Microsoft hesabıyla oturum açın
Oturum açın veya hesap oluşturun.
Merhaba,
Farklı bir hesap seçin.
Birden çok hesabınız var
Oturum açmak istediğiniz hesabı seçin.

Özet

Güvenlik ayarları ve kullanıcı hakları atamaları, etki alanı denetleyicilerinde ve üye bilgisayarlarda güvenliğin sıkılaştırılmasına yardımcı olmak için yerel ilkelerde ve grup ilkelerinde değiştirilebilir. Ancak, güvenliğin artmasının dezavantajı istemciler, hizmetler ve programlarla uyumsuzlukların ortaya alınmasıdır.

Bu makalede, Windows Server 2003 etki alanında veya önceki bir Windows Server etki alanında belirli güvenlik ayarlarını ve kullanıcı hakları atamalarını değiştirdiğinizde Windows XP veya windows'un önceki bir sürümünü çalıştıran istemci bilgisayarlarda oluşabilecek uyumsuzluklar açıklanmaktadır.

Windows 7, Windows Server 2008 R2 ve Windows Server 2008 için grup ilkesi hakkında bilgi için aşağıdaki makalelere bakın:

Not: Bu makaledeki kalan içerik Windows XP, Windows Server 2003 ve Windows'un önceki sürümlerine özgüdür.

Windows XP

Yanlış yapılandırılmış güvenlik ayarlarının farkındalığını artırmak için grup ilkesi Nesne Düzenleyicisi aracını kullanarak güvenlik ayarlarını değiştirin. grup ilkesi Nesne Düzenleyicisi'ni kullandığınızda, kullanıcı hakları atamaları aşağıdaki işletim sistemlerinde iyileştirilir:

  • Windows XP Professional Service Pack 2 (SP2)

  • Windows Server 2003 Service Pack 1 (SP1)

Gelişmiş özellik, bu makalenin bağlantısını içeren bir iletişim kutusudur. Bir güvenlik ayarını veya kullanıcı hakları atamasını daha az uyumluluk sunan ve daha kısıtlayıcı olan bir ayara değiştirdiğinizde iletişim kutusu görüntülenir. Kayıt defterini veya güvenlik şablonlarını kullanarak aynı güvenlik ayarını veya kullanıcı hakları atamasını doğrudan değiştirirseniz, etki, grup ilkesi Nesne Düzenleyicisi'ndeki ayarı değiştirmekle aynıdır. Ancak, bu makalenin bağlantısını içeren iletişim kutusu görüntülenmez.

Bu makale, belirli güvenlik ayarlarından veya kullanıcı hakları atamalarından etkilenen istemci, program ve işlem örnekleri içerir. Ancak, örnekler tüm Microsoft işletim sistemleri, tüm üçüncü taraf işletim sistemleri veya etkilenen tüm program sürümleri için yetkili değildir. Bu makalede tüm güvenlik ayarları ve kullanıcı hakları atamaları yer almamaktadır.

Bir üretim ortamında kullanıma sunmadan önce bir test ormanındaki güvenlikle ilgili tüm yapılandırma değişikliklerinin uyumluluğunu doğrulamanızı öneririz. Test ormanının üretim ormanını aşağıdaki yollarla yansıtması gerekir:

  • İstemci ve sunucu işletim sistemi sürümleri, istemci ve sunucu programları, hizmet paketi sürümleri, düzeltmeler, şema değişiklikleri, güvenlik grupları, grup üyelikleri, dosya sistemindeki nesneler üzerindeki izinler, paylaşılan klasörler, kayıt defteri, Active Directory dizin hizmeti, yerel ve grup ilkesi ayarları ve nesne sayısı türü ve konumu

  • Gerçekleştirilen yönetim görevleri, kullanılan yönetim araçları ve yönetim görevlerini gerçekleştirmek için kullanılan işletim sistemleri

  • Aşağıdakiler gibi gerçekleştirilen işlemler:

    • Bilgisayar ve kullanıcı oturum açma kimlik doğrulaması

    • Kullanıcılar, bilgisayarlar ve yöneticiler tarafından parola sıfırlamaları

    • Tarama

    • Tüm hesap veya kaynak etki alanlarındaki tüm istemci işletim sistemlerindeki tüm hesap veya kaynak etki alanlarındaki tüm istemci işletim sistemlerinde ACL Düzenleyicisi'ni kullanarak dosya sistemi, paylaşılan klasörler, kayıt defteri ve Active Directory kaynakları için izinleri ayarlama

    • Yönetim hesaplarından ve yönetici olmayan hesaplardan yazdırma

Windows Server 2003 SP1

Gpedit.msc'deki uyarılar

Müşterilerin ağlarını olumsuz etkileyebilecek bir kullanıcı hakkını veya güvenlik seçeneğini düzenlediklerini fark etmelerine yardımcı olmak için gpedit.msc'ye iki uyarı mekanizması eklendi. Yöneticiler kuruluşun tamamını olumsuz yönde etkileyebilecek bir kullanıcı hakkını düzenlediğinde, ödeme işaretine benzeyen yeni bir simge görürler. Ayrıca, 823659 Microsoft Bilgi Bankası makalesine bağlantı içeren bir uyarı iletisi alır. Bu iletinin metni aşağıdaki gibidir:

Bu ayarın değiştirilmesi istemciler, hizmetler ve uygulamalarla uyumluluğu etkileyebilir. Daha fazla bilgi için bkz. <kullanıcı hakkı veya güvenlik seçeneği değiştiriliyor> (Q823659) Gpedit.msc'deki bir bağlantıdan bu Bilgi Bankası makalesine yönlendirildiyseniz, sağlanan açıklamayı ve bu ayarı değiştirmenin olası etkisini okuduğunuzdan ve anladığınızdan emin olun. Aşağıdaki listede uyarı metnini içeren Kullanıcı Hakları listelenir:

  • Bu bilgisayara ağdan erişin

  • Yerel olarak oturum açma

  • Çapraz geçiş denetimini atla

  • Bilgisayarları ve kullanıcıları güvenilen temsilci için etkinleştirme

Uyarı ve açılır ileti içeren Güvenlik Seçenekleri aşağıda listelenmiştir:

  • Etki Alanı Üyesi: Güvenli kanal verilerini dijital olarak şifreleme veya imzalama (her zaman)

  • Etki Alanı Üyesi: Güçlü (Windows 2000 veya sonraki bir sürüm) oturum anahtarı iste

  • Etki Alanı Denetleyicisi: LDAP sunucusu imzalama gereksinimleri

  • Microsoft ağ sunucusu: İletişimleri dijital olarak imzalama (her zaman)

  • Ağ Erişimi: Anonim Sid / Ad çevirisine izin verir

  • Ağ Erişimi: SAM hesaplarının ve paylaşımlarının anonim numaralandırmasına izin verme

  • Ağ güvenliği: LAN Yöneticisi Kimlik Doğrulama düzeyi

  • Denetim: Güvenlik denetimlerini günlüğe kaydedemezse sistemi hemen kapatın

  • Ağ Erişimi: LDAP istemci imzalama gereksinimleri

Daha Fazla Bilgi

Aşağıdaki bölümlerde Windows NT 4.0 etki alanlarında, Windows 2000 etki alanlarında ve Windows Server 2003 etki alanlarında belirli ayarları değiştirdiğinizde oluşabilecek uyumsuzluklar açıklanmaktadır.

Kullanıcı hakları

Aşağıdaki listede bir kullanıcı hakkı açıklanır, sorunlara neden olabilecek yapılandırma ayarları tanımlanır, neden kullanıcı hakkını uygulamanız gerektiği ve neden kullanıcı hakkını kaldırmak isteyebileceğiniz açıklanır ve kullanıcı hakkı yapılandırıldığında oluşabilecek uyumluluk sorunlarına örnekler sağlanır.

  1. Bu bilgisayara ağdan erişin

    1. Arka plan

      Uzak Windows tabanlı bilgisayarlarla etkileşim kurabilmek için Bu bilgisayara ağ kullanıcısından erişme hakkı gerekir. Bu tür ağ işlemlerine örnek olarak şunlar verilebilir:

      • Ortak bir etki alanı veya ormandaki etki alanı denetleyicileri arasında Active Directory çoğaltması

      • Kullanıcılardan ve bilgisayarlardan etki alanı denetleyicilerine kimlik doğrulama istekleri

      • Ağdaki uzak bilgisayarlarda bulunan paylaşılan klasörlere, yazıcılara ve diğer sistem hizmetlerine erişim



      Kullanıcılar, bilgisayarlar ve hizmet hesapları, bu kullanıcı hakkı verilmiş bir güvenlik grubuna açıkça veya örtük olarak eklenerek veya kaldırılarak Bu bilgisayara ağ kullanıcısından erişme hakkını kazanır veya kaybeder. Örneğin, bir kullanıcı hesabı veya bilgisayar hesabı bir yönetici tarafından özel bir güvenlik grubuna veya yerleşik bir güvenlik grubuna açıkça eklenebilir ya da işletim sistemi tarafından Etki Alanı Kullanıcıları, Kimliği Doğrulanmış Kullanıcılar veya Kurumsal Etki Alanı Denetleyicileri gibi hesaplanan bir güvenlik grubuna örtük olarak eklenebilir.

      Varsayılan olarak, Herkes veya tercihen Kimliği Doğrulanmış Kullanıcılar gibi hesaplanan gruplar ve etki alanı denetleyicileri için Kuruluş Etki Alanı Denetleyicileri grubu Varsayılan etki alanı denetleyicilerinde Nesne (GPO) grup ilkesi tanımlandığında kullanıcı hesaplarına ve bilgisayar hesaplarına Bu bilgisayara ağ kullanıcısından erişme hakkı verilir.

    2. Riskli yapılandırmalar

      Zararlı yapılandırma ayarları şunlardır:

      • Kurumsal Etki Alanı Denetleyicileri güvenlik grubunu bu kullanıcı hakkından kaldırma

      • Kullanıcıların, bilgisayarların ve hizmet hesaplarının ağ üzerinden bilgisayarlara bağlanma hakkını sağlayan Kimliği Doğrulanmış Kullanıcılar grubunu veya açık bir grubu kaldırma

      • Tüm kullanıcıları ve bilgisayarları bu kullanıcı hakkından kaldırma

    3. Bu kullanıcıya hak verme nedenleri

      • Bu bilgisayara ağ kullanıcısından Enterprise Domain Controllers grubuna Erişim izni verilmesi, aynı ormandaki etki alanı denetleyicileri arasında çoğaltmanın gerçekleşmesi için Active Directory çoğaltmasının sahip olması gereken kimlik doğrulama gereksinimlerini karşılar.

      • Bu kullanıcı hakkı, kullanıcıların ve bilgisayarların Active Directory de dahil olmak üzere paylaşılan dosyalara, yazıcılara ve sistem hizmetlerine erişmesine olanak tanır.

      • Bu kullanıcı hakkı, kullanıcıların Microsoft Outlook Web Access'in (OWA) önceki sürümlerini kullanarak postaya erişmesi için gereklidir.

    4. Bu kullanıcı hakkını kaldırma nedenleri

      • Bilgisayarlarını ağa bağlayabilen kullanıcılar, izinleri olan uzak bilgisayarlardaki kaynaklara erişebilir. Örneğin, bir kullanıcının paylaşılan yazıcılara ve klasörlere bağlanması için bu kullanıcı hakkı gereklidir. Bu kullanıcı hakkı Herkes grubuna verilirse ve bazı paylaşılan klasörler aynı grubun okuma erişimine sahip olması için hem paylaşım hem de NTFS dosya sistemi izinleri yapılandırılmışsa, herkes bu paylaşılan klasörlerdeki dosyaları görüntüleyebilir. Ancak, Windows Server 2003'teki varsayılan paylaşım ve NTFS izinleri Herkes grubunu içermediğinden, bu durum Windows Server 2003'ün yeni yüklemeleri için olası olmayan bir durumdur. Microsoft Windows NT 4.0 veya Windows 2000'den yükseltilen sistemlerde, varsayılan paylaşım ve bu işletim sistemlerinin dosya sistemi izinleri Windows Server 2003'teki varsayılan izinler kadar kısıtlayıcı olmadığından bu güvenlik açığı daha yüksek bir risk düzeyine sahip olabilir.

      • Kurumsal Etki Alanı Denetleyicileri grubunu bu kullanıcı hakkından kaldırmanın geçerli bir nedeni yoktur.

      • Herkes grubu genellikle Kimliği Doğrulanmış Kullanıcılar grubuna göre kaldırılır. Herkes grubu kaldırılırsa, Kimliği Doğrulanmış Kullanıcılar grubuna bu kullanıcı hakkı verilmelidir.

      • Windows 2000'e yükseltilen Windows NT 4.0 etki alanları, Bu bilgisayara ağ kullanıcısından Herkes grubuna, Kimliği Doğrulanmış Kullanıcılar grubuna veya Kurumsal Etki Alanı Denetleyicileri grubuna açıkça erişme hakkı vermez. Bu nedenle, Everyone grubunu Windows NT 4.0 etki alanı ilkesinden kaldırdığınızda, Windows 2000'e yükselttikten sonra Active Directory çoğaltması "Erişim Reddedildi" hata iletisiyle başarısız olur. Windows Server 2003'teki Winnt32.exe, 4.0 birincil etki alanı denetleyicilerini (PDC) Windows NT yükselttiğinizde Kurumsal Etki Alanı Denetleyicileri grubuna bu kullanıcıya bu hakkı vererek bu yanlış yapılandırmayı önler. Grup ilkesi Nesne Düzenleyicisi'nde mevcut değilse, Bu Kullanıcı Grubuna bu kullanıcı hakkını verin.

    5. Uyumluluk sorunları örnekleri

      • Windows 2000 ve Windows Server 2003: RePLMON ve REPADMIN gibi izleme araçları veya olay günlüğündeki çoğaltma olayları tarafından bildirilen "Erişim Reddedildi" hatalarıyla aşağıdaki bölümlerin çoğaltılması başarısız olur.

        • Active Directory Şema bölümü

        • Yapılandırma bölümü

        • Etki alanı bölümü

        • Genel katalog bölümü

        • Uygulama bölümü

      • Tüm Microsoft ağ işletim sistemleri: Uzak ağ istemci bilgisayarlarından Kullanıcı Hesabı kimlik doğrulaması, kullanıcının üyesi olduğu kullanıcıya veya bir güvenlik grubuna bu kullanıcı hakkı verilmediği sürece başarısız olur.

      • Tüm Microsoft ağ işletim sistemleri: Hesabın üyesi olduğu hesaba veya güvenlik grubuna bu kullanıcı hakkı verilmediği sürece uzak ağ istemcilerinden hesap kimlik doğrulaması başarısız olur. Bu senaryo kullanıcı hesapları, bilgisayar hesapları ve hizmet hesapları için geçerlidir.

      • Tüm Microsoft ağ işletim sistemleri: Bu kullanıcı hakkındaki tüm hesapların kaldırılması, herhangi bir hesabın etki alanında oturum açmasını veya ağ kaynaklarına erişmesini engeller. Kurumsal Etki Alanı Denetleyicileri, Herkes veya Kimliği Doğrulanmış Kullanıcılar gibi hesaplanan gruplar kaldırılırsa, bu kullanıcıya ağ üzerinden uzak bilgisayarlara erişmek için hesabın üyesi olduğu hesaplara veya güvenlik gruplarına açıkça hak vermelisiniz. Bu senaryo tüm kullanıcı hesapları, tüm bilgisayar hesapları ve tüm hizmet hesapları için geçerlidir.

      • Tüm Microsoft ağ işletim sistemleri: Yerel yönetici hesabı "boş" bir parola kullanır. Bir etki alanı ortamındaki yönetici hesapları için boş parolalarla ağ bağlantısına izin verilmez. Bu yapılandırmayla bir "Erişim Reddedildi" hata iletisi almayı bekleyebilirsiniz.

  2. Yerel olarak oturum açmaya izin ver

    1. Arka plan

      Windows tabanlı bir bilgisayarın konsolunda oturum açmaya çalışan kullanıcılar (CTRL+ALT+DELETE klavye kısayolunu kullanarak) ve bir hizmeti başlatmaya çalışan hesapların barındırma bilgisayarında yerel oturum açma ayrıcalıklarına sahip olması gerekir. Yerel oturum açma işlemlerine örnek olarak üye bilgisayarların konsollarında oturum açan yöneticiler veya ayrıcalıklı olmayan hesapları kullanarak masaüstü bilgisayarlarına erişmek için üye bilgisayarlarda oturum açan kuruluş ve etki alanı kullanıcıları genelindeki etki alanı denetleyicileri verilebilir. Uzak Masaüstü bağlantısı veya Terminal Hizmetleri kullanan kullanıcıların, bu oturum açma modları barındırma bilgisayarında yerel olarak kabul edildiğinden, Windows 2000 veya Windows XP çalıştıran hedef bilgisayarlarda Yerel olarak oturum açmaya izin ver kullanıcı hakkı olmalıdır. Terminal Server etkinleştirilmiş bir sunucuda oturum açan ve bu kullanıcı hakkına sahip olmayan kullanıcılar, Terminal Hizmetleri aracılığıyla oturum açmaya izin ver kullanıcı haklarına sahiplerse Windows Server 2003 etki alanlarında uzak etkileşimli oturum başlatmaya devam edebilir.

    2. Riskli yapılandırmalar

      Zararlı yapılandırma ayarları şunlardır:

      • Hesap İşleçleri, Yedekleme İşleçleri, Yazdırma İşleçleri veya Sunucu İşleçleri gibi yönetim güvenlik gruplarını ve yerleşik Yöneticiler grubunu varsayılan etki alanı denetleyicisinin ilkesinden kaldırma.

      • Varsayılan etki alanı denetleyicisinin ilkesinden, üye bilgisayarlardaki ve etki alanı denetleyicilerindeki bileşenler ve programlar tarafından kullanılan hizmet hesaplarını kaldırma.

      • Etki alanındaki üye bilgisayarların konsolunda oturum açan kullanıcıları veya güvenlik gruplarını kaldırma.

      • Üye bilgisayarların veya çalışma grubu bilgisayarlarının yerel Güvenlik Hesapları Yöneticisi (SAM) veritabanında tanımlanan hizmet hesapları kaldırılıyor.

      • Bir etki alanı denetleyicisinde çalışan Terminal Hizmetleri üzerinde kimlik doğrulaması yapılan yerleşik olmayan yönetim hesaplarını kaldırma.

      • Etki alanındaki tüm kullanıcı hesaplarını Herkes grubu aracılığıyla açıkça veya örtük olarak Yerel olarak oturum açmayı reddet hakkına ekleme. Bu yapılandırma, kullanıcıların herhangi bir üye bilgisayarda veya etki alanındaki herhangi bir etki alanı denetleyicisinde oturum açmasını engeller.

    3. Bu kullanıcıya hak verme nedenleri

      • Kullanıcıların bir çalışma grubu bilgisayarının, üye bilgisayarın veya etki alanı denetleyicisinin konsoluna veya masaüstüne erişmek için Yerel olarak oturum açmaya izin ver kullanıcı hakkına sahip olması gerekir.

      • Kullanıcıların, Windows 2000 tabanlı üye bilgisayarda veya etki alanı denetleyicisinde çalışan bir Terminal Hizmetleri oturumunda oturum açmak için bu kullanıcı hakkına sahip olması gerekir.

    4. Bu kullanıcı hakkını kaldırma nedenleri

      • Konsol erişiminin meşru kullanıcı hesaplarına kısıtlanmaması, yetkisiz kullanıcıların kullanıcı haklarını değiştirmek için kötü amaçlı kodu indirmesine ve yürütmesine neden olabilir.

      • Yerel olarak oturum açmaya izin ver kullanıcı hakkının kaldırılması, etki alanı denetleyicileri veya uygulama sunucuları gibi bilgisayarların konsollarında yetkisiz oturum açmaları engeller.

      • Bu oturum açma hakkının kaldırılması, etki alanı olmayan hesapların etki alanındaki üye bilgisayarların konsolunda oturum açmasını engeller.

    5. Uyumluluk sorunları örnekleri

      • Windows 2000 terminal sunucuları: Kullanıcıların Windows 2000 terminal sunucularında oturum açması için Yerel olarak oturum açmaya izin ver kullanıcı hakkı gereklidir.

      • Windows NT 4.0, Windows 2000, Windows XP veya Windows Server 2003: Kullanıcı hesaplarına Windows NT 4.0, Windows 2000, Windows XP veya Windows Server 2003 çalıştıran bilgisayarların konsolunda oturum açma hakkı verilmelidir.

      • Windows NT 4.0 ve üzeri: 4.0 ve sonraki Windows NT çalıştıran bilgisayarlarda, Yerel olarak oturum açmaya izin ver kullanıcı hakkını eklerseniz, ancak açık veya örtük olarak yerel olarak oturum açmayı reddet hakkını verirseniz, hesaplar etki alanı denetleyicilerinin konsolunda oturum açamaz.

  3. Çapraz geçiş denetimini atla

    1. Arka plan

      Çapraz geçiş denetimini atlama kullanıcı hakkı, kullanıcının Ntfs dosya sistemindeki veya kayıt defterindeki klasörlere, Klasör Arasında Geçiş özel erişim iznini denetlemeden göz atmasına olanak tanır. Geçişi atlama denetimi kullanıcı hakkı, kullanıcının bir klasörün içeriğini listelemesine izin vermez. Kullanıcının yalnızca klasörlerinde dolaşmasına izin verir.

    2. Riskli yapılandırmalar

      Zararlı yapılandırma ayarları şunlardır:

      • Windows 2000 tabanlı Terminal Hizmetleri bilgisayarlarında veya dosya sistemindeki dosya ve klasörlere erişim izni olmayan Windows Server 2003 tabanlı Terminal Hizmetleri bilgisayarlarında oturum açan yönetici olmayan hesapları kaldırma.

      • Varsayılan olarak bu kullanıcı hakkına sahip güvenlik sorumluları listesinden Herkes grubunu kaldırma. Windows işletim sistemleri ve ayrıca birçok program, bilgisayara yasal olarak erişebilen herkesin Geçiş denetimini atlama kullanıcı hakkına sahip olacağı beklentisiyle tasarlanmıştır. Bu nedenle, varsayılan olarak bu kullanıcı hakkına sahip olan güvenlik sorumluları listesinden Herkes grubunun kaldırılması işletim sistemi dengesizliği veya program hatasına yol açabilir. Bu ayarı varsayılan olarak bırakmanız daha iyidir.

    3. Bu kullanıcıya hak

      verme nedenleri Geçiş denetimini atlama kullanıcı hakkı için varsayılan ayar, herkesin çapraz geçiş denetimini atlamasına izin vermektir. Deneyimli Windows sistem yöneticileri için beklenen davranış budur ve dosya sistemi erişim denetim listelerini (SACL' ler) buna göre yapılandırırlar. Varsayılan yapılandırmanın bir aksiliğe yol açabileceği tek senaryo, izinleri yapılandıran yöneticinin davranışı anlamaması ve üst klasöre erişemeyen kullanıcıların alt klasörlerin içeriğine erişememesidir.

    4. Bu kullanıcı hakkını

      kaldırma nedenleri Dosya sistemindeki dosyalara veya klasörlere erişimi engellemeye çalışmak için, güvenlikten çok endişe duyan kuruluşlar, Geçiş denetimini atlama kullanıcı hakkına sahip gruplar listesinden Herkes grubunu, hatta Kullanıcılar grubunu kaldırmak isteyebilir.

    5. Uyumluluk sorunları örnekleri

      • Windows 2000, Windows Server 2003: Geçiş denetimini atlama kullanıcı hakkı kaldırılırsa veya Windows 2000 veya Windows Server 2003 çalıştıran bilgisayarlarda yanlış yapılandırılmışsa, SYVOL klasöründeki grup ilkesi ayarları etki alanındaki etki alanı denetleyicileri arasında çoğaltılmaz.

      • Windows 2000, Windows XP Professional, Windows Server 2003: Windows 2000, Windows XP Professional veya Windows Server 2003 çalıştıran bilgisayarlar 1000 ve 1202 olaylarını günlüğe kaydeder ve gerekli dosya sistemi izinleri SYSVOL ağacından kaldırıldığında, Çapraz geçişi atlama kullanıcı hakkı kaldırılırsa veya yanlış yapılandırılmışsa bilgisayar ilkesi ve kullanıcı ilkesi uygulayamaz.

         

      • Windows 2000, Windows Server 2003: Windows 2000 veya Windows Server 2003 çalıştıran bilgisayarlarda, bir birimde özellikleri görüntülediğinizde Windows Gezgini'ndeki Kota sekmesi kaybolur.

      • Windows 2000: Windows 2000 terminal sunucusunda oturum açan yönetici olmayanlar aşağıdaki hata iletisini alabilir:

        uygulama hatası Userinit.exe. Uygulama düzgün başlatılamadı 0xc0000142 uygulamayı sonlandırmak için Tamam'a tıklayın.

      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Bilgisayarları Windows NT 4.0, Windows 2000, Windows XP veya Windows Server 2003 çalıştıran kullanıcılar paylaşılan klasörlere veya paylaşılan klasörlerdeki dosyalara erişemeyebilir ve geçiş denetimini atlama kullanıcı hakkı verilmediği takdirde "Erişim Reddedildi" hata iletileri alabilir.


         

      • Windows NT 4.0: Windows NT 4.0 tabanlı bilgisayarlarda, Çapraz geçiş denetimini atlama kullanıcı hakkının kaldırılması dosya kopyalarının dosya akışlarını bırakmasına neden olur. Bu kullanıcı hakkını kaldırırsanız, bir dosya Bir Windows istemcisinden veya Macintosh istemcisinden Macintosh hizmetleri çalıştıran bir Windows NT 4.0 etki alanı denetleyicisine kopyalandığında hedef dosya akışı kaybolur ve dosya salt metin dosyası olarak görünür.

      • Microsoft Windows 95, Microsoft Windows 98: Windows 95 veya Windows 98 çalıştıran bir istemci bilgisayarda, Kimliği Doğrulanmış Kullanıcılar grubuna Geçiş denetimini atlama kullanıcı hakkı verilmediyse net use * /home komutu "Erişim Reddedildi" hata iletisiyle başarısız olur.

      • Outlook Web Access: Yönetici olmayanlar Microsoft Outlook Web Access'te oturum açamaz ve geçiş denetimini atlama kullanıcı hakkı verilmediyse "Erişim Reddedildi" hata iletisi alır.

Güvenlik Ayarları

Aşağıdaki liste bir güvenlik ayarını tanımlar ve iç içe yerleştirilmiş liste güvenlik ayarı hakkında bir açıklama sağlar, sorunlara neden olabilecek yapılandırma ayarlarını tanımlar, güvenlik ayarını neden uygulamanız gerektiğini açıklar ve ardından güvenlik ayarını kaldırmak isteme nedenlerini açıklar. İç içe yerleştirilmiş liste daha sonra güvenlik ayarı ve güvenlik ayarının kayıt defteri yolu için sembolik bir ad sağlar. Son olarak, güvenlik ayarı yapılandırıldığında oluşabilecek uyumluluk sorunlarına örnekler verilmiştir.

  1. Denetim: Güvenlik denetimlerini günlüğe kaydedemezse sistemi hemen kapatın

    1. Arka plan

      • Denetim: Güvenlik denetimlerini günlüğe kaydedemiyorsanız sistemi hemen kapatın ayarı, güvenlik olaylarını günlüğe kaydedemiyorsanız sistemin kapatılıp kapatılmayacağını belirler. Bu ayar, Güvenilen Bilgisayar Güvenliği Değerlendirme Ölçütleri (TCSEC) programının C2 değerlendirmesi için ve denetim sistemi bu olayları günlüğe kaydedemiyorsa denetlenebilir olayları önlemek için Bilgi Teknolojisi Güvenliği Değerlendirmesi için Ortak Ölçütler için gereklidir. Denetim sistemi başarısız olursa sistem kapatılır ve Durdurma hata iletisi görüntülenir.

      • Bilgisayar güvenlik günlüğüne olayları kaydedemiyorsa, kritik kanıt veya önemli sorun giderme bilgileri bir güvenlik olayından sonra gözden geçirilmeyebilir.

    2. Riskli yapılandırma

      Aşağıdaki zararlı bir yapılandırma ayarıdır: Denetim: Güvenlik denetimlerini günlüğe kaydedemiyorsanız sistemi hemen kapatın ayarı açıktır ve güvenlik olay günlüğünün boyutu, olayların üzerine yazma (günlüğü el ile temizle) seçeneği, Gerektiğinde Olayların Üzerine Yaz seçeneği veya Olay Görüntüleyicisi'daki Sayı günlerinden eski olayların üzerine yaz seçeneğiyle kısıtlanır. Windows 2000, Windows 2000 Service Pack 1 (SP1), Windows 2000 SP2 veya Windows 2000 SP3'ün özgün sürümünü çalıştıran bilgisayarlar için belirli riskler hakkında bilgi için "Uyumluluk Sorunları Örnekleri" bölümüne bakın.

    3. Bu ayarı

      etkinleştirme nedenleri Bilgisayar güvenlik günlüğüne olayları kaydedemiyorsa, kritik kanıt veya önemli sorun giderme bilgileri bir güvenlik olayından sonra gözden geçirilmeyebilir.

    4. Bu ayarı devre dışı bırakma nedenleri

      • Denetim: Güvenlik denetimleri günlüğe kaydedilemiyorsa sistemi hemen kapatın ayarının etkinleştirilmesi, güvenlik denetiminin herhangi bir nedenle günlüğe kaydedilememesi durumunda sistemi durdurur. Genellikle, güvenlik denetim günlüğü dolu olduğunda ve belirtilen bekletme yöntemi Olayların üzerine yazma (günlüğü el ile temizle) seçeneği veya Gün sayısından eski olayların üzerine yaz seçeneği olduğunda bir olay günlüğe kaydedilemez.

      • Güvenlik denetimlerini günlüğe kaydedemiyorsanız Denetim: Sistemi hemen kapatma ayarını etkinleştirmenin yönetim yükü çok yüksek olabilir; özellikle güvenlik günlüğü için Olayların üzerine yazma (günlüğü el ile temizleme) seçeneğini de açarsanız. Bu ayar, işleç eylemlerinin tek tek hesap verebilirliğini sağlar. Örneğin, bir yönetici yerleşik yönetici hesabını veya diğer paylaşılan hesabı kullanarak denetimin etkinleştirildiği bir kuruluş birimindeki (OU) tüm kullanıcılar, bilgisayarlar ve gruplar üzerindeki izinleri sıfırlayabilir ve ardından bu izinleri sıfırladıklarını reddedebilir. Ancak, bir sunucu oturum açma olayları ve güvenlik günlüğüne yazılan diğer güvenlik olayları ile bunaltıcı olarak kapatılmaya zorlanabileceği için ayarın etkinleştirilmesi sistemin sağlamlığını azaltır. Buna ek olarak, kapatma düzgün olmadığından işletim sistemi, programlar veya verilerde onarılamaz bir hasara neden olabilir. NTFS, düzgün olmayan bir sistem kapatma işlemi sırasında dosya sisteminin bütünlüğünün korunacağını garanti ederken, sistem yeniden başlatıldığında her program için her veri dosyasının hala kullanılabilir bir biçimde olacağını garanti edemez.

    5. Sembolik Ad:

      CrashOnAuditFail

    6. Kayıt Defteri Yolu:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

    7. Uyumluluk sorunları örnekleri

      • Windows 2000: Bir hata nedeniyle, Windows 2000, Windows 2000 SP1, Windows 2000 SP2 veya Windows Server SP3'ün özgün sürümünü çalıştıran bilgisayarlar, güvenlik olay günlüğü için En fazla günlük boyutu seçeneğinde belirtilen boyuta ulaşilmeden önce olayların günlüğe kaydedilmesini durdurabilir. Bu hata Windows 2000 Service Pack 4'te (SP4) düzeltildi. Bu ayarı etkinleştirmeyi düşünmeden önce Windows 2000 etki alanı denetleyicilerinizde Windows 2000 Service Pack 4 yüklü olduğundan emin olun.

         

      • Windows 2000, Windows Server 2003: Windows 2000 veya Windows Server 2003 çalıştıran bilgisayarlar yanıt vermemeye başlayabilir ve ardından Denetim: Güvenlik denetimlerini günlüğe kaydedemiyorsanız sistemi hemen kapat ayarı açıksa, güvenlik günlüğü doluysa ve var olan olay günlüğü girdisinin üzerine yazılamazsa kendiliğinden yeniden başlatılabilir. Bilgisayar yeniden başlatıldığında aşağıdaki Durdurma hata iletisi görüntülenir:

        DURDURMA: C0000244 {Denetim Başarısız Oldu}
        Güvenlik denetimi oluşturma girişimi başarısız oldu.

        Kurtarmak için bir yöneticinin oturum açması, güvenlik günlüğünü arşivle (isteğe bağlı), güvenlik günlüğünü temizlemesi ve ardından bu seçeneği (isteğe bağlı ve gerektiğinde) sıfırlaması gerekir.

      • MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 için Microsoft Ağ İstemcisi: Etki alanında oturum açmaya çalışan yönetici olmayanlar aşağıdaki hata iletisini alır:

        Hesabınız, bu bilgisayarı kullanmanızı engelleyecek şekilde yapılandırılmıştır. Lütfen başka bir bilgisayar deneyin.

      • Windows 2000: Windows 2000 tabanlı bilgisayarlarda, yönetici olmayanlar uzaktan erişim sunucularında oturum açamaz ve aşağıdakine benzer bir hata iletisi alırlar:

        Bilinmeyen kullanıcı veya hatalı parola

      • Windows 2000: Windows 2000 etki alanı denetleyicilerinde, Siteler Arası Mesajlaşma hizmeti (Ismserv.exe) durur ve yeniden başlatılamaz. DCDIAG hatayı "başarısız test hizmetleri ISMserv" olarak bildirir ve olay günlüğüne olay kimliği 1083 kaydedilir.

      • Windows 2000: Windows 2000 etki alanı denetleyicilerinde Active Directory çoğaltması başarısız olur ve güvenlik olay günlüğü doluysa "Erişim Reddedildi" iletisi görüntülenir.

      • Microsoft Exchange 2000: Exchange 2000 çalıştıran sunucular bilgi deposu veritabanını bağlayamaz ve olay 2102 olay günlüğüne kaydedilir.

      • Outlook, Outlook Web Access: Yönetici olmayanlar postalarına Microsoft Outlook veya Microsoft Outlook Web Access aracılığıyla erişemez ve 503 hatası alırlar.

  2. Etki alanı denetleyicisi: LDAP sunucusu imzalama gereksinimleri

    1. Arka plan

      Etki alanı denetleyicisi: LDAP sunucusu imzalama gereksinimleri güvenlik ayarı, Basit Dizin Erişim Protokolü (LDAP) sunucusunun veri imzalama anlaşması yapmak için LDAP istemcilerinin gerekip gerekmediğini belirler. Bu ilke ayarı için olası değerler aşağıdaki gibidir:

      • Yok: Sunucuya bağlanmak için veri imzalama gerekli değildir. İstemci veri imzalama isteğinde bulunursa, sunucu bunu destekler.

      • İmzalama gerektir: Aktarım Katmanı Güvenliği/Güvenli Yuva Katmanı (TLS/SSL) kullanılmadığı sürece LDAP veri imzalama seçeneğinde anlaşmaya varılması gerekir.

      • tanımlanmadı: Bu ayar etkin veya devre dışı değil.

    2. Riskli yapılandırmalar

      Zararlı yapılandırma ayarları şunlardır:

      • İstemcilerin LDAP imzalamayı desteklemediği veya istemci tarafında LDAP imzalamanın istemcide etkinleştirilmediği ortamlarda oturum açmayı gerektir'i etkinleştirme

      • İstemcilerin LDAP imzalamayı desteklemediği veya istemci tarafı LDAP imzalamanın etkinleştirilmediği ortamlarda Windows 2000 veya Windows Server 2003 Hisecdc.inf güvenlik şablonunu uygulama

      • İstemcilerin LDAP imzalamayı desteklemediği veya istemci tarafı LDAP imzalamanın etkinleştirilmediği ortamlarda Windows 2000 veya Windows Server 2003 Hisecws.inf güvenlik şablonunu uygulama

    3. Bu ayarı

      etkinleştirme nedenleri İmzasız ağ trafiği, yetkisiz bir kullanıcının istemci ile sunucu arasındaki paketleri yakaladığı, paketleri değiştirdiği ve sonra da sunucuya ilettiği ortadaki adam saldırılarına duyarlıdır. Bir LDAP sunucusunda bu davranış oluştuğunda, saldırgan bir sunucunun LDAP istemcisinden gelen hatalı sorguları temel alan kararlar vermesine neden olabilir. Ağ altyapısının korunmasına yardımcı olmak için güçlü fiziksel güvenlik önlemleri uygulayarak bir şirket ağında bu riski düşürebilirsiniz. İnternet Protokolü güvenliği (IPSec) kimlik doğrulaması üst bilgi modu, ortadaki adam saldırılarını önlemeye yardımcı olabilir. Kimlik doğrulama üst bilgisi modu, IP trafiği için karşılıklı kimlik doğrulaması ve paket bütünlüğü gerçekleştirir.

    4. Bu ayarı devre dışı bırakma nedenleri

      • LDAP imzalamayı desteklemeyen istemciler, NTLM kimlik doğrulaması üzerinde anlaşmaya varıldıysa ve Windows 2000 etki alanı denetleyicilerinde doğru hizmet paketleri yüklü değilse etki alanı denetleyicilerine ve genel kataloglara karşı LDAP sorguları gerçekleştiremez.

      • İstemciler ve sunucular arasındaki LDAP trafiğinin ağ izlemeleri şifrelenir. Bu, LDAP konuşmalarını incelemeyi zorlaştırır.

      • Windows 2000 tabanlı sunucularda Windows 2000 SP4, Windows XP veya Windows Server 2003 çalıştıran istemci bilgisayarlardan çalıştırılan LDAP imzalamayı destekleyen programlarla yönetildiğinde Windows 2000 Service Pack 3 (SP3) yüklü olmalıdır.  

    5. Sembolik Ad:

      LDAPServerIntegrity

    6. Kayıt Defteri Yolu:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

    7. Uyumluluk sorunları örnekleri

      • Basit bağlamalar başarısız olur ve aşağıdaki hata iletisini alırsınız:

        Ldap_simple_bind_s() başarısız oldu: Güçlü Kimlik Doğrulaması Gerekiyor.

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Windows 2000 SP4, Windows XP veya Windows Server 2003 çalıştıran istemcilerde bazı Active Directory yönetim araçları, NTLM kimlik doğrulaması üzerinde anlaşmaya varıldığında SP3'ten önceki Windows 2000 sürümlerini çalıştıran etki alanı denetleyicilerinde düzgün çalışmaz.

         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Windows 2000 SP4, Windows XP veya Windows Server 2003 çalıştıran istemcilerde, WINDOWS 2000'in SP3'ten önceki sürümlerini çalıştıran etki alanı denetleyicilerini hedefleyen bazı Active Directory yönetim araçları, IP adreslerini kullanıyorlarsa düzgün çalışmaz (örneğin, "dsa.msc /server=x.x.x.x.x" burada
        x.x.x.x bir IP adresidir).


         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Windows 2000 SP4, Windows XP veya Windows Server 2003 çalıştıran istemcilerde, Windows 2000'in SP3'ten önceki sürümlerini çalıştıran etki alanı denetleyicilerini hedefleyen bazı Active Directory yönetim araçları düzgün çalışmaz.

         

  3. Etki alanı üyesi: Güçlü (Windows 2000 veya üzeri) oturum anahtarı iste

    1. Arka plan

      • Etki alanı üyesi: Güçlü gerektir (Windows 2000 veya üzeri) oturum anahtarı ayarı, güvenli kanal trafiğini güçlü, 128 bit oturum anahtarıyla şifreleyemeyen bir etki alanı denetleyicisiyle güvenli bir kanal oluşturulup oluşturulamayacağını belirler. Bu ayarın etkinleştirilmesi, güvenli kanal verilerini güçlü bir anahtarla şifreleyemeyen herhangi bir etki alanı denetleyicisiyle güvenli bir kanal oluşturulmasını engeller. Bu ayarın devre dışı bırakılması 64 bit oturum anahtarları sağlar.

      • Bu ayarı üye iş istasyonunda veya sunucuda etkinleştirebilmeniz için önce, üyenin ait olduğu etki alanındaki tüm etki alanı denetleyicilerinin güvenli kanal verilerini güçlü, 128 bit anahtarla şifreleyebilmesi gerekir. Bu, bu tür etki alanı denetleyicilerinin tümünün Windows 2000 veya üzerini çalıştırıyor olması gerektiği anlamına gelir.

    2. Riskli yapılandırma

      Etki alanı üyesini etkinleştirme: Güçlü gerektir (Windows 2000 veya üzeri) oturum anahtarı ayarı zararlı bir yapılandırma ayarıdır.

    3. Bu ayarı etkinleştirme nedenleri

      • Üye bilgisayarlar ve etki alanı denetleyicileri arasında güvenli kanal iletişimi kurmak için kullanılan oturum anahtarları, Windows 2000'de Microsoft işletim sistemlerinin önceki sürümlerindekinden çok daha güçlü olur.

      • Mümkün olduğunda, güvenli kanal iletişimlerini dinlemeye ve oturum ele geçirme ağ saldırılarına karşı korumaya yardımcı olmak için bu daha güçlü oturum anahtarlarından yararlanmak iyi bir fikirdir. Dinleme, ağ verilerinin okunduğu veya aktarım sırasında değiştirildiği kötü amaçlı bir saldırı biçimidir. Veriler, göndereni gizlemek veya değiştirmek ya da yeniden yönlendirmek için değiştirilebilir.

      Önemli Windows Server 2008 R2 veya Windows 7 çalıştıran bir bilgisayar, güvenli kanallar kullanıldığında yalnızca güçlü anahtarları destekler. Bu kısıtlama, herhangi bir Windows NT 4.0 tabanlı etki alanı ile herhangi bir Windows Server 2008 R2 tabanlı etki alanı arasında güven oluşmasını önler. Ayrıca bu kısıtlama, Windows 7 veya Windows Server 2008 R2 çalıştıran bilgisayarların Windows NT 4.0 tabanlı etki alanı üyeliğini engeller ve tam tersi de geçerlidir.

    4. Bu ayarı

      devre dışı bırakma nedenleri Etki alanı, Windows 2000, Windows XP veya Windows Server 2003 dışında işletim sistemleri çalıştıran üye bilgisayarları içerir.

    5. Sembolik Ad:

      StrongKey

    6. Kayıt Defteri Yolu:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

    7. Uyumluluk sorunları

      örnekleri Windows NT 4.0: Windows NT 4.0 tabanlı bilgisayarlarda, Windows NT 4.0 ile Windows 2000 etki alanları arasındaki güvenli güven ilişkileri kanallarını sıfırlayarak NLTEST başarısız olur. "Erişim Reddedildi" hata iletisi görüntülenir:

      Birincil etki alanı ile güvenilen etki alanı arasındaki güven ilişkisi başarısız oldu.

      Windows 7 ve Server 2008 R2: Windows 7 ve sonraki sürümler ile Windows Server 2008 R2 ve sonraki sürümler için bu ayar artık geçerli değildir ve güçlü anahtar her zaman kullanılır. Bu nedenle, Windows NT 4.0 etki alanlarıyla güvenler artık çalışmaz.

  4. Etki alanı üyesi: Güvenli kanal verilerini dijital olarak şifreleme veya imzalama (her zaman)

    1. Arka plan

      • Etki alanı üyesinin etkinleştirilmesi: Güvenli kanal verilerini dijital olarak şifreleme veya imzalama (her zaman), tüm güvenli kanal verilerini imzalayamayan veya şifreleyemeyen herhangi bir etki alanı denetleyicisiyle güvenli bir kanal oluşturulmasını önler. Kimlik doğrulama trafiğinin ortadaki adam saldırılarına, yeniden yürütme saldırılarına ve diğer ağ saldırılarına karşı korunmasına yardımcı olmak için Windows tabanlı bilgisayarlar, bilgisayar hesaplarının kimliğini doğrulamak için Net Logon hizmeti aracılığıyla güvenli kanal olarak bilinen bir iletişim kanalı oluşturur. Güvenli kanallar, bir etki alanındaki bir kullanıcı uzak etki alanındaki bir ağ kaynağına bağlandığında da kullanılır. Bu çok etki alanı kimlik doğrulaması veya doğrudan kimlik doğrulaması, bir etki alanına katılmış windows tabanlı bir bilgisayarın, etki alanındaki ve güvenilen etki alanlarındaki kullanıcı hesabı veritabanına erişmesine olanak tanır.

      • Etki alanı üyesi: Üye bilgisayarda güvenli kanal verilerini dijital olarak şifreleme veya imzalama (her zaman) ayarını etkinleştirmek için, üyenin ait olduğu etki alanındaki tüm etki alanı denetleyicilerinin tüm güvenli kanal verilerini imzalayabilmesi veya şifreleyebilmesi gerekir. Bu, tüm bu tür etki alanı denetleyicilerinin Service Pack 6a (SP6a) veya sonraki sürümleriyle Windows NT 4.0 çalıştırıyor olması gerektiği anlamına gelir.

      • Etki alanı üyesinin etkinleştirilmesi: Güvenli kanal verilerini dijital olarak şifreleme veya imzalama (her zaman) ayarı, Etki alanı üyesi: Güvenli kanal verilerini dijital olarak şifreleme veya imzalama (mümkün olduğunda) ayarını otomatik olarak etkinleştirir.

    2. Riskli yapılandırma

      Etki alanı üyesinin etkinleştirilmesi: Tüm etki alanı denetleyicilerinin güvenli kanal verilerini imzalamadığı veya şifreleyebildiği etki alanlarında güvenli kanal verilerini dijital olarak şifreleme veya imzalama (her zaman) ayarı zararlı bir yapılandırma ayarıdır.

    3. Bu ayarı

      etkinleştirme nedenleri İmzasız ağ trafiği ortadaki adam saldırılarına duyarlıdır; burada davetsiz bir kişi sunucu ile istemci arasındaki paketleri yakalar ve sonra bunları istemciye iletmeden önce değiştirir. Bu davranış bir Basit Dizin Erişim Protokolü (LDAP) sunucusunda gerçekleştiğinde, davetsiz misafir istemcinin LDAP dizinindeki yanlış kayıtları temel alan kararlar vermesine neden olabilir. Ağ altyapısının korunmasına yardımcı olmak için güçlü fiziksel güvenlik önlemleri uygulayarak bir şirket ağına böyle bir saldırı riskini azaltabilirsiniz. Ayrıca, İnternet Protokolü güvenliği (IPSec) kimlik doğrulama üst bilgisi modunun uygulanması, ortadaki adam saldırılarını önlemeye yardımcı olabilir. Bu mod, IP trafiği için karşılıklı kimlik doğrulaması ve paket bütünlüğü gerçekleştirir.

    4. Bu ayarı devre dışı bırakma nedenleri

      • Yerel veya dış etki alanlarındaki bilgisayarlar şifrelenmiş güvenli kanalları destekler.

      • Etki alanındaki tüm etki alanı denetleyicileri, şifrelenmiş güvenli kanalları desteklemek için uygun hizmet paketi düzeltme düzeylerine sahip değildir.

    5. Sembolik Ad:

      StrongKey

    6. Kayıt Defteri Yolu:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

    7. Uyumluluk sorunları örnekleri

      • Windows NT 4.0: Windows 2000 tabanlı üye bilgisayarlar Windows NT 4.0 etki alanlarına katılamaz ve aşağıdaki hata iletisini alır:

        Hesabın bu istasyondan oturum açma yetkisi yok.

        Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:

        281648 Hata iletisi: Hesabın bu istasyondan oturum açma yetkisi yok
         

      • Windows NT 4.0: Windows NT 4.0 etki alanları Windows 2000 etki alanıyla alt düzey güven oluşturamaz ve aşağıdaki hata iletisini alır:

        Hesabın bu istasyondan oturum açma yetkisi yok.

        Mevcut alt düzey güvenler, güvenilen etki alanından kullanıcıların kimliğini doğrulamayabilir. Bazı kullanıcılar etki alanında oturum açarken sorun yaşayabilir ve istemcinin etki alanını bulamadığını belirten bir hata iletisi alabilir.

      • Windows XP: Windows NT 4.0 etki alanlarına katılan Windows XP istemcileri oturum açma girişimlerinin kimliğini doğrulayamaz ve aşağıdaki hata iletisini alabilir veya olay günlüğüne aşağıdaki olaylar kaydedilebilir:

        Etki alanı denetleyicisi kapalı veya başka bir şekilde kullanılamadığından ya da bilgisayar hesabınız bulunamadığından Windows etki alanına bağlanamıyor

      • Microsoft Network: Microsoft Network istemcileri aşağıdaki hata iletilerinden birini alır:

        Oturum açma hatası: bilinmeyen kullanıcı adı veya hatalı parola.

        Belirtilen oturum açma oturumu için kullanıcı oturumu anahtarı yok.

  5. Microsoft ağ istemcisi: İletişimleri dijital olarak imzalama (her zaman)

    1. Arka plan

      Sunucu İleti Bloğu (SMB), birçok Microsoft işletim sistemi tarafından desteklenen kaynak paylaşım protokolüdür. Ağ temel giriş/çıkış sisteminin (NetBIOS) ve diğer birçok protokolün temelidir. SMB imzalama, hem kullanıcının hem de verileri barındıran sunucunun kimliğini doğrular. Her iki taraf da kimlik doğrulama işlemini başarısız olursa veri iletimi gerçekleşmez.

      SMB imzalamayı etkinleştirme, SMB protokolü anlaşması sırasında başlar. SMB imzalama ilkeleri, bilgisayarın istemci iletişimlerini her zaman dijital olarak imzalayıp imzalamadığını belirler.

      Windows 2000 SMB kimlik doğrulama protokolü karşılıklı kimlik doğrulamayı destekler. Karşılıklı kimlik doğrulaması bir "ortadaki adam" saldırısını kapatır. Windows 2000 SMB kimlik doğrulama protokolü, ileti kimlik doğrulamasını da destekler. İleti kimlik doğrulaması etkin ileti saldırılarını önlemeye yardımcı olur. SMB imzalama, size bu kimlik doğrulamasını sağlamak için her SMB'ye bir dijital imza ekler. İstemci ve sunucu dijital imzayı doğrular.

      SMB imzalamayı kullanmak için SMB imzalamayı etkinleştirmeniz veya hem SMB istemcisinde hem de SMB sunucusunda SMB imzalaması gerektirmeniz gerekir. Bir sunucuda SMB imzalama etkinleştirildiyse, SMB imzalama için de etkinleştirilmiş istemciler sonraki tüm oturumlarda paket imzalama protokolünü kullanır. Bir sunucuda SMB imzalaması gerekiyorsa, istemci etkinleştirilmediği veya SMB imzalaması için gerekli olmadığı sürece istemci oturum oluşturamaz.


      Yüksek güvenlikli ağlarda dijital imzalamanın etkinleştirilmesi, istemcilerin ve sunucuların kimliğe bürünülmesini önlemeye yardımcı olur. Bu tür bir kimliğe bürünme, oturum ele geçirme olarak bilinir. İstemci veya sunucuyla aynı ağa erişimi olan bir saldırgan, devam eden bir oturumu kesintiye uğratmak, sonlandırmak veya çalmak için oturum ele geçirme araçlarını kullanır. Saldırgan imzalanmamış SMB paketlerini kesebilir ve değiştirebilir, trafiği değiştirebilir ve ardından sunucunun istenmeyen eylemler gerçekleştirebilmesi için iletebilir. Ya da saldırgan, meşru bir kimlik doğrulamasından sonra sunucu veya istemci olarak poz verebilir ve ardından verilere yetkisiz erişim elde edebilir.

      Windows 2000 Server, Windows 2000 Professional, Windows XP Professional veya Windows Server 2003 çalıştıran bilgisayarlarda dosya paylaşımı ve yazdırma paylaşımı için kullanılan SMB protokolü karşılıklı kimlik doğrulamasını destekler. Karşılıklı kimlik doğrulaması, oturum ele geçirme saldırılarını kapatır ve ileti kimlik doğrulamasını destekler. Bu nedenle, ortadaki adam saldırılarını önler. SMB imzalama, her SMB'ye dijital imza yerleştirerek bu kimlik doğrulamasını sağlar. ardından istemci ve sunucu imzayı doğrular.

      Notlar

      • Alternatif bir önlem olarak, tüm ağ trafiğinin korunmasına yardımcı olmak için IPSec ile dijital imzaları etkinleştirebilirsiniz. SUNUCUNUN CPU'sundan performans etkisini en aza indirmek için kullanabileceğiniz IPSec şifrelemesi ve imzalaması için donanım tabanlı hızlandırıcılar vardır. SMB imzalama için bu tür hızlandırıcılar yoktur.

        Daha fazla bilgi için Microsoft MSDN web sitesindeki Sunucu iletişimlerini dijital olarak imzalama bölümüne bakın.

        Yerel kayıt defteri değerinde yapılan bir değişikliğin geçersiz kılınan bir etki alanı ilkesi olması durumunda hiçbir etkisi olmadığından, SMB'yi nesne düzenleyicisi grup ilkesi aracılığıyla yapılandırın.

      • Windows 95, Windows 98 ve Windows 98 İkinci Sürüm'de, Dizin Hizmetleri İstemcisi NTLM kimlik doğrulamasını kullanarak Windows Server 2003 sunucularında kimlik doğrulaması yaparken SMB imzalamayı kullanır. Ancak, bu istemciler NTLMv2 kimlik doğrulaması kullanarak bu sunucularla kimlik doğrulaması yaparken SMB imzalama kullanmaz. Ayrıca, Windows 2000 sunucuları bu istemcilerden gelen SMB imzalama isteklerine yanıt vermez. Daha fazla bilgi için bkz. 10. öğe: "Ağ güvenliği: Lan Manager kimlik doğrulama düzeyi."

    2. Riskli yapılandırma

      Aşağıdaki zararlı bir yapılandırma ayarıdır: Hem Microsoft ağ istemcisini bırakma: İletişimleri dijital olarak imzala (her zaman) ayarı hem de Microsoft ağ istemcisi: İletişimleri dijital olarak imzala (sunucu kabul ederse) ayarının "Tanımlı Değil" veya devre dışı olarak ayarlanması. Bu ayarlar, yeniden yönlendiricinin kimlik doğrulaması sırasında parola şifrelemeyi desteklemeyen Microsoft dışı SMB sunucularına düz metin parolaları göndermesine olanak tanır.

    3. Bu ayarı

      etkinleştirme nedenleri Microsoft ağ istemcisini etkinleştirme: İletişimleri dijital olarak imzalama (her zaman), istemcilerin SMB imzalaması gerektirmeyen sunucularla iletişim kurarken SMB trafiğini imzalamasını gerektirir. Bu, istemcilerin oturum ele geçirme saldırılarına karşı daha az savunmasız olmasını sağlar.

    4. Bu ayarı devre dışı bırakma nedenleri

      • Microsoft ağ istemcisinin etkinleştirilmesi: İletişimleri dijital olarak imzalama (her zaman), istemcilerin SMB imzalamayı desteklemeyen hedef sunucularla iletişim kurmasını engeller.

      • Bilgisayarların imzalanmamış tüm SMB iletişimlerini yoksayacak şekilde yapılandırılması, önceki programların ve işletim sistemlerinin bağlanmasını engeller.

    5. Sembolik Ad:

      RequireSMBSignRdr

    6. Kayıt Defteri Yolu:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

    7. Uyumluluk sorunları örnekleri

      • Windows NT 4.0: NLTEST veya NETDOM kullanarak Windows Server 2003 etki alanı ile Windows NT 4.0 etki alanı arasındaki güvenin güvenli kanalını sıfırlayamazsınız ve "Erişim Reddedildi" hata iletisini alırsınız.

      • Windows XP: Windows XP istemcilerinden Windows 2000 tabanlı sunuculara ve Windows Server 2003 tabanlı sunuculara dosya kopyalamak daha uzun sürebilir.

      • Bu ayar etkinken istemciden bir ağ sürücüsünü eşleyemezsiniz ve aşağıdaki hata iletisini alırsınız:

        Hesabın bu istasyondan oturum açma yetkisi yok.

    8. Yeniden başlatma gereksinimleri

      Bilgisayarı yeniden başlatın veya İş İstasyonu hizmetini yeniden başlatın. Bunu yapmak için komut istemine aşağıdaki komutları yazın. Her komutu yazdıktan sonra Enter tuşuna basın.

      net stop iş istasyonu
      net start iş istasyonu

  6. Microsoft ağ sunucusu: İletişimleri dijital olarak imzalama (her zaman)

    1. Arka plan

      • Sunucu Messenger Bloğu (SMB), birçok Microsoft işletim sistemi tarafından desteklenen kaynak paylaşım protokolüdür. Ağ temel giriş/çıkış sisteminin (NetBIOS) ve diğer birçok protokolün temelidir. SMB imzalama, hem kullanıcının hem de verileri barındıran sunucunun kimliğini doğrular. Her iki taraf da kimlik doğrulama işlemini başarısız olursa veri iletimi gerçekleşmez.

        SMB imzalamayı etkinleştirme, SMB protokolü anlaşması sırasında başlar. SMB imzalama ilkeleri, bilgisayarın istemci iletişimlerini her zaman dijital olarak imzalayıp imzalamadığını belirler.

        Windows 2000 SMB kimlik doğrulama protokolü karşılıklı kimlik doğrulamayı destekler. Karşılıklı kimlik doğrulaması bir "ortadaki adam" saldırısını kapatır. Windows 2000 SMB kimlik doğrulama protokolü, ileti kimlik doğrulamasını da destekler. İleti kimlik doğrulaması etkin ileti saldırılarını önlemeye yardımcı olur. SMB imzalama, size bu kimlik doğrulamasını sağlamak için her SMB'ye bir dijital imza ekler. İstemci ve sunucu dijital imzayı doğrular.

        SMB imzalamayı kullanmak için SMB imzalamayı etkinleştirmeniz veya hem SMB istemcisinde hem de SMB sunucusunda SMB imzalaması gerektirmeniz gerekir. Bir sunucuda SMB imzalama etkinleştirildiyse, SMB imzalama için de etkinleştirilmiş istemciler sonraki tüm oturumlarda paket imzalama protokolünü kullanır. Bir sunucuda SMB imzalaması gerekiyorsa, istemci etkinleştirilmediği veya SMB imzalaması için gerekli olmadığı sürece istemci oturum oluşturamaz.


        Yüksek güvenlikli ağlarda dijital imzalamanın etkinleştirilmesi, istemcilerin ve sunucuların kimliğe bürünülmesini önlemeye yardımcı olur. Bu tür bir kimliğe bürünme, oturum ele geçirme olarak bilinir. İstemci veya sunucuyla aynı ağa erişimi olan bir saldırgan, devam eden bir oturumu kesintiye uğratmak, sonlandırmak veya çalmak için oturum ele geçirme araçlarını kullanır. Saldırgan imzalanmamış Alt Ağ Bant Genişliği Yöneticisi (SBM) paketlerini kesebilir ve değiştirebilir, trafiği değiştirebilir ve ardından sunucunun istenmeyen eylemler gerçekleştirebilmesi için iletebilir. Ya da saldırgan, meşru bir kimlik doğrulamasından sonra sunucu veya istemci olarak poz verebilir ve ardından verilere yetkisiz erişim elde edebilir.

        Windows 2000 Server, Windows 2000 Professional, Windows XP Professional veya Windows Server 2003 çalıştıran bilgisayarlarda dosya paylaşımı ve yazdırma paylaşımı için kullanılan SMB protokolü karşılıklı kimlik doğrulamasını destekler. Karşılıklı kimlik doğrulaması, oturum ele geçirme saldırılarını kapatır ve ileti kimlik doğrulamasını destekler. Bu nedenle, ortadaki adam saldırılarını önler. SMB imzalama, her SMB'ye dijital imza yerleştirerek bu kimlik doğrulamasını sağlar. ardından istemci ve sunucu imzayı doğrular.

      • Alternatif bir önlem olarak, tüm ağ trafiğinin korunmasına yardımcı olmak için IPSec ile dijital imzaları etkinleştirebilirsiniz. SUNUCUNUN CPU'sundan performans etkisini en aza indirmek için kullanabileceğiniz IPSec şifrelemesi ve imzalaması için donanım tabanlı hızlandırıcılar vardır. SMB imzalama için bu tür hızlandırıcılar yoktur.

      • Windows 95, Windows 98 ve Windows 98 İkinci Sürüm'de, Dizin Hizmetleri İstemcisi NTLM kimlik doğrulamasını kullanarak Windows Server 2003 sunucularında kimlik doğrulaması yaparken SMB imzalamayı kullanır. Ancak, bu istemciler NTLMv2 kimlik doğrulaması kullanarak bu sunucularla kimlik doğrulaması yaparken SMB imzalama kullanmaz. Ayrıca, Windows 2000 sunucuları bu istemcilerden gelen SMB imzalama isteklerine yanıt vermez. Daha fazla bilgi için bkz. 10. öğe: "Ağ güvenliği: Lan Manager kimlik doğrulama düzeyi."

    2. Riskli yapılandırma

      Aşağıdaki zararlı bir yapılandırma ayarıdır: Microsoft ağ sunucusunu etkinleştirme: Uyumsuz Windows tabanlı bilgisayarlar ve yerel veya dış etki alanlarındaki üçüncü taraf işletim sistemi tabanlı istemci bilgisayarlar tarafından erişilen sunucularda ve etki alanı denetleyicilerinde iletişimleri dijital olarak imzala (her zaman) ayarı.

    3. Bu ayarı etkinleştirme nedenleri

      • Bu ayarı doğrudan kayıt defteri veya grup ilkesi ayarı aracılığıyla etkinleştiren tüm istemci bilgisayarlar SMB imzalamayı destekler. Başka bir deyişle, bu ayarın etkinleştirildiği tüm istemci bilgisayarlar DS istemcisi yüklü Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional veya Windows Server 2003 çalıştırır.

      • Microsoft ağ sunucusu: İletişimleri dijital olarak imzala (her zaman) devre dışı bırakılırsa, SMB imzalaması tamamen devre dışı bırakılır. Tüm SMB imzalamanın tamamen devre dışı bırakılması, bilgisayarları oturum ele geçirme saldırılarına karşı daha savunmasız bırakır.

    4. Bu ayarı devre dışı bırakma nedenleri

      • Bu ayarın etkinleştirilmesi, istemci bilgisayarlarda dosya kopyalama ve ağ performansının yavaşlamasına neden olabilir.

      • Bu ayarın etkinleştirilmesi, SMB imzalama anlaşması yapamayan istemcilerin sunucularla ve etki alanı denetleyicileriyle iletişim kurmasını engeller. Bu, etki alanına katılma, kullanıcı ve bilgisayar kimlik doğrulaması veya programların ağ erişimi gibi işlemlerin başarısız olmasına neden olur.

    5. Sembolik Ad:

      RequireSMBSignServer

    6. Kayıt Defteri Yolu:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

    7. Uyumluluk sorunları örnekleri

      • Windows 95: Dizin Hizmetleri (DS) İstemcisi yüklü olmayan Windows 95 istemcileri oturum açma kimlik doğrulamasında başarısız olur ve aşağıdaki hata iletisini alır:

        Sağladığınız etki alanı parolası doğru değil veya oturum açma sunucunuza erişim reddedildi.

      • Windows NT 4.0: Service Pack 3'ten (SP3) önceki Windows NT 4.0 sürümlerini çalıştıran istemci bilgisayarlar oturum açma kimlik doğrulaması başarısız olur ve aşağıdaki hata iletisini alır:

        Sistem oturumunuzu açamadı. Kullanıcı adınızın ve etki alanınızın doğru olduğundan emin olun ve parolanızı yeniden yazın.

        Bazı Microsoft dışı SMB sunucuları, kimlik doğrulaması sırasında yalnızca şifrelenmemiş parola değişimlerini destekler. (Bu değişimler "düz metin" değişimleri olarak da bilinir.) Windows NT 4.0 SP3 ve sonraki sürümler için SMB yeniden yönlendiricisi, belirli bir kayıt defteri girdisi eklemediğiniz sürece kimlik doğrulaması sırasında SMB sunucusuna şifrelenmemiş bir parola göndermez.
        Windows NT 4.0 SP 3 ve daha yeni sistemlerde SMB istemcisi için şifrelenmemiş parolaları etkinleştirmek için kayıt defterini aşağıdaki gibi değiştirin: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters

        Değer Adı: EnablePlainTextPassword

        Veri Türü: REG_DWORD

        Veri: 1

         

      • Windows Server 2003: Varsayılan olarak, Windows Server 2003 çalıştıran etki alanı denetleyicilerindeki güvenlik ayarları, etki alanı denetleyicisi iletişimlerinin kötü amaçlı kullanıcılar tarafından ele geçirilmesini veya üzerinde oynanmasını önlemeye yardımcı olmak için yapılandırılır. Kullanıcıların Windows Server 2003 çalıştıran bir etki alanı denetleyicisiyle başarılı bir şekilde iletişim kurabilmesi için istemci bilgisayarların hem SMB imzalamayı hem de şifrelemeyi veya güvenli kanal trafiği imzalamayı kullanması gerekir. Varsayılan olarak, Service Pack 2 (SP2) veya önceki bir sürümü yüklü Windows NT 4.0 çalıştıran istemciler ve Windows 95 çalıştıran istemcilerde SMB paket imzalama etkin değildir. Bu nedenle, bu istemciler Windows Server 2003 tabanlı bir etki alanı denetleyicisinde kimlik doğrulaması yapamayabilir.

      • Windows 2000 ve Windows Server 2003 ilke ayarları: Belirli yükleme gereksinimlerinize ve yapılandırmanıza bağlı olarak, Aşağıdaki ilke ayarlarını Microsoft Yönetim Konsolu grup ilkesi Düzenleyicisi ek bileşeni hiyerarşisinde gerekli kapsamın en düşük varlığında ayarlamanızı öneririz:

        • Bilgisayar Yapılandırması\Windows Güvenliği Ayarları\Güvenlik Seçenekleri

        • Üçüncü taraf SMB sunucularına bağlanmak için şifrelenmemiş parola gönder (bu ayar Windows 2000 içindir)

        • Microsoft ağ istemcisi: Üçüncü taraf SMB sunucularına şifrelenmemiş parola gönder (bu ayar Windows Server 2003 içindir)


        Not Eski Samba sürümleri gibi bazı üçüncü taraf CIFS sunucularında şifrelenmiş parola kullanamazsınız.

      • Aşağıdaki istemciler Microsoft ağ sunucusuyla uyumsuz: İletişimleri dijital olarak imzala (her zaman) ayarı:

        • Apple Computer, Inc., Mac OS X istemcileri

        • Microsoft MS-DOS ağ istemcileri (örneğin, Microsoft LAN Manager)

        • Çalışma Grupları için Microsoft Windows istemcileri

        • DS İstemcisi yüklü olmayan Microsoft Windows 95 istemcileri

        • SP3 veya üzeri yüklü olmayan Microsoft Windows NT 4.0 tabanlı bilgisayarlar

        • Novell Netware 6 CIFS istemcileri

        • SMB imzalama desteği olmayan SAMBA SMB istemcileri

    8. Yeniden başlatma gereksinimleri

      Bilgisayarı yeniden başlatın veya Sunucu hizmetini yeniden başlatın. Bunu yapmak için komut istemine aşağıdaki komutları yazın. Her komutu yazdıktan sonra Enter tuşuna basın.

      net stop sunucusu
      net start server

  7. Ağ erişimi: Anonim SID/Ad çevirisine izin ver

    1. Arka plan

      Ağ erişimi: Anonim SID/Ad çevirisine izin ver güvenlik ayarı, anonim bir kullanıcının başka bir kullanıcı için Güvenlik Kimliği Numarası (SID) öznitelikleri isteyip isteyemeyeceğini belirler.

    2. Riskli yapılandırma

      Ağ erişimini etkinleştirme: Anonim SID/Ad çevirisine izin ver ayarı zararlı bir yapılandırma ayarıdır.

    3. Bu ayarı

      etkinleştirme nedenleri Ağ erişimi: Anonim SID/Ad çevirisine izin ver ayarı devre dışı bırakılırsa, önceki işletim sistemleri veya uygulamalar Windows Server 2003 etki alanlarıyla iletişim kuramayabilir. Örneğin, aşağıdaki işletim sistemleri, hizmetler veya uygulamalar çalışmayabilir:

      • Windows NT 4.0 tabanlı Uzaktan Erişim Hizmeti sunucuları

      • Windows NT 3.x tabanlı bilgisayarlarda veya Windows NT 4.0 tabanlı bilgisayarlarda çalışan Microsoft SQL Server

      • Windows NT 3.x etki alanlarında veya Windows NT 4.0 etki alanlarında bulunan Windows 2000 tabanlı bilgisayarlarda çalışan Uzaktan Erişim Hizmeti

      • Windows NT 3.x etki alanlarında veya Windows NT 4.0 etki alanlarında bulunan Windows 2000 tabanlı bilgisayarlarda çalışan SQL Server

      • Windows NT 4.0 kaynak etki alanındaki kullanıcılar, Windows Server 2003 etki alanı denetleyicileri içeren hesap etki alanlarından kullanıcı hesaplarına dosyalara, paylaşılan klasörlere ve kayıt defteri nesnelerine erişim izinleri vermek ister

    4. Bu ayarı

      devre dışı bırakma nedenleri Bu ayar etkinleştirilirse, kötü amaçlı bir kullanıcı, hesap yeniden adlandırılmış olsa bile yerleşik Yönetici hesabının gerçek adını almak için iyi bilinen Yöneticiler SID'sini kullanabilir. Bu kişi daha sonra parola tahmin saldırısı başlatmak için hesap adını kullanabilir.

    5. Sembolik Ad: Yok

    6. Kayıt Defteri Yolu: Yok. Yol, kullanıcı arabirimi kodunda belirtilir.

    7. Uyumluluk sorunları

      örnekleri Windows NT 4.0: Windows NT 4.0 kaynak etki alanlarındaki bilgisayarlar, paylaşılan klasörler, paylaşılan dosyalar ve kayıt defteri nesneleri gibi kaynaklar Windows Server 2003 etki alanı denetleyicileri içeren hesap etki alanlarında bulunan güvenlik sorumlularıyla güvenli hale getiriliyorsa, ACL Düzenleyicisi'nde "Hesap Bilinmiyor" hata iletisini görüntüler.

  8. Ağ erişimi: SAM hesaplarının anonim numaralandırmasına izin verme

    1. Arka plan

      • Ağ erişimi: SAM hesaplarının anonim listesine izin verme ayarı, bilgisayara anonim bağlantılar için hangi ek izinlerin verileceğini belirler. Windows, anonim kullanıcıların iş istasyonu ve sunucu Güvenlik Hesapları Yöneticisi (SAM) hesaplarının ve ağ paylaşımlarının adlarını listeleme gibi belirli etkinlikleri gerçekleştirmesine olanak tanır. Örneğin, bir yönetici karşılıklı güven sağlamayan güvenilen bir etki alanındaki kullanıcılara erişim vermek için bunu kullanabilir. Oturum yapıldıktan sonra anonim bir kullanıcı, Ağ erişimi: Herkesin izinlerinin anonim kullanıcılara uygulanmasına izin ver ayarı veya nesnenin isteğe bağlı erişim denetim listesi (DACL) ayarına bağlı olarak Herkes grubuna verilen erişime sahip olabilir.

        Genellikle anonim bağlantılar, SMB oturumu kurulumu sırasında istemcilerin önceki sürümleri (alt düzey istemciler) tarafından istenir. Bu gibi durumlarda ağ izlemesi, SMB İşlem Kimliği'nin (PID) Windows 2000'de 0xFEFF veya Windows NT'da 0xCAFE gibi istemci yeniden yönlendiricisi olduğunu gösterir. RPC ayrıca anonim bağlantılar kurmayı da deneyebilir.

      • Önemli Bu ayarın etki alanı denetleyicileri üzerinde hiçbir etkisi yoktur. Etki alanı denetleyicilerinde, bu davranış "Windows 2000 öncesi uyumlu Access" içinde "NT AUTHORITY\ANONYMOUS LOGON" varlığıyla denetlenir.

      • Windows 2000'de Anonim Bağlantılar için Ek Kısıtlamalar adlı benzer bir ayar RestrictAnonymous kayıt defteri değerini yönetir. Bu değerin konumu aşağıdaki gibidir

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA  

    2. Riskli yapılandırmalar

      Ağ erişimini etkinleştirme: SAM hesaplarının anonim numaralandırmasına izin verme ayarı, uyumluluk açısından zararlı bir yapılandırma ayarıdır. Devre dışı bırakmak, güvenlik açısından zararlı bir yapılandırma ayarıdır.

    3. Bu ayarı

      etkinleştirme nedenleri Yetkisiz bir kullanıcı, hesap adlarını anonim olarak listeleyip bilgileri kullanarak parolaları tahmin edebilir veya sosyal mühendislik saldırıları gerçekleştirebilir. Sosyal mühendislik, insanları parolalarını veya bir tür güvenlik bilgilerini ortaya çıkarmaları için kandırmak anlamına gelen jargondur.

    4. Bu ayarı

      devre dışı bırakma nedenleri Bu ayar etkinleştirilirse, Windows NT 4.0 etki alanlarıyla güven oluşturmak mümkün değildir. Bu ayar, sunucudaki kaynakları kullanmaya çalışan alt düzey istemcilerde (Windows NT 3.51 istemcileri ve Windows 95 istemcileri gibi) sorunlara da neden olur.

    5. Sembolik Ad:


      RestrictAnonymousSAM

    6. Kayıt Defteri Yolu:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

    7. Uyumluluk sorunları örnekleri

    • SMS Ağ Bulma, işletim sistemi bilgilerini alamayacak ve OperatingSystemNameandVersion özelliğine "Bilinmiyor" yazacaktır.

    • Windows 95, Windows 98: Windows 95 istemcileri ve Windows 98 istemcileri parolalarını değiştiremez.

    • Windows NT 4.0: Windows NT 4.0 tabanlı üye bilgisayarların kimliği doğrulanamaz.

    • Windows 95, Windows 98: Windows 95 tabanlı ve Windows 98 tabanlı bilgisayarlar Microsoft etki alanı denetleyicileri tarafından kimlik doğrulaması yapılamaz.

    • Windows 95, Windows 98: Windows 95 tabanlı ve Windows 98 tabanlı bilgisayarlardaki kullanıcılar, kullanıcı hesaplarının parolalarını değiştiremez.

  9. Ağ erişimi: SAM hesaplarının ve paylaşımlarının anonim numaralandırmasına izin verme

    1. Arka plan

      • Ağ erişimi: SAM hesaplarının ve paylaşımlarının anonim listesine izin verme ayarı (RestrictAnonymous olarak da bilinir), Güvenlik Hesapları Yöneticisi (SAM) hesaplarının ve paylaşımlarının anonim numaralandırmasına izin verilip verilmeyeceğini belirler. Windows, anonim kullanıcıların etki alanı hesaplarının (kullanıcılar, bilgisayarlar ve gruplar) ve ağ paylaşımlarının adlarını listeleme gibi belirli etkinlikleri gerçekleştirmesine olanak tanır. Bu, örneğin bir yöneticinin karşılıklı güven sağlamayan güvenilen bir etki alanındaki kullanıcılara erişim vermek istemesi durumunda kullanışlıdır. SAM hesaplarının ve paylaşımların anonim numaralandırmasına izin vermek istemiyorsanız, bu ayarı etkinleştirin.

      • Windows 2000'de Anonim Bağlantılar için Ek Kısıtlamalar adlı benzer bir ayar RestrictAnonymous kayıt defteri değerini yönetir. Bu değerin konumu aşağıdaki gibidir:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

    2. Riskli yapılandırma

      Ağ erişimini etkinleştirme: SAM hesaplarının ve paylaşımlarının anonim numaralandırmasına izin verme ayarı zararlı bir yapılandırma ayarıdır.

    3. Bu ayarı etkinleştirme nedenleri

      • Ağ erişimini etkinleştirme: SAM hesaplarının ve paylaşımlarının anonim listesine izin verme ayarı, SAM hesaplarının ve paylaşımlarının anonim hesaplar kullanan kullanıcılar ve bilgisayarlar tarafından sabitlenmesini engeller.

    4. Bu ayarı devre dışı bırakma nedenleri

      • Bu ayar etkinleştirilirse, yetkisiz bir kullanıcı hesap adlarını anonim olarak listeleyip bilgileri kullanarak parolaları tahmin edebilir veya sosyal mühendislik saldırıları gerçekleştirebilir. Sosyal mühendislik jargondur, yani insanları parolalarını veya bir tür güvenlik bilgilerini ortaya çıkarmaları için kandırmaktır.

      • Bu ayar etkinleştirilirse, Windows NT 4.0 etki alanlarıyla güven oluşturmak mümkün olmayacaktır. Bu ayar, sunucudaki kaynakları kullanmaya çalışan Windows NT 3.51 ve Windows 95 istemcileri gibi alt düzey istemcilerde de sorunlara neden olur.

      • Güvenen etki alanındaki yöneticiler diğer etki alanındaki hesap listelerini numaralandıramayacağından, kaynak etki alanlarının kullanıcılarına erişim vermek mümkün olmayacaktır. Dosyaya ve yazdırma sunucularına anonim olarak erişen kullanıcılar, bu sunuculardaki paylaşılan ağ kaynaklarını listeleyemez. Kullanıcıların paylaşılan klasör ve yazıcı listelerini görüntüleyebilmesi için önce kimlik doğrulaması yapması gerekir.

    5. Sembolik Ad:

      Restrictanonymous

    6. Kayıt Defteri Yolu:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

    7. Uyumluluk sorunları örnekleri

      • Windows NT 4.0: Kullanıcıların etki alanındaki etki alanı denetleyicilerinde RestrictAnonymous etkinleştirildiğinde, kullanıcılar parolalarını Windows NT 4.0 iş istasyonlarından değiştiremez.

      • Windows NT 4.0: Kullanıcı Yöneticisi'nde güvenilen Windows 2000 etki alanlarından Windows NT 4.0 yerel gruplarına kullanıcı veya genel grup ekleme başarısız olur ve aşağıdaki hata iletisi görüntülenir:

        Şu anda oturum açma isteğine hizmet vermek için kullanılabilecek oturum açma sunucusu yok.

      • Windows NT 4.0: Windows NT 4.0 tabanlı bilgisayarlar kurulum sırasında veya etki alanına katılma kullanıcı arabirimini kullanarak etki alanlarına katılamaz.

      • Windows NT 4.0: Windows NT 4.0 kaynak etki alanlarıyla alt düzey güven oluşturma başarısız olur. Güvenilen etki alanında RestrictAnonymous etkinleştirildiğinde aşağıdaki hata iletisi görüntülenir:

        Bu etki alanı için etki alanı denetleyicisi bulunamadı.

      • Windows NT 4.0: Windows NT 4.0 tabanlı Terminal Server bilgisayarlarında oturum açan kullanıcılar, etki alanları için Kullanıcı Yöneticisi'nde tanımlanan giriş dizini yerine varsayılan giriş dizinine eşlenir.

      • Windows NT 4.0: Windows NT 4.0 yedekleme etki alanı denetleyicileri (BCS) Net Logon hizmetini başlatamaz, yedek tarayıcıların listesini alamaz veya SAM veritabanını Windows 2000'den veya aynı etki alanındaki Windows Server 2003 etki alanı denetleyicilerinden eşitleyemez.

      • Windows 2000: Windows NT 4.0 etki alanlarındaki Windows 2000 tabanlı üye bilgisayarlar, istemci bilgisayarın yerel güvenlik ilkesinde Açıkça anonim izinler olmadan erişim yok ayarı etkinse dış etki alanlarındaki yazıcıları görüntüleyemez.

      • Windows 2000: Windows 2000 etki alanı kullanıcıları Active Directory'den ağ yazıcıları ekleyemez; ancak, yazıcıları ağaç görünümünden seçtikten sonra ekleyebilirler.

      • Windows 2000: Windows 2000 tabanlı bilgisayarlarda, ACL Düzenleyicisi güvenilen Windows NT 4.0 etki alanlarından kullanıcı veya genel gruplar ekleyemez.

      • ADMT sürüm 2: Active Directory Geçiş Aracı (ADMT) sürüm 2 ile ormanlar arasında geçirilen kullanıcı hesapları için parola geçişi başarısız olur.

        Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:

        322981 ADMTv2 ile ormanlar arası parola geçişi sorunlarını giderme

      • Outlook istemcileri: Genel adres listesi Microsoft Exchange Outlook istemcilerine boş görünür.

      • SMS: Microsoft Systems Management Server (SMS) Ağ Bulma, işletim sistemi bilgilerini alamayacaktır. Bu nedenle, bulma veri kaydının (DDR) SMS DDR özelliğinin OperatingSystemNameandVersion özelliğine "Bilinmiyor" yazar.

      • SMS: Kullanıcılara ve gruplara göz atmak için SMS Yöneticisi Kullanıcı Sihirbazı'nı kullandığınızda, hiçbir kullanıcı veya grup listelenmez. Ayrıca, Gelişmiş istemciler Yönetim Noktası ile iletişim kuramaz. Yönetim Noktası'nda anonim erişim gereklidir.

      • SMS: SMS 2.0'da ve Uzak İstemci Yüklemesinde Topoloji, istemci ve istemci işletim sistemleri ağ bulma seçeneği açıkken Ağ Bulma özelliğini kullandığınızda bilgisayarlar bulunabilir ancak yüklenmeyebilir.

  10. Ağ güvenliği: Lan Manager kimlik doğrulama düzeyi

    1. Arka plan

      LAN Manager (LM) kimlik doğrulaması, etki alanı birleştirmeleri, ağ kaynaklarına erişim ve kullanıcı veya bilgisayar kimlik doğrulaması gibi ağ işlemleri için Windows istemcilerinin kimliğini doğrulamak için kullanılan protokoldür. LM kimlik doğrulama düzeyi, istemci ile sunucu bilgisayarları arasında hangi sınama/yanıt kimlik doğrulama protokolünde anlaşmaya varıldığı belirler. Özellikle, LM kimlik doğrulama düzeyi istemcinin hangi kimlik doğrulama protokollerini anlaşmaya çalışacağını veya sunucunun kabul edeceği kimlik doğrulama protokollerini belirler. LmCompatibilityLevel için ayarlanan değer, ağ oturum açma işlemleri için hangi sınama/yanıt kimlik doğrulama protokollerinin kullanıldığını belirler. Bu değer istemcilerin kullandığı kimlik doğrulama protokolü düzeyini, anlaşma yapılan oturum güvenliği düzeyini ve sunucular tarafından kabul edilen kimlik doğrulama düzeyini etkiler.

      Olası ayarlar aşağıdakileri içerir.

      Değer

      Ayar

      Açıklama

      0

      NTLM yanıtlarını & LM gönderme

      İstemciler LM ve NTLM kimlik doğrulaması kullanır ve hiçbir zaman NTLMv2 oturum güvenliğini kullanmaz. Etki alanı denetleyicileri LM, NTLM ve NTLMv2 kimlik doğrulamalarını kabul eder.

      1

      NTLM & LM gönderme - anlaşmaya varıldıysa NTLMv2 oturum güvenliğini kullanın

      İstemciler LM ve NTLM kimlik doğrulamasını kullanır ve sunucu destekliyorsa NTLMv2 oturum güvenliğini kullanır. Etki alanı denetleyicileri LM, NTLM ve NTLMv2 kimlik doğrulamalarını kabul eder.

      2

      Yalnızca NTLM yanıtı gönder

      İstemciler yalnızca NTLM kimlik doğrulamasını ve sunucu destekliyorsa NTLMv2 oturum güvenliğini kullanır. Etki alanı denetleyicileri LM, NTLM ve NTLMv2 kimlik doğrulamalarını kabul eder.

      3

      Yalnızca NTLMv2 yanıtı gönder

      İstemciler yalnızca NTLMv2 kimlik doğrulamasını ve sunucu destekliyorsa NTLMv2 oturum güvenliğini kullanır. Etki alanı denetleyicileri LM, NTLM ve NTLMv2 kimlik doğrulamalarını kabul eder.

      4

      Yalnızca NTLMv2 yanıtı gönder/LM'i reddet

      İstemciler yalnızca NTLMv2 kimlik doğrulamasını ve sunucu destekliyorsa NTLMv2 oturum güvenliğini kullanır. Etki alanı denetleyicileri LM'i reddeder ve yalnızca NTLM ve NTLMv2 kimlik doğrulamalarını kabul eder.

      5

      YALNıZCA NTLMv2 yanıtı gönder/NTLM & LM'i reddet

      İstemciler yalnızca NTLMv2 kimlik doğrulamasını ve sunucu destekliyorsa NTLMv2 oturum güvenliğini kullanır. Etki alanı denetleyicileri LM ve NTLM'i reddeder ve yalnızca NTLMv2 kimlik doğrulamayı kabul eder.

      Not Windows 95, Windows 98 ve Windows 98 İkinci Sürüm'de, Dizin Hizmetleri İstemcisi NTLM kimlik doğrulamasını kullanarak Windows Server 2003 sunucularında kimlik doğrulaması yaparken SMB imzalamayı kullanır. Ancak, bu istemciler NTLMv2 kimlik doğrulaması kullanarak bu sunucularla kimlik doğrulaması yaparken SMB imzalama kullanmaz. Ayrıca, Windows 2000 sunucuları bu istemcilerden gelen SMB imzalama isteklerine yanıt vermez.

      LM kimlik doğrulama düzeyini denetleyin: Sunucudaki ilkeyi NTLM'ye izin vermek için değiştirmeniz veya istemci bilgisayarı NTLMv2'yi destekleyecek şekilde yapılandırmanız gerekir.

      İlke (5) Bağlanmak istediğiniz hedef bilgisayarda yalnızca NTLMv2 yanıtı gönder\LM & NTLM'yi reddet olarak ayarlandıysa, bu bilgisayardaki ayarı düşürmeniz veya güvenliği, bağlandığınız kaynak bilgisayarda bulunan ayara ayarlamanız gerekir.

      İstemciyi ve sunucuyu aynı düzeye ayarlamak için LAN yöneticisi kimlik doğrulama düzeyini değiştirebileceğiniz doğru konumu bulun. LAN yöneticisi kimlik doğrulama düzeyini ayarlayan ilkeyi bulduktan sonra, Windows'un önceki sürümlerini çalıştıran bilgisayarlara ve bilgisayarlardan bağlanmak istiyorsanız, değeri en az (1) NTLM & gönder - üzerinde anlaşmaya varılırsa NTLM sürüm 2 oturum güvenliğini kullanın. Uyumsuz ayarların bir etkisi, sunucu NTLMv2 (değer 5) gerektiriyorsa, ancak istemci yalnızca LM ve NTLMv1 kullanacak şekilde yapılandırılmışsa (değer 0), kimlik doğrulamayı deneyen kullanıcının hatalı parolaya sahip olan ve hatalı parola sayısını artıran bir oturum açma hatasıyla karşılaşmasıdır. Hesap kilitleme yapılandırıldıysa, kullanıcı sonunda kilitlenebilir.

      Örneğin, etki alanı denetleyicisine bakmanız veya etki alanı denetleyicisinin ilkelerini incelemeniz gerekebilir.

      Etki alanı denetleyicisine

      bakın Not Aşağıdaki yordamı tüm etki alanı denetleyicilerinde yinelemeniz gerekebilir.

      1. Başlat'a tıklayın, Programlar'ın üzerine gelin ve ardından Yönetim Araçları'na tıklayın.

      2. Yerel Güvenlik Ayarları'nın altında Yerel İlkeler'i genişletin.

      3. Güvenlik Seçenekleri'ne tıklayın.

      4. Ağ Güvenliği: LAN yöneticisi kimlik doğrulama düzeyi'ne çift tıklayın ve ardından listedeki bir değere tıklayın.


      Etkin Ayar ve Yerel Ayar aynıysa, ilke bu düzeyde değiştirilmiştir. Ayarlar farklıysa, Ağ Güvenliği: LAN yöneticisi kimlik doğrulama düzeyi ayarının burada tanımlanıp tanımlanmadığını belirlemek için etki alanı denetleyicisinin ilkesini denetlemeniz gerekir. Burada tanımlanmamışsa etki alanı denetleyicisinin ilkelerini inceleyin.

      Etki alanı denetleyicisinin ilkelerini inceleme

      1. Başlat'a tıklayın, Programlar'ın üzerine gelin ve ardından Yönetim Araçları'na tıklayın.

      2. Etki Alanı Denetleyicisi Güvenlik ilkesinde Güvenlik Ayarları'nı ve ardından Yerel İlkeler'i genişletin.

      3. Güvenlik Seçenekleri'ne tıklayın.

      4. Ağ Güvenliği: LAN yöneticisi kimlik doğrulama düzeyi'ne çift tıklayın ve ardından listedeki bir değere tıklayın.


      Not

      • LAN yöneticisi kimlik doğrulama düzeyini yapılandırmanız gereken yeri belirlemek için site düzeyinde, etki alanı düzeyinde veya kuruluş birimi (OU) düzeyinde bağlantılı ilkeleri de denetlemeniz gerekebilir.

      • Varsayılan etki alanı ilkesi olarak bir grup ilkesi ayarı uygularsanız, ilke etki alanındaki tüm bilgisayarlara uygulanır.

      • Varsayılan etki alanı denetleyicisinin ilkesi olarak bir grup ilkesi ayarı uygularsanız, ilke yalnızca etki alanı denetleyicisinin işletim sistemindeki sunucular için geçerlidir.

      • İLKe uygulaması hiyerarşisindeki gerekli kapsamın en düşük varlığında LAN yöneticisi kimlik doğrulama düzeyini ayarlamak iyi bir fikirdir.

      Windows Server 2003'te yalnızca NTLMv2 kullanmak için yeni bir varsayılan ayar vardır. Varsayılan olarak, Windows Server 2003 ve Windows 2000 Server SP3 tabanlı etki alanı denetleyicileri "Microsoft ağ sunucusu: İletişimleri dijital olarak imzala (her zaman)" ilkesini etkinleştirdi. Bu ayar, SMB sunucusunun SMB paket imzalaması gerçekleştirmesini gerektirir. Herhangi bir kuruluştaki etki alanı denetleyicileri, dosya sunucuları, ağ altyapısı sunucuları ve Web sunucuları, güvenliklerini en üst düzeye çıkarmak için farklı ayarlar gerektirdiği için Windows Server 2003'te değişiklikler yapıldı.

      Ağınızda NTLMv2 kimlik doğrulamasını uygulamak istiyorsanız, etki alanındaki tüm bilgisayarların bu kimlik doğrulama düzeyini kullanacak şekilde ayarlandığından emin olmanız gerekir. Windows 95 veya Windows 98 ve Windows NT 4.0 için Active Directory İstemci Uzantıları uygularsanız, istemci uzantıları NTLMv2'de kullanılabilen geliştirilmiş kimlik doğrulama özelliklerini kullanır. Aşağıdaki işletim sistemlerinden herhangi birini çalıştıran istemci bilgisayarlar Windows 2000 grup ilkesi Nesnelerinden etkilenmediğinden, bu istemcileri el ile yapılandırmanız gerekebilir:

      • Microsoft Windows NT 4.0

      • Microsoft Windows Millennium Edition

      • Microsoft Windows 98

      • Microsoft Windows 95

      Not Ağ güvenliğini etkinleştirirseniz : Sonraki parola değiştirme ilkesinde LAN yöneticisi karma değerini depolama veya NoLMHash kayıt defteri anahtarını ayarlama, Dizin Hizmetleri İstemcisi yüklü olmayan Windows 95 tabanlı ve Windows 98 tabanlı istemciler, parola değişikliğinden sonra etki alanında oturum açamaz.

      Novell Netware 6 gibi birçok üçüncü taraf CIFS sunucusu NTLMv2'yi tanımaz ve yalnızca NTLM kullanır. Bu nedenle, 2'den büyük düzeyler bağlantıya izin vermez. Genişletilmiş oturum güvenliğini kullanmayan üçüncü taraf SMB istemcileri de vardır. Bu gibi durumlarda kaynak sunucunun LmCompatiblityLevel değeri dikkate alınmaz. Sunucu daha sonra bu eski isteği paketler ve Kullanıcı Etki Alanı Denetleyicisi'ne gönderir. Ardından Etki Alanı Denetleyicisi'nin ayarları, isteği doğrulamak için hangi karmaların kullanılacağına ve bunların Etki Alanı Denetleyicisi'nin güvenlik gereksinimlerini karşılayıp karşılamadığına karar verir.

       

      299656 Windows'un active directory ve yerel SAM veritabanlarında parolanızın LAN yöneticisi karmasını depolamasını önleme
       

      2701704Denetim olayı, kimlik doğrulama paketini NTLMv2 yerine NTLMv1 olarak gösterir LM kimlik doğrulama düzeyleri hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:

      239869 NTLM 2 kimlik doğrulamasını etkinleştirme
       

    2. Riskli yapılandırmalar

      Zararlı yapılandırma ayarları şunlardır:

      • Parolaları düz metin olarak gönderen ve NTLMv2 anlaşmalarını reddeden kısıtlayıcı olmayan ayarlar

      • Uyumsuz istemcilerin veya etki alanı denetleyicilerinin ortak bir kimlik doğrulama protokolü anlaşması yapmasını engelleyen kısıtlayıcı ayarlar

      • Service Pack 4'ten (SP4) önceki Windows NT 4.0 sürümlerini çalıştıran üye bilgisayarlarda ve etki alanı denetleyicilerinde NTLMv2 kimlik doğrulaması gerektirme

      • Windows 95 istemcilerinde veya Windows Directory Services İstemcisi yüklü olmayan Windows 98 istemcilerinde NTLMv2 kimlik doğrulaması gerektirme.

      • Windows Server 2003 veya Windows 2000 Service Pack 3 tabanlı bir bilgisayarda Microsoft Yönetim Konsolu grup ilkesi Düzenleyicisi ek bileşeninde NTLMv2 oturum güvenliği gerektir onay kutusunu tıklatıp seçerseniz ve LAN yöneticisi kimlik doğrulama düzeyini 0'a düşürürseniz, iki ayar çakışıyorsa ve Secpol.msc dosyasında veya GPEdit.msc dosyasında aşağıdaki hata iletisini alabilirsiniz:

        Windows yerel ilke veritabanını açamıyor. Veritabanını açmaya çalışırken bilinmeyen bir hata oluştu.

        Güvenlik Yapılandırması ve Çözümleme Aracı hakkında daha fazla bilgi için Windows 2000 veya Windows Server 2003 Yardım dosyalarına bakın.

    3. Bu Ayarı Değiştirme Nedenleri

      • Kuruluşunuzdaki istemciler ve etki alanı denetleyicileri tarafından desteklenen en düşük ortak kimlik doğrulama protokolünü artırmak istiyorsunuz.

      • Güvenli kimlik doğrulaması bir iş gereksinimi olduğunda, LM ve NTLM protokollerinin anlaşmasına izin vermek istemezsiniz.

    4. Bu ayarı

      devre dışı bırakma nedenleri İstemci veya sunucu kimlik doğrulaması gereksinimleri veya her ikisi de ortak bir protokol üzerinden kimlik doğrulamasının yapılaamayacağı noktaya yükseltildi.

    5. Sembolik Ad:

      Lmcompatibilitylevel

    6. Kayıt Defteri Yolu:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. Uyumluluk sorunları örnekleri

      • Windows Server 2003: Varsayılan olarak, Windows Server 2003 NTLMv2 NTLM yanıtları gönder ayarı etkindir. Bu nedenle, Windows NT 4.0 tabanlı bir kümeye veya OS/2 Lanserver gibi LanManager V2.1 tabanlı sunuculara bağlanmaya çalıştığınızda, windows server 2003 ilk yüklemeden sonra "Erişim Reddedildi" hata iletisini alır. Bu sorun, önceki bir sürüm istemcisinden Windows Server 2003 tabanlı bir sunucuya bağlanmaya çalıştığınızda da oluşur.

      • Windows 2000 Güvenlik Paketi Paketi 1'i (SRP1) yüklersiniz. SRP1, NTLM sürüm 2'yi (NTLMv2) zorlar. Bu toplama paketi, Windows 2000 Service Pack 2 (SP2) yayımlandıktan sonra yayımlandı.
         

      • Windows 7 ve Windows Server 2008 R2: Novell Netware 6 veya Linux tabanlı Samba sunucuları gibi birçok üçüncü taraf CIFS sunucusu NTLMv2'yi tanımaz ve yalnızca NTLM kullanır. Bu nedenle, "2" den büyük düzeyler bağlantıya izin vermez. Şimdi işletim sisteminin bu sürümünde LmCompatibilityLevel için varsayılan değer "3" olarak değiştirildi. Dolayısıyla Windows'u yükselttiğiniz zaman bu üçüncü taraf dosyalayıcılar çalışmayı durdurabilir.

      • Etki alanında zaten oturum açmış olsalar bile Microsoft Outlook istemcilerinden kimlik bilgileri istenebilir. Kullanıcılar kimlik bilgilerini sağladığında şu hata iletisini alır: Windows 7 ve Windows Server 2008 R2

        Sağlanan oturum açma kimlik bilgileri yanlıştı. Kullanıcı adınızın ve etki alanınızın doğru olduğundan emin olun ve parolanızı yeniden yazın.

        Outlook'u başlattığınızda, Oturum Açma Ağ Güvenliği ayarınız Geçiş veya Parola Kimlik Doğrulaması olarak ayarlanmış olsa bile kimlik bilgileriniz istenebilir. Doğru kimlik bilgilerinizi yazdıktan sonra aşağıdaki hata iletisini alabilirsiniz:

        Sağlanan oturum açma kimlik bilgileri yanlıştı.

        Ağ İzleyicisi izlemesi, genel kataloğun 0x5 durumuyla bir uzak yordam çağrısı (RPC) hatası yayımladığını gösterebilir. 0x5 durumu "Erişim Reddedildi" anlamına gelir.

      • Windows 2000: Ağ İzleyicisi yakalaması TCP/IP üzerinden NetBIOS (NetBT) sunucu ileti bloğu (SMB) oturumunda aşağıdaki hataları gösterebilir:

        SMB R Arama Dizini Dos hatası, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Geçersiz kullanıcı tanımlayıcısı

      • Windows 2000: NTLMv2 Düzey 2 veya üzeri bir Windows 2000 etki alanına Windows NT 4.0 etki alanı tarafından güveniliyorsa, kaynak etki alanındaki Windows 2000 tabanlı üye bilgisayarlar kimlik doğrulama hatalarıyla karşılaşabilir.

      • Windows 2000 ve Windows XP: Varsayılan olarak, Windows 2000 ve Windows XP LAN Yöneticisi Kimlik Doğrulama Düzeyi Yerel Güvenlik İlkesi seçeneğini 0 olarak ayarlar. 0 ayarı "LM ve NTLM yanıtları gönder" anlamına gelir.

        Not Windows NT 4.0 tabanlı kümelerin yönetim için LM kullanması gerekir.

      • Windows 2000: Her iki düğüm de Windows NT 4.0 Service Pack 6a (SP6a) etki alanının parçasıysa, Windows 2000 kümelemesi birleştirme düğümünün kimliğini doğrulamaz.

      • IIS Kilitleme Aracı (HiSecWeb), LMCompatibilityLevel değerini 5, RestrictAnonymous değerini 2 olarak ayarlar.

      • Macintosh

        hizmetleri Kullanıcı Kimlik Doğrulama Modülü (UAM): Microsoft UAM (Kullanıcı Kimlik Doğrulama Modülü), Windows AFP (AppleTalk Dosyalama Protokolü) sunucularında oturum açmak için kullandığınız parolaları şifrelemek için bir yöntem sağlar. Apple Kullanıcı Kimlik Doğrulama Modülü (UAM) yalnızca en az şifreleme sağlar veya hiç şifreleme sağlamaz. Bu nedenle, parolanız LAN'da veya İnternet'te kolayca kesilebilir. UAM gerekli olmasa da, Macintosh için Services çalıştıran Windows 2000 Sunucularına şifreli kimlik doğrulaması sağlar. Bu sürüm NTLMv2 128 bit şifreli kimlik doğrulaması ve MacOS X 10.1 uyumlu bir sürüm için destek içerir.

        Varsayılan olarak, Macintosh için Windows Server 2003 Hizmetleri sunucusu yalnızca Microsoft Kimlik Doğrulaması'na izin verir.
         

      • Windows Server 2008, Windows Server 2003, Windows XP ve Windows 2000: LMCompatibilityLevel değerini 0 veya 1 olarak yapılandırıp NoLMHash değerini 1 olarak yapılandırdıysanız, ntlm aracılığıyla uygulama ve bileşenlere erişim reddedilebilir. Bu sorun, bilgisayar LM'yi etkinleştirecek şekilde yapılandırıldığından ancak LM tarafından depolanan parolaları kullanmayacak şekilde yapılandırıldığından oluşur.

        NoLMHash değerini 1 olarak yapılandırdıysanız, LMCompatibilityLevel değerini 2 veya daha yüksek olacak şekilde yapılandırmanız gerekir.

  11. Ağ güvenliği: LDAP istemci imzalama gereksinimleri

    1. Arka plan

      Ağ güvenliği: LDAP istemci imzalama gereksinimleri ayarı, Basit Dizin Erişim Protokolü (LDAP) BIND istekleri veren istemciler adına istenen veri imzalama düzeyini aşağıdaki gibi belirler:

      • Yok: LDAP BIND isteği, çağıranın belirttiği seçeneklerle birlikte verilir.

      • İmzalama anlaşması: Güvenli Yuva Katmanı/Aktarım Katmanı Güvenliği (SSL/TLS) başlatılmadıysa, LDAP BAĞLAMA isteği, çağıranın belirttiği seçeneklere ek olarak LDAP veri imzalama seçeneği ayarlanmış olarak başlatılır. SSL/TLS başlatıldıysa, LDAP BIND isteği çağıranın belirttiği seçeneklerle başlatılır.

      • İmzalama gerektir: Bu, Anlaşma imzalama ile aynıdır. Ancak, LDAP sunucusunun ara saslBindInProgress yanıtı LDAP trafik imzalamanın gerekli olduğunu göstermiyorsa, çağırana LDAP BIND komut isteğinin başarısız olduğu bildirilir.

    2. Riskli yapılandırma

      Ağ güvenliği: LDAP istemci imzalama gereksinimleri ayarının etkinleştirilmesi zararlı bir yapılandırma ayarıdır. Sunucuyu LDAP imzaları gerektirecek şekilde ayarlarsanız, istemcide LDAP imzalamayı da yapılandırmanız gerekir. İstemcinin LDAP imzalarını kullanacak şekilde yapılandırılmaması, sunucuyla iletişimi engeller. Bu, kullanıcı kimlik doğrulaması, grup ilkesi ayarları, oturum açma betikleri ve diğer özelliklerin başarısız olmasına neden olur.

    3. Bu Ayarı

      Değiştirme Nedenleri İmzasız ağ trafiği, bir davetsiz misafirin istemci ile sunucular arasındaki paketleri yakaladığı, değiştirdiği ve sonra sunucuya ilettiği ortadaki adam saldırılarına duyarlıdır. Bu bir LDAP sunucusunda gerçekleştiğinde, saldırgan bir sunucunun LDAP istemcisinden gelen hatalı sorgulara göre yanıt vermesine neden olabilir. Ağ altyapısının korunmasına yardımcı olmak için güçlü fiziksel güvenlik önlemleri uygulayarak bir şirket ağında bu riski düşürebilirsiniz. Ayrıca, IPSec kimlik doğrulama üst bilgileri aracılığıyla tüm ağ paketlerinde dijital imzalar gerektirerek her türlü ortadaki adam saldırısını önlemeye yardımcı olabilirsiniz.

    4. Sembolik Ad:

      LDAPClientIntegrity

    5. Kayıt Defteri Yolu:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

  12. Olay Günlüğü: En büyük güvenlik günlüğü boyutu

    1. Arka plan

      Olay Günlüğü: Güvenlik günlüğü boyutu üst sınırı güvenlik ayarı, güvenlik olay günlüğünün en büyük boyutunu belirtir. Bu günlüğün boyutu en fazla 4 GB'tır. Bu ayarı
      bulmak içinWindows Ayarları'nı ve ardından Güvenlik Ayarları'nı genişletin.

    2. Riskli yapılandırmalar

      Zararlı yapılandırma ayarları şunlardır:

      • Denetim: Güvenlik denetimlerini günlüğe kaydedemiyorsanız sistemi hemen kapatın ayarı etkinleştirildiğinde güvenlik günlüğü boyutunu ve güvenlik günlüğü saklama yöntemini kısıtlayın. Daha fazla ayrıntı için bu makalenin "Denetim: Güvenlik denetimlerini günlüğe kaydedemiyorsanız sistemi hemen kapatın" bölümüne bakın.

      • İlgi çekici güvenlik olaylarının üzerine yazılması için güvenlik günlüğü boyutunu kısıtlama.

    3. Bu Ayarı

      Artırma Nedenleri İş ve güvenlik gereksinimleri, ek güvenlik günlüğü ayrıntılarını işlemek veya güvenlik günlüklerini daha uzun süre saklamak için güvenlik günlüğü boyutunu artırmanızı gerektirebilir.

    4. Bu Ayarı

      Azaltmanın Nedenleri Olay Görüntüleyicisi günlükler bellekle eşlenen dosyalardır. Bir olay günlüğünün en büyük boyutu, yerel bilgisayardaki fiziksel bellek miktarı ve olay günlüğü işlemi için kullanılabilen sanal bellek tarafından kısıtlanır. Günlük boyutunun Olay Görüntüleyicisi kullanılabilen sanal bellek miktarının ötesinde artırılması, tutulan günlük girdilerinin sayısını artırmaz.

    5. Uyumluluk sorunları

      örnekleri Windows 2000: Service Pack 4'ten (SP4) önceki Windows 2000 sürümlerini çalıştıran bilgisayarlar, Olayların üzerine yazma (günlüğü el ile temizle) seçeneği açıksa Olay Görüntüleyicisi'daki En büyük günlük boyutu ayarında belirtilen boyuta ulaşmadan önce olay günlüğündeki olayların günlüğe kaydedilmesini durdurabilir.


       

  13. Olay Günlüğü: Güvenlik günlüğünü tutma

    1. Arka plan

      Olay Günlüğü: Güvenlik günlüğü güvenliğini koru ayarı, güvenlik günlüğü için "sarmalama" yöntemini belirler. Bu ayarı bulmak için Windows Ayarları'nı ve ardından Güvenlik Ayarları'nı genişletin.

    2. Riskli yapılandırmalar

      Zararlı yapılandırma ayarları şunlardır:

      • Günlüğe kaydedilen tüm güvenlik olaylarının üzerine yazılmadan önce korunamaması

      • Güvenlik olaylarının üzerine yazılması için En büyük güvenlik günlüğü boyutu ayarını çok küçük yapılandırma

      • Denetim: Güvenlik denetimleri günlüğe kaydedilemiyorsa sistemi hemen kapat güvenlik ayarı etkinken güvenlik günlüğü boyutunu ve bekletme yöntemini kısıtlama

    3. Bu ayarı

      etkinleştirme nedenleri Bu ayarı yalnızca günlük saklama yöntemine göre olayların üzerine yaz seçeneğini belirlerseniz etkinleştirin. Olayları yoklayan bir olay bağıntı sistemi kullanıyorsanız gün sayısının yoklama sıklığının en az üç katı olduğundan emin olun. Başarısız yoklama döngülerine izin vermek için bunu yapın.

  14. Ağ erişimi: Anonim kullanıcılara Herkes izinlerinin uygulanmasına izin ver

    1. Arka plan

      Varsayılan olarak, Ağ erişimi: Anonim kullanıcılara Herkesin izinlerinin uygulanmasına izin ver ayarı Windows Server 2003'te Tanımlı Değil olarak ayarlanır. Varsayılan olarak, Windows Server 2003, Herkes grubuna Anonim Erişim belirtecini içermez.

    2. Uyumluluk Sorunları

      Örneği Aşağıdaki değeri:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous [REG_DWORD]=0x0, Windows Server 2003 etki alanı hesap etki alanı ve Windows NT 4.0 etki alanı kaynak etki alanı olduğunda Windows Server 2003 ile Windows NT 4.0 arasında güven oluşturmayı keser. Bu, hesap etki alanının Windows NT 4.0 üzerinde Güvenilir olduğu ve kaynak etki alanının Windows Server 2003 tarafında Güvenen olduğu anlamına gelir. Bu davranış, ilk anonim bağlantıdan sonra güveni başlatma işlemi, Windows NT 4.0'da Anonim SID'yi içeren Herkes belirteci ile ACL'd olduğundan oluşur.

    3. Bu Ayarı

      Değiştirme Nedenleri Değerin 0x1 olarak ayarlanması veya etki alanı denetleyicisinin OU üzerindeki bir GPO kullanılarak ayarlanması gerekir: Ağ erişimi: Anonim kullanıcılara Herkesin izinlerinin uygulanmasına izin ver - Güven oluşturmaların mümkün olması için etkinleştirildi.

      Not Diğer güvenlik ayarlarının çoğu, en güvenli durumundaki 0x0 yerine değer olarak yukarı gider. Daha güvenli bir uygulama, tüm etki alanı denetleyicileri yerine birincil etki alanı denetleyicisi öykünücüsünün kayıt defterini değiştirmektir. Birincil etki alanı denetleyicisi öykünücüsü rolü herhangi bir nedenle taşınırsa, kayıt defterinin yeni sunucuda güncelleştirilmiş olması gerekir.

      Bu değer ayarlandıktan sonra yeniden başlatma gerekir.

    4. Kayıt Defteri Yolu

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

  15. NTLMv2 kimlik doğrulaması

    1. Oturum güvenliği

      Oturum güvenliği, istemci ve sunucu oturumları için en düşük güvenlik standartlarını belirler. Microsoft Yönetim Konsolu grup ilkesi Düzenleyicisi ek bileşeninde aşağıdaki güvenlik ilkesi ayarlarını doğrulamak iyi bir fikirdir:

      • Bilgisayar Ayarları\Windows Ayarları\Güvenlik Ayarları\Yerel İlkeler\Güvenlik Seçenekleri

      • Ağ Güvenliği: NTLM SSP tabanlı (güvenli RPC dahil) sunucular için minimum oturum güvenliği

      • Ağ Güvenliği: NTLM SSP tabanlı (güvenli RPC dahil) istemciler için en düşük oturum güvenliği

      Bu ayarların seçenekleri şunlardır:

      • İleti bütünlüğü gerektir

      • İleti gizliliği gerektir

      • NTLM sürüm 2 oturum güvenliği gerektir

      • 128 bit şifreleme gerektir

      Windows 7'nin önceki varsayılan ayarı Gereksinim yok'dur. Windows 7'den başlayarak, gelişmiş güvenlik için varsayılan değer 128 bit şifreleme gerektir olarak değiştirildi. Bu varsayılan değerle, 128 bit şifrelemeyi desteklemeyen eski cihazlar bağlanamaz.

      Bu ilkeler, istemci için bir sunucuda uygulamadan uygulamaya iletişim oturumu için en düşük güvenlik standartlarını belirler.

      Geçerli ayarlar olarak tanımlansa da, NTLM oturum güvenliği belirlendiğinde ileti bütünlüğü ve gizlilik gerektiren bayrakların kullanılmadığını unutmayın.

      Geçmişte, Windows NT ağ oturum açma işlemleri için aşağıdaki iki sınama/yanıt kimlik doğrulaması çeşidini desteklemiştir:

      • LM sınaması/yanıtı

      • NTLM sürüm 1 sınaması/yanıtı

      LM, yüklü istemci ve sunucu tabanıyla birlikte çalışabilirlik sağlar. NTLM, istemciler ve sunucular arasındaki bağlantılar için gelişmiş güvenlik sağlar.

      İlgili kayıt defteri anahtarları aşağıdaki gibidir:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

    2. Riskli yapılandırmalar

      Bu ayar, NTLM kullanılarak güvenliği sağlanan ağ oturumlarının nasıl işleneceklerini denetler. Bu, örneğin NTLM ile kimliği doğrulanmış RPC tabanlı oturumları etkiler. Aşağıdaki riskler vardır:

      • NTLMv2'den daha eski kimlik doğrulama yöntemlerinin kullanılması, kullanılan daha basit karma yöntemleri nedeniyle iletişimin saldırısını kolaylaştırır.

      • 128 bitten düşük şifreleme anahtarlarının kullanılması, saldırganların deneme yanılma saldırıları kullanarak iletişimi kesmesine olanak tanır.

Zaman eşitleme

Zaman eşitlemesi başarısız oldu. Etkilenen bir bilgisayarda süre 30 dakikadan fazla kapalıdır. İstemci bilgisayarın saatinin etki alanı denetleyicisinin saatiyle eşitlendiğinden emin olun.

SMB imzalama için geçici çözüm

Windows Server 2003 tabanlı bir etki alanında birlikte çalışabilen Windows NT 4.0 istemcilerine Service Pack 6a (SP6a) yüklemenizi öneririz. NTLMv2 gerçekleştirmek için Windows 98 İkinci Sürüm tabanlı istemciler, Windows 98 tabanlı istemciler ve Windows 95 tabanlı istemcilerin Dizin Hizmetleri İstemcisi'ni çalıştırması gerekir. Windows NT 4.0 tabanlı istemcilerde Windows NT 4.0 SP6 yüklü değilse veya Windows 95 tabanlı istemciler, Windows 98 tabanlı istemciler ve Windows 98SE tabanlı istemcilerde Dizin Hizmetleri İstemcisi yüklü değilse, etki alanı denetleyicisinin işletim sistemindeki varsayılan etki alanı denetleyicisinin ilke ayarında SMB imzalamayı devre dışı bırakın ve ardından bu ilkeyi etki alanı denetleyicilerini barındıran tüm OU'lara bağlayın.

Windows 98 İkinci Sürüm, Windows 98 ve Windows 95 için Dizin Hizmetleri İstemcisi, NTLM kimlik doğrulaması altında Windows 2003 sunucularıyla SMB İmzalama gerçekleştirir ancak NTLMv2 kimlik doğrulaması altında gerçekleştirmez. Ayrıca, Windows 2000 sunucuları bu istemcilerden gelen SMB İmzalama isteklerine yanıt vermez.

Bunu önermesek de, bir etki alanında Windows Server 2003 çalıştıran tüm etki alanı denetleyicilerinde SMB imzalamanın gerekli olmasını engelleyebilirsiniz. Bu güvenlik ayarını yapılandırmak için şu adımları izleyin:

  1. Varsayılan etki alanı denetleyicisinin ilkesini açın.

  2. Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\Yerel İlkeler\Güvenlik Seçenekleri klasörünü açın.

  3. Microsoft ağ sunucusu: İletişimleri dijital olarak imzala (her zaman) ilke ayarını bulup tıklatın ve devre dışı'nı tıklatın.

Önemli Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştirebileceğinizi belirten adımlar içerir. Ancak kayıt defterini yanlış değiştirirseniz ciddi sorunlar oluşabilir. Bu nedenle, bu adımları dikkatle izlediğinize emin olun. Daha fazla koruma için, değiştirmeden önce kayıt defterini yedekleyin. Ardından, bir sorun oluşursa kayıt defterini geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:

322756 Windows'da kayıt defterini yedekleme ve geri yükleme Alternatif olarak, kayıt defterini değiştirerek sunucuda SMB imzalamayı kapatın. Bunu yapmak için şu adımları izleyin:

  1. Başlat'a tıklayın, Çalıştır'a tıklayın, regedit yazın ve tamam'a tıklayın.

  2. Aşağıdaki alt anahtarı bulun ve tıklatın:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

  3. enablesecuritysignature girdisine tıklayın.

  4. Düzenle menüsünde Değiştir'e tıklayın.

  5. Değer verileri kutusuna 0 yazın ve Tamam'a tıklayın.

  6. Kayıt Defteri Düzenleyicisi'nde çıkın.

  7. Bilgisayarı yeniden başlatın veya sunucu hizmetini durdurup yeniden başlatın. Bunu yapmak için komut istemine aşağıdaki komutları yazın ve her komutu yazdıktan sonra Enter tuşuna basın:
    net stop sunucusu
    net start server

Not İstemci bilgisayardaki ilgili anahtar aşağıdaki kayıt defteri alt anahtarındadır:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters Aşağıda, çevrilen hata kodu numaraları durum kodlarına ve daha önce bahsedilen ayrıntılı hata iletilerine listelenir:

hata 5


ERROR_ACCESS_DENIED Erişim reddedildi.

hata 1326



ERROR_LOGON_FAILURE Oturum açma hatası: bilinmeyen kullanıcı adı veya hatalı parola.

hata 1788



ERROR_TRUSTED_DOMAIN_FAILURE Birincil etki alanı ile güvenilen etki alanı arasındaki güven ilişkisi başarısız oldu.

hata 1789



ERROR_TRUSTED_RELATIONSHIP_FAILURE Bu iş istasyonu ile birincil etki alanı arasındaki güven ilişkisi başarısız oldu.

Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarına tıklayın:

324802 Windows Server 2003'te sistem hizmetleri için güvenliği ayarlamak üzere Grup İlkeleri'nin yapılandırılması

816585 Windows Server 2003'te önceden tanımlanmış güvenlik şablonları uygulama

Facebook LinkedIn E-posta
RSS AKIŞLARINA ABONE OLUN

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Keşfedin Topluluk

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.

Microsoft 365 abonelik avantajları

Microsoft 365 eğitimi

Microsoft güvenliği

Erişilebilirlik merkezi

Topluluklar, soru sormanıza ve soruları yanıtlamanıza, geri bildirimde bulunmanıza ve zengin bilgiye sahip uzmanlardan bilgi almanıza yardımcı olur.

Microsoft Topluluğu'na sorun

Microsoft Tech Topluluğu

Windows Insider'lar

Microsoft 365 Insider'lar

Bu bilgi yararlı oldu mu?

Dil kalitesinden ne kadar memnunsunuz?
Deneyiminizi ne etkiledi?
Gönder’e bastığınızda, geri bildiriminiz Microsoft ürün ve hizmetlerini geliştirmek için kullanılır. BT yöneticiniz bu verileri toplayabilecek. Gizlilik Bildirimi.

Geri bildiriminiz için teşekkürler!

×