Prijavite se pomoću Microsoft naloga
Prijavite se ili kreirajte nalog.
Zdravo,
Izaberite drugi nalog.
Imate više naloga
Odaberite nalog pomoću kojeg želite da se prijavite.

Rezime

Bezbednosne postavke i dodele korisničkih prava mogu se promeniti u lokalnim smernicama i smernicama grupe kako bi se pooštrala bezbednost na kontrolere domena i računarima članova. Međutim, mana povećane bezbednosti jeste uvođenje nekompatibilnosti sa klijentima, uslugama i programima.

Ovaj članak opisuje nekompatibilnosti do kojih može doći na klijentskim računarima koji rade pod operativnim sistemom Windows XP ili starijim verzijama operativnog sistema Windows kada promenite određene bezbednosne postavke i dodele korisničkih prava na domenu windows Server 2003 ili starijem Domenu windows servera.

Informacije o Smernice grupe za Windows 7, Windows Server 2008 R2 i Windows Server 2008 potražite u sledećim člancima:

Napomena: Preostali sadržaj u ovom članku specifičan je za Windows XP, Windows Server 2003 i starije verzije operativnog sistema Windows.

Windows XP

Da biste povećali svest o pogrešno konfigurisanim bezbednosnim postavkama, koristite alatku Smernice grupe Object Editor da biste promenili bezbednosne postavke. Kada koristite Smernice grupe Object Editor, dodeljivanja korisničkih prava poboljšana su u sledećim operativnim sistemima:

  • Windows XP Professional servisni paket 2 (SP2)

  • Windows Server 2003 servisni paket 1 (SP1)

Poboljšana funkcija je dijalog koji sadrži vezu ka ovom članku. Dijalog se pojavljuje kada promenite bezbednosnu postavku ili dodeljivanje korisničkih prava na postavku koja nudi manje kompatibilnosti i koja je restriktivnija. Ako direktno promenite istu bezbednosnu postavku ili dodeljivanje korisničkih prava pomoću registratora ili pomoću bezbednosnih predložaka, efekat je isti kao promena postavke u programu Smernice grupe Object Editor. Međutim, dijalog koji sadrži vezu ka ovom članku se ne pojavljuje.

Ovaj članak sadrži primere klijenata, programa i operacija na koje utiču određene bezbednosne postavke ili dodele korisničkih prava. Međutim, primeri nisu relevantni za sve Microsoft operativne sisteme, za sve operativne sisteme nezavisnih proizvođača ili za sve verzije programa na koje to utiče. Nisu sve bezbednosne postavke i dodele korisničkih prava uključene u ovaj članak.

Preporučujemo da proverite kompatibilnost svih promena konfiguracije vezanih za bezbednost u probnoj šumi pre nego što ih uvedete u okruženje proizvodnje. Probna šuma mora da preslika proizvodnu šumu na sledeće načine:

  • Verzije operativnog sistema klijenta i servera, klijentski i serverski programi, verzije servisnog paketa, hitne ispravke, promene šeme, bezbednosne grupe, članstva grupe, dozvole za objekte u sistemu datoteka, deljene fascikle, registrator, uslugu aktivnog direktorijuma, lokalne i Smernice grupe postavke i tip i lokaciju broja objekata

  • Administrativni zadaci koji se izvršavaju, administrativne alatke koje se koriste i operativni sistemi koji se koriste za izvršavanje administrativnih zadataka

  • Operacije koje se izvršavaju, kao što su sledeće:

    • Potvrda identiteta za prijavljivanje na računar i korisnik

    • Poništavanje lozinke od strane korisnika, računara i administratora

    • Pregledanja

    • Podešavanje dozvola za sistem datoteka, za deljene fascikle za registrator i za Active Directory resurse pomoću ACL uređivača u svim klijentskim operativnim sistemima u svim domenima naloga ili resursa iz svih klijentskih operativnih sistema sa svih domena naloga ili resursa

    • Štampanje sa administrativnih i nedministrativnih naloga

Windows Server 2003 SP1

Upozorenja u usluzi Gpedit.msc

Da bi korisnici bili svesni da uređuju pravo korisnika ili opciju bezbednosti koja bi mogla da ima negativan uticaj na njihovu mrežu, dodata su dva mehanizma upozorenja na gpedit.msc. Kada administratori urede korisnika desno koje može da ima negatima utiču na celo preduzeće, videće novu ikonu koja podseća na znak dobitka. Oni će takođe dobiti poruku upozorenja koja sadrži vezu ka članku Microsoft baze znanja 823659. Tekst ove poruke je sledeći:

Izmena ove postavke može da utiče na kompatibilnost sa klijentima, uslugama i aplikacijama. Dodatne informacije potražite u članku <pravo korisnika ili opciju bezbednosti koja se menja> (Q823659) Ako ste upućeni na ovaj članak baze znanja sa veze u usluzi Gpedit.msc, proverite da li ste pročitali i razumeli navedeno objašnjenje i mogući efekat promene ove postavke. Sledeća lista navodi korisnička prava koja sadrže tekst upozorenja:

  • Pristupite ovom računaru sa mreže

  • Prijavite se lokalno

  • Zaobilaženje provere preletanja

  • Omogućavanje računara i korisnika za pouzdano delegiranje

Sledeće navodi bezbednosne opcije sa upozorenjem i iskačućom porukom:

  • Član domena: Digitalno šifrovanje ili potpisivanje podataka bezbednog kanala (uvek)

  • Član domena: Zahtevajte jaku (Windows 2000 ili noviju verziju) ključ sesije

  • Kontroler domena: zahtevi za potpisivanje LDAP servera

  • Microsoft mrežni server: Digitalno potpisivanje komunikacija (uvek)

  • Pristup mreži: Dozvoljava prevođenje anonimnog sid/imena

  • Pristup mreži: Ne dozvoljavaj anonimno nabrajanje SAM naloga i deljenja

  • Bezbednost mreže: nivo potvrde identiteta LAN menadžera

  • Nadzor: Sistem za isključivanje odmah ako ne može da evidentira bezbednosne nadzore

  • Mrežni pristup: Zahtevi za potpisivanje LDAP klijenta

Više informacija

Sledeći odeljci opisuju nekompatibilnosti do kojih može doći kada promenite određene postavke u domenima operativnog sistema Windows NT 4.0, Windows 2000 i Windows Server 2003 domenima.

Korisnička prava

Sledeća lista opisuje pravo korisnika, identifikuje postavke konfiguracije koje mogu da dovedu do problema, opisuje zašto treba da primenite pravo korisnika i zašto želite da uklonite pravo korisnika i pruža primere problema sa kompatibilnošću do kojih može doći kada je korisnikovo pravo konfigurisano.

  1. Pristupite ovom računaru sa mreže

    1. Pozadini

      Mogućnost interakcije sa udaljenim računarima zasnovanim na operativnom sistemu Windows zahteva da pristupite ovom računaru sa desne strane mrežnog korisnika. Primeri takvih mrežnih operacija uključuju sledeće:

      • Replikacija usluge Active Directory između kontrolera domena u zajedničkom domenu ili šumi

      • Zahtevi za potvrdu identiteta kontrolerima domena od korisnika i sa računara

      • Pristup deljenim fasciklama, štampačima i drugim sistemskim uslugama koje se nalaze na udaljenim računarima na mreži



      Korisnici, računari i nalozi usluge dobijaju ili gube pravo pristupa ovom računaru od mrežnog korisnika tako što se izričito ili implicitno dodaje ili uklanja iz bezbednosne grupe koja je ovom korisniku dodeljeno pravo. Na primer, korisnički nalog ili nalog računara može biti izričito dodat u prilagođenu bezbednosnu grupu ili ugrađenu bezbednosnu grupu od strane administratora ili ga operativni sistem implicitni dodaje u izračunatu bezbednosnu grupu kao što su Korisnici domena, Autorizovani korisnici ili Enterprise kontroleri domena.

      Korisničkim nalozima i nalozima računara podrazumevano se dodeljuje pristup ovom računaru od mrežnog korisnika direktno kada se izračunaju grupe kao što su "Svi" ili, po mogućstvu, "Potvrđeni korisnici" i za kontrolere domena, grupa "Kontrolori domena preduzeća", definisani su u podrazumevanim upravljačima domena Smernice grupe Objekat (GPO).

    2. Rizične konfiguracije

      Slede štetne postavke konfiguracije:

      • Uklanjanje bezbednosne grupe "Kontrolera domena preduzeća" iz desnog uma korisnika

      • Uklanjanje grupe "Autorizovani korisnici" ili eksplicitne grupe koja korisnicima, računarima i nalozima usluge omogućava da se povežu sa računarima preko mreže

      • Uklanjanje svih korisnika i računara sa ovog korisnika nadesno

    3. Razlozi za dodeljivanje prava ovom korisniku

      • Dodeljivanje pristupa ovom računaru od mrežnog korisnika direktno grupi kontrolera domena preduzeća zadovoljava zahteve za potvrdu identiteta koje Replikacija aktivnog direktorijuma mora imati da bi se replikacija odvijala između kontrolera domena u istoj šumi.

      • Ovo korisničko pravo omogućava korisnicima i računarima da pristupe deljenim datotekama, štampačima i sistemskim uslugama, uključujući Active Directory.

      • Ovo pravo korisnika je potrebno da bi korisnici pristupili pošti pomoću starijih verzija programa Microsoft Outlook Web Access (OWA).

    4. Razlozi za uklanjanje ovog korisnika nadesno

      • Korisnici koji mogu da povežu računare sa mrežom mogu da pristupe resursima na udaljenim računarima za koje imaju dozvole. Na primer, ovo korisničko pravo je potrebno da bi se korisnik povezio sa deljenim štampačima i sa fasciklama. Ako se ovom korisniku pravo dodeli grupa "Svi" i ako neke deljene fascikle imaju konfigurisane dozvole za deljenje i NTFS sistem datoteka tako da ista grupa ima pristup za čitanje, svako može da prikaže datoteke u tim deljenim fasciklama. Međutim, ovo je malo verovatno za nove instalacije sistema Windows Server 2003 zato što podrazumevano deljenje i NTFS dozvole u sistemu Windows Server 2003 ne uključuju grupu "Svi". Za sisteme koji su nadograđeni sa operativnog sistema Microsoft Windows NT 4.0 ili Windows 2000, ova ranjivost može imati viši nivo rizika zato što podrazumevano deljenje i dozvole sistema datoteka za ove operativne sisteme nisu tako ograničene kao podrazumevane dozvole u sistemu Windows Server 2003.

      • Ne postoji važeći razlog za uklanjanje grupe Enterprise Domain Controllers iz ovog korisničkog prava.

      • Grupa "Svi" se obično uklanja u korist grupe Autorizovani korisnici. Ako je grupa "Svi" uklonjena, grupi "Autorizovani korisnici" mora biti dodeljeno pravo ovog korisnika.

      • Domeni operativnog sistema Windows NT 4.0 koji su nadograđeni na Windows 2000 ne dodeljuju pristup ovom računaru izričito od mrežnog korisnika za grupu "Svi", grupu "Autorizovani korisnici" ili grupu "Kontroleri domena za velika preduzeća". Stoga, kada uklonite grupu "Svi" iz smernica domena za Windows NT 4.0, replikacija usluge Active Directory neće uspeti sa porukom o grešci "Pristup je odbijen" nakon nadogradnje na Windows 2000. Winnt32.exe sistemu Windows Server 2003 izbegava ovu grešku prilikom nadogradnje primarnih kontrolera domena (PDC) korporaciji Enterprise Domain Controllers. Grupi Kontrolera domena preduzeća domena dodelite pravo ovom korisniku ako nije prisutan u Smernice grupe object Editor.

    5. Primeri problema sa kompatibilnošću

      • Windows 2000 i Windows Server 2003: Replikacija sledećih particija neće uspeti uz greške "Pristup je odbijen" kao što je prijavljeno pomoću alatki za nadgledanje kao što su REPLMON i REPADMIN ili događaji replikacije u evidenciji događaja.

        • Active Directory particija šeme

        • Konfiguraciona parti

        • Particija domena

        • Particija globalnog kataloga

        • Particija aplikacije

      • Svi operativni sistemi Microsoft mreže: Potvrda identiteta korisničkog naloga sa udaljenih mrežnih klijentskih računara neće uspeti ako ovom korisniku ili bezbednosnoj grupi za koju je korisnik član nije dodeljeno pravo ovog korisnika.

      • Svi operativni sistemi Microsoft mreže: Potvrda identiteta naloga od klijenata udaljene mreže neće uspeti ako ovom korisniku nije dodeljeno pravo da nalog ili bezbednosna grupa u kojoj je nalog član. Ovaj scenario se odnosi na korisničke naloge, računarske naloge i naloge za uslugu.

      • Svi operativni sistemi Microsoft mreže: Uklanjanje svih naloga sa ovog korisnika desno sprečiće prijavljivanje bilo kog naloga na domen ili pristup mrežnim resursima. Ako se uklone izračunate grupe kao što su kontroleri domena preduzeća, svi ili autorizovani korisnici, morate izričito da dodelite ovom korisniku pravo na naloge ili bezbednosnim grupama kojima je nalog član da bi pristupio udaljenim računarima preko mreže. Ovaj scenario se odnosi na sve korisničke naloge, sve naloge računara i sve naloge usluge.

      • Svi operativni sistemi Microsoft mreže: Lokalni administratorski nalog koristi "praznu" lozinku. Mrežno povezivanje sa praznim lozinkama nije dozvoljeno za administratorske naloge u okruženju domena. Uz ovu konfiguraciju možete očekivati da ćete dobiti poruku o grešci "Pristup nije dozvoljen".

  2. Dozvoli lokalno prijavljivanje

    1. Pozadini

      Korisnici koji pokušavaju da se prijade na konzolu računara zasnovanog na operativnom sistemu Windows (pomoću tasterske prečice CTRL+ALT+DELETE) i nalozi koji pokušavaju da započnu uslugu moraju imati lokalne privilegije za prijavljivanje na hosting računaru. Primeri lokalnih operacija prijavljivanja uključuju administratore koji se prijavjuju na konzole računara članova ili kontrolere domena u celom preduzeću i korisnicima domena koji se prijavjuju na računare članova da bi pristupili svojim računarima pomoću naloga koji nisu privilegovani. Korisnici koji koriste vezu sa udaljenom radnom površinom ili usluge terminala moraju imati pravo Dozvoli prijavljivanje lokalnog korisnika na odredišnim računarima koji rade pod operativnim sistemom Windows 2000 ili Windows XP zato što se ovi režimi prijavljivanja smatraju lokalnim za hosting računar. Korisnici koji se prijavjuju na server na kojem je omogućen Terminal Server i koji nema ovo pravo korisnika i dalje mogu da započnu daljinsku interaktivnu sesiju na Windows Server 2003 domenima ako imaju pravo dozvoli prijavljivanje putem korisnika usluga terminala.

    2. Rizične konfiguracije

      Slede štetne postavke konfiguracije:

      • Uklanjanje administrativnih bezbednosnih grupa, uključujući operatore naloga, operatore rezervne kopije, operatore štampanja ili operatore servera i ugrađenu grupu administratora iz smernica podrazumevanog kontrolera domena.

      • Uklanjanje naloga usluge koje koriste komponente i programi na računarima članova i u kontrolerima domena u domenu iz smernica podrazumevanog kontrolera domena.

      • Uklanjanje korisnika ili bezbednosnih grupa koje se prijavjuju na konzolu računara članova u domenu.

      • Uklanjanje naloga usluge koji su definisani u lokalnoj bazi podataka menadžera bezbednosnih naloga (SAM) računara članova ili računara radne grupe.

      • Uklanjanje ne ugrađenih administrativnih naloga koji potvrdjuju identitet preko usluga terminala koje su pokrenute na kontroleru domena.

      • Eksplicitni ili implicitni dodati sve korisničke naloge u domen putem grupe "Svi" u pravo "Zabrani lokalno prijavljivanje". Ova konfiguracija će sprečiti korisnike da se prijavu na bilo koji računar člana ili na bilo koji kontroler domena u domenu.

    3. Razlozi za dodeljivanje prava ovom korisniku

      • Korisnici moraju imati pravo dozvoli prijavljivanje lokalnom korisniku da bi pristupili konzoli ili radnoj površini računara radne grupe, računara člana ili kontrolera domena.

      • Korisnici moraju imati pravo ovog korisnika da se prijavi putem sesije usluga terminala koja je pokrenuta na računaru ili kontroleru domena zasnovanom na operativnom sistemu Windows 2000.

    4. Razlozi za uklanjanje ovog korisnika nadesno

      • Neuspešno ograničavanje pristupa konzoli legitimnim korisničkim nalozima može dovesti do neovlašćenih korisnika koji preuzimaju i izvršavaju zlonamerni kôd da bi promenili njihova korisnička prava.

      • Uklanjanje desne strane Dozvoli prijavljivanje lokalnog korisnika sprečava neovlašćeno prijavljivanje na konzolama računara, kao što su kontrolori domena ili serveri aplikacija.

      • Uklanjanje ovog prava za prijavljivanje sprečava prijavljivanje na naloge koji nisu domeni na konzoli računara članova u domenu.

    5. Primeri problema sa kompatibilnošću

      • Windows 2000 terminal serveri: Potrebno je pravo dozvoli prijavljivanje lokalnog korisnika da bi se korisnici prijavili na Windows 2000 terminal servere.

      • Windows NT 4.0, Windows 2000, Windows XP ili Windows Server 2003: Korisničkim nalozima mora biti dodeljeno ovom korisniku pravo da se prijavi na konzoli računara koji rade pod operativnim sistemom Windows NT 4.0, Windows 2000, Windows XP ili Windows Server 2003.

      • Windows NT 4.0 i novije verzije: Na računarima koji rade pod operativnim sistemom Windows NT 4.0 i novijim verzijama, ako dodate pravo Dozvoli prijavljivanje lokalnom korisniku, ali implicitni ili eksplicitni način dodeljujete pravo prijavljivanju na lokalno prijavljivanje, nalozi neće moći da se prijavene na konzolu kontrolera domena.

  3. Zaobilaženje provere preletanja

    1. Pozadini

      Pravo provere prelamanja zaobiđi korisnika omogućava korisniku da pregleda fascikle u NTFS sistemu datoteka ili u registratoru bez traženja dozvole za specijalni pristup Traverse fascikli. Pravo korisnika provere prelamanja zaobiđi ne dozvoljava korisniku da navodi sadržaj fascikle. Omogućava korisniku da preleće samo svoje fascikle.

    2. Rizične konfiguracije

      Slede štetne postavke konfiguracije:

      • Uklanjanje ned. naloga koji se prijavjuju na računare usluga terminala zasnovane na operativnom sistemu Windows 2000 ili računare usluga terminala zasnovanih na sistemu Windows Server 2003 koji nema dozvole za pristup datotekama i fasciklama u sistemu datoteka.

      • Uklanjanje grupe "Svi" sa liste principala bezbednosti kojima je ovaj korisnik podrazumevano desno. Operativni sistemi Windows, kao i mnogi programi, dizajnirani su sa očekivanjima da će svako ko može valjano da pristupi računaru imati ispravno proveru prelamanja zaoblaženja. Stoga, uklanjanje grupe "Svi" sa liste principala bezbednosti koji podrazumevano imaju ovog korisnika pravo može dovesti do nestabilnosti operativnog sistema ili do otkazivanja programa. Bolje je da ovu postavku ostavite kao podrazumevanu.

    3. Razlozi za dodeljivanje prava ovom korisniku

      Podrazumevana postavka za proveru prelamanja prelamanja zaoblaženja korisnika je da omogući bilo kome da zaobiđi proveru prelivanja. Za iskusne administratore sistema Windows ovo je očekivano ponašanje i oni u skladu sa ovim konfigurišu liste za kontrolu pristupa sistemu datoteka (SACLS). Jedini scenario u kojem podrazumevana konfiguracija može da dovede do greške jeste ako administrator koji konfiguriše dozvole ne razume ponašanje i očekuje da korisnici koji ne mogu da pristupe nadređenoj fascikli neće moći da pristupe sadržaju podređenih fascikli.

    4. Razlozi za uklanjanje ovog korisnika nadesno

      Da biste pokušali da sprečite pristup datotekama ili fasciklama u sistemu datoteka, organizacije koje su veoma zabrinute zbog bezbednosti mogu biti u iskušenju da uklone grupu "Svi", pa čak i grupu "Korisnici", sa liste grupa koje imaju pravo da provere premošćavanje premošćavanje korisnika.

    5. Primeri problema sa kompatibilnošću

      • Windows 2000, Windows Server 2003: Ako se ukloni pravo provere prelaska prelaska korisnika ili ako je pogrešno konfigurisana na računarima koji rade pod operativnim sistemom Windows 2000 ili Windows Server 2003, Smernice grupe postavke u fascikli SYVOL neće se replicirati između kontrolera domena u domenu.

      • Windows 2000, Windows XP Professional, Windows Server 2003: Računari koji rade pod operativnim sistemom Windows 2000, Windows XP Professional ili Windows Server 2003 evidentiraće događaje 1000 i 1202 i neće moći da primene smernice računara i smernice za korisnike kada se potrebne dozvole sistema datoteka uklone iz stabla SYSVOL ako se ukloni korisničko pravo provere prelaska zaoblazača ili ako je greška konfigurisana.

         

      • Windows 2000, Windows Server 2003: Na računarima koji rade pod operativnim sistemom Windows 2000 ili Windows Server 2003, kartica Kvota u programu Windows Explorer nestaće kada prikažete svojstva na jačini zvuka.

      • Windows 2000: Osobe koje se prijave na Windows 2000 terminal server mogu dobiti sledeću poruku o grešci:

        Userinit.exe grešku aplikacije. Nije uspelo ispravno pokretanje aplikacije 0xc0000142 kliknite na dugme "U redu" da biste prekinuli aplikaciju.

      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Korisnici čiji računari rade pod operativnim sistemom Windows NT 4.0, Windows 2000, Windows XP ili Windows Server 2003 možda neće moći da pristupe deljenim fasciklama ili datotekama u deljenim fasciklama i mogu dobiti poruke o grešci "Pristup nije dozvoljen" ako im nije dodeljeno pravo korisnika provere prelaska zaoblaza.


         

      • Windows NT 4.0: Na računarima zasnovanim na operativnom sistemu Windows NT 4.0, uklanjanje provere prelaska zaobilaska korisnika sa desne strane će dovesti do otpuštanja kopije datoteka. Ako uklonite ovog korisnika nadesno, kada se datoteka kopira iz Windows klijenta ili sa Macintosh klijenta u Windows NT NT 4.0 kontroler domena koji koristi usluge za Macintosh, odredišni tok datoteka se gubi, a datoteka se pojavljuje kao datoteka samo za tekst.

      • Microsoft Windows 95, Microsoft Windows 98: Na klijentskom računaru koji radi pod operativnim sistemom Windows 95 ili Windows 98, net use * /home komanda neće uspeti sa porukom o grešci "Pristup je odbijen" ako grupi "Autorizovani korisnici" nije dodeljeno pravo provere prelaska zaobilaska.

      • Outlook Web Access: Osobe koje nisu administratori neće moći da se prijavljene u Microsoft Outlook Web Access i dobiće poruku o grešci "Pristup je odbijen" ako im nije dodeljeno pravo provere prelaska prelaska.

Bezbednosne postavke

Sledeća lista identifikuje bezbednosnu postavku, a ugnežđena lista pruža opis bezbednosne postavke, identifikuje postavke konfiguracije koje mogu dovesti do problema, opisuje zašto bi trebalo da primenite bezbednosnu postavku, a zatim opisuje razloge zbog kojih bi trebalo da uklonite bezbednosnu postavku. Ugnežđena lista zatim obezbeđuje simbolično ime za bezbednosnu postavku i putanju registratora bezbednosne postavke. Na kraju, daju se primeri problema sa kompatibilnošću do kojih može doći kada je bezbednosna postavka konfigurisana.

  1. Nadzor: Sistem za isključivanje odmah ako ne može da evidentira bezbednosne nadzore

    1. Pozadini

      • Nadzor: Sistem za isključivanje odmah ako ne može da evidentira bezbednosne nadzore određuje da li se sistem zatvara ako ne možete da evidentiramo bezbednosne događaje. Ova postavka je potrebna za C2 procenu u programu Trusted Computer Security Evaluation Criteria (TCSEC) i za uobičajene kriterijume za bezbednosnu procenu informativne tehnologije da bi se sprečili događaji koji se mogu nadgledati ako sistem nadzora ne može da evidentira te događaje. Ako sistem nadzora ne uspe, sistem se zatvara i pojavljuje se poruka o grešci Zaustavi.

      • Ako računar ne može da snima događaje u bezbednosnoj evidenciji, kritični dokazi ili važne informacije o rešavanju problema možda neće biti dostupni za pregled nakon bezbednosnog incidenta.

    2. Rizičnu konfiguraciju

      Sledi štetna postavka konfiguracije: Postavka Nadzor: Sistem za isključivanje odmah ako nije moguće evidentiranje bezbednosnih nadzora je uključena, a veličina evidencije bezbednosnih događaja ograničena je opcijom Ne zamenjuj događaje (ručno obriši evidenciju), opcijom Zameni događaje po potrebi ili opcijom Zameni događaje starije od brojčanih dana u programu Prikazivač događaja. Pogledajte odeljak "Primeri problema sa kompatibilnošću" da biste dobili informacije o određenim rizicima za računare koji koriste originalnu objavljenu verziju operativnog sistema Windows 2000, Windows 2000 sa servisnim paketom 1 (SP1), Windows 2000 SP2 ili Windows 2000 SP3.

    3. Razlozi za omogućavanje ove postavke

      Ako računar ne može da snima događaje u bezbednosnoj evidenciji, kritični dokazi ili važne informacije o rešavanju problema možda neće biti dostupni za pregled nakon bezbednosnog incidenta.

    4. Razlozi za onemogućavanje ove postavke

      • Omogućavanje nadzora: Sistem isključivanja odmah ako nije moguće evidentiranje bezbednosnih nadzora zaustaviće sistem ako bezbednosni nadzor ne može da se evidentira iz bilo kog razloga. Događaj obično ne može da se evidentira kada je evidencija bezbednosnog nadzora puna i kada je navedeni metod zadržavanja opcija Ne zamenjuj događaje (ručno obriši evidenciju) ili opcija Zameni događaje starije od brojnih dana.

      • Administrativno opterećenje omogućavanja nadzora: Isključite sistem odmah ako ne možete da evidentirate postavku bezbednosnih nadzora može biti veoma visoko, naročito ako uključite opciju Ne zamenjuj događaje (ručno briši evidenciju) za bezbednosnu evidenciju. Ova postavka obezbeđuje pojedinačnu odgovornost radnji operatora. Na primer, administrator može da poništi dozvole za sve korisnike, računare i grupe u organizacionoj jedinici (OU) u kojoj je nadzor omogućen pomoću ugrađenog administratorskog naloga ili drugog deljenog naloga, a zatim da poništi te dozvole. Međutim, omogućavanje postavke smanjuje moć sistema jer server može biti prisiljen da se isključi tako što ga preopterećuje događajima prijavljivanja i drugim bezbednosnim događajima koji su upisani u evidenciju bezbednosti. Pored toga, zbog toga što isključivanje nije graciozno, može dovesti do nepoplatnog oštećenja operativnog sistema, programa ili podataka. Iako NTFS garantuje da će integritet sistema datoteka biti očuvan tokom negresivnog isključivanja sistema, on ne može da garantuje da će svaka datoteka sa podacima za svaki program i dalje biti u korisnom obliku kada se sistem ponovo pokrene.

    5. Simbolično ime:

      CrashOnAuditFail

    6. Putanja registratora:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

    7. Primeri problema sa kompatibilnošću

      • Windows 2000: Zbog greške, računari koji rade pod originalnom izdatom verzijom operativnog sistema Windows 2000, Windows 2000 SP1, Windows 2000 SP2 ili Windows Server SP3 mogu prestati da evidentiraju događaje pre nego što se dostigne veličina navedena u opciji Maksimalna veličina evidencije za evidenciju bezbednosnih događaja. Ova greška je popravljena u operativnom sistemu Windows 2000 sa servisnim paketom 4 (SP4). Uverite se da windows 2000 kontrolori domena imaju instaliran Windows 2000 servisni paket 4 pre nego što razmotrite omogućavanje ove postavke.

         

      • Windows 2000, Windows Server 2003: Računari koji rade pod operativnim sistemom Windows 2000 ili Windows Server 2003 mogu prestati da se odazivanje, a zatim mogu spontano ponovo da se pokrenu ako je postavka Nadzor: Sistem isključivanja odmah ako nije moguće evidentovati postavku bezbednosnih nadzora je uključena, evidencija bezbednosti je puna i nije moguće zameniti postojeću stavku evidencije događaja. Kada se računar ponovo pokrene, pojavljuje se sledeća poruka o grešci Zaustavi:

        STOP: C0000244 {Nadzor nije uspeo}
        Pokušaj generisanja bezbednosnog nadzora nije uspeo.

        Da bi se oporavio, administrator mora da se prijavi, arhivira bezbednosnu evidenciju (opcionalno), obriše bezbednosnu evidenciju, a zatim uspostavi početne vrednosti ove opcije (opcionalno i po potrebi).

      • Microsoft mrežni klijent za MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Osobe koje pokušaju da se prijape na domen dobiće sledeću poruku o grešci:

        Vaš nalog je konfigurisan da vas sprečava da koristite ovaj računar. Pokušajte sa drugim računarom.

      • Windows 2000: Na računarima zasnovanim na operativnom sistemu Windows 2000, ne-administratori neće moći da se prijape na servere za daljinski pristup i dobiće poruku o grešci koja je slična sledećoj:

        Nepoznati korisnik ili neispravna lozinka

      • Windows 2000: U Windows 2000 kontrolerima domena, usluga Intersite Messaging (Ismserv.exe) će se zaustaviti i nije je moguće ponovo pokrenuti. DCDIAG će prijaviti grešku kao "neuspešne usluge testiranja ISMserv", a ID događaja 1083 će biti registrovan u evidenciji događaja.

      • Windows 2000: U Windows 2000 kontrolorima domena, replikacija usluge Active Directory neće uspeti i pojaviće se poruka "Pristup je odbijen" ako je evidencija bezbednosnih događaja puna.

      • Microsoft Exchange 2000: Serveri koji rade pod sistemom Exchange 2000 neće moći da postavljaju bazu podataka skladišta informacija, a događaj 2102 će biti registrovan u evidenciji događaja.

      • Outlook, Outlook Web Access: Osobe koje nisu administratori neće moći da pristupe svojoj pošti putem programa Microsoft Outlook ili putem programa Microsoft Outlook Web Access i dobiće grešku 503.

  2. Kontroler domena: zahtevi za potpisivanje LDAP servera

    1. Pozadini

      Kontroler domena: Zahtevi za potpisivanje LDAP servera određuju da li Lightweight Directory Access Protocol (LDAP) server zahteva LDAP klijente da bi pregovarao o potpisivanju podataka. Moguće vrednosti za ovu regulatornu postavku su sledeće:

      • Nijedno: Potpisivanje podataka nije neophodno za povezivanje sa serverom. Ako klijent zahteva potpisivanje podataka, server to podržava.

      • Zahtevaj potpisivanje: Mora se isprečiti opcija LDAP potpisivanja podataka ako se ne koristi Transport Layer Security/Secure Socket Layer (TLS/SSL).

      • nije definisano: Ova postavka nije omogućena ili onemogućena.

    2. Rizične konfiguracije

      Slede štetne postavke konfiguracije:

      • Omogućavanje Zahtevaj prijavljivanje u okruženja u kojima klijenti ne podržavaju LDAP potpisivanje ili gde LDAP potpisivanje na strani klijenta nije omogućeno na klijentu

      • Primena predloška bezbednosti Windows 2000 ili Windows Server 2003 Hisecdc.inf u okruženjima gde klijenti ne podržavaju LDAP potpisivanje ili gde LDAP potpisivanje na strani klijenta nije omogućeno

      • Primena predloška bezbednosti Windows 2000 ili Windows Server 2003 Hisecws.inf u okruženjima gde klijenti ne podržavaju LDAP potpisivanje ili gde LDAP potpisivanje na strani klijenta nije omogućeno

    3. Razlozi za omogućavanje ove postavke

      Nepotpisani mrežni saobraćaj je osetljiv na srednje napade u kojima uljez hvata pakete između klijenta i servera, menja pakete, a zatim ih prosleđuje na server. Kada se ovo ponašanje pojavi na LDAP serveru, napadač može da izazove da server donosi odluke zasnovane na netačnim upitima LDAP klijenta. Taj rizik u korporativnoj mreži možete da smanjite primenom snažnih fizičkih bezbednosnih mera kako biste pomogli u zaštiti mrežne infrastrukture. Režim zaglavlja za potvrdu identiteta bezbednosti internet protokola (IPSec) može da pomogne u sprečavanju napada muškaraca u sredini. Režim zaglavlja potvrde identiteta izvršava obostranu potvrdu identiteta i integritet paketa za IP saobraćaj.

    4. Razlozi za onemogućavanje ove postavke

      • Klijenti koji ne podržavaju LDAP potpisivanje neće moći da sprovedu LDAP upite protiv kontrolera domena i protiv globalnih kataloga ako se pregovara o NTLM potvrdi identiteta i ako ispravni servisni paketi nisu instalirani na Windows 2000 kontrolere domena.

      • Praćenja mreže LDAP saobraćaja između klijenata i servera biće šifrovana. To oteža pregled LDAP razgovora.

      • Serveri zasnovani na operativnom sistemu Windows 2000 moraju da imaju Windows 2000 servisni paket 3 (SP3) ili instaliran kada se upravljaju programima koji podržavaju LDAP potpisivanje koji se pokreću sa klijentskih računara koji koriste Windows 2000 SP4, Windows XP ili Windows Server 2003.  

    5. Simbolično ime:

      LDAPServerIntegrity

    6. Putanja registratora:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

    7. Primeri problema sa kompatibilnošću

      • Jednostavna povezivanja neće uspeti i dobićete sledeću poruku o grešci:

        Ldap_simple_bind_s() nije uspelo: Potrebna je jaka potvrda identiteta.

      • Windows 2000 servisni paket 4, Windows XP, Windows Server 2003: Na klijentima koji rade pod operativnim sistemom Windows 2000 SP4, Windows XP ili Windows Server 2003, neke alatke za administraciju usluge Active Directory neće ispravno raditi sa kontrolerima domena koji rade pod verzijama operativnog sistema Windows 2000 koje su starije od SP3 kada se pokrene NTLM potvrda identiteta.

         

      • Windows 2000 servisni paket 4, Windows XP, Windows Server 2003: Na klijentima koji rade pod operativnim sistemom Windows 2000 SP4, Windows XP ili Windows Server 2003, neke alatke za administraciju usluge Active Directory koje koriste kontrolere domena koji rade pod verzijama operativnog sistema Windows 2000 starijim od SP3 neće ispravno funkcionisati ako koriste IP adrese (na primer, "dsa.msc /server=x.x.x",
        gdex.x.x.x predstavlja IP adresu).


         

      • Windows 2000 servisni paket 4, Windows XP, Windows Server 2003: Na klijentima koji rade pod operativnim sistemom Windows 2000 SP4, Windows XP ili Windows Server 2003, neke alatke za administraciju usluge Active Directory koje ciljuju upravljače domenima koji rade pod verzijama operativnog sistema Windows 2000 starijim od SP3 neće ispravno funkcionisati.

         

  3. Član domena: Zahtevajte ključ jake sesije (Windows 2000 ili novija verzija)

    1. Pozadini

      • Član domena: Zahtevaj jaku postavku ključa sesije (Windows 2000 ili novija verzija) određuje da li se bezbedni kanal može uspostaviti sa kontrolerom domena koji ne može da šifruje bezbedni saobraćaj kanala pomoću jakog 128-bitnog ključa sesije. Omogućavanje ove postavke sprečava uspostavljanje bezbednog kanala sa bilo kojim kontrolerom domena koji ne može da šifruje bezbedne podatke kanala pomoću jakog ključa. Onemogućavanje ove postavke omogućava 64-bitne tastere sesije.

      • Da biste mogli da omogućite ovu postavku na radnoj lokaciji člana ili na serveru, svi kontrolori domena u domenu kom član pripada moraju da mogu da šifruju bezbedne podatke kanala pomoću jakog 128-bitnog ključa. To znači da svi takvi kontrolori domena moraju da rade pod operativnim sistemom Windows 2000 ili novijim verzijama.

    2. Rizičnu konfiguraciju

      Omogućavanje člana domena: Zahtevaj jaku (Windows 2000 ili noviju) postavku ključa sesije predstavlja štetnu postavku konfiguracije.

    3. Razlozi za omogućavanje ove postavke

      • Ključevi sesija koji se koriste za uspostavljanje bezbedne komunikacije kanala između računara članova i kontrolera domena mnogo su jači u operativnom sistemu Windows 2000 nego u starijim verzijama operativnih sistema Microsoft.

      • Kada je to moguće, dobra ideja je da iskoristite ove jače ključeve sesija kako biste zaštitili bezbedne komunikacije kanala od prisluškivanja i od napada otmičkih mreža. Prisluškivanje je oblik zlonamernog napada gde se mrežni podaci čitaju ili se menjaju u tranzitu. Podaci se mogu izmeniti da biste sakrili ili promenili pošiljaoca ili da biste ih preusmerili.

      Važno Računar koji radi pod operativnim sistemom Windows Server 2008 R2 ili Windows 7 podržava samo jake ključeve kada se koriste bezbedni kanali. Ovo ograničenje sprečava poverenje između bilo kog domena zasnovanog na operativnom sistemu Windows NT 4.0 i bilo kog domena zasnovanog na sistemu Windows Server 2008 R2. Pored toga, ovo ograničenje blokira članstvo u domenu zasnovano na operativnom sistemu Windows NT 4.0 na računarima koji rade pod operativnim sistemom Windows 7 ili Windows Server 2008 R2 i obrnuto.

    4. Razlozi za onemogućavanje ove postavke

      Domen sadrži računare članova koji rade pod operativnim sistemima koji nisu Windows 2000, Windows XP ili Windows Server 2003.

    5. Simbolično ime:

      StrongKey

    6. Putanja registratora:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

    7. Primeri problema sa kompatibilnošću

      Windows NT 4.0: Na računarima zasnovanim na operativnom sistemu Windows NT 4.0 uspostavljanje početnih vrednosti bezbednih kanala odnosa poverenja između Windows NT 4.0 i Windows 2000 domena sa NLTEST-om neće uspeti. Pojavljuje se poruka o grešci "Pristup je odbijen":

      Odnos poverenja između primarnog domena i pouzdanog domena nije uspeo.

      Windows 7 i Server 2008 R2: Za Windows 7 i novije verzije i Windows Server 2008 R2 i novije verzije, ova postavka se više ne poštuje i jak ključ se uvek koristi. Zbog toga, poverenja u Windows NT 4.0 domene više ne rade.

  4. Član domena: Digitalno šifrovanje ili potpisivanje podataka bezbednog kanala (uvek)

    1. Pozadini

      • Omogućavanje člana domena: Digitalno šifrovanje ili potpisivanje podataka bezbednog kanala (uvek) sprečava uspostavljanje bezbednog kanala sa bilo kojim kontrolerom domena koji ne može da potpiše ili šifruje sve podatke bezbednog kanala. Da bi se zaštitio saobraćaj potvrde identiteta od srednjih napada, reprodukovanje napada i drugih vrsta mrežnih napada, računari zasnovani na operativnom sistemu Windows kreiraju komunikacioni kanal koji je poznat kao bezbedan kanal putem usluge net prijavljivanja radi potvrde identiteta naloga računara. Bezbedni kanali se koriste i kada se korisnik iz jednog domena poveže sa mrežnim resursom u udaljenom domenu. Ova višedomena potvrda identiteta ili prolazna potvrda identiteta omogućava računaru zasnovanom na operativnom sistemu Windows koji je pridružen domenu da ima pristup bazi podataka korisničkog naloga u svom domenu i u svim pouzdanim domenima.

      • Da biste omogućili člana domena: Digitalno šifrujte ili potpišite postavku podaci bezbednog kanala (uvek) na računaru člana, svi kontrolori domena u domenu kom član pripada moraju da budu u mogućnosti da potpišu ili šifruju sve podatke bezbednog kanala. To znači da svi takvi kontrolori domena moraju da rade pod operativnim sistemom Windows NT 4.0 sa servisnim paketom 6a (SP6a) ili novijim verzijama.

      • Omogućavanje člana domena: Postavka Digitalno šifrovanje ili potpisivanje podataka bezbednog kanala (uvek) automatski omogućava člana domena: Postavku Digitalno šifrujte ili potpišite podatke bezbednog kanala (kada je to moguće).

    2. Rizičnu konfiguraciju

      Omogućavanje člana domena: Postavka Digitalno šifruj ili potpiši bezbedne podatke kanala (uvek) u domenima gde ne mogu svi kontrolori domena da potpišu ili šifruju podatke bezbednog kanala predstavlja štetnu postavku konfiguracije.

    3. Razlozi za omogućavanje ove postavke

      Nepotpisani mrežni saobraćaj je osetljiv na srednje napade ljudi, gde uljez hvata pakete između servera i klijenta, a zatim ih menja pre prosleđivanja klijentu. Kada se ovo ponašanje pojavi na Lightweight Directory Access Protocol (LDAP) serveru, uljez može da dovede do toga da klijent donese odluke zasnovane na netačnim zapisima iz LDAP direktorijuma. Rizik od takvog napada na korporativnu mrežu možete smanjiti primenom jakih fizičkih bezbednosnih mera kako biste pomogli u zaštiti mrežne infrastrukture. Pored toga, primena režima zaglavlja za potvrdu identiteta internet protokola (IPSec) može pomoći u sprečavanju napada ljudi u sredini. Ovaj režim izvršava obostranu potvrdu identiteta i integritet paketa za IP saobraćaj.

    4. Razlozi za onemogućavanje ove postavke

      • Računari u lokalnim ili spoljnim domenima podržavaju šifrovane bezbedne kanale.

      • Ne podržavaju svi kontrolori domena odgovarajuće nivoe revizije servisnog paketa za podršku šifrovanih bezbednih kanala.

    5. Simbolično ime:

      StrongKey

    6. Putanja registratora:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

    7. Primeri problema sa kompatibilnošću

      • Windows NT 4.0: Računari zasnovani na operativnom sistemu Windows 2000 neće moći da se pridruže domenima operativnog sistema Windows NT 4.0 i dobiće sledeću poruku o grešci:

        Nalog nije ovlašćen za prijavljivanje sa ove stanice.

        Za više informacija kliknite na sledeći broj članka da biste videli članak u Microsoft bazi znanja:

        281648 Poruka o grešci: Nalog nije ovlašćen za prijavljivanje sa ove stanice
         

      • Windows NT 4.0: Domeni operativnog sistema Windows NT 4.0 neće moći da uspostave pouzdanost na nižem nivou sa Windows 2000 domenom i dobiće sledeću poruku o grešci:

        Nalog nije ovlašćen za prijavljivanje sa ove stanice.

        Postojeća poverenja nižeg nivoa takođe ne mogu da potvrde identitet korisnika sa pouzdanog domena. Neki korisnici mogu imati problema sa prijavljivanjem na domen i mogu dobiti poruku o grešci koja navodi da klijent ne može da pronađe domen.

      • Windows XP: Klijenti koji su pridruženi domenima operativnog sistema Windows NT 4.0 neće moći da potvrde identitet pokušaja prijavljivanja i mogu dobiti sledeću poruku o grešci ili su sledeći događaji možda registrovani u evidenciji događaja:

        Windows ne može da se poveže sa domenom zato što kontroler domena ne radi ili je na neki drugi način nedostupan ili zato što nalog računara nije pronađen

      • Microsoft mreža: Microsoft Network klijenti će primiti jednu od sledećih poruka o grešci:

        Neuspeh prijavljivanja: nepoznato korisničko ime ili pogrešna lozinka.

        Ne postoji ključ korisničke sesije za navedenu sesiju prijavljivanja.

  5. Microsoft mrežni klijent: Digitalno potpisivanje komunikacija (uvek)

    1. Pozadini

      Server Message Block (SMB) je protokol za deljenje resursa koji podržavaju mnogi Microsoft operativni sistemi. To je osnova sistema za osnovni unos/izlaz mreže (NetBIOS) i mnogih drugih protokola. SMB potpisivanjem potvrdjuje identitet korisnika i servera koji hostuje podatke. Ako obe strane ne uspeju u procesu potvrde identiteta, neće doći do prenosa podataka.

      Omogućavanje SMB potpisivanja počinje tokom pregovora o protokolu SMB. Smernice za potpisivanje SMB određuju da li računar uvek digitalno potpisuje klijentske komunikacije.

      Windows 2000 SMB protokol potvrde identiteta podržava obostranu potvrdu identiteta. Uzajamna potvrda identiteta zatvara napad "čovek u sredini". Windows 2000 SMB protokol za potvrdu identiteta takođe podržava potvrdu identiteta poruke. Potvrda identiteta poruke pomaže u sprečavanju aktivnih napada poruka. Da bi vam dalo ovu potvrdu identiteta, SMB potpisivanje postavlja digitalni potpis u svaki SMB. Klijent i server verifikuju digitalni potpis.

      Da biste koristili SMB potpisivanje, morate omogućiti SMB potpisivanje ili zahtevati SMB potpisivanje na SMB klijentu i na SMB serveru. Ako je SMB potpisivanje omogućeno na serveru, klijenti koji su takođe omogućeni za SMB potpisivanje koriste protokol za potpisivanje paketa tokom svih sledećih sesija. Ako je na serveru potrebno SMB potpisivanje, klijent ne može da uspostavi sesiju osim ako je klijent omogućen ili ne potreban za SMB potpisivanje.


      Omogućavanje digitalnog prijavljivanja u mreže visoke bezbednosti pomaže u sprečavanju imitiranje klijenata i servera. Ova vrsta imitiranja je poznata kao krađa sesija. Napadač koji ima pristup istoj mreži kao klijent ili server koristi alatke za otmu sesija da bi prekinuo, završio ili ukrao sesiju koja je u toku. Napadač može da presretne i izmeni nepotpisane SMB pakete, izmeni saobraćaj, a zatim ga prosledi kako bi server mogao da izvrši neželjene radnje. Ili, napadač može da se predstavi serverom ili kao klijent posle legitimne potvrde identiteta, a zatim da dobije neovlašćen pristup podacima.

      SMB protokol koji se koristi za deljenje datoteka i deljenje štampanja na računarima koji rade pod operativnim sistemima Windows 2000 Server, Windows 2000 Professional, Windows XP Professional ili Windows Server 2003 podržava obostranu potvrdu identiteta. Uzajamna potvrda identiteta zatvara sesije napada otme i podržava potvrdu identiteta poruke. Prema tome, to sprečava napade ljudi u sredini. SMB potpisivanje obezbeđuje ovu potvrdu identiteta postavljanjem digitalnog potpisa u svaku SMB datoteku. Klijent i server zatim verifikuju potpis.

      Beleške

      • Kao alternativnu protivrečnost, možete da omogućite digitalne potpise uz IPSec da biste zaštitili sav mrežni saobraćaj. Postoje akceleratori zasnovani na hardveru za IPSec šifrovanje i potpisivanje koje možete da koristite da biste smanjili uticaj na performanse procesora servera. Takvi akceleratori nisu dostupni za potpisivanje SMB-a.

        Dodatne informacije potražite u odeljku Poglavlje za komunikacije na serveru digitalno na Microsoft MSDN veb lokaciji.

        Konfigurišite SMB prijavljivanje putem Smernice grupe uređivaču objekata zato što promena vrednosti lokalnog registratora nema efekta ako postoje smernice zamene domena.

      • U operativnim sistemima Windows 95, Windows 98 i Windows 98 Second Edition, klijent usluga direktorijuma koristi SMB potpisivanje kada potvrde identitet sa Windows Server 2003 serverima pomoću NTLM potvrde identiteta. Međutim, ti klijenti ne koriste SMB potpisivanje kada potvrde identitet sa ovim serverima pomoću NTLMv2 potvrde identiteta. Pored toga, Windows 2000 serveri ne odgovaraju na zahteve za SMB potpisivanje od ovih klijenata. Više informacija potražite u članku Stavka 10: "Bezbednost mreže: Nivo potvrde identiteta lan upravljača".

    2. Rizičnu konfiguraciju

      Sledi štetna postavka konfiguracije: Napuštanje Microsoft mrežnog klijenta: Postavka Digitalno potpisivanje komunikacija (uvek) i Microsoft mrežni klijent: Postavka Digitalno potpisivanje komunikacija (ako se server slaže) postavljena je na "Nije definisano" ili onemogućeno. Ove postavke omogućavaju preusmervaču da pošalje lozinke čistog teksta serverima koji ne podržavaju šifrovanje lozinke tokom potvrde identiteta.

    3. Razlozi za omogućavanje ove postavke

      Omogućavanje Microsoft mrežnog klijenta: Komunikacije digitalno potpisivanja (uvek) zahtevaju klijente da potpišu SMB saobraćaj kada kontaktiraju servere koji ne zahtevaju SMB potpisivanje. To klijente čini manje ranjivim na napade otmice sesija.

    4. Razlozi za onemogućavanje ove postavke

      • Omogućavanje Microsoft mrežnog klijenta: Digitalno potpisivanje komunikacija (uvek) sprečava klijente da komuniciraju sa ciljnim serverima koji ne podržavaju SMB potpisivanje.

      • Konfigurisanje računara radi zanemarivanja svih nepotpisanih SMB komunikacija sprečava povezivanje starijih programa i operativnih sistema.

    5. Simbolično ime:

      ZahtevaMBSignRdr

    6. Putanja registratora:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

    7. Primeri problema sa kompatibilnošću

      • Windows NT 4.0: Nećete moći da uspostavite početne vrednosti bezbednog kanala poverenja između Windows Server 2003 domena i Windows NT 4.0 domena pomoću NLTEST ili NETDOM-a i dobićete poruku o grešci "Pristup je odbijen".

      • Windows XP: Kopiranje datoteka sa Windows XP klijenata na servere zasnovane na operativnom sistemu Windows 2000 i na servere zasnovane na operativnom sistemu Windows Server 2003 može da potraje.

      • Nećete moći da mapirate mrežni disk sa klijenta sa omogućenom ovom postavkom i dobićete sledeću poruku o grešci:

        Nalog nije ovlašćen za prijavljivanje sa ove stanice.

    8. Zahtevi za ponovno pokretanje

      Ponovo pokrenite računar ili ponovo pokrenite uslugu Workstation. Da biste to uradili, otkucajte sledeće komande na komandnoj liniji. Pritisnite taster Enter nakon što otkucate svaku komandu.

      net Stop workstation
      net Start workstation

  6. Microsoft mrežni server: Digitalno potpisivanje komunikacija (uvek)

    1. Pozadini

      • Server Messenger Block (SMB) je protokol za deljenje resursa koji podržava mnogo microsoft operativnih sistema. To je osnova sistema za osnovni unos/izlaz mreže (NetBIOS) i mnogih drugih protokola. SMB potpisivanjem potvrdjuje identitet korisnika i servera koji hostuje podatke. Ako obe strane ne uspeju u procesu potvrde identiteta, neće doći do prenosa podataka.

        Omogućavanje SMB potpisivanja počinje tokom pregovora o protokolu SMB. Smernice za potpisivanje SMB određuju da li računar uvek digitalno potpisuje klijentske komunikacije.

        Windows 2000 SMB protokol potvrde identiteta podržava obostranu potvrdu identiteta. Uzajamna potvrda identiteta zatvara napad "čovek u sredini". Windows 2000 SMB protokol za potvrdu identiteta takođe podržava potvrdu identiteta poruke. Potvrda identiteta poruke pomaže u sprečavanju aktivnih napada poruka. Da bi vam dalo ovu potvrdu identiteta, SMB potpisivanje postavlja digitalni potpis u svaki SMB. Klijent i server verifikuju digitalni potpis.

        Da biste koristili SMB potpisivanje, morate omogućiti SMB potpisivanje ili zahtevati SMB potpisivanje na SMB klijentu i na SMB serveru. Ako je SMB potpisivanje omogućeno na serveru, klijenti koji su takođe omogućeni za SMB potpisivanje koriste protokol za potpisivanje paketa tokom svih sledećih sesija. Ako je na serveru potrebno SMB potpisivanje, klijent ne može da uspostavi sesiju osim ako je klijent omogućen ili ne potreban za SMB potpisivanje.


        Omogućavanje digitalnog prijavljivanja u mreže visoke bezbednosti pomaže u sprečavanju imitiranje klijenata i servera. Ova vrsta imitiranja je poznata kao krađa sesija. Napadač koji ima pristup istoj mreži kao klijent ili server koristi alatke za otmu sesija da bi prekinuo, završio ili ukrao sesiju koja je u toku. Napadač može da presretne i izmeni nepotpisane pakete upravljača propusnim opsegom podmrežnog opsega (SBM), izmeni saobraćaj, a zatim ga prosledi kako bi server mogao da izvrši neželjene radnje. Ili, napadač može da se predstavi serverom ili kao klijent posle legitimne potvrde identiteta, a zatim da dobije neovlašćen pristup podacima.

        SMB protokol koji se koristi za deljenje datoteka i deljenje štampanja na računarima koji rade pod operativnim sistemima Windows 2000 Server, Windows 2000 Professional, Windows XP Professional ili Windows Server 2003 podržava obostranu potvrdu identiteta. Uzajamna potvrda identiteta zatvara sesije napada otme i podržava potvrdu identiteta poruke. Prema tome, to sprečava napade ljudi u sredini. SMB potpisivanje obezbeđuje ovu potvrdu identiteta postavljanjem digitalnog potpisa u svaku SMB datoteku. Klijent i server zatim verifikuju potpis.

      • Kao alternativnu protivrečnost, možete da omogućite digitalne potpise uz IPSec da biste zaštitili sav mrežni saobraćaj. Postoje akceleratori zasnovani na hardveru za IPSec šifrovanje i potpisivanje koje možete da koristite da biste smanjili uticaj na performanse procesora servera. Takvi akceleratori nisu dostupni za potpisivanje SMB-a.

      • U operativnim sistemima Windows 95, Windows 98 i Windows 98 Second Edition, klijent usluga direktorijuma koristi SMB potpisivanje kada potvrde identitet sa Windows Server 2003 serverima pomoću NTLM potvrde identiteta. Međutim, ti klijenti ne koriste SMB potpisivanje kada potvrde identitet sa ovim serverima pomoću NTLMv2 potvrde identiteta. Pored toga, Windows 2000 serveri ne odgovaraju na zahteve za SMB potpisivanje od ovih klijenata. Više informacija potražite u članku Stavka 10: "Bezbednost mreže: Nivo potvrde identiteta lan upravljača".

    2. Rizičnu konfiguraciju

      Sledi štetna postavka konfiguracije: Omogućavanje Microsoft mrežnog servera: Postavke digitalnog potpisivanja komunikacije (uvek) na serverima i na kontrolere domena kojima pristupa nekopatibilni računari zasnovani na operativnom sistemu Windows i klijentski računari nezavisnih proizvođača na lokalnim ili spoljnim domenima.

    3. Razlozi za omogućavanje ove postavke

      • Svi klijentski računari koji omogućavaju ovu postavku direktno putem registratora ili putem Smernice grupe podržavaju SMB potpisivanje. Drugim rečima, svi klijentski računari koji imaju omogućenu ovu postavku pokreću Windows 95 sa instaliranim DS klijentom, operativnim sistemom Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional ili Windows Server 2003.

      • Ako je Microsoft mrežni server: Komunikacija digitalno potpisivanja (uvek) onemogućena, SMB potpisivanje je potpuno onemogućeno. Potpuno onemogućavanje svih SMB potpisivanja ostavlja računare ranjivijim na napade otmice sesija.

    4. Razlozi za onemogućavanje ove postavke

      • Omogućavanje ove postavke može dovesti do sporije kopiranja datoteka i performansi mreže na računarima klijenata.

      • Omogućavanje ove postavke će sprečiti klijente koji ne mogu da pregovaraju o SMB potpisivanju za komunikaciju sa serverima i sa kontrolerima domena. To dovodi do neuspeha operacija kao što su spajanja domena, potvrda identiteta korisnika i računara ili pristup mreži po programima.

    5. Simbolično ime:

      ZahtevaMBSignServer

    6. Putanja registratora:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

    7. Primeri problema sa kompatibilnošću

      • Windows 95: Windows 95 klijenti koji nisu instalirali klijent za usluge direktorijuma (DS) neće uspeti da potvrde identitet za prijavljivanje i dobiće sledeću poruku o grešci:

        Navedena lozinka domena nije ispravna ili pristup serveru za prijavljivanje nije dozvoljen.

      • Windows NT 4.0: Klijentski računari koji rade pod verzijama operativnog sistema Windows NT 4.0 koji su stariji od servisnog paketa 3 (SP3) neće uspeti da se prijavi i dobiće sledeću poruku o grešci:

        Sistem nije mogao da vas prijavi. Uverite se da su korisničko ime i domen ispravni, a zatim ponovo otkucajte lozinku.

        Neki ne-Microsoft SMB serveri podržavaju samo nešifrovane razmene lozinki tokom potvrde identiteta. (Ove razmene poznate i kao "razmene čistog teksta".) Za Windows NT 4.0 SP3 i novije verzije, SMB preusmeravač ne šalje nešifrovanu lozinku tokom potvrde identiteta SMB serveru osim ako dodate određenu stavku registratora.
        Da biste omogućili nešifrovane lozinke za SMB klijent u operativnom sistemu Windows NT 4.0 SP 3 i novijim sistemima, izmenite registrator na sledeći način: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters

        Ime vrednosti: EnablePlainTextPassword

        Tip podataka: REG_DWORD

        Podaci: 1

         

      • Windows Server 2003: Bezbednosne postavke na kontroleru domena koji pokreću Windows Server 2003 podrazumevano su konfigurisane da vam pomognu da sprečite da zlonamerni korisnici presretnu ili ometaju komunikaciju kontrolera domena. Da bi korisnici uspešno komunicirali sa kontrolerom domena koji pokreće Windows Server 2003, klijentski računari moraju da koriste i SMB potpisivanje i šifrovanje ili bezbedno potpisivanje saobraćaja kanala. Klijenti koji rade pod operativnim sistemom Windows NT 4.0 sa servisnim paketom 2 (SP2) ili starijim instaliranim i klijenti koji rade pod operativnim sistemom Windows 95 nisu omogućeni za potpisivanje SMB paketa. Zbog toga ovi klijenti možda neće moći da potvrde identitet za kontroler domena zasnovan na sistemu Windows Server 2003.

      • Postavke smernica za Windows 2000 i Windows Server 2003: U zavisnosti od određenih potreba i konfiguracije instalacije, preporučujemo da podesite sledeće regulatorne postavke u najnižem entitetu neophodnog opsega u hijerarhiji proširenja microsoft Management Console Smernice grupe Editor:

        • Konfiguracija računara\Windows bezbednost Postavke\Bezbednosne opcije

        • Pošalji nešifrovanu lozinku za povezivanje sa SMB serverima nezavisnih proizvođača (ova postavka je za Windows 2000)

        • Microsoft mrežni klijent: Slanje nešifrovane lozinke SMB serverima nezavisnih proizvođača (ova postavka je za Windows Server 2003)


        Napomena U nekim CIFS serverima nezavisnih proizvođača, kao što su starije samba verzije, ne možete da koristite šifrovane lozinke.

      • Sledeći klijenti nisu kompatibilni sa Microsoft mrežnim serverom: Postavka Digitalno potpisivanje komunikacija (uvek):

        • Apple Computer, Inc., Mac OS X klijenti

        • Microsoft MS-DOS mrežni klijenti (na primer, Microsoft LAN Manager)

        • Microsoft Windows za radne grupe klijenata

        • Microsoft Windows 95 klijenti bez instaliranog DS klijenta

        • Računari zasnovani na operativnom sistemu Microsoft Windows NT 4.0 koji nemaju instaliran SP3 ili noviju

        • Novell Netware 6 CIFS klijenti

        • SAMBA SMB klijenti koji ne podržavaju SMB potpisivanje

    8. Zahtevi za ponovno pokretanje

      Ponovo pokrenite računar ili ponovo pokrenite uslugu servera. Da biste to uradili, otkucajte sledeće komande na komandnoj liniji. Pritisnite taster Enter nakon što otkucate svaku komandu.

      net stop server
      net Start server

  7. Pristup mreži: Dozvoljavanje prevođenja anonimnog SID/imena

    1. Pozadini

      Mrežni pristup: Dozvoljavanje anonimne SID/Name bezbednosne postavke za prevođenje određuje da li anonimni korisnik može da zatraži atribute Bezbednosni identifikacioni broj (SID) za drugog korisnika.

    2. Rizičnu konfiguraciju

      Omogućavanje pristupa mreži: Postavka Dozvoli anonimni SID/Ime prevođenje predstavlja štetnu postavku konfiguracije.

    3. Razlozi za omogućavanje ove postavke

      Ako je postavka Pristup mreži: Dozvoljavanje anonimnog SID/Imena postavke prevođenja onemogućena, stariji operativni sistemi ili aplikacije možda neće moći da komuniciraju sa Windows Server 2003 domenima. Na primer, sledeći operativni sistemi, usluge ili aplikacije možda neće funkcionisati:

      • Serveri usluge daljinskog pristupa zasnovani na operativnom sistemu Windows NT 4.0

      • Microsoft SQL Server koji rade na računarima zasnovanim na operativnom sistemu Windows NT 3.x ili računarima zasnovanim na operativnom sistemu Windows NT 4.0

      • Usluga daljinskog pristupa koja radi na računarima zasnovanim na operativnom sistemu Windows 2000 koji se nalaze na domenima u operativnom sistemu Windows NT 3.x ili windows NT 4.0 domenima

      • SQL Server koji radi na računarima zasnovanim na operativnom sistemu Windows 2000 koji se nalaze na domenima operativnog sistema Windows NT 3.x ili na domenima operativnog sistema Windows NT 4.0

      • Korisnici u domenu resursa operativnog sistema Windows NT 4.0 koji žele da dodele dozvole za pristup datotekama, deljenim fasciklama i objektima registratora korisničkim nalozima sa domena naloga koji sadrže Windows Server 2003 kontrolere domena

    4. Razlozi za onemogućavanje ove postavke

      Ako je ova postavka omogućena, zlonamerni korisnik može da koristi poznati SID administratora da bi dobio pravo ime ugrađenog administratorskog naloga, čak i ako je nalog preimenovan. Ta osoba bi zatim mogla da koristi ime naloga da bi pokrenula napad koji pogađa lozinke.

    5. Simbolično ime: neisporučivanje

    6. Putanja registratora: nijedno. Putanja je navedena u kodu korisničkog interfejsa.

    7. Primeri problema sa kompatibilnošću

      Windows NT 4.0: Računari u domenima resursa operativnog sistema Windows NT 4.0 prikazaće poruku o grešci "Nepoznat nalog" u ACL uređivaču ako su resursi, uključujući deljene fascikle, deljene datoteke i objekte registratora, bezbedni pomoću principala bezbednosti koji se nalaze u domenima naloga koji sadrže windows Server 2003 kontrolere domena.

  8. Pristup mreži: Ne dozvoljavaj anonimno nabrajanje SAM naloga

    1. Pozadini

      • Pristup mreži: Ne dozvoljavaj anonimno nabrajanje SAM naloga određuje koje će dodatne dozvole biti dodeljene za anonimne veze sa računarom. Windows omogućava anonimnim korisnicima da obavljaju određene aktivnosti, kao što je nabrajanje imena radnih mesta i Upravljača bezbednosnim nalozima servera (SAM) i mrežnih resursa. Na primer, administrator to može da koristi da bi odobrio pristup korisnicima u pouzdanom domenu koji ne održava recipročno poverenje. Kada se sesija izvrši, anonimni korisnik može imati isti pristup koji je dodeljen grupi "Svi" na osnovu postavke u okviru pristupa mreži: Postavka "Dozvoli svima" primenjuje se na postavku kontrole anonimnih korisnika ili na listu kontrole diskrecionog pristupa (DACL) objekta.

        Anonimne veze obično zahtevaju starije verzije klijenata (klijenti nižeg nivoa) tokom podešavanja SMB sesije. U tim slučajevima, praćenje mreže pokazuje da je ID SMB procesa (PID) preusmeravanje klijenta kao što je 0xFEFF u operativnom sistemu Windows 2000 ili 0xCAFE u operativnom sistemu Windows NT. RPC takođe može pokušati da uspostavi anonimne veze.

      • Važno Ova postavka nema uticaja na kontrolera domena. Na kontrolorima domena ovo ponašanje kontroliše prisutnost "NT AUTHORITY\ANONIMNO PRIJAVLJIVANJE" u programu "Pristup kompatibilan sa operativnim sistemom Pre-Windows 2000".

      • U operativnom sistemu Windows 2000, slična postavka pod imenom Dodatna ograničenja za anonimne veze upravlja vrednošću registratora "RestrictAnonymous ". Lokacija ove vrednosti je sledeća

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA  

    2. Rizične konfiguracije

      Omogućavanje pristupa mreži: Ne dozvoljavaj anonimno nabrajanje SAM postavki naloga predstavlja štetnu postavku konfiguracije iz perspektive kompatibilnosti. Onemogućavanje je štetna konfiguracija postavke iz bezbednosne perspektive.

    3. Razlozi za omogućavanje ove postavke

      Neovlašćeni korisnik može anonimno da navede imena naloga, a zatim da ih koristi da bi pokušao da pogodi lozinke ili da izvrši društveno inženjerske napade. Društveni inženjering je žargon koji nagoni ljude da otkriju svoje lozinke ili neki oblik bezbednosnih informacija.

    4. Razlozi za onemogućavanje ove postavke

      Ako je ova postavka omogućena, nije moguće uspostaviti poverenja sa Windows NT 4.0 domenima. Ova postavka takođe dovodi do problema sa klijentima nižeg nivoa (kao što su Windows NT 3.51 klijenti i Windows 95 klijenti) koji pokušavaju da koriste resurse na serveru.

    5. Simbolično ime:


      RestrictAnonymousSAM

    6. Putanja registratora:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

    7. Primeri problema sa kompatibilnošću

    • SMS Network Discovery neće moći da dobije informacije o operativnom sistemu i u svojstvu "OperatingSystemNameandVersion" će pisati "Nepoznato".

    • Windows 95, Windows 98: Windows 95 klijenti i Windows 98 klijenti neće moći da promene lozinke.

    • Windows NT 4.0: Računari zasnovani na operativnom sistemu Windows NT 4.0 neće moći da potvrde identitet.

    • Windows 95, Windows 98: Računari zasnovani na operativnom sistemu Windows 95 i Windows 98 neće moći da potvrde identitet pomoću Microsoft kontrolera domena.

    • Windows 95, Windows 98: Korisnici na računarima zasnovanim na operativnom sistemu Windows 95 i računarima zasnovanim na operativnom sistemu Windows 98 neće moći da promene lozinke za svoje korisničke naloge.

  9. Pristup mreži: Ne dozvoljavaj anonimno nabrajanje SAM naloga i deljenja

    1. Pozadini

      • Postavka Pristup mreži: Ne dozvoljavaj anonimno nabrajanje SAM naloga i deljenja (poznato i kao Ograničeno) određuje da li je dozvoljeno anonimno nabrajanje Naloga (SAM) naloga i deljenja. Windows omogućava anonimnim korisnicima da obavljaju određene aktivnosti, kao što je nabrajanje imena naloga domena (korisnika, računara i grupa) i mrežnih resursa. Na primer, to je praktično kada administrator želi da odobri pristup korisnicima u pouzdanom domenu koji ne održava recipročno poverenje. Ako ne želite da dozvolite anonimno nabrajanje SAM naloga i deljenja, omogućite ovu postavku.

      • U operativnom sistemu Windows 2000, slična postavka pod imenom Dodatna ograničenja za anonimne veze upravlja vrednošću registratora "RestrictAnonymous ". Lokacija ove vrednosti je sledeća:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

    2. Rizičnu konfiguraciju

      Omogućavanje pristupa mreži: Ne dozvoljavaj anonimno nabrajanje SAM naloga i deljenja predstavlja štetnu postavku konfiguracije.

    3. Razlozi za omogućavanje ove postavke

      • Omogućavanje pristupa mreži: Ne dozvoljavaj anonimno nabrajanje SAM naloga i postavka deljenja sprečava nabrajanje SAM naloga i deljenja od strane korisnika i računara koji koriste anonimne naloge.

    4. Razlozi za onemogućavanje ove postavke

      • Ako je ova postavka omogućena, neovlašćeni korisnik može anonimno da navede imena naloga, a zatim da koristi te informacije da bi pokušao da pogodi lozinke ili da izvrši napade na društveno inženjering. Društveni inženjering je žargon koji znači prevaru ljudi da otkriju lozinku ili neki oblik bezbednosnih informacija.

      • Ako je ova postavka omogućena, neće biti moguće uspostaviti poverenja sa Windows NT 4.0 domenima. Ova postavka će takođe izazvati probleme sa klijentima nižeg nivoa kao što su Windows NT 3.51 i Windows 95 klijenti koji pokušavaju da koriste resurse na serveru.

      • Neće biti moguće odobriti pristup korisnicima domena resursa zato što administratori u pouzdanom domenu neće moći da nabroje liste naloga u drugom domenu. Korisnici koji anonimno pristupe datotekama i serverima za štampanje neće moći da nabrajaju deljene mrežne resurse na tim serverima. Korisnici moraju da potvrde identitet pre nego što mogu da prikažu liste deljenih fascikli i štampača.

    5. Simbolično ime:

      Ograničeno

    6. Putanja registratora:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

    7. Primeri problema sa kompatibilnošću

      • Windows NT 4.0: Korisnici neće moći da promene lozinke iz Windows NT NT 4.0 radnih prostora kada je funkcija RestrictAnonymous omogućena na kontrolerima domena u domenu korisnika.

      • Windows NT 4.0: Dodavanje korisnika ili globalnih grupa iz pouzdanih Windows 2000 domena u lokalne grupe operativnog sistema Windows NT 4.0 u korisničkom menadžeru neće uspeti i pojaviće se sledeća poruka o grešci:

        Trenutno nema dostupnih servera za prijavljivanje za uslugu zahteva za prijavljivanje.

      • Windows NT 4.0: Računari zasnovani na operativnom sistemu Windows NT 4.0 neće moći da se pridruže domenima tokom instalacije ili korišćenjem korisničkog interfejsa za pridruživanje domenu.

      • Windows NT 4.0: Uspostavljanje pouzdanosti na nižem nivou sa domenima resursa operativnog sistema Windows NT 4.0 neće uspeti. Sledeća poruka o grešci će se pojaviti kada je funkcija RestrictAnonymous omogućena na pouzdanom domenu:

        Nije moguće pronaći kontroler domena za ovaj domen.

      • Windows NT 4.0: Korisnici koji se prijave na računare terminal servera zasnovane na operativnom sistemu Windows NT 4.0 mapiraće se sa podrazumevanim matičnim direktorijumom umesto na matični direktorijum koji je definisan u programu User Manager za domene.

      • Windows NT 4.0: Windows NT 4.0 upravljači domenima rezervne kopije (BDC-ove) neće moći da pokreću uslugu net prijavljivanja, pribavljaju listu pregledača rezervnih kopija ili sinhronizuju SAM bazu podataka iz operativnog sistema Windows 2000 ili sa Windows Server 2003 kontrolera domena u istom domenu.

      • Windows 2000: Računari članova zasnovani na operativnom sistemu Windows 2000 u domenima operativnog sistema Windows NT 4.0 neće moći da prikažu štampače u spoljnim domenima ako je postavka Bez pristupa bez izričito anonimnih dozvola omogućena u lokalnim smernicama za bezbednost klijentskog računara.

      • Windows 2000: Korisnici Windows 2000 domena neće moći da dodaju mrežne štampače iz usluge Active Directory; međutim, moći će da dodaju štampače kada ih izaberu iz prikaza u obliku stabla.

      • Windows 2000: Na računarima zasnovanim na operativnom sistemu Windows 2000 ACL Editor neće moći da dodaje korisnike ili globalne grupe iz pouzdanih Windows NT 4.0 domena.

      • ADMT verzija 2: Migracija lozinke za korisničke naloge koji se migriraju između šuma pomoću Active Directory alatke za migraciju (ADMT) verzije 2 neće uspeti.

        Za više informacija kliknite na sledeći broj članka da biste videli članak u Microsoft bazi znanja:

        322981 Rešavanje problema sa migacijom lozinki u šumi pomoću ADMTv2

      • Outlook klijenti: Globalni spisak adresa će izgledati prazno Microsoft Exchange Outlook klijentima.

      • SMS: Otkrivanje mreže Microsoft Systems Management Server (SMS) neće moći da dobije informacije o operativnom sistemu. Stoga će napisati "Nepoznato" u svojstvu "OperatingSystemNameandVersion" svojstva SMS DDR zapisa podataka o otkrivanju (DDR).

      • SMS: Kada koristite čarobnjak za korisnike SMS administratora za traženje korisnika i grupa, neće biti navedeni korisnici ili grupe. Pored toga, napredni klijenti ne mogu da komuniciraju sa tačkom za upravljanje. Anonimni pristup je potreban na mestu za upravljanje.

      • SMS: Kada koristite funkciju "Otkrivanje mreže" u operativnom sistemu SMS 2.0 i u daljinskoj instalaciji klijenta sa uključenom opcijom otkrivanja mreže topologije, klijenta i klijentskih operativnih sistema, računari mogu biti otkriveni, ali možda neće biti instalirani.

  10. Bezbednost mreže: Nivo potvrde identiteta lan menadžera

    1. Pozadini

      LAN Manager (LM) potvrda identiteta je protokol koji se koristi za potvrdu identiteta Windows klijenata za mrežne operacije, uključujući spajanja domena, pristup mrežnim resursima i potvrdu identiteta korisnika ili računara. Nivo LM potvrde identiteta određuje koji protokol potvrde identiteta izazova/odgovora se pregovara između klijenta i serverskih računara. Tačnije, nivo LM potvrde identiteta određuje koje će protokole za potvrdu identiteta klijent pokušati da dogovori ili koje će server prihvatiti. Vrednost postavljena za LmCompatibilityLevel određuje koji protokol potvrde identiteta izazova/odgovora se koristi za prijavljivanje na mrežu. Ova vrednost utiče na nivo protokola za potvrdu identiteta koji klijenti koriste, nivo obezbeđenja sesije i nivo potvrde identiteta koji serveri prihvataju.

      Moguće postavke uključuju sledeće.

      Vrednost

      Postavku

      Opis

      0

      Pošalji LM & NTLM odgovore

      Klijenti koriste LM i NTLM potvrdu identiteta i nikada ne koriste NTLMv2 bezbednost sesije. Kontrolori domena prihvataju LM, NTLM i NTLMv2 potvrdu identiteta.

      1

      Slanje LM & NTLM - koristite NTLMv2 bezbednost sesije ako je o pregovorima

      Klijenti koriste LM i NTLM potvrdu identiteta i koriste bezbednost NTLMv2 sesije ako to server podržava. Kontrolori domena prihvataju LM, NTLM i NTLMv2 potvrdu identiteta.

      2

      Pošalji samo NTLM odgovor

      Klijenti koriste samo NTLM potvrdu identiteta i koriste bezbednost NTLMv2 sesije ako je server podržava. Kontrolori domena prihvataju LM, NTLM i NTLMv2 potvrdu identiteta.

      3

      Pošalji samo NTLMv2 odgovor

      Klijenti koriste samo NTLMv2 potvrdu identiteta i koriste bezbednost NTLMv2 sesije ako je server podržava. Kontrolori domena prihvataju LM, NTLM i NTLMv2 potvrdu identiteta.

      4

      Pošalji samo NTLMv2 odgovor/odbij LM

      Klijenti koriste samo NTLMv2 potvrdu identiteta i koriste bezbednost NTLMv2 sesije ako je server podržava. Kontrolori domena odbijaju LM i prihvataju samo NTLM i NTLMv2 potvrdu identiteta.

      5

      Pošalji samo NTLMv2 odgovor/odbij LM & NTLM

      Klijenti koriste samo NTLMv2 potvrdu identiteta i koriste bezbednost NTLMv2 sesije ako je server podržava. Kontrolori domena odbijaju LM i NTLM i prihvataju samo NTLMv2 potvrdu identiteta.

      Napomena U operativnim sistemima Windows 95, Windows 98 i Windows 98 Second Edition, klijent usluga direktorijuma koristi SMB potpisivanje kada potvrde identitet sa Windows Server 2003 serverima pomoću NTLM potvrde identiteta. Međutim, ti klijenti ne koriste SMB potpisivanje kada potvrde identitet sa ovim serverima pomoću NTLMv2 potvrde identiteta. Pored toga, Windows 2000 serveri ne odgovaraju na zahteve za SMB potpisivanje od ovih klijenata.

      Proverite nivo LM potvrde identiteta: Morate da promenite smernice na serveru da biste dozvolili NTLM ili morate konfigurisati klijentski računar tako da podržava NTLMv2.

      Ako je smernica podešena na (5) Pošalji samo NTLMv2 odgovor\odbiJ LM & NTLM na ciljnom računaru sa kog želite da se povežete, morate spustiti postavku na tom računaru ili podesiti bezbednost na istu postavku koja se nalazi na izvornom računaru sa kog se povezujete.

      Pronađite ispravnu lokaciju na kojoj možete da promenite nivo potvrde identiteta LAN menadžera da biste postavili klijenta i server na isti nivo. Kada pronađete smernice koje postavljaju nivo potvrde identiteta LAN menadžera, ako želite da se povežete sa računarima koji rade pod starijim verzijama operativnog sistema Windows i sa drugih računara, spustite vrednost na najmanje (1) Pošalji LM & NTLM – koristite bezbednost sesije NTLM verzije 2 ako je o tome pregovarano. Jedan efekat nekopatibilnih postavki je da ako server zahteva NTLMv2 (vrednost 5), ali je klijent konfigurisan tako da koristi samo LM i NTLMv1 (vrednost 0), korisnik koji pokuša potvrdu identiteta doživi neuspešno prijavljivanje koje ima pogrešnu lozinku i povećava se neispravni broj lozinki. Ako je zaključavanje naloga konfigurisano, korisnik može na kraju biti zaključan.

      Na primer, možda ćete morati da pogledate kontroler domena ili ćete možda morati da ispitate smernice kontrolera domena.

      Pogledajte na kontroler domena

      Napomena Možda ćete morati da ponovite sledeću proceduru na svim upravljačima domena.

      1. Kliknite na dugme Start, postavite pokazivač na stavku Programi, a zatim izaberite stavku Administrativne alatke.

      2. U okviru Lokalne bezbednosne postavke razvijte stavku Lokalne smernice.

      3. Izaberite stavku Bezbednosne opcije.

      4. Kliknite dvaput na stavku Bezbednost mreže: nivo potvrde identiteta LAN menadžera, a zatim izaberite vrednost sa liste.


      Ako su važeća postavka i lokalna postavka iste, smernice su promenjene na ovom nivou. Ako se postavke razlikuju, morate da proverite smernice kontrolera domena da biste utvrdili da li je tamo definisana postavka Nivo potvrde identiteta LAN menadžera. Ako nije tamo definisan, ispitajte smernice kontrolera domena.

      Ispitajte smernice kontrolera domena

      1. Kliknite na dugme Start, postavite pokazivač na stavku Programi, a zatim izaberite stavku Administrativne alatke.

      2. U bezbednosnim smernicama kontrolera domena razvijte stavku Bezbednosne postavke, a zatim razvijte stavku Lokalne smernice.

      3. Izaberite stavku Bezbednosne opcije.

      4. Kliknite dvaput na stavku Bezbednost mreže: nivo potvrde identiteta LAN menadžera, a zatim izaberite vrednost sa liste.


      Beleške

      • Možda ćete morati da proverite i smernice koje su povezane na nivou lokacije, na nivou domena ili na nivou organizacione jedinice (OU) da biste odredili gde morate da konfigurišete nivo potvrde identiteta LAN menadžera.

      • Ako primenite postavku Smernice grupe kao podrazumevane smernice domena, smernice se primenjuju na sve računare u domenu.

      • Ako primenite postavku Smernice grupe kao smernice podrazumevanog kontrolera domena, smernice se primenjuju samo na servere u OU kontrolera domena.

      • Preporučuje se da podesite nivo potvrde identiteta LAN menadžera u najnižem entitetu neophodnog opsega u hijerarhiji aplikacija smernica.

      Windows Server 2003 ima novu podrazumevanu postavku samo za korišćenje funkcije NTLMv2. Windows Server 2003 i Windows 2000 Server SP3 kontrolori domena podrazumevano su omogućili smernice "Microsoft mrežni server: Digitalno potpisivanje komunikacija (uvek)". Ova postavka zahteva SMB server za izvršavanje potpisivanja SMB paketa. Promene u sistemu Windows Server 2003 izvršene su zato što kontrolere domena, servere datoteka, servere mrežne infrastrukture i veb servere u bilo kojoj organizaciji zahtevaju različite postavke da bi povećali njihovu bezbednost.

      Ako želite da primenite NTLMv2 potvrdu identiteta na mreži, morate da se uverite da su svi računari u domenu podešeni da koriste ovaj nivo potvrde identiteta. Ako primenite Active Directory proširenja klijenta za Windows 95 ili Windows 98 i Windows NT 4.0, proširenja klijenta koriste poboljšane funkcije potvrde identiteta koje su dostupne u programu NTLMv2. Zbog toga što na klijentske računare koji rade pod bilo kojim od sledećih operativnih sistema ne utiče Windows 2000 Smernice grupe objekti, možda ćete morati ručno da konfigurišete ove klijente:

      • Microsoft Windows NT 4.0

      • Microsoft Windows Millennium Edition

      • Microsoft Windows 98

      • Microsoft Windows 95

      Napomena Ako omogućite mrežnu bezbednost: Nemojte skladištiti HEŠ vrednost LAN menadžera u sledećim smernicama za promenu lozinke ili postavite ključ registratora NoLMHash , klijente zasnovane na operativnom sistemu Windows 95 i klijente zasnovane na operativnom sistemu Windows 98 koji nisu instalirani klijent usluga direktorijuma ne mogu da se prijavljeni na domen nakon promene lozinke.

      Mnogi CIFS serveri nezavisnih proizvođača, kao što je Novell Netware 6, ne poznaju NTLMv2 i koriste samo NTLM. Stoga nivoi veći od 2 ne dozvoljavaju povezivanje. Postoje i SMB klijenti nezavisnih proizvođača koji ne koriste proširenu bezbednost sesije. U tim slučajevima se ne uzima u obzir LmCompatiblityLevel servera resursa. Server zatim pakuje ovaj zastareli zahtev i šalje ga kontroloru korisničkog domena. Postavke na kontroleru domena zatim odlučuju koji hešovi se koriste za verifikaciju zahteva i da li oni ispunjavaju bezbednosne zahteve kontrolera domena.

       

      299656 Kako da sprečite Windows da skladišti heš LAN menadžera lozinke u aktivnom direktorijumu i lokalnim SAM bazama podataka
       

      2701704Događaj nadgledanja prikazuje paket potvrde identiteta kao NTLMv1 umesto NTLMv2 Za više informacija o nivoima LM potvrde identiteta kliknite na sledeći broj članka da biste videli članak u Microsoft bazi znanja:

      239869 Kako da omogućite NTLM 2 potvrdu identiteta
       

    2. Rizične konfiguracije

      Slede štetne postavke konfiguracije:

      • Neograničene postavke koje šalju lozinke u čistom tekstu i odbijaju NTLMv2 pregovore

      • Restriktivne postavke koje sprečavaju da kompatibilni klijenti ili kontrolori domena pregovaraju o uobičajenom protokolu za potvrdu identiteta

      • Potrebna je NTLMv2 potvrda identiteta na računarima članova i kontrolerima domena koji koriste verzije operativnog sistema Windows NT 4.0 koje su starije od servisnog paketa 4 (SP4)

      • Potrebna je NTLMv2 potvrda identiteta na Windows 95 klijentima ili na Windows 98 klijentima koji nisu instalirani klijent za Windows usluge direktorijuma.

      • Ako kliknete da biste potvrdili izbor u polju za potvrdu Zahtevaj bezbednost NTLMv2 sesije u proširenju konzole Microsoft Management Console Smernice grupe Editor na računaru koji radi pod operativnim sistemom Windows Server 2003 ili Windows 2000 servisni paket 3 i spustite nivo potvrde identiteta LAN menadžera na 0, te dve postavke nisu usaglašene i možete da dobijete sledeću poruku o grešci u Datoteci Secpol.msc ili U datoteci GPEdit.msc:

        Windows ne može da otvori lokalnu bazu podataka smernica. Došlo je do nepoznate greške pri pokušaju otvaranja baze podataka.

        Više informacija o alatki za konfiguraciju bezbednosti i analizu potražite u datotekama pomoći za Windows 2000 ili Windows Server 2003.

    3. Razlozi za izmenu ove postavke

      • Želite da povećate najniži uobičajeni protokol potvrde identiteta koji podržavaju klijenti i kontrolori domena u organizaciji.

      • Ako je bezbedna potvrda identiteta poslovni zahtev, želite da onemogućite pregovore o LM i NTLM protokolima.

    4. Razlozi za onemogućavanje ove postavke

      Zahtevi potvrde identiteta klijenta ili servera ili oba su povećana do tačke u kojoj nije moguće izvršiti potvrdu identiteta preko uobičajenog protokola.

    5. Simbolično ime:

      LmCompatibilityLevel

    6. Putanja registratora:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. Primeri problema sa kompatibilnošću

      • Windows Server 2003: Postavka Windows Server 2003 NTLMv2 Pošalji NTLM odgovore podrazumevano je omogućena. Stoga, Windows Server 2003 prima poruku o grešci "Pristup je odbijen" nakon početne instalacije kada pokušate da se povežete sa klasterom zasnovanim na Windows NT 4.0 ili sa lanManager V2.1 serverima, kao što je OS/2 Lanserver. Do ovog problema takođe dolazi ako pokušate da se povežete sa klijenta starije verzije sa serverom zasnovanim na operativnom sistemu Windows Server 2003.

      • Instalirate Windows 2000 paket bezbednosne zbirne ispravke 1 (SRP1). SRP1 primorava NTLM verziju 2 (NTLMv2). Ovaj zbirni paket je objavljen nakon izdanja windows 2000 servisnog paketa 2 (SP2).
         

      • Windows 7 i Windows Server 2008 R2: Mnogi CIFS serveri nezavisnih proizvođača, kao što su Novell Netware 6 ili Samba serveri zasnovani na Linux-u, nisu upoznati sa NTLMv2 i koriste samo NTLM. Stoga nivoi veći od "2" ne dozvoljavaju povezivanje. Sada je u ovoj verziji operativnog sistema podrazumevana vrednost za LmCompatibilityLevel promenjena u "3". Dakle, kada nadogradite Windows, ovi datoteke nezavisnih proizvođača mogu prestati da funkcionišu.

      • Microsoft Outlook klijenti će možda biti upitani za akreditive iako su već prijavljeni na domen. Kada korisnici daju svoje akreditive, dobijaju sledeću poruku o grešci: Windows 7 i Windows Server 2008 R2

        Navedeni akreditivi za prijavljivanje nisu ispravni. Uverite se da su korisničko ime i domen ispravni, a zatim ponovo otkucajte lozinku.

        Kada pokrenete Outlook, od vas će se možda tražiti da unesete akreditive čak i ako je postavka "Bezbednost mreže za prijavljivanje" postavljena na "Prolaz" ili "Potvrda lozinke". Kada otkucate ispravne akreditive, možete dobiti sledeću poruku o grešci:

        Navedeni akreditivi za prijavljivanje su netačni.

        Praćenje nadgledanja mreže može da pokazuje da je globalni katalog izdao grešku za poziv udaljene procedure (RPC) sa statusom 0x5. Status statusa 0x5 znači "Pristup je odbijen".

      • Windows 2000: Snimak nadgledanja mreže može da prikaže sledeće greške u sesiji blokiranja poruka netBIOS preko TCP/IP (NetBT) servera (SMB):

        SMB R Search Directory Dos greška, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Nevažeći identifikator korisnika

      • Windows 2000: Ako windows 2000 domen sa NTLMv2 nivoom 2 ili novijim verzijama veruje Windows NT NT 4.0 domen, računari članova operativnog sistema Windows 2000 u domenu resursa mogu naići na greške u potvrdi identiteta.

      • Windows 2000 i Windows XP: Windows 2000 i Windows XP podrazumevano postavljaju opciju lokalne smernice za nivo potvrde identiteta za LAN Manager na 0. Postavka od 0 znači "Pošalji LM i NTLM odgovore".

        Napomena Windows NT 4.0 klasteri moraju da koriste LM za administraciju.

      • Windows 2000: Windows 2000 grupisanje ne potvrdjuje identitet čvora pridruživanja ako su oba čvora deo Domena windows NT 4.0 servisnog paketa 6a (SP6a).

      • Alatka za zaključavanje IIS -a (HiSecWeb) postavlja vrednost LMCompatibilityLevel na 5, a Vrednost RestrictAnonymous na 2.

      • Usluge za Macintosh

        Modul potvrde identiteta korisnika (UAM): Microsoft UAM (modul za potvrdu identiteta korisnika) pruža metod šifrovanja lozinki koje koristite za prijavljivanje na Windows AFP (AppleTalk Filing Protocol) servere. Apple User Authentication Modul (UAM) obezbeđuje samo minimalno šifrovanje ili bez šifrovanja. Stoga lozinku možete lako da presretnete na LAN-u ili na internetu. Iako UAM nije obavezan, on pruža šifrovanu potvrdu identiteta Windows 2000 serverima koji pokreću Usluge za Macintosh. Ova verzija uključuje podršku za NTLMv2 128-bitnu šifrovanu potvrdu identiteta i izdanje kompatibilno sa operativnim sistemom MacOS X 10.1.

        Windows Server 2003 Services za Macintosh server podrazumevano dozvoljava samo Microsoft Potvrdu identiteta.
         

      • Windows Server 2008, Windows Server 2003, Windows XP i Windows 2000: Ako konfigurišete vrednost LMCompatibilityLevel tako da bude 0 ili 1, a zatim konfigurišete vrednost NoLMHash na 1, aplikacijama i komponentama možda neće biti dozvoljen pristup putem NTLM-a. Do ovog problema dolazi zato što je računar konfigurisan tako da omogući LM, ali ne i da koristi LM uskladištene lozinke.

        Ako konfigurišete vrednost NoLMHash tako da bude 1, morate da konfigurišete vrednost LMCompatibilityLevel tako da bude 2 ili više.

  11. Bezbednost mreže: Zahtevi za potpisivanje LDAP klijenta

    1. Pozadini

      Mrežna bezbednost: Postavka Zahtevi za potpisivanje LDAP klijenta određuje nivo potpisivanja podataka koji se zahteva u ime klijenata koji izdaju Lightweight Directory Access Protocol (LDAP) BIND zahteve na sledeći način:

      • Nijedno: Zahtev za LDAP BIND se izda sa opcijama koje je naveo pozivalac.

      • Potpisivanje pregovora: Ako Secure Sockets Layer/Transport Layer Security (SSL/TLS) nije pokrenut, LDAP ZAHTEV ZA POVEZIVANJE se pokreće sa opcijom za potpisivanje LDAP podataka koja je postavljena pored opcija koje navede pozivalac. Ako je SSL/TLS pokrenut, zahtev za LDAP BIND se pokreće sa opcijama koje je naveo pozivalac.

      • Zahtevajte potpisivanje: Ovo je isto kao potpisivanje pregovora. Međutim, ako posredni odgovor saslBindInProgress LDAP servera ne ukazuje na to da je neophodno LDAP saobraćajno potpisivanje, pozivaoca je saopšteno da zahtev za komandu LDAP BIND nije uspeo.

    2. Rizičnu konfiguraciju

      Omogućavanje mrežne bezbednosti: postavka zahteva za potpisivanje LDAP klijenta predstavlja štetnu postavku konfiguracije. Ako podesite server tako da zahteva LDAP potpise, morate konfigurisati i LDAP potpisivanje na klijentu. Ako ne konfigurišete klijent da koristi LDAP potpise, to će sprečiti komunikaciju sa serverom. To dovodi do neuspeha korisničke potvrde identiteta, Smernice grupe postavki, skripti za prijavljivanje i drugih funkcija.

    3. Razlozi za izmenu ove postavke

      Nepotpisani mrežni saobraćaj je osetljiv na srednje napade u kojima uljez hvata pakete između klijenta i servera, menja ih, a zatim ih prosleđuje na server. Kada se to desi na LDAP serveru, napadač može da izazove da server odgovori na osnovu netačnih upita LDAP klijenta. Taj rizik u korporativnoj mreži možete da smanjite primenom snažnih fizičkih bezbednosnih mera kako biste pomogli u zaštiti mrežne infrastrukture. Pored toga, možete da sprečite sve vrste napada muškaraca tako što ćete zahtevati digitalne potpise u svim mrežnim paketima putem IPSec zaglavlja za potvrdu identiteta.

    4. Simbolično ime:

      LDAPClientIntegrity

    5. Putanja registratora:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

  12. Evidencija događaja: maksimalna veličina bezbednosne evidencije

    1. Pozadini

      Evidencija događaja: Bezbednosna postavka maksimalne veličine bezbednosne evidencije navodi maksimalnu veličinu evidencije bezbednosnih događaja. Ova evidencija ima maksimalnu veličinu od 4 GB. Da biste pronašli ovu postavku, razvijte
      stavku Postavke operativnog sistema Windows, a zatim razvijte stavku Bezbednosne postavke.

    2. Rizične konfiguracije

      Slede štetne postavke konfiguracije:

      • Ograničavanje veličine bezbednosne evidencije i metoda zadržavanja evidencije bezbednosti kada je omogućena postavka Nadzor: Isključi sistem odmah ako nije moguće evidentiranje bezbednosnih nadzora biti omogućeno. Više detalja potražite u odeljku "Nadzor: isključivanje sistema odmah ako ne možete da evidentiramo bezbednosne nadzore" u ovom članku.

      • Ograničavanje veličine evidencije bezbednosti tako da se zamene bezbednosni događaji koji su od interesa.

    3. Razlozi za povećanje ove postavke

      Poslovni i bezbednosni zahtevi mogu da određiju da povećate veličinu evidencije bezbednosti da biste rukovali dodatnim detaljima evidencije bezbednosti ili da biste zadržali bezbednosne evidencije duže vreme.

    4. Razlozi za smanjenje ove postavke

      Prikazivač događaja evidencije su datoteke mapiranih memorije. Maksimalna veličina evidencije događaja ograničena je količinom fizičke memorije na lokalnom računaru i virtuelnom memorijom koja je dostupna u procesu evidencije događaja. Povećavanje veličine evidencije izvan količine virtuelne memorije koja je dostupna Prikazivač događaja ne povećava broj stavki evidencije koje se održavaju.

    5. Primeri problema sa kompatibilnošću

      Windows 2000: Računari koji rade pod verzijama operativnog sistema Windows 2000 koji su stariji od servisnog paketa 4 (SP4) mogu prestati da evidentiraju događaje u evidenciji događaja pre nego što dostignete veličinu navedenu u postavci Maksimalna veličina evidencije u programu Prikazivač događaja ako je uključena opcija Ne zamenjuj događaje (ručno obriši evidenciju).


       

  13. Evidencija događaja: Zadržavanje evidencije bezbednosti

    1. Pozadini

      Evidencija događaja: Zadržavanje bezbednosne postavke za evidenciju bezbednosti određuje metod "prelamanje" za evidenciju bezbednosti. Da biste pronašli ovu postavku, razvijte stavku Postavke operativnog sistema Windows, a zatim razvijte stavku Bezbednosne postavke.

    2. Rizične konfiguracije

      Slede štetne postavke konfiguracije:

      • Zadržavanje svih evidentiranih bezbednosnih događaja nije uspelo pre zamene

      • Konfigurisanje postavke maksimalne veličine bezbednosne evidencije premala je tako da se bezbednosni događaji zamene

      • Ograničavanje veličine bezbednosne evidencije i metoda zadržavanja tokom nadzora: sistem isključivanja odmah ako nije moguće evidentiranje bezbednosnih nadzora je omogućeno

    3. Razlozi za omogućavanje ove postavke

      Omogućite ovu postavku samo ako izaberete metod Zamena događaja putem dana zadržavanja. Ako koristite sistem korelacije događaja koji bira događaje za događaje, uverite se da je broj dana najmanje tri puta veći od učestalosti ankete. Uradite ovo da biste omogućili neuspele cikluse anketa.

  14. Pristup mreži: Dozvoli da se dozvole "Svi" primenjuju na anonimne korisnike

    1. Pozadini

      Postavka Pristup mreži: Postavka Dozvoli svima da se primenjuju na anonimne korisnike podrazumevano je postavljena na Opciju Nije definisano u sistemu Windows Server 2003. Windows Server 2003 podrazumevano ne uključuje token anonimnog pristupa u grupi Svi.

    2. Primer problema sa kompatibilnošću

      Sledeća vrednost

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous [REG_DWORD]=0x0 prekida kreiranje poverenja između sistema Windows Server 2003 i Windows NT 4.0, kada je domen Windows Server 2003 domen naloga, a Domen Windows NT 4.0 domen resursa. To znači da je domen naloga pouzdan u operativnom sistemu Windows NT 4.0, a domen resursa je Pouzdan na strani Windows Server 2003. Do ovog ponašanja dolazi zato što je proces pokretanja poverenja nakon početne anonimne veze ACL-a sa tokenim "Svi" koji uključuje Anonimni SID u operativnom sistemu Windows NT 4.0.

    3. Razlozi za izmenu ove postavke

      Vrednost mora da se podesi na vrednost 0x1 ili da se podesi pomoću GPO-a na OU kontrolera domena: Pristup mreži: Omogućite da se dozvole "Svi" primenjuju na anonimne korisnike – omogućeno da bi kreiranje poverenja bilo moguće.

      Napokon Većina drugih bezbednosnih postavki ide nagore umesto nadole 0x0 u najzaštićenijem stanju. Bezbednija praksa bi bila promena registratora na emulatoru primarnog kontrolera domena umesto na svim kontrolere domena. Ako se uloga emulatora primarnog kontrolera domena premesti iz bilo kog razloga, registrator mora da se ažurira na novom serveru.

      Potrebno je ponovno pokretanje nakon postavljanja ove vrednosti.

    4. Putanja registratora

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

  15. NTLMv2 potvrda identiteta

    1. Bezbednost sesije

      Bezbednost sesije određuje minimalne bezbednosne standarde za klijentske i serverske sesije. Preporučuje se da proverite sledeće postavke bezbednosnih smernica u proširenju konzole Microsoft Management Console Smernice grupe Editor:

      • Postavke računara\Windows postavke\Bezbednosne postavke\Lokalne smernice\Bezbednosne opcije

      • Bezbednost mreže: minimalna bezbednost sesije za NTLM SSP (uključujući bezbedne RPC) servere

      • Bezbednost mreže: Minimalna bezbednost sesije za klijente zasnovane na NTLM SSP-u (uključujući bezbedni RPC) klijente

      Opcije za ove postavke su sledeće:

      • Zahtevaj integritet poruke

      • Zahtevaj poverljivost poruka

      • Zahtevaj bezbednost sesije NTLM verzije 2

      • Zahtevaj 128-bitno šifrovanje

      Podrazumevana postavka pre operativnog sistema Windows 7 je Bez zahteva. Počevši od operativnog sistema Windows 7, podrazumevana postavka se menja u Zahtevaj 128-bitno šifrovanje radi poboljšane bezbednosti. Sa ovim podrazumevanim, zastareli uređaji koji ne podržavaju 128-bitno šifrovanje neće moći da se povežu.

      Ove smernice određuju minimalne bezbednosne standarde za sesiju komunikacije aplikacije i aplikacije na serveru za klijenta.

      Imajte na umu da se, iako su opisane kao važeće postavke, zastavice koje zahtevaju integritet poruke i poverljivost ne koriste kada se odredi bezbednost NTLM sesije.

      U prošlosti, Windows NT je podržavao sledeće dve varijante potvrde identiteta izazova/odgovora za mrežne logotipe:

      • LM izazov/odgovor

      • NTLM verzija 1 izazov/odgovor

      LM omogućava međuoperativnost sa instaliranom osnovom klijenata i servera. NTLM pruža poboljšanu bezbednost za veze između klijenata i servera.

      Odgovarajući ključevi registratora su sledeći:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

    2. Rizične konfiguracije

      Ova postavka kontroliše kako će se upravljati mrežnim sesijama obezbeđenim korišćenjem NTLM-a. Ovo utiče na sesije zasnovane na RPC-u koje su potvrđene pomoću NTLM-a, na primer. Postoje sledeći rizici:

      • Korišćenje starijih metoda potvrde identiteta od funkcije NTLMv2 olakšava napad komunikacije zbog jednostavnijih metoda heširanja koji se koriste.

      • Korišćenje ključeva za šifrovanje manjih od 128-bitnih omogućava napadacima da raskinu komunikaciju korišćenjem nasilnih napada.

Vremenska sinhronizacija

Sinhronizacija vremena nije uspela. Vreme je isključeno za više od 30 minuta na računaru na koji ovo utiče. Uverite se da je sat klijentskog računara sinhronizovan sa satom kontrolera domena.

Zaobilaženje problema za SMB potpisivanje

Preporučujemo da instalirate servisni paket 6a (SP6a) na Windows NT 4.0 klijentima koji se međusobno aktiviraju na domenu zasnovanom na sistemu Windows Server 2003. Klijenti zasnovani na operativnom sistemu Windows 98 Second Edition, klijenti zasnovani na operativnom sistemu Windows 98 i klijenti zasnovani na operativnom sistemu Windows 95 moraju da pokreću klijent usluga direktorijuma da bi izvršili NTLMv2. Ako klijenti zasnovani na operativnom sistemu Windows NT 4.0 nisu instalirani sa operativnim sistemom Windows NT 4.0 SP6 ili ako su klijenti zasnovani na operativnom sistemu Windows 95, Klijenti zasnovani na operativnom sistemu Windows 98 i klijenti zasnovani na operativnom sistemu Windows 98SE nisu instalirani na klijentu za usluge direktorijuma, onemogućite SMB prijavljivanje u regulatornu postavku podrazumevanog kontrolera domena na OU kontrolera domena, a zatim povežite ove smernice sa svim OU-ovima koji hostuju kontroler domena.

Klijent usluga direktorijuma za Windows 98 Second Edition, Windows 98 i Windows 95 izvršavaće SMB potpisivanje sa Windows 2003 serverima u okviru NTLM potvrde identiteta, ali ne i u okviru NTLMv2 potvrde identiteta. Pored toga, Windows 2000 serveri neće odgovoriti na zahteve za SMB potpisivanje od ovih klijenata.

Iako to ne preporučujemo, možete da sprečite da SMB potpisivanje bude neophodno na svim kontrolerima domena koji koriste Windows Server 2003 u domenu. Da biste konfigurisali ovu bezbednosnu postavku, pratite ove korake:

  1. Otvorite smernice za podrazumevani kontroler domena.

  2. Otvorite fasciklu Konfiguracija računara\Windows postavke\Bezbednosne postavke\Lokalne smernice\Opcije bezbednosti.

  3. Pronađite i izaberite Microsoft mrežni server: Digitalno potpiši komunikaciju (uvek), a zatim izaberite stavku Onemogućeno.

Važno Ovaj odeljak, metod ili zadatak sadrže korake koji vam pokazuju kako da izmenite registrator. Međutim, može doći do ozbiljnih problema ako neispravno izmenite registrator. Zato obavezno pažljivo pratite ove korake. Radi dodatne zaštite, napravite rezervnu kopiju registratora pre nego što ga izmenite. Zatim možete da vratite registrator u prethodno stanje ako dođe do problema. Za više informacija o tome kako da napravite rezervnu kopiju registratora i vratite ga u prethodno stanje, kliknite na sledeći broj članka da biste ga prikazali u Microsoft bazi znanja:

322756 Uputstvo za pravljenje rezervne kopije i vraćanje registratora u prethodno stanje u operativnom sistemu Windows Alternativno, isključite SMB prijavljivanje na serveru tako što ćete izmeniti registrator. Da biste to uradili, pratite ove korake:

  1. Kliknite na dugme Start, izaberite stavku Pokreni, otkucajte regedit, a zatim kliknite na dugme U redu.

  2. Pronađite i kliknite na sledeći potključ:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

  3. Kliknite na stavku enablesecuritysignature .

  4. U meniju Uređivanje izaberite stavku Izmeni.

  5. U polju Podaci o vrednosti otkucajte 0, a zatim kliknite na dugme U redu.

  6. Izađite iz uređivača registratora.

  7. Ponovo pokrenite računar ili zaustavite, a zatim ponovo pokrenite uslugu servera. Da biste to uradili, otkucajte sledeće komande na komandnoj liniji, a zatim pritisnite taster Enter kada otkucate svaku komandu:
    net stop server
    net Start server

Napomena Odgovarajući ključ na klijentskom računaru nalazi se u sledećem potključu registratora:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters Sledeće navodi prevedene brojeve kodova greške u statusne kodove i vertikalne poruke o grešci koje su pomenute ranije:

greška 5


ERROR_ACCESS_DENIED Pristup je odbijen.

greška 1326



ERROR_LOGON_FAILURE Neuspeh prijavljivanja: nepoznato korisničko ime ili pogrešna lozinka.

greška 1788



ERROR_TRUSTED_DOMAIN_FAILURE Odnos poverenja između primarnog domena i pouzdanog domena nije uspeo.

greška 1789



ERROR_TRUSTED_RELATIONSHIP_FAILURE Odnos poverenja između ove radne lokacije i primarnog domena nije uspeo.

Za više informacija kliknite na sledeće brojeve članaka da biste videli članke u Microsoft bazi znanja:

324802 Konfigurisanje smernica grupe za podešavanje bezbednosti za sistemske usluge u sistemu Windows Server 2003

816585 Kako da primenite unapred definisane predloške bezbednosti u sistemu Windows Server 2003

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS FEEDOVE

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Otkrivanje Zajednica

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Pogodnosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft bezbednost

Centar za pristupačnost

Zajednice vam pomažu da postavljate pitanja i odgovarate na pitanja, dajete povratne informacije i čujete mišljenje od stručnjaka sa bogatim znanjem.

Pitajte Microsoft zajednicu

Microsoft Tech zajednica

Windows insajderi

Microsoft 365 insajderi

Da li su vam ove informacije koristile?

Koliko ste zadovoljni kvalitetom jezika?
Šta je uticalo na vaše iskustvo?
Kada kliknete na dugme Prosledi“, vaše povratne informacije će se koristiti za poboljšanje Microsoft proizvoda i usluga. Vaš IT administrator će moći da prikupi ove podatke. Izjava o privatnosti.

Hvala vam na povratnim informacijama!

×