Якщо змінити параметри безпеки та призначення прав користувача, можуть виникнути проблеми з клієнтом, службою та програмою

Windows XP

Щоб підвищити рівень обізнаності про неправильно настроєні параметри безпеки, змініть параметри безпеки за допомогою засобу редактора об'єктів Групова політика. Під час використання редактора об'єктів Групова політика призначення прав користувача вдосконалюються в таких операційних системах:

• Windows XP Professional із пакетом оновлень 2 (SP2)

• Windows Server 2003 із пакетом оновлень 1 (SP1)

Розширена функція – це діалогове вікно, яке містить посилання на цю статтю. Діалогове вікно з'являється, коли ви змінюєте параметр безпеки або призначення прав користувача на параметр, який забезпечує меншу сумісність і є більш обмежувальним. Якщо ви безпосередньо змінюєте той самий параметр безпеки або призначення прав користувача за допомогою реєстру або за допомогою шаблонів безпеки, ефект зміниться так само, як і в Групова політика редакторі об'єктів. Однак діалогове вікно, яке містить посилання на цю статтю, не відображається.

У цій статті наведено приклади клієнтів, програм і операцій, на які впливають певні параметри безпеки або призначення прав користувача. Однак приклади не є важливими для всіх операційних систем Microsoft, для всіх операційних систем сторонніх виробників або для всіх версій програм, на які це впливає. У цій статті наведено не всі параметри безпеки та призначення прав користувачів.

Перш ніж вводити їх у виробничому середовищі, радимо перевірити сумісність усіх змін конфігурації, пов'язаних із безпекою, у тестовому лісі. Ліс випробування має віддзеркалення виробництва лісу таким чином:

• Версії клієнтської та серверної операційної системи, клієнтські та серверні програми, версії пакетів оновлень, виправлення, зміни схеми, групи безпеки, членство в групах, дозволи для об'єктів у файловій системі, спільних папках, реєстрі, службі каталогів Active Directory, локальних і Групова політика параметрах, а також тип і розташування кількості об'єктів

• Виконані адміністративні завдання, засоби адміністрування, які використовуються, і операційні системи, які використовуються для виконання адміністративних завдань

• Операції, які виконуються, наприклад:

  • Автентифікація комп'ютера та користувача для входу

  • Скидання паролів користувачами, комп'ютерами та адміністраторами

  • Перегляду

  • Установлення дозволів для файлової системи, для спільних папок, реєстру та для ресурсів Active Directory за допомогою редактора ACL в усіх клієнтських операційних системах в усіх доменах облікових записів або ресурсів з усіх операційних систем клієнта з усіх доменів облікових записів або ресурсів

  • Друк з адміністративних і неадміністративних облікових записів

Windows Server 2003 SP1

Права користувачів

У наведеному нижче списку описано правильність користувача, визначено параметри конфігурації, які можуть спричинити проблеми, описано, чому слід застосувати користувача праворуч і чому потрібно видалити користувача праворуч, а також наведено приклади проблем сумісності, які можуть виникнути, якщо настроєно право користувача.

1. Доступ до цього комп'ютера з мережі

   1. Фоновому режимі
      
      Щоб взаємодіяти з віддаленими комп'ютерами під керуванням Windows, потрібен доступ до цього комп'ютера від правого користувача мережі. Нижче наведено приклади таких мережевих операцій.

      • Реплікація Active Directory між контролерами домену в спільному домені або лісі

      • Запити автентифікації на контролери домену від користувачів і комп'ютерів

      • Доступ до спільних папок, принтерів та інших системних служб, розташованих на віддалених комп'ютерах у мережі

      
      
      Користувачі, комп'ютери та облікові записи служб отримують або втрачають доступ до цього комп'ютера від користувача мережі, явно або неявно додаючи або видаляючи з групи безпеки, якій надано це право. Наприклад, обліковий запис користувача або обліковий запис комп'ютера може бути явно додано до настроюваної групи безпеки або вбудованої групи безпеки адміністратором або може бути неявно додано операційною системою до обчислювальної групи безпеки, як-от "Користувачі домену", "Автентифіковані користувачі" або "Контролери корпоративних доменів".
      
      За замовчуванням облікові записи користувачів і облікові записи комп'ютера мають право на доступ до цього комп'ютера від користувача мережі, якщо обчислюються групи, як-от Усі або, бажано, Автентифіковані користувачі, а для контролерів домену – група Enterprise Domain Controllers (Контролери корпоративних доменів) визначаються в контролерах домену за промовчанням Групова політика Object (GPO).

   2. Ризиковані конфігурації
      
      Нижче наведено шкідливі параметри конфігурації.

      • Видалення групи безпеки "Контролери корпоративних контролерів домену" з правого боку цього користувача

      • Видалення групи "Автентифіковані користувачі" або явної групи, яка дає змогу користувачам, комп'ютерам і обліковим записам служб підключатися до комп'ютерів через мережу.

      • Видалення всіх користувачів і комп'ютерів із цього користувача праворуч

   3. Причини надання цьому користувачу права

      • Надання доступу до цього комп'ютера від мережевого користувача права для групи корпоративних контролерів домену задовольняє вимоги автентифікації, які реплікація Active Directory повинна мати для реплікації відбуваються між контролерами домену в тому ж лісі.

      • Це право дає змогу користувачам і комп'ютерам отримувати доступ до спільних файлів, принтерів і системних служб, зокрема Active Directory.

      • Це право користувача потрібне для доступу користувачів до пошти в ранніх версіях Microsoft Outlook Web Access (OWA).

   4. Причини для видалення цього користувача праворуч

      • Користувачі, які можуть підключати свої комп'ютери до мережі, можуть отримати доступ до ресурсів на віддалених комп'ютерах, для яких вони мають дозволи. Наприклад, це право користувача потрібне для підключення користувача до спільних принтерів і папок. Якщо це право надано групі "Усі", а деякі спільні папки мають дозволи на спільний доступ і настроєні файловій системі NTFS, щоб однакова група мала доступ до читання, будь-хто може переглядати файли в цих спільних папках. Однак це малоймовірна ситуація для свіжих інсталяцій Windows Server 2003, тому що спільний доступ за промовчанням і дозволи NTFS у Windows Server 2003 не включають усі групи. Для систем, які оновлено з Microsoft Windows NT 4.0 або Windows 2000, ця вразливість може мати більш високий рівень ризику, оскільки спільний доступ за промовчанням і дозволи файлової системи для цих операційних систем не такі обмеження, як дозволи за замовчуванням у Windows Server 2003.

      • Немає дійсних причин для видалення групи корпоративних контролерів домену з цього права користувача.

      • Зазвичай група "Усі" видаляється на користь групи "Автентифіковані користувачі". Якщо групу "Усі" видалено, групі Автентифіковані користувачі потрібно надати цей користувач право.

      • Домени Windows NT 4.0, оновлені до Windows 2000, явно не надають доступ до цього комп'ютера від мережевого користувача право на групі "Усі", "Автентифіковані користувачі" або "Корпоративні контролери домену". Таким чином, після видалення групи "Усі" з політики домену Windows NT 4.0 реплікація Active Directory не з'явиться з повідомленням про помилку "Немає доступу" після оновлення до Windows 2000. Winnt32.exe у Windows Server 2003 уникає цієї неправильної конфігурації, надаючи групі корпоративних контролерів домену цього користувача право під час оновлення Windows NT 4.0 основних контролерів домену (PDCs). Надайте групі корпоративних контролерів домену цей користувач право, якщо його немає в редакторі об'єктів Групова політика.

   5. Приклади проблем із сумісністю

      • Windows 2000 і Windows Server 2003: реплікація таких розділів не вдасться з помилками "Відмовлено в доступі", як повідомляється інструментами моніторингу, такими як REPLMON і REPADMIN або реплікації події в журналі подій.

        • Розділ схеми Active Directory

        • Розділ конфігурації

        • Розділ домену

        • Розділ глобального каталогу

        • Розділ програми

      • Усі операційні системи мережі Microsoft: автентифікація облікового запису користувача з віддалених клієнтських комп'ютерів мережі завершиться помилкою, якщо користувач або група безпеки, до яких входить користувач, не отримала права цього користувача.

      • Усі операційні системи microsoft network: автентифікація облікового запису з віддалених мережевих клієнтів завершиться помилкою, якщо обліковий запис або група безпеки, до яких належить обліковий запис, не було надано цьому користувачу права. Цей сценарій застосовується до облікових записів користувачів, облікових записів комп'ютерів і облікових записів служб.

      • Усі операційні системи microsoft network: видалення всіх облікових записів із цього права користувача не дозволить будь-якому обліковому запису ввійти в домен або отримати доступ до мережевих ресурсів. Якщо вилучаються обчислювані групи, як-от "Корпоративні контролери домену", "Усі" або "Автентифіковані користувачі", слід явно надати цьому користувачу право на доступ до облікових записів або груп безпеки, до яких належить обліковий запис для доступу до віддалених комп'ютерів через мережу. Цей сценарій застосовується до всіх облікових записів користувачів, усіх облікових записів комп'ютера та всіх облікових записів служб.

      • Усі операційні системи мережі Microsoft. Локальний обліковий запис адміністратора використовує "пустий" пароль. Підключення до мережі з пустими паролями заборонено для облікових записів адміністратора в доменному середовищі. За допомогою цієї конфігурації можна очікувати на отримання повідомлення про помилку "Відмовлено в доступі".

2. Дозволити локальний вхід

   1. Фоновому режимі
      
      Користувачі, які намагаються ввійти на консоль комп'ютера під керуванням Windows (за допомогою сполучення клавіш Ctrl+Alt+Delete) і облікові записи, які намагаються запустити службу, повинні мати права локального входу на хостинг-комп'ютері. До прикладів локальних операцій входу належать адміністратори, які входять на консолі комп'ютерів-членів або контролери домену в корпоративних і доменних користувачів, які входять на комп'ютери-члени, щоб отримати доступ до своїх робочих столів за допомогою непривілейованих облікових записів. Користувачі, які використовують підключення до віддаленого робочого стола або служби терміналів, повинні мати дозвіл на вхід локально на комп'ютерах призначення, на яких інстальовано Windows 2000 або Windows XP, оскільки ці режими входу вважаються локальними для хостинг-комп'ютера. Користувачі, які ввійдіть на сервер, на якому увімкнуто сервер терміналів і які не мають права цього користувача, все ще можуть запустити віддалений інтерактивний сеанс у доменах Windows Server 2003, якщо вони мають право дозволити вхід через служби терміналів.

   2. Ризиковані конфігурації
      
      Нижче наведено шкідливі параметри конфігурації.

      • Видалення груп адміністративної безпеки, зокрема операторів облікових записів, операторів резервного копіювання, операторів друку або операторів сервера, а також вбудованої групи адміністраторів із політики контролера домену за промовчанням.

      • Видалення облікових записів служби, які використовуються компонентами та програмами на комп'ютерах-членах і контролерах домену в домені з політики контролера домену за промовчанням.

      • Видалення користувачів або груп безпеки, які ввійдіть на консоль комп'ютерів-членів домену.

      • Видалення облікових записів служби, визначених у локальній базі даних диспетчера облікових записів безпеки (SAM) комп'ютерів-членів або робочих груп.

      • Видалення не вбудованих адміністративних облікових записів, які автентифікують служби терміналів, запущених на контролері домену.

      • Додавання всіх облікових записів користувачів у домені явно або неявно через групу "Усі" до праворуч заборонити локальний вхід у систему. Ця конфігурація завадить користувачам входити на будь-який комп'ютер-учасник або будь-який контролер домену в домені.

   3. Причини надання цьому користувачу права

      • Щоб отримати доступ до консолі або робочого стола комп'ютера робочої групи, комп'ютера-учасника або контролера домену, користувачі повинні мати право на локальний вхід локально.

      • Користувач повинен мати право на вхід через сеанс служби терміналів, який працює на комп'ютері або контролері домену на базі Window 2000 на комп'ютері-члені.

   4. Причини для видалення цього користувача праворуч

      • Якщо не обмежити консольний доступ до надійних облікових записів користувачів, це може призвести до того, що неавторизовані користувачі завантажують і виконують зловмисний код, щоб змінити свої права користувачів.

      • Видалення дозволу входу локально користувач права запобігає несанкціоновані вхід на консолях комп'ютерів, наприклад контролери домену або застосунків серверів.

      • Видалення цього права входу перешкоджає не доменних облікових записів увійти на консолі комп'ютерів-членів у домені.

   5. Приклади проблем із сумісністю

      • Сервери терміналів Windows 2000: щоб користувачі могли входити на сервери терміналів Windows 2000, потрібно мати право на вхід на локальному комп'ютері.

      • Windows NT 4.0, Windows 2000, Windows XP або Windows Server 2003: облікові записи користувачів мають бути надані цьому користувачу право на вхід на консолі комп'ютерів під керуванням Windows NT 4.0, Windows 2000, Windows XP або Windows Server 2003.

      • Windows NT 4.0 і пізніших версій: на комп'ютерах під керуванням Windows NT 4.0 і пізніших версій, якщо додати право на вхід локально, але ви неявно або явно надаєте право заборонити локальний вхід, облікові записи не зможуть увійти на консоль контролерів домену.

3. Обхід перевірки обходу

   1. Фоновому режимі
      
      Права перевірка обходу дає змогу користувачу переглядати папки у файловій системі NTFS або в реєстрі, не перевіряючи наявність дозволу на спеціальний доступ до папки Traverse Folder. Право на перевірку обходу не дозволяє користувачу перелічити вміст папки. Це дає змогу користувачу обходити лише його папки.

   2. Ризиковані конфігурації
      
      Нижче наведено шкідливі параметри конфігурації.

      • Видалення облікових записів без адміністрування, які входять на комп'ютери служб терміналів під керуванням Windows 2000 або windows Server 2003 на комп'ютерах служб терміналів, які не мають дозволів на доступ до файлів і папок у файловій системі.

      • Видалення групи "Усі" зі списку принципалів безпеки, які мають право цього користувача за замовчуванням. Операційні системи Windows, а також багато програм, розроблено з очікуванням, що будь-який користувач, який зможе отримати законний доступ до комп'ютера, матиме право на перевірку обходу. Таким чином, видалення групи "Усі" зі списку принципалів безпеки, які мають це право користувача за промовчанням може призвести до нестабільної роботи операційної системи або до помилки програми. Краще залишити цей параметр за замовчуванням.

   3. Причини надання цьому користувачу права
      
      За замовчуванням для перевірки обходу користувацькі права дають змогу нікому обійти перевірку обходу. Для досвідчених системних адміністраторів Windows це очікувана поведінка та вони відповідним чином настроюють списки керування доступом до файлової системи (SACLs). Єдиний сценарій, коли настроювання за промовчанням може призвести до mishap, якщо адміністратор, який настроює дозволи, не розуміє поведінку та очікує, що користувачі, які не мають доступу до батьківської папки, не зможуть отримати доступ до вмісту будь-яких дочірніх папок.

   4. Причини для видалення цього користувача праворуч
      
      Щоб запобігти доступу до файлів або папок у файловій системі, організації, які дуже стурбовані безпекою, можуть спокуситися видалити групу "Усі" або навіть групу "Користувачі" зі списку груп, які мають право на перевірку обходу.

   5. Приклади проблем із сумісністю

      • Windows 2000, Windows Server 2003: Якщо обхід перевірки правого користувача видаляється або неправильно налаштовано на комп'ютерах під керуванням Windows 2000 або Windows Server 2003, Групова політика настройки в папці SYVOL не будуть реплікуватися між контролерами домену в домені.

      • Windows 2000, Windows XP Professional, Windows Server 2003: комп'ютери під керуванням Windows 2000, Windows XP Professional або Windows Server 2003 будуть записувати події 1000 і 1202 і не зможуть застосовувати політику комп'ютера та політики користувача, якщо необхідні дозволи файлової системи видаляються з дерева SYSVOL, якщо права на перевірку обходу видалено або неправильно настроєний.
        
         

      • Windows 2000, Windows Server 2003: на комп'ютерах під керуванням Windows 2000 або Windows Server 2003 вкладка Квота в Провіднику Windows зникне під час перегляду властивостей на томі.

      • Windows 2000: Адміністратори, які входять на сервер терміналів Windows 2000, можуть отримати таке повідомлення про помилку:

        Userinit.exe помилка програми. Програмі не вдалося ініціалізувати належним чином, 0xc0000142 натисніть кнопку "ОК", щоб завершити роботу програми.

      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Користувачі, на комп'ютерах яких використовується Windows NT 4.0, Windows 2000, Windows XP або Windows Server 2003, можуть не мати доступу до спільних папок або файлів у спільних папках, і вони можуть отримувати повідомлення про помилку "Немає доступу", якщо їм не надано право на перевірку обходу.
        
        
         

      • Windows NT 4.0: на комп'ютерах під керуванням Windows NT 4.0 видалення права на перевірку обходу призведе до видалення файлової копії файлів потоками. Якщо видалити цього користувача праворуч, коли файл копіюється з клієнта Windows або з клієнта Macintosh до контролера домену Windows NT 4.0, на якому запущено служби Для Macintosh, кінцевий потік файлів втрачається, і файл відображається як текстовий файл.

      • Microsoft Windows 95, Microsoft Windows 98: на клієнтському комп'ютері під керуванням Windows 95 або Windows 98 net use * /home command fail with an "Access Denied" error message, if the Authenticated Users group is not granted the Bypass traverse checking user right.

      • Outlook Web Access. Не адміністратори не зможуть ввійти у веб-програму Microsoft Outlook Web Access, і отримають повідомлення про помилку "Немає доступу", якщо їм не надано право на перевірку обходу.

Параметри безпеки

Наведений нижче список визначає параметр безпеки, а вкладений список містить опис параметра безпеки, визначає параметри конфігурації, які можуть спричинити проблеми, описує причини застосування параметра безпеки, а потім описує причини, з яких можна видалити параметр безпеки. Вкладений список надає символічне ім'я для параметра безпеки та шлях до реєстру параметра безпеки. Нарешті, наведено приклади проблем сумісності, які можуть виникнути під час настроювання параметра безпеки.

1. Аудит: негайно завершіть роботу системи, якщо не вдається ввійти в журнал перевірок безпеки

   1. "Фон"

      • Параметр Аудит: негайно завершити роботу системи, якщо не вдається ввійти в журнал аудиту визначає, чи система завершує роботу, якщо не вдається ввійти в журнал подій безпеки. Цей параметр потрібен для оцінки C2 програми TCSEC та загальних критеріїв оцінки безпеки інформаційних технологій, щоб запобігти події, які можна перевірити, якщо система аудиту не може записати ці події. Якщо системі аудиту не вдасться, система завершує роботу та з'являється повідомлення про STOP-помилку.

      • Якщо комп'ютер не може записати події в журнал безпеки, критичні докази або важливі відомості про виправлення неполадок можуть бути недоступні для перевірки після інциденту безпеки.

   2. Ризикована конфігурація
      
      Нижче наведено параметр шкідливої конфігурації. Параметр Аудит: завершити роботу системи негайно, якщо не вдається ввійти в журнал перевірок безпеки, а розмір журналу подій безпеки обмежено параметром Не перезаписувати події (очистити журнал вручну), параметром Перезаписати події за потреби або параметром Перезаписати події, старіші за кількість днів у перегляд подій. Докладні відомості про конкретні ризики для комп'ютерів, на яких інстальовано оригінальну версію Windows 2000, Windows 2000 із пакетом оновлень 1 (SP1), Windows 2000 з пакетом оновлень 3 (SP2), див. в розділі "Приклади проблем сумісності".

   3. Причини для ввімкнення цього параметра
      
      Якщо комп'ютер не може записати події в журнал безпеки, критичні докази або важливі відомості про виправлення неполадок можуть бути недоступні для перевірки після інциденту безпеки.

   4. Причини вимкнення цього параметра

      • Увімкнення перевірки: негайно завершити роботу системи, якщо не вдається ввійти в журнал аудиту зупиняє систему, якщо аудит безпеки не вдалося внести до журналу з будь-якої причини. Зазвичай подію не можна записувати, якщо журнал аудиту безпеки заповнено, а вказаний метод збереження – це параметр Не перезаписувати події (очистити журнал вручну) або параметр Перезаписати події, старіші за кількість днів.

      • Адміністративне навантаження на ввімкнення перевірки: завершити роботу системи негайно, якщо не вдається записати аудит безпеки може бути дуже високий, особливо якщо ви також ввімкнули параметр Не перезаписувати події (очистити журнал вручну) для журналу безпеки. Цей параметр забезпечує індивідуальну підзвітність операторних дій. Наприклад, адміністратор може скинути дозволи для всіх користувачів, комп'ютерів і груп у підрозділі організації(OU), де аудит увімкнуто за допомогою вбудованого облікового запису адміністратора або іншого спільного облікового запису, а потім заборонити їм скидати такі дозволи. Проте ввімкнення цього параметра зменшує надійність системи, оскільки сервер може бути змушений завершити роботу, переповнивши його подіями входу та іншими подіями безпеки, записаними в журнал безпеки. Крім того, оскільки завершення роботи не є витонченим, це може призвести до непоправної шкоди операційній системі, програмам або даним. Хоча NTFS гарантує, що цілісність файлової системи зберігається під час неправильного завершення роботи системи, вона не може гарантувати, що всі файли даних для кожної програми все ще будуть у придатній для використання формі під час перезавантаження системи.

   5. Символічне ім'я:
      
      CrashOnAuditFail

   6. Шлях реєстру:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

   7. Приклади проблем із сумісністю

      • Windows 2000: через помилку комп'ютери під керуванням оригінальної випущеної версії Windows 2000, Windows 2000 з пакетом оновлень 1 (SP1), Windows 2000 з пакетом оновлень 2 (SP2) або Windows Server SP3 можуть припинити журналювання подій до досягнення розміру, указаного в параметрі Максимальний розмір журналу для журналу подій безпеки. Цю помилку виправлено у Windows 2000 із пакетом оновлень 4 (SP4). Перш ніж увімкнути цей параметр, переконайтеся, що на контролерах домену Windows 2000 інстальовано Windows 2000 із пакетом оновлень 4.
        
         

      • Windows 2000, Windows Server 2003: комп'ютери під керуванням Windows 2000 або Windows Server 2003 можуть припинити реагувати, а потім може самостійно перезавантажитися, якщо параметр Аудит: завершити роботу системи негайно, якщо не вдається ввійти в журнал аудиту, журнал безпеки заповнено, а наявний запис журналу подій не можна перезаписати. Коли комп'ютер перезавантажиться, з'являється таке повідомлення про STOP-помилку:

        STOP: C0000244 {Audit Failed}
        Не вдалося створити аудит безпеки.

        Щоб відновити систему, адміністратор має ввійти в систему, заархівувати журнал безпеки (необов'язково), очистити журнал безпеки, а потім скинути цей параметр (необов'язково та за потреби).

      • Мережевий клієнт Microsoft для MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Не адміністратори, які намагаються ввійти в домен, отримають таке повідомлення про помилку:

        Ваш обліковий запис настроєно так, щоб ви не використовували цей комп'ютер. Спробуйте інший комп'ютер.

      • Windows 2000: на комп'ютерах під керуванням Windows 2000 не адміністратори не зможуть ввійти на сервери віддаленого доступу, і вони отримають повідомлення про помилку приблизно такого змісту:

        Невідомий або неправильний пароль

      • Windows 2000: на контролерах домену Windows 2000 служба обміну повідомленнями між сайтами (Ismserv.exe) припиниться, і її не можна перезапустити. DCDIAG повідомить про помилку як "невдалі тестові служби ISMserv", а подія з ідентифікатором 1083 буде зареєстрована в журналі подій.

      • Windows 2000: на контролерах домену Windows 2000 реплікація Active Directory не вдасться, і з'явиться повідомлення "Немає доступу", якщо журнал подій безпеки заповнено.

      • Microsoft Exchange 2000: сервери, на яких запущено Exchange 2000, не зможуть підключити базу даних сховища даних, а подія 2102 буде зареєстрована в журналі подій.

      • Outlook, Outlook Web Access: не адміністратори не зможуть отримати доступ до своєї пошти через програму Microsoft Outlook або веб-програму Microsoft Outlook Web Access, і вони отримають помилку 503.

2. Контролер домену: вимоги до підписування сервера LDAP

   1. Фоновому режимі
      
      Контролер домену: параметр безпеки вимог до підписування сервера LDAP визначає, чи сервер полегшеного протоколу доступу до каталогів (LDAP) вимагає від клієнтів LDAP узгодження підписування даних. Нижче наведено можливі значення для цього параметра політики.

      • Немає. Підписування даних не обов'язкове для зв'язування із сервером. Якщо клієнт запитує підписування даних, сервер підтримує його.

      • Обов'язкове підписання. Параметр підпису даних LDAP має узгоджуватись, якщо не використовується протокол TLS/SSL.

      • не визначено: цей параметр не ввімкнуто або вимкнуто.

   2. Ризиковані конфігурації
      
      Нижче наведено шкідливі параметри конфігурації.

      • Увімкнення Обов'язковий вхід у середовищах, де клієнти не підтримують підписування LDAP або де на боці клієнта не активовано підписування LDAP на боці клієнта

      • Застосування шаблону безпеки Windows 2000 або Windows Server 2003 Hisecdc.inf у середовищах, де клієнти не підтримують підписування LDAP або не ввімкнуто підписування LDAP на боці клієнта

      • Застосування шаблону безпеки Windows 2000 або Windows Server 2003 Hisecws.inf у середовищах, де клієнти не підтримують підписування LDAP або де підписування LDAP на боці клієнта не ввімкнуто

   3. Причини для ввімкнення цього параметра
      
      Непідписаний мережевий трафік сприйнятливий до атак "людина посередині", коли зловмисник записує пакети між клієнтом і сервером, змінює пакети, а потім пересилає їх на сервер. Коли це відбувається на сервері LDAP, зловмисник може призвести до сервера приймати рішення на основі помилкових запитів від клієнта LDAP. Ви можете знизити цей ризик у корпоративній мережі, впровадивши потужні фізичні заходи безпеки для захисту мережевої інфраструктури. Режим заголовка автентифікації протоколу IPSec може допомогти запобігти атакам "людина посередині". Режим заголовка автентифікації виконує взаємну автентифікацію та цілісність пакетів для IP-трафіку.

   4. Причини вимкнення цього параметра

      • Клієнти, які не підтримують підписування LDAP, не зможуть виконувати запити LDAP для контролерів домену та глобальних каталогів, якщо автентифікація NTLM узгоджена та чи правильні пакети оновлень не інстальовано на контролерах домену Windows 2000.

      • Трасування мережі трафіку LDAP між клієнтами та серверами буде зашифровано. Це ускладнює вивчення розмов LDAP.

      • Сервери на базі Windows 2000 повинні мати Windows 2000 із пакетом оновлень 3 (SP3) або інсталювати їх, коли вони адмініструються програмами, які підтримують підписування LDAP, запущені на клієнтських комп'ютерах під керуванням Windows 2000 SP4, Windows XP або Windows Server 2003.  

   5. Символічне ім'я:
      
      LDAPServerIntegrity

   6. Шлях реєстру:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

   7. Приклади проблем із сумісністю

      • Прості прив'язки не вдасться, і ви отримаєте таке повідомлення про помилку:

        Ldap_simple_bind_s() не вдалося: потрібна сильна автентифікація.

      • Windows 2000 із пакетом оновлень 4, Windows XP, Windows Server 2003: на клієнтах під керуванням Windows 2000 з пакетом оновлень 4 (SP4), Windows XP або Windows Server 2003 деякі засоби адміністрування Active Directory не працюватимуть належним чином для контролерів домену, які працюють під керуванням версій Windows 2000, раніших за SP3, коли автентифікація NTLM узгоджується.
        
         

      • Windows 2000 із пакетом оновлень 4(SP4), Windows XP, Windows Server 2003: на клієнтах під керуванням Windows 2000 з пакетом оновлень 4 (SP4), Windows XP або Windows Server 2003 деякі засоби адміністрування Active Directory, призначені для контролерів домену під керуванням версій Windows 2000, раніших за SP3, працюватимуть неправильно, якщо вони використовують IP-адреси (наприклад, "dsa.msc /server=x.x.x.x", де
        x.x.x.x – ЦЕ IP-адреса).
        
        
         

      • Windows 2000 із пакетом оновлень 4(SP4), Windows XP, Windows Server 2003: на клієнтах під керуванням Windows 2000 з пакетом оновлень 4 (SP4), Windows XP або Windows Server 2003 деякі засоби адміністрування Active Directory, призначені для контролерів домену під керуванням версій Windows 2000, раніших за SP3, працюватимуть неправильно.
        
         

3. Учасник домену: потрібен надійний ключ сеансу (Windows 2000 або пізнішої версії)

   1. "Фон"

      • The Domain member: Require strong (Windows 2000 or later) session key setting determines determines whether a secure channel can be established with a domain controller that cannot encrypt secure channel traffic with a strong, 128-bit session key. Увімкнення цього параметра запобігає встановленню безпечного каналу за допомогою будь-якого контролера домену, який не може зашифрувати дані безпечного каналу за допомогою надійного ключа. Вимкнення цього параметра дозволяє використовувати 64-розрядні клавіші сеансу.

      • Перш ніж увімкнути цей параметр на робочій станції учасника або на сервері, усі контролери домену в домені, до якого належить учасник, повинні мати можливість шифрувати дані каналу безпеки за допомогою надійного 128-розрядного ключа. Це означає, що всі такі контролери домену мають працювати під керуванням Windows 2000 або пізнішої версії.

   2. Ризикована конфігурація
      
      Увімкнення елемента домену: обов'язковий параметр ключа сеансу (Windows 2000 або пізнішої версії) – це шкідлива настройка конфігурації.

   3. Причини для ввімкнення цього параметра

      • Клавіші сеансів, які використовуються для встановлення захищеного каналу зв'язку між комп'ютерами-учасниками та контролерами домену, значно сильніші у Windows 2000, ніж у попередніх версіях операційних систем Microsoft.

      • Коли це можливо, варто скористатися цими сильнішими клавішами сеансу, щоб захистити захищений канал зв'язку від підслуховування та від сеансів викрадення мережевих атак. Підслуховування – це форма зловмисної атаки, коли мережеві дані читаються або змінюються під час пересилання. Дані можна змінити, щоб приховати або змінити відправника чи переспрямувати їх.

      Увага! Комп'ютер під керуванням Windows Server 2008 R2 або Windows 7 підтримує лише надійні клавіші, коли використовуються безпечні канали. Це обмеження запобігає довірі між будь-яким доменом на основі Windows NT 4.0 і будь-яким доменом на основі Windows Server 2008 R2. Крім того, це обмеження блокує членство в домені під керуванням Windows NT 4.0 комп'ютерів під керуванням Windows 7 або Windows Server 2008 R2 і навпаки.

   4. Причини вимкнення цього параметра
      
      Домен містить комп'ютери-члени, які працюють під керуванням операційних систем, крім Windows 2000, Windows XP або Windows Server 2003.

   5. Символічне ім'я:
      
      Надійний ключ

   6. Шлях реєстру:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

   7. Приклади проблем
      
      із сумісністю Windows NT 4.0: на комп'ютерах під керуванням Windows NT 4.0 скидання безпечних каналів довірчих зв'язків між доменами Windows NT 4.0 і Windows 2000 з NLTEST завершується невдало. З'являється повідомлення про помилку "Відмовлено в доступі":

      Не вдалося встановити довірчий зв'язок між основним доменом і надійним доменом.
      
      Windows 7 і Server 2008 R2: для Windows 7 і пізніших версій і Windows Server 2008 R2 та пізніших версій цей параметр більше не підтримується, і сильний ключ використовується завжди. Через це довіри до доменів Windows NT 4.0 більше не працюють.

4. Учасник домену: цифрове шифрування або підписування даних безпечного каналу (завжди)

   1. "Фон"

      • Увімкнення елемента домену. Цифрове шифрування або підписування даних безпечного каналу (завжди) перешкоджає створенню безпечного каналу за допомогою будь-якого контролера домену, який не може підписувати або шифрувати всі захищені дані каналу. Щоб захистити трафік автентифікації від атак "людина посередині", відтворення атак та інших типів мережевих атак, комп'ютери на основі Windows створюють канал зв'язку, відомий як безпечний канал через службу net Logon, щоб автентифікувати облікові записи комп'ютера. Безпечні канали також використовуються, коли користувач в одному домені підключається до мережевого ресурсу у віддаленому домені. Ця багатодоменна автентифікація або наочна автентифікація дає змогу комп'ютеру під керуванням Windows, який приєднався до домену, мати доступ до бази даних облікових записів користувачів у своєму домені та в будь-яких надійних доменах.

      • Щоб увімкнути параметр Domain member (Учасник домену): параметр Цифрове шифрування або підписування даних безпечного каналу (завжди) на комп'ютері-учасникі, усі контролери домену в домені, до якого належить учасник, повинні мати можливість підписувати або шифрувати всі захищені дані каналу. Це означає, що всі такі контролери домену повинні працювати під керуванням Windows NT 4.0 з пакетом оновлень 6a (SP6a) або пізнішої версії.

      • Увімкнення елемента домену. Параметр Автоматично шифрувати або підписувати дані безпечного каналу (завжди) для учасника домену: цифрове шифрування або підписування параметра безпечних даних каналу (за можливості).

   2. Ризикована конфігурація
      
      Увімкнення елемента домену. Параметр Цифрове шифрування або підписування даних каналу безпеки (завжди) у доменах, де не всі контролери домену можуть підписувати або шифрувати дані каналу, є шкідливим параметром конфігурації.

   3. Причини для ввімкнення цього параметра
      
      Непідписаний мережевий трафік сприйнятливий до атак "людина посередині", де зловмисник записує пакети між сервером і клієнтом, а потім змінює їх, перш ніж пересилати їх клієнту. Коли це відбувається на полегшеному сервері протоколу доступу до каталогів (LDAP), зловмисник може призвести до того, що клієнт приймає рішення, основані на помилкових записах із каталогу LDAP. Ви можете знизити ризик такої атаки на корпоративну мережу, впровадивши потужні фізичні заходи безпеки, щоб захистити інфраструктуру мережі. Крім того, реалізація режиму заголовка автентифікації протоколу IPSec може допомогти запобігти атакам "людина посередині". Цей режим виконує взаємну автентифікацію та цілісність пакетів для IP-трафіку.

   4. Причини вимкнення цього параметра

      • Комп'ютери в локальних або зовнішніх доменах підтримують зашифровані безпечні канали.

      • Не всі контролери домену в домені мають відповідні рівні редакції пакетів оновлень для підтримки зашифрованих захищених каналів.

   5. Символічне ім'я:
      
      Надійний ключ

   6. Шлях реєстру:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

   7. Приклади проблем із сумісністю

      • Windows NT 4.0: комп'ютери-члени windows 2000 не зможуть приєднатися до доменів Windows NT 4.0 і отримають таке повідомлення про помилку:

        Обліковий запис не має прав на вхід із цієї станції.

        Щоб отримати додаткові відомості, клацніть номер статті в базі знань Microsoft Knowledge Base:

        281648 Повідомлення про помилку: Обліковий запис не має прав на вхід із цієї станції
         

      • Windows NT 4.0: Домени Windows NT 4.0 не зможуть установити рівень довіри до домену Windows 2000 і отримають таке повідомлення про помилку:

        Обліковий запис не має прав на вхід із цієї станції.

        Наявні довірчі зв'язаних рівнів також можуть не автентифікувати користувачів із надійного домену. У деяких користувачів можуть виникати проблеми з входом до домену, і вони можуть отримати повідомлення про помилку, у якому йдеться про те, що клієнту не вдалося знайти домен.

      • Windows XP: клієнти Windows XP, підключені до доменів Windows NT 4.0, не зможуть автентифікувати спроби входу та можуть отримати таке повідомлення про помилку, або в журналі подій можуть бути зареєстровані такі події:

        Системі Windows не вдалося підключитися до домену, оскільки контролер домену не працює або недоступний іншим чином, або обліковий запис комп'ютера не знайдено

      • Microsoft Network: клієнти Microsoft Network отримають одне з таких повідомлень про помилку:

        Помилка входу: невідоме ім'я користувача або неправильний пароль.

        Немає ключа сеансу користувача для вказаного сеансу входу.

5. Клієнт мережі Microsoft: цифровий підпис (завжди)

   1. Фоновому режимі
      
      Блок серверних повідомлень (SMB) – це протокол спільного доступу до ресурсів, який підтримується багатьма операційними системами Microsoft. Це основа базової системи вводу-виводу мережі (NetBIOS) і багатьох інших протоколів. Підписування SMB автентифікує користувача та сервер, на якому розміщено дані. Якщо будь-яка зі сторін не виконає процес автентифікації, передавання даних не відбудеться.
      
      Активація підпису SMB починається під час узгодження протоколу SMB. Політики підписування SMB визначають, чи комп'ютер завжди підписує клієнтські комунікації.
      
      Протокол автентифікації Windows 2000 SMB підтримує взаємну автентифікацію. Взаємна автентифікація закриває атаку "людина посередині". Протокол автентифікації Windows 2000 SMB також підтримує автентифікацію повідомлень. Автентифікація повідомлень допомагає запобігти атакам активних повідомлень. Щоб надати вам цю автентифікацію, підпис SMB ставить цифровий підпис у кожній SMB. Клієнт і сервер перевіряють цифровий підпис.
      
      Щоб використовувати підписування SMB, потрібно ввімкнути підписування SMB або вимагати підписування SMB як на клієнті SMB, так і на сервері SMB. Якщо на сервері активовано підписування SMB, клієнти, які також увімкнуто для підписування SMB, використовують протокол підпису пакета під час усіх наступних сеансів. Якщо підписування SMB потрібне на сервері, клієнт не може встановити сеанс, якщо клієнт не увімкнуто або не потрібен для підписування SMB.
      
      
      Увімкнення цифрового входу в мережі з високим рівнем безпеки допомагає запобігти уособлення клієнтів і серверів. Цей вид уособлення називається викраденням сеансу. Зловмисник, який має доступ до тієї ж мережі, що й клієнт або сервер, використовує інструменти викрадення сеансу, щоб перервати, завершити або вкрасти поточний сеанс. Зловмисник може перехоплювати та змінювати непідписані пакети SMB, змінювати трафік, а потім пересилати його, щоб сервер міг виконувати небажані дії. Або зловмисник може представляти себе як сервер або як клієнт після законної автентифікації, а потім отримати несанкціонований доступ до даних.
      
      Протокол SMB, який використовується для спільного доступу до файлів і для обміну друком на комп'ютерах під керуванням Windows 2000 Server, Windows 2000 Professional, Windows XP Professional або Windows Server 2003 підтримує взаємну автентифікацію. Взаємна автентифікація закриває атаки викрадення сеансів і підтримує автентифікацію повідомлень. Таким чином, це запобігає атакам людини в середині. Підпис SMB забезпечує цю автентифікацію, розміщуючи цифровий підпис у кожній SMB. Клієнт і сервер потім перевірте підпис.
      
      Нотатки

      • В якості альтернативного контрзаходу можна ввімкнути цифрові підписи за допомогою IPSec, щоб захистити весь мережевий трафік. Є апаратні прискорювачі для шифрування IPSec і підписування, які можна використовувати для мінімізації впливу продуктивності від ЦП сервера. Немає таких прискорювачів, доступних для підписування SMB.
        
        Докладні відомості див. в розділі "Зв'язок із сервером із цифровим підписом " на веб-сайті Microsoft MSDN.
        
        Настройте підписування SMB за допомогою редактора об'єктів Групова політика, оскільки змінення значення локального реєстру не впливає на політику домену, яка перезаписується.

      • У Windows 95, Windows 98 і Windows 98 Second Edition клієнт служб каталогів використовує підпис SMB, коли автентифікує сервери Windows Server 2003 за допомогою автентифікації NTLM. Однак ці клієнти не використовують підписування SMB, коли вони автентифікують із цими серверами за допомогою автентифікації NTLMv2. Крім того, сервери Windows 2000 не відповідають на запити підписування SMB від цих клієнтів. Докладні відомості див. в статті Елемент 10: "Безпека мережі: рівень автентифікації Диспетчера локальної мережі".

   2. Ризикована конфігурація
      
      Наведений нижче параметр небезпечної конфігурації: вихід із мережевого клієнта Microsoft: параметр "Зв'язок із цифровим підписом" (завжди) і клієнт мережі Microsoft: параметр "Не визначено" або "Вимкнуто" для цифрового підпису зв'язку (якщо сервер погоджується). Ці параметри дозволяють переспрямовувачу надсилати паролі звичайного тексту на сервери, які не підтримують шифрування паролем під час автентифікації.

   3. Причини для ввімкнення цього параметра
      
      Увімкнення мережевого клієнта Microsoft: для цифрового підпису зв'язку (завжди) клієнти повинні підписувати трафік SMB під час звернення до серверів, для яких не потрібно підписувати SMB. Це робить клієнтів менш вразливими до атак викрадення сеансів.

   4. Причини вимкнення цього параметра

      • Увімкнення мережевого клієнта Microsoft: обмін даними з цифровим підписом (завжди) запобігає обміну даними клієнтів із цільовими серверами, які не підтримують підписування SMB.

      • Настроювання комп'ютерів ігнорувати всі непідписані зв'язки SMB запобігає підключенню попередніх програм і операційних систем.

   5. Символічне ім'я:
      
      RequireSMBSignRdr

   6. Шлях реєстру:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

   7. Приклади проблем із сумісністю

      • Windows NT 4.0: ви не зможете скинути безпечний канал довіри між доменом Windows Server 2003 і Windows NT 4.0 за допомогою NLTEST або NETDOM, і ви отримаєте повідомлення про помилку "Немає доступу".

      • Windows XP: копіювання файлів із клієнтів Windows XP на сервери під керуванням Windows 2000 і на сервери під керуванням Windows Server 2003 може зайняти більше часу.

      • Ви не зможете зіставити мережевий диск із клієнта, якщо цей параметр увімкнуто, і з'явиться таке повідомлення про помилку:

        Обліковий запис не має прав на вхід із цієї станції.

   8. Вимоги до
      
      перезавантаження Перезавантажте комп'ютер або перезапустіть службу Workstation. Для цього введіть наведені нижче команди в командному рядку. Після введення кожної команди натисніть клавішу Enter.

      net stop workstation
      net start workstation

6. Мережевий сервер Microsoft: цифровий підпис (завжди)

   1. "Фон"

      • Блок Server Messenger (SMB) – це протокол спільного доступу до ресурсів, який підтримується багатьма операційними системами Microsoft. Це основа базової системи вводу-виводу мережі (NetBIOS) і багатьох інших протоколів. Підписування SMB автентифікує користувача та сервер, на якому розміщено дані. Якщо будь-яка зі сторін не виконає процес автентифікації, передавання даних не відбудеться.
        
        Активація підпису SMB починається під час узгодження протоколу SMB. Політики підписування SMB визначають, чи комп'ютер завжди підписує клієнтські комунікації.
        
        Протокол автентифікації Windows 2000 SMB підтримує взаємну автентифікацію. Взаємна автентифікація закриває атаку "людина посередині". Протокол автентифікації Windows 2000 SMB також підтримує автентифікацію повідомлень. Автентифікація повідомлень допомагає запобігти атакам активних повідомлень. Щоб надати вам цю автентифікацію, підпис SMB ставить цифровий підпис у кожній SMB. Клієнт і сервер перевіряють цифровий підпис.
        
        Щоб використовувати підписування SMB, потрібно ввімкнути підписування SMB або вимагати підписування SMB як на клієнті SMB, так і на сервері SMB. Якщо на сервері активовано підписування SMB, клієнти, які також увімкнуто для підписування SMB, використовують протокол підпису пакета під час усіх наступних сеансів. Якщо підписування SMB потрібне на сервері, клієнт не може встановити сеанс, якщо клієнт не увімкнуто або не потрібен для підписування SMB.
        
        
        Увімкнення цифрового входу в мережі з високим рівнем безпеки допомагає запобігти уособлення клієнтів і серверів. Цей вид уособлення називається викраденням сеансу. Зловмисник, який має доступ до тієї ж мережі, що й клієнт або сервер, використовує інструменти викрадення сеансу, щоб перервати, завершити або вкрасти поточний сеанс. Зловмисник може перехоплювати та змінювати непідписані пакети диспетчера смуги пропускання підмережі (SBM), змінювати трафік, а потім пересилати його, щоб сервер міг виконувати небажані дії. Або зловмисник може представляти себе як сервер або як клієнт після законної автентифікації, а потім отримати несанкціонований доступ до даних.
        
        Протокол SMB, який використовується для спільного доступу до файлів і для обміну друком на комп'ютерах під керуванням Windows 2000 Server, Windows 2000 Professional, Windows XP Professional або Windows Server 2003 підтримує взаємну автентифікацію. Взаємна автентифікація закриває атаки викрадення сеансів і підтримує автентифікацію повідомлень. Таким чином, це запобігає атакам людини в середині. Підпис SMB забезпечує цю автентифікацію, розміщуючи цифровий підпис у кожній SMB. Клієнт і сервер потім перевірте підпис.

      • В якості альтернативного контрзаходу можна ввімкнути цифрові підписи за допомогою IPSec, щоб захистити весь мережевий трафік. Є апаратні прискорювачі для шифрування IPSec і підписування, які можна використовувати для мінімізації впливу продуктивності від ЦП сервера. Немає таких прискорювачів, доступних для підписування SMB.

      • У Windows 95, Windows 98 і Windows 98 Second Edition клієнт служб каталогів використовує підпис SMB, коли автентифікує сервери Windows Server 2003 за допомогою автентифікації NTLM. Однак ці клієнти не використовують підписування SMB, коли вони автентифікують із цими серверами за допомогою автентифікації NTLMv2. Крім того, сервери Windows 2000 не відповідають на запити підписування SMB від цих клієнтів. Докладні відомості див. в статті Елемент 10: "Безпека мережі: рівень автентифікації Диспетчера локальної мережі".

   2. Ризикована конфігурація
      
      Наведений нижче параметр небезпечної конфігурації: Увімкнення мережевого сервера Microsoft: параметр зв'язку з цифровим підписом (завжди) на серверах і на контролерах домену, доступ до яких мають несумісні комп'ютери під керуванням Windows і клієнтські комп'ютери сторонніх постачальників операційної системи в локальних або зовнішніх доменах.

   3. Причини для ввімкнення цього параметра

      • Усі клієнтські комп'ютери, які активують цей параметр безпосередньо через реєстр або через Групова політика налаштування підтримки підписування SMB. Іншими словами, на всіх клієнтських комп'ютерах, на яких увімкнуто цей параметр, можна запустити Windows 95 з інстальованим клієнтом DS, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional або Windows Server 2003.

      • Якщо мережевий сервер Microsoft: зв'язок із цифровим підписом (завжди) вимкнуто, підписування SMB повністю вимкнуто. Повне вимкнення всіх підписів SMB залишає комп'ютери більш вразливими до атак викрадення сеансів.

   4. Причини вимкнення цього параметра

      • Увімкнення цього параметра може призвести до зниження продуктивності копіювання файлів і мережі на клієнтських комп'ютерах.

      • Якщо ввімкнути цей параметр, клієнти, які не можуть домовитися про підписання SMB, не спілкуються із серверами та контролерами домену. Це призводить до помилки таких операцій, як об'єднання доменів, автентифікація користувача та комп'ютера або доступ до мережі програмами.

   5. Символічне ім'я:
      
      RequireSMBSignServer

   6. Шлях реєстру:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

   7. Приклади проблем із сумісністю

      • Windows 95: Клієнти Windows 95, на яких не інстальовано клієнт служби каталогів (DS), не вдасться виконати автентифікацію для входу та отримають таке повідомлення про помилку:

        Наданий пароль домену неправильний, або немає доступу до сервера входу.

      • Windows NT 4.0: клієнтські комп'ютери під керуванням версій Windows NT 4.0, раніших за пакет оновлень 3 (SP3), не вдасться виконати автентифікацію під час входу та отримають таке повідомлення про помилку:

        Системі не вдалося ввійти в систему. Переконайтеся, що ім'я користувача та домен правильні, а потім введіть пароль ще раз.

        Деякі сервери, не пов'язаних із Microsoft SMB, підтримують лише незашифровані обмін паролем під час автентифікації. (Ці обміни також називаються обмінами звичайним текстом.) Для Windows NT 4.0 SP3 та пізніших версій переспрямовувач SMB не надсилає незашифрований пароль під час автентифікації на сервер SMB, якщо не додати певний запис реєстру.
        Щоб увімкнути незашифровані паролі для клієнта SMB у Windows NT 4.0 SP 3 та новіших системах, змініть реєстр таким рученим станом: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        
        Ім'я значення: EnablePlainTextPassword
        
        Тип даних: REG_DWORD
        
        Дані: 1
        
         

      • Windows Server 2003: За замовчуванням настройки безпеки на контролерах домену під керуванням Windows Server 2003 настроєно таким чином, щоб запобігти перехоплюванню або підробленню зв'язку контролера домену зловмисними користувачами. Щоб користувачі успішно спілкувалися з контролером домену під керуванням Windows Server 2003, клієнтські комп'ютери мають використовувати підписування SMB і шифрування або безпечний канал трафіку підпису. За замовчуванням клієнти, які працюють під керуванням Windows NT 4.0 з пакетом оновлень 2 (SP2) або попередніми інстальованими, і клієнти, які працюють під керуванням Windows 95, не мають пакетів SMB. Таким чином, ці клієнти можуть не вдатися автентифікувати на контролері домену під керуванням Windows Server 2003.

      • Параметри політики Windows 2000 і Windows Server 2003. Залежно від потреб інсталяції та конфігурації радимо встановити наведені нижче параметри політики для найнижчої сутності необхідної області в ієрархії оснастки редактора microsoft Management Console Групова політика Editor:

        • Конфігурація комп'ютера\Безпека у Windows Параметри\Параметри безпеки

        • Надіслати незашифрований пароль для підключення до серверів SMB сторонніх постачальників (цей параметр призначено для Windows 2000)

        • Клієнт мережі Microsoft: надсилання незашифрованого пароля на сервери SMB сторонніх постачальників (цей параметр призначено для Windows Server 2003)

        
        Примітка. На деяких сторонніх серверах CIFS, як-от старіших версіях Samba, не можна використовувати зашифровані паролі.

      • Наведені нижче клієнти несумісні з мережевим сервером Microsoft: параметр зв'язку з цифровим підписом (завжди):

        • Клієнти Apple Computer, Inc., Mac OS X

        • Клієнти мережі Microsoft MS-DOS (наприклад, Microsoft LAN Manager)

        • Клієнти Microsoft Windows для робочих груп

        • Клієнти Microsoft Windows 95 без інсталяції клієнта DS

        • Комп'ютери на базі Microsoft Windows NT 4.0 без інсталяції пакета оновлень 3 (SP3) або пізнішої версії

        • Клієнти Novell Netware 6 CIFS

        • SAMBA SMB клієнтів, які не підтримують підписування SMB

   8. Вимоги до
      
      перезавантаження Перезавантажте комп'ютер або перезапустіть службу Server. Для цього введіть наведені нижче команди в командному рядку. Після введення кожної команди натисніть клавішу Enter.

      net stop server
      net start server

7. Доступ до мережі: дозволити анонімний переклад SID/name

   1. Фоновому режимі
      
      Доступ до мережі. Параметр безпеки для анонімного перекладу SID або імені визначає, чи може анонімний користувач запитувати атрибути ідентифікатора безпеки (SID) для іншого користувача.

   2. Ризикована конфігурація
      
      Увімкнення доступу до мережі. Дозволити анонімний переклад SID/Name – це шкідлива настройка конфігурації.

   3. Причини для ввімкнення цього параметра
      
      Якщо мережевий доступ: параметр дозволити анонімний переклад SID/name вимкнуто, попередні операційні системи або програми не зможуть зв'язатися з доменами Windows Server 2003. Наприклад, можуть не працювати такі операційні системи, служби або програми:

      • Сервери служби віддаленого доступу під керуванням Windows NT 4.0

      • Microsoft SQL Server, які працюють на комп'ютерах під керуванням Windows NT 3.x або на комп'ютерах під керуванням Windows NT 4.0

      • Служба віддаленого доступу, яка працює на комп'ютерах під керуванням Windows 2000, розташованих у доменах Windows NT 3.x або Windows NT 4.0

      • SQL Server, що працює на комп'ютерах під керуванням Windows 2000, розташованих у доменах Windows NT 3.x або в доменах Windows NT 4.0

      • Користувачі в домені ресурсів Windows NT 4.0, яким потрібно надати дозволи на доступ до файлів, спільних папок і об'єктів реєстру для облікових записів користувачів із доменів облікових записів, які містять контролери домену Windows Server 2003

   4. Причини вимкнення цього параметра
      
      Якщо цей параметр увімкнуто, зловмисний користувач може використовувати відомі адміністратори SID, щоб отримати справжнє ім'я вбудованого облікового запису адміністратора, навіть якщо обліковий запис перейменовано. Після цього цей користувач може використовувати ім'я облікового запису, щоб ініціювати атаку вгадування паролів.

   5. Символічне ім'я: Н/Д

   6. Шлях реєстру: немає. Шлях вказано в коді інтерфейсу користувача.

   7. Приклади проблем
      
      із сумісністю Windows NT 4.0: Комп'ютери в доменах ресурсів Windows NT 4.0 відображатимуть повідомлення про помилку "Невідомий обліковий запис" у редакторі ACL, якщо ресурси, зокрема спільні папки, спільні файли та об'єкти реєстру, захищено принципалами безпеки, які розташовано в доменах облікових записів, які містять контролери домену Windows Server 2003.

8. Доступ до мережі: не дозволяти анонімне перелічення облікових записів SAM

   1. "Фон"

      • Доступ до мережі. Не дозволяти анонімне перелічення облікових записів SAM визначає, які додаткові дозволи буде надано для анонімних підключень до комп'ютера. Windows дає змогу анонімним користувачам виконувати певні дії, наприклад перелічення імен робочих станцій і облікових записів диспетчера облікових записів безпеки сервера (SAM) і мережевих спільних папок. Наприклад, адміністратор може використовувати цей параметр, щоб надати доступ до користувачів у надійному домені, який не підтримує взаємну довіру. Після сеансу анонімний користувач може мати той самий доступ, який надається групі "Усі" на основі параметра в розділі "Доступ до мережі".Дозволити всім дозволи застосовуватися до настройок анонімних користувачів або списку керування дискреційним доступом (DACL) об'єкта.
        
        Зазвичай під час настроювання сеансу SMB анонімні підключення надсилаються попередніми версіями клієнтів (клієнтів верхнього рівня). У таких випадках трасування мережі показує, що ідентифікатор процесу SMB (PID) – це переспрямовувач клієнта, наприклад 0xFEFF у Windows 2000 або 0xCAFE у Windows NT. Крім того, RPC може спробувати встановити анонімні підключення.

      • Увага! Цей параметр не впливає на контролери домену. На контролерах домену ця поведінка контролюється присутністю "NT AUTHORITY\ANONYMOUS LOGON" у "Pre-Windows 2000 сумісний Access".

      • У Windows 2000 подібний параметр під назвою Додаткові обмеження для анонімних підключень керує значенням реєстру RestrictAnonymous . Розташування цього значення виглядає наступним чином.

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA  

   2. Ризиковані конфігурації
      
      Увімкнення доступу до мережі. Не дозволяти анонімне перелічення облікових записів SAM – це шкідливий параметр конфігурації з точки зору сумісності. Вимкнення – це шкідлива настройка конфігурації з точки зору безпеки.

   3. Причини для ввімкнення цього параметра
      
      Неавторизований користувач може анонімно перелічити імена облікових записів, а потім використовувати ці відомості, щоб спробувати вгадати паролі або виконати атаки соціальної інженерії. Соціальна інженерія - це жаргон, що означає обман людей у розкритті своїх паролів або певної форми інформації про безпеку.

   4. Причини вимкнення цього параметра
      
      Якщо цей параметр увімкнуто, неможливо встановити довірчі зв'язки з доменами Windows NT 4.0. Цей параметр також спричиняє проблеми з клієнтами верхнього рівня (наприклад, клієнти Windows NT 3.51 і клієнти Windows 95), які намагаються використовувати ресурси на сервері.

   5. Символічне ім'я:
      
      
      RestrictAnonymousSAM

   6. Шлях реєстру:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

   7. Приклади проблем із сумісністю

   • Sms Network Discovery не зможе отримати відомості про операційну систему та напише "Невідомо" у властивості OperatingSystemNameandVersion.

   • Windows 95, Windows 98: клієнти Windows 95 і клієнти Windows 98 не зможуть змінювати свої паролі.

   • Windows NT 4.0: комп'ютери з Windows NT 4.0 на базі комп'ютерів-членів не зможуть пройти автентифікацію.

   • Windows 95, Windows 98: комп'ютери під керуванням Windows 95 і Windows 98 не зможуть автентифікуватися контролерами домену Microsoft.

   • Windows 95, Windows 98: користувачі комп'ютерів під керуванням Windows 95 і Windows 98 не зможуть змінювати паролі для своїх облікових записів користувачів.

9. Доступ до мережі: не дозволяти анонімне перелічення облікових записів SAM і спільних ресурсів

   1. "Фон"

      • Доступ до мережі. Не дозволяти анонімне перелічення облікових записів SAM і спільних ресурсів (також відомий як RestrictAnonymous) визначає, чи дозволено анонімне перелічення облікових записів і спільних ресурсів Диспетчера облікових записів безпеки (SAM). Windows дозволяє анонімним користувачам виконувати певні дії, наприклад перелічення імен облікових записів домену (користувачів, комп'ютерів і груп) і мережевих спільних папок. Це зручно, наприклад, коли адміністратор хоче надати доступ до користувачів у надійному домені, який не підтримує взаємну довіру. Якщо ви не хочете дозволяти анонімне перелічення облікових записів SAM і спільних ресурсів, увімкніть цей параметр.

      • У Windows 2000 подібний параметр під назвою Додаткові обмеження для анонімних підключень керує значенням реєстру RestrictAnonymous . Розташування цього значення виглядає наступним чином:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

   2. Ризикована конфігурація
      
      Увімкнення доступу до мережі. Не дозволяти анонімне перелічення облікових записів SAM і спільних ресурсів – це шкідлива настройка конфігурації.

   3. Причини для ввімкнення цього параметра

      • Увімкнення доступу до мережі. Не дозволяти анонімне перелічення облікових записів SAM і спільних ресурсів запобігає переліченню облікових записів SAM і спільних ресурсів користувачами та комп'ютерами, які використовують анонімні облікові записи.

   4. Причини вимкнення цього параметра

      • Якщо цей параметр увімкнуто, неавторизований користувач може анонімно перелічити імена облікових записів, а потім використовувати ці відомості, щоб спробувати вгадати паролі або виконати атаки соціальної інженерії. Соціальна інженерія - це жаргон, що означає обман людей у розкритті пароля або певної форми інформації про безпеку.

      • Якщо цей параметр увімкнуто, встановлювати довірчі зв'язки з доменами Windows NT 4.0 буде неможливо. Цей параметр також спричинить проблеми з такими клієнтами, як Windows NT 3.51 і Windows 95, які намагаються використовувати ресурси на сервері.

      • Неможливо буде надати доступ користувачам доменів ресурсів, оскільки адміністратори довіреного домену не зможуть перелічити списки облікових записів в іншому домені. Користувачі, які мають анонімний доступ до файлових і друкованих серверів, не зможуть перелічити ресурси спільної мережі на цих серверах. Перш ніж переглядати списки спільних папок і принтерів, користувачі повинні пройти автентифікацію.

   5. Символічне ім'я:
      
      RestrictAnonymous

   6. Шлях реєстру:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

   7. Приклади проблем із сумісністю

      • Windows NT 4.0: користувачі не зможуть змінювати свої паролі з робочих станцій Windows NT 4.0, якщо параметр RestrictAnonymous увімкнуто на контролерах домену в домені користувачів.

      • Windows NT 4.0: не вдасться додати користувачів або глобальні групи з надійних доменів Windows 2000 до локальних груп Windows NT 4.0 у диспетчері користувачів, і з'явиться таке повідомлення про помилку:

        Наразі немає доступних серверів входу для обслуговування запиту на вхід.

      • Windows NT 4.0: комп'ютери під керуванням Windows NT 4.0 не зможуть приєднатися до доменів під час налаштування або за допомогою інтерфейсу користувача для приєднання до домену.

      • Windows NT 4.0: не вдасться встановити довірчі зв'язки з доменами ресурсів Windows NT 4.0. Коли параметр RestrictAnonymous увімкнуто в надійному домені, з'явиться таке повідомлення про помилку:

        Не вдалося знайти контролер домену для цього домену.

      • Windows NT 4.0: користувачі, які ввійдуть у Windows NT 4.0 на комп'ютерах сервера терміналів зіставлять домашній каталог за промовчанням замість домашнього каталогу, визначеного в Диспетчері користувачів для доменів.

      • Windows NT 4.0: Windows NT 4.0 резервні контролери домену (BDCs) не зможуть запустити службу Net Logon, отримати список браузерів резервного копіювання або синхронізувати базу даних SAM з Windows 2000 або з контролерів домену Windows Server 2003 в тому ж домені.

      • Windows 2000: комп'ютери-члени Windows 2000 у доменах Windows NT 4.0 не зможуть переглядати принтери в зовнішніх доменах, якщо параметр Немає доступу без явно анонімних дозволів увімкнуто в локальній політиці безпеки клієнтського комп'ютера.

      • Windows 2000: користувачі домену Windows 2000 не зможуть додавати мережеві принтери зі служби Active Directory; однак вони зможуть додавати принтери, вибравши їх у поданні дерева.

      • Windows 2000: на комп'ютерах під керуванням Windows 2000 редактор ACL не зможе додавати користувачів або глобальні групи з надійних доменів Windows NT 4.0.

      • ADMT версії 2. Не вдасться перенести паролі для облікових записів користувачів, перенесених між лісами за допомогою засобу ADMT версії 2.
        
        Щоб отримати додаткові відомості, клацніть номер статті в базі знань Microsoft Knowledge Base:

        322981 Виправлення неполадок із перенесенням паролів між лісами за допомогою ADMTv2

      • Клієнти Outlook: глобальний список адрес відображатиметься пустим для клієнтів Microsoft Exchange Outlook.

      • SMS. Виявлення мережі Microsoft Systems Management Server (SMS) не зможе отримати відомості про операційну систему. Таким чином, він буде писати "Невідомо" у властивості OperatingSystemNameandVersion властивості SMS DDR запису даних виявлення (DDR).

      • SMS. Коли ви використовуєте майстер користувачів адміністратора SMS для пошуку користувачів і груп, користувачі або групи не відображатимуться в списку. Крім того, досвідчені клієнти не можуть зв'язатися з точкою керування. У пункті керування потрібен анонімний доступ.

      • SMS. Якщо ви використовуєте функцію виявлення мережі в SMS 2.0 і віддаленої інсталяції клієнта з увімкненим параметром виявлення мережі топології, клієнта та клієнтських операційних систем, можливо, комп'ютери виявлено, але їх не інстальовано.

10. Безпека мережі: рівень автентифікації Диспетчера локальної мережі

    1. Фоновому режимі
       
       Автентифікація диспетчера локальної мережі (LM) – це протокол, який використовується для автентифікації клієнтів Windows для мережевих операцій, зокрема для приєднання до домену, доступу до мережевих ресурсів і автентифікації користувача або комп'ютера. Рівень автентифікації LM визначає, який протокол перевірки або відповіді узгоджується між клієнтом і сервером комп'ютерів. Зокрема, рівень автентифікації LM визначає протоколи автентифікації, які клієнт намагається домовитися або що сервер буде приймати. Значення, установлене для LmCompatibilityLevel, визначає, який протокол перевірки або відповіді використовується для входів у мережу. Це значення впливає на рівень протоколу автентифікації, який використовують клієнти, рівень безпеки сеансу та рівень автентифікації, прийнятий серверами.
       
       Нижче наведено можливі параметри.

       Значення	Параметр	Опис
       0	Надсилання відповідей LM & NTLM	Клієнти використовують автентифікацію LM і NTLM і ніколи не використовують безпеку сеансу NTLMv2. Контролери домену приймають автентифікацію LM, NTLM і NTLMv2.
       1	Send LM & NTLM - use NTLMv2 session security if negotiated	Клієнти використовують автентифікацію LM і NTLM, а також використовують безпеку сеансу NTLMv2, якщо сервер підтримує цю функцію. Контролери домену приймають автентифікацію LM, NTLM і NTLMv2.
       2	Надіслати лише відповідь NTLM	Клієнти використовують лише автентифікацію NTLM і використовують безпеку сеансу NTLMv2, якщо сервер підтримує цю функцію. Контролери домену приймають автентифікацію LM, NTLM і NTLMv2.
       3	Надіслати лише відповідь NTLMv2	Клієнти використовують лише автентифікацію NTLMv2 та використовують безпеку сеансу NTLMv2, якщо сервер підтримує цю функцію. Контролери домену приймають автентифікацію LM, NTLM і NTLMv2.
       4	Send NTLMv2 response only/refuse LM	Клієнти використовують лише автентифікацію NTLMv2 та використовують безпеку сеансу NTLMv2, якщо сервер підтримує цю функцію. Контролери домену відмовляються від LM і приймають лише автентифікацію NTLM і NTLMv2.
       5	Надсилання лише відповіді NTLMv2/refuse LM & NTLM	Клієнти використовують лише автентифікацію NTLMv2 та використовують безпеку сеансу NTLMv2, якщо сервер підтримує цю функцію. Контролери домену відмовляються від LM і NTLM і приймають лише автентифікацію NTLMv2.

       Примітка. У Windows 95, Windows 98 і Windows 98 Second Edition клієнт служб каталогів використовує підписування SMB під час автентифікації на серверах Windows Server 2003 за допомогою автентифікації NTLM. Однак ці клієнти не використовують підписування SMB, коли вони автентифікують із цими серверами за допомогою автентифікації NTLMv2. Крім того, сервери Windows 2000 не відповідають на запити підписування SMB від цих клієнтів.
       
       Перевірте рівень автентифікації LM: потрібно змінити політику на сервері, щоб дозволити NTLM, або потрібно настроїти клієнтський комп'ютер для підтримки NTLMv2.
       
       Якщо для політики встановлено значення (5) Надіслати відповідь NTLMv2 лише\відмовитися від LM & NTLM на цільовому комп'ютері, до якого потрібно підключитися, слід зменшити настройку на цьому комп'ютері або встановити для параметра безпеки той самий параметр, який установлено на вихідному комп'ютері, з якого ви підключаєтеся.
       
       Знайдіть правильне розташування, де можна змінити рівень автентифікації диспетчера локальної мережі, щоб установити для клієнта та сервера однаковий рівень. Знайшовши політику, яка встановлює рівень автентифікації диспетчера локальної мережі, якщо потрібно підключитися до комп'ютерів під керуванням попередніх версій Windows і з них, зменште значення принаймні до (1) Надіслати LM & NTLM – використовуйте захист сеансу NTLM версії 2, якщо було узгоджено. Один із наслідків несумісних настройок полягає в тому, що якщо сервер вимагає NTLMv2 (значення 5), але клієнт настроєно на використання лише LM і NTLMv1 (значення 0), користувач, який намагається автентифікації, виникає помилка входу, яка містить неправильний пароль і що збільшує кількість неправильних паролів. Якщо налаштовано блокування облікового запису, користувача може бути заблоковано.
       
       Наприклад, може знадобитися знайти контролер домену або потрібно перевірити політики контролера домену.
       
       Пошук на контролері
       
       домену Примітка. Можливо, доведеться повторити наведену нижче процедуру на всіх контролерах домену.

       1. Натисніть кнопку Пуск, наведіть вказівник миші на пункт Програми та виберіть пункт Адміністрування.

       2. У розділі Параметри локальної безпеки розгорніть розділ Локальні політики.

       3. Натисніть кнопку Параметри безпеки.

       4. Двічі клацніть елемент Безпека мережі: рівень автентифікації диспетчера локальної мережі, а потім клацніть значення в списку.

       
       Якщо дієвий параметр і локальний параметр однакові, політику було змінено на цьому рівні. Якщо ці параметри відрізняються, перевірте політику контролера домену, щоб визначити, чи встановлено там параметр Мережева безпека: Рівень автентифікації диспетчера локальної мережі. Якщо його там не визначено, перевірте політики контролера домену.
       
       Перевірте політики контролера домену

       1. Натисніть кнопку Пуск, наведіть вказівник миші на пункт Програми та виберіть пункт Адміністрування.

       2. У політиці безпеки контролера домену розгорніть розділ Параметри безпеки, а потім розгорніть пункт Локальні політики.

       3. Натисніть кнопку Параметри безпеки.

       4. Двічі клацніть елемент Безпека мережі: рівень автентифікації диспетчера локальної мережі, а потім клацніть значення в списку.

       
       Примітка

       • Крім того, може знадобитися перевірити політики, зв'язані на рівні сайту, домену або підрозділу організації, щоб визначити, де потрібно настроїти рівень автентифікації диспетчера локальної мережі.

       • Якщо ви впровадите параметр Групова політика як стандартну політику домену, політика застосовується до всіх комп'ютерів у домені.

       • Якщо ви впроваджуєте параметр Групова політика як політику контролера домену за промовчанням, політика застосовується лише до серверів в підрозділу контролера домену.

       • Радимо встановити рівень автентифікації диспетчера локальної мережі в найнижчій сутності необхідної області в ієрархії програм політики.

       Для Windows Server 2003 за замовчуванням використовується лише NTLMv2. За замовчуванням контролери домену під керуванням Windows Server 2003 та Windows 2000 Server SP3 активували політику "Microsoft network server: Digitally sign communications (always)". Для цього параметра потрібно, щоб сервер SMB виконав підписування пакетів SMB. Зміни у Windows Server 2003 внесено, оскільки контролери домену, файлові сервери, сервери мережевої інфраструктури та веб-сервери в будь-якій організації вимагають різних настройок, щоб підвищити рівень безпеки.
       
       Якщо потрібно застосувати автентифікацію NTLMv2 в мережі, переконайтеся, що всі комп'ютери в домені настроєно на використання цього рівня автентифікації. Якщо ви застосовуєте клієнтські розширення Active Directory для Windows 95 або Windows 98 і Windows NT 4.0, клієнтські розширення використовують покращені функції автентифікації, доступні в NTLMv2. Оскільки windows 2000 Групова політика Objects не впливає на клієнтські комп'ютери під керуванням будь-якої з наведених нижче операційних систем, можливо, доведеться вручну настроїти ці клієнти:

       • Microsoft Windows NT 4.0

       • Microsoft Windows Millennium Edition

       • Microsoft Windows 98

       • Microsoft Windows 95

       Примітка. Якщо ввімкнути безпеки мережі: Не зберігати значення гешування диспетчера локальної мережі під час наступної політики змінення пароля або встановити розділ реєстру NoLMHash на основі Windows 95 і Windows 98 на основі клієнтів, які не мають клієнта служб каталогів не вдається ввійти в домен після змінення пароля.
       
       Багато сторонніх серверів CIFS, наприклад Novell Netware 6, не знають про NTLMv2 та використовують лише NTLM. Таким чином, рівні, більші за 2, не дозволяють підключення. Крім того, існують клієнти SMB сторонніх постачальників, які не використовують розширену безпеку сеансу. У таких випадках LmCompatiblityLevel сервера ресурсів не враховується. Потім сервер упаковує цей застарілий запит і надсилає його контролеру домену користувача. Параметри контролера домену потім вирішити, які геші використовуються, щоб перевірити запит і чи вони відповідають вимогам до безпеки контролера домену.
       
        

       299656 Як заборонити Windows зберігати геш-код пароля диспетчера локальної мережі в Active Directory та локальних базах даних SAM
        

       2701704Контрольна подія показує пакет автентифікації як NTLMv1 замість NTLMv2 Для отримання додаткових відомостей про рівні автентифікації LM клацніть номер статті в базі знань Microsoft Knowledge Base:

       239869 Увімкнення автентифікації NTLM 2
        

    2. Ризиковані конфігурації
       
       Нижче наведено шкідливі параметри конфігурації.

       • Нерестивні параметри, які надсилають паролі з чітким текстом і які заперечують узгодження NTLMv2

       • Обмежувальні параметри, які перешкоджають несумісним клієнтам або контролерам домену домовлятися про загальний протокол автентифікації

       • Вимога автентифікації NTLMv2 на комп'ютерах-членах і контролерах домену під керуванням версій Windows NT 4.0, раніших за пакет оновлень 4 (SP4)

       • Потрібна автентифікація NTLMv2 у клієнтах Windows 95 або на клієнтах Windows 98, на яких не інстальовано клієнт служб каталогів Windows.

       • Якщо встановити прапорець Вимагати NTLMv2 безпеки сеансу в консолі керування Microsoft, Групова політика редактор оснастки на комп'ютері під керуванням Windows Server 2003 або Windows 2000 пакет оновлень 3 і зниження рівня автентифікації диспетчера локальної мережі до 0, два настройки конфлікт, і може з'явитися таке повідомлення про помилку у файлі Secpol.msc або ФАЙЛ GPEdit.msc:

         Windows не може відкрити базу даних локальної політики. Під час спроби відкрити базу даних сталася невідома помилка.

         Докладні відомості про засіб настроювання та аналізу безпеки див. у файлах довідки Windows 2000 або Windows Server 2003.

    3. Причини для змінення цього параметра

       • Потрібно збільшити найнижчий загальний протокол автентифікації, який підтримують клієнти та контролери домену у вашій організації.

       • Якщо безпечна автентифікація – це службова вимога, потрібно заборонити узгодження протоколів LM і NTLM.

    4. Причини вимкнення цього параметра
       
       Вимоги до автентифікації клієнта або сервера(або обидві) було збільшено до того моменту, коли не вдається виконати автентифікацію за загальним протоколом.

    5. Символічне ім'я:
       
       LmCompatibilityLevel

    6. Шлях реєстру:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. Приклади проблем із сумісністю

       • Windows Server 2003: за замовчуванням параметр відповідей NTLMv2 надсилання NTLM у Windows Server 2003 увімкнуто. Таким чином, Windows Server 2003 отримує повідомлення про помилку "Немає доступу" після початкової інсталяції під час спроби підключитися до кластера на базі Windows NT 4.0 або на сервери на базі LanManager V2.1, наприклад OS/2 Lanserver. Ця проблема також виникає, якщо спробувати підключитися з клієнта попередньої версії до сервера під керуванням Windows Server 2003.

       • Ви інсталюєте Windows 2000 пакет зведеного оновлення системи безпеки 1 (SRP1). SRP1 змушує NTLM версії 2 (NTLMv2). Цей пакет зведеного оновлення було випущено після випуску Windows 2000 із пакетом оновлень 2 (SP2).
          

       • Windows 7 і Windows Server 2008 R2: багато сторонніх серверів CIFS, як-от Novell Netware 6 або сервери Samba на базі Linux, не знають про NTLMv2 та використовують лише NTLM. Таким чином, рівні, більші за "2", не дозволяють підключення. Тепер у цій версії операційної системи за замовчуванням для LmCompatibilityLevel було змінено на "3". Тому під час оновлення Windows ці сторонні файлові системи можуть припинити роботу.

       • Клієнтам Microsoft Outlook може бути запропоновано ввести облікові дані, навіть якщо вони вже ввійшли в домен. Коли користувачі отримують свої облікові дані, з'являється таке повідомлення про помилку: Windows 7 і Windows Server 2008 R2

         Надані облікові дані для входу неправильні. Переконайтеся, що ім'я користувача та домен правильні, а потім введіть пароль ще раз.

         Коли ви запускаєте Outlook, вам може бути запропоновано ввести свої облікові дані, навіть якщо для параметра Безпеки мережі входу встановлено значення Passthrough або Пароль автентифікації. Після введення правильних облікових даних може з'явитися таке повідомлення про помилку:

         Надані облікові дані для входу неправильні.

         Трасування мережевого монітора може показати, що глобальний каталог видав віддалений виклик процедур (RPC) помилка зі станом 0x5. Стан 0x5 означає "Немає доступу".

       • Windows 2000: запис мережевого монітора може відображати такі помилки в netBIOS через TCP/IP (NetBT) сеансу серверних повідомлень (SMB):

         Помилка каталогу пошуку SMB R, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) неприпустимий ідентифікатор користувача

       • Windows 2000: якщо домен Windows 2000 з NTLMv2 рівня 2 або пізнішої версії довірений доменом Windows NT 4.0, комп'ютери-члени Windows 2000 в домені ресурсу можуть виникнути помилки автентифікації.

       • Windows 2000 і Windows XP. За замовчуванням Windows 2000 і Windows XP встановили для параметра Локальна політика безпеки рівня автентифікації диспетчера локальних серверів значення 0. Значення 0 означає "Надсилати відповіді LM і NTLM".
         
         Примітка. Кластери на основі Windows NT 4.0 мають використовувати LM для адміністрування.

       • Windows 2000: Кластеризація Windows 2000 не автентифікує вузол об'єднання, якщо обидва вузли входять до домену Windows NT 4.0 із пакетом оновлень 6a (SP6a).

       • Засіб блокування IIS (HiSecWeb) установлює значення LMCompatibilityLevel 5, а значення RestrictAnonymous – 2.

       • Служби для Macintosh
         
         Модуль автентифікації користувача (UAM): Microsoft UAM (модуль автентифікації користувача) забезпечує спосіб шифрування паролів, які використовуються для входу на сервери Windows AFP (AppleTalk Filing Protocol). Модуль автентифікації користувача Apple (UAM) забезпечує лише мінімальне або відсутнє шифрування. Таким чином, пароль можна легко перехопити на локальній мережі або в Інтернеті. Хоча UAM не обов'язково, він забезпечує зашифровану автентифікацію для серверів Windows 2000, які запускають служби для Macintosh. Ця версія містить підтримку 128-розрядної шифрованої автентифікації NTLMv2 та випуску, сумісного з MacOS X 10.1.
         
         За замовчуванням служби Windows Server 2003 для Macintosh дозволяють лише автентифікацію Microsoft.
          

       • Windows Server 2008, Windows Server 2003, Windows XP та Windows 2000: якщо ви налаштуєте значення LMCompatibilityLevel на 0 або 1, а потім налаштуєте значення NoLMHash на 1, програмам і компонентам може бути відмовлено в доступі через NTLM. Ця проблема виникає в тому, що комп'ютер настроєно на ввімкнення LM, але не для використання збережених LM паролів.
         
         Якщо ви налаштуєте значення NoLMHash як 1, потрібно настроїти значення LMCompatibilityLevel на 2 або більше.

11. Безпека мережі: вимоги до підписування клієнта LDAP

    1. Фоновому режимі
       
       Безпека мережі: параметр вимог до підписування клієнта LDAP визначає рівень підписування даних, який запитується від імені клієнтів, які видає запити BIND полегшеного протоколу доступу до каталогів (LDAP) таким чином:

       • Немає: запит LDAP BIND видається з указаними параметрами абонента.

       • Підписування узгодження. Якщо протокол SSL/TLS не запущено, запит LDAP BIND ініціюється разом із параметром підпису даних LDAP, на додачу до параметрів, указаних абонентом. Якщо ssl/TLS запущено, запит LDAP BIND ініціюється з указаними параметрами абонента.

       • Обов'язкове підписання. Це те саме, що підписування "Узгодження". Однак, якщо проміжна відповідь сервера LDAP saslBindInProgress не вказує на те, що підпис трафіку LDAP обов'язковий, абоненту буде сказано, що запит команди LDAP BIND не виконано.

    2. Ризикована конфігурація
       
       Увімкнення параметра Безпеки мережі: параметр вимог до підписування клієнта LDAP – це шкідлива настройка конфігурації. Якщо ви налаштуєте для сервера обов'язкові підписи LDAP, потрібно також настроїти підпис LDAP на клієнті. Не налаштовування клієнта на використання підписів LDAP запобігатиме зв'язку із сервером. Це призводить до помилки автентифікації користувача, Групова політика настройок, сценаріїв входу та інших функцій.

    3. Причини для змінення цього параметра
       
       Непідписаний мережевий трафік сприйнятливий до атак "людина посередині", коли зловмисник записує пакети між клієнтом і серверами, змінює їх, а потім пересилає на сервер. Коли це відбувається на сервері LDAP, зловмисник може призвести до сервера відповісти на основі помилкових запитів від клієнта LDAP. Ви можете знизити цей ризик у корпоративній мережі, впровадивши потужні фізичні заходи безпеки для захисту мережевої інфраструктури. Крім того, ви можете запобігти будь-яким атакам "людина посередині", вимагаючи цифрові підписи в усіх мережевих пакетах за допомогою заголовків автентифікації IPSec.

    4. Символічне ім'я:
       
       LDAPClientIntegrity

    5. Шлях реєстру:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

12. Журнал подій: максимальний розмір журналу безпеки

    1. Фоновому режимі
       
       Журнал подій: параметр максимального розміру журналу безпеки визначає максимальний розмір журналу подій безпеки. Цей журнал має максимальний розмір 4 ГБ. Щоб знайти цей параметр, розгорніть
       розділ Настройки Windows, а потім розгорніть розділ Настройки безпеки.

    2. Ризиковані конфігурації
       
       Нижче наведено шкідливі параметри конфігурації.

       • Обмеження розміру журналу безпеки та методу збереження журналу безпеки під час перевірки: завершення роботи системи негайно, якщо не вдається ввійти в журнал аудиту ввімкнуто. Докладні відомості див. в розділі "Аудит: завершення роботи системи негайно, якщо не вдається ввійти в журнал перевірок безпеки" цієї статті.

       • Обмеження розміру журналу безпеки для перезаписування цікавих подій безпеки.

    3. Причини для збільшення цього параметра
       
       Вимоги для бізнесу та безпеки можуть диктувати, що ви збільшуєте розмір журналу безпеки для обробки додаткових відомостей журналу безпеки або збереження журналів безпеки протягом довшого періоду часу.

    4. Причини для зменшення цього параметра
       
       перегляд подій журнали – це зіставлені файли пам'яті. Максимальний розмір журналу подій обмежено обсягом фізичної пам'яті на локальному комп'ютері та віртуальною пам'яттю, доступною для процесу журналу подій. Збільшення розміру журналу за межі обсягу віртуальної пам'яті, доступної для перегляд подій не збільшує кількість записів журналу, які зберігаються.

    5. Приклади проблем
       
       із сумісністю Windows 2000: комп'ютери, на яких інстальовано версії Windows 2000, старіші за пакет оновлень 4 (SP4), можуть припинити журналювання подій у журналі подій до досягнення розміру, указаного в параметрі Максимальний розмір журналу в перегляд подій якщо ввімкнуто параметр Не перезаписувати події (очистити журнал вручну).
       
       
        

13. Журнал подій: збереження журналу безпеки

    1. Фоновому режимі
       
       Журнал подій. Параметр захисту журналу безпеки визначає метод "обтікання" для журналу безпеки. Щоб знайти цей параметр, розгорніть розділ Настройки Windows, а потім розгорніть розділ Настройки безпеки.

    2. Ризиковані конфігурації
       
       Нижче наведено шкідливі параметри конфігурації.

       • Не вдалося зберегти всі події безпеки, що записуються, перш ніж їх перезаписано

       • Настроювання замалого параметра максимального розміру журналу безпеки для перезаписування подій безпеки

       • Обмеження розміру журналу безпеки та методу збереження під час перевірки: негайно завершити роботу системи, якщо не вдається ввійти в журнал аудиту безпеки, параметр безпеки ввімкнуто

    3. Причини для ввімкнення цього параметра
       
       Увімкніть цей параметр, лише якщо вибрано спосіб перезаписування подій за днями . Якщо використовується система кореляції подій, яка опитує події, переконайтеся, що кількість днів принаймні в три рази більше, ніж частота опитування. Зробіть це, щоб дозволити невдалі цикли опитування.

14. Доступ до мережі: надання всім дозволів для анонімних користувачів

    1. Фоновому режимі
       
       За замовчуванням для параметра Мережевий доступ: дозволити всім застосовувати дозволи анонімним користувачам установлено значення Не визначено у Windows Server 2003. За замовчуванням Windows Server 2003 не включає маркер анонімного доступу до групи "Усі".

    2. Приклад проблем
       
       із сумісністю Наведене нижче значення

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous [REG_DWORD]=0x0 розриває створення довіри між Windows Server 2003 і Windows NT 4.0, коли домен Windows Server 2003 – це домен облікового запису, а домен Windows NT 4.0 – це домен ресурсів. Це означає, що домен облікового запису надійний у Windows NT 4.0, а домен ресурсу – надійний на стороні Windows Server 2003. Ця проблема виникає тому, що процес запуску довіри після початкового анонімного підключення ACL-d з маркером "Усі", який включає в себе анонімний SID у Windows NT 4.0.

    3. Причини для змінення цього параметра
       
       Потрібно встановити значення 0x1 або встановити за допомогою об'єктної політики групової політики в підрозділу контролера домену: мережевий доступ: дозволити всім дозволам застосовуватися до анонімних користувачів – увімкнуто, щоб зробити створення довіри можливим.
       
       Примітка. У більшості інших параметрів безпеки значення можна збільшити, а не 0x0 в найбільш захищеному стані. Більш безпечною практикою було б змінити реєстр на основний контролер домену емулятор, а не на всіх контролерах домену. Якщо роль емулятора основного контролера домену переміщується з будь-якої причини, реєстру потрібно оновити на новому сервері.
       
       Після встановлення цього значення потрібне перезавантаження.

    4. Шлях до реєстру

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

15. Автентифікація NTLMv2

    1. Безпека сеансу
       
       Безпека сеансів визначає мінімальні стандарти безпеки для сеансів клієнта та сервера. Радимо перевірити наведені нижче параметри політики безпеки в оснастку редактора Групова політика консолі керування Microsoft.

       • Параметри комп'ютера\Настройки Windows\Параметри безпеки\Локальні політики\Параметри безпеки

       • Безпека мережі: мінімальна безпека сеансу для серверів на базі протоколу SSP NTLM (включно із захищеними RPC)

       • Безпека мережі: мінімальна безпека сеансу для клієнтів на основі протоколу SSP NTLM (зокрема, безпечного RPC)

       Нижче наведено параметри цих параметрів.

       • Вимагати цілісність повідомлень

       • Вимагати конфіденційність повідомлення

       • Потрібна безпека сеансу NTLM версії 2

       • Потрібне 128-розрядне шифрування

       Стандартне значення перед Windows 7 – Ні. Починаючи з Windows 7, стандартне значення змінено на Обов'язкове 128-розрядне шифрування для посилення безпеки. За замовчуванням застарілі пристрої, які не підтримують 128-розрядне шифрування, не зможуть підключитися.
       
       Ці політики визначають мінімальні стандарти безпеки для сеансу зв'язку "application-to-application" на сервері для клієнта.
       
       Зверніть увагу, що хоча описані як припустимі параметри, позначки, які вимагають цілісності повідомлення та конфіденційності, не використовуються, коли визначається безпека сеансу NTLM.
       
       Раніше Windows NT підтримувала такі два варіанти перевірки або відповіді автентифікації для входів у мережу:

       • LM challenge/response

       • Виклик або відповідь NTLM версії 1

       LM забезпечує сумісність з інстальованою базою клієнтів і серверів. NTLM забезпечує підвищену безпеку для підключень між клієнтами та серверами.
       
       Відповідні розділи реєстру:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

    2. Ризиковані конфігурації
       
       Цей параметр визначає, як оброблятимуться мережеві сеанси, захищені за допомогою NTLM. Це впливає на сеанси на основі RPC, автентифіковані за допомогою NTLM, наприклад. Існують такі ризики:

       • Використання старіших методів автентифікації, ніж NTLMv2, спрощує атаку через простіші методи хешування.

       • Використання ключів шифрування нижче 128-розрядної дозволяє зловмисникам порушити зв'язок за допомогою атак грубої сили.

Синхронізація часу

Не вдалося виконати синхронізацію часу. Час вимкнуто більш ніж на 30 хвилин на відповідному комп'ютері. Переконайтеся, що годинник клієнтського комп'ютера синхронізовано з годинником контролера домену.

Спосіб вирішення для підписування SMB

Радимо інсталювати пакет оновлень 6a (SP6a) на клієнти Windows NT 4.0, які взаємодіє в домені під керуванням Windows Server 2003. Клієнти на основі Windows 98 Second Edition, клієнти на основі Windows 98 і клієнти на основі Windows 95 повинні запустити клієнт служб каталогів для виконання NTLMv2. Якщо на клієнтах під керуванням Windows NT 4.0 не інстальовано Windows NT 4.0 SP6 або якщо клієнти на основі Windows 95, клієнти на основі Windows 98 і клієнти на основі Windows 98SE не інстальовано клієнт служб каталогів, вимкніть вхід SMB у параметрі політики контролера домену за промовчанням на OU контролера домену, а потім пов'яжіть цю політику з усіма OUs, на яких розміщено контролери домену.

Клієнт служб каталогів для Windows 98 Second Edition, Windows 98 і Windows 95 виконуватиме підписування SMB за допомогою серверів Windows 2003 у розділі автентифікації NTLM, але не в розділі автентифікації NTLMv2. Крім того, сервери Windows 2000 не відповідатимуть на запити підписування SMB від цих клієнтів.

Хоча ми не радимо цього робити, ви можете запобігти необхідності підписування SMB на всіх контролерах домену, які працюють під керуванням Windows Server 2003 в домені. Щоб настроїти цей параметр безпеки, виконайте такі дії:

1. Відкрийте політику контролера домену за промовчанням.

2. Відкрийте папку Конфігурація комп'ютера\Настройки Windows\Параметри безпеки\Локальні політики\Параметри безпеки.

3. Знайдіть і виберіть параметр політики мережевого сервера Microsoft: додавання цифрового підпису (завжди) і натисніть кнопку Вимкнуто.

Увага! Цей розділ, метод або завдання містить кроки, які визначають, як змінити реєстр. Однак у разі внесення неправильних змін до реєстру можуть виникнути серйозні проблеми. Таким чином, переконайтеся, що виконайте ці кроки ретельно. Для додаткового захисту систуйте резервні копії реєстру, перш ніж змінювати його. Після цього ви можете відновити реєстр, якщо виникла проблема. Щоб отримати додаткові відомості про резервне копіювання та відновлення реєстру, клацніть номер статті в базі знань Microsoft Knowledge Base:

322756 Як створити резервну копію та відновити реєстр у Windows Або вимкніть вхід SMB на сервері, змінивши реєстр. Для цього виконайте такі дії:

1. Натисніть кнопку Пуск, виберіть команду Виконати, введіть regedit і натисніть кнопку OK.

2. Знайдіть і клацніть такий підрозділ:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

3. Клацніть елемент enablesecuritysignature .

4. У меню Edit (Редагування) виберіть Modify (Змінити).

5. У полі Значення введіть 0 і натисніть кнопку OK.

6. Закрийте редактор реєстру.

7. Перезавантажте комп'ютер або зупиніть його, а потім перезапустіть службу Server. Для цього введіть наведені нижче команди в командному рядку, а потім натисніть клавішу Enter після введення кожної команди:
   net stop server
   net start server

Примітка Відповідний розділ на клієнтському комп'ютері в такому підрозділі реєстру:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters У наведеному нижче списку перелічено перекладені номери кодів помилок на коди стану та дослівні повідомлення про помилки, згадані вище:

Щоб отримати додаткові відомості, клацніть номер статті в базі знань Microsoft Knowledge Base:

324802 Настроювання групових політик для встановлення безпеки для системних служб у Windows Server 2003

816585 Застосування попередньо визначених шаблонів безпеки у Windows Server 2003