Зараз ви перебуваєте в автономному режимі; очікується повторне підключення до Інтернету

Клієнт служби та проблеми з програмою, може статися, якщо змінити параметри безпеки та призначення прав користувачів

Підтримку Windows XP припинено

8 квітня 2014 р. корпорація Майкрософт припинила підтримку Windows XP. Це позначилося на оновленнях програмного забезпечення та параметрах безпеки. Дізнайтеся, що це означає для вас і яких заходів безпеки необхідно вжити.

Підтримку Windows Server 2003 припинено 14 липня 2015 р.

Корпорація Майкрософт припинила підтримку Windows Server 2003 14 липня 2015 р. Це позначилося на оновленнях програмного забезпечення та параметрах безпеки. Дізнайтеся, що це означає для вас і яких заходів безпеки необхідно вжити.

ВАЖЛИВО! Ця стаття перекладена засобами машинного перекладу Microsoft. Статтю можна редагувати в середовищі Community Translation Framework (CTF). Щоб якомога швидше перекласти всі статті у своїй базі знань різними мовами, компанія Microsoft не лише звертається до професійних перекладачів, але й вдається до машинного перекладу, який потім редагується спільнотою. Такі статті можуть містити лексичні, синтаксичні та граматичні помилки. Microsoft не несе відповідальності за будь-які неточності, помилки або збитки, до яких може призвести неправильний переклад статей або їх використання. Докладніше про CTF див. на веб-сторінці http://support.microsoft.com/gp/machine-translation-corrections/uk-ua.

Клацніть тут, щоб переглянути цю статтю англійською мовою: 823659
Підсумки
локальний політики та групові політики для посилити безпеку на контролерах домену та комп'ютерах, можна змінити параметри безпеки та призначення прав користувачів. Однак, підвищення безпеки, з іншого боку, введення несумісності з клієнтами, служб і програм.

У цій статті описано несумісності, які можуть виникнути, клієнтські комп'ютери під керуванням Windows XP або раніших версіях Windows, під Вільний час змінення конкретні параметри безпеки та призначення прав користувачів, домену Windows Server 2003 або раніших домені Windows Server.

Відомості про групову політику для ОС Windows 7, Windows Server 2008 R2 і Windows Server 2008 див. у наступних статтях: Примітка. У цій статті зміст відповідає Windows XP, Windows Server 2003 та попередніх версіях Windows.

Windows XP

Клацніть тут, щоб переглянути інформацію, що стосується ОС Windows XP
Для підвищення обізнаності про параметри безпеки, неправильно, використовуйте засіб редактор об'єктів групової політики, змінити параметри безпеки. Якщо використовується редактор об'єктів групової політики, призначення прав користувачів, розширення з таких операційних систем:
  • Windows XP Professional із пакетом оновлень 2 (SP2)
  • Windows Server 2003 з пакетом оновлень 1 (SP1)
Удосконалені функції, це діалогове вікно, яке містить посилання на цю статтю. З'явиться діалогове вікно змінити параметр безпеки або призначення прав користувачів, настройки, які пропонує менше сумісність і більш жорсткі. Якщо ви змінюєте безпосередньо на тому самому безпеки корегувати або користувача призначення прав, за допомогою реєстру або шаблони безпеки, вплив є так само, як змінити настройки у редакторі об'єктів групової політики. Проте не відображається діалогове вікно, яке містить посилання на цю статтю.

У цій статті, містить приклади клієнтів, програми та операції, які зазнають конкретні параметри безпеки або призначення прав користувачів. Проте приклади не є основним, усі операційними системами Microsoft для всіх сторонніх виробників, операційних системний інтегратор або для всіх версій програми, які впливає. Не всі параметри безпеки та призначення прав користувачів, які входять до цієї статті.

корпорація Майкрософт рекомендує, перевірити всі зміни в конфігурації, що пов'язані з безпекою в лісі, Перевірка сумісності, перш ніж ви ввести, їх у середовищі виробництва. Перевірка лісу має дзеркало виробництва лісу, таким чином:
  • Клієнт і сервер версії для операційної системи, клієнтські програми для andserver, пакет оновлення версії, виправлення, зміни схеми, securitygroups, в групах, дозволів для об'єктів файлової системи, sharedfolders, реєстру, служба каталогів служба Active Directory, локальний та GroupPolicy настройки та об'єкт підрахунок тип і розташування
  • Адміністративні завдання, що виконуються, administrativetools, які використовуються і операційних системний інтегратор, які використовуються для performadministrative завдань.
  • Операції, які виконуються такі:
    • Автентифікація для входу до системи комп'ютера та користувача
    • Скидання пароля, користувачі, комп'ютери та адміністраторів
    • Перегляд
    • Настроювання дозволів на доступ до файлової системи, для спільних папок, для реєстру та ресурсів служба Active Directory за допомогою редактор списку керування доступом у Усі клієнтські операційні системи в усіх обліковий запис А комп'ютера або Усі клієнтські операційні системи з усіх запису ресурсу домені або ресурсу доменів
    • Друк з облікових записів адміністратора та без

Windows Server 2003 з пакетом оновлень 1

Клацніть тут, щоб переглянути інформацію, що стосується ОС Windows Server з пакетом оновлень 1

Попередження в gpedit. MSC

Для користувачів, які відомо, що редагування права, або параметр безпеки, що могло негативно вплинути на їх мережі, двох механізмів для попередження було додано gpedit. msc. Адміністратори, змінити права, які можуть негативно вплинути на всього підприємства, вони побачать новий динамічна піктограма, на зразок знак вихід. Вони отримають також містить посилання на статтю бази знань Майкрософт, 823659 попередження. текстове протокол IMAP буде таким:
Внесення змін, цей параметр може вплинути на сумісність із клієнтами, служб і програм. Щоб отримати додаткові відомості див. <user right="" or="" security="" option="" being="" modified="">(Q823659)</user>
Якщо вас було спрямовано до цієї статті бази знань, посилання на gpedit. msc, переконайтеся, що, читання а також зрозуміти пояснення, надані і вплив можна змінити цей параметр. Нижче наведено права, які містять текст попередження:
  • Доступ до цього комп'ютера в мережі
  • Увійдіть на локальному комп'ютері
  • Обхід, траверс перевірки.
  • Комп'ютери та користувачів, що для надійного делегування
Містить параметри безпеки, попередження та спливаючі протокол IMAP.
  • До складу домену: Цифрового шифрування або знак безпечний канал-даних (завжди)
  • До складу домену: Потрібна сильна (Windows 2000 або пізнішої версії) ключ сеансу
  • Контролера: запит на змінення цифрового підпису сервера LDAP
  • Сервер мережі Microsoft: використовувати із цифровим підписом (завжди)
  • Мережний доступ: Дозволяє, анонімний Sid / назва перекладу
  • Мережний доступ: Не дозволяють SAM анонімне перелічення облікових записів і спільних ресурсів
  • Безпека мережі: LAN Manager автентифікація рівня.
  • Категорія: Завершення роботи системи відразу ж, якщо не вдалося увійти в систему безпеки аудиту
  • Мережний доступ: запит на змінення цифрового підпису клієнта LDAP
Додаткові відомості
У наступних розділах несумісності, які можуть виникнути, змінивши настройки, домени для Windows NT 4.0, Windows 2000 доменів і доменів для Windows Server 2003.

права

Клацніть тут, щоб отримати відомості про права
У наведеному нижче списку, описано права, визначає параметри конфігурації, що може спричинити проблеми, у цій статті описано причини, слід застосовувати право користувача та чому видаляти права і містить приклади проблем сумісності, які виникають під Вільний час настройки право користувача.
  1. Доступ до цього комп'ютера в мережі
    1. Тло

      Можливість взаємодії з Windows на віддалених комп'ютерах, необхідно права доступ цей комп’ютер-зразок від мережі . Прикладами таких дій у мережі, належать:
      • Реплікація служби служба Active Directory на контролерах домену, у загальних домену чи лісу, між
      • Запити перевірки автентичності на контролерах домену користувачів і комп'ютерів
      • Доступ до спільних папок, принтери та інші системні служби, розташованих на віддалених комп'ютерах у мережі


      Користувачі, комп'ютери та облікових записів служби отримати, або призвести до втрати права доступ цей комп’ютер-зразок від мережі , що явно або неявно або запит на додавання група безпеки, які звичайно це право на користувача. Наприклад, обліковий запис А комп'ютера користувача або обліковий запис А комп'ютера комп'ютера явно додається до група безпеки, користувача або група безпеки, вбудований адміністратор або неявно додається операційною системою для групи користувачів домену, автентифіковані користувачі або контролери домену підприємства комп'ютерної безпеки.

      За промовчанням, облікові запис А бізнес-партнера користувачів і комп’ютер-зразок надано доступ цей комп’ютер-зразок від мережі користувача безпосередньо під Вільний час обчислене груп, як для всіх чи авторизовані користувачі і на контролерах домену, до групи контролери домену підприємства, визначені на контролери домену за промовчанням об'єкт групової політики (GPO).
    2. Ризикований конфігурації.

      Нижче наведено шкідливих настройки.
      • Видалити групу безпеки контролери домену підприємства від цього користувача, право
      • Видалення автентифіковані користувачі або явного групи, яка дозволяє користувачів, комп'ютерів та облікових записів служби права для підключення комп'ютерів у мережі
      • Видалення всіх користувачів і комп'ютерів, з права
    3. Причини, щоб надати це право на користувача
      • Надання права доступу цей комп’ютер-зразок від мережі користувача до групи контролери домену підприємства, задовольняє автентифікації вимоги, які реплікації служба Active Directory має бути реплікації, виникають контролери домену в одному лісі.
      • права, дозволяє пользователи и компьютеры для доступу до спільних файлів, принтери та системи послуг, служба Active Directory.
      • Це право на користувача, необхідна для користувачів, щоб отримати доступ до електронна пошта, за допомогою ранніх версій програми Microsoft Outlook Web Access (OWA).
    4. Причини, щоб видалити це право на користувача
      • Користувачі, які можна підключити свої комп'ютери до мережі, доступ до віддалених комп'ютерів, що вони дозволи на доступ до ресурсів. Наприклад, це користувача, право необхідна для користувача для підключення до спільних принтерів а також до папок. Якщо права, надано для цієї групи, і якщо деякі спільної папки спільний доступ і дозволи NTFS настроєно так, що ж групи доступ для читання, будь-якому можна переглянути файли в цих папках. Однак це навряд чи ситуації, для автоматична інсталяція Windows Server 2003 через те, що за промовчанням спільний доступ і дозволи NTFS, Windows Server 2003 не містять усі групи. Для системний інтегратор, які з Microsoft Windows NT 4.0 або Windows 2000 цей дефект, можливо, підвищення рівня ризику через те, що за промовчанням спільний доступ і дозволи файлової системи, для цих операційних системний інтегратор не є такі обмеження, як дозволи за промовчанням у Windows Server 2003.
      • Є дійсним причину вилучення контролери домену підприємства групи з права.
      • Усі групи, як правило, вилучені на користь автентифіковані користувачі. Якщо буде видалено всі групи, автентифіковані користувачі, йому це право на користувача.
      • Доменів Windows NT 4.0, що оновлення до Windows 2000 не явно надати доступ цей комп’ютер-зразок від мережі , користувач відразу всі групи, автентифіковані користувачі або групи контролери домену підприємства. Таким чином, під Вільний час видалення всіх групової політики з домену Windows NT 4.0, з, реплікації служба Active Directory не вдасться протокол IMAP про помилку "Немає доступу" після оновлення до Windows 2000. Надавши контролери домену підприємства групи це право для користувача, під Вільний час скинути параметри Windows NT 4.0 з основним контролери (PDCs) дозволяє уникнути цього неправильна Winnt32.exe у Windows Server 2003. Надання групи контролери домену підприємства, для цього користувача, право, якщо його немає у списку, у полі редактор об'єктів групової політики.
    5. Приклади проблеми сумісності
      • Windows 2000 та Windows Server 2003: Реплікація такі розділи не буде виконано з помилками, що "Немає доступу" як засоби, такі як REPLMON моніторингу та REPADMIN або реплікації події, у разі входу.
        • активний розділ в каталозі схеми
        • Настроювання розділу.
        • Розділ для домену
        • глобальний каталог розділу.
        • Розділ застосунків
      • Всі мережні операційної системи: Автентифікація облікового запису користувача, з віддаленої мережі клієнтські комп'ютери не вдасться, якщо користувача або групу безпеки, що користувач є членом було надано це право на користувача.
      • Всі мережні операційної системи: Автентифікація на обліковий запис А комп'ютера у віддаленій мережі клієнтів не вдасться, якщо обліковий запис А комп'ютера або обліковий запис А комп'ютера, є членом група безпеки було надано право користувача. Це стосується до облікових записів користувачів, комп'ютерів та облікових записів служби.
      • Всі мережні операційної системи: Видалення всіх облікових записів від права, це запобігає будь-який рахунок входити до домену або доступу до мережних ресурсів. Якщо обчислюється групи, такі як контролери домену підприємства, буде видалено всі або автентифіковані користувачі, ви маєте явно надати право цього користувача облікові запис А бізнес-партнера або група безпеки, який обліковий запис А комп'ютера входить до віддалених комп'ютерів у мережі. Це стосується для всіх облікових записів користувачів, всі рахунки на комп'ютері і всі облікові запис А бізнес-партнера, служби.
      • Всі мережні операційної системи: Облікового запису адміністратора, використовує "пустий". Підключення до мережі з пароля не дозволяється записів адміністратора в домені. У цій конфігурації ви можете очікувати відображається протокол IMAP про помилку "Немає доступу".
  2. Дозволити журналу на локальному комп'ютері
    1. Тло

      Користувачі, хто намагається увійти до консолі комп'ютера під керуванням Windows (за допомогою сполучення клавіш CTRL + ALT + DELETE) та облікові запис А бізнес-партнера, які намагаються запустити службу потрібно мати права для локального входу на комп'ютері, що хостинг. Приклади локального входу операцій адміністратори, які входу до консолі, комп'ютерах або контролерів домену протягом enterprise і домену, користувачі, які входу на комп'ютерах доступ до своїх комп'ютерів, за допомогою не Привілейований рахунків. Користувачі, які за допомогою віддаленого робочого стола або служб терміналів, потрібно дозволити локального входу користувача на комп'ютери призначення, під керуванням Windows 2000 або Windows XP, тому що ці режими для входу до системи вважаються локальний комп’ютер-зразок хостинг. Користувачі, які входу на сервер дозволив сервера терміналів, і які не мають цього користувача, право ще початком інтерактивного сеансу віддаленого в доменах, Windows Server 2003, якщо вони мають право користувача дозволити вхід через служба терміналів .
    2. Ризикований конфігурації.

      Нижче наведено шкідливих настройки.
      • Видалення безпеки з адміністративної групи, які оператори облікових записів, операторів архіву, друк оператори або оператори сервера і вбудована група адміністраторів, з контролера домену за промовчанням політики.
      • Видалення облікових записів служби, що використовуються компоненти і програми на комп'ютерах, так і на контролерах домену в домені, з контролера домену за промовчанням політики.
      • Видалення користувачів і груп безпеки, які увійти до консолі комп'ютерах в домені.
      • Видалення облікових записів служби, визначені на локальних даних диспетчера облікових записів безпеки (SAM) комп'ютерах або комп'ютери робочої групи.
      • Видалення не вбудований в адміністративних облікових записів, які автентифікації через служба терміналів, що працює на контролері домену.
      • запит на додавання всі облікові запис А бізнес-партнера користувачів у домені, явно або неявно через всі групи, заборонити вхід до системи локально увійти правильно. Ця конфігурація запобігає користувачам входити до будь-якого рядовому комп'ютері або в будь-які контролеру домену в домені.
    3. Причини, щоб надати це право на користувача
      • Користувачі, потрібно дозволити локального входу користувача право отримати доступ до консолі, або на робочий стіл комп'ютері робочої групи, на рядовому комп'ютері або контролері домену.
      • Користувачі повинні мати до цього права, для входу на сеансу служб терміналів, який працює під керуванням Windows 2000, рядовому комп'ютері або контролері домену.
    4. Причини, щоб видалити це право на користувача
      • Помилка для обмеження доступу до консолі законного облікові запис А бізнес-партнера, може призвести до несанкціонованому завантаження та виконання шкідливого програмного коду змінити свої права.
      • Видалення дозволити локального входу користувача правильно, не дозволяє несанкціоноване вхід до системи на консолі, комп'ютерів, що контролери домену або застосунку серверів.
      • Видалення цього права для входу до системи не дозволяє не входить до домену, облікові запис А бізнес-партнера входу в консолі член комп'ютерів в домені.
    5. Приклади проблеми сумісності
      • Серверів Windows 2000:Дозволити локального входу користувача правильно, необхідна для користувачів, щоб увійти до Windows 2000 серверів.
      • Windows NT 4.0, Windows 2000, Windows XP або Windows Server 2003: Облікові запис А бізнес-партнера користувачів, йому це право користувача, щоб увійти на комп'ютерах під керуванням Windows NT 4.0, Windows 2000, Windows XP або Windows Server 2003 до консолі.
      • Windows NT 4.0 і пізніших: На комп'ютерах під керуванням Windows NT 4.0, а також, якщо ви додаєте дозволити локального входу користувача права, але ви чи неявно також надає заборонити вхід на локальному комп'ютері права входу до системи, ці облікові запис А бізнес-партнера не зможуть для входу до консолі контролерів доменів.
  3. Обхід, траверс перевірки.
    1. Тло

      Обхід, траверс-перевірка користувача правильно, дозволяє користувачам переглядати папки у файловій системі NTFS, або в реєстрі без перевірки дозволу спеціальний доступ Огляд папки . Обхід, траверс-перевірка користувача правильно не дозволяє список файлів у папці користувача. Це дозволяє користувачеві огляд лише її папок.
    2. Ризикований конфігурації.

      Нижче наведено шкідливих настройки.
      • Видалення без прав адміністратора облікові запис А бізнес-партнера, які входу до служба терміналів, під керуванням Windows 2000 комп'ютерах або комп'ютерах під керуванням Windows Server 2003 служба терміналів, немає дозволу на доступ до файлів і папок у файловій системі.
      • Видалення всіх групи зі списку безпеки учасники, які безпосередньо за промовчанням для цього користувача. Операційних системний інтегратор Windows а також багато програм, призначені в очікуванні, що кожен, хто законно можуть отримати доступ до комп'ютера повинні оминути, траверс-перевірка користувача правильно. Таким чином, видалення, що всі групи зі списку безпеки учасники, які мають це право на користувача за промовчанням може привести нестабільність операційної системи або помилка в програмі. Краще залишити цей параметр у за промовчанням.
    3. Причини, щоб надати це право на користувача

      Обхід, траверс-перевірка користувача правильно, значення за промовчанням є будь-хто зможе обійти, траверс-перевірка. Досвідчені Windows системних адміністраторів це є стандартною поведінкою та їх настроювання файлу системні списки керування доступом (SACLs), відповідно. Лише ситуації, коли стандартної конфігурації, можуть призвести до-нещасний випадок є, якщо адміністратор настроїв дозволів не підтримує роботу і очікує, користувачі не можуть отримати доступ до батьківської папки не буде доступ до вмісту будь-яких дочірніх папок.
    4. Причини, щоб видалити це право на користувача

      Можна спробувати, щоб запобігти доступу до файлів або папок, у файловій системі організацій, які дуже стурбовані безпеки може бути досвідченим видалити до цієї групи, або до групи користувачів зі списку груп, які оминути, траверс-перевірка користувач правильно, навіть.
    5. Приклади проблеми сумісності
      • Windows 2000, Windows Server 2003:Обхід, траверс-перевірка користувача правильно буде видалено, або неправильно, на комп'ютерах під керуванням Windows 2000 або Windows Server 2003, настройки групової політики, у папці SYVOL не повторити між контролери домену в домені.
      • Windows 2000, Windows XP Professional з ОС Windows Server 2003: Події 1000 і 1202 комп'ютерів під керуванням Windows 2000, Windows XP Professional або Windows Server 2003 і буде неможливо застосувати політика комп'ютера та політика користувача під Вільний час на необхідні дозволи видаляються з дерева SYSVOL обхід Траверс перевірки користувача правильно, видалення або настроєно неправильно.

        Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
        290647 Подія з Кодом 1000, 1001 записується до кожні п'ять хвилин, у журналі подій застосунків
      • Windows 2000, Windows Server 2003: На комп'ютерах під керуванням Windows 2000 або Windows Server 2003 у провіднику Windows, вкладка квоти зникають під Вільний час перегляду властивостей на томі.
      • Windows 2000: Без прав адміністратора, які ввійшли на сервері терміналів Windows 2000, може з'явитися таке протокол IMAP про помилку:
        Помилка під Вільний час застосування Userinit.exe. Програми, які не вдалося ініціалізувати 0xc0000142, натисніть кнопку ОК, щоб завершити програму.
        Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
        272142 Користувачі мають автоматично виходить із системи під Вільний час спроби входу до служба терміналів
      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Користувачі, чиї комп'ютери під керуванням Windows NT 4.0, Windows 2000, Windows XP або Windows Server 2003 не можуть отримати доступ до спільних папок або файлів на спільних папок, а також буде отримано "Немає доступу" протокол IMAP про помилку, якщо вони не отримують право користувача оминути, траверс-перевірка .

        Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
        277644 протокол IMAP про помилку "Немає доступу" при спробі отримати доступ до спільних папок.
      • Windows NT 4.0: На комп'ютерах під керуванням Windows NT 4.0 копіювання файлів, відмовитися від файлу потоки призведе до видалення оминути, траверс-перевірка користувача правильно. Якщо видалити цей права, під Вільний час копіювання файлів з клієнт Windows або Macintosh клієнта до контролера домену Windows NT 4.0, під керуванням служб для Macintosh, потоку файл призначення, втрачається і файл, що відображається як текстовий файл.

        Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
        172930 Видалення "Оминання перехресної перевірки" причини, копіювання файлів, відмовитися від потоків
      • Microsoft Windows 95, Microsoft Windows 98: На клієнтському комп'ютері, який працює під керуванням Windows 95 або Windows 98 на net use * / будинку команду не вдасться протокол IMAP про помилку "Немає доступу", якщо автентифіковані користувачі не надані права оминути, траверс-перевірка .
      • Outlook Web Access: Без прав адміністратора не вдасться для входу до Microsoft Outlook Web Access, і вони отримають протокол IMAP про помилку "Немає доступу", якщо вони не отримують право користувача оминути, траверс-перевірка .

Параметри безпеки

Клацніть тут, щоб отримати відомості про параметри безпеки
У наведеному нижче списку, визначає параметр безпеки, а також список вкладених наведено опис про параметри безпеки, визначає параметри конфігурації, що може спричинити проблеми, у цій статті описано, чому вам слід звернутися до проблем із настроюванням безпеки та виберіть у цій статті описано причини, чому ви можете видалити параметри безпеки. Список вкладених перевірить символьним ім'ям параметри безпеки та шляху реєстру параметр безпеки. Нарешті, приклади описані проблеми сумісності, які виникають під Вільний час вибрано настройку безпеки.
  1. Категорія: Завершення роботи системи відразу ж, якщо не вдалося увійти в систему безпеки аудиту
    1. Тло
      • У Категорія: завершення роботи системи відразу ж, якщо не вдалося увійти в систему безпеки перевірок параметр визначає, чи система завершує роботу, якщо не вдається увійти події безпеки. Цей параметр необхідна програма надійні комп'ютера безпеки оцінювання умови (TCSEC) C2 оцінювання та критерії оцінювання відомості про технології безпеки для запобігання прапорця події, якщо аудит системі не вдалося увійти на ці події. У разі спроби аудиту системи система вимикається, і протокол IMAP про невиправну помилку, з'явиться.
      • Якщо комп’ютер-зразок, не записування подій до журналу безпеки, критичні дані або важливі відомості про виправлення неполадок не може бути доступним для перегляду після інциденти безпеки.
    2. Ризикований конфігурації.

      Наведено настройки шкідливих конфігурації: на Категорія: завершення роботи системи відразу ж, якщо не вдалося увійти в систему безпеки перевірок параметр увімкнуто, і розмір запис А подій безпеки обмежені події, які (очищення журналу вручну) не перезаписуються варіант, варіант перезаписування події, як потрібно. або Перезаписування події, старішій за номер дні параметр у засобі перегляду подій. Див. розділ "Приклади сумісності проблеми", щоб отримати відомості про певні ризики для комп'ютерів, які працюють у вихідній версії Windows 2000, Windows 2000 з пакетом оновлень 1 (SP1), Windows 2000 SP2 або Windows 2000 SP3.
    3. Причини, щоб увімкнути цей параметр

      Якщо комп’ютер-зразок, не записування подій до журналу безпеки, критичні дані або важливі відомості про виправлення неполадок не може бути доступним для перегляду після інциденти безпеки.
    4. Причини, щоб вимкнути цей параметр
      • Увімкнення у аудиту: завершення роботи системи відразу ж, якщо не вдалося увійти в систему безпеки перевірок настройку, перестає системи, якщо не вдається увійти аудиту захисту будь-якої причини. Як правило, не реєструється подія після повного і коли його спосіб для вказаного утримання не перезаписуються події, які (очищення журналу вручну) пункт контрольний журнал журнал безпеки або Перезаписування події, старішій за номер дні параметр.
      • Адміністративного навантаження забезпечення в Категорія: завершення роботи системи відразу ж, якщо не вдалося увійти в систему безпеки перевірок параметр може бути дуже високий, особливо, якщо також увімкнути параметр не перезаписуються події, які (очищення журналу вручну) до журналу безпеки. Цей параметр передбачає окремих відповідальності оператора дій. Наприклад, адміністратор може змінити дозволи для користувачів, комп'ютерів і груп організаційного підрозділу (ОП) де аудиту було ввімкнуто вбудованим обліковим записом адміністратора або інші спільні запису за допомогою і заборонити їх Скидання настройок такі дозволи. Проте, Увімкнення настройки зменшити надійності системи через те, що сервер, можливо, доведеться закриті переважною, події для входу до системи та інші події безпеки для записування до журналу безпеки. Крім того, оскільки закриття не неправильного непоправної шкоди до операційної системи, програми або даних може спричинити. У той Вільний час як NTFS гарантує, що під Вільний час вимикання комп'ютера з незграбний зберегти у файловій системі цілісність, не може гарантувати, що кожен файл даних, для кожної програми, все одно буде у формі, що використовується під Вільний час перезавантаження системи.
    5. Символічне ім'я:

      CrashOnAuditFail

    6. Шлях до реєстру:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)
    7. Приклади проблеми сумісності
      • Windows 2000: Через помилку комп'ютерів, які працюють у вихідній версії Windows 2000, Windows 2000 з пакетом оновлень 1, Windows 2000 SP2 або Windows Server SP3, може припинити журналювання подій, перш ніж розміру, указаного у параметр максимальний розмір журналу запис А подій безпеки. Цю помилку виправлено у Windows 2000 з пакетом оновлень 4 (SP4). Переконайтеся, що, ваш контролери домену Windows 2000 Windows 2000 з пакетом оновлень 4 інстальовано, перш ніж ви вважаєте, що дозволяє цей параметр.

        Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
        312571 запис А подій, перестає журналювання до досягнення до максимального розміру журналу
      • Windows 2000, Windows Server 2003: Комп'ютери під керуванням Windows 2000 або Windows Server 2003 перестає реагувати на інтерактивні елементи користувача а потім може неочікувано перезавантаження, якщо на перевірки: завершення роботи системи відразу ж, якщо не вдалося увійти в систему безпеки перевірок параметр увімкнуто, журнал безпеки заповнено і не можна перезаписати наявний запис А журналу подій. Під Вільний час перезавантаження комп'ютера з'являється таке протокол IMAP про помилку:
        STOP: C0000244 {перевірки, помилка}
        Спроба створення аудиту захисту, не вдалося.
        Відновлення, адміністратор повинен увійти Архів журналу безпеки (необов'язково), очистити журнал безпеки та перезапускається цей параметр, (необов'язково та необхідних).
      • Клієнт мережі Microsoft, для MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Без прав адміністратора, які спроби входу до домену, отримають таке протокол IMAP про помилку:
        обліковий запис А комп'ютера настроєно, щоб заборонити сценарій виконання цього комп'ютера. Спробуйте інший комп’ютер-зразок.
        Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
        160783 протокол IMAP про помилку: користувачам не вдається увійти на робочій станції
      • Windows 2000: На комп'ютерах під керуванням Windows 2000 іншим користувачам не вдасться для підключення до віддалене з'єднання, і вони будуть отримувати протокол IMAP про помилку, подібне до такого:
        Невідомий користувач або неправильний пароль.
        Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
        285665 протокол IMAP про помилку: обліковий запис А комп'ютера настроєно, щоб заборонити сценарій виконання цього комп'ютера.
      • Windows 2000: На контролерах домену з Windows 2000 служба Intersite, обміну повідомленнями (Ismserv.exe) зупиниться і не вдається перезавантажити. Також DCDIAG повідомляє про помилку, як "не вдалося, служби для перевірки ISMserv", і події з Ідентифікатором 1083 буде зареєстровано, у разі журналу.
      • Windows 2000: На контролерах домену з Windows 2000 реплікації служба Active Directory не вдасться, і з'явиться протокол IMAP "Немає доступу", якщо запис А подій безпеки заповнений.
      • Microsoft Exchange 2000: У випадку, сервери з Exchange 2000 не вдасться підключитися до бази даних пул носіїв поштових скриньок відомостей і захід 2102 буде зареєстровано журналу.

        Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
        314294 Через SeSecurityPrivilege права а також проблеми, Policytest появу повідомлень про помилки в Exchange 2000
      • Outlook, Outlook веб-доступу: Без прав адміністратора не зможете отримати доступ до своїх повідомлень через Microsoft Outlook або Microsoft Outlook Web Access, і вони будуть отримувати помилки 503.
  2. Контролер домену: сервера LDAP, цифрового підпису
    1. Тло

      У контролер домену: сервера LDAP, цифрового підпису проблем із настроюванням безпеки визначає, чи, полегшений протокол доступу до каталогів (LDAP) сервер вимагає LDAP клієнти домовитися з даними підписування SMB. Можливо, цей параметр політики значення є такими:
      • Немає: Підписування SMB даних не потрібно пов'язувати з сервером. Клієнт надсилає запит, дані, які цифрового підпису, сервер підтримує.
      • Запит цифрового підпису: Параметр підпису даних LDAP, повинні бути узгоджені, якщо використовується рівень безпеки/Secure Socket шар (TLS/SSL).
      • не визначено: Цей параметр не ввімкнуто або вимкнуто.
    2. Ризикований конфігурації.

      Нижче наведено шкідливих настройки.
      • Увімкнення запит цифрового підпису в середовищі, де клієнти не підтримують підписування SMB LDAP, або коли підписування SMB на клієнтський LDAP знятий на клієнтському комп'ютері
      • Застосування Windows 2000 або Windows Server 2003-Hisecdc.inf шаблон безпеки в середовищі, де клієнти не підтримують підписування SMB LDAP або коли підписування SMB на клієнтський LDAP не вмикається
      • Застосування Windows 2000 або Windows Server 2003-Hisecws.inf шаблон безпеки в середовищі, де клієнти не підтримують підписування SMB LDAP або коли підписування SMB на клієнтський LDAP не вмикається
    3. Причини, щоб увімкнути цей параметр

      Непідписаний мережний трафік є уразливий до атак людина в середині, коли зловмисник перехоплює пакети, між клієнтом і сервером, змінює пакети і знову пересилає на сервер. Коли це трапляється на сервері LDAP, зловмисник може спричинити сервер приймати рішення на основі помилкові запитів від клієнта LDAP. Шляхом впровадження стійке фізичної безпеки заходів для захисту інфраструктури мережі, ви можете знизити ризик до корпоративної мережі. Протокол автентифікації-безпеки (IPSec) заголовок режим може запобігти людина в середині атак. Заголовок-режим автентифікації виконує взаємне автентифікацію і пакет цілісності IP-трафіку.
    4. Причини, щоб вимкнути цей параметр
      • Клієнти, які не підтримують підписування SMB LDAP буде неможливо здійснити запити LDAP, проти контролерів домену а також від Глобальні каталоги автентифікації NTLM обговорюється, і якщо правильний пакетів оновлень не інстальовано на контролери домену Windows 2000.
      • Шифрується мережі трасування LDAP трафіку між клієнтами та серверами. Це робить його важко вивчення LDAP розмов.
      • Сервери, під керуванням Windows 2000 має бути інстальовано з Windows 2000 з пакетом оновлень 3 (SP3) або після того, як вони керуються програми, підтримка LDAP, підписування SMB, запуску із клієнтських комп'ютерів, які працюють у Windows 2000 SP4, Windows XP або Windows Server 2003. Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
        325465 Контролери домену Windows 2000 потребує з пакетом оновлень 3 або пізнішої версії, під Вільний час сценарій виконання Windows Server 2003-засоби адміністрування
    5. Символічне ім'я:

      LDAPServerIntegrity
    6. Шлях до реєстру:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)
    7. Приклади проблеми сумісності
      • Простих прив'язок не вдасться, і з'являється таке протокол IMAP про помилку:
        Ldap_simple_bind_s(), помилка: потрібна сильна автентифікація.
      • Windows 2000 з пакетом оновлень 4, Windows XP, Windows Server 2003: На клієнтів під керуванням Windows 2000 SP4, Windows XP або Windows Server 2003 деякі засоби адміністрування з служба Active Directory буде працювати належним чином з контролерах домену під керуванням ОС Windows 2000, які передують SP3 під Вільний час автентифікації NTLM обговорюється.

        Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
        325465 Контролери домену Windows 2000 потребує з пакетом оновлень 3 або пізнішої версії, під Вільний час сценарій виконання Windows Server 2003-засоби адміністрування
      • Windows 2000 з пакетом оновлень 4, Windows XP, Windows Server 2003: На клієнтів під керуванням Windows 2000 SP4, Windows XP або Windows Server 2003, деякі засоби адміністрування служба Active Directory, призначені для контролерів домену під керуванням ОС Windows 2000, які передують SP3 буде працювати належним чином, якщо вони використовують IP-адрес (наприклад, "DSA. msc /server =x.x.x.x", де x.x.x.x Це IP-адреси).

        Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
        325465 Контролери домену Windows 2000 потребує з пакетом оновлень 3 або пізнішої версії, під Вільний час сценарій виконання Windows Server 2003-засоби адміністрування
      • Windows 2000 з пакетом оновлень 4, Windows XP, Windows Server 2003: Клієнтів під керуванням Windows 2000 SP4, Windows XP або Windows Server 2003, деякі засоби адміністрування з служба Active Directory цієї мети, на контролерах домену під керуванням ОС Windows 2000, які передують SP3 буде працювати належним чином.

        Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
        325465 Контролери домену Windows 2000 потребує з пакетом оновлень 3 або пізнішої версії, під Вільний час сценарій виконання Windows Server 2003-засоби адміністрування
  3. До складу домену: потрібна сильна ключ для сеансу (Windows 2000 або пізнішої версії)
    1. Тло
      • У входить до складу домену: потрібна сильна ключ для сеансу (Windows 2000 або пізніших версій) параметр визначає, чи можна встановити захищений канал з контролера домену, який неможливо шифрувати безпечний канал трафік, з ключем сильний, 128-розрядне шифрування сеансу. Увімкнення цей параметр запобігає створення захищений канал з контролер домену, неможливо шифрувати безпечний канал даних, з стійке ключа. Вимкнути цей параметр дає змогу сеансу для 64-розрядних розділів.
      • Перш ніж можна ввімкнути цей параметр, учасник робоча станція або на сервері, усі контролери домену, що належить член має бути можливість шифрування безпечний канал даних із ключем сильний, 128-розрядне шифрування. Це означає, що всі контролерів домену має працювати під керуванням Windows 2000 або пізнішої версії.
    2. Ризикований конфігурації.

      Увімкнення у входить до складу домену: потрібна сильна ключ для сеансу (Windows 2000 або пізніших версій) використовується параметр шкідливих конфігурації.
    3. Причини, щоб увімкнути цей параметр
      • Сеанс розділів, що використовуються для створення безпечний канал зв'язок "один-до-одного" між комп'ютерах і контролерів домену, які значно надійних у Windows 2000, ніж у попередніх версіях операційної системи.
      • Якщо можливо, варто скористатися перевагою розділах надійних сеансу для захисту безпечний канал зв'язок "один-до-одного" з перехоплення та захоплення мережевих атак сеансу. Eavesdropping , є формою зловмисної атаки, де дані в мережі для читання або змінено, під Вільний час передавання. Приховати або змінити відправника або переспрямування, його можна змінювати дані.
      Увага! комп’ютер-зразок під керуванням Windows Server 2008 R2 або Windows 7 підтримує тільки ключі, сильний, під Вільний час сценарій виконання безпечного каналів. Це обмеження не дозволяє, довіри між будь-якого під керуванням Windows NT 4.0 і будь-який домен, під керуванням Windows Server 2008 R2. Крім того, це обмеження блокує, до складу домену під керуванням Windows NT 4.0 комп'ютерів під керуванням Windows 7 або Windows Server 2008 R2, і навпаки.
    4. Причини, щоб вимкнути цей параметр

      Домен міститься на комп'ютерах під керуванням операційних системний інтегратор, крім Windows 2000, Windows XP або Windows Server 2003.
    5. Символічне ім'я:

      StrongKey
    6. Шлях до реєстру:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)
    7. Приклади проблеми сумісності

      Windows NT 4.0: На комп'ютерах під керуванням Windows NT 4.0 скинувши безпечні канали, довірчих відносин між Windows NT 4.0 та Windows 2000 доменів із NLTEST не вдається. протокол IMAP про помилку "Немає доступу", з'явиться:
      Не вдалося виконати довірчі відносини між основним і довірений домен.

      ОС Windows 7 і Server 2008 R2: ОС Windows 7 і пізніших версій і Windows Server 2008 R2 і пізніших версій він більше не шанували і завжди використовується стійке ключ. З цієї причини довіри, з Windows NT 4.0 домени не працюють більше.
  4. До складу домену: цифрового шифрування або знак безпечний канал-даних (завжди)
    1. Тло
      • Увімкнення входить до складу домену: цифрового шифрування або знак безпечний канал-даних (завжди) запобігає, створення безпечний канал за допомогою контролер домену, що не вдається увійти, або шифрування всіх даних, безпечний канал. Для захисту автентифікації трафік від людини в середині атак, захист від повторних атак та інших видів атак в мережі, Windows на комп'ютерах, створіть каналу зв'язок "один-до-одного", відомий як безпечний канал – служба Net Logon автентифікації комп'ютерів. Безпечні канали також використовуються під Вільний час користувач в одному домені підключається до мережного ресурсу, до віддаленого домену. Це сигналів автентифікації або до сервера автентифікації, дозволяє на комп’ютер-зразок під керуванням Windows, який було підключено до домену, щоб отримати доступ до бази даних облікового запису користувача домену і в будь-який надійних доменів.
      • Щоб увімкнути в входить до складу домену: цифрового шифрування або знак безпечний канал-даних (завжди) налаштування комп'ютера, усі контролери домену, що належить член повинен мати змогу підписати або зашифрувати всі дані на безпечний канал. Це означає, що такі контролери домену має працювати під керуванням Windows NT 4.0 з пакетом оновлень 6a (SP6a) або новішої версії.
      • Увімкнення у входить до складу домену: цифрового шифрування або знак безпечний канал-даних (завжди) налаштування автоматично дає змогу на входить до складу домену: цифрового шифрування або знак безпечний канал-даних (якщо можливо) параметр.
    2. Ризикований конфігурації.

      Увімкнення у входить до складу домену: цифрового шифрування або знак безпечний канал-даних (завжди) в доменах, де не на всіх контролерах домену входу або шифрування даних, безпечний канал використовується параметр шкідливих конфігурації.
    3. Причини, щоб увімкнути цей параметр

      Непідписаний мережний трафік є чутливі до людини в середині атак, коли зловмисник перехоплює пакети, між сервером і клієнтом і потім змінює їх до спрямування їх на клієнті. Коли це трапляється на сервері полегшений протокол доступу до каталогів (LDAP), зловмисник може спричинити клієнт приймати рішення на основі помилкові запис А бізнес-партнера з каталогу LDAP. Шляхом впровадження стійке фізичної безпеки заходів для захисту інфраструктури мережі, ви можете знизити ризик такі атаки в корпоративній мережі. Крім того, впровадження Internet Protocol security (IPSec) заголовок-режим автентифікації допомагають уникнути людина в середині атак. У ньому виконується взаємне автентифікацію і пакет цілісності IP-трафіку.
    4. Причини, щоб вимкнути цей параметр
      • Комп'ютери в локальний або зовнішні домени, підтримує зашифровані безпечні канали.
      • Не на всіх контролерах домену в домені, мають на рівнів відповідний пакет оновлень для підтримки зашифровані безпечні канали.
    5. Символічне ім'я:

      StrongKey
    6. Шлях до реєстру:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)
    7. Приклади проблеми сумісності
      • Windows NT 4.0: Під керуванням Windows 2000 комп'ютерах, не зможуть приєднатися до Windows NT 4.0 домени та отримають таке протокол IMAP про помилку:
        обліковий запис А комп'ютера не має права для входу в систему від цього.
        Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
        281648 протокол IMAP про помилку: обліковий запис А комп'ютера не має права увійти від цього
      • Windows NT 4.0: Windows NT 4.0 доменів, не вдасться встановити нижнього рівня безпеки, з домену Windows 2000 та отримають таке протокол IMAP про помилку:
        обліковий запис А комп'ютера не має права для входу в систему від цього.
        Наявні нижнього рівня, довіри може також не вдається виконати автентифікацію користувачів із довіреного домену. Деякі користувачі, можуть виникнути проблеми, що вхід до домену, і вони, може з'явитися протокол IMAP про помилку на те, що клієнт не вдається знайти домену.
      • ОС Windows XP: Клієнтів Windows XP, підключених до Windows NT 4.0 домени не зможе автентифікації, спроби увійти до системи і з'являється таке протокол IMAP про помилку, або в журналі подій може бути зареєстрований такі події:
        Системі не вдалося підключитися до домену, оскільки контролер домену не працює, або недоступне або обліковий запис А комп'ютера комп'ютера, не знайдено

        Подія 5723: Настроювання сеансу з комп'ютера Ім'я _ комп'ютера не вдалося автентифікації. Ім'я облікового запису, у базі даних безпеки Ім'я _ комп'ютера. Сталася така помилка: немає доступу.

        Подія 3227: Настроювання сеансу Windows NT або контролер домену Windows 2000 Ім'я сервера для цього домену Ім'я домену не вдалося, оскільки Ім'я сервера не підтримує цифрового підпису або ущільнення сеанс Netlogon. Оновіть контролер домену або значення реєстру RequireSignOrSeal на цьому комп'ютері, на 0.

        Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
        318266 Клієнт Windows XP не вдається увійти до домену Windows NT 4.0
      • Мережі Microsoft: глобальна мережа Microsoft клієнти отримають одне з таких повідомлень про помилку:
        Помилка входу в систему: невідоме ім'я користувача або неправильний пароль.
        Існує немає користувача, сеанс ключ сеансу роботи зазначений.
  5. Клієнт мережі Microsoft: використовувати із цифровим підписом (завжди)
    1. Тло

      Блоків повідомлень сервера (SMB)-це протокол спільний доступ до ресурсів, що підтримується багато операційними системами Microsoft. Це основі базової системи вводу виводу (NetBIOS) мережі і багато інших протоколів. Підписування SMB ідентифікує користувача, так і на сервері дані. У разі спроби процес перевірки автентичності або нижче повзунка передачі даних не відбудеться.

      Увімкнення підписування запускається під Вільний час SMB SMB. Політики підписування SMB, перевірте, чи комп’ютер-зразок входить завжди цифрового зв'язок "один-до-одного" з клієнтом.

      Протокол автентифікації Windows 2000 SMB, підтримує взаємне автентифікації. Взаємне автентифікації, буде закрито "людина в середньому"-атак. Протокол автентифікації Windows 2000 SMB, також підтримує автентифікацію на протокол IMAP. протокол IMAP автентифікації запобігає активний протокол IMAP атак. Щоб надати вам цей метод автентифікації, підписування SMB ставить цифрового підпису в кожному SMB. Клієнт і сервер, перевірити із цифровим підписом.

      За допомогою підписування SMB, потрібно ввімкнути, підписування SMB або потребують підписування SMB-клієнт, так і сервер SMB SMB. Якщо підписування SMB на сервер, клієнтів, які також підтримують підписування на сценарій виконання пакетів, підписання протоколу у всіх подальших сеансах SMB. Якщо підписування SMB на сервер, клієнт не може встановити сеансу, якщо клієнт ввімкнуто, чи потрібен для підписування SMB.

      Увімкнення перевірки цифрового підпису, в мережі з високим рівнем безпеки, допомагає запобігти уособлення, клієнти та сервери. Цей тип уособлення називається сеансу, викрадення. Зловмисник має доступ до однієї мережі, як клієнт, так і сервер використовує захоплення засоби сеансу переривання циклу або вкрасти сеанс триває. Зловмисник може перехоплення змінити непідписані SMB-пакети, змінити трафік і направити його так, що сервер може виконати небажаних. Крім того, зловмисник може становити як сервер або клієнт, після за законного перевірки автентичності та несанкціонованого доступу до даних, то отримати.

      Протоколу SMB, який використовується для спільного доступу до файлів а також для принтера спільного доступу до файлів на комп'ютерах під керуванням Windows 2000 Server, Windows 2000 Professional, Windows XP Professional або Windows Server 2003, підтримує взаємне автентифікації. Взаємне автентифікації закривається захоплення атак сеансу і підтримує автентифікацію на протокол IMAP. Таким чином, що це запобігає людина в середині атак. Підписування SMB надає ця автентифікація за допомогою цифрового підпису в кожному SMB. Клієнт і сервер переконайтеся, що підпис.

      Примітки
      • Як до альтернативного контрзаходи можна ввімкнути цифрові підписи з IPSec допомагає захищати всі мережний трафік. Апаратні прискорювачі, IPSec шифрування і цифрового підпису, які можна використовувати, щоб мінімізувати його вплив на продуктивність сервера ЦП, з є. Існують такі прискорювачі, які доступні для підписування SMB.

        Щоб отримати додаткові відомості, див. у Використовувати із цифровим підписом сервера розділ на сайті Microsoft MSDN.

        Настроювання, підписування SMB через редактор об'єктів групової політики, тому, що внесення змін до місцевого реєстру значення не діє, якщо політику заміщення домену.
      • У Windows 95, Windows 98 і Windows 98 Second Edition, клієнт служби каталогів використовує підписування SMB, коли він засвідчує із серверами для Windows Server 2003, за допомогою автентифікації NTLM. Ці клієнти не використовуйте SMB, цифрового підпису, під Вільний час їх автентифіковано ці сервери з використанням NTLMv2 автентифікації. Крім того, сервери з Windows 2000 не відповідає на підписування запитів від цих клієнтів SMB. Щоб отримати додаткові відомості, див. пункт 10: "Безпека мережі: Lan Manager автентифікації рівень."
    2. Ризикований конфігурації.

      Наведено настройки шкідливих конфігурації: залишити, як у мережі Microsoft: використовувати із цифровим підписом (завжди) налаштування та мережі Microsoft: із цифровим підписом (за згоди сервера) параметр значення "Не визначено", або вимкнуто. Ці параметри, дозволяють Переспрямовувач Microsoft SMB серверів, які не підтримують шифрування пароля, під Вільний час перевірки автентичності надсилати паролі для звичайного тексту.
    3. Причини, щоб увімкнути цей параметр

      Увімкнення мережі Microsoft: використовувати із цифровим підписом (завжди) вимагає клієнти підписати SMB трафік під Вільний час звернення до серверів, які не потребують підписування SMB. Це дозволяє клієнтам вірогідність захоплення атак сеансу.
    4. Причини, щоб вимкнути цей параметр
      • Увімкнення мережі Microsoft: використовувати із цифровим підписом (завжди) запобігає клієнтів спілкування з серверів, які не підтримують підписування SMB.
      • Налаштування комп'ютерів ігнорувати Усі непідписані зв'язки з SMB запобігає попередніх програм і операційних системний інтегратор підключення.
    5. Символічне ім'я:

      RequireSMBSignRdr
    6. Шлях до реєстру:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
    7. Приклади проблеми сумісності
      • Windows NT 4.0: Ви не зможете відновити безпечний канал довіри між домену Windows Server 2003 та Windows NT 4.0 домену за допомогою NLTEST або NETDOM, і з'являється протокол IMAP про помилку "Немає доступу".
      • ОС Windows XP: Копіювання файлів із Windows XP клієнтів під керуванням Windows 2000, сервери та сервери, під керуванням Windows Server 2003, може знадобитися більше часу.
      • Ви не зможете підключення мережного диска з клієнтом, вибрано цей параметр увімкнуто, і з'являється таке протокол IMAP про помилку:
        обліковий запис А комп'ютера не має права для входу в систему від цього.
    8. Перезапустіть вимоги

      Перезавантаження комп'ютера або перезапуску служби робочої станції. Для цього введіть у командному рядку наведені нижче команди. Натисніть клавішу Enter після кожної команди.
      net stop станції.
      net start станції.
  6. Сервер мережі Microsoft: використовувати із цифровим підписом (завжди)
    1. Тло
      • Блоків повідомлень сервера (SMB)-це протокол спільний доступ до ресурсів, що підтримується багато операційними системами Microsoft. Це основі базової системи вводу виводу (NetBIOS) мережі і багато інших протоколів. Підписування SMB ідентифікує користувача, так і на сервері дані. У разі спроби процес перевірки автентичності або нижче повзунка передачі даних не відбудеться.

        Увімкнення підписування запускається під Вільний час SMB SMB. Політики підписування SMB, перевірте, чи комп’ютер-зразок входить завжди цифрового зв'язок "один-до-одного" з клієнтом.

        Протокол автентифікації Windows 2000 SMB, підтримує взаємне автентифікації. Взаємне автентифікації, буде закрито "людина в середньому"-атак. Протокол автентифікації Windows 2000 SMB, також підтримує автентифікацію на протокол IMAP. протокол IMAP автентифікації запобігає активний протокол IMAP атак. Щоб надати вам цей метод автентифікації, підписування SMB ставить цифрового підпису в кожному SMB. Клієнт і сервер, перевірити із цифровим підписом.

        За допомогою підписування SMB, потрібно ввімкнути, підписування SMB або потребують підписування SMB-клієнт, так і сервер SMB SMB. Якщо підписування SMB на сервер, клієнтів, які також підтримують підписування на сценарій виконання пакетів, підписання протоколу у всіх подальших сеансах SMB. Якщо підписування SMB на сервер, клієнт не може встановити сеансу, якщо клієнт ввімкнуто, чи потрібен для підписування SMB.

        Увімкнення перевірки цифрового підпису, в мережі з високим рівнем безпеки, допомагає запобігти уособлення, клієнти та сервери. Цей тип уособлення називається сеансу, викрадення. Зловмисник має доступ до однієї мережі, як клієнт, так і сервер використовує захоплення засоби сеансу переривання циклу або вкрасти сеанс триває. Зловмисник може перехоплення змінити непідписані підмережі пропускної здатності Manager (SBM), пакети, змінювати трафік і переслати його так, що сервер може виконувати різноманітні небажані інтерактивні елементи. Крім того, зловмисник може становити як сервер або клієнт, після за законного перевірки автентичності та несанкціонованого доступу до даних, то отримати.

        Протоколу SMB, який використовується для спільного доступу до файлів а також для принтера спільного доступу до файлів на комп'ютерах під керуванням Windows 2000 Server, Windows 2000 Professional, Windows XP Professional або Windows Server 2003, підтримує взаємне автентифікації. Взаємне автентифікації закривається захоплення атак сеансу і підтримує автентифікацію на протокол IMAP. Таким чином, що це запобігає людина в середині атак. Підписування SMB надає ця автентифікація за допомогою цифрового підпису в кожному SMB. Клієнт і сервер переконайтеся, що підпис.
      • Як до альтернативного контрзаходи можна ввімкнути цифрові підписи з IPSec допомагає захищати всі мережний трафік. Апаратні прискорювачі, IPSec шифрування і цифрового підпису, які можна використовувати, щоб мінімізувати його вплив на продуктивність сервера ЦП, з є. Існують такі прискорювачі, які доступні для підписування SMB.
      • У Windows 95, Windows 98 і Windows 98 Second Edition, клієнт служби каталогів використовує підписування SMB, коли він засвідчує із серверами для Windows Server 2003, за допомогою автентифікації NTLM. Ці клієнти не використовуйте SMB, цифрового підпису, під Вільний час їх автентифіковано ці сервери з використанням NTLMv2 автентифікації. Крім того, сервери з Windows 2000 не відповідає на підписування запитів від цих клієнтів SMB. Щоб отримати додаткові відомості, див. пункт 10: "Безпека мережі: Lan Manager автентифікації рівень."
    2. Ризикований конфігурації.

      Наведено настройки шкідливих конфігурації: Увімкнення на сервер мережі Microsoft: використовувати із цифровим підписом (завжди) на серверах, так і на контролерах домену, які доступні, сумісна з Windows на комп'ютерах і сторонніх виробників, під керуванням операційної системи клієнта комп'ютери в доменах, локальний або зовнішній.
    3. Причини, щоб увімкнути цей параметр
      • Усі клієнтські комп'ютери, Увімкніть цю настройку, безпосередньо до реєстру або за допомогою параметра групової політики, підтримують підписування SMB. Інакше кажучи, Усі клієнтські комп'ютери цей параметр, включений запустити або Windows 95 з DS клієнт, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional або Windows Server 2003.
      • Якщо сервер мережі Microsoft: використовувати із цифровим підписом (завжди) буде вимкнено, підписування SMB повністю вимкнуто. Повністю, вимкнення всіх SMB цифрового підпису листи стане вразливим для захоплення атак сеансу комп'ютерів.
    4. Причини, щоб вимкнути цей параметр
      • Увімкнення цей параметр може спричинити сповільнення роботи копії та мережного файлу на клієнті комп'ютерів.
      • Увімкнення цей параметр, щоб запобігти клієнтів, які не може узгодити, підписування з зв'язок із серверами, так і з контролерами домену SMB. Це призводить до операцій з об'єднання в домені, автентифікації для користувача і комп’ютер-зразок або доступу до мережі програмами, які не.
    5. Символічне ім'я:

      RequireSMBSignServer
    6. Шлях до реєстру:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)
    7. Приклади проблеми сумісності
      • Windows 95: Windows 95, клієнти, які не мають клієнт служби каталогів "(DS) не буде виконано вхід до системи автентифікації та отримають таке протокол IMAP про помилку:
        Неправильний пароль домену, надані або відхилено, доступ до сервера для входу до системи.
        Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
        811497 протокол IMAP про помилку, коли у Windows 95 або Windows NT 4.0 клієнта входу до домену з Windows Server 2003
      • Windows NT 4.0: Клієнтські комп'ютери під керуванням ОС Windows NT 4.0, які виходили з пакетом оновлень 3 (SP3), не буде виконано вхід до системи автентифікації та отримають таке протокол IMAP про помилку:
        Система може не вхід. Переконайтеся, що в імені користувача та домену правильно, а потім введіть пароль знову.
        Деякі Microsoft SMB-сервери підтримують лише на незашифрований пароль обмін, під Вільний час перевірки автентичності. (Ці обмін також відомий як "звичайний текст" обмін..) Windows NT 4.0 SP3 та пізніших версій SMB Переспрямовувач не надсилати незашифрований пароль, який під Вільний час перевірки автентичності SMB на сервер, якщо ви додати запис А реєстру на певних.
        Щоб незашифрований пароль для клієнта SMB на Windows NT 4.0, пакет оновлень 3 а також нових системний інтегратор, внести зміни до реєстру наступне: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        Ім'я параметра: EnablePlainTextPassword
        Тип даних: REG_DWORD
        Дані: 1

        Щоб отримати додаткові відомості про подібні питання клацніть номер статті в базі знань Microsoft Knowledge Base:
        224287 протокол IMAP про помилку: система 1240 сталася помилка. обліковий запис А комп'ютера не має права увійти від цього.
        166730 Незашифрований пароль може призвести до пакета оновлень 3 для підключення до серверів з SMB, не
      • ОС Windows Server 2003: За промовчанням для зв'язок "один-до-одного" з контролера домену перехоплення або змінений зловмисників настроєно параметри безпеки, на контролерах домену під керуванням Windows Server 2003. Для користувачів, які успішно спілкуватися з контролером домену, який працює з Windows Server 2003 клієнтські комп'ютери повинні використовувати як підписування SMB та шифрування безпечний канал трафік систему або. За промовчанням клієнтів, які запустити пакет з пакетом оновлень 2 (SP2) Windows NT 4.0 або ранішої інстальовано і клієнтів під керуванням Windows 95 не маєте підписування SMB пакет ввімкнуто. Таким чином, ці клієнти не можна перевірити справжність контролеру домену Windows Server 2003.
      • Параметри політики з Windows 2000 та Windows Server 2003: Залежно від того, відповідний потреб і конфігурації рекомендуємо встановити такі параметри політики за найнижчою сутності необхідний обсяг оснащення ієрархії Microsoft Management Console групової політики.
        • Settings\Security параметри комп'ютера-конфігурація безпеки
        • Надсилати незашифрований пароль для підключення до виробників SMB серверів (цей параметр, що знаходиться у Windows 2000)
        • Мережі Microsoft: надсилати незашифрований пароль сторонніх виробників SMB серверів (цей параметр має для Windows Server 2003)

        Примітка. У деяких виробників CIFS серверів, як ранішими версіями Samba, не можна використовувати зашифрований пароль.
      • Таких клієнтів, несумісні з на сервер мережі Microsoft: використовувати із цифровим підписом (завжди) параметр:
        • Apple Computer, Inc., Mac OS-Xclients
        • Клієнтів для мереж Microsoft MS-DOS (наприклад, Microsoft LAN Manager)
        • Microsoft Windows для Workgroupsclients
        • Клієнти Microsoft Windows 95, без DSClient, що інстальовано
        • Microsoft Windows NT 4.0 на основі computerswithout SP3 або новішої версії
        • 6-CIFS Novell Netware клієнтів.
        • SAMBA SMB клієнти, які не мають підтримки підписування SMB
    8. Перезапустіть вимоги

      Перезавантаження комп'ютера або перезапуску служби сервера. Для цього введіть у командному рядку наведені нижче команди. Натисніть клавішу Enter після кожної команди.
      Чистий зупинка сервера
      net start server
  7. Мережний доступ: дозволяє анонімні перетворення SID на імена варіант перекладу.
    1. Тло

      У мережний доступ: дозволяє анонімні перетворення SID на імена, переклад проблем із настроюванням безпеки визначає, чи анонімний користувач запит на атрибути номера безпеки (SID) для іншого користувача.
    2. Ризикований конфігурації.

      Увімкнення у мережний доступ: дозволяє анонімні перетворення SID на імена, переклад використовується параметр шкідливих конфігурації.
    3. Причини, щоб увімкнути цей параметр

      Якщо в мережний доступ: дозволяє анонімні перетворення SID на імена, переклад використовується вимкнуто, раніше в операційних системах, або програми можуть бути неспроможні передавати дані з Windows Server 2003 доменів. Наприклад, нижче операційних системний інтегратор, застосунок-служба або програми можуть не працювати:
      • Windows NT 4.0 на основі служби віддалене з'єднання до сервера.
      • Microsoft SQL Server, під керуванням Windows NT 3. x-комп'ютерах або комп'ютерів на базі Windows NT 4.0
      • віддалений доступ до служби, яка працює на комп'ютерах під керуванням Windows 2000, які містяться в 3. x-доменів Windows NT або Windows NT 4.0 доменів
      • SQL Server, який працює на комп'ютерах під керуванням Windows 2000, розташовані в доменах, Windows NT 4.0 або Windows NT 3. x доменів
      • Користувачі в домені ресурсів Windows NT 4.0, яким потрібно надати дозвіл на доступ до файлів, спільних папок і реєстру об'єкти до облікових записів користувачів з облікового запису доменів, які містять контролери домену в ОС Windows Server 2003
    4. Причини, щоб вимкнути цей параметр

      Якщо цей параметр увімкнуто, зловмисний користувач може використовувати добре відомий SID адміністратори отримати справжнє ім'я вбудованим обліковим записом адміністратора, навіть, якщо обліковий запис А комп'ютера було перейменовано. Цієї особи можуть використовувати ім'я облікового запису для почати атаку, підбір пароля.
    5. Символічне ім'я: Н/Д
    6. Розділ реєстру: Ні. Указаний шлях інтерфейсу користувача код.
    7. Приклади проблеми сумісності

      Windows NT 4.0: Комп'ютерів у Windows NT 4.0 ресурсів домени відобразиться протокол IMAP про помилку "Невідома обліковий запис" редактор списку керування доступом, якщо ресурсів, включаючи спільних папок, спільних файлів і реєстру об'єктів, забезпечених з принципи безпеки, які містяться в обліковий запис А комп'ютера доменів, які містять контролери домену в ОС Windows Server 2003.
  8. Мережний доступ: не дозволяють SAM анонімне перелічення облікових записів
    1. Тло
      • У мережний доступ: не дозволяють SAM анонімне перелічення облікових записів параметр визначає, що додаткові дозволи, які можуть надаватися анонімні підключення до комп'ютера. Windows для виконання певних дій, наприклад, нумерація імена робочої станції і сервера диспетчера облікових записів безпеки (SAM) облікових записів і спільних ресурсах анонімні користувачі. Наприклад, адміністратору доступні це надання доступу для користувачів у довіреному домені, не підтримує довіра двосторонню укласти угоду. Одразу після сеансу анонімний користувач, можливо, ж доступу, який надається для всіх групи на основі настройки на мережний доступ: дозволити всім дозволи, що стосуються анонімних користувачів корегувати або додатковий список керування доступом (DACL) об'єкта.

        Як правило, анонімні підключення пропонується попередніх версій клієнтів (низькорівневих клієнтів) під Вільний час інсталяції у сеанс SMB. У цьому випадку слід мережі показує, що SMB Ідентифікатор процесу (PID) клієнта Переспрямовувач двопрохідне кодування Юнікод, 0xFEFF у Windows 2000 або 0xCAFE, у Windows NT. віддаленого виклику процедур, можна також спробувати зробити анонімні підключення.
      • Увага! Цей параметр не має впливу на контролерах домену. На контролерах домену така поведінка керує присутності "NT AUTHORITY\ANONYMOUS входу до системи" у "Старіших версій Windows 2000 сумісний доступу".
      • У Windows 2000, керує приблизно параметр, який називається Додаткові обмеження для анонімні підключення до
        RestrictAnonymous
        значення. Розташування, у значенні
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
        Щоб отримати додаткові відомості про параметр реєстру RestrictAnonymous клацніть номер статті в базі знань Microsoft Knowledge Base:
        246261 сценарій виконання параметра реєстру RestrictAnonymous у Windows 2000
        143474 Обмеження інформація доступна для користувачів з анонімний вхід
    2. Ризикований конфігурації.

      Увімкнення у мережний доступ: не дозволяють SAM анонімне перелічення облікових записів використовується параметр шкідливих конфігурації з точки зору сумісності. Вимкніть її, є параметр шкідливих конфігурації з точки зору безпеки.
    3. Причини, щоб увімкнути цей параметр

      Неавторизований користувач міг анонімно, список імен облікових записів а також використовувати цю інформацію, можна спробувати припустити, паролі або виконати соціотехніка атак. Соціотехніка -це жаргон, це означає, що обман комп'ютерів паролів, або формі відомості про безпеку.
    4. Причини, щоб вимкнути цей параметр

      Якщо цей параметр увімкнуто, неможливо встановити довіри, з Windows NT 4.0 доменів. Цей параметр, також причини проблем із клієнтів нижнього рівня (наприклад, Windows NT 3.51 клієнти та клієнти для Windows 95), потрібно використовувати ресурсів на сервері.
    5. Символічне ім'я:


      RestrictAnonymousSAM
    6. Шлях до реєстру:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)
    7. Приклади проблеми сумісності
    • SMS-пошук мережі не зможуть отримати відомості про операційну систему а також буде писати "Невідомих" OperatingSystemNameandVersion властивості.
    • Windows 95, Windows 98: Клієнти для Windows 95 і Windows 98 клієнтів буде неможливо змінити свої паролі.
    • Windows NT 4.0: Windows NT 4.0 на основі комп'ютерах не зможете пройти автентифікацію.
    • Windows 95, Windows 98: Комп'ютерів під керуванням Windows 95 та Windows 98, на основі буде не зміг автентифікувати на контролерах домену в корпорації Майкрософт.
    • Windows 95, Windows 98: Не буде неможливо змінити паролі для своїх облікових записів користувачів, на комп'ютерах під керуванням Windows 95 і під керуванням Windows 98.
  9. Мережний доступ: не дозволяють SAM анонімне перелічення облікових записів і спільних ресурсів
    1. Тло
      • У мережний доступ: не дозволяють SAM анонімне перелічення облікових записів і спільних ресурсів настройку, (також відомий як RestrictAnonymous) визначає, чи дозволено анонімне перелічення диспетчера облікових записів безпеки (SAM) записів і спільних ресурсів. Windows для виконання певних дій, наприклад перелічення облікових записів домену (користувачі, комп'ютери та групи) і мережних імена анонімні користувачі. Це зручно, наприклад, коли адміністратор хоче для надання доступу для користувачів у довіреному домені, не підтримує довіра двосторонню укласти угоду. Якщо ви не бажаєте дозволити анонімне перелічення SAM облікових записів і спільних ресурсів, Увімкніть цю настройку.
      • У Windows 2000, керує приблизно параметр, який називається Додаткові обмеження для анонімні підключення до
        RestrictAnonymous
        значення. Розташування це значення буде таким:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    2. Ризикований конфігурації.

      Увімкнення у мережний доступ: не дозволяють SAM анонімне перелічення облікових записів і спільних ресурсів використовується параметр шкідливих конфігурації.
    3. Причини, щоб увімкнути цей параметр
      • Увімкнення у мережний доступ: не дозволяють SAM анонімне перелічення облікових записів і спільних ресурсів параметр, забороняє перелічення SAM облікових записів і спільних ресурсів, користувачів і комп'ютерів, які використовують анонімний рахунків.
    4. Причини, щоб вимкнути цей параметр
      • Якщо цей параметр увімкнуто, неавторизований користувач міг анонімно, список імен облікових записів і використовувати цю інформацію, можна спробувати припустити, паролі або виконати соціотехніка атак. Соціотехніка -це жаргон, це означає, що обман комп'ютерів свій пароль, або формі відомості про безпеку.
      • Якщо цей параметр увімкнуто, буде неможливо встановити довіри, з Windows NT 4.0 доменів. Цей параметр викличе проблеми з клієнтів нижнього рівня, наприклад, Windows 95, Windows NT 3.51 і клієнтів, ви намагаєтеся використовувати ресурсів на сервері.
      • Неможливо надати доступ користувачам ресурсів доменів, тому що адміністратори, довірчого домену не зможете нумерує список облікових записів, іншого домену. Користувачам доступ до файлів і сервери друку анонімно буде неможливо списку спільних ресурсів на цих серверів. Користувачам потрібно автентифікації, перед тим, як переглянути перелік спільних папок і принтерів.
    5. Символічне ім'я:

      RestrictAnonymous
    6. Шлях до реєстру:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
    7. Приклади проблеми сумісності
      • Windows NT 4.0: Користувачі не зможуть змінити свої паролі з Windows NT 4.0 станцій при RestrictAnonymous на контролерах домену в домені для користувачів. Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
        198941 Користувачі не можуть змінити пароль під Вільний час входу
      • Windows NT 4.0: запит на додавання користувачів і груп, глобальний надійних доменів для Windows 2000, з Windows NT 4.0, локальних групах диспетчера користувача не вдасться, і відображається таке протокол IMAP про помилку:
        Наразі немає доступних серверів реєстрація події для оброблення запит на змінення на підключення.
        Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
        296405 "" Реєстру RestrictAnonymous можуть бути пошкоджені довіра до домену Windows 2000
      • Windows NT 4.0: Windows NT 4.0 комп'ютерах не зможете Реєстрація доменів, під Вільний час інсталяції, або за допомогою інтерфейсу користувача для приєднання до домену.

        Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
        184538 протокол IMAP про помилку: не вдається знайти контролер, для цього домену
      • Windows NT 4.0: Створення нижнього рівня безпеки, з Windows NT 4.0 ресурсів домени не вдасться. При RestrictAnonymous у довіреному домені відображається таке протокол IMAP про помилку:
        Не вдається знайти контролер домену для цього домену.
        Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
        178640 Не вдалося знайти контролер домену під Вільний час створення довіри
      • Windows NT 4.0: кореневий каталог за промовчанням, замість кореневий каталог, визначеного користувачем у диспетчері доменів буде зіставлення користувачів, які підключилися до сервера терміналів, під керуванням Windows NT 4.0 комп'ютерів.

        Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
        236185 Терміналів сервер профілі користувачів та шлях до домашньої папок, які ігноруються після застосування SP4 або пізнішої версії
      • Windows NT 4.0: Windows NT 4.0 резервним контролерам домену (BDCs) буде неможливо запустити, служба Net Logon, отримати список браузерів, архівувати або синхронізувати сам бази даних з Windows 2000 або Windows Server 2003-контролери домену в одному домені.

        Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
        293127 Служба Net Logon системи у Windows NT 4.0 ПБД не діє в домені Windows 2000
      • Windows 2000: Комп'ютери під керуванням Windows 2000, учасник, у Windows NT 4.0, домени не зможете переглянути принтери на зовнішні домени, якщо немає доступ без явного анонімний дозволів параметр політики локальної безпеки на клієнтському комп'ютері.

        Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
        280329 Користувач не може керувати, або переглянути властивості принтера
      • Windows 2000: Користувачі з домену Windows 2000 не зможете додати мережні принтери з Active Directory; Однак, вони зможуть додати принтери, після того, як вони виберіть їх на дерево.

        Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
        318866 Клієнти Outlook не вдається переглянути глобальний список адрес, після інсталяції пакета безпеки зведене (SRP1) на сервер глобального каталогу
      • Windows 2000: На комп'ютерах під керуванням Windows 2000 редактор списку керування доступом буде неможливо додати користувачів і груп, глобальний надійних доменів для Windows NT 4.0.

        Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
        296403 RestrictAnonymous значення, порушує довіру у середовищі змішаний домену
      • ADMT версії 2: Пароль перенесення облікових записів, які перенесення між лісами з служба Active Directory перенесення засіб (ADMT) версії 2 не вдасться.

        Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
        322981 Виправлення неполадок перехід між лісу пароль, з ADMTv2
      • Клієнтів outlook: глобальний список адрес, буде відображено пусту клієнтів Microsoft Exchange Outlook.

        Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
        318866 Клієнти Outlook не вдається переглянути глобальний список адрес, після інсталяції безпеки зведений пакет 1 (SR) на сервер глобального каталогу.
        321169 Низька продуктивність SMB під Вільний час копіювання файлів Windows XP для контролера домену Windows 2000
      • SMS: Пошук мережі в Microsoft Systems Management Server (SMS) не зможете отримати інформацію про операційну систему. Таким чином, він буде писати "Невідомих" властивість OperatingSystemNameandVersion SMS DDR властивості виявлення запису даних (DDR).

        Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
        229769 Як пошук даних диспетчера визначає, коли потрібно створити запит клієнта конфігурації
      • SMS: Під Вільний час сценарій виконання майстра користувача адміністратора SMS для перегляду для користувачів і груп, немає користувачів і груп, буде зазначено. Крім того, додаткові клієнтам не може встановити з'єднання з точки керування. Точка керування потрібно анонімний доступ.

        Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
        302413 Немає користувачів і груп, перелічених у майстрі користувача адміністратора
      • SMS: Під Вільний час сценарій виконання функції для пошуку мережі SMS 2.0 і віддаленої інсталяції для клієнта топології, клієнт і клієнтські операційні системи мережі виявлення режим увімкнуто, комп'ютерах може бути виявлено, але не буде інстальовано.

        Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
        311257 Ресурси не виявлено, якщо вимкнуто анонімні підключення
  10. Безпека мережі: Lan Manager автентифікація рівня
    1. Тло

      Автентифікації в мережі, диспетчер (LM) – це протокол, який використовується для автентифікації Windows клієнти для операцій, мережі, включаючи домен об'єднання, доступ до мережних ресурсів і користувача або комп'ютера автентифікації. Рівень перевірки автентичності LM визначає, що обговорюється протоколу, який запит на змінення відповіді автентифікації між клієнтом і сервером комп'ютерів. Зокрема, LM рівень перевірки автентичності визначає, які протоколи автентифікації, клієнт намагається узгодити або сервер відповідає. Значення, яку настроєно на LmCompatibilityLevel визначає, що протоколу автентифікації, який запит на змінення відповіді, що використовується для входу в мережі. Цей параметр впливає на рівні протоколу автентифікації, клієнти, сценарій виконання, рівень безпеки сеансу, про, рівень перевірки автентичності, прийнята серверів.

      Можливо, параметри включають.
      ЗначенняПараметрОпис
      0 Надіслати LM & NTLM відповіді.Клієнтам використовувати LM і NTLM і не NTLMv2 сеанс безпеки. Контролери домену, прийміть LM NTLM та NTLMv2 автентифікації.
      1Надіслати LM & NTLM - сценарій виконання NTLMv2 сеанс безпеки, якщо договірнаКлієнтам використовувати LM і NTLM і NTLMv2 сеанс безпеки, якщо сервер підтримує. Контролери домену, прийміть LM NTLM та NTLMv2 автентифікації.
      2Надсилати відповіді NTLM, лишеКлієнтам використовувати автентифікацію NTLM лише і NTLMv2 сеанс безпеки, якщо сервер підтримує. Контролери домену, прийміть LM NTLM та NTLMv2 автентифікації.
      3Надіслати відповідь NTLMv2, лишеКлієнтам використовувати лише перевірки автентичності NTLMv2 і NTLMv2 сеанс безпеки якщо сервер підтримує. Контролери домену, прийміть LM NTLM та NTLMv2 автентифікації.
      4Надіслати відповідь NTLMv2, лише / відмову LMКлієнтам використовувати лише перевірки автентичності NTLMv2 і NTLMv2 сеанс безпеки якщо сервер підтримує. Контролери домену, відмовляються LM та приймають лише автентифікацію NTLM та NTLMv2.
      5Надіслати відповідь NTLMv2, лише / відмову LM & NTLMКлієнтам використовувати лише перевірки автентичності NTLMv2 і NTLMv2 сеанс безпеки якщо сервер підтримує. Контролери домену, відмовляються LM і NTLM та приймають лише NTLMv2 перевірки автентичності.
      Примітка. У Windows 95, Windows 98 і Windows 98 Second Edition, клієнт служби каталогів використовує підписування SMB, коли він засвідчує із серверами для Windows Server 2003, за допомогою автентифікації NTLM. Ці клієнти не використовуйте SMB, цифрового підпису, під Вільний час їх автентифіковано ці сервери з використанням NTLMv2 автентифікації. Крім того, сервери з Windows 2000 не відповідає на підписування запитів від цих клієнтів SMB.

      Перевірити рівень перевірки автентичності LM: Політики на сервері, щоб дозволити NTLM, потрібно змінити, або потрібно настроїти клієнтський комп’ютер-зразок для підтримки NTLMv2.

      Якщо (5) NTLMv2, надіслати відповідь only\refuse LM & NTLM на цільовий комп’ютер-зразок, який потрібно підключитися до політики, потрібно зменшити настройки на цьому комп'ютері або встановити однакові настройки на вихідному комп'ютері, що підключення з безпеки.

      Знайти правильне розташування, можна змінювати LAN manager, рівень перевірки автентичності, встановити клієнт і сервер на тому ж рівні. Після визначення політики, що установка LAN manager рівні для перевірки автентичності, щоб підключитися до та з комп'ютерів під керуванням попередніх версій Windows, принаймні зменшити значення (1) надіслати LM & NTLM - сценарій виконання NTLM-версії 2 сеансу, безпека, якщо переговори. Один ефект несумісні параметри в тому, що якщо сервер вимагає, NTLMv2 (значення, 5), але, клієнт налаштовано на сценарій виконання LM та NTLMv1 лише (значення 0), користувач, який намагається автентифікації досвід, входом, неправильний пароль, і що Збільшення кількість неправильний пароль. Якщо блокування облікового запису з настроєно, користувач може зрештою заблоковано.

      Наприклад, ви, можливо, подивіться на контролері домену, або потрібно перевірити політики на контролері домену.

      Подивіться на контролері домену

      Примітка. Можливо, доведеться повторити наступну процедуру на всіх контролерах домену.
      1. Натисніть кнопку Пуск, програмита клацніть Адміністрування.
      2. У розділі локальний настройки безпеки, розгорніть локальний політики.
      3. Виберіть Параметри безпеки.
      4. Двічі клацніть Безпека мережі: Лом-Диспетчер перевірки автентичності рівеньі виберіть у списку значення.

      Ефективне настройки та локальний настройки, ті ж, цього рівня було змінено політики. Які параметри, слід переглянути контролер домену політики, щоб визначити, чи на Безпека мережі: Лом-Диспетчер перевірки автентичності рівень параметр визначено. Якщо її не визначено існує, перевірте, політики на контролері домену.

      Перевіркаполітики на контролері домену
      1. Натисніть кнопку Пуск, програмита клацніть Адміністрування.
      2. У політиці Безпеки з контролером домену послідовно розгорніть вузли Параметри безпекита локальний політики.
      3. Виберіть Параметри безпеки.
      4. Двічі клацніть Безпека мережі: Лом-Диспетчер перевірки автентичності рівеньі виберіть у списку значення.

      Примітка
      • Також, можливо, доведеться перевірити політики, які посилаються на рівні сайту, рівень домену або організаційного підрозділу (ОП) рівні, щоб визначити, де потрібно настроїти рівень перевірки автентичності Диспетчер локальної мережі.
      • У разі застосування параметр групової політики, як політика домену за промовчанням, політика застосовується до всіх комп'ютерах в домені.
      • У разі застосування параметр групової політики, як контролер домену за промовчанням політики, політики застосовується лише для серверів, на контролері домену підрозділу.
      • Рекомендовано автентифікація рівня встановлено LAN manager низькі сутності необхідних можливостей ієрархії застосування політики.

      Windows Server 2003, має новий параметр за промовчанням для сценарій виконання NTLMv2. За промовчанням, Windows Server 2003 та на контролерах домену Windows 2000 Server, SP3 ввімкнено на "сервер мережі Microsoft: використовувати із цифровим підписом (завжди)" політики. Цей параметр вимагає на сервері SMB для виконання, підписування SMB пакетів. Внесені зміни, внесені до Windows Server 2003, оскільки контролери домену, файл серверів, мережного інфраструктура серверів і веб-серверів у будь-якій організації, потрібно різні параметри для підвищення їх безпеки.

      Якщо потрібно здійснити NTLMv2 автентифікації в мережі, необхідно переконатися в тому, що всі комп'ютери в домені встановлено використовувати цей рівень для автентифікації. Якщо служба Active Directory клієнта розширення для Windows 95 або Windows 98 і Windows NT 4.0, Клієнтське розширення, використовуйте покращені автентифікації функцій, доступних у NTLMv2. Через те, що клієнтські комп'ютери під керуванням таких операційних системний інтегратор не впливає на Windows 2000 об'єкти групової політики, можливо, доведеться вручну налаштувати на ці клієнти:
      • Microsoft Windows NT 4.0
      • Microsoft Windows Millennium Edition
      • Microsoft Windows 98
      • Microsoft Windows 95
      Примітка. Якщо ввімкнути в Безпека мережі: не зберігайте лом Диспетчер геш-значення наступне змінення пароля політики або набір NoLMHash розділ реєстру, під керуванням Windows 95 і Windows 98, на основі клієнтів, які не мають клієнт служби каталогів, інстальовано не вдається увійти до домену після зміни пароля.

      Багато виробників CIFS серверів, як Novell Netware-6, не знають про NTLMv2 та сценарій виконання NTLM. Таким чином, рівні, що перевищує 2 не дозволяють підключення. Існує також сторонніх виробників SMB клієнти, які не використовують додатковий сеанс безпеки. У цьому випадку LmCompatiblityLevel, ресурсів сервера не брати до уваги. Сервер, а потім пакети до цього запит на змінення на старих і надсилає користувачеві контролера домену. Параметри на контролері домену, а потім вирішити, що хеші, які використовуються для перевірки запит, і чи вони відповідають вимогам щодо безпеки контролера домену.

      Щоб отримати додаткові відомості про те, як настроїти вручну рівень перевірки автентичності Диспетчер локальної мережі клацніть номер статті в базі знань Microsoft Knowledge Base:
      147706 Як вимкнути LM автентифікації у Windows NT
      175641 LMCompatibilityLevel і його вплив
      299656 Запобігання Windows онлайнове пул носіїв локальної мережі Диспетчер геш пароля в служба Active Directory та локальний SAM баз даних.
      312630 Outlook не запитувати облікові дані для входу
      2701704Аудит подій показує пакет автентифікації, NTLMv1, а не NTLMv2
      Щоб отримати додаткові відомості про LM автентифікації рівні клацніть номер статті в базі знань Microsoft Knowledge Base:
      239869 Увімкнення NTLM 2 автентифікації.
    2. Ризикований конфігурації.

      Нижче наведено шкідливих настройки.
      • Nonrestrictive параметри, надсилати паролі як звичайний текст, і який забороняє NTLMv2 погодження
      • Обмежувальний параметрів, які перешкоджають несумісні клієнти або контролерів домену, з узгодження спільних протокол автентифікації
      • Вимагають NTLMv2 автентифікацію на комп'ютерах і контролерів домену під керуванням ОС Windows NT 4.0, які виходили з з пакетом оновлень 4 (SP4)
      • Потребують автентифікації NTLMv2, клієнти для Windows 95 або Windows 98, клієнти, які не мають клієнт служби каталогів Windows, інсталювати.
      • Якщо встановити прапорець, NTLMv2, що потребують сеанс безпеки в оснастці Microsoft Management Console групової політики на комп'ютері під керуванням Windows 2000 з пакетом оновлень 3 або Windows Server 2003, а також зменшити рівень перевірки автентичності Диспетчер локальної мережі, 0, два вищий і може з'явитися таке протокол IMAP про помилку в полі DAT secpol. msc або gpedit. msc. :
        Windows не вдається відкрити базу даних локальної політики. Невідома помилка під Вільний час спроби відкрити базу даних.
        Щоб отримати додаткові відомості про налаштування безпеки а також засіб див. у Windows 2000 або Windows Server 2003 допомогти файли.

        Щоб отримати додаткові відомості про те, як аналізувати рівні безпеки у Windows 2000 та Windows Server 2003 клацніть номер статті в базі знань Microsoft Knowledge Base:
        313203 Як аналізувати системи безпеки у Windows 2000
        816580 Як аналізувати системи безпеки у Windows Server 2003
    3. Причини, щоб змінити цей параметр
      • Потрібно збільшити низькі поширені автентифікації протокол, що підтримують клієнти та контролери домену в організації.
      • Де бізнес-вимога безпечного автентифікації, потрібно заборонити підготовка до надсилання до LM та протоколи NTLM.
    4. Причини, щоб вимкнути цей параметр

      Клієнтський сервер перевірки автентичності вимоги або обидві було збільшено до стану, де не може відбуватися автентифікації, через через спільний протокол.
    5. Символічне ім'я:

      LmCompatibilityLevel
    6. Шлях до реєстру:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
    7. Приклади проблеми сумісності
      • ОС Windows Server 2003: За промовчанням Windows Server 2003 NTLMv2 надіслати NTLM відповідей, що параметр увімкнуто. Таким чином, Windows Server 2003 з'являється протокол IMAP про помилку "Немає доступу" після початкової інсталяції під Вільний час спроби підключитися до кластера під керуванням Windows NT 4.0 або на основі LanManager-v 2.1 серверів, як OS/2-Lanserver. Крім того, ця проблема виникає під Вільний час спроби підключення до сервера під керуванням Windows Server 2003 із попередньої версії клієнта.
      • Інсталяції Windows 2000 безпеки зведений пакет 1 (SRP1). Примусове завершення SRP1 NTLM, версія 2 (NTLMv2). Цей пакет поточних, випущене після випуску Windows 2000 з пакетом оновлень 2 (SP2). Щоб отримати додаткові відомості про SRP1 клацніть номер статті в базі знань Microsoft Knowledge Base:

        311401 Windows 2000 безпеки пакет поточних 1 січня 2002 року
      • Windows 7 і Windows Server 2008 R2: багато виробників CIFS серверів, як Novell Netware 6 або Samba, Linux на основі серверів, не знаєте, що NTLMv2 і сценарій виконання NTLM. Таким чином, рівні, що перевищує "2" не дозволяють підключення. Тепер версії операційної системи за промовчанням для LmCompatibilityLevel було змінено на "3". Таким чином, під Вільний час скинути параметри Windows цих третіх сторін, упорядники перестати працювати.
      • Користувачі Microsoft Outlook може запит на введення фінансові дані, незважаючи на те, що вони вже ввійшли до домену. Після того, як користувачі, вказати свої облікові дані, з'являється таке протокол IMAP про помилку: Windows 7 і Windows Server 2008 R2
        Облікові дані входу до системи, що постачається були неправильно. Переконайтеся, що в імені користувача та домену правильно, а потім введіть пароль знову.
        Під Вільний час запуску програми Outlook, вам може бути запропоновано для фінансові дані, навіть якщо встановлено значення параметра Безпечний вхід до мережі, до сервера або пароля. Після введення фінансові дані правильно, може з'явитися таке протокол IMAP про помилку:
        Надані облікові дані входу не неправильні.
        Трасування мережний монітор може відображатися, що глобального каталогу, випущені несправності віддалений виклик (RPC) зі станом 0x5. Стан засобів 0x5 "Немає доступу".
      • Windows 2000: Під Вільний час в мережному моніторі може показувати такі помилки NetBIOS через протокол. TCP/IP (NetBT) сервера протокол IMAP блок-сеансу:
        Помилка SMB-R пошуку каталогу Dos (5) (91) неправильне ім'я користувача ACCESS_DENIED (109) STATUS_LOGON_FAILURE-ідентифікатор
      • Windows 2000: До складу домену Windows 2000, NTLMv2 рівня 2 або пізнішої версії є надійним домену Windows NT 4.0, комп'ютерів під керуванням Windows 2000, членом домену ресурсів виникають помилки автентифікації.

        Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
        305379 Помилки під Вільний час автентифікації Windows 2000 з NTLM 2 рівня понад 2, який входить до домену Windows NT 4.0
      • Windows 2000 і Windows XP: За промовчанням Windows 2000 та Windows XP установлено параметр локальної мережі Диспетчер перевірки автентичності рівень локальна політика безпеки на 0. Значення 0, означає "Надіслати LM і NTLM відповіді".

        Примітка. Windows кластерах під керуванням NT 4.0, потрібно використовувати LM для адміністрування.
      • Windows 2000: Кластеризація в Windows 2000 не вдається виконати автентифікацію приєднання вузла, якщо обидва вузли, які належать у Windows NT 4.0 з пакетом оновлень 6a (SP6a) домену.

        Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
        305379 Помилки під Вільний час автентифікації Windows 2000 з NTLM 2 рівня понад 2, який входить до домену Windows NT 4.0
      • Засіб блокування IIS (HiSecWeb) встановлюється значення LMCompatibilityLevel 5 і RestrictAnonymous значення 2.
      • Служби для Macintosh

        Модуль для перевірки автентичності користувача (UAM): UAM-Microsoft (модуль перевірки автентичності, користувач) надано для шифрування паролів, який використовується для входу до Windows-АФП (протокол AppleTalk подання) серверів. Apple модуль перевірки автентичності користувача (UAM) забезпечує мінімум або без шифрування. Таким чином, пароль можна легко бути перехоплення в локальній мережі або в Інтернеті. Хоча в UAM не потрібен, він забезпечує зашифровані автентифікацію на серверах Windows 2000, під керуванням служб для Macintosh. Ця версія підтримує NTLMv2 128-розрядне шифрування, зашифровані автентифікацію і MacOS X 10.1 сумісні з випуску.

        За промовчанням служби Windows Server 2003 для Macintosh server, дозволяє лише перевірки автентичності Microsoft.

        Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
        834498 Macintosh клієнта, не вдається підключитися до служб для Mac в ОС Windows Server 2003
        838331 Mac OS X користувачі не вдається відкрити Macintosh, спільних папок на сервері під керуванням Windows Server 2003
      • ОС Windows Server 2008, Windows Server 2003, Windows XP та Windows 2000: Якщо настроїти LMCompatibilityLevel значення 0 або 1 і змініть NoLMHash значення 1, застосунки й компоненти можуть бути відхилені доступ через протокол NTLM. Ця проблема виникає в тому, що комп’ютер-зразок настроєно Увімкнення LM, але не можна використовувати паролі, що зберігаються на LM.

        Якщо настроїти NoLMHash значення 1, потрібно настроїти LMCompatibilityLevel значення 2 або пізнішої версії.
  11. Безпека мережі: клієнта LDAP, цифрового підпису
    1. Тло

      У Безпека мережі: клієнта LDAP, цифрового підпису параметр визначає, що обсяг даних підписування SMB, запитаних від імені клієнтів, які питання полегшений протокол доступу до каталогів (LDAP) BIND запити, наступним чином:
      • None: ПРИВ'ЯЗКУ LDAP, запит випускається абонента вказані параметри.
      • Узгодити, підписування SMB: Якщо у Secure Sockets Layer/протокол TLS (SSL/TLS) не запущено, здійснити ПРИВ'ЯЗКУ LDAP запит ініціалізації з даними LDAP, option значення, крім того, викликає вказані параметри підписування SMB. Якщо запущено SSL/TLS здійснити ПРИВ'ЯЗКУ LDAP запит ініціалізації абонента вказані варіанти.
      • Запит цифрового підпису: це так само, як домовитися з цифрового підпису. Проте якщо на сервері LDAP середнього saslBindInProgress відповідь не означає, що LDAP трафік воно необхідне, викликає розповідається, збій запит на змінення команда здійснити ПРИВ'ЯЗКУ LDAP.
    2. Ризикований конфігурації.

      Увімкнення у Безпека мережі: клієнта LDAP, цифрового підпису використовується параметр шкідливих конфігурації. Якщо сервер потребує LDAP підписи, також потрібно настроїти LDAP, підписування на клієнтському комп'ютері. Не, налаштування клієнта Timeout = LDAP, щоб запобігти з сервером. Це призводить до перевірки автентичності користувача групової політики параметри, сценарію входу до системи та інші функції не.
    3. Причини, щоб змінити цей параметр

      Непідписаний мережний трафік є уразливий до атак людина в середині, коли зловмисник перехоплює пакети, між клієнтом і серверів, змінює, їх і знову пересилає на сервер. Якщо це відбувається на сервері LDAP, зловмисник може призвести до сервера відповісти на основі помилкові запитів від клієнта LDAP. Шляхом впровадження стійке фізичної безпеки заходів для захисту інфраструктури мережі, ви можете знизити ризик до корпоративної мережі. Крім того, можна запобігти всіх видів людина в середині атак шляхом перевірки цифрових підписів електронних пакети мережі за допомогою IPSec заголовків для автентифікації.
    4. Символічне ім'я:

      LDAPClientIntegrity
    5. Шлях до реєстру:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
  12. В журналі: Максимальний розмір журналу безпеки
    1. Тло

      У в журналі: максимальний розмір для журналу безпеки настройки безпеки, визначає максимальний розмір журналу подій безпеки. Цей журнал містить, максимальний розмір 4 ГБ. Щоб знайти цей параметр, послідовно розгорніть вузли Налаштування Windowsта Параметри безпеки.
    2. Ризикований конфігурації.

      Нижче наведено шкідливих настройки.
      • Обмеження на розмір журналу безпеки а також спосіб онлайнове пул носіїв журналу безпеки під Вільний час на перевірки: завершення роботи системи відразу ж, якщо не вдалося увійти в систему безпеки перевірок активовано. Див. на "Категорія: завершення роботи системи відразу ж, якщо не вдалося увійти в систему безпеки перевірок" цієї статті, щоб отримати додаткові відомості.
      • Обмеження розміру журналу безпеки, таким чином, заходи безпеки інтерес буде замінено.
    3. Причини, щоб збільшити цю настройку

      Вимоги для бізнесу та безпеки може визначають, збільшувати розмір журналу безпеки для додаткової безпеки журналу докладно або зберегти безпеки журнали довше часу.
    4. Причини, щоб зменшити цей параметр

      Журналі перегляду подій, які файли з розподілом пам'яті. Обсяг фізичної пам'яті на локальному комп'ютері і віртуальна пам'ять, доступну в журналі процес обмеження максимального розміру журналу подій. Збільшення розміру журналу за обсяг віртуальної пам'яті, який можна використовувати для перегляду подій не збільшити кількість записів у журналі, які підтримуються.
    5. Приклади проблеми сумісності

      Windows 2000: Комп'ютери під керуванням ОС Windows 2000, які раніше, ніж у з з пакетом оновлень 4 (SP4) може припинити ведення журналу подій у разі входу, перед тим, як досягти розмір, який вказано в максимально входу, розмір параметра в засобі перегляду подій, якщо ввімкнуто параметр не перезаписуються події, які (очищення журналу вручну) .

      Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
      312571 запис А подій, перестає журналювання до досягнення до максимального розміру журналу
  13. В журналі: Зберегти в журнал безпеки
    1. Тло

      У в журналі: зберегти журнал безпеки визначає метод "упаковка", до журналу безпеки, настройки безпеки. Щоб знайти цей параметр, послідовно розгорніть вузли Налаштування Windowsта Параметри безпеки.
    2. Ризикований конфігурації.

      Нижче наведено шкідливих настройки.
      • Не вдається зберегти реєструється у всіх заходів безпеки, перш ніж їх буде замінено
      • Настроювання максимальний розмір для журналу безпеки , налаштування занадто малий, тому, що події безпеки буде замінено
      • Обмеження безпеки журналу розміру та права на удержання метод під Вільний час на Категорія: завершення роботи системи відразу ж, якщо не вдалося увійти в систему безпеки перевірок безпеки увімкнуто
    3. Причини, щоб увімкнути цей параметр

      Увімкніть цю настройку, лише, якщо вибрати спосіб онлайнове пул носіїв перезаписування подій днів . Якщо використовується система кореляція подій, які опитування подій, переконайтеся, чи тричі частота опитування кількості днів. Для цього для помилки опитування циклів.
  14. Мережний доступ: нехай всі дозволи застосовуються анонімних користувачів
    1. Тло

      За промовчанням у мережний доступ: дозволити всім дозволи, що стосуються анонімних користувачів встановлено, Не визначено ОС Windows Server 2003. За промовчанням, Windows Server 2003 не містить маркер анонімного доступу в всі групи.
    2. Приклад проблеми сумісності

      Таке значення
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
      [REG_DWORD] = 0x0 розриви довіри створення, Windows Server 2003 та Windows NT 4.0, домену Windows Server 2003 обліковий запис А комп'ютера домену та домену Windows NT 4.0 ресурсів домену. Це означає, що обліковий запис А комп'ютера домену є надійним, у Windows NT 4.0 і ресурсів домену довіра з боку Windows Server 2003. Це трапляється через те, що процес запуску довіри, після початкового анонімні підключення список керування доступом, що буде з усіма маркерів, у тому числі анонімний ідентифікатор SID у Windows NT 4.0.
    3. Причини, щоб змінити цей параметр

      Значення, потрібно встановити 0x1 або за допомогою об'єкт групової політики на контролері домену ОП, як: мережний доступ: дозволити всім дозволи, що стосуються анонімних користувачів - з підтримкою щоб довіри-шаблони можливо.

      Примітка. Більшість інших параметрів, перейдіть значення, а не до 0x0, найбільш забезпечених стан. Захист практики б зміни до реєстру на основний маркер домен контролер емулятор замість на всіх контролерах домену. Якщо на основному емулятор до ролі контролера домену, перемістити будь-якої причини, на новому сервері, потрібно оновити реєстр.

      Після того, як це значення, перезавантажити комп’ютер-зразок не потрібно.
    4. розділ реєстру
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
  15. NTLMv2 автентифікації.

    1. Сеанс безпеки.

      Сеанс безпеки визначає стандарти мінімальних безпеки, для клієнта та сервера сеансів. Рекомендовано перевірити Нижченаведені параметри політики безпеки в оснащенні Microsoft Management Console групової політики:
      • Комп'ютер-Settings\Windows Settings\Security Settings\Local Policies\Security параметри
      • Безпека в мережі: Принаймні сеанс безпеки NTLM SSP на основі (включно з безпечним RPC) сервера
      • Безпека в мережі: Принаймні сеанс безпеки NTLM SSP на основі (включно з безпечним RPC) клієнтів
      Параметри цих параметрів є такими:
      • Потрібна цілісність протокол IMAP
      • Потрібна протокол IMAP конфіденційність
      • Потрібна NTLM-версії 2 сесії безпеки.
      • Потрібне 128-розрядне шифрування
      за промовчанням до Windows 7, є ніяких вимог. Починаючи з Windows 7, за промовчанням змінено на потрібне 128-розрядне шифрування для покращення безпеки. З цього промовчанням застарілими пристроями, які не підтримують, 128-розрядне шифрування буде неможливо підключитися.

      Ця політика визначити стандарти мінімальних безпеки на додаток до зв'язок "один-до-одного" сеансу на сервері для клієнта.

      Раніше Windows NT підтримує такі два варіанти запит на змінення відповіді автентифікації для входу в мережі:
      • LM запит на змінення відповіді.
      • NTLM версії 1 запит на змінення відповіді.
      LM дозволяє на сумісність з інстальованих базі клієнтами та серверами. NTLM-забезпечує підвищеним рівнем безпеки для підключень між клієнтами та серверами.

      Відповідні розділи реєстру є такими:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"
    2. Ризикований конфігурації.

      Цей параметр визначає, як буде оброблятися мережі сеанси, які використовують протокол NTLM-захистом. Це впливає на автентифікацію з NTLM, наприклад віддаленого виклику процедур на базі сеансів. Існують такі ризики:
      • Не підписування SMB зв'язок "один-до-одного" (цілісності) робить зв'язок "один-до-одного" уразливими для внесення змін у мережі.
      • Не шифрування, спілкування (конфіденційність) робить зв'язок "один-до-одного" вразливим для огляду мережі.
      • сценарій виконання попередні методи автентифікації, ніж NTLMv2 полегшує зв'язок "один-до-одного" до атак через хешування прості методи, які використовуються.
      • сценарій виконання ключів шифрування, менше, ніж 128-розрядне шифрування, дозволяє зловмисниками розірвати зв'язок з використанням грубий сили атаки.

Синхронізація часу

Не вдалося виконати синхронізацію з часом. Вільний час вимкнений більше 30 хвилин, на комп’ютер-зразок. Переконайтеся, що клієнтського комп'ютера синхронізується із годинником на контролері домену.

Вирішення підписування SMB

Клацніть тут, щоб отримати відомості про усунення проблем із підписування SMB
Ми рекомендуємо, щоб інсталювати пакет оновлень 6a (SP6a) у Windows NT 4.0 клієнтів, які взаємодіють в домені, під керуванням Windows Server 2003. Клієнти, під керуванням Windows 98 Second Edition, клієнтів під керуванням Windows 98 і клієнтів під керуванням Windows 95, потрібно запустити клієнт служби каталогів, виконувати NTLMv2. Клієнти, під керуванням Windows NT 4.0 відсутності SP6 Windows NT 4.0, інсталяції або під керуванням Windows 95 клієнтів, клієнтів під керуванням Windows 98 і Windows, 98SE клієнтах немає клієнт служби каталогів, інстальовано, вимкніть SMB, вхід політику контролера домену за промовчанням, на контролері домену OU та натисніть посилання цю політику всі підрозділи, які розміщення контролерів домену.

У каталозі служби клієнта для Windows 98 Second Edition, Windows 98 і Windows 95 виконає підписування SMB із серверами Windows 2003, перевірка автентичності NTLM, а не під NTLMv2 автентифікації. Крім того, сервери з Windows 2000 не реагуватиме на запити, підписування SMB з цих клієнтів.

Незважаючи на те, корпорація Майкрософт не рекомендує, можна запобігти підписування SMB, необхідності на всіх контролерах домену під керуванням Windows Server 2003, який входить до домену. Щоб настроїти настройки безпеки, виконайте такі дії:
  1. Відкрийте контролера домену за промовчанням політики.
  2. Відкрийте каталог вхідних повідомлень комп’ютер-зразок Settings\Security-конфігурація Settings\Local Policies\Security параметри .
  3. Знайдіть і клацніть на сервер мережі Microsoft: використовувати із цифровим підписом (завжди) параметр політики та виберіть вимкнуто.
Увага! Цей розділ, спосіб або завдання, містить вказівки, про внесення змін до реєстру. Проте, серйозні проблеми можуть виникнути якщо внесені зміни до реєстру неправильні. Таким чином, переконайтеся, що ретельно виконані такі інтерактивні елементи. Для додаткового захисту створіть архівувати реєстру перед внесенням змін. Після цього можна відновити реєстр, якщо виникає проблема. Щоб отримати додаткові відомості про архівувати та відновлення реєстру клацніть номер статті в базі знань Microsoft Knowledge Base:
322756 архівувати та відновлення реєстру в ОС Windows
Також можна вимкнути SMB, вхід на сервер, шляхом внесення змін до реєстру. Щоб це зробити, виконайте такі дії:
  1. Натисніть кнопку Пуск, виберіть команду виконати, введіть Regeditпісля чого натисніть OK.
  2. Знайдіть і клацніть такий підрозділ реєстру:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters
  3. Клацніть запис А enablesecuritysignature .
  4. У меню редагування натисніть кнопку " змінити".
  5. У полі значення введіть 0після чого натисніть OK.
  6. Закрийте редактор реєстру.
  7. Перезавантажте комп’ютер-зразок, або зупинити і перезавантажте служби сервера. Для цього введіть такі команди в командному рядку та натисніть клавішу Enter після кожної команди:
    Чистий зупинка сервера
    net start server
Примітка. Відповідну клавішу на клієнтському комп'ютері, що знаходиться в такому підрозділі реєстру:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters
Містить перекладені помилка код номери коди стану та точні помилок, вище.
Помилка 5
ERROR_ACCESS_DENIED
Немає доступу.
Помилка 1326
ERROR_LOGON_FAILURE
Помилка входу в систему: невідоме ім'я користувача або неправильний пароль.
Помилка 1788
ERROR_TRUSTED_DOMAIN_FAILURE
Не вдалося виконати довірчі відносини між основним і довірений домен.
Помилка 1789
ERROR_TRUSTED_RELATIONSHIP_FAILURE
Не вдалося виконати на довірчий зв'язок між цього станції і основним.
Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
324802 Налаштування групової політики настроювання безпеки для системних служб Windows Server 2003
306771 Після настроювання кластері Windows Server 2003 з'являється протокол IMAP про помилку "Немає доступу"
101747 Інсталяція Microsoft автентифікацію на Macintosh
161372 Увімкнення SMB, що вхід у Windows NT
236414 Не можна використовувати до спільних ресурсів із LMCompatibilityLevel, встановити лише перевірки автентичності NTLM-2
241338 Клієнт Windows NT, LAN Manager версії 3, з першого входу в систему, не дозволяє наступного входу активності
262890 Не вдалося отримати кореневий каталог диска зі спільним, у змішаному середовищі.
308580 Домашній папці зіставлення нижнього рівня сервери можуть не працювати під Вільний час входу до системи
285901 віддалене з'єднання, VPN і RIS клієнтам не вдається встановити сеансів із сервера, який настроєно для прийняття лише автентифікацію NTLM версія 2
816585 Як застосувати попередньо безпеки шаблони у Windows Server 2003
820281 Потрібно надати фінансові дані Windows під Вільний час підключення до Exchange Server 2003 за допомогою Outlook 2003-RPC через протокол HTTP
користувач права безпеки параметр compat сумісності реєстру безпеки групової політики список керування доступом права gpedit pdce

Попередження. Цю статтю переведено автоматично

Властивості

Ідентифікатор статті: 823659 – останній перегляд: 02/15/2016 04:17:00 – виправлення: 9.0

Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows XP Professional Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Workstation 4.0 Developer Edition, Microsoft Windows 98 Standard Edition, Microsoft Windows 95

  • kbinfo kbmt KB823659 KbMtuk
Зворотний зв’язок