Зараз ви перебуваєте в автономному режимі; очікується повторне підключення до Інтернету

Khách hàng, bản ghi dịch vụ và chương trình các vấn đề có thể xảy ra nếu bạn thay đổi thiết đặt bảo mật và quyền người dùng tập

Hỗ trợ cho Windows XP đã kết thúc

Microsoft đã kết thúc hỗ trợ dành cho Windows XP vào ngày 8 tháng 4 năm 2014. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 823659
Tóm tắt
Thiết đặt bảo mật và quyền người dùng bài tập có thể được thay đổi trong chính sách địa phương và các nhóm chính sách để giúp thắt chặt an ninh trên bộ bộ kiểm soát miền và tài khoản của máy tính. Tuy nhiên, nhược điểm của sự an toàn là sự ra đời của không tương hợp về sau với khách hàng, bản ghi dịch vụ và chương trình.

Bài viết này mô tả sự không tương hợp về sau có thể xảy ra trên các khách hàng máy tính đang chạy Windows XP hoặc một phiên bản cũ của Windows, khi bạn thay đổi thiết đặt bảo mật cụ thể và bài tập quyền người dùng trong một tên miền Windows Server 2003 hoặc một tên miền Windows Server trước đó.

Để biết thông tin về nhóm chính sách cho Windows 7, Windows Server 2008 R2 và Windows Server 2008, hãy xem các bài viết sau đây: Lưu ý: Nội dung còn lại trong bài viết này là đặc trưng cho Windows XP, Windows Server 2003 và các phiên bản trước của Windows.

Windows XP

Click vào đây để xem thông tin cụ thể cho Windows XP
Để nâng cao nhận thức của cài đặt chuyên biệt sai bảo mật, sử dụng công cụ chỉnh sửa đối tượng chính sách nhóm để thay đổi thiết đặt bảo mật. Khi bạn sử dụng trình chỉnh sửa đối tượng chính sách nhóm, quyền người dùng tập được tăng cường vào hệ điều hành sau:
 • Windows XP chuyên nghiệp Service Pack 2 (SP2)
 • Windows Server 2003 Gói bản ghi dịch vụ 1 (SP1)
Các tính năng nâng cao là một hộp có chứa một liên kết đến bài viết này. hộp thoại sẽ xuất hiện khi bạn thay đổi một bảo mật thiết lập hoặc gán quyền người dùng đến một thiết lập mà cung cấp ít khả năng tương hợp về sau và là hạn chế. Nếu bạn trực tiếp thay đổi phân cùng bảo mật thiết lập hoặc quyền người dùng công bằng cách sử dụng kiểm nhập hoặc bằng cách sử dụng an ninh mẫu, có hiệu lực là giống như thay đổi các thiết lập trong chỉnh sửa đối tượng chính sách nhóm. Tuy nhiên, hộp có chứa liên kết đến bài viết này không xuất hiện.

Bài viết này chứa các ví dụ của khách hàng, chương trình, và các hoạt động bị ảnh hưởng bởi các thiết đặt bảo mật cụ thể hoặc quyền người dùng bài tập. Tuy nhiên, các ví dụ là không độc quyền cho tất cả các hệ điều hành Microsoft, cho tất cả các hệ điều hành bên thứ ba hoặc cho tất cả các phiên bản chương trình bị ảnh hưởng. Không phải tất cả thiết đặt bảo mật và gán quyền người dùng được bao gồm trong bài viết này.

Chúng tôi khuyên rằng bạn kiểm tra tính tương hợp về sau của tất cả các thay đổi cấu hình liên quan đến an ninh trong một khu rừng thử nghiệm trước khi bạn giới thiệu họ trong một môi trường sản xuất. Rừng thử nghiệm phải gương rừng sản xuất theo các cách sau:
 • Phiên bản hệ điều hành khách hàng và máy chủ, khách hàng andserver chương trình, bản ghi dịch vụ gói phiên bản, hotfix, thay đổi lược đồ, securitygroups, nhóm thành viên, quyền trên các đối tượng trong hệ thống tệp, sharedfolders, kiểm nhập, các bản ghi dịch vụ mục tin thư thoại Thư mục Họat động, địa phương và cài đặt chuyên biệt GroupPolicy, và đối tượng đếm loại và vị trí
 • Tác vụ quản trị được thực hiện, administrativetools được sử dụng và hệ điều hành được sử dụng để performadministrative nhiệm vụ
 • Hoạt động được thực hiện, chẳng hạn như sau:
  • Máy tính và người sử dụng xác thực kí nhập
  • Đặt lại mật khẩu của người sử dụng, máy tính, và quản trị viên
  • Duyệt
  • Thiết lập quyền truy cập hệ thống tệp, cho chia sẻ mục tin thư thoại, cho kiểm nhập, và cho các tài nguyên Thư mục Họat động bằng cách sử dụng trình soạn thảo ACL trong tất cả các hệ điều hành khách trong tất cả các tài khoản hoặc tên miền tài nguyên từ tất cả các hệ điều hành khách từ tất cả tài khoản hoặc tên miền tài nguyên
  • In Ấn từ tài khoản quản trị viên và nonadministrative

Windows Server 2003 SP1

Click vào đây để xem thông tin cụ thể cho Windows Server SP1

Cảnh báo trong Gpedit.msc

Để giúp làm cho khách hàng nhận thức được rằng họ đang chỉnh sửa một quyền người dùng hoặc tùy chọn bảo mật có thể có bất lợi ảnh hưởng đến mạng lưới của họ, hai cơ chế cảnh báo đã được thêm vào để gpedit.msc. Khi quản trị viên chỉnh sửa một quyền người dùng có thể ảnh hưởng đến cả doanh nghiệp, họ sẽ thấy một biểu tượng mới tương tự như một dấu kiểm hiệu năng suất. Họ cũng sẽ nhận được một thông báo cảnh báo có một liên kết đến bài viết Cơ sở tri thức Microsoft 823659. Các văn bản của thư này là như sau:
Sửa đổi cài đặt chuyên biệt này có thể ảnh hưởng đến khả năng tương hợp về sau với khách hàng, bản ghi dịch vụ và ứng dụng. Để biết thêm chi tiết, xem <user right="" or="" security="" option="" being="" modified="">(Q823659)</user>
Nếu bạn đã được chuyển đến bài viết cơ sở kiến thức này từ một liên kết trong Gpedit.msc, hãy chắc chắn rằng bạn đọc và hiểu những lời giải thích được cung cấp và hiệu quả có thể thay đổi cài đặt chuyên biệt này. Dưới đây liệt kê các quyền của người dùng chứa các văn bản cảnh báo:
 • Truy cập vào máy tính này từ mạng
 • kí nhập tại địa phương
 • Bỏ qua đi qua kiểm tra
 • Cho phép máy tính và người dùng cho đoàn đại biểu đáng tin cậy
Dưới đây liệt kê các tùy chọn bảo mật đã cảnh báo và một tin thư thoại bật lên:
 • Thành viên tên miền: Kỹ thuật số mã hóa hoặc đăng kênh bảo mật dữ liệu (luôn luôn)
 • Thành viên tên miền: Yêu cầu mạnh mẽ (Windows 2000 hoặc phiên bản mới hơn) chìa khóa phiên
 • Điều khiển vùng: Hệ phục vụ LDAP ký yêu cầu
 • Máy chủ mạng Microsoft: được kí theo số thức truyền thông (luôn luôn)
 • Truy cập mạng: Cho phép vô danh Sid / tên dịch
 • Truy nhập mạng: Không cho phép các liệt kê vô danh của SAM tài khoản và chia sẻ
 • An ninh mạng: xác thực mạng LAN quản lý cấp
 • Kiểm toán: Tắt hệ thống ngay lập tức nếu không thể kí nhập kiểm toán bảo mật
 • Truy nhập mạng: LDAP khách hàng ký yêu cầu
Thông tin thêm
Phần sau đây mô tả không tương hợp về sau có thể xảy ra khi bạn thay đổi các thiết đặt cụ thể trong tên miền Windows NT 4.0, Windows 2000 tên miền và tên miền Windows Server 2003.

Quyền của người dùng

Click vào đây để xem thông tin về quyền của người dùng
Danh sách sau đây mô tả một quyền người dùng, xác định cài đặt chuyên biệt cấu hình có thể gây ra vấn đề, mô tả lý do tại sao bạn nên áp dụng người dùng phải và tại sao bạn có thể muốn xoá quyền người dùng, và cung cấp các ví dụ về vấn đề tương hợp về sau có thể xảy ra khi người dùng phải được cấu hình.
 1. Truy cập vào máy tính này từ mạng
  1. Nền

   Khả năng tương tác với máy tính từ xa Windows yêu cầu quyền người dùng truy cập vào máy tính này từ mạng . Ví dụ về các hoạt động mạng lưới bao gồm:
   • Sao chép mục tin thư thoại hoạt động giữa bộ kiểm soát miền trong một tên miền phổ biến hoặc rừng
   • Yêu cầu chứng thực để bộ kiểm soát miền người dùng và máy tính
   • Sử dụng cặp dùng chung, máy in, và các bản ghi dịch vụ hệ thống được đặt trên các máy tính từ xa trên mạng


   Người sử dụng, máy tính và tài khoản bản ghi dịch vụ đạt được hay mất quyền người dùng truy cập vào máy tính này từ mạng bằng cách rõ ràng hoặc ngầm thêm vào hoặc gỡ bỏ từ một nhóm bảo mật đã được cấp quyền người dùng này. Ví dụ, một tài khoản người dùng hoặc trương mục máy tính có thể được thêm vào một nhóm bảo mật tuỳ chỉnh hoặc nhóm bảo mật được xây dựng trong một cách rõ ràng ở bởi người quản trị, hoặc có thể được thêm bởi hệ điều hành ngầm ở một nhóm bảo mật tính chẳng hạn như người sử dụng tên miền, xác thực người dùng, hoặc bộ bộ kiểm soát miền doanh nghiệp.

   theo mặc định, tài khoản người dùng và máy tính tài khoản được cấp cho người dùng truy cập vào máy tính này từ mạng ngay khi tính nhóm như tất cả mọi người hoặc, tốt hơn là, người dùng Authenticated, và bộ bộ kiểm soát miền, nhóm bộ kiểm soát miền doanh nghiệp, được xác định trong bộ bộ kiểm soát miền mặc định đối tượng chính sách nhóm (GPO).
  2. Cấu hình nguy hiểm

   Sau đây là các cài đặt chuyên biệt cấu hình có hại:
   • Loại bỏ nhóm bảo mật bộ kiểm soát miền doanh nghiệp từ quyền người dùng này
   • Loại bỏ nhóm xác thực người dùng hoặc một nhóm rõ ràng cho phép người sử dụng, máy tính và bản ghi dịch vụ tài khoản quyền người dùng để kết nối với máy tính qua mạng
   • Loại bỏ tất cả các người dùng và máy tính từ này người sử dụng đúng
  3. Lý do để cấp quyền người dùng này
   • Cấp quyền truy cập vào máy tính này từ mạng người dùng nhóm bộ kiểm soát miền doanh nghiệp đáp ứng xác thực yêu cầu hoạt động mục tin thư thoại sao chép phải có để nhân rộng để xảy ra giữa bộ kiểm soát miền trong rừng cùng một.
   • Người dùng này phải cho phép người dùng và máy tính để truy cập chia sẻ tập tin, máy in, và hệ thống bản ghi dịch vụ, bao gồm cả Thư mục Họat động.
   • Quyền người dùng này là cần thiết cho người dùng để truy cập thư bằng cách sử dụng phiên bản trước đó của Microsoft Outlook Web Access (OWA).
  4. Lý do để loại bỏ quyền người dùng này
   • Người sử dụng có thể kết nối máy tính của họ với mạng có thể truy nhập tài nguyên trên máy tính từ xa mà họ có quyền cho. Ví dụ, quyền người dùng này là cần thiết cho một người sử dụng để kết nối để chia sẻ máy in và mục tin thư thoại. Nếu người dùng này phải được cấp cho tất cả mọi người các nhóm, và nếu một số mục tin thư thoại dùng chung có cả hai chia sẻ và quyền hạn hệ thống tệp NTSF cấu hình để cùng một nhóm có quyền truy cập đọc, bất cứ ai có thể xem tập tin trong các mục tin thư thoại được chia sẻ. Tuy nhiên, đây là một tình huống không cho tươi cài đặt chuyên biệt của Windows Server 2003, bởi vì những chia sẻ mặc định và các quyền NTFS trong Windows Server 2003 không bao gồm tất cả mọi người trong nhóm. Đối với hệ thống được nâng cấp từ Microsoft Windows NT 4.0 hay Windows 2000, lỗ hổng này có thể có một mức độ rủi ro cao hơn vì những chia sẻ mặc định và cho phép hệ thống tệp cho các hệ điều hành không phải là hạn chế như các quyền mặc định trong Windows Server 2003.
   • Có là không có lý do hợp lệ để loại bỏ bộ bộ kiểm soát miền doanh nghiệp nhóm từ này người sử dụng đúng.
   • Nói chung, tất cả mọi người trong nhóm được lấy ra trong lợi của Nhóm người dùng xác thực. Nếu tất cả mọi người trong nhóm được lấy ra, nhóm xác thực người dùng phải được gán quyền người dùng này.
   • Tên miền Windows NT 4.0 được nâng cấp lên Windows 2000 không rõ ràng cấp người dùng truy cập vào máy tính này từ mạng ngay cho tất cả mọi người trong nhóm, nhóm xác thực người dùng hoặc nhóm bộ kiểm soát miền của doanh nghiệp. Vì vậy, khi bạn loại bỏ tất cả mọi người trong nhóm từ chính sách tên miền Windows NT 4.0, nhân rộng Thư mục Họat động sẽ không thành công với một thông báo lỗi "Truy cập từ chối" sau khi bạn nâng cấp lên Windows 2000. Winnt32.exe trong Windows Server 2003 tránh lỗi cấu này bằng cách cấp bộ kiểm soát miền doanh nghiệp nhóm quyền người dùng này khi bạn nâng cấp bộ kiểm soát miền chính Windows NT 4.0 (PDCs). mức gộp nhóm bộ kiểm soát miền doanh nghiệp này người sử dụng đúng nếu nó không phải là hiện nay trong chỉnh sửa đối tượng chính sách nhóm.
  5. Ví dụ về vấn đề tương hợp về sau
   • Windows 2000 và Windows Server 2003: Sao chép các phân vùng sau đây sẽ thất bại với lỗi "Truy cập từ chối" theo báo cáo bằng cách giám sát các công cụ như REPLMON và REPADMIN hoặc sao chép các sự kiện trong trường hợp kí nhập.
    • Hoạt động mục tin thư thoại lược đồ phân vùng
    • Cấu hình phân vùng
    • Phân vùng miền
    • Toàn cầu danh mục phân vùng
    • Ứng dụng phân vùng
   • Tất cả Microsoft hệ điều hành mạng:Xác thực tài khoản người dùng từ mạng từ xa máy tính khách hàng sẽ không thực hiện trừ khi người dùng hoặc nhóm bảo mật người dùng là thành viên của đã được cấp quyền người dùng này.
   • Tất cả Microsoft hệ điều hành mạng:Tài khoản xác thực từ các khách hàng từ xa mạng sẽ không thực hiện trừ khi các tài khoản hoặc một nhóm bảo mật tài khoản là một thành viên của đã được cấp người dùng này ngay. Kịch bản này áp dụng cho tài khoản người dùng, để máy tính tài khoản và tài khoản bản ghi dịch vụ.
   • Tất cả Microsoft hệ điều hành mạng:Loại bỏ tất cả tài khoản từ quyền người dùng này sẽ ngăn chặn bất kỳ tài khoản từ cách kí nhập vào tên miền hoặc truy cập vào tài nguyên mạng. Nếu tính nhóm chẳng hạn như bộ bộ kiểm soát miền doanh nghiệp, tất cả mọi người, hoặc xác thực người dùng sẽ bị loại bỏ, phải bạn rõ ràng cấp quyền người dùng này vào tài khoản hoặc nhóm bảo mật tài khoản là một thành viên của để truy cập vào máy tính từ xa qua mạng. Kịch bản này áp dụng cho tất cả tài khoản người dùng, với tất cả các tài khoản máy tính, và với tất cả các tài khoản bản ghi dịch vụ.
   • Tất cả Microsoft hệ điều hành mạng:tài khoản quản trị viên viên địa phương sử dụng một mật khẩu "trống". Kết nối mạng với trống mật khẩu không được phép cho quản trị viên tài khoản trong một môi trường miền. Với cấu hình này, bạn có thể mong đợi để nhận được một thông báo lỗi "Truy cập từ chối".
 2. Cho phép kí nhập trên tại địa phương
  1. Nền

   Người sử dụng đang cố gắng để kí nhập vào giao diện điều khiển của một máy tính dựa trên Windows (bằng cách sử dụng phím lối tắt CTRL + ALT + DELETE) và tài khoản người đang cố gắng để Bắt đầu một bản ghi dịch vụ phải có đặc quyền kí nhập địa phương trên máy tính lưu trữ. Các ví dụ của hoạt động địa phương kí nhập dưới tên quản trị viên những người đang kí nhập để bàn giao tiếp của thành viên máy tính hoặc bộ kiểm soát miền trong suốt người dùng doanh nghiệp và tên miền đã kí nhập vào tài khoản của máy tính để truy cập vào máy tính để bàn của họ bằng cách sử dụng tài khoản filesystem. Người sử dụng có sử dụng một Kết nối Bàn làm việc Từ xa hoặc bản ghi dịch vụ đầu cuối phải có người dùng cho phép kí nhập tại địa phương ngay trên máy tính đích đang chạy Windows 2000 hoặc Windows XP vì các chế độ kí nhập được coi là địa phương để máy tính lưu trữ. Người sử dụng kí nhập vào một máy chủ mà có máy chủ đầu cuối cho phép và những người không có người sử dụng này đúng vẫn có thể Bắt đầu một phiên tương tác từ xa trong Windows Server 2003 tên miền nếu họ có cho phép kí nhập thông qua bản ghi dịch vụ đầu cuối người sử dụng đúng.
  2. Cấu hình nguy hiểm

   Sau đây là các cài đặt chuyên biệt cấu hình có hại:
   • Loại bỏ các nhóm bảo mật hành chính, bao gồm nhà điều hành tài khoản, quốc gia sử dụng sao lưu, in quốc gia sử dụng hoặc vận hành máy chủ, và nhóm người quản trị được xây dựng trong từ của bộ kiểm soát miền mặc định chính sách.
   • Loại bỏ tài khoản bản ghi dịch vụ được sử dụng bởi các thành phần và chương trình trên tài khoản của máy tính và trên bộ kiểm soát miền trong miền từ chính sách của bộ kiểm soát miền mặc định.
   • Loại bỏ người dùng hoặc nhóm bảo mật kí nhập vào giao diện điều khiển của tài khoản của máy tính trong tên miền.
   • Loại bỏ bản ghi dịch vụ tài khoản được xác định trong bộ máy cơ sở dữ liệu địa phương bảo mật tài khoản quản lý (SAM) của tài khoản của máy tính hoặc nhóm làm việc máy tính.
   • Loại bỏ tài không-xây dựng-trong quản trị khoản cá trong bản ghi dịch vụ đầu cuối đang chạy trên một bộ điều khiển tên miền.
   • Thêm tất cả các tài khoản người dùng trong tên miền một cách rõ ràng hoặc ngầm thông qua tất cả mọi người trong nhóm để từ chối kí nhập tại địa phương kí nhập ngay. Cấu hình này sẽ ngăn chặn người dùng kí nhập vào tài khoản của bất kỳ máy tính hoặc bất kỳ kiểm soát miền trong tên miền.
  3. Lý do để cấp quyền người dùng này
   • Người dùng phải có quyền người dùng cho phép kí nhập tại địa phương để truy cập vào giao diện điều khiển hoặc bàn làm việc của một nhóm làm việc máy tính, máy tính thành viên hoặc một bộ điều khiển tên miền.
   • Người dùng phải có quyền người dùng này để kí nhập vào trong một phiên bản ghi dịch vụ đầu cuối đang chạy trên một máy tính dựa trên cửa sổ 2000 thành viên hoặc bộ kiểm soát miền.
  4. Lý do để loại bỏ quyền người dùng này
   • Không hạn chế giao diện kiểm soát truy cập vào tài khoản người sử dụng hợp pháp có thể dẫn đến trái phép người dùng tải về và thực thi mã độc hại để thay đổi quyền người dùng của họ.
   • Loại bỏ cho phép kí nhập tại địa phương dùng phải ngăn chặn trái phép logons trên bàn giao tiếp của máy tính, chẳng hạn như bộ kiểm soát miền hoặc máy phục vụ ứng dụng.
   • Loại bỏ các quyền kí nhập này ngăn-miền tài khoản kí nhập tại giao diện điều khiển của tài khoản của máy tính trong tên miền.
  5. Ví dụ về vấn đề tương hợp về sau
   • Máy chủ đầu cuối Windows 2000:Người cho phép kí nhập tại địa phương dùng đúng là cần thiết cho người dùng để kí nhập vào máy chủ đầu cuối Windows 2000.
   • Windows NT 4.0, Windows 2000, Windows XP hoặc Windows Server 2003:Tài khoản người dùng phải được gán quyền người dùng này để kí nhập vào giao diện điều khiển của máy tính đang chạy Windows NT 4.0, Windows 2000, Windows XP hoặc Windows Server 2003.
   • Windows NT 4.0 và sau này:Trên máy tính đang chạy Windows NT 4.0 và sau đó, nếu bạn thêm quyền người dùng cho phép kí nhập trên tại địa phương nhưng bạn ngầm hoặc một cách rõ ràng cũng cấp quyền kí nhập từ chối kí nhập tại địa phương , các tài khoản không sẽ có thể kí nhập vào giao diện điều khiển của bộ bộ kiểm soát miền.
 3. Bỏ qua đi qua kiểm tra
  1. Nền

   Người bỏ qua đi qua kiểm tra dùng đúng cho phép người dùng duyệt qua các mục tin thư thoại trong hệ thống tệp NTSF hoặc trong kiểm nhập mà không kiểm tra cho phép truy cập đặc biệt Đi qua mục tin thư thoại . Người bỏ qua đi qua kiểm tra dùng quyền không cho phép người dùng để liệt kê các nội dung của một mục tin thư thoại. Nó cho phép người dùng để đi qua mục chỉ dẫn tin thư thoại của nó.
  2. Cấu hình nguy hiểm

   Sau đây là các cài đặt chuyên biệt cấu hình có hại:
   • Loại bỏ phòng không hành chính các tài khoản kí nhập vào máy tính dựa trên Windows 2000 Terminal Services hoặc bản ghi dịch vụ đầu cuối Windows Server 2003 dựa trên máy tính mà không có quyền truy cập vào các tập tin và mục tin thư thoại trong hệ thống tệp.
   • Loại bỏ tất cả mọi người trong nhóm từ danh sách các chủ thể an toàn thông tin người có viên này ngay theo mặc định. hệ điều hành Windows, và cũng nhiều chương trình, được thiết kế với những kỳ vọng rằng bất cứ ai có thể truy cập cách hợp pháp máy tính sẽ có người bỏ qua đi qua kiểm tra dùng đúng. Do đó, loại bỏ tất cả mọi người trong nhóm từ danh sách của chủ thể an toàn thông tin người có quyền này người dùng theo mặc định có thể dẫn đến sự mất ổn định hệ điều hành hoặc để chương trình thất bại. Nó là tốt hơn rằng bạn để lại các thiết lập này lúc mặc định của nó.
  3. Lý do để cấp quyền người dùng này

   Các thiết lập mặc định cho người bỏ qua đi qua kiểm tra dùng đúng là để cho phép bất cứ ai để vượt qua đi qua kiểm tra. Cho quản trị viên hệ thống Windows có kinh nghiệm, đây là hành vi dự kiến, và họ đặt cấu hình điều khiển danh sách truy nhập hệ thống tệp (SACLs) cho phù hợp. Các kịch bản duy nhất nơi mà cấu hình mặc định có thể dẫn đến một rủi ro là nếu người cấu hình cho phép quản trị không hiểu hành vi và hy vọng rằng người sử dụng không thể truy cập vào một mục tin thư thoại phụ huynh sẽ không thể truy cập vào các nội dung của bất kỳ mục tin thư thoại con.
  4. Lý do để loại bỏ quyền người dùng này

   Để cố gắng ngăn chặn truy cập các tập tin hoặc mục tin thư thoại trong hệ thống tệp, tổ chức đang rất quan tâm về bảo mật có thể bị cám dỗ để loại bỏ tất cả mọi người trong nhóm, hoặc thậm chí Nhóm người dùng, từ danh sách các nhóm có người bỏ qua đi qua kiểm tra dùng đúng.
  5. Ví dụ về vấn đề tương hợp về sau
   • Windows 2000, Windows Server 2003:Nếu người bỏ qua đi qua kiểm tra dùng đúng được lấy ra hoặc sai trên máy tính đang chạy Windows 2000 hoặc Windows Server 2003, các thiết đặt chính sách nhóm trong mục tin thư thoại SYVOL sẽ không sao chép giữa bộ kiểm soát miền trong tên miền.
   • Windows 2000, Windows XP Professional, Windows Server 2003:Máy tính đang chạy Windows 2000, Windows XP Professional hoặc Windows Server 2003 sẽ đăng sự kiện 1000 và 1202 và sẽ không thể áp dụng chính sách máy tính và chính sách người dùng khi quyền truy cập hệ thống tệp cần thiết được loại bỏ từ cây SYSVOL nếu người đi qua Bypass kiểm tra dùng đúng được lấy ra hoặc sai.

    Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    290647 ID sự kiện 1000, 1001 kí nhập mỗi năm phút trong Nhật ký sự kiện ứng dụng
   • Windows 2000, Windows Server 2003: Trên máy tính đang chạy Windows 2000 hoặc Windows Server 2003, tab hạn ngạch trong Window Explorer sẽ biến mất khi bạn xem thuộc tính trên một ổ đĩa.
   • Windows 2000: Phòng Không quản trị viên kí nhập vào một máy chủ đầu cuối Windows 2000 có thể nhận được thông báo lỗi sau:
    Userinit.exe lỗi ứng dụng. Ứng dụng không thể khởi động đúng 0xc0000142 bấm OK để kết thúc các ứng dụng.
    Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    272142 Người sử dụng tự động đã kí xuất khi cố gắng kí nhập vào bản ghi dịch vụ đầu cuối
   • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003:Người dùng có máy tính đang chạy Windows NT 4.0, Windows 2000, Windows XP hoặc Windows Server 2003 có thể không có khả năng truy cập vào mục tin thư thoại được chia sẻ hoặc các tập tin vào mục tin thư thoại được chia sẻ, và họ có thể nhận được thông báo lỗi "Truy cập từ chối" nếu họ không cấp quyền người dùng bỏ qua đi qua kiểm tra .

    Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    277644 Thông báo lỗi "Truy cập chối" khi người dùng cố gắng truy cập vào mục tin thư thoại dùng chung
   • Windows NT 4.0:Trên máy tính dựa trên Windows NT 4.0, loại bỏ người bỏ qua đi qua kiểm tra dùng đúng sẽ gây ra một đồng gửi tập tin để đường thả suối tập tin. Nếu bạn loại bỏ quyền người dùng này, khi một tập tin được sao chép từ một khách hàng Windows hoặc từ một khách hàng Macintosh lên bộ kiểm soát miền Windows NT 4.0 chạy bản ghi dịch vụ cho Macintosh, dòng tập tin đích là bị mất, và các tập tin sẽ xuất hiện dưới dạng thuần văn bản.

    Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    172930 Loại bỏ các "Bypass đi qua kiểm tra" làm sao tệp để đường thả
   • Microsoft Windows 95, Microsoft Windows 98:Trên một khách hàng máy tính đang chạy Windows 95 hoặc Windows 98, các net sử dụng * / trang chủ lệnh sẽ không thành công với một thông báo lỗi "Truy cập từ chối" Nếu nhóm xác thực người dùng không được cấp quyền người dùng bỏ qua đi qua kiểm tra .
   • Outlook Web Access:Quản trị viên phòng không sẽ không thể kí nhập vào Microsoft Outlook Web Access, và họ sẽ nhận được một thông báo lỗi "Truy cập từ chối" nếu họ không được cấp quyền người dùng bỏ qua đi qua kiểm tra .

Thiết đặt bảo mật

Click vào đây để xem thông tin về cài đặt chuyên biệt bảo mật
Danh sách sau đây xác định cài đặt chuyên biệt bảo mật, và danh sách lồng nhau cung cấp một mô tả về cài đặt chuyên biệt bảo mật, xác định cài đặt chuyên biệt cấu hình mà có thể gây ra vấn đề, mô tả lý do tại sao bạn nên áp dụng cài đặt chuyên biệt bảo mật, và sau đó mô tả lý do tại sao bạn có thể muốn loại bỏ thiết đặt bảo mật. Danh sách lồng nhau sau đó cung cấp một tên tượng trưng cho các thiết lập bảo mật và đường dẫn kiểm nhập của các thiết lập bảo mật. Cuối cùng, ví dụ được cung cấp khả năng tương hợp về sau các vấn đề có thể xảy ra khi cài đặt chuyên biệt bảo mật được đặt cấu hình.
 1. Kiểm toán: Tắt hệ thống ngay lập tức nếu không thể kí nhập kiểm toán bảo mật
  1. Nền
   • Các kiểm toán: tắt hệ thống ngay lập tức nếu không thể kí nhập an ninh kiểm tra cài đặt chuyên biệt xác định liệu hệ thống tắt đi nếu bạn không thể đăng sự kiện an ninh. Thiết đặt này được yêu cầu cho chương trình đáng tin cậy tiêu chí đánh giá bảo mật máy tính (TCSEC) C2 đánh giá và các tiêu chí phổ biến nhất đánh giá bảo mật thông tin công nghệ để ngăn chặn sự kiện ngôn nếu hệ thống kiểm toán không thể kí nhập các sự kiện đó. Nếu hệ thống kiểm định thất bại, tắt hệ thống, và một dừng thông báo lỗi xuất hiện.
   • Nếu máy tính không thể ghi lại các sự kiện vào Nhật ký bảo mật, bằng chứng quan trọng hoặc thông tin khắc phục sự cố quan trọng có thể không có sẵn để xem xét sau khi một sự cố an ninh.
  2. Cấu hình nguy hiểm

   Sau đây là một tập cấu hình có hại: các kiểm toán: tắt hệ thống ngay lập tức nếu không thể kí nhập an ninh kiểm tra cài đặt chuyên biệt được bật, và kích thước của sổ ghi sự kiện an ninh đã được cố định bởi không ghi đè lên sự kiện (rõ ràng kí nhập theo cách thủ công) tùy chọn, tùy chọn ghi đè lên các sự kiện như cần thiết , hoặc các Ghi đè lên các sự kiện cũ hơn số Ngày tùy chọn trong trình Trình xem sự kiện. Hãy xem phần "Ví dụ vấn đề tương thích" cho các thông tin về các rủi ro cụ thể đối với máy tính đang chạy phiên bản phát hành ban đầu của Windows 2000, Windows 2000 Service Pack 1 (SP1), Windows 2000 SP2 hoặc Windows 2000 SP3.
  3. Lý do để cho phép thiết đặt này

   Nếu máy tính không thể ghi lại các sự kiện vào Nhật ký bảo mật, bằng chứng quan trọng hoặc thông tin khắc phục sự cố quan trọng có thể không có sẵn để xem xét sau khi một sự cố an ninh.
  4. Lý do để vô hiệu hoá cài đặt chuyên biệt này
   • Cho phép các kiểm toán: tắt hệ thống ngay lập tức nếu không thể kí nhập an ninh kiểm tra cài đặt chuyên biệt dừng hệ thống nếu một kiểm toán bảo mật không thể kí nhập vì lý do nào. Thông thường, một sự kiện không thể được kí nhập khi Nhật ký kiểm tra an ninh là đầy đủ và khi phương pháp lưu giữ đã chỉ định là một trong hai tùy chọn không ghi đè lên sự kiện (rõ ràng kí nhập theo cách thủ công) hoặc các Ghi đè lên các sự kiện cũ hơn số Ngày tùy chọn.
   • Gánh nặng hành chính tạo điều kiện cho các kiểm toán: tắt hệ thống ngay lập tức nếu không thể kí nhập an ninh kiểm tra cài đặt chuyên biệt có thể rất cao, đặc biệt là nếu bạn cũng bật tùy chọn không ghi đè lên sự kiện (rõ ràng kí nhập bằng tay) cho sổ ghi bảo mật. Thiết lập này cung cấp cho các trách nhiệm cá nhân của nhà điều hành hành động. Ví dụ, người quản trị có thể đặt lại mức cấp phép trên tất cả người dùng, máy tính, và các nhóm trong một đơn vị tổ chức (OU) nơi kiểm toán được kích hoạt bằng cách sử dụng tài khoản người quản trị cài sẵn hoặc khác chia sẻ tài khoản và sau đó từ chối họ đặt lại quyền như vậy. Tuy nhiên, cho phép các thiết lập làm giảm mạnh mẽ của hệ thống vì một máy chủ có thể bị buộc phải đóng cửa bởi áp đảo nó với sự kiện kí nhập và với các sự kiện an ninh khác được ghi vào sổ ghi bảo mật. Ngoài ra, bởi vì việc tắt máy không phải là duyên dáng, các thiệt hại không thể khắc phục để hệ điều hành, chương trình hoặc dữ liệu có thể dẫn đến. Trong khi NTFS đảm bảo tính toàn vẹn của hệ thống tệp được duy trì trong một tắt ungraceful hệ thống, nó không thể đảm bảo rằng tất cả các file dữ liệu cho mỗi chương trình sẽ vẫn trong một hình thức có thể sử dụng khi hệ thống khởi động lại.
  5. Tên biểu tượng:

   CrashOnAuditFail

  6. Đường dẫn đăng ký:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)
  7. Ví dụ về vấn đề tương hợp về sau
   • Windows 2000:Vì một lỗi, máy tính đang chạy phiên bản phát hành ban đầu của Windows 2000, Windows 2000 SP1, Windows 2000 SP2 hoặc Windows Server SP3 có thể ngừng ghi nhật ký sự kiện trước khi kích thước được chỉ định trong các tùy chọn kích cỡ sổ ghi tối đa cho sổ ghi sự kiện an ninh được đạt tới. Lỗi này được cố định trong Windows 2000 Service Pack 4 (SP4). Hãy chắc chắn rằng bộ kiểm soát miền Windows 2000 của bạn có Windows 2000 Service Pack 4 cài đặt chuyên biệt trước khi bạn xem xét cho phép thiết đặt này.

    Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    312571 Sổ ghi sự kiện dừng ghi nhật ký sự kiện trước khi đạt kích thước tối đa kí nhập
   • Windows 2000, Windows Server 2003:Máy tính đang chạy Windows 2000 hoặc Windows Server 2003 có thể ngừng đáp ứng và sau đó có thể tự khởi động lại nếu các kiểm toán: tắt hệ thống ngay lập tức nếu không thể kí nhập an ninh kiểm tra cài đặt chuyên biệt được bật, sổ ghi bảo mật là đầy đủ và một mục nhập sổ ghi sự kiện hiện tại không thể được ghi đè. Khi máy tính khởi động lại, thông báo lỗi dừng sau xuất hiện:
    DỪNG: C0000244 {kiểm toán không thành công}
    Một nỗ lực để tạo ra một bảo mật kiểm toán không thành công.
    Để khôi phục, người quản trị phải kí nhập vào, lưu trữ sổ ghi bảo mật (tùy chọn), xóa sổ ghi bảo mật, và sau đó đặt lại tuỳ chọn này (tùy chọn và là cần thiết).
   • Máy sử dụng mạng Microsoft cho MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003:Phòng Không quản trị viên cố gắng để kí nhập vào một tên miền sẽ nhận được thông báo lỗi sau:
    Tài khoản của bạn được cấu hình để ngăn cản bạn từ việc sử dụng máy tính này. Hãy thử một máy tính khác.
    Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    160783 Thông báo lỗi: người dùng không thể kí nhập vào một máy trạm
   • Windows 2000:Trên máy tính dựa trên Windows 2000, không quản trị viên sẽ không thể kí nhập vào máy chủ truy nhập từ xa, và họ sẽ nhận được một thông báo lỗi tương tự như sau đây:
    Không xác định người dùng hoặc mật khẩu xấu
    Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    285665 Thông báo lỗi: tài khoản của bạn được cấu hình để ngăn cản bạn từ việc sử dụng máy tính này
   • Windows 2000:Trên bộ kiểm soát miền Windows 2000, Intersite thư thoại tin tức thời bản ghi dịch vụ (Ismserv.exe) sẽ tắt máy và không thể được khởi động lại. DCDIAG sẽ báo cáo lỗi như là "không thành công thử nghiệm bản ghi dịch vụ ISMserv", và tổ chức sự kiện ID 1083 sẽ kiểm nhập trong trường hợp kí nhập.
   • Windows 2000:Trên bộ kiểm soát miền Windows 2000, hoạt động mục tin thư thoại sao chép sẽ không thành công, và một thông báo "Truy cập từ chối" sẽ xuất hiện nếu sổ ghi sự kiện bảo mật đầy đủ.
   • Microsoft Exchange 2000:Máy chủ đang chạy Exchange 2000 sẽ không thể gắn kết thông tin cửa hàng bộ máy cơ sở dữ liệu, và sự kiện 2102 sẽ kiểm nhập trong trường hợp kí nhập.

    Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    314294 Exchange 2000 thông báo lỗi được tạo ra bởi vì SeSecurityPrivilege quyền và các vấn đề Policytest
   • Outlook, Outlook Web Access: Quản trị viên phòng không sẽ không thể truy cập thư của họ thông qua Microsoft Outlook hoặc Microsoft Outlook Web Access, và họ sẽ nhận được một lỗi 503.
 2. Điều khiển vùng: hệ phục vụ LDAP ký yêu cầu
  1. Nền

   Các điều khiển vùng: hệ phục vụ LDAP ký yêu cầu cài đặt chuyên biệt bảo mật xác định cho dù máy chủ nhẹ Directory Access Protocol (LDAP) yêu cầu LDAP khách hàng để thương lượng dữ liệu kí nhập. Các giá trị có thể cho thiết đặt chính sách này là như sau:
   • Không có: Dữ liệu kí nhập không bắt buộc phải giới hạn trên với hệ phục vụ. Nếu khách hàng yêu cầu dữ liệu kí nhập, các máy chủ hỗ trợ nó.
   • Yêu cầu ký: Tùy chọn kí nhập dữ liệu LDAP phải được thương lượng trừ khi vận chuyển lớp bảo mật/Secure Socket Layer (TLS/SSL) đang được sử dụng.
   • không được định nghĩa: Thiết lập này không được kích hoạt hoặc vô hiệu hoá.
  2. Cấu hình nguy hiểm

   Sau đây là các cài đặt chuyên biệt cấu hình có hại:
   • Cho phép yêu cầu đăng trong môi trường nơi mà khách hàng không hỗ trợ LDAP ký hoặc nơi phía khách hàng LDAP ký không được phép trên máy tính khách
   • Áp dụng Windows 2000 hoặc Windows Server 2003 Hisecdc.inf mẫu an ninh trong môi trường nơi các khách hàng không hỗ trợ LDAP ký hoặc nơi phía khách hàng LDAP ký không được kích hoạt
   • Áp dụng Windows 2000 hoặc Windows Server 2003 Hisecws.inf mẫu an ninh trong môi trường nơi các khách hàng không hỗ trợ LDAP ký hoặc nơi phía khách hàng LDAP ký không được kích hoạt
  3. Lý do để cho phép thiết đặt này

   Điều mạng lưới giao thông là dễ bị tấn công người đàn ông ở giữa nơi một kẻ xâm nhập bắt gói dữ liệu giữa máy tính khách và máy chủ, sửa đổi các gói dữ liệu, và sau đó chuyển chúng vào hệ phục vụ. Khi hành vi này xảy ra trên một máy chủ LDAP, kẻ tấn công có thể gây ra một máy chủ để đưa ra quyết định dựa trên các truy vấn sai từ khách hàng LDAP. Bạn có thể làm giảm nguy cơ này trong một mạng công ty bằng cách thực hiện các biện pháp bảo mật vật lý mạnh mẽ để giúp bảo vệ cơ sở hạ tầng mạng. Chế độ tiêu đề xác thực Internet giao thức bảo mật (IPSec) có thể giúp ngăn chặn người đàn ông ở giữa cuộc tấn công. Xác thực tiêu đề chế độ thực hiện xác thực lẫn nhau và tích hợp gói cho lưu lượng truy cập IP.
  4. Lý do để vô hiệu hoá cài đặt chuyên biệt này
   • Khách hàng không hỗ trợ LDAP ký kết sẽ không thể thực hiện truy vấn LDAP với bộ bộ kiểm soát miền và chống lại Danh mục Sản phẩm toàn cầu nếu NTLM xác thực đàm phán và nếu các gói bản ghi dịch vụ chính xác chưa được cài đặt chuyên biệt trên bộ kiểm soát miền Windows 2000.
   • Mạng lưới các dấu kiểm vết của LDAP giao thông giữa khách hàng và máy chủ sẽ được mật mã hóa. Điều này làm cho nó khó khăn để kiểm tra LDAP cuộc hội thoại.
   • Dựa trên Windows 2000 máy chủ phải có Windows 2000 Service Pack 3 (SP3) hoặc cài đặt chuyên biệt khi họ được quản lý với các chương trình hỗ trợ LDAP đăng mà được điều hành từ khách hàng máy tính chạy Windows 2000 SP4, Windows XP hoặc Windows Server 2003. Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    325465 Yêu cầu bộ kiểm soát miền Windows 2000 Service Pack 3 hoặc cao hơn khi sử dụng công cụ quản lý Windows Server 2003
  5. Tên biểu tượng:

   LDAPServerIntegrity
  6. Đường dẫn đăng ký:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)
  7. Ví dụ về vấn đề tương hợp về sau
   • Đơn giản binds sẽ không thành công, và bạn sẽ nhận được thông báo lỗi sau:
    Ldap_simple_bind_s() thất bại: xác thực mạnh yêu cầu.
   • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003:Trên máy sử dụng đang chạy Windows 2000 SP4, Windows XP hoặc Windows Server 2003, một số công cụ quản lý Thư mục Họat động không sẽ hoạt động một cách chính xác đối với bộ bộ kiểm soát miền đang chạy phiên bản Windows 2000 sớm hơn SP3 khi NTLM xác thực thương lượng.

    Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    325465 Yêu cầu bộ kiểm soát miền Windows 2000 Service Pack 3 hoặc cao hơn khi sử dụng công cụ quản lý Windows Server 2003
   • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003:Trên khách hàng đang chạy Windows 2000 SP4, Windows XP hoặc Windows Server 2003, quản lý hoạt động mục tin thư thoại một số công cụ mà bộ kiểm soát miền mục tiêu đang chạy phiên bản của Windows 2000 có trước đó hơn SP3 sẽ không hoạt động đúng nếu họ đang sử dụng địa chỉ IP (ví dụ: "dsa.msc /server =x.x.x.x"nơi x.x.x.x là một địa chỉ IP).

    Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    325465 Yêu cầu bộ kiểm soát miền Windows 2000 Service Pack 3 hoặc cao hơn khi sử dụng công cụ quản lý Windows Server 2003
   • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003:Trên máy sử dụng đang chạy Windows 2000 SP4, Windows XP hoặc Windows Server 2003, một số công cụ quản lý hoạt động mục tin thư thoại mục tiêu đó bộ bộ kiểm soát miền đang chạy phiên bản Windows 2000 sớm hơn SP3 sẽ không hoạt động một cách chính xác.

    Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    325465 Yêu cầu bộ kiểm soát miền Windows 2000 Service Pack 3 hoặc cao hơn khi sử dụng công cụ quản lý Windows Server 2003
 3. Thành viên tên miền: yêu cầu chìa khóa phiên làm việc mạnh mẽ (Windows 2000 hoặc mới hơn)
  1. Nền
   • Các thành viên tên miền: yêu cầu mạnh mẽ (Windows 2000 hoặc mới hơn) phiên phím thiết lập xác định cho dù một kênh bảo mật có thể được thiết lập với bộ kiểm soát miền không thể mật mã hóa an toàn kênh lưu lượng truy cập với một chìa khóa phiên làm việc mạnh mẽ, 128-bit. Cho phép thiết đặt này ngăn cản việc thiết lập một kênh an toàn với bất kỳ bộ kiểm soát miền không thể mã hóa dữ liệu an toàn kênh với một chìa khóa mạnh mẽ. Vô hiệu hoá cài đặt chuyên biệt này cho phép 64-bit phiên phím.
   • Trước khi bạn có thể bật cài đặt chuyên biệt này trên một máy trạm thành viên hoặc trên một máy chủ, tất cả các bộ kiểm soát miền trong tên miền thành viên thuộc về phải có khả năng mã hóa kênh bảo mật dữ liệu với một chìa khóa mạnh mẽ, 128-bit. Điều này có nghĩa rằng tất cả các bộ kiểm soát miền phải chạy Windows 2000 hoặc mới hơn.
  2. Cấu hình nguy hiểm

   Cho phép các thành viên tên miền: yêu cầu mạnh mẽ (Windows 2000 hoặc mới hơn) phiên phím thiết lập là một tập cấu hình có hại.
  3. Lý do để cho phép thiết đặt này
   • Chìa khóa phiên được sử dụng để thiết lập kênh bảo mật thông tin liên hệ giữa các tài khoản của máy tính và các bộ kiểm soát miền là rất mạnh mẽ hơn trong Windows 2000 hơn họ đang có trong các phiên bản trước của hệ điều hành Microsoft.
   • Khi có thể, nó là một ý tưởng tốt để chiếm ưu thế của các phím phiên làm việc mạnh mẽ hơn để giúp bảo vệ an toàn kênh truyền thông từ nghe trộm và từ phiên cướp tấn công mạng. Eavesdropping là một hình thức độc hại tấn công nơi mạng dữ liệu được đọc hoặc thay đổi trên đường vận chuyển. Dữ liệu có thể được thay đổi để ẩn hoặc thay đổi người gửi, hoặc để chuyển hướng nó.
   Quan trọng Một máy tính đang chạy Windows Server 2008 R2 hoặc Windows 7 hỗ trợ chỉ mạnh phím khi kênh an toàn được sử dụng. Hạn chế này ngăn chặn một sự tin tưởng giữa bất kỳ miền dựa trên Windows NT 4.0 và bất kỳ miền dựa trên Windows Server 2008 R2. Ngoài ra, hạn chế này chặn thành viên miền Windows NT 4.0 dựa trên máy tính đang chạy Windows 7 hoặc Windows Server 2008 R2, và ngược lại.
  4. Lý do để vô hiệu hoá cài đặt chuyên biệt này

   Tên miền có chứa máy tính thành viên đang chạy hệ điều hành khác hơn so với Windows 2000, Windows XP hoặc Windows Server 2003.
  5. Tên biểu tượng:

   StrongKey
  6. Đường dẫn đăng ký:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)
  7. Ví dụ về vấn đề tương hợp về sau

   Windows NT 4.0:Trên máy tính dựa trên Windows NT 4.0, đặt lại kênh an toàn của sự tin tưởng mối quan hệ giữa Windows NT 4.0 và Windows 2000 tên miền với NLTEST không thành công. Một thông báo lỗi "Truy cập từ chối" sẽ xuất hiện:
   Mối quan hệ tin cậy giữa vùng chính và miền đáng tin cậy thất bại.

   Windows 7 và Server 2008 R2:Đối với Windows 7 và phiên bản mới hơn và Windows Server 2008 R2 và phiên bản mới hơn, thiết đặt này không vinh danh nữa và chìa khóa mạnh mẽ được sử dụng luôn luôn. Do đó, các tín thác với tên miền Windows NT 4.0 không làm việc nữa.
 4. Thành viên tên miền: kỹ thuật số mã hóa hoặc đăng kênh bảo mật dữ liệu (luôn luôn)
  1. Nền
   • Cho phép thành viên tên miền: kỹ thuật số mã hóa hoặc đăng kênh bảo mật dữ liệu (luôn luôn) ngăn cản việc thiết lập một kênh an toàn với bất kỳ bộ kiểm soát miền không thể kí nhập hoặc mật mã hóa tất cả kênh bảo mật dữ liệu. Để giúp bảo vệ xác thực lưu lượng truy cập từ người đàn ông ở giữa cuộc tấn công, phát lại cuộc tấn công, và các loại khác của cuộc tấn công mạng, máy tính dựa trên Windows tạo ra một kênh giao tiếp được gọi là một kênh an toàn thông qua các bản ghi dịch vụ kí nhập mạng xác thực tài khoản máy tính. Kênh an toàn cũng được sử dụng khi một người dùng trong một tên miền kết nối tài nguyên mạng trong miền từ xa. Multidomain xác thực này, hoặc đặt xác thực, cho phép một máy tính dựa trên Windows đã gia nhập một tên miền để có quyền truy cập vào bộ máy cơ sở dữ liệu tài khoản người dùng trong tên miền của mình và trong bất kỳ tên miền đáng tin cậy.
   • Để kích hoạt các thành viên tên miền: kỹ thuật số mã hóa hoặc đăng kênh bảo mật dữ liệu (luôn luôn) thiết lập trên một máy tính thành viên, tất cả các bộ kiểm soát miền trong tên miền thành viên thuộc về phải có khả năng đăng hoặc mã hóa tất cả kênh bảo mật dữ liệu. Điều này có nghĩa rằng tất cả các bộ điều khiển tên miền như vậy phải chạy Windows NT 4.0 với gói bản ghi dịch vụ 6a (SP6a) hoặc sau đó.
   • Cho phép các thành viên tên miền: kỹ thuật số mã hóa hoặc đăng kênh bảo mật dữ liệu (luôn luôn) thiết lập tự động cho phép các thành viên tên miền: kỹ thuật số mã hóa hoặc đăng dữ liệu an toàn kênh (khi có thể) thiết lập.
  2. Cấu hình nguy hiểm

   Cho phép các thành viên tên miền: kỹ thuật số mã hóa hoặc đăng kênh bảo mật dữ liệu (luôn luôn) thiết lập trong lĩnh vực nơi không phải tất cả các bộ bộ kiểm soát miền có thể kí nhập hoặc mật mã hóa an toàn kênh dữ liệu là một tập cấu hình có hại.
  3. Lý do để cho phép thiết đặt này

   Điều mạng lưới giao thông là dễ bị tấn công người đàn ông ở giữa, nơi một kẻ xâm nhập bắt gói tin giữa các máy chủ và khách hàng và sau đó sửa đổi chúng trước khi chuyển tiếp cho khách hàng. Khi hành vi này xảy ra trên một máy chủ nhẹ Directory Access Protocol (LDAP), những kẻ xâm nhập có thể gây ra một khách hàng để đưa ra quyết định dựa trên các hồ sơ giả từ mục tin thư thoại LDAP. Bạn có thể làm giảm nguy cơ của một cuộc tấn công trên một mạng công ty bằng cách thực hiện các biện pháp bảo mật vật lý mạnh mẽ để giúp bảo vệ cơ sở hạ tầng mạng. Ngoài ra, việc thực hiện các Giao thức Internet bảo mật (IPSec) xác thực đầu trang chế độ có thể giúp ngăn chặn người đàn ông ở giữa cuộc tấn công. Chế độ này thực hiện xác thực lẫn nhau và tích hợp gói cho lưu lượng truy cập IP.
  4. Lý do để vô hiệu hoá cài đặt chuyên biệt này
   • Các máy tính trong lĩnh vực địa phương hoặc bên ngoài hỗ trợ kênh bảo mật được mã hóa.
   • Không phải tất cả các bộ kiểm soát miền trong miền có mức độ Phiên bản gói bản ghi dịch vụ thích hợp để hỗ trợ kênh bảo mật được mã hóa.
  5. Tên biểu tượng:

   StrongKey
  6. Đường dẫn đăng ký:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)
  7. Ví dụ về vấn đề tương hợp về sau
   • Windows NT 4.0: Máy tính dựa trên Windows 2000 thành viên sẽ không có khả năng tham gia các tên miền Windows NT 4.0 và sẽ nhận được thông báo lỗi sau:
    Tài khoản không có quyền kí nhập ga này.
    Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    281648 Thông báo lỗi: các tài khoản không có quyền kí nhập từ ga
   • Windows NT 4.0:Tên miền Windows NT 4.0 sẽ không thể thiết lập một niềm tin xuống cấp với một tên miền Windows 2000 và sẽ nhận được thông báo lỗi sau:
    Tài khoản không có quyền kí nhập ga này.
    Hiện có xuống cấp tín thác có thể cũng không xác thực người dùng từ tên miền đáng tin cậy. Một số người dùng có thể có vấn đề kí nhập vào tên miền, và họ có thể nhận được một thông báo lỗi nói rằng khách hàng không thể tìm thấy các tên miền.
   • Windows XP:Khách hàng của Windows XP được gia nhập vào tên miền Windows NT 4.0 sẽ không thể xác thực kí nhập nỗ lực và có thể nhận được thông báo lỗi sau, hoặc các sự kiện sau đây có thể được kiểm nhập trong sổ ghi sự kiện:
    Windows không thể kết nối tới vùng, hoặc do bộ kiểm soát miền xuống hoặc nếu không có sẵn hoặc vì trương mục máy tính của bạn không tìm thấy

    Sự kiện 5723: cài đặt chuyên biệt phiên từ máy tính ComputerName thất bại trong việc xác thực. Tên tài khoản được tham chiếu trong bộ máy cơ sở dữ liệu bảo mật ComputerName. Lỗi sau xuất hiện: truy cập bị từ chối.

    Sự kiện 3227: Các thiết lập phiên làm việc Windows NT hoặc bộ kiểm soát miền Windows 2000 tên máy (ứng dụng) phục vụ cho tên miền Tên miền không thành công vì tên máy (ứng dụng) phục vụ không hỗ trợ đăng hoặc niêm phong Netlogon phiên. Nâng cấp bộ kiểm soát miền, hoặc thiết lập các mục nhập registry RequireSignOrSeal trên máy tính này đến 0.

    Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    318266 Một khách hàng Windows XP không thể kí nhập vào một tên miền Windows NT 4.0
   • Microsoft mạng:Microsoft Network khách hàng sẽ nhận được một trong các thông báo lỗi sau đây:
    kí nhập thất bại: không biết tên người dùng hoặc mật khẩu xấu.
    Có là không có chìa khóa phiên người dùng cho phiên kí nhập được chỉ định.
 5. Máy sử dụng mạng Microsoft: được kí theo số thức truyền thông (luôn luôn)
  1. Nền

   Máy chủ tin thư thoại chặn (SMB) là giao thức chia sẻ tài nguyên được hỗ trợ bởi nhiều hệ điều hành Microsoft. Nó là cơ sở của mạng cơ bản đầu vào/đầu ra hệ thống (NetBIOS) và nhiều các giao thức khác. SMB đăng authenticates cả người dùng và máy chủ lưu trữ dữ liệu. Nếu hai bên không quá trình xác thực, truyền dữ liệu sẽ không xảy ra.

   Cho phép SMB đăng Bắt đầu trong SMB giao thức đàm phán. Các chính sách ký SMB xác định cho dù máy tính luôn thư ký thông tin liên hệ của khách hàng.

   Giao thức xác thực Windows 2000 SMB hỗ trợ xác thực lẫn nhau. Xác thực lẫn nhau đóng một cuộc tấn công "người đàn ông-trong-the-Trung". Giao thức xác thực Windows 2000 SMB cũng hỗ trợ tin thư thoại xác thực. Tin thư thoại xác thực giúp ngăn ngừa tấn công hoạt động tin thư thoại. Để cung cấp cho bạn này xác thực, SMB ký đặt một chữ được kí theo số thức vào mỗi SMB. Khách hàng và máy chủ mỗi xác minh chữ được kí theo số thức.

   Để sử dụng SMB đăng, bạn phải sử SMB ký hoặc yêu cầu SMB đăng trên SMB client và SMB server. Nếu SMB ký được kích hoạt trên một máy chủ, khách hàng cũng được kích hoạt cho SMB ký sử dụng gói đăng giao thức trong tất cả các buổi. Nếu SMB ký được yêu cầu trên một máy chủ, một khách hàng không thể thiết lập một phiên làm việc trừ khi khách hàng cho phép hoặc yêu cầu cho SMB việc đăng.

   Cho phép ký kỹ thuật số trong các mạng bảo mật cao giúp ngăn ngừa mạo danh của khách hàng và máy chủ. Loại mạo danh được gọi là phiên cướp. Một kẻ tấn công những người có quyền truy cập vào cùng một mạng như các khách hàng hoặc hệ phục vụ sử dụng phiên cướp quyền công cụ để làm gián đoạn, kết thúc, hoặc ăn cắp một phiên làm việc trong tiến trình. Một kẻ tấn công có thể đánh chặn và sửa đổi dấu kiểm SMB gói dữ liệu, sửa đổi giao thông, và sau đó chuyển tiếp nó vì vậy mà các máy chủ có thể thực hiện hành động không mong muốn. Hoặc, những kẻ tấn công có thể đặt ra như là máy chủ hoặc là khách hàng sau khi xác thực hợp pháp và sau đó truy cập trái phép vào dữ liệu.

   Giao thức SMB được sử dụng cho chia sẻ tệp và chia sẻ in trong máy tính đang chạy Windows 2000 Server, Windows 2000 Professional, Windows XP Professional hoặc Windows Server 2003 hỗ trợ xác thực lẫn nhau. Xác thực lẫn nhau đóng phiên cướp tấn công và hỗ trợ tin thư thoại xác thực. Vì vậy, nó ngăn ngừa người đàn ông ở giữa cuộc tấn công. SMB ký cung cấp xác thực này bằng cách đặt một chữ ký kỹ thuật số trong mỗi SMB. Khách hàng và máy chủ sau đó kiểm chứng chữ ký.

   Ghi chú
   • Như một countermeasure thay thế, bạn có thể kích hoạt các chữ ký kỹ thuật số với IPSec để giúp bảo vệ mạng tất cả lưu lượng truy cập. Không có phần cứng dựa trên máy gia tốc cho mật mã hoá IPSec và kí hợp đồng mà bạn có thể sử dụng để giảm thiểu tác động hiệu quả từ CPU của máy chủ. Không có máy gia tốc không có như vậy mà có sẵn cho SMB việc đăng.

    Để biết thêm chi tiết, xem các được kí theo số thức cho máy chủ truyền thông chương trên web site của Microsoft MSDN.

    Cấu hình SMB đăng thông qua chỉnh sửa đối tượng chính sách nhóm vì một sự thay đổi đến một giá trị kiểm nhập địa phương không có hiệu lực nếu có một chính sách tên miền trọng.
   • Trong Windows 95, Windows 98 và Windows 98 Second Edition, khách hàng bản ghi dịch vụ mục tin thư thoại sử dụng SMB ký khi nó authenticates với Windows Server 2003 máy chủ bằng cách sử dụng NTLM xác thực. Tuy nhiên, các khách hàng không sử dụng SMB ký kết khi họ xác thực với các máy chủ bằng cách sử dụng xác thực NTLMv2. Ngoài ra, máy chủ Windows 2000 không đáp ứng với SMB ký yêu cầu từ các khách hàng. Để biết thêm thông tin, hãy xem mục 10: "an ninh mạng: Lan Manager xác thực cấp."
  2. Cấu hình nguy hiểm

   Sau đây là một tập cấu hình có hại: để lại cả hai các máy sử dụng mạng Microsoft: được kí theo số thức truyền thông (luôn luôn) thiết lập và các máy sử dụng mạng Microsoft: được kí theo số thức truyền thông (nếu máy chủ đồng ý) cài đặt chuyên biệt thiết lập để "Không xác định" hoặc vô hiệu hóa. Các thiết đặt này cho phép redirector gửi mật khẩu văn bản thuần tuý không Microsoft SMB máy chủ không hỗ trợ mã hóa mật khẩu trong khi xác thực.
  3. Lý do để cho phép thiết đặt này

   Cho phép máy sử dụng mạng Microsoft: được kí theo số thức truyền thông (luôn luôn) yêu cầu khách hàng để đăng SMB giao thông khi liên hệ với máy chủ mà không cần SMB ký kết. Điều này làm cho khách hàng ít dễ bị tổn thương đến phiên cướp tấn công.
  4. Lý do để vô hiệu hoá cài đặt chuyên biệt này
   • Cho phép máy sử dụng mạng Microsoft: được kí theo số thức truyền thông (luôn luôn) ngăn cản khách hàng từ giao tiếp với máy chủ đích không hỗ trợ SMB ký kết.
   • Cấu hình máy tính để bỏ qua tất cả các liên lạc SMB dấu kiểm ngăn chặn trước đó chương trình và điều hành hệ thống kết nối.
  5. Tên biểu tượng:

   RequireSMBSignRdr
  6. Đường dẫn đăng ký:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
  7. Ví dụ về vấn đề tương hợp về sau
   • Windows NT 4.0:Bạn sẽ không thể đặt lại kênh một sự tin tưởng giữa một tên miền Windows Server 2003 và một tên miền Windows NT 4.0, an toàn bằng cách sử dụng NLTEST hoặc NETDOM, và bạn sẽ nhận được một thông báo lỗi "Truy cập từ chối".
   • Windows XP:Sao chép tập tin từ Windows XP khách hàng máy chủ Dựa trên Windows 2000 và Windows Server 2003 dựa trên máy chủ có thể mất nhiều thời gian.
   • Bạn sẽ không thể bản đồ một ổ đĩa mạng từ một khách hàng với thiết đặt này được kích hoạt, và bạn sẽ nhận được thông báo lỗi sau:
    Tài khoản không có quyền kí nhập ga này.
  8. Khởi động lại yêu cầu

   Khởi động lại máy tính, hoặc khởi động lại bản ghi dịch vụ trạm làm việc. Để làm điều này, gõ lệnh sau tại dấu kiểm nhắc lệnh. Nhấn Enter sau khi bạn gõ lệnh mỗi.
   net dừng máy trạm
   net Bắt đầu máy trạm
 6. Máy chủ mạng Microsoft: được kí theo số thức truyền thông (luôn luôn)
  1. Nền
   • Hệ phục vụ Messenger khối (SMB) là giao thức chia sẻ tài nguyên được hỗ trợ bởi nhiều hệ điều hành Microsoft. Nó là cơ sở của mạng cơ bản đầu vào/đầu ra hệ thống (NetBIOS) và nhiều các giao thức khác. SMB đăng authenticates cả người dùng và máy chủ lưu trữ dữ liệu. Nếu hai bên không quá trình xác thực, truyền dữ liệu sẽ không xảy ra.

    Cho phép SMB đăng Bắt đầu trong SMB giao thức đàm phán. Các chính sách ký SMB xác định cho dù máy tính luôn thư ký thông tin liên hệ của khách hàng.

    Giao thức xác thực Windows 2000 SMB hỗ trợ xác thực lẫn nhau. Xác thực lẫn nhau đóng một cuộc tấn công "người đàn ông-trong-the-Trung". Giao thức xác thực Windows 2000 SMB cũng hỗ trợ tin thư thoại xác thực. Tin thư thoại xác thực giúp ngăn ngừa tấn công hoạt động tin thư thoại. Để cung cấp cho bạn này xác thực, SMB ký đặt một chữ được kí theo số thức vào mỗi SMB. Khách hàng và máy chủ mỗi xác minh chữ được kí theo số thức.

    Để sử dụng SMB đăng, bạn phải sử SMB ký hoặc yêu cầu SMB đăng trên SMB client và SMB server. Nếu SMB ký được kích hoạt trên một máy chủ, khách hàng cũng được kích hoạt cho SMB ký sử dụng gói đăng giao thức trong tất cả các buổi. Nếu SMB ký được yêu cầu trên một máy chủ, một khách hàng không thể thiết lập một phiên làm việc trừ khi khách hàng cho phép hoặc yêu cầu cho SMB việc đăng.

    Cho phép ký kỹ thuật số trong các mạng bảo mật cao giúp ngăn ngừa mạo danh của khách hàng và máy chủ. Loại mạo danh được gọi là phiên cướp. Một kẻ tấn công những người có quyền truy cập vào cùng một mạng như các khách hàng hoặc hệ phục vụ sử dụng phiên cướp quyền công cụ để làm gián đoạn, kết thúc, hoặc ăn cắp một phiên làm việc trong tiến trình. Một kẻ tấn công có thể đánh chặn và sửa đổi điều quản lý băng thông mạng con (SBM) gói dữ liệu, sửa đổi giao thông, và sau đó chuyển tiếp nó vì vậy mà các máy chủ có thể thực hiện hành động không mong muốn. Hoặc, những kẻ tấn công có thể đặt ra như là máy chủ hoặc là khách hàng sau khi xác thực hợp pháp và sau đó truy cập trái phép vào dữ liệu.

    Giao thức SMB được sử dụng cho chia sẻ tệp và chia sẻ in trong máy tính đang chạy Windows 2000 Server, Windows 2000 Professional, Windows XP Professional hoặc Windows Server 2003 hỗ trợ xác thực lẫn nhau. Xác thực lẫn nhau đóng phiên cướp tấn công và hỗ trợ tin thư thoại xác thực. Vì vậy, nó ngăn ngừa người đàn ông ở giữa cuộc tấn công. SMB ký cung cấp xác thực này bằng cách đặt một chữ ký kỹ thuật số trong mỗi SMB. Khách hàng và máy chủ sau đó kiểm chứng chữ ký.
   • Như một countermeasure thay thế, bạn có thể kích hoạt các chữ ký kỹ thuật số với IPSec để giúp bảo vệ mạng tất cả lưu lượng truy cập. Không có phần cứng dựa trên máy gia tốc cho mật mã hoá IPSec và kí hợp đồng mà bạn có thể sử dụng để giảm thiểu tác động hiệu quả từ CPU của máy chủ. Không có máy gia tốc không có như vậy mà có sẵn cho SMB việc đăng.
   • Trong Windows 95, Windows 98 và Windows 98 Second Edition, khách hàng bản ghi dịch vụ mục tin thư thoại sử dụng SMB ký khi nó authenticates với Windows Server 2003 máy chủ bằng cách sử dụng NTLM xác thực. Tuy nhiên, các khách hàng không sử dụng SMB ký kết khi họ xác thực với các máy chủ bằng cách sử dụng xác thực NTLMv2. Ngoài ra, máy chủ Windows 2000 không đáp ứng với SMB ký yêu cầu từ các khách hàng. Để biết thêm thông tin, hãy xem mục 10: "an ninh mạng: Lan Manager xác thực cấp."
  2. Cấu hình nguy hiểm

   Sau đây là một tập cấu hình có hại: cho phép các Microsoft mạng máy chủ: được kí theo số thức truyền thông (luôn luôn) cài đặt chuyên biệt trên máy chủ và trên bộ kiểm soát miền được truy cập bởi không tương hợp về sau Windows dựa trên máy tính và máy tính bên thứ ba dựa trên hệ điều hành khách trong lĩnh vực địa phương hoặc bên ngoài.
  3. Lý do để cho phép thiết đặt này
   • Tất cả các máy tính khách hàng cho phép thiết đặt này trực tiếp thông qua nhà kiểm nhập hoặc thông qua các thiết lập chính sách nhóm hỗ trợ SMB ký kết. Nói cách khác, tất cả các máy tính khách hàng có cài đặt chuyên biệt này cho phép chạy Windows 95 hoặc với khách DS hàng cài đặt chuyên biệt, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional hoặc Windows Server 2003.
   • Nếu Microsoft mạng máy chủ: được kí theo số thức truyền thông (luôn luôn) là vô hiệu hoá, SMB ký hoàn toàn tắt. Hoàn toàn vô hiệu hoá tất cả SMB ký rời khỏi máy tính dễ bị tổn thương đến phiên cướp tấn công.
  4. Lý do để vô hiệu hoá cài đặt chuyên biệt này
   • Cho phép thiết đặt này có thể gây chậm hơn tập tin sao chép và mạng hiệu suất trên khách hàng máy tính.
   • Cho phép thiết đặt này sẽ ngăn chặn khách hàng không thể thương lượng SMB đăng từ giao tiếp với máy chủ và với bộ bộ kiểm soát miền. Điều này gây ra các hoạt động như tên miền tham gia, xác thực người dùng và máy tính hoặc mạng truy cập bởi các chương trình thất bại.
  5. Tên biểu tượng:

   RequireSMBSignServer
  6. Đường dẫn đăng ký:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)
  7. Ví dụ về vấn đề tương hợp về sau
   • Windows 95:Windows 95 khách hàng mà không có khách hàng mục tin thư thoại bản ghi dịch vụ (DS) được cài đặt chuyên biệt sẽ không xác thực kí nhập và sẽ nhận được thông báo lỗi sau:
    Mật khẩu miền bạn cung cấp không phải là chính xác, hoặc truy cập vào máy chủ kí nhập của bạn đã bị từ chối.
    Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    811497 Thông báo lỗi khi Windows 95 hoặc Windows NT 4.0 khách hàng kí nhập để Windows Server 2003 tên miền
   • Windows NT 4.0: Khách hàng máy tính đang chạy phiên bản của Windows NT 4.0 là sớm hơn Service Pack 3 (SP3) sẽ không xác thực kí nhập và sẽ nhận được thông báo lỗi sau:
    Hệ thống không thể kí nhập bạn. Hãy chắc chắn rằng tên người dùng và tên miền của bạn là chính xác, sau đó gõ lại mật khẩu của bạn.
    Một số máy chủ không Microsoft SMB hỗ trợ chỉ trao đổi không được mã hóa mật khẩu trong khi xác thực. Giao (các lưu cũng được gọi là "đồng bằng văn bản" trao đổi.) Đối với Windows NT 4.0 SP3 và phiên bản mới hơn, SMB redirector không gửi mật khẩu không được mã hóa trong khi xác thực tới hệ phục vụ SMB trừ khi bạn thêm một mục cụ thể kiểm nhập.
    Để kích hoạt không được mã hóa mật khẩu cho khách hàng SMB trên Windows NT 4.0 SP 3 và mới hơn hệ thống, sửa đổi sổ kiểm nhập như sau: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
    Giá trị tên: EnablePlainTextPassword
    Kiểu dữ liệu: REG_DWORD
    Dữ liệu: 1

    Để biết thêm chi tiết về các chủ đề liên quan, nhấp vào số bài viết sau để xem các bài viết trong cơ sở kiến thức Microsoft:
    224287 Thông báo lỗi: lỗi hệ thống 1240 đã xảy ra. Tài khoản không có quyền kí nhập ga này.
    166730 Không được mã hóa mật khẩu có thể gây ra Service Pack 3 không kết nối tới hệ phục vụ SMB
   • Windows Server 2003: theo mặc định, cài đặt chuyên biệt bảo mật trên bộ kiểm soát miền chạy Windows Server 2003 được cấu hình để giúp ngăn ngừa thông tin bộ điều khiển tên miền chặn hoặc giả mạo bởi người sử dụng độc hại. Cho người dùng để giao tiếp thành công với một bộ điều khiển tên miền đó chạy Windows Server 2003, khách hàng máy tính phải sử dụng cả SMB ký và mã hóa hoặc kênh an toàn giao thông đăng. theo mặc định, khách hàng chạy Windows NT 4.0 với Service Pack 2 (SP2) hoặc cài đặt chuyên biệt trước đó và khách hàng chạy Windows 95 chưa SMB gói đăng được kích hoạt. Vì vậy, các khách hàng có thể không có thể xác thực lên bộ kiểm soát miền Windows Server 2003 dựa trên.
   • cài đặt chuyên biệt chính sách Windows 2000 và Windows Server 2003: Tùy thuộc vào nhu cầu cụ thể cài đặt chuyên biệt và cấu hình của bạn, chúng tôi đề nghị rằng bạn đặt các thiết đặt chính sách sau các thực thể thấp nhất của các phạm vi cần thiết trong soạn chính sách nhóm Microsoft Management Console snap-trong hệ thống phân cấp:
    • Tùy chọn Settings\Security bảo mật máy tính Configuration\Windows
    • Gửi mật khẩu không được mã hóa để kết nối tới hệ phục vụ SMB bên thứ ba (cài đặt này là dành cho Windows 2000)
    • Máy sử dụng mạng Microsoft: gửi không mã hóa mật khẩu để bên thứ ba SMB máy chủ (cài đặt này là dành cho Windows Server 2003)

    Lưu ý Trong một số máy chủ CIFS bên thứ ba, chẳng hạn như phiên bản Samba cũ, bạn không thể sử dụng mật khẩu được mã hóa.
   • Các khách hàng là không tương hợp về sau với các Microsoft mạng máy chủ: được kí theo số thức truyền thông (luôn luôn) cài đặt:
    • Apple Computer, Inc, Mac OS Xclients
    • Khách hàng mạng Microsoft MS-DOS (ví dụ: Microsoft LAN Manager)
    • Microsoft Windows cho Workgroupsclients
    • Microsoft Windows 95 khách hàng mà không có DSClient cài đặt chuyên biệt
    • Microsoft Windows NT 4.0-dựa computerswithout SP3 hoặc sau đó cài đặt chuyên biệt
    • Novell Netware 6 CIFS khách hàng
    • SAMBA SMB khách hàng mà không có hỗ trợ cho việc đăng SMB
  8. Khởi động lại yêu cầu

   Khởi động lại máy tính, hoặc khởi động lại bản ghi dịch vụ máy chủ. Để làm điều này, gõ lệnh sau tại dấu kiểm nhắc lệnh. Nhấn Enter sau khi bạn gõ lệnh mỗi.
   net ngừng máy chủ
   net Bắt đầu máy chủ
 7. Mạng truy cập: cho phép vô danh SID/tên dịch
  1. Nền

   Các mạng truy cập: cho phép vô danh SID/tên dịch cài đặt chuyên biệt bảo mật xác định cho dù một người dùng dấu kiểm tên có thể yêu cầu số nhận dạng bảo mật (SID) thuộc tính cho người dùng khác.
  2. Cấu hình nguy hiểm

   Cho phép các mạng truy cập: cho phép vô danh SID/tên dịch thiết lập là một tập cấu hình có hại.
  3. Lý do để cho phép thiết đặt này

   Nếu các mạng truy cập: cho phép vô danh SID/tên dịch thiết lập là tàn tật, trước đó hệ điều hành hoặc ứng dụng có thể không thể giao tiếp với Windows Server 2003 tên miền. Ví dụ, hệ điều hành, bản ghi dịch vụ hoặc ứng dụng sau đây có thể không làm việc:
   • Windows NT 4.0 dựa trên Dịch vụ Access từ xa máy chủ
   • Microsoft SQL Server đang chạy trên Windows NT 3.x dựa trên máy tính hoặc máy tính dựa trên Windows NT 4.0
   • Dịch vụ Access từ xa đang chạy trên máy tính dựa trên Windows 2000 được đặt trong Windows NT 3.x tên miền hoặc tên miền Windows NT 4.0
   • SQL Server đang chạy trên máy tính dựa trên Windows 2000 được đặt trong Windows NT 3.x tên miền hoặc tên miền Windows NT 4.0
   • Người dùng trong tên miền tài nguyên Windows NT 4.0 người muốn cấp quyền truy cập để truy cập tập tin, mục tin thư thoại dùng chung và các đối tượng kiểm nhập tài khoản người dùng từ các tài khoản tên miền có chứa bộ kiểm soát miền Windows Server 2003
  4. Lý do để vô hiệu hoá cài đặt chuyên biệt này

   Nếu cài đặt chuyên biệt này được kích hoạt, một người sử dụng độc hại có thể dùng SID nổi tiếng của quản trị viên để có được tên thật của tài khoản người quản trị được xây dựng trong, ngay cả khi tài khoản đã được đổi tên. Người đó có thể sử dụng tên tài khoản để Bắt đầu một cuộc tấn công đoán mật khẩu.
  5. Biểu tượng tên: N/A
  6. kiểm nhập đường dẫn: Không có. Đường dẫn được chỉ định trong giao diện người dùng mã.
  7. Ví dụ về vấn đề tương hợp về sau

   Windows NT 4.0:Máy tính trong Windows NT 4.0 resource tên miền sẽ hiển thị thông báo lỗi "Tài khoản không rõ" trong ACL Editor nếu tài nguyên, bao gồm cả cặp dùng chung, chia sẻ tập tin và kiểm nhập đối tượng, được bảo đảm với chủ thể an toàn thông tin cư trú trong các tài khoản tên miền có chứa bộ kiểm soát miền Windows Server 2003.
 8. Mạng truy cập: không cho phép các liệt kê vô danh của SAM tài khoản
  1. Nền
   • Các mạng truy cập: không cho phép các liệt kê vô danh của SAM tài khoản thiết lập xác định những điều khoản bổ sung sẽ được cấp cho các kết nối ẩn danh vào máy tính. Windows cho phép người dùng vô danh để thực hiện các hoạt động nhất định, chẳng hạn như liệt kê tên của máy trạm và máy chủ bảo mật tài khoản quản lý (SAM) tài khoản và chia sẻ mạng. Ví dụ, người quản trị có thể sử dụng điều này để cấp quyền truy cập cho người dùng trong một tên miền đáng tin cậy không duy trì một niềm tin tình. Sau khi một phiên làm việc được thực hiện, một người dùng dấu kiểm tên có thể truy cập cùng một đó cấp cho tất cả mọi người trong nhóm dựa trên các thiết lập trong các mạng truy cập: để cho mọi người quyền áp dụng cho người dùng vô danh cài đặt chuyên biệt hoặc danh mục kiểm soát truy cập theo ý muốn (DACL) của đối tượng.

    Thông thường, chưa xác định người kết nối được yêu cầu của các phiên bản trước của khách hàng (xuống cấp khách hàng) trong khi SMB phiên thiết lập. Trong những trường hợp này, một dấu kiểm vết mạng cho thấy rằng SMB quá trình ID (PID) là khách hàng, chẳng hạn như 0xFEFF trong Windows 2000 hoặc 0xCAFE trong Windows NT. RPC redirector cũng có thể thử để làm cho kết nối vô danh.
   • Quan trọngcài đặt chuyên biệt này đã không có tác động trên bộ bộ kiểm soát miền. Trên bộ kiểm soát miền, hành vi này được điều khiển bởi sự hiện diện của "NT AUTHORITY\ANONYMOUS đăng nhập" trong "Pre-Windows 2000 tương hợp về sau truy cập".
   • Trong Windows 2000, một thiết lập tương tự gọi là Các hạn chế bổ sung cho các kết nối chưa xác định người quản lý các
    RestrictAnonymous
    giá trị kiểm nhập. Vị trí của giá trị này là như sau
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    Để biết thêm chi tiết về giá trị kiểm nhập RestrictAnonymous, nhấp vào số bài viết sau để xem các bài viết trong cơ sở kiến thức Microsoft:
    246261 Làm thế nào để sử dụng giá trị kiểm nhập RestrictAnonymous trong Windows 2000
    143474 Hạn chế thông tin có sẵn cho người dùng kí nhập vô danh
  2. Cấu hình nguy hiểm

   Cho phép các mạng truy cập: không cho phép các liệt kê vô danh của SAM tài khoản thiết lập là một tập cấu hình có hại từ một quan điểm khả năng tương hợp về sau. Vô hiệu hóa nó là một tập cấu hình có hại từ một quan điểm bảo mật.
  3. Lý do để cho phép thiết đặt này

   Một người sử dụng trái phép có thể nặc danh liệt kê tên tài khoản và sau đó sử dụng các thông tin để cố gắng để đoán mật khẩu hoặc để thực hiện cuộc tấn công kỹ thuật xã hội . Kỹ thuật xã hội là biệt ngữ có nghĩa là lừa người tiết lộ mật khẩu của họ hoặc một số hình thức thông tin bảo mật.
  4. Lý do để vô hiệu hoá cài đặt chuyên biệt này

   Nếu cài đặt chuyên biệt này được kích hoạt, nó là không thể thành lập tín thác với tên miền Windows NT 4.0. cài đặt chuyên biệt này cũng gây ra các vấn đề với khách hàng xuống cấp (chẳng hạn như Windows NT 3.51 khách hàng và khách hàng Windows 95) đang cố gắng để sử dụng nguồn tài nguyên trên máy chủ.
  5. Tên biểu tượng:


   RestrictAnonymousSAM
  6. Đường dẫn đăng ký:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)
  7. Ví dụ về vấn đề tương hợp về sau
  • Khám phá mạng tin thư thoại SMS sẽ không thể có được thông tin hệ điều hành và sẽ viết "Không biết" trong các tài sản OperatingSystemNameandVersion.
  • Windows 95, Windows 98:Khách hàng Windows 95 và Windows 98 khách hàng sẽ không có thể thay đổi mật khẩu của họ.
  • Windows NT 4.0:Windows NT 4.0 dựa trên tài khoản của máy tính sẽ không thể được xác thực.
  • Windows 95, Windows 98:Máy tính dựa trên Windows 95 và Windows 98-based sẽ không thể được xác thực bởi bộ kiểm soát miền Microsoft.
  • Windows 95, Windows 98:Người dùng trên máy tính dựa trên Windows 95 và Windows 98-based sẽ không thể thay đổi mật khẩu cho tài khoản người dùng của họ.
 9. Mạng truy cập: không cho phép các liệt kê vô danh của SAM tài khoản và chia sẻ
  1. Nền
   • Các mạng truy cập: không cho phép các liệt kê vô danh của SAM tài khoản và chia sẻ thiết lập (cũng được gọi là RestrictAnonymous) xác định cho dù các liệt kê vô danh của tài khoản an ninh tài khoản quản lý (SAM) và chia sẻ được cho phép. Windows cho phép người dùng vô danh để thực hiện các hoạt động nhất định, chẳng hạn như liệt kê tên của tài khoản tên miền (người sử dụng, máy tính và nhóm) và mạng chia sẻ. Điều này là thuận tiện, ví dụ, khi một quản trị viên muốn cấp quyền truy cập cho người dùng trong một tên miền đáng tin cậy không duy trì một niềm tin đối ứng. Nếu bạn không muốn cho phép liệt kê vô danh của tài khoản SAM và cổ phần, cho phép thiết đặt này.
   • Trong Windows 2000, một thiết lập tương tự gọi là Các hạn chế bổ sung cho các kết nối chưa xác định người quản lý các
    RestrictAnonymous
    giá trị kiểm nhập. Vị trí của giá trị này là như sau:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
  2. Cấu hình nguy hiểm

   Cho phép các mạng truy cập: không cho phép các liệt kê vô danh của SAM tài khoản và chia sẻ thiết lập là một tập cấu hình có hại.
  3. Lý do để cho phép thiết đặt này
   • Cho phép các mạng truy cập: không cho phép các liệt kê vô danh của SAM tài khoản và chia sẻ thiết đặt ngăn liệt kê của SAM tài khoản và chia sẻ của người dùng và máy tính đang sử dụng tài khoản chưa xác định người.
  4. Lý do để vô hiệu hoá cài đặt chuyên biệt này
   • Nếu cài đặt chuyên biệt này được kích hoạt, một người sử dụng trái phép có thể nặc danh liệt kê tên tài khoản và sau đó sử dụng các thông tin để cố gắng để đoán mật khẩu hoặc để thực hiện cuộc tấn công kỹ thuật xã hội . Kỹ thuật xã hội là biệt ngữ có nghĩa là lừa người tiết lộ mật khẩu của họ hoặc một số hình thức thông tin bảo mật.
   • Nếu cài đặt chuyên biệt này được kích hoạt, nó sẽ không thể thành lập tín thác với tên miền Windows NT 4.0. cài đặt chuyên biệt này cũng sẽ gây ra vấn đề với khách hàng xuống cấp chẳng hạn như Windows 95 và Windows NT 3.51 khách hàng đang sử dụng tài nguyên trên máy chủ.
   • Nó sẽ không thể cấp quyền truy cập cho người dùng trong tên miền tài nguyên bởi vì quản trị viên thuộc phạm vi tin tưởng sẽ không thể liệt kê danh sách các tài khoản trong miền khác. Người sử dụng truy cập các tập tin và in máy chủ nặc danh sẽ không thể liệt kê các tài nguyên mạng chia sẻ trên các máy chủ. Những người sử dụng phải xác thực trước khi họ có thể xem danh sách các cặp dùng chung và máy in.
  5. Tên biểu tượng:

   RestrictAnonymous
  6. Đường dẫn đăng ký:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
  7. Ví dụ về vấn đề tương hợp về sau
   • Windows NT 4.0: Người dùng sẽ không thể thay đổi mật khẩu của họ từ Windows NT 4.0 máy trạm làm việc khi RestrictAnonymous được kích hoạt trên bộ kiểm soát miền trong tên miền của người dùng. Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    198941 Người dùng không thể thay đổi mật khẩu khi kí nhập
   • Windows NT 4.0:Thêm người dùng hoặc nhóm toàn cầu từ đáng tin cậy miền Windows 2000 lên miền Windows NT 4.0 địa phương nhóm trong quản lý người dùng sẽ không thành công, và thông báo lỗi sau sẽ xuất hiện:
    Hiện có không có kí nhập máy chủ có sẵn để phục vụ yêu cầu kí nhập.
    Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    296405 Giá trị kiểm nhập "RestrictAnonymous" có thể phá vỡ sự tin tưởng vào một tên miền Windows 2000
   • Windows NT 4.0:Windows NT 4.0-dựa máy tính sẽ không thể tham gia các tên miền trong khi thiết lập hoặc bằng cách sử dụng giao diện người dùng tham gia của tên miền.

    Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    184538 Thông báo lỗi: không tìm thấy một bộ điều khiển cho tên miền này
   • Windows NT 4.0:Thiết lập một niềm tin xuống cấp với Windows NT 4.0 resource tên miền sẽ không thành công. Thông báo lỗi sau sẽ xuất hiện khi RestrictAnonymous được kích hoạt trên tên miền đáng tin cậy:
    Không thể tìm thấy bộ kiểm soát miền cho vùng này.
    Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    178640 Không thể tìm thấy bộ kiểm soát miền khi thiết lập một sự tin tưởng
   • Windows NT 4.0:Người sử dụng kí nhập vào máy tính dựa trên Windows NT 4.0 máy chủ đầu cuối sẽ ánh xạ cho thư mục mặc định thay vì mục tin thư thoại được xác định trong người dùng quản lý cho các tên miền.

    Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    236185 thông tin người dùng thiết bị đầu cuối máy chủ và đường dẫn mục tin thư thoại nhà được bỏ qua sau khi áp dụng SP4 hoặc mới hơn
   • Windows NT 4.0:Bộ bộ kiểm soát miền sao lưu Windows NT 4.0 (BDCs) sẽ không thể để Bắt đầu bản ghi dịch vụ kí nhập mạng, có được một danh sách các trình duyệt sao lưu hoặc đồng bộ hóa bộ máy cơ sở dữ liệu SAM từ Windows 2000 hoặc từ bộ kiểm soát miền Windows Server 2003 trong cùng một tên miền.

    Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    293127 bản ghi dịch vụ kí nhập mạng của một Windows NT 4.0 BDC không hoạt động trong một tên miền Windows 2000
   • Windows 2000:Máy tính dựa trên Windows 2000 thành viên trong tên miền Windows NT 4.0 sẽ không thể xem máy in ở miền bên ngoài nếu cài đặt chuyên biệt không có truy cập nếu không có một cách rõ ràng chưa xác định người quyền được kích hoạt trong chính sách bảo mật cục bộ của máy tính khách hàng.

    Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    280329 Người dùng không thể quản lý hoặc xem thuộc tính máy in
   • Windows 2000:Windows 2000 tên miền người dùng sẽ không thể thêm máy in mạng từ Active Directory; Tuy nhiên, họ sẽ có thể để thêm máy in sau khi họ đã chọn chúng từ xem dạng cây.

    Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    318866 máy tính khách Outlook không thể xem danh sách địa chỉ toàn cầu sau khi bạn cài đặt chuyên biệt bảo mật Rollup gói 1 (SRP1) trên máy chủ toàn cầu cửa hàng
   • Windows 2000:Trên máy tính dựa trên Windows 2000, biên tập viên ACL sẽ không thể thêm người dùng hoặc nhóm toàn cầu từ tên miền đáng tin cậy của Windows NT 4.0.

    Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    296403 Giá trị RestrictAnonymous phá vỡ sự tin tưởng trong một môi trường hỗn hợp tên miền
   • ADMT Phiên bản 2:Di chuyển mật khẩu cho tài khoản người dùng được di chuyển giữa rừng với hoạt động mục tin thư thoại di chuyển công cụ (ADMT) phiên bản 2 sẽ không thành công.

    Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    322981 Làm thế nào để khắc phục sự cố di chuyển mật khẩu giữa rừng với ADMTv2
   • máy tính khách outlook:danh sách địa chỉ toàn cầu sẽ xuất hiện có sản phẩm nào cho khách hàng Microsoft Exchange Outlook.

    Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    318866 máy tính khách Outlook không thể xem danh sách địa chỉ toàn cầu sau khi bạn cài đặt chuyên biệt bảo mật Rollup gói 1 (SR) trên máy chủ toàn cầu cửa hàng
    321169 Hiệu suất SMB chậm khi bạn sao chép tập tin từ Windows XP lên bộ kiểm soát miền Windows 2000
   • Tin thư thoại SMS:Khám phá mạng Microsoft hệ thống quản lí máy chủ (SMS) sẽ không thể có được thông tin hệ điều hành. Vì vậy, nó sẽ viết "Không biết" trong các tài sản OperatingSystemNameandVersion tin thư thoại SMS DDR tài sản của khám phá bản ghi dữ liệu (DDR).

    Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    229769 Làm thế nào quản lý khám phá dữ liệu xác định khi nào thì tạo ra một khách hàng yêu cầu cấu hình
   • Tin thư thoại SMS: Khi bạn sử dụng thuật sĩ người dùng quản trị viên của tin thư thoại SMS để trình duyệt cho người dùng và nhóm, không có người dùng hoặc nhóm sẽ được liệt kê. Ngoài ra, nâng cao khách hàng không thể giao tiếp với độ quản lý. Chưa xác định người truy cập yêu cầu về độ quản lý.

    Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    302413 Không có người dùng hoặc nhóm được liệt kê trong thuật sỹ người dùng quản trị viên
   • Tin thư thoại SMS: Khi bạn đang sử dụng tính năng khám phá mạng trong SMS 2.0 và trong cài đặt chuyên biệt khách hàng từ xa với cấu trúc liên kết, khách hàng, và khách hàng hệ điều hành mạng lưới phát hiện bật, máy tính có thể được phát hiện nhưng có thể không được cài đặt chuyên biệt.

    Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    311257 Tài nguyên không phát hiện ra nếu chưa xác định người kết nối đã bị tắt
 10. An ninh mạng: Lan Manager xác thực cấp
  1. Nền

   Xác thực mạng LAN Manager (LM) là giao thức được sử dụng để xác thực khách hàng Windows cho mạng hoạt động, bao gồm cả tên miền tham gia, truy cập vào tài nguyên mạng, và xác thực người dùng hay máy tính. LM xác thực cấp xác định thách thức/phản ứng giao thức xác thực thương lượng giữa máy tính khách và máy chủ máy tính. Cụ thể, mức độ xác thực LM xác định những giao thức xác thực khách hàng sẽ cố gắng thương lượng hoặc máy chủ sẽ chấp nhận. Giá trị được thiết lập cho LmCompatibilityLevel xác định thách thức/phản ứng giao thức xác thực được sử dụng cho mạng logons. Giá trị này ảnh hưởng đến mức độ giao thức xác thực khách hàng sử dụng, mức độ bảo mật phiên đàm phán, và mức độ chấp nhận bởi máy chủ xác thực.

   Có thể cài đặt chuyên biệt bao gồm.
   Giá trịThiết lậpMô tả
   0 Gửi hồi đáp LM & NTLMKhách hàng sử dụng LM và NTLM xác thực và không bao giờ sử dụng NTLMv2 phiên giao dịch bảo mật. Bộ kiểm soát miền chấp nhận xác thực LM, NTLM, và NTLMv2.
   1Gửi LM & NTLM - sử dụng NTLMv2 phiên bảo mật nếu thương lượngKhách hàng sử dụng LM và NTLM xác thực, và sử dụng NTLMv2 phiên bảo mật nếu máy chủ hỗ trợ nó. Bộ kiểm soát miền chấp nhận xác thực LM, NTLM, và NTLMv2.
   2Gửi NTLM trả lời chỉKhách hàng sử dụng NTLM xác thực chỉ và sử dụng NTLMv2 phiên bảo mật nếu máy chủ hỗ trợ nó. Bộ kiểm soát miền chấp nhận xác thực LM, NTLM, và NTLMv2.
   3Gửi NTLMv2 trả lời chỉKhách hàng sử dụng NTLMv2 xác thực chỉ và sử dụng NTLMv2 phiên bảo mật nếu máy chủ hỗ trợ nó. Bộ kiểm soát miền chấp nhận xác thực LM, NTLM, và NTLMv2.
   4Gửi NTLMv2 phản ứng chỉ / từ chối LMKhách hàng sử dụng NTLMv2 xác thực chỉ và sử dụng NTLMv2 phiên bảo mật nếu máy chủ hỗ trợ nó. Bộ kiểm soát miền từ chối LM và chấp nhận chỉ NTLM và NTLMv2 xác thực.
   5Gửi NTLMv2 phản ứng chỉ / từ chối LM & NTLMKhách hàng sử dụng NTLMv2 xác thực chỉ và sử dụng NTLMv2 phiên bảo mật nếu máy chủ hỗ trợ nó. Bộ kiểm soát miền từ chối LM và NTLM và chấp nhận chỉ NTLMv2 xác thực.
   Lưu ý Trong Windows 95, Windows 98 và Windows 98 Second Edition, khách hàng bản ghi dịch vụ mục tin thư thoại sử dụng SMB ký khi nó authenticates với Windows Server 2003 máy chủ bằng cách sử dụng NTLM xác thực. Tuy nhiên, các khách hàng không sử dụng SMB ký kết khi họ xác thực với các máy chủ bằng cách sử dụng xác thực NTLMv2. Ngoài ra, máy chủ Windows 2000 không đáp ứng với SMB ký yêu cầu từ các khách hàng.

   Kiểm tra độ LM xác thực: Bạn phải thay đổi chính sách trên máy chủ cho phép NTLM, hoặc bạn phải cấu hình máy tính khách để hỗ trợ NTLMv2.

   Nếu các chính sách được đặt (5) NTLMv2 gửi phản ứng only\refuse LM & NTLM trên máy tính mục tiêu mà bạn muốn kết nối với, bạn phải hoặc thấp hơn cài đặt chuyên biệt trên máy tính đó hoặc thiết lập bảo mật để cùng cài đặt chuyên biệt trên máy tính nguồn bạn đang kết nối từ.

   Tìm thấy vị trí chính xác nơi bạn có thể thay đổi người quản lý mạng LAN xác thực cấp để thiết lập các khách hàng và máy chủ đến mức độ tương tự. Sau khi bạn tìm thấy chính sách đó là thiết lập mạng LAN quản lý mức độ xác thực, nếu bạn muốn kết nối đến và đi từ máy tính đang chạy phiên bản trước của Windows, giảm giá trị tối thiểu (1) gửi LM & NTLM - sử dụng NTLM Phiên bản 2 phiên bảo mật nếu thương lượng. Một hiệu ứng cài đặt chuyên biệt không tương hợp về sau là nếu máy chủ yêu cầu NTLMv2 (trị giá 5), nhưng các khách hàng được cấu hình để sử dụng LM và NTLMv1 duy nhất (giá trị 0), người sử dụng đã cố gắng xác thực kinh nghiệm một kí nhập thất bại mà có một mật khẩu xấu và rằng gia số số mật khẩu xấu. Nếu tài khoản lock-out được cấu hình, người sử dụng cuối cùng có thể được khóa ra.

   Ví dụ, bạn có thể cần phải nhìn vào bộ điều khiển tên miền, hoặc bạn có thể kiểm tra chính sách của bộ điều khiển tên miền.

   Nhìn vào bộ điều khiển tên miền

   Lưu ý Bạn có thể cần phải lặp lại các thủ tục sau đây trên tất cả các bộ điều khiển tên miền.
   1. Nhấp vào Bắt đầu, điểm đến chương trình, và sau đó nhấp vào Công cụ quản trị.
   2. Dưới Thiết đặt bảo mật cục bộ, mở rộng Chính sách địa phương.
   3. Nhấp vào tùy chọn bảo mật.
   4. Nhấp đúp vào an ninh mạng: mạng LAN quản lý xác thực cấp, và sau đó bấm vào một giá trị trong danh sách.

   Nếu các thiết lập có hiệu quả và các thiết lập địa phương đều giống nhau, các chính sách đã được thay đổi ở cấp độ này. Nếu các cài đặt chuyên biệt khác nhau, bạn phải kiểm tra của bộ điều khiển tên miền chính sách để xác định liệu các an ninh mạng: mạng LAN quản lý xác thực cấp thiết lập được xác định có. Nếu nó không được định nghĩa đó, kiểm tra chính sách của bộ điều khiển tên miền.

   Kiểm trabộ điều khiển tên miền chính sách
   1. Nhấp vào Bắt đầu, điểm đến chương trình, và sau đó nhấp vào Công cụ quản trị.
   2. Trong chính sách Bảo mật điều khiển tên miền , mở rộng Thiết đặt bảo mật, và sau đó mở rộng Chính sách địa phương.
   3. Nhấp vào tùy chọn bảo mật.
   4. Nhấp đúp vào an ninh mạng: mạng LAN quản lý xác thực cấp, và sau đó bấm vào một giá trị trong danh sách.

   Lưu ý
   • Bạn cũng có thể phải kiểm tra chính sách được liên kết ở cấp độ web site, ở cấp độ tên miền hoặc đơn vị tổ chức (OU) cấp để xác định nơi bạn phải đặt cấu hình độ xác thực quản lý mạng LAN.
   • Nếu bạn thực hiện một thiết lập chính sách nhóm chính sách tên miền mặc định, các chính sách được áp dụng cho tất cả các máy tính thuộc phạm vi.
   • Nếu bạn thực hiện một thiết lập chính sách nhóm như chính sách của bộ kiểm soát miền mặc định, chính sách chỉ áp dụng cho các máy chủ trong bộ kiểm soát miền OU.
   • Nó là một ý tưởng tốt để thiết lập mạng LAN quản lý mức độ xác thực trong các thực thể thấp nhất của các phạm vi cần thiết trong hệ thống phân cấp ứng dụng chính sách.

   Windows Server 2003 có một thiết lập mặc định mới để sử dụng NTLMv2 chỉ. theo mặc định, Windows Server 2003 và bộ điều khiển miền dựa trên Windows 2000 Server SP3 đã kích hoạt các "Microsoft mạng máy chủ: được kí theo số thức truyền thông (luôn luôn)" chính sách. Thiết đặt này đòi hỏi máy chủ SMB để thực hiện SMB gói đăng.Thay đổi đối với Windows Server 2003 đã được thực hiện bởi vì bộ điều khiển tên miền, máy chủ tập tin, Hệ phục vụ cơ sở hạ tầng mạng và Máy chủ Web trong bất kỳ tổ chức yêu cầu các cài đặt chuyên biệt khác nhau để tối đa hóa an ninh của họ.

   Nếu bạn muốn thực hiện NTLMv2 xác thực trong mạng của bạn, bạn phải đảm bảo rằng tất cả các máy tính trong vùng được thiết lập để sử dụng cấp độ xác thực này. Nếu bạn áp dụng hoạt động mục tin thư thoại khách hàng tiện ích mở rộng cho Windows 95 hoặc Windows 98 và Windows NT 4.0, Tiện ích mở rộng của khách hàng sử dụng các tính năng cải thiện xác thực mà có sẵn trong NTLMv2. Bởi vì khách hàng máy tính đang chạy bất kỳ hệ điều hành sau không bị ảnh hưởng bởi các đối tượng chính sách nhóm Windows 2000, bạn có thể phải tự cấu hình các khách hàng:
   • Microsoft Windows NT 4.0
   • Microsoft Windows Millennium Edition
   • Microsoft Windows 98
   • Microsoft Windows 95
   Lưu ý Nếu bạn sử các an ninh mạng: không lưu trữ mạng LAN quản lý giá trị băm vào thay đổi mật khẩu tiếp theo chính sách hoặc thiết lập khóa sổ kiểm nhập NoLMHash , dựa trên Windows 95 và Windows 98-dựa Máy sử dụng mà không có khách hàng bản ghi dịch vụ mục tin thư thoại cài đặt chuyên biệt không thể kí nhập để các tên miền sau khi một sự thay đổi mật khẩu.

   Nhiều bên thứ ba CIFS máy chủ, chẳng hạn như Novell Netware 6, không phải là nhận thức của NTLMv2 và sử dụng NTLM chỉ. Do đó, mức độ lớn hơn 2 cho phép các kết nối. Cũng có khách hàng SMB bên thứ ba không sử dụng bảo mật mở rộng phiên. Trong những trường hợp này, LmCompatiblityLevel của các máy chủ tài nguyên không được đưa vào xem xét. Hệ phục vụ sau đó gói lên yêu cầu di sản này và gửi nó với bộ điều khiển tên miền người dùng. Các cài đặt chuyên biệt trên bộ điều khiển tên miền sau đó quyết định những gì hashes được sử dụng để xác minh yêu cầu và cho dù đây đáp ứng yêu cầu bảo mật điều khiển tên miền.

   Để biết thêm chi tiết về làm thế nào để cấu hình mạng LAN quản lý xác thực cấp, nhấp vào số bài viết sau để xem các bài viết trong cơ sở kiến thức Microsoft:
   147706 Làm thế nào để vô hiệu hóa LM xác thực Windows NT
   175641 LMCompatibilityLevel và các hiệu ứng
   299656 Làm thế nào để ngăn chặn Windows từ lưu trữ một băm quản lý mạng LAN của mật khẩu trong Thư mục Họat động và SAM địa phương bộ máy cơ sở dữ liệu
   312630 Outlook tiếp tục nhắc bạn cho ủy nhiệm kí nhập
   2701704Kiểm tra sự kiện cho thấy xác thực gói như NTLMv1 thay vì NTLMv2
   Để biết thêm chi tiết về LM xác thực cấp, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
   239869 Làm thế nào để cho phép NTLM 2 xác thực
  2. Cấu hình nguy hiểm

   Sau đây là các cài đặt chuyên biệt cấu hình có hại:
   • Nonrestrictive cài đặt chuyên biệt mà gửi mật khẩu trong cleartext và mà từ chối đàm phán NTLMv2
   • Thiết lập hạn chế ngăn chặn không tương hợp về sau khách hàng hoặc bộ bộ kiểm soát miền đàm phán một giao thức xác thực phổ biến
   • Yêu cầu NTLMv2 xác thực trên tài khoản của máy tính và bộ bộ kiểm soát miền đang chạy phiên bản của Windows NT 4.0 là sớm hơn Service Pack 4 (SP4)
   • Yêu cầu xác thực NTLMv2 khách hàng Windows 95 hoặc Windows 98 khách hàng mà không có khách hàng bản ghi dịch vụ mục tin thư thoại Windows được cài đặt chuyên biệt.
   • Nếu bạn bấm để chọn hộp kiểm yêu cầu NTLMv2 phiên bảo mật trong các Microsoft trình chỉnh sửa chính sách nhóm giao diện điều khiển quản lý snap-in trên một Windows Server 2003 hoặc máy tính chạy Windows 2000 Service Pack 3, và bạn làm giảm mức độ xác thực quản lý mạng LAN 0, hai thiết lập xung đột, và bạn có thể nhận được thông báo lỗi sau trong tập tin Secpol.msc hoặc tập tin GPEdit.msc:
    Windows không thể mở bộ máy cơ sở dữ liệu chính sách cục bộ. Một lỗi không xác định xảy ra khi cố gắng mở bộ máy cơ sở dữ liệu.
    Để biết thêm chi tiết về cấu hình bảo mật và công cụ phân tích, xem Windows 2000 hoặc Windows Server 2003 giúp các tập tin.

    Để biết thêm chi tiết về làm thế nào để phân tích mức bảo mật trên Windows 2000 và Windows Server 2003, hãy nhấp vào số bài viết sau để xem các bài viết trong cơ sở kiến thức Microsoft:
    313203 Làm thế nào để phân tích an ninh hệ thống trong Windows 2000
    816580 Làm thế nào để phân tích an ninh hệ thống trong Windows Server 2003
  3. Lý do để sửa đổi cài đặt chuyên biệt này
   • Bạn muốn để tăng giao thức xác thực phổ biến thấp nhất được hỗ trợ bởi khách hàng và bộ kiểm soát miền trong tổ chức của bạn.
   • Nơi an toàn xác thực là một yêu cầu bản ghi dịch vụ doanh nhân, bạn muốn không cho phép các đàm phán của LM và các giao thức NTLM.
  4. Lý do để vô hiệu hoá cài đặt chuyên biệt này

   Khách hàng hoặc máy chủ xác thực yêu cầu, hoặc cả hai, đã được tăng lên đến độ nơi xác thực qua một giao thức phổ biến không thể xảy ra.
  5. Tên biểu tượng:

   LmCompatibilityLevel
  6. Đường dẫn đăng ký:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
  7. Ví dụ về vấn đề tương hợp về sau
   • Windows Server 2003:theo mặc định, các phản ứng Windows Server 2003 NTLMv2 gửi NTLM thiết lập được kích hoạt. Vì vậy, Windows Server 2003 nhận được thông báo lỗi "Truy cập từ chối" sau khi cài đặt chuyên biệt ban đầu khi bạn cố gắng để kết nối một cụm dựa trên Windows NT 4.0, với LanManager V2.1 dựa trên máy chủ, chẳng hạn như OS/2 Lanserver. Vấn đề này cũng xảy ra nếu bạn cố gắng kết nối từ một máy tính khách Phiên bản trước đó với một máy chủ Dựa trên Windows Server 2003.
   • Bạn cài đặt chuyên biệt Windows 2000 an ninh Rollup gói 1 (SRP1).SRP1 lực lượng NTLM Phiên bản 2 (NTLMv2). Gói này được phát hành sau khi phát hành Windows 2000 Service Pack 2 (SP2). Để biết thêm chi tiết về SRP1, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

    311401 Windows 2000 an ninh gói 1, tháng 1 năm 2002
   • Windows 7 và Windows Server 2008 R2: nhiều bên thứ ba CIFS máy chủ, chẳng hạn như Novell Netware 6 hoặc dựa trên Linux Samba Server, không phải là nhận thức của NTLMv2 và sử dụng NTLM chỉ. Do đó, mức độ lớn hơn "2" cho phép các kết nối. Bây giờ trong phiên bản này của hệ điều hành, mặc định cho LmCompatibilityLevel được đổi thành "3". Vì vậy khi bạn nâng cấp Windows, các filers bên thứ ba có thể ngừng hoạt động.
   • Khách hàng Microsoft Outlook có thể được nhắc cho thông tin kí nhập ngay cả khi họ đã kí nhập vào tên miền. Khi người dùng cung cấp thông tin kí nhập của họ, họ nhận được thông báo lỗi sau: Windows 7 và Windows Server 2008 R2
    Ủy nhiệm kí nhập được cung cấp là không chính xác. Hãy chắc chắn rằng tên người dùng và tên miền của bạn là chính xác, sau đó gõ lại mật khẩu của bạn.
    Khi bạn Bắt đầu Outlook, bạn có thể được nhắc cho thông tin kí nhập của bạn ngay cả khi thiết lập an ninh mạng kí nhập của bạn đặt Passthrough hoặc xác thực mật khẩu. Sau khi bạn nhập ủy nhiệm của bạn đúng, bạn có thể nhận được thông báo lỗi sau:
    Thông tin kí nhập được cung cấp là không chính xác.
    Một dấu kiểm vết mạng màn hình có thể hiển thị các cửa hàng toàn cầu phát hành một thủ tục từ xa (RPC) cuộc gọi lỗi với trạm đậu 0x5. Một trạm đậu của 0x5 có nghĩa là "Truy cập chối."
   • Windows 2000:Chụp màn hình mạng có thể hiển thị các lỗi sau đây trong các NetBIOS trên TCP/IP (NetBT) máy chủ tin thư thoại chặn (SMB) phiên:
    SMB R tìm mục tin thư thoại Dos lỗi, định danh người dùng không hợp lệ (91) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (5)
   • Windows 2000: Nếu một tên miền Windows 2000 với NTLMv2 cấp độ 2 hoặc cao hơn là đáng tin cậy của một tên miền Windows NT 4.0, máy tính dựa trên Windows 2000 thành viên thuộc phạm vi tài nguyên có thể gặp lỗi xác thực.

    Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    305379 Vấn đề xác thực trong Windows 2000 với NTLM 2 trình độ trên 2 trong một tên miền Windows NT 4.0
   • Windows 2000 và Windows XP:theo mặc định, Windows 2000 và Windows XP thiết lập tùy chọn mạng LAN Manager xác thực cấp địa phương chính sách bảo mật-0. Một thiết lập của 0 có nghĩa là "gửi LM và NTLM responses."

    Lưu ý Windows NT 4.0 dựa trên cụm phải sử dụng LM cho chính quyền.
   • Windows 2000: Windows 2000 cụm không xác thực một nút chọn một tham gia nếu cả hai nút chọn một là một phần của một gói bản ghi dịch vụ Windows NT 4.0 6a (SP6a) tên miền.

    Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    305379 Vấn đề xác thực trong Windows 2000 với NTLM 2 trình độ trên 2 trong một tên miền Windows NT 4.0
   • Công cụ Lockdown IIS (HiSecWeb) thiết lập giá trị LMCompatibilityLevel 5 và giá trị RestrictAnonymous 2.
   • bản ghi dịch vụ cho Macintosh

    Người sử dụng xác thực Module (UAM): Microsoft UAM (mô-đun xác thực người sử dụng) cung cấp một phương pháp để mã hóa mật khẩu mà bạn sử dụng để kí nhập vào máy chủ Windows AFP (AppleTalk Filing Protocol). Apple người dùng xác thực mô-đun (UAM) cung cấp chỉ tối thiểu hoặc không mật mã hoá. Do đó, mật khẩu của bạn một cách dễ dàng có thể được ngăn chặn trên mạng LAN hoặc trên Internet. Mặc dù UAM là không cần thiết, nó cung cấp mã hóa xác thực cho máy chủ Windows 2000 có thể chạy bản ghi dịch vụ cho Macintosh. Phiên bản này bao gồm hỗ trợ cho NTLMv2 128-bit được mã hóa xác thực và một bản phát hành tương hợp về sau với 10,1 MacOS X.

    theo mặc định, Windows Server 2003 bản ghi dịch vụ cho Macintosh server cho phép chỉ Microsoft Authentication.

    Để biết thêm chi tiết, nhấp vào số bài viết sau để xem các bài viết trong cơ sở kiến thức Microsoft:
    834498 Macintosh khách hàng không thể kết nối với các bản ghi dịch vụ cho Mac trên Windows Server 2003
    838331 hệ điều hành Mac OS X người dùng không thể mở Macintosh chia sẻ mục tin thư thoại trên một Windows Server 2003 dựa trên máy chủ
   • Windows Server 2008, Windows Server 2003, Windows XP, và Windows 2000: Nếu bạn cấu hình giá trị LMCompatibilityLevel để là 0 hoặc 1 và sau đó cấu hình giá trị NoLMHash phải 1, ứng dụng và các phụ kiện có thể bị từ chối truy cập thông qua NTLM. Vấn đề này xảy ra bởi vì máy tính được cấu hình để cho phép LM nhưng không sử dụng mật khẩu lưu trữ LM.

    Nếu bạn cấu hình giá trị NoLMHash phải 1, bạn phải đặt cấu hình giá trị LMCompatibilityLevel phải 2 hoặc cao hơn.
 11. An ninh mạng: LDAP khách hàng ký yêu cầu
  1. Nền

   Các an ninh mạng: LDAP khách hàng ký yêu cầu thiết lập xác định mức độ kí nhập dữ liệu được yêu cầu thay mặt cho khách hàng rằng vấn đề nhẹ Directory Access Protocol (LDAP) BIND yêu cầu như sau:
   • Không: The LDAP liên kết yêu cầu được phát hành với các tùy chọn xác định người gọi.
   • Thương lượng ký: nếu Secure Sockets lớp/vận chuyển lớp mật (SSL/TLS) đã không được Bắt đầu, yêu cầu LDAP giới hạn trên được khởi xướng với dữ liệu LDAP ký tùy chọn thiết lập ngoài ra để lựa chọn người gọi chỉ định. Nếu SSL/TLS đã được Bắt đầu, yêu cầu LDAP giới hạn trên Bắt đầu với các tùy chọn xác định người gọi.
   • Yêu cầu kí nhập: điều này giống như thương lượng kí nhập. Tuy nhiên, nếu máy chủ LDAP trung gian saslBindInProgress phản ứng không chỉ ra rằng LDAP lưu lượng truy cập kí nhập được yêu cầu, người gọi nói rằng yêu cầu lệnh LDAP giới hạn trên thất bại.
  2. Cấu hình nguy hiểm

   Cho phép các an ninh mạng: LDAP khách hàng ký yêu cầu thiết lập là một tập cấu hình có hại. Nếu bạn thiết lập hệ phục vụ LDAP chữ ký yêu cầu, bạn cũng phải cấu hình LDAP ký trên máy tính khách. Không cấu hình khách hàng sử dụng chữ ký LDAP sẽ ngăn chặn giao tiếp với máy chủ. Điều này gây ra xác thực người dùng, chính sách nhóm cài đặt chuyên biệt, kịch bản kí nhập, và các tính năng khác để thất bại.
  3. Lý do để sửa đổi cài đặt chuyên biệt này

   Điều mạng lưới giao thông là dễ bị tấn công người đàn ông ở giữa nơi một kẻ xâm nhập bắt gói tin giữa khách hàng và các máy chủ, sửa đổi chúng, và sau đó chuyển chúng vào hệ phục vụ. Khi điều này xảy ra trên một máy chủ LDAP, kẻ tấn công có thể gây ra một máy chủ để đáp ứng dựa trên các truy vấn sai từ khách hàng LDAP. Bạn có thể làm giảm nguy cơ này trong một mạng công ty bằng cách thực hiện các biện pháp bảo mật vật lý mạnh mẽ để giúp bảo vệ cơ sở hạ tầng mạng. Ngoài ra, bạn có thể giúp ngăn chặn tất cả các loại người đàn ông ở giữa cuộc tấn công bằng cách yêu cầu kỹ thuật số chữ ký trên tất cả các gói dữ liệu mạng bằng phương tiện thông tin thư xác thực IPSec.
  4. Tên biểu tượng:

   LDAPClientIntegrity
  5. Đường dẫn đăng ký:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
 12. Sự kiện đăng nhập: Kích cỡ sổ ghi bảo mật tối đa
  1. Nền

   Các sự kiện đăng nhập: kích cỡ sổ ghi bảo mật tối đa cài đặt chuyên biệt bảo mật xác định kích thước tối đa của sổ ghi sự kiện an ninh. Sổ ghi này có kích thước tối đa 4 GB. Để xác định vị trí cài đặt chuyên biệt này, mở rộng Thiết đặt Windows, và sau đó mở rộng Thiết đặt bảo mật.
  2. Cấu hình nguy hiểm

   Sau đây là các cài đặt chuyên biệt cấu hình có hại:
   • Hạn chế kích cỡ sổ ghi bảo mật và phương thức duy trì bảo mật kí nhập khi các kiểm toán: tắt hệ thống ngay lập tức nếu không thể kí nhập an ninh kiểm tra cài đặt chuyên biệt được kích hoạt. Xem các "kiểm toán: tắt hệ thống ngay lập tức nếu không thể kí nhập kiểm tra an ninh" phần của bài viết này cho biết thêm chi tiết.
   • Hạn chế kích cỡ sổ ghi bảo mật để cho sự kiện an ninh quan tâm được ghi đè.
  3. Lý do để tăng thiết đặt này

   Yêu cầu kinh doanh và bảo mật có thể chỉ ra rằng bạn tăng kích cỡ sổ ghi bảo mật để xử lý các chi tiết kí nhập an ninh bổ sung hoặc giữ lại bản ghi bảo mật cho một thời gian dài.
  4. Lý do để làm giảm các thiết đặt này

   Sự kiện người xem bản ghi có bộ nhớ ánh xạ tập tin. Kích thước tối đa của một Nhật ký sự kiện đã được cố định bởi số lượng các bộ nhớ vật lý vào máy tính cục bộ và bộ nhớ ảo dành cho quá trình ghi sự kiện. Tăng kích thước kí nhập vượt quá số lượng bộ nhớ ảo dành cho trình Trình xem sự kiện không tăng số lượng các mục Nhật ký được duy trì.
  5. Ví dụ về vấn đề tương hợp về sau

   Windows 2000:Máy tính đang chạy phiên bản Windows 2000 sớm hơn so với Service Pack 4 (SP4) có thể ngừng ghi nhật ký sự kiện trong trường hợp kí nhập trước khi đạt kích thước được quy định trong các thiết lập tối đa kí nhập kích thước trong trình Trình xem sự kiện Nếu tùy chọn không ghi đè lên sự kiện (rõ ràng kí nhập theo cách thủ công) được bật.

   Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
   312571 Sổ ghi sự kiện dừng ghi nhật ký sự kiện trước khi đạt kích thước tối đa kí nhập
 13. Sự kiện đăng nhập: Duy trì sổ ghi bảo mật
  1. Nền

   Các sự kiện đăng nhập: duy trì sổ ghi bảo mật cài đặt chuyên biệt bảo mật xác định phương pháp "gói" cho sổ ghi bảo mật. Để xác định vị trí cài đặt chuyên biệt này, mở rộng Thiết đặt Windows, và sau đó mở rộng Thiết đặt bảo mật.
  2. Cấu hình nguy hiểm

   Sau đây là các cài đặt chuyên biệt cấu hình có hại:
   • Không thể giữ lại tất cả ghi nhật ký sự kiện an ninh trước khi họ được ghi đè
   • Cấu hình tối đa kích cỡ sổ ghi bảo mật thiết lập quá nhỏ để cho sự kiện an ninh được ghi đè
   • Hạn chế việc bảo mật kí nhập kích thước và duy trì phương pháp trong khi các kiểm toán: tắt hệ thống ngay lập tức nếu không thể kí nhập an ninh kiểm tra cài đặt chuyên biệt bảo mật được kích hoạt
  3. Lý do để cho phép thiết đặt này

   Cho phép thiết đặt này chỉ khi bạn chọn phương pháp lưu giữ ghi đè lên các sự kiện của ngày . Nếu bạn sử dụng một hệ thống tương quan sự kiện cuộc thăm dò cho các sự kiện, hãy chắc chắn rằng số ngày là ít nhất là ba lần tần số thăm dò ý kiến. Làm điều này để cho phép cho chu kỳ thăm dò ý kiến không thành công.
 14. Mạng truy cập: Hãy để tất cả mọi người quyền áp dụng cho người dùng vô danh
  1. Nền

   theo mặc định, các mạng truy cập: để cho mọi người quyền áp dụng cho người dùng vô danh thiết lập được thiết lập để Không định nghĩa trên Windows Server 2003. theo mặc định, Windows Server 2003 không bao gồm mã thông báo chưa xác định người truy cập trong tất cả mọi người trong nhóm.
  2. Ví dụ về vấn đề tương hợp về sau

   Giá trị sau của
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
   [REG_DWORD] = 0x0 phá vỡ thành lập sự tin tưởng giữa Windows Server 2003 và Windows NT 4.0, khi tên miền Windows Server 2003 là tên miền tài khoản và tên miền Windows NT 4.0 là tên miền tài nguyên. Điều này có nghĩa rằng miền tài khoản là đáng tin cậy trên Windows NT 4.0 và tên miền tài nguyên là tưởng bên Windows Server 2003. Hành vi này xảy ra bởi vì trình để Bắt đầu sự tin tưởng sau khi kết nối vô danh ban đầu là ACL nào với mọi người mã thông báo bao gồm SID vô danh trên Windows NT 4.0.
  3. Lý do để sửa đổi cài đặt chuyên biệt này

   Giá trị phải được thiết lập để 0x1 hoặc thiết lập bằng cách sử dụng một GPO trên bộ điều khiển tên miền OU là: mạng truy cập: để cho mọi người quyền áp dụng cho người dùng vô danh - cho phép để làm cho sáng tạo sự tin tưởng có thể.

   Lưu ý Hầu hết các thiết đặt bảo mật đi lên trong giá trị thay vì xuống 0x0 ở trạm đậu đặt bảo đảm của họ. Một thực hành an toàn hơn sẽ là để thay đổi sổ kiểm nhập trên giả lập điều khiển tên miền chính thay vì trên tất cả các bộ điều khiển tên miền. Nếu vai trò giả lập điều khiển tên miền chính được di chuyển vì lý do nào, sổ kiểm nhập phải được Cập Nhật trên máy chủ mới.

   Khởi động lại là bắt buộc sau khi giá trị này được thiết lập.
  4. kiểm nhập đường dẫn
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
 15. NTLMv2 xác thực

  1. Phiên làm việc an ninh

   Phiên làm việc an ninh sẽ xác định các tiêu chuẩn bảo mật tối thiểu cho khách hàng và máy chủ phiên. Nó là một ý tưởng tốt để kiểm tra các thiết lập chính sách bảo mật sau đây trong soạn chính sách nhóm Microsoft Management Console snap-in:
   • Máy tính Settings\Windows Settings\Security Policies Policies\Security lựa chọn
   • An ninh mạng: Tối thiểu phiên an ninh cho máy chủ NTLM SSP dựa (bao gồm cả an toàn RPC)
   • An ninh mạng: Tối thiểu phiên bảo mật cho khách hàng NTLM SSP dựa (bao gồm cả an toàn RPC)
   Các tùy chọn cho các cài đặt chuyên biệt này là như sau:
   • Yêu cầu thông báo tính toàn vẹn
   • Yêu cầu thông báo bảo mật
   • Đòi hỏi NTLM Phiên bản 2 phiên an ninh
   • Yêu cầu mã hóa 128-bit
   cài đặt chuyên biệt mặc định trước khi Windows 7 là không có yêu cầu. Bắt đầu với Windows 7, mặc định thay đổi để mã hóa yêu cầu 128-bit cho cải thiện an ninh. Với mặc định này, kế thừa các thiết bị không hỗ trợ mã hóa 128-bit sẽ không thể kết nối.

   Các chính sách này xác định các tiêu chuẩn bảo mật tối thiểu cho một phiên ứng dụng ứng dụng truyền thông trên một máy chủ cho một khách hàng.

   Trong lịch sử, Windows NT đã hỗ trợ hai phiên bản sau của thách thức/phản ứng xác thực cho mạng logons:
   • LM thách thức/phản ứng
   • NTLM Phiên bản 1 thách thức/phản ứng
   LM cho phép khả năng tương tác với các cơ sở cài đặt chuyên biệt của khách hàng và máy chủ. NTLM cung cấp cải tiến bảo mật cho kết nối giữa khách hàng và máy chủ.

   Khóa registry tương ứng là như sau:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"
  2. Cấu hình nguy hiểm

   Thiết đặt này điều khiển cách mạng buổi bảo đảm sử dụng NTLM sẽ được xử lý. Điều này ảnh hưởng đến dựa trên RPC buổi xác thực với NTLM, ví dụ. Có những rủi ro sau đây:
   • Làm không đăng thông tin liên hệ (toàn vẹn) cho các giao tiếp dễ bị tổn thương để sửa đổi trên dây.
   • Làm không mật mã hóa thông tin liên hệ (bảo mật) cho các giao tiếp dễ bị tổn thương để kiểm tra trên dây.
   • Sử dụng phương pháp xác thực lớn hơn NTLMv2 làm cho các giao tiếp dễ dàng hơn để tấn công do các phương pháp hashing đơn giản được sử dụng.
   • Sử dụng khoá mật mã hoá thấp hơn 128-bit cho phép kẻ tấn công để phá vỡ giao tiếp bằng cách sử dụng brute-lực tấn công.

Đồng bộ hóa thời gian

Thời gian đồng bộ hóa không thành công. Đó là tắt theo nhiều hơn 30 phút trên một máy tính bị ảnh hưởng. Hãy chắc chắn rằng máy tính khách hàng đồng hồ được đồng bộ hoá với đồng hồ của bộ điều khiển tên miền.

Workaround để SMB ký

Click vào đây để biết thông tin về làm thế nào để làm việc xung quanh vấn đề SMB ký
Chúng tôi đề nghị bạn cài đặt chuyên biệt gói bản ghi dịch vụ 6a (SP6a) trên máy sử dụng của Windows NT 4.0 interoperate trong một miền dựa trên Windows Server 2003. Windows 98 Second Edition dựa trên khách hàng, khách hàng dựa trên Windows 98, và dựa trên Windows 95 khách hàng phải chạy khách hàng bản ghi dịch vụ mục tin thư thoại để thực hiện NTLMv2. Nếu Windows NT 4.0 dựa trên khách hàng không có Windows NT 4.0 SP6 cài đặt chuyên biệt hoặc nếu khách hàng dựa trên Windows 95, khách hàng dựa trên Windows 98 và Windows 98SE dựa trên khách hàng làm không có khách hàng bản ghi dịch vụ mục tin thư thoại cài, vô hiệu hóa SMB kí nhập của bộ kiểm soát miền mặc định chính sách thiết đặt trên bộ điều khiển tên miền OU, và sau đó liên kết chính sách này để anh tất cả lưu trữ bộ kiểm soát miền.

mục tin thư thoại bản ghi dịch vụ khách hàng cho Windows 98 Second Edition, Windows 98 và Windows 95 sẽ thực hiện SMB ký kết với các máy chủ Windows 2003 theo NTLM xác thực, nhưng không theo NTLMv2 xác thực. Ngoài ra, máy chủ Windows 2000 sẽ không đáp ứng với SMB ký yêu cầu từ các khách hàng.

Mặc dù chúng tôi không khuyên bạn nên nó, bạn có thể ngăn chặn SMB ký kết từ được yêu cầu trên tất cả các bộ kiểm soát miền đó chạy Windows Server 2003 trong một tên miền. Để đặt cấu hình cài đặt chuyên biệt bảo mật này, hãy làm theo các bước sau:
 1. Mở của bộ kiểm soát miền mặc định chính sách.
 2. Mở mục tin thư thoại Máy tính Configuration\Windows Settings\Security Policies Policies\Security tùy chọn .
 3. Xác định vị trí và sau đó nhấp vào các Microsoft mạng máy chủ: được kí theo số thức truyền thông (luôn luôn) cài đặt chuyên biệt chính sách, và sau đó bấm Khuyết tật.
Quan trọng Phần, phương pháp, hoặc công việc có bước mà cho bạn biết làm thế nào để sửa đổi sổ kiểm nhập. Tuy nhiên, vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi registry không chính xác. Vì vậy, hãy chắc chắn rằng bạn làm theo các bước sau một cách cẩn thận. Để bảo vệ bổ sung, sao lưu sổ kiểm nhập trước khi bạn sửa đổi nó. Sau đó, bạn có thể khôi phục sổ kiểm nhập nếu một vấn đề xảy ra. Để biết thêm chi tiết về làm thế nào để sao lưu và khôi phục sổ kiểm nhập, hãy nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
322756 Làm thế nào để sao lưu và khôi phục sổ kiểm nhập trong Windows
Ngoài ra, hãy tắt SMB đăng trên máy chủ bằng cách sửa đổi sổ kiểm nhập. Để làm điều này, hãy làm theo các bước sau:
 1. Nhấp vào Bắt đầu, bấm chạy, loại regedit, và sau đó nhấp vào OK.
 2. Xác định vị trí và sau đó nhấp vào khoá con sau:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters
 3. Nhấp vào mục enablesecuritysignature .
 4. Trên menu chỉnh sửa , bấm sửa đổi.
 5. Trong các dữ liệu có giá trị hộp, gõ 0, và sau đó nhấp vào OK.
 6. Thoát khỏi Registry Editor.
 7. Khởi động lại máy tính, hoặc tắt máy và sau đó khởi động lại bản ghi dịch vụ máy chủ. Để làm điều này, gõ lệnh sau tại dấu kiểm nhắc lệnh, và sau đó nhấn Enter sau khi bạn gõ mỗi lệnh:
  net ngừng máy chủ
  net Bắt đầu máy chủ
Lưu ý Phím tương ứng trên máy tính khách hàng là trong registry subkey sau đây:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters
Dưới đây liệt kê dịch lỗi mã số mã trạm đậu và các thông báo lỗi đúng nguyên văn được đề cập trước đó:
lỗi 5
ERROR_ACCESS_DENIED
Truy cập bị từ chối.
lỗi 1326
ERROR_LOGON_FAILURE
kí nhập thất bại: người dùng không biết tên hoặc mật khẩu xấu.
lỗi 1788
ERROR_TRUSTED_DOMAIN_FAILURE
Mối quan hệ tin cậy giữa vùng chính và miền đáng tin cậy thất bại.
lỗi 1789
ERROR_TRUSTED_RELATIONSHIP_FAILURE
Mối quan hệ tin cậy giữa máy trạm này và tên miền chính không thành công.
Để biết thêm chi tiết, nhấp vào số bài viết sau để xem các bài viết trong cơ sở kiến thức Microsoft:
324802 Làm thế nào để cấu hình chính sách nhóm để đặt bảo mật cho các bản ghi dịch vụ hệ thống trong Windows Server 2003
306771 Thông báo lỗi "Truy cập bị từ chối" sau khi bạn cấu hình một cụm Windows Server 2003
101747 Làm thế nào để cài đặt chuyên biệt Microsoft xác thực trên một Macintosh
161372 Làm thế nào để kích hoạt SMB kí nhập Windows NT
236414 Không thể sử dụng chia sẻ với LMCompatibilityLevel đặt để chỉ NTLM 2 xác thực
241338 Quản lý mạng LAN Windows NT Phiên bản 3 khách hàng với kí nhập đầu tiên ngăn chặn hoạt động kí nhập tiếp theo
262890 Không thể nhận được kết nối ổ đĩa mục tin thư thoại trong một môi trường hỗn hợp
308580 cặp trang nhà ánh xạ để xuống cấp máy chủ có thể không làm việc trong thời gian kí nhập
285901 truy nhập từ xa, VPN và RIS khách hàng không thể thiết lập phiên họp với một máy chủ được cấu hình để chấp nhận chỉ NTLM xác thực Phiên bản 2
816585 Làm thế nào để áp dụng mẫu bảo mật được xác định trước trong Windows Server 2003
820281 Bạn phải cung cấp thông tin kí nhập tài khoản Windows khi bạn kết nối với Exchange Server 2003 bằng cách sử dụng Outlook 2003 RPC qua HTTP tính năng
người dùng phải bảo mật thiết lập ột khả năng tương hợp về sau kiểm nhập an toàn nhóm chính sách acl quyền gpedit pdce

Cảnh báo: Bài viết này được dịch tự động

Властивості

Ідентифікатор статті: 823659 – останній перегляд: 10/09/2013 07:49:00 – виправлення: 8.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Workstation 4.0 Developer Edition, Microsoft Windows 98 Standard Edition, Microsoft Windows 95

 • kbinfo kbmt KB823659 KbMtvi
Зворотний зв’язок