บทสรุป
การตั้งค่าความปลอดภัยและการมอบหมายสิทธิ์ของผู้ใช้สามารถเปลี่ยนแปลงได้ในนโยบายภายในเครื่องและนโยบายกลุ่มเพื่อช่วยเพิ่มความปลอดภัยให้กับตัวควบคุมโดเมนและคอมพิวเตอร์สมาชิก อย่างไรก็ตาม ข้อเสียของความปลอดภัยที่เพิ่มขึ้นคือการแนะนําความไม่เข้ากันกับไคลเอ็นต์ บริการ และโปรแกรมต่างๆ
บทความนี้อธิบายถึงความเข้ากันไม่ได้ที่อาจเกิดขึ้นกับคอมพิวเตอร์ไคลเอ็นต์ที่ใช้ Windows XP หรือ Windows รุ่นก่อนหน้า สําหรับข้อมูลเกี่ยวกับนโยบายกลุ่มสําหรับ Windows 7, Windows Server 2008 R2 และ Windows Server 2008 ให้ดูบทความต่อไปนี้-
สําหรับ Windows 7 ดูการจัดการนโยบายกลุ่มสําหรับผู้เชี่ยวชาญด้านไอที
-
สําหรับ Windows 7 และ Windows Server 2008 R2 ให้ดู มีอะไรใหม่ใน นโยบายกลุ่ม
หมายเหตุ: เนื้อหาที่เหลือในบทความนี้ใช้ได้เฉพาะกับ Windows XP, Windows Server 2003 และ Windows รุ่นก่อนหน้า
Windows XP
เมื่อต้องการเพิ่มการรับรู้การตั้งค่าความปลอดภัยที่กําหนดค่าผิด ให้ใช้เครื่องมือ นโยบายกลุ่ม Object Editor เพื่อเปลี่ยนการตั้งค่าความปลอดภัย เมื่อคุณใช้ นโยบายกลุ่ม Object Editor การกําหนดสิทธิ์ของผู้ใช้จะปรับปรุงบนระบบปฏิบัติการต่อไปนี้:
-
Windows XP Professional Service Pack 2 (SP2)
-
Windows Server 2003 Service Pack 1 (SP1)
ฟีเจอร์ที่ได้รับการปรับปรุงคือกล่องโต้ตอบที่มีลิงก์ไปยังบทความนี้ กล่องโต้ตอบจะปรากฏขึ้นเมื่อคุณเปลี่ยนแปลงการตั้งค่าความปลอดภัยหรือการกําหนดสิทธิ์ของผู้ใช้ให้กับการตั้งค่าที่ให้ความเข้ากันได้น้อยลงและเข้มงวดมากขึ้น หากคุณเปลี่ยนการตั้งค่าความปลอดภัยหรือการกําหนดสิทธิ์ของผู้ใช้โดยตรงโดยใช้รีจิสทรีหรือใช้เทมเพลตความปลอดภัย ผลที่ได้จะเหมือนกับการเปลี่ยนการตั้งค่าในตัวแก้ไขวัตถุนโยบายกลุ่ม อย่างไรก็ตาม กล่องโต้ตอบที่มีลิงก์ไปยังบทความนี้จะไม่ปรากฏ
บทความนี้มีตัวอย่างของไคลเอ็นต์ โปรแกรม และการดําเนินการที่ได้รับผลกระทบจากการตั้งค่าความปลอดภัยเฉพาะหรือการกําหนดสิทธิ์ของผู้ใช้ อย่างไรก็ตาม ตัวอย่างเหล่านี้ไม่ใช่การตรวจสอบสิทธิสําหรับระบบปฏิบัติการของ Microsoft ทั้งหมด สําหรับระบบปฏิบัติการของบริษัทอื่นทั้งหมด หรือสําหรับทุกรุ่นของโปรแกรมที่ได้รับผลกระทบ การตั้งค่าความปลอดภัยและการมอบหมายสิทธิ์ของผู้ใช้บางรายการเท่านั้นที่รวมอยู่ในบทความนี้ เราขอแนะนําให้คุณตรวจสอบความเข้ากันได้ของการเปลี่ยนแปลงการกําหนดค่าที่เกี่ยวข้องกับความปลอดภัยทั้งหมดในฟอเรสต์ทดสอบก่อนที่คุณจะแนะนําการเปลี่ยนแปลงเหล่านั้นในสภาพแวดล้อมการผลิต ป่าทดสอบต้องสะท้อนป่าการผลิตด้วยวิธีต่อไปนี้:-
เวอร์ชันระบบปฏิบัติการไคลเอ็นต์และเซิร์ฟเวอร์ โปรแกรมไคลเอ็นต์และเซิร์ฟเวอร์ เวอร์ชัน Service Pack การแก้ไขด่วน การเปลี่ยนแปลง Schema กลุ่มความปลอดภัย การเป็นสมาชิกกลุ่ม สิทธิ์บนวัตถุในระบบไฟล์ โฟลเดอร์ที่แชร์ รีจิสทรี บริการไดเรกทอรี Active Directory การตั้งค่าภายในเครื่องและนโยบายกลุ่ม และชนิดของจํานวนวัตถุและตําแหน่งที่ตั้ง
-
งานด้านการดูแลที่ดําเนินการ เครื่องมือดูแลระบบที่ใช้ และระบบปฏิบัติการที่ใช้ในการทํางานด้านการดูแลระบบ
-
การดําเนินการที่ดําเนินการดังต่อไปนี้:
-
การรับรองความถูกต้องการเข้าสู่ระบบของคอมพิวเตอร์และผู้ใช้
-
การตั้งค่ารหัสผ่านใหม่โดยผู้ใช้ คอมพิวเตอร์ และโดยผู้ดูแลระบบ
-
การเรียกดู
-
การตั้งค่าสิทธิ์สําหรับระบบไฟล์ สําหรับโฟลเดอร์ที่ใช้ร่วมกัน สําหรับรีจิสทรี และสําหรับทรัพยากร Active Directory โดยใช้ ACL Editor ในระบบปฏิบัติการไคลเอ็นต์ทั้งหมดในบัญชีผู้ใช้ทั้งหมดหรือโดเมนทรัพยากรจากระบบปฏิบัติการไคลเอ็นต์ทั้งหมดจากบัญชีผู้ใช้ทั้งหมดหรือโดเมนทรัพยากร
-
การพิมพ์จากบัญชีการดูแลระบบและบัญชีที่ไม่อยู่ติดกัน
-
Windows Server 2003 SP1
คําเตือนใน Gpedit.msc
เพื่อช่วยให้ลูกค้าทราบว่าพวกเขากําลังแก้ไขตัวเลือกสิทธิ์หรือการรักษาความปลอดภัยของผู้ใช้ที่อาจส่งผลเสียต่อเครือข่ายของพวกเขา กลไกคําเตือนสองอย่างถูกเพิ่มลงใน gpedit.msc เมื่อผู้ดูแลระบบแก้ไขสิทธิ์ของผู้ใช้ที่อาจส่งผลเสียต่อทั้งองค์กร พวกเขาจะเห็นไอคอนใหม่ที่คล้ายกับเครื่องหมายผลตอบแทน นอกจากนี้ พวกเขาจะได้รับข้อความเตือนที่มีลิงก์ไปยังบทความใน Microsoft Knowledge Base 823659 ข้อความของข้อความนี้จะเป็นดังต่อไปนี้:
การปรับเปลี่ยนการตั้งค่านี้อาจส่งผลต่อความเข้ากันได้กับไคลเอ็นต์ บริการ และแอปพลิเคชัน สําหรับข้อมูลเพิ่มเติม ให้ดู<สิทธิ์ของผู้ใช้หรือตัวเลือกการรักษาความปลอดภัยที่มีการปรับเปลี่ยน> (Q823659) ถ้าคุณถูกนําทางไปยังบทความฐานความรู้นี้จากลิงก์ใน Gpedit.msc ตรวจสอบให้แน่ใจว่าคุณได้อ่านและทําความเข้าใจคําอธิบายที่ให้ไว้และผลกระทบที่เป็นไปได้ของการเปลี่ยนแปลงการตั้งค่านี้ รายการต่อไปนี้แสดงสิทธิ์ของผู้ใช้ที่มีข้อความเตือน:
-
เข้าถึงคอมพิวเตอร์เครื่องนี้จากเครือข่าย
-
เข้าสู่ระบบภายในเครื่อง
-
ข้ามการตรวจสอบข้าม
-
เปิดใช้งานคอมพิวเตอร์และผู้ใช้สําหรับการมอบหมายที่เชื่อถือได้
รายการต่อไปนี้แสดงตัวเลือกความปลอดภัยที่มีคําเตือนและข้อความป็อปอัพ:
-
สมาชิกโดเมน: เข้ารหัสลับแบบดิจิทัลหรือลงชื่อในข้อมูลแชนเนลที่ปลอดภัย (เสมอ)
-
สมาชิกโดเมน: ต้องใช้คีย์เซสชันที่เข้มแข็ง (Windows 2000 หรือเวอร์ชันที่ใหม่กว่า)
-
ตัวควบคุมโดเมน: ข้อกําหนดในการเซ็นชื่อเซิร์ฟเวอร์ LDAP
-
เซิร์ฟเวอร์เครือข่ายของ Microsoft: เซ็นชื่อแบบดิจิทัลในการสื่อสาร (เสมอ)
-
การเข้าถึงเครือข่าย: อนุญาตการแปล Sid / ชื่อแบบไม่ระบุชื่อ
-
การเข้าถึงเครือข่าย: ไม่อนุญาตให้แจงนับ SAM แบบไม่ระบุชื่อของบัญชีและการใช้ร่วมกัน
-
ความปลอดภัยของเครือข่าย: ระดับการรับรองความถูกต้องของ LAN Manager
-
ตรวจสอบ: ปิดระบบทันทีหากไม่สามารถบันทึกการตรวจสอบความปลอดภัยได้
-
การเข้าถึงเครือข่าย: ข้อกําหนดการเซ็นชื่อไคลเอ็นต์ LDAP
ข้อมูลเพิ่มเติม
ส่วนต่อไปนี้อธิบายถึงความเข้ากันไม่ได้ที่อาจเกิดขึ้นเมื่อคุณเปลี่ยนการตั้งค่าเฉพาะในโดเมน Windows NT 4.0, โดเมน Windows 2000 และโดเมน Windows Server 2003
สิทธิ์ของผู้ใช้
รายการต่อไปนี้อธิบายถึงสิทธิ์ของผู้ใช้ ระบุการตั้งค่าการกําหนดค่าที่อาจทําให้เกิดปัญหา อธิบายเหตุผลที่คุณควรใช้สิทธิ์ของผู้ใช้ และสาเหตุที่คุณอาจต้องการเอาสิทธิ์ของผู้ใช้ออก และแสดงตัวอย่างของปัญหาความเข้ากันได้ที่อาจเกิดขึ้นเมื่อผู้ใช้กําหนดค่าสิทธิ์
-
เข้าถึงคอมพิวเตอร์เครื่องนี้จากเครือข่าย
-
พื้น หลัง
ความสามารถในการโต้ตอบกับคอมพิวเตอร์ระยะไกลที่ใช้ Windows จําเป็นต้องมีสิทธิ์เข้าถึงคอมพิวเตอร์เครื่องนี้จากผู้ใช้เครือข่าย ตัวอย่างของการดําเนินการเครือข่ายดังกล่าวมีดังต่อไปนี้:-
การจําลองแบบของ Active Directory ระหว่างตัวควบคุมโดเมนในโดเมนหรือฟอเรสต์ทั่วไป
-
การร้องขอการรับรองความถูกต้องไปยังตัวควบคุมโดเมนจากผู้ใช้และจากคอมพิวเตอร์
-
การเข้าถึงโฟลเดอร์ เครื่องพิมพ์ และบริการระบบอื่นๆ ที่ใช้ร่วมกันที่อยู่บนคอมพิวเตอร์ระยะไกลบนเครือข่าย
-
-
การกําหนดค่าที่มี
ความเสี่ยง ต่อไปนี้เป็นการตั้งค่าการกําหนดค่าที่เป็นอันตราย:-
การเอากลุ่มความปลอดภัยตัวควบคุมโดเมนขององค์กรออกจากสิทธิ์ของผู้ใช้รายนี้
-
การเอากลุ่มผู้ใช้ที่ได้รับการรับรองความถูกต้องหรือกลุ่มที่ไม่เหมาะสมที่อนุญาตให้ผู้ใช้ คอมพิวเตอร์ และบัญชีผู้ใช้บริการสิทธิ์ของผู้ใช้ในการเชื่อมต่อกับคอมพิวเตอร์ผ่านเครือข่ายได้
-
การเอาผู้ใช้และคอมพิวเตอร์ทั้งหมดออกจากสิทธิ์ของผู้ใช้รายนี้
-
-
เหตุผลที่ให้สิทธิ์แก่ผู้ใช้นี้
-
การให้สิทธิ์เข้าถึงคอมพิวเตอร์เครื่องนี้จากสิทธิ์ของผู้ใช้เครือข่ายแก่กลุ่มตัวควบคุมโดเมนขององค์กรเป็นไปตามข้อกําหนดการรับรองความถูกต้องที่การจําลองแบบ Active Directory ต้องมีสําหรับการจําลองแบบระหว่างตัวควบคุมโดเมนในฟอเรสต์เดียวกัน
-
สิทธิ์ของผู้ใช้นี้ช่วยให้ผู้ใช้และคอมพิวเตอร์สามารถเข้าถึงแฟ้ม เครื่องพิมพ์ และบริการของระบบที่ใช้ร่วมกัน รวมทั้ง Active Directory ได้
-
สิทธิ์ของผู้ใช้นี้จําเป็นสําหรับผู้ใช้ในการเข้าถึงจดหมายโดยใช้ Microsoft Outlook Web Access (OWA) เวอร์ชันก่อน
-
-
เหตุผลในการเอาผู้ใช้นี้ออกถูก
-
ผู้ใช้ที่สามารถเชื่อมต่อคอมพิวเตอร์ของตนกับเครือข่ายสามารถเข้าถึงทรัพยากรบนคอมพิวเตอร์ระยะไกลที่พวกเขามีสิทธิ์ ตัวอย่างเช่น สิทธิ์ของผู้ใช้นี้จําเป็นสําหรับผู้ใช้ในการเชื่อมต่อไปยังเครื่องพิมพ์ที่ใช้ร่วมกันและโฟลเดอร์ ถ้าสิทธิ์ของผู้ใช้นี้ถูกมอบให้กับกลุ่ม ทุกคน และถ้าโฟลเดอร์ที่ใช้ร่วมกันบางโฟลเดอร์มีสิทธิ์ของระบบไฟล์ร่วมกันและระบบไฟล์ NTFS ที่กําหนดค่าไว้เพื่อให้กลุ่มเดียวกันมีสิทธิ์ในการอ่าน ได้ ทุกคนจะสามารถดูไฟล์ในโฟลเดอร์ที่แชร์เหล่านั้นได้ อย่างไรก็ตาม สถานการณ์นี้ไม่น่าจะเกิดขึ้นสําหรับการติดตั้ง Windows Server 2003 ใหม่ เนื่องจากการใช้ร่วมกันเริ่มต้นและสิทธิ์ NTFS ใน Windows Server 2003 ไม่มีกลุ่ม ทุกคน สําหรับระบบที่อัปเกรดจาก Microsoft Windows NT 4.0 หรือ Windows 2000 ช่องโหว่นี้อาจมีความเสี่ยงสูงกว่าเนื่องจากการใช้ร่วมกันเริ่มต้นและสิทธิ์ของระบบไฟล์สําหรับระบบปฏิบัติการเหล่านี้ไม่จํากัดเนื่องจากสิทธิ์เริ่มต้นใน Windows Server 2003
-
ไม่มีเหตุผลที่ถูกต้องสําหรับการเอากลุ่มตัวควบคุมโดเมนขององค์กรออกจากสิทธิ์ของผู้ใช้นี้
-
โดยทั่วไปแล้ว กลุ่ม ทุกคน จะถูกเอาออกจากกลุ่ม ผู้ใช้ที่ได้รับการรับรองความถูกต้อง ถ้ากลุ่ม ทุกคน ถูกเอาออก กลุ่ม ผู้ใช้ที่ได้รับการรับรองความถูกต้อง จะต้องได้รับสิทธิ์ของผู้ใช้นี้
-
โดเมน Windows NT 4.0 ที่อัปเกรดเป็น Windows 2000 ไม่ได้ให้สิทธิ์เข้าถึงคอมพิวเตอร์เครื่องนี้จากผู้ใช้เครือข่ายแก่กลุ่มทุกคน กลุ่มผู้ใช้ที่ได้รับการรับรองความถูกต้อง หรือกลุ่มตัวควบคุมโดเมนขององค์กร ดังนั้น เมื่อคุณเอากลุ่มทุกคนออกจากนโยบายโดเมน Windows NT 4.0 การจําลองแบบ Active Directory จะล้มเหลวด้วยข้อความแสดงข้อผิดพลาด "ปฏิเสธการเข้าถึง" หลังจากที่คุณอัปเกรดเป็น Windows 2000 Winnt32.exeใน Windows Server 2003 หลีกเลี่ยงการกําหนดค่าที่ไม่ถูกต้องนี้โดยการให้ตัวควบคุมโดเมนขององค์กรจัดกลุ่มผู้ใช้นี้ทันทีเมื่อคุณอัปเกรดตัวควบคุมโดเมนหลัก (พีซี) ของ Windows NT 4.0 ให้สิทธิ์กลุ่มตัวควบคุมโดเมนขององค์กรแก่ผู้ใช้นี้ทันทีถ้าไม่มีในตัวแก้ไขวัตถุนโยบายกลุ่ม
-
-
ตัวอย่างของปัญหาความเข้ากันได้
-
Windows 2000 และ Windows Server 2003: การจําลองแบบของพาร์ติชันต่อไปนี้จะล้มเหลวโดยมีข้อผิดพลาด "การเข้าถึงถูกปฏิเสธ" ตามที่รายงานโดยเครื่องมือตรวจสอบ เช่น REPLMON และ REPADMIN หรือเหตุการณ์การจําลองแบบในบันทึกเหตุการณ์
-
พาร์ติชันของ Schema ของ Active Directory
-
พาร์ติชันการตั้งค่าคอนฟิก
-
พาร์ติชันโดเมน
-
พาร์ติชันแค็ตตาล็อกส่วนกลาง
-
พาร์ติชันแอปพลิเคชัน
-
-
ระบบปฏิบัติการเครือข่าย Microsoft ทั้งหมด: การรับรองความถูกต้องบัญชีผู้ใช้จากคอมพิวเตอร์ไคลเอ็นต์เครือข่ายระยะไกลจะล้มเหลว เว้นแต่ว่าผู้ใช้หรือกลุ่มความปลอดภัยที่ผู้ใช้เป็นสมาชิกได้รับสิทธิ์ของผู้ใช้นี้
-
ระบบปฏิบัติการเครือข่ายของ Microsoft ทั้งหมด: การรับรองความถูกต้องของบัญชีจากไคลเอ็นต์เครือข่ายระยะไกลจะล้มเหลว เว้นแต่ว่าบัญชีหรือกลุ่มความปลอดภัย บัญชีเป็นสมาชิกที่ได้รับสิทธิ์ของผู้ใช้นี้ สถานการณ์สมมตินี้ใช้กับบัญชีผู้ใช้ บัญชีผู้ใช้คอมพิวเตอร์ และบัญชีผู้ใช้บริการ
-
ระบบปฏิบัติการเครือข่ายของ Microsoft ทั้งหมด: การลบบัญชีทั้งหมดออกจากสิทธิ์ของผู้ใช้นี้จะป้องกันไม่ให้บัญชีใดๆ เข้าสู่ระบบโดเมนหรือเข้าถึงทรัพยากรเครือข่าย ถ้ากลุ่มที่คํานวณ เช่น ตัวควบคุมโดเมนองค์กร ทุกคน หรือผู้ใช้ที่ได้รับการรับรองความถูกต้องถูกเอาออก คุณต้องให้สิทธิ์ผู้ใช้นี้อย่างชัดเจนกับบัญชีหรือกลุ่มความปลอดภัยที่บัญชีเป็นสมาชิกของ เพื่อเข้าถึงคอมพิวเตอร์ระยะไกลผ่านเครือข่าย สถานการณ์สมมตินี้ใช้กับบัญชีผู้ใช้ทั้งหมด กับบัญชีผู้ใช้คอมพิวเตอร์ทั้งหมด และกับบัญชีผู้ใช้บริการทั้งหมด
-
ระบบปฏิบัติการเครือข่ายของ Microsoft ทั้งหมด: บัญชีผู้ดูแลระบบภายในจะใช้รหัสผ่าน "ว่างเปล่า" การเชื่อมต่อเครือข่ายด้วยรหัสผ่านที่ว่างเปล่าไม่ได้รับอนุญาตสําหรับบัญชีผู้ดูแลระบบในสภาพแวดล้อมโดเมน ด้วยการกําหนดค่านี้ คุณจะได้รับข้อความแสดงข้อผิดพลาด "การเข้าถึงถูกปฏิเสธ"
-
-
-
อนุญาตให้ล็อกออนภายในเครื่องได้
-
พื้น หลัง
ผู้ใช้ที่พยายามเข้าสู่ระบบที่คอนโซลของคอมพิวเตอร์ที่ใช้ Windows (โดยใช้แป้นพิมพ์ลัด CTRL+ALT+DELETE) และบัญชีที่พยายามเริ่มบริการต้องมีสิทธิ์การใช้งานการเข้าสู่ระบบภายในเครื่องบนคอมพิวเตอร์ที่โฮสต์ ตัวอย่างของการดําเนินการเข้าสู่ระบบภายในรวมถึงผู้ดูแลระบบที่เข้าสู่ระบบคอนโซลของคอมพิวเตอร์ที่เป็นสมาชิก หรือตัวควบคุมโดเมนทั่วทั้งองค์กรและโดเมนผู้ใช้ที่เข้าสู่ระบบคอมพิวเตอร์สมาชิกเพื่อเข้าถึงเดสก์ท็อปของตนโดยใช้บัญชีที่ไม่มีสิทธิ์การใช้งาน ผู้ใช้ที่ใช้การเชื่อมต่อเดสก์ท็อประยะไกลหรือบริการเทอร์มินัลต้องมีสิทธิอนุญาตให้ผู้ใช้เข้าสู่ระบบในเครื่องคอมพิวเตอร์ปลายทางที่ใช้ Windows 2000 หรือ Windows XP ได้ เนื่องจากโหมดการเข้าสู่ระบบเหล่านี้จะถือว่าอยู่ในคอมพิวเตอร์ที่โฮสต์ ผู้ใช้ที่เข้าสู่ระบบเซิร์ฟเวอร์ที่มีการเปิดใช้งานเทอร์มินัลเซิร์ฟเวอร์ และที่ไม่มีสิทธิ์ของผู้ใช้นี้ยังสามารถเริ่มเซสชันแบบโต้ตอบระยะไกลในโดเมน Windows Server 2003 ถ้าพวกเขามีสิทธิ์การเข้าสู่ระบบผ่านบริการเทอร์มินัล -
การกําหนดค่าที่มี
ความเสี่ยง ต่อไปนี้เป็นการตั้งค่าการกําหนดค่าที่เป็นอันตราย:-
การเอากลุ่มความปลอดภัยการดูแลระบบออก รวมถึงตัวดําเนินการบัญชีผู้ใช้ ตัวดําเนินการสํารองข้อมูล ตัวดําเนินการพิมพ์ หรือตัวดําเนินการเซิร์ฟเวอร์ และกลุ่มผู้ดูแลระบบที่มีอยู่แล้วภายในจากนโยบายของตัวควบคุมโดเมนเริ่มต้น
-
การเอาบัญชีผู้ใช้บริการที่ใช้งานโดยคอมโพเนนต์และโดยโปรแกรมบนคอมพิวเตอร์ที่เป็นสมาชิกและบนตัวควบคุมโดเมนในโดเมนออกจากนโยบายของตัวควบคุมโดเมนเริ่มต้น
-
การเอาผู้ใช้หรือกลุ่มความปลอดภัยที่เข้าสู่ระบบคอนโซลของคอมพิวเตอร์สมาชิกในโดเมนออก
-
การเอาบัญชีผู้ใช้บริการที่กําหนดไว้ในฐานข้อมูลตัวจัดการบัญชีผู้ใช้ความปลอดภัย (SAM) ของคอมพิวเตอร์สมาชิกหรือคอมพิวเตอร์เวิร์กกรุ๊ปออก
-
การเอาบัญชีผู้ใช้ของผู้ดูแลที่ไม่ใช่ที่มีอยู่แล้วภายในที่กําลังรับรองความถูกต้องผ่าน Terminal Services ที่กําลังทํางานอยู่บนตัวควบคุมโดเมนออก
-
การเพิ่มบัญชีผู้ใช้ทั้งหมดในโดเมนอย่างชัดเจนหรือโดยนัยผ่านกลุ่มทุกคนไปยังสิทธิ์การเข้าสู่ระบบแบบปฏิเสธภายในเครื่อง การกําหนดค่านี้จะป้องกันไม่ให้ผู้ใช้ล็อกออนเข้าใช้คอมพิวเตอร์สมาชิกหรือโดเมนคอนโทรลเลอร์ใดๆ ในโดเมน
-
-
เหตุผลที่ให้สิทธิ์แก่ผู้ใช้นี้
-
ผู้ใช้ต้องมีสิทธิ์อนุญาตให้ผู้ใช้เข้าสู่ระบบภายในเครื่องเพื่อเข้าถึงคอนโซลหรือเดสก์ท็อปของคอมพิวเตอร์ในเวิร์กกรุ๊ป คอมพิวเตอร์สมาชิก หรือตัวควบคุมโดเมน
-
ผู้ใช้ต้องมีสิทธิ์ในการเข้าสู่ระบบผ่านเซสชันบริการเทอร์มินัลที่กําลังทํางานบนคอมพิวเตอร์สมาชิกหรือตัวควบคุมโดเมนที่ใช้ Windows 2000 ผู้ใช้นี้มีสิทธิ์ในการเข้าสู่ระบบเซสชันบริการเทอร์มินัล
-
-
เหตุผลในการเอาผู้ใช้นี้ออกถูก
-
การไม่สามารถจํากัดการเข้าถึงคอนโซลไปยังบัญชีผู้ใช้ที่ถูกต้องอาจส่งผลให้ผู้ใช้ที่ไม่ได้รับอนุญาตดาวน์โหลดและดําเนินการรหัสที่เป็นอันตรายเพื่อเปลี่ยนสิทธิ์ของผู้ใช้
-
การเอาสิทธิ อนุญาตการเข้าสู่ระบบภายในของผู้ใช้ออก จะป้องกันไม่ให้มีการเข้าสู่ระบบที่ไม่ได้รับอนุญาตบนคอนโซลของคอมพิวเตอร์ เช่น ตัวควบคุมโดเมนหรือเซิร์ฟเวอร์โปรแกรมประยุกต์
-
การเอาสิทธิ์ในการเข้าสู่ระบบออกจะป้องกันไม่ให้บัญชีผู้ใช้ที่ไม่ใช่โดเมนเข้าสู่ระบบที่คอนโซลของคอมพิวเตอร์ที่เป็นสมาชิกในโดเมน
-
-
ตัวอย่างของปัญหาความเข้ากันได้
-
เทอร์มินัลเซิร์ฟเวอร์ Windows 2000: จําเป็นต้องใช้สิทธิ์อนุญาตให้เข้าสู่ระบบของผู้ใช้ภายในสําหรับผู้ใช้ในการเข้าสู่ระบบเทอร์มินัลเซิร์ฟเวอร์ Windows 2000
-
Windows NT 4.0, Windows 2000, Windows XP หรือ Windows Server 2003: บัญชีผู้ใช้ต้องได้รับสิทธิ์ของผู้ใช้นี้เพื่อเข้าสู่ระบบที่คอนโซลของคอมพิวเตอร์ที่ใช้ Windows NT 4.0, Windows 2000, Windows XP หรือ Windows Server 2003
-
Windows NT 4.0 และเวอร์ชันที่ใหม่กว่า: บนคอมพิวเตอร์ที่ใช้ Windows NT 4.0 และเวอร์ชันที่ใหม่กว่า หากคุณเพิ่มสิทธิ์อนุญาตการเข้าสู่ระบบภายในเครื่องของผู้ใช้ แต่คุณให้สิทธิ์ในการเข้าสู่ระบบภายในเครื่องแบบปฏิเสธหรือโดยชัดแจ้ง บัญชีจะไม่สามารถเข้าสู่ระบบคอนโซลของตัวควบคุมโดเมนได้
-
-
-
ข้ามการตรวจสอบข้าม
-
พื้น หลัง
สิทธิ์ในการตรวจสอบข้ามผู้ใช้ช่วยให้ผู้ใช้สามารถเรียกดูโฟลเดอร์ในระบบไฟล์ NTFS หรือในรีจิสทรีโดยไม่ต้องตรวจหาสิทธิ์การเข้าถึงพิเศษโฟลเดอร์ข้าม การเลี่ยงผ่านการตรวจสอบสิทธิ์ของผู้ใช้ไม่อนุญาตให้ผู้ใช้แสดงรายการเนื้อหาของโฟลเดอร์ ซึ่งช่วยให้ผู้ใช้สามารถข้ามไปเฉพาะโฟลเดอร์ได้ -
การกําหนดค่าที่มี
ความเสี่ยง ต่อไปนี้เป็นการตั้งค่าการกําหนดค่าที่เป็นอันตราย:-
การเอาบัญชีผู้ใช้ที่ไม่ใช่ของผู้ดูแลที่เข้าสู่ระบบของคอมพิวเตอร์ที่ใช้ Windows 2000 Terminal Services หรือคอมพิวเตอร์ที่ใช้ Windows Server 2003 Terminal Services ที่ไม่มีสิทธิ์เข้าถึงแฟ้มและโฟลเดอร์ในระบบแฟ้ม
-
การเอากลุ่ม ทุกคน ออกจากรายการหลักความปลอดภัยที่มีผู้ใช้นี้ตามค่าเริ่มต้น ระบบปฏิบัติการ Windows และโปรแกรมจํานวนมากได้รับการออกแบบด้วยความคาดหวังว่าใครก็ตามที่สามารถเข้าถึงคอมพิวเตอร์ได้อย่างถูกต้องตามกฎหมายจะมีสิทธิ์ในการตรวจสอบข้ามผ่านของผู้ใช้ ดังนั้น การลบกลุ่ม ทุกคน ออกจากรายการหลักเกณฑ์การรักษาความปลอดภัยที่มีสิทธิของผู้ใช้นี้ตามค่าเริ่มต้นอาจนําไปสู่ความไม่มีเสถียรภาพของระบบปฏิบัติการหรือความล้มเหลวของโปรแกรม คุณควรปล่อยให้การตั้งค่านี้เป็นค่าเริ่มต้น
-
-
เหตุผลที่ให้สิทธิ์
แก่ผู้ใช้นี้ การตั้งค่าเริ่มต้นสําหรับข้ามการตรวจสอบสิทธิ์ของผู้ใช้ข้ามคือการอนุญาตให้ทุกคนข้ามการตรวจสอบข้าม สําหรับผู้ดูแลระบบ Windows ที่มีประสบการณ์ นี่คือลักษณะการทํางานที่คาดไว้ และจะกําหนดค่ารายการควบคุมการเข้าถึงระบบไฟล์ (SACLs) ให้สอดคล้องกัน สถานการณ์เดียวที่การกําหนดค่าเริ่มต้นอาจนําไปสู่ mishap คือถ้าผู้ดูแลระบบที่กําหนดค่าสิทธิ์ไม่เข้าใจลักษณะการทํางานและคาดหวังว่าผู้ใช้ที่ไม่สามารถเข้าถึงโฟลเดอร์แม่จะไม่สามารถเข้าถึงเนื้อหาของโฟลเดอร์ลูกได้ -
เหตุผลในการเอาผู้ใช้นี้ออกถูก
เมื่อต้องการพยายามป้องกันการเข้าถึงไฟล์หรือโฟลเดอร์ในระบบไฟล์ องค์กรที่กังวลเกี่ยวกับความปลอดภัยอาจถูกล่อลวงให้เอากลุ่ม ทุกคน หรือแม้แต่กลุ่ม ผู้ใช้ ออกจากรายการกลุ่มที่มีข้ามการตรวจสอบสิทธิ์ของผู้ใช้ -
ตัวอย่างของปัญหาความเข้ากันได้
-
Windows 2000, Windows Server 2003: ถ้าสิทธิ์การตรวจสอบผู้ใช้ข้ามผ่านถูกเอาออก หรือถูกกําหนดค่าอย่างไม่ถูกต้องบนคอมพิวเตอร์ที่ใช้ Windows 2000 หรือ Windows Server 2003 การตั้งค่านโยบายกลุ่มในโฟลเดอร์ SYVOL จะไม่จําลองแบบระหว่างตัวควบคุมโดเมนในโดเมน
-
Windows 2000 Windows XP Professional, Windows Server 2003: คอมพิวเตอร์ที่ใช้ Windows 2000, Windows XP Professional หรือ Windows Server 2003 จะบันทึกเหตุการณ์ 1000 และ 1202 และจะไม่สามารถใช้นโยบายคอมพิวเตอร์และนโยบายผู้ใช้ได้เมื่อสิทธิ์ของระบบไฟล์ที่จําเป็นถูกลบออกจากแผนภูมิ SYSVOL ถ้าการข้ามการตรวจสอบสิทธิ์ของผู้ใช้ถูกเอาออกหรือถูกกําหนดค่าอย่างไม่ถูกต้อง
-
Windows 2000, Windows Server 2003: บนคอมพิวเตอร์ที่ใช้ Windows 2000 หรือ Windows Server 2003 แท็บ โควตา ใน Windows Explorer จะหายไปเมื่อคุณดูคุณสมบัติบนไดรฟ์ข้อมูล
-
Windows 2000: ผู้ที่ไม่ใช่ผู้ดูแลระบบที่เข้าสู่ระบบเทอร์มินัลเซิร์ฟเวอร์ Windows 2000 อาจได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้:
Userinit.exeแอปพลิเคชันผิดพลาด แอปพลิเคชันไม่สามารถเตรียมใช้งานอย่างถูกต้อง0xc0000142คลิก ตกลง เพื่อสิ้นสุดแอป
-
Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: ผู้ใช้ที่มีคอมพิวเตอร์ที่ใช้ Windows NT 4.0, Windows 2000, Windows XP หรือ Windows Server 2003 อาจไม่สามารถเข้าถึงโฟลเดอร์หรือไฟล์ที่ใช้ร่วมกันในโฟลเดอร์ที่ใช้ร่วมกัน และพวกเขาอาจได้รับข้อความแสดงข้อผิดพลาด "ปฏิเสธการเข้าถึง" ถ้าพวกเขาไม่ได้รับอนุญาตให้ข้ามการตรวจสอบสิทธิ์ของผู้ใช้
-
Windows NT 4.0: บนคอมพิวเตอร์ที่ใช้ Windows NT 4.0 การเอาการข้ามการตรวจสอบสิทธิ์ของผู้ใช้ออกจะทําให้สําเนาไฟล์ทิ้งสตรีมไฟล์ หากคุณนําผู้ใช้รายนี้ออกทันที เมื่อไฟล์ถูกคัดลอกจากไคลเอ็นต์ Windows หรือจากไคลเอ็นต์ Macintosh ไปยังตัวควบคุมโดเมน Windows NT 4.0 ที่ใช้งานบริการสําหรับ Macintosh สตรีมไฟล์ปลายทางจะสูญหายและไฟล์จะปรากฏเป็นไฟล์ข้อความเท่านั้น
-
Microsoft Windows 95, Microsoft Windows 98: บนคอมพิวเตอร์ไคลเอ็นต์ที่ใช้ Windows 95 หรือ Windows 98 คําสั่ง net use * /home จะล้มเหลวโดยมีข้อความแสดงข้อผิดพลาด "การเข้าถึงถูกปฏิเสธ" ถ้ากลุ่มผู้ใช้ที่ได้รับการรับรองความถูกต้องไม่ได้รับอนุญาตให้ข้ามการตรวจสอบสิทธิ์ของผู้ใช้
-
Outlook Web Access: ผู้ที่ไม่ใช่ผู้ดูแลระบบจะไม่สามารถเข้าสู่ระบบ Microsoft Outlook Web Access และพวกเขาจะได้รับข้อความแสดงข้อผิดพลาด "ปฏิเสธการเข้าถึง" ถ้าพวกเขาไม่ได้รับสิทธิ์ข้ามการตรวจสอบสิทธิ์ของผู้ใช้
-
-
การตั้งค่าความปลอดภัย
รายการต่อไปนี้ระบุการตั้งค่าความปลอดภัย และรายการที่ซ้อนกันจะมีคําอธิบายเกี่ยวกับการตั้งค่าความปลอดภัย ระบุการตั้งค่าการกําหนดค่าที่อาจทําให้เกิดปัญหา อธิบายถึงสาเหตุที่คุณควรใช้การตั้งค่าความปลอดภัย แล้วอธิบายสาเหตุที่คุณอาจต้องการเอาการตั้งค่าความปลอดภัยออก จากนั้นรายการที่ซ้อนกันจะมีชื่อแบบสัญลักษณ์สําหรับการตั้งค่าการรักษาความปลอดภัยและพาธรีจิสทรีของการตั้งค่าการรักษาความปลอดภัย สุดท้าย ตัวอย่างเหล่านี้จะมีปัญหาความเข้ากันได้ที่อาจเกิดขึ้นเมื่อมีการกําหนดค่าการตั้งค่าความปลอดภัย
-
ตรวจสอบ: ปิดระบบทันทีหากไม่สามารถบันทึกการตรวจสอบความปลอดภัยได้
-
ภาพพื้นหลัง
-
การตรวจสอบ: ปิดระบบทันทีหากไม่สามารถบันทึกการตั้งค่าการตรวจสอบความปลอดภัยจะกําหนดว่าระบบปิดหากคุณไม่สามารถบันทึกเหตุการณ์การรักษาความปลอดภัย จําเป็นต้องมีการตั้งค่านี้สําหรับการประเมิน C2 ของโปรแกรม Trusted Computer Security Evaluation Criteria (TCSEC) และสําหรับเกณฑ์ทั่วไปสําหรับการประเมินความปลอดภัยของเทคโนโลยีสารสนเทศเพื่อป้องกันเหตุการณ์ที่ตรวจสอบได้ ถ้าระบบตรวจสอบไม่สามารถบันทึกเหตุการณ์เหล่านั้นได้ ถ้าระบบการตรวจสอบล้มเหลว ระบบจะปิดลง และข้อความแสดงข้อผิดพลาด Stop ปรากฏขึ้น
-
หากคอมพิวเตอร์ไม่สามารถบันทึกเหตุการณ์ลงในล็อกการรักษาความปลอดภัย อาจไม่มีหลักฐานสําคัญหรือข้อมูลการแก้ไขปัญหาที่สําคัญสําหรับการตรวจสอบหลังจากเกิดเหตุการณ์ด้านความปลอดภัย
-
-
การกําหนดค่า
ที่มีความเสี่ยง ต่อไปนี้เป็นการตั้งค่าการกําหนดค่าที่เป็นอันตราย: การตรวจสอบ: ระบบปิดเครื่องทันทีถ้าไม่สามารถบันทึกการตรวจสอบความปลอดภัยเปิดอยู่ และขนาดของบันทึกเหตุการณ์ความปลอดภัยถูกจํากัดโดยตัวเลือก ไม่ต้องเขียนทับเหตุการณ์ (ล้างบันทึกด้วยตนเอง) ตัวเลือก เขียนทับเหตุการณ์ตามต้องการ หรือตัวเลือก เขียนทับเหตุการณ์ที่เก่ากว่าจํานวนวัน ใน ตัวแสดงเหตุการณ์ ดูที่ส่วน "ตัวอย่างของปัญหาความเข้ากันได้" สําหรับข้อมูลเกี่ยวกับความเสี่ยงเฉพาะสําหรับคอมพิวเตอร์ที่ใช้ Windows 2000, Windows 2000 Service Pack 1 (SP1), Windows 2000 SP2 หรือ Windows 2000 SP3 รุ่นที่วางจําหน่าย -
เหตุผลในการเปิดใช้งานการตั้งค่า
นี้ หากคอมพิวเตอร์ไม่สามารถบันทึกเหตุการณ์ลงในล็อกการรักษาความปลอดภัย อาจไม่มีหลักฐานสําคัญหรือข้อมูลการแก้ไขปัญหาที่สําคัญสําหรับการตรวจสอบหลังจากเกิดเหตุการณ์ด้านความปลอดภัย -
เหตุผลในการปิดใช้งานการตั้งค่านี้
-
การเปิดใช้งานการตรวจสอบ: ปิดระบบทันทีหากไม่สามารถบันทึกการตรวจสอบความปลอดภัยจะหยุดระบบหากไม่สามารถบันทึกการตรวจสอบความปลอดภัยด้วยเหตุผลใดก็ตาม โดยทั่วไปแล้ว จะไม่สามารถบันทึกเหตุการณ์ได้เมื่อบันทึกการตรวจสอบความปลอดภัยเต็ม และเมื่อวิธีการเก็บข้อมูลที่ระบุเป็นตัวเลือก ห้ามเขียนทับเหตุการณ์ (ล้างบันทึกด้วยตนเอง) หรือตัวเลือก เขียนทับเหตุการณ์ที่เก่ากว่า จํานวน วัน
-
ภาระด้านการดูแลระบบของการเปิดใช้งานการตรวจสอบ: ปิดระบบทันทีหากไม่สามารถบันทึกการตรวจสอบความปลอดภัยอาจสูงมาก โดยเฉพาะถ้าคุณเปิดตัวเลือก ห้ามเขียนทับเหตุการณ์ (ล้างบันทึกด้วยตนเอง) สําหรับบันทึกการรักษาความปลอดภัย การตั้งค่านี้กําหนดให้แต่ละความรับผิดชอบของการดําเนินการของผู้ปฏิบัติงาน ตัวอย่างเช่น ผู้ดูแลระบบสามารถตั้งค่าสิทธิ์ใหม่สําหรับผู้ใช้ คอมพิวเตอร์ และกลุ่มทั้งหมดในหน่วยองค์กร (OU) ที่มีการเปิดใช้งานการตรวจสอบโดยใช้บัญชีผู้ดูแลระบบที่มีอยู่แล้วภายในหรือบัญชีที่แชร์อื่นๆ แล้วปฏิเสธว่าพวกเขารีเซ็ตสิทธิ์ดังกล่าว อย่างไรก็ตาม การเปิดใช้งานการตั้งค่าจะลดเสถียรภาพของระบบ เนื่องจากเซิร์ฟเวอร์อาจถูกบังคับให้ปิดเครื่องด้วยเหตุการณ์การเข้าสู่ระบบและเหตุการณ์ความปลอดภัยอื่นๆ ที่เขียนลงในบันทึกความปลอดภัย นอกจากนี้ เนื่องจากการปิดระบบไม่สวยงาม ความเสียหายที่ไม่สามารถแก้ไขได้ต่อระบบปฏิบัติการ โปรแกรม หรือข้อมูลอาจส่งผลให้เกิด ขณะที่ NTFS รับประกันว่าความสมบูรณ์ของระบบไฟล์จะยังคงอยู่ในระหว่างการปิดระบบที่ไม่สําเร็จ แต่ก็ไม่สามารถรับประกันได้ว่าไฟล์ข้อมูลทุกไฟล์สําหรับทุกโปรแกรมจะยังคงอยู่ในรูปแบบที่สามารถใช้ได้เมื่อระบบเริ่มระบบใหม่
-
-
ชื่อสัญลักษณ์:
CrashOnAuditFail -
เส้นทางรีจิสทรี:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)
-
ตัวอย่างของปัญหาความเข้ากันได้
-
Windows 2000: เนื่องจากบัก คอมพิวเตอร์ที่ใช้ Windows 2000, Windows 2000 SP1, Windows 2000 SP2 หรือ Windows Server SP3 อาจหยุดการบันทึกเหตุการณ์ก่อนถึงขนาดที่ระบุไว้ในตัวเลือกขนาดบันทึกสูงสุดสําหรับบันทึกเหตุการณ์การรักษาความปลอดภัย บักนี้ได้รับการแก้ไขแล้วใน Windows 2000 Service Pack 4 (SP4) ตรวจสอบให้แน่ใจว่าตัวควบคุมโดเมน Windows 2000 ของคุณมี Windows 2000 Service Pack 4 ติดตั้งอยู่ก่อนที่จะพิจารณาเปิดใช้งานการตั้งค่านี้
-
Windows 2000, Windows Server 2003: คอมพิวเตอร์ที่ใช้ Windows 2000 หรือ Windows Server 2003 อาจหยุดการตอบสนอง และอาจเริ่มระบบใหม่เองถ้าการตรวจสอบ: ปิดระบบทันทีถ้าไม่สามารถบันทึกการตรวจสอบความปลอดภัยเปิดอยู่ บันทึกความปลอดภัยเต็ม และรายการบันทึกเหตุการณ์ที่มีอยู่ไม่สามารถเขียนทับได้ เมื่อคอมพิวเตอร์เริ่มระบบใหม่ จะปรากฏข้อความแสดงข้อผิดพลาดที่ทําให้ระบบหยุดชะงอต่อไปนี้:
STOP: C0000244 {Audit Failed}
ความพยายามในการสร้างการตรวจสอบความปลอดภัยล้มเหลวเมื่อต้องการกู้คืน ผู้ดูแลระบบต้องเข้าสู่ระบบ เก็บบันทึกความปลอดภัย (ไม่บังคับ) ล้างบันทึกความปลอดภัย จากนั้นรีเซ็ตตัวเลือกนี้ (เลือกได้และไม่จําเป็น)
-
Microsoft Network Client สําหรับ MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Non-administrators ที่พยายามเข้าสู่ระบบโดเมนจะได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้:
บัญชีของคุณได้รับการกําหนดค่าเพื่อป้องกันไม่ให้คุณใช้คอมพิวเตอร์เครื่องนี้ โปรดลองคอมพิวเตอร์เครื่องอื่น
-
Windows 2000: บนคอมพิวเตอร์ที่ใช้ Windows 2000 ผู้ที่ไม่ใช่ผู้ดูแลระบบจะไม่สามารถเข้าสู่ระบบเซิร์ฟเวอร์การเข้าถึงระยะไกล และพวกเขาจะได้รับข้อความแสดงข้อผิดพลาดที่คล้ายกับข้อความต่อไปนี้:
ผู้ใช้ที่ไม่รู้จักหรือรหัสผ่านไม่ถูกต้อง
-
Windows 2000: บนตัวควบคุมโดเมน Windows 2000 บริการการส่งข้อความระหว่างไซต์ (Ismserv.exe) จะหยุดทํางานและไม่สามารถเริ่มการทํางานใหม่ได้ DCDIAG จะรายงานข้อผิดพลาดเป็น "failed test services ISMserv," และรหัสเหตุการณ์ 1083 จะถูกลงทะเบียนในบันทึกเหตุการณ์
-
Windows 2000: บนตัวควบคุมโดเมน Windows 2000 การจําลองแบบ Active Directory จะล้มเหลว และข้อความ "ปฏิเสธการเข้าถึง" จะปรากฏขึ้นถ้าบันทึกเหตุการณ์การรักษาความปลอดภัยเต็ม
-
Microsoft Exchange 2000: เซิร์ฟเวอร์ที่ใช้ Exchange 2000 จะไม่สามารถต่อเชื่อมฐานข้อมูลที่จัดเก็บข้อมูลได้ และเหตุการณ์ 2102 จะถูกลงทะเบียนในบันทึกเหตุการณ์
-
Outlook, Outlook Web Access: ผู้ที่ไม่ใช่ผู้ดูแลระบบจะไม่สามารถเข้าถึงจดหมายของพวกเขาผ่านทาง Microsoft Outlook หรือผ่านทาง Microsoft Outlook Web Access และพวกเขาจะได้รับข้อผิดพลาด 503
-
-
-
ตัวควบคุมโดเมน: ข้อกําหนดการเซ็นชื่อเซิร์ฟเวอร์ LDAP
-
พื้น หลัง
ตัวควบคุมโดเมน: การตั้งค่าความปลอดภัยของข้อกําหนดในการเซ็นชื่อเซิร์ฟเวอร์ LDAP จะกําหนดว่าเซิร์ฟเวอร์ Lightweight Directory Access Protocol (LDAP) จําเป็นต้องใช้ไคลเอ็นต์ LDAP ในการเจรจาต่อรองการเซ็นชื่อข้อมูลหรือไม่ ค่าที่เป็นไปได้สําหรับการตั้งค่านโยบายนี้มีดังนี้:-
ไม่มี: ไม่จําเป็นต้องลงชื่อในข้อมูลเพื่อผูกกับเซิร์ฟเวอร์ ถ้าไคลเอ็นต์ร้องขอการเซ็นชื่อข้อมูล เซิร์ฟเวอร์จะสนับสนุน
-
จําเป็นต้องมีการเซ็นชื่อ: ต้องตรวจสอบตัวเลือกการรับรองข้อมูล LDAP เว้นแต่ว่าจะมีการใช้ Transport Layer Security/Secure Socket Layer (TLS/SSL)
-
ไม่ได้กําหนด: การตั้งค่านี้ไม่เปิดใช้งานหรือปิดใช้งาน
-
-
การกําหนดค่าที่มี
ความเสี่ยง ต่อไปนี้เป็นการตั้งค่าการกําหนดค่าที่เป็นอันตราย:-
การเปิดใช้งาน จําเป็นต้องลงชื่อเข้าใช้สภาพแวดล้อมที่ไคลเอ็นต์ไม่สนับสนุนการเซ็นชื่อ LDAP หรือที่การลงชื่อ LDAP ฝั่งไคลเอ็นต์ไม่ได้เปิดใช้งานบนไคลเอ็นต์
-
การนําเทมเพลตความปลอดภัย Hisecdc.inf ของ Windows 2000 หรือ Windows Server 2003 ไปใช้ในสภาพแวดล้อมที่ไคลเอ็นต์ไม่สนับสนุนการเซ็นชื่อ LDAP หรือที่การลงชื่อในไคลเอ็นต์ LDAP ไม่ได้เปิดใช้งาน
-
การนําเทมเพลตความปลอดภัย Hisecws.inf ของ Windows 2000 หรือ Windows Server 2003 ไปใช้ในสภาพแวดล้อมที่ไคลเอ็นต์ไม่สนับสนุนการเซ็นชื่อ LDAP หรือที่การลงชื่อในไคลเอ็นต์ LDAP ไม่ได้เปิดใช้งาน
-
-
เหตุผลในการเปิดใช้งานการตั้งค่า
นี้ การรับส่งข้อมูลเครือข่ายที่ไม่มีการรับรองมีความอ่อนไหวต่อการโจมตีแบบแทรกกลางที่ผู้บุกรุกจับแพคเก็ตระหว่างไคลเอ็นต์และเซิร์ฟเวอร์ ปรับเปลี่ยนแพคเก็ต แล้วส่งต่อไปยังเซิร์ฟเวอร์ เมื่อลักษณะการทํางานนี้เกิดขึ้นบนเซิร์ฟเวอร์ LDAP ผู้โจมตีอาจทําให้เซิร์ฟเวอร์ตัดสินใจโดยใช้คิวรีที่ผิดจากไคลเอ็นต์ LDAP คุณสามารถลดความเสี่ยงนี้ในเครือข่ายขององค์กรได้ด้วยการใช้มาตรการรักษาความปลอดภัยทางกายภาพที่เข้มแข็งเพื่อช่วยปกป้องโครงสร้างพื้นฐานของเครือข่าย โหมดส่วนหัวการรับรองความถูกต้องความปลอดภัยอินเทอร์เน็ตโพรโทคอล (IPSec) สามารถช่วยป้องกันการโจมตีแบบกลาง โหมดส่วนหัวการรับรองความถูกต้องทําการรับรองความถูกต้องซึ่งกันและกันและความถูกต้องของแพคเก็ตสําหรับการรับส่งข้อมูล IP -
เหตุผลในการปิดใช้งานการตั้งค่านี้
-
ไคลเอ็นต์ที่ไม่สนับสนุนการเซ็นชื่อ LDAP จะไม่สามารถดําเนินการคิวรี LDAP กับตัวควบคุมโดเมนและกับแค็ตตาล็อกส่วนกลางได้ ถ้าการรับรองความถูกต้อง NTLM ถูกตรวจสอบ และถ้าไม่ได้ติดตั้ง Service Pack ที่ถูกต้องบนตัวควบคุมโดเมน Windows 2000
-
การติดตามเครือข่ายของการรับส่งข้อมูล LDAP ระหว่างไคลเอ็นต์และเซิร์ฟเวอร์จะถูกเข้ารหัสลับ ซึ่งทําให้ยากต่อการตรวจสอบการสนทนา LDAP
-
เซิร์ฟเวอร์ที่ใช้ Windows 2000 ต้องมี Windows 2000 Service Pack 3 (SP3) หรือติดตั้งเมื่อดูแลระบบด้วยโปรแกรมที่สนับสนุนการรับรอง LDAP ที่เรียกใช้จากไคลเอ็นต์คอมพิวเตอร์ที่ใช้ Windows 2000 SP4, Windows XP หรือ Windows Server 2003
-
-
ชื่อสัญลักษณ์:
LDAPServerIntegrity -
เส้นทางรีจิสทรี:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)
-
ตัวอย่างของปัญหาความเข้ากันได้
-
การผูกแบบง่ายจะล้มเหลว และคุณจะได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้:
Ldap_simple_bind_s() ล้มเหลว: จําเป็นต้องมีการรับรองความถูกต้องที่รัดกุม
-
Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: ในไคลเอ็นต์ที่ใช้ Windows 2000 SP4, Windows XP หรือ Windows Server 2003 เครื่องมือการจัดการ Active Directory บางอย่างจะไม่สามารถทํางานได้อย่างถูกต้องกับตัวควบคุมโดเมนที่ใช้งาน Windows 2000 เวอร์ชันที่เก่ากว่า SP3 เมื่อตรวจสอบการรับรองความถูกต้อง NTLM
-
Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: ในไคลเอ็นต์ที่ใช้ Windows 2000 SP4, Windows XP หรือ Windows Server 2003 เครื่องมือการจัดการ Active Directory บางตัวที่กําหนดเป้าหมายตัวควบคุมโดเมนที่ใช้ Windows 2000 เวอร์ชันก่อนหน้า SP3 จะไม่ทํางานอย่างถูกต้องหากใช้ที่อยู่ IP (ตัวอย่างเช่น "dsa.msc /server=x.x.x.x" โดย
ที่ x.x.x.x เป็นที่อยู่ IP) -
Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: ในไคลเอ็นต์ที่ใช้ Windows 2000 SP4, Windows XP หรือ Windows Server 2003 เครื่องมือการจัดการ Active Directory บางตัวที่กําหนดเป้าหมายให้ตัวควบคุมโดเมนที่ใช้ Windows 2000 เวอร์ชันก่อนหน้า SP3 จะไม่สามารถทํางานได้อย่างถูกต้อง
-
-
-
สมาชิกโดเมน: ต้องใช้คีย์เซสชันที่เข้มแข็ง (Windows 2000 หรือใหม่กว่า)
-
ภาพพื้นหลัง
-
สมาชิกโดเมน: กําหนดการตั้งค่าคีย์เซสชันที่เข้มแข็ง (Windows 2000 หรือใหม่กว่า) จะกําหนดว่าแชนเนลที่ปลอดภัยสามารถสร้างขึ้นด้วยตัวควบคุมโดเมนที่ไม่สามารถเข้ารหัสลับการรับส่งข้อมูลแชนเนลที่ปลอดภัยด้วยคีย์เซสชันที่รัดกุม 128 บิตได้หรือไม่ การเปิดใช้งานการตั้งค่านี้จะป้องกันไม่ให้มีการสร้างช่องทางที่ปลอดภัยกับตัวควบคุมโดเมนใดๆ ที่ไม่สามารถเข้ารหัสลับข้อมูลแชนเนลที่ปลอดภัยด้วยคีย์ที่เข้มแข็ง การปิดใช้งานการตั้งค่านี้จะทําให้มีคีย์เซสชัน 64 บิตได้
-
ก่อนที่คุณจะสามารถเปิดใช้งานการตั้งค่านี้บนเวิร์กสเตชันของสมาชิกหรือบนเซิร์ฟเวอร์ ซึ่งหมายความว่าตัวควบคุมโดเมนดังกล่าวทั้งหมดต้องใช้งาน Windows 2000 หรือใหม่กว่า
-
-
การกําหนดค่า
ที่มีความเสี่ยง การเปิดใช้งานสมาชิกโดเมน: การตั้งค่าคีย์เซสชันที่เข้มแข็ง (Windows 2000 หรือใหม่กว่า) เป็นการตั้งค่าการกําหนดค่าที่เป็นอันตราย -
เหตุผลในการเปิดใช้งานการตั้งค่านี้
-
คีย์เซสชันที่ใช้ในการสร้างการติดต่อสื่อสารช่องทางที่ปลอดภัยระหว่างคอมพิวเตอร์สมาชิกและตัวควบคุมโดเมนจะแข็งแรงกว่าใน Windows 2000 มากกว่าที่อยู่ในระบบปฏิบัติการของ Microsoft เวอร์ชันก่อนหน้า
-
เมื่อเป็นไปได้ คุณควรใช้ประโยชน์จากคีย์เซสชันที่คาดเดายากเหล่านี้เพื่อช่วยปกป้องการติดต่อสื่อสารของช่องทางที่ปลอดภัยจากการแอบแฝงและการโจมตีเครือข่ายจากเซสชัน การแอบฟังเป็นการโจมตีที่เป็นอันตรายที่มีการอ่านหรือเปลี่ยนแปลงข้อมูลเครือข่ายในระหว่างการขนส่ง ข้อมูลสามารถปรับเปลี่ยนเพื่อซ่อนหรือเปลี่ยนแปลงผู้ส่ง หรือเปลี่ยนเส้นทางได้
สิ่งสําคัญ คอมพิวเตอร์ที่ใช้ Windows Server 2008 R2 หรือ Windows 7 สนับสนุนเฉพาะคีย์ที่รัดกุมเมื่อมีการใช้ช่องทางที่ปลอดภัยเท่านั้น ข้อจํากัดนี้จะป้องกันความน่าเชื่อถือระหว่างโดเมนที่ใช้ Windows NT 4.0 และโดเมนใดๆ ที่ใช้ Windows Server 2008 R2 นอกจากนี้ ข้อจํากัดนี้จะบล็อกการเป็นสมาชิกโดเมนที่ใช้ Windows NT 4.0 ของคอมพิวเตอร์ที่ใช้ Windows 7 หรือ Windows Server 2008 R2 และในทางกลับกันด้วย
-
-
เหตุผลในการปิดใช้งานการตั้งค่า
นี้ โดเมนประกอบด้วยคอมพิวเตอร์สมาชิกที่ใช้ระบบปฏิบัติการอื่นที่ไม่ใช่ Windows 2000, Windows XP หรือ Windows Server 2003 -
ชื่อสัญลักษณ์:
StrongKey -
เส้นทางรีจิสทรี:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)
-
ตัวอย่างของปัญหา
ความเข้ากันได้ Windows NT 4.0: บนคอมพิวเตอร์ที่ใช้ Windows NT 4.0 การตั้งค่าช่องทางที่ปลอดภัยของความสัมพันธ์แบบเชื่อถือระหว่าง Windows NT 4.0 และโดเมน Windows 2000 ด้วย NLTEST ล้มเหลว ข้อความแสดงข้อผิดพลาด "การเข้าถึงถูกปฏิเสธ" ปรากฏขึ้น:ความสัมพันธ์แบบเชื่อถือได้ระหว่างโดเมนหลักและโดเมนที่เชื่อถือได้ล้มเหลว
Windows 7 และ Server 2008 R2: สําหรับ Windows 7 และเวอร์ชันที่ใหม่กว่าและ Windows Server 2008 R2 และเวอร์ชันที่ใหม่กว่า การตั้งค่านี้จะไม่ได้รับความเชื่อถืออีกต่อไปและใช้คีย์ที่รัดกุมเสมอ ด้วยเหตุนี้ ความเชื่อถือได้กับโดเมน Windows NT 4.0 จึงไม่ทํางานอีกต่อไป
-
-
สมาชิกโดเมน: เข้ารหัสลับแบบดิจิทัลหรือลงชื่อในข้อมูลแชนเนลที่ปลอดภัย (เสมอ)
-
ภาพพื้นหลัง
-
การเปิดใช้งานสมาชิกโดเมน: เข้ารหัสลับแบบดิจิทัลหรือลงชื่อในข้อมูลแชนเนลที่ปลอดภัย (เสมอ) ป้องกันการสร้างช่องทางที่ปลอดภัยด้วยตัวควบคุมโดเมนใดๆ ที่ไม่สามารถเซ็นชื่อหรือเข้ารหัสลับข้อมูลช่องทางที่ปลอดภัยทั้งหมดได้ เพื่อช่วยปกป้องการรับส่งข้อมูลการรับรองความถูกต้องจากการโจมตีแบบ man-in-the-middle เล่นซ้ําการโจมตี และการโจมตีเครือข่ายประเภทอื่นๆ คอมพิวเตอร์ที่ใช้ Windows จะสร้างช่องทางการสื่อสารที่เรียกว่าช่องทางที่ปลอดภัยผ่านบริการ Net Logon เพื่อรับรองความถูกต้องของบัญชีคอมพิวเตอร์ ช่องทางที่ปลอดภัยยังใช้เมื่อผู้ใช้ในโดเมนหนึ่งเชื่อมต่อกับทรัพยากรเครือข่ายในโดเมนระยะไกล การรับรองความถูกต้องแบบหลายโดเมนหรือการรับรองความถูกต้องแบบพาส-ทรูนี้จะช่วยให้คอมพิวเตอร์ที่ใช้ Windows ที่เข้าร่วมโดเมนสามารถเข้าถึงฐานข้อมูลบัญชีผู้ใช้ในโดเมนและโดเมนที่เชื่อถือได้
-
เมื่อต้องการเปิดใช้งานสมาชิกโดเมน: การเข้ารหัสลับแบบดิจิทัลหรือเซ็นชื่อในการตั้งค่าข้อมูลแชนเนลที่ปลอดภัย (เสมอ) บนคอมพิวเตอร์สมาชิก ตัวควบคุมโดเมนทั้งหมดในโดเมนที่สมาชิกเป็นสมาชิกต้องสามารถเซ็นชื่อหรือเข้ารหัสลับข้อมูลแชนเนลที่ปลอดภัยทั้งหมดได้ ซึ่งหมายความว่าตัวควบคุมโดเมนดังกล่าวทั้งหมดต้องใช้งาน Windows NT 4.0 ที่มี Service Pack 6a (SP6a) หรือใหม่กว่า
-
การเปิดใช้งานการตั้งค่าสมาชิกโดเมน: การเข้ารหัสลับแบบดิจิทัลหรือเซ็นชื่อในข้อมูลแชนเนลที่ปลอดภัย (เสมอ) จะเปิดใช้งานการตั้งค่าสมาชิกโดเมนโดยอัตโนมัติ: เข้ารหัสลับแบบดิจิทัลหรือเซ็นชื่อในการตั้งค่าข้อมูลแชนเนลที่ปลอดภัย (เมื่อเป็นไปได้)
-
-
การกําหนดค่า
ที่มีความเสี่ยง การเปิดใช้งานสมาชิกโดเมน: เข้ารหัสลับแบบดิจิทัลหรือเซ็นชื่อในการตั้งค่าข้อมูลแชนเนลที่ปลอดภัย (เสมอ) ในโดเมนที่ไม่มีตัวควบคุมโดเมนทั้งหมดที่สามารถเซ็นชื่อหรือเข้ารหัสลับข้อมูลแชนเนลที่ปลอดภัยเป็นการตั้งค่าการกําหนดค่าที่เป็นอันตราย -
เหตุผลในการเปิดใช้งานการตั้งค่า
นี้ การรับส่งข้อมูลเครือข่ายที่ไม่มีการรับรองมีความอ่อนไหวต่อการโจมตีแบบแทรกกลางโดยที่ผู้บุกรุกจับแพคเก็ตระหว่างเซิร์ฟเวอร์และไคลเอ็นต์ แล้วปรับเปลี่ยนข้อมูลเหล่านั้นก่อนที่จะส่งต่อไปยังไคลเอ็นต์ เมื่อลักษณะการทํางานนี้เกิดขึ้นบนเซิร์ฟเวอร์ Lightweight Directory Access Protocol (LDAP) ผู้บุกรุกอาจทําให้ไคลเอ็นต์ทําการตัดสินใจที่ยึดตามระเบียนเท็จจากไดเรกทอรี LDAP คุณสามารถลดความเสี่ยงของการโจมตีดังกล่าวบนเครือข่ายขององค์กรโดยใช้มาตรการรักษาความปลอดภัยทางกายภาพที่เข้มแข็งเพื่อช่วยปกป้องโครงสร้างพื้นฐานของเครือข่าย นอกจากนี้ การใช้โหมดส่วนหัวการรับรองความถูกต้องความปลอดภัยของ Internet Protocol (IPSec) สามารถช่วยป้องกันการโจมตีแบบ man-in-the-middle ได้ โหมดนี้ทําการรับรองความถูกต้องซึ่งกันและกันและความถูกต้องของแพคเก็ตสําหรับการรับส่งข้อมูล IP -
เหตุผลในการปิดใช้งานการตั้งค่านี้
-
คอมพิวเตอร์ในโดเมนภายในหรือภายนอกสนับสนุนช่องสัญญาณที่ปลอดภัยที่เข้ารหัสลับ
-
ตัวควบคุมโดเมนบางตัวในโดเมนมีระดับการตรวจทานแก้ไข Service Pack ที่เหมาะสมเพื่อสนับสนุนช่องทางที่ปลอดภัยที่เข้ารหัสลับ
-
-
ชื่อสัญลักษณ์:
StrongKey -
เส้นทางรีจิสทรี:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)
-
ตัวอย่างของปัญหาความเข้ากันได้
-
Windows NT 4.0: คอมพิวเตอร์ที่ใช้ Windows 2000 สมาชิกจะไม่สามารถเข้าร่วมโดเมน Windows NT 4.0 และจะได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้:
บัญชีไม่ได้รับอนุญาตให้เข้าสู่ระบบจากสถานีนี้
สําหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
281648 ข้อความแสดงข้อผิดพลาด: บัญชีไม่ได้รับอนุญาตให้เข้าสู่ระบบจากสถานีนี้
-
Windows NT 4.0: โดเมน Windows NT 4.0 ไม่สามารถสร้างความน่าเชื่อถือระดับล่างด้วยโดเมน Windows 2000 และจะได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้:
บัญชีไม่ได้รับอนุญาตให้เข้าสู่ระบบจากสถานีนี้
ความน่าเชื่อถือระดับล่างที่มีอยู่อาจไม่ใช่การรับรองความถูกต้องผู้ใช้จากโดเมนที่เชื่อถือได้ ผู้ใช้บางรายอาจมีปัญหาในการเข้าสู่ระบบโดเมน และพวกเขาอาจได้รับข้อความแสดงข้อผิดพลาดที่แจ้งว่าไคลเอ็นต์ไม่พบโดเมน
-
Windows XP: ไคลเอ็นต์ Windows XP ที่เชื่อมต่อกับโดเมน Windows NT 4.0 จะไม่สามารถรับรองความถูกต้องในการเข้าสู่ระบบและอาจได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้ หรือเหตุการณ์ต่อไปนี้อาจลงทะเบียนในบันทึกเหตุการณ์:
Windows ไม่สามารถเชื่อมต่อไปยังโดเมนเนื่องจากตัวควบคุมโดเมนดาวน์หรือไม่พร้อมใช้งาน หรือเนื่องจากไม่พบบัญชีคอมพิวเตอร์ของคุณ
-
Microsoft Network: ไคลเอ็นต์ Microsoft Network จะได้รับข้อความแสดงข้อผิดพลาดข้อความใดข้อความหนึ่งต่อไปนี้:
ความล้มเหลวในการเข้าสู่ระบบ: ชื่อผู้ใช้ที่ไม่รู้จักหรือรหัสผ่านไม่ถูกต้อง
ไม่มีคีย์เซสชันผู้ใช้สําหรับเซสชันการเข้าสู่ระบบที่ระบุ
-
-
-
ไคลเอ็นต์เครือข่าย Microsoft: เซ็นชื่อแบบดิจิทัลในการสื่อสาร (เสมอ)
-
พื้น หลัง
Server Message Block (SMB) คือโพรโทคอลการใช้ทรัพยากรร่วมกันที่ได้รับการสนับสนุนโดยระบบปฏิบัติการของ Microsoft หลายระบบ ซึ่งเป็นพื้นฐานของระบบอินพุต/เอาท์พุตพื้นฐานของเครือข่าย (NetBIOS) และโปรโตคอลอื่น ๆ อีกมากมาย การลงลายมือชื่อใน SMB จะรับรองความถูกต้องทั้งผู้ใช้และเซิร์ฟเวอร์ที่โฮสต์ข้อมูล หากด้านใดด้านหนึ่งล้มเหลวกระบวนการตรวจสอบสิทธิ์ การส่งข้อมูลจะไม่เกิดขึ้น การเปิดใช้งานการลงลายมือชื่อใน SMB เริ่มต้นขึ้นระหว่างการเจรจาโพรโทคอล SMB นโยบายการลงลายมือชื่อใน SMB จะกําหนดว่าคอมพิวเตอร์จะเซ็นชื่อแบบดิจิทัลในการสื่อสารกับไคลเอ็นต์เสมอหรือไม่ โพรโทคอลการรับรองความถูกต้อง SMB ของ Windows 2000 สนับสนุนการรับรองความถูกต้องซึ่งกันและกัน การรับรองความถูกต้องซึ่งกันและกันจะปิดการโจมตี "man-in-the-middle" โพรโทคอลการรับรองความถูกต้อง SMB ของ Windows 2000 ยังสนับสนุนการรับรองความถูกต้องของข้อความด้วย การรับรองความถูกต้องของข้อความช่วยป้องกันการโจมตีข้อความที่ใช้งานอยู่ การตรวจสอบสิทธิ์นี้ให้กับคุณ การลงลายมือชื่อใน SMB จะใส่ลายเซ็นดิจิทัลลงใน SMB แต่ละรายการ ไคลเอ็นต์และเซิร์ฟเวอร์แต่ละรายการจะตรวจสอบลายเซ็นดิจิทัล เมื่อต้องการใช้การลงลายมือชื่อใน SMB คุณต้องเปิดใช้งานการลงลายมือชื่อใน SMB หรือต้องมีการลงลายมือชื่อใน SMB ทั้งในไคลเอ็นต์ SMB และเซิร์ฟเวอร์ SMB ถ้าการลงลายมือชื่อใน SMB ถูกเปิดใช้งานบนเซิร์ฟเวอร์ ไคลเอ็นต์ที่เปิดใช้งานสําหรับการเซ็น SMB ยังใช้โพรโทคอลการเซ็นชื่อแพคเก็ตระหว่างเซสชันที่ตามมาทั้งหมด ถ้าจําเป็นต้องมีการลงลายมือชื่อใน SMB บนเซิร์ฟเวอร์ ไคลเอ็นต์จะไม่สามารถสร้างเซสชันได้ เว้นแต่ว่าไคลเอ็นต์จะเปิดใช้งานหรือจําเป็นสําหรับการเซ็นชื่อใน SMB การเปิดใช้งานการลงชื่อเข้าใช้แบบดิจิทัลในเครือข่ายที่มีความปลอดภัยสูงจะช่วยป้องกันการเลียนแบบไคลเอ็นต์และเซิร์ฟเวอร์ การเลียนแบบชนิดนี้เรียกว่าการไฮแจ็คเซสชัน ผู้โจมตีที่มีสิทธิ์เข้าถึงเครือข่ายเดียวกันกับไคลเอ็นต์หรือเซิร์ฟเวอร์จะใช้เครื่องมือการขโมยเซสชันเพื่อขัดจังหวะ สิ้นสุด หรือขโมยเซสชันที่อยู่ระหว่างดําเนินการ ผู้โจมตีอาจดักจับและปรับเปลี่ยนแพคเก็ต SMB ที่ไม่มีลายเซ็น ปรับเปลี่ยนปริมาณการใช้งาน แล้วส่งต่อเพื่อให้เซิร์ฟเวอร์สามารถดําเนินการที่ไม่ต้องการได้ หรือผู้โจมตีอาจทําหน้าที่เป็นเซิร์ฟเวอร์หรือเป็นไคลเอ็นต์หลังจากการรับรองความถูกต้องที่ถูกต้อง จากนั้นจะสามารถเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต โพรโทคอล SMB ที่ใช้สําหรับการใช้แฟ้มร่วมกันและการพิมพ์ร่วมกันในคอมพิวเตอร์ที่ใช้ Windows 2000 Server, Windows 2000 Professional, Windows XP Professional หรือ Windows Server 2003 สนับสนุนการรับรองความถูกต้องซึ่งกันและกัน การรับรองความถูกต้องซึ่งกันและกันจะปิดเซสชันการโจรกรรมและสนับสนุนการรับรองความถูกต้องข้อความ ดังนั้นจึงป้องกันการโจมตีแบบ man-in-the-middle การลงลายมือชื่อใน SMB จะให้การรับรองความถูกต้องนี้โดยการวางลายเซ็นดิจิทัลในแต่ละ SMB ไคลเอ็นต์และเซิร์ฟเวอร์จะตรวจสอบลายเซ็น หมาย เหตุ-
เพื่อเป็นการป้องกันอีกวิธีหนึ่ง คุณสามารถเปิดใช้งานลายเซ็นดิจิทัลด้วย IPSec เพื่อช่วยปกป้องการรับส่งข้อมูลเครือข่ายทั้งหมด มีตัวเร่งที่ใช้ฮาร์ดแวร์สําหรับการเข้ารหัส IPSec และการเซ็นชื่อที่คุณสามารถใช้เพื่อลดผลกระทบต่อประสิทธิภาพการทํางานจาก CPU ของเซิร์ฟเวอร์ ไม่มีตัวเร่งดังกล่าวที่พร้อมใช้งานสําหรับการลงลายมือชื่อใน SMBการติดต่อสื่อสารของเซิร์ฟเวอร์ที่เซ็นชื่อแบบดิจิทัล บนเว็บไซต์ Microsoft MSDN กําหนดค่าการลงชื่อใน SMB ผ่าน นโยบายกลุ่ม Object Editor เนื่องจากการเปลี่ยนแปลงค่ารีจิสทรีภายในเครื่องจะไม่มีผลถ้ามีนโยบายโดเมนที่แทนที่
สําหรับข้อมูลเพิ่มเติม ให้ดูบท -
ใน Windows 95, Windows 98 และ Windows 98 Second Edition ไคลเอ็นต์บริการไดเรกทอรีจะใช้การเซ็นชื่อใน SMB เมื่อตรวจสอบสิทธิ์กับเซิร์ฟเวอร์ Windows Server 2003 โดยใช้การรับรองความถูกต้อง NTLM อย่างไรก็ตาม ไคลเอนต์เหล่านี้ไม่ใช้การเซ็นชื่อใน SMB เมื่อพวกเขารับรองความถูกต้องกับเซิร์ฟเวอร์เหล่านี้ โดยใช้การรับรองความถูกต้อง NTLMv2 นอกจากนี้ เซิร์ฟเวอร์ Windows 2000 ไม่ตอบสนองต่อการร้องขอการลงลายมือชื่อใน SMB จากไคลเอ็นต์เหล่านี้ สําหรับข้อมูลเพิ่มเติม ให้ดูรายการที่ 10: "ความปลอดภัยของเครือข่าย: ระดับการรับรองความถูกต้องของ Lan Manager"
-
-
การกําหนดค่า
ที่มีความเสี่ยง ต่อไปนี้เป็นการตั้งค่าการกําหนดค่าที่เป็นอันตราย: การตั้งค่า การปล่อยให้ทั้งไคลเอ็นต์เครือข่ายของ Microsoft: เซ็นชื่อแบบดิจิทัลในการสื่อสาร (เสมอ) และไคลเอ็นต์เครือข่าย Microsoft: เซ็นชื่อแบบดิจิทัลในการสื่อสาร (ถ้าเซิร์ฟเวอร์ยอมรับ) ตั้งค่าเป็น "ไม่ได้กําหนด" หรือปิดใช้งาน การตั้งค่าเหล่านี้อนุญาตให้ตัวเปลี่ยนเส้นทางสามารถส่งรหัสผ่านข้อความธรรมดาไปยังเซิร์ฟเวอร์ที่ไม่ใช่ของ Microsoft SMB ที่ไม่สนับสนุนการเข้ารหัสลับรหัสผ่านระหว่างการรับรองความถูกต้อง -
เหตุผลในการเปิดใช้งานการตั้งค่า
นี้ การเปิดใช้งานไคลเอ็นต์เครือข่ายของ Microsoft: การสื่อสารแบบเซ็นชื่อแบบดิจิทัล (เสมอ) จําเป็นต้องให้ไคลเอ็นต์เซ็นชื่อในปริมาณการใช้งาน SMB เมื่อติดต่อเซิร์ฟเวอร์ที่ไม่จําเป็นต้องลงชื่อใน SMB การทําเช่นนี้จะทําให้ลูกค้ามีความเสี่ยงต่อการโจมตีจากการถูกขโมยเซสชันน้อยลง -
เหตุผลในการปิดใช้งานการตั้งค่านี้
-
การเปิดใช้งานไคลเอ็นต์เครือข่ายของ Microsoft: การเซ็นชื่อแบบดิจิทัลในการติดต่อสื่อสาร (เสมอ) จะป้องกันไม่ให้ไคลเอ็นต์สื่อสารกับเซิร์ฟเวอร์เป้าหมายที่ไม่สนับสนุนการเซ็นชื่อใน SMB
-
การกําหนดค่าคอมพิวเตอร์ให้ละเว้นการสื่อสาร SMB ที่ไม่มีลายเซ็นทั้งหมดจะป้องกันไม่ให้โปรแกรมและระบบปฏิบัติการก่อนหน้านี้เชื่อมต่อ
-
-
ชื่อสัญลักษณ์:
RequireSMBSignRdr -
เส้นทางรีจิสทรี:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
-
ตัวอย่างของปัญหาความเข้ากันได้
-
Windows NT 4.0: คุณจะไม่สามารถรีเซ็ตช่องทางที่ปลอดภัยของความเชื่อถือระหว่างโดเมน Windows Server 2003 และโดเมน Windows NT 4.0 โดยใช้ NLTEST หรือ NETDOM และคุณจะได้รับข้อความแสดงข้อผิดพลาด "การเข้าถึงถูกปฏิเสธ"
-
Windows XP: การคัดลอกไฟล์จากไคลเอ็นต์ Windows XP ไปยังเซิร์ฟเวอร์ที่ใช้ Windows 2000 และไปยังเซิร์ฟเวอร์ที่ใช้ Windows Server 2003 อาจใช้เวลามากขึ้น
-
คุณจะไม่สามารถแมปไดรฟ์เครือข่ายจากไคลเอ็นต์ที่เปิดใช้งานการตั้งค่านี้ และคุณจะได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้:
บัญชีไม่ได้รับอนุญาตให้เข้าสู่ระบบจากสถานีนี้
-
-
ความต้องการ
ในการรีสตาร์ต รีสตาร์ตคอมพิวเตอร์ หรือเริ่มบริการเวิร์กสเตชันใหม่ โดยพิมพ์คําสั่งต่อไปนี้ที่พร้อมท์คําสั่ง กด Enter หลังจากที่คุณพิมพ์แต่ละคําสั่งnet stop workstation
net start workstation
-
-
เซิร์ฟเวอร์เครือข่ายของ Microsoft: เซ็นชื่อแบบดิจิทัลในการสื่อสาร (เสมอ)
-
ภาพพื้นหลัง
-
Server Messenger Block (SMB) เป็นโพรโทคอลการแชร์ทรัพยากรที่ได้รับการสนับสนุนโดยระบบปฏิบัติการของ Microsoft หลายระบบ ซึ่งเป็นพื้นฐานของระบบอินพุต/เอาท์พุตพื้นฐานของเครือข่าย (NetBIOS) และโปรโตคอลอื่น ๆ อีกมากมาย การลงลายมือชื่อใน SMB จะรับรองความถูกต้องทั้งผู้ใช้และเซิร์ฟเวอร์ที่โฮสต์ข้อมูล หากด้านใดด้านหนึ่งล้มเหลวกระบวนการตรวจสอบสิทธิ์ การส่งข้อมูลจะไม่เกิดขึ้น
การเปิดใช้งานการลงลายมือชื่อใน SMB เริ่มต้นขึ้นระหว่างการเจรจาโพรโทคอล SMB นโยบายการลงลายมือชื่อใน SMB จะกําหนดว่าคอมพิวเตอร์จะเซ็นชื่อแบบดิจิทัลในการสื่อสารกับไคลเอ็นต์เสมอหรือไม่ โพรโทคอลการรับรองความถูกต้อง SMB ของ Windows 2000 สนับสนุนการรับรองความถูกต้องซึ่งกันและกัน การรับรองความถูกต้องซึ่งกันและกันจะปิดการโจมตี "man-in-the-middle" โพรโทคอลการรับรองความถูกต้อง SMB ของ Windows 2000 ยังสนับสนุนการรับรองความถูกต้องของข้อความด้วย การรับรองความถูกต้องของข้อความช่วยป้องกันการโจมตีข้อความที่ใช้งานอยู่ การตรวจสอบสิทธิ์นี้ให้กับคุณ การลงลายมือชื่อใน SMB จะใส่ลายเซ็นดิจิทัลลงใน SMB แต่ละรายการ ไคลเอ็นต์และเซิร์ฟเวอร์แต่ละรายการจะตรวจสอบลายเซ็นดิจิทัล เมื่อต้องการใช้การลงลายมือชื่อใน SMB คุณต้องเปิดใช้งานการลงลายมือชื่อใน SMB หรือต้องมีการลงลายมือชื่อใน SMB ทั้งในไคลเอ็นต์ SMB และเซิร์ฟเวอร์ SMB ถ้าการลงลายมือชื่อใน SMB ถูกเปิดใช้งานบนเซิร์ฟเวอร์ ไคลเอ็นต์ที่เปิดใช้งานสําหรับการเซ็น SMB ยังใช้โพรโทคอลการเซ็นชื่อแพคเก็ตระหว่างเซสชันที่ตามมาทั้งหมด ถ้าจําเป็นต้องมีการลงลายมือชื่อใน SMB บนเซิร์ฟเวอร์ ไคลเอ็นต์จะไม่สามารถสร้างเซสชันได้ เว้นแต่ว่าไคลเอ็นต์จะเปิดใช้งานหรือจําเป็นสําหรับการเซ็นชื่อใน SMB การเปิดใช้งานการลงชื่อเข้าใช้แบบดิจิทัลในเครือข่ายที่มีความปลอดภัยสูงจะช่วยป้องกันการเลียนแบบไคลเอ็นต์และเซิร์ฟเวอร์ การเลียนแบบชนิดนี้เรียกว่าการไฮแจ็คเซสชัน ผู้โจมตีที่มีสิทธิ์เข้าถึงเครือข่ายเดียวกันกับไคลเอ็นต์หรือเซิร์ฟเวอร์จะใช้เครื่องมือการขโมยเซสชันเพื่อขัดจังหวะ สิ้นสุด หรือขโมยเซสชันที่อยู่ระหว่างดําเนินการ ผู้โจมตีอาจสกัดกั้นและปรับเปลี่ยนแพคเก็ตตัวจัดการแบนด์วิดท์เครือข่ายย่อย (SBM) ที่ไม่มีการรับรอง ปรับเปลี่ยนปริมาณการใช้งาน แล้วส่งต่อเพื่อให้เซิร์ฟเวอร์อาจดําเนินการที่ไม่ต้องการได้ หรือผู้โจมตีอาจทําหน้าที่เป็นเซิร์ฟเวอร์หรือเป็นไคลเอ็นต์หลังจากการรับรองความถูกต้องที่ถูกต้อง จากนั้นจะสามารถเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต โพรโทคอล SMB ที่ใช้สําหรับการใช้แฟ้มร่วมกันและการพิมพ์ร่วมกันในคอมพิวเตอร์ที่ใช้ Windows 2000 Server, Windows 2000 Professional, Windows XP Professional หรือ Windows Server 2003 สนับสนุนการรับรองความถูกต้องซึ่งกันและกัน การรับรองความถูกต้องซึ่งกันและกันจะปิดเซสชันการโจรกรรมและสนับสนุนการรับรองความถูกต้องข้อความ ดังนั้นจึงป้องกันการโจมตีแบบ man-in-the-middle การลงลายมือชื่อใน SMB จะให้การรับรองความถูกต้องนี้โดยการวางลายเซ็นดิจิทัลในแต่ละ SMB ไคลเอ็นต์และเซิร์ฟเวอร์จะตรวจสอบลายเซ็น -
เพื่อเป็นการป้องกันอีกวิธีหนึ่ง คุณสามารถเปิดใช้งานลายเซ็นดิจิทัลด้วย IPSec เพื่อช่วยปกป้องการรับส่งข้อมูลเครือข่ายทั้งหมด มีตัวเร่งที่ใช้ฮาร์ดแวร์สําหรับการเข้ารหัส IPSec และการเซ็นชื่อที่คุณสามารถใช้เพื่อลดผลกระทบต่อประสิทธิภาพการทํางานจาก CPU ของเซิร์ฟเวอร์ ไม่มีตัวเร่งดังกล่าวที่พร้อมใช้งานสําหรับการลงลายมือชื่อใน SMB
-
ใน Windows 95, Windows 98 และ Windows 98 Second Edition ไคลเอ็นต์บริการไดเรกทอรีจะใช้การเซ็นชื่อใน SMB เมื่อตรวจสอบสิทธิ์กับเซิร์ฟเวอร์ Windows Server 2003 โดยใช้การรับรองความถูกต้อง NTLM อย่างไรก็ตาม ไคลเอนต์เหล่านี้ไม่ใช้การเซ็นชื่อใน SMB เมื่อพวกเขารับรองความถูกต้องกับเซิร์ฟเวอร์เหล่านี้ โดยใช้การรับรองความถูกต้อง NTLMv2 นอกจากนี้ เซิร์ฟเวอร์ Windows 2000 ไม่ตอบสนองต่อการร้องขอการลงลายมือชื่อใน SMB จากไคลเอ็นต์เหล่านี้ สําหรับข้อมูลเพิ่มเติม ให้ดูรายการที่ 10: "ความปลอดภัยของเครือข่าย: ระดับการรับรองความถูกต้องของ Lan Manager"
-
-
การกําหนดค่า
ที่มีความเสี่ยง ต่อไปนี้เป็นการตั้งค่าการกําหนดค่าที่เป็นอันตราย: การเปิดใช้งานเซิร์ฟเวอร์เครือข่ายของ Microsoft: เซ็นชื่อแบบดิจิทัลในการสื่อสาร (เสมอ) บนเซิร์ฟเวอร์และบนตัวควบคุมโดเมนที่เข้าถึงโดยคอมพิวเตอร์ที่ใช้ Windows ที่เข้ากันไม่ได้ และคอมพิวเตอร์ไคลเอ็นต์ที่ใช้ระบบปฏิบัติการอื่นในโดเมนภายในหรือภายนอก -
เหตุผลในการเปิดใช้งานการตั้งค่านี้
-
คอมพิวเตอร์ไคลเอนต์ทั้งหมดที่เปิดใช้งานการตั้งค่านี้โดยตรงผ่านรีจิสทรีหรือผ่านการตั้งค่านโยบายกลุ่มสนับสนุนการลงลายมือชื่อใน SMB กล่าวอีกนัยหนึ่ง คอมพิวเตอร์ไคลเอ็นต์ทั้งหมดที่เปิดใช้งานการตั้งค่านี้
-
หากเซิร์ฟเวอร์เครือข่าย Microsoft: การสื่อสารแบบเซ็นชื่อแบบดิจิทัล (เสมอ) ถูกปิดใช้งาน การลงลายมือชื่อใน SMB จะถูกปิดใช้งานอย่างสมบูรณ์ การปิดใช้งานการลงลายมือชื่อใน SMB ทั้งหมดจะทําให้คอมพิวเตอร์มีความเสี่ยงต่อการโจมตีจากการถูกขโมยเซสชัน
-
-
เหตุผลในการปิดใช้งานการตั้งค่านี้
-
การเปิดใช้งานการตั้งค่านี้อาจทําให้การคัดลอกแฟ้มและประสิทธิภาพของเครือข่ายในคอมพิวเตอร์ไคลเอ็นต์ช้าลง
-
การเปิดใช้งานการตั้งค่านี้จะป้องกันไม่ให้ไคลเอ็นต์ไม่สามารถเจรจาต่อรองการลงลายมือชื่อใน SMB จากการสื่อสารกับเซิร์ฟเวอร์และกับตัวควบคุมโดเมน ซึ่งทําให้การดําเนินการต่างๆ เช่น การเข้าร่วมโดเมน การรับรองความถูกต้องของผู้ใช้และคอมพิวเตอร์ หรือการเข้าถึงเครือข่ายโดยโปรแกรมล้มเหลว
-
-
ชื่อสัญลักษณ์:
RequireSMBSignServer -
เส้นทางรีจิสทรี:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)
-
ตัวอย่างของปัญหาความเข้ากันได้
-
Windows 95: ไคลเอ็นต์ Windows 95 ที่ไม่ได้ติดตั้งไคลเอ็นต์บริการไดเรกทอรี (DS) จะล้มเหลวในการรับรองความถูกต้องการเข้าสู่ระบบ และจะได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้:
รหัสผ่านโดเมนที่คุณระบุไม่ถูกต้อง หรือการเข้าใช้ล็อกออนเซิร์ฟเวอร์ของคุณถูกปฏิเสธ
-
Windows NT 4.0: ไคลเอ็นต์คอมพิวเตอร์ที่ใช้ Windows NT 4.0 รุ่นที่เก่ากว่า Service Pack 3 (SP3) จะล้มเหลวในการเข้าสู่ระบบ และจะได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้:
ระบบไม่สามารถให้คุณเข้าสู่ระบบได้ ตรวจสอบให้แน่ใจว่าชื่อผู้ใช้และโดเมนของคุณถูกต้อง แล้วพิมพ์รหัสผ่านของคุณอีกครั้ง
เซิร์ฟเวอร์ SMB ที่ไม่ใช่ของ Microsoft บางเซิร์ฟเวอร์สนับสนุนเฉพาะการแลกเปลี่ยนรหัสผ่านที่ไม่ได้เข้ารหัสลับระหว่างการรับรองความถูกต้องเท่านั้น (การแลกเปลี่ยนเหล่านี้เรียกอีกอย่างว่าการแลกเปลี่ยน "ข้อความธรรมดา") สําหรับ Windows NT 4.0 SP3 และเวอร์ชันที่ใหม่กว่า ตัวเปลี่ยนเส้นทาง SMB จะไม่ส่งรหัสผ่านที่เข้ารหัสลับระหว่างการรับรองความถูกต้องไปยังเซิร์ฟเวอร์ SMB เว้นแต่คุณจะเพิ่มรายการรีจิสทรีเฉพาะ
หากต้องการเปิดใช้งานรหัสผ่านที่ไม่ได้เข้ารหัสลับสําหรับไคลเอ็นต์ SMB บน Windows NT 4.0 SP 3 และระบบที่ใหม่กว่า ให้แก้ไขรีจิสทรีดังนี้: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters ชื่อค่า: EnablePlainTextPassword ชนิดข้อมูล: REG_DWORD ข้อมูล: 1 -
Windows Server 2003: ตามค่าเริ่มต้น การตั้งค่าความปลอดภัยบนตัวควบคุมโดเมนที่ใช้ Windows Server 2003 จะได้รับการกําหนดค่าเพื่อช่วยป้องกันการติดต่อสื่อสารตัวควบคุมโดเมนไม่ให้ถูกสกัดกั้นหรือแก้ไขข้อมูลโดยผู้ใช้ที่เป็นอันตราย เพื่อให้ผู้ใช้สามารถสื่อสารกับตัวควบคุมโดเมนที่ใช้ Windows Server 2003 ได้สําเร็จ คอมพิวเตอร์ไคลเอ็นต์ต้องใช้ทั้งการเซ็นชื่อใน SMB และการเข้ารหัสลับ หรือการรับรองการรับส่งข้อมูลในช่องสัญญาณที่ปลอดภัย โดยค่าเริ่มต้น ไคลเอ็นต์ที่ใช้ Windows NT 4.0 ที่มี Service Pack 2 (SP2) หรือติดตั้งไว้ก่อนหน้า และไคลเอ็นต์ที่ใช้ Windows 95 ไม่มีการเปิดใช้งานการลงชื่อในแพคเก็ต SMB ดังนั้น ไคลเอนต์เหล่านี้อาจไม่สามารถรับรองความถูกต้องไปยังตัวควบคุมโดเมนที่ใช้ Windows Server 2003
-
การตั้งค่านโยบาย Windows 2000 และ Windows Server 2003: เราขอแนะนําให้คุณตั้งค่าการตั้งค่านโยบายต่อไปนี้ที่เอนทิตีต่ําสุดของขอบเขตที่จําเป็นใน Microsoft Management Console นโยบายกลุ่มลําดับชั้นสแนปอินของตัวแก้ไข
-
Computer Configuration\ความปลอดภัยของ Windows Settings\Security Options
-
ส่งรหัสผ่านแบบไม่เข้ารหัสลับเพื่อเชื่อมต่อกับเซิร์ฟเวอร์ SMB ของบริษัทอื่น (การตั้งค่านี้มีไว้สําหรับ Windows 2000)
-
ไคลเอ็นต์เครือข่ายของ Microsoft: ส่งรหัสผ่านที่ไม่เข้ารหัสลับไปยังเซิร์ฟเวอร์ SMB ของบริษัทอื่น (การตั้งค่านี้สําหรับ Windows Server 2003)
-
-
ไคลเอ็นต์ต่อไปนี้เข้ากันไม่ได้กับเซิร์ฟเวอร์เครือข่ายของ Microsoft: การตั้งค่าการสื่อสารแบบดิจิทัล (เสมอ):
-
ไคลเอ็นต์ Apple Computer, Inc., Mac OS X
-
ไคลเอ็นต์เครือข่าย MICROSOFT MS-DOS (ตัวอย่างเช่น Microsoft LAN Manager)
-
ไคลเอ็นต์ Microsoft Windows สําหรับเวิร์กกรุ๊ป
-
ไคลเอ็นต์ Microsoft Windows 95 ที่ไม่ได้ติดตั้งไคลเอ็นต์ DS
-
คอมพิวเตอร์ที่ใช้ Microsoft Windows NT 4.0 ที่ไม่ได้ติดตั้ง SP3 หรือใหม่กว่า
-
ไคลเอ็นต์ Novell Netware 6 CIFS
-
ไคลเอ็นต์ SMB ของ SAMBA ที่ไม่มีการสนับสนุนการลงลายมือชื่อใน SMB
-
-
-
ความต้องการ
ในการรีสตาร์ต รีสตาร์ตคอมพิวเตอร์ หรือเริ่มบริการเซิร์ฟเวอร์ใหม่ โดยพิมพ์คําสั่งต่อไปนี้ที่พร้อมท์คําสั่ง กด Enter หลังจากที่คุณพิมพ์แต่ละคําสั่งnet stop server
net start server
-
-
การเข้าถึงเครือข่าย: อนุญาตการแปล SID/ชื่อแบบไม่ระบุชื่อ
-
พื้น หลัง
การเข้าถึงเครือข่าย: อนุญาตการตั้งค่าความปลอดภัยการแปล SID/ชื่อแบบไม่ระบุชื่อจะกําหนดว่าผู้ใช้ที่ไม่ระบุชื่อสามารถร้องขอแอตทริบิวต์หมายเลขรหัสความปลอดภัย (SID) สําหรับผู้ใช้อื่นได้หรือไม่ -
การกําหนดค่า
ที่มีความเสี่ยง การเปิดใช้งานการเข้าถึงเครือข่าย: อนุญาตการตั้งค่าการแปล SID/ชื่อแบบไม่ระบุชื่อเป็นการตั้งค่าการกําหนดค่าที่เป็นอันตราย -
เหตุผลในการเปิดใช้งานการตั้งค่า
นี้ ถ้าการตั้งค่า การเข้าถึงเครือข่าย: อนุญาตการแปล SID/ชื่อแบบไม่ระบุชื่อ ถูกปิดใช้งาน ระบบปฏิบัติการหรือแอปพลิเคชันก่อนหน้านี้อาจไม่สามารถสื่อสารกับโดเมน Windows Server 2003 ได้ ตัวอย่างเช่น ระบบปฏิบัติการ บริการ หรือแอปพลิเคชันต่อไปนี้อาจไม่ทํางาน:-
เซิร์ฟเวอร์บริการการเข้าถึงระยะไกลของ Windows NT 4.0
-
Microsoft SQL Serverที่ทํางานบนคอมพิวเตอร์ที่ใช้ Windows NT 3.x หรือคอมพิวเตอร์ที่ใช้ Windows NT 4.0
-
บริการการเข้าถึงระยะไกลที่ทํางานบนคอมพิวเตอร์ที่ใช้ Windows 2000 ที่อยู่ในโดเมน Windows NT 3.x หรือโดเมน Windows NT 4.0
-
SQL Serverที่ทํางานบนคอมพิวเตอร์ที่ใช้ Windows 2000 ที่อยู่ในโดเมน Windows NT 3.x หรือในโดเมน Windows NT 4.0
-
ผู้ใช้ในโดเมนทรัพยากร Windows NT 4.0 ที่ต้องการให้สิทธิ์ในการเข้าถึงไฟล์ โฟลเดอร์ที่แชร์ และวัตถุรีจิสทรีไปยังบัญชีผู้ใช้จากโดเมนบัญชีผู้ใช้ที่มีตัวควบคุมโดเมน Windows Server 2003
-
-
เหตุผลในการปิดใช้งานการตั้งค่า
นี้ หากมีการเปิดใช้งานการตั้งค่านี้ ผู้ใช้ที่เป็นอันตรายอาจใช้ SID ของผู้ดูแลระบบที่รู้จักกันดีเพื่อรับชื่อจริงของบัญชีผู้ดูแลระบบที่มีอยู่แล้วภายใน แม้ว่าบัญชีนั้นจะถูกเปลี่ยนชื่อก็ตาม จากนั้นบุคคลนั้นจะสามารถใช้ชื่อบัญชีเพื่อเริ่มการโจมตีโดยใช้รหัสผ่านเพื่อคาดเดารหัสผ่านได้ -
ชื่อสัญลักษณ์: N/A
-
เส้นทางรีจิสทรี: ไม่มี มีการระบุพาธในรหัส UI
-
ตัวอย่างของปัญหา
ความเข้ากันได้ Windows NT 4.0: คอมพิวเตอร์ในโดเมนทรัพยากร Windows NT 4.0 จะแสดงข้อความแสดงข้อผิดพลาด "บัญชีที่ไม่รู้จัก" ใน ACL Editor ถ้าทรัพยากร รวมถึงโฟลเดอร์ที่แชร์ ไฟล์ที่แชร์ และวัตถุรีจิสทรี ได้รับการรักษาความปลอดภัยด้วยหลักเกณฑ์การรักษาความปลอดภัยที่อยู่ในโดเมนบัญชีที่มีตัวควบคุมโดเมน Windows Server 2003
-
-
การเข้าถึงเครือข่าย: ไม่อนุญาตให้แจงนับ SAM แบบไม่ระบุชื่อของบัญชี SAM
-
ภาพพื้นหลัง
-
การเข้าถึงเครือข่าย: ไม่อนุญาตให้มีการแจงนับแบบไม่ระบุชื่อของการตั้งค่าบัญชี SAM กําหนดว่าจะให้สิทธิ์เพิ่มเติมใดสําหรับการเชื่อมต่อกับคอมพิวเตอร์แบบไม่ระบุชื่อ Windows อนุญาตให้ผู้ใช้ที่ไม่ระบุชื่อทํากิจกรรมบางอย่าง เช่น การแจกแจงชื่อของเวิร์กสเตชันและบัญชีตัวจัดการบัญชีความปลอดภัยของเซิร์ฟเวอร์ (SAM) และการแชร์เครือข่าย ตัวอย่างเช่น ผู้ดูแลระบบสามารถใช้สิทธิ์นี้เพื่อให้สิทธิ์การเข้าถึงแก่ผู้ใช้ในโดเมนที่เชื่อถือได้ซึ่งไม่ได้รักษาความเชื่อถือซึ่งกันและกัน เมื่อเซสชันถูกสร้างขึ้น ผู้ใช้ที่ไม่ระบุชื่ออาจมีสิทธิ์การเข้าถึงเดียวกันกับที่มอบให้กับกลุ่ม ทุกคน โดยยึดตามการตั้งค่าในการเข้าถึงเครือข่าย: อนุญาตให้ทุกคนนําสิทธิ์ไปใช้กับการตั้งค่าผู้ใช้ที่ไม่ระบุชื่อ หรือรายการควบคุมการเข้าถึงตามดุลยพินิจ (DACL) ของวัตถุ
โดยทั่วไป การเชื่อมต่อที่ไม่ระบุชื่อจะถูกร้องขอโดยไคลเอ็นต์เวอร์ชันก่อนหน้า (ไคลเอ็นต์ระดับล่าง) ระหว่างการตั้งค่าเซสชัน SMB ในกรณีเหล่านี้ การติดตามเครือข่ายแสดงให้เห็นว่า SMB Process ID (PID) เป็นตัวเปลี่ยนเส้นทางไคลเอ็นต์ เช่น 0xFEFF ใน Windows 2000 หรือ 0xCAFE ใน Windows NT นอกจากนี้ RPC อาจพยายามทําการเชื่อมต่อแบบไม่ระบุชื่อ -
สําคัญ การตั้งค่านี้ไม่มีผลต่อตัวควบคุมโดเมน บนตัวควบคุมโดเมน ลักษณะการทํางานนี้จะถูกควบคุมโดยการแสดงตนของ "NT AUTHORITY\ANONYMOUS LOGON" ใน "การเข้าถึงที่เข้ากันได้ก่อน Windows 2000"
-
ใน Windows 2000 การตั้งค่าที่คล้ายกันที่เรียกว่า ข้อจํากัดเพิ่มเติมสําหรับการเชื่อมต่อแบบไม่ระบุชื่อ จะจัดการค่ารีจิสทรี RestrictAnonymous ตําแหน่งที่ตั้งของค่านี้จะเป็นดังต่อไปนี้
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
-
-
การกําหนดค่าที่มี
ความเสี่ยง การเปิดใช้งานการเข้าถึงเครือข่าย: ไม่อนุญาตให้มีการแจงนับแบบไม่ระบุชื่อของการตั้งค่าบัญชี SAM เป็นการตั้งค่าการกําหนดค่าที่เป็นอันตรายจากมุมมองความเข้ากันได้ การปิดใช้งานเป็นการตั้งค่าการกําหนดค่าที่เป็นอันตรายจากมุมมองความปลอดภัย -
เหตุผลในการเปิดใช้งานการตั้งค่า
นี้ ผู้ใช้ที่ไม่ได้รับอนุญาตอาจแสดงรายชื่อบัญชีแบบไม่ระบุชื่อ แล้วใช้ข้อมูลนี้เพื่อพยายามคาดเดารหัสผ่านหรือทําการโจมตีทางวิศวกรรมทางสังคม วิศวกรรมสังคมเป็นศัพท์แสงที่หมายถึงการหลอกให้ผู้คนเปิดเผยรหัสผ่านหรือข้อมูลความปลอดภัยบางรูปแบบ -
เหตุผลในการปิดใช้งานการตั้งค่า
นี้ หากเปิดใช้งานการตั้งค่านี้ คุณจะไม่สามารถสร้างความเชื่อถือกับโดเมน Windows NT 4.0 ได้ การตั้งค่านี้ยังก่อให้เกิดปัญหากับไคลเอ็นต์ระดับล่าง (เช่น ไคลเอ็นต์ Windows NT 3.51 และไคลเอ็นต์ Windows 95) ที่พยายามใช้ทรัพยากรบนเซิร์ฟเวอร์ -
ชื่อสัญลักษณ์:
RestrictAnonymousSAM -
เส้นทางรีจิสทรี:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)
-
ตัวอย่างของปัญหาความเข้ากันได้
-
การค้นพบเครือข่าย SMS จะไม่สามารถรับข้อมูลระบบปฏิบัติการและจะเขียน "ไม่รู้จัก" ในคุณสมบัติ OperatingSystemNameandVersion
-
Windows 95, Windows 98: ไคลเอ็นต์ Windows 95 และไคลเอ็นต์ Windows 98 จะไม่สามารถเปลี่ยนรหัสผ่านของตนได้
-
Windows NT 4.0: คอมพิวเตอร์ที่ใช้ Windows NT 4.0 จะไม่สามารถรับรองความถูกต้องได้
-
Windows 95, Windows 98: คอมพิวเตอร์ที่ใช้ Windows 95 และ Windows 98 จะไม่สามารถรับรองความถูกต้องโดยตัวควบคุมโดเมน Microsoft ได้
-
Windows 95, Windows 98: ผู้ใช้ที่ใช้ Windows 95 และคอมพิวเตอร์ที่ใช้ Windows 98 จะไม่สามารถเปลี่ยนรหัสผ่านสําหรับบัญชีผู้ใช้ของตนได้
-
-
การเข้าถึงเครือข่าย: ไม่อนุญาตให้แจงนับ SAM แบบไม่ระบุชื่อของบัญชีและการใช้ร่วมกัน
-
ภาพพื้นหลัง
-
การเข้าถึงเครือข่าย: ไม่อนุญาตให้แจงนับแบบไม่ระบุชื่อของบัญชี SAM และการตั้งค่าการแชร์ (หรือที่เรียกว่า RestrictAnonymous) กําหนดว่าอนุญาตให้ใช้การแจงนับบัญชี Security Accounts Manager (SAM) และการใช้ร่วมกันแบบไม่ระบุชื่อหรือไม่ Windows อนุญาตให้ผู้ใช้ที่ไม่ระบุชื่อทํากิจกรรมบางอย่าง เช่น แจกแจงชื่อของบัญชีโดเมน (ผู้ใช้ คอมพิวเตอร์ และกลุ่ม) และการแชร์เครือข่าย การดําเนินการนี้สะดวก ตัวอย่างเช่น เมื่อผู้ดูแลระบบต้องการให้สิทธิ์การเข้าถึงแก่ผู้ใช้ในโดเมนที่เชื่อถือได้ซึ่งไม่ได้รักษาความน่าเชื่อถือซึ่งกันและกัน หากคุณไม่ต้องการอนุญาตการแจงนับแบบไม่ระบุชื่อของบัญชี SAM และการแชร์ ให้เปิดใช้งานการตั้งค่านี้
-
ใน Windows 2000 การตั้งค่าที่คล้ายกันที่เรียกว่า ข้อจํากัดเพิ่มเติมสําหรับการเชื่อมต่อแบบไม่ระบุชื่อ จะจัดการค่ารีจิสทรี RestrictAnonymous ตําแหน่งที่ตั้งของค่านี้จะเป็นดังต่อไปนี้:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
-
-
การกําหนดค่า
ที่มีความเสี่ยง การเปิดใช้งานการเข้าถึงเครือข่าย: ไม่อนุญาตให้แจงนับแบบไม่ระบุชื่อของบัญชี SAM และการตั้งค่าการใช้ร่วมกันเป็นการตั้งค่าการกําหนดค่าที่เป็นอันตราย -
เหตุผลในการเปิดใช้งานการตั้งค่านี้
-
การเปิดใช้งานการเข้าถึงเครือข่าย: ไม่อนุญาตให้แจงนับแบบไม่ระบุชื่อของบัญชี SAM และการตั้งค่าการใช้ร่วมกันป้องกันการแจงนับบัญชี SAM และการใช้ร่วมกันโดยผู้ใช้และคอมพิวเตอร์ที่ใช้บัญชีที่ไม่ระบุชื่อ
-
-
เหตุผลในการปิดใช้งานการตั้งค่านี้
-
หากเปิดใช้งานการตั้งค่านี้ ผู้ใช้ที่ไม่ได้รับอนุญาตอาจแสดงรายการชื่อบัญชีแบบไม่ระบุชื่อ แล้วใช้ข้อมูลนี้เพื่อพยายามคาดเดารหัสผ่านหรือทําการโจมตีทางวิศวกรรมทางสังคม วิศวกรรมสังคมเป็นศัพท์เชิงรุกที่หมายถึงการหลอกให้ผู้คนเปิดเผยรหัสผ่านหรือข้อมูลความปลอดภัยบางรูปแบบ
-
หากเปิดใช้งานการตั้งค่านี้ คุณจะไม่สามารถสร้างความเชื่อถือกับโดเมน Windows NT 4.0 ได้ การตั้งค่านี้ยังทําให้เกิดปัญหากับไคลเอ็นต์ระดับล่าง เช่น ไคลเอ็นต์ Windows NT 3.51 และ Windows 95 ที่พยายามใช้ทรัพยากรบนเซิร์ฟเวอร์
-
จะไม่สามารถให้สิทธิ์การเข้าถึงแก่ผู้ใช้ของโดเมนทรัพยากรได้ เนื่องจากผู้ดูแลระบบในโดเมนที่เชื่อถือจะไม่สามารถแจงนับรายการบัญชีในโดเมนอื่นได้ ผู้ใช้ที่เข้าถึงไฟล์และเซิร์ฟเวอร์การพิมพ์โดยไม่ระบุชื่อจะไม่สามารถแสดงรายการทรัพยากรเครือข่ายที่ใช้ร่วมกันบนเซิร์ฟเวอร์เหล่านั้น ผู้ใช้ต้องรับรองความถูกต้องก่อน จึงจะสามารถดูรายการของโฟลเดอร์และเครื่องพิมพ์ที่ใช้ร่วมกันได้
-
-
ชื่อสัญลักษณ์:
RestrictAnonymous -
เส้นทางรีจิสทรี:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
-
ตัวอย่างของปัญหาความเข้ากันได้
-
Windows NT 4.0: ผู้ใช้จะไม่สามารถเปลี่ยนรหัสผ่านของตนจากเวิร์กสเตชัน Windows NT 4.0 เมื่อเปิดใช้งาน RestrictAnonymous บนตัวควบคุมโดเมนในโดเมนของผู้ใช้
-
Windows NT 4.0: การเพิ่มผู้ใช้หรือกลุ่มส่วนกลางจากโดเมน Windows 2000 ที่เชื่อถือได้ไปยังกลุ่มภายในของ Windows NT 4.0 ในตัวจัดการผู้ใช้จะล้มเหลว และข้อความแสดงข้อผิดพลาดต่อไปนี้จะปรากฏขึ้น:
ขณะนี้ยังไม่มีเซิร์ฟเวอร์การเข้าสู่ระบบที่พร้อมใช้งานสําหรับให้บริการการร้องขอการเข้าสู่ระบบ
-
Windows NT 4.0: คอมพิวเตอร์ที่ใช้ Windows NT 4.0 จะไม่สามารถเข้าร่วมโดเมนระหว่างการตั้งค่าหรือโดยใช้ส่วนติดต่อผู้ใช้ที่เข้าร่วมโดเมน
-
Windows NT 4.0: การสร้างความเชื่อถือระดับล่างกับโดเมนทรัพยากร Windows NT 4.0 จะล้มเหลว ข้อความแสดงข้อผิดพลาดต่อไปนี้จะปรากฏขึ้นเมื่อ RestrictAnonymous ถูกเปิดใช้งานบนโดเมนที่เชื่อถือได้:
ไม่พบตัวควบคุมโดเมนสําหรับโดเมนนี้
-
Windows NT 4.0: ผู้ใช้ที่เข้าสู่ระบบคอมพิวเตอร์เทอร์มินัลเซิร์ฟเวอร์ที่ใช้ Windows NT 4.0 จะแมปไปยังไดเรกทอรีหลักเริ่มต้นแทนไดเรกทอรีหลักที่กําหนดไว้ในตัวจัดการผู้ใช้สําหรับโดเมน
-
Windows NT 4.0: ตัวควบคุมโดเมนสํารอง (BDC) ของ Windows NT 4.0 จะไม่สามารถเริ่มบริการการเข้าสู่ระบบ Net รับรายการเบราว์เซอร์สํารอง หรือซิงโครไนซ์ฐานข้อมูล SAM จาก Windows 2000 หรือจากตัวควบคุมโดเมน Windows Server 2003 ในโดเมนเดียวกัน
-
Windows 2000: คอมพิวเตอร์สมาชิกที่ใช้ Windows 2000 ในโดเมน Windows NT 4.0 จะไม่สามารถดูเครื่องพิมพ์ในโดเมนภายนอกได้ ถ้าการตั้งค่า ไม่มีการเข้าถึงโดยไม่มีสิทธิ์แบบไม่ระบุชื่อ เปิดใช้งานในนโยบายความปลอดภัยภายในเครื่องของคอมพิวเตอร์ไคลเอ็นต์
-
ผู้ใช้โดเมน Windows 2000: Windows 2000 จะไม่สามารถเพิ่มเครื่องพิมพ์เครือข่ายจาก Active Directory ได้ อย่างไรก็ตาม พวกเขาจะสามารถเพิ่มเครื่องพิมพ์หลังจากที่เลือกเครื่องพิมพ์เหล่านั้นจากมุมมองแบบทรีได้
-
Windows 2000: บนคอมพิวเตอร์ที่ใช้ Windows 2000 ตัวแก้ไข ACL จะไม่สามารถเพิ่มผู้ใช้หรือกลุ่มส่วนกลางจากโดเมน Windows NT 4.0 ที่เชื่อถือได้
-
ADMT เวอร์ชัน 2: การโยกย้ายรหัสผ่านสําหรับบัญชีผู้ใช้ที่ถูกโยกย้ายระหว่างฟอเรสต์ด้วย Active Directory Migration Tool (ADMT) เวอร์ชัน 2 จะล้มเหลว
สําหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:322981 วิธีแก้ไขปัญหาการโยกย้ายรหัสผ่านระหว่างฟอเรสต์ด้วย ADMTv2
-
ไคลเอ็นต์ Outlook: สมุดรายชื่อส่วนกลางจะปรากฏว่างเปล่าสําหรับไคลเอ็นต์ Microsoft Exchange Outlook
-
SMS: การค้นพบเครือข่าย Microsoft Systems Management Server (SMS) จะไม่สามารถรับข้อมูลระบบปฏิบัติการได้ ดังนั้นจึงจะเขียน "ไม่รู้จัก" ในคุณสมบัติ OperatingSystemNameandVersion ของคุณสมบัติ SMS DDR ของระเบียนข้อมูลการค้นพบ (DDR)
-
SMS: เมื่อคุณใช้ตัวช่วยสร้างผู้ใช้ผู้ดูแลระบบ SMS เพื่อเรียกดูผู้ใช้และกลุ่ม จะไม่มีผู้ใช้หรือกลุ่มแสดงอยู่ในรายการ นอกจากนี้ ไคลเอ็นต์ขั้นสูงไม่สามารถสื่อสารกับจุดการจัดการได้ จําเป็นต้องมีการเข้าถึงแบบไม่ระบุชื่อในจุดการจัดการ
-
SMS: เมื่อคุณกําลังใช้คุณลักษณะการค้นพบเครือข่ายใน SMS 2.0 และในการติดตั้งไคลเอ็นต์ระยะไกลโดยเปิดตัวเลือกการค้นหาเครือข่ายโทโพโลยี ไคลเอ็นต์ และระบบปฏิบัติการไคลเอ็นต์ ไว้ คอมพิวเตอร์อาจพบแต่ไม่สามารถติดตั้งได้
-
-
-
ความปลอดภัยของเครือข่าย: ระดับการรับรองความถูกต้องของ Lan Manager
-
พื้น หลัง
การรับรองความถูกต้องของ LAN Manager (LM) คือโพรโทคอลที่ใช้ในการรับรองความถูกต้องของไคลเอ็นต์ Windows สําหรับการทํางานของเครือข่าย รวมถึงการเข้าร่วมโดเมน การเข้าถึงทรัพยากรเครือข่าย และการรับรองความถูกต้องของผู้ใช้หรือคอมพิวเตอร์ ระดับการรับรองความถูกต้องของ LM จะกําหนดว่าโพรโทคอลการรับรองความถูกต้องสําหรับความท้าทาย/การตอบสนองใดที่จะถูกตรวจสอบระหว่างไคลเอ็นต์และคอมพิวเตอร์เซิร์ฟเวอร์ โดยเฉพาะอย่างยิ่ง ระดับการรับรองความถูกต้อง LM จะกําหนดโพรโทคอลการรับรองความถูกต้องที่ไคลเอ็นต์จะพยายามเจรจา หรือเซิร์ฟเวอร์จะยอมรับ ค่าที่ตั้งค่าสําหรับ LmCompatibilityLevel จะกําหนดว่าโพรโทคอลการรับรองความถูกต้องสําหรับความท้าทาย/การตอบสนองใดที่ใช้สําหรับการเข้าสู่ระบบเครือข่าย ค่านี้มีผลต่อระดับของโพรโทคอลการรับรองความถูกต้องที่ไคลเอ็นต์ใช้ ระดับความปลอดภัยของเซสชันที่เจรจาและระดับการรับรองความถูกต้องที่เซิร์ฟเวอร์ยอมรับ การตั้งค่าที่เป็นไปได้มีดังต่อไปนี้ค่า
การตั้งค่า
คำอธิบาย
0
ส่งการตอบสนอง LM & NTLM
ไคลเอ็นต์ใช้การรับรองความถูกต้อง LM และ NTLM และไม่ใช้ความปลอดภัยของเซสชัน NTLMv2 ตัวควบคุมโดเมนยอมรับการรับรองความถูกต้องของ LM, NTLM และ NTLMv2
1
ส่ง LM & NTLM - ใช้ความปลอดภัยของเซสชัน NTLMv2 ถ้าตรวจสอบ
ไคลเอ็นต์ใช้การรับรองความถูกต้อง LM และ NTLM และใช้ความปลอดภัยของเซสชัน NTLMv2 ถ้าเซิร์ฟเวอร์สนับสนุน ตัวควบคุมโดเมนยอมรับการรับรองความถูกต้องของ LM, NTLM และ NTLMv2
2
ส่งการตอบสนอง NTLM เท่านั้น
ไคลเอ็นต์ใช้การรับรองความถูกต้องของ NTLM เท่านั้น และใช้ความปลอดภัยของเซสชัน NTLMv2 ถ้าเซิร์ฟเวอร์สนับสนุน ตัวควบคุมโดเมนยอมรับการรับรองความถูกต้องของ LM, NTLM และ NTLMv2
3
ส่งการตอบสนอง NTLMv2 เท่านั้น
ไคลเอ็นต์ใช้การรับรองความถูกต้อง NTLMv2 เท่านั้น และใช้ความปลอดภัยของเซสชัน NTLMv2 ถ้าเซิร์ฟเวอร์สนับสนุน ตัวควบคุมโดเมนยอมรับการรับรองความถูกต้องของ LM, NTLM และ NTLMv2
4
ส่งการตอบสนอง NTLMv2 เท่านั้น/ปฏิเสธ LM
ไคลเอ็นต์ใช้การรับรองความถูกต้อง NTLMv2 เท่านั้น และใช้ความปลอดภัยของเซสชัน NTLMv2 ถ้าเซิร์ฟเวอร์สนับสนุน ตัวควบคุมโดเมนปฏิเสธ LM และยอมรับเฉพาะการรับรองความถูกต้อง NTLM และ NTLMv2 เท่านั้น
5
ส่งการตอบสนอง NTLMv2 เท่านั้น/ปฏิเสธ LM & NTLM
ไคลเอ็นต์ใช้การรับรองความถูกต้อง NTLMv2 เท่านั้น และใช้ความปลอดภัยของเซสชัน NTLMv2 ถ้าเซิร์ฟเวอร์สนับสนุน ตัวควบคุมโดเมนปฏิเสธ LM และ NTLM และยอมรับเฉพาะการรับรองความถูกต้อง NTLMv2 เท่านั้น
หมายเหตุ ใน Windows 95, Windows 98 และ Windows 98 Second Edition ไคลเอ็นต์บริการไดเรกทอรีจะใช้การเซ็น SMB เมื่อตรวจสอบสิทธิ์กับเซิร์ฟเวอร์ Windows Server 2003 โดยใช้การรับรองความถูกต้อง NTLM อย่างไรก็ตาม ไคลเอนต์เหล่านี้ไม่ใช้การเซ็นชื่อใน SMB เมื่อพวกเขารับรองความถูกต้องกับเซิร์ฟเวอร์เหล่านี้ โดยใช้การรับรองความถูกต้อง NTLMv2 นอกจากนี้ เซิร์ฟเวอร์ Windows 2000 ไม่ตอบสนองต่อการร้องขอการลงลายมือชื่อใน SMB จากไคลเอ็นต์เหล่านี้
ตรวจสอบระดับการรับรองความถูกต้องของ LM: คุณต้องเปลี่ยนนโยบายบนเซิร์ฟเวอร์ให้อนุญาต NTLM หรือคุณต้องกําหนดค่าคอมพิวเตอร์ไคลเอ็นต์ให้สนับสนุน NTLMv2 ถ้านโยบายถูกตั้งค่าเป็น (5) ส่งการตอบสนอง NTLMv2 เท่านั้น\refuse LM & NTLM บนคอมพิวเตอร์เป้าหมายที่คุณต้องการเชื่อมต่อ คุณต้องลดการตั้งค่าบนคอมพิวเตอร์เครื่องนั้น หรือตั้งค่าความปลอดภัยเป็นการตั้งค่าเดียวกันกับคอมพิวเตอร์ต้นทางที่คุณกําลังเชื่อมต่อ ค้นหาตําแหน่งที่ตั้งที่ถูกต้องที่คุณสามารถเปลี่ยนระดับการตรวจสอบสิทธิ์ LAN Manager เพื่อตั้งค่าไคลเอ็นต์และเซิร์ฟเวอร์ให้อยู่ในระดับเดียวกัน หลังจากที่คุณพบนโยบายที่กําลังตั้งค่าระดับการรับรองความถูกต้องของตัวจัดการ LAN แล้ว ถ้าคุณต้องการเชื่อมต่อและจากคอมพิวเตอร์ที่ใช้ Windows เวอร์ชันก่อนหน้า ให้ลดค่าเป็นอย่างน้อย (1) ส่ง LM & NTLM - ใช้ความปลอดภัยของเซสชัน NTLM เวอร์ชัน 2 ถ้ามีการเจรจา ผลหนึ่งของการตั้งค่าที่เข้ากันไม่ได้คือถ้าเซิร์ฟเวอร์ต้องใช้ NTLMv2 (ค่า 5) แต่ไคลเอ็นต์ได้รับการกําหนดค่าให้ใช้ LM และ NTLMv1 เท่านั้น (ค่า 0) ผู้ใช้ที่พยายามการรับรองความถูกต้องประสบปัญหาความล้มเหลวในการเข้าสู่ระบบที่มีรหัสผ่านที่ไม่ถูกต้องและเพิ่มจํานวนรหัสผ่านที่ไม่ถูกต้อง ถ้ากําหนดค่าการล็อกออกจากบัญชีผู้ใช้อาจถูกล็อกในที่สุด ตัวอย่างเช่น คุณอาจต้องดูที่ตัวควบคุมโดเมน หรือคุณอาจต้องตรวจสอบนโยบายของตัวควบคุมโดเมน ดูบนตัวควบคุม โดเมน หมายเหตุ คุณอาจต้องทําซ้ําขั้นตอนต่อไปนี้บนตัวควบคุมโดเมนทั้งหมด-
คลิก เริ่ม ชี้ไปที่ โปรแกรม แล้วคลิก เครื่องมือในการดูแล
-
ภายใต้ การตั้งค่าความปลอดภัยภายในเครื่อง ให้ขยาย นโยบายภายในเครื่อง
-
คลิก ตัวเลือกความปลอดภัย
-
ดับเบิลคลิก ที่ ความปลอดภัยของเครือข่าย: ระดับการรับรองความถูกต้องของตัวจัดการ LAN แล้วคลิกค่าในรายการ
-
คลิก เริ่ม ชี้ไปที่ โปรแกรม แล้วคลิก เครื่องมือในการดูแล
-
ในนโยบายความปลอดภัยของตัวควบคุมโดเมน ให้ขยาย การตั้งค่าความปลอดภัย แล้วขยาย นโยบายภายใน
-
คลิก ตัวเลือกความปลอดภัย
-
ดับเบิลคลิกที่ ความปลอดภัยของเครือข่าย: ระดับการรับรองความถูกต้องของตัวจัดการ LAN แล้วคลิกค่าในรายการ
-
คุณยังอาจต้องตรวจสอบนโยบายที่เชื่อมโยงที่ระดับไซต์ ระดับโดเมน หรือระดับหน่วยองค์กร (OU) เพื่อกําหนดตําแหน่งที่คุณต้องกําหนดค่าระดับการรับรองความถูกต้องผู้จัดการ LAN
-
หากคุณใช้การตั้งค่านโยบายกลุ่มเป็นนโยบายโดเมนเริ่มต้น
-
หากคุณปรับใช้การตั้งค่า นโยบายกลุ่ม เป็นนโยบายของตัวควบคุมโดเมนเริ่มต้น นโยบายจะนําไปใช้กับเซิร์ฟเวอร์ใน OU ของตัวควบคุมโดเมนเท่านั้น
-
เป็นความคิดที่ดีที่จะตั้งค่าระดับการรับรองความถูกต้องของตัวจัดการ LAN ในเอนทิตีต่ําสุดของขอบเขตที่จําเป็นในลําดับชั้นของแอปพลิเคชันนโยบาย
Windows Server 2003 มีการตั้งค่าเริ่มต้นใหม่เพื่อใช้ NTLMv2 เท่านั้น ตามค่าเริ่มต้น ตัวควบคุมโดเมนที่ใช้ Windows Server 2003 และ Windows 2000 Server SP3 ได้เปิดใช้งานนโยบาย "เซิร์ฟเวอร์เครือข่าย Microsoft: การสื่อสารแบบดิจิทัล (เสมอ)" การตั้งค่านี้ต้องการเซิร์ฟเวอร์ SMB เพื่อดําเนินการเซ็นแพคเก็ต SMB การเปลี่ยนแปลงใน Windows Server 2003 เกิดขึ้นเนื่องจากตัวควบคุมโดเมน เซิร์ฟเวอร์แฟ้ม เซิร์ฟเวอร์โครงสร้างพื้นฐานของเครือข่าย และเว็บเซิร์ฟเวอร์ในองค์กรใดๆ จําเป็นต้องมีการตั้งค่าที่แตกต่างกันเพื่อเพิ่มความปลอดภัยสูงสุด
หากคุณต้องการใช้การรับรองความถูกต้อง NTLMv2 ในเครือข่ายของคุณ คุณต้องตรวจสอบให้แน่ใจว่าคอมพิวเตอร์ทั้งหมดในโดเมนได้รับการตั้งค่าให้ใช้ระดับการรับรองความถูกต้องนี้ หากคุณใช้ Active Directory Client Extensions สําหรับ Windows 95 หรือ Windows 98 และ Windows NT 4.0 ส่วนขยายไคลเอ็นต์จะใช้คุณลักษณะการรับรองความถูกต้องที่ได้รับการปรับปรุงที่พร้อมใช้งานใน NTLMv2 เนื่องจากคอมพิวเตอร์ไคลเอ็นต์ที่ใช้ระบบปฏิบัติการต่อไปนี้ไม่ได้รับผลกระทบจากวัตถุนโยบายกลุ่ม Windows 2000 คุณอาจต้องกําหนดค่าไคลเอ็นต์เหล่านี้ด้วยตนเอง:-
Microsoft Windows NT 4.0
-
Microsoft Windows Millennium Edition
-
Microsoft Windows 98
-
Microsoft Windows 95
หมายเหตุ ถ้าคุณเปิดใช้งาน ความปลอดภัยของเครือข่าย: อย่าเก็บค่าแฮชของตัวจัดการ LAN ในนโยบายการเปลี่ยนรหัสผ่านถัดไป หรือตั้งค่ารีจิสทรีคีย์ NoLMHash ไคลเอ็นต์ที่ใช้ Windows 95 และ Windows 98 ที่ไม่ได้ติดตั้งไคลเอ็นต์บริการไดเรกทอรีไม่สามารถเข้าสู่ระบบโดเมนหลังจากเปลี่ยนรหัสผ่าน
เซิร์ฟเวอร์ CIFS ของบริษัทอื่นจํานวนมาก เช่น Novell Netware 6 จะไม่ทราบ NTLMv2 และใช้ NTLM เท่านั้น ดังนั้น ระดับที่มากกว่า 2 ไม่อนุญาตให้มีการเชื่อมต่อ นอกจากนี้ ยังมีไคลเอ็นต์ SMB ของบริษัทอื่นที่ไม่ได้ใช้ความปลอดภัยของเซสชันที่ขยายเวลา ในกรณีเหล่านี้ LmCompatiblityLevel ของเซิร์ฟเวอร์ทรัพยากรไม่ได้นํามาพิจารณา จากนั้นเซิร์ฟเวอร์จะรวบรวมคําขอดั้งเดิมนี้และส่งไปยังตัวควบคุมโดเมนของผู้ใช้ การตั้งค่าบนตัวควบคุมโดเมนจะตัดสินใจว่าแฮชใดที่ใช้เพื่อยืนยันคําขอและดูว่าสิ่งเหล่านี้ตรงตามข้อกําหนดด้านความปลอดภัยของตัวควบคุมโดเมนหรือไม่299656 วิธีป้องกันไม่ให้ Windows จัดเก็บแฮชผู้จัดการ LAN ของรหัสผ่านของคุณใน Active Directory และฐานข้อมูล SAM ภายในเครื่อง
2701704เหตุการณ์การตรวจสอบแสดงแพคเกจการรับรองความถูกต้องเป็น NTLMv1 แทน NTLMv2 สําหรับข้อมูลเพิ่มเติมเกี่ยวกับระดับการรับรองความถูกต้อง LM ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความใน Microsoft Knowledge Base:
239869 วิธีเปิดใช้งานการรับรองความถูกต้อง NTLM 2
-
-
การกําหนดค่าที่มี
ความเสี่ยง ต่อไปนี้เป็นการตั้งค่าการกําหนดค่าที่เป็นอันตราย:-
การตั้งค่าแบบไม่จํากัดที่ส่งรหัสผ่านในรูปแบบข้อความธรรมดาและการปฏิเสธการเจรจา NTLMv2
-
การตั้งค่าแบบจํากัดที่ป้องกันไม่ให้ไคลเอ็นต์หรือตัวควบคุมโดเมนเข้ากันไม่ได้จากการเจรจาโพรโทคอลการรับรองความถูกต้องทั่วไป
-
ต้องการการรับรองความถูกต้อง NTLMv2 บนคอมพิวเตอร์สมาชิกและตัวควบคุมโดเมนที่ใช้ Windows NT 4.0 รุ่นที่เก่ากว่า Service Pack 4 (SP4)
-
จําเป็นต้องมีการรับรองความถูกต้อง NTLMv2 บนไคลเอ็นต์ Windows 95 หรือบนไคลเอ็นต์ Windows 98 ที่ไม่ได้ติดตั้งไคลเอ็นต์บริการไดเรกทอรีของ Windows
-
หากคุณคลิกเพื่อเลือกกล่องกาเครื่องหมาย ต้องการความปลอดภัยของเซสชัน NTLMv2 ในคอมพิวเตอร์ที่ใช้ Microsoft Management Console นโยบายกลุ่ม Editor snap-in บนคอมพิวเตอร์ที่ใช้ Windows Server 2003 หรือ Windows 2000 Service Pack 3 และคุณลดระดับการรับรองความถูกต้องตัวจัดการ LAN เป็น 0 การตั้งค่าสองอย่างขัดแย้งกัน และคุณอาจได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้ในไฟล์ Secpol.msc หรือไฟล์ GPEdit.msc:
Windows ไม่สามารถเปิดฐานข้อมูลนโยบายภายในเครื่องได้ มีข้อผิดพลาดที่ไม่รู้จักเกิดขึ้นขณะพยายามเปิดฐานข้อมูล
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับเครื่องมือการกําหนดค่าและการวิเคราะห์ความปลอดภัย ให้ดูที่แฟ้มวิธีใช้ Windows 2000 หรือ Windows Server 2003
-
-
เหตุผลในการปรับเปลี่ยนการตั้งค่านี้
-
คุณต้องการเพิ่มโพรโทคอลการรับรองความถูกต้องทั่วไปต่ําสุดที่ได้รับการสนับสนุนโดยไคลเอ็นต์และตัวควบคุมโดเมนในองค์กรของคุณ
-
เมื่อการรับรองความถูกต้องที่ปลอดภัยเป็นข้อกําหนดทางธุรกิจ คุณต้องการไม่อนุญาตให้มีการเจรจา LM และโพรโทคอล NTLM
-
-
เหตุผลในการปิดใช้งานการตั้งค่า
นี้ ความต้องการในการรับรองความถูกต้องของไคลเอ็นต์หรือเซิร์ฟเวอร์ หรือทั้งสองอย่างได้เพิ่มขึ้นไปยังจุดที่การรับรองความถูกต้องผ่านโพรโทคอลทั่วไปไม่สามารถเกิดขึ้นได้ -
ชื่อสัญลักษณ์:
LmCompatibilityLevel -
เส้นทางรีจิสทรี:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
-
ตัวอย่างของปัญหาความเข้ากันได้
-
Windows Server 2003: ตามค่าเริ่มต้น การตั้งค่าส่งการตอบสนอง NTLMv2 ของ Windows Server 2003 จะถูกเปิดใช้งาน ดังนั้น Windows Server 2003 ได้รับข้อความแสดงข้อผิดพลาด "การเข้าถึงถูกปฏิเสธ" หลังจากการติดตั้งครั้งแรกเมื่อคุณพยายามเชื่อมต่อกับคลัสเตอร์ที่ใช้ Windows NT 4.0 หรือเซิร์ฟเวอร์ LanManager V2.1 เช่น OS/2 Lanserver ปัญหานี้ยังเกิดขึ้นได้หากคุณพยายามเชื่อมต่อจากไคลเอ็นต์รุ่นก่อนหน้าไปยังเซิร์ฟเวอร์ที่ใช้ Windows Server 2003
-
คุณติดตั้ง Windows 2000 ชุดรวมอัปเดตความปลอดภัย 1 (SRP1) SRP1 บังคับให้ NTLM เวอร์ชัน 2 (NTLMv2) ชุดรวมอัปเดตนี้ได้รับการเผยแพร่หลังจากการเผยแพร่ Windows 2000 Service Pack 2 (SP2)
-
Windows 7 และ Windows Server 2008 R2: เซิร์ฟเวอร์ CIFS ของบริษัทอื่นจํานวนมาก เช่น เซิร์ฟเวอร์ Novell Netware 6 หรือเซิร์ฟเวอร์ Samba ที่ใช้ Linux จะไม่ทราบ NTLMv2 และใช้ NTLM เท่านั้น ดังนั้น ระดับที่มากกว่า "2" ไม่อนุญาตให้มีการเชื่อมต่อ ในรุ่นนี้ของระบบปฏิบัติการ ค่าเริ่มต้นสําหรับ LmCompatibilityLevel ถูกเปลี่ยนเป็น "3" ดังนั้นเมื่อคุณอัปเกรด Windows ตัวจัดเก็บไฟล์ของบริษัทอื่นเหล่านี้อาจหยุดทํางาน
-
ไคลเอ็นต์ Microsoft Outlook อาจได้รับพร้อมท์สําหรับข้อมูลประจําตัว แม้ว่าจะเข้าสู่ระบบโดเมนอยู่แล้ว เมื่อผู้ใช้ป้อนข้อมูลประจําตัว พวกเขาจะได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้: Windows 7 และ Windows Server 2008 R2
ข้อมูลประจําตัวในการเข้าสู่ระบบที่ให้มาไม่ถูกต้อง ตรวจสอบให้แน่ใจว่าชื่อผู้ใช้และโดเมนของคุณถูกต้อง แล้วพิมพ์รหัสผ่านของคุณอีกครั้ง
เมื่อคุณเริ่ม Outlook คุณอาจได้รับพร้อมท์สําหรับข้อมูลประจําตัวของคุณ แม้ว่าการตั้งค่า ความปลอดภัยของเครือข่ายการเข้าสู่ระบบ ของคุณถูกตั้งค่าเป็น ส่งผ่าน หรือ การรับรองความถูกต้องด้วยรหัสผ่าน หลังจากที่คุณพิมพ์ข้อมูลประจําตัวที่ถูกต้องแล้ว คุณอาจได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้:
ข้อมูลประจําตัวในการเข้าสู่ระบบที่ให้มาไม่ถูกต้อง
การติดตามการตรวจสอบเครือข่ายอาจแสดงว่าแค็ตตาล็อกส่วนกลางได้ออกข้อผิดพลาดการเรียกกระบวนการระยะไกล (RPC) ที่มีสถานะของ0x5 สถานะของ0x5หมายถึง "การเข้าถึงถูกปฏิเสธ"
-
Windows 2000: การจับภาพการตรวจสอบเครือข่ายอาจแสดงข้อผิดพลาดต่อไปนี้ใน NetBIOS ผ่านบล็อกข้อความเซิร์ฟเวอร์ TCP/IP (NetBT) (SMB):
ข้อผิดพลาด SMB R Search Directory Dos, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) ตัวระบุผู้ใช้ที่ไม่ถูกต้อง
-
Windows 2000: ถ้าโดเมน Windows 2000 ที่มี NTLMv2 ระดับ 2 หรือใหม่กว่าได้รับความเชื่อถือโดยโดเมน Windows NT 4.0 คอมพิวเตอร์สมาชิกที่ใช้ Windows 2000 ในโดเมนทรัพยากรอาจพบข้อผิดพลาดในการรับรองความถูกต้อง
-
Windows 2000 และ Windows XP: ตามค่าเริ่มต้น Windows 2000 และ Windows XP จะตั้งค่าตัวเลือก นโยบายความปลอดภัยภายในเครื่องสําหรับการตรวจสอบสิทธิ์ LAN Manager ระดับท้องถิ่น เป็น 0 การตั้งค่า 0 หมายถึง "ส่งการตอบสนอง LM และ NTLM"
หมายเหตุ คลัสเตอร์ที่ใช้ Windows NT 4.0 ต้องใช้ LM สําหรับการดูแล -
Windows 2000: การทําคลัสเตอร์ของ Windows 2000 จะไม่รับรองความถูกต้องของโหนดที่เข้าร่วม ถ้าทั้งสองโหนดเป็นส่วนหนึ่งของโดเมน Windows NT 4.0 Service Pack 6a (SP6a)
-
เครื่องมือการจํากัดการเข้าถึงของ IIS (HiSecWeb) ตั้งค่า LMCompatibilityLevel เป็น 5 และค่า RestrictAnonymous เป็น 2
-
บริการสําหรับ Macintosh
โมดูลการรับรองความถูกต้องของผู้ใช้ (UAM): Microsoft UAM (มอดูลการรับรองความถูกต้องผู้ใช้) มีวิธีการเข้ารหัสลับรหัสผ่านที่คุณใช้เพื่อเข้าสู่ระบบเซิร์ฟเวอร์ Windows AFP (AppleTalk Filing Protocol) โมดูลการรับรองความถูกต้องของผู้ใช้ Apple (UAM) มีการเข้ารหัสเพียงเล็กน้อยหรือไม่มีการเข้ารหัส ดังนั้น รหัสผ่านของคุณอาจถูกสกัดกั้นบน LAN หรือบนอินเทอร์เน็ตได้อย่างง่ายดาย แม้ว่า UAM จะไม่จําเป็น แต่ก็มีการรับรองความถูกต้องที่เข้ารหัสลับกับเซิร์ฟเวอร์ Windows 2000 ที่เรียกใช้ Services สําหรับ Macintosh เวอร์ชันนี้มีการสนับสนุนสําหรับการรับรองความถูกต้องที่เข้ารหัส NTLMv2 128 บิตและการเผยแพร่ที่เข้ากันได้กับ MacOS X 10.1 ตามค่าเริ่มต้น บริการ Windows Server 2003 สําหรับเซิร์ฟเวอร์ Macintosh จะอนุญาตเฉพาะการรับรองความถูกต้องของ Microsoft เท่านั้น -
Windows Server 2008, Windows Server 2003, Windows XP และ Windows 2000: หากคุณกําหนดค่า LMCompatibilityLevel เป็น 0 หรือ 1 แล้วกําหนดค่า NoLMHash เป็น 1 แอปพลิเคชันและคอมโพเนนต์อาจถูกปฏิเสธการเข้าถึงผ่าน NTLM ปัญหานี้เกิดขึ้นเนื่องจากมีการกําหนดค่าคอมพิวเตอร์ให้เปิดใช้งาน LM แต่ไม่สามารถใช้รหัสผ่านที่เก็บไว้ LM
ถ้าคุณกําหนดค่า NoLMHash เป็น 1 คุณต้องกําหนดค่า LMCompatibilityLevel เป็น 2 หรือสูงกว่า
-
-
-
ความปลอดภัยของเครือข่าย: ข้อกําหนดการเซ็นชื่อไคลเอ็นต์ LDAP
-
พื้น หลัง
ความปลอดภัยของเครือข่าย: การตั้งค่าข้อกําหนดการรับรองไคลเอ็นต์ LDAP จะกําหนดระดับการลงชื่อข้อมูลที่ร้องขอในนามของไคลเอ็นต์ที่ออกการร้องขอ BIND Lightweight Directory Access Protocol (LDAP) ดังนี้:-
ไม่มี: การร้องขอ LDAP BIND ออกให้พร้อมกับตัวเลือกที่ระบุของผู้เรียก
-
การลงชื่อในการตรวจสอบ: ถ้ายังไม่ได้เริ่มต้น Secure Sockets Layer/Transport Layer Security (SSL/TLS) คําขอ LDAP BIND จะเริ่มต้นด้วยชุดตัวเลือกการเซ็นชื่อข้อมูล LDAP นอกเหนือจากตัวเลือกที่ระบุของผู้เรียก ถ้า SSL/TLS เริ่มต้นคําขอ LDAP BIND จะเริ่มต้นด้วยตัวเลือกที่ระบุของผู้เรียก
-
ต้องมีการเซ็นชื่อ: เหมือนกับการลงนามในนามของ Negotiate อย่างไรก็ตาม ถ้าการตอบสนอง saslBindInProgress ระดับกลางของเซิร์ฟเวอร์ LDAP ไม่ได้ระบุว่าจําเป็นต้องมีการรับรองการรับส่งข้อมูล LDAP ผู้เรียกจะได้รับแจ้งว่าการร้องขอคําสั่ง LDAP BIND ล้มเหลว
-
-
การกําหนดค่า
ที่มีความเสี่ยง การเปิดใช้งานความปลอดภัยของเครือข่าย: การตั้งค่าข้อกําหนดการรับรองไคลเอ็นต์ LDAP เป็นการตั้งค่าการกําหนดค่าที่เป็นอันตราย ถ้าคุณตั้งค่าเซิร์ฟเวอร์ให้ต้องใช้ลายเซ็น LDAP คุณต้องกําหนดค่าการเซ็นชื่อ LDAP บนไคลเอ็นต์ด้วย ไม่ได้กําหนดค่าไคลเอ็นต์ให้ใช้ลายเซ็น LDAP จะป้องกันไม่ให้มีการสื่อสารกับเซิร์ฟเวอร์ ซึ่งทําให้การรับรองความถูกต้องของผู้ใช้ การตั้งค่านโยบายกลุ่ม สคริปต์การเข้าสู่ระบบ และคุณลักษณะอื่นๆ ล้มเหลว -
เหตุผลในการปรับเปลี่ยนการตั้งค่า
นี้ การรับส่งข้อมูลเครือข่ายที่ไม่มีการรับรองมีความอ่อนไหวต่อการโจมตีแบบแทรกกลางที่ผู้บุกรุกจับแพคเก็ตระหว่างไคลเอ็นต์และเซิร์ฟเวอร์ ปรับเปลี่ยนและส่งต่อไปยังเซิร์ฟเวอร์ เมื่อเกิดกรณีนี้ขึ้นบนเซิร์ฟเวอร์ LDAP ผู้โจมตีอาจทําให้เซิร์ฟเวอร์ตอบสนองโดยยึดตามคิวรีที่ผิดจากไคลเอ็นต์ LDAP คุณสามารถลดความเสี่ยงนี้ในเครือข่ายขององค์กรได้ด้วยการใช้มาตรการรักษาความปลอดภัยทางกายภาพที่เข้มแข็งเพื่อช่วยปกป้องโครงสร้างพื้นฐานของเครือข่าย นอกจากนี้ คุณสามารถช่วยป้องกันการโจมตีแบบ man-in-the-middle ทุกประเภทโดยการกําหนดให้ต้องมีลายเซ็นดิจิทัลบนแพคเก็ตเครือข่ายทั้งหมดโดยใช้ส่วนหัวการรับรองความถูกต้อง IPSec -
ชื่อสัญลักษณ์:
LDAPClientIntegrity -
เส้นทางรีจิสทรี:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
-
-
บันทึกเหตุการณ์: ขนาดสูงสุดของบันทึกความปลอดภัย
-
พื้น หลัง
บันทึกเหตุการณ์: การตั้งค่าความปลอดภัยขนาดบันทึกความปลอดภัยสูงสุดระบุขนาดสูงสุดของบันทึกเหตุการณ์การรักษาความปลอดภัย บันทึกนี้มีขนาดสูงสุด 4 กิกะไบต์ หากต้องการค้นหาการตั้งค่านี้ ให้ขยาย การตั้งค่า Windows แล้วขยาย การตั้งค่าความปลอดภัย -
การกําหนดค่าที่มี
ความเสี่ยง ต่อไปนี้เป็นการตั้งค่าการกําหนดค่าที่เป็นอันตราย:-
การจํากัดขนาดบันทึกความปลอดภัยและวิธีการเก็บข้อมูลบันทึกความปลอดภัยเมื่อตรวจสอบ: ปิดระบบทันทีถ้าไม่สามารถบันทึกการตรวจสอบความปลอดภัยเปิดใช้งานได้ ดูส่วน "การตรวจสอบ: ปิดเครื่องทันทีหากไม่สามารถบันทึกการตรวจสอบความปลอดภัยได้" ของบทความนี้สําหรับรายละเอียดเพิ่มเติม
-
การจํากัดขนาดล็อกการรักษาความปลอดภัยเพื่อให้เกิดเหตุการณ์ด้านความปลอดภัยที่สนใจจะถูกเขียนทับ
-
-
เหตุผลในการเพิ่มการตั้งค่า
นี้ ความต้องการทางธุรกิจและความปลอดภัยอาจกําหนดให้คุณเพิ่มขนาดบันทึกการรักษาความปลอดภัยเพื่อจัดการกับรายละเอียดบันทึกความปลอดภัยเพิ่มเติม หรือเพื่อเก็บบันทึกการรักษาความปลอดภัยไว้เป็นเวลานาน -
เหตุผลในการลดการตั้งค่า
นี้ ตัวแสดงเหตุการณ์แฟ้มบันทึกคือแฟ้มที่แมปหน่วยความจํา ขนาดสูงสุดของบันทึกเหตุการณ์จะถูกจํากัดโดยจํานวนของหน่วยความจําทางกายภาพในคอมพิวเตอร์เฉพาะที่และโดยหน่วยความจําเสมือนที่พร้อมใช้งานสําหรับกระบวนการบันทึกเหตุการณ์ การเพิ่มขนาดแฟ้มบันทึกให้เกินกว่าจํานวนหน่วยความจําเสมือนที่พร้อมใช้งานสําหรับตัวแสดงเหตุการณ์จะไม่เพิ่มจํานวนของรายการแฟ้มบันทึกที่เก็บไว้ -
ตัวอย่างของปัญหา
ความเข้ากันได้ Windows 2000: คอมพิวเตอร์ที่ใช้ Windows 2000 รุ่นที่เก่ากว่า Service Pack 4 (SP4) อาจหยุดการบันทึกเหตุการณ์ในบันทึกเหตุการณ์ก่อนที่จะถึงขนาดที่ระบุในการตั้งค่า ขนาดบันทึกสูงสุด ใน ตัวแสดงเหตุการณ์ หากตัวเลือก ไม่เขียนทับเหตุการณ์ (ล้างบันทึกด้วยตนเอง) เปิดอยู่
-
-
บันทึกเหตุการณ์: เก็บบันทึกการรักษาความปลอดภัย
-
พื้น หลัง
บันทึกเหตุการณ์: การตั้งค่าการรักษาความปลอดภัยของบันทึกความปลอดภัยจะกําหนดเมธอด "wrapping" สําหรับบันทึกการรักษาความปลอดภัย หากต้องการค้นหาการตั้งค่านี้ ให้ขยาย การตั้งค่า Windows แล้วขยาย การตั้งค่าความปลอดภัย -
การกําหนดค่าที่มี
ความเสี่ยง ต่อไปนี้เป็นการตั้งค่าการกําหนดค่าที่เป็นอันตราย:-
ไม่สามารถเก็บรักษาเหตุการณ์การรักษาความปลอดภัยที่บันทึกไว้ทั้งหมดก่อนที่จะถูกบันทึกทับ
-
การกําหนดค่าการตั้งค่าขนาดบันทึกความปลอดภัยสูงสุดที่มีขนาดเล็กเกินไปเพื่อให้เกิดการรักษาความปลอดภัยถูกเขียนทับ
-
การจํากัดขนาดบันทึกความปลอดภัยและวิธีการเก็บข้อมูลในขณะที่ตรวจสอบ: ปิดระบบทันทีถ้าไม่สามารถบันทึกการตรวจสอบความปลอดภัยเปิดใช้งานการตั้งค่าความปลอดภัย
-
-
เหตุผลในการเปิดใช้งานการตั้งค่า
นี้ เปิดใช้งานการตั้งค่านี้เฉพาะเมื่อคุณเลือกวิธีการเก็บข้อมูลเหตุการณ์เขียนทับตามวัน หากคุณใช้ระบบความสัมพันธ์ของเหตุการณ์ที่สํารวจความคิดเห็นสําหรับเหตุการณ์ ตรวจสอบให้แน่ใจว่าจํานวนวันเป็นอย่างน้อยสามเท่าของความถี่โพล ทําเช่นนี้เพื่ออนุญาตรอบโพลที่ล้มเหลว
-
-
การเข้าถึงเครือข่าย: อนุญาตให้ทุกคนใช้สิทธิ์กับผู้ใช้ที่ไม่ระบุชื่อ
-
พื้น หลัง
ตามค่าเริ่มต้น การเข้าถึงเครือข่าย: การตั้งค่า อนุญาตให้ทุกคนนําไปใช้กับผู้ใช้ที่ไม่ระบุชื่อ ถูกตั้งค่าเป็น ไม่ได้กําหนด บน Windows Server 2003 ตามค่าเริ่มต้น Windows Server 2003 จะไม่มีโทเค็นการเข้าถึงแบบไม่ระบุชื่อในกลุ่ม ทุกคน -
ตัวอย่างของปัญหา
ความเข้ากันได้ ค่าต่อไปนี้ของHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous [REG_DWORD]=0x0หยุดการสร้างความเชื่อถือระหว่าง Windows Server 2003 และ Windows NT 4.0 เมื่อโดเมน Windows Server 2003 เป็นโดเมนบัญชีผู้ใช้และโดเมน Windows NT 4.0 เป็นโดเมนทรัพยากร ซึ่งหมายความว่าโดเมนบัญชีเชื่อถือได้บน Windows NT 4.0 และโดเมนทรัพยากรเชื่อถือบนด้าน Windows Server 2003 ลักษณะการทํางานนี้เกิดขึ้นเนื่องจากกระบวนการเพื่อเริ่มความเชื่อถือหลังจากการเชื่อมต่อแบบไม่ระบุชื่อเริ่มต้นคือ ACL d กับโทเค็นทุกคนที่มี SID แบบไม่ระบุชื่อบน Windows NT 4.0
-
เหตุผลในการปรับเปลี่ยนการตั้งค่า
นี้ ต้องตั้งค่าเป็น 0x1 หรือตั้งค่าโดยใช้ GPO บน OU ของตัวควบคุมโดเมนเป็น: การเข้าถึงเครือข่าย: อนุญาตให้ทุกคนนําสิทธิ์ไปใช้กับผู้ใช้ที่ไม่ระบุชื่อ - เปิดใช้งาน เพื่อทําให้การสร้างความเชื่อถือเป็นไปได้ หมายเหตุ การตั้งค่าความปลอดภัยอื่นๆ ส่วนใหญ่จะทํางานแทนค่าที่0x0ในสถานะที่ปลอดภัยที่สุด แนวทางปฏิบัติที่ปลอดภัยกว่าคือการเปลี่ยนรีจิสทรีในตัวจําลองตัวควบคุมโดเมนหลักแทนบนตัวควบคุมโดเมนทั้งหมด ถ้าย้ายบทบาทตัวจําลองตัวควบคุมโดเมนหลักด้วยเหตุผลใดก็ตาม คุณต้องอัปเดตรีจิสทรีบนเซิร์ฟเวอร์ใหม่ จําเป็นต้องเริ่มระบบใหม่หลังจากตั้งค่านี้ -
เส้นทางรีจิสทรี
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
-
-
การรับรองความถูกต้องของ NTLMv2
-
ความปลอดภัยของ
เซสชัน ความปลอดภัยของเซสชันจะกําหนดมาตรฐานความปลอดภัยขั้นต่ําสําหรับรอบเวลาของไคลเอ็นต์และเซิร์ฟเวอร์ คุณควรตรวจสอบการตั้งค่านโยบายความปลอดภัยต่อไปนี้ใน Microsoft Management Console นโยบายกลุ่ม Snap-in Editor:-
การตั้งค่าคอมพิวเตอร์\การตั้งค่า Windows\การตั้งค่าความปลอดภัย\นโยบายภายใน\ตัวเลือกความปลอดภัย
-
ความปลอดภัยของเครือข่าย: ความปลอดภัยต่ําสุดของเซสชันสําหรับเซิร์ฟเวอร์ NTLM SSP (รวมถึง RPC ที่ปลอดภัย)
-
ความปลอดภัยของเครือข่าย: ความปลอดภัยต่ําสุดของเซสชันสําหรับไคลเอ็นต์ NTLM SSP (รวมถึง RPC ที่ปลอดภัย)
ตัวเลือกสําหรับการตั้งค่าเหล่านี้มีดังนี้:
-
จําเป็นต้องมีความสมบูรณ์ของข้อความ
-
ต้องการการรักษาความลับของข้อความ
-
จําเป็นต้องมีความปลอดภัยของเซสชัน NTLM เวอร์ชัน 2
-
ต้องใช้การเข้ารหัส 128 บิต
การตั้งค่าเริ่มต้นก่อน Windows 7 ไม่มีข้อกําหนด เริ่มต้นด้วย Windows 7 ค่าเริ่มต้นเปลี่ยนเป็น ต้องใช้การเข้ารหัส 128 บิต เพื่อความปลอดภัยที่ปรับปรุงให้ดียิ่งขึ้น ด้วยค่าเริ่มต้นนี้ อุปกรณ์ดั้งเดิมที่ไม่รองรับการเข้ารหัส 128 บิตจะไม่สามารถเชื่อมต่อได้
นโยบายเหล่านี้จะกําหนดมาตรฐานความปลอดภัยขั้นต่ําสําหรับเซสชันการสื่อสารแอพลิเคชันกับแอพลิเคชันบนเซิร์ฟเวอร์สําหรับไคลเอ็นต์ โปรดทราบว่าแม้ว่าจะอธิบายเป็นการตั้งค่าที่ถูกต้อง แต่ค่าสถานะที่จําเป็นต้องมีความสมบูรณ์ของข้อความและการรักษาความลับจะไม่ถูกนํามาใช้เมื่อมีการกําหนดความปลอดภัยของเซสชัน NTLM ในอดีต Windows NT ได้สนับสนุนการตรวจสอบสิทธิ์ความท้าทาย/การตอบสนองสองแบบต่อไปนี้สําหรับการเข้าสู่ระบบเครือข่าย:-
การทดสอบ/การตอบสนอง LM
-
ความท้าทาย/การตอบสนอง NTLM เวอร์ชัน 1
LM ช่วยให้สามารถทํางานร่วมกันได้กับฐานของไคลเอ็นต์และเซิร์ฟเวอร์ที่ติดตั้งไว้ NTLM ให้ความปลอดภัยที่ดีขึ้นสําหรับการเชื่อมต่อระหว่างไคลเอ็นต์และเซิร์ฟเวอร์
รีจิสทรีคีย์ที่เกี่ยวข้องมีดังนี้:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec" -
-
การกําหนดค่าที่มี
ความเสี่ยง การตั้งค่านี้จะควบคุมวิธีการจัดการเซสชันเครือข่ายที่ปลอดภัยโดยใช้ NTLM ซึ่งมีผลต่อเซสชัน RPC ที่ได้รับการรับรองความถูกต้องด้วย NTLM เป็นต้น มีความเสี่ยงดังต่อไปนี้:-
การใช้วิธีการรับรองความถูกต้องที่เก่ากว่า NTLMv2 ทําให้การสื่อสารง่ายต่อการโจมตีเนื่องจากวิธีการแฮชที่ง่ายขึ้นที่ใช้
-
การใช้คีย์การเข้ารหัสลับที่ต่ํากว่า 128 บิตช่วยให้ผู้โจมตีหยุดการติดต่อสื่อสารได้โดยใช้การโจมตีแบบ brute-force
-
-
การซิงโครไนส์เวลา
การซิงโครไนซ์เวลาล้มเหลว คอมพิวเตอร์ที่ได้รับผลกระทบจะปิดเวลามากกว่า 30 นาที ตรวจสอบให้แน่ใจว่านาฬิกาของคอมพิวเตอร์ไคลเอ็นต์ซิงโครไนซ์กับนาฬิกาของตัวควบคุมโดเมน
วิธีแก้ไขปัญหาชั่วคราวสําหรับการเซ็น SMB
เราขอแนะนําให้คุณติดตั้ง Service Pack 6a (SP6a) ในไคลเอ็นต์ Windows NT 4.0 ที่ทํางานร่วมกันในโดเมนที่ใช้ Windows Server 2003 ไคลเอ็นต์ที่ใช้ Windows 98 Second Edition, ไคลเอ็นต์ที่ใช้ Windows 98 และไคลเอ็นต์ที่ใช้ Windows 95 ต้องเรียกใช้ไคลเอ็นต์บริการไดเรกทอรีเพื่อดําเนินการ NTLMv2 หากไคลเอ็นต์ Windows NT 4.0 ไม่ได้ติดตั้ง Windows NT 4.0 SP6 หรือหากไคลเอ็นต์ที่ใช้ Windows 95, ไคลเอ็นต์ที่ใช้ Windows 98 และไคลเอ็นต์ที่ใช้ Windows 98SE ไม่ได้ติดตั้งไคลเอ็นต์บริการไดเรกทอรี ให้ปิดใช้งานการเซ็นชื่อใน SMB ในการตั้งค่านโยบายของตัวควบคุมโดเมนเริ่มต้นบน OU ของตัวควบคุมโดเมน แล้วเชื่อมโยงนโยบายนี้กับ OU ทั้งหมดที่โฮสต์ตัวควบคุมโดเมน
ไคลเอ็นต์บริการไดเรกทอรีสําหรับ Windows 98 Second Edition, Windows 98 และ Windows 95 จะดําเนินการเซ็น SMB ด้วยเซิร์ฟเวอร์ Windows 2003 ภายใต้การรับรองความถูกต้อง NTLM แต่ไม่อยู่ภายใต้การรับรองความถูกต้อง NTLMv2 นอกจากนี้ เซิร์ฟเวอร์ Windows 2000 จะไม่ตอบสนองต่อการร้องขอการเซ็นชื่อใน SMB จากไคลเอ็นต์เหล่านี้ แม้ว่าเราไม่แนะนํา แต่คุณสามารถป้องกันไม่ให้จําเป็นต้องมีการลงลายมือชื่อใน SMB บนตัวควบคุมโดเมนทั้งหมดที่เรียกใช้ Windows Server 2003 ในโดเมน เมื่อต้องการกําหนดค่าการตั้งค่าความปลอดภัยนี้ ให้ทําตามขั้นตอนต่อไปนี้:-
เปิดนโยบายของตัวควบคุมโดเมนเริ่มต้น
-
เปิดโฟลเดอร์ Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
-
ค้นหาแล้วคลิกเซิร์ฟเวอร์เครือข่าย Microsoft: เซ็นชื่อแบบดิจิทัลในการตั้งค่านโยบายการติดต่อสื่อสาร (เสมอ) แล้วคลิก ปิดใช้งาน
สิ่งสําคัญ ส่วน วิธีการ หรืองานนี้ประกอบด้วยขั้นตอนที่บอกให้คุณทราบถึงวิธีการปรับเปลี่ยนรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นถ้าคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง ดังนั้นตรวจสอบให้แน่ใจว่าคุณทําตามขั้นตอนเหล่านี้อย่างระมัดระวัง สําหรับการป้องกันเพิ่มเติม ให้สํารองข้อมูลรีจิสทรีก่อนที่คุณจะปรับเปลี่ยน จากนั้นคุณสามารถคืนค่ารีจิสทรีได้หากมีปัญหาเกิดขึ้น สําหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสํารองข้อมูลและคืนค่ารีจิสทรี
322756 วิธีการสํารองข้อมูลและคืนค่ารีจิสทรีใน Windows หรือปิดการลงลายมือชื่อใน SMB บนเซิร์ฟเวอร์โดยการปรับเปลี่ยนรีจิสทรี เมื่อต้องการดำเนินการดังกล่าวนี้ ให้ปฏิบัติตามขั้นตอนต่อไปนี้:
-
คลิก เริ่ม คลิก เรียกใช้ พิมพ์ regedit แล้วคลิก ตกลง
-
ค้นหาแล้วคลิกซับคีย์
ต่อไปนี้HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters -
คลิกรายการ enablesecuritysignature
-
บนเมนู แก้ไข ให้คลิก ปรับเปลี่ยน
-
ในกล่อง ข้อมูลค่า ให้พิมพ์ 0 แล้วคลิก ตกลง
-
ออกจาก Registry Editor
-
รีสตาร์ตคอมพิวเตอร์ หรือหยุดทํางานแล้วเริ่มบริการเซิร์ฟเวอร์ใหม่ โดยพิมพ์คําสั่งต่อไปนี้ที่พร้อมท์คําสั่ง แล้วกด Enter หลังจากที่คุณพิมพ์แต่ละคําสั่ง:
net stop server net start server
หมายเหตุ คีย์ที่สอดคล้องกันบนคอมพิวเตอร์ไคลเอ็นต์อยู่ในคีย์ย่อยของรีจิสทรีต่อไปนี้:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters ต่อไปนี้แสดงหมายเลขรหัสข้อผิดพลาดที่แปลแล้วเป็นรหัสสถานะและข้อความแสดงข้อผิดพลาดแบบคําพูดที่กล่าวถึงก่อนหน้านี้:
ข้อผิดพลาด 5
ERROR_ACCESS_DENIED การเข้าถึงถูกปฏิเสธข้อผิดพลาด 1326
ERROR_LOGON_FAILURE ความล้มเหลวในการเข้าสู่ระบบ: ชื่อผู้ใช้ที่ไม่รู้จักหรือรหัสผ่านไม่ถูกต้องข้อผิดพลาด 1788
ERROR_TRUSTED_DOMAIN_FAILURE ความสัมพันธ์แบบเชื่อถือได้ระหว่างโดเมนหลักและโดเมนที่เชื่อถือได้ล้มเหลวข้อผิดพลาด 1789
ERROR_TRUSTED_RELATIONSHIP_FAILURE ความสัมพันธ์แบบเชื่อถือได้ระหว่างเวิร์กสเตชันนี้และโดเมนหลักล้มเหลวสําหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
324802 วิธีการกําหนดค่านโยบายกลุ่มเพื่อตั้งค่าความปลอดภัยสําหรับบริการระบบใน Windows Server 2003
816585 วิธีการใช้แม่แบบความปลอดภัยที่กําหนดไว้ล่วงหน้าใน Windows Server 2003