Vpišite se z Microsoftovim
Vpišite se ali ustvarite račun.
Pozdravljeni,
Izberite drug račun.
Imate več računov
Izberite račun, s katerim se želite vpisati.

Povzetek

Varnostne nastavitve in dodelitve uporabniških pravic lahko spremenite v lokalnih pravilnikih in pravilnikih skupine ter tako poostrite varnost krmilnikov domene in računalnikov članov. Neudobnost večje varnosti pa je uvedba nezdružljivosti z odjemalci, storitvami in programi.

V tem članku so opisane nezdružljivosti, do katerih lahko pride v odjemalskih računalnikih s sistemom Windows XP ali starejšo različico sistema Windows, ko spremenite določene varnostne nastavitve in dodelitve uporabniških pravic v domeni sistema Windows Server 2003 ali starejši domeni strežnika Windows Server.

Več informacij o pravilnik skupine za Windows 7, Windows Server 2008 R2 in Windows Server 2008 najdete v teh člankih:

Opomba: Preostala vsebina v tem članku je specifična za Windows XP, Windows Server 2003 in starejše različice sistema Windows.

Windows XP

Če želite povečati ozaveščenost o napačno konfiguriranih varnostnih nastavitvah, z orodjem pravilnik skupine Object Editor spremenite varnostne nastavitve. Ko uporabljate urejevalnik pravilnik skupine, so dodelitve uporabniških pravic izboljšane v teh operacijskih sistemih:

  • Servisni paket SP2 za Windows XP Professional

  • Windows Server 2003 s servisnim paketom SP1

Izboljšana funkcija je pogovorno okno s povezavo do tega članka. Pogovorno okno se prikaže, ko spremenite varnostno nastavitev ali dodelitev uporabniških pravic v nastavitev, ki zagotavlja manj združljivosti in je strožja. Če z registrom ali varnostnimi predlogami neposredno spremenite isto varnostno nastavitev ali dodelitev uporabniških pravic, je učinek enak kot spreminjanje nastavitve v urejevalniku pravilnik skupine predmeta. Pogovorno okno s povezavo do tega članka pa se ne prikaže.

V tem članku so primeri odjemalcev, programov in operacij, na katere vplivajo posebne varnostne nastavitve ali dodelitve uporabniških pravic. Vendar pa primeri niso avtoritativni za vse Microsoftove operacijske sisteme, za vse operacijske sisteme tretjih oseb ali za vse različice programov, na katere to vpliva. V tem članku niso vključene vse varnostne nastavitve in dodelitve uporabniških pravic.

Priporočamo, da preverite združljivost vseh sprememb konfiguracije, povezanih z varnostjo, v preskusnem gozdu, preden jih uvedete v proizvodno okolje. Preskusni gozd mora prezrcali proizvodni gozd na naslednje načine:

  • Različice odjemalskega in strežniškega operacijskega sistema, odjemalski in strežniški programi, različice servisnih paketov, sprotni popravki, spremembe sheme, varnostne skupine, članstva v skupini, dovoljenja za predmete v datoteičnem sistemu, mape v skupni rabi, register, imeniška storitev Active Directory, lokalne nastavitve in nastavitve sistema pravilnik skupine ter vrsta in mesto za štetje predmetov

  • Skrbniška opravila, ki se izvajajo, uporabljena skrbniška orodja in operacijski sistemi, ki se uporabljajo za izvajanje skrbniških opravil

  • Postopki, ki se izvajajo, na primer:

    • Preverjanje pristnosti prijave v računalnik in uporabnika

    • Ponastavitev gesla po uporabnikih, računalnikih in skrbnikih

    • Brskanje

    • Nastavljanje dovoljenj za datotečno sistem, za mape v skupni rabi, za register in za vire imenika Active Directory z urejevalnikom ACL v vseh odjemalskih operacijskih sistemih v vseh domenah računov ali sredstev iz vseh odjemalskih operacijskih sistemov iz vseh domen računa ali sredstev

    • Tiskanje iz skrbniških in ne skrbniških računov

Windows Server 2003 SP1

Opozorila v gpedit.msc

Če želite strankam pomagati, da se zavedajo, da urejajo uporabniško pravico ali varnostno možnost, ki bi lahko negativno vplivala na njihovo omrežje, sta bila v gpedit.msc dodana dva opozorilna mehanizma. Ko skrbniki urejajo uporabniško pravico, ki lahko slabo vpliva na celotno podjetje, vidijo novo ikono, podobno znaku za donos. Prejeli bodo tudi opozorilno sporočilo s povezavo do članka iz Microsoftove zbirke 823659. Besedilo tega sporočila je:

Spreminjanje te nastavitve lahko vpliva na združljivost z odjemalci, storitvami in aplikacijami. Če želite več informacij <, glejte pravica uporabnika ali varnostna možnost, ki se spreminja> (Q823659) Če ste bili preusmerjeni v ta članek iz zbirke znanja s povezave v Gpedit.msc, se prepričajte, da ste prebrali in razumeli navedeno razlago in možne učinek spremembe te nastavitve. V nadaljevanju so navedene uporabniške pravice, ki vsebujejo besedilo opozorila:

  • Dostop do tega računalnika iz omrežja

  • Prijava lokalno

  • Obhodno prečno preverjanje

  • Omogočanje računalnika in uporabnikov za zaupanja vredno pooblastitev

Spodaj so navedene varnostne možnosti, ki imajo opozorilo in pojavno sporočilo:

  • Član domene: digitalno šifriranje ali podpisovanje podatkov v varnem kanalu (vedno)

  • Član domene: zahtevajte zapleten ključ (Windows 2000 ali novejša različica)

  • Krmilnik domene: zahteve za podpisovanje strežnika LDAP

  • Microsoftov omrežni strežnik: digitalno podpisovanje komunikacij (vedno)

  • Omrežni dostop: dovoli anonimni sid/prevod imena

  • Omrežni dostop: ne dovoli anonimnega oštevčevanja računov IN datotek SAM

  • Varnost omrežja: raven preverjanja pristnosti v upravitelju LAN

  • Nadzor: sistem takoj zaustavite, če ne morete prijaviti nadzora varnosti

  • Omrežni dostop: zahteve za podpisovanje odjemalca LDAP

Več informacij

V spodnjih razdelkih so opisane nezdružljivosti, do katerih lahko pride, ko spremenite določene nastavitve v domenah sistema Windows NT 4.0, domenah sistema Windows 2000 in domenah sistema Windows Server 2003.

Uporabniške pravice

Na spodnjem seznamu je opisana pravica uporabnika, identificira nastavitve konfiguracije, ki lahko povzročijo težave, opisani razlogi, zakaj morate uporabniku dodeliti pravico in zakaj želite uporabniku odstraniti pravico, navedeni pa so tudi primeri težav z združljivostjo, do katerih lahko pride, ko je konfigurirana pravica uporabnika.

  1. Dostop do tega računalnika iz omrežja

    1. Ozadje

      Za komunikacijo z oddaljenimi računalniki s sistemom Windows potrebujete dostop do tega računalnika neposredno prek omrežnega uporabnika. Primeri takšnih postopkov omrežja vključujejo naslednje:

      • Podvajanje imenika Active Directory med krmilniki domene v skupni domeni ali gozdu

      • Zahteve za preverjanje pristnosti za krmilnike domene uporabnikov in računalnikov

      • Dostop do map v skupni rabi, tiskalnikov in drugih sistemskih storitev, ki so v oddaljenih računalnikih v omrežju



      Uporabniki, računalniki in računi storitev pridobijo ali izgubijo dostop do tega računalnika iz uporabnikov omrežja tako, da so izrecno ali implicitno dodani ali odstranjeni iz varnostne skupine, ki ima temu uporabniku dodeljeno pravico. Na primer, uporabniški račun ali račun računalnika lahko izrecno doda skrbnik varnostni skupini po meri ali vgrajeni varnostni skupini ali pa ga operacijski sistem implicitno doda v izračunano varnostno skupino, kot so uporabniki domene, uporabniki s preverjeno pristnostjo ali krmilniki domene za podjetja.

      Uporabniškim računom in računalniškim računom je privzeto podeljen dostop do tega računalnika iz uporabnikov omrežja neposredno pri izračunu skupin, kot so Vsi, ali po možnosti uporabniki s preverjeno pristnostjo in za krmilnike domene skupina Krmilniki domene podjetja so določeni v privzetih krmilnikih domene pravilnik skupine Object (GPO).

    2. Tvegane konfiguracije

      Spodaj so navedene škodljive nastavitve konfiguracije:

      • Odstranjevanje varnostne skupine »Krmilniki domene podjetja« iz tega uporabnika

      • Odstranjevanje skupine uporabnikov s preverjeno pristnostjo ali eksplicitne skupine, ki uporabnikom, računalnikom in računom storitve omogoča, da se uporabnik poveže z računalniki prek omrežja

      • Pravica do odstranjevanja vseh uporabnikov in računalnikov iz tega uporabnika

    3. Razlogi za podelitev pravice temu uporabniku

      • Če omogočite dostop do tega računalnika uporabniku omrežja do skupine krmilnikov domene podjetja, izpolnjujete zahteve preverjanja pristnosti, ki jih mora imeti podvajanje imenika Active Directory, da pride med krmilniki domene v istem gozdu.

      • Ta uporabniška pravica uporabnikom in računalnikom omogoča dostop do datotek, tiskalnikov in sistemskih storitev v skupni rabi, vključno z imenikom Active Directory.

      • Ta uporabniška pravica je zahtevana, če želite uporabnikom omogočiti dostop do pošte z uporabo starejših različic programa Microsoft Outlook Web Access (OWA).

    4. Razlogi za odstranitev pravice uporabnika

      • Uporabniki, ki lahko povežejo svoje računalnike z omrežjem, lahko dostopajo do sredstev v oddaljenih računalnikih, za katere imajo dovoljenja. Ta uporabnik na primer zahteva pravico uporabnika, da vzpostavi povezavo s tiskalniki v skupni rabi in mapami. Če je ta uporabniška pravica dodeljena skupini »Vsi« in če imajo nekatere mape v skupni rabi dovoljenja za skupno rabo in dovoljenja datotečnega sistema NTFS, ki so konfigurirana tako, da ima ista skupina dostop za branje, si lahko vsi ogledajo datoteke v teh mapah v skupni rabi. Vendar pa to ni verjetno za nove namestitve sistema Windows Server 2003, ker privzeta skupna raba in dovoljenja NTFS v sistemu Windows Server 2003 ne vključujejo skupine Vsi. Pri sistemih, ki so nadgrajeni iz sistema Microsoft Windows NT 4.0 ali Windows 2000, lahko ta ranljivost povzroči višjo raven tveganja, ker privzeta dovoljenja za skupno rabo in datotečno sistem za te operacijske sisteme niso tako stroga kot privzeta dovoljenja v sistemu Windows Server 2003.

      • Ni veljavnega razloga za odstranitev skupine Enterprise Domain Controllers iz te pravice uporabnika.

      • Skupina Vsi je običajno odstranjena v korist skupine uporabniki s preverjeno pristnostjo. Če je skupina Vsi odstranjena, mora temu uporabniku dodeliti uporabniško pravico skupina Uporabniki s preverjeno pristnostjo.

      • Windows NT 4.0, ki se nadgrajijo na Windows 2000, accessu tega računalnika prek omrežnega uporabnika ne dodelite izrecno pravice do skupine Vsi, skupine Uporabniki s preverjeno pristnostjo ali skupine Krmilniki domene za podjetja. Ko torej odstranite skupino »Vsi« iz pravilnika domene storitve Windows NT 4.0, podvajanje imenika Active Directory ne bo uspelo s sporočilom o napaki »Dostop zavrnjen« po nadgradnji na Windows 2000. Winnt32.exe windows Server 2003 prepreči to napačno konfiguracijo tako, da temu uporabniku odobrite dovoljenje za skupino krmilnikov domene podjetja neposredno ob nadgradnji primarnega krmilnika domene 4.0 (PDCs) v sistemu Windows NT 4.0. Skupini Krmilniki domene za podjetja dodelite to pravico, če ta ni v urejevalniku pravilnik skupine predmeta.

    5. Primeri težav z združljivostjo

      • Windows 2000 in Windows Server 2003: Podvajanje teh particij ne bo uspelo z napakami »Dostop zavrnjen«, kot so jih prijavila orodja za nadzorovanje, kot sta REPLMON in REPADMIN ali dogodki podvajanja v dnevniku dogodkov.

        • Particija sheme imenika Active Directory

        • Particija konfiguracije

        • Particija domene

        • Particija globalnega kataloga

        • Particija aplikacije

      • Vsi operacijski sistemi v Microsoftovem omrežju: preverjanje pristnosti uporabniškega računa v odjemalskih računalnikih z oddaljenim omrežjem ne bo uspelo, razen če uporabniku ali varnostni skupini, katere član je uporabnik, dodeljena ta uporabniška pravica.

      • Vsi operacijski sistemi v Microsoftovem omrežju: preverjanje pristnosti računa iz odjemalcev oddaljenega omrežja ne bo uspelo, razen če ima račun ali varnostna skupina, katere član je račun, pravico tega uporabnika. Ta scenarij velja za uporabniške račune, računalniške račune in račune storitev.

      • Vsi operacijski sistemi v Microsoftovem omrežju: Če odstranite vse račune tega uporabnika, boste preprečili vpis v domeno ali dostop do omrežnih sredstev v vseh računih. Če so izračunane skupine, kot so krmilniki domene za podjetja, Vsi ali uporabniki s preverjeno pristnostjo, odstranjene, morate temu uporabniku izrecno podeliti pravico do računov ali varnostnih skupin, katerih član je račun, za dostop do oddaljenih računalnikov prek omrežja. Ta scenarij velja za vse uporabniške račune, za vse račune računalnika in za vse račune storitev.

      • Vsi operacijski sistemi Microsoftovega omrežja: Lokalni skrbniški račun uporablja »prazno« geslo. Omrežna povezljivost s praznimi gesli ni dovoljena za skrbniške račune v okolju domene. S to konfiguracijo lahko pričakujete, da boste prejeli sporočilo o napaki »Dostop zavrnjen«.

  2. Dovoli lokalno prijavo

    1. Ozadje

      Uporabniki, ki se poskušate prijaviti v konzoli računalnika s sistemom Windows (z bližnjico na tipkovnici CTRL+ALT+DELETE) in računi, ki pišejo storitev, morajo imeti lokalne pravice za prijavo v gostiteljski računalnik. Primeri lokalnih prijavnih postopkov so skrbniki, ki se prijavljajo v konzole računalnikov članov, ali krmilniki domene v celotnem podjetju in uporabniki domene, ki se prijavljajo v računalnike članov za dostop do namizja z uporabo računov brez pravic. Uporabniki, ki uporabljajo povezavo z oddaljenim namizjem ali terminalske storitve, morajo imeti možnost Dovoli prijavo lokalno v ciljne računalnike s sistemom Windows 2000 ali Windows XP, ker so ti načini prijave v gostiteljskem računalniku obravnavani kot lokalni. Uporabniki, ki se prijavljajo v strežnik, v katerem je omogočen terminalski strežnik in ki nimajo pravice za tega uporabnika, lahko še vedno zaženejo oddaljeno interaktivno sejo v domenah sistema Windows Server 2003, če imajo uporabniško pravico Dovoli prijavo prek terminalskih storitev.

    2. Tvegane konfiguracije

      Spodaj so navedene škodljive nastavitve konfiguracije:

      • Odstranjevanje skrbniških varnostnih skupin, vključno z operatorji računov, operatorji varnostnega kopiranja, operatorji tiskanja ali strežniškimi operatorji, in vgrajeno skupino skrbnikov iz pravilnika privzetega krmilnika domene.

      • Iz pravilnika privzetega krmilnika domene odstranite račune storitve, ki jih uporabljajo komponente in programi v računalnikih članih in krmilnikih domene v domeni.

      • Odstranjevanje uporabnikov ali varnostnih skupin, ki se prijavijo v konzolo računalnikov članov v domeni.

      • Odstranjevanje računov storitev, ki so določeni v lokalni zbirki podatkov upravitelja varnostnih računov (SAM) v članskih računalnikih ali računalnikih delovne skupine.

      • Odstranjevanje ne vgrajenih skrbniških računov s preverjanjem pristnosti prek terminalskih storitev, ki se izvajajo v krmilniku domene.

      • Dodajanje vseh uporabniških računov v domeno eksplicitno ali implicitno prek skupine »Vsi« v desno stran »Zavrni prijavo«. Ta konfiguracija uporabnikom prepreči prijavo v kateri koli računalnik člana ali kateri koli krmilnik domene v domeni.

    3. Razlogi za podelitev pravice temu uporabniku

      • Uporabniki morajo imeti pravico do dostopa do konzole ali namizja računalnika delovne skupine, računalnika člana ali krmilnika domene s pravico do lokalnega uporabnika.

      • Uporabniki morajo imeti to pravico, da se lahko prijavijo prek seje terminalskih storitev, ki se izvaja v računalniku ali krmilniku domene v sistemu Windows 2000.

    4. Razlogi za odstranitev pravice uporabnika

      • Če ne omejite dostopa konzole do zakonitih uporabniških računov, lahko nepooblaščeni uporabniki prenesejo in izvršijo zlonamerno kodo, da spremenijo svoje uporabniške pravice.

      • Odstranitev pravice Dovoli prijavo lokalno uporabniku preprečuje nepooblaščene prijave v konzolah računalnikov, kot so krmilniki domene ali strežniki aplikacij.

      • Če odstranite to pravico za prijavo, preprečite, da bi se računi, ki niso v domeni, prijavljali v konzoli računalnikov članov v domeni.

    5. Primeri težav z združljivostjo

      • Terminalski strežniki Windows 2000: Zahtevana je pravica »Dovoli prijavo lokalno za uporabnika« za uporabnike, da se prijavijo v terminalske strežnike s sistemom Windows 2000.

      • Windows NT 4.0, Windows 2000, Windows XP ali Windows Server 2003: Uporabniškim računom mora biti dodeljena pravica za prijavo v konzolo računalnikov s sistemom Windows NT 4.0, Windows 2000, Windows XP ali Windows Server 2003.

      • Windows NT 4.0 in novejše različice: Če v računalnikih, v katerih se izvaja Windows NT 4.0 in novejša različica, dodate pravico Dovoli prijavo lokalno, vendar implicitno ali izrecno dodelite tudi pravico »Zavrni prijavo« lokalno, se računi ne bodo mogli prijaviti v konzolo krmilnikov domene.

  3. Obhodno prečno preverjanje

    1. Ozadje

      Bypass traverse checking user right allows the user to browse through folders in the NTFS file system or in the registry without checking for the Traverse Folder special access permission. Možnost Bypass traverse checking user right ne omogoča uporabniku, da prikaže vsebino mape. To omogoča uporabniku, da prečka samo svoje mape.

    2. Tvegane konfiguracije

      Spodaj so navedene škodljive nastavitve konfiguracije:

      • Odstranjevanje ne skrbniških računov, ki se prijavijo v računalnike terminalskih storitev s sistemom Windows 2000 ali v računalnike s storitvami Terminal Services s sistemom Windows Server 2003, ki nimajo dovoljenj za dostop do datotek in map v datotečno sistemu.

      • Odstranjevanje skupine »Vsi« s seznama varnostnih upravnikov, ki imajo ta uporabnik privzeto pravico. Operacijski sistemi Windows in tudi številni programi so zasnovani tako, da pričakujejo, da bo vsakdo, ki lahko zakonito dostopa do računalnika, imel pravico za preverjanje obhoda. Če torej odstranite skupino »Vsi« s seznama upravnikov varnosti, ki imajo to uporabniško pravico privzeto, lahko pride do nestabilnosti operacijskega sistema ali do napake programa. Bolje je, da to nastavitev pustite privzeto.

    3. Razlogi za podelitev pravice temu uporabniku

      Privzeta nastavitev za bypass traverse checking user right je, da vsem omogoči obhod prečno preverjanje. za izkušene skrbnike sistema Windows, to je pričakovano vedenje, in konfigurirajo datotečno sistem dostop kontrolni seznami (SACLS) ustrezno. Edini scenarij, pri katerem lahko privzeta konfiguracija povzroči neobliko, je, če skrbnik, ki konfigurira dovoljenja, ne razume delovanja in pričakuje, da uporabniki, ki ne morejo dostopati do nadrejene mape, ne bodo mogli dostopati do vsebine katere koli podrejene mape.

    4. Razlogi za odstranitev pravice uporabnika

      Če želite preprečiti dostop do datotek ali map v datotečnem sistemu, lahko organizacije, ki jih zelo skrbi varnost, morda odstranijo skupino »Vsi« ali celo skupino »Uporabniki« s seznama skupin, ki imajo uporabniku nastavljeno možnost »Obidi prečno preverjanje«.

    5. Primeri težav z združljivostjo

      • Windows 2000, Windows Server 2003: Če je obhod prečno preverjanje uporabniške pravice odstranjen ali je napačno konfiguriran v računalnikih s sistemom Windows 2000 ali Windows Server 2003, se nastavitve za pravilnik skupine v mapi SYVOL ne bodo ponovile med krmilniki domene v domeni.

      • Windows 2000, Windows XP Professional, Windows Server 2003: Računalniki, v katerih se izvajajo windows 2000, Windows XP Professional ali Windows Server 2003, bodo beležili dogodke 1000 in 1202 in ne bodo mogli uporabiti pravilnika računalnika in pravilnika uporabnika, ko bodo zahtevana dovoljenja datotečne sisteme odstranjena iz drevesa SYSVOL, če je obhodno prečno preverjanje uporabniške pravice odstranjeno ali je napačno konfigurirano.

         

      • Windows 2000, Windows Server 2003: V računalnikih s sistemom Windows 2000 ali Windows Server 2003 zavihek Količinska omejitev v Raziskovalcu izgine, ko si ogledate lastnosti na nosilcu.

      • Windows 2000: Ne skrbniki, ki se prijavijo v terminalski strežnik Windows 2000, lahko prejmejo to sporočilo o napaki:

        Userinit.exe o napaki aplikacije. Program se ni pravilno inicializiral, 0xc0000142 V redu, da prekinete aplikacijo.

      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Uporabniki, v katerih so nameščeni računalniki s sistemom Windows NT 4.0, Windows 2000, Windows XP ali Windows Server 2003, morda ne bodo mogli dostopati do map ali datotek v skupni rabi v mapah v skupni rabi in lahko prejmejo sporočila o napaki »Dostop zavrnjen«, če jim uporabnik nima dovoljenja za preverzno preverjanje obhoda.


         

      • Windows NT 4.0: V računalnikih Windows NT ki uporabljajo 4.0, bo odstranitev obhoda travernega preverjanja uporabniške pravice povzročila, da bo kopija datoteke spustila tokove datotek. Če odstranite tega uporabnika prav, ko kopirate datoteko iz odjemalca sistema Windows ali odjemalca za Macintosh v krmilnik domene za Windows NT 4.0, v katerem se izvajajo storitve za Macintosh, se ciljni tok datoteke izgubi, datoteka pa je prikazana kot besedilna datoteka.

      • Microsoft Windows 95, Microsoft Windows 98: V odjemalskem računalniku, v katerem se izvaja Windows 95 ali Windows 98, net use * /home command will fail with an "Access Denied" error message if the Authenticated Users group is not granted the Bypass traverse checking user right.

      • Outlook Web Access: Skrbniki, ki niso skrbniki, se ne bodo mogli prijaviti v Microsoft Outlook Web Access in prejeli bodo sporočilo o napaki »Dostop zavrnjen«, če jim uporabnik nima dovoljenja za obhod za prečno preverjanje.

Varnostne nastavitve

Na spodnjem seznamu je navedena varnostna nastavitev, ugnezdeni seznam pa vsebuje opis varnostne nastavitve, prepozna nastavitve konfiguracije, ki lahko povzročijo težave, opisuje, zakaj morate uporabiti varnostno nastavitev, in nato opiše razloge, zakaj morda želite odstraniti varnostno nastavitev. Ugnezdeni seznam nato vsebuje simbolno ime za varnostno nastavitev in pot registra varnostne nastavitve. Na koncu so navedeni primeri težav z združljivostjo, do katerih lahko pride, ko je konfigurirana varnostna nastavitev.

  1. Nadzor: sistem takoj zaustavite, če ne morete prijaviti nadzora varnosti

    1. Ozadje

      • Nadzor: Sistem takoj zaustavite, če nastavitev nadzora varnosti ne more zajemati, določa, ali se sistem zaustavi, če ne morete zabeležiti varnostnih dogodkov. Ta nastavitev je zahtevana za vrednotenje C2 programa zaupanja vrednih meril za varnost računalnika (TCSEC) in za skupna merila za vrednotenje varnosti informacijske tehnologije za preprečevanje dogodkov, ki jih je mogoče nadzorovati, če nadzorni sistem ne more zabeležiti teh dogodkov. Če sistem nadzora ne uspe, se sistem zaustavi in prikaže se sporočilo o prekinitveni napaki.

      • Če računalnik ne more zabeležiti dogodkov v varnostni dnevnik, kritični dokazi ali pomembne informacije o odpravljanju težav morda niso na voljo za pregled po varnostnem dogodku.

    2. Tvegana konfiguracija

      To je škodljiva nastavitev konfiguracije: Nadzor: takoj zaustavite sistem, če nastavitev ne more zabeležiti nadzora varnosti, velikost dnevnika varnostnih dogodkov pa omejuje možnost Ne prepiši dogodkov (počisti dnevnik ročno), možnost Prepiši dogodke po potrebi ali možnost Prepiši dogodke, starejše od števila dni v programu Pregledovalnik dogodkov. Če želite več informacij o določenih tveganjih v računalnikih, v katerih se izvaja prvotna izdana različica sistema Windows 2000, Windows 2000 s servisnim paketom SP1, Windows 2000 s servisnim paketom SP2 ali Windows 2000 s servisnim paketom SP3, glejte razdelek »Primeri težav z združljivostjo«.

    3. Razlogi za omogočanje te nastavitve

      Če računalnik ne more zabeležiti dogodkov v varnostni dnevnik, kritični dokazi ali pomembne informacije o odpravljanju težav morda niso na voljo za pregled po varnostnem dogodku.

    4. Razlogi za onemogočanje te nastavitve

      • Omogočanje nadzora: Takoj zaustavite sistem, če ne morete prijaviti nastavitev nadzora varnosti, se ustavi sistem, če varnostnega nadzora iz katerega koli razloga ni mogoče zabeležiti. Običajno dogodka ni mogoče zabeležiti, ko je dnevnik varnostnega nadzora poln in ko je njegov določen način hranjenja možnost Ne prepiši dogodkov (ročno počisti dnevnik) ali Možnost Prepiši dogodke, starejše od števila dni.

      • Skrbniško breme omogočanja nadzora: sistem takoj zaustavite, če nastavitev ne more zabeležiti varnostnih nadzorov, je lahko zelo visoka, še posebej, če vklopite tudi možnost Ne prepiši dogodkov (počisti dnevnik ročno) za varnostni dnevnik. Ta nastavitev določa posamezno odgovornost ukrepov operaterjev. Skrbnik lahko na primer ponastavi dovoljenja za vse uporabnike, računalnike in skupine v organizacijski enoto (OU), kjer je bilo nadzor omogočeno z vgrajenim skrbniškim računom ali drugim računom v skupni rabi, in nato zavrne, da ponastavijo ta dovoljenja. Vendar pa z omogočanjem te nastavitve zmanjšate robustnost sistema, saj bo strežnik morda prisiljen zaustaviti tako, da ga boste preplavili z dogodki prijave in drugimi varnostnimi dogodki, ki so zapisani v varnostni dnevnik. Poleg tega, ker zaustavitev ni elegantna, nepopravljiva škoda operacijskega sistema, programov ali podatkov lahko povzroči. Ntfs zagotavlja, da je celovitost datotečnega sistema ohranjena med nenapetostno zaustavitvijo sistema, vendar pa ne more zagotoviti, da bo vsaka podatkovna datoteka za vsak program ob vnovičnem zagonu sistema še vedno v uporabnostni obliki.

    5. Simbolno ime:

      CrashOnAuditFail

    6. Pot registra:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

    7. Primeri težav z združljivostjo

      • Windows 2000: Zaradi napake lahko računalniki, v katerih se izvaja izvirna izdana različica sistema Windows 2000, Windows 2000 SP1, Windows 2000 SP2 ali Windows Server SP3, zaustavijo beleženje dogodkov pred velikostjo, določeno v možnosti Največja velikost dnevnika za dnevnik varnostnih dogodkov. Ta napaka je odpravljena v servisnem paketu SP4 za Windows 2000. Preden omogočite to nastavitev, se prepričajte, da imate v krmilnikih domene sistema Windows 2000 nameščen sistem Windows 2000 s servisnim paketom SP4.

         

      • Windows 2000, Windows Server 2003: Računalniki, v katerih se izvaja Windows 2000 ali Windows Server 2003, se lahko prenehajo odzivati in se lahko nepričakovano znova zaženejo, če je nadzor: zaustavite sistem takoj, če je vklopljena nastavitev nadzora varnosti dnevnika varnosti, je varnostni dnevnik poln in obstoječega vnosa v dnevnik dogodkov ni mogoče prepisati. Ko se računalnik znova zažene, se prikaže to sporočilo o prekinitveni napaki:

        USTAVI: C0000244 {Audit Failed}
        Poskus izdaje varnostnega nadzora ni uspel.

        Če ga želite obnoviti, se mora skrbnik prijaviti, arhivirati varnostni dnevnik (izbirno), počistiti varnostni dnevnik in nato ponastaviti to možnost (izbirno in po potrebi).

      • Microsoft Network Client for MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Non-administrators who try to log on a domain will receive the following error message:

        Vaš račun je konfiguriran tako, da vam preprečuje uporabo tega računalnika. Poskusite z drugim računalnikom.

      • Windows 2000: V računalnikih s sistemom Windows 2000 se ne skrbniki ne bodo mogli prijaviti v strežnike za oddaljeni dostop in prejeli bodo sporočilo o napaki, podobno tem:

        Neznan uporabnik ali slabo geslo

      • Windows 2000: V krmilnikih domene sistema Windows 2000 se bo storitev sporočanja med Ismserv.exe zaustavila in je ne bo mogoče znova zagnati. DCDIAG bo prijavil napako kot »failed test services ISMserv« (neuspele storitve preskusa ISMserv), ID dogodka 1083 pa bo registriran v dnevniku dogodkov.

      • Windows 2000: V krmilnikih domene sistema Windows 2000 podvajanje imenika Active Directory ne bo uspelo, če pa je dnevnik varnostnih dogodkov poln, se prikaže sporočilo »Dostop zavrnjen«.

      • Microsoft Exchange 2000: Strežniki, v katerih se izvaja Exchange 2000, ne bodo mogli vpeti zbirke podatkov shrambe informacij, dogodek 2102 pa bo registriran v dnevniku dogodkov.

      • Outlook, Outlook Web Access: skrbniki, ki niso skrbniki, ne bodo mogli dostopati do svoje pošte prek Microsoft Outlooka ali prek microsoft Outlook Web Accessa in prejeli bodo napako 503.

  2. Krmilnik domene: zahteve za podpisovanje strežnika LDAP

    1. Ozadje

      Krmilnik domene: Zahteve za podpisovanje strežnikov LDAP določa, ali strežnik LDAP (Lightweight Directory Access Protocol) zahteva odjemalce protokola LDAP za pogajanja o podpisovanju podatkov. Možne vrednosti za to nastavitev pravilnika so:

      • Brez: Podpisovanje podatkov ni potrebno za povezavo s strežnikom. Če odjemalec zahteva podpisovanje podatkov, ga strežnik podpira.

      • Zahtevaj podpis: O možnosti podpisovanja podatkov protokola LDAP se je treba pogajati, razen če se ne uporablja transportna plast Security/Secure Socket Layer (TLS/SSL).

      • ni določena: Ta nastavitev ni omogočena ali onemogočena.

    2. Tvegane konfiguracije

      Spodaj so navedene škodljive nastavitve konfiguracije:

      • Omogočanje Zahtevaj vpis v okoljih, kjer odjemalci ne podpirajo podpisovanja LDAP ali kjer podpisovanje LDAP na strani odjemalca ni omogočeno v odjemalcu

      • Uporaba varnostne predloge Windows 2000 ali Windows Server 2003 Hisecdc.inf v okoljih, kjer odjemalci ne podpirajo podpisovanja LDAP ali kjer podpisovanje LDAP na strani odjemalca ni omogočeno

      • Uporaba varnostne predloge Windows 2000 ali Windows Server 2003 Hisecws.inf v okoljih, kjer odjemalci ne podpirajo podpisovanja LDAP ali kjer podpisovanje LDAP na strani odjemalca ni omogočeno

    3. Razlogi za omogočanje te nastavitve

      Nepodpisani omrežni promet je dovzeten za napade ljudi v sredini, kjer vsiljivec zajame pakete med odjemalcem in strežnikom, spremeni pakete in jih nato posreduje strežniku. Ko pride do tega vedenja v strežniku LDAP, lahko napadalec povzroči, da strežnik sprejema odločitve, ki temeljijo na napačnih poizvedbah odjemalca LDAP. To tveganje v omrežju podjetja lahko zmanjšate tako, da uporabite močne fizične varnostne ukrepe za zaščito omrežne infrastrukture. Način glave preverjanja pristnosti z varnostjo internetnega protokola (IPSec) lahko prepreči napade sredine. Način glave preverjanja pristnosti izvaja vzajemno preverjanje pristnosti in celovitost paketov za promet IP.

    4. Razlogi za onemogočanje te nastavitve

      • Odjemalci, ki ne podpirajo podpisovanja s protokolom LDAP, ne bodo mogli izvajati poizvedb LDAP za krmilnike domene in globalne kataloge, če se pogajate o preverjanju pristnosti NTLM in če v krmilnikih domene sistema Windows 2000 niso nameščeni pravilni servisni paketi.

      • Omrežna sledenja prometa LDAP med odjemalci in strežniki bodo šifrirana. Tako boste težko pregledali pogovore v programu LDAP.

      • Strežniki s sistemom Windows 2000 morajo imeti nameščen sistem Windows 2000 s servisnim paketom SP3 ali windows 2000, če so nameščeni s programi, ki podpirajo podpisovanje LDAP, ki se izvajajo v odjemalskih računalnikih s sistemom Windows 2000 SP4, Windows XP ali Windows Server 2003.  

    5. Simbolno ime:

      LDAPServerIntegrity

    6. Pot registra:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

    7. Primeri težav z združljivostjo

      • Preprosta vezava ne bo uspela in prikazalo se bo to sporočilo o napaki:

        Ldap_simple_bind_s() ni bilo mogoče dokončati: Zahtevano je močno preverjanje pristnosti.

      • Windows 2000 s servisnim paketom SP4, Windows XP, Windows Server 2003: V odjemalcih, v katerih se izvajajo Windows 2000 SP4, Windows XP ali Windows Server 2003, nekatera skrbniška orodja imenika Active Directory ne bodo delovala pravilno v krmilnikih domene, v katerih se izvajajo različice sistema Windows 2000, ki so starejše od servisnega paketa SP3, ko se pogaja o preverjanju pristnosti NTLM.

         

      • Windows 2000 s servisnim paketom SP4, Windows XP, Windows Server 2003: V odjemalcih s sistemom Windows 2000 SP4, Windows XP ali Windows Server 2003 nekatera skrbniška orodja imenika Active Directory, ki so ciljni krmilniki domene, v katerih se izvajajo različice sistema Windows 2000, starejše od servisnega paketa SP3, ne bodo delovala pravilno, če uporabljajo naslove IP (na primer "dsa.msc /server=x.x.x.x",
        kjerje x.x.x.x naslov IP).


         

      • Windows 2000 s servisnim paketom SP4, Windows XP, Windows Server 2003: V odjemalcih, v katerih se izvajajo Windows 2000 SP4, Windows XP ali Windows Server 2003, nekatera skrbniška orodja imenika Active Directory, ki so ciljni krmilniki domene, v katerih se izvajajo različice sistema Windows 2000, starejše od servisnega paketa SP3, ne bodo delovala pravilno.

         

  3. Član domene: zahtevajte zapleten ključ seje (Windows 2000 ali novejša različica)

    1. Ozadje

      • Član domene: Zahtevanje zapletene nastavitve ključa seje (Windows 2000 ali novejša različica) določa, ali je varni kanal mogoče vzpostaviti s krmilnikom domene, ki ne more šifrirati prometa v varnem kanalu z močnim 128-bitno sejo ključa. Če omogočite to nastavitev, preprečite vzpostavitev varnega kanala s krmilnikom domene, ki z močnim ključem ne more šifrirati podatkov v varnem kanalu. Če to nastavitev onemogočite, omogočite 64-bitne ključe seje.

      • Preden lahko omogočite to nastavitev v delovni postaji člana ali v strežniku, morajo imeti vsi krmilniki domene v domeni, v kateri pripada član, možnost šifriranja podatkov v varnem kanalu s močnim 128-bitnim ključem. To pomeni, da se mora v vseh takšnih krmilnikih domene izvajati sistem Windows 2000 ali novejša različica.

    2. Tvegana konfiguracija

      Omogočanje člana domene: Zahtevanje zapletene (Windows 2000 ali novejše) nastavitve ključa seje je škodljiva nastavitev konfiguracije.

    3. Razlogi za omogočanje te nastavitve

      • Ključi seje, ki se uporabljajo za vzpostavitev komunikacije v varnem kanalu med računalniki člani in krmilniki domene, so v sistemu Windows 2000 veliko močnejši kot v starejših različicah Microsoftovih operacijskih sistemov.

      • Ko je to mogoče, je dobro izkoristiti te močnejše ključe seje, da zaščitite varne komunikacije kanala pred prisluškovanjem in pred sejo ugrabitve omrežnih napadov. Prisluškovanje je oblika zlonamernega napada, pri katerem so podatki omrežja prebrani ali spremenjeni med prevozom. Podatke lahko spremenite, da skrijete ali spremenite pošiljatelja ali ga preusmerite.

      Pomembno Računalnik, v katerem se izvaja Windows Server 2008 R2 ali Windows 7, podpira le zapletene tipke, ko se uporabljajo varni kanali. Ta omejitev preprečuje zaupanje med katero koli domeno, Windows NT uporablja 4.0, in katero koli domeno, ki uporablja Windows Server 2008 R2. Poleg tega ta omejitev blokira članstvo domen v Windows NT računalnikih s sistemom Windows 7 ali Windows Server 2008 R2, ki temelji na 4.0, in obratno.

    4. Razlogi za onemogočanje te nastavitve

      V domeni so računalniki člani, v katerih se ne izvajajo operacijski sistemi Windows 2000, Windows XP ali Windows Server 2003.

    5. Simbolno ime:

      StrongKey

    6. Pot registra:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)



    7. Primeri težav z združljivostjo Windows NT 4.0: V računalnikih s sistemom Windows NT 4.0 ponastavitev varnih kanalov zaupanja med domenami programov Windows NT 4.0 in Windows 2000 s programom NLTEST ne uspe. Prikaže se sporočilo o napaki »Dostop zavrnjen«:

      Odnos zaupanja med primarno domeno in zaupanja vredno domeno ni uspel.

      Windows 7 in Server 2008 R2: Za Windows 7 in novejše različice ter Windows Server 2008 R2 in novejše različice te nastavitve ne bomo več upoštevali, zato je vedno uporabljen močan ključ. Zaradi tega zaupanja v domenah Windows NT 4.0 ne delujejo več.

  4. Član domene: digitalno šifriranje ali podpisovanje podatkov v varnem kanalu (vedno)

    1. Ozadje

      • Omogočanje člana domene: Digitalno šifriranje ali podpisovanje podatkov v varnem kanalu (vedno) preprečuje vzpostavitev varnega kanala s katerim koli krmilnikom domene, ki ne more podpisati ali šifrirati vseh podatkov v varnem kanalu. Računalniki s sistemom Windows za preverjanje pristnosti za preverjanje pristnosti ustvarijo komunikacijski kanal, ki je prek storitve Net Logon znan kot varni kanal, da zaščitijo promet s preverjanjem pristnosti pred napadi uporabnika v sredini, ponovno predvajanjem napadov in drugimi vrstami omrežnih napadov. Varni kanali se uporabljajo tudi, ko uporabnik v eni domeni vzpostavi povezavo z omrežnim sredstvom v oddaljeni domeni. To preverjanje pristnosti z več domenami ali prepustno preverjanje pristnosti računalniku s sistemom Windows, ki se je pridružil domeni, omogoča dostop do zbirke podatkov uporabniškega računa v svoji domeni in v vseh zaupanja vrednih domenah.

      • Če želite omogočiti člana domene: Če želite digitalno šifrirati ali podpisati nastavitev podatkov v varnem kanalu (vedno) v računalniku člana, morajo imeti vsi krmilniki domene v domeni, kateri pripada član, možnost podpisa ali šifriranja vseh podatkov v varnem kanalu. To pomeni, da se morajo vsi taki krmilniki domene izvajati v Windows NT 4.0 s servisnim paketom SP6a (SP6a) ali novejšim.

      • Omogočanje člana domene: nastavitev Digitalno šifriraj ali podpiši podatke v varnem kanalu (vedno) samodejno omogoči članu domene: Nastavitev Digitalno šifriranje ali podpisovanje podatkov v varnem kanalu (če je to mogoče).

    2. Tvegana konfiguracija

      Omogočanje člana domene: Nastavitev za digitalno šifriranje ali podpisovanje podatkov v varnem kanalu (vedno) v domenah, kjer nekateri krmilniki domene ne smejo podpisati ali šifrirati podatkov v varnem kanalu, je škodljiva nastavitev konfiguracije.

    3. Razlogi za omogočanje te nastavitve

      Nepodpisani omrežni promet je dovzeten za napade sredine osebe, kjer vsiljivec zajame pakete med strežnikom in stranko in jih nato spremeni, preden jih posreduje odjemalcu. Ko pride do tega v strežniku protokola LDAP (Lightweight Directory Access Protocol), lahko vsiljivec povzroči, da odjemalec sprejema odločitve, ki temeljijo na neresničnih zapisih iz imenika LDAP. Tveganje takšnega napada na omrežje podjetja lahko zmanjšate tako, da uporabite močne fizične varnostne ukrepe za zaščito omrežne infrastrukture. Poleg tega lahko z izvajanjem načina glave za preverjanje pristnosti internetnega protokola (IPSec) preprečite napade sredine. Ta način izvaja vzajemno preverjanje pristnosti in celovitost paketov za promet IP.

    4. Razlogi za onemogočanje te nastavitve

      • Računalniki v lokalnih ali zunanjih domenah podpirajo šifrirane varne kanale.

      • Nekateri krmilniki domene v domeni nimajo ustreznih ravni revizije servisnega paketa za podporo šifriranih varnih kanalov.

    5. Simbolno ime:

      StrongKey

    6. Pot registra:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

    7. Primeri težav z združljivostjo

      • Windows NT 4.0: računalniki s sistemom Windows 2000 se ne bodo mogli pridružiti domenam sistema Windows NT 4.0 in prejeli boste to sporočilo o napaki:

        Račun ni pooblaščen za prijavo s te postaje.

        Če želite več informacij, kliknite to številko članka, da si ogledate članek v Microsoftovi zbirki znanja:

        281648 Sporočilo o napaki: Račun ni pooblaščen za prijavo s te postaje
         

      • Windows NT 4.0: domene Windows NT 4.0 ne bodo mogla vzpostaviti zaupanja po ravni navzdol z domeno sistema Windows 2000 in bodo prejele to sporočilo o napaki:

        Račun ni pooblaščen za prijavo s te postaje.

        Obstoječa zaupanja na ravni navzdol morda tudi ne preverjajo pristnosti uporabnikov iz zaupanja vredne domene. Nekateri uporabniki imajo morda težave pri prijavi v domeno in morda prejmejo sporočilo o napaki, v katerem piše, da odjemalec ne najde domene.

      • Windows XP: Odjemalci sistema Windows XP, ki so pridruženi domenam sistema Windows NT 4.0, ne morejo preveriti pristnosti poskusov prijave in lahko prejmejo to sporočilo o napaki ali pa so v dnevniku dogodkov registrirani ti dogodki:

        Sistem Windows ne more vzpostaviti povezave z domeno, ker krmilnik domene ni na voljo ali ker vašega računa računalnika ni bilo mogoče najti

      • Microsoft Network: Odjemalci microsoft Network bodo prejeli eno od teh sporočil o napaki:

        Neuspela prijava: neznano uporabniško ime ali slabo geslo.

        Za določeno sejo prijave ni ključa uporabniške seje.

  5. Microsoftov omrežni odjemalec: digitalno podpisovanje komunikacij (vedno)

    1. Ozadje

      Strežniški sporočilni blok (SMB) je protokol za skupno rabo sredstev, ki ga podpirajo številni Microsoftovi operacijski sistemi. Je osnova za osnovni vhodni/izhodni sistem omrežja (NetBIOS) in številnih drugih protokolov. Podpisovanje strežniškega strežniškega sporočila preveri pristnost uporabnika in strežnika, ki gosti podatke. Če na kateri koli strani ne uspe postopek preverjanja pristnosti, prenos podatkov ne bo izveden.

      Omogočanje podpisovanja SMB se začne med pogajanjem s protokolom za SMB. Pravilniki za podpisovanje SMB določajo, ali računalnik vedno digitalno podpiše odjemalsko komunikacijo.

      Protokol preverjanja pristnosti SMB v sistemu Windows 2000 podpira vzajemno preverjanje pristnosti. Vzajemno preverjanje pristnosti zapre napad »človek v sredini«. Protokol preverjanja pristnosti SMB za Windows 2000 podpira tudi preverjanje pristnosti sporočila. S preverjanjem pristnosti sporočil preprečite napade aktivnih sporočil. To preverjanje pristnosti vam zagotavlja tako, da podpisovanje SMB v vsak SMB vstavi digitalni podpis. Vsak odjemalec in strežnik preverita digitalni podpis.

      Če želite uporabiti podpisovanje strežniškega strežniškega sporočila, morate omogočiti podpisovanje strežniškega strežnika ali pa morate v odjemalcu za strežniški strežnik omogočiti podpisovanje strežniškega strežnika. Če je v strežniku omogočeno podpisovanje strežniškega strežniškega sporočila, odjemalci, ki so omogočeni za podpisovanje strežniškega strežniškega sporočila, uporabljajo protokol za podpisovanje paketov v vseh naslednjih sejah. Če je v strežniku zahtevano podpisovanje strežniškega strežniškega sporočila, odjemalec ne more vzpostaviti seje, razen če je odjemalec omogočen ali zahtevan za podpisovanje strežniškega strežniškega strežniškega strežnika.


      Omogočanje digitalnega podpisovanja v omrežjih z visoko varnostjo preprečuje poosebljanja odjemalcev in strežnikov. Takšna poosebljanja se imenuje kraja seje. Napadalec, ki ima dostop do istega omrežja kot odjemalec ali strežnik, uporabi orodja za krajo seje za prekinitev, konec ali krajo seje v teku. Napadalec lahko prestreže in spremeni nepodpisene pakete SMB, spremeni promet in ga nato posreduje, tako da lahko strežnik izvaja neželena dejanja. Lahko pa napadalec predstavlja strežnik ali kot odjemalec po zakonitem preverjanju pristnosti in nato pridobi nepooblaščen dostop do podatkov.

      Protokol SMB, ki se uporablja za skupno rabo datotek in skupno rabo tiskanja v računalnikih s sistemom Windows 2000 Server, Windows 2000 Professional, Windows XP Professional ali Windows Server 2003, podpira vzajemno preverjanje pristnosti. Vzajemno preverjanje pristnosti zapre napade kraje in podpira preverjanje pristnosti sporočil. Zato preprečuje napade človeka v sredini. Podpisovanje SMB omogoča to preverjanje pristnosti tako, da v vsak SMB vpišete digitalni podpis. Odjemalec in strežnik nato preverita podpis.

      Opombe

      • Kot alternativno protipomnjenje lahko omogočite digitalne podpise z IPSec in tako zaščitite ves omrežni promet. Za šifriranje IPSec in podpisovanje so na voljo pospeševalniki strojne opreme, s katero lahko zmanjšate vpliv cpe-ja strežnika na učinkovitost delovanja. Za podpisovanje SMB ni na voljo nobenega takšnega pospeševalnika.

        Če želite več informacij, glejte poglavje Digitalno podpisovanje sporočil v strežniku na Microsoftovem spletnem mestu MSDN.

        Konfigurirajte podpisovanje SMB pravilnik skupine urejevalniku predmetov, ker sprememba lokalne vrednosti registra nima nobenega učinka, če obstaja prepis pravilnik domene.

      • V sistemih Windows 95, Windows 98 in Windows 98 Second Edition odjemalec imeniških storitev pri preverjanju pristnosti s strežniki Windows Server 2003 s preverjanjem pristnosti NTLM uporablja podpisovanje SMB. Vendar ti odjemalci ne uporabljajo podpisovanja SMB, ko preverijo pristnost s temi strežniki s preverjanjem pristnosti NTLMv2. Poleg tega strežniki s sistemom Windows 2000 ne odgovarjajo na zahteve za podpisovanje SMB teh odjemalcev. Če želite več informacij, glejte 10. element: »Varnost omrežja: raven preverjanja pristnosti v programu Lan Manager«.

    2. Tvegana konfiguracija

      To je škodljiva nastavitev konfiguracije: Nastavitev za digitalno podpisovanje komunikacije (vedno) in nastavitev za Microsoftovega omrežnega odjemalca pustite tako za Microsoftovega omrežnega odjemalca: nastavitev Digitalno podpisovanje komunikacije (če se strežnik strinja) je nastavljena na »Ni določeno« ali onemogočeno. S temi nastavitvami lahko preusmerjevalnik pošlje gesla za navadno besedilo v strežnike, ki niso Microsoftovi strežniki SMB in ne podpirajo šifriranja z geslom med preverjanjem pristnosti.

    3. Razlogi za omogočanje te nastavitve

      Omogočanje Microsoftovega omrežnega odjemalca: Za digitalno podpisovanje komunikacij (vedno) morajo odjemalci podpisati promet SMB, ko se obrnejo na strežnike, ki ne zahtevajo podpisovanja SMB. Zaradi tega so stranke manj ranljive za napade na sejo.

    4. Razlogi za onemogočanje te nastavitve

      • Omogočanje Microsoftovega omrežnega odjemalca: Digitalna podpisovanje komunikacije (vedno) odjemalcem preprečuje komunikacijo s ciljnimi strežniki, ki ne podpirajo podpisovanja sporočilnega strežnika.

      • Če računalnike konfigurirate tako, da prezrejo vso nepodpisano komunikacijo SMB, prejšnjim programom in operacijskim sistemom preprečuje vzpostavljanje povezave.

    5. Simbolno ime:

      ZahtevaJSMBSignRdr

    6. Pot registra:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

    7. Primeri težav z združljivostjo

      • Windows NT 4.0: Z uporabo funkcije NLTEST ali NETDOM ne boste mogli ponastaviti varnega kanala zaupanja med domeno sistema Windows Server 2003 in domeno strežnika Windows NT 4.0, prejeli pa boste sporočilo o napaki »Dostop zavrnjen«.

      • Windows XP: Kopiranje datotek iz odjemalcev sistema Windows XP v strežnike sistema Windows 2000 in strežnike, ki uporabljajo Windows Server 2003, lahko traja več časa.

      • Če je ta nastavitev omogočena, omrežnega pogona ne boste mogli preslikati iz odjemalca in prikazalo se bo to sporočilo o napaki:

        Račun ni pooblaščen za prijavo s te postaje.

    8. Zahteve za vnovični zagon

      Znova zaženite računalnik ali znova zaženite storitev Workstation. To naredite tako, da v ukazni poziv vnesete te ukaze. Ko vnesete posamezen ukaz, pritisnite tipko Enter.

      net stop workstation
      net start workstation

  6. Microsoftov omrežni strežnik: digitalno podpisovanje komunikacij (vedno)

    1. Ozadje

      • Server Messenger Block (SMB) je protokol za skupno rabo sredstev, ki ga podpirajo številni Microsoftovi operacijski sistemi. Je osnova za osnovni vhodni/izhodni sistem omrežja (NetBIOS) in številnih drugih protokolov. Podpisovanje strežniškega strežniškega sporočila preveri pristnost uporabnika in strežnika, ki gosti podatke. Če na kateri koli strani ne uspe postopek preverjanja pristnosti, prenos podatkov ne bo izveden.

        Omogočanje podpisovanja SMB se začne med pogajanjem s protokolom za SMB. Pravilniki za podpisovanje SMB določajo, ali računalnik vedno digitalno podpiše odjemalsko komunikacijo.

        Protokol preverjanja pristnosti SMB v sistemu Windows 2000 podpira vzajemno preverjanje pristnosti. Vzajemno preverjanje pristnosti zapre napad »človek v sredini«. Protokol preverjanja pristnosti SMB za Windows 2000 podpira tudi preverjanje pristnosti sporočila. S preverjanjem pristnosti sporočil preprečite napade aktivnih sporočil. To preverjanje pristnosti vam zagotavlja tako, da podpisovanje SMB v vsak SMB vstavi digitalni podpis. Vsak odjemalec in strežnik preverita digitalni podpis.

        Če želite uporabiti podpisovanje strežniškega strežniškega sporočila, morate omogočiti podpisovanje strežniškega strežnika ali pa morate v odjemalcu za strežniški strežnik omogočiti podpisovanje strežniškega strežnika. Če je v strežniku omogočeno podpisovanje strežniškega strežniškega sporočila, odjemalci, ki so omogočeni za podpisovanje strežniškega strežniškega sporočila, uporabljajo protokol za podpisovanje paketov v vseh naslednjih sejah. Če je v strežniku zahtevano podpisovanje strežniškega strežniškega sporočila, odjemalec ne more vzpostaviti seje, razen če je odjemalec omogočen ali zahtevan za podpisovanje strežniškega strežniškega strežniškega strežnika.


        Omogočanje digitalnega podpisovanja v omrežjih z visoko varnostjo preprečuje poosebljanja odjemalcev in strežnikov. Takšna poosebljanja se imenuje kraja seje. Napadalec, ki ima dostop do istega omrežja kot odjemalec ali strežnik, uporabi orodja za krajo seje za prekinitev, konec ali krajo seje v teku. Napadalec lahko prestreže in spremeni nepodpisene pakete upravitelja pasovne širine podomrežja (SBM), spremeni promet in ga nato posreduje, tako da lahko strežnik izvaja neželena dejanja. Lahko pa napadalec predstavlja strežnik ali kot odjemalec po zakonitem preverjanju pristnosti in nato pridobi nepooblaščen dostop do podatkov.

        Protokol SMB, ki se uporablja za skupno rabo datotek in skupno rabo tiskanja v računalnikih s sistemom Windows 2000 Server, Windows 2000 Professional, Windows XP Professional ali Windows Server 2003, podpira vzajemno preverjanje pristnosti. Vzajemno preverjanje pristnosti zapre napade kraje in podpira preverjanje pristnosti sporočil. Zato preprečuje napade človeka v sredini. Podpisovanje SMB omogoča to preverjanje pristnosti tako, da v vsak SMB vpišete digitalni podpis. Odjemalec in strežnik nato preverita podpis.

      • Kot alternativno protipomnjenje lahko omogočite digitalne podpise z IPSec in tako zaščitite ves omrežni promet. Za šifriranje IPSec in podpisovanje so na voljo pospeševalniki strojne opreme, s katero lahko zmanjšate vpliv cpe-ja strežnika na učinkovitost delovanja. Za podpisovanje SMB ni na voljo nobenega takšnega pospeševalnika.

      • V sistemih Windows 95, Windows 98 in Windows 98 Second Edition odjemalec imeniških storitev pri preverjanju pristnosti s strežniki Windows Server 2003 s preverjanjem pristnosti NTLM uporablja podpisovanje SMB. Vendar ti odjemalci ne uporabljajo podpisovanja SMB, ko preverijo pristnost s temi strežniki s preverjanjem pristnosti NTLMv2. Poleg tega strežniki s sistemom Windows 2000 ne odgovarjajo na zahteve za podpisovanje SMB teh odjemalcev. Če želite več informacij, glejte 10. element: »Varnost omrežja: raven preverjanja pristnosti v programu Lan Manager«.

    2. Tvegana konfiguracija

      To je škodljiva nastavitev konfiguracije: Omogočanje Microsoftovega omrežnega strežnika: Nastavitev za digitalno podpisovanje komunikacij (vedno) v strežnikih in krmilnikih domene, do katerih dostopajo nezdružljivi računalniki s sistemom Windows in odjemalski računalniki drugih ponudnikov v lokalnih ali zunanjih domenah.

    3. Razlogi za omogočanje te nastavitve

      • Vsi odjemalski računalniki, ki omogočajo to nastavitev neposredno prek registra ali prek pravilnik skupine podpirajo podpisovanje SMB. Z drugimi besedami, v vseh odjemalskih računalnikih, v katerih je ta nastavitev omogočena, se lahko Windows 95 izvaja z nameščenim odjemalcem DS, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional ali Windows Server 2003.

      • Če je Microsoftov omrežni strežnik: digitalno podpisovanje komunikacij (vedno) onemogočeno, je podpisovanje strežniškega sporočilnega strežnika povsem onemogočeno. Popolnoma onemogočiti vse podpisovanje SMB pusti računalnike bolj ranljive za napade sejo ugrabitve.

    4. Razlogi za onemogočanje te nastavitve

      • Omogočanje te nastavitve lahko povzroči počasnejšo kopiranje datotek in delovanje omrežja v odjemalskih računalnikih.

      • Če omogočite to nastavitev, boste odjemalcem, ki se ne morejo pogajati o podpisovanju SMB, preprečili komunikacijo s strežniki in krmilniki domene. To povzroči, da postopki, kot so pridružitev domeni, preverjanje pristnosti uporabnika in računalnika ali dostop do omrežja v programih, ne uspejo.

    5. Simbolno ime:

      RequireSMBSignServer

    6. Pot registra:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

    7. Primeri težav z združljivostjo

      • Windows 95: Odjemalci sistema Windows 95, ki nimajo nameščenega odjemalca imeniških storitev (DS), ne bodo uspeli pri prijavi in bodo prejeli to sporočilo o napaki:

        Geslo domene, ki ste ga posredovali, ni pravilno ali pa je bil dostop do strežnika za prijavo zavrnjen.

      • Windows NT 4.0: Odjemalski računalniki z različicami sistema Windows NT 4.0, ki so starejši od servisnega paketa SP3, ne bodo uspeli pri prijavi in prejeli boste to sporočilo o napaki:

        Sistem vas ne more prijaviti. Preverite, ali sta uporabniško ime in domena pravilni, nato pa znova vnesite geslo.

        Nekateri strežniki, ki niso Microsoftovi strežniki SMB, podpirajo le nešifracijo izmenjav gesel med preverjanjem pristnosti. (Te izmenjave se imenujejo tudi izmenjave navadnega besedila.) V Windows NT 4.0 SP3 in novejših različicah preusmerjevalnik SMB ne pošlje nešifrskega gesla med preverjanjem pristnosti strežniku SMB, razen če dodate določen vnos v register.
        Če želite omogočiti nešifrbrana gesla za odjemalca SMB v sistemu Windows NT 4.0 SP 3 in novejših sistemih, spremenite register tako: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters

        Ime vrednosti: EnablePlainTextPassword

        Podatkovni tip: REG_DWORD

        Podatki: 1

         

      • Windows Server 2003: Varnostne nastavitve v krmilnikih domene, v katerem se izvaja Windows Server 2003, so privzeto konfigurirane tako, da preprečijo, da bi zlonamerni uporabniki preprečili prestrezanje ali spreminjanje komunikacij krmilnika domene. Če želite, da uporabniki uspešno komunicirajo s krmilnikom domene, v katerem se izvaja Windows Server 2003, morajo odjemalski računalniki uporabljati podpisovanje strežniškega sporočila in šifriranje ali varno podpisovanje prometa v kanalu. Odjemalci, ki se izvajajo v sistemu Windows NT 4.0 s servisnim paketom SP2 ali starejšo različico, odjemalci, v katerem se izvaja Windows 95, privzeto nimajo omogočenega podpisovanja paketov SMB. Zato ti odjemalci morda ne bodo mogli preveriti pristnosti v krmilniku domene, ki uporablja Windows Server 2003.

      • Nastavitve pravilnika za Windows 2000 in Windows Server 2003: Glede na določene potrebe in konfiguracijo namestitve vam priporočamo, da v hierarhiji snap-ina za Microsoft Management Console pravilnik skupine Editor nastavite te nastavitve pravilnika na najnižji ravni zahtevanega obsega:

        • Konfiguracija računalnika\Varnost sistema Windows Nastavitve\Varnostne možnosti

        • Pošiljanje nešifrjenega gesla za povezovanje s strežniki SMB drugih ponudnikov (ta nastavitev je za Windows 2000)

        • Microsoftov omrežni odjemalec: Pošiljanje nešifrjenega gesla v strežnike SMB drugih ponudnikov (ta nastavitev je za Windows Server 2003)


        Opomba V nekaterih strežnikih CIFS neodvisnih izdelovalcev, kot so starejše različice Samba, ne morete uporabiti šifriranih gesel.

      • Ti odjemalci niso združljivi z Microsoftovim omrežnim strežnikom: nastavitev Digitalno podpisovanje komunikacij (vedno):

        • Apple Computer, Inc., Mac OS X clients

        • Microsoftovi omrežni odjemalci MS-DOS (na primer Microsoft LAN Manager)

        • Microsoft Windows for Workgroups clients

        • Odjemalci microsoft Windows 95 brez nameščenega odjemalca DS

        • Računalniki s Windows NT 4.0, v katerih ni nameščen servisni paket SP3 ali novejša različica

        • Novell Netware 6 CIFS clients

        • Odjemalci SAMBA SMB, ki nimajo podpore za podpisovanje SMB

    8. Zahteve za vnovični zagon

      Znova zaženite računalnik ali znova zaženite strežniško storitev. To naredite tako, da v ukazni poziv vnesete te ukaze. Ko vnesete posamezen ukaz, pritisnite tipko Enter.

      net stop server
      net start server

  7. Omrežni dostop: omogočanje anonimnega prevajanja SID/imena

    1. Ozadje

      Omrežni dostop: Nastavitev za prevajanje anonimnega SID/Ime določa, ali lahko anonimni uporabnik zahteva atribute SID (Security Identification Number) za drugega uporabnika.

    2. Tvegana konfiguracija

      Omogočanje omrežnega dostopa: Nastavitev prevajanja anonimnega SID/Ime je škodljiva nastavitev konfiguracije.

    3. Razlogi za omogočanje te nastavitve

      Če je nastavitev Omrežnega dostopa: Dovoli anonimno prevajanje SID/Ime onemogočena, starejši operacijski sistemi ali aplikacije morda ne bodo mogli komunicirati z domenami sistema Windows Server 2003. Ti operacijski sistemi, storitve ali aplikacije morda ne bodo delovali:

      • Windows NT strežniki storitve oddaljenega dostopa na osnovi 4.0

      • Microsoft SQL Server, ki se izvajajo v računalnikih s sistemom Windows NT 3.x ali Windows NT v računalnikih s procesorjem Windows NT 4.0

      • Storitev oddaljenega dostopa, ki se izvaja v računalnikih s sistemom Windows 2000, ki so v domenah sistema Windows NT 3.x ali domenah Windows NT 4.0

      • SQL Server, ki se izvaja v računalnikih s sistemom Windows 2000, ki so v domenah sistema Windows NT 3.x ali v domenah sistema Windows NT 4.0

      • Uporabniki v domeni vira Windows NT 4.0, ki želijo uporabniškim računom iz domen računa, ki vsebujejo krmilnike domene sistema Windows Server 2003, podeliti dovoljenja za dostop do datotek, map v skupni rabi in registrskih predmetov

    4. Razlogi za onemogočanje te nastavitve

      Če je ta nastavitev omogočena, lahko zlonameren uporabnik uporabi dobro poznane skrbnike SID, da pridobi pravo ime vgrajenega skrbniškega računa, tudi če je bil račun preimenovan. Ta oseba lahko nato uporabi ime računa za začetek napada z ugibanjem gesla.

    5. Simbolno ime: Ni na seznamu

    6. Pot registra: Brez. Pot je določena v kodi uporabniškega vmesnika.



    7. Primeri težav z združljivostjo Windows NT 4.0: Računalniki v domenah virov ponudnika Windows NT 4.0 bodo v urejevalniku imenika ACL prikazali sporočilo o napaki »Račun ni znan«, če so viri, vključno z mapami v skupni rabi, datotekami v skupni rabi in registrskimi predmeti, zavarovani z glavnimi elementi varnosti, ki so v domenah računov, ki vsebujejo krmilnike domene sistema Windows Server 2003.

  8. Omrežni dostop: Ne dovoli anonimnega oštevčevanja računov SAM

    1. Ozadje

      • Omrežni dostop: Ne dovoli anonimnega oštevčevanja računov SAM določa, katera dodatna dovoljenja bodo dodeljena za anonimne povezave z računalnikom. Sistem Windows anonimnim uporabnikom omogoča izvajanje določenih dejavnosti, na primer oimenjanje imen računov za delovne postaje in strežniškega upravitelja varnostnih računov (SAM) ter omrežnih sredstev. Skrbnik lahko na primer s tem dodeli dostop uporabnikom v zaupanja vredni domeni, ki ne ohranja vzajemnega zaupanja. Ko je seja opravljena, ima lahko anonimni uporabnik enak dostop, ki je odobren skupini »Vsi« glede na nastavitev v razdelku Dostop do omrežja: Dovoljenja »Vsi« lahko veljajo za anonimne uporabnike, ki nastavljajo ali seznam za nadzor dostopa (DACL) predmeta.

        Običajno so anonimne povezave zahtevane s starejšimi različicami odjemalcev (odjemalci na ravni navzdol) med nastavitvijo seje SMB. V teh primerih omrežno sledenje kaže, da je ID procesa SMB (PID) preusmerjevalnik odjemalca, kot je 0xFEFF v sistemu Windows 2000 ali 0xCAFE v Windows NT. RPC lahko poskusi tudi anonimne povezave.

      • Pomembno Ta nastavitev ne vpliva na krmilnike domene. V krmilnikih domene to vedenje nadzira prisotnost funkcije »NT AUTHORITY\ANONYMOUS LOGON« v razdelku »Dostop, združljiv s sistemom Pre-Windows 2000«.

      • V sistemu Windows 2000 podobna nastavitev, imenovana Dodatne omejitve za anonimne povezave, upravlja vrednost registra RestrictAnonymous . Mesto te vrednosti je tako:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA  

    2. Tvegane konfiguracije

      Omogočanje omrežnega dostopa: Ne dovoli anonimnega oštevčevanja nastavitev računov SAM je škodljiva nastavitev konfiguracije z vidika združljivosti. Če jo onemogočite, gre za škodljivo nastavitev konfiguracije z varnostnega vidika.

    3. Razlogi za omogočanje te nastavitve

      Nepooblaščen uporabnik lahko anonimno prikaže imena računov in nato uporabi podatke za ugibanje gesel ali izvajanje napadov socialnega inženirstva. Družabno inženirstvo je žargon, ki uporabnike zvija tako, da razkrijejo svoja gesla ali kakšno obliko varnostnih podatkov.

    4. Razlogi za onemogočanje te nastavitve

      Če je ta nastavitev omogočena, ni mogoče vzpostaviti zaupanja z domenami Windows NT 4.0. Ta nastavitev povzroča tudi težave z odjemalci na ravni niza (kot so odjemalci storitve Windows NT 3.51 in odjemalci sistema Windows 95), ki uporabljajo vire v strežniku.

    5. Simbolno ime:


      RestrictAnonymousSAM

    6. Pot registra:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

    7. Primeri težav z združljivostjo

    • Z odkrivanjem omrežja SMS ne boste mogli pridobiti informacij o operacijskem sistemu in bo v lastnost OperatingSystemNameandVersion zapisali »Neznano«.

    • Windows 95, Windows 98: odjemalci za Windows 95 in odjemalci sistema Windows 98 ne bodo mogli spremeniti gesel.

    • Windows NT 4.0: Windows NT za računalnike s sistemom 4.0 ne bo mogoče preveriti pristnosti.

    • Windows 95, Windows 98: Microsoftovi krmilniki domene ne bodo mogli preveriti pristnosti računalnikov s sistemom Windows 95 in sistema Windows 98.

    • Windows 95, Windows 98: Uporabniki računalnikov s sistemom Windows 95 in sistema Windows 98 ne bodo mogli spremeniti gesel za svoje uporabniške račune.

  9. Dostop do omrežja: Ne dovolite anonimnega oštevčevanja računov in omrežnih sredstev SAM

    1. Ozadje

      • Omrežni dostop: Ne dovoli anonimnega oštevilčevanja računov SAM in nastavitev v skupni rabi (znane tudi kot RestrictAnonymous) določa, ali je dovoljeno anonimno oštevilčevanje računov in datotek v skupni rabi upravitelja varnostnih računov (SAM). Windows anonimnim uporabnikom omogoča izvajanje določenih dejavnosti, kot je oimenitev imen domenskih računov (uporabnikov, računalnikov in skupin) in omrežnih omrežnih sredstev. To je priročno, ko na primer skrbnik želi dodeliti dostop uporabnikom v zaupanja vredni domeni, ki ne ohranja vzajemnega zaupanja. Če ne želite dovoliti anonimnega oštevčevanja računov SAM in datotek v skupni rabi, omogočite to nastavitev.

      • V sistemu Windows 2000 podobna nastavitev, imenovana Dodatne omejitve za anonimne povezave, upravlja vrednost registra RestrictAnonymous . Mesto te vrednosti je tako:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

    2. Tvegana konfiguracija

      Omogočanje omrežnega dostopa: Ne dovoli anonimnega oštevčevanja računov SAM in nastavitev v skupni rabi je škodljiva nastavitev konfiguracije.

    3. Razlogi za omogočanje te nastavitve

      • Omogočanje omrežnega dostopa: Ne dovoli anonimnega oštevčevanja računov SAM in nastavitev v skupni rabi preprečuje oštevičenje računov in datotek SAM s strani uporabnikov in računalnikov, ki uporabljajo anonimne račune.

    4. Razlogi za onemogočanje te nastavitve

      • Če je ta nastavitev omogočena, lahko nepooblaščen uporabnik anonimno prikaže imena računov in nato uporabi informacije za ugibanje gesel ali izvajanje napadov socialnega inženirstva. Družabno inženirstvo je žargon, ki uporabnike zvija tako, da razkrijejo svoje geslo ali kakšno obliko varnostnih podatkov.

      • Če je ta nastavitev omogočena, ne bo mogoče vzpostaviti zaupanja z domenami Windows NT 4.0. Ta nastavitev bo povzročala tudi težave z odjemalci na ravni down-level, kot sta odjemalca Windows NT 3.51 in Windows 95, ki poskušata uporabljati vire v strežniku.

      • Dostop za uporabnike domen sredstev ne bo mogoč, ker skrbniki v domeni, ki zaupa, ne bodo mogli oštevilčevanje seznamov računov v drugi domeni. Uporabniki, ki anonimno dostopajo do datotek in strežnikov za tiskanje, ne bodo mogli prikazati omrežnih sredstev v skupni rabi v teh strežnikih. Uporabniki morajo preveriti pristnost, preden si lahko ogledajo sezname map in tiskalnikov v skupni rabi.

    5. Simbolno ime:

      RestrictAnonymous

    6. Pot registra:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

    7. Primeri težav z združljivostjo

      • Windows NT 4.0: Uporabniki ne bodo mogli spremeniti gesel iz delovnih postaj sistema Windows NT 4.0, če je v krmilnikih domene v domeni uporabnikov omogočena možnost RestrictAnonymous.

      • Windows NT 4.0: Dodajanje uporabnikov ali globalnih skupin iz zaupanja vrednih domen sistema Windows 2000 v lokalne skupine sistema Windows NT 4.0 v upravitelju uporabnikov ne bo uspelo in prikazalo se bo to sporočilo o napaki:

        Trenutno ni na voljo noben strežnik za prijavo za storitev zahteve za prijavo.

      • Windows NT 4.0: Windows NT računalnikih, ki uporabljajo 4.0, se ne bo mogel pridružiti domenam med namestitvijo ali z uporabniškim vmesnikom za pridružitev domeni.

      • Windows NT 4.0: Vzpostavljanje zaupanja po ravni navzdol z domenami Windows NT 4.0 ne bo uspelo. Ko je v zaupanja vredni domeni omogočena možnost RestrictAnonymous, se prikaže to sporočilo o napaki:

        Krmilnika domene za to domeno ni bilo mogoče najti.

      • Windows NT 4.0: Uporabniki, ki se prijavijo v računalnike terminalskega strežnika s sistemom Windows NT 4.0, se bodo preslikali v privzeti domači imenik namesto v domači imenik, ki je za domene določen v upravitelju uporabnikov.

      • Windows NT 4.0: krmilniki domene z varnostno kopijo za Windows NT 4.0 ne bodo mogli zagnati storitve Net Logon, pridobiti seznama brskalnikov varnostnih kopij ali sinhronizirati zbirke podatkov SAM iz sistema Windows 2000 ali krmilnikov domene sistema Windows Server 2003 v isti domeni.

      • Windows 2000: računalniki s sistemom Windows 2000 v domenah sistema Windows NT 4.0 si ne bodo mogli ogledati tiskalnikov v zunanjih domenah, če je v lokalnem varnostnem pravilniku odjemalskega računalnika omogočena nastavitev Brez dostopa brez anonimnih dovoljenj.

      • Windows 2000: uporabniki domene sistema Windows 2000 ne bodo mogli dodati omrežnih tiskalnikov iz imenika Active Directory; lahko pa dodajo tiskalnike, ko jih izbrali v drevesnem pogledu.

      • Windows 2000: V računalnikih s sistemom Windows 2000 urejevalnik ACL ne bo mogel dodati uporabnikov ali globalnih skupin iz zaupanja vrednih domen Windows NT 4.0.

      • RAZLIČICA ADMT 2: Selitev gesla za uporabniške račune, ki se preselijo med gozdovi z orodjem ADMT (Active Directory Migration Tool), različica 2, ne bo uspela.

        Če želite več informacij, kliknite to številko članka, da si ogledate članek v Microsoftovi zbirki znanja:

        322981 Odpravljanje težav s selitvijo gesel z gozdom z ADMTv2

      • Outlookovi odjemalci: Globalni seznam naslovov bo v odjemalcih Microsoft Exchange Outlook videti prazen.

      • SMS: Z odkrivanjem omrežja Microsoft Systems Management Server (SMS) ne boste mogli pridobiti informacij o operacijskem sistemu. Zato bo v lastnost OperatingSystemNameandVersion lastnosti SMS DDR zapisa podatkov o odkrivanju (DDR) zapisali »Neznano«.

      • SMS: Ko za iskanje uporabnikov in skupin uporabite čarovnika za skrbnike SMS, ne bodo navedeni nobeni uporabniki ali skupine. Poleg tega napredni odjemalci ne morejo komunicirati s točko upravljanja. Anonimni dostop je zahtevan na točki upravljanja.

      • SMS: Če uporabljate funkcijo odkrivanja omrežja v sporočilih SMS 2.0 in v namestitvi oddaljenega odjemalca z vklopljeno možnostjo odkrivanja omrežja topologije, odjemalca in odjemalskega operacijskega sistema, bodo računalniki morda odkriti, vendar morda ne bodo nameščeni.

  10. Varnost omrežja: raven preverjanja pristnosti za Lan Manager

    1. Ozadje

      Preverjanje pristnosti upravitelja LAN (LM) je protokol, ki se uporablja za preverjanje pristnosti odjemalcev sistema Windows za omrežne operacije, vključno s pridružitev domenam, dostopom do omrežnih sredstev in preverjanjem pristnosti uporabnika ali računalnika. Raven preverjanja pristnosti LM določa, kateri protokol preverjanja pristnosti za izziv/odziv se pogaja med odjemalcem in strežniškimi računalniki. Natančneje, raven preverjanja pristnosti LM določa, katere protokole za preverjanje pristnosti bo odjemalec poskušal pogajati ali jih bo strežnik sprejel. Vrednost, ki je nastavljena za LmCompatibilityLevel, določa, kateri protokol preverjanja pristnosti izziva/odziva se uporablja za omrežne prijave. Ta vrednost vpliva na raven protokola preverjanja pristnosti, ki ga uporabljajo odjemalci, raven varnosti seje, o kateri se pogajajo, in na raven preverjanja pristnosti, ki jo sprejmejo strežniki.

      Možne nastavitve vključujejo naslednje.

      Vrednost

      Nastavitev

      Opis

      0

      Pošiljanje odgovorov & LM

      Odjemalci uporabljajo preverjanje pristnosti LM in NTLM in nikoli ne uporabljajo varnosti seje NTLMv2. Krmilniki domene sprejmejo preverjanje pristnosti LM, NTLM in NTLMv2.

      1

      Send LM & NTLM - use NTLMv2 session security if negotiated

      Odjemalci uporabljajo preverjanje pristnosti LM in NTLM ter uporabljajo varnost seje NTLMv2, če jo strežnik podpira. Krmilniki domene sprejmejo preverjanje pristnosti LM, NTLM in NTLMv2.

      2

      Pošlji le odgovor NTLM

      Odjemalci uporabljajo samo preverjanje pristnosti NTLM in uporabljajo varnost seje NTLMv2, če jo strežnik podpira. Krmilniki domene sprejmejo preverjanje pristnosti LM, NTLM in NTLMv2.

      3

      Pošlji le odgovor NTLMv2

      Odjemalci uporabljajo samo preverjanje pristnosti NTLMv2 in uporabljajo varnost seje NTLMv2, če jo strežnik podpira. Krmilniki domene sprejmejo preverjanje pristnosti LM, NTLM in NTLMv2.

      4

      Send NTLMv2 response only/refuse LM

      Odjemalci uporabljajo samo preverjanje pristnosti NTLMv2 in uporabljajo varnost seje NTLMv2, če jo strežnik podpira. Krmilniki domene zavračajo preverjanje pristnosti LM in sprejemajo le preverjanje pristnosti NTLM in NTLMv2.

      5

      Send NTLMv2 response only/refuse LM & NTLM

      Odjemalci uporabljajo samo preverjanje pristnosti NTLMv2 in uporabljajo varnost seje NTLMv2, če jo strežnik podpira. Krmilniki domene zavračajo preverjanje pristnosti LM in NTLM ter sprejemajo le preverjanje pristnosti NTLMv2.

      Opomba V sistemih Windows 95, Windows 98 in Windows 98 Second Edition odjemalec imeniških storitev pri preverjanju pristnosti s strežniki Windows Server 2003 s preverjanjem pristnosti NTLM uporablja podpisovanje SMB. Vendar ti odjemalci ne uporabljajo podpisovanja SMB, ko preverijo pristnost s temi strežniki s preverjanjem pristnosti NTLMv2. Poleg tega strežniki s sistemom Windows 2000 ne odgovarjajo na zahteve za podpisovanje SMB teh odjemalcev.

      Preverite raven preverjanja pristnosti LM: Spremeniti morate pravilnik v strežniku, da dovoli NTLM, ali pa konfigurirati odjemalski računalnik tako, da podpira NTLMv2.

      Če je pravilnik nastavljen na (5) Pošlji samo odziv NTLMv2\zavrni LM & NTLM v ciljnem računalniku, s katerim želite vzpostaviti povezavo, morate bodisi znižati nastavitev v tem računalniku ali nastaviti varnost na isto nastavitev, ki je v izvornem računalniku, iz katerega vzpostavljate povezavo.

      Poiščite pravo mesto, kjer lahko spremenite raven preverjanja pristnosti upravitelja omrežja LAN, da nastavite odjemalca in strežnik na isto raven. Ko najdete pravilnik, ki nastavlja raven preverjanja pristnosti upravitelja omrežja LAN, če se želite povezati z računalniki s starejšimi različicami sistema Windows ali iz njega, znižajte vrednost na najmanj (1) Pošlji LM & NTLM – v primeru pogajanj uporabite varnost seje NTLM različice 2. Eden od učinkov nezdružljivih nastavitev je, da če strežnik zahteva NTLMv2 (vrednost 5), vendar je odjemalec konfiguriran tako, da uporablja samo LM in NTLMv1 (vrednost 0), uporabnik, ki poskuša preveriti pristnost, dokusi napako pri prijavi, ki ima slabo geslo in tako poveča slabo število gesel. Če je zaklepanje računa konfigurirano, je uporabnik morda zaklenjen.

      Morda boste morali poiskati krmilnik domene ali pa boste morali pregledati pravilnike krmilnika domene.

      Poglejte v krmilnik domene

      Opomba Morda boste morali ponoviti ta postopek v vseh krmilnikih domene.

      1. Kliknite Start, pokažite na Programi in nato kliknite Skrbniška orodja.

      2. V razdelku Lokalne varnostne nastavitve razširite možnost Lokalni pravilniki.

      3. Kliknite Varnostne možnosti.

      4. Dvokliknite Varnost omrežja: raven preverjanja pristnosti upravitelja omrežja LAN in nato kliknite vrednost na seznamu.


      Če sta nastavitvi »Učinkovita nastavitev« in »Lokalna nastavitev« enaki, je bil pravilnik spremenjen na tej ravni. Če se nastavitve razlikujejo, morate preveriti pravilnik krmilnika domene, da določite, ali je tam določena nastavitev ravni preverjanja pristnosti upravitelja omrežja: LAN Manager. Če tam ni določena, preglejte pravilnike krmilnika domene.

      Preverite pravilnike krmilnika domene

      1. Kliknite Start, pokažite na Programi in nato kliknite Skrbniška orodja.

      2. V varnostnem pravilniku za krmilnik domene razširite Varnostne nastavitve in nato razširite možnost Lokalni pravilniki.

      3. Kliknite Varnostne možnosti.

      4. Dvokliknite Varnost omrežja: raven preverjanja pristnosti upravitelja omrežja LAN in nato kliknite vrednost na seznamu.


      Opomba

      • Morda boste morali preveriti tudi pravilnike, ki so povezani na ravni mesta, ravni domene ali na ravni organizacijske enote (OU), da določite, kje morate konfigurirati raven preverjanja pristnosti upravitelja omrežja LAN.

      • Če uvedete nastavitev pravilnik skupine kot privzeti pravilnik domene, je pravilnik uporabljen za vse računalnike v domeni.

      • Če uvedete nastavitev pravilnik skupine kot pravilnik privzetega krmilnika domene, pravilnik velja le za strežnike v skrbniškem središču domene.

      • Priporočamo, da nastavite raven preverjanja pristnosti upravitelja lokalnega omrežja v najnižji entiteti zahtevanega obsega v hierarhiji aplikacije pravilnika.

      Windows Server 2003 ima novo privzeto nastavitev, ki uporablja le NTLMv2. Krmilniki domene s servisnim paketom SP3 za Windows Server 2003 in Windows 2000 Server so privzeto omogočili pravilnik »Microsoftov omrežni strežnik: digitalno podpisovanje komunikacij (vedno)«. Ta nastavitev zahteva, da strežnik SMB izvaja podpisovanje paketa SMB. Spremembe sistema Windows Server 2003 so bile narejene, ker krmilniki domene, datote poštni strežniki, omrežni strežniki infrastrukture in spletni strežniki v kateri koli organizaciji zahtevajo različne nastavitve za maksimiziranje varnosti.

      Če želite uvesti preverjanje pristnosti NTLMv2 v omrežju, morate zagotoviti, da so vsi računalniki v domeni nastavljeni tako, da uporabljajo to raven preverjanja pristnosti. Če uporabite razširitve odjemalca Active Directory za Windows 95 ali Windows 98 in Windows NT 4.0, razširitve odjemalca uporabljajo izboljšane funkcije preverjanja pristnosti, ki so na voljo v NTLMv2. Ker operacijski sistem Windows 2000 pravilnik skupine Objects ne vpliva na odjemalske računalnike, v katerih se izvaja kateri koli od teh operacijskih sistema, boste morda morali ročno konfigurirati te odjemalce:

      • Microsoft Windows NT 4.0

      • Microsoft Windows Millennium Edition

      • Microsoft Windows 98

      • Microsoft Windows 95

      Opomba Če omogočite varnost omrežja: V naslednjem pravilniku za spreminjanje gesla ne shranite vrednosti hash upravitelja LAN ali nastavite registrski ključ NoLMHash , odjemalce, ki temeljijo na sistemu Windows 95, in odjemalce za Windows 98, ki nimajo nameščenega odjemalca imeniških storitev, se po spremembi gesla ne morejo prijaviti v domeno.

      Številni strežniki CIFS neodvisnih proizvajalcev, kot je Novell Netware 6, ne poznajo ntlMv2 in uporabljajo samo NTLM. Zato ravni, večje od 2, ne dovoljujejo povezljivosti. Obstajajo tudi odjemalci SMB neodvisnih ponudnikov, ki ne uporabljajo razširjene varnosti seje. V teh primerih raven LmCompatiblityRaven strežnika sredstev ni upoštevana. Strežnik nato paketne posodobitve te starejše zahteve in jih pošlje v krmilnik domene uporabnika. Nastavitve v krmilniku domene nato določijo, s katerimi lojami se preveri zahteva in ali te zahteve izpolnjuje varnostne zahteve krmilnika domene.

       

      299656 Kako sistemu Windows preprečiti shranjevanje razpošlitev gesla upravitelja omrežja LAN v imeniku Active Directory in lokalnih zbirkah podatkov SAM
       

      2701704Dogodek nadzora prikaže paket preverjanja pristnosti kot NTLMv1 namesto NTLMv2 Če želite več informacij o ravneh preverjanja pristnosti LM, kliknite to številko članka, da si ogledate članek v Microsoftovi zbirki znanja:

      239869 Omogočanje preverjanja pristnosti NTLM 2
       

    2. Tvegane konfiguracije

      Spodaj so navedene škodljive nastavitve konfiguracije:

      • Nonrestrictive settings that send passwords in cleartext and that deny NTLMv2 negotiation

      • Omejitvene nastavitve, ki nezdružljivim odjemalcem ali krmilnikom domene preprečujejo pogajanje o skupnem protokolu za preverjanje pristnosti

      • Zahtevanje preverjanja pristnosti NTLMv2 v računalnikih in krmilnikih domene, v katerih se izvajajo različice sistema Windows NT 4.0, ki so starejše od servisnega paketa SP4

      • Zahtevanje preverjanja pristnosti NTLMv2 v odjemalcih sistema Windows 95 ali odjemalcih sistema Windows 98, ki nimajo nameščenega odjemalca windows Directory Services Client.

      • Če kliknete potrditveno polje Zahtevaj varnost seje NTLMv2 v snap-inu za Microsoft Management Console pravilnik skupine Editor v računalniku s sistemom Windows Server 2003 ali Windows 2000 s servisnim paketom SP3 in raven preverjanja pristnosti upravitelja LAN znižate na 0, spor dveh nastavitev in v datoteki Secpol.msc ali datoteki GPEdit.msc se lahko prikaže to sporočilo o napaki:

        Sistem Windows ne more odpreti zbirke podatkov lokalnega pravilnika. Pri poskusu zagona zbirke podatkov je prišlo do neznane napake.

        Če želite več informacij o orodju za varnostno konfiguracijo in analizo, glejte Datoteke pomoči za Windows 2000 ali Windows Server 2003.

    3. Razlogi za spreminjanje te nastavitve

      • Povečati želite najnižje protokole za preverjanje pristnosti, ki jih podpirajo odjemalci in krmilniki domene v vaši organizaciji.

      • Kjer je varno preverjanje pristnosti poslovna zahteva, ne želite onemogočiti pogajanj o protokolih LM in NTLM.

    4. Razlogi za onemogočanje te nastavitve

      Zahteve za preverjanje pristnosti odjemalca ali strežnika oziroma oboje so bile povečane do točke, kjer preverjanje pristnosti prek skupnega protokola ni mogoče.

    5. Simbolno ime:

      LmCompatibilityLevel

    6. Pot registra:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. Primeri težav z združljivostjo

      • Windows Server 2003: Privzeta nastavitev za Windows Server 2003 NTLMv2 Send NTLM responses je omogočena. Zato Windows Server 2003 po prvotni namestitvi prejme sporočilo o napaki »Dostop zavrnjen«, ko poskušate vzpostaviti povezavo z gručo, ki temelji na sistemu Windows NT 4.0, ali s strežniki, ki uporabljajo LanManager V2.1, kot je OS/2 Lanserver. Do te težave pride tudi, če poskušate vzpostaviti povezavo iz starejše različice odjemalca s strežnikom s sistemom Windows Server 2003.

      • Namestite windows 2000 Security Rollup Package 1 (SRP1). SRP1 prisili NTLM različico 2 (NTLMv2). Ta paket posodobitev je bil izdan po izdaji servisnega paketa SP2 za Windows 2000.
         

      • Windows 7 in Windows Server 2008 R2: Mnogi strežniki CIFS neodvisnih izdelovalcev, kot je Novell Netware 6 ali Linux temelji strežniki Samba, se ne zavedajo NTLMv2 in uporabljajo samo NTLM. Zato ravni, večje od »2«, ne dovoljujejo povezljivosti. V tej različici operacijskega sistema je bila privzeta vrednost za LmCompatibilityLevel spremenjena v »3«. Ko torej nadgradite Windows, lahko ti datoteči neodvisni izdelovalci prenehajo delovati.

      • Microsoft Outlookovi odjemalci bodo morda pozvani k vnosu poverilnic, čeprav so že prijavljeni v domeno. Ko uporabniki vnejo svoje poverilnice, prejmejo to sporočilo o napaki: Windows 7 in Windows Server 2008 R2

        Vnesene poverilnice za prijavo niso bile pravilne. Preverite, ali sta uporabniško ime in domena pravilni, nato pa znova vnesite geslo.

        Ko zaženete Outlook, boste morda pozvani k vnosu poverilnic, tudi če je nastavitev Varnost omrežja za prijavo nastavljena na Prepustno ali Preverjanje pristnosti gesla. Ko vnesete pravilne poverilnice, se lahko prikaže to sporočilo o napaki:

        Vnesene poverilnice za prijavo niso bile pravilne.

        Sledenje nadzornika omrežja lahko kaže, da je globalni katalog izdal napako klica oddaljene procedure (RPC) s stanjem 0x5. Stanje aplikacije 0x5 »Dostop zavrnjen«.

      • Windows 2000: Zajemanje omrežnega monitorja lahko pokaže te napake v seji strežniškega sporočilnega bloka (SMB) NetBIOS prek protokola TCP/IP (NetBT):

        Napaka »Dos« v imeniku iskanja SMB R, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Neveljaven identifikator uporabnika

      • Windows 2000: Če domeno sistema Windows 2000 z NTLMv2 ravni 2 ali novejšo različico zaupa domena sistema Windows NT 4.0, lahko v računalnikih s sistemom Windows 2000 v domeni vira pride do napak pri preverjanju pristnosti.

      • Windows 2000 in Windows XP: Windows 2000 in Windows XP privzeto nastavita možnost Lokalni varnostni pravilnik na ravni preverjanja pristnosti v upravitelju LAN na 0. Nastavitev 0 pomeni »Pošlji odgovore LM in NTLM«.

        Opomba Windows NT gruče, ki temeljijo na 4.0, morajo za skrbništvo uporabljati LM.

      • Windows 2000: Gruče v sistemu Windows 2000 ne preverijo pristnosti pridruženega vozlišča, če sta obe vozlišči del domene servisnega paketa SP6a (Windows NT 4.0).

      • Orodje za zaklepanje IIS (HiSecWeb) nastavi vrednost LMCompatibilityLevel na 5, vrednost RestrictAnonymous pa na 2.

      • Storitve za Macintosh

        Modul za preverjanje pristnosti uporabnika (UAM): Microsoft UAM (modul za preverjanje pristnosti uporabnika) zagotavlja način šifriranja gesel, ki jih uporabite za prijavo v strežnike Windows AFP (AppleTalk Filing Protocol). Modul UAM (Apple User Authentication Module) zagotavlja le minimalno šifriranje ali brez njega. Zato lahko geslo preprosto prestrežete v omrežju LAN ali internetu. Čeprav UAM ni obvezen, zagotavlja šifrirano preverjanje pristnosti za strežnike s sistemom Windows 2000, ki izvajajo storitve za Macintosh. Ta različica vključuje podporo za 128-bitno šifrirano preverjanje pristnosti NTLMv2 in izdajo, ki je združljiva s sistemom MacOS X 10.1.

        Storitve Sistema Windows Server 2003 za Macintosh privzeto dovoljujejo le Preverjanje pristnosti Microsoft.
         

      • Windows Server 2008, Windows Server 2003, Windows XP in Windows 2000: Če konfigurirate vrednost LMCompatibilityLevel na 0 ali 1 in nato konfigurirate vrednost NoLMHash na 1, lahko aplikacijam in komponentam zavrnete dostop prek NTLM. Do te težave pride, ker je računalnik konfiguriran tako, da omogoča LM, ne uporablja pa gesel, ki so shranjena v LM.

        Če vrednost NoLMHash konfigurirate na 1, morate konfigurirati vrednost LMCompatibilityLevel tako, da je 2 ali višja.

  11. Varnost omrežja: zahteve za podpisovanje odjemalca LDAP

    1. Ozadje

      Nastavitev varnosti omrežja: nastavitev zahtev za podpisovanje odjemalca LDAP določa raven podpisovanja podatkov, ki je zahtevana v imenu odjemalcev, ki izdajo zahteve BIND protokola LDAP (Lightweight Directory Access Protocol), kot je opisano v oknu:

      • Brez: Zahteva za LDAP BIND se izda z možnostmi, ki jih klicatelj poda.

      • Pogajajte se o podpisovanju: Če ssl/TLS (Secure Sockets Layer/Transport Layer Security) še niste začeli, se zahteva LDAP BIND začne z naborom možnosti podpisovanja podatkov protokola LDAP poleg možnosti, ki jih je določil klicatelj. Če ste zagnani SSL/TLS, se zahteva LDAP BIND začne z možnostmi, ki jih je določil klicatelj.

      • Zahtevaj podpis: To je enako kot podpisovanje s pogajanji. Če pa vmesni odziv strežnika LDAP SaslBindInProgress ne pomeni, da je zahtevano podpisovanje prometa s storitvijo LDAP, je klicatelju povedalo, da zahteva za ukaz LDAP BIND ni uspela.

    2. Tvegana konfiguracija

      Omogočanje varnosti omrežja: nastavitev za podpisovanje odjemalca LDAP je škodljiva nastavitev konfiguracije. Če ste nastavili strežnik tako, da zahteva podpise LDAP, morate konfigurirati tudi podpisovanje LDAP v odjemalcu. Če odjemalca ne konfigurirate za uporabo podpisov LDAP, boste preprečili komunikacijo s strežnikom. To povzroči neuspešno preverjanje pristnosti pravilnik skupine uporabnikov, nastavitev aplikacije, prijavnih skriptov in drugih funkcij.

    3. Razlogi za spreminjanje te nastavitve

      Nepodpisani omrežni promet je dovzeten za napade ljudi v sredini, kjer vsiljivec zajame pakete med odjemalcem in strežniki, jih spremeni in nato posreduje strežniku. Ko se to zgodi v strežniku LDAP, lahko napadalec povzroči, da se strežnik odzove na podlagi neresničnih poizvedb odjemalca LDAP. To tveganje v omrežju podjetja lahko zmanjšate tako, da uporabite močne fizične varnostne ukrepe za zaščito omrežne infrastrukture. Poleg tega lahko preprečite vse vrste napadov sredine tako, da z glavami preverjanja pristnosti IPSec zahtevate digitalne podpise v vseh omrežnih paketih.

    4. Simbolno ime:

      LDAPClientIntegrity

    5. Pot registra:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

  12. Dnevnik dogodkov: Največja velikost varnostnega dnevnika

    1. Ozadje

      Dnevnik dogodkov: Največja varnostna nastavitev velikosti varnostnega dnevnika določa največjo velikost dnevnika varnostnih dogodkov. V tem dnevniku je lahko največ 4 GB prostora. Če želite poiskati to nastavitev, razširite
      Nastavitve sistema Windows in nato razširite Varnostne nastavitve.

    2. Tvegane konfiguracije

      Spodaj so navedene škodljive nastavitve konfiguracije:

      • Omejevanje velikosti varnostnega dnevnika in načina hranjenja varnostnega dnevnika, ko je omogočena nastavitev Nadzor: zaustavite sistem takoj, če nastavitev nadzora varnosti ni mogoče prijaviti. Če želite več podrobnosti, glejte razdelek »Nadzor: takoj zaustavi sistem, če ne morete prijaviti nadzora varnosti«.

      • Omejitev velikosti varnostnega dnevnika tako, da so varnostni dogodki, ki vas zanimajo, prepisani.

    3. Razlogi za povečanje te nastavitve

      Poslovne in varnostne zahteve lahko narekujejo, da povečate velikost varnostnega dnevnika, da obravnavate dodatne podrobnosti varnostnega dnevnika ali da varnostne dnevnike hranite dlje časa.

    4. Razlogi za zmanjšanje te nastavitve

      Pregledovalnik dogodkov dnevniki so datoteke, preslikane v pomnilnik. Največja velikost dnevnika dogodkov je omejena s količino fizičnega pomnilnika v lokalnem računalniku in navideznim pomnilnikom, ki je na voljo v procesu dnevnika dogodkov. Če povečate velikost dnevnika prek količine navideznega pomnilnika, ki je na voljo za Pregledovalnik dogodkov ne povečate števila vnosov dnevnika, ki se ohranijo.

    5. Primeri težav z združljivostjo

      Windows 2000: Računalniki, v katerih se izvajajo različice sistema Windows 2000, starejše od servisnega paketa SP4, lahko prenehajo beležiti dogodke v dnevniku dogodkov, preden dosežejo velikost, določeno v nastavitvi Največja velikost dnevnika v sistemu Pregledovalnik dogodkov, če je možnost Ne prepiši dogodkov (počisti dnevnik ročno) vklopljena.


       

  13. Dnevnik dogodkov: ohranjanje varnostnega dnevnika

    1. Ozadje

      Dnevnik dogodkov: Ohranjanje varnostne nastavitve dnevnika določa način oblivanja za varnostni dnevnik. Če želite poiskati to nastavitev, razširite Nastavitve sistema Windows in nato razširite Varnostne nastavitve.

    2. Tvegane konfiguracije

      Spodaj so navedene škodljive nastavitve konfiguracije:

      • Ni mogoče ohraniti vseh zabeleženih varnostnih dogodkov, preden so prepisani

      • Konfiguriranje nastavitve Največja velikost varnostnega dnevnika je premajhna, tako da so varnostni dogodki prepisani

      • Omejevanje velikosti varnostnega dnevnika in načina hranjenja med nadzorom: takoj zaustavite sistem, če ni mogoče zabeležiti varnostnih nadzorov, če je omogočena varnostna nastavitev nadzora varnosti

    3. Razlogi za omogočanje te nastavitve

      To nastavitev omogočite le, če izberete način Prepiši dogodke po dnevih hranjenja. Če uporabljate sistem korelacije dogodkov, ki anketira za dogodke, se prepričajte, da je število dni vsaj trikratno od pogostosti ankete. To naredite, če želite dovoliti neuspešne cikle ankete.

  14. Dostop do omrežja: Omogočanje uporabe dovoljenj »Vsi« za anonimne uporabnike

    1. Ozadje

      Privzeto je nastavitev Dostop do omrežja: Dovoli vsem, da veljajo za anonimne uporabnike nastavljena na Ni določeno v sistemu Windows Server 2003. Windows Server 2003 privzeto ne vključuje žetona za anonimni dostop v skupini Vsi.

    2. Primer težav z združljivostjo

      Ta vrednost

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous [REG_DWORD]=0x0 prekine ustvarjanje zaupanja med sistemoma Windows Server 2003 in Windows NT 4.0, ko je domena strežnika Windows Server 2003 domena računa, domena Windows NT 4.0 pa domena vira. To pomeni, da je domena računa v storitvi Windows NT 4.0 zaupanja vredna, domena sredstva pa na strani Windows Server 2003 zaupa. Do tega pride, ker je postopek za začetek zaupanja po prvotni anonimni povezavi ACL'd z žetonom Vsi, ki vključuje anonimni SID na Windows NT 4.0.

    3. Razlogi za spreminjanje te nastavitve

      Vrednost mora biti nastavljena na 0x1 ali nastavljena z predmetom pravilnika skupine v skrbniškem središču domene, da bo: Dostop do omrežja: Dovoli vsem, da dovoljenja veljajo za anonimne uporabnike – omogočeno je, da omogočite ustvarjanje zaupanja.

      Opomba Večina drugih varnostnih nastavitev se pomakne navzgor v vrednosti namesto navzdol, da 0x0 v najbolj zavarovanem stanju. Bolj varna bi bila praksa, da spremenite register v emulatorju primarnega krmilnika domene namesto v vseh krmilnikih domene. Če je vloga emultorja primarnega krmilnika domene iz kakršnega koli razloga premaknjena, morate register posodobiti v novem strežniku.

      Po nastavitvi te vrednosti je potreben vnovični zagon.

    4. Pot registra

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

  15. Preverjanje pristnosti NTLMv2

    1. Varnost seje

      Varnost seje določa minimalne varnostne standarde za seje odjemalca in strežnika. Priporočamo, da v konzoli Microsoft Management Console in snap-inu urejevalnika pravilnik skupine te nastavitve varnostnega pravilnika:

      • Nastavitve računalnika\Nastavitve sistema Windows\Varnostne nastavitve\Lokalni pravilniki\Varnostne možnosti

      • Varnost omrežja: Minimalna varnost seje za strežnike NTLM SSP (vključno z varnimi strežniki RPC)

      • Varnost omrežja: Minimalna varnost seje za odjemalce NTLM SSP (vključno z varnimi odjemalci RPC)

      Možnosti za te nastavitve so:

      • Zahtevaj celovitost sporočila

      • Zahtevaj zaupnost sporočila

      • Zahtevaj varnost seje NTLM različice 2

      • Zahtevano 128-bitno šifriranje

      Privzeta nastavitev pred sistemom Windows 7 je Brez zahtev. Od sistema Windows 7 je privzeto spremenjeno na Zahtevano 128-bitno šifriranje za izboljšano varnost. S tem privzetim sistemom podedovane naprave, ki ne podpirajo 128-bitnega šifriranja, ne morejo vzpostaviti povezave.

      Ti pravilniki določajo minimalne varnostne standarde za komunikacijske seje med aplikacijami v strežniku odjemalca.

      Upoštevajte, da zastavice, ki zahtevajo celovitost in zaupnost sporočil, niso uporabljene, čeprav so opisane kot veljavne nastavitve, ko je določena varnost seje NTLM.

      V preteklosti Windows NT podprti dve različici preverjanja pristnosti izziva/odziva za omrežne prijave:

      • Izziv/odziv na LM

      • NTLM različica 1 izziv/odgovor

      LM omogoča interoperabilnost z nameščeno osnovo odjemalcev in strežnikov. NTLM zagotavlja izboljšano varnost za povezave med odjemalci in strežniki.

      Ustrezni registrski ključi so:

      »HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec«
      »HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec«

    2. Tvegane konfiguracije

      Ta nastavitev nadzira, kako bodo obravnavane omrežne seje, zavarovane s protokolom NTLM. To na primer vpliva na seje na osnovi klica oddaljene procedure s preverjeno pristnostjo NTLM. Obstajajo naslednja tveganja:

      • Uporaba starejših načinov preverjanja pristnosti kot NTLMv2 olajša napad zaradi preprostejših načinov lojčenja.

      • S šifrirnimi ključi, ki so nižji od 128-bitne, lahko napadalci prekinejo komunikacijo z grobimi napadi.

Sinhronizacija časa

Sinhronizacija časa ni uspela. Čas je v prizadetem računalniku izklopljen za več kot 30 minut. Prepričajte se, da je ura odjemalskega računalnika sinhronizirana z uro krmilnika domene.

Nadomestna rešitev za podpisovanje SMB

Priporočamo, da namestite servisni paket SP6a (SP6a) v odjemalce sistema Windows NT 4.0, ki so združljivi z domeno sistema Windows Server 2003. Odjemalci, ki temeljijo na drugi izdaji sistema Windows 98, odjemalci, ki temeljijo na sistemu Windows 98, in odjemalci, ki uporabljajo Windows 95, morajo zagnati odjemalca imeniških storitev za izvajanje NTLMv2. Če odjemalci, ki temeljijo na sistemu Windows NT 4.0, nimajo nameščenega sistema Windows NT 4.0 SP6 ali če odjemalci, ki temeljijo na sistemu Windows 95, odjemalci, ki temeljijo na sistemu Windows 98, in odjemalci, ki uporabljajo Windows 98SE, nimajo nameščenega odjemalca imeniških storitev, onemogočite vpisovanje SMB v nastavitev pravilnika privzetega krmilnika domene v skrbniškem središču domene in nato ta pravilnik povežite z vsemi OU-ji, ki so gostiteljski krmilniki domene.

Odjemalec imeniških storitev za Windows 98 Second Edition, Windows 98 in Windows 95 bo v okviru preverjanja pristnosti NTLM in ne pod preverjanjem pristnosti NTLMv2 opravil podpisovanje SMB s strežniki sistema Windows 2003. Poleg tega strežniki s sistemom Windows 2000 ne bodo odgovorili na zahteve za podpisovanje SMB teh odjemalcev.

Čeprav tega ne priporočamo, lahko preprečite, da bi bilo podpisovanje SMB zahtevano v vseh krmilnikih domene, ki uporabljajo Windows Server 2003 v domeni. Če želite konfigurirati to varnostno nastavitev, sledite tem korakom:

  1. Odprite pravilnik privzetega krmilnika domene.

  2. Odprite mapo Konfiguracija računalnika\Nastavitve sistema Windows\Varnostne nastavitve\Lokalni pravilniki\Varnostne možnosti.

  3. Poiščite in kliknite Microsoftov omrežni strežnik: Nastavitev pravilnika za digitalno podpisovanje komunikacij (vedno) in nato kliknite Onemogočeno.

Pomembno V tem razdelku, načinu ali opravilu so navodila za spreminjanje registra. Če register spremenite nepravilno, lahko pride do resnih težav. Zato pozorno upoštevajte ta navodila. Za dodatno zaščito pred spreminjanjem registra varnostno kopirajte register. Če pride do težave, lahko register obnovite. Če želite več informacij o tem, kako varnostno kopirate in obnovite register, kliknite to številko članka iz Microsoftove zbirke znanja:

322756 Kako varnostno kopirati in obnoviti register v sistemu Windows Druga možnost je, da izklopite podpisovanje strežniškega dnevnika s spreminjanjem registra. To naredite tako:

  1. Kliknite Start, zaženi, vnesite regedit in kliknite V redu.

  2. Poiščite in kliknite ta podključ:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

  3. Kliknite vnos enablesecuritysignature .

  4. V meniju Urejanje kliknite Spremeni.

  5. V polje Podatki o vrednosti vnesite 0 in kliknite V redu.

  6. Zaprite urejevalnik registra.

  7. Znova zaženite računalnik ali zaustavite in nato znova zaženite strežniško storitev. To naredite tako, da v ukazni poziv vnesete te ukaze in pritisnete tipko Enter, ko vnesete posamezen ukaz:
    net stop server
    net start server

Opomba Ustrezni ključ v odjemalskem računalniku je v tem registrskem podključu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters V nadaljevanju so navedene številke prevedenih kod napak za kode stanja in v dobesedno sporočila o napakah, ki so omenjena prej:

napaka 5


ERROR_ACCESS_DENIED Dostop je zavrnjen.

napaka 1326



ERROR_LOGON_FAILURE Neuspela prijava: neznano uporabniško ime ali slabo geslo.

napaka 1788



ERROR_TRUSTED_DOMAIN_FAILURE Odnos zaupanja med primarno domeno in zaupanja vredno domeno ni uspel.

napaka 1789



ERROR_TRUSTED_RELATIONSHIP_FAILURE Odnos zaupanja med to delovno postajo in primarno domeno ni uspel.

Če želite več informacij, kliknite te številke člankov, da si ogledate članke v Microsoftovi zbirki znanja:

324802 Konfiguracija pravilnikov skupine za nastavitev varnosti sistemskih storitev v sistemu Windows Server 2003

816585 Uporaba vnaprej določenih varnostnih predlog v sistemu Windows Server 2003

Facebook LinkedIn E-pošta
NAROČITE SE NA VIRE RSS

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Odkrijte Skupnost

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.

Ugodnosti naročnine na Microsoft 365

Izobraževanje za Microsoft 365

Microsoftova varnost

Središče za dostopnost

Skupnosti vam pomagajo postaviti vprašanja in odgovoriti nanje, posredovati povratne informacije in prisluhniti strokovnjakom z bogatim znanjem.

Vprašajte Microsoftovo skupnost

Microsoftova tehnična skupnost

Preskuševalci sistema Windows

Preskuševalci storitve Microsoft 365

Vam je bila informacija v pomoč?

Kako ste zadovoljni s kakovostjo jezika?
Kaj je vplivalo na vašo izkušnjo?
Če pritisnete »Pošlji«, bomo vaše povratne informacije uporabili za izboljšanje Microsoftovih izdelkov in storitev. Vaš skrbnik za IT bo lahko zbiral te podatke. Izjavi o zasebnosti.

Zahvaljujemo se vam za povratne informacije.

×