Güvenlik ayarlarını ve kullanıcı hakları atamalarını değiştirdiğinizde istemci, hizmet ve program sorunlar oluşabilir

Özet

Güvenlik ayarlarını ve kullanıcı hakları ataması, yerel ilkeler ve etki alanı denetleyicileri ve üye bilgisayarlarda güvenliği güçlendir yardımcı olmak için Grup İlkeleri'nde değiştirilebilir. Ancak, artan güvenlik dezavantajı uyumsuzluklar girişi istemciler, hizmetler ve programlar ile olur.

Bu makalede, belirli güvenlik ayarlarını ve Windows Server 2003 etki alanında veya önceki bir Windows kullanıcı hakları atamalarını değiştirdiğinizde, Windows XP veya Windows'un önceki bir sürümünü çalıştıran istemci bilgisayarlarda oluşabilecek uyumsuzluklar anlatılmaktadır. Sunucu etki alanı.

Windows Server 2008, Windows Server 2008 R2 ve Windows 7 için Grup İlkesi hakkında daha fazla bilgi için aşağıdaki makalelere bakın:

  • Windows 7 için bkz.

  • Windows 7 ve Windows Server 2008 R2 için bkz:

  • için Windows Server 2008, bkz:

Not: Bu makaledeki kalan içeriği Windows XP, Windows Server 2003 ve önceki Windows sürümleri için geçerlidir.

Windows XP

Hatalı yapılandırılmış güvenlik ayarlarını bilincini artırmak için güvenlik ayarlarını değiştirmek için Grup İlkesi Nesne Düzenleyicisi aracını kullanın. Grup İlkesi Nesne Düzenleyicisi'ni kullandığınızda, aşağıdaki işletim sistemlerinde kullanıcı hakları ataması geliştirilir:

  • Windows XP Professional Service Pack 2 (SP2)

  • Windows Server 2003 Service Pack 1 (SP1)

Bu makaleye bağlantı içeren bir iletişim kutusu geliştirilmiş özelliğidir. Bir güvenlik ayarını değiştirdiğinizde veya daha az uyumluluk sağlayan ve daha kısıtlayıcı bir ayar için kullanıcı hakları ataması iletişim kutusu görüntülenir. Doğrudan aynı güvenlik ayarını veya kullanıcı hakları atamasını kayıt defterini kullanarak veya güvenlik şablonları kullanarak değiştirirseniz, etkisi ayarı Grup İlkesi Nesne Düzenleyicisi'nde değiştirme ile aynı olur. Ancak, bu makaleye bağlantı içeren bir iletişim kutusu görünmez.

Bu makalede, istemciler, programlar ve belirli güvenlik ayarlarının veya kullanıcı hakları atamaları tarafından etkilenen işlemleri örnekleri içerir. Ancak, örnekler tüm Microsoft işletim sistemleri, tüm üçüncü taraf işletim sistemleri veya etkilenen tüm program sürümleri için yetkili değildir. Tüm güvenlik ayarlarını ve kullanıcı hakları atamaları bu makalede yer almaktadır.

Bir üretim ortamında tanıtmak önce bir sınama ormanında tüm güvenlikle ilgili yapılandırma değişikliklerinin uyumluluğunu doğrulamak öneririz. Sınama ormanı aşağıdaki şekillerde üretim ormanını yansıtmalıdır:

  • İstemci ve sunucu işletim sistemi sürümleri, istemci ve sunucu programları, hizmet paketi sürümleri, düzeltmeler, şema değişiklikleri, güvenlik grupları, grup üyelikleri, dosya sistemi, paylaşılan klasörler, kayıt defteri, Active Directory dizin nesnelerinde izinleri Hizmet, yerel Grup İlkesi ayarlarını ve nesne sayısı türü ve konumu

  • Gerçekleştirilen yönetimsel görevler, kullanılan Yönetimsel Araçlar ve yönetimsel görevleri gerçekleştirmek için kullanılan işletim sistemleri

  • Bu işlemler aşağıdaki gibi gerçekleştirilir:

    • Bilgisayar ve kullanıcı oturum açma kimlik doğrulaması

    • Kullanıcılar, bilgisayarlar ve yöneticiler tarafından parolasını sıfırlar.

    • Gözatma

    • Dosya sistemi izinlerini ayarlama, için kayıt defteri ve Active Directory kaynaklarına gelen tüm istemci işletim sistemlerinden tüm hesap veya kaynak hesabı veya kaynak etki alanlarındaki tüm istemci işletim sistemlerinde ACL Düzenleyicisi'ni kullanarak paylaşılan klasörler etki alanları

    • Yönetici ve yönetici olmayan hesaplardan yazdırma

Windows Server 2003 SP1

Gpedit.msc'deki uyarılar

Müşteriler bir kullanıcı hakkı düzenlemekte olduğunuz veya olumsuz olabilir güvenlik seçeneği etkileyen kendi ağ uyumlu hale getirmek için iki uyarı mekanizması için gpedit.msc eklendi. Yöneticiler tüm kurumsal olumsuz etkileyebilir bir kullanıcı hakkını düzenlediğinde, bunlar bir verim işareti benzer yeni bir simge göreceksiniz. Bunlar, Microsoft Bilgi Bankası makalesi 823659 bağlantı içeren bir uyarı iletisi de alırsınız. Bu iletinin metni aşağıdaki gibidir:

Bu ayarı değiştirmek istemciler, hizmetler ve uygulamalar ile uyumluluğu etkileyebilir. Daha fazla bilgi için bkz: < değiştirilmekte kullanıcı hakkı veya güvenlik seçeneği > (Q823659) Gpedit.msc bağlantılarından bu Bilgi Bankası makalesine yönlendirilirseniz, okuma ve sağlanan açıklamayı ve bu ayarı değiştirmenin olası etkisini anlamak emin olun. Uyarı metni içeren kullanıcı hakları listelenmektedir:

  • Bu bilgisayara ağ üzerinden eriş

  • Yerel olarak oturum açma

  • Çapraz geçiş denetimini atla

  • Bilgisayarları ve kullanıcıları temsilci seçmek için güvenilecek etkinleştir

Uyarı ve görüntülenen iletiyi güvenlik seçeneklerini listeler:

  • Etki alanı üyesi: Dijital olarak şifreleme veya imzalama güvenli kanal verisini (her zaman)

  • Etki alanı üyesi: strong gerektirir (Windows 2000 veya sonraki bir sürümünü) oturum anahtarı

  • Etki alanı denetleyicisi: LDAP sunucu imzalama gereksinimleri

  • Microsoft ağ sunucusu: İletişimleri dijital olarak imzala (her zaman)

  • Ağ erişimi: Adsız SID verir / ad çevirisi

  • Ağ erişimi: adsız numaralandırmasına SAM hesaplarının ve paylaşımlarının izin verilmez

  • Ağ güvenliği: LAN Manager kimlik doğrulama düzeyi

  • Denetim: hemen güvenlik denetimleri günlüğe alınamazsa sistemi Kapat

  • Ağ erişimi: LDAP istemci imzalama gereksinimleri

Daha fazla bilgi

Aşağıdaki bölümlerde Windows NT 4.0 etki alanları, Windows 2000 etki alanlarında ve Windows Server 2003 etki alanlarında belirli ayarları değiştirdiğinizde oluşabilecek uyumsuzluklar açıklanmaktadır.

Kullanıcı hakları

Aşağıdaki liste kullanıcı hakkı açıklar, sorunlara neden olabilecek yapılandırma ayarlarını tanımlar kullanıcı hakkı neden uygulamak ve neden kullanıcı hakkını kaldırmak isteyebilirsiniz ve oluşabilecek uyumluluk sorunlarına örnekler sağlar açıklar olduğunda kullanıcı sağa doğru yapılandırılır.

  1. Bu bilgisayara ağ üzerinden eriş

    1. Arka plan

      Uzaktan Windows tabanlı bilgisayarlar etkileşim becerisi Bu bilgisayara ağ üzerinden eriş kullanıcı hakkını gerektirir. Bu tür ağ işlemleri örnekleri şunlardır:

      • Ortak bir etki alanı veya ormandaki etki alanı denetleyicileri arasında Active Directory çoğaltma

      • Etki alanı denetleyicilerine kullanıcılardan ve bilgisayarlardan gelen kimlik doğrulama istekleri

      • Paylaşılan klasörler, Yazıcılar ve ağdaki uzak bilgisayarlarda bulunan diğer sistem hizmetleri için erişim



      Kullanıcı, bilgisayar ve hizmet hesaplarını kazanabilir veya Bu bilgisayara ağ üzerinden eriş kullanıcı hakkını açıkça veya örtük olarak eklenen veya kaldırılan bu kullanıcı hakkının verildiği bir güvenlik grubu tarafından kaybedebilir. Örneğin, bir kullanıcı veya bilgisayar hesabı için özel bir güvenlik grubu veya yerleşik güvenlik grubu bir yönetici tarafından açıkça eklenebilir veya işletim sistemi tarafından Domain Users gibi hesaplanmış güvenlik grubuna örtük olarak eklenebilir kimlik doğrulaması Users veya Enterprise Domain Controllers.

      Varsayılan olarak, kullanıcı ve bilgisayar hesapları gibi Everyone veya tercihen Authenticated Users olarak ve etki alanı denetleyicileri, Enterprise Domain Controllers grubunun Bu bilgisayara ağ üzerinden eriş kullanıcı hesaplanan hakkı gruplar verilir , varsayılan etki alanı denetleyicileri Grup İlkesi nesnesi (GPO) tanımlanır.

    2. Riskli yapılandırmalar

      Zararlı yapılandırma ayarları şunlardır:

      • Bu kullanıcı hakkından Enterprise Domain Controllers güvenlik grubunu kaldırma

      • Authenticated Users grubu veya kullanıcı, bilgisayar ve hizmet hesaplarını bilgisayarlara ağ üzerinden bağlanmak kullanıcı hakkını veren bir grubu kaldırma

      • Bu kullanıcı hakkından tüm kullanıcıları ve bilgisayarları kaldırma

    3. Bu kullanıcı hakkını verme nedenleri

      • Enterprise Domain Controllers grubunun Bu bilgisayara ağ üzerinden eriş kullanıcı hakkını verme gerçekleşmesi aynı etki alanı denetleyicileri arasında çoğaltma için Active Directory çoğaltmasının sahip olması gereken kimlik doğrulama gereksinimlerini karşılar Orman.

      • Bu kullanıcı hakkı, kullanıcılara ve bilgisayarlara paylaşılan dosyalar, Yazıcılar ve Active Directory de dahil olmak üzere sistem hizmetlerine erişim sağlar.

      • Bu kullanıcı hakkı kullanıcıların posta erken sürümleri Microsoft Outlook Web Access (OWA) kullanarak erişmek gereklidir.

    4. Bu kullanıcı hakkını kaldırma nedenleri

      • Bilgisayarlarını ağa bağlanabilecek kullanıcı izinlerine sahip oldukları uzak bilgisayarlardaki kaynaklara erişebilir. Örneğin, bu kullanıcı hakkını bir kullanıcı klasörleri ve paylaşılan yazıcılara bağlanmak için gereklidir. Bu kullanıcı hakkı Everyone grubuna atanırsa, Grup ve hem paylaşım hem de NTFS dosya sistemi izinleri aynı grup okuma erişimine sahip olacak şekilde yapılandırılmışsa bazı paylaşılan klasörler varsa, herkes bu paylaşılan klasörlerdeki dosyaları görüntüleyebilir. Varsayılan Paylaşım ve NTFS izinleri Windows Server 2003'te Everyone grubunu içermez ancak, Windows Server 2003'ün yeni yüklemeler için olası bir durumda olmasıdır. Varsayılan Paylaşım ve dosya sistemi izinleri bu işletim sistemleri için varsayılan izinler olabildiğince kısıtlayıcı olmadığı için Microsoft Windows NT 4.0 veya Windows 2000'den yükseltilen sistemlerde, bu güvenlik açığı riski daha yüksek düzeyde olabilir Windows Server 2003.

      • Enterprise Domain Controllers grubuna bu kullanıcı hakkından kaldırmak için geçerli bir neden yoktur.

      • Everyone grubu genellikle Authenticated Users grubu tercih edilerek kaldırılır. Everyone grubu kaldırılmışsa, Authenticated Users grubuna bu kullanıcı hakkı verilmelidir.

      • Windows 2000'e yükseltilen Windows NT 4.0 etki alanları açıkça Bu bilgisayara ağ üzerinden eriş kullanıcı hakkı Everyone grubu, Authenticated Users grubunun veya Enterprise Domain Controllers grubuna izni vermeyin. Bu nedenle, Everyone grubunu Windows NT 4.0 etki alanı ilkesinden kaldırdığınızda, Windows 2000'e yükselttikten sonra Active Directory çoğaltması bir "Erişim reddedildi" hata iletisiyle başarısız olur. Windows Server 2003'te Winnt32.exe, Windows NT 4.0 birincil etki alanı denetleyicisi (PDC) yükselttiğinizde bu kullanıcı hakkını Enterprise Domain Controllers grubuna vererek bu hatalı yapılandırmayı önler. Enterprise Domain Controllers grubuna bu kullanıcı Grup İlkesi Nesne Düzenleyicisi'nde yoksa hakkı verin.

    5. Uyumluluk sorunlarına örnekler

      • Windows 2000 ve Windows Server 2003: Aşağıdaki bölümlerde, çoğaltma izleme REPLMON ve REPADMIN veya çoğaltma olayları olay günlüğüne gibi araçlar tarafından belirlendiği şekilde "Erişim engellendi" hatası ile başarısız olur.

        • Active Directory şema bölümü

        • Yapılandırma bölümü

        • Etki alanı bölümü

        • Genel katalog bölüm

        • Uygulama bölümü

      • Tüm Microsoft ağ işletim sistemleri: Kullanıcının veya kullanıcının üyesi olduğu bir güvenlik grubuna bu kullanıcı hakkı verilmemişse, uzak ağ istemci bilgisayarlarından kullanıcı hesabı kimlik doğrulaması başarısız olur.

      • Tüm Microsoft ağ işletim sistemleri: Firma veya hesabın üyesi olduğu bir güvenlik grubuna bu kullanıcı hakkı verilmemişse, uzak ağ istemci bilgisayarlarından hesap kimlik doğrulaması başarısız olur. Bu senaryo kullanıcı hesapları, bilgisayar hesapları ve hizmet hesapları için geçerlidir.

      • Tüm Microsoft ağ işletim sistemleri: Bu kullanıcı hakkından tüm hesaplarını kaldırma herhangi bir hesabı etki alanına oturum açan veya ağ kaynaklarına erişmesini engeller. Enterprise Domain Controllers gibi hesaplanmış gruplar, Everyone veya Authenticated Users kaldırılır, açıkça hesaplarına veya ağ üzerinden uzak bilgisayarlara erişmek için hesabın üyesi olduğu güvenlik gruplarına bu kullanıcı hakkı vermeniz gerekir. Bu senaryo tüm kullanıcı hesapları, tüm bilgisayar hesapları ve tüm hizmet hesapları için geçerlidir.

      • Tüm Microsoft ağ işletim sistemleri: Yerel yönetici hesabının "boş" bir parola kullanır. Bir etki alanı ortamında yönetici hesapları boş parola ile ağ bağlantısı izin verilmez. Bu yapılandırmayla, bir "Erişim reddedildi" hata iletisi alıyorsunuz bekleyebilirsiniz.

  2. Yerel olarak oturum açmaya izin ver

    1. Arka plan

      (CTRL + ALT + DELETE klavye kısayolunu kullanarak) Windows tabanlı bir bilgisayarın konsolunda oturum açmaya çalışan kullanıcılar ve bir hizmet başlatmaya çalışan hesapların barındıran bilgisayarda yerel oturum açma ayrıcalıkları olmalıdır. Yerel oturum açma işlemlerini kullanarak masaüstlerine erişmek için üye bilgisayarlarda oturum açan üye bilgisayarların veya kullanıcıların kuruluş ve etki alanı çapındaki etki alanı denetleyicilerinin konsollarında oturum açan Yöneticiler örnekler ayrıcalıklı olmayan hesaplar. Uzak Masaüstü bağlantısı veya Terminal Hizmetleri kullanan kullanıcıların sağ bu oturum açma modları barındıran bilgisayarda yerel olarak kabul edildiği için Windows 2000 veya Windows XP çalıştıran hedef bilgisayarlarda yerel olarak oturum açmaya izin ver kullanıcı olması gerekir. Bir sunucuya Terminal Server etkinleştirilmiş ve Terminal Hizmetleri üzerinden oturum açmaya izin ver kullanıcı hakkına sahip olmaları durumunda bu kullanıcı hakkına sahip değil hala uzak etkileşimli oturum Windows Server 2003 etki alanlarında başlatabilirsiniz oturum açan kullanıcılar.

    2. Riskli yapılandırmalar

      Zararlı yapılandırma ayarları şunlardır:

      • Varsayılan etki alanı denetleyicisinin ilkesinden Account Operators, Backup Operators, Print Operators veya Server Operators gibi yönetimsel güvenlik gruplarını ve yerleşik Administrators grubunu kaldırma.

      • Üye bilgisayarlarda ve etki alanı denetleyicileri etki alanından varsayılan etki alanı denetleyicisinin ilkesini programları ve bileşenleri tarafından kullanılan hizmet hesaplarını kaldırma.

      • Kullanıcılara veya etki alanındaki üye bilgisayarların konsolunda oturum açma güvenlik gruplarını kaldırma.

      • Yerel Güvenlik Hesapları Yöneticisi (SAM) veritabanında üye bilgisayarların veya çalışma grubu bilgisayarlarını tanımlanan hizmet hesaplarını kaldırma.

      • Bir etki alanı denetleyicisi üzerinde çalışan Terminal Hizmetleri üzerinden doğrulama olmayan yerleşik-yönetimsel hesapları kaldırma.

      • Etki alanındaki tüm kullanıcı hesaplarını açıkça veya örtük herkesin ekleme yerel olarak oturum açmayı reddet grubuna oturum açma hakkına. Bu yapılandırma kullanıcıların etki alanındaki herhangi bir etki alanı denetleyicisi için veya herhangi bir üye bilgisayarda oturum açmasını engeller.

    3. Bu kullanıcı hakkını verme nedenleri

      • Kullanıcıların masaüstüne bir çalışma grubu bilgisayarı, bir üye bilgisayar veya etki alanı denetleyicisinin konsoluna erişebilmeleri için yerel olarak oturum açmaya izin ver kullanıcı hakkına sahip olmalısınız.

      • Kullanıcıların Windows 2000 tabanlı bir üye bilgisayarda ya da etki alanı denetleyicisi üzerinde çalışan bir Terminal Hizmetleri oturumu üzerinden oturum açmak için bu kullanıcı hakkınızın olması gerekir.

    4. Bu kullanıcı hakkını kaldırma nedenleri

      • Kullanıcı haklarını değiştirmek için karşıdan yükleyip kötü amaçlı kod yürütmeye yetkisiz kullanıcıların meşru kullanıcı hesaplarıyla konsol erişimi kısıtlamak için hata neden olabilir.

      • Yerel olarak oturum açmaya izin ver kullanıcı hakkının kaldırılması, etki alanı denetleyicileri veya uygulama sunucuları gibi bilgisayarların konsollarında yetkisiz oturum açmalarda engeller.

      • Bu oturum açma hakkı kaldırılmasını olmayan etki alanı hesapları etki alanındaki üye bilgisayarların konsolunda oturum açmasını önler.

    5. Uyumluluk sorunlarına örnekler

      • Windows 2000 terminal sunucuları: Yerel olarak oturum açmaya izin ver kullanıcı hakkı kullanıcıların Windows 2000 terminal sunucularına oturum açmak gereklidir.

      • Windows NT 4.0, Windows 2000, Windows XP veya Windows Server 2003: Kullanıcı hesapları Windows NT 4.0, Windows 2000, Windows XP veya Windows Server 2003 çalıştıran bilgisayarların konsolunda oturum açmak için bu kullanıcı hakkının verilmesi gerekir.

      • Windows NT 4.0 ve üstü: Yerel olarak oturum açmaya izin ver kullanıcı hakkı, ancak açıkça veya örtük olarak eklerseniz daha sonra da yerel olarak oturum açmayı reddet oturum açma hakkını ve Windows NT 4.0 çalıştıran bilgisayarlarda, hesapların oturum gideremez ve çözemez konsolunda etki alanı denetleyicileri.

  3. Çapraz geçiş denetimini atla

    1. Arka plan

      Klasörü Gez özel erişim izinlerini denetlenmeden NTFS dosya sisteminde veya kayıt defterinde klasörlere göz atmak kullanıcıya çapraz geçiş denetimini atla kullanıcı hakkı verir. Çapraz geçiş denetimini atla kullanıcı hakkı, bir klasörün içeriğini listelemek kullanıcı izin vermez. Kullanıcı yalnızca klasörlerinde çapraz geçiş yapmasını sağlar.

    2. Riskli yapılandırmalar

      Zararlı yapılandırma ayarları şunlardır:

      • Windows 2000 tabanlı Terminal Hizmetleri bilgisayarları veya dosya sistemindeki dosya ve klasörlerinize erişmek için izinlere sahip olmayan bilgisayarlar Windows Server 2003 tabanlı Terminal Hizmetleri oturum açan yönetimsel olmayan hesapları kaldırma.

      • Bu kullanıcı hakkı Varsayılan olarak sahip olan güvenlik sorumluları listesinden Everyone grubunu kaldırma. Windows işletim sistemleri ve ayrıca birçok programlar bilgisayara meşru bir şekilde erişebilen herkes çapraz geçiş denetimini atla kullanıcı hakkı sahip beklentisiyle tasarlanmıştır. Bu nedenle, Everyone kaldırarak varsayılan olarak bu kullanıcı hakkına sahip olan güvenlik sorumluları listesinden grubu işletim sistemi kararsızlığına veya program hatasına neden olabilir. Daha iyi bu ayarı varsayılan değerinde bırakın.

    3. Bu kullanıcı hakkını verme nedenleri

      Çapraz geçiş denetimini atla kullanıcı hakkı için varsayılan ayar, çapraz geçiş denetimini atla herkese izin vermektir. Deneyimli Windows Sistem yöneticileri için bu beklenen davranıştır ve dosya sistemi erişim denetim listeleri (SACL) uygun şekilde yapılandırın. Varsayılan yapılandırma beklemesidir nerede neden olabilir yalnızca izinleri yapılandıran yöneticinin davranışı almaması ve bir üst klasöre erişemeyen kullanıcıların herhangi bir alt öğe içeriğini erişmek mümkün olmayacak bekler senaryodur klasörler.

    4. Bu kullanıcı hakkını kaldırma nedenleri

      Dosya sistemindeki dosyalara veya klasörlere erişimi engellemeye çalışmak için güvenlik konusunda çok önem veren kuruluşlar Everyone grubunu kaldırın, hatta Kullanıcılar grubundan çapraz geçiş denetimini atla sahip grupların listesini meyledebilir kullanıcı hakkı.

    5. Uyumluluk sorunlarına örnekler

      • Windows 2000 ve Windows Server 2003: Çapraz geçiş denetimini atla kullanıcı hakkı kaldırılır veya Windows 2000 veya Windows Server 2003 çalıştıran bilgisayarlarda yanlış yapılandırılırsa sysvol klasöründeki Grup İlkesi ayarları etki alanındaki etki alanı denetleyicileri arasında çoğaltılmaz.

      • Windows 2000, Windows XP Professional, Windows Server 2003: Windows 2000, Windows XP Professional veya Windows Server 2003 çalıştıran bilgisayarlara 1000 ve 1202 olayları günlüğe kaydeder ve bilgisayar ilkesi ile kullanıcı ilkesinin, SYSVOL ağacından gerekli dosya sistemi izinleri kaldırıldığında uygulamak mümkün olmayacak atlama Çapraz geçiş denetimi kullanıcı hakkı kaldırılır veya yanlış yapılandırılmış.

        Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:

        her beş dakikada bir uygulama olay günlüğüne olay kimliği 1000, 1001 kaydedilir
         

      • Windows 2000 ve Windows Server 2003: Bir birimde özelliklerini görüntülediğinizde, Windows 2000 veya Windows Server 2003 çalıştıran bilgisayarlarda, Kota sekmesini Windows Gezgini'nde görünmez.

      • Windows 2000: Windows 2000 terminal Server'a oturum açan Yönetici olmayanlar aşağıdaki hata iletisini alabilirsiniz:

        Userinit.exe uygulama hatası. 0xc0000142 düzgün olarak başlayamadı uygulama, uygulamayı sonlandırmak için Tamam'ı tıklatın.

      • Windows NT 4.0, Windows 2000, Windows XP ve Windows Server 2003: Kullanıcıların Windows NT 4.0, Windows 2000, Windows XP veya Windows Server 2003 çalıştıran bilgisayarları paylaşılan klasörleri veya dosyaları paylaşılan klasörlere erişmek mümkün olmayabilir ve verilmemişse "Erişim reddedildi" hata iletileri alabilirsiniz çapraz atlama denetimi kullanıcı hakkı.


        Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:

        Kullanıcılar paylaşılan klasörlere erişmeye çalıştığınızda "Erişim reddedildi" hata iletisi
         

      • Windows NT 4.0: Windows NT 4.0 tabanlı bilgisayarlarda, çapraz geçiş denetimini atla kullanıcı hakkı kaldırılması dosya kopyalama dosya akışlarını bırakmasına neden olur. Bir dosyayı bir istemciden bir Windows veya Macintosh istemcisinden Macintosh Hizmetleri çalıştıran bir Windows NT 4.0 etki alanı denetleyicisine kopyalandığında bu kullanıcı hakkını kaldırırsanız, hedef dosya akışı kaybolur ve dosya salt metin dosyası olarak görünür.

      • Microsoft Windows 95, Microsoft Windows 98: Windows 95 veya Windows 98 çalıştıran bir istemci bilgisayarda net use * / home Authenticated Users grubuna çapraz geçiş denetimini atla kullanıcı hakkı verilmemişse, komutu bir "Erişim reddedildi" hata iletisiyle başarısız olur.

      • Outlook Web erişimi: Yönetici olmayanlar Microsoft Outlook Web Access'e oturum açabilmesi olmayacak ve çapraz geçiş denetimini atla kullanıcı hakkı verilmemişse bir "Erişim reddedildi" hata iletisi alırlar.

Güvenlik Ayarları

Aşağıdaki listede bir güvenlik ayarını tanımlar ve iç içe geçmiş listesi güvenlik ayarı hakkında bir açıklama sağlar, sorunlara neden olabilir, neden, güvenlik ayarı uygulamak ve sonra neden nedenleri açıklar açıklar yapılandırma ayarlarını tanımlar. güvenlik ayarını kaldırmak isteyebilirsiniz. İç içe geçmiş listesi sonra bir simgesel ad için güvenlik ayarını ve güvenlik ayarını kayıt defteri yolunu sağlar. Son olarak, güvenlik ayarı yapılandırıldığında oluşabilecek uyumluluk sorunlarını örnekler verilmiştir.

  1. Denetim: hemen güvenlik denetimleri günlüğe alınamazsa sistemi Kapat

    1. Arka plan

      • Denetim: hemen güvenlik denetimleri günlüğe alınamazsa sistemi Kapat ayarı, güvenlik olaylarını günlüğe ise zaman sistemin kapanıp kapanmayacağını belirler. Bu ayar, bu olayları günlüğe denetim sistemi denetlenebilir olayları önlemek bilgi teknolojisi güvenlik değerlendirme için ortak ölçütler ve güvenilen bilgisayar güvenliği değerlendirme ölçütleri, TCSEC programının C2 değerlendirmesi için gereklidir. Denetim sistemi başarısız olursa, sistem kapatılır ve bir Dur hata iletisi görünür.

      • Bilgisayarın güvenlik günlüğüne olay kaydedemezse, kritik bir kanıt veya önemli sorun giderme bilgileri güvenlik olayından sonra gözden geçirilmesi için kullanılabilir olmayabilir.

    2. Riskli yapılandırma

      Zararlı yapılandırma ayarı aşağıdaki gibidir: Denetim: hemen güvenlik denetimleri günlüğe alınamazsa sistemi Kapat ayarı açıksa ve güvenlik olay günlüğünün boyutu ile sınırlıdır üzerine olaylar (Temizle günlük el ile) seçeneği, gerekli olarak olayların üzerine yaz seçeneğini veya Olay Görüntüleyicisi'nde Sayı günden daha eski olayların üzerine seçeneğini. Windows 2000, Windows 2000 Service Pack 1 (SP1), Windows 2000 SP2 veya Windows 2000 SP3'ü özgün yayım sürümünü çalıştıran bilgisayarlar için belirli riskler hakkında bilgi için "Uyumluluk sorunlarına örnekler" bölümüne bakın.

    3. Bu ayarı etkinleştirme nedenleri

      Bilgisayarın güvenlik günlüğüne olay kaydedemezse, kritik bir kanıt veya önemli sorun giderme bilgileri güvenlik olayından sonra gözden geçirilmesi için kullanılabilir olmayabilir.

    4. Bu ayarı devre dışı bırakma nedenleri

      • Etkinleştirme Denetim: hemen güvenlik denetimleri günlüğe alınamazsa sistemi Kapat ayarı, herhangi bir nedenle bir güvenlik denetimi kaydedilemezse sistemi durdurur. Güvenlik denetleme günlüğü tam ve günlüğü tutma yöntemi (günlüğü kendin temizle) olayları üzerine yazma seçeneğini veya Sayı günden daha eski olayların üzerine seçeneği olduğunda olduğunda genellikle bir olay günlüğe kaydedilemez.

      • Etkinleştirme Yönetim yükünü Denetim: hemen güvenlik denetimleri günlüğe alınamazsa sistemi Kapat ayarı, özellikle de güvenlik günlüğü için (günlüğü kendin temizle) olayları üzerine yazma seçeneğini etkinleştirmeniz çok yüksek olabilir. Bu ayar için işletmen eylemlerinin bireysel sorumluluk sağlar. Örneğin, bir yönetici tüm kullanıcılar, bilgisayarlar ve gruplar burada denetim yerleşik Yönetici hesabını veya başka bir paylaşılan hesabı kullanılarak etkinleştirilmiş bir kuruluş biriminde (OU) izinlerini Sıfırla ve sonra da bu izinleri sıfırladığını reddetmek. Ancak, çünkü bir sunucu oturum açma olayları ve güvenlik günlüğüne yazılan diğer güvenlik olayları ile aşırı tarafından kapatmak zorunda kalabilirsiniz ayarın etkinleştirilmesi sistemin sağlamlığını azaltın. Ayrıca, kapanma düzgün yapılmadığından işletim sistemi, programlar veya verilerde onarılamaz hasara neden olabilir. NTFS bir durunda sistem kapanması sırasında sistemin bütünlüğünün korunacağını garanti etse sistem yeniden başlatıldığında her programın her veri dosyasının hala kullanılabilir olacağını garanti edemez.

    5. Simgesel ad:

      CrashOnAuditFail

    6. Kayıt defteri yolu:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

    7. Uyumluluk sorunlarına örnekler

      • Windows 2000: Bir hata nedeniyle, Windows 2000, Windows 2000 SP1, Windows 2000 SP2 veya Windows Server SP3 özgün yayım sürümünü çalıştıran bilgisayarlar güvenlik için en büyük günlük boyutu seçeneğinde belirtilen boyuttan önce olayları günlüğe kaydetmeyi durdurabilir Olay günlüğü ulaşıldı. Bu hata, Windows 2000 Service Pack 4 (SP4) giderilmiştir. Windows 2000 etki alanı denetleyicileriniz Windows 2000 Service Pack 4 Bu ayarı etkinleştirmeyi düşünmeden önce yüklü olduğundan emin olun.

        Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:

        olay günlüğü en büyük günlük boyutuna ulaşmadan olayları günlüğe kaydetmeyi durduruyor
         

      • Windows 2000 ve Windows Server 2003: Windows 2000 veya Windows Server 2003 çalıştıran bilgisayarlara yanıt vermemeye başlayabilir ve sonra kendiliğinden yeniden başlayabilir Denetim: hemen güvenlik denetimleri günlüğe alınamazsa sistemi Kapat ayarı açıksa, tam ve varolan güvenlik günlüğü Olay günlüğü girdisinin üzerine yazılamaz. Bilgisayar yeniden başlatıldığında, aşağıdaki Dur hata iletisi görüntülenir:

        Dur: C0000244 {denetim başarısız}
        Güvenlik denetimi oluşturma girişimi başarısız oldu.

        Kurtarmak için yönetici oturum açma güvenlik günlüğü (isteğe bağlı) güvenlik günlüğünü temizleyin ve sonra (isteğe bağlı ve gerektiği şekilde) bu seçeneği Sıfırla gerekir.

      • MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 için Microsoft ağ istemcisi: Bir etki alanına oturum açmayı denediğinizde non-yöneticileri, aşağıdaki hata iletisini alırsınız:

        Hesabınız, bu bilgisayarı kullanmanızı engelleyecek şekilde yapılandırılmıştır. Lütfen başka bir bilgisayar deneyin.

      • Windows 2000: Windows 2000 tabanlı bilgisayarlarda Yönetici olmayanlar uzaktan erişim sunucularına oturum olmayacak ve aşağıdakine benzer bir hata iletisi alırlar:

        Bilinmeyen kullanıcı veya hatalı parola

        Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:

        hata iletisi: hesabınız, bu bilgisayarı kullanmanızı engelleyecek şekilde yapılandırılmış
         

      • Windows 2000: Windows 2000 etki alanı denetleyicileri, siteler arası ileti hizmeti (Ismserv.exe) durdurur ve yeniden başlatılamaz. DCDIAG hatayı "başarısız sınama Hizmetleri ISMserv" olarak bildirir ve olay günlüğüne olay kimliği 1083 kaydedilir.

      • Windows 2000: Windows 2000 etki alanı denetleyicilerinde Active Directory çoğaltması başarısız olur ve güvenlik olay günlüğü doluysa bir "Erişim reddedildi" iletisi görüntülenir.

      • Microsoft Exchange 2000: Exchange 2000 çalıştıran sunucular bilgi deposu veritabanını olmaz ve olay günlüğüne 2102 olayı kaydedilir.

      • Outlook, Outlook Web erişimi: Yönetici olmayanlar Microsoft Outlook veya Microsoft Outlook Web Access üzerinden postalarına erişmek mümkün olmayacak ve 503 hatası alırlar.

  2. Etki alanı denetleyicisi: LDAP sunucu imzalama gereksinimleri

    1. Arka plan

      Etki alanı denetleyicisi: LDAP sunucu imzalama gereksinimleri güvenlik ayarı, Basit Dizin Erişim Protokolü (LDAP) sunucusunun LDAP istemcilerinin veri imzalama anlaşması gerekli olup olmadığını belirler. Bu ilke ayarının olası değerler aşağıdaki gibidir:

      • Yok: Sunucuya bağlanmak için veri imzalama gerekmez. İstemci veri imzalama isterse sunucu bunu destekler.

      • İmzalama gerekiyor: Aktarım Katmanı Güvenliği/Güvenli Yuva Katmanı (TLS/SSL) kullanılmıyorsa LDAP veri imzalama seçeneği görüşülmelidir.

      • tanımlı değil: Bu ayar etkin veya devre dışı değildir.

    2. Riskli yapılandırmalar

      Zararlı yapılandırma ayarları şunlardır:

      • İmza gerektiren ortamlarda nerede istemcilerin LDAP imzalamayı desteklemediği veya nerede istemci tarafı LDAP imzalamanın istemcide etkin değil etkinleştirme

      • Windows 2000 veya Windows Server 2003 Hisecdc.inf güvenlik şablonunu ortamlarda nerede istemcilerin LDAP imzalamayı desteklemediği veya nerede istemci tarafı LDAP imzalamanın etkinleştirilmediği uygulama

      • Windows 2000 veya Windows Server 2003 Hisecws.inf güvenlik şablonunu ortamlarda nerede istemcilerin LDAP imzalamayı desteklemediği veya nerede istemci tarafı LDAP imzalamanın etkinleştirilmediği uygulama

    3. Bu ayarı etkinleştirme nedenleri

      İmzalanmamış ağ trafiği, burada bir saldırgan istemci ile sunucu arasındaki paketleri yakalar, paketleri değiştirir ve sonra bunları sunucuya iletir man-in--middle saldırılara açıktır. Bir LDAP sunucusunda bu davranış oluştuğunda, saldırgan sunucunun LDAP istemcisinden gelen gerçek dışı sorgulara dayalı kararlar almak bir sunucu neden olabilir. Bu riski bir şirket ağında, ağ altyapısını korumaya yardımcı olacak sağlam fiziksel güvenlik önlemleri uygulayarak azaltabilirsiniz. Internet Protokolü güvenliği (IPSec) kimlik doğrulaması üstbilgi modu, man-in--middle saldırıları önlemeye yardımcı olabilir. Kimlik doğrulaması üstbilgi modu, IP trafiği için karşılıklı kimlik doğrulama ve paket bütünlüğü denetimi gerçekleştirir.

    4. Bu ayarı devre dışı bırakma nedenleri

      • LDAP imzalamayı desteklemeyen istemciler NTLM kimlik doğrulamasında anlaşılırsa ve Windows 2000 etki alanı denetleyicilerine doğru hizmet paketleri yüklenmemişse, etki alanı denetleyicilerinde ve genel kataloglarda LDAP sorguları yürütmek mümkün olmayacaktır.

      • Ağ izlemeleri istemciler ve sunucular arasındaki LDAP trafiği şifrelenir. Bu, LDAP görüşmelerini incelemeyi zorlaştırır.

      • Windows 2000 tabanlı sunucularda veya LDAP imzalamayı destekleyen Windows 2000 SP4, Windows XP veya Windows Server 2003 çalıştıran istemci bilgisayarlardan çalıştırılır programları ile yönetilen, yüklü Windows 2000 Service Pack 3 (SP3) olmalıdır. Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:

        Windows 2000 etki alanı denetleyicilerini Service Pack 3 veya sonraki Windows Server 2003 yönetimsel araçları kullanılırken gerektirir.
         

    5. Simgesel ad:

      LDAPServerIntegrity

    6. Kayıt defteri yolu:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

    7. Uyumluluk sorunlarına örnekler

      • Basit bağlamalar başarısız olur ve aşağıdaki hata iletisini alırsınız:

        Ldap_simple_bind_s() başarısız oldu: güçlü kimlik doğrulaması gerekli.

      • Windows 2000 Service Pack 4, Windows XP ve Windows Server 2003: Windows 2000 SP4, Windows XP veya Windows Server 2003 çalıştıran istemcilerde, bazı Active Directory Yönetim Araçları düzgün Windows 2000 SP3'ten önceki sürümlerini çalıştıran etki alanı denetleyicilerinde çalışmaz, NTLM kimlik doğrulama görüşülür.

        Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:

        Windows 2000 etki alanı denetleyicilerini Service Pack 3 veya sonraki Windows Server 2003 yönetimsel araçları kullanılırken gerektirir.
         

      • Windows 2000 Service Pack 4, Windows XP ve Windows Server 2003: Windows 2000 sürümlerini çalıştıran etki alanı denetleyicileri hedefleyen bazı Active Directory Yönetim Araçları Windows Server 2003, Windows XP veya Windows 2000 SP4 çalıştıran istemcilerde olmaları durumunda SP3 düzgün çalışmazlar öncesi IP adresleri ile (örneğin, "dsa.msc/Server =x.x.x.x" nerede
        x.x.x.x bir IP adresidir).


        Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:

        Windows 2000 etki alanı denetleyicilerini Service Pack 3 veya sonraki Windows Server 2003 yönetimsel araçları kullanılırken gerektirir.
         

      • Windows 2000 Service Pack 4, Windows XP ve Windows Server 2003: Hedefleyen bazı Active Directory Yönetim Araçları Windows Server 2003, Windows XP veya Windows 2000 SP4 çalıştıran istemcilerde Windows 2000 sürümlerini çalıştıran etki alanı denetleyicileri öncesi için SP3'ü düzgün çalışmaz.

        Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:

        Windows 2000 etki alanı denetleyicilerini Service Pack 3 veya sonraki Windows Server 2003 yönetimsel araçları kullanılırken gerektirir.
         

  3. Etki alanı üyesi: güçlü (Windows 2000 veya daha yenisi) oturum anahtarı iste

    1. Arka plan

      • Etki alanı üyesi: güçlü (Windows 2000 veya daha yenisi) oturum anahtarı iste ayarı, güvenli kanal trafiğini güçlü, 128-bit oturum anahtarı ile şifreleme yeteneği bir etki alanı denetleyicisiyle güvenli bir kanal oluşturulamayacağını belirler. Bu ayarın etkinleştirilmesi, güvenli kanal verilerini güçlü bir anahtar ile şifreleme yeteneği olmayan etki alanı denetleyicileri ile güvenli bir kanal oluşturulmasını engeller. Bu ayarın devre dışı bırakılması 64-bit oturum anahtarlarına izin verir.

      • Bu ayarı bir üye iş istasyonunda veya sunucuda etkinleştirebilmeniz için üyenin ait olduğu etki alanındaki tüm etki alanı denetleyicilerinin güvenli kanal verilerini güçlü, 128-bit bir anahtarla şifreleyebilmesi çalıştırabilmesi gerekir. Başka bir deyişle, tüm bu etki alanı denetleyicilerinin 2000 veya sonraki sürümü Windows çalışmalıdır.

    2. Riskli yapılandırma

      Etkinleştirme etki alanı üyesi: güçlü (Windows 2000 veya daha yenisi) oturum anahtarı iste zararlı yapılandırma ayarı bir ayardır.

    3. Bu ayarı etkinleştirme nedenleri

      • Üye bilgisayarlar ve etki alanı denetleyicileri arasında güvenli kanal iletişimi kurmak için kullanılan oturum anahtarlarına Microsoft işletim sistemlerinin önceki sürümlerinde olduklarından Windows 2000'de daha güçlüdür.

      • Mümkün olduğunda, güvenli kanal iletişimlerini gizlice dinleme ve oturumu ele geçirme ağ saldırılarından korumaya yardımcı olmak için bu daha güçlü oturum anahtarlarından yararlanmak iyi bir fikirdir. Kulak misafiri olma , ağ verilerinin okunduğu veya aktarım sırasında değiştirilmediğini nerede kötü niyetli saldırı biçimidir. Verileri gizlemek için veya göndereni değiştirmek veya yeniden yönlendirmek için değiştirilebilir.

      Önemli Windows Server 2008 R2 veya Windows 7 çalıştırılan bir bilgisayarda güvenli kanallar kullanılır, yalnızca güçlü anahtarları destekler. Bu kısıtlama, tüm Windows NT 4.0 tabanlı etki alanı ve tüm Windows Server 2008 R2 tabanlı bir etki alanı arasında bir güven engeller. Ayrıca, Windows 7 veya Windows Server 2008 R2 çalıştıran bilgisayarların Windows NT 4.0 tabanlı etki alanı üyeliğini bu kısıtlama engeller ve bunun tersi de geçerlidir.

    4. Bu ayarı devre dışı bırakma nedenleri

      Etki alanı Windows 2000, Windows XP veya Windows Server 2003 dışındaki işletim sistemlerini çalıştıran üye bilgisayarlar içerir.

    5. Simgesel ad:

      StrongKey

    6. Kayıt defteri yolu:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

    7. Uyumluluk sorunlarına örnekler

      Windows NT 4.0: Windows NT 4.0 tabanlı bilgisayarlarda, Windows NT 4.0 ve Nltest kullanılarak Windows 2000 etki alanları arasında güven ilişkileri güvenli kanallarının sıfırlanması başarısız olur. "Erişim reddedildi" hata iletisi görüntülenir:

      Birincil etki alanı ile güvenilen etki alanı arasındaki güven ilişkisi başarısız oldu.

      Windows 7 ve Server 2008 R2: Windows 7 ve sonraki sürümleri ve Windows Server 2008 R2 ve sonraki sürümleri için bu ayarı artık dikkate değil ve güçlü anahtar her zaman kullanılır. Bu yüzden, Windows NT 4.0 etki alanlarıyla güven artık çalışmaz.

  4. Etki alanı üyesi: Güvenli kanal verisini (her zaman) veya dijital olarak şifrele

    1. Arka plan

      • Etkinleştirme etki alanı üyesi: dijital olarak şifrele ya da imzala güvenli kanal verisini (her zaman) olamaz tüm güvenli kanal verilerini imzalayamadığı veya etki alanı denetleyicisiyle güvenli bir kanal oluşturulmasını engeller. Kimlik doğrulama trafiğinin man-in--middle saldırıları, yeniden gönderme saldırılarını ve diğer tür ağ saldırılarına korunmasına yardımcı olmak için Windows tabanlı bilgisayarlar için Net Logon hizmeti üzerinden bir Güvenli kanal olarak bilinen bir iletişim kanalı oluşturun bilgisayar hesaplarının kimliğini doğrulamak. Bir etki alanındaki bir kullanıcı uzak bir etki alanındaki bir ağ kaynağına bağlandığında güvenli kanallar da kullanılır. Bu çok etki alanlı kimlik doğrulama veya geçiş kimlik doğrulaması, etki alanı ve tüm güvenilen etki alanlarındaki kullanıcı hesabı veritabanına erişimi sağlamak için bir etki alanına katılmış Windows tabanlı bir bilgisayar sağlar.

      • Etkinleştirmek için etki alanı üyesi: dijital olarak şifrele ya da imzala güvenli kanal verisini (her zaman) bir üye bilgisayarda ayarlanması, üyenin ait olduğu etki alanındaki tüm etki alanı denetleyicilerinin tüm güvenli kanal verilerini imzalayamadığı veya veritabanına yazabiliyor olmalısınız. Tüm etki alanı denetleyicilerinin Windows NT 4.0 Service Pack 6a çalıştırıyor olması gerektiğini anlamına gelir (SP6a) veya sonrası.

      • Etkinleştirme etki alanı üyesi: dijital olarak şifrele ya da imzala güvenli kanal verisini (her zaman) ayarı otomatik olarak etkinleştirir etki alanı üyesi: dijital olarak şifrele ya da imzala güvenli kanal verisini (uygun olduğunda) ayarı.

    2. Riskli yapılandırma

      Etkinleştirme etki alanı üyesi: dijital olarak şifrele ya da imzala güvenli kanal verisini (her zaman) ayardır nerede tüm etki alanı denetleyicilerinin güvenli kanal verilerini imzalayamadığı veya etki alanlarındaki zararlı yapılandırma ayarı.

    3. Bu ayarı etkinleştirme nedenleri

      İmzalanmamış ağ trafiği, burada bir saldırgan istemci ile sunucu arasındaki paketleri yakalar ve sonra istemciye iletmeden önce değiştirir man-in--middle saldırılara açıktır. Bir Basit Dizin Erişim Protokolü (LDAP) sunucusunda bu davranış oluştuğunda, saldırgan istemcinin LDAP dizininden yanlış kayıtları dayalı kararlar vermesine neden olabilir. Ağ altyapısını korumaya yardımcı olacak sağlam fiziksel güvenlik önlemleri uygulayarak, şirket ağındaki bir böyle bir saldırı riskini azaltabilirsiniz. Ayrıca, uygulama Internet Protokolü güvenliği (IPSec) kimlik doğrulaması üstbilgi modu man-in--middle saldırıları önlemeye yardımcı olabilir. Bu mod, IP trafiği için karşılıklı kimlik doğrulama ve paket bütünlüğü denetimi gerçekleştirir.

    4. Bu ayarı devre dışı bırakma nedenleri

      • Yerel veya dış etki alanlarındaki bilgisayarlar şifreli güvenli kanalları desteklemektedir.

      • Etki alanındaki tüm etki alanı denetleyicileri şifreli güvenli kanalları desteklemek için uygun bir hizmet paketi revizyon düzeyleri vardır.

    5. Simgesel ad:

      StrongKey

    6. Kayıt defteri yolu:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

    7. Uyumluluk sorunlarına örnekler

      • Windows NT 4.0: Windows 2000 tabanlı üye bilgisayarlar Windows NT 4.0 etki alanlarına katılamaz olmayacak ve aşağıdaki hata iletisini alırsınız:

        Hesabın bu istasyondan oturum açmaya yetkili değil.

        Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:

        hata iletisi: hesabın bu istasyondan oturum açmaya yetkili değil
         

      • Windows NT 4.0: Windows NT 4.0 etki alanı bir Windows 2000 etki alanıyla alt düzey bir güven kurmak mümkün olmayacak ve aşağıdaki hata iletisini alırsınız:

        Hesabın bu istasyondan oturum açmaya yetkili değil.

        Varolan alt düzey güvenler de güvenilen etki alanındaki kullanıcıların kimliğini doğrulayamaz. Bazı kullanıcılar etki alanına oturum açma sorunları olabilir ve bunlar istemci etki alanını bulamadığını belirten bir hata iletisi alabilirsiniz.

      • Windows XP: Windows NT 4.0 etki alanlarına bağlanan Windows XP istemcileri, oturum açma girişimlerini gideremez ve çözemez ve aşağıdaki hata iletisini alabilirsiniz veya olay günlüğüne aşağıdaki olaylar kaydedilebilir:

        Çünkü etki alanı denetleyicisi çalışmıyor veya kullanılamaz durumda ya da bilgisayarınızın hesabı bulunamadığı için Windows etki alanına bağlanamıyor

      • Microsoft ağı: Microsoft Network istemcileri aşağıdaki hata iletilerinden birini alırsınız:

        Oturum açma hatası: Bilinmeyen kullanıcı adı veya hatalı parola.

        Belirtilen oturum için kullanıcı oturum anahtarı yok.

  5. Microsoft ağ istemcisi: İletişimleri dijital olarak imzala (her zaman)

    1. Arka plan

      Sunucu İleti Bloğu (SMB) birçok Microsoft işletim sistemi tarafından desteklenen kaynak paylaşım protokolüdür. Bu ağ temel giriş/çıkış sistemi (NetBIOS) ve diğer birçok protokolün temelini oluşturur. SMB imzalama hem kullanıcının hem de verileri barındıran sunucunun kimliğini doğrular. Her iki tarafında kimlik doğrulama işlemi başarısız olursa, veri iletimi gerçekleşmez.

      SMB iletişim kuralı anlaşması sırasında başlar imzalama SMB etkinleştirme. SMB imzalama ilkeleri bilgisayarın istemci iletişimlerini her zaman dijital olarak imzalayıp imzalamadığını belirler.

      Windows 2000 SMB kimlik doğrulama protokolü karşılıklı kimlik doğrulamayı destekler. Karşılıklı kimlik doğrulama "man-in--middle" saldırısını kapatır. Windows 2000 SMB kimlik doğrulama protokolü ileti kimlik doğrulamasını da destekler. İleti kimlik doğrulaması etkin ileti saldırılarını engellemeye yardımcı olur. SMB imzalama bu kimlik doğrulamayı sağlamak için dijital imza her SMB'ye olarak geçirir. İstemci ve sunucu dijital imzayı doğrular.

      SMB imzasını kullanmak için SMB imzalamayı etkinleştirmeniz veya SMB SMB istemci ve sunucu SMB imzalamayı gerekli kılmanız gerekir. SMB imzalama sunucuda kullanım iletişim kuralını izleyen oturumların tümünde paket imzalama SMB için etkinleştirilen istemciler etkin olduğunda. SMB imzası sunucuda gerekli ise, istemci etkin veya SMB imzalama için gerekli olmadıkça bir istemci oturum oluşturamaz.


      Güvenlik düzeyi yüksek ağlarda dijital imzanın etkinleştirilmesi, istemcilerin ve sunucuların kimliğine bürünme önlenmesine yardımcı olur. Bu tür oturum ele geçirmeolarak bilinir. İstemci veya sunucu aynı ağa erişimi olan bir saldırgan, oturum ele geçirme araçları kesmek, sonlandırmak veya bir oturumu devam ediyor çalmak için kullanır. Saldırgan müdahale ve imzasız SMB paketlerini değiştirebilir, trafiği değiştirebilir ve sonra ileterek sunucunun istenmeyen eylemler gerçekleştirmesini sağlayabilir. Ya da saldırgan, meşru bir kimlik doğrulamasından sonra istemci veya sunucu olarak poz ve sonra verilere yetkisiz erişim elde.

      Dosya Paylaşımı ve yazıcı paylaşımını Windows 2000 Server, Windows 2000 Professional, Windows XP Professional veya Windows Server 2003 çalıştıran bilgisayarlarda kullanılan SMB protokolü karşılıklı kimlik doğrulamayı destekler. Karşılıklı kimlik doğrulama oturum ele geçirme saldırılarına kapatır ve ileti kimlik doğrulamasını destekler. Bu nedenle, man-in--middle saldırıları engeller. SMB imzalama her SMB'ye bir dijital imza koyarak, bu kimlik doğrulama sağlar. Sonra istemci ve sunucu imzayı doğrular.

      Notlar

      • Alternatif bir karşı önlem, tüm ağ trafiğini korumak için IPSec ile dijital imzaları etkinleştirebilirsiniz. Hızlandırıcılar donanım tabanlı IPSec şifreleme ve imzalama, sunucu CPU üzerindeki performans etkisini en aza indirmek için kullanabileceğiniz vardır. SMB imzalama için kullanılabilir olan böyle hızlandırıcılar yoktur.

        Daha fazla bilgi için Microsoft MSDN Web sitesinde dijital Digitally bakın.

        Geçersiz kılan bir etki alanı ilkesi varsa yerel kayıt defteri değeri için bir değişiklik etkisi yoktur çünkü Grup İlkesi Nesne Düzenleyicisi aracılığıyla SMB imzalamayı yapılandırma.

      • Dizin Hizmetleri istemcisi, Windows 95, Windows 98 ve Windows 98 İkinci Sürüm, Windows Server 2003 sunucularıyla NTLM kimlik doğrulaması yardımıyla kimlik doğrulaması yaptığında SMB imzalama kullanır. Ancak, bu istemciler, SMB imzalama bunlar bu sunucularla NTLMv2 kimlik doğrulaması kullanarak kimlik doğrulaması kullanmayın. Ayrıca, Windows 2000 sunucuları bu istemcilerden gelen istekleri imzalama SMB yanıt vermez. Madde 10 daha fazla bilgi için bkz: "ağ güvenliği: Lan Manager kimlik doğrulama düzeyi."

    2. Riskli yapılandırma

      Zararlı yapılandırma ayarı aşağıdaki gibidir: her ikisi de bırakarak Microsoft ağ istemcisi: İletişimleri dijital olarak imzala (her zaman) ayarı ve Microsoft ağ istemcisi: İletişimleri dijital olarak imzala (sunucu uygunsa) ayarını " Tanımsız"veya devre dışı bırakıldı. Bu ayarları yeniden yönlendiricisi, kimlik doğrulama sırasında parola şifrelemeyi desteklemeyen Microsoft olmayan SMB sunucularına düz metin parolalar göndermesine izin verir.

    3. Bu ayarı etkinleştirme nedenleri

      Etkinleştirme Microsoft ağ istemcisi: İletişimleri dijital olarak imzala (her zaman) SMB imzalama gerektirmeyen sunucularla iletişim kurarken SMB trafiğini imzalamalarını gerektirerek istemcileri. Bu istemciler oturum ele geçirme saldırılarına daha az savunmasız hale getirir.

    4. Bu ayarı devre dışı bırakma nedenleri

      • Etkinleştirme Microsoft ağ istemcisi: İletişimleri dijital olarak imzala (her zaman) istemciler SMB imzalamayı desteklemeyen hedef sunucularla iletişim kurmasını engeller.

      • Tüm imzasız SMB iletişimini yoksayacak şekilde bilgisayarları yapılandırma eski programların ve işletim sistemlerine bağlanmasını önler.

    5. Simgesel ad:

      RequireSMBSignRdr

    6. Kayıt defteri yolu:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

    7. Uyumluluk sorunlarına örnekler

      • Windows NT 4.0: Windows Server 2003 etki alanı ile bir Windows NT 4.0 etki alanı arasında bir güven güvenli kanalını NLTEST veya NETDOM kullanarak sıfırlayamazsınız olmayacak ve bir "Erişim reddedildi" hata iletisi alırsınız.

      • Windows XP: İstemciler Windows 2000 tabanlı sunuculara ve Windows Server 2003 tabanlı sunuculara, Windows XP'den dosya kopyalama daha uzun sürebilir.

      • Bu ayar etkinse bir istemciden bir ağ sürücüsünü eşlemek mümkün olmayacaktır ve aşağıdaki hata iletisini alırsınız:

        Hesabın bu istasyondan oturum açmaya yetkili değil.

    8. Yeniden başlatma gereksinimleri

      Bilgisayarı yeniden başlatın veya İş İstasyonu hizmetini yeniden başlatın. Bunu yapmak için komut istemine aşağıdaki komutları yazın. Her komutu yazdıktan sonra Enter tuşuna basın.

      net stop iş istasyonu
      net start iş istasyonu

  6. Microsoft ağ sunucusu: İletişimleri dijital olarak imzala (her zaman)

    1. Arka plan

      • Sunucu İleti Bloğu (SMB) birçok Microsoft işletim sistemi tarafından desteklenen kaynak paylaşım protokolüdür. Bu ağ temel giriş/çıkış sistemi (NetBIOS) ve diğer birçok protokolün temelini oluşturur. SMB imzalama hem kullanıcının hem de verileri barındıran sunucunun kimliğini doğrular. Her iki tarafında kimlik doğrulama işlemi başarısız olursa, veri iletimi gerçekleşmez.

        SMB iletişim kuralı anlaşması sırasında başlar imzalama SMB etkinleştirme. SMB imzalama ilkeleri bilgisayarın istemci iletişimlerini her zaman dijital olarak imzalayıp imzalamadığını belirler.

        Windows 2000 SMB kimlik doğrulama protokolü karşılıklı kimlik doğrulamayı destekler. Karşılıklı kimlik doğrulama "man-in--middle" saldırısını kapatır. Windows 2000 SMB kimlik doğrulama protokolü ileti kimlik doğrulamasını da destekler. İleti kimlik doğrulaması etkin ileti saldırılarını engellemeye yardımcı olur. SMB imzalama bu kimlik doğrulamayı sağlamak için dijital imza her SMB'ye olarak geçirir. İstemci ve sunucu dijital imzayı doğrular.

        SMB imzasını kullanmak için SMB imzalamayı etkinleştirmeniz veya SMB SMB istemci ve sunucu SMB imzalamayı gerekli kılmanız gerekir. SMB imzalama sunucuda kullanım iletişim kuralını izleyen oturumların tümünde paket imzalama SMB için etkinleştirilen istemciler etkin olduğunda. SMB imzası sunucuda gerekli ise, istemci etkin veya SMB imzalama için gerekli olmadıkça bir istemci oturum oluşturamaz.


        Güvenlik düzeyi yüksek ağlarda dijital imzanın etkinleştirilmesi, istemcilerin ve sunucuların kimliğine bürünme önlenmesine yardımcı olur. Bu tür oturum ele geçirmeolarak bilinir. İstemci veya sunucu aynı ağa erişimi olan bir saldırgan, oturum ele geçirme araçları kesmek, sonlandırmak veya bir oturumu devam ediyor çalmak için kullanır. Saldırgan müdahale ve imzasız alt ağ bant genişliği (dBm) paketlerini değiştirebilir, trafiği değiştirebilir ve sonra ileterek sunucunun istenmeyen eylemler gerçekleştirmesini sağlayabilir. Ya da saldırgan, meşru bir kimlik doğrulamasından sonra istemci veya sunucu olarak poz ve sonra verilere yetkisiz erişim elde.

        Dosya Paylaşımı ve yazıcı paylaşımını Windows 2000 Server, Windows 2000 Professional, Windows XP Professional veya Windows Server 2003 çalıştıran bilgisayarlarda kullanılan SMB protokolü karşılıklı kimlik doğrulamayı destekler. Karşılıklı kimlik doğrulama oturum ele geçirme saldırılarına kapatır ve ileti kimlik doğrulamasını destekler. Bu nedenle, man-in--middle saldırıları engeller. SMB imzalama her SMB'ye bir dijital imza koyarak, bu kimlik doğrulama sağlar. Sonra istemci ve sunucu imzayı doğrular.

      • Alternatif bir karşı önlem, tüm ağ trafiğini korumak için IPSec ile dijital imzaları etkinleştirebilirsiniz. Hızlandırıcılar donanım tabanlı IPSec şifreleme ve imzalama, sunucu CPU üzerindeki performans etkisini en aza indirmek için kullanabileceğiniz vardır. SMB imzalama için kullanılabilir olan böyle hızlandırıcılar yoktur.

      • Dizin Hizmetleri istemcisi, Windows 95, Windows 98 ve Windows 98 İkinci Sürüm, Windows Server 2003 sunucularıyla NTLM kimlik doğrulaması yardımıyla kimlik doğrulaması yaptığında SMB imzalama kullanır. Ancak, bu istemciler, SMB imzalama bunlar bu sunucularla NTLMv2 kimlik doğrulaması kullanarak kimlik doğrulaması kullanmayın. Ayrıca, Windows 2000 sunucuları bu istemcilerden gelen istekleri imzalama SMB yanıt vermez. Madde 10 daha fazla bilgi için bkz: "ağ güvenliği: Lan Manager kimlik doğrulama düzeyi."

    2. Riskli yapılandırma

      Zararlı yapılandırma ayarı aşağıdaki gibidir: etkinleştirme Microsoft ağ sunucusu: İletişimleri dijital olarak imzala (her zaman) uyumsuz Windows tabanlı bilgisayarlar ve üçüncü taraf tarafından erişilen etki alanı denetleyicileri ve sunucular üzerinde ayarlama Yerel veya dış etki alanlarındaki bilgisayarlar istemci işletim sistemi tabanlı.

    3. Bu ayarı etkinleştirme nedenleri

      • Doğrudan kayıt veya Grup İlkesi ayarı aracılığıyla bu ayarı etkinleştirirseniz, tüm istemci bilgisayarlar SMB imzalamayı destekler. Diğer bir deyişle, bu ayarın etkin olduğu tüm istemci bilgisayarlar DS İstemcisi yüklü Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional veya Windows Server 2003 ya da Windows 95 çalıştırın.

      • Yoksa Microsoft ağ sunucusu: İletişimleri dijital olarak imzala (her zaman) olan devre dışı bırakılmış, SMB imzalama tamamen devre dışı bırakılır. Tamamen tüm SMB devre dışı bırakma imzalama bilgisayarlar daha oturum ele geçirme saldırılarına karşı savunmasız bırakır.

    4. Bu ayarı devre dışı bırakma nedenleri

      • Bu ayarın etkinleştirilmesi dosya kopyalama ve ağ performansı daha yavaş istemci bilgisayarlarda neden.

      • Bu ayarın etkinleştirilmesi, istemciler SMB imzalama sunucuları ve etki alanı denetleyicileri ile iletişim kurarken işleyemeyen engel olur. Bu etki alanına katılma, kullanıcı ve bilgisayar kimlik doğrulaması veya ağ erişimi gibi işlemler programlar tarafından başarısız olmasına neden olur.

    5. Simgesel ad:

      RequireSMBSignServer

    6. Kayıt defteri yolu:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

    7. Uyumluluk sorunlarına örnekler

      • Windows 95: (DS) Dizin Hizmetleri istemcisi yüklü olmayan windows 95 istemcileri, oturum açma kimlik doğrulaması başarısız olur ve aşağıdaki hata iletisini alırsınız:

        Sağladığınız etki alanı parolası doğru değil veya oturum açma sunucusuna erişiminiz reddedildi.

        Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:

        Windows 95 veya Windows NT 4.0 istemci Windows Server 2003 etki alanına oturum açtığında hata iletisi
         

      • Windows NT 4.0: Oturum açma kimlik doğrulamasında başarısız olur ve aşağıdaki hata iletisini alırsınız Service Pack 3 (SP3) öncesi Windows NT 4.0 sürümlerini çalıştıran istemci bilgisayarlar şunlardır:

        Sistem oturum açma isteğinizi. Kullanıcı adınızı ve etki alanınızın doğru olmasını sağlayıp parolanızı yeniden yazın.

        Bazı Microsoft SMB sunucuları kimlik doğrulama sırasında yalnızca şifresiz parola değiş tokuşlarını destekler. (Bu alışverişler "düz metin" değişimleri olarak da bilinir.) Bir kayıt defteri girişini eklemediğiniz sürece Windows NT 4.0 SP3 ve sonraki sürümler için SMB yeniden yönlendirici bir şifresiz parola SMB sunucusunda kimlik doğrulama sırasında göndermez.
        Windows NT 4.0 SP 3 ve daha yeni sistemlerde SMB istemcisinin şifrelenmemiş parolalar etkinleştirmek için kayıt defterinde şu şekilde değiştirin: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters

        Değer adı: EnablePlainTextPassword

        Veri Türü: REG_DWORD

        Veri: 1


        İlgili konular hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:

        hata iletisi: 1240 sistem hatası oluştu. Hesabın bu istasyondan oturum açmaya yetkili değil.

      • Windows Server 2003: Varsayılan olarak, Windows Server 2003 çalıştıran etki alanı denetleyicilerindeki güvenlik ayarları, etki alanı denetleyicisi iletişimlerinin kesilmesini veya kötü niyetli kullanıcılar tarafından bozulmasını önlemeye yardımcı olmak için yapılandırılır. Kullanıcıların başarılı bir şekilde Windows Server 2003 çalıştıran bir etki alanı denetleyicisiyle iletişim kurmak için istemci bilgisayarların hem SMB imzalama ve şifreleme veya güvenli kanal trafiğini imzalama kullanmanız gerekir. Varsayılan olarak, Windows NT 4.0 Service Pack 2 (SP2) veya önceki sürümlerini çalıştıran istemcilerde ve Windows 95 çalıştıran istemciler SMB paket imzalama etkin yok. Bu nedenle, bu istemciler için Windows Server 2003 tabanlı etki alanı denetleyicisi kimlik doğrulaması mümkün olmayabilir.

      • İlkesi ayarlarının Windows 2000 ve Windows Server 2003: Özel Yükleme gereksinimlerinize ve yapılandırmanıza bağlı olarak, Microsoft Yönetim Konsolu Grup İlkesi Düzenleyicisi ek bileşeni hiyerarşisinde, gerekli kapsamın en düşük varlığında en aşağıdaki ilke ayarlarını ayarlamanızı öneririz:

        • Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik seçenekleri

        • Üçüncü taraf SMB sunucularına bağlanmak için şifrelenmemiş parola gönder (Bu ayar Windows 2000 içindir)

        • Microsoft ağ istemcisi: üçüncü taraf SMB sunucularına şifrelenmemiş parola gönder (Bu ayar Windows Server 2003 içindir)


        Not: Eski Samba sürümleri gibi bazı üçüncü taraf CIFS sunucularında şifreli parolaları kullanamazsınız.

      • Aşağıdaki istemciler ile uyumsuz Microsoft ağ sunucusu: İletişimleri dijital olarak imzala (her zaman) ayarı:

        • Apple Computer, Inc., Mac OS X istemcileri

        • Microsoft MS-DOS ağı istemcileri (örneğin, Microsoft LAN Manager)

        • Microsoft Windows for Workgroups istemcileri

        • DS İstemcisi Microsoft Windows 95 istemcilerinin yüklü

        • Microsoft Windows NT 4.0 tabanlı bilgisayarların olmadan SP3 veya sonraki bir sürümü yüklü

        • Novell Netware 6 CIFS istemcileri

        • SMB imzalama desteği olmayan SAMBA SMB istemcileri

    8. Yeniden başlatma gereksinimleri

      Bilgisayarı yeniden başlatın veya sunucu hizmetini yeniden başlatın. Bunu yapmak için komut istemine aşağıdaki komutları yazın. Her komutu yazdıktan sonra Enter tuşuna basın.

      net stop server
      net start server

  7. Ağ erişimi: Adsız SID/Ad çevirisine izin ver

    1. Arka plan

      Ağ erişimi: Adsız SID/Ad çevirisine izin ver güvenlik ayarı, adsız bir kullanıcının başka bir kullanıcı için güvenlik kimlik numarası (SID) öznitelikleri isteyip isteyemeyeceğini belirler.

    2. Riskli yapılandırma

      Etkinleştirme Ağ erişimi: Adsız SID/Ad çevirisine izin ver zararlı yapılandırma ayarı bir ayardır.

    3. Bu ayarı etkinleştirme nedenleri

      Yoksa Ağ erişimi: Adsız SID/Ad çevirisine izin ver ayardır devre dışı bırakılmış, önceki işletim sistemlerinin veya uygulamaların Windows Server 2003 etki alanlarıyla iletişim mümkün olmayabilir. Örneğin, aşağıdaki işletim sistemleri, hizmetler veya uygulamalar çalışmayabilir:

      • Windows NT 4.0 tabanlı uzaktan erişim hizmeti sunucuları

      • Windows NT 3.x tabanlı bilgisayarlar veya Windows NT 4.0 tabanlı bilgisayarlarda çalışan Microsoft SQL Server

      • Windows NT 3.x etki alanlarında veya Windows NT 4.0 etki alanlarında bulunan Windows 2000 tabanlı bilgisayarlarda çalışan Uzaktan Erişim hizmeti

      • Windows NT 3.x etki alanlarında veya Windows NT 4.0 etki alanlarında bulunan Windows 2000 tabanlı bilgisayarlarda çalışan SQL Server

      • Dosyalar, paylaşılan klasörler ve kayıt defteri nesneleri Windows Server 2003 etki alanı denetleyicileri içeren hesap etki alanlarındaki kullanıcı hesaplarına erişim izni vermek istediğiniz kullanıcıları Windows NT 4.0 kaynak etki alanında

    4. Bu ayarı devre dışı bırakma nedenleri

      Bu ayar etkinleştirilirse, hesap yeniden adlandırılmış olsa bile kötü niyetli bir kullanıcının bilinen Administrators SID'sini yerleşik Administrator hesabının gerçek adını almak için kullanabilirsiniz. O kişinin hesap adını bir parola tahmin saldırısı başlatmak için daha sonra kullanabilirsiniz.

    5. Adı: YOK

    6. Kayıt defteri yolu: Yok. Yol UI kodunda belirtilmiştir.

    7. Uyumluluk sorunlarına örnekler

      Windows NT 4.0: Etki alanları bulunan güvenlik sorumluları ile kaynakları, paylaşılan klasörler, paylaşılan dosyaları ve kayıt defteri nesneleri gibi güvenli olduğundan, kaynak etki alanlarını ACL düzenleyicisinde "Hesap Bilinmiyor" hata iletisi görüntüler Windows NT 4.0 bilgisayarları hesap Windows Server 2003 etki alanı denetleyicilerini içerir.

  8. Ağ erişimi: Adsız SAM hesaplarının numaralandırılmasına izin verilmez

    1. Arka plan

      • Ağ erişimi: Adsız SAM hesaplarının numaralandırılmasına izin verilmez ayarı, bilgisayara adsız bağlantılar için hangi ek izinlerin verileceğini belirler. Windows anonim kullanıcıların iş istasyonu ve sunucu Güvenlik Hesapları Yöneticisi (SAM) hesapları ve ağ paylaşımlarının adlarını numaralandırma gibi belirli etkinlikleri gerçekleştirmesine olanak sağlar. Örneğin, bir yönetici bu karşılıklı güven ilişkisi olmayan güvenilen bir etki alanındaki kullanıcılara erişim vermek için kullanabilirsiniz. Bir oturumu sağlandıktan sonra bir anonim kullanıcı herkese verilir aynı erişim olabilir ayarına dayanan grup Ağ erişimi: Adsız kullanıcılara Everyone izinleri uygulansın ayarı veya isteğe bağlı erişim denetimi listesi (DACL) nesne.

        Tipik olarak, anonim bağlantılar SMB oturumu Kurulum sırasında (aşağı düzey istemciler) istemcilerinin önceki sürümleri tarafından istenir. Bu gibi durumlarda, bir ağ izlemesi, SMB işlem kimliği (PID) Windows 2000'de 0xFEFF veya Windows NT RPC 0xCAFE gibi istemci yeniden yönlendiricisi de anonim bağlantılar kurmaya çalışabilir olduğunu gösterir.

      • Önemli: Bu ayar etki alanı denetleyicilerinde bir etkisi yoktur. Etki alanı denetleyicilerinde, bu davranışı "Pre-Windows 2000 compatible Access" "NT AUTHORITY\ANONYMOUS LOGON" varlığını tarafından denetlenir.

      • Anonim bağlantılar için ek kısıtlamalar adlı benzer bir ayar, Windows 2000'de RestrictAnonymous kayıt defteri değerini yönetir. Bu değerin konumu şudur

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA RestrictAnonymous kayıt defteri değeri hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:

        Windows 2000'de RestrictAnonymous kayıt defteri değeri kullanmak nasıl
         

        Anonim oturum açan kullanıcılara bilgi yok sınırlama
         

    2. Riskli yapılandırmalar

      Etkinleştirme Ağ erişimi: Adsız SAM hesaplarının numaralandırılmasına izin değil bir uyumluluk açısından zararlı yapılandırma ayarı bir ayardır. Onu devre dışı bir güvenlik açısından zararlı Yapılandırma ayarıdır.

    3. Bu ayarı etkinleştirme nedenleri

      Yetkisiz bir kullanıcı hesap adlarını listeleyebilir ve sonra bilgileri parolaları tahmin veya sosyal mühendislik saldırısı gerçekleştirmek için kullanın. Sosyal mühendislik , insanları parolalarını veya başka tür güvenlik bilgilerini açıklayacak şekilde kandırma anlamına gelen bir terimdir.

    4. Bu ayarı devre dışı bırakma nedenleri

      Bu ayar etkinleştirilirse, Windows NT 4.0 etki alanlarıyla güven kurulması imkansız olur. Bu ayar ayrıca, sunucudaki kaynakları kullanmaya çalışan (örneğin, Windows NT 3.51 istemcileri ve Windows 95 istemcileri) alt düzey istemcilerde sorunlara neden olur.

    5. Simgesel ad:


      RestrictAnonymousSAM

    6. Kayıt defteri yolu:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

    7. Uyumluluk sorunlarına örnekler

    • SMS Network Discovery işletim sistemi bilgilerini elde etmek mümkün olmayacaktır ve OperatingSystemNameandVersion özelliğine "bilinmiyor" yazar.

    • Windows 95, Windows 98: Windows 95 istemcileri ve Windows 98 istemcileri parolalarını değiştirmek mümkün olmayacak.

    • Windows NT 4.0: Windows NT 4.0 tabanlı üye bilgisayarlar doğrulanması mümkün olmayacak.

    • Windows 95, Windows 98: Windows 95 ve Windows 98 tabanlı bilgisayarlarda Microsoft etki alanı denetleyicileri tarafından doğrulanamaz olmayacak.

    • Windows 95, Windows 98: Windows 95 ve Windows 98 tabanlı bilgisayarlardaki kullanıcılar kullanıcı hesaplarının parolalarını değiştirmek mümkün olmayacak.

  9. Ağ erişimi: adsız numaralandırılmasına SAM hesaplarının ve paylaşımlarının izin verme

    1. Arka plan

      • Ağ erişimi: adsız numaralandırılmasına SAM hesaplarının ve paylaşımlarının izin verme ayarı ( RestrictAnonymousda bilinir), Güvenlik Hesapları Yöneticisi (SAM) hesap ve paylaşımlarının adsız numaralandırılmasına izin verilip verilmediğini belirler. Windows anonim kullanıcıların etki alanı hesaplarının (kullanıcılar, bilgisayarlar ve gruplar) ve ağ paylaşımlarının adlarını numaralandırma gibi belirli etkinlikleri gerçekleştirmesine izin verir. Örneğin, bir yöneticinin karşılıklı güven ilişkisi olmayan güvenilen bir etki alanındaki kullanıcılara erişim vermek istemesi uygun,. SAM hesaplarının ve paylaşımlarının anonim numaralandırılmasına izin vermek istemiyorsanız, bu ayarı etkinleştirin.

      • Anonim bağlantılar için ek kısıtlamalar adlı benzer bir ayar, Windows 2000'de RestrictAnonymous kayıt defteri değerini yönetir. Bu değerin konumu şudur:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

    2. Riskli yapılandırma

      Etkinleştirme Ağ erişimi: adsız numaralandırılmasına SAM hesaplarının ve paylaşımlarının izin verme zararlı yapılandırma ayarı bir ayardır.

    3. Bu ayarı etkinleştirme nedenleri

      • Etkinleştirme Ağ erişimi: adsız numaralandırılmasına SAM hesaplarının ve paylaşımlarının izin verme ayarı, SAM hesaplarının ve paylaşımlarının kullanıcılar ve anonim hesaplar kullanan bilgisayarlar tarafından numaralandırılmasını engeller.

    4. Bu ayarı devre dışı bırakma nedenleri

      • Bu ayar etkinleştirilirse, yetkisiz bir kullanıcı hesap adlarını listeleyebilir ve sonra bilgileri parolaları tahmin veya sosyal mühendislik saldırısı gerçekleştirmek için kullanın. Sosyal mühendislik , insanları parolalarını veya başka tür güvenlik bilgilerini açıklayacak şekilde kandırma anlamına gelen bir terimdir.

      • Bu ayar etkinleştirilirse, Windows NT 4.0 etki alanlarıyla güven kurulması imkansız olur. Bu ayar ayrıca, sunucudaki kaynakları kullanmaya çalışan Windows NT 3.51 ve Windows 95 istemcileri gibi alt düzey istemcilerde sorunlara neden olur.

      • Kaynak etki alanlarının kullanıcıları güvenen etki alanındaki Yöneticiler diğer etki alanındaki hesapların listesini numaralandırmak mümkün olmayacağı için erişim vermek imkansız olur. Dosya ve yazdırma sunucularına anonim olarak erişen kullanıcılar bu sunuculardaki Paylaşılan ağ kaynaklarını listelemek mümkün olmayacak. Paylaşılan klasörleri ve yazıcıları listelerini görüntülemek için önce kullanıcıların kimliklerini doğrulamaları gerekir.

    5. Simgesel ad:

      RestrictAnonymous

    6. Kayıt defteri yolu:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

    7. Uyumluluk sorunlarına örnekler

      • Windows NT 4.0: RestrictAnonymous etkinleştirildiğinde kullanıcıların etki alanındaki etki alanı denetleyicilerinde Windows NT 4.0 iş istasyonlarından parolalarını değiştirme olanağınız olur.

      • Windows NT 4.0: Kullanıcılar veya genel gruplar güvenilen Windows 2000 etki alanlarından Windows NT 4.0 Kullanıcı Yöneticisi'nde yerel grupları ekleme başarısız olur ve aşağıdaki hata iletisi görüntülenir:

        Şu anda hiçbir oturum açma sunucusu oturum açma isteklerine hizmet vardır.

      • Windows NT 4.0: Windows NT 4.0 tabanlı bilgisayarlarda, Kur sırasında veya etki alanına katılma kullanıcı arabirimi kullanılarak etki alanlarına katılamaz olmayacak.

      • Windows NT 4.0: Windows NT 4.0 kaynak etki alanlarıyla alt düzey bir güven oluşturma başarısız olur. RestrictAnonymous güvenilen etki alanında etkin olduğunda aşağıdaki hata iletisi görüntülenir:

        Bu etki alanı için etki alanı denetleyicisi bulamadı.

      • Windows NT 4.0: Terminal Server, Windows NT 4.0 tabanlı bilgisayarlarda oturum açan kullanıcılar, etki alanları için Kullanıcı Yöneticisi'nde tanımlanan giriş dizini yerine varsayılan giriş dizinine eşlenecektir.

      • Windows NT 4.0: Windows NT 4.0 yedek etki alanı denetleyicileri (BDC) Net Logon hizmeti başlatmak, yedek tarayıcıların listesini edinin veya Windows 2000 veya Windows Server 2003 etki alanı denetleyicileri aynı etki alanındaki SAM veritabanını eşitlemek mümkün olmayacak.

      • Windows 2000: Windows 2000 tabanlı üye bilgisayarlar Windows NT 4.0 etki alanları istemci bilgisayarın yerel güvenlik ilkesinde açıkça verilmiş anonim izinler olmadan erişim yok ayarının etkinleştirilmişse dış etki alanlarındaki yazıcıları görüntülemek üzere gideremez ve çözemez.

      • Windows 2000: Windows 2000 etki alanı kullanıcıları Active Directory'den ağ yazıcıları ekleme olanağınız olmayacaktır; Ancak, bunlar bunları ağaç görünümünden seçtikten sonra yazıcı eklemeniz mümkün olacaktır.

      • Windows 2000: Windows 2000 tabanlı bilgisayarlarda, ACL Düzenleyicisi güvenilen Windows NT 4.0 etki alanlarından kullanıcı veya genel grup eklemeniz mümkün olmayacak.

      • ADMT sürüm 2: Active Directory Geçiş Aracı (ADMT) sürüm 2 ile ormanlar arasında geçirilen kullanıcı hesapları için parola geçirme başarısız olur.

        Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:

        ADMTv2 ile ormanlar arası parola geçişi sorunlarını giderme

      • Outlook istemcileri: Genel adres listesi Microsoft Exchange Outlook istemcilerine boş görünür.

        Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:

        bir Windows 2000 etki alanı denetleyicisine Windows XP'den dosyalarını kopyalarken SMB yavaş performans

      • SMS: Microsoft Systems Management Server (SMS) Network Discovery işletim sistemi bilgilerini alma olanağınız olur. Bu nedenle, Keşif verisi kaydının (DDR) SMS DDR özelliğinin OperatingSystemNameandVersion özelliğine "bilinmiyor" yazar.

      • SMS: Kullanıcılar ve gruplar için göz atmak için SMS Administrator User Wizard'ı kullandığınızda, kullanıcılar ya da gruplar listelenir. Ayrıca, Gelişmiş istemcilerde yönetim noktası ile iletişim kuramıyor. Management Point'te anonim erişim gerekir.

      • SMS: Ağ bulma özelliği, SMS 2.0 ve uzak istemci yükleme açık topoloji, istemci ve istemci işletim sistemleri ağ keşif seçeneği ile kullanırken, bilgisayarlar bulunabilir ancak yüklü değil.

  10. Ağ güvenliği: Lan Manager kimlik doğrulama düzeyi

    1. Arka plan

      LAN Manager (LM) kimlik doğrulaması, Windows istemcileri gibi etki alanına katılma, ağ işlemleri için kullanıcı veya bilgisayar kimlik doğrulaması ve ağ kaynaklarına erişirken kimlik doğrulaması için kullanılan iletişim kuralıdır. LM kimlik doğrulama düzeyi, hangi sınama/yanıt kimlik doğrulama protokolünün istemci ve sunucu bilgisayarlar arasında anlaşılacağını belirler. Özellikle, LM kimlik doğrulama düzeyi, istemci anlaşmayı deneyeceği veya sunucunun kabul edecek hangi kimlik doğrulama protokolleri belirler. LmCompatibilityLevel için ayarlanan değer ağda oturum açmak için hangi sınama/yanıt kimlik doğrulama protokolünün kullanılacağını belirler. Bu değer istemcilerin kullandığı kimlik doğrulama protokolü düzeyini, üzerinde anlaşılan oturum güvenliği düzeyini ve sunucular tarafından kabul edilen kimlik doğrulama düzeyini etkiler.

      Olası ayarlar aşağıdakileri içerir.

      Değer

      Ayarı

      Açıklama

      0

      LM ve NTLM yanıtlarını gönder

      İstemciler LM ve NTLM kimlik doğrulamasını kullanır ve hiçbir zaman NTLMv2 oturum güvenliğini kullanır. Etki alanı denetleyicileri LM, NTLM ve NTLMv2 kimlik doğrulamasını kabul eder.

      1

      LM ve NTLM Gönder - anlaşma olursa NTLMv2 oturum güvenliğini kullan

      İstemciler LM ve NTLM kimlik doğrulaması kullanır ve sunucu destekliyorsa NTLMv2 oturum güvenliğini kullanır. Etki alanı denetleyicileri LM, NTLM ve NTLMv2 kimlik doğrulamasını kabul eder.

      2

      Yalnızca NTLM yanıtı gönder

      İstemciler yalnızca NTLM kimlik doğrulaması kullanır ve sunucu destekliyorsa NTLMv2 oturum güvenliğini kullanır. Etki alanı denetleyicileri LM, NTLM ve NTLMv2 kimlik doğrulamasını kabul eder.

      3

      Yalnızca NTLMv2 yanıtı gönder

      İstemciler yalnızca NTLMv2 doğrulamasını ve sunucu destekliyorsa NTLMv2 oturum güvenliğini kullanır. Etki alanı denetleyicileri LM, NTLM ve NTLMv2 kimlik doğrulamasını kabul eder.

      1

      Yalnızca NTLMv2 yanıtı gönder / LM'yi Reddet

      İstemciler yalnızca NTLMv2 doğrulamasını ve sunucu destekliyorsa NTLMv2 oturum güvenliğini kullanır. Etki alanı denetleyicileri LM'yi reddeder ve yalnızca NTLM ve NTLMv2 kimlik doğrulamasını kabul eder.

      5

      Yalnızca NTLMv2 yanıtı gönder / LM ve NTLM'yi Reddet

      İstemciler yalnızca NTLMv2 doğrulamasını ve sunucu destekliyorsa NTLMv2 oturum güvenliğini kullanır. Etki alanı denetleyicileri LM ve NTLM'yi reddeder ve yalnızca NTLMv2 kimlik doğrulamasını kabul eder.

      Not: Dizin Hizmetleri istemcisi, Windows 95, Windows 98 ve Windows 98 İkinci Sürüm, Windows Server 2003 sunucularıyla NTLM kimlik doğrulaması yardımıyla kimlik doğrulaması yaptığında SMB imzalama kullanır. Ancak, bu istemciler, SMB imzalama bunlar bu sunucularla NTLMv2 kimlik doğrulaması kullanarak kimlik doğrulaması kullanmayın. Ayrıca, Windows 2000 sunucuları bu istemcilerden gelen istekleri imzalama SMB yanıt vermez.

      LM kimlik doğrulama düzeyini kontrol edin: NTLM'ye izin vermek için sunucudaki ilkeyi değiştirmeniz gerekir veya istemci bilgisayarı NTLMv2'yi destekleyecek şekilde yapılandırmanız gerekir.

      İlke ayarı etkinse, (5) yalnızca NTLMv2 yanıtı gönder\LM LM ve NTLM bağlanmak istediğiniz hedef bilgisayarda olmalı konusu bilgisayarda ayarı düşürmeniz ya da güvenliği conn olduğunu, kaynak bilgisayarda aynı ayara getirin gelen ecting.

      Kimlik doğrulama düzeyi istemci ve sunucu aynı düzeye ayarlamak için LAN manager değiştirebileceğiniz doğru konumu bulun. İçin ve Windows'un önceki sürümlerini çalıştıran bilgisayarlardan bağlanmak istiyorsanız, LAN manager kimlik doğrulama düzeyi ayarı ilkeyi bulduktan sonra değeri en az düşük (1) gönder LM ve NTLM - kullanın NTLM sürüm 2 oturum güvenliği ise anlaşılan. Uyumsuz ayarları bir etkisi olduğundan, sunucu NTLMv2 gerektiriyorsa (değer 5), ancak istemci LM ve NTLMv1 tek (değer 0) kullanmak üzere yapılandırılmış, kimlik doğrulaması yapmaya çalışan kullanıcı deneyimleri, parolanın hatalı olduğunu ve kötü arttırır, bir oturum açma hatası Parola sayısı. Hesap kilitleme yapılandırılmışsa, kullanıcı sonunda kilitlenebilir.

      Örneğin, etki alanı denetleyicisinde aramanız gerekebilir veya etki alanı denetleyicisinin ilkelerine incelemek gerekebilir.

      Etki alanı denetleyicisinde arama

      Not: Aşağıdaki yordamda tüm etki alanı denetleyicilerinde yinelemeniz gerekebilir.

      1. Başlat'ı tıklatın, Programlar'ın üzerine gelin ve Yönetimsel Araçlar'ı tıklatın.

      2. Yerel güvenlik ayarları, Yerel ilkeler' i genişletin.

      3. Güvenlik Seçenekleri'ni tıklatın.

      4. Çift ağ güvenliği: LAN manager kimlik doğrulama düzeyini, listeden bir değer'i tıklatın.


      Etkili ayar ve yerel ayar aynıysa, ilke bu düzeyde değiştirildi. Ayarlar farklı ise, etki alanı denetleyicisinin ilkesini belirlemek için denetlemelisiniz olup olmadığını ağ güvenliği: LAN manager kimlik doğrulama düzeyini ayarının orada tanımlanıp. Orada tanımlanmamışsa, etki alanı denetleyicisinin ilkelerine inceleyin.

      İnceleyin etki alanı denetleyicisinin ilkelerine

      1. Başlat'ı tıklatın, Programlar'ın üzerine gelin ve Yönetimsel Araçlar'ı tıklatın.

      2. Etki alanı denetleyicisi güvenlik İlkesi'ndeki Güvenlik ayarları' nı ve ardından Yerel ilkeler' i genişletin.

      3. Güvenlik Seçenekleri'ni tıklatın.

      4. Çift ağ güvenliği: LAN manager kimlik doğrulama düzeyini, listeden bir değer'i tıklatın.


      Note

      • Site düzeyinde, etki alanı düzeyi veya kuruluş birimini (OU) düzeyinde LAN manager kimlik doğrulama düzeyini nerede yapılandırmanız gerektiğini belirlemek için bağlı ilkelerini kontrol gerekebilir.

      • Bir Grup İlkesi ayarını varsayılan etki alanı ilkesi olarak uygularsanız, ilke etki alanındaki tüm bilgisayarlara uygulanır.

      • Bir Grup İlkesi ayarını varsayılan etki alanı denetleyicisinin ilkesi olarak uygularsanız, ilke yalnızca etki alanı denetleyicisinin OU'SUNDAKİ sunucular için geçerlidir.

      • LAN manager kimlik doğrulama düzeyini ilke uygulama hiyerarşisinde, gerekli kapsamın en düşük varlığında ayarlamak iyi bir fikirdir.

      Windows Server 2003 yeni varsayılan ayarı olarak yalnızca NTLMv2 kullanır vardır. Windows Server 2003 ve Windows 2000 Server SP3 tabanlı etki alanı denetleyicilerinde varsayılan olarak etkin "Microsoft ağ sunucusu: İletişimleri dijital olarak imzala (her zaman)" ilkesi. Bu ayarı, SMB sunucusunun SMB paket imzasını gerçekleştirmesini gerektirir. Etki alanı denetleyicileri, dosya sunucuları, ağ altyapısı sunucularının ve herhangi bir kuruluştaki Web sunucularının güvenliğini en üst düzeye çıkarmak farklı ayarlar gerektirdiği için Windows Server 2003 için değişiklikler yapıldı.

      Ağınızdaki NTLMv2 kimlik doğrulaması uygulamak isterseniz, etki alanındaki tüm bilgisayarların bu kimlik doğrulama düzeyini kullanmak üzere ayarlandığından emin olmanız gerekir. Active Directory istemci uzantıları için Windows 95 veya Windows 98 ve Windows NT 4.0 uygularsanız, istemci uzantıları NTLMv2 bulunan geliştirilmiş kimlik doğrulama özelliklerini kullanın. Aşağıdaki işletim sistemlerinden birini çalıştıran istemci bilgisayarların Windows 2000 Grup İlkesi nesneleri tarafından etkilenmediğinden, bu istemcileri el ile yapılandırmanız gerekebilir:

      • Microsoft Windows NT 4.0

      • Microsoft Windows Millennium Edition

      • Microsoft Windows 98

      • Microsoft Windows 95

      Not: Etkinleştirirseniz, ağ güvenliği: sonraki parola değişikliğinde LAN manager sağlama değerini depolama veya ilke kümesi NoLMHash kayıt defteri anahtarı, Dizin Hizmetleri istemcisi yüklü olmayan Windows 95 ve Windows 98 tabanlı istemciler olamaz. bir parola değişikliğinden sonra etki alanında oturum açın.

      Novell Netware 6 gibi birçok üçüncü taraf CIFS sunucusu NTLMv2'yi tanımaz ve yalnızca NTLM'yi kullanır. Bu nedenle, Düzey 2'den büyük bağlantıya izin vermez. Ayrıca var. genişletilmiş oturum güvenliği kullanmayan üçüncü taraf SMB istemcileri Bu durumda, kaynak sunucunun LmCompatiblityLevel dikkate alınmaz. Sunucu daha sonra bu eski isteği paketleri ve kullanıcı etki alanı denetleyicisine gönderir. Etki alanı denetleyicisinde ayarları sonra hangi karma isteği doğrulamak için kullanılır ve bu etki alanı denetleyicisinin güvenlik gereksinimleri toplantı karar verin.

      LAN manager kimlik doğrulama düzeyini el ile yapılandırma hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:

      Windows NT LM kimlik doğrulaması devre dışı bırakma
       

      Windows Active Directory ve yerel SAM veritabanlarında parolanızın LAN manager sağlamasını depolamasını önlemek nasıl
       

      Oturum açma kimlik bilgilerini sormasına outlook devam eder
       

      Denetim olayı olarak NTLMv1 yerine NTLMv2 kimlik doğrulama paketi gösterir. LM kimlik doğrulama düzeyleri hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:

      NTLM 2 kimlik doğrulamasını etkinleştirmek nasıl
       

    2. Riskli yapılandırmalar

      Zararlı yapılandırma ayarları şunlardır:

      • Parolaları düz metin olarak gönderen ve NTLMv2 anlaşmasını reddeden kısıtlamasız ayarlar.

      • Uyumlu olmayan istemcilerin veya etki alanı denetleyicisi bir genel kimlik doğrulama protokolünün anlaşmasını engelleyen kısıtlayıcı ayarlar

      • Üye bilgisayarlar ve Windows NT 4.0 Service Pack 4'ten (SP4) öncesi sürümlerini çalıştıran etki alanı denetleyicilerinde NTLMv2 kimlik doğrulamasını gerektirme

      • Windows 95 istemcileri veya Windows Dizin Hizmetleri istemcisi yüklü olmayan Windows 98 istemcilerinde NTLMv2 kimlik doğrulamasını gerekli kılma.

      • Windows Server 2003 veya Windows 2000 Service Pack 3 tabanlı bir bilgisayarda Microsoft Yönetim Konsolu Grup İlkesi Düzenleyicisi ek bileşeninde NTLMv2 oturum güvenliği gerektir onay kutusunu seçmek için tıklatın ve LAN manager kimlik doğrulama düzeyini düşürmek 0'a iki ayarlar çakışmaya ve aşağıdaki hata iletisini Secpol.msc dosyasında veya GPEdit.msc dosyasında alabilirsiniz:

        Windows yerel ilke veritabanı açılamıyor. Veritabanı açılmaya çalışılırken bilinmeyen bir hata oluştu.

        Güvenlik Yapılandırması ve Çözümlemesi aracı hakkında daha fazla bilgi için Windows 2000 veya Windows Server 2003 Yardım dosyalarına bakın.

    3. Bu ayarı değiştirme nedenleri

      • İstemciler ve kuruluşunuzdaki etki alanı denetleyicileri tarafından desteklenen en düşük kimlik doğrulama protokolünü yükseltmek istiyor.

      • Güvenli kimlik doğrulaması bir iş gereksinimi olduğunda, LM ve NTLM protokollerinde anlaşmayı engellemekte istiyor.

    4. Bu ayarı devre dışı bırakma nedenleri

      İstemci veya sunucu kimlik doğrulama gereksinimlerini veya her ikisini de burada ortak bir protokol üzerinden kimlik doğrulama yapılamayacak noktaya için artırılmıştır.

    5. Simgesel ad:

      LmCompatibilityLevel

    6. Kayıt defteri yolu:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. Uyumluluk sorunlarına örnekler

      • Windows Server 2003: Varsayılan olarak, Windows Server 2003 NTLMv2 NTLM Gönder yanıtları ayarlama etkindir. Bu nedenle, Windows Server 2003, Windows NT 4.0 tabanlı bir küme veya OS/2 Lanserver gibi LanManager V2.1 tabanlı sunuculara bağlanmaya çalıştığınızda ilk yüklemenin ardından "Erişim reddedildi" hata iletisi alır. Eski sürüm bir istemciden bir Windows Server 2003 tabanlı bir sunucuya bağlanmaya çalışırsanız da bu sorun oluşur.

      • Windows 2000 Güvenlik Toplama Paketi 1 (SRP1) yüklediğiniz. SRP1, NTLM sürüm 2'yi (NTLMv2) zorlar. Bu paketi, Windows 2000 Service Pack 2 (SP2) yayımlandıktan sonra yayımlanmıştır. SRP1 hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:

        Windows 2000 Güvenlik Toplama Paketi 1, Ocak 2002
         

      • Windows 7 ve Windows Server 2008 R2: Novell Netware 6 veya Linux tabanlı Samba sunucuları gibi birçok üçüncü taraf CIFS sunucusu NTLMv2'yi tanımaz ve yalnızca NTLM'yi kullanır. Bu nedenle, "2"'den büyük düzeyleri bağlantıya izin vermez. Şimdi işletim sisteminin bu sürümünde LmCompatibilityLevel için varsayılan "3" olarak değiştirildi. Windows yükseltme yaptığınızda, bu nedenle bu üçüncü taraf filtreleri çalışmamaya başlayabilir.

      • Bunlar zaten etki alanına oturum açmış olsa bile, Microsoft Outlook istemcileri için kimlik bilgileri istenebilir. Kullanıcılar kimlik bilgilerini girdikten sonra aşağıdaki hata iletisini alırlar: Windows 7 ve Windows Server 2008 R2

        Sağlanan oturum açma kimlik bilgileri yanlış. Kullanıcı adınızı ve etki alanı doğru olmasını sağlayıp parolanızı yeniden yazın.

        Outlook'u başlattığınızda, oturum açılacak ağ güvenliği ayarınız Geçiş veya parola kimlik doğrulaması ayarlanmış olsa bile, kimlik bilgileri istenebilir. Doğru kimlik bilgilerini yazmanızdan sonra aşağıdaki hata iletisini alabilirsiniz:

        Sağlanan oturum açma kimlik bilgileri yanlış.

        Ağ İzleyici, genel kataloğun 0x5 durum koduyla bir uzaktan yordam çağrısı (RPC) hataya verilen gösterebilir. 0x5 anlamına gelir "Erişim reddedildi" durumu

      • Windows 2000: Ağ İzleyicisi yakalama, TCP/IP (NetBT) sunucu ileti bloğu (SMB) oturumu üzerinden NetBIOS komutu aşağıdaki hataları gösterebilir:

        SMB R arama dizini Dos hatası, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) geçersiz kullanıcı tanıtıcısı

      • Windows 2000: NTLMv2 Düzey 2 veya sonraki bir Windows 2000 etki alanına bir Windows NT 4.0 etki alanı tarafından güveniliyorsa kaynak etki alanındaki Windows 2000 tabanlı üye bilgisayarlar kimlik doğrulama hatalarıyla karşılaşabilirsiniz.

      • Windows 2000 ve Windows XP: Varsayılan olarak, Windows 2000 ve Windows XP, LAN Yöneticisi kimlik doğrulama düzeyi yerel güvenlik ilkesi seçeneğini 0 olarak ayarlayın. 0 ayarı, "gönder LM ve NTLM yanıtlarını." anlamına gelir.

        Not: Windows NT 4.0 tabanlı kümelerin Yönetim için LM kullanması gerekir.

      • Windows 2000: Windows 2000 kümeleme kimliğini doğrulamaz Katılan düğümün varsa her iki düğüm bölümü Windows NT 4.0 Service Pack 6a (SP6a) etki alanı.

      • IIS Kilitleme Aracı'nı (HiSecWeb) LMCompatibilityLevel değerini 5 ve RestrictAnonymous değerini 2 olarak ayarlar.

      • Macintosh için Hizmetler

        Kullanıcı kimlik doğrulama Modülü (UAM): Microsoft UAM (kullanıcı kimlik doğrulama modülü), Windows AFP (AppleTalk dosyalama iletişim kuralı) sunucularında oturum açmak için kullandığınız parolaları şifrelemek için bir yöntem sağlar. Elma kullanıcı kimlik doğrulama Modülü (UAM), yalnızca en düşük düzeyde sağlar veya şifreleme yok. Bu nedenle, parolanızı kolayca Internet veya LAN üzerinde ele geçirilebilir. UAM gerekli olmasa da, Macintosh Hizmetleri çalıştıran Windows 2000 sunucuları için şifreli kimlik doğrulama sağlar. Bu sürümü NTLMv2 128-bit şifreli kimlik doğrulama ve MacOS X 10.1 uyumlu bir sürüm için destek içerir.

        Varsayılan olarak, Windows Server 2003 Services for Macintosh sunucusunda Microsoft Authentication verir.


        Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarına tıklayın:

        Hizmetleri için Windows Server 2003'te Mac Macintosh istemci bağlanamıyor

      • Windows Server 2008, Windows Server 2003, Windows XP ve Windows 2000: LMCompatibilityLevel değerini 0 veya 1 olması ve daha sonra NoLMHash değerini 1 olarak yapılandırmak için yapılandırırsanız, uygulamaların ve bileşenlerin NTLM aracılığıyla erişimi reddedilebilir. Bilgisayar LM'yi etkinleştirecek ama LM olarak saklanan parolaları kullanmayacak şekilde yapılandırıldığı için bu sorun oluşur.

        NoLMHash değerini 1 olarak yapılandırırsanız, LMCompatibilityLevel değeri 2 veya daha yüksek olacak şekilde yapılandırmanız gerekir.

  11. Ağ güvenliği: LDAP istemci imzalama gereksinimleri

    1. Arka plan

      Ağ güvenliği: LDAP istemci imzalama gereksinimleri ayarı, ister gibi Basit Dizin Erişimi Protokolü (LDAP) BIND istemciler adına istenen veri imzalama düzeyini belirler:

      • Hiçbiri: LDAP BIND isteği çağıran tarafından belirtilen seçeneklerle verilmiş.

      • İmzalama konusunda anlaş: Güvenli Yuva Katmanı/Aktarım Katmanı Güvenliği (SSL/TLS) başlatılmadı, LDAP BIND isteği LDAP veri imzalama seçeneği ayrıca çağıran tarafından belirlenen seçenekleri ayarlayın başlatılır. TLS\SSL başlatılmışsa LDAP BIND isteği çağıran tarafından belirtilen seçeneklerle başlatılır.

      • İmzalama gerekiyor: Bu İmzalama konusunda anlaşile aynıdır. Ancak LDAP sunucusunun ara saslBindInProgress yanıtı LDAP trafiğinin imzalanması gerekli olduğunu göstermez, arayana LDAP BIND komutu isteğinin başarısız olduğu bildirilir.

    2. Riskli yapılandırma

      Etkinleştirme ağ güvenliği: LDAP istemci imzalama gereksinimleri zararlı yapılandırma ayarı bir ayardır. Sunucuyu LDAP imzaları isteyecek şekilde ayarlarsanız, LDAP imzalama istemcide de yapılandırmanız gerekir. İstemcinin LDAP imzaları kullanacak şekilde yapılandırılmaması sunucuyla iletişimi engeller. Bu, kullanıcı kimlik doğrulaması, Grup İlkesi ayarlarını, oturum açma komut dosyaları ve diğer özellikleri başarısız olmasına neden olur.

    3. Bu ayarı değiştirme nedenleri

      İmzalanmamış ağ trafiği, burada bir saldırgan istemci ve sunucular arasındaki paketleri yakalar, bunları değiştirir ve sonra bunları sunucuya iletir man-in--middle saldırılara açıktır. Bir LDAP sunucusunda bu oluştuğunda, saldırgan sunucunun LDAP istemcisinden gelen gerçek dışı sorgulara dayalı yanıtlar bir sunucu neden olabilir. Bu riski bir şirket ağında, ağ altyapısını korumaya yardımcı olacak sağlam fiziksel güvenlik önlemleri uygulayarak azaltabilirsiniz. Buna ek olarak, IPSec kimlik doğrulama üstbilgileri aracılığıyla tüm ağ paketlerini dijital imzalarını isteyerek her türlü man-in--middle saldırıları önlemeye yardımcı olabilir.

    4. Simgesel ad:

      LDAPClientIntegrity

    5. Kayıt defteri yolu:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

  12. Olay günlüğü: En fazla güvenlik günlüğü boyutu

    1. Arka plan

      Olay günlüğü: en fazla güvenlik günlüğü boyutu güvenlik ayarı, güvenlik olay günlüğünün en büyük boyutunu belirtir. Bu günlük, en fazla 4 GB vardır. Bu ayarı bulmak için Genişlet
      Windows ayarlarıve Güvenlik ayarları' nı genişletin.

    2. Riskli yapılandırmalar

      Zararlı yapılandırma ayarları şunlardır:

      • Güvenlik günlüğü boyutunu ve güvenlik günlüğü saklama yöntemini kısıtlama, Denetim: hemen güvenlik denetimleri günlüğe alınamazsa sistemi Kapat ayarı etkindir. Bkz: "Denetim: hemen güvenlik denetimleri günlüğe alınamazsa sistemi Kapat" bölümünde daha ayrıntılı bilgi için bu makalenin.

      • Güvenlik olaylarının üzerine böylece güvenlik günlüğü boyutunu kısıtlama.

    3. Bu ayarı artırma nedenleri

      İş ve güvenlik gereksinimlerinize ek güvenlik günlüğü ayrıntılarını işlemek için ya da güvenlik günlüklerini daha uzun bir süre korumak için güvenlik günlüğü boyutunu artırma dikte.

    4. Bu ayarı azaltma nedenleri

      Olay Görüntüleyicisi günlükleri bellek eşlemeli dosyalardır. Bir olay günlüğünün en büyük boyutu yerel bilgisayarda bulunan fiziksel bellek miktarını ve olay günlüğü işleminin kullanabildiği sanal bellek tarafından sınırlanır. Günlük boyutu Olay Görüntüleyicisi'nin kullanabildiği sanal bellek miktarını artırmayı sürdürülür Kütüğü Girişleri sayısı artmaz.

    5. Uyumluluk sorunlarına örnekler

      Windows 2000: Service Pack 4 (SP4) olayların üzerine değil, Olay Görüntüleyicisi'ndeki ayarı en fazla günlük boyutu belirtilen boyuta ulaşmadan olayları olay günlüğüne günlüğe kaydetmeyi durdurabilir daha önceki sürümleri, Windows 2000 çalıştıran bilgisayarlar (günlüğü kendin temizle) seçeneği açıktır.


      Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:

      olay günlüğü en büyük günlük boyutuna ulaşmadan olayları günlüğe kaydetmeyi durduruyor
       

  13. Olay günlüğü: güvenlik günlüğünü tut

    1. Arka plan

      Olay günlüğü: güvenlik günlüğünü tut güvenlik ayarı, güvenlik günlüğü için "kaydırma" yöntemini belirler. Bu ayarı bulmak için Windows ayarları' nı genişletin ve sonra Güvenlik ayarları' nı genişletin.

    2. Riskli yapılandırmalar

      Zararlı yapılandırma ayarları şunlardır:

      • Korumak başarısız olan tüm üzerlerine yazılmadan önce güvenlik olaylarını günlüğe

      • Böylece yazılacak çok küçük ayarlama en fazla güvenlik günlüğü boyutu yapılandırma

      • Güvenlik günlük boyutunu ve saklama yöntemini kısıtlama Denetim: hemen güvenlik denetimleri günlüğe alınamazsa sistemi Kapat güvenlik ayarı etkinleştirilmişse

    3. Bu ayarı etkinleştirme nedenleri

      Gün olayların üzerine yaz saklama yöntemini seçerseniz, bu ayarı etkinleştirin. Olayları yoklayan bir olay bağıntı sistemi kullanıyorsanız, gün sayısı en az üç kez yoklama sıklığı olduğundan emin olun. Başarısız yoklama döngülerine izin vermek için bunu yapın.

  14. Ağ erişimi: Herkes izinlerinin adsız kullanıcılara uygulanmasına izin ver

    1. Arka plan

      Varsayılan olarak, Ağ erişimi: Adsız kullanıcılara Everyone izinleri uygulansın için Windows Server 2003'te Tanımlı ayarını ayarlayın. Varsayılan olarak, Windows Server 2003 ve anonim erişim belirteci Everyone içermez grubu.

    2. Uyumluluk sorunlarına örnekler

      Aşağıdaki değeri

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous[REG_DWORD] = 0x0 arasında güven oluşturmaya Windows Server 2003 ve Windows NT 4.0, Windows Server 2003 etki alanı hesap etki alanı ve Windows NT 4.0 etki alanı kaynak etki alanı olduğunda. Hesap etki alanı Windows NT 4.0 üzerinde güvenilir ve kaynak etki alanı Windows Server 2003 tarafında güvenen olduğu anlamına gelir. Bu davranış, Windows NT 4.0 üzerinde anonim SID'si içeren herkesle ACL ilk anonim bağlantıdan sonra güveni başlatacak bir işlem olacaktır nedeniyle oluşur.

    3. Bu ayarı değiştirme nedenleri

      Değeri 0x1 olarak ayarlanması veya olması için etki alanı denetleyicisinin OU'SUNDA bir GPO kullanarak ayarlayın: Ağ erişimi: Let Everyone permissions apply to anonymous users etkin için - güven oluşturmayı mümkün kılmak için.

      Not: Diğer güvenlik ayarlarının çoğunun yerine, en güvenli durumları için 0x0 değeri artar. Tüm etki alanı denetleyicilerine birincil etki alanı denetleyici öykünücüsü yerine kayıt defterini değiştirmek için daha güvenli bir uygulama olacaktır. Birincil etki alanı denetleyici öykünücüsü rolünü herhangi bir nedenle taşınırsa, yeni sunucuda kayıt defterinin güncelleştirilmesi gerekir.

      Bu değer ayarlandıktan sonra yeniden başlatma gereklidir.

    4. Kayıt defteri yolu

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

  15. NTLMv2 kimlik doğrulaması

    1. Oturum güvenliği

      Oturum güvenliği için istemci ve sunucu oturumlarını en düşük güvenlik standartlarını belirler. Microsoft Yönetim Konsolu Grup İlkesi Düzenleyicisi ek bileşeninde aşağıdaki güvenlik ilkesi ayarlarını doğrulamak iyi bir fikirdir:

      • Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\Yerel İlkeler\Güvenlik Seçenekleri

      • Ağ güvenliği: NTLM SSP için en düşük oturum güvenliği tabanlı (güvenli RPC dahil) sunucular

      • Ağ güvenliği: NTLM SSP için en düşük oturum güvenliği tabanlı (güvenli RPC dahil) istemciler

      Bu ayarların seçenekleri şunlardır:

      • İleti bütünlüğünü gerektir

      • İleti gizliliği gerektir

      • NTLM sürüm 2 gerektiren oturum güvenliği

      • 128 bit şifreleme gerektir

      Hiçbir gereksinimleriWindows 7 önce varsayılan ayardır. Varsayılan Windows 7 ile başlayarak, Gelişmiş güvenlik için 128-bit şifreleme gerektirir değişti. Bu varsayılan değer 128-bit şifrelemeyi desteklemeyen eski aygıtlar bağlanamıyor olacaktır.

      Bu ilkeler bir istemci için en düşük güvenlik standartları için bir sunucu üzerinde bir uygulama uygulamaya iletişimlerdeki belirler.

      NTLM oturum güvenliği belirlendiğinde geçerli ayarları olarak açıklanan, ancak ileti bütünlüğünü ve gizliliğini gerektirecek şekilde bayrakları kullanılmadığını unutmayın.

      Tarihsel olarak, Windows NT ağ oturumu açarken sınama/yanıt kimlik doğrulamasının aşağıdaki iki çeşidini desteklemiştir:

      • LM sınama/yanıt

      • NTLM sürüm 1 sınama/yanıt

      LM istemcilerin ve sunucuların yüklü tabanıyla birlikte çalışabilirlik sağlar. NTLM, istemciler ve sunucular arasındaki bağlantılarda Gelişmiş güvenlik sağlar.

      Karşılık gelen kayıt defteri anahtarları şunlardır:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

    2. Riskli yapılandırmalar

      Bu ayar, ağ oturumları NTLM kullanılarak güvenlik altına nasıl işleneceğini denetler. Bu, örneğin, NTLM ile kimliği doğrulanmış RPC tabanlı oturumları etkiler. Aşağıdaki riskler vardır:

      • NTLMv2 iletişimde kullanılan basit karma yöntemleri nedeniyle saldırmak daha kolay hale getirir daha eski kimlik doğrulama yöntemleri kullanma.

      • 128-bit daha düşük şifreleme anahtarları kullanılarak kaba kuvvet saldırılarına kullanarak iletişimi kesmek saldırganların sağlar.

Saat eşitleme

Saat eşitleme başarısız oldu. 30 dakikadan fazla etkilenen bir bilgisayarda devre dışı zamanı gelmiştir. İstemci bilgisayarın saatinin etki alanı denetleyicisinin saatiyle eşitlendiğinden emin olun.

SMB imzalama için geçici çözüm

Öneririz, yüklemenizi Service Pack 6a (SP6a) çalışan bir Windows Server 2003 tabanlı etki alanında Windows NT 4.0 istemcilerinde. Windows 98 İkinci Sürüm tabanlı istemciler, Windows 98 tabanlı istemciler ve Windows 95 tabanlı istemcilerin NTLMv2 gerçekleştirmek için Dizin Hizmetleri İstemcisi çalıştırmanız gerekir. Windows NT 4.0 tabanlı istemcilerde Windows NT 4.0 SP6 yüklü değilse veya Windows 95 tabanlı istemciler, Windows 98 tabanlı istemciler ve Windows 98SE tabanlı istemcilerde Dizin Hizmetleri istemcisi yüklü olmayan SMB imzalama varsayılan etki alanında devre dışı bırakma etki alanı denetleyicisinde denetleyicisinin ilkesini OU's ve sonra bu ilkeyi etki alanı denetleyicisi barındıran tüm OU'lara bağlayabilirsiniz.

Dizin Hizmetleri istemci için Windows 98 İkinci Sürüm, Windows 98 ve Windows 95 SMB imzalama Windows 2003 sunucularıyla NTLM kimlik doğrulaması, ancak NTLMv2 kimlik doğrulaması altında gerçekleştirmez. Ayrıca, Windows 2000 sunucuları bu istemcilerden gelen SMB imzalama isteklerini yanıtlamaz.

Bunu önermiyoruz rağmen bir etki alanında Windows Server 2003 çalıştıran tüm etki alanı denetleyicilerinde gerekli SMB imzalama engelleyebilirsiniz. Bu güvenlik ayarını yapılandırmak için şu adımları izleyin:

  1. Varsayılan etki alanı denetleyicisinin ilkesini açın.

  2. Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\Yerel İlkeler\Güvenlik Seçenekleri klasörünü açın.

  3. Bulun ve tıklatın Microsoft ağ sunucusu: İletişimleri dijital olarak imzala (her zaman) ilke ayarı ve sonra da devre dışıseçeneğini tıklatın.

Önemli Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştireceğinizin anlatıldığı adımlar içermektedir. Ancak, kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle, bu adımları dikkatlice uyguladığınızdan emin olun. Daha fazla koruma için değiştirmeden önce kayıt defterini yedekleyin. Daha sonra bir sorun çıktığında kayıt defterini geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:

Yedekleme ve geri yükleme Windows kayıt defterinde nasılAlternatif olarak, kayıt defterini değiştirerek sunucuda ayarında SMB İmzalamayı kapatın. Bunu yapmak için şu adımları izleyin:

  1. Başlat' ı tıklatın, Çalıştır' ı tıklatın, regedityazın ve Tamam' ı tıklatın.

  2. Aşağıdaki alt anahtarı bulup tıklatın:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

  3. Enablesecuritysignature girdiyi tıklatın.

  4. Düzen menüsünde, Değiştir'e tıklayın.

  5. Değer verisi kutusuna 0yazın ve Tamam' ı tıklatın.

  6. Kayıt Defteri Düzenleyicisinen Çıkış yapın.

  7. Bilgisayarı yeniden başlatın veya durdurun ve Server hizmetini durdurup yeniden başlatın. Bunu yapmak için komut istemine aşağıdaki komutları yazın ve her komutun ardından Enter tuşuna basın:
    net stop server
    net start server

Not: İstemci bilgisayarında karşılık gelen anahtar aşağıdaki kayıt defteri alt anahtarında aþaðýdadýr:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\ParametersÇevrilmiş hata kodu numaralarının durum kodlarına ve daha önce bahsedilen aynen hata iletileri listelenir:

Hata 5
ERROR_ACCESS_DENIED

Erişim engellendi.

hata 1326

ERROR_LOGON_FAILURE

Oturum açma hatası: Bilinmeyen kullanıcı adı veya hatalı parola.

hata 1788

ERROR_TRUSTED_DOMAIN_FAILURE

Birincil etki alanı ile güvenilen etki alanı arasındaki güven ilişkisi başarısız oldu.

hata 1789

ERROR_TRUSTED_RELATIONSHIP_FAILURE

Bu iş istasyonu ile birincil etki alanı arasındaki güven ilişkisi başarısız oldu.

Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarına tıklayın:

Windows Server 2003'te sistem hizmetlerinin güvenliğini ayarlamak için Grup İlkeleri'ni yapılandırmak nasıl
 

nasıl Windows NT'de SMB imzalama etkinleştirilir
 

nasıl Windows Server 2003'te önceden tanımlanmış güvenlik şablonları uygulama
 

, Outlook 2003 RPC HTTP özelliğini kullanarak Exchange Server 2003'e bağlandığınızda Windows hesabı kimlik bilgilerini sağlamalısınız

Daha fazla yardıma mı ihtiyacınız var?

Yeteneklerinizi geliştirin
Eğitimleri keşfedin
Yeni özellikleri ilk olarak siz edinin
Microsoft Insider 'a katılın

Bu bilgi yardımcı oldu mu?

Geri bildiriminiz için teşekkür ederiz!

Geri bildiriminiz için teşekkürler! Office destek temsilcilerimizden biriyle görüşmeniz yararlı olabilir.

×