-kompatibilné verzie.

        V predvolenom nastavení Windows Server 2003 Services pre systém Macintosh server umožňuje len Microsoft Authentication.

        Ďalšie informácie získate po kliknutí na nasledujúce čísla článkov publikovaných v databáze Microsoft Knowledge Base:
        834498 Macintosh klient sa nemôže pripojiť k službám pre Mac Windows Server 2003
        838331 Mac OS X užívatelia nemožno otvoriť Macintosh zdieľané priečinky na serveri so systémom Windows Server 2003
      • Windows Server 2008, Windows Server 2003, Windows XP a Windows 2000: Ak nakonfigurujete hodnoty LMCompatibilityLevel 0 alebo 1 a potom nakonfigurovať NoLMHash hodnotu 1, aplikácií a súčastí môžu byť odmietnutý prístup cez protokol NTLM. Tento problém sa vyskytuje, pretože počítač je nakonfigurovaný tak, aby umožnili LM ale nepoužívať LM-uložené heslá.

        Ak nastavíte hodnotu NoLMHash 1, musíte nakonfigurovať hodnoty LMCompatibilityLevel 2 alebo vyššej.
  11. Zabezpečenie siete: podpisovanie požiadavky klienta LDAP
    1. Pozadie

      Zabezpečenie siete: LDAP klient podpísaním požiadavky nastavenie určuje úroveň podpísanie údajov, ktoré sa požaduje v mene klientov, ktorí vydávajú Lightweight Directory Access Protocol (LDAP) VIAZAŤ žiadosti takto:
      • None: väzby LDAP žiadosti sa vydáva s možnosťami volajúci zadal.
      • Rokovať o podpise: Ak Secure Sockets Layer/Transport Layer Security (SSL/TLS) nie je spustená, väzby LDAP žiadosť začal podpísanie nastavenú okrem volajúci zadal možnosti údajov LDAP. Ak SSL/TLS bol začatý, väzby LDAP žiadosť začal volajúci zadal možnosti.
      • Vyžadovať prihlásenie: je to rovnaké ako vyjednávať podpisu. Však ak odpoveď servera LDAP stredne saslBindInProgress neuvádza, že LDAP dopravné značenie je potrebný, volajúci je povedané, že väzby LDAP príkaz nepodarila.
    2. Riskantné konfigurácie

      Zapnutie zabezpečenia siete: LDAP klient podpísaním požiadavky nastavenie je škodlivé konfiguračné nastavenie. Ak nastavíte server vyžadovať LDAP podpisy, musíte nakonfigurovať LDAP podpisu na strane klienta. Nemožno Konfigurácia klienta používať LDAP podpisy zabráni komunikácie so serverom. To spôsobuje overovanie používateľa, Skupinová politika nastavenia, prihlasovacie skripty a ďalšie funkcie zlyhanie.
    3. Dôvody na zmenu tohto nastavenia

      Nepodpísané sieťovej prevádzky je citlivý na útoky man-in--middle kde votrelec zachytí pakety medzi klientom a serverom, modifikuje ich a potom im pošle na server. Ak k tomu dôjde na serveri LDAP, útočník môže spôsobiť na odpoveď servera na základe falošných dotazy od klienta LDAP. Realizovaním silné fyzické bezpečnostné opatrenia na ochranu infraštruktúry siete môžete znížiť toto riziko v podnikovej sieti. Okrem toho vám môže zabrániť všetkých druhov útokov man-in--middle požadovaním digitálne podpisy na všetky sieťové pakety pomocou hlavièky protokolu IPSec overovanie.
    4. Symbolický názov:

      LDAPClientIntegrity
    5. Cesty databázy Registry:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
  12. Event Log: Maximálna veľkosť denníka zabezpečenia
    1. Pozadie

      Udalostí: maximálna veľkosť denníka zabezpečenia nastavenie zabezpečenia určuje maximálnu veľkosť denníka udalostí zabezpečenia. Tento záznam má maximálnu veľkosť 4 GB. Nájdite toto nastavenie, rozbaľte Nastavenie systému Windowsa potom rozbaľte položku Nastavenie zabezpečenia.
    2. Riskantné konfigurácie

      Nasledovné sú škodlivý konfiguraèné nastavenia:
      • Obmedzujú veľkosť denníka zabezpečenia a Metóda uchovania denníka zabezpečenia pri auditu: vypnúť systém okamžite v prípade nemožnosti zaznamenať do denníka audity zabezpečenia nastavenie je zapnuté. Zobraziť "Audit: vypnúť systém okamžite v prípade nemožnosti zaznamenať do denníka audity zabezpečenia" časti tohto článku pre viac informácií.
      • Obmedziť veľkosť denníka zabezpečenia tak, aby sa udalosti zabezpečenia záujmu sú prepísané.
    3. Dôvody na zvýšenie tohto nastavenia

      Podnikanie a bezpečnostných požiadaviek môže diktovať zvýšiť veľkosť denníka zabezpečenia zvládnuť ďalšie bezpečnostné detail denníka alebo ponechať bezpečnostné protokoly pre dlhšie časové obdobie.
    4. Dôvody na zníženie tohto nastavenia

      Zobrazovač udalostí sú pamäte mapovaní súborov. Maximálna veľkosť denníka udalostí je obmedzené množstvo fyzickej pamäte v miestnom počítači a virtuálnej pamäte, ktorá je k dispozícii procesu denníka udalostí. Zvyšuje veľkosť denníka za množstvo virtuálnej pamäte, ktorá je k dispozícii Zobrazovač udalostí nezvýši počet položiek denníka, ktoré sú udržiavané.
    5. Príklady problémov kompatibility

      Windows 2000:Počítače, ktoré sú spustené verzie systému Windows 2000, ktoré sú skôr ako Service Pack 4 (SP4) môže zastaviť zapisovanie do denníka udalostí v denníku udalostí pred dosahuje veľkosť je zadaná v nastavení povolená veľkosť denníka v programe Zobrazovač udalostí ak je zapnutá možnosť Neprepisovať udalosti (denník vymazávať ručne) .

      Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
      312571 Denník udalostí sa zastaví zapisovanie do denníka udalostí pred dosiahnutím maximálna veľkosť denníka
  13. Event Log: Doba uchovania denníka zabezpečenia
    1. Pozadie

      Udalostí: Doba uchovania denníka zabezpečenia nastavenie zabezpečenia určuje metódu "zabalenie" pre denník zabezpečenia. Nájdite toto nastavenie, rozbaľte Nastavenie systému Windowsa potom rozbaľte položku Nastavenie zabezpečenia.
    2. Riskantné konfigurácie

      Nasledovné sú škodlivý konfiguraèné nastavenia:
      • Nedarí udržať všetky zaznamenané udalosti zabezpečenia skôr, ako oni sú prepísané
      • Konfigurácia povolená veľkosť denníka zabezpečenia nastavenie príliš malé, aby sa prepíšu bezpečnostné udalosti
      • Obmedzenie denníka veľkosť a uchovávania metóda zabezpečenia pri auditu: vypnúť systém okamžite v prípade nemožnosti zaznamenať do denníka audity zabezpečenia je zapnuté nastavenie zabezpečenia
    3. Dôvodov povoliť toto nastavenie

      Povoľte toto nastavenie, len ak vyberiete Metóda uchovania Prepisovať udalosti podľa dátumu . Ak používate systém korelácia udalostí, ktorý ankety pre udalosti, uistite sa, že počet dní je najmenej trikrát Anketa frekvenciu. To umožniť neúspešné hlasovanie cyklov.
  14. Prístup do siete: pre anonymných používateľov použiť povolenia skupiny Everyone
    1. Pozadie

      V predvolenom nastavení prístup do siete: nechať každého povolenia pre anonymných používateľov použiť je nastavená na Windows Server 2003 Nie je definovaný . V predvolenom nastavení systému Windows Server 2003 neobsahuje anonymný prístup token každý skupiny.
    2. Príkladom problémov s kompatibilitou

      Tieto hodnoty
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
      [REG_DWORD] = 0x0 prestávky dôveru vytvorenie medzi Windows Server 2003 a Windows NT 4.0, Windows Server 2003 je doménou konto a Windows NT 4.0 je doménou zdrojov. To znamená, že je dôveryhodný domény konta Windows NT verzie 4.0 a doména prostriedkov dôvery na strane systému Windows Server 2003. Toto správanie sa vyskytuje, pretože proces začať dôverovať po počiatočné anonymné pripojenie je ACL by všetci tokenu, ktorý zahŕňa anonymný identifikátor SID na Windows NT 4.0.
    3. Dôvody na zmenu tohto nastavenia

      Hodnota musí byť nastavená na 0x1 alebo nastaviť pomocou objektu GPO na radič domény OU sa: prístup do siete: nechať každého povolenia pre anonymných používateľov - povolené použiť umožniť dôvery výtvory.

      Poznámka: Väčšina ostatných nastavení zabezpečenia stúpať na hodnote namiesto do 0x0 ich najviac zabezpečené štátu. Bezpečnejšie prax by sa zmeniť databázu registry na primárnej doméne radič emulátor namiesto na všetky radiče domény. Ak rolu primárnou doménou radič emulátor je presunutý z akéhokoľvek dôvodu, musia byť aktualizované databázy registry na novom serveri.

      Po nastavení tejto hodnoty je potrebné reštartovať.
    4. Cesty databázy Registry
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
  15. Overovanie NTLM, verzia 2

    1. Zabezpečenie relácie

      Zabezpečenie relácie určuje minimálne štandardy zabezpečenia relácie klienta a servera. To je dobré overiť nasledovné nastavenia politiky zabezpečenia v module Microsoft Management Console Group Policy Editor:
      • Počítač Settings\Windows systému Windows\Nastavenie položku Možnosti
      • Zabezpečenie siete: Minimálne zabezpečenie relácie pre servery NTML SSP (vrátane bezpečného RPC)
      • Zabezpečenie siete: Minimálne zabezpečenie relácie pre klientov NTML SSP (vrátane bezpečného RPC)
      Možnosti nastavenia sú nasledujúce:
      • Vyžaduje integrita správ
      • Vyžaduje dôvernosť správ
      • Vyžadovať protokol NTLM verzia 2 zabezpečenia relácie
      • Vyžadovať 128-bitové šifrovanie
      V predvolenom nastavení pred Windows 7 je žiadne požiadavky. Počnúc Windows 7, predvolené zmenil na vyžadujú 128-bitové šifrovanie pre lepšie zabezpečenie. Pri tejto predvolenej staršie zariadenia, ktoré nepodporujú 128-bitové šifrovanie bude schopný pripojiť.

      Tieto podmienky určujú minimálne štandardy zabezpečenia pre aplikáciu na komunikačnú reláciu na server pre klienta.

      Historicky, Windows NT podporuje nasledovné dva varianty overenia výzvy/odpovede pri prihlásení na sieť:
      • LM výzva/odpoveď
      • Výzva/odpoveď NTLM verzia 1
      Metóda LM umožňuje interoperabilitu s nainštalovanými klientmi a servermi. Protokol NTLM poskytuje vylepšené zabezpečenie pripojení medzi klientmi a servermi.

      Zodpovedajúce kľúče databázy registry sú nasledovné:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"
    2. Riskantné konfigurácie

      Toto nastavenie určuje, ako sa bude zaobchádzať sieťových relácií zabezpečené pomocou NTLM. To ovplyvňuje RPC-založené relácie overený s NTLM, napríklad. Existujú nasledujúce riziká:
      • Ktoré nepodpisujú komunikácie (integrita) komunikácia citlivá na modifikácie na drôt.
      • Nie šifrovanie (utajenie) komunikácie robí oznámenie citlivé k nahliadnutiu na drôt.
      • Pomocou staršie metódy overovania ako overovanie NTLMv2 uľahčuje komunikáciu útok kvôli jednoduchší hashovací metódy.
      • Pomocou nižších než 128-bitové šifrovacie kľúče umožňuje útočníkom preniknúť komunikáciu pomocou brute-force útoky.

Synchronizácia času

Časová Synchronizácia zlyhala. Čas je preč vyše 30 minút na postihnutého počítača. Uistite sa, že klientsky počítač hodiny synchronizované s radičom domény hodiny.

Riešenie pre podpisovanie blokov SMB

Kliknite tu pre informácie o tom, ako obísť problémy podpisovanie blokov SMB
Odporúčame vám nainštalovať balík Service Pack 6a (SP6a) spolupracovať so systémom Windows Server 2003 domény systému Windows NT 4.0 klientov. Windows 98 Second Edition-založených klientov, klienti systémom Windows 98 a Windows 95-založené klientov musíte spustiť klienta služby Directory Services vykonávať overovanie NTLMv2. Ak Windows NT 4.0-založených klientov systému Windows NT 4.0 SP6 nainštalovaný alebo ak Windows 95-založené klientov, klienti systémom Windows 98 a Windows 98SE-založených klientov robiť klienta služby Directory Services nenainštaloval, zakázať SMB prihlásenia politiky radiča domény predvolené nastavenia na radič domény OU a potom odkaz tejto politiky na všetky organizačné jednotky, ktoré hostiteľskej radiče domény.

Adresár služby klient pre Windows 98 Second Edition, Windows 98 a Windows 95 bude vykonávať podpisovanie blokov SMB s Windows 2003 servery pod overenie pomocou štandardu NTLM, ale nie pod overovanie NTLMv2. Navyše servery Windows 2000 Server nebude reagovať na podpisovanie blokov SMB žiadostí z týchto klientov.

Aj keď to neodporúčame, môžete zabrániť podpisovanie blokov SMB od požadovania na všetky radiče domény, ktoré beží Windows Server 2003 v doméne. Ak chcete konfigurovať toto nastavenie zabezpečenia, postupujte nasledovne:
  1. Otvoriť radič domény predvolené politiky.
  2. Otvoriť Počítač položke Konfigurácia počítača\Nastavenie systému Windows\Nastavenie položku Možnosti priečinka.
  3. Vyhľadajte a potom kliknite na server siete Microsoft: digitálne podpisovanie pri komunikácii (vždy) nastavenie politiky a potom telesne.
Dôležité: Táto časť, postup alebo úloha obsahuje kroky, ktoré informujú o úpravách databázy Registry. Ak databázu Registry upravíte nesprávne, môžu nastať vážne problémy. Postupujte preto presne podľa týchto krokov. Na dosiahnutie lepšej ochrany je pred úpravou databázu Registry vhodné zálohovať. Umožní vám to obnoviť databázu Registry, ak sa vyskytnú problémy. Ďalšie informácie o zálohovaní a obnovení databázy Registry získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
322756 Ako zálohovať a obnoviť databázu Registry v systéme Windows
Alternatívne vypnite SMB podpisu na serveri úpravou databázy registry. Ak to chcete urobiť, postupujte podľa nasledujúcich krokov:
  1. Kliknite na tlačidlo Štart, kliknite na tlačidlo spustiť, typu regedit, a potom kliknite na tlačidlo OK.
  2. Vyhľadajte a potom kliknite na nasledujúci podkľúč:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters
  3. Kliknite na položku enablesecuritysignature .
  4. V ponuke Upraviť kliknite na príkaz Upraviť.
  5. V hodnotu dát zadajte 0, a potom kliknite na tlačidlo OK.
  6. Ukončite Editor databázy Registry.
  7. Reštartujte počítač, alebo zastaviť a potom reštartujte službu Server. To urobiť, do príkazového riadka zadajte nasledovné príkazy a po zadaní každého príkazu stlačte kláves Enter:
    net stop server
    čistý Štart server
Poznámka: Zodpovedajúceho kľúča na klientskom počítači je v nasledovnom podkľúči databázy registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters
Nasledovné zoznamy preložené chyba kód čísla stavové kódy a doslovný chybové hlásenia, ktoré sa už spomenul:
chyba 5
ERROR_ACCESS_DENIED
Prístup bol odmietnutý.
chyba 1326
ERROR_LOGON_FAILURE
Prihlásenie zlyhalo: neznáme užívateľské meno alebo zlé heslo.
chyba 1788
ERROR_TRUSTED_DOMAIN_FAILURE
Vzťah dôvery medzi primárnou doménou a dôveryhodnou doménou zlyhal.
chyba 1789
ERROR_TRUSTED_RELATIONSHIP_FAILURE
Vzťah dôvery medzi touto pracovnou stanicou a primárnou doménou zlyhal.
Ďalšie informácie získate po kliknutí na nasledujúce čísla článkov publikovaných v databáze Microsoft Knowledge Base:
324802 Konfigurovanie politiky skupiny nastavenie zabezpečenia systémové služby v systéme Windows Server 2003
306771 "Prístup odmietnutý" chybové hlásenie po nakonfigurovaní klastri Windows Server 2003
101747 Ako nainštalovať Microsoft overovania na Macintosh
161372 Ako povoliť SMB prihlásenie v systéme Windows NT
236414 Nemôžete použiť akcií s LMCompatibilityLevel nastavené iba overovanie pomocou protokolu NTLM 2
241338 Verzie Windows NT LAN Manager 3 klient s prvom prihlásení zabraňuje následné prihlásenie činnosť
262890 Nepodarilo sa získať pripojenie na domovský adresár jednotku v zmiešanom prostredí
308580 Domovský priečinok priradenia na servery nižšej úrovne nemusí fungovať počas prihlásenia
285901 Vzdialené pripojenie, VPN a RIS klientov nemôže vytvoriť relácie so serverom, ktorý je nakonfigurovaný na prijímanie iba overenie pomocou štandardu NTLM verzia 2
816585 Ako aplikovať preddefinované šablóny zabezpečenia v systéme Windows Server 2003
820281 Musíte zadať poverenia konta systému Windows pri pripojení na server Exchange Server 2003 pomocou programu Outlook 2003 RPC prostredníctvom funkcie HTTP
užívateľ správne bezpečnostné nastavenie compat kompatibility databázy registry bezpečné skupina politiky acl práva gpedit pdce

Upozornenie: Tento článok bol preložený automaticky.

Vlastnosti

ID článku: 823659 – Posledná kontrola: 10/08/2013 22:24:00 – Revízia: 7.0

Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows XP Professional Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Workstation 4.0 Developer Edition, Microsoft Windows 98 Standard Edition, Microsoft Windows 95

  • kbinfo kbmt KB823659 KbMtsk
Pripomienky
html>