Các sự cố về máy khách, dịch vụ và chương trình có thể xảy ra nếu bạn thay đổi cài đặt bảo mật và gán quyền người dùng

Windows XP

Để tăng khả năng nhận biết về cài đặt bảo mật bị đặt cấu hình sai, hãy sử dụng công chính sách nhóm cụ Trình soạn thảo Đối tượng để thay đổi cài đặt bảo mật. Khi bạn sử dụng Chính sách nhóm đối tượng, gán quyền người dùng được nâng cao trên các hệ điều hành sau:

• Windows XP Professional Gói Dịch vụ 2 (SP2)

• Windows Server 2003 Gói Dịch vụ 1 (SP1)

Tính năng nâng cao là hộp thoại có chứa liên kết đến bài viết này. Hộp thoại xuất hiện khi bạn thay đổi cài đặt bảo mật hoặc gán quyền người dùng cho thiết đặt cung cấp khả năng tương thích ít hơn và hạn chế hơn. Nếu bạn thay đổi trực tiếp cùng một thiết đặt bảo mật hoặc gán quyền người dùng bằng cách sử dụng sổ đăng ký hoặc bằng cách sử dụng mẫu bảo mật, hiệu ứng sẽ giống như thay đổi cài đặt trong Trình soạn chính sách nhóm tượng. Tuy nhiên, hộp thoại chứa nối kết đến bài viết này không xuất hiện.

Bài viết này chứa ví dụ về máy khách, chương trình và hoạt động bị ảnh hưởng bởi cài đặt bảo mật cụ thể hoặc gán quyền người dùng. Tuy nhiên, các ví dụ không có thẩm quyền đối với tất cả các hệ điều hành Microsoft, cho tất cả các hệ điều hành bên thứ ba hoặc cho tất cả các phiên bản chương trình bị ảnh hưởng. Không phải tất cả các cài đặt bảo mật và gán quyền người dùng đều được bao gồm trong bài viết này.

Chúng tôi khuyên bạn nên xác thực tính tương thích của tất cả các thay đổi cấu hình liên quan đến bảo mật trong rừng thử nghiệm trước khi bạn giới thiệu chúng trong môi trường sản xuất. Rừng thử nghiệm phải phản chiếu rừng sản xuất theo những cách sau đây:

• Phiên bản hệ điều hành của máy khách và máy chủ, chương trình máy khách và máy chủ, phiên bản gói dịch vụ, cập nhật nóng, thay đổi sơ đồ, nhóm bảo mật, tư cách thành viên nhóm, quyền đối với các đối tượng trong hệ thống tệp, thư mục dùng chung, sổ đăng ký, dịch vụ thư mục Active Directory, cài đặt cục bộ và chính sách nhóm, loại và vị trí đếm đối tượng

• Các tác vụ quản trị được thực hiện, công cụ quản trị được sử dụng và hệ điều hành được sử dụng để thực hiện các tác vụ quản trị

• Các thao tác được thực hiện, chẳng hạn như sau:

  • Xác thực đăng nhập người dùng và máy tính

  • Người dùng, máy tính và người quản trị đặt lại mật khẩu

  • Duyệt

  • Thiết đặt quyền cho hệ thống tệp, đối với các thư mục dùng chung, cho sổ đăng ký và đối với các tài nguyên Active Directory bằng cách sử dụng Trình soạn thảo ACL trong tất cả các hệ điều hành máy khách trong tất cả các miền tài khoản hoặc tài nguyên từ tất cả các hệ điều hành máy khách từ tất cả các miền tài khoản hoặc tài nguyên

  • In từ tài khoản quản trị và không quản trị

Windows Server 2003 SP1

Quyền của người dùng

Danh sách sau đây mô tả quyền của người dùng, xác định thiết đặt cấu hình có thể gây ra sự cố, mô tả lý do tại sao bạn nên áp dụng đúng người dùng và lý do tại sao bạn có thể muốn loại bỏ quyền người dùng và cung cấp các ví dụ về các vấn đề tương thích có thể xảy ra khi người dùng được cấu hình đúng.

1. Truy nhập máy tính này từ mạng

   1. Nền
      
      Khả năng tương tác với các máy tính chạy Windows từ xa đòi hỏi phải có Quyền truy nhập máy tính này từ người dùng mạng. Ví dụ về các hoạt động mạng như vậy bao gồm:

      • Nhân bản Active Directory giữa các bộ kiểm soát miền trong miền hoặc rừng phổ biến

      • Yêu cầu xác thực cho bộ kiểm soát miền từ người dùng và từ máy tính

      • Truy nhập vào thư mục dùng chung, máy in và các dịch vụ hệ thống khác nằm trên máy tính từ xa trên mạng

      
      
      Người dùng, máy tính và tài khoản dịch vụ có được hoặc mất truy cập máy tính này từ người dùng mạng phải bằng cách rõ ràng hoặc ngầm được thêm vào hoặc loại bỏ từ một nhóm bảo mật đã được cấp cho người dùng này quyền. Ví dụ: tài khoản người dùng hoặc tài khoản máy tính có thể được người quản trị thêm một cách rõ ràng vào nhóm bảo mật tùy chỉnh hoặc nhóm bảo mật tích hợp sẵn hoặc có thể được hệ điều hành thêm vào nhóm bảo mật được tính toán như Người dùng Miền, Người dùng Đã xác thực hoặc Bộ kiểm soát Miền Doanh nghiệp.
      
      Theo mặc định, tài khoản người dùng và tài khoản máy tính được cấp Quyền truy nhập máy tính này từ người dùng mạng ngay khi các nhóm được tính toán như Mọi người hoặc tốt nhất là Người dùng được Xác thực và, đối với bộ kiểm soát miền, nhóm Bộ kiểm soát Miền Doanh nghiệp, được xác định trong bộ kiểm soát miền mặc định chính sách nhóm Đối tượng (GPO).

   2. Cấu hình rủi ro
      
      Sau đây là các cài đặt cấu hình có hại:

      • Loại bỏ nhóm bảo mật Bộ kiểm soát Miền Doanh nghiệp khỏi bên phải người dùng này

      • Loại bỏ nhóm Người dùng Xác thực hoặc nhóm rõ ràng cho phép người dùng, máy tính và tài khoản dịch vụ mà người dùng có quyền kết nối với máy tính qua mạng

      • Loại bỏ tất cả người dùng và máy tính khỏi quyền của người dùng này

   3. Lý do cấp quyền cho người dùng này

      • Cấp truy cập máy tính này từ người dùng mạng quyền nhóm bộ kiểm soát miền doanh nghiệp thỏa mãn yêu cầu xác thực sao nhân bản Active Directory phải có để sao nhân bản xảy ra giữa bộ kiểm soát miền trong cùng một rừng.

      • Quyền của người dùng này cho phép người dùng và máy tính truy nhập vào các tệp, máy in và dịch vụ hệ thống dùng chung, bao gồm cả Active Directory.

      • Người dùng này bắt buộc phải có quyền truy nhập thư bằng cách sử dụng các phiên bản microsoft Outlook Web Access (OWA) sớm.

   4. Lý do loại bỏ người dùng này

      • Người dùng có thể kết nối máy tính của mình với mạng có thể truy nhập tài nguyên trên máy tính từ xa mà họ có quyền truy nhập. Ví dụ: người dùng này bắt buộc phải có quyền để người dùng kết nối với máy in được chia sẻ và tới thư mục. Nếu quyền người dùng này được cấp cho nhóm Mọi người và nếu một số thư mục dùng chung có cả hai quyền chia sẻ và hệ thống tệp NTFS được đặt cấu hình để cùng một nhóm có quyền truy nhập đọc thì bất kỳ ai cũng có thể xem tệp trong các thư mục dùng chung đó. Tuy nhiên, đây là một tình huống không khả năng cho các bản cài đặt mới của Windows Server 2003 vì chia sẻ mặc định và các quyền NTFS trong Windows Server 2003 không bao gồm nhóm Mọi người. Đối với hệ thống được nâng cấp từ Microsoft Windows NT 4.0 hoặc Windows 2000, lỗ hổng này có thể có mức rủi ro cao hơn vì chia sẻ mặc định và quyền hệ thống tệp cho các hệ điều hành này không hạn chế như quyền mặc định trong Windows Server 2003.

      • Không có lý do hợp lệ để loại bỏ nhóm Bộ kiểm soát Miền Doanh nghiệp khỏi bên phải người dùng này.

      • Nhóm Mọi người thường bị loại bỏ ủng hộ nhóm Người dùng Đã xác thực. Nếu nhóm Mọi người bị loại bỏ, nhóm Người dùng Đã xác thực phải được cấp quyền cho người dùng này.

      • Windows NT 4.0 tên miền được nâng cấp lên Windows 2000 không một cách rõ ràng cấp truy cập máy tính này từ người dùng mạng quyền nhóm Tất cả mọi người, nhóm Người dùng xác thực, hoặc nhóm bộ kiểm soát miền doanh nghiệp. Vì vậy, khi bạn loại bỏ nhóm Mọi người từ Windows NT 4.0 tên miền chính sách, Active Directory nhân bản sẽ không thành công với một thông báo lỗi "truy cập bị từ chối" sau khi bạn nâng cấp lên Windows 2000. Winnt32.exe trong Windows Server 2003 tránh cấu hình sai này bằng cách cấp cho nhóm Bộ kiểm soát Miền Doanh nghiệp nhóm người dùng này ngay khi bạn nâng cấp bộ kiểm soát miền chính của Windows NT 4.0 (PC). Cấp cho nhóm Bộ kiểm soát Miền Doanh nghiệp nhóm người dùng này ngay nếu nhóm đó không hiện diện trong Trình soạn chính sách nhóm Tượng.

   5. Ví dụ về vấn đề tương thích

      • Windows 2000 và Windows Server 2003: Sao chép các phân vùng sau sẽ không thành công với lỗi "Truy nhập bị Từ chối" như được báo cáo bằng các công cụ giám sát như REPLMON và REPADMIN hoặc sự kiện sao nhân bản trong nhật ký sự kiện.

        • Phân vùng Lược đồ Active Directory

        • Phân vùng cấu hình

        • Phân vùng miền

        • Phân vùng danh mục toàn cầu

        • Phân vùng ứng dụng

      • Tất cả các hệ điều hành mạng của Microsoft: Xác thực Tài khoản Người dùng từ máy tính khách mạng từ xa sẽ không thành công trừ khi người dùng hoặc nhóm bảo mật mà người dùng là thành viên đã được cấp quyền của người dùng này.

      • Tất cả các hệ điều hành mạng của Microsoft: Sẽ không xác thực được tài khoản từ máy khách mạng từ xa trừ khi tài khoản hoặc nhóm bảo mật mà tài khoản đó là thành viên đã được người dùng này cấp quyền. Kịch bản này áp dụng cho tài khoản người dùng, tài khoản máy tính và tài khoản dịch vụ.

      • Tất cả các hệ điều hành mạng của Microsoft: Việc xóa tất cả các tài khoản khỏi quyền của người dùng này sẽ ngăn không cho bất kỳ tài khoản nào đăng nhập vào miền hoặc truy cập tài nguyên mạng. Nếu nhóm được tính toán như Bộ kiểm soát Miền Doanh nghiệp, Mọi người hoặc Người dùng Đã xác thực bị loại bỏ, bạn phải cấp rõ ràng quyền cho người dùng này đối với các tài khoản hoặc các nhóm bảo mật mà tài khoản là thành viên để truy nhập vào máy tính từ xa qua mạng. Kịch bản này áp dụng cho tất cả các tài khoản người dùng, cho tất cả các tài khoản máy tính và cho tất cả các tài khoản dịch vụ.

      • Tất cả các hệ điều hành mạng Microsoft: Tài khoản người quản trị nội bộ sử dụng mật khẩu "trống". Không được phép kết nối mạng với mật khẩu trống đối với tài khoản người quản trị trong môi trường tên miền. Với cấu hình này, bạn có thể nhận được thông báo lỗi "Truy cập bị Từ chối".

2. Cho phép đăng nhập cục bộ

   1. Nền
      
      Người dùng đang tìm cách đăng nhập vào bảng điều khiển của máy tính chạy Windows (bằng cách sử dụng phím tắt CTRL+ALT+DELETE) và các tài khoản đang tìm cách khởi động dịch vụ phải có đặc quyền đăng nhập cục bộ trên máy tính lưu trữ. Ví dụ về các hoạt động đăng nhập cục bộ bao gồm người quản trị đăng nhập vào bảng điều khiển của máy tính thành viên hoặc bộ kiểm soát miền trong toàn bộ người dùng doanh nghiệp và miền đang đăng nhập vào máy tính thành viên để truy cập màn hình nền của họ bằng cách sử dụng tài khoản không có đặc quyền. Người dùng sử dụng kết nối Máy tính Từ xa hoặc Dịch vụ Đầu cuối phải có Đăng nhập người dùng cục bộ ngay trên máy tính đích đang chạy Windows 2000 hoặc Windows XP vì các chế độ đăng nhập này được coi là cục bộ đối với máy tính lưu trữ. Người dùng đang đăng nhập vào một máy chủ đã bật Máy chủ Đầu cuối và những người không có quyền người dùng này vẫn có thể bắt đầu một phiên tương tác từ xa trong các miền Windows Server 2003 nếu họ có quyền đăng nhập cho phép thông qua dịch vụ thiết bị đầu cuối.

   2. Cấu hình rủi ro
      
      Sau đây là các cài đặt cấu hình có hại:

      • Loại bỏ các nhóm bảo mật quản trị, bao gồm Người điều hành Tài khoản, Người vận hành Sao lưu, Người điều hành In hoặc Người điều hành Máy chủ và nhóm Người quản trị tích hợp sẵn khỏi chính sách của bộ kiểm soát miền mặc định.

      • Loại bỏ các tài khoản dịch vụ được sử dụng bởi các cấu phần và bởi các chương trình trên máy tính thành viên và trên bộ kiểm soát miền trong tên miền từ chính sách của bộ kiểm soát miền mặc định.

      • Loại bỏ người dùng hoặc nhóm bảo mật đăng nhập vào bảng điều khiển của máy tính thành viên trong miền.

      • Loại bỏ các tài khoản dịch vụ được xác định trong cơ sở dữ liệu cục bộ Security Accounts Manager (SAM) của máy tính thành viên hoặc của máy tính nhóm làm việc.

      • Loại bỏ các tài khoản quản trị không tích hợp sẵn đang xác thực qua Dịch vụ Đầu cuối đang chạy trên bộ kiểm soát miền.

      • Thêm tất cả tài khoản người dùng vào miền một cách rõ ràng hoặc ngầm thông qua nhóm Mọi người vào quyền Từ chối đăng nhập cục bộ. Cấu hình này sẽ ngăn người dùng đăng nhập vào bất kỳ máy tính thành viên hoặc bất kỳ bộ kiểm soát miền nào trong miền.

   3. Lý do cấp quyền cho người dùng này

      • Người dùng phải có quyền Cho phép đăng nhập trên người dùng cục bộ để truy cập bảng điều khiển hoặc máy tính để bàn của máy tính nhóm làm việc, máy tính thành viên hoặc bộ điều khiển miền.

      • Người dùng phải có quyền người dùng này để đăng nhập trên phiên Dịch vụ Đầu cuối đang chạy trên máy tính thành viên dựa trên Window 2000 hoặc bộ điều khiển miền.

   4. Lý do loại bỏ người dùng này

      • Việc không hạn chế quyền truy cập bảng điều khiển đối với tài khoản người dùng hợp pháp có thể dẫn đến việc người dùng trái phép tải xuống và thực thi mã độc hại để thay đổi quyền người dùng của họ.

      • Việc loại bỏ quyền Cho phép đăng nhập vào người dùng cục bộ ngăn chặn đăng nhập trái phép trên bảng điều khiển của máy tính, chẳng hạn như bộ kiểm soát miền hoặc máy chủ ứng dụng.

      • Loại bỏ quyền đăng nhập này ngăn chặn các tài khoản không phải là tên miền đăng nhập vào bảng điều khiển của các máy tính thành viên trong miền.

   5. Ví dụ về vấn đề tương thích

      • Máy chủ đầu cuối Windows 2000: Quyền Cho phép đăng nhập người dùng cục bộ là bắt buộc để người dùng đăng nhập vào máy chủ đầu cuối Windows 2000.

      • Windows NT 4.0, Windows 2000, Windows XP hoặc Windows Server 2003: Tài khoản người dùng phải được cấp quyền người dùng này để đăng nhập vào bảng điều khiển của máy tính đang chạy Windows NT 4.0, Windows 2000, Windows XP hoặc Windows Server 2003.

      • Windows NT 4.0 trở lên: Trên máy tính đang chạy Windows NT 4.0 trở lên, nếu bạn thêm các Cho phép đăng nhập người dùng cục bộ quyền, nhưng bạn ngầm hoặc rõ ràng cũng cấp quyền đăng nhập cục bộ từ chối đăng nhập cục bộ, các tài khoản sẽ không thể đăng nhập vào bảng điều khiển của bộ kiểm soát miền.

3. Kiểm tra bỏ qua đường đi qua

   1. Nền
      
      Quyền kiểm tra đi qua máy chủ trung gian của người dùng cho phép người dùng duyệt qua các thư mục trong hệ thống tệp NTFS hoặc trong sổ đăng ký mà không cần kiểm tra quyền truy nhập đặc biệt vào Thư mục Traverse. Quyền kiểm tra bỏ qua đường đi của người dùng không cho phép người dùng liệt kê nội dung của một thư mục. Nó cho phép người dùng đi qua chỉ thư mục của nó.

   2. Cấu hình rủi ro
      
      Sau đây là các cài đặt cấu hình có hại:

      • Loại bỏ tài khoản không phải quản trị đăng nhập vào Windows 2000 dựa trên Dịch vụ Đầu cuối máy tính hoặc Windows Server 2003 dựa trên Dịch vụ Thiết bị đầu cuối máy tính mà không có quyền truy cập vào tập tin và thư mục trong hệ thống tệp.

      • Loại bỏ nhóm Mọi người khỏi danh sách hiệu trưởng bảo mật có người dùng này đúng theo mặc định. Hệ điều hành Windows, và nhiều chương trình, được thiết kế với kỳ vọng rằng bất cứ ai có thể truy cập hợp pháp vào máy tính sẽ có quyền kiểm tra bỏ qua máy tính của người dùng. Do đó, việc loại bỏ nhóm Mọi người khỏi danh sách hiệu trưởng bảo mật có người dùng này theo mặc định có thể dẫn đến mất ổn định hệ điều hành hoặc gây ra sự thất bại của chương trình. Tốt hơn là bạn nên để cài đặt này ở chế độ mặc định.

   3. Lý do cấp quyền cho người dùng này
      
      Thiết đặt mặc định cho người dùng kiểm tra ngang qua máy chủ là cho phép bất kỳ ai bỏ qua kiểm tra qua đường ngang. Đối với những người quản trị hệ thống Windows có kinh nghiệm, đây là hành vi dự kiến và chúng đặt cấu hình danh sách kiểm soát truy nhập vào hệ thống tệp (SACLs) tương ứng. Kịch bản duy nhất mà cấu hình mặc định có thể dẫn đến một mishap là nếu người quản trị cấu hình quyền không hiểu hành vi và hy vọng rằng người dùng không thể truy nhập vào một thư mục mẹ sẽ không thể truy cập nội dung của bất kỳ thư mục con.

   4. Lý do loại bỏ người dùng này
      
      Để cố gắng ngăn chặn truy nhập vào các tập tin hoặc thư mục trong hệ thống tệp, các tổ chức mà rất quan tâm về bảo mật có thể bị cám dỗ để loại bỏ nhóm Tất cả mọi người, hoặc thậm chí nhóm Người dùng, từ danh sách các nhóm có người dùng bỏ qua kiểm tra đi qua quyền.

   5. Ví dụ về vấn đề tương thích

      • Windows 2000, Windows Server 2003: Nếu quyền bỏ qua kiểm tra đường đi của người dùng bị loại bỏ hoặc cấu hình sai trên máy tính chạy Windows 2000 hoặc Windows Server 2003, cài đặt chính sách nhóm trong thư mục SYVOL sẽ không tái tạo giữa các bộ kiểm soát miền trong miền.

      • Windows 2000, Windows XP Professional, Windows Server 2003: Các máy tính đang chạy Windows 2000, Windows XP Professional hoặc Windows Server 2003 sẽ ghi nhật ký các sự kiện 1000 và 1202 và sẽ không thể áp dụng chính sách máy tính và chính sách người dùng khi các quyền hệ thống tệp bắt buộc bị loại bỏ khỏi cây SYSVOL nếu người dùng kiểm tra bỏ qua máy chủ phải bị loại bỏ hoặc cấu hình sai.
        
         

      • Windows 2000, Windows Server 2003: Trên các máy tính đang chạy Windows 2000 hoặc Windows Server 2003 , tab Hạn mức trong Windows Explorer sẽ biến mất khi bạn xem thuộc tính trên ổ đĩa.

      • Windows 2000: Những người không phải là người quản trị đăng nhập vào máy chủ đầu cuối Windows 2000 có thể nhận được thông báo lỗi sau:

        Userinit.exe ứng dụng mới. Ứng dụng không khởi tạo được đúng 0xc0000142 bấm OK để chấm dứt ứng dụng.

      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Người dùng có máy tính đang chạy Windows NT 4.0, Windows 2000, Windows XP hoặc Windows Server 2003 có thể không thể truy cập thư mục dùng chung hoặc tệp trên thư mục dùng chung và họ có thể nhận được thông báo lỗi "Truy nhập bị Từ chối" nếu họ không được cấp quyền kiểm tra đi qua máy chủ bypass.
        
        
         

      • Windows NT 4.0: Trên Máy tính dựa trên Windows NT 4.0, loại bỏ người dùng bỏ qua kiểm tra ngang quyền sẽ gây ra một bản sao tệp để thả dòng tệp. Nếu bạn loại bỏ người dùng này phải, khi tệp được sao chép từ máy khách Windows hoặc từ máy khách Macintosh sang bộ điều khiển miền Windows NT 4.0 đang chạy Services cho Macintosh, luồng tệp đích sẽ bị mất và tệp xuất hiện dưới dạng tệp chỉ có văn bản.

      • Microsoft Windows 95, Microsoft Windows 98: Trên một máy tính khách đang chạy Windows 95 hoặc Windows 98, việc sử dụng mạng * /home lệnh sẽ không thành công với thông báo lỗi "Truy nhập bị Từ chối" nếu nhóm Người dùng Đã xác thực không được cấp quyền kiểm tra đi vòng qua máy chủ.

      • Outlook Web Access: Người không phải là người quản trị sẽ không thể đăng nhập vào Microsoft Outlook Web Access và họ sẽ nhận được thông báo lỗi "Quyền truy nhập bị Từ chối" nếu họ không được người dùng kiểm tra đi qua bỏ qua đúng.

Cài đặt Bảo mật

Danh sách sau đây xác định cài đặt bảo mật và danh sách lồng nhau cung cấp mô tả về cài đặt bảo mật, xác định cài đặt cấu hình có thể gây ra sự cố, mô tả lý do bạn nên áp dụng cài đặt bảo mật, sau đó mô tả lý do tại sao bạn có thể muốn xóa cài đặt bảo mật. Sau đó, danh sách lồng nhau sẽ cung cấp tên biểu tượng cho cài đặt bảo mật và đường dẫn đăng ký của cài đặt bảo mật. Cuối cùng, các ví dụ được cung cấp về các vấn đề tương thích có thể xảy ra khi thiết đặt bảo mật được đặt cấu hình.

1. Kiểm tra: Tắt hệ thống ngay lập tức nếu không thể ghi nhật ký kiểm tra bảo mật

   1. Nền

      • Kiểm tra: Tắt hệ thống ngay lập tức nếu không thể đăng nhập kiểm tra bảo mật thiết lập xác định cho dù hệ thống tắt nếu bạn không thể đăng nhập sự kiện bảo mật. Thiết đặt này là bắt buộc đối với đánh giá C2 của chương trình Tiêu chí Bảo mật Máy tính Tin cậy (TCSEC) và đánh giá Tiêu chí Chung về Bảo mật Công nghệ Thông tin để ngăn chặn các sự kiện có thể kiểm tra nếu hệ thống kiểm tra không thể ghi nhật ký các sự kiện đó. Nếu hệ thống kiểm tra không thành công, hệ thống sẽ bị tắt và thông báo Lỗi dừng xuất hiện.

      • Nếu máy tính không thể ghi lại các sự kiện vào nhật ký bảo mật, bằng chứng quan trọng hoặc thông tin khắc phục sự cố quan trọng có thể không có sẵn để xem xét sau khi một sự cố bảo mật.

   2. Cấu hình rủi ro
      
      Dưới đây là một thiết đặt cấu hình có hại: Kiểm tra: Tắt hệ thống ngay lập tức nếu không thể ghi nhật ký thiết đặt kiểm tra bảo mật được bật và kích cỡ của nhật ký sự kiện bảo mật bị hạn chế bởi tùy chọn Không ghi đè các sự kiện (nhật ký xóa theo cách thủ công), tùy chọn Ghi đè Sự kiện khi cần hoặc tùy chọn Ghi đè Sự kiện cũ hơn số ngày trong Trình xem sự kiện. Xem mục "Ví dụ về Sự cố Tương thích" để biết thông tin về các rủi ro cụ thể đối với các máy tính đang chạy phiên bản Windows 2000, Windows 2000 Gói Dịch vụ 1 (SP1) đã phát hành ban đầu, Windows 2000 SP2 hoặc Windows 2000 SP3.

   3. Lý do để bật thiết đặt này
      
      Nếu máy tính không thể ghi lại các sự kiện vào nhật ký bảo mật, bằng chứng quan trọng hoặc thông tin khắc phục sự cố quan trọng có thể không có sẵn để xem xét sau khi một sự cố bảo mật.

   4. Lý do để tắt cài đặt này

      • Cho phép kiểm tra: Tắt hệ thống ngay lập tức nếu không thể ghi nhật ký thiết đặt kiểm tra bảo mật dừng hệ thống nếu kiểm tra bảo mật không thể được ghi nhật ký vì bất kỳ lý do nào. Thông thường, một sự kiện không thể được ghi nhật ký khi nhật ký kiểm tra bảo mật đã đầy và khi phương pháp duy trì được chỉ định của nó là tùy chọn Không ghi đè sự kiện (xóa nhật ký bằng cách thủ công) hoặc ghi đè các sự kiện cũ hơn số ngày tùy chọn.

      • Gánh nặng quản trị của việc cho phép kiểm tra: Tắt hệ thống ngay lập tức nếu không thể ghi nhật ký kiểm tra bảo mật có thể rất cao, đặc biệt là nếu bạn cũng bật tùy chọn Không ghi đè các sự kiện (clear log manually) cho nhật ký bảo mật. Thiết đặt này cung cấp trách nhiệm cá nhân của các hành động nhà điều hành. Ví dụ: người quản trị có thể đặt lại quyền trên tất cả người dùng, máy tính và nhóm trong một đơn vị tổ chức (OU) nơi tính năng kiểm tra được bật bằng cách sử dụng tài khoản người quản trị dựng sẵn hoặc tài khoản được chia sẻ khác và sau đó từ chối họ đặt lại các quyền này. Tuy nhiên, việc bật cài đặt này sẽ làm giảm mức độ mạnh mẽ của hệ thống vì máy chủ có thể bị buộc phải tắt do quá nhiều sự kiện đăng nhập và với các sự kiện bảo mật khác được ghi vào nhật ký bảo mật. Ngoài ra, bởi vì tắt máy không phải là duyên dáng, không thể khắc phục thiệt hại cho hệ điều hành, chương trình, hoặc dữ liệu có thể dẫn đến. Trong khi NTFS đảm bảo tính toàn vẹn của hệ thống tệp được duy trì trong một tắt hệ thống không hợp lý, nó không thể đảm bảo rằng tất cả các tập tin dữ liệu cho mỗi chương trình sẽ vẫn ở dạng có thể sử dụng khi hệ thống khởi động lại.

   5. Tên Biểu tượng:
      
      CrashOnAuditFail

   6. Đường dẫn Đăng ký:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

   7. Ví dụ về vấn đề tương thích

      • Windows 2000: Do lỗi, các máy tính đang chạy phiên bản phát hành ban đầu của Windows 2000, Windows 2000 SP1, Windows 2000 SP2 hoặc Windows Server SP3 có thể ngừng ghi sự kiện trước khi đạt kích thước được chỉ định trong tùy chọn Kích thước nhật ký tối đa cho nhật ký sự kiện bảo mật. Lỗi này đã được khắc phục trong Windows 2000 Gói Dịch vụ 4 (SP4). Đảm bảo rằng bộ kiểm soát miền Windows 2000 của bạn đã cài đặt Windows 2000 Gói Dịch vụ 4 trước khi bạn cân nhắc việc bật cài đặt này.
        
         

      • Windows 2000, Windows Server 2003: Các máy tính đang chạy Windows 2000 hoặc Windows Server 2003 có thể ngừng phản hồi và sau đó có thể tự khởi động lại nếu kiểm tra: Tắt hệ thống ngay lập tức nếu không thể ghi nhật ký cài đặt kiểm tra bảo mật, nhật ký bảo mật đã đầy và không thể ghi đè mục nhật ký sự kiện hiện có. Khi máy tính khởi động lại, thông báo Lỗi dừng sau đây sẽ xuất hiện:

        DỪNG: C0000244 {Audit Failed}
        Không thể tạo kiểm tra bảo mật.

        Để phục hồi, người quản trị phải đăng nhập, lưu trữ nhật ký bảo mật (tùy chọn), xóa nhật ký bảo mật, rồi đặt lại tùy chọn này (tùy chọn và khi cần thiết).

      • Microsoft Network Client for MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Người không phải là người quản trị cố gắng đăng nhập vào miền sẽ nhận được thông báo lỗi sau:

        Tài khoản của bạn được cấu hình để ngăn bạn sử dụng máy tính này. Vui lòng thử một máy tính khác.

      • Windows 2000: Trên máy tính chạy Windows 2000, những người không phải là quản trị viên sẽ không thể đăng nhập vào máy chủ truy nhập từ xa và sẽ nhận được thông báo lỗi tương tự như sau:

        Người dùng không xác định hoặc mật khẩu xấu

      • Windows 2000: Trên bộ kiểm soát miền Windows 2000, dịch vụ Nhắn tin Intersite (Ismserv.exe) sẽ dừng và không thể khởi động lại. DCDIAG sẽ báo cáo lỗi là "không kiểm tra được dịch vụ ISMserv", và ID sự kiện 1083 sẽ được đăng ký trong nhật ký sự kiện.

      • Windows 2000: Trên bộ kiểm soát miền Windows 2000, sao nhân bản Active Directory sẽ không thành công và thông báo "Truy nhập bị Từ chối" sẽ xuất hiện nếu nhật ký sự kiện bảo mật đã đầy.

      • Microsoft Exchange 2000: Máy chủ đang chạy Exchange 2000 sẽ không thể gắn cơ sở dữ liệu kho thông tin và sự kiện 2102 sẽ được đăng ký trong nhật ký sự kiện.

      • Outlook, Outlook Web Access: Người không phải người quản trị sẽ không thể truy nhập thư của mình thông qua Microsoft Outlook hoặc thông qua Microsoft Outlook Web Access và họ sẽ nhận được lỗi 503.

2. Bộ kiểm soát miền: Yêu cầu ký máy chủ LDAP

   1. Nền
      
      Bộ điều khiển miền: Cài đặt bảo mật yêu cầu ký máy chủ LDAP xác định xem liệu máy chủ Giao thức Truy nhập Thư mục Nhẹ (LDAP) có yêu cầu máy khách LDAP để đàm phán ký dữ liệu hay không. Các giá trị có thể có cho thiết đặt chính sách này như sau:

      • Không có: Không bắt buộc phải ký dữ liệu để liên kết với máy chủ. Nếu máy khách yêu cầu ký dữ liệu, máy chủ sẽ hỗ trợ tính năng này.

      • Yêu cầu ký: Tùy chọn ký dữ liệu LDAP phải được đàm phán trừ khi Transport Layer Security/Secure Socket Layer (TLS/SSL) đang được sử dụng.

      • chưa xác định: Cài đặt này không được bật hoặc tắt.

   2. Cấu hình rủi ro
      
      Sau đây là các cài đặt cấu hình có hại:

      • Cho phép Yêu cầu môi trường đăng nhập khi máy khách không hỗ trợ ký LDAP hoặc không bật ký LDAP phía máy khách trên máy khách

      • Áp dụng mẫu bảo mật Windows 2000 hoặc Windows Server 2003 Hisecdc.inf trong môi trường mà máy khách không hỗ trợ ký LDAP hoặc không bật ký LDAP phía máy khách

      • Áp dụng mẫu bảo mật Windows 2000 hoặc Windows Server 2003 Hisecws.inf trong môi trường mà máy khách không hỗ trợ ký LDAP hoặc không bật ký LDAP phía máy khách

   3. Lý do để bật thiết đặt này
      
      Lưu lượng truy cập mạng không được ký dễ bị tấn công xen giữa người trung gian, nơi kẻ xâm nhập chiếm giữ các gói tin giữa máy khách và máy chủ, sửa đổi các gói tin, và sau đó chuyển tiếp chúng đến máy chủ. Khi hành vi này xảy ra trên một máy chủ LDAP, kẻ tấn công có thể gây ra một máy chủ để đưa ra quyết định dựa trên truy vấn sai từ máy khách LDAP. Bạn có thể giảm rủi ro này trong mạng công ty bằng cách thực hiện các biện pháp bảo mật vật lý mạnh nhằm giúp bảo vệ cơ sở hạ tầng mạng. Chế độ tiêu đề xác thực Giao thức Internet (IPSec) có thể giúp ngăn chặn các cuộc tấn công xen giữa giữa. Chế độ tiêu đề xác thực thực hiện xác thực lẫn nhau và tính toàn vẹn gói cho lưu lượng IP.

   4. Lý do để tắt cài đặt này

      • Khách hàng không hỗ trợ ký LDAP sẽ không thể thực hiện các truy vấn LDAP đối với bộ kiểm soát miền và đối với danh mục toàn cầu nếu xác thực NTLM được đàm phán và nếu các gói dịch vụ chính xác không được cài đặt trên bộ kiểm soát miền Windows 2000.

      • Mạng dấu vết của lưu lượng LDAP giữa máy khách và máy chủ sẽ được mã hóa. Điều này khiến việc kiểm tra các cuộc hội thoại LDAP trở nên khó khăn.

      • Máy chủ dựa trên Windows 2000 phải có Windows 2000 Gói Dịch vụ 3 (SP3) hoặc được cài đặt khi được quản lý với các chương trình hỗ trợ ký LDAP chạy từ máy tính khách chạy Windows 2000 SP4, Windows XP hoặc Windows Server 2003.  

   5. Tên Biểu tượng:
      
      Tính toàn vẹn của LDAPServer

   6. Đường dẫn Đăng ký:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

   7. Ví dụ về vấn đề tương thích

      • Các ràng buộc đơn giản sẽ không thành công và bạn sẽ nhận được thông báo lỗi sau:

        Ldap_simple_bind_s() không thành công: Yêu cầu Xác thực Mạnh.

      • Windows 2000 Gói Dịch vụ 4, Windows XP, Windows Server 2003: Trên máy khách đang chạy Windows 2000 SP4, Windows XP hoặc Windows Server 2003, một số công cụ quản trị Active Directory sẽ không hoạt động chính xác đối với bộ kiểm soát miền đang chạy phiên bản Windows 2000 cũ hơn SP3 khi thương lượng xác thực NTLM.
        
         

      • Windows 2000 Gói Dịch vụ 4, Windows XP, Windows Server 2003: Trên máy khách đang chạy Windows 2000 SP4, Windows XP hoặc Windows Server 2003, một số công cụ quản trị Active Directory nhắm mục tiêu bộ kiểm soát miền đang chạy các phiên bản Windows 2000 cũ hơn SP3 sẽ không hoạt động chính xác nếu chúng sử dụng địa chỉ IP (ví dụ: "dsa.msc /server=x.x.x.x"
        trongđó x.x.x.x là địa chỉ IP).
        
        
         

      • Windows 2000 Gói Dịch vụ 4, Windows XP, Windows Server 2003: Trên máy khách đang chạy Windows 2000 SP4, Windows XP hoặc Windows Server 2003, một số công cụ quản trị Active Directory nhắm mục tiêu đến bộ kiểm soát miền đang chạy các phiên bản Windows 2000 cũ hơn SP3 sẽ không hoạt động chính xác.
        
         

3. Thành viên miền: Yêu cầu khóa phiên mạnh (Windows 2000 trở lên)

   1. Nền

      • Thành viên miền: Yêu cầu cài đặt khóa phiên mạnh (Windows 2000 trở lên) xác định xem kênh bảo mật có thể được thiết lập với bộ điều khiển miền không thể mã hóa lưu lượng truy cập kênh bảo mật bằng khóa phiên 128 bit mạnh hay không. Bật thiết đặt này ngăn không cho thiết lập kênh bảo mật với bất kỳ bộ kiểm soát miền nào không thể mã hóa dữ liệu kênh bảo mật bằng khóa mạnh. Việc tắt cài đặt này sẽ cho phép khóa phiên 64 bit.

      • Trước khi bạn có thể cho phép thiết đặt này trên một máy trạm thành viên hoặc trên một máy chủ, tất cả các bộ kiểm soát miền trong miền mà các thành viên thuộc về phải có khả năng mã hóa an toàn dữ liệu kênh với một mạnh, 128-bit khóa. Điều này có nghĩa là tất cả các bộ kiểm soát miền đó phải chạy Windows 2000 trở lên.

   2. Cấu hình rủi ro
      
      Bật thành viên Miền: Yêu cầu cài đặt khóa phiên mạnh (Windows 2000 trở lên) là cài đặt cấu hình có hại.

   3. Lý do để bật thiết đặt này

      • Khóa phiên được sử dụng để thiết lập thông tin liên lạc kênh an toàn giữa các máy tính thành viên và bộ kiểm soát miền mạnh hơn nhiều trong Windows 2000 so với các phiên bản trước của hệ điều hành Microsoft.

      • Khi có thể, bạn nên tận dụng các phím phiên mạnh mẽ hơn này để giúp bảo vệ thông tin liên lạc kênh an toàn khỏi việc nghe lén và tránh tấn công mạng do phiên tấn công. Nghe lén là một hình thức tấn công độc hại nơi dữ liệu mạng được đọc hoặc thay đổi trong quá trình chuyển. Dữ liệu có thể được sửa đổi để ẩn hoặc thay đổi người gửi hoặc chuyển hướng người gửi.

      Quan trọng Máy tính đang chạy Windows Server 2008 R2 hoặc Windows 7 chỉ hỗ trợ các phím mạnh khi sử dụng kênh an toàn. Hạn chế này ngăn chặn sự tin cậy giữa bất kỳ miền dựa trên Windows NT 4.0 nào và bất kỳ miền dựa trên Windows Server 2008 R2 nào. Ngoài ra, hạn chế này chặn windows NT 4.0 dựa trên tên miền thành viên của các máy tính đang chạy Windows 7 hoặc Windows Server 2008 R2 và ngược lại.

   4. Lý do để tắt cài đặt này
      
      Miền chứa các máy tính thành viên đang chạy hệ điều hành khác với Windows 2000, Windows XP hoặc Windows Server 2003.

   5. Tên Biểu tượng:
      
      StrongKey

   6. Đường dẫn Đăng ký:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

   7. Ví dụ về vấn đề tương thích
      
      Windows NT 4.0: Trên máy tính dựa trên Windows NT 4.0, đặt lại các kênh an toàn của mối quan hệ tin cậy giữa windows NT 4.0 và Windows 2000 tên miền với NLTEST không thành công. Thông báo lỗi "Truy nhập bị Từ chối" xuất hiện:

      Mối quan hệ tin cậy giữa tên miền chính và tên miền tin cậy không thành công.
      
      Windows 7 và Server 2008 R2: Đối với Windows 7 trở lên và các phiên bản mới hơn cũng như Windows Server 2008 R2 trở lên, cài đặt này không được vinh danh nữa và khóa mạnh được sử dụng luôn. Vì vậy, tin tưởng với Windows NT 4.0 tên miền không làm việc nữa.

4. Thành viên miền: Mã hóa điện tử hoặc ký dữ liệu kênh bảo mật (luôn luôn)

   1. Nền

      • Cho phép thành viên miền: Mã hóa điện tử hoặc ký điện tử dữ liệu kênh an toàn (luôn luôn) ngăn chặn việc thiết lập một kênh an toàn với bất kỳ bộ kiểm soát miền mà không thể ký hoặc mã hóa tất cả các dữ liệu kênh an toàn. Để giúp bảo vệ lưu lượng xác thực khỏi các cuộc tấn công người dùng trung gian, tấn công phát lại và các loại tấn công mạng khác, các máy tính dựa trên Windows tạo kênh giao tiếp được gọi là kênh bảo mật thông qua dịch vụ Đăng nhập Net để xác thực các tài khoản máy tính. Kênh bảo mật cũng được sử dụng khi người dùng trong một miền kết nối với tài nguyên mạng trong miền từ xa. Xác thực nhiều tên miền hoặc xác thực thông qua này cho phép một máy tính chạy Windows đã tham gia miền có quyền truy nhập vào cơ sở dữ liệu tài khoản người dùng trong miền của mình và trong bất kỳ miền tin cậy nào.

      • Để kích hoạt thành viên tên miền: Kỹ thuật số mã hóa hoặc ký điện tử kênh dữ liệu dữ liệu (luôn luôn) thiết lập trên một máy tính thành viên, tất cả các bộ kiểm soát miền trong tên miền mà các thành viên thuộc về phải có thể ký hoặc mã hóa tất cả các dữ liệu kênh an toàn. Điều này có nghĩa rằng tất cả các bộ kiểm soát miền phải chạy Windows NT 4.0 với gói dịch vụ 6a (SP6a) trở lên.

      • Cho phép thành viên Miền: Tự động mã hóa hoặc ký điện tử vào dữ liệu kênh bảo mật (luôn) cho phép thành viên Miền: Mã hóa điện tử hoặc ký vào dữ liệu kênh bảo mật (khi có thể).

   2. Cấu hình rủi ro
      
      Cho phép thành viên Miền: Thiết đặt mã hóa hoặc ký điện tử dữ liệu kênh bảo mật (luôn luôn) trong các tên miền mà không phải tất cả các bộ kiểm soát miền đều có thể ký hoặc mã hóa dữ liệu kênh bảo mật là cài đặt cấu hình có hại.

   3. Lý do để bật thiết đặt này
      
      Lưu lượng truy cập mạng không được ký dễ bị tấn công xen giữa (man-in-the-middle), trong đó kẻ đột nhập chiếm giữ các gói tin giữa máy chủ và máy khách và sau đó sửa đổi chúng trước khi chuyển tiếp chúng đến máy khách. Khi hành vi này xảy ra trên máy chủ Giao thức Truy nhập Thư mục Nhẹ (LDAP), kẻ xâm nhập có thể khiến máy khách đưa ra quyết định dựa trên bản ghi sai từ thư mục LDAP. Bạn có thể giảm nguy cơ tấn công mạng doanh nghiệp bằng cách thực hiện các biện pháp bảo mật vật lý mạnh nhằm giúp bảo vệ cơ sở hạ tầng mạng. Ngoài ra, việc thực hiện chế độ tiêu đề xác thực giao thức Internet (IPSec) có thể giúp ngăn chặn các cuộc tấn công xen giữa. Chế độ này thực hiện xác thực lẫn nhau và tính toàn vẹn gói cho lưu lượng IP.

   4. Lý do để tắt cài đặt này

      • Máy tính ở miền nội bộ hoặc bên ngoài có hỗ trợ các kênh bảo mật được mã hóa.

      • Không phải tất cả các bộ kiểm soát miền trong miền có các gói dịch vụ thích hợp phiên bản cấp để hỗ trợ mã hóa kênh an toàn.

   5. Tên Biểu tượng:
      
      StrongKey

   6. Đường dẫn Đăng ký:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

   7. Ví dụ về vấn đề tương thích

      • Windows NT 4.0: Windows 2000 dựa trên các máy tính thành viên sẽ không thể tham gia miền Windows NT 4.0 và sẽ nhận được thông báo lỗi sau:

        Tài khoản không được phép đăng nhập từ trạm này.

        Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:

        281648 Thông báo lỗi: Tài khoản không được ủy quyền để đăng nhập từ trạm này
         

      • Windows NT 4.0: Miền Windows NT 4.0 sẽ không thể thiết lập mức tin cậy xuống với miền Windows 2000 và sẽ nhận được thông báo lỗi sau:

        Tài khoản không được phép đăng nhập từ trạm này.

        Các mục tin cậy mức xuống hiện có cũng có thể không xác thực người dùng từ miền tin cậy. Một số người dùng có thể gặp sự cố khi đăng nhập vào miền và họ có thể nhận được thông báo lỗi cho biết máy khách không thể tìm thấy miền.

      • Windows XP: Máy khách Windows XP được tham gia vào miền Windows NT 4.0 sẽ không thể xác thực nỗ lực đăng nhập và có thể nhận được thông báo lỗi sau đây, hoặc các sự kiện sau đây có thể được đăng ký trong nhật ký sự kiện:

        Windows không thể kết nối với miền vì bộ kiểm soát miền bị sê-ri hoặc không khả dụng hoặc do không tìm thấy tài khoản máy tính của bạn

      • Mạng Microsoft: Máy khách Mạng Microsoft sẽ nhận được một trong các thông báo lỗi sau:

        Lỗi đăng nhập: tên người dùng không xác định hoặc mật khẩu không hợp lệ.

        Không có khóa phiên người dùng cho phiên đăng nhập được chỉ định.

5. Máy khách mạng Microsoft: Ký điện tử cho thông tin liên lạc (luôn luôn)

   1. Nền
      
      Server Message Block (SMB) là giao thức chia sẻ tài nguyên được nhiều hệ điều hành Microsoft hỗ trợ. Đây là cơ sở của hệ thống nhập/xuất cơ bản của mạng (NetBIOS) và nhiều giao thức khác. Việc ký SMB sẽ xác thực cả người dùng và máy chủ lưu trữ dữ liệu. Nếu một trong hai bên không thành công quá trình xác thực, việc truyền dữ liệu sẽ không xảy ra.
      
      Cho phép ký SMB bắt đầu trong quá trình đàm phán giao thức SMB. Chính sách ký SMB xác định xem máy tính luôn luôn ký điện tử thông tin liên lạc khách hàng.
      
      Giao thức xác thực Windows 2000 SMB hỗ trợ xác thực lẫn nhau. Xác thực lẫn nhau đóng một cuộc tấn công "man-in-the-middle". Giao thức xác thực Windows 2000 SMB cũng hỗ trợ xác thực thư. Xác thực thư giúp ngăn chặn các cuộc tấn công của thư hiện hoạt. Để cung cấp cho bạn xác thực này, ký SMB sẽ đặt chữ ký số vào mỗi SMB. Mỗi máy khách và máy chủ sẽ xác nhận chữ ký số.
      
      Để sử dụng ký SMB, bạn phải bật ký SMB hoặc yêu cầu ký SMB trên cả máy khách SMB và máy chủ SMB. Nếu ký SMB được bật trên một máy chủ, khách hàng cũng được kích hoạt để ký SMB sử dụng giao thức ký gói tin trong tất cả các phiên tiếp theo. Nếu cần ký SMB trên máy chủ, khách hàng không thể thiết lập phiên trừ khi máy khách được bật hoặc bắt buộc để ký SMB.
      
      
      Cho phép đăng nhập kỹ thuật số trong mạng bảo mật cao giúp ngăn chặn mạo danh khách hàng và máy chủ. Kiểu mạo danh này được gọi là cướp phiên. Kẻ tấn công có quyền truy cập vào cùng một mạng như máy khách hoặc máy chủ sử dụng các công cụ tấn công phiên để làm gián đoạn, kết thúc hoặc lấy cắp một phiên đang diễn ra. Kẻ tấn công có thể chặn và sửa đổi các gói SMB không được ký, sửa đổi lưu lượng truy cập, rồi chuyển tiếp chúng để máy chủ có thể thực hiện các hành động không mong muốn. Hoặc, kẻ tấn công có thể đặt làm máy chủ hoặc máy khách sau khi xác thực hợp pháp và sau đó có quyền truy cập trái phép vào dữ liệu.
      
      Giao thức SMB được sử dụng để chia sẻ tệp và để chia sẻ tệp trong các máy tính đang chạy Windows 2000 Server, Windows 2000 Professional, Windows XP Professional hoặc Windows Server 2003 hỗ trợ xác thực lẫn nhau. Xác thực lẫn nhau đóng các cuộc tấn công phiên tấn công và hỗ trợ xác thực tin nhắn. Do đó, nó ngăn chặn các cuộc tấn công man-in-the-middle. Ký SMB cung cấp xác thực này bằng cách đặt chữ ký số trong mỗi SMB. Máy khách và máy chủ sau đó xác nhận chữ ký.
      
      Ghi chú

      • Như một biện pháp đối phó thay thế, bạn có thể cho phép chữ ký số với IPSec để giúp bảo vệ tất cả lưu lượng truy cập mạng. Có các bộ tăng tốc dựa trên phần cứng cho việc mã hóa và ký IPSec mà bạn có thể sử dụng để giảm thiểu ảnh hưởng đến hiệu suất từ CPU của máy chủ. Không có bộ tăng tốc nào sẵn dùng để ký SMB.
        
        Để biết thêm thông tin, hãy xem chương liên lạc máy chủ ký điện tử trên trang web Microsoft MSDN.
        
        Đặt cấu hình ký SMB thông qua Chính sách nhóm Đối tượng do thay đổi đối với giá trị đăng ký cục bộ không có tác dụng nếu có chính sách ghi đè tên miền.

      • Trong Windows 95, Windows 98 và Windows 98 Second Edition, Máy khách Dịch vụ Thư mục sử dụng ký SMB khi xác thực với máy chủ Windows Server 2003 bằng cách sử dụng xác thực NTLM. Tuy nhiên, các máy khách này không sử dụng ký SMB khi chúng xác thực với các máy chủ này bằng cách sử dụng xác thực NTLMv2. Ngoài ra, các máy chủ Windows 2000 không đáp ứng yêu cầu ký SMB từ các máy khách này. Để biết thêm thông tin, hãy xem mục 10: "Bảo mật mạng: Mức xác thực Lan Manager".

   2. Cấu hình rủi ro
      
      Sau đây là cài đặt cấu hình có hại: Để lại cả máy khách mạng Microsoft: Cài đặt giao tiếp ký điện tử (luôn luôn) và máy khách mạng Microsoft: Thiết đặt giao tiếp ký điện tử (nếu máy chủ đồng ý) được đặt thành "Không Xác định" hoặc bị vô hiệu hóa. Các thiết đặt này cho phép bộ chuyển hướng gửi mật khẩu văn bản thuần đến máy chủ SMB không phải của Microsoft không hỗ trợ mã hóa mật khẩu trong quá trình xác thực.

   3. Lý do để bật thiết đặt này
      
      Cho phép máy khách mạng Microsoft: Thông tin liên lạc ký điện tử (luôn luôn) yêu cầu máy khách ký lưu lượng SMB khi liên hệ với các máy chủ không yêu cầu ký SMB. Điều này làm cho khách hàng ít dễ bị tấn công phiên tấn công.

   4. Lý do để tắt cài đặt này

      • Cho phép máy khách mạng Microsoft: Ký điện tử thông tin liên lạc (luôn luôn) ngăn không cho máy khách giao tiếp với máy chủ mục tiêu không hỗ trợ ký SMB.

      • Cấu hình máy tính để bỏ qua tất cả các giao tiếp SMB chưa ký sẽ ngăn các chương trình và hệ điều hành trước đó kết nối.

   5. Tên Biểu tượng:
      
      RequireSMBSignRdr

   6. Đường dẫn Đăng ký:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

   7. Ví dụ về vấn đề tương thích

      • Windows NT 4.0: Bạn sẽ không thể đặt lại kênh an toàn của sự tin cậy giữa miền Windows Server 2003 và miền Windows NT 4.0 bằng cách sử dụng NLTEST hoặc NETDOM và bạn sẽ nhận được thông báo lỗi "Truy cập bị Từ chối".

      • Windows XP: Việc sao chép tệp từ máy khách Windows XP sang máy chủ dựa trên Windows 2000 và máy chủ dựa trên Windows Server 2003 có thể mất nhiều thời gian hơn.

      • Bạn sẽ không thể ánh xạ ổ đĩa mạng từ máy khách có bật cài đặt này và bạn sẽ nhận được thông báo lỗi sau:

        Tài khoản không được phép đăng nhập từ trạm này.

   8. Yêu cầu khởi động lại
      
      Khởi động lại máy tính hoặc khởi động lại dịch vụ Máy trạm. Để thực hiện điều này, hãy nhập các lệnh sau đây tại dấu nhắc lệnh. Nhấn Enter sau khi bạn nhập từng lệnh.

      net stop workstation
      net start workstation

6. Máy chủ mạng của Microsoft: Ký điện tử cho thông tin liên lạc (luôn luôn)

   1. Nền

      • Server Messenger Block (SMB) là giao thức chia sẻ tài nguyên được hỗ trợ bởi nhiều hệ điều hành Microsoft. Đây là cơ sở của hệ thống nhập/xuất cơ bản của mạng (NetBIOS) và nhiều giao thức khác. Việc ký SMB sẽ xác thực cả người dùng và máy chủ lưu trữ dữ liệu. Nếu một trong hai bên không thành công quá trình xác thực, việc truyền dữ liệu sẽ không xảy ra.
        
        Cho phép ký SMB bắt đầu trong quá trình đàm phán giao thức SMB. Chính sách ký SMB xác định xem máy tính luôn luôn ký điện tử thông tin liên lạc khách hàng.
        
        Giao thức xác thực Windows 2000 SMB hỗ trợ xác thực lẫn nhau. Xác thực lẫn nhau đóng một cuộc tấn công "man-in-the-middle". Giao thức xác thực Windows 2000 SMB cũng hỗ trợ xác thực thư. Xác thực thư giúp ngăn chặn các cuộc tấn công của thư hiện hoạt. Để cung cấp cho bạn xác thực này, ký SMB sẽ đặt chữ ký số vào mỗi SMB. Mỗi máy khách và máy chủ sẽ xác nhận chữ ký số.
        
        Để sử dụng ký SMB, bạn phải bật ký SMB hoặc yêu cầu ký SMB trên cả máy khách SMB và máy chủ SMB. Nếu ký SMB được bật trên một máy chủ, khách hàng cũng được kích hoạt để ký SMB sử dụng giao thức ký gói tin trong tất cả các phiên tiếp theo. Nếu cần ký SMB trên máy chủ, khách hàng không thể thiết lập phiên trừ khi máy khách được bật hoặc bắt buộc để ký SMB.
        
        
        Cho phép đăng nhập kỹ thuật số trong mạng bảo mật cao giúp ngăn chặn mạo danh khách hàng và máy chủ. Kiểu mạo danh này được gọi là cướp phiên. Kẻ tấn công có quyền truy cập vào cùng một mạng như máy khách hoặc máy chủ sử dụng các công cụ tấn công phiên để làm gián đoạn, kết thúc hoặc lấy cắp một phiên đang diễn ra. Kẻ tấn công có thể chặn và sửa đổi các gói Trình quản lý Băng thông Mạng con (SBM) chưa được ký, sửa đổi lưu lượng, rồi chuyển tiếp để máy chủ có thể thực hiện các hành động không mong muốn. Hoặc, kẻ tấn công có thể đặt làm máy chủ hoặc máy khách sau khi xác thực hợp pháp và sau đó có quyền truy cập trái phép vào dữ liệu.
        
        Giao thức SMB được sử dụng để chia sẻ tệp và để chia sẻ tệp trong các máy tính đang chạy Windows 2000 Server, Windows 2000 Professional, Windows XP Professional hoặc Windows Server 2003 hỗ trợ xác thực lẫn nhau. Xác thực lẫn nhau đóng các cuộc tấn công phiên tấn công và hỗ trợ xác thực tin nhắn. Do đó, nó ngăn chặn các cuộc tấn công man-in-the-middle. Ký SMB cung cấp xác thực này bằng cách đặt chữ ký số trong mỗi SMB. Máy khách và máy chủ sau đó xác nhận chữ ký.

      • Như một biện pháp đối phó thay thế, bạn có thể cho phép chữ ký số với IPSec để giúp bảo vệ tất cả lưu lượng truy cập mạng. Có các bộ tăng tốc dựa trên phần cứng cho việc mã hóa và ký IPSec mà bạn có thể sử dụng để giảm thiểu ảnh hưởng đến hiệu suất từ CPU của máy chủ. Không có bộ tăng tốc nào sẵn dùng để ký SMB.

      • Trong Windows 95, Windows 98 và Windows 98 Second Edition, Máy khách Dịch vụ Thư mục sử dụng ký SMB khi xác thực với máy chủ Windows Server 2003 bằng cách sử dụng xác thực NTLM. Tuy nhiên, các máy khách này không sử dụng ký SMB khi chúng xác thực với các máy chủ này bằng cách sử dụng xác thực NTLMv2. Ngoài ra, các máy chủ Windows 2000 không đáp ứng yêu cầu ký SMB từ các máy khách này. Để biết thêm thông tin, hãy xem mục 10: "Bảo mật mạng: Mức xác thực Lan Manager".

   2. Cấu hình rủi ro
      
      Dưới đây là một cài đặt cấu hình có hại: Bật máy chủ mạng Microsoft: Thiết đặt giao tiếp ký điện tử (luôn) trên máy chủ và trên bộ kiểm soát miền được truy cập bởi các máy tính dựa trên Windows không tương thích và máy tính khách dựa trên hệ điều hành bên thứ ba trong miền nội bộ hoặc bên ngoài.

   3. Lý do để bật thiết đặt này

      • Tất cả các máy tính khách cho phép cài đặt này trực tiếp thông qua sổ đăng ký hoặc thông qua cài chính sách nhóm sẽ hỗ trợ ký SMB. Nói cách khác, tất cả các máy tính khách có bật cài đặt này sẽ chạy Windows 95 với máy khách DS được cài đặt, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional hoặc Windows Server 2003.

      • Nếu máy chủ mạng Microsoft: Thông tin liên lạc ký điện tử (luôn luôn) bị vô hiệu hóa, ký SMB sẽ bị vô hiệu hóa hoàn toàn. Hoàn toàn vô hiệu hóa tất cả các ký SMB lá máy tính dễ bị tấn công phiên tấn công cướp.

   4. Lý do để tắt cài đặt này

      • Bật cài đặt này có thể làm cho hiệu suất mạng và sao chép tệp trên máy tính khách chậm hơn.

      • Bật thiết đặt này sẽ ngăn không cho máy khách không thể đàm phán ký SMB giao tiếp với máy chủ và với bộ kiểm soát miền. Điều này khiến không thể thực hiện các thao tác như kết nối miền, xác thực người dùng và máy tính hoặc truy nhập mạng theo chương trình.

   5. Tên Biểu tượng:
      
      RequireSMBSignServer

   6. Đường dẫn Đăng ký:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

   7. Ví dụ về vấn đề tương thích

      • Windows 95: Máy khách Windows 95 không cài đặt Máy khách Dịch vụ Thư mục (DS) sẽ không thể xác thực đăng nhập và sẽ nhận được thông báo lỗi sau:

        Mật khẩu miền bạn đã cung cấp không chính xác hoặc quyền truy nhập vào máy chủ đăng nhập của bạn đã bị từ chối.

      • Windows NT 4.0: Máy tính khách đang chạy phiên bản Windows NT 4.0 cũ hơn Gói Dịch vụ 3 (SP3) sẽ không xác thực đăng nhập và sẽ nhận được thông báo lỗi sau:

        Hệ thống không thể đăng nhập bạn. Đảm bảo tên người dùng và tên miền của bạn là chính xác, sau đó nhập lại mật khẩu của bạn.

        Một số máy chủ SMB không phải của Microsoft chỉ hỗ trợ trao đổi mật khẩu không mã hóa trong quá trình xác thực. (Các sàn giao dịch này còn được gọi là trao đổi "văn bản thuần".) Windows NT 4.0 SP3 và các phiên bản mới hơn, bộ chuyển hướng SMB không gửi mật khẩu không mã hóa trong quá trình xác thực máy chủ SMB trừ khi bạn thêm một mục đăng ký cụ thể.
        Để cho phép mật khẩu không mã hóa cho máy khách SMB trên Windows NT 4.0 SP 3 và hệ thống mới hơn, sửa đổi sổ đăng ký như sau:
        
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters Tên Giá trị: EnablePlainTextPassword
        
        Kiểu Dữ liệu: REG_DWORD
        
        Dữ liệu: 1
        
         

      • Windows Server 2003: Theo mặc định, thiết đặt bảo mật trên bộ kiểm soát miền chạy Windows Server 2003 được đặt cấu hình để giúp ngăn chặn việc thông tin liên lạc của bộ kiểm soát miền bị chặn hoặc can thiệp bởi người dùng có hại. Để người dùng giao tiếp thành công với bộ kiểm soát miền chạy Windows Server 2003, máy tính khách phải sử dụng cả ký hiệu SMB và mã hóa hoặc ký lưu lượng truy cập kênh bảo mật. Theo mặc định, máy khách chạy Windows NT 4.0 với Gói Dịch vụ 2 (SP2) hoặc cài đặt trước đó và các máy khách chạy Windows 95 không bật ký gói SMB. Do đó, các khách hàng này có thể không xác thực được với bộ kiểm soát miền dựa trên Windows Server 2003.

      • Cài đặt chính sách Windows 2000 và Windows Server 2003: Tùy thuộc vào nhu cầu cài đặt và cấu hình cụ thể của bạn, chúng tôi khuyên bạn nên đặt các cài đặt chính sách sau ở thực thể thấp nhất của phạm vi cần thiết trong cấu trúc phân cấp đính kèm của Trình soạn thảo Bảng điều khiển Quản lý Microsoft chính sách nhóm:

        • Cấu hình Máy tính\Bảo mật Windows Đặt\Tùy chọn Bảo mật

        • Gửi mật khẩu không mã hóa để kết nối với máy chủ SMB của bên thứ ba (cài đặt này dành cho Windows 2000)

        • Máy khách mạng Microsoft: Gửi mật khẩu không mã hóa tới máy chủ SMB của bên thứ ba (cài đặt này dành cho Windows Server 2003)

        
        Lưu ý Trong một số máy chủ CIFS của bên thứ ba, chẳng hạn như các phiên bản Samba cũ hơn, bạn không thể sử dụng mật khẩu được mã hóa.

      • Các máy khách sau đây không tương thích với máy chủ mạng Của Microsoft: Thiết đặt giao tiếp ký điện tử (luôn luôn):

        • Máy tính Apple, Inc., Máy khách Mac OS X

        • Máy khách mạng Microsoft MS-DOS (ví dụ: Microsoft LAN Manager)

        • Máy khách Microsoft Windows for Workgroups

        • Máy khách Microsoft Windows 95 không cài đặt DS Client

        • Máy tính dựa trên Microsoft Windows NT 4.0 chưa cài đặt SP3 trở lên

        • Novell Netware 6 máy khách CIFS

        • Máy khách SAMBA SMB không có hỗ trợ ký SMB

   8. Yêu cầu khởi động lại
      
      Khởi động lại máy tính hoặc khởi động lại dịch vụ Máy chủ. Để thực hiện điều này, hãy nhập các lệnh sau đây tại dấu nhắc lệnh. Nhấn Enter sau khi bạn nhập từng lệnh.

      net stop server
      net start server

7. Truy nhập mạng: Cho phép dịch SID/Tên ẩn danh

   1. Nền
      
      Truy nhập mạng: Cho phép cài đặt bảo mật dịch SID/Tên ẩn danh xác định xem người dùng ẩn danh có thể yêu cầu thuộc tính Số Nhận dạng Bảo mật (SID) cho người dùng khác hay không.

   2. Cấu hình rủi ro
      
      Bật truy nhập Mạng: Cho phép cài đặt dịch SID/Tên ẩn danh là cài đặt cấu hình có hại.

   3. Lý do để bật thiết đặt này
      
      Nếu quyền truy cập Mạng: Cho phép cài đặt dịch SID/Tên ẩn danh bị tắt, các hệ điều hành hoặc ứng dụng trước đó có thể không giao tiếp được với miền Windows Server 2003. Ví dụ: các hệ điều hành, dịch vụ hoặc ứng dụng sau đây có thể không hoạt động:

      • Máy chủ Dịch vụ Truy nhập Từ xa dựa trên Windows NT 4.0

      • Microsoft SQL Server đang chạy trên máy tính dựa trên Windows NT 3.x hoặc máy tính dựa trên Windows NT 4.0

      • Dịch vụ Truy cập Từ xa đang chạy trên máy tính chạy Windows 2000 dựa trên nằm trong miền Windows NT 3.x hoặc miền Windows NT 4.0

      • SQL Server đang chạy trên máy tính chạy Windows 2000 dựa trên các tên miền Windows NT 3.x hoặc trong miền Windows NT 4.0

      • Người dùng trong miền tài nguyên Windows NT 4.0 muốn cấp quyền truy nhập vào tệp, thư mục dùng chung và đối tượng đăng ký cho tài khoản người dùng từ miền tài khoản có chứa bộ kiểm soát miền Windows Server 2003

   4. Lý do để tắt cài đặt này
      
      Nếu cài đặt này được bật, người dùng độc hại có thể sử dụng SID quản trị viên nổi tiếng để có được tên thật của tài khoản được xây dựng trong quản trị viên, ngay cả khi tài khoản đã được đổi tên. Sau đó, người đó có thể sử dụng tên tài khoản để bắt đầu cuộc tấn công đoán bằng mật khẩu.

   5. Tên Biểu tượng: Không áp dụng

   6. Đường dẫn Sổ đăng ký: Không có. Đường dẫn được chỉ định trong mã giao diện người dùng.

   7. Ví dụ về vấn đề tương thích
      
      Windows NT 4.0: Máy tính trong miền tài nguyên Windows NT 4.0 sẽ hiển thị thông báo lỗi "Tài khoản không xác định" trong Trình soạn thảo ACL nếu tài nguyên, bao gồm thư mục dùng chung, tệp dùng chung và đối tượng đăng ký, được bảo mật với hiệu bảo mật nằm trong miền tài khoản có chứa bộ kiểm soát miền Windows Server 2003.

8. Truy cập mạng: Không cho phép liệt kê ẩn danh các tài khoản SAM

   1. Nền

      • Truy cập mạng: Không cho phép liệt kê ẩn danh tài khoản SAM thiết lập xác định các quyền bổ sung sẽ được cấp cho các kết nối vô danh đến máy tính. Windows cho phép người dùng ẩn danh thực hiện các hoạt động nhất định, chẳng hạn như liệt kê tên của máy trạm và máy chủ quản lý tài khoản bảo mật (SAM) tài khoản và chia sẻ mạng. Ví dụ, người quản trị có thể sử dụng điều này để cấp quyền truy nhập cho người dùng trong một tên miền tin cậy mà không duy trì một sự tin cậy đối ứng. Sau khi tạo phiên, người dùng ẩn danh có thể có cùng quyền truy nhập được cấp cho nhóm Mọi người dựa trên cài đặt trong Truy nhập mạng: Cho phép Mọi người áp dụng quyền cho người dùng ẩn danh hoặc danh sách kiểm soát truy nhập tùy ý (DACL) của đối tượng.
        
        Thông thường, các kết nối ẩn danh được yêu cầu bởi các phiên bản máy khách cũ hơn (máy khách mức xuống) trong quá trình thiết lập phiên SMB. Trong những trường hợp này, theo dõi mạng cho thấy rằng SMB quá trình ID (PID) là chuyển hướng khách hàng chẳng hạn như 0xFEFF trong Windows 2000 hoặc 0xCAFE trong Windows NT. RPC cũng có thể cố gắng tạo kết nối ẩn danh.

      • Quan trọng Thiết đặt này không ảnh hưởng đến bộ kiểm soát miền. Trên bộ kiểm soát miền, hành vi này được kiểm soát bởi sự hiện diện của "NT AUTHORITY\ANONYMOUS LOGON" trong "Pre-Windows 2000 compatible Access".

      • Trong Windows 2000, cài đặt tương tự được gọi là Hạn chế Bổ sung cho Kết nối Ẩn danh quản lý giá trị đăng ký RestrictAnonymous . Vị trí của giá trị này như sau

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA  

   2. Cấu hình rủi ro
      
      Cho phép truy cập mạng: Không cho phép liệt kê ẩn danh cài đặt tài khoản SAM là một cài đặt cấu hình có hại từ góc nhìn tương thích. Tắt nó là một cài đặt cấu hình có hại từ một quan điểm bảo mật.

   3. Lý do để bật thiết đặt này
      
      Một người dùng trái phép có thể nặc danh liệt kê tên tài khoản và sau đó sử dụng thông tin đó để cố gắng đoán mật khẩu hoặc thực hiện các cuộc tấn công kỹ thuật xã hội. Kỹ thuật xã hội là biệt ngữ có nghĩa là lừa mọi người tiết lộ mật khẩu của họ hoặc một số hình thức thông tin bảo mật.

   4. Lý do để tắt cài đặt này
      
      Nếu thiết đặt này được kích hoạt, nó là không thể thiết lập tin cậy với Windows NT 4.0 tên miền. Cài đặt này cũng gây ra vấn đề với máy khách mức xuống (chẳng hạn như máy khách Windows NT 3.51 và máy khách Windows 95) đang cố gắng sử dụng tài nguyên trên máy chủ.

   5. Tên Biểu tượng:
      
      
      RestrictAnonymousSAM

   6. Đường dẫn Đăng ký:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

   7. Ví dụ về vấn đề tương thích

   • SMS Network Discovery sẽ không thể nhận được thông tin hệ điều hành và sẽ viết "Không xác định" trong thuộc tính OperatingSystemNameandVersion.

   • Windows 95, Windows 98: Máy khách Windows 95 và máy khách Windows 98 sẽ không thể thay đổi mật khẩu của mình.

   • Windows NT 4.0: Windows NT 4.0 dựa trên thành viên máy tính sẽ không thể được xác thực.

   • Windows 95, Windows 98: Các máy tính dựa trên Windows 95 và Windows 98 sẽ không thể xác thực bằng bộ kiểm soát miền Của Microsoft.

   • Windows 95, Windows 98: Người dùng trên máy tính dựa trên Windows 95 và Windows 98 sẽ không thể thay đổi mật khẩu cho tài khoản người dùng của họ.

9. Truy cập mạng: Không cho phép liệt kê ẩn danh các tài khoản và chia sẻ SAM

   1. Nền

      • Truy cập mạng: Không cho phép liệt kê ẩn danh các tài khoản SAM và cài đặt chia sẻ (còn được gọi là RestrictAnonymous) xác định liệu việc liệt kê ẩn danh tài khoản và chia sẻ Trình quản lý Tài khoản Bảo mật (SAM) có được cho phép hay không. Windows cho phép người dùng ẩn danh thực hiện một số hoạt động nhất định, chẳng hạn như liệt kê tên tài khoản miền (người dùng, máy tính và nhóm) và chia sẻ mạng. Điều này là thuận tiện, ví dụ, khi người quản trị muốn cấp quyền truy nhập cho người dùng trong một tên miền tin cậy mà không duy trì một sự tin cậy đối ứng. Nếu bạn không muốn cho phép liệt kê ẩn danh các tài khoản SAM và chia sẻ, cho phép thiết lập này.

      • Trong Windows 2000, cài đặt tương tự được gọi là Hạn chế Bổ sung cho Kết nối Ẩn danh quản lý giá trị đăng ký RestrictAnonymous . Vị trí của giá trị này như sau:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

   2. Cấu hình rủi ro
      
      Cho phép truy cập mạng: Không cho phép liệt kê ẩn danh các tài khoản SAM và chia sẻ cài đặt là cài đặt cấu hình có hại.

   3. Lý do để bật thiết đặt này

      • Cho phép truy cập mạng: Không cho phép liệt kê ẩn danh các tài khoản SAM và chia sẻ thiết đặt ngăn chặn liệt kê các tài khoản SAM và chia sẻ của người dùng và máy tính đang sử dụng tài khoản ẩn danh.

   4. Lý do để tắt cài đặt này

      • Nếu thiết đặt này được bật, người dùng trái phép có thể liệt kê ẩn danh tên tài khoản và sau đó sử dụng thông tin này để cố gắng đoán mật khẩu hoặc để thực hiện các cuộc tấn công kỹ thuật xã hội. Kỹ thuật xã hội là biệt ngữ có nghĩa là lừa mọi người tiết lộ mật khẩu của họ hoặc một số hình thức thông tin bảo mật.

      • Nếu thiết đặt này được kích hoạt, nó sẽ không thể thiết lập tin cậy với Windows NT 4.0 tên miền. Thiết đặt này cũng sẽ gây ra vấn đề với xuống cấp khách hàng như Windows NT 3.51 và Windows 95 khách hàng đang cố gắng sử dụng tài nguyên trên máy chủ.

      • Sẽ không thể cấp quyền truy nhập cho người dùng miền tài nguyên vì người quản trị trong miền tin cậy sẽ không thể liệt kê danh sách các tài khoản trong miền khác. Người dùng truy nhập tệp và máy chủ in một cách ẩn danh sẽ không thể liệt kê các tài nguyên mạng dùng chung trên các máy chủ đó. Người dùng phải xác thực trước khi họ có thể xem danh sách thư mục và máy in dùng chung.

   5. Tên Biểu tượng:
      
      Hạn chế Bất danh

   6. Đường dẫn Đăng ký:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

   7. Ví dụ về vấn đề tương thích

      • Windows NT 4.0: Người dùng sẽ không thể thay đổi mật khẩu của họ từ Windows NT 4.0 máy trạm khi RestrictAnonymous được kích hoạt trên bộ kiểm soát miền trong miền của người dùng.

      • Windows NT 4.0: Thêm người dùng hoặc nhóm toàn cầu từ tin cậy Windows 2000 tên miền để Windows NT 4.0 nhóm cục bộ trong người quản lý sẽ không thành công, và thông báo lỗi sau đây sẽ xuất hiện:

        Hiện không có máy chủ đăng nhập nào để phục vụ yêu cầu đăng nhập.

      • Windows NT 4.0: Windows NT 4.0 dựa trên máy tính sẽ không thể tham gia các tên miền trong quá trình thiết lập hoặc bằng cách sử dụng tên miền tham gia giao diện người dùng.

      • Windows NT 4.0: Thiết lập mức tin cậy xuống với miền tài nguyên Windows NT 4.0 sẽ không thành công. Thông báo lỗi sau đây sẽ xuất hiện khi restrictAnonymous được bật trên miền tin cậy:

        Không thể tìm thấy bộ kiểm soát miền cho miền này.

      • Windows NT 4.0: Người dùng đăng nhập vào Windows NT 4.0 dựa trên Máy chủ Đầu cuối máy tính sẽ ánh xạ đến thư mục trang chủ mặc định thay vì thư mục trang chủ được xác định trong trình quản lý người dùng cho tên miền.

      • Windows NT 4.0: Bộ kiểm soát miền sao lưu Windows NT 4.0 (BDCs) sẽ không thể khởi động dịch vụ Net Logon, có được danh sách các trình duyệt sao lưu hoặc đồng bộ hóa cơ sở dữ liệu SAM từ Windows 2000 hoặc từ bộ kiểm soát miền Windows Server 2003 trong cùng một tên miền.

      • Windows 2000: Windows 2000 dựa trên các máy tính thành viên trong Windows NT 4.0 tên miền sẽ không thể xem máy in trong tên miền bên ngoài nếu không truy cập mà không rõ ràng vô danh quyền thiết đặt được kích hoạt trong chính sách bảo mật cục bộ của máy tính khách.

      • Windows 2000: Người dùng miền Windows 2000 sẽ không thể thêm máy in mạng từ Active Directory; Tuy nhiên, họ sẽ có thể thêm máy in sau khi chọn máy in từ dạng xem cây.

      • Windows 2000: Trên máy tính chạy Windows 2000, Trình soạn thảo ACL sẽ không thể thêm người dùng hoặc nhóm toàn cầu từ miền Windows NT 4.0 đáng tin cậy.

      • ADMT phiên bản 2: Sẽ không di chuyển được mật khẩu cho tài khoản người dùng được di chuyển giữa các rừng bằng Công cụ Di chuyển Active Directory (ADMT) phiên bản 2.
        
        Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:

        322981 Cách khắc phục sự cố di chuyển mật khẩu liên rừng với ADMTv2

      • Máy khách Outlook: Danh sách địa chỉ toàn cầu sẽ xuất hiện trống đối với máy khách Microsoft Exchange Outlook.

      • SMS: Microsoft Systems Management Server (SMS) Network Discovery sẽ không thể nhận thông tin hệ điều hành. Do đó, nó sẽ ghi "Không xác định" trong thuộc tính OperatingSystemNameandVersion của thuộc tính SMS DDR của bản ghi dữ liệu khám phá (DDR).

      • SMS: Khi bạn sử dụng Trình hướng dẫn Người dùng Người quản trị SMS để duyệt tìm người dùng và nhóm, sẽ không có người dùng hoặc nhóm nào được liệt kê. Ngoài ra, nâng cao khách hàng không thể giao tiếp với điểm quản lý. Cần có quyền truy nhập ẩn danh trên Điểm Quản lý.

      • SMS: Khi bạn đang sử dụng tính năng Phát hiện Mạng trong SMS 2.0 và trong Cài đặt Máy khách Từ xa với tùy chọn Phát hiện mạng của hệ điều hành máy khách, máy khách và máy khách, máy tính có thể được phát hiện nhưng không thể được cài đặt.

10. Bảo mật mạng: Mức xác thực Lan Manager

    1. Nền
       
       Xác thực Trình quản lý LAN (LM) là giao thức được sử dụng để xác thực máy khách Windows cho các hoạt động mạng, bao gồm kết nối miền, truy nhập tài nguyên mạng và xác thực người dùng hoặc máy tính. Mức xác thực LM xác định thách thức/phản hồi xác thực giao thức được đàm phán giữa các khách hàng và máy chủ máy tính. Cụ thể, mức xác thực LM xác định giao thức xác thực khách hàng sẽ cố gắng đàm phán hoặc rằng máy chủ sẽ chấp nhận. Giá trị được đặt cho LmCompatibilityLevel sẽ xác định giao thức xác thực thử thách/phản hồi nào được sử dụng cho đăng nhập mạng. Giá trị này ảnh hưởng đến mức độ giao thức xác thực mà máy khách sử dụng, mức độ bảo mật phiên đã đàm phán và mức xác thực được chấp nhận bởi máy chủ.
       
       Các cài đặt có thể có bao gồm những điều sau đây.

       Giá trị	Cài đặt	Mô tả
       0	Gửi phản hồi của LM & NTLM	Máy khách sử dụng xác thực LM và NTLM và không bao giờ sử dụng bảo mật phiên NTLMv2. Bộ kiểm soát miền chấp nhận xác thực LM, NTLM và NTLMv2.
       1	Gửi LM & NTLM - sử dụng bảo mật phiên NTLMv2 nếu đã đàm phán	Máy khách sử dụng xác thực LM và NTLM và sử dụng bảo mật phiên NTLMv2 nếu máy chủ hỗ trợ xác thực đó. Bộ kiểm soát miền chấp nhận xác thực LM, NTLM và NTLMv2.
       2	Chỉ gửi phản hồi NTLM	Máy khách chỉ sử dụng xác thực NTLM và sử dụng bảo mật phiên NTLMv2 nếu máy chủ hỗ trợ xác thực đó. Bộ kiểm soát miền chấp nhận xác thực LM, NTLM và NTLMv2.
       3	Chỉ gửi phản hồi NTLMv2	Máy khách chỉ sử dụng xác thực NTLMv2 và sử dụng bảo mật phiên NTLMv2 nếu máy chủ hỗ trợ xác thực đó. Bộ kiểm soát miền chấp nhận xác thực LM, NTLM và NTLMv2.
       4	Chỉ gửi phản hồi NTLMv2/từ chối LM	Máy khách chỉ sử dụng xác thực NTLMv2 và sử dụng bảo mật phiên NTLMv2 nếu máy chủ hỗ trợ xác thực đó. Bộ kiểm soát miền từ chối LM và chỉ chấp nhận xác thực NTLM và NTLMv2.
       5	Chỉ gửi phản hồi NTLMv2/từ chối LM & NTLM	Máy khách chỉ sử dụng xác thực NTLMv2 và sử dụng bảo mật phiên NTLMv2 nếu máy chủ hỗ trợ xác thực đó. Bộ kiểm soát miền từ chối LM và NTLM và chỉ chấp nhận xác thực NTLMv2.

       Lưu ý Trong Windows 95, Windows 98 và Windows 98 Second Edition, Máy khách Dịch vụ Thư mục sử dụng ký SMB khi xác thực với máy chủ Windows Server 2003 bằng cách sử dụng xác thực NTLM. Tuy nhiên, các máy khách này không sử dụng ký SMB khi chúng xác thực với các máy chủ này bằng cách sử dụng xác thực NTLMv2. Ngoài ra, các máy chủ Windows 2000 không đáp ứng yêu cầu ký SMB từ các máy khách này.
       
       Kiểm tra mức xác thực LM: Bạn phải thay đổi chính sách trên máy chủ để cho phép NTLM, hoặc bạn phải cấu hình máy tính khách để hỗ trợ NTLMv2.
       
       Nếu chính sách được đặt thành (5) Chỉ gửi phản hồi NTLMv2\từ chối LM & NTLM trên máy tính đích mà bạn muốn kết nối, bạn phải hạ thấp cài đặt trên máy tính đó hoặc đặt bảo mật thành cùng một thiết đặt nằm trên máy tính nguồn mà bạn đang kết nối từ đó.
       
       Tìm vị trí chính xác nơi bạn có thể thay đổi mức xác thực trình quản lý LAN để đặt máy khách và máy chủ ở cùng một mức. Sau khi bạn tìm thấy chính sách đó là thiết lập mức xác thực trình quản lý LAN, nếu bạn muốn kết nối đến và từ các máy tính đang chạy phiên bản trước đó của Windows, thấp hơn giá trị ít nhất (1) Gửi LM & NTLM - sử dụng NTLM phiên bản 2 phiên bảo mật nếu đàm phán. Một trong những hiệu ứng của cài đặt không tương thích là nếu máy chủ yêu cầu NTLMv2 (giá trị 5), nhưng khách hàng được cấu hình để sử dụng LM và NTLMv1 chỉ (giá trị 0), người dùng cố gắng xác thực trải nghiệm một thất bại đăng nhập có mật khẩu xấu và tăng số lượng mật khẩu xấu. Nếu khóa tài khoản được cấu hình, người dùng cuối cùng có thể bị khóa.
       
       Ví dụ, bạn có thể phải tìm trên bộ kiểm soát miền, hoặc bạn có thể phải kiểm tra chính sách của bộ kiểm soát miền.
       
       Tìm trên bộ điều khiển miền
       
       Lưu ý Bạn có thể phải lặp lại các thủ tục sau đây trên tất cả các bộ kiểm soát miền.

       1. Bấm Vào Bắt đầu, trỏ tới Chương trình, rồi bấm vào Công cụ Quản trị.

       2. Trong Cài đặt Bảo mật Cục bộ, mở rộng Chính sách Cục bộ.

       3. Bấm vào Tùy chọn Bảo mật.

       4. Bấm đúp vào Bảo mật Mạng: Mức xác thực trình quản lý LAN, rồi bấm vào một giá trị trong danh sách.

       
       Nếu Cài đặt Hiệu quả và Thiết đặt Cục bộ giống nhau thì chính sách đã được thay đổi ở mức này. Nếu các thiết đặt là khác nhau, bạn phải kiểm tra chính sách của bộ kiểm soát miền để xác định liệu mạng bảo mật: mạng lưới quản lý xác thực cấp thiết đặt được xác định ở đó. Nếu nó không được xác định ở đó, kiểm tra chính sách của bộ kiểm soát miền.
       
       Kiểm tra chính sách của bộ kiểm soát miền

       1. Bấm Vào Bắt đầu, trỏ tới Chương trình, rồi bấm vào Công cụ Quản trị.

       2. Trong chính sách Bảo mật của Bộ kiểm soát miền, mở rộng Cài đặt Bảo mật, sau đó mở rộng Chính sách Cục bộ.

       3. Bấm vào Tùy chọn Bảo mật.

       4. Bấm đúp vào Bảo mật Mạng: Mức xác thực trình quản lý LAN, rồi bấm vào một giá trị trong danh sách.

       
       Lưu ý

       • Bạn cũng có thể phải kiểm tra các chính sách được liên kết ở cấp độ site, mức tên miền, hoặc đơn vị tổ chức (OU) cấp để xác định nơi bạn phải cấu hình mức xác thực trình quản lý LAN.

       • Nếu bạn thực hiện một thiết chính sách nhóm làm chính sách tên miền mặc định, chính sách sẽ được áp dụng cho tất cả các máy tính trong miền.

       • Nếu bạn thực hiện một chính sách nhóm đặt như là bộ kiểm soát miền mặc định của chính sách, chính sách áp dụng chỉ cho các máy chủ trong OU của bộ kiểm soát miền.

       • Đó là một ý tưởng tốt để thiết lập mức xác thực trình quản lý LAN trong thực thể thấp nhất của phạm vi cần thiết trong cấu trúc phân cấp ứng dụng chính sách.

       Windows Server 2003 có cài đặt mặc định mới để chỉ sử dụng NTLMv2. Theo mặc định, bộ kiểm soát miền dựa trên Windows Server 2003 và Windows 2000 Server SP3 đã bật chính sách "Máy chủ mạng Microsoft: Liên lạc ký điện tử (luôn luôn)". Thiết đặt này yêu cầu máy chủ SMB để thực hiện ký gói SMB. Các thay đổi đối với Windows Server 2003 được thực hiện vì bộ kiểm soát miền, máy chủ tệp, máy chủ cơ sở hạ tầng mạng và máy chủ Web trong bất kỳ tổ chức nào đều yêu cầu cài đặt khác nhau để tối đa hóa bảo mật.
       
       Nếu bạn muốn thực hiện xác thực NTLMv2 trong mạng của mình, bạn phải đảm bảo rằng tất cả các máy tính trong miền được đặt để sử dụng mức xác thực này. Nếu bạn áp dụng Phần mở rộng Máy khách Active Directory cho Windows 95 hoặc Windows 98 và Windows NT 4.0, phần mở rộng máy khách sẽ sử dụng các tính năng xác thực được cải thiện có sẵn trong NTLMv2. Vì máy tính khách đang chạy bất kỳ hệ điều hành nào sau đây không bị ảnh hưởng bởi Windows 2000 chính sách nhóm Đối tượng, bạn có thể phải cấu hình các máy khách này theo cách thủ công:

       • Microsoft Windows NT 4.0

       • Microsoft Windows Millennium Edition

       • Microsoft Windows 98

       • Microsoft Windows 95

       Lưu ý Nếu bạn bật bảo mật mạng: Không lưu trữ giá trị băm trình quản lý LAN trên chính sách thay đổi mật khẩu tiếp theo hoặc đặt khóa đăng ký NoLMHash , máy khách dựa trên Windows 95 và Windows 98 không cài đặt Máy khách Dịch vụ Thư mục không thể đăng nhập vào miền sau khi thay đổi mật khẩu.
       
       Nhiều máy chủ CIFS của bên thứ ba, chẳng hạn như Novell Netware 6, không biết về NTLMv2 và chỉ sử dụng NTLM. Vì vậy, mức độ lớn hơn 2 không cho phép kết nối. Ngoài ra còn có các máy khách SMB của bên thứ ba không sử dụng bảo mật phiên mở rộng. Trong những trường hợp này, LmCompatiblityLevel của máy chủ tài nguyên không được đưa vào xem xét. Sau đó, máy chủ sẽ đóng gói yêu cầu kế thừa này và gửi yêu cầu đó đến Bộ kiểm soát Miền Người dùng. Các thiết đặt trên Bộ kiểm soát Miền sau đó quyết định những b giờ nào được sử dụng để xác minh yêu cầu và liệu những hàm này có đáp ứng các yêu cầu bảo mật của Bộ kiểm soát Miền hay không.
       
        

       299656 Làm thế nào để ngăn chặn Windows từ lưu trữ một băm người quản lý LAN của mật khẩu của bạn trong Active Directory và cơ sở dữ liệu SAM cục bộ
        

       2701704Sự kiện kiểm tra hiển thị gói xác thực dưới dạng NTLMv1 thay vì NTLMv2 Để biết thêm thông tin về mức xác thực LM, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Tri thức Microsoft:

       239869 Cách bật xác thực NTLM 2
        

    2. Cấu hình rủi ro
       
       Sau đây là các cài đặt cấu hình có hại:

       • Cài đặt không hạn chế gửi mật khẩu trong văn bản rõ ràng và từ chối đàm phán NTLMv2

       • Thiết đặt hạn chế ngăn máy khách hoặc bộ kiểm soát miền không tương thích với giao thức xác thực thông thường

       • Yêu cầu xác thực NTLMv2 trên máy tính thành viên và bộ kiểm soát miền đang chạy phiên bản Windows NT 4.0 cũ hơn Gói Dịch vụ 4 (SP4)

       • Yêu cầu xác thực NTLMv2 trên máy khách Windows 95 hoặc trên máy khách Windows 98 không cài đặt Máy khách Dịch vụ Thư mục Windows.

       • Nếu bạn bấm để chọn hộp kiểm Yêu cầu bảo mật phiên NTLMv2 trong trình soạn thảo Bảng điều khiển Quản lý Microsoft chính sách nhóm trên máy tính dựa trên Windows Server 2003 hoặc Windows 2000 Gói Dịch vụ 3 và bạn giảm mức xác thực trình quản lý LAN xuống 0, hai cài đặt xung đột và bạn có thể nhận được thông báo lỗi sau trong tệp Secpol.msc hoặc tệp GPEdit.msc:

         Windows không thể mở cơ sở dữ liệu chính sách cục bộ. Đã xảy ra lỗi không xác định khi tìm cách mở cơ sở dữ liệu.

         Để biết thêm thông tin về Công cụ Phân tích và Cấu hình Bảo mật, hãy xem các tệp Trợ giúp về Windows 2000 hoặc Windows Server 2003.

    3. Lý do sửa đổi cài đặt này

       • Bạn muốn tăng giao thức xác thực thông thường thấp nhất được hỗ trợ bởi máy khách và bộ kiểm soát miền trong tổ chức của bạn.

       • Khi xác thực an toàn là yêu cầu kinh doanh, bạn muốn không cho phép đàm phán về giao thức LM và NTLM.

    4. Lý do để tắt cài đặt này
       
       Yêu cầu xác thực máy khách hoặc máy chủ hoặc cả hai đã được tăng lên đến mức không thể xác thực qua giao thức chung.

    5. Tên Biểu tượng:
       
       LmCompatibilityLevel

    6. Đường dẫn Đăng ký:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. Ví dụ về vấn đề tương thích

       • Windows Server 2003: Theo mặc định, cài đặt phản hồi Gửi NTLM của Windows Server 2003 được bật. Vì vậy, Windows Server 2003 nhận được thông báo lỗi "Truy cập bị từ chối" sau khi cài đặt ban đầu khi bạn cố gắng kết nối với một cụm dựa trên Windows NT 4.0 hoặc máy chủ lanmanager V2.1 dựa trên, chẳng hạn như OS/2 Lanserver. Sự cố này cũng xảy ra nếu bạn cố gắng kết nối từ máy khách phiên bản trước với máy chủ dựa trên Windows Server 2003.

       • Bạn cài đặt Windows 2000 Security Rollup Package 1 (SRP1). SRP1 buộc NTLM phiên bản 2 (NTLMv2). Gói tổng hợp này được phát hành sau khi phát hành Windows 2000 Gói Dịch vụ 2 (SP2).
          

       • Windows 7 và Windows Server 2008 R2: Nhiều máy chủ CIFS bên thứ ba, chẳng hạn như Novell Netware 6 hoặc máy chủ Samba dựa trên Linux, không biết NTLMv2 và chỉ sử dụng NTLM. Vì vậy, mức độ lớn hơn "2" không cho phép kết nối. Bây giờ trong phiên bản này của hệ điều hành, mặc định cho LmCompatibilityLevel đã được thay đổi thành "3". Vì vậy, khi bạn nâng cấp Windows, các trình gửi của bên thứ ba này có thể ngừng hoạt động.

       • Máy khách Microsoft Outlook có thể được nhắc nhập thông tin xác thực ngay cả khi chúng đã đăng nhập vào miền. Khi người dùng cung cấp thông tin xác thực, họ sẽ nhận được thông báo lỗi sau: Windows 7 và Windows Server 2008 R2

         Thông tin đăng nhập được cung cấp không chính xác. Đảm bảo tên người dùng và tên miền của bạn chính xác, sau đó nhập lại mật khẩu của bạn.

         Khi khởi động Outlook, bạn có thể được nhắc nhập thông tin xác thực của mình ngay cả khi thiết đặt Bảo mật Mạng Đăng nhập của bạn được đặt thành Thông qua hoặc Xác thực Mật khẩu. Sau khi nhập thông tin xác thực chính xác, bạn có thể nhận được thông báo lỗi sau:

         Thông tin đăng nhập được cung cấp không chính xác.

         A Network Monitor trace may show that the global catalog issued a remote procedure call (RPC) fault with a status of 0x5. Trạng thái đăng ký có 0x5 nghĩa là "Quyền truy nhập bị Từ chối".

       • Windows 2000: Chụp màn hình mạng có thể hiển thị các lỗi sau đây trong NetBIOS qua TCP/IP (NetBT) server message block (SMB) phiên:

         Lỗi SMB R Search Directory Dos, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Mã định danh người dùng không hợp lệ

       • Windows 2000: Nếu miền Windows 2000 có NTLMv2 Mức 2 trở lên được tin cậy bởi miền Windows NT 4.0, thì các máy tính thành viên dựa trên Windows 2000 trong miền tài nguyên có thể gặp lỗi xác thực.

       • Windows 2000 và Windows XP: Theo mặc định, Windows 2000 và Windows XP đặt tùy chọn Chính sách Bảo mật Cục bộ Mức Xác thực Trình quản lý LAN là 0. Cài đặt 0 có nghĩa là "Gửi phản hồi LM và NTLM".
         
         Lưu ý Windows NT 4.0 dựa trên cụm phải sử dụng LM cho chính quyền.

       • Windows 2000: Windows 2000 phân cụm không xác thực nút tham gia nếu cả hai nút đều là một phần của miền Windows NT 4.0 Gói dịch vụ 6a (SP6a).

       • Công cụ Khóa IIS (HiSecWeb) đặt giá trị LMCompatibilityLevel thành 5 và giá trị RestrictAnonymous là 2.

       • Dịch vụ cho Macintosh
         
         Mô-đun Xác thực Người dùng (UAM): Microsoft UAM (Mô-đun Xác thực Người dùng) cung cấp phương pháp mã hóa mật khẩu mà bạn sử dụng để đăng nhập vào máy chủ Windows AFP (Giao thức nộp đơn AppleTalk). Mô-đun Xác thực Người dùng Apple (UAM) chỉ cung cấp mã hóa tối thiểu hoặc không có mã hóa. Do đó, mật khẩu của bạn có thể dễ dàng bị chặn trên mạng LAN hoặc trên Internet. Mặc dù không bắt buộc sử dụng UAM, nhưng UAM cung cấp xác thực được mã hóa cho máy chủ Windows 2000 chạy Dịch vụ Cho Macintosh. Phiên bản này bao gồm hỗ trợ cho xác thực mã hóa NTLMv2 128 bit và bản phát hành tương thích MacOS X 10.1.
         
         Theo mặc định, Windows Server 2003 Services cho máy chủ Macintosh chỉ cho phép Microsoft Authentication.
          

       • Windows Server 2008, Windows Server 2003, Windows XP và Windows 2000: Nếu bạn đặt cấu hình giá trị LMCompatibilityLevel là 0 hoặc 1 rồi đặt cấu hình giá trị NoLMHash là 1, các ứng dụng và cấu phần có thể bị từ chối truy nhập thông qua NTLM. Sự cố này xảy ra vì máy tính được cấu hình để cho phép LM nhưng không sử dụng LM lưu trữ mật khẩu.
         
         Nếu bạn đặt cấu hình giá trị NoLMHash là 1, bạn phải đặt cấu hình giá trị LMCompatibilityLevel thành 2 hoặc cao hơn.

11. Bảo mật mạng: Yêu cầu ký máy khách LDAP

    1. Nền
       
       Bảo mật mạng: Cài đặt yêu cầu ký máy khách LDAP xác định mức ký dữ liệu được yêu cầu thay mặt cho máy khách phát hành yêu cầu BIND Giao thức Truy nhập Thư mục Hạng nhẹ (LDAP) như sau:

       • Không có: Yêu cầu BIND LDAP được phát hành cùng với các tùy chọn do người gọi chỉ định.

       • Đàm phán ký: Nếu Tầng Khe Bảo mật/Bảo mật Tầng Vận chuyển (SSL/TLS) chưa được bắt đầu, yêu cầu BIND LDAP được khởi tạo với tùy chọn ký dữ liệu LDAP được thiết lập ngoài các tùy chọn chỉ định người gọi. Nếu SSL/TLS đã được bắt đầu, yêu cầu BIND LDAP được khởi tạo với các tùy chọn do người gọi chỉ định.

       • Yêu cầu ký: Điều này giống như đàm phán ký. Tuy nhiên, nếu phản hồi trung gian saslBindInProgress của máy chủ LDAP không chỉ ra rằng ký lưu lượng truy cập LDAP là bắt buộc, người gọi được thông báo rằng yêu cầu lệnh BIND LDAP không thành công.

    2. Cấu hình rủi ro
       
       Bật Bảo mật mạng: Cài đặt yêu cầu ký máy khách LDAP là cài đặt cấu hình có hại. Nếu bạn đặt máy chủ yêu cầu chữ ký LDAP, bạn cũng phải cấu hình ký LDAP trên máy khách. Không cấu hình máy khách để sử dụng chữ ký LDAP sẽ ngăn chặn giao tiếp với máy chủ. Điều này khiến không thể xác thực người chính sách nhóm, thiết đặt đăng nhập, tập lệnh đăng nhập và các tính năng khác.

    3. Lý do sửa đổi cài đặt này
       
       Lưu lượng truy cập mạng không được ký dễ bị tấn công xen giữa (man-in-the-middle) khi kẻ đột nhập chiếm giữ các gói tin giữa máy khách và máy chủ, sửa đổi chúng, sau đó chuyển tiếp chúng đến máy chủ. Khi điều này xảy ra trên máy chủ LDAP, kẻ tấn công có thể khiến máy chủ phản hồi dựa trên truy vấn sai từ máy khách LDAP. Bạn có thể giảm rủi ro này trong mạng công ty bằng cách thực hiện các biện pháp bảo mật vật lý mạnh nhằm giúp bảo vệ cơ sở hạ tầng mạng. Ngoài ra, bạn có thể giúp ngăn chặn tất cả các loại cuộc tấn công xen giữa bằng cách yêu cầu chữ ký số trên tất cả các gói tin mạng bằng phương tiện tiêu đề xác thực IPSec.

    4. Tên Biểu tượng:
       
       Tính toàn vẹn LDAPClient

    5. Đường dẫn Đăng ký:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

12. Nhật ký Sự kiện: Kích thước nhật ký bảo mật tối đa

    1. Nền
       
       Nhật ký Sự kiện: Thiết đặt bảo mật kích cỡ nhật ký bảo mật tối đa chỉ định kích cỡ tối đa của nhật ký sự kiện bảo mật. Nhật ký này có kích thước tối đa là 4 GB. Để tìm cài đặt này, hãy mở rộng
       Cài đặt Windows, sau đó mở rộng Cài đặt Bảo mật.

    2. Cấu hình rủi ro
       
       Sau đây là các cài đặt cấu hình có hại:

       • Hạn chế kích thước nhật ký bảo mật và phương pháp duy trì nhật ký bảo mật khi kiểm tra: Tắt hệ thống ngay lập tức nếu không thể đăng nhập kiểm tra bảo mật được kích hoạt. Xem phần "Kiểm tra: Tắt hệ thống ngay lập tức nếu không thể ghi nhật ký kiểm tra bảo mật" của bài viết này để biết thêm chi tiết.

       • Hạn chế kích cỡ nhật ký bảo mật để ghi đè các sự kiện bảo mật quan tâm.

    3. Lý do Tăng Thiết đặt Này
       
       Các yêu cầu về kinh doanh và bảo mật có thể yêu cầu bạn tăng kích cỡ nhật ký bảo mật để xử lý thêm chi tiết nhật ký bảo mật hoặc giữ lại nhật ký bảo mật trong một khoảng thời gian dài hơn.

    4. Lý do giảm Thiết đặt Này Trình xem sự kiện
       
       nhật ký là các tệp được ánh xạ bằng bộ nhớ. Kích thước tối đa của một nhật ký sự kiện bị hạn chế bởi số lượng bộ nhớ vật lý trong máy tính cục bộ và bộ nhớ ảo có sẵn cho quá trình nhật ký sự kiện. Tăng kích thước nhật ký vượt quá số lượng bộ nhớ ảo có sẵn để Trình xem sự kiện không tăng số lượng các mục nhật ký được duy trì.

    5. Ví dụ về vấn đề tương thích
       
       Windows 2000: Các máy tính đang chạy phiên bản Windows 2000 cũ hơn Gói Dịch vụ 4 (SP4) có thể ngừng ghi nhật ký các sự kiện trong nhật ký sự kiện trước khi đạt kích cỡ được chỉ định trong thiết đặt Kích cỡ nhật ký tối đa trong Trình xem sự kiện nếu tùy chọn Không ghi đè sự kiện (xóa nhật ký theo cách thủ công) được bật.
       
       
        

13. Nhật ký Sự kiện: Giữ lại nhật ký bảo mật

    1. Nền
       
       Nhật ký Sự kiện: Giữ lại thiết đặt bảo mật nhật ký bảo mật xác định phương pháp "ngắt dòng" đối với nhật ký bảo mật. Để tìm cài đặt này, hãy mở rộng Cài đặt Windows, sau đó mở rộng Cài đặt Bảo mật.

    2. Cấu hình rủi ro
       
       Sau đây là các cài đặt cấu hình có hại:

       • Không lưu giữ tất cả các sự kiện bảo mật đã ghi nhật ký trước khi chúng bị ghi đè

       • Đặt cấu hình cài đặt Kích cỡ nhật ký bảo mật tối đa quá nhỏ để các sự kiện bảo mật bị ghi đè

       • Hạn chế kích thước nhật ký bảo mật và phương pháp duy trì trong khi kiểm tra: Tắt hệ thống ngay lập tức nếu không thể ghi nhật ký kiểm tra bảo mật thiết đặt bảo mật được bật

    3. Lý do để bật thiết đặt này
       
       Bật thiết đặt này chỉ khi bạn chọn phương pháp lưu giữ sự kiện ghi đè theo ngày. Nếu bạn sử dụng một hệ thống tương quan sự kiện bỏ phiếu cho các sự kiện, hãy đảm bảo rằng số ngày ít nhất ba lần tần suất bỏ phiếu. Thực hiện điều này để cho phép các chu kỳ bỏ phiếu thất bại.

14. Truy nhập mạng: Cho phép mọi người được quyền áp dụng cho người dùng ẩn danh

    1. Nền
       
       Theo mặc định, cài đặt Truy nhập mạng: Cho phép mọi người áp dụng quyền cho người dùng ẩn danh được đặt thành Không được Xác định trên Windows Server 2003. Theo mặc định, Windows Server 2003 không bao gồm mã thông báo Truy nhập Ẩn danh trong nhóm Mọi người.

    2. Ví dụ về Vấn đề Tương thích
       
       Giá trị sau đây của

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous [REG_DWORD]=0x0 phá vỡ sự tin tưởng tạo giữa Windows Server 2003 và Windows NT 4.0, khi miền Windows Server 2003 là miền tài khoản và miền Windows NT 4.0 là miền tài nguyên. Điều này có nghĩa là tên miền tài khoản đáng tin cậy trên Windows NT 4.0 và miền tài nguyên tin cậy ở phía Windows Server 2003. Hành vi này xảy ra vì quá trình để bắt đầu tin cậy sau khi kết nối vô danh ban đầu là ACL'd với tất cả mọi người mã thông báo bao gồm SID vô danh trên Windows NT 4.0.

    3. Lý do sửa đổi cài đặt này
       
       Giá trị phải được đặt thành 0x1 hoặc đặt bằng cách sử dụng GPO trên OU của bộ kiểm soát miền là: Quyền truy nhập mạng: Cho phép Mọi người áp dụng quyền cho người dùng ẩn danh - Đã bật để tạo tin cậy có thể.
       
       Lưu ý Hầu hết các thiết đặt bảo mật khác tăng giá trị thay vì xuống đến 0x0 trạng thái an toàn nhất của chúng. Một thực hành an toàn hơn sẽ là thay đổi sổ đăng ký trên bộ mô phỏng bộ kiểm soát miền chính thay vì trên tất cả các bộ kiểm soát miền. Nếu vai trò mô phỏng bộ kiểm soát miền chính được di chuyển vì bất kỳ lý do nào, sổ đăng ký phải được cập nhật trên máy chủ mới.
       
       Bắt buộc phải khởi động lại sau khi đặt giá trị này.

    4. Đường dẫn Đăng ký

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

15. Xác thực NTLMv2

    1. Bảo mật phiên
       
       Bảo mật phiên xác định các tiêu chuẩn bảo mật tối thiểu cho phiên máy khách và máy chủ. Bạn nên xác minh các cài đặt chính sách bảo mật sau đây trong phần đính kèm Bảng điều khiển Quản chính sách nhóm Microsoft:

       • Cài đặt Máy tính\Cài đặt Windows\Cài đặt Bảo mật\Chính sách Cục bộ\Tùy chọn Bảo mật

       • Bảo mật mạng: Bảo mật phiên tối thiểu cho máy chủ dựa trên NTLM SSP (bao gồm RPC an toàn)

       • Bảo mật mạng: Bảo mật phiên tối thiểu cho máy khách NTLM SSP dựa trên (bao gồm cả RPC an toàn)

       Các tùy chọn cho các cài đặt này như sau:

       • Yêu cầu tính toàn vẹn của thư

       • Yêu cầu bảo mật thư

       • Yêu cầu bảo mật phiên NTLM phiên bản 2

       • Yêu cầu mã hóa 128 bit

       Cài đặt mặc định trước Windows 7 là Không yêu cầu. Bắt đầu với Windows 7, phần mặc định được thay đổi thành Yêu cầu mã hóa 128 bit để tăng cường bảo mật. Với mặc định này, các thiết bị cũ không hỗ trợ mã hóa 128 bit sẽ không thể kết nối.
       
       Các chính sách này xác định các tiêu chuẩn bảo mật tối thiểu cho một ứng dụng để ứng dụng thông tin phiên trên một máy chủ cho một khách hàng.
       
       Lưu ý rằng mặc dù được mô tả như là thiết đặt hợp lệ, cờ yêu cầu tính toàn vẹn và bảo mật thư không được sử dụng khi NTLM phiên bảo mật được xác định.
       
       Trong lịch sử, Windows NT đã hỗ trợ hai biến thể sau đây của thách thức/phản ứng xác thực cho mạng đăng nhập:

       • Thách thức/phản hồi LM

       • NTLM phiên bản 1 thách thức/phản hồi

       LM cho phép tương tác với các cơ sở cài đặt của khách hàng và máy chủ. NTLM cung cấp khả năng bảo mật được cải thiện cho các kết nối giữa máy khách và máy chủ.
       
       Các khóa đăng ký tương ứng như sau:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

    2. Cấu hình rủi ro
       
       Cài đặt này kiểm soát cách các phiên mạng được bảo mật bằng cách sử dụng NTLM sẽ được xử lý. Điều này ảnh hưởng đến các phiên dựa trên RPC được xác thực bằng NTLM, ví dụ: Có những rủi ro sau:

       • Sử dụng các phương pháp xác thực cũ hơn NTLMv2 giúp dễ dàng tấn công giao tiếp hơn do các phương pháp băm đơn giản hơn được sử dụng.

       • Sử dụng các khóa mã hóa thấp hơn 128 bit cho phép kẻ tấn công phá vỡ giao tiếp bằng cách sử dụng vũ lực tấn công.

Đồng bộ hóa thời gian

Đồng bộ hóa thời gian không thành công. Thời gian tắt hơn 30 phút trên một máy tính bị ảnh hưởng. Đảm bảo rằng đồng hồ của máy tính khách được đồng bộ hóa với đồng hồ của bộ kiểm soát miền.

Giải pháp thay thế cho ký SMB

Chúng tôi khuyên bạn nên cài đặt Gói Dịch vụ 6a (SP6a) trên máy khách Windows NT 4.0 tương thích với miền dựa trên Windows Server 2003. Máy khách dựa trên Windows 98 Phiên bản Thứ hai, máy khách dựa trên Windows 98 và máy khách dựa trên Windows 95 phải chạy Máy khách Dịch vụ Thư mục để thực hiện NTLMv2. Nếu máy khách dựa trên Windows NT 4.0 không cài đặt Windows NT 4.0 SP6 hoặc nếu máy khách dựa trên Windows 95, máy khách dựa trên Windows 98 và máy khách dựa trên Windows 98SE không cài đặt Máy khách Dịch vụ Thư mục, hãy tắt đăng nhập SMB trong thiết đặt chính sách của bộ kiểm soát miền mặc định trên OU của bộ điều khiển miền, sau đó liên kết chính sách này với tất cả OUs lưu trữ bộ kiểm soát miền.

Máy khách Dịch vụ Thư mục cho Windows 98 Second Edition, Windows 98 và Windows 95 sẽ thực hiện Ký SMB với các máy chủ Windows 2003 theo xác thực NTLM, chứ không phải trong xác thực NTLMv2. Ngoài ra, máy chủ Windows 2000 sẽ không phản hồi yêu cầu Ký SMB từ các máy khách này.

Mặc dù chúng tôi không khuyên dùng tùy chọn này nhưng bạn có thể ngăn việc ký SMB được yêu cầu trên tất cả các bộ kiểm soát miền chạy Windows Server 2003 trong miền. Để đặt cấu hình cài đặt bảo mật này, hãy làm theo các bước sau:

1. Mở chính sách của bộ kiểm soát miền mặc định.

2. Mở thư mục Cấu hình Máy tính\Cài đặt Windows\Cài đặt Bảo mật\Chính sách Cục bộ\Tùy chọn Bảo mật.

3. Định vị, rồi bấm vào máy chủ mạng Microsoft: Thiết đặt chính sách ký điện tử cho thông tin liên lạc (luôn luôn), rồi bấm vào Tắt.

Quan trọng Mục, phương pháp hoặc tác vụ này chứa các bước cho bạn biết cách sửa đổi sổ đăng ký. Tuy nhiên, các vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi sổ đăng ký không chính xác. Do đó, hãy đảm bảo rằng bạn làm theo các bước sau một cách cẩn thận. Để tăng thêm khả năng bảo vệ, hãy sao lưu sổ đăng ký trước khi bạn sửa đổi. Sau đó, bạn có thể khôi phục sổ đăng ký nếu sự cố xảy ra. Để biết thêm thông tin về cách sao lưu và khôi phục sổ đăng ký, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:

322756 Cách sao lưu và khôi phục sổ đăng ký trong Windows Ngoài ra, hãy tắt ký SMB trên máy chủ bằng cách sửa đổi sổ đăng ký. Để thực hiện điều này, hãy làm theo các bước sau:

1. Bấm vào Bắt đầu, bấm vào Chạy, nhập regedit, rồi bấm ok.

2. Định vị, rồi bấm vào khóa phụ sau:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

3. Bấm vào mục nhập enablesecuritysignature .

4. Trên menu Chỉnh sửa , bấm vào Sửa đổi.

5. Trong hộp Dữ liệu giá trị, nhập 0, rồi bấm OK.

6. Thoát khỏi Trình soạn thảo Sổ đăng ký.

7. Khởi động lại máy tính hoặc dừng lại rồi khởi động lại dịch vụ Máy chủ. Để thực hiện điều này, hãy nhập các lệnh sau đây tại dấu nhắc lệnh, rồi nhấn Enter sau khi bạn nhập từng lệnh:
   net stop server
   net start server

Lưu ý Khóa tương ứng trên máy tính khách nằm trong khóa phụ của sổ đăng ký sau đây:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters Sau đây liệt kê các số mã lỗi dịch mã để mã trạng thái và các thông báo lỗi nguyên văn được đề cập trước đó:

Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem các bài viết trong Cơ sở Kiến thức Microsoft:

324802 Cách đặt cấu hình Chính sách Nhóm để đặt bảo mật cho các dịch vụ hệ thống trong Windows Server 2003

816585 Cách áp dụng mẫu bảo mật được xác định trước trong Windows Server 2003