Клієнт служби та проблеми з програмою, може статися, якщо змінити параметри безпеки та призначення прав користувачів

Застосовується до: Microsoft Windows Server 2003 Standard Edition (32-bit x86)Microsoft Windows Server 2003 Datacenter Edition (32-bit x86)Microsoft Windows Server 2003 Enterprise Edition (32-bit x86)

Загальні відомості


Локальні політики та групові політики для посилити безпеку на контролерах домену та комп'ютерах, можна змінити параметри безпеки та призначення прав користувачів. Однак, підвищення безпеки, з іншого боку, введення несумісності з клієнтами, служб і програм.

У цій статті описано в несумісності, які можуть виникати на клієнтські комп'ютери під керуванням Windows XP або раніших версіях Windows, під час змінення конкретні параметри безпеки та призначення прав користувачів, домену Windows Server 2003 або Windows, в попередніх Сервер домену.

Відомості про групову політику для ОС Windows 7, Windows Server 2008 R2 і Windows Server 2008 див. у наступних статтях:Примітка. У цій статті зміст відповідає Windows XP, Windows Server 2003 та попередніх версіях Windows.

Windows XP

Для підвищення обізнаності про неправильно настроєні параметри безпеки використовуйте засіб редагування об'єктів групової політики, щоб змінити параметри безпеки. Якщо використовується редактор об'єктів групової політики, призначення прав користувачів, розширення з таких операційних систем:
  • Windows XP Professional із пакетом оновлень 2 (SP2)
  • Windows Server 2003 з пакетом оновлень 1 (SP1)
Удосконалені функції, це діалогове вікно, яке містить посилання на цю статтю. З'явиться діалогове вікно змінити параметр безпеки або призначення прав користувачів, настройки, які пропонує менше сумісність і більш жорсткі. Якщо ви змінюєте безпосередньо на тому самому безпеки настройка або користувача призначення прав, за допомогою реєстру або шаблони безпеки, вплив є так само, як змінити настройки у редакторі об'єктів групової політики. Проте не відображається діалогове вікно, яке містить посилання на цю статтю.

У цій статті, містить приклади клієнтів, програми та операції, які зазнають конкретні параметри безпеки або призначення прав користувачів. Проте приклади не є основним, усі операційними системами Microsoft для всіх сторонніх виробників, операційних систем або для всіх версій програми, які впливає. Не всі параметри безпеки та призначення прав користувачів, які входять до цієї статті.

Корпорація Майкрософт рекомендує, перевірити всі зміни в конфігурації, що пов'язані з безпекою в лісі, Перевірка сумісності, перш ніж ви ввести, їх у середовищі виробництва. Перевірка лісу має дзеркало виробництва лісу, таким чином:
  • Клієнт і сервер версії для операційної системи, клієнт і сервер програм, пакет оновлень версії, виправлення зміни схеми, груп безпеки, в групах, дозволи для об'єктів файлової системи, спільних папок, реєстру, Active Directory, каталогу Підрахунок типу та розташування служби, локальні та настройки групової політики та об'єкт
  • Адміністративні завдання, які виконуються інструменти, які використовують та операційних систем, які виконують адміністративні завдання
  • Операції, які виконуються такі:
    • Автентифікація для входу до системи комп'ютера та користувача
    • Скидання пароля, користувачі, комп'ютери та адміністраторів
    • Перегляд
    • Настроювання дозволів на доступ до файлової системи, для спільних папок, для реєстру та ресурсів Active Directory за допомогою редактор списку керування Доступом у Усі клієнтські операційні системи, у всіх доменах обліковий запис "або" ресурс із Усі клієнтські операційні системи від усіх ресурсів або облікового запису Домени
    • Друк з облікових записів адміністратора та без

Windows Server 2003 з пакетом оновлень 1

Попередження в gpedit. MSC

Для користувачів, які відомо, що редагування права користувача, або параметр безпеки, що могло негативно вплинути на їх мережі, двох механізмів для попередження було додано gpedit. msc. Адміністратори, змінити права користувача, які можуть негативно вплинути на всього підприємства, вони побачать новий значок, на зразок знак вихід. Вони отримають також містить посилання на статтю бази знань Майкрософт, 823659 попередження. Текст повідомлення буде таким:
Внесення змін, цей параметр може вплинути на сумісність із клієнтами, служб і програм. Щоб отримати додаткові відомості, < користувача вправо або безпеки параметр відображається змінюються > (Q823659)
Якщо вас було спрямовано до цієї статті бази знань, посилання на gpedit. msc, переконайтеся, що, читання а також зрозуміти пояснення, надані і вплив можна змінити цей параметр. Нижче наведено права користувача, які містять текст попередження:
  • Доступ до цього комп'ютера в мережі
  • Увійдіть на локальному комп'ютері
  • Обхід, траверс перевірки.
  • Комп'ютери та користувачів, що для надійного делегування
Містить параметри безпеки, попередження та спливаючі повідомлення.
  • До складу домену: Цифрового шифрування або знак безпечний канал-даних (завжди)
  • До складу домену: Потрібна сильна (Windows 2000 або пізнішої версії) ключ сеансу
  • Контролера: Запиту цифрового підпису сервера LDAP
  • Сервер мережі Microsoft: використовувати цифровий підпис (завжди)
  • Мережний доступ: Дозволяє, анонімний Sid / назва перекладу
  • Мережний доступ: Не дозволяють SAM анонімне перелічення облікових записів і спільних ресурсів
  • Безпека мережі: LAN Manager автентифікація рівня.
  • Категорія: Завершення роботи системи відразу ж, якщо не вдалося увійти в систему безпеки аудиту
  • Мережний доступ: Запиту цифрового підпису клієнта LDAP

Додаткові відомості


У наступних розділах несумісності, які можуть виникнути, змінивши настройки, домени для Windows NT 4.0, Windows 2000 доменів і доменів для Windows Server 2003.

Права користувача

У наведеному нижче списку, описано права користувача, визначає параметри конфігурації, що може спричинити проблеми, у цій статті описано причини, слід застосовувати право користувача та чому видаляти права користувача і містить приклади проблем сумісності, які можуть виникнути під час користувача настройки праворуч.
  1. Доступ до цього комп'ютера в мережі
    1. Тло

      Можливість взаємодії з Windows на віддалених комп'ютерах, необхідно права користувача доступ цей комп'ютер від мережі . Прикладами таких дій у мережі, належать:
      • Реплікація служби Active Directory на контролерах домену, у загальних домену чи лісу, між
      • Запити перевірки автентичності на контролерах домену користувачів і комп'ютерів
      • Доступ до спільних папок, принтери та інші системні служби, розташованих на віддалених комп'ютерах у мережі


      Користувачі, комп'ютери та облікових записів служби отримати, або призвести до втрати права користувача доступ цей комп'ютер від мережі , що явно або неявно або додавання групи безпеки, які звичайно це право на користувача. Наприклад, обліковий запис користувача або обліковий запис комп'ютера, явно додається до групи безпеки, користувача або групи безпеки, вбудований адміністратор або неявно додається операційною системою комп'ютерної безпеки групі користувачів домену, наприклад, автентифікацію Користувачі, або контролери домену підприємства.

      За промовчанням облікові записи користувачів комп'ютера і надаються на доступ до цього комп'ютера з мережі право користувача під час обчислюється груп, такі як для всіх чи авторизовані користувачів і контролерам доменів контролери домену підприємства групи , визначені контролери домену за промовчанням об'єкт групової політики (GPO).
    2. Ризикований конфігурації.

      Нижче наведено шкідливих настройки.
      • Видалити групу безпеки контролери домену підприємства від цього користувача, право
      • Видалення автентифіковані користувачі або явного групи, яка дозволяє користувачів, комп'ютерів та облікових записів служби права користувача для підключення комп'ютерів у мережі
      • Видалення всіх користувачів і комп'ютерів, з права користувача
    3. Причини, щоб надати це право на користувача
      • Надання права користувача доступ цей комп'ютер від мережі , контролери домену підприємства групи, виконується автентифікації вимоги, які реплікації Active Directory має бути реплікації контролерів домену, в одній, виникають лісу.
      • Права користувача, дозволяє пользователи и компьютеры для доступу до спільних файлів, принтери та системи послуг, Active Directory.
      • Це право на користувача, необхідна для користувачів, щоб отримати доступ до електронної пошти, за допомогою ранніх версій програми Microsoft Outlook Web Access (OWA).
    4. Причини, щоб видалити це право на користувача
      • Користувачі, які можна підключити свої комп'ютери до мережі, доступ до віддалених комп'ютерів, що вони дозволи на доступ до ресурсів. Наприклад, це користувача, право необхідна для користувача для підключення до спільних принтерів а також до папок. Якщо права користувача, надано для цієї групи, і якщо деякі спільної папки спільний доступ і дозволи NTFS настроєно так, що ж групи доступ для читання, будь-якому можна переглянути файли в цих папках. Однак це навряд чи ситуації, для встановлення Windows Server 2003 через те, що за промовчанням спільний доступ і дозволи NTFS, Windows Server 2003 не містять усі групи. Для систем, які з Microsoft Windows NT 4.0 або Windows 2000 цей дефект, можливо, підвищення рівня ризику через те, що за промовчанням спільний доступ і дозволи файлової системи, для цих операційних систем не є такі обмеження, як дозволів за промовчанням у Windows Server 2003.
      • Є дійсним причину вилучення контролери домену підприємства групи з права користувача.
      • Усі групи, як правило, вилучені на користь автентифіковані користувачі. Якщо буде видалено всі групи, автентифіковані користувачі, йому це право на користувача.
      • Доменів Windows NT 4.0, що оновлення до Windows 2000 не явно надати доступ цей комп'ютер від мережі , користувач відразу всі групи, автентифіковані користувачі або групи контролери домену підприємства. Таким чином, під час видалення всіх групової політики з домену Windows NT 4.0, з, реплікації Active Directory не вдасться повідомлення про помилку "Немає доступу" після оновлення до Windows 2000. Надавши контролери домену підприємства групи це право для користувача, під час оновлення Windows NT 4.0 з основним контролери (PDCs) дозволяє уникнути цього неправильна Winnt32.exe у Windows Server 2003. Надання групи контролери домену підприємства, для цього користувача, право, якщо його немає у списку, у полі редактор об'єктів групової політики.
    5. Приклади проблеми сумісності
      • Windows 2000 та Windows Server 2003: Реплікація такі розділи не буде виконано з помилками, що "Немає доступу" як засоби, такі як REPLMON моніторингу та REPADMIN або реплікації події, у разі входу.
        • Активний розділ в каталозі схеми
        • Настроювання розділу.
        • Розділ для домену
        • Глобальний каталог розділу.
        • Розділ застосунків
      • Всі мережні операційної системи: Автентифікація облікового запису користувача, з віддаленої мережі клієнтські комп'ютери не вдасться, якщо користувача або групу безпеки, що користувач є членом було надано це право на користувача.
      • Всі мережні операційної системи: Автентифікація на обліковий запис у віддаленій мережі клієнтів не вдасться, якщо обліковий запис або обліковий запис, є членом групи безпеки було надано право користувача. Це стосується до облікових записів користувачів, комп'ютерів та облікових записів служби.
      • Всі мережні операційної системи: Видалення всіх облікових записів від права користувача, це запобігає будь-який рахунок входити до домену або доступу до мережних ресурсів. Якщо обчислюється групи, такі як контролери домену підприємства, буде видалено всі або автентифіковані користувачі, ви маєте явно надати право цього користувача облікові записи або групи безпеки, який обліковий запис входить до віддалених комп'ютерів у мережі. Це стосується для всіх облікових записів користувачів, всі рахунки на комп'ютері і всі облікові записи, служби.
      • Всі мережні операційної системи: Облікового запису адміністратора, використовує "пустий". Підключення до мережі з пароля не дозволяється записів адміністратора в домені. У цій конфігурації ви можете очікувати відображається повідомлення про помилку "Немає доступу".
  2. Дозволити журналу на локальному комп'ютері
    1. Тло

      Користувачі, хто намагається ввійти до консолі комп'ютера під керуванням Windows (за допомогою сполучення клавіш CTRL + ALT + DELETE) та облікові записи, які намагаються запустити службу потрібно мати права для локального входу на комп'ютері, що хостинг. Операції з локального входу прикладами адміністратори, які входу до консолі, комп'ютерах або контролерах домену протягом enterprise і домену, користувачі, які входу на комп'ютерах, щоб отримати доступ до своїх комп'ютерів, за допомогою Non Привілейований рахунків. Користувачі, які за допомогою віддаленого робочого стола або служб терміналів, потрібно дозволити локального входу користувача на комп'ютери призначення, під керуванням Windows 2000 або Windows XP, тому що ці режими для входу до системи вважаються локальний комп'ютер хостинг. Користувачі, які входу на сервер дозволив сервера терміналів, і які не мають цього користувача, право ще початком інтерактивного сеансу віддаленого в доменах, Windows Server 2003, якщо вони мають право користувача дозволити вхід через служби терміналів .
    2. Ризикований конфігурації.

      Нижче наведено шкідливих настройки.
      • Видалення безпеки з адміністративної групи, які оператори облікових записів, операторів архіву, друк оператори або оператори сервера і вбудовані групи адміністраторів, з контролера домену за промовчанням політики.
      • Видалення облікових записів служби, що використовуються компоненти і програми на комп'ютерах, так і на контролерах домену в домені, з контролера домену за промовчанням політики.
      • Видалення користувачів і груп безпеки, які ввійти до консолі комп'ютерах в домені.
      • Видалення облікових записів служби, визначені на локальних даних диспетчера облікових записів безпеки (SAM) комп'ютерах або комп'ютери робочої групи.
      • Видалення не вбудований в адміністративних облікових записів, які автентифікації через служби терміналів, що працює на контролері домену.
      • Додавання всі облікові записи користувачів у домені, явно або неявно через всі групи, заборонити вхід до системи локально ввійти правильно. Ця конфігурація запобігає користувачам входити до будь-якого рядовому комп'ютері або в будь-які контролеру домену в домені.
    3. Причини, щоб надати це право на користувача
      • Користувачі, потрібно дозволити локального входу користувача право отримати доступ до консолі, або на робочий стіл комп'ютері робочої групи, на рядовому комп'ютері або контролері домену.
      • Користувачі повинні мати до цього права користувача, для входу на сеансу служб терміналів, який працює під керуванням Windows 2000, рядовому комп'ютері або контролері домену.
    4. Причини, щоб видалити це право на користувача
      • Помилка для обмеження доступу до консолі законного облікові записи, може призвести до несанкціонованому завантаження та виконання шкідливого програмного коду змінити свої права.
      • Видалення дозволити локального входу користувача правильно, не дозволяє несанкціоноване вхід до системи на консолі, комп'ютерів, що контролери домену або застосунку серверів.
      • Видалення цього права для входу до системи не дозволяє не входить до домену, облікові записи входу в консолі член комп'ютерів в домені.
    5. Приклади проблеми сумісності
      • Серверів Windows 2000: Дозволити локального входу користувача правильно, необхідна для користувачів, щоб увійти до Windows 2000 серверів.
      • Windows NT 4.0, Windows 2000, Windows XP або Windows Server 2003: Облікові записи користувачів, йому це право користувача, щоб увійти на комп'ютерах під керуванням Windows NT 4.0, Windows 2000, Windows XP або Windows Server 2003 до консолі.
      • Windows NT 4.0 і пізніших: На комп'ютерах під керуванням Windows NT 4.0, а також, якщо ви додаєте дозволити локального входу користувача права, але ви чи неявно також надає заборонити вхід на локальному комп'ютері права входу до системи, ці облікові записи не зможуть для входу до консолі домену пристрої.
  3. Обхід, траверс перевірки.
    1. Тло

      Обхід, траверс-перевірка користувача правильно, дозволяє користувачам переглядати папки у файловій системі NTFS, або в реєстрі без перевірки дозволу спеціальний доступ Огляд папки . Обхід, траверс-перевірка користувача правильно не дозволяє список файлів у папці користувача. Це дозволяє користувачеві огляд лише її папок.
    2. Ризикований конфігурації.

      Нижче наведено шкідливих настройки.
      • Видалення без прав адміністратора облікові записи, які входу до служби терміналів, під керуванням Windows 2000 комп'ютерах або комп'ютерах під керуванням Windows Server 2003 служби терміналів, немає дозволу на доступ до файлів і папок у файловій системі.
      • Видалення всіх групи зі списку безпеки учасники, які безпосередньо за промовчанням для цього користувача. Операційних систем Windows а також багато програм, призначені в очікуванні, що кожен, хто законно можуть отримати доступ до комп'ютера повинні оминути, траверс-перевірка користувача правильно. Таким чином, видалення, що всі групи зі списку безпеки учасники, які мають це право на користувача за промовчанням може привести нестабільність операційної системи або помилка в програмі. Краще залишити цей параметр у за замовчуванням.
    3. Причини, щоб надати це право на користувача

      Обхід, траверс-перевірка користувача правильно, значення за промовчанням є будь-хто зможе обійти, траверс-перевірка. Досвідчені Windows системних адміністраторів це є стандартною поведінкою та їх настроювання файлу системні списки керування доступом (SACLs), відповідно. Лише ситуації, коли стандартної конфігурації, можуть призвести до-нещасний випадок, що якщо адміністратор настроїв дозволів не підтримує роботу і очікує, користувачі не можуть отримати доступ до батьківської папки не буде доступ до вмісту будь-якої дитини папки.
    4. Причини, щоб видалити це право на користувача

      Можна спробувати, щоб запобігти доступу до файлів або папок, у файловій системі організацій, які дуже стурбовані безпеки може бути досвідченим для видалення, що всі групи, або навіть, до групи користувачів зі списку груп, які Оминання перехресної, перевірка право користувача.
    5. Приклади проблеми сумісності
      • Windows 2000, Windows Server 2003: Обхід, траверс-перевірка користувача правильно буде видалено, або неправильно, на комп'ютерах під керуванням Windows 2000 або Windows Server 2003, настройки групової політики, у папці SYVOL не повторити між контролери домену в домені.
      • Windows 2000, Windows XP Professional з ОС Windows Server 2003: Події 1000 і 1202 комп'ютерів під керуванням Windows 2000, Windows XP Professional або Windows Server 2003 і буде неможливо застосувати політика комп'ютера та політика користувача під час на необхідні дозволи видаляються з дерево SYSVOL, якщо в обхід Траверс, перевіряючи право користувача буде видалено, чи настроєно неправильно.

        Щоб отримати додаткові відомості, клацніть номер статті в базі знань Microsoft:
         
        290647 події, Кодами 1000, 1001 записується кожні п'ять хвилин, у журналі подій застосунків
         
      • Windows 2000, Windows Server 2003: На комп'ютерах під керуванням Windows 2000 або Windows Server 2003 у провіднику Windows, вкладка квоти зникають під час перегляду властивостей на томі.
      • Windows 2000: Без прав адміністратора, які ввійшли на сервері терміналів Windows 2000, може з'явитися таке повідомлення про помилку:
        Помилка під час застосування Userinit.exe. Програми, які не вдалося ініціалізувати 0xc0000142, натисніть кнопку ОК, щоб завершити програму.
      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Користувачі, які, на комп'ютерах під керуванням Windows NT 4.0, Windows 2000, Windows XP або Windows Server 2003 не можуть отримати доступ до спільних папок або файлів на спільних папок, а також буде отримано "Немає доступу" повідомлення про помилку, якщо вони не отримують на Огляд для обходу Перевірка право користувача.


        Щоб отримати додаткові відомості, клацніть номер статті в базі знань Microsoft:
         
        277644 "Немає доступу" повідомлення про помилку при спробі отримати доступ до спільних папок.
         
      • Windows NT 4.0: На комп'ютерах під керуванням Windows NT 4.0 копіювання файлів, відмовитися від файлу потоки призведе до видалення оминути, траверс-перевірка користувача правильно. Якщо видалити цей права користувача, під час копіювання файлу з клієнт Windows або Macintosh клієнта до контролера домену Windows NT 4.0, під керуванням служб для Macintosh, потоку файл призначення, втрачається і файл, що відображається як текстовий файл.
      • Microsoft Windows 95, Microsoft Windows 98: На клієнтському комп'ютері, який працює під керуванням Windows 95 або Windows 98 на net use * / головний команду не вдасться повідомлення про помилку "Немає доступу", якщо автентифіковані користувачі не надані права користувача оминути, траверс-перевірка .
      • Outlook Web Access: Без прав адміністратора не вдасться для входу до Microsoft Outlook Web Access, і вони отримають повідомлення про помилку "Немає доступу", якщо вони не отримують право користувача оминути, траверс-перевірка .

Параметри безпеки

У наведеному нижче списку, визначає параметр безпеки, а також список вкладених, наведено опис про параметри безпеки, визначає параметри конфігурації, що може спричинити проблеми, у цій статті описано причини слід застосувати, параметри безпеки а потім описано причини, чому можна видалити параметри безпеки. Список вкладених перевірить символьним ім'ям параметри безпеки та шляху реєстру параметр безпеки. Нарешті, приклади описані проблеми сумісності, які виникають під час вибрано настройку безпеки.
  1. Категорія: Завершення роботи системи відразу ж, якщо не вдалося увійти в систему безпеки аудиту
    1. Тло
      • У Категорія: завершення роботи системи відразу ж, якщо не вдалося увійти в систему безпеки перевірок параметр визначає, чи система завершує роботу, якщо не вдається ввійти події безпеки. Цей параметр необхідна програма надійні комп'ютера безпеки оцінювання умови (TCSEC) C2 оцінювання та критерії оцінки відомості про технології безпеки для запобігання прапорця події, якщо аудит системі не вдалося ввійти на ці події. У разі спроби аудиту системи система вимикається, і повідомлення про невиправну помилку, з'явиться.
      • Якщо комп'ютер, не записування подій до журналу безпеки, критичні дані або важливі відомості про виправлення неполадок не може бути доступним для перегляду після інциденти безпеки.
    2. Ризикований конфігурації.

      Наведено настройки шкідливих конфігурації: на перевірки: завершення роботи системи відразу ж, якщо не вдалося увійти в систему безпеки перевірок параметр увімкнуто, і розмір журнал подій безпеки обмежується до не перезаписуються події, які (очищення журналу вручну) , варіант перезаписування події, як, необхідно , Перезаписати події перевищує число днів параметр або в засобі перегляду подій. Див. розділ "Приклади сумісності проблеми", щоб отримати відомості про певні ризики для комп'ютерів, які працюють у вихідній версії Windows 2000, Windows 2000 з пакетом оновлень 1 (SP1), Windows 2000 SP2 або Windows 2000 SP3.
    3. Причини, щоб увімкнути цей параметр

      Якщо комп'ютер, не записування подій до журналу безпеки, критичні дані або важливі відомості про виправлення неполадок не може бути доступним для перегляду після інциденти безпеки.
    4. Причини, щоб вимкнути цей параметр
      • Увімкнення у аудиту: завершення роботи системи відразу ж, якщо не вдалося увійти в систему безпеки перевірок настройку, перестає системи, якщо не вдається ввійти аудиту захисту будь-якої причини. Як правило, подію не вдається ввійти повного і коли його спосіб для вказаного збереження події, які (очищення журналу вручну) не перезаписуються параметр "або" Перезаписати події перевищує число днів параметр, коли журнал аудиту безпеки.
      • Адміністративного навантаження забезпечення в Категорія: завершення роботи системи відразу ж, якщо не вдалося увійти в систему безпеки перевірок параметр може бути дуже високий, особливо, якщо також увімкнути параметр не перезаписуються події, які (очищення журналу вручну) до журналу безпеки. Цей параметр передбачає окремих відповідальності оператора дій. Наприклад, адміністратор може змінити дозволи для користувачів, комп'ютерів і груп організаційного підрозділу (ОП) де аудиту було ввімкнуто вбудованим обліковим записом адміністратора або інші спільні запису за допомогою і заборонити їх Скидання настройок такі дозволи. Проте, Увімкнення настройки зменшити надійності системи через те, що сервер, можливо, доведеться закриті переважною, події для входу до системи та інші події безпеки для записування до журналу безпеки. Крім того, оскільки закриття не неправильного непоправної шкоди до операційної системи, програми або даних може спричинити. У той час як NTFS гарантує, що під час вимикання комп'ютера з незграбний зберегти у файловій системі цілісність, не може гарантувати, що кожен файл даних, для кожної програми, все одно буде у формі, що використовується під час перезавантаження системи.
    5. Символічне ім'я:

      CrashOnAuditFail
       
    6. Шлях до реєстру:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)
    7. Приклади проблеми сумісності
      • Windows 2000: Через помилку комп'ютерів, які працюють у вихідній версії Windows 2000, Windows 2000 з пакетом оновлень 1, Windows 2000 SP2 або Windows Server SP3 може припинити ведення журналу подій до розміру, указаного у максимальний розмір журналу параметр безпеки досягнення журналу подій. Цю помилку виправлено у Windows 2000 з пакетом оновлень 4 (SP4). Переконайтеся, що, ваш контролери домену Windows 2000 Windows 2000 з пакетом оновлень 4 інстальовано, перш ніж ви вважаєте, що дозволяє цей параметр.

        Щоб отримати додаткові відомості, клацніть номер статті в базі знань Microsoft:
         
        312571 журналу подій перестає журналювання до досягнення до максимального розміру журналу
         
      • Windows 2000, Windows Server 2003: Комп'ютери під керуванням Windows 2000 або Windows Server 2003 перестає реагувати на дії користувача а потім може неочікувано перезавантаження, якщо в перевірки: завершення роботи системи відразу ж, якщо не вдалося увійти в систему безпеки перевірок параметр увімкнуто, до журналу безпеки повному обсязі а також існуючих не можна перезаписати запис подій. Під час перезавантаження комп'ютера з'являється таке повідомлення про помилку:
        STOP: C0000244 {перевірки, помилка}
        Спроба створення аудиту захисту, не вдалося.
        Відновлення, адміністратор повинен увійти Архів журналу безпеки (необов'язково), очистити журнал безпеки та перезапускається цей параметр, (необов'язково та необхідних).
      • Клієнт мережі Microsoft, для MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Без прав адміністратора, які спроби входу до домену, отримають таке повідомлення про помилку:
        Обліковий запис настроєно, щоб заборонити використання цього комп'ютера. Спробуйте інший комп'ютер.
      • Windows 2000: На комп'ютерах під керуванням Windows 2000 іншим користувачам не вдасться для підключення до віддаленого доступу, і вони будуть отримувати повідомлення про помилку, подібне до такого:
        Невідомий користувач або неправильний пароль.
        Щоб отримати додаткові відомості, клацніть номер статті в базі знань Microsoft:
         
        285665 з'являється повідомлення про помилку: обліковий запис настроєно, щоб заборонити використання цього комп'ютера.
         
      • Windows 2000: На контролерах домену з Windows 2000 служба Intersite, обміну повідомленнями (Ismserv.exe) зупиниться і не вдається перезавантажити. Також DCDIAG повідомляє про помилку, як "не вдалося, служби для перевірки ISMserv", і події з Ідентифікатором 1083 буде зареєстровано, у разі журналу.
      • Windows 2000: На контролерах домену з Windows 2000 реплікації Active Directory не вдасться, і з'явиться повідомлення "Немає доступу", якщо журнал подій безпеки заповнений.
      • Microsoft Exchange 2000: У випадку, сервери з Exchange 2000 не вдасться підключитися до бази даних сховища відомостей і захід 2102 буде зареєстровано журналу.
      • Outlook, Outlook веб-доступу: Без прав адміністратора не зможете отримати доступ до своїх повідомлень через Microsoft Outlook або Microsoft Outlook Web Access, і вони будуть отримувати помилки 503.
  2. Контролер домену: сервера LDAP, цифрового підпису
    1. Тло

      У контролер домену: сервера LDAP, цифрового підпису проблем із настроюванням безпеки визначає, чи, легкий протокол доступу до каталогів (LDAP) сервер вимагає LDAP клієнти домовитися з даними підписування SMB. Можливо, цей параметр політики значення є такими:
      • Немає: Підписування SMB даних не потрібно пов'язувати з сервером. Клієнт надсилає запит, дані, які цифрового підпису, сервер підтримує.
      • Запит цифрового підпису: Параметр підпису даних LDAP, повинні бути узгоджені, якщо використовується рівень безпеки/Secure Socket шар (TLS/SSL).
      • не визначено: Цей параметр не ввімкнуто або вимкнуто.
    2. Ризикований конфігурації.

      Нижче наведено шкідливих настройки.
      • Увімкнення запит цифрового підпису в середовищі, де клієнти не підтримують підписування SMB LDAP, або коли підписування SMB на стороні клієнта LDAP знятий на клієнтському комп'ютері
      • Застосування Windows 2000 або Windows Server 2003-Hisecdc.inf шаблон безпеки в середовищі, де клієнти не підтримують підписування SMB LDAP або коли підписування SMB на стороні клієнта LDAP не вмикається
      • Застосування Windows 2000 або Windows Server 2003-Hisecws.inf шаблон безпеки в середовищі, де клієнти не підтримують підписування SMB LDAP або коли підписування SMB на стороні клієнта LDAP не вмикається
    3. Причини, щоб увімкнути цей параметр

      Непідписаний мережний трафік є уразливий до атак людина в середині, коли зловмисник перехоплює пакети, між клієнтом і сервером, змінює пакети і знову пересилає на сервер. Коли це трапляється на сервері LDAP, зловмисник може спричинити сервер приймати рішення на основі помилкові запитів від клієнта LDAP. Шляхом впровадження стійке фізичної безпеки заходів для захисту інфраструктури мережі, ви можете знизити ризик до корпоративної мережі. Протокол автентифікації-безпеки (IPSec) заголовок режим може запобігти людина в середині атак. Заголовок-режим автентифікації виконує взаємне автентифікацію і пакет цілісності IP-трафіку.
    4. Причини, щоб вимкнути цей параметр
      • Клієнти, які не підтримують підписування SMB LDAP буде неможливо здійснити запити LDAP, проти контролерів домену а також від Глобальні каталоги автентифікації NTLM обговорюється, і якщо правильний пакетів оновлень не інстальовано на контролери домену Windows 2000.
      • Шифрується мережі трасування LDAP трафіку між клієнтами та серверами. Це робить його важко вивчення LDAP розмов.
      • Сервери, під керуванням Windows 2000 має бути інстальовано з Windows 2000 з пакетом оновлень 3 (SP3) або після того, як вони керуються програми, підтримка LDAP, підписування SMB, запуску із клієнтських комп'ютерів, які працюють у Windows 2000 SP4, Windows XP або Windows Server 2003. Клацніть номер статті в базі знань Microsoft Knowledge Base:
         
        Контролери домену в 325465 Windows 2000 потребує з пакетом оновлень 3 або пізнішої версії, під час використання Windows Server 2003-засоби адміністрування
         
    5. Символічне ім'я:

      LDAPServerIntegrity
    6. Шлях до реєстру:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)
    7. Приклади проблеми сумісності
      • Простих прив'язок не вдасться, і з'являється таке повідомлення про помилку:
        Ldap_simple_bind_s(), помилка: потрібна сильна автентифікація.
      • Windows 2000 з пакетом оновлень 4, Windows XP, Windows Server 2003: На клієнтів під керуванням Windows 2000 SP4, Windows XP або Windows Server 2003, деякі засоби адміністрування з Active Directory не працюють належним чином з контролерів домену під керуванням ОС Windows 2000, які передують SP3 під NTLM обговорюється автентифікації.

        Щоб отримати додаткові відомості, клацніть номер статті в базі знань Microsoft:
         
        Контролери домену в 325465 Windows 2000 потребує з пакетом оновлень 3 або пізнішої версії, під час використання Windows Server 2003-засоби адміністрування
         
      • Windows 2000 з пакетом оновлень 4, Windows XP, Windows Server 2003: Клієнти, під керуванням Windows 2000 SP4, Windows XP або Windows Server 2003, деякі засоби адміністрування з Active Directory цієї мети, на контролерах домену під керуванням ОС Windows 2000, які передують SP3 буде працювати належним чином у такому разі використання IP-адрес (наприклад, "DSA. msc /server =x.x.x.x" де
        x.x.x.x є IP-адреси).


        Щоб отримати додаткові відомості, клацніть номер статті в базі знань Microsoft:
         
        Контролери домену в 325465 Windows 2000 потребує з пакетом оновлень 3 або пізнішої версії, під час використання Windows Server 2003-засоби адміністрування
         
      • Windows 2000 з пакетом оновлень 4, Windows XP, Windows Server 2003: Клієнтів під керуванням Windows 2000 SP4, Windows XP або Windows Server 2003, деякі засоби адміністрування з Active Directory цієї мети, на контролерах домену під керуванням ОС Windows 2000, які передують SP3 буде працювати належним чином.

        Щоб отримати додаткові відомості, клацніть номер статті в базі знань Microsoft:
         
        Контролери домену в 325465 Windows 2000 потребує з пакетом оновлень 3 або пізнішої версії, під час використання Windows Server 2003-засоби адміністрування
         
  3. До складу домену: потрібна сильна ключ для сеансу (Windows 2000 або пізнішої версії)
    1. Тло
      • У входить до складу домену: потрібна сильна ключ для сеансу (Windows 2000 або пізніших версій) параметр визначає, чи можна встановити захищений канал з контролера домену, який неможливо шифрувати безпечний канал трафік, з ключем сильний, 128-розрядне шифрування сеансу. Увімкнення цей параметр запобігає створення захищений канал з контролер домену, неможливо шифрувати безпечний канал даних, з стійке ключа. Вимкнути цей параметр дає змогу сеансу для 64-розрядних розділів.
      • Перш ніж можна ввімкнути цей параметр, учасник робоча станція або на сервері, усі контролери домену, що належить член має бути можливість шифрування безпечний канал даних із ключем сильний, 128-розрядне шифрування. Це означає, що всі контролерів домену має працювати під керуванням Windows 2000 або пізнішої версії.
    2. Ризикований конфігурації.

      Увімкнення у входить до складу домену: потрібна сильна ключ для сеансу (Windows 2000 або пізніших версій) використовується параметр шкідливих конфігурації.
    3. Причини, щоб увімкнути цей параметр
      • Сеанс розділів, що використовуються для створення безпечний канал зв'язку між комп'ютерах і контролерів домену, які значно надійних у Windows 2000, ніж у попередніх версіях операційної системи.
      • Якщо можливо, варто скористатися розділах надійних сеансу для захисту безпечний канал зв'язку з перехоплення та захоплення мережевих атак сеансу. Eavesdropping , є формою зловмисної атаки, де дані в мережі для читання або змінено, під час передавання. Приховати або змінити відправника або переспрямування, його можна змінювати дані.
      Увага! Комп'ютер під керуванням Windows Server 2008 R2 або Windows 7 підтримує тільки ключі, сильний, під час використання безпечного каналів. Це обмеження не дозволяє, довіри між будь-якого під керуванням Windows NT 4.0 і будь-який домен, під керуванням Windows Server 2008 R2. Крім того, це обмеження блокує, до складу домену під керуванням Windows NT 4.0 комп'ютерів під керуванням Windows 7 або Windows Server 2008 R2, і навпаки.
    4. Причини, щоб вимкнути цей параметр

      Домен міститься на комп'ютерах під керуванням операційних систем, крім Windows 2000, Windows XP або Windows Server 2003.
    5. Символічне ім'я:

      StrongKey
    6. Шлях до реєстру:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)
    7. Приклади проблеми сумісності

      Windows NT 4.0: На комп'ютерах під керуванням Windows NT 4.0 скинувши безпечні канали, довірчих відносин між Windows NT 4.0 та Windows 2000 доменів із NLTEST не вдається. Повідомлення про помилку "Немає доступу", з'явиться:
      Не вдалося виконати довірчі відносини між основним і довірений домен.

      ОС Windows 7 і Server 2008 R2: ОС Windows 7 і пізніших версій і Windows Server 2008 R2 і пізніших версій він більше не шанували і завжди використовується стійке ключ. З цієї причини довіри, з Windows NT 4.0 домени не працюють більше.
  4. До складу домену: цифрового шифрування або знак безпечний канал-даних (завжди)
    1. Тло
      • Увімкнення входить до складу домену: цифрового шифрування або знак безпечний канал-даних (завжди) запобігає, створення безпечний канал за допомогою контролер домену, що не вдається ввійти, або шифрування всіх даних, безпечний канал. Щоб захистити автентифікації трафік людина в середині атак, захист від повторних атак та інших видів атак в мережі, Windows на комп'ютерах, створіть канал зв'язку, який відомий як безпечний канал – служба Net Logon Перевірка комп'ютерів. Безпечні канали також використовуються під час користувач в одному домені підключається до мережного ресурсу, до віддаленого домену. Це сигналів автентифікації або до сервера автентифікації, дозволяє на комп'ютер під керуванням Windows, який було підключено до домену, щоб отримати доступ до бази даних облікового запису користувача домену і в будь-який надійних доменів.
      • Щоб увімкнути в входить до складу домену: цифрового шифрування або знак безпечний канал-даних (завжди) налаштування комп'ютера, усі контролери домену, що належить член повинен мати змогу підписати або зашифрувати всі дані на безпечний канал. Це означає, що такі контролери домену має працювати під керуванням Windows NT 4.0 з пакетом оновлень 6a (SP6a) або новішої версії.
      • Увімкнення у входить до складу домену: цифрового шифрування або знак безпечний канал-даних (завжди) налаштування автоматично дає змогу на входить до складу домену: цифрового шифрування або знак безпечний канал-даних (якщо можливо) параметр.
    2. Ризикований конфігурації.

      Увімкнення у входить до складу домену: цифрового шифрування або знак безпечний канал-даних (завжди) в доменах, де не на всіх контролерах домену входу або шифрування даних, безпечний канал використовується параметр шкідливих конфігурації.
    3. Причини, щоб увімкнути цей параметр

      Непідписаний мережний трафік є чутливі до людини в середині атак, коли зловмисник перехоплює пакети, між сервером і клієнтом і потім змінює їх до спрямування їх на клієнті. Коли це трапляється на сервері легкий протокол доступу до каталогів (LDAP), зловмисник може спричинити клієнт приймати рішення на основі помилкові записи з каталогу LDAP. Шляхом впровадження стійке фізичної безпеки заходів для захисту інфраструктури мережі, ви можете знизити ризик такі атаки в корпоративній мережі. Крім того, впровадження Internet Protocol security (IPSec) заголовок-режим автентифікації допомагають уникнути людина в середині атак. У ньому виконується взаємне автентифікацію і пакет цілісності IP-трафіку.
    4. Причини, щоб вимкнути цей параметр
      • Комп'ютери в локальний або зовнішні домени, підтримує зашифровані безпечні канали.
      • Не на всіх контролерах домену в домені, мають на рівнів відповідний пакет оновлень для підтримки зашифровані безпечні канали.
    5. Символічне ім'я:

      StrongKey
    6. Шлях до реєстру:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)
    7. Приклади проблеми сумісності
      • Windows NT 4.0: Під керуванням Windows 2000 комп'ютерах, не зможуть приєднатися до Windows NT 4.0 домени та отримають таке повідомлення про помилку:
        Обліковий запис не має права для входу в систему від цього.
        Щоб отримати додаткові відомості, клацніть номер статті в базі знань Microsoft:
         
        281648 з'являється повідомлення про помилку: обліковий запис не має права увійти від цього
         
      • Windows NT 4.0: Windows NT 4.0 доменів, не вдасться встановити нижнього рівня безпеки, з домену Windows 2000 та отримають таке повідомлення про помилку:
        Обліковий запис не має права для входу в систему від цього.
        Наявні нижнього рівня, довіри може також не вдається виконати автентифікацію користувачів із довіреного домену. Деякі користувачі, можуть виникнути проблеми, що вхід до домену, і вони, може з'явитися повідомлення про помилку на те, що клієнт не вдається знайти домену.
      • ОС Windows XP: Клієнтів Windows XP, підключених до Windows NT 4.0 домени не зможе автентифікації, спроби ввійти до системи і з'являється таке повідомлення про помилку, або в журналі подій може бути зареєстрований такі події:
        Системі не вдалося підключитися до домену, оскільки контролер домену не працює, або недоступне або обліковий запис комп'ютера, не знайдено
      • Мережі Microsoft: Мережа Microsoft клієнти отримають одне з таких повідомлень про помилку:
        Помилка входу в систему: невідоме ім'я користувача або неправильний пароль.
        Існує немає користувача, сеанс ключ сеансу роботи зазначений.
  5. Клієнт мережі Microsoft: використовувати цифровий підпис (завжди)
    1. Тло

      Блоків повідомлень сервера (SMB)-це протокол спільний доступ до ресурсів, що підтримується багато операційними системами Microsoft. Це основі базової системи вводу виводу (NetBIOS) мережі і багато інших протоколів. Підписування SMB ідентифікує користувача, так і на сервері дані. У разі спроби процес перевірки автентичності або нижче повзунка передачі даних не відбудеться.

      Увімкнення підписування запускається під час SMB SMB. Політики підписування SMB, перевірте, чи комп'ютер входить завжди цифрового зв'язку з клієнтом.

      Протокол автентифікації Windows 2000 SMB, підтримує взаємне автентифікації. Взаємне автентифікації, буде закрито "людина в середньому"-атак. Протокол автентифікації Windows 2000 SMB, також підтримує автентифікацію на повідомлення. Повідомлення автентифікації запобігає активний повідомлення атак. Щоб надати вам цей метод автентифікації, підписування SMB ставить цифрового підпису в кожному SMB. Клієнт і сервер, перевірити цифровий підпис.

      За допомогою підписування SMB, потрібно ввімкнути, підписування SMB або потребують підписування SMB-клієнт, так і сервер SMB SMB. Якщо підписування SMB на сервер, клієнтів, які також підтримують підписування на використання пакетів, підписання протоколу у всіх подальших сеансах SMB. Якщо підписування SMB на сервер, клієнт не може встановити сеансу, якщо клієнт ввімкнуто, чи потрібен для підписування SMB.


      Увімкнення перевірки цифрового підпису, в мережі з високим рівнем безпеки, допомагає запобігти уособлення, клієнти та сервери. Цей тип уособлення називається сеансу, викрадення. Зловмисник має доступ до однієї мережі, як клієнт, так і сервер використовує захоплення засоби сеансу переривання циклу або вкрасти сеанс триває. Зловмисник може перехоплення змінити непідписані SMB-пакети, змінити трафік і направити його так, що сервер може виконати небажаних. Крім того, зловмисник може становити як сервер або клієнт, після за законного перевірки автентичності та несанкціонованого доступу до даних, то отримати.

      Протоколу SMB, який використовується для спільного доступу до файлів а також для принтера спільного доступу до файлів на комп'ютерах під керуванням Windows 2000 Server, Windows 2000 Professional, Windows XP Professional або Windows Server 2003, підтримує взаємне автентифікації. Взаємне автентифікації закривається захоплення атак сеансу і підтримує автентифікацію на повідомлення. Таким чином, що це запобігає людина в середині атак. Підписування SMB надає ця автентифікація за допомогою цифрового підпису в кожному SMB. Клієнт і сервер переконайтеся, що підпис.

      Примітки
      • Як до альтернативного контрзаходи можна ввімкнути цифрові підписи з IPSec допомагає захищати всі мережний трафік. Апаратні прискорювачі, IPSec шифрування і цифрового підпису, які можна використовувати, щоб мінімізувати його вплив на продуктивність сервера ЦП, з є. Існують такі прискорювачі, які доступні для підписування SMB.

        Щоб отримати додаткові відомості див. розділ, використовувати цифровий підпис сервера веб-сайту Microsoft MSDN.

        Настроювання, підписування SMB через редактор об'єктів групової політики, тому, що внесення змін до місцевого реєстру значення не діє, якщо політику заміщення домену.
      • У Windows 95, Windows 98 і Windows 98 Second Edition, клієнт служби каталогів використовує підписування SMB, коли він засвідчує із серверами для Windows Server 2003, за допомогою автентифікації NTLM. Ці клієнти не використовуйте SMB, цифрового підпису, під час їх автентифіковано ці сервери з використанням NTLMv2 автентифікації. Крім того, сервери з Windows 2000 не відповідає на підписування запитів від цих клієнтів SMB. Щоб отримати додаткові відомості, див. пункт 10: "Безпека мережі: Lan Manager автентифікації рівень."
    2. Ризикований конфігурації.

      Наведено настройки шкідливих конфігурації: залишити, як у мережі Microsoft: використовувати цифровий підпис (завжди) налаштування та мережі Microsoft: цифровий підпис (за згоди сервера) значення параметра " Не визначено"або вимкнуто. Ці параметри, дозволяють Переспрямовувач Microsoft SMB серверів, які не підтримують шифрування пароля, під час перевірки автентичності надсилати паролі для звичайного тексту.
    3. Причини, щоб увімкнути цей параметр

      Увімкнення мережі Microsoft: використовувати цифровий підпис (завжди) вимагає клієнти підписати SMB трафік під час звернення до серверів, які не потребують підписування SMB. Це дозволяє клієнтам вірогідність захоплення атак сеансу.
    4. Причини, щоб вимкнути цей параметр
      • Увімкнення мережі Microsoft: використовувати цифровий підпис (завжди) запобігає клієнтів спілкування з серверів, які не підтримують підписування SMB.
      • Налаштування комп'ютерів ігнорувати Усі непідписані зв'язки з SMB запобігає попередніх програм і операційних систем підключення.
    5. Символічне ім'я:

      RequireSMBSignRdr
    6. Шлях до реєстру:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
    7. Приклади проблеми сумісності
      • Windows NT 4.0: Ви не зможете відновити безпечний канал довіри між домену Windows Server 2003 та Windows NT 4.0 домену за допомогою NLTEST або NETDOM, і з'являється повідомлення про помилку "Немає доступу".
      • ОС Windows XP: Копіювання файлів із Windows XP клієнтів під керуванням Windows 2000, сервери та сервери, під керуванням Windows Server 2003, може знадобитися більше часу.
      • Ви не зможете підключення мережного диска з клієнтом, вибрано цей параметр увімкнуто, і з'являється таке повідомлення про помилку:
        Обліковий запис не має права для входу в систему від цього.
    8. Вимоги перезавантаження

      Перезавантаження комп'ютера або перезапуску служби робочої станції. Для цього введіть у командному рядку наведені нижче команди. Натисніть клавішу Enter після кожної команди.
      net stop станції.
      net start станції.
  6. Сервер мережі Microsoft: використовувати цифровий підпис (завжди)
    1. Тло
      • Блоків повідомлень сервера (SMB)-це протокол спільний доступ до ресурсів, що підтримується багато операційними системами Microsoft. Це основі базової системи вводу виводу (NetBIOS) мережі і багато інших протоколів. Підписування SMB ідентифікує користувача, так і на сервері дані. У разі спроби процес перевірки автентичності або нижче повзунка передачі даних не відбудеться.

        Увімкнення підписування запускається під час SMB SMB. Політики підписування SMB, перевірте, чи комп'ютер входить завжди цифрового зв'язку з клієнтом.

        Протокол автентифікації Windows 2000 SMB, підтримує взаємне автентифікації. Взаємне автентифікації, буде закрито "людина в середньому"-атак. Протокол автентифікації Windows 2000 SMB, також підтримує автентифікацію на повідомлення. Повідомлення автентифікації запобігає активний повідомлення атак. Щоб надати вам цей метод автентифікації, підписування SMB ставить цифрового підпису в кожному SMB. Клієнт і сервер, перевірити цифровий підпис.

        За допомогою підписування SMB, потрібно ввімкнути, підписування SMB або потребують підписування SMB-клієнт, так і сервер SMB SMB. Якщо підписування SMB на сервер, клієнтів, які також підтримують підписування на використання пакетів, підписання протоколу у всіх подальших сеансах SMB. Якщо підписування SMB на сервер, клієнт не може встановити сеансу, якщо клієнт ввімкнуто, чи потрібен для підписування SMB.


        Увімкнення перевірки цифрового підпису, в мережі з високим рівнем безпеки, допомагає запобігти уособлення, клієнти та сервери. Цей тип уособлення називається сеансу, викрадення. Зловмисник має доступ до однієї мережі, як клієнт, так і сервер використовує захоплення засоби сеансу переривання циклу або вкрасти сеанс триває. Зловмисник може перехоплення змінити непідписані підмережі пропускної здатності Manager (SBM), пакети, змінювати трафік і переслати його так, що сервер може виконувати різноманітні небажані дії. Крім того, зловмисник може становити як сервер або клієнт, після за законного перевірки автентичності та несанкціонованого доступу до даних, то отримати.

        Протоколу SMB, який використовується для спільного доступу до файлів а також для принтера спільного доступу до файлів на комп'ютерах під керуванням Windows 2000 Server, Windows 2000 Professional, Windows XP Professional або Windows Server 2003, підтримує взаємне автентифікації. Взаємне автентифікації закривається захоплення атак сеансу і підтримує автентифікацію на повідомлення. Таким чином, що це запобігає людина в середині атак. Підписування SMB надає ця автентифікація за допомогою цифрового підпису в кожному SMB. Клієнт і сервер переконайтеся, що підпис.
      • Як до альтернативного контрзаходи можна ввімкнути цифрові підписи з IPSec допомагає захищати всі мережний трафік. Апаратні прискорювачі, IPSec шифрування і цифрового підпису, які можна використовувати, щоб мінімізувати його вплив на продуктивність сервера ЦП, з є. Існують такі прискорювачі, які доступні для підписування SMB.
      • У Windows 95, Windows 98 і Windows 98 Second Edition, клієнт служби каталогів використовує підписування SMB, коли він засвідчує із серверами для Windows Server 2003, за допомогою автентифікації NTLM. Ці клієнти не використовуйте SMB, цифрового підпису, під час їх автентифіковано ці сервери з використанням NTLMv2 автентифікації. Крім того, сервери з Windows 2000 не відповідає на підписування запитів від цих клієнтів SMB. Щоб отримати додаткові відомості, див. пункт 10: "Безпека мережі: Lan Manager автентифікації рівень."
    2. Ризикований конфігурації.

      Наведено настройки шкідливих конфігурації: Увімкнення на сервер мережі Microsoft: використовувати цифровий підпис (завжди) на серверах, так і на контролерах домену, які доступні, сумісна з Windows на комп'ютерах і сторонніх виробників операційна система на базі клієнтські комп'ютери в локальний або зовнішніх доменах.
    3. Причини, щоб увімкнути цей параметр
      • Усі клієнтські комп'ютери, Увімкніть цю настройку, безпосередньо до реєстру або за допомогою параметра групової політики, підтримують підписування SMB. Інакше кажучи, Усі клієнтські комп'ютери цей параметр, включений запустити або Windows 95 з DS клієнт, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional або Windows Server 2003.
      • Якщо сервер мережі Microsoft: використовувати цифровий підпис (завжди) буде вимкнено, підписування SMB повністю вимкнуто. Повністю, вимкнення всіх SMB цифрового підпису листи стане вразливим для захоплення атак сеансу комп'ютерів.
    4. Причини, щоб вимкнути цей параметр
      • Увімкнення цей параметр може спричинити сповільнення роботи копії та мережного файлу на клієнті комп'ютерів.
      • Увімкнення цей параметр, щоб запобігти клієнтів, які не може узгодити, підписування з зв'язок із серверами, так і з контролерами домену SMB. Це призводить до операцій з об'єднання в домені, автентифікації для користувача і комп'ютер або доступу до мережі програмами, які не.
    5. Символічне ім'я:

      RequireSMBSignServer
    6. Шлях до реєстру:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)
    7. Приклади проблеми сумісності
      • Windows 95: Windows 95, клієнти, які не мають клієнт служби каталогів "(DS) не буде виконано вхід до системи автентифікації та отримають таке повідомлення про помилку:
        Неправильний пароль домену, надані або відхилено, доступ до сервера для входу до системи.
        Щоб отримати додаткові відомості, клацніть номер статті в базі знань Microsoft:
         
        Якщо у Windows 95 або Windows NT 4.0 клієнта входу до домену з Windows Server 2003 з'являється повідомлення про помилку 811497
         
      • Windows NT 4.0: Клієнтські комп'ютери під керуванням ОС Windows NT 4.0, які виходили з пакетом оновлень 3 (SP3), не буде виконано вхід до системи автентифікації та отримають таке повідомлення про помилку:
        Система може не вхід. Переконайтеся, що в імені користувача та домену правильно, а потім введіть пароль знову.
        Деякі Microsoft SMB-сервери підтримують лише на незашифрований пароль обмін, під час перевірки автентичності. (Ці обмін також відомий як "звичайний текст" обмін..) Windows NT 4.0 SP3 та пізніших версій SMB Переспрямовувач не надсилати незашифрований пароль, який під час перевірки автентичності SMB на сервер, якщо ви додати запис реєстру на певних.
        Щоб незашифрований пароль для клієнта SMB на Windows NT 4.0, пакет Оновлень 3 а також нових систем, внести зміни до реєстру наступне: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters

        Ім'я параметра: EnablePlainTextPassword

        Тип даних: REG_DWORD

        Дані: 1


        Щоб отримати додаткові відомості про подібні питання клацніть номер статті в базі знань Microsoft Knowledge Base:
         
        224287 з'являється повідомлення про помилку: система 1240 сталася помилка. Обліковий запис не має права увійти від цього.
      • ОС Windows Server 2003: За промовчанням для зв'язку з контролера домену перехоплення або змінений зловмисників настроєно параметри безпеки, на контролерах домену під керуванням Windows Server 2003. Для користувачів, які успішно спілкуватися з контролером домену, який працює з Windows Server 2003 клієнтські комп'ютери повинні використовувати як підписування SMB та шифрування безпечний канал трафік систему або. За промовчанням клієнтів, які запустити пакет з пакетом оновлень 2 (SP2) Windows NT 4.0 або ранішої інстальовано і клієнтів під керуванням Windows 95 не маєте підписування SMB пакет ввімкнуто. Таким чином, ці клієнти не можна перевірити справжність контролеру домену Windows Server 2003.
      • Параметри політики з Windows 2000 та Windows Server 2003: Залежно від того, відповідний потреб і конфігурації рекомендуємо встановити такі параметри політики за найнижчою сутності необхідний обсяг оснащення ієрархії Microsoft Management Console групової політики.
        • Settings\Security параметри комп'ютера-конфігурація безпеки
        • Надсилати незашифрований пароль для підключення до виробників SMB серверів (цей параметр, що знаходиться у Windows 2000)
        • Мережі Microsoft: надсилати незашифрований пароль сторонніх виробників SMB серверів (цей параметр має для Windows Server 2003)

        Примітка. У деяких виробників CIFS серверів, як ранішими версіями Samba, не можна використовувати зашифрований пароль.
      • Таких клієнтів, несумісні з на сервер мережі Microsoft: використовувати цифровий підпис (завжди) параметр:
        • Apple Computer, Inc., Mac OS X клієнтів
        • Клієнтів для мереж Microsoft MS-DOS (наприклад, Microsoft LAN Manager)
        • Microsoft Windows для робочих груп клієнтів.
        • Microsoft Windows 95, клієнти DS-клієнта, не інстальовано.
        • Корпорація Майкрософт, які інстальовано на комп'ютерах під керуванням Windows NT 4.0, не SP3, або новішої версії
        • 6-CIFS Novell Netware клієнтів.
        • SAMBA SMB клієнти, які не мають підтримки підписування SMB
    8. Вимоги перезавантаження

      Перезавантаження комп'ютера або перезапуску служби сервера. Для цього введіть у командному рядку наведені нижче команди. Натисніть клавішу Enter після кожної команди.
      Чистий зупинка сервера
      net start server
  7. Мережний доступ: дозволяє анонімні перетворення SID на імена варіант перекладу.
    1. Тло

      У мережний доступ: дозволяє анонімні перетворення SID на імена, переклад проблем із настроюванням безпеки визначає, чи анонімний користувач запит на атрибути номера безпеки (SID) для іншого користувача.
    2. Ризикований конфігурації.

      Увімкнення у мережний доступ: дозволяє анонімні перетворення SID на імена, переклад використовується параметр шкідливих конфігурації.
    3. Причини, щоб увімкнути цей параметр

      Якщо в мережний доступ: дозволяє анонімні перетворення SID на імена, переклад використовується вимкнуто, раніше в операційних системах, або програми можуть бути неспроможні передавати дані з Windows Server 2003 доменів. Наприклад, нижче операційних систем, послуги або програми можуть не працювати:
      • Windows NT 4.0 на основі служби віддаленого доступу до сервера.
      • Microsoft SQL Server, під керуванням Windows NT 3. x-комп'ютерах або комп'ютерів на базі Windows NT 4.0
      • Віддалений доступ до служби, яка працює на комп'ютерах під керуванням Windows 2000, які містяться в 3. x-доменів Windows NT або Windows NT 4.0 доменів
      • SQL Server, який працює на комп'ютерах під керуванням Windows 2000, розташовані в доменах, Windows NT 4.0 або Windows NT 3. x доменів
      • Користувачі в домені ресурсів Windows NT 4.0, яким потрібно надати дозвіл на доступ до файлів, спільних папок і реєстру об'єкти до облікових записів користувачів з облікового запису доменів, які містять контролери домену в ОС Windows Server 2003
    4. Причини, щоб вимкнути цей параметр

      Якщо цей параметр увімкнуто, Зловмисний користувач може використовувати добре відомий SID адміністратори отримати справжнє ім'я вбудованим обліковим записом адміністратора, навіть, якщо обліковий запис було перейменовано. Цієї особи можуть використовувати ім'я облікового запису для почати атаку, підбір пароля.
    5. Символічне ім'я: Н/Д
    6. Розділ реєстру: Ні. Указаний шлях інтерфейсу користувача код.
    7. Приклади проблеми сумісності

      Windows NT 4.0: Комп'ютери з Windows NT 4.0, ресурсів домени відобразиться повідомлення про помилку "Невідома обліковий запис" редактор списку керування Доступом, якщо ресурсів, включаючи спільних папок, спільних файлів і реєстру об'єктів, забезпечених з принципи безпеки, які містяться в обліковий запис доменів містить контролери домену в ОС Windows Server 2003.
  8. Мережний доступ: не дозволяють SAM анонімне перелічення облікових записів
    1. Тло
      • У мережний доступ: не дозволяють SAM анонімне перелічення облікових записів параметр визначає, що додаткові дозволи, які можуть надаватися анонімні підключення до комп'ютера. Windows для виконання певних дій, наприклад, нумерація імена робочої станції і сервера диспетчера облікових записів безпеки (SAM) облікових записів і спільних ресурсах анонімні користувачі. Наприклад, адміністратору доступні це надання доступу для користувачів у довіреному домені, не підтримує довіра двосторонню угоду. Одразу після сеансу анонімний користувач, можливо, ж доступу, який надається для всіх групи на основі настройки на мережний доступ: дозволити всім дозволи, що стосуються анонімних користувачів настройка або в додатковий список керування доступом (DACL) об'єкт.

        Як правило, анонімні підключення пропонується попередніх версій клієнтів (низькорівневих клієнтів) під час інсталяції у сеанс SMB. У цьому випадку слід мережі показує, що SMB Ідентифікатор процесу (PID) клієнта Переспрямовувач кодування Юнікод, 0xFEFF у Windows 2000 або 0xCAFE, у Windows NT. віддаленого виклику процедур, можна також спробувати зробити анонімні підключення.
      • Увага! Цей параметр не має впливу на контролерах домену. На контролерах домену така поведінка керує присутності "NT AUTHORITY\ANONYMOUS входу до системи" у "Старіших версій Windows 2000 сумісний доступу".
      • У Windows 2000, подібні параметр, який називається Додаткові обмеження для анонімні підключення вдається параметра реєстру RestrictAnonymous . Розташування, у значенні
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
        Щоб отримати додаткові відомості про параметр реєстру RestrictAnonymous клацніть номер статті в базі знань Microsoft Knowledge Base:
         
        Як 246261 використання параметра реєстру RestrictAnonymous у Windows 2000
         
        Анонімний вхід користувачам 143474 обмеження на інформації
         
    2. Ризикований конфігурації.

      Увімкнення у мережний доступ: не дозволяють SAM анонімне перелічення облікових записів використовується параметр шкідливих конфігурації з точки зору сумісності. Вимкніть її, є параметр шкідливих конфігурації з точки зору безпеки.
    3. Причини, щоб увімкнути цей параметр

      Неавторизований користувач міг анонімно, список імен облікових записів а також використовувати цю інформацію, можна спробувати припустити, паролі або виконати соціотехніка атак. Соціотехніка -це жаргон, це означає, що обман комп'ютерів паролів, або формі відомості про безпеку.
    4. Причини, щоб вимкнути цей параметр

      Якщо цей параметр увімкнуто, неможливо встановити довіри, з Windows NT 4.0 доменів. Цей параметр, також причини проблем із клієнтів нижнього рівня (наприклад, Windows NT 3.51 клієнти та клієнти для Windows 95), потрібно використовувати ресурсів на сервері.
    5. Символічне ім'я:


      RestrictAnonymousSAM
    6. Шлях до реєстру:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)
    7. Приклади проблеми сумісності
    • SMS-пошук мережі не зможуть отримати відомості про операційну систему а також буде писати "Невідомих" OperatingSystemNameandVersion властивості.
    • Windows 95, Windows 98: Клієнти для Windows 95 і Windows 98 клієнтів буде неможливо змінити свої паролі.
    • Windows NT 4.0: Windows NT 4.0 на основі комп'ютерах не зможете пройти автентифікацію.
    • Windows 95, Windows 98: Комп'ютерів під керуванням Windows 95 та Windows 98, на основі буде не зміг автентифікувати на контролерах домену в корпорації Майкрософт.
    • Windows 95, Windows 98: Не буде неможливо змінити паролі для своїх облікових записів користувачів, на комп'ютерах під керуванням Windows 95 і під керуванням Windows 98.
  9. Мережний доступ: не дозволяють SAM анонімне перелічення облікових записів і спільних ресурсів
    1. Тло
      • У мережний доступ: не дозволяють SAM анонімне перелічення облікових записів і спільних ресурсів настройку, (також відомий як RestrictAnonymous) визначає, чи дозволено анонімне перелічення диспетчера облікових записів безпеки (SAM) записів і спільних ресурсів. Windows для виконання певних дій, наприклад перелічення облікових записів домену (користувачі, комп'ютери та групи) і мережних імена анонімні користувачі. Це зручно, наприклад, коли адміністратор хоче для надання доступу для користувачів у довіреному домені, не підтримує довіра двосторонню угоду. Якщо ви не бажаєте дозволити анонімне перелічення SAM облікових записів і спільних ресурсів, Увімкніть цю настройку.
      • У Windows 2000, подібні параметр, який називається Додаткові обмеження для анонімні підключення вдається параметра реєстру RestrictAnonymous . Розташування це значення буде таким:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    2. Ризикований конфігурації.

      Увімкнення у мережний доступ: не дозволяють SAM анонімне перелічення облікових записів і спільних ресурсів використовується параметр шкідливих конфігурації.
    3. Причини, щоб увімкнути цей параметр
      • Увімкнення у мережний доступ: не дозволяють SAM анонімне перелічення облікових записів і спільних ресурсів параметр, забороняє перелічення SAM облікових записів і спільних ресурсів, користувачів і комп'ютерів, які використовують анонімний рахунків.
    4. Причини, щоб вимкнути цей параметр
      • Якщо цей параметр увімкнуто, неавторизований користувач міг анонімно, список імен облікових записів і використовувати цю інформацію, можна спробувати припустити, паролі або виконати соціотехніка атак. Соціотехніка -це жаргон, це означає, що обман комп'ютерів свій пароль, або формі відомості про безпеку.
      • Якщо цей параметр увімкнуто, буде неможливо встановити довіри, з Windows NT 4.0 доменів. Цей параметр викличе проблеми з клієнтів нижнього рівня, наприклад, Windows 95, Windows NT 3.51 і клієнтів, ви намагаєтеся використовувати ресурсів на сервері.
      • Неможливо надати доступ користувачам ресурсів доменів, тому що адміністратори, довірчого домену не зможете нумерує список облікових записів, іншого домену. Користувачам доступ до файлів і сервери друку анонімно буде неможливо списку спільних ресурсів на цих серверів. Користувачам потрібно автентифікації, перед тим, як переглянути перелік спільних папок і принтерів.
    5. Символічне ім'я:

      RestrictAnonymous
    6. Шлях до реєстру:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
    7. Приклади проблеми сумісності
      • Windows NT 4.0: Користувачі не зможуть змінити свої паролі з Windows NT 4.0 станцій при RestrictAnonymous на контролерах домену в домені для користувачів.
      • Windows NT 4.0: Додавання користувачів і груп, глобальний надійних доменів для Windows 2000, з Windows NT 4.0, локальних групах диспетчера користувача не вдасться, і відображається таке повідомлення про помилку:
        Наразі немає доступних серверів реєстрації для оброблення запиту на підключення.
      • Windows NT 4.0: Windows NT 4.0 комп'ютерах не зможете Реєстрація доменів, під час інсталяції, або за допомогою інтерфейсу користувача для приєднання до домену.
      • Windows NT 4.0: Створення нижнього рівня безпеки, з Windows NT 4.0 ресурсів домени не вдасться. При RestrictAnonymous у довіреному домені відображається таке повідомлення про помилку:
        Не вдається знайти контролер домену для цього домену.
      • Windows NT 4.0: Кореневий каталог за замовчуванням, замість кореневий каталог, визначеного користувачем у диспетчері доменів буде зіставлення користувачів, які підключилися до сервера терміналів, під керуванням Windows NT 4.0 комп'ютерів.
      • Windows NT 4.0: Windows NT 4.0 резервним контролерам домену (BDCs) буде неможливо запустити, служба Net Logon, отримати список браузерів, резервне копіювання або синхронізувати сам бази даних з Windows 2000 або Windows Server 2003-контролери домену в одному домені.
      • Windows 2000: Комп'ютери під керуванням Windows 2000, учасник, у Windows NT 4.0, домени не зможете переглянути принтери на зовнішні домени, якщо немає доступ без явного анонімний дозволів параметр політики локальної безпеки на клієнтському комп'ютері.
      • Windows 2000: Користувачі з домену Windows 2000 не зможете додати мережні принтери з Active Directory; Однак, вони зможуть додати принтери, після того, як вони виберіть їх на дерево.
      • Windows 2000: На комп'ютерах під керуванням Windows 2000 редактор списку керування Доступом буде неможливо додати користувачів і груп, глобальний надійних доменів для Windows NT 4.0.
      • ADMT версії 2: Пароль перенесення облікових записів, які перенесення між лісами з Active Directory перенесення засіб (ADMT) версії 2 не вдасться.

        Щоб отримати додаткові відомості, клацніть номер статті в базі знань Microsoft:
         
        322981 виправлення неполадок, пов'язаних із перехід між лісу пароль, з ADMTv2
      • Клієнтів outlook: Глобальний список адрес, буде відображено пусту клієнтів Microsoft Exchange Outlook.

        Щоб отримати додаткові відомості, клацніть номер статті в базі знань Microsoft:
        321169 SMB, зниження продуктивності, під час копіювання файлів Windows XP для контролера домену Windows 2000
      • SMS: Пошук мережі в Microsoft Systems Management Server (SMS) не зможете отримати інформацію про операційну систему. Таким чином, він буде писати "Невідомих" властивість OperatingSystemNameandVersion SMS DDR властивості виявлення запису даних (DDR).
      • SMS: Під час використання майстра користувача адміністратора SMS для перегляду для користувачів і груп, немає користувачів і груп, буде зазначено. Крім того, додаткові клієнтам не може встановити з'єднання з точки керування. Точка керування потрібно анонімний доступ.
      • SMS: Під час використання функції для пошуку мережі SMS 2.0 і віддаленої інсталяції для клієнта топології, клієнт і клієнтські операційні системи мережі виявлення режим увімкнуто, комп'ютерах може бути виявлено, але не буде інстальовано.
  10. Безпека мережі: Lan Manager автентифікація рівня
    1. Тло

      Автентифікації в мережі, диспетчер (LM) – це протокол, який використовується для автентифікації Windows клієнти для операцій, мережі, включаючи домен об'єднання, доступ до мережних ресурсів і користувача або комп'ютера автентифікації. Рівень перевірки автентичності LM визначає, що обговорюється протоколу, який запиту відповіді автентифікації між клієнтом і сервером комп'ютерів. Зокрема, LM рівень перевірки автентичності визначає, які протоколи автентифікації, клієнт намагається узгодити або сервер відповідає. Значення, яку настроєно на LmCompatibilityLevel визначає, що протоколу автентифікації, який запиту відповіді, що використовується для входу в мережі. Цей параметр впливає на рівні протоколу автентифікації, клієнти, використання, рівень безпеки сеансу, про, рівень перевірки автентичності, прийнята серверів.

      Можливо, параметри включають.
      Значення Параметр Опис
      0 Надіслати LM та NTLM відповіді. Клієнтам використовувати LM і NTLM і не NTLMv2 сеанс безпеки. Контролери домену, прийміть LM NTLM та NTLMv2 автентифікації.
      1 Надіслати LM & NTLM - використання NTLMv2 сеанс безпеки, якщо договірна Клієнтам використовувати LM і NTLM і NTLMv2 сеанс безпеки, якщо сервер підтримує. Контролери домену, прийміть LM NTLM та NTLMv2 автентифікації.
      2 Надсилати відповіді NTLM, лише Клієнтам використовувати автентифікацію NTLM лише і NTLMv2 сеанс безпеки, якщо сервер підтримує. Контролери домену, прийміть LM NTLM та NTLMv2 автентифікації.
      3 Надіслати відповідь NTLMv2, лише Клієнтам використовувати лише перевірки автентичності NTLMv2 і NTLMv2 сеанс безпеки якщо сервер підтримує. Контролери домену, прийміть LM NTLM та NTLMv2 автентифікації.
      4 Надіслати відповідь NTLMv2, лише / відмову LM Клієнтам використовувати лише перевірки автентичності NTLMv2 і NTLMv2 сеанс безпеки якщо сервер підтримує. Контролери домену, відмовляються LM та приймають лише автентифікацію NTLM та NTLMv2.
      5 Надіслати відповідь NTLMv2, лише / відмову LM та NTLM Клієнтам використовувати лише перевірки автентичності NTLMv2 і NTLMv2 сеанс безпеки якщо сервер підтримує. Контролери домену, відмовляються LM і NTLM та приймають лише NTLMv2 перевірки автентичності.
      Примітка. У Windows 95, Windows 98 і Windows 98 Second Edition, клієнт служби каталогів використовує підписування SMB, коли він засвідчує із серверами для Windows Server 2003, за допомогою автентифікації NTLM. Ці клієнти не використовуйте SMB, цифрового підпису, під час їх автентифіковано ці сервери з використанням NTLMv2 автентифікації. Крім того, сервери з Windows 2000 не відповідає на підписування запитів від цих клієнтів SMB.

      Перевірити рівень перевірки автентичності LM: Політики на сервері, щоб дозволити NTLM, потрібно змінити, або потрібно настроїти клієнтський комп'ютер для підтримки NTLMv2.

      Якщо політику (5)-NTLMv2, надіслати відповідь only\refuse LM та NTLM на цільовий комп'ютер, який потрібно підключитися до потрібно зменшити настройки на цьому комп'ютері або настроїти параметри безпеки, щоб ті ж самі параметри, що знаходиться на вихідному комп'ютері, що conn ecting з.

      Знайти правильне розташування, можна змінювати LAN manager, рівень перевірки автентичності, встановити клієнт і сервер на тому ж рівні. Після визначення політики, що установка LAN manager рівні для перевірки автентичності, щоб підключитися до та з комп'ютерів під керуванням попередніх версій Windows, принаймні зменшити значення (1) LM на надсилання та NTLM - використання-NTLM-версії 2 сесії безпеки якщо про. Один ефект несумісні параметри в тому, що якщо сервер вимагає, NTLMv2 (значення, 5), але, клієнт налаштовано на використання LM та NTLMv1 лише (значення 0), користувача, який намагається автентифікації досвід, помилка входу до системи, що має неправильний пароль, і, збільшення погано пароль кількість. Якщо блокування облікового запису з настроєно, користувач може зрештою заблоковано.

      Наприклад, ви, можливо, подивіться на контролері домену, або потрібно перевірити політики на контролері домену.

      Подивіться на контролері домену

      Примітка. Можливо, доведеться повторити наступну процедуру на всіх контролерах домену.
      1. Натисніть кнопку Пуск, програмита клацніть Адміністрування.
      2. У розділі Локальні настройки безпеки, розгорніть Локальні політики.
      3. Виберіть Параметри безпеки.
      4. Двічі клацніть Безпека мережі: Лом-Диспетчер перевірки автентичності рівеньі виберіть у списку значення.

      Ефективне настройки та локальні настройки, ті ж, цього рівня було змінено політики. Які параметри, слід переглянути контролер домену політики, щоб визначити, чи на Безпека мережі: Лом-Диспетчер перевірки автентичності рівень параметр визначено. Якщо її не визначено існує, перевірте, політики на контролері домену.

      Перевірка політики на контролері домену
      1. Натисніть кнопку Пуск, програмита клацніть Адміністрування.
      2. У політиці Безпеки з контролером домену послідовно розгорніть вузли Параметри безпекита Локальні політики.
      3. Виберіть Параметри безпеки.
      4. Двічі клацніть Безпека мережі: Лом-Диспетчер перевірки автентичності рівеньі виберіть у списку значення.

      Note
      • Також, можливо, доведеться перевірити політики, які посилаються на рівні сайту, рівень домену або організаційного підрозділу (ОП) рівні, щоб визначити, де потрібно настроїти рівень перевірки автентичності Диспетчер локальної мережі.
      • У разі застосування параметр групової політики, як політика домену за промовчанням, політика застосовується до всіх комп'ютерах в домені.
      • У разі застосування параметр групової політики, як контролер домену за промовчанням політики, політики застосовується лише для серверів, на контролері домену підрозділу.
      • Рекомендовано автентифікація рівня встановлено LAN manager низькі сутності необхідних можливостей ієрархії застосування політики.
       
       
      Windows Server 2003, має новий параметр за промовчанням для використання NTLMv2. За промовчанням, Windows Server 2003 та на контролерах домену Windows 2000 Server, SP3 ввімкнено на "сервер мережі Microsoft: використовувати цифровий підпис (завжди)" політики. Цей параметр вимагає на сервері SMB для виконання, підписування SMB пакетів. Внесені зміни, внесені до Windows Server 2003, оскільки контролери домену, файл серверів, мережного інфраструктура серверів і веб-серверів у будь-якій організації, потрібно різні параметри для підвищення їх безпеки.

      Якщо потрібно здійснити NTLMv2 автентифікації в мережі, необхідно переконатися в тому, що всі комп'ютери в домені встановлено використовувати цей рівень для автентифікації. Якщо Active Directory клієнта розширення для Windows 95 або Windows 98 і Windows NT 4.0, Клієнтське розширення, використовуйте покращені автентифікації функцій, доступних у NTLMv2. Через те, що клієнтські комп'ютери під керуванням таких операційних систем не впливає на Windows 2000 об'єкти групової політики, можливо, доведеться вручну налаштувати на ці клієнти:
      • Microsoft Windows NT 4.0
      • Microsoft Windows Millennium Edition
      • Microsoft Windows 98
      • Microsoft Windows 95
      Примітка. Якщо ввімкнути в Безпека мережі: не зберігайте лом Диспетчер геш-значення наступне змінення пароля політики або набір NoLMHash розділ реєстру, під керуванням Windows 95 і Windows 98, на основі-клієнтів, які не мають клієнт служби каталогів, інстальовано не Ввійдіть до домену, після зміни пароля.

      Багато виробників CIFS серверів, як Novell Netware-6, не знають про NTLMv2 та використання NTLM. Таким чином, рівні, що перевищує 2 не дозволяють підключення. Існує також сторонніх виробників SMB клієнти, які не використовують додатковий сеанс безпеки. У цьому випадку LmCompatiblityLevel, ресурсів сервера не брати до уваги. Сервер, а потім пакети до цього запиту на старих і надсилає користувачеві контролера домену. Параметри на контролері домену, а потім вирішити, що хеші, які використовуються для перевірки запит, і чи вони відповідають вимогам щодо безпеки контролера домену.

      Щоб отримати додаткові відомості про те, як настроїти вручну рівень перевірки автентичності Диспетчер локальної мережі клацніть номер статті в базі знань Microsoft Knowledge Base:
       
      147706 як вимкнути LM автентифікації у Windows NT
       
      Як 299656 , щоб Windows зберігання локальної мережі Диспетчер геш пароля в Active Directory та локальні SAM баз даних.
       
      312630 outlook не запитувати облікові дані для входу
       
      2701704 Аудит подій показує пакет автентифікації, NTLMv1, а не NTLMv2
      Щоб отримати додаткові відомості про LM автентифікації рівні клацніть номер статті в базі знань Microsoft Knowledge Base:
       
      239869 , як увімкнути автентифікацію на NTLM 2
       
    2. Ризикований конфігурації.

      Нижче наведено шкідливих настройки.
      • Nonrestrictive параметри, надсилати паролі як звичайний текст, і який забороняє NTLMv2 погодження
      • Обмежувальний параметрів, які перешкоджають несумісні клієнти або контролерів домену, з узгодження спільних протокол автентифікації
      • Вимагають NTLMv2 автентифікацію на комп'ютерах і контролерів домену під керуванням ОС Windows NT 4.0, які виходили з з пакетом оновлень 4 (SP4)
      • Потребують автентифікації NTLMv2, клієнти для Windows 95 або Windows 98, клієнти, які не мають клієнт служби каталогів Windows, інсталювати.
      • Якщо встановити прапорець, NTLMv2, що потребують сеанс безпеки в оснастці Microsoft Management Console групової політики на комп'ютері під керуванням Windows 2000 з пакетом оновлень 3 або Windows Server 2003, а також зменшити рівень перевірки автентичності Диспетчер локальної мережі 0 конфлікт двох параметрів і може з'явитися таке повідомлення про помилку у файл secpol. msc або gpedit. msc файл:
        Windows не вдається відкрити базу даних локальної політики. Невідома помилка під час спроби відкрити базу даних.
        Щоб отримати додаткові відомості про налаштування безпеки а також засіб див. у Windows 2000 або Windows Server 2003 допомогти файли.
    3. Причини, щоб змінити цей параметр
      • Потрібно збільшити низькі поширені автентифікації протокол, що підтримують клієнти та контролери домену в організації.
      • Де бізнес-вимога безпечного автентифікації, потрібно заборонити підготовка до надсилання до LM та протоколи NTLM.
    4. Причини, щоб вимкнути цей параметр

      Клієнтський сервер перевірки автентичності вимоги або обидві було збільшено до стану, де не може відбуватися автентифікації, через через спільний протокол.
    5. Символічне ім'я:

      LmCompatibilityLevel
    6. Шлях до реєстру:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
    7. Приклади проблеми сумісності
      • ОС Windows Server 2003: За промовчанням Windows Server 2003 NTLMv2 надіслати NTLM відповідей, що параметр увімкнуто. Таким чином, Windows Server 2003 з'являється повідомлення про помилку "Немає доступу" після початкової інсталяції під час спроби підключитися до кластера під керуванням Windows NT 4.0 або на основі LanManager-v 2.1 серверів, як OS/2-Lanserver. Крім того, ця проблема виникає під час спроби підключення до сервера під керуванням Windows Server 2003 із попередньої версії клієнта.
      • Інсталяції Windows 2000 безпеки зведений пакет 1 (SRP1). Примусове завершення SRP1 NTLM, версія 2 (NTLMv2). Цей пакет поточних, випущене після випуску Windows 2000 з пакетом оновлень 2 (SP2). Щоб отримати додаткові відомості про SRP1 клацніть номер статті в базі знань Microsoft Knowledge Base:
         
        311401 Windows 2000 безпеки зведеного 1 січня 2002 року
         
      • Windows 7 і Windows Server 2008 R2: багато виробників CIFS серверів, як Novell Netware 6 або Samba, Linux на основі серверів, не знаєте, що NTLMv2 і використання NTLM. Таким чином, рівні, що перевищує "2" не дозволяють підключення. Тепер версії операційної системи за промовчанням для LmCompatibilityLevel було змінено на "3". Таким чином, під час оновлення Windows цих третіх сторін, упорядники перестати працювати.
      • Користувачі Microsoft Outlook може запит на введення облікових даних, незважаючи на те, що вони вже ввійшли до домену. Після того, як користувачі, вказати свої облікові дані, з'являється таке повідомлення про помилку: Windows 7 і Windows Server 2008 R2
        Облікові дані входу до системи, що постачається були неправильно. Переконайтеся, що в імені користувача та домену правильно, а потім введіть пароль знову.
        Під час запуску програми Outlook, вам може бути запропоновано для облікових даних, навіть якщо встановлено значення параметра Безпечний вхід до мережі, до сервера або пароля. Після введення облікових даних правильно, може з'явитися таке повідомлення про помилку:
        Надані облікові дані входу не неправильні.
        Трасування мережний монітор може відображатися, що глобального каталогу, випущені несправності віддалений виклик (RPC) зі станом 0x5. Стан засобів 0x5 "Немає доступу".
      • Windows 2000: Під час в мережному моніторі може показувати такі помилки NetBIOS через протокол. TCP/IP (NetBT) сервера повідомлення блок-сеансу:
        Помилка SMB-R пошуку каталогу Dos (5) (91) неправильне ім'я користувача ACCESS_DENIED (109) STATUS_LOGON_FAILURE-ідентифікатор
      • Windows 2000: До складу домену Windows 2000, NTLMv2 рівня 2 або пізнішої версії є надійним домену Windows NT 4.0, комп'ютерів під керуванням Windows 2000, членом домену ресурсів виникають помилки автентифікації.
      • Windows 2000 і Windows XP: За промовчанням Windows 2000 та Windows XP установлено параметр локальної мережі Диспетчер перевірки автентичності рівень локальна політика безпеки на 0. Значення 0, означає "Надіслати LM і NTLM відповіді".

        Примітка. Windows кластерах під керуванням NT 4.0, потрібно використовувати LM для адміністрування.
      • Windows 2000: Кластеризація в Windows 2000 не вдається виконати автентифікацію приєднання вузла, якщо обидва вузли, які належать у Windows NT 4.0 з пакетом оновлень 6a (SP6a) домену.
      • Засіб блокування IIS (HiSecWeb) встановлюється значення LMCompatibilityLevel 5 і RestrictAnonymous значення 2.
      • Служби для Macintosh

        Модуль для перевірки автентичності користувача (UAM): UAM-Microsoft (модуль перевірки автентичності, користувач) надано для шифрування паролів, який використовується для входу до Windows-АФП (протокол AppleTalk подання) серверів. Apple модуль перевірки автентичності користувача (UAM) забезпечує мінімум або без шифрування. Таким чином, пароль можна легко бути перехоплення в локальній мережі або в Інтернеті. Хоча в UAM не потрібен, він забезпечує зашифровані автентифікацію на серверах Windows 2000, під керуванням служб для Macintosh. Ця версія підтримує NTLMv2 128-розрядне шифрування, зашифровані автентифікацію і MacOS X 10.1 сумісні з випуску.

        За промовчанням служби Windows Server 2003 для Macintosh server, дозволяє лише перевірки автентичності Microsoft.


        Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
         
        834498 Macintosh-клієнт не може підключитися до служб для Mac в ОС Windows Server 2003
      • ОС Windows Server 2008, Windows Server 2003, Windows XP та Windows 2000: Якщо настроїти LMCompatibilityLevel значення 0 або 1 і змініть NoLMHash значення 1, застосунки й компоненти можуть бути відхилені доступ через протокол NTLM. Ця проблема виникає в тому, що комп'ютер настроєно Увімкнення LM, але не можна використовувати паролі, що зберігаються на LM.

        Якщо настроїти NoLMHash значення 1, потрібно настроїти LMCompatibilityLevel значення 2 або пізнішої версії.
  11. Безпека мережі: клієнта LDAP, цифрового підпису
    1. Тло

      У Безпека мережі: клієнта LDAP, цифрового підпису параметр визначає, що обсяг даних підписування SMB, запитаних від імені клієнтів, які питання легкий протокол доступу до каталогів (LDAP) BIND запити, наступним чином:
      • None: ПРИВ'ЯЗКУ LDAP, запит випускається абонента вказані параметри.
      • Узгодити, підписування SMB: Якщо у Secure Sockets Layer/протокол TLS (SSL/TLS) не запущено, здійснити ПРИВ'ЯЗКУ LDAP запит ініціалізації з даними LDAP, option значення, крім того, викликає вказані параметри підписування SMB. Якщо запущено SSL/TLS здійснити ПРИВ'ЯЗКУ LDAP запит ініціалізації абонента вказані варіанти.
      • Запит цифрового підпису: це так само, як домовитися з цифрового підпису. Проте якщо на сервері LDAP середнього saslBindInProgress відповідь не означає, що LDAP трафік воно необхідне, викликає розповідається, збій запиту команда здійснити ПРИВ'ЯЗКУ LDAP.
    2. Ризикований конфігурації.

      Увімкнення у Безпека мережі: клієнта LDAP, цифрового підпису використовується параметр шкідливих конфігурації. Якщо сервер потребує LDAP підписи, також потрібно настроїти LDAP, підписування на клієнтському комп'ютері. Не, налаштування клієнта Timeout = LDAP, щоб запобігти з сервером. Це призводить до перевірки автентичності користувача групової політики параметри, сценарію входу до системи та інші функції не.
    3. Причини, щоб змінити цей параметр

      Непідписаний мережний трафік є уразливий до атак людина в середині, коли зловмисник перехоплює пакети, між клієнтом і серверів, змінює, їх і знову пересилає на сервер. Якщо це відбувається на сервері LDAP, зловмисник може призвести до сервера відповісти на основі помилкові запитів від клієнта LDAP. Шляхом впровадження стійке фізичної безпеки заходів для захисту інфраструктури мережі, ви можете знизити ризик до корпоративної мережі. Крім того, можна запобігти всіх видів людина в середині атак шляхом перевірки цифрових підписів електронних пакети мережі за допомогою IPSec заголовків для автентифікації.
    4. Символічне ім'я:

      LDAPClientIntegrity
    5. Шлях до реєстру:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
  12. В журналі: Максимальний розмір журналу безпеки
    1. Тло

      У в журналі: максимальний розмір для журналу безпеки настройки безпеки, визначає максимальний розмір журналу подій безпеки. Цей журнал містить, максимальний розмір 4 ГБ. Щоб знайти цей параметр, розгорніть вузол.
      Налаштування Windowsа потім Параметри безпеки.
    2. Ризикований конфігурації.

      Нижче наведено шкідливих настройки.
      • Обмеження на розмір журналу безпеки а також спосіб зберігання журналу безпеки під час на перевірки: завершення роботи системи відразу ж, якщо не вдалося увійти в систему безпеки перевірок активовано. Див. на "Категорія: завершення роботи системи відразу ж, якщо не вдалося увійти в систему безпеки перевірок" цієї статті, щоб отримати додаткові відомості.
      • Обмеження розміру журналу безпеки, таким чином, заходи безпеки інтерес буде замінено.
    3. Причини, щоб збільшити цю настройку

      Вимоги для бізнесу та безпеки може визначають, збільшувати розмір журналу безпеки для додаткової безпеки журналу докладно або зберегти безпеки журнали довше часу.
    4. Причини, щоб зменшити цей параметр

      Журналі перегляду подій, які файли з розподілом пам'яті. Обсяг фізичної пам'яті на локальному комп'ютері і віртуальна пам'ять, доступну в журналі процес обмеження максимального розміру журналу подій. Збільшення розміру журналу за обсяг віртуальної пам'яті, який можна використовувати для перегляду подій не збільшити кількість записів у журналі, які підтримуються.
    5. Приклади проблеми сумісності

      Windows 2000: Комп'ютери під керуванням ОС Windows 2000, які раніше, ніж у з з пакетом оновлень 4 (SP4) може припинити ведення журналу подій у разі входу, перед тим, як досягти розмір, який вказано максимальний розмір журналу налаштування в засобі перегляду подій, якщо в не перезаписуються події (очищення журналу вручну) параметр увімкнуто.


      Щоб отримати додаткові відомості, клацніть номер статті в базі знань Microsoft:
       
      312571 журналу подій перестає журналювання до досягнення до максимального розміру журналу
       
  13. В журналі: Зберегти в журнал безпеки
    1. Тло

      У в журналі: зберегти журнал безпеки визначає метод "упаковка", до журналу безпеки, настройки безпеки. Щоб знайти цей параметр, послідовно розгорніть вузли Налаштування Windowsта Параметри безпеки.
    2. Ризикований конфігурації.

      Нижче наведено шкідливих настройки.
      • Не вдається зберегти реєструється у всіх заходів безпеки, перш ніж їх буде замінено
      • Настроювання максимальний розмір для журналу безпеки , налаштування занадто малий, тому, що події безпеки буде замінено
      • Обмеження безпеки журналу розміру та права на удержання метод під час на Категорія: завершення роботи системи відразу ж, якщо не вдалося увійти в систему безпеки перевірок безпеки увімкнуто
    3. Причини, щоб увімкнути цей параметр

      Увімкніть цю настройку, лише, якщо вибрати спосіб зберігання перезаписування подій днів . Якщо використовується система кореляція подій, які опитування подій, переконайтеся, чи тричі частота опитування кількості днів. Для цього для помилки опитування циклів.
  14. Мережний доступ: нехай всі дозволи застосовуються анонімних користувачів
    1. Тло

      За промовчанням у мережний доступ: дозволити всім дозволи, що стосуються анонімних користувачів встановлено, Не визначено ОС Windows Server 2003. За промовчанням, Windows Server 2003 не містить маркер анонімного доступу в всі групи.
    2. Приклад проблеми сумісності

      Таке значення
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
      [REG_DWORD] = 0x0 розриви довіри створення, Windows Server 2003 та Windows NT 4.0, домену Windows Server 2003 обліковий запис домену та домену Windows NT 4.0 ресурсів домену. Це означає, що обліковий запис домену є надійним, у Windows NT 4.0 і ресурсів домену довіра з боку Windows Server 2003. Це трапляється через те, що процес запуску довіри, після початкового анонімні підключення список керування Доступом, що буде з усіма маркерів, у тому числі анонімний ідентифікатор SID у Windows NT 4.0.
    3. Причини, щоб змінити цей параметр

      Значення, потрібно встановити 0x1 або за допомогою об'єкт групової політики на контролері домену ОП, як: мережний доступ: дозволити всім дозволи, що стосуються анонімних користувачів - з підтримкою щоб довіри-шаблони можливо.

      Примітка. Більшість інших параметрів, перейдіть значення, а не до 0x0, найбільш забезпечених стан. Захист практики б зміни до реєстру на основний домен контролер емулятор замість на всіх контролерах домену. Якщо на основному емулятор до ролі контролера домену, перемістити будь-якої причини, на новому сервері, потрібно оновити реєстр.

      Після того, як це значення, перезавантажити комп'ютер не потрібно.
    4. Розділ реєстру
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
  15. NTLMv2 автентифікації.
     
    1. Сеанс безпеки.

      Сеанс безпеки визначає стандарти мінімальних безпеки, для клієнта та сервера сеансів. Рекомендовано перевірити Нижченаведені параметри політики безпеки в оснащенні Microsoft Management Console групової політики:
      • Комп'ютер-Settings\Windows Settings\Security Settings\Local Policies\Security параметри
      • Безпека в мережі: Принаймні сеанс безпеки NTLM SSP на основі (включно з безпечним RPC) сервера
      • Безпека в мережі: Принаймні сеанс безпеки NTLM SSP на основі (включно з безпечним RPC) клієнтів
      Параметри цих параметрів є такими:
      • Потрібна цілісність повідомлення
      • Потрібна повідомлення конфіденційність
      • Потрібна NTLM-версії 2 сесії безпеки.
      • Потрібне 128-розрядне шифрування
      За замовчуванням до Windows 7, є ніяких вимог. Починаючи з Windows 7, за промовчанням змінено на потрібне 128-розрядне шифрування для покращення безпеки. З цього промовчанням застарілими пристроями, які не підтримують, 128-розрядне шифрування буде неможливо підключитися.

      Ця політика визначити стандарти мінімальних безпеки на додаток до зв'язку сеансу на сервері для клієнта.

      Зверніть увагу, що, хоча описується як припустимі настройки, прапори потребує цілісність і конфіденційність не використовуються, коли безпеки під час сеансу NTLM визначається.

      Раніше Windows NT підтримує такі два варіанти запиту відповіді автентифікації для входу в мережі:
      • LM запиту відповіді.
      • NTLM версії 1 запиту відповіді.
      LM дозволяє на сумісність з інстальованих базі клієнтами та серверами. NTLM-забезпечує підвищеним рівнем безпеки для підключень між клієнтами та серверами.

      Відповідні розділи реєстру є такими:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"
    2. Ризикований конфігурації.

      Цей параметр визначає, як буде оброблятися мережі сеанси, які використовують протокол NTLM-захистом. Це впливає на автентифікацію з NTLM, наприклад віддаленого виклику процедур на базі сеансів. Існують такі ризики:
      • Використання попередні методи автентифікації, ніж NTLMv2 полегшує зв'язку до атак через хешування прості методи, які використовуються.
      • Використання ключів шифрування, менше, ніж 128-розрядне шифрування, дозволяє зловмисниками розірвати зв'язок з використанням грубий сили атаки.

Синхронізація часу

Не вдалося виконати синхронізацію з часом. Час вимкнений більше 30 хвилин, на комп'ютер. Переконайтеся, що клієнтського комп'ютера синхронізується із годинником на контролері домену.

Вирішення підписування SMB

Ми рекомендуємо, щоб інсталювати пакет оновлень 6a (SP6a) у Windows NT 4.0 клієнтів, які взаємодіють в домені, під керуванням Windows Server 2003. Клієнти, під керуванням Windows 98 Second Edition, клієнтів під керуванням Windows 98 і клієнтів під керуванням Windows 95, потрібно запустити клієнт служби каталогів, виконувати NTLMv2. Якщо клієнти, під керуванням Windows NT 4.0 не SP6 Windows NT 4.0, інстальовано або клієнтів під керуванням Windows 95, клієнтів під керуванням Windows 98 і Windows, 98SE клієнтах немає клієнт служби каталогів, інстальовано, вимкніть SMB входу до домену за промовчанням політика на контролері домену з підрозділу та натисніть посилання цю політику всі підрозділи, які розміщення контролерів домену.

У каталозі служби клієнта для Windows 98 Second Edition, Windows 98 і Windows 95 виконає підписування SMB із серверами Windows 2003, перевірка автентичності NTLM, а не під NTLMv2 автентифікації. Крім того, сервери з Windows 2000 не реагуватиме на запити, підписування SMB з цих клієнтів.

Незважаючи на те, корпорація Майкрософт не рекомендує, можна запобігти підписування SMB, необхідності на всіх контролерах домену під керуванням Windows Server 2003, який входить до домену. Щоб настроїти настройки безпеки, виконайте такі дії:
  1. Відкрийте контролера домену за промовчанням політики.
  2. Відкрийте папку Комп'ютер Settings\Security-конфігурація Settings\Local Policies\Security параметри .
  3. Знайдіть і клацніть на сервер мережі Microsoft: використовувати цифровий підпис (завжди) параметр політики та виберіть вимкнуто.
Увага! Цей розділ, спосіб або завдання містить вказівки про внесення змін до реєстру. Проте серйозні проблеми можуть виникнути, якщо внесені зміни до реєстру неправильні. Таким чином, переконайтеся, що ретельно виконані такі дії. Для додаткового захисту створіть резервну копію реєстру перед внесенням змін. Після цього можна відновити реєстр, якщо виникає проблема. Щоб отримати додаткові відомості про резервне копіювання та відновлення реєстру клацніть номер статті в базі знань Microsoft:Також можна вимкнути SMB, вхід на сервер, шляхом внесення змін до реєстру. Щоб це зробити, виконайте такі дії:
  1. Натисніть кнопку Пуск, натисніть Запустити, введіть regedit і натисніть кнопку OK.
  2. Знайдіть і клацніть такий підрозділ реєстру:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters
  3. Клацніть запис enablesecuritysignature .
  4. У меню Редагування натисніть Змінити.
  5. У полі значення введіть 0і натисніть кнопку OK.
  6. Закрийте редактор реєстру.
  7. Перезавантажте комп'ютер, або зупинити і перезавантажте служби сервера. Для цього введіть такі команди в командному рядку та натисніть клавішу Enter після кожної команди:
    Чистий зупинка сервера
    net start server
Примітка. Відповідну клавішу на клієнтському комп'ютері, що знаходиться в такому підрозділі реєстру:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters
Містить перекладені помилка код номери коди стану та точні помилок, вище.
Помилка 5
ERROR_ACCESS_DENIED

Немає доступу.
Помилка 1326

ERROR_LOGON_FAILURE

Помилка входу в систему: невідоме ім'я користувача або неправильний пароль.
Помилка 1788

ERROR_TRUSTED_DOMAIN_FAILURE

Не вдалося виконати довірчі відносини між основним і довірений домен.
Помилка 1789

ERROR_TRUSTED_RELATIONSHIP_FAILURE

Не вдалося виконати на довірчий зв'язок між цього станції і основним.
Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
 
324802 , як настроїти групову політику, щоб установити безпеки для системних служб Windows Server 2003
 
161372 , як увімкнути SMB, що вхід у Windows NT
 
Як 816585 застосовувати стандартні безпеки шаблони у Windows Server 2003
 
820281 потрібно надати облікових даних Windows під час підключення до Exchange Server 2003 за допомогою Outlook 2003-RPC через протокол HTTP