Tóm tắt

Thiết đặt bảo mật và gán quyền người dùng có thể thay đổi trong chính sách cục bộ và chính sách nhóm để giúp thắt bảo mật trên bộ điều khiển vùng và tài khoản của máy tính. Tuy nhiên, trái tăng cường bảo mật là giới thiệu không tương thích với khách hàng, Dịch vụ và chương trình.

Bài viết này mô tả sự không tương thích có thể xảy ra trên máy khách đang chạy Windows XP hoặc phiên bản cũ hơn của Windows, khi bạn thay đổi thiết đặt bảo mật cụ thể và gán quyền người dùng trong miền Windows Server 2003 hoặc một cửa sổ trước Máy chủ tên miền.

Để biết thông tin về chính sách nhóm dành cho Windows 7, Windows Server 2008 R2 và Windows Server 2008, hãy xem bài viết sau:

  • Đối với Windows 7, hãy xem

  • Đối với Windows 7 và Windows Server 2008 R2, xem có

  • Windows Server 2008, hãy xem

Lưu ý: Nội dung còn lại trong bài viết này là dành riêng cho Windows XP, Windows Server 2003 và các phiên bản trước của Windows.

Windows XP

Tăng nhận thức về thiết đặt bảo mật sai, sử dụng công cụ chỉnh sửa đối tượng chính sách nhóm để thay đổi thiết đặt bảo mật. Khi bạn sử dụng trình chỉnh sửa đối tượng chính sách nhóm, gán quyền người dùng được nâng cao trên các hệ điều hành sau:

  • Windows XP Professional Service Pack 2 (SP2)

  • Windows Server 2003 Gói Dịch vụ 1 (SP1)

Các tính năng nâng cao là một hộp thoại chứa một liên kết đến bài viết này. Hộp thoại sẽ xuất hiện khi bạn thay đổi thiết đặt bảo mật hoặc gán quyền người dùng để cài đặt tương thích ít hơn và hạn chế. Nếu bạn thay đổi trực tiếp cùng bảo mật thiết lập hoặc sử dụng quyền phân công bằng cách sử dụng sổ đăng ký hoặc bằng cách sử dụng mẫu bảo mật, hiệu quả là giống như cài đặt trong chỉnh sửa đối tượng chính sách nhóm. Tuy nhiên, hộp thoại chứa liên kết đến bài viết này không xuất hiện.

Bài viết này chứa các ví dụ khách hàng, chương trình và hoạt động bị ảnh hưởng bởi cài đặt bảo mật cụ thể hoặc gán quyền người dùng. Tuy nhiên, ví dụ không xác định cho tất cả các hệ điều hành Microsoft, tất cả các hệ điều hành bên thứ ba hoặc cho tất cả các phiên bản chương trình bị ảnh hưởng. Không phải tất cả thiết đặt bảo mật và gán quyền người dùng được bao gồm trong bài viết này.

Chúng tôi khuyên bạn kiểm tra tính tương thích của tất cả các thay đổi cấu hình liên quan đến bảo mật trong một nhóm kiểm tra trước khi bạn đưa ra chúng trong môi trường sản xuất. Nhóm kiểm tra phải gương nhóm sản xuất trong các cách sau:

  • Phiên bản hệ điều hành máy khách và máy chủ, máy khách và máy chủ chương trình, phiên bản gói dịch vụ, hotfix, thay đổi lược đồ, nhóm bảo mật, nhóm thành viên, quyền trên các đối tượng trong hệ thống tệp, cặp chia sẻ, đăng ký, thư mục Active Directory Dịch vụ, địa phương và cài đặt chính sách nhóm và loại số đối tượng và vị trí

  • Tác vụ quản trị được thực hiện, công cụ quản trị được sử dụng và hệ điều hành được sử dụng để thực hiện tác vụ quản trị

  • Thao tác được thực hiện như sau:

    • Máy tính và sử dụng xác thực đăng nhập

    • Đặt lại mật khẩu người dùng, máy tính và quản trị viên

    • Trình duyệt

    • Thiết lập quyền truy cập hệ thống tập tin, để chia sẻ thư mục đăng ký và tài nguyên Active Directory bằng cách sử dụng trình soạn thảo ACL trong tất cả các hệ điều hành khách trong tất cả các tài khoản hoặc nguồn miền từ tất cả các hệ điều hành khách từ tài khoản hoặc tài nguyên tên miền

    • In từ tài khoản quản trị và quản trị

Windows Server 2003 SP1

Cảnh báo trong Gpedit.msc

Để giúp khách hàng biết rằng họ đang chỉnh sửa quyền người dùng hoặc tuỳ chọn bảo mật có thể có tác động xấu ảnh hưởng đến mạng, hai cơ chế cảnh báo được thêm vào gpedit.msc. Khi quản trị viên chỉnh sửa quyền người dùng có thể ảnh hưởng đến cả doanh nghiệp, họ sẽ thấy một biểu tượng mới giống như một dấu hiệu năng suất. Họ cũng sẽ nhận được một thông báo cảnh báo có một liên kết đến bài viết cơ sở kiến thức Microsoft 823659. Nội dung thông báo này là như sau:

Sửa đổi thiết đặt này có thể ảnh hưởng đến độ tương thích với khách hàng, Dịch vụ và ứng dụng. Để biết thêm thông tin, xem < người dùng bên phải hoặc bảo mật tuỳ chọn được điều chỉnh > (Q823659) Nếu bạn được chuyển đến bài viết cơ sở kiến thức này từ một liên kết trong Gpedit.msc, hãy chắc chắn rằng bạn đọc và hiểu giải thích được cung cấp và hiệu quả có thể thay đổi thiết đặt này. Sau đây liệt kê các quyền của người dùng chứa văn bản cảnh báo:

  • Truy cập vào máy tính này từ mạng

  • Đăng nhập cục bộ

  • Bỏ qua đi qua kiểm tra

  • Bật máy tính và người dùng tin cậy uỷ nhiệm

Sau đây liệt kê các tuỳ chọn bảo mật cảnh báo và thông báo cửa sổ bật lên:

  • Thành viên miền: Điện tử mã hóa hoặc đăng kênh bảo mật dữ liệu (luôn luôn)

  • Thành viên miền: Yêu cầu mạnh mẽ (Windows 2000 hoặc phiên bản mới hơn) phiên khoá

  • Bộ điều khiển vùng: Hệ phục vụ LDAP yêu cầu đăng nhập

  • Máy chủ mạng Microsoft: ký điện tử truyền thông (luôn luôn)

  • Truy cập mạng: Cho phép vô danh Sid / tên dịch

  • Truy cập mạng: Không liệt kê danh sách SAM tài khoản và chia sẻ

  • An ninh mạng: LAN Manager xác thực cấp

  • Kiểm tra: Tắt hệ thống ngay lập tức nếu không thể đăng nhập kiểm tra bảo mật

  • Truy cập mạng: LDAP khách đăng yêu cầu

Thông tin

Phần sau đây mô tả sự không tương thích có thể xảy ra khi bạn thay đổi các thiết đặt cụ thể trong miền Windows NT 4.0, Windows 2000 tên miền và tên miền Windows Server 2003.

Quyền của người dùng

Danh sách sau đây mô tả quyền người dùng, xác định cài đặt cấu hình có thể gây ra vấn đề, mô tả lý do bạn nên áp dụng cho người dùng ngay và tại sao bạn có thể loại bỏ quyền người dùng và cung cấp các ví dụ về các vấn đề tương thích có thể xảy ra khi người dùng phải được cấu hình.

  1. Truy cập vào máy tính này từ mạng

    1. Nền

      Khả năng tương tác với máy tính từ xa Windows yêu cầu quyền người dùng truy nhập máy tính này từ mạng . Ví dụ về các hoạt động mạng bao gồm:

      • Nhân bản Active Directory giữa bộ kiểm soát miền trong miền phổ biến hoặc nhóm

      • Yêu cầu xác thực bộ kiểm soát miền người dùng và máy tính

      • Truy nhập vào cặp chia sẻ, máy in và các dịch vụ hệ thống trên máy tính từ xa trên mạng



      Người dùng, máy tính và tài khoản Dịch vụ được hoặc mất quyền người dùng truy nhập máy tính này từ mạng bằng cách rõ ràng bao thêm hoặc loại bỏ khỏi nhóm bảo mật đã được cấp quyền người dùng. Ví dụ, tài khoản người dùng tài khoản máy tính có thể được rõ ràng vào nhóm bảo mật tuỳ chỉnh hoặc nhóm bảo mật tích hợp quản trị viên hoặc có thể được hoàn toàn vào hệ điều hành nhóm tính bảo mật như người dùng trong miền, xác thực Người dùng hoặc bộ điều khiển miền của doanh nghiệp.

      Theo mặc định, tài khoản người dùng và máy tính tài khoản được cấp quyền truy cập vào máy tính này từ mạng dùng ngay khi tính nhóm chẳng hạn như tất cả mọi người hoặc tốt hơn, người dùng Authenticated, và bộ điều khiển miền, nhóm bộ điều khiển miền của doanh nghiệp , được xác định trong bộ điều khiển vùng mặc định đối tượng chính sách Nhóm (GPO).

    2. Cấu hình rủi ro

      Sau đây là các cài đặt cấu hình độc hại:

      • Xóa nhóm bảo mật của bộ điều khiển miền của doanh nghiệp từ quyền người dùng

      • Xóa nhóm người dùng xác thực hoặc một nhóm rõ ràng cho phép người dùng, máy tính và dịch vụ tài khoản người dùng phải kết nối với máy tính qua mạng

      • Loại bỏ tất cả người dùng và máy tính của người dùng này ngay

    3. Lý do để cấp quyền người dùng

      • Cấp quyền truy nhập máy tính này từ mạng dùng nhóm bộ điều khiển miền doanh nghiệp đáp ứng xác thực yêu cầu Active Directory nhân phải xảy ra giữa các bộ điều khiển miền trong cùng với bản sao Nhóm.

      • Người dùng này phải cho phép người dùng và máy tính để truy cập vào chia sẻ tệp, máy in và dịch vụ hệ thống, bao gồm Active Directory.

      • Quyền người dùng này là bắt buộc đối với người dùng để truy cập thư bằng cách sử dụng phiên bản trước của Microsoft Outlook Web Access (OWA).

    4. Lý do để loại bỏ quyền người dùng

      • Người dùng có thể kết nối mạng của máy tính có thể truy cập tài nguyên trên máy tính từ xa có quyền. Ví dụ, quyền người dùng này là bắt buộc đối với người dùng kết nối với máy in được chia sẻ và thư mục. Nếu người dùng này phải được tất cả các nhóm, và nếu một số cặp chia sẻ được chia sẻ và NTFS quyền hệ thống tệp cấu hình để cùng một nhóm có quyền truy cập đọc, mọi người đều có thể xem tệp trong các thư mục được chia sẻ. Tuy nhiên, đây là một trường hợp không cho việc cài đặt mới Windows Server 2003 vì chia sẻ mặc định và quyền NTFS trong Windows Server 2003 không bao gồm tất cả nhóm. Hệ thống được nâng cấp từ Microsoft Windows NT 4.0, Windows 2000, lỗ hổng này có mức độ rủi ro cao hơn vì chia sẻ mặc định và quyền hệ thống tệp cho các hệ điều hành không hạn chế với quyền mặc định trong Windows Server 2003.

      • Không có lý do hợp lệ để loại bỏ bộ điều khiển miền doanh nghiệp nhóm từ người dùng này đúng không.

      • Nhóm mọi người thường được loại bỏ để xác thực người dùng nhóm. Nếu tất cả nhóm bị loại bỏ, nhóm xác thực người dùng phải được cấp quyền người dùng.

      • Tên miền Windows NT 4.0 được nâng cấp lên Windows 2000 không rõ cấp người dùng truy nhập máy tính này từ mạng phải tất cả nhóm, nhóm xác thực người dùng hoặc nhóm bộ điều khiển miền của doanh nghiệp. Do đó, khi bạn loại bỏ mọi người nhóm từ chính sách miền Windows NT 4.0, nhân bản Active Directory sẽ không có thông báo lỗi "Truy cập từ chối" sau khi bạn nâng cấp lên Windows 2000. Winnt32.exe trong Windows Server 2003 tránh sai này bằng cách cung cấp bộ kiểm soát miền doanh nghiệp nhóm quyền người dùng khi bạn nâng cấp bộ kiểm soát miền chính Windows NT 4.0 (PDCs). Cấp bộ điều khiển miền doanh nghiệp nhóm người dùng này đúng nếu không có trong chỉnh sửa đối tượng chính sách nhóm.

    5. Ví dụ về các vấn đề tương thích

      • Windows 2000 và Windows Server 2003: Sao chép các phân vùng sẽ thất bại với lỗi "Truy cập từ chối" theo báo cáo của giám sát các công cụ như REPLMON và REPADMIN hoặc sao chép các sự kiện trong trường hợp đăng nhập.

        • Active Directory sơ đồ phân vùng

        • Cấu hình phân vùng

        • Phân vùng

        • Phân hoạch danh mục chung

        • Ứng dụng phân

      • Tất cả Microsoft hệ điều hành mạng: Xác thực tài khoản người dùng từ xa mạng máy khách sẽ thất bại nếu người dùng hoặc nhóm bảo mật người dùng là thành viên đã được cấp quyền người dùng.

      • Tất cả Microsoft hệ điều hành mạng: Xác thực tài khoản khách hàng mạng từ xa sẽ thất bại nếu tài khoản hoặc nhóm bảo mật tài khoản là một thành viên đã được cấp quyền người dùng này. Trường hợp này áp dụng cho tài khoản người dùng, tài khoản máy tính, và tài khoản Dịch vụ.

      • Tất cả Microsoft hệ điều hành mạng: Loại bỏ tất cả tài khoản từ quyền người dùng này sẽ ngăn chặn bất kỳ tài khoản đăng nhập vào miền hoặc truy nhập tài nguyên mạng. Nếu tính nhóm như bộ điều khiển miền của doanh nghiệp, tất cả mọi người hoặc xác thực người dùng bị xoá, bạn phải rõ ràng cấp quyền sử dụng tài khoản hoặc nhóm bảo mật tài khoản là một thành viên truy cập vào máy tính từ xa qua mạng. Trường hợp này áp dụng cho tất cả tài khoản người dùng, tất cả tài khoản máy tính, và tất cả các tài khoản Dịch vụ.

      • Tất cả Microsoft hệ điều hành mạng: Tài khoản quản trị viên cục bộ sử dụng mật khẩu "trống". Tài khoản quản trị viên trong một môi trường miền không được phép kết nối mạng với mật khẩu trống. Với cấu hình này, bạn có thể nhận được thông báo lỗi "Truy cập từ chối".

  2. Cho phép đăng nhập cục bộ

    1. Nền

      Người dùng đang đăng nhập vào bảng điều khiển của máy tính chạy Windows (bằng cách sử dụng các phím tắt bàn phím CTRL + ALT + DELETE) và tài khoản đang khởi động dịch vụ phải có quyền đăng nhập cục bộ trên máy tính lưu trữ. Ví dụ về hoạt động đăng nhập cục bộ bao gồm quản trị viên đăng nhập vào bàn điều khiển của máy tính thành viên hoặc điều khiển miền trong doanh nghiệp và miền người dùng đăng nhập vào tài khoản của máy tính để truy cập vào máy tính để bàn của mình bằng cách sử dụng không có đặc quyền tài khoản. Người sử dụng kết nối máy tính để bàn từ xa hoặc dịch vụ đầu cuối phải yêu cầu người dùng cho phép đăng nhập cục bộ trên máy tính đích đang chạy Windows 2000 hoặc Windows XP vì các chế độ đăng nhập được coi là máy tính lưu trữ cục bộ. Người dùng đăng nhập vào máy chủ cho phép máy chủ đầu cuối và những người không có quyền người dùng có thể vẫn bắt đầu phiên tương tác từ xa trong Windows Server 2003 tên miền nếu họ yêu cầu người dùng cho phép đăng nhập thông qua dịch vụ đầu cuối bên phải.

    2. Cấu hình rủi ro

      Sau đây là các cài đặt cấu hình độc hại:

      • Xóa nhóm quản trị viên cài sẵn và bảo mật quản trị nhóm, bao gồm các tài khoản sử dụng, sử dụng sao lưu, in sử dụng hoặc sử dụng máy chủ, bộ điều khiển miền mặc định chính sách.

      • Xoá tài khoản Dịch vụ được sử dụng thành phần và chương trình trên máy tính thành viên và bộ điều khiển miền trong miền từ bộ điều khiển miền mặc định chính sách.

      • Loại bỏ người dùng hoặc nhóm bảo mật đăng nhập vào bảng điều khiển của máy tính thành viên trong miền.

      • Xoá tài khoản Dịch vụ được xác định trong cơ sở dữ liệu cục bộ quản lý tài khoản bảo mật (SAM) của máy tính thành viên hoặc nhóm làm việc máy tính.

      • Loại bỏ không xây dựng-trong quản trị tài khoản xác thực qua dịch vụ đầu cuối chạy trên bộ điều khiển miền.

      • Thêm tất cả các tài khoản người dùng trong miền rõ ràng hoặc ngầm đến mọi người nhóm để từ chối đăng nhập cục bộ đăng nhập đúng. Cấu hình này sẽ ngăn người dùng đăng nhập vào tài khoản của bất kỳ máy tính hoặc bất kỳ kiểm soát miền trong miền.

    3. Lý do để cấp quyền người dùng

      • Người dùng phải cho phép đăng nhập cục bộ sử dụng quyền truy cập vào bảng điều khiển hoặc màn hình máy tính nhóm làm việc, máy tính thành viên hoặc một bộ điều khiển miền.

      • Người dùng phải có quyền người dùng để đăng nhập trong phiên dịch vụ đầu cuối đang chạy trên một máy tính dựa trên cửa sổ 2000 thành viên hoặc bộ điều khiển vùng.

    4. Lý do để loại bỏ quyền người dùng

      • Không hạn chế điều khiển truy cập vào tài khoản hợp pháp người dùng có thể dẫn đến việc người dùng tải xuống và thực thi mã nguy hiểm thay đổi các quyền của người dùng.

      • Loại bỏ cho phép đăng nhập cục bộ người dùng phải ngăn không cho phép đăng nhập trên bàn điều khiển máy tính, chẳng hạn như bộ điều khiển miền hoặc máy chủ ứng dụng.

      • Loại bỏ quyền đăng nhập này ngăn miền đăng nhập vào bảng điều khiển của máy tính thành viên trong miền.

    5. Ví dụ về các vấn đề tương thích

      • Máy chủ đầu cuối Windows 2000: Cho phép đăng nhập cục bộ người dùng phải là bắt buộc đối với người dùng đăng nhập vào máy chủ đầu cuối Windows 2000.

      • Windows NT 4.0, Windows 2000, Windows XP hoặc Windows Server 2003: Tài khoản người dùng phải được gán quyền người dùng để đăng nhập vào bảng điều khiển của máy tính đang chạy Windows NT 4.0, Windows 2000, Windows XP hoặc Windows Server 2003.

      • Windows NT 4.0 và mới hơn: Trên máy tính đang chạy Windows NT 4.0 và sau đó, nếu bạn thêm người sử dụng cho phép đăng nhập cục bộ , nhưng bạn hoàn toàn hoặc rõ ràng cũng cấp quyền đăng nhập từ chối đăng nhập cục bộ , tài khoản sẽ không thể đăng nhập vào bảng điều khiển miền bộ điều khiển.

  3. Bỏ qua đi qua kiểm tra

    1. Nền

      Bỏ qua đi qua kiểm tra người dùng phải cho phép người dùng duyệt qua các thư mục trong hệ thống tệp NTFS hoặc sổ đăng ký mà không kiểm tra quyền truy cập đặc biệt Qua thư mục . Bỏ qua đi qua kiểm tra người dùng phải cho phép người dùng danh sách nội dung của thư mục. Nó cho phép người dùng qua chỉ các cặp.

    2. Cấu hình rủi ro

      Sau đây là các cài đặt cấu hình độc hại:

      • Xoá tài khoản quản trị viên không đăng nhập vào máy tính chạy Windows 2000 dịch vụ đầu cuối hoặc dịch vụ đầu cuối Windows Server 2003 dựa trên máy tính mà không có quyền truy cập vào tệp và thư mục trong hệ thống tệp.

      • Loại bỏ tất cả nhóm từ danh sách gốc bảo mật đã sử dụng này phải theo mặc định. Hệ điều hành Windows và cũng nhiều chương trình được thiết kế với mong muốn ai đó hợp pháp có thể truy cập vào máy tính sẽ có bỏ qua đi qua kiểm tra người dùng bên phải. Do đó, loại bỏ mọi người nhóm từ danh hiệu bảo mật có quyền người dùng mặc định có thể dẫn ổn định hệ điều hành hoặc chương trình thất bại. Nên bạn để cài đặt này tại mặc định của mình.

    3. Lý do để cấp quyền người dùng

      Thiết đặt mặc định để vượt qua đi qua kiểm tra người dùng phải là cho phép mọi người bỏ qua đi qua kiểm tra. Để có kinh nghiệm quản trị hệ thống Windows, điều hành động mong muốn và các cấu hình danh sách kiểm soát truy cập hệ thống tập tin (SACLs) cho phù hợp. Tình huống chỉ khi cấu hình mặc định có thể dẫn đến một chút là nếu quản trị viên đã cấu hình quyền không hiểu hành vi và hy vọng rằng người dùng không thể truy nhập vào cặp cha mẹ sẽ không thể truy cập vào nội dung của bất kỳ con thư mục.

    4. Lý do để loại bỏ quyền người dùng

      Cố gắng để ngăn chặn truy cập các tập tin hoặc thư mục trong hệ thống tập tin, tổ chức rất quan tâm về bảo mật có thể bị cám dỗ để loại bỏ tất cả nhóm, hoặc thậm chí nhóm người dùng trong danh sách nhóm đã bỏ qua đi kiểm tra người dùng phải.

    5. Ví dụ về các vấn đề tương thích

      • Windows 2000, Windows Server 2003: Nếu bỏ qua đi qua kiểm tra người dùng phải được loại bỏ hoặc sai trên máy tính đang chạy Windows 2000 hoặc Windows Server 2003, thiết đặt chính sách nhóm trong thư mục SYVOL sẽ không nhân bản giữa các bộ điều khiển miền trong miền.

      • Windows 2000, Windows XP Professional, Windows Server 2003: Máy tính đang chạy Windows 2000, Windows XP Professional hoặc Windows Server 2003 sẽ ghi sự kiện 1000 và 1202 và sẽ không thể áp dụng chính sách máy tính và sử dụng chính sách quyền hệ thống tệp cần được loại bỏ khỏi cây SYSVOL bỏ qua đi qua kiểm tra người dùng phải được loại bỏ hoặc sai.

        Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:

        sự kiện ID 1000, 1001 đăng nhập mỗi năm phút trong Nhật ký sự kiện ứng dụng
         

      • Windows 2000, Windows Server 2003: Trên máy tính đang chạy Windows 2000 hoặc Windows Server 2003, hạn ngạch tab trong Windows Explorer sẽ biến mất khi bạn xem thuộc tính ổ đĩa.

      • Windows 2000: Không quản trị viên đăng nhập vào máy chủ đầu cuối Windows 2000 có thể nhận được thông báo lỗi sau:

        Lỗi ứng dụng Userinit.exe. Ứng dụng không thể khởi động đúng 0xc0000142 bấm OK để kết thúc các ứng dụng.

      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Người dùng mà máy tính đang chạy Windows NT 4.0, Windows 2000, Windows XP hoặc Windows Server 2003 có thể không thể truy nhập cặp chia sẻ hoặc tệp vào thư mục được chia sẻ và họ có thể nhận được thông báo lỗi "Truy cập từ chối" nếu họ không được cấp bỏ qua đi kiểm tra người sử dụng đúng.


        Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:

        "Truy cập từ chối" thông báo lỗi khi cố gắng truy nhập vào cặp chia sẻ
         

      • Windows NT 4.0: Trên máy tính chạy Windows NT 4.0, xoá bỏ qua đi qua kiểm tra người dùng phải sẽ khiến sao chép tệp thả tệp nguồn. Nếu bạn loại bỏ quyền người dùng, khi tệp được sao chép từ máy khách Windows hoặc Macintosh khách hàng lên bộ kiểm soát miền Windows NT 4.0 đang chạy dịch vụ dành cho Macintosh, dòng đích tệp sẽ bị mất và tệp sẽ xuất hiện dưới dạng tệp chỉ văn bản.

      • Microsoft Windows 95, Microsoft Windows 98: Trên máy khách đang chạy Windows 95 hoặc Windows 98, các net sử dụng * / trang chủ lệnh sẽ thất bại với thông báo lỗi "Truy cập từ chối" Nếu nhóm người dùng xác thực không được cấp quyền người dùng bỏ qua đi qua kiểm tra .

      • Outlook Web Access: Không-quản trị viên sẽ không thể đăng nhập vào Microsoft Outlook Web Access và họ sẽ nhận được thông báo lỗi "Truy cập từ chối" nếu họ không được cấp quyền người dùng bỏ qua đi qua kiểm tra .

Thiết đặt bảo mật

Danh sách sau đây xác định thiết đặt bảo mật, và danh sách lồng nhau cung cấp một mô tả về thiết đặt bảo mật, xác định cấu hình cài đặt có thể gây ra vấn đề, mô tả lý do bạn nên áp dụng thiết đặt bảo mật, và sau đó mô tả lý do tại sao bạn có thể loại bỏ thiết đặt bảo mật. Danh sách lồng nhau sau đó cung cấp tên biểu tượng thiết đặt bảo mật và đường dẫn đăng ký các thiết đặt bảo mật. Cuối cùng, ví dụ được cung cấp các vấn đề tương thích có thể xảy ra khi thiết đặt bảo mật được cấu hình.

  1. Kiểm tra: Tắt hệ thống ngay lập tức nếu không thể đăng nhập kiểm tra bảo mật

    1. Nền

      • Các kiểm tra: tắt hệ thống ngay lập tức nếu không thể đăng kiểm tra bảo mật thiết lập xác định xem hệ thống tắt nếu bạn không thể đăng nhập sự kiện bảo mật. Thiết đặt này là bắt buộc đối với chương trình tin tiêu chí đánh giá bảo mật máy tính (TCSEC) C2 đánh giá và tiêu chuẩn chung để đánh giá bảo mật công nghệ thông tin để ngăn chặn sự kiện ngôn nếu kiểm tra hệ thống không thể đăng các sự kiện. Nếu hệ thống kiểm tra không thành công, Hệ thống bị tắt và thông báo lỗi dừng xuất hiện.

      • Nếu máy tính không thể ghi sự kiện Nhật ký bảo mật, chứng quan trọng hoặc thông tin khắc phục sự cố quan trọng có thể không có sẵn để chỉnh sửa sau khi một sự cố bảo mật.

    2. Cấu hình rủi ro

      Dưới đây là một thiết lập cấu hình độc hại: các kiểm tra: tắt hệ thống ngay lập tức nếu không thể đăng kiểm tra bảo mật cài đặt được bật và kích thước của Nhật ký sự kiện bảo mật bị hạn chế bởi không ghi đè các sự kiện (xóa Nhật ký tự) lựa chọn, tuỳ chọn ghi đè lên các sự kiện như cần hoặc tuỳ chọn Ghi đè lên các sự kiện lớn hơn số ngày trong trình xem sự kiện. Hãy xem phần "Ví dụ vấn đề tương thích" để biết thông tin về các rủi ro cụ thể đối với máy tính đang chạy phiên bản phát hành ban đầu của Windows 2000, Windows 2000 Service Pack 1 (SP1), Windows 2000 SP2 hoặc Windows 2000 SP3.

    3. Lý do để bật thiết đặt này

      Nếu máy tính không thể ghi sự kiện Nhật ký bảo mật, chứng quan trọng hoặc thông tin khắc phục sự cố quan trọng có thể không có sẵn để chỉnh sửa sau khi một sự cố bảo mật.

    4. Lý do để vô hiệu hoá cài đặt này

      • Cho phép các kiểm tra: tắt hệ thống ngay lập tức nếu không thể đăng kiểm tra bảo mật cài đặt dừng hệ thống nếu kiểm tra bảo mật không được đăng vì lý do nào. Thông thường, sự kiện không được ghi lại khi Nhật ký kiểm tra an toàn và khi phương pháp lưu trữ được chỉ định tuỳ chọn không ghi đè các sự kiện (xóa Nhật ký tự) hoặc tuỳ chọn Ghi đè lên các sự kiện lớn hơn số ngày .

      • Gánh nặng quản trị kích hoạt các kiểm tra: tắt hệ thống ngay lập tức nếu không thể đăng kiểm tra bảo mật cài đặt có thể rất nhiều, đặc biệt là nếu bạn cũng bật tuỳ chọn không ghi đè các sự kiện (xóa Nhật ký tự) cho Nhật ký bảo mật. Thiết đặt này cung cấp cho từng trách nhiệm của người điều hành hoạt động. Ví dụ: quản trị viên có thể lại cho phép tất cả người dùng, máy tính và các nhóm trong một đơn vị tổ chức (OU) khi kiểm tra được kích hoạt bằng cách sử dụng tài khoản hoặc tài khoản khác được chia sẻ và sau đó từ chối các thiết lập lại các quyền. Tuy nhiên, cho phép cài đặt giảm mạnh hệ thống do máy chủ có thể phải tắt của quá với sự kiện đăng nhập và các sự kiện bảo mật khác được ghi vào Nhật ký bảo mật. Ngoài ra, do các không duyên dáng, không thể khắc phục hỏng hóc hệ điều hành, chương trình hoặc dữ liệu có thể dẫn đến. NTFS đảm bảo tính toàn vẹn của hệ thống tệp được duy trì trong quá trình tắt hệ thống ungraceful, nó không thể đảm bảo rằng mỗi tệp dữ liệu cho mỗi chương trình vẫn sẽ có thể sử dụng mẫu khi hệ thống khởi động lại.

    5. Tên biểu tượng:

      CrashOnAuditFail

    6. Đường dẫn đăng ký:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

    7. Ví dụ về các vấn đề tương thích

      • Windows 2000: Vì một lỗi, máy tính đang chạy phiên bản phát hành ban đầu của Windows 2000, Windows 2000 SP1, Windows 2000 SP2 hoặc Windows Server SP3 có thể dừng ghi nhật ký sự kiện trước khi kích thước được chỉ định trong các tùy chọn đăng nhập kích thước tối đa cho bảo mật Nhật ký sự kiện đạt. Lỗi này được khắc phục trong Windows 2000 Service Pack 4 (SP4). Đảm bảo rằng bạn bộ kiểm soát miền Windows 2000 có Windows 2000 Service Pack 4 cài đặt trước khi bạn xem xét việc cho phép thiết đặt này.

        Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:

        Nhật ký sự kiện dừng ghi nhật ký sự kiện trước khi đạt kích thước tối đa đăng nhập
         

      • Windows 2000, Windows Server 2003: Máy tính đang chạy Windows 2000 hoặc Windows Server 2003 có thể ngừng đáp ứng và sau đó có thể tự khởi động lại nếu các kiểm tra: tắt hệ thống ngay lập tức nếu không thể đăng kiểm tra bảo mật cài đặt được bật, Nhật ký bảo mật đầy đủ và hiện mục Nhật ký sự kiện không bị ghi đè. Khi máy tính khởi động lại thông báo lỗi dừng sau xuất hiện:

        STOP: C0000244 {kiểm định thất bại}
        Để tạo một kiểm tra bảo mật không thành công.

        Để khôi phục, quản trị viên phải đăng nhập, lưu trữ Nhật ký bảo mật (tùy chọn), xóa Nhật ký bảo mật và sau đó đặt lại tuỳ chọn này (tùy chọn và cần).

      • Khách hàng Microsoft mạng cho MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: Không quản trị viên cố gắng đăng nhập vào một tên miền sẽ nhận được thông báo lỗi sau:

        Tài khoản của bạn được cấu hình để ngăn cản bạn sử dụng máy tính này. Hãy thử một máy tính.

      • Windows 2000: Trên máy tính chạy Windows 2000, không quản trị viên sẽ không thể đăng nhập vào máy chủ truy cập từ xa và họ sẽ nhận được thông báo lỗi tương tự như sau:

        Không xác định người dùng hoặc mật khẩu không hợp lệ

        Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:

        Thông báo lỗi : tài khoản của bạn được cấu hình để ngăn cản bạn sử dụng máy tính này
         

      • Windows 2000: Trên bộ kiểm soát miền Windows 2000, Dịch vụ nhắn tin Intersite (Ismserv.exe) sẽ dừng lại và không thể khởi động lại. DCDIAG sẽ thông báo lỗi là "không thể kiểm tra dịch vụ ISMserv", và sự kiện ID 1083 sẽ đăng ký trong sự kiện Nhật ký.

      • Windows 2000: Trên bộ kiểm soát miền Windows 2000, nhân bản Active Directory sẽ thất bại và thông báo "Truy cập từ chối" sẽ xuất hiện nếu Nhật ký sự kiện bảo mật đầy đủ.

      • Microsoft Exchange 2000: Máy chủ đang chạy Exchange 2000 sẽ không thể cài đặt cơ sở dữ liệu lưu trữ thông tin và sự kiện 2102 sẽ đăng ký trong sự kiện Nhật ký.

      • Outlook, Outlook Web Access: Không-quản trị viên sẽ không thể truy cập thư thông qua Microsoft Outlook hoặc Microsoft Outlook Web Access và họ sẽ nhận được lỗi 503.

  2. Bộ điều khiển vùng: hệ phục vụ LDAP yêu cầu đăng nhập

    1. Nền

      Các bộ điều khiển vùng: hệ phục vụ LDAP đăng yêu cầu thiết đặt bảo mật xác định xem máy chủ giao thức truy cập thư mục nhẹ (LDAP) yêu cầu LDAP khách thương lượng dữ liệu đăng nhập. Các giá trị có thể cho thiết đặt chính sách này là như sau:

      • Không: Dữ liệu đăng nhập không bắt buộc phải liên kết với máy chủ. Nếu khách hàng yêu cầu dữ liệu đăng nhập, máy chủ hỗ trợ này.

      • Yêu cầu đăng nhập: Tùy chọn đăng nhập dữ liệu LDAP phải được thương lượng trừ khi vận chuyển lớp bảo mật/Secure Socket Layer (TLS/SSL) đang được sử dụng.

      • không xác định: Thiết đặt này không được kích hoạt hoặc vô hiệu hoá.

    2. Cấu hình rủi ro

      Sau đây là các cài đặt cấu hình độc hại:

      • Cho phép yêu cầu đăng nhập trong môi trường mà khách hàng không hỗ trợ LDAP ký hoặc vị trí phía máy khách LDAP đăng nhập không được bật trên máy khách

      • Ứng dụng Windows 2000 hoặc Windows Server 2003 Hisecdc.inf mẫu bảo mật trong môi trường mà khách hàng không hỗ trợ LDAP ký hoặc nơi phía máy khách LDAP đăng nhập không được hỗ trợ

      • Ứng dụng Windows 2000 hoặc Windows Server 2003 Hisecws.inf mẫu bảo mật trong môi trường mà khách hàng không hỗ trợ LDAP ký hoặc nơi phía máy khách LDAP đăng nhập không được hỗ trợ

    3. Lý do để bật thiết đặt này

      Lưu lượng mạng đánh dấu là dễ bị tấn công người trong trung khi một kẻ xâm nhập bắt gói dữ liệu giữa máy khách và máy chủ, sửa đổi các gói và sau đó chuyển chúng vào máy chủ. Khi hiện tượng này xảy ra trên máy chủ LDAP, kẻ tấn công có thể làm máy chủ để đưa ra quyết định dựa trên các truy vấn sai từ máy khách LDAP. Bạn có thể làm giảm nguy cơ này trong mạng công ty bằng cách thực hiện các biện pháp bảo mật vật lý mạnh mẽ để giúp bảo vệ cơ sở hạ tầng mạng. Chế độ tiêu đề xác thực giao thức Internet bảo mật (IPSec) có thể giúp ngăn chặn tấn công người trong trung. Xác thực đầu chế độ thực hiện xác thực lẫn nhau và tích hợp gói cho IP.

    4. Lý do để vô hiệu hoá cài đặt này

      • Khách hàng không hỗ trợ LDAP ký sẽ không thể thực hiện truy vấn LDAP bộ điều khiển vùng và danh mục chung NTLM xác thực được thương lượng và nếu gói dịch vụ chính xác chưa được cài đặt trên bộ kiểm soát miền Windows 2000.

      • Dấu vết mạng LDAP lượng giữa máy khách và máy chủ sẽ được mã hóa. Điều này khiến khó kiểm tra LDAP cuộc hội thoại.

      • Máy chủ chạy Windows 2000 phải Windows 2000 Service Pack 3 (SP3) hoặc cài đặt khi họ đang có chương trình hỗ trợ LDAP đăng đã được chạy từ máy khách chạy Windows 2000 SP4, Windows XP hoặc Windows Server 2003. Để biết thêm chi tiết, bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

        Yêu cầu bộ điều khiển miền Windows 2000 Service Pack 3 hoặc sau khi sử dụng công cụ quản lý Windows Server 2003
         

    5. Tên biểu tượng:

      LDAPServerIntegrity

    6. Đường dẫn đăng ký:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

    7. Ví dụ về các vấn đề tương thích

      • Đơn giản binds sẽ thất bại và bạn sẽ nhận được thông báo lỗi sau:

        Ldap_simple_bind_s() thất bại: mạnh mẽ yêu cầu xác thực.

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Trên máy khách đang chạy Windows 2000 SP4, Windows XP hoặc Windows Server 2003, một số công cụ quản lý Active Directory sẽ không hoạt động đúng với bộ điều khiển vùng đang chạy phiên bản Windows 2000 cũ hơn SP3 khi NTLM xác thực được thương lượng.

        Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:

        Yêu cầu bộ điều khiển miền Windows 2000 Service Pack 3 hoặc sau khi sử dụng công cụ quản lý Windows Server 2003
         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Trên máy khách đang chạy Windows 2000 SP4, Windows XP hoặc Windows Server 2003, một số công cụ quản lý Active Directory là mục tiêu điều khiển vùng đang chạy phiên bản Windows 2000 cũ hơn SP3 sẽ không hoạt động đúng nếu sử dụng IP địa chỉ (ví dụ: "regedit /server =x.x.x.x" vị trí
        x.x.x.x là địa chỉ IP).


        Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:

        Yêu cầu bộ điều khiển miền Windows 2000 Service Pack 3 hoặc sau khi sử dụng công cụ quản lý Windows Server 2003
         

      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003: Trên máy khách đang chạy Windows 2000 SP4, Windows XP hoặc Windows Server 2003, một số công cụ quản lý Active Directory là mục tiêu điều khiển vùng đang chạy phiên bản Windows 2000 cũ hơn SP3 sẽ không hoạt động đúng.

        Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:

        Yêu cầu bộ điều khiển miền Windows 2000 Service Pack 3 hoặc sau khi sử dụng công cụ quản lý Windows Server 2003
         

  3. Thành viên miền: yêu cầu mạnh mẽ khoá phiên (Windows 2000 hoặc mới hơn)

    1. Nền

      • Các thành viên miền: yêu cầu mạnh mẽ (Windows 2000 hoặc mới hơn) phiên khoá thiết lập xác định xem một kênh bảo mật có thể được thiết lập với bộ điều khiển vùng không mã hoá lưu lượng kênh an toàn với khóa phiên mạnh mẽ, 128-bit. Cho phép thiết đặt này ngăn không cho thiết lập một kênh an toàn với bất kỳ điều khiển vùng không thể mã hóa dữ liệu kênh an toàn với khóa mạnh mẽ. Vô hiệu hoá cài đặt này cho phép 64-bit phiên khoá.

      • Trước khi bạn có thể bật thiết đặt này trên máy trạm thành viên hoặc trên máy chủ, tất cả các bộ điều khiển miền trong miền chứa các thành viên phải có khả năng mã hóa dữ liệu kênh an toàn với khóa mạnh mẽ, 128-bit. Điều này có nghĩa là tất cả các bộ điều khiển vùng phải đang chạy Windows 2000 hoặc mới hơn.

    2. Cấu hình rủi ro

      Cho phép các thành viên miền: yêu cầu mạnh mẽ (Windows 2000 hoặc mới hơn) phiên khoá cài đặt là thiết lập cấu hình độc hại.

    3. Lý do để bật thiết đặt này

      • Phím phiên được sử dụng để thiết lập bảo mật kênh giao tiếp giữa máy tính thành viên và bộ điều khiển miền rất mạnh mẽ hơn trong Windows 2000 với các phiên bản hệ điều hành Microsoft.

      • Khi có thể, có một ý tưởng tốt để tận dụng các phím phiên mạnh để giúp bảo vệ thông tin bảo mật kênh nghe trộm và phiên cướp tấn công mạng. Eavesdropping là một dạng tấn công nguy hiểm nơi mạng dữ liệu được đọc hoặc thay đổi trong quá cảnh. Dữ liệu có thể được thay đổi để ẩn hoặc thay đổi người gửi hoặc chuyển nó.

      Quan trọng Máy tính đang chạy Windows Server 2008 R2 hoặc Windows 7 hỗ trợ chỉ mạnh phím khi sử dụng kênh an toàn. Hạn chế này ngăn tin cậy giữa bất kỳ tên miền Windows NT 4.0 và bất kỳ miền dựa trên Windows Server 2008 R2. Ngoài ra, giới hạn này chặn thành viên miền Windows NT 4.0 dựa trên máy tính đang chạy Windows 7 hoặc Windows Server 2008 R2, và ngược lại.

    4. Lý do để vô hiệu hoá cài đặt này

      Vùng chứa viên máy tính đang chạy hệ điều hành khác với Windows 2000, Windows XP hoặc Windows Server 2003.

    5. Tên biểu tượng:

      StrongKey

    6. Đường dẫn đăng ký:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

    7. Ví dụ về các vấn đề tương thích

      Windows NT 4.0: Trên máy tính chạy Windows NT 4.0, lại an toàn kênh mối quan hệ tin cậy giữa Windows NT 4.0 và Windows 2000 lên với NLTEST không thành công. Thông báo lỗi "Truy cập từ chối" sẽ xuất hiện:

      Mối quan hệ tin cậy giữa vùng chính và miền đáng tin cậy không thành công.

      Windows 7 và Server 2008 R2: Cho Windows 7 và các phiên bản Windows Server 2008 R2 và phiên bản mới hơn, thiết đặt này không được vinh danh nữa và phím mạnh được luôn. Do đó, độ tin cậy với tên miền Windows NT 4.0 không hoạt động nữa.

  4. Thành viên miền: kỹ thuật số mã hoá hoặc ký kênh bảo mật dữ liệu (luôn luôn)

    1. Nền

      • Cho phép thành viên miền: thư mã hoá hoặc ký kênh bảo mật dữ liệu (luôn luôn) ngăn chặn việc thiết lập một kênh an toàn với bất kỳ điều khiển vùng không thể đăng nhập hoặc mã hóa tất cả dữ liệu kênh bảo mật. Để giúp bảo vệ xác thực lưu lượng truy cập tấn công người trong Trung, lại tấn công, và các loại tấn công mạng, máy tính chạy Windows tạo một kênh giao tiếp được gọi là một kênh an toàn thông qua các dịch vụ đăng nhập mạng xác thực tài khoản máy tính. Kênh an toàn cũng được sử dụng khi người dùng trong miền một kết nối tài nguyên mạng miền từ xa. Này multidomain xác thực hoặc chuyển qua xác thực, cho phép máy tính chạy Windows đã tham gia một miền có quyền truy cập cơ sở dữ liệu tài khoản người dùng trong miền của mình và bất kỳ tên miền đáng tin cậy.

      • Để kích hoạt các thành viên miền: kỹ thuật số mã hoá hoặc ký kênh bảo mật dữ liệu (luôn luôn) cài đặt trên máy tính thành viên, tất cả các bộ điều khiển miền trong miền chứa các thành viên phải có thể đăng nhập hoặc mã hóa tất cả dữ liệu kênh bảo mật. Điều này có nghĩa là tất cả các bộ điều khiển vùng phải đang chạy Windows NT 4.0 với gói dịch vụ 6a (SP6a) hoặc mới hơn.

      • Cho phép các thành viên miền: kỹ thuật số mã hoá hoặc ký kênh bảo mật dữ liệu (luôn luôn) cài đặt tự động cho phép các thành viên miền: điện tử mã hóa hay đăng dữ liệu kênh bảo mật (nếu có thể) cài đặt.

    2. Cấu hình rủi ro

      Cho phép các thành viên miền: kỹ thuật số mã hoá hoặc ký kênh bảo mật dữ liệu (luôn luôn) cài đặt trong miền mà không phải tất cả các bộ điều khiển miền có thể đăng nhập hoặc mã hóa dữ liệu kênh bảo mật là thiết lập cấu hình độc hại.

    3. Lý do để bật thiết đặt này

      Lưu lượng mạng đánh dấu là dễ bị tấn công người ở giữa, khi một kẻ xâm nhập bắt gói dữ liệu giữa các máy chủ và máy khách và sau đó sửa đổi đó trước khi chuyển tiếp lại cho khách hàng. Khi hiện tượng này xảy ra trên máy chủ giao thức truy cập thư mục nhẹ (LDAP), những kẻ xâm nhập có thể khiến khách hàng đưa ra quyết định dựa trên các hồ sơ giả từ thư mục LDAP. Bạn có thể giảm nguy cơ một cuộc tấn công trên mạng doanh nghiệp bằng cách thực hiện các biện pháp bảo mật vật lý mạnh mẽ để giúp bảo vệ cơ sở hạ tầng mạng. Ngoài ra, thực hiện bảo mật giao thức Internet (IPSec) chế tiêu đề xác thực có thể giúp ngăn chặn người trong trung tấn công. Chế độ này thực hiện xác thực lẫn nhau và tích hợp gói cho IP.

    4. Lý do để vô hiệu hoá cài đặt này

      • Máy tính cục bộ hoặc bên ngoài miền hỗ trợ kênh bảo mật mã hóa.

      • Không phải tất cả các bộ điều khiển miền trong miền có mức Phiên bản gói dịch vụ thích hợp để hỗ trợ kênh bảo mật mã hóa.

    5. Tên biểu tượng:

      StrongKey

    6. Đường dẫn đăng ký:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

    7. Ví dụ về các vấn đề tương thích

      • Windows NT 4.0: Máy tính chạy Windows 2000 thành viên sẽ không thể tham gia miền Windows NT 4.0 và sẽ nhận được thông báo lỗi sau:

        Tài khoản không có quyền đăng nhập ga này.

        Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:

        Thông báo lỗi : tài khoản không có quyền đăng nhập từ ga
         

      • Windows NT 4.0: Tên miền Windows NT 4.0 sẽ không thể thiết lập một xuống mức tin cậy với một miền Windows 2000 và sẽ nhận được thông báo lỗi sau:

        Tài khoản không có quyền đăng nhập ga này.

        Hiện có xuống mức độ tin cậy có thể cũng không xác thực người dùng miền đáng tin cậy. Một số người dùng có thể gặp sự cố khi đăng nhập vào miền và họ có thể nhận được thông báo lỗi cho biết rằng khách hàng không thể tìm thấy tên miền.

      • Windows XP: Windows XP khách hàng được tham gia vào miền Windows NT 4.0 sẽ không thể xác thực đăng nhập lần và có thể nhận được thông báo lỗi hoặc các sự kiện có thể được đăng ký trong Nhật ký sự kiện:

        Windows không thể kết nối với miền hoặc vì bộ điều khiển miền xuống hoặc nếu không có sẵn hoặc tài khoản máy tính của bạn không tìm thấy

      • Microsoft mạng: Microsoft Network khách hàng sẽ nhận được một thông báo lỗi sau:

        Đăng nhập thất bại: không xác định người dùng hoặc mật khẩu không hợp lệ.

        Không có khoá phiên người dùng phiên đăng nhập được chỉ định.

  5. Microsoft mạng khách hàng: ký điện tử truyền thông (luôn luôn)

    1. Nền

      Máy chủ thư khối (SMB) là giao thức chia sẻ tài nguyên được hỗ trợ nhiều hệ điều hành Microsoft. Đó là nền tảng của hệ thống vào/ra cơ bản mạng (NetBIOS) và nhiều giao thức khác. Đăng ký SMB authenticates cả người dùng và máy chủ lưu trữ dữ liệu. Nếu hai bên không thành công quá trình xác thực, truyền dữ liệu sẽ không xảy ra.

      Cho phép ai đăng khởi động trong thoả thuận giao thức SMB. Chính sách ký SMB xác định xem máy tính luôn chữ ký thông tin khách hàng.

      Giao thức xác thực Windows 2000 SMB hỗ trợ xác thực lẫn nhau. Xác thực cùng đóng tấn công "man-trong-the-Trung". Giao thức xác thực Windows 2000 SMB cũng hỗ trợ thông báo xác thực. Thông báo xác thực giúp ngăn thông báo hoạt động tấn công. Cung cấp cho bạn xác thực này, đăng ký SMB đặt chữ vào mỗi SMB. Máy khách và máy chủ mỗi kiểm chứng chữ ký điện tử.

      Sử dụng đăng ký SMB, bạn phải kích hoạt đăng ký SMB hoặc yêu cầu ai đăng SMB máy khách và máy chủ SMB. Nếu đăng ký SMB được bật trên máy chủ, khách hàng cũng được kích hoạt cho SMB ký sử dụng gói đăng giao thức trong tất cả các phiên. Nếu đăng ký SMB được yêu cầu trên máy chủ, máy khách không thể thiết lập phiên bản trừ khi khách hàng kích hoạt hoặc yêu cầu để đăng ký SMB.


      Kích hoạt số đăng nhập mạng bảo mật cao giúp ngăn chặn đóng vai khách hàng và máy chủ. Loại mạo danh được gọi là phiên cướp. Kẻ đã truy cập vào cùng một mạng máy khách hoặc máy chủ sử dụng phiên cướp công cụ gián đoạn, kết thúc hoặc ăn cắp buổi diễn ra. Kẻ tấn công có thể chặn Sửa đổi ký SMB gói, sửa đổi giao và sau đó chuyển tiếp để máy chủ có thể thực hiện tác vụ không mong muốn. Hoặc kẻ tấn công có thể gây ra như máy chủ hoặc các khách hàng sau khi xác thực hợp pháp và sau đó truy cập trái phép vào dữ liệu.

      Giao thức SMB được sử dụng để chia sẻ tệp và chia sẻ in trong máy tính đang chạy Windows 2000 Server, Windows 2000 Professional, Windows XP Professional hoặc Windows Server 2003 hỗ trợ xác thực lẫn nhau. Xác thực cùng đóng phiên cướp tấn công và hỗ trợ thông báo xác thực. Do đó, ngăn người trong trung tấn công. Đăng ký SMB cung cấp xác thực này bằng cách đặt một chữ trong mỗi SMB. Máy khách và máy chủ rồi kiểm chứng chữ ký.

      Lưu ý:

      • Như một countermeasure khác, bạn có thể bật chữ với IPSec nhằm giúp bảo vệ tất cả lưu lượng mạng. Không có tăng tốc phần cứng dựa trên mã hoá IPSec và đăng nhập mà bạn có thể sử dụng để giảm thiểu ảnh hưởng đến hiệu năng từ máy chủ CPU. Không tăng tốc như vậy có sẵn cho đăng ký SMB có.

        Để biết thêm thông tin, xem chương trên trang web của Microsoft MSDN.

        Cấu hình đăng ký SMB qua chỉnh sửa đối tượng chính sách nhóm do thay đổi giá trị đăng ký địa phương không có hiệu lực nếu có một chính sách miền trọng.

      • Trong Windows 95, Windows 98 và Windows 98 Second Edition, khách hàng dịch vụ thư mục sử dụng đăng ký SMB khi authenticates với máy chủ Windows Server 2003 bằng cách sử dụng NTLM xác thực. Tuy nhiên, các khách hàng không sử dụng ai đăng nhập khi họ xác thực với các máy chủ bằng cách sử dụng xác thực NTLMv2. Ngoài ra, máy chủ Windows 2000 không đáp ứng SMB đăng yêu cầu từ các khách hàng. Để biết thêm thông tin, hãy xem mục 10: "an ninh mạng: Lan quản lý mức xác thực."

    2. Cấu hình rủi ro

      Dưới đây là một thiết lập cấu hình độc hại: rời cả các Microsoft mạng khách hàng: ký điện tử truyền thông (luôn luôn) cài đặt và Microsoft mạng khách hàng: ký điện tử truyền thông (nếu máy chủ đồng ý) thiết đặt " Không xác định"hoặc tắt. Các thiết đặt này cho phép redirector gửi mật khẩu văn bản thuần tuý không Microsoft SMB máy chủ không hỗ trợ mã hóa mật khẩu trong quá trình xác thực.

    3. Lý do để bật thiết đặt này

      Cho phép Microsoft mạng khách hàng: ký điện tử truyền thông (luôn luôn) yêu cầu khách hàng ký SMB lưu lượng truy cập khi liên lạc với máy chủ mà không cần đăng ký SMB. Điều này làm cho khách hàng ít bị phiên cướp tấn công.

    4. Lý do để vô hiệu hoá cài đặt này

      • Cho phép Microsoft mạng khách hàng: ký điện tử truyền thông (luôn luôn) ngăn không cho khách hàng khi giao tiếp với máy chủ đích không hỗ trợ đăng ký SMB.

      • Cấu hình máy tính để bỏ qua mọi thông tin SMB dấu ngăn các chương trình và hệ điều hành kết nối.

    5. Tên biểu tượng:

      RequireSMBSignRdr

    6. Đường dẫn đăng ký:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

    7. Ví dụ về các vấn đề tương thích

      • Windows NT 4.0: Bạn không thể đặt lại kênh an toàn tin cậy giữa các miền Windows Server 2003 và Windows NT 4.0 miền bằng cách sử dụng NLTEST hoặc NETDOM, và bạn sẽ nhận được thông báo lỗi "Truy cập từ chối".

      • Windows XP: Sao chép tập tin từ Windows XP khách hàng máy chủ chạy Windows 2000 và Windows Server 2003 dựa trên máy chủ có thể mất nhiều thời gian.

      • Bạn sẽ không thể ánh xạ ổ đĩa mạng từ máy khách với thiết đặt này được kích hoạt, và bạn sẽ nhận được thông báo lỗi sau:

        Tài khoản không có quyền đăng nhập ga này.

    8. Yêu cầu khởi động lại

      Khởi động lại máy hoặc khởi động lại dịch vụ trạm làm việc. Để thực hiện việc này, gõ lệnh sau tại dấu nhắc lệnh. Nhấn Enter sau khi bạn gõ mỗi lệnh.

      net stop trạm làm việc
      net start trạm làm việc

  6. Máy chủ mạng Microsoft: ký điện tử truyền thông (luôn luôn)

    1. Nền

      • Máy chủ tin nhắn chặn (SMB) là giao thức chia sẻ tài nguyên được hỗ trợ nhiều hệ điều hành Microsoft. Đó là nền tảng của hệ thống vào/ra cơ bản mạng (NetBIOS) và nhiều giao thức khác. Đăng ký SMB authenticates cả người dùng và máy chủ lưu trữ dữ liệu. Nếu hai bên không thành công quá trình xác thực, truyền dữ liệu sẽ không xảy ra.

        Cho phép ai đăng khởi động trong thoả thuận giao thức SMB. Chính sách ký SMB xác định xem máy tính luôn chữ ký thông tin khách hàng.

        Giao thức xác thực Windows 2000 SMB hỗ trợ xác thực lẫn nhau. Xác thực cùng đóng tấn công "man-trong-the-Trung". Giao thức xác thực Windows 2000 SMB cũng hỗ trợ thông báo xác thực. Thông báo xác thực giúp ngăn thông báo hoạt động tấn công. Cung cấp cho bạn xác thực này, đăng ký SMB đặt chữ vào mỗi SMB. Máy khách và máy chủ mỗi kiểm chứng chữ ký điện tử.

        Sử dụng đăng ký SMB, bạn phải kích hoạt đăng ký SMB hoặc yêu cầu ai đăng SMB máy khách và máy chủ SMB. Nếu đăng ký SMB được bật trên máy chủ, khách hàng cũng được kích hoạt cho SMB ký sử dụng gói đăng giao thức trong tất cả các phiên. Nếu đăng ký SMB được yêu cầu trên máy chủ, máy khách không thể thiết lập phiên bản trừ khi khách hàng kích hoạt hoặc yêu cầu để đăng ký SMB.


        Kích hoạt số đăng nhập mạng bảo mật cao giúp ngăn chặn đóng vai khách hàng và máy chủ. Loại mạo danh được gọi là phiên cướp. Kẻ đã truy cập vào cùng một mạng máy khách hoặc máy chủ sử dụng phiên cướp công cụ gián đoạn, kết thúc hoặc ăn cắp buổi diễn ra. Kẻ tấn công có thể ngăn chặn thay đổi chương trình quản lý băng thông mạng con (SBM) gói, sửa đổi giao và sau đó chuyển tiếp để máy chủ có thể thực hiện tác vụ không mong muốn. Hoặc kẻ tấn công có thể gây ra như máy chủ hoặc các khách hàng sau khi xác thực hợp pháp và sau đó truy cập trái phép vào dữ liệu.

        Giao thức SMB được sử dụng để chia sẻ tệp và chia sẻ in trong máy tính đang chạy Windows 2000 Server, Windows 2000 Professional, Windows XP Professional hoặc Windows Server 2003 hỗ trợ xác thực lẫn nhau. Xác thực cùng đóng phiên cướp tấn công và hỗ trợ thông báo xác thực. Do đó, ngăn người trong trung tấn công. Đăng ký SMB cung cấp xác thực này bằng cách đặt một chữ trong mỗi SMB. Máy khách và máy chủ rồi kiểm chứng chữ ký.

      • Như một countermeasure khác, bạn có thể bật chữ với IPSec nhằm giúp bảo vệ tất cả lưu lượng mạng. Không có tăng tốc phần cứng dựa trên mã hoá IPSec và đăng nhập mà bạn có thể sử dụng để giảm thiểu ảnh hưởng đến hiệu năng từ máy chủ CPU. Không tăng tốc như vậy có sẵn cho đăng ký SMB có.

      • Trong Windows 95, Windows 98 và Windows 98 Second Edition, khách hàng dịch vụ thư mục sử dụng đăng ký SMB khi authenticates với máy chủ Windows Server 2003 bằng cách sử dụng NTLM xác thực. Tuy nhiên, các khách hàng không sử dụng ai đăng nhập khi họ xác thực với các máy chủ bằng cách sử dụng xác thực NTLMv2. Ngoài ra, máy chủ Windows 2000 không đáp ứng SMB đăng yêu cầu từ các khách hàng. Để biết thêm thông tin, hãy xem mục 10: "an ninh mạng: Lan quản lý mức xác thực."

    2. Cấu hình rủi ro

      Dưới đây là một thiết lập cấu hình độc hại: cho phép các Microsoft mạng máy chủ: ký điện tử truyền thông (luôn luôn) cài đặt trên máy chủ và bộ điều khiển miền được truy cập bằng máy tính chạy Windows tương thích và bên thứ ba máy tính dựa trên hệ điều hành khách trong miền địa phương hoặc bên ngoài.

    3. Lý do để bật thiết đặt này

      • Tất cả các máy khách bật thiết đặt này trực tiếp thông qua sổ đăng ký hoặc thiết đặt chính sách nhóm hỗ trợ đăng ký SMB. Nói cách khác, tất cả các máy khách đã cài đặt này cho phép chạy Windows 95 hoặc với DS khách hàng cài đặt, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional hoặc Windows Server 2003.

      • Nếu Microsoft mạng máy chủ: ký điện tử truyền thông (luôn luôn) vô hiệu hóa, đăng ký SMB hoàn toàn vô hiệu hoá. Hoàn toàn vô hiệu hoá tất cả ai đăng nhập lại máy tính dễ bị phiên cướp tấn công.

    4. Lý do để vô hiệu hoá cài đặt này

      • Cho phép thiết đặt này có thể làm chậm hơn tập tin sao chép và mạng hoạt động khách hàng máy tính.

      • Cho phép thiết đặt này sẽ khiến khách hàng không thể thương lượng SMB đăng từ giao tiếp với máy chủ và bộ điều khiển miền. Điều này khiến hoạt động như tên miền tham gia, xác thực người dùng và máy tính hoặc truy cập mạng bằng các chương trình không thành công.

    5. Tên biểu tượng:

      RequireSMBSignServer

    6. Đường dẫn đăng ký:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

    7. Ví dụ về các vấn đề tương thích

      • Windows 95: Windows 95 máy khách không có máy khách dịch vụ thư mục (DS) được cài đặt sẽ không thể đăng nhập xác thực và sẽ nhận được thông báo lỗi sau:

        Mật khẩu miền bạn cung cấp không chính xác hoặc truy cập vào máy chủ đăng nhập đã bị từ chối.

        Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:

        Thông báo lỗi khi Windows 95 hoặc Windows NT 4.0 khách đăng nhập vào miền Windows Server 2003
         

      • Windows NT 4.0: Máy khách đang chạy phiên bản Windows NT 4.0 cũ hơn gói dịch vụ 3 (SP3) sẽ không thể đăng nhập xác thực và sẽ nhận được thông báo lỗi sau:

        Hệ thống không thể đăng nhập bạn. Đảm bảo rằng tên người dùng và tên miền của bạn là chính xác, sau đó gõ lại mật khẩu của bạn.

        Một số máy chủ không Microsoft SMB hỗ trợ chỉ mã hóa mật khẩu trao đổi trong quá trình xác thực. (Các thị trường còn được gọi là "văn bản thuần" trao đổi.) Đối với Windows NT 4.0 SP3 và phiên bản mới hơn, SMB redirector không gửi mật khẩu mã hóa trong quá trình xác thực SMB chủ trừ khi bạn thêm mục đăng ký cụ thể.
        Để kích hoạt mã hóa mật khẩu cho máy khách SMB trên Windows NT 4.0 SP 3 và các hệ thống, sửa đổi sổ đăng ký như sau: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters

        Tên giá trị: EnablePlainTextPassword

        Loại dữ liệu: REG_DWORD

        Dữ liệu: 1


        Để biết thêm chi tiết về các chủ đề liên quan, hãy bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

        Thông báo lỗi : lỗi hệ thống 1240 đã xảy ra. Tài khoản không có quyền đăng nhập ga này.

      • Windows Server 2003: Theo mặc định, thiết đặt bảo mật trên bộ điều khiển miền chạy Windows Server 2003 được cấu hình để giúp ngăn chặn thông tin điều khiển miền chặn hoặc giả mạo bởi người dùng. Người dùng đã liên lạc với bộ điều khiển miền chạy Windows Server 2003, máy khách phải sử dụng cả SMB đăng nhập và mật mã hoá hoặc kênh bảo mật lưu lượng truy cập đăng nhập. Theo mặc định, máy khách chạy Windows 95 và máy khách chạy Windows NT 4.0 với gói dịch vụ 2 (SP2) hoặc cài đặt trước đó không có gói đăng ký SMB hỗ trợ. Do đó, các khách hàng có thể không thể xác thực cho bộ điều khiển miền chạy trên Windows Server 2003.

      • Cài đặt chính sách Windows 2000 và Windows Server 2003: Tuỳ thuộc vào nhu cầu cụ thể cài đặt và cấu hình của bạn, chúng tôi khuyên bạn đặt các thiết đặt chính sách sau khi thực thể thấp nhất trong phạm vi cần thiết trong Microsoft Management Console chính sách Nhóm đính vào:

        • Tính bảo mật Configuration\Windows Settings\Security lựa chọn

        • Gửi mã hóa mật khẩu để kết nối với máy chủ SMB bên thứ ba (cài đặt này là Windows 2000)

        • Microsoft mạng khách: gửi mã hóa mật khẩu bên thứ ba SMB máy chủ (cài đặt này là dành cho Windows Server 2003)


        Lưu ý Trong một số máy chủ CIFS bên thứ ba, chẳng hạn như Samba Phiên bản cũ hơn, bạn không thể sử dụng mật khẩu được mã hoá.

      • Các khách hàng không tương thích với các Microsoft mạng máy chủ: ký điện tử truyền thông (luôn luôn) cài đặt:

        • Apple Computer, Inc., Mac OS X khách hàng

        • Khách hàng mạng Microsoft MS-DOS (ví dụ: Microsoft LAN Manager)

        • Microsoft Windows cho nhóm làm việc khách hàng

        • Cài đặt Microsoft Windows 95 khách hàng không có máy khách DS

        • Microsoft Windows NT 4.0 máy tính mà không cần SP3 hoặc cài đặt

        • Novell Netware 6 CIFS khách hàng

        • Khách hàng SAMBA SMB có hỗ trợ đăng ký SMB

    8. Yêu cầu khởi động lại

      Khởi động lại máy hoặc khởi động lại dịch vụ máy chủ. Để thực hiện việc này, gõ lệnh sau tại dấu nhắc lệnh. Nhấn Enter sau khi bạn gõ mỗi lệnh.

      net stop server
      máy chủ mạng bắt đầu

  7. Truy cập mạng: cho phép ẩn danh SID/tên dịch

    1. Nền

      Các mạng truy cập: cho phép ẩn danh SID/tên dịch thiết đặt bảo mật xác định xem người dùng ẩn danh có thể yêu cầu số nhận dạng bảo mật (SID) thuộc tính cho người dùng khác.

    2. Cấu hình rủi ro

      Cho phép các mạng truy cập: cho phép ẩn danh SID/tên dịch cài đặt là thiết lập cấu hình độc hại.

    3. Lý do để bật thiết đặt này

      Nếu các mạng truy cập: cho phép ẩn danh SID/tên dịch thiết là bị vô hiệu hoá, các hệ điều hành hoặc ứng dụng không thể kết nối với miền Windows Server 2003. Ví dụ, Hệ điều hành, Dịch vụ hoặc ứng dụng sau đây có thể không hoạt động:

      • Windows NT 4.0 dựa trên dịch vụ truy cập từ xa máy chủ

      • Microsoft SQL Server đang chạy trên Windows NT 3.x dựa trên máy tính hoặc máy tính chạy Windows NT 4.0

      • Dịch vụ truy cập từ xa đang chạy trên máy tính chạy Windows 2000 có trong Windows NT 3.x miền hoặc tên miền Windows NT 4.0

      • SQL Server đang chạy trên máy tính chạy Windows 2000 được đặt trong Windows NT 3.x miền hoặc tên miền Windows NT 4.0

      • Người dùng trong miền tài nguyên Windows NT 4.0 muốn cấp quyền truy cập vào tệp, cặp chia sẻ và các đối tượng đăng ký tài khoản người dùng từ tài khoản miền có chứa bộ kiểm soát miền Windows Server 2003

    4. Lý do để vô hiệu hoá cài đặt này

      Nếu thiết đặt này được bật, người dùng nguy hiểm có thể sử dụng SID quản trị viên nổi tiếng để lấy thực tên tài khoản quản trị viên cài sẵn, ngay cả khi tài khoản đã được đổi tên. Người đó thì có thể sử dụng tên tài khoản để bắt đầu một cuộc tấn công đoán mật khẩu.

    5. Biểu tượng tên: N/A

    6. Đường dẫn đăng ký: Không. Đường dẫn được chỉ định trong giao diện người dùng mã.

    7. Ví dụ về các vấn đề tương thích

      Windows NT 4.0: Các máy tính trong Windows NT 4.0 tài nguyên miền sẽ hiển thị thông báo lỗi "Tài khoản không xác định" trong ACL Editor nếu tài nguyên, bao gồm các cặp chia sẻ, chia sẻ tệp và các đối tượng đăng ký, bảo với bảo mật hiệu nằm trong tài khoản miền mà chứa bộ kiểm soát miền Windows Server 2003.

  8. Truy cập mạng: không liệt kê danh sách SAM tài khoản

    1. Nền

      • Các mạng truy cập: không liệt kê danh sách SAM tài khoản thiết lập xác định những điều khoản bổ sung sẽ được cấp ẩn danh kết nối với máy tính. Windows cho phép người dùng ẩn danh để thực hiện các hoạt động, chẳng hạn như liệt kê tên của máy trạm và máy chủ quản lý tài khoản bảo mật (SAM) tài khoản và chia sẻ mạng. Ví dụ: quản trị viên có thể sử dụng để cấp quyền truy cập cho người dùng trong miền tin cậy duy trì một tin cậy tình. Sau khi phiên bản được thực hiện, người dùng ẩn danh có thể truy cập cùng được tất cả các nhóm dựa trên các thiết lập trong các mạng truy cập: quyền cho mọi người áp dụng cho người dùng ẩn danh cài đặt hoặc danh sách kiểm soát truy cập tùy (DACL) của đối tượng.

        Thông thường, kết nối vô danh được yêu cầu của các phiên bản trước của khách hàng (xuống cấp khách hàng) trong SMB phiên thiết lập. Trong các trường hợp, theo dõi mạng Hiển thị SMB quá trình ID (PID) là khách hàng, chẳng hạn như 0xFEFF trong Windows 2000 hoặc 0xCAFE trong Windows NT. RPC redirector cũng có thể thử cho kết nối vô danh.

      • Quan trọng Thiết đặt này có tác động nào trên bộ điều khiển miền. Trên bộ điều khiển miền, hiện tượng này được điều khiển bởi sự hiện diện của "NT AUTHORITY\ANONYMOUS đăng nhập" trong "Pre-Windows 2000 tương thích truy cập".

      • Trong Windows 2000, thiết đặt tương tự như được gọi là Các hạn chế bổ sung cho kết nối vô danh quản lý giá trị đăng ký RestrictAnonymous . Vị trí của giá trị này là như sau

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA Để biết thêm thông tin về giá trị đăng ký RestrictAnonymous, bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

        làm thế nào để sử dụng giá trị đăng ký RestrictAnonymous trong Windows 2000
         

        hạn chế thông tin người dùng đăng nhập vô danh
         

    2. Cấu hình rủi ro

      Cho phép các mạng truy cập: không liệt kê danh sách SAM tài khoản cài đặt là thiết lập cấu hình độc hại từ máy tính tương thích. Tắt là thiết lập cấu hình hại từ góc độ bảo mật.

    3. Lý do để bật thiết đặt này

      Người dùng không được phép có thể ẩn danh danh sách tên tài khoản và sử dụng thông tin để cố gắng đoán mật khẩu hoặc thực hiện kỹ thuật xã hội tấn công. Xã hội kỹ thuật là biệt ngữ nghĩa là lừa người tiết lộ mật khẩu của họ hoặc một số hình thức thông tin bảo mật.

    4. Lý do để vô hiệu hoá cài đặt này

      Nếu thiết lập này được kích hoạt, không thể thiết lập độ tin cậy với tên miền Windows NT 4.0. Cài đặt này cũng gây ra vấn đề với khách hàng xuống cấp (chẳng hạn như Windows NT 3.51 máy khách và máy khách Windows 95) đang sử dụng tài nguyên trên máy chủ.

    5. Tên biểu tượng:


      RestrictAnonymousSAM

    6. Đường dẫn đăng ký:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

    7. Ví dụ về các vấn đề tương thích

    • Khám phá mạng SMS sẽ không thể nhận thông tin hệ điều hành và sẽ ghi "Không xác định" trong thuộc tính OperatingSystemNameandVersion.

    • Windows 95, Windows 98: Máy khách Windows 95 và Windows 98 khách hàng sẽ không thể thay đổi mật khẩu của họ.

    • Windows NT 4.0: Windows NT 4.0 tài khoản của máy tính sẽ không thể được xác thực.

    • Windows 95, Windows 98: Máy tính chạy trên Windows 95 và Windows 98 dựa trên sẽ không thể được xác thực của bộ điều khiển miền của Microsoft.

    • Windows 95, Windows 98: Người dùng trên máy tính chạy trên Windows 95 và Windows 98 dựa trên sẽ không thể thay đổi mật khẩu cho tài khoản người dùng của họ.

  9. Truy cập mạng: không liệt kê danh sách SAM tài khoản và chia sẻ

    1. Nền

      • Các mạng truy cập: không liệt kê danh sách SAM tài khoản và chia sẻ cài đặt (còn được gọi là RestrictAnonymous) xác định xem danh liệt kê các tài khoản quản lý tài khoản bảo mật (SAM) và chia sẻ được. Windows cho phép người dùng ẩn danh để thực hiện các hoạt động, chẳng hạn như liệt kê các tên miền tài khoản (, máy tính, nhóm và người dùng) và chia sẻ mạng. Đây là thuận tiện, ví dụ: khi quản trị viên muốn cấp quyền truy cập cho người dùng trong miền tin cậy duy trì một tin cậy tình. Nếu bạn không muốn để liệt kê danh SAM tài khoản và chia sẻ, bật thiết đặt này.

      • Trong Windows 2000, thiết đặt tương tự như được gọi là Các hạn chế bổ sung cho kết nối vô danh quản lý giá trị đăng ký RestrictAnonymous . Vị trí của giá trị này là như sau:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

    2. Cấu hình rủi ro

      Cho phép các mạng truy cập: không liệt kê danh sách SAM tài khoản và chia sẻ cài đặt là thiết lập cấu hình độc hại.

    3. Lý do để bật thiết đặt này

      • Cho phép các mạng truy cập: không liệt kê danh sách SAM tài khoản và chia sẻ cài đặt ngăn đếm SAM tài khoản và chia sẻ của người dùng và máy tính đang sử dụng tài khoản vô danh.

    4. Lý do để vô hiệu hoá cài đặt này

      • Nếu thiết đặt này được kích hoạt, người dùng không được phép có thể ẩn danh danh sách tên tài khoản và sử dụng thông tin để cố gắng đoán mật khẩu hoặc thực hiện kỹ thuật xã hội tấn công. Xã hội kỹ thuật là biệt ngữ nghĩa là lừa người tiết lộ mật khẩu của họ hoặc một số hình thức thông tin bảo mật.

      • Nếu thiết lập này được kích hoạt, nó sẽ không thể thiết lập độ tin cậy với tên miền Windows NT 4.0. Cài đặt này cũng sẽ gây ra vấn đề với khách hàng xuống cấp như Windows 95 và Windows NT 3.51 khách hàng đang sử dụng tài nguyên trên máy chủ.

      • Nó sẽ không thể cấp quyền truy cập cho người dùng của tài nguyên miền do quản trị viên miền tin cậy sẽ không thể liệt kê danh sách tài khoản miền khác. Người dùng truy cập vào tệp và máy chủ in ẩn danh sẽ không thể liệt kê các tài nguyên được chia sẻ mạng trên các máy chủ. Người dùng phải xác thực trước khi họ có thể xem danh sách các cặp chia sẻ và máy in.

    5. Tên biểu tượng:

      RestrictAnonymous

    6. Đường dẫn đăng ký:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

    7. Ví dụ về các vấn đề tương thích

      • Windows NT 4.0: Người dùng sẽ không thể thay đổi mật khẩu của mình từ máy trạm Windows NT 4.0 khi RestrictAnonymous được bật trên bộ điều khiển miền trong miền của người dùng.

      • Windows NT 4.0: Thêm người dùng hoặc nhóm chung từ đáng tin cậy miền Windows 2000 lên miền Windows NT 4.0 nhóm cục bộ trong trình quản lý người dùng sẽ không thành công, và thông báo lỗi sẽ xuất hiện:

        Hiện có không đăng nhập máy chủ để phục vụ yêu cầu đăng nhập.

      • Windows NT 4.0: Windows NT 4.0 trên máy tính sẽ không thể tham gia miền trong quá trình thiết lập hoặc bằng cách sử dụng giao diện người dùng tham gia miền.

      • Windows NT 4.0: Thiết lập tin xuống cấp tên miền tài nguyên Windows NT 4.0 sẽ thất bại. Thông báo lỗi sẽ xuất hiện khi RestrictAnonymous được bật trên miền tin cậy:

        Không thể tìm thấy các bộ điều khiển vùng cho vùng này.

      • Windows NT 4.0: Người dùng đăng nhập vào máy chủ đầu cuối Windows NT 4.0 dựa trên máy tính sẽ ánh xạ tới thư mục mặc định thay vì thư mục được xác định trong trình quản lý người dùng cho tên miền.

      • Windows NT 4.0: Bộ điều khiển vùng sao lưu Windows NT 4.0 (BDCs) sẽ không thể khởi động dịch vụ đăng nhập mạng, có một danh sách các trình duyệt sao lưu hoặc đồng bộ hóa cơ sở dữ liệu SAM từ Windows 2000 hoặc bộ kiểm soát miền Windows Server 2003 trong cùng một miền.

      • Windows 2000: Máy tính chạy Windows 2000 thành viên trong miền sẽ không thể xem máy in trong miền bên ngoài nếu không truy cập không rõ ràng ẩn danh cho phép cài đặt được kích hoạt trong chính sách bảo mật cục bộ của máy khách Windows NT 4.0.

      • Windows 2000: Người dùng trong miền Windows 2000 sẽ không thể thêm máy in mạng từ Active Directory; Tuy nhiên, họ sẽ có thể thêm máy in sau khi họ đã chọn chúng từ cây.

      • Windows 2000: Trên máy tính chạy Windows 2000, ACL Editor sẽ không thể thêm người dùng hoặc nhóm chung từ miền Windows NT 4.0 đáng tin cậy.

      • ADMT Phiên bản 2: Di chuyển mật khẩu cho tài khoản người dùng được di chuyển giữa rừng với Active Directory di chuyển công cụ (ADMT) phiên bản 2 sẽ thất bại.

        Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:

        làm thế nào để khắc phục sự cố di chuyển giữa cụm mật khẩu bằng ADMTv2

      • Máy khách outlook: Danh sách địa chỉ toàn cầu sẽ trống cho khách hàng Microsoft Exchange Outlook.

        Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:

        Hiệu suất chậm SMB khi bạn sao chép tập tin từ Windows XP lên bộ kiểm soát miền Windows 2000

      • SMS: Khám phá mạng máy chủ quản lý hệ thống Microsoft (SMS) sẽ không thể nhận thông tin hệ điều hành. Do đó, nó sẽ ghi "Không xác định" trong nhà OperatingSystemNameandVersion nhà SMS DDR khám phá ghi dữ liệu (DDR).

      • SMS: Khi bạn sử dụng thuật sỹ người dùng quản trị viên SMS duyệt cho người dùng và nhóm, không có người dùng hoặc nhóm sẽ được liệt kê. Ngoài ra, khách hàng nâng cao không thể liên lạc với quản lý điểm. Quản lý điểm phải truy nhập vô danh.

      • SMS: Khi bạn sử dụng tính năng khám phá mạng trong tin nhắn SMS 2.0 và cài đặt máy khách từ xa với máy chủ, máy khách, và hệ điều hành khách mạng khám phá tuỳ chọn bật, máy tính có thể được phát hiện nhưng có thể không được cài đặt.

  10. An ninh mạng: Lan quản lý mức xác thực

    1. Nền

      Xác thực LAN Manager (LM) là giao thức được sử dụng để xác thực máy khách Windows cho mạng hoạt động, bao gồm tên miền tham gia, truy cập vào tài nguyên mạng và xác thực người dùng hoặc máy tính. Mức xác thực LM xác định thách thức/phản ứng giao thức xác thực được thương lượng giữa máy khách và máy chủ. Cụ thể, LM xác thực mức xác định giao thức xác thực máy khách sẽ cố gắng thương lượng hoặc máy chủ sẽ chấp nhận. Giá trị được thiết lập cho LmCompatibilityLevel xác định thách thức/phản ứng giao thức xác thực được sử dụng để đăng nhập mạng. Giá trị này ảnh hưởng đến mức giao thức xác thực máy khách sử dụng, mức độ bảo mật phiên thương lượng và mức độ chấp nhận bởi máy chủ xác thực.

      Cài đặt có thể bao gồm.

      Giá trị

      Cài đặt

      Mô tả

      0

      Gửi phản hồi LM & NTLM

      Khách hàng sử dụng LM và NTLM xác thực và không bao giờ sử dụng NTLMv2 phiên bảo mật. Bộ điều khiển vùng chấp nhận xác thực LM, NTLM và NTLMv2.

      1

      Gửi LM & NTLM - sử dụng NTLMv2 phiên an ninh nếu thương lượng

      Khách hàng sử dụng LM và NTLM xác thực và sử dụng NTLMv2 phiên an ninh nếu máy chủ hỗ trợ này. Bộ điều khiển vùng chấp nhận xác thực LM, NTLM và NTLMv2.

      2

      Gửi phản hồi NTLM chỉ

      Khách hàng sử dụng xác thực NTLM và sử dụng NTLMv2 phiên an ninh nếu máy chủ hỗ trợ này. Bộ điều khiển vùng chấp nhận xác thực LM, NTLM và NTLMv2.

      3

      Gửi phản hồi NTLMv2 chỉ

      Khách hàng sử dụng NTLMv2 xác thực chỉ và sử dụng NTLMv2 phiên an ninh nếu máy chủ hỗ trợ này. Bộ điều khiển vùng chấp nhận xác thực LM, NTLM và NTLMv2.

      4

      Gửi phản hồi NTLMv2 chỉ / từ chối LM

      Khách hàng sử dụng NTLMv2 xác thực chỉ và sử dụng NTLMv2 phiên an ninh nếu máy chủ hỗ trợ này. Bộ điều khiển miền từ chối LM và chấp nhận xác thực NTLM và NTLMv2 chỉ.

      5

      Gửi phản hồi NTLMv2 chỉ / từ chối LM & NTLM

      Khách hàng sử dụng NTLMv2 xác thực chỉ và sử dụng NTLMv2 phiên an ninh nếu máy chủ hỗ trợ này. Bộ điều khiển miền từ chối LM và NTLM và chấp nhận chỉ NTLMv2 xác thực.

      Lưu ý Trong Windows 95, Windows 98 và Windows 98 Second Edition, khách hàng dịch vụ thư mục sử dụng đăng ký SMB khi authenticates với máy chủ Windows Server 2003 bằng cách sử dụng NTLM xác thực. Tuy nhiên, các khách hàng không sử dụng ai đăng nhập khi họ xác thực với các máy chủ bằng cách sử dụng xác thực NTLMv2. Ngoài ra, máy chủ Windows 2000 không đáp ứng SMB đăng yêu cầu từ các khách hàng.

      Kiểm tra độ xác thực LM: Bạn phải thay đổi chính sách trên máy chủ cho phép NTLM hoặc bạn phải cấu hình máy khách để hỗ trợ NTLMv2.

      Nếu chính sách được đặt (5) NTLMv2 gửi phản hồi only\refuse LM & NTLM trên máy tính đích mà bạn muốn kết nối, bạn phải giảm thiết đặt trên máy tính hoặc thiết lập bảo mật để cài đặt cùng là trên máy tính nguồn bạn conn ecting từ.

      Tìm đúng vị trí mà bạn có thể thay đổi quản lý LAN mức xác thực để đặt máy khách và máy chủ cùng cấp. Sau khi bạn tìm thấy chính sách cài đặt trình quản lý LAN mức xác thực, nếu bạn muốn kết nối đến và từ máy tính đang chạy phiên bản trước của Windows, giảm giá trị tối thiểu (1) gửi LM & NTLM - sử dụng NTLM Phiên bản 2 phiên an ninh nếu thương lượng. Một hiệu ứng cài đặt không tương thích là nếu máy chủ yêu cầu NTLMv2 (giá trị 5), nhưng máy khách được cấu hình để sử dụng LM và NTLMv1 duy nhất (giá trị 0), kinh nghiệm người dùng cố xác thực đăng nhập không có mật khẩu không hợp lệ và có các khoảng tăng xấu số lượng mật khẩu. Nếu tài khoản khóa ra được cấu hình, người dùng có thể cuối cùng bị khoá.

      Ví dụ: bạn có thể nhìn vào bộ điều khiển vùng, hoặc bạn có thể kiểm tra chính sách của bộ điều khiển vùng.

      Nhìn vào bộ điều khiển miền

      Lưu ý Bạn có thể phải lặp lại quy trình sau trên tất cả các bộ điều khiển miền.

      1. Bấm bắt đầu, trỏ chuột vào chương trìnhvà sau đó nhấp vào Công cụ quản trị.

      2. Trong Thiết đặt bảo mật cục bộ, mở rộng Chính sách cục bộ.

      3. Bấm vào tuỳ chọn bảo mật.

      4. Bấm đúp vào bảo mật mạng: LAN quản lý mức xác thực, sau đó bấm giá trị trong danh sách.


      Nếu thiết đặt hiệu quả và cài đặt cục bộ như vậy, chính sách đã được thay đổi ở cấp độ này. Nếu các cài đặt khác nhau, bạn phải kiểm tra điều khiển miền chính sách để xác định xem các bảo mật mạng: LAN quản lý mức xác thực cài đặt được xác định có. Nếu nó không được xác định có, kiểm tra chính sách của bộ điều khiển vùng.

      Kiểm tra chính sách kiểm soát miền

      1. Bấm bắt đầu, trỏ chuột vào chương trìnhvà sau đó nhấp vào Công cụ quản trị.

      2. Chính sách Bảo mật điều khiển miền mở rộng Thiết đặt bảo mật, và sau đó mở rộng Chính sách cục bộ.

      3. Bấm vào tuỳ chọn bảo mật.

      4. Bấm đúp vào bảo mật mạng: LAN quản lý mức xác thực, sau đó bấm giá trị trong danh sách.


      Note

      • Bạn cũng có thể phải kiểm tra chính sách được liên kết ở cấp độ trang web, tên miền cấp hoặc đơn vị tổ chức (OU) nhằm xác định nơi bạn phải cấu hình mức xác thực LAN quản lý.

      • Nếu bạn áp dụng thiết đặt chính sách nhóm chính sách miền mặc định, chính sách được áp dụng cho tất cả các máy tính trong miền.

      • Nếu bạn áp dụng thiết đặt chính sách nhóm chính sách bộ điều khiển miền mặc định, chính sách chỉ áp dụng cho các máy chủ đơn vị tổ chức của bộ điều khiển vùng.

      • Đó là một ý tưởng tốt để cài đặt trình quản lý LAN mức xác thực trong thực thể thấp nhất trong phạm vi cần thiết trong ứng dụng chính sách.

      Windows Server 2003 có một cài đặt mặc định mới sử dụng NTLMv2 chỉ. Theo mặc định, Windows Server 2003 và bộ điều khiển miền chạy trên Windows 2000 Server SP3 đã kích hoạt các "Microsoft mạng máy chủ: ký điện tử truyền thông (luôn luôn)" chính sách. Thiết đặt này đòi hỏi chủ SMB để thực hiện đăng ký gói SMB. Thay đổi đối với Windows Server 2003 được thực hiện bởi vì bộ điều khiển miền, máy chủ tập tin, mạng cơ sở hạ tầng máy chủ và máy chủ Web trong bất kỳ tổ chức yêu cầu cài đặt khác nhau để tối đa hóa bảo mật của họ.

      Nếu bạn muốn thực hiện xác thực NTLMv2 trong mạng của bạn, bạn phải đảm bảo rằng tất cả các máy tính trong miền được đặt để sử dụng mức độ xác thực. Nếu bạn áp dụng Active Directory khách phần mở rộng cho Windows 95 hoặc Windows 98 và Windows NT 4.0, phần mở rộng của khách hàng sử dụng các tính năng cải thiện xác thực bằng NTLMv2. Do máy khách đang chạy bất kỳ hệ điều hành sau không bị ảnh hưởng bởi các đối tượng chính sách nhóm Windows 2000, bạn có thể phải cấu hình các khách hàng:

      • Microsoft Windows NT 4.0

      • Microsoft Windows Millennium Edition

      • Microsoft Windows 98

      • Microsoft Windows 95

      Lưu ý Nếu bạn kích hoạt các an ninh mạng: lưu trữ giá trị băm LAN quản lý thay đổi mật khẩu sau chính sách hoặc đặt khoá đăng ký NoLMHash , không thể chạy trên Windows 95 và Windows 98 dựa trên máy khách không có máy khách dịch vụ thư mục cài đặt đăng nhập vào miền sau khi thay đổi mật khẩu.

      Nhiều bên thứ ba CIFS máy chủ, chẳng hạn như Novell Netware 6, không biết NTLMv2 và chỉ sử dụng NTLM. Do đó, mức độ lớn hơn 2 cho phép kết nối. Cũng có khách hàng SMB bên thứ ba không sử dụng bảo mật mở rộng phiên. Trong trường hợp này, LmCompatiblityLevel tài nguyên máy chủ không được xem xét. Máy chủ sau đó gói lên này yêu cầu hợp lệ và gửi nó cho bộ điều khiển miền người dùng. Cài đặt trên bộ điều khiển miền rồi chọn băm nào được sử dụng để xác minh yêu cầu và xem các đáp điều khiển vùng bảo mật yêu cầu.

      Để biết thêm thông tin về cách cấu hình quản lý LAN xác thực cấp, hãy bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

      làm thế nào để vô hiệu hoá LM xác thực Windows NT
       

      làm thế nào để ngăn chặn cửa sổ lưu trữ một băm LAN quản lý mật khẩu của bạn trong Active Directory và SAM địa phương cơ sở dữ liệu
       

      outlook tiếp tục nhắc bạn nhập thông tin đăng nhập
       

      Kiểm tra sự kiện xác thực gói Hiển thị dưới dạng NTLMv1 thay vì NTLMv2 Để biết thêm thông tin về LM xác thực cấp, hãy bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

      làm thế nào để kích hoạt xác thực NTLM 2
       

    2. Cấu hình rủi ro

      Sau đây là các cài đặt cấu hình độc hại:

      • Cài đặt nonrestrictive gửi mật khẩu trong văn bản rõ và có từ chối thoả thuận NTLMv2

      • Thiết lập hạn chế ngăn chặn tương thích ứng dụng khách hoặc bộ điều khiển miền thương lượng một giao thức xác thực phổ biến

      • Yêu cầu xác thực NTLMv2 trên máy tính thành viên và bộ điều khiển vùng đang chạy phiên bản Windows NT 4.0 cũ hơn gói dịch vụ 4 (SP4)

      • Yêu cầu NTLMv2 xác thực máy khách Windows 95 hoặc Windows 98 khách không có máy khách dịch vụ thư mục Windows được cài đặt.

      • Nếu bạn bấm để chọn hộp kiểm yêu cầu NTLMv2 phiên bảo mật trong phần Microsoft Management Console chính sách Nhóm đính vào Windows Server 2003 hoặc Windows 2000 Service Pack 3 trên máy tính và bạn hạ thấp mức xác thực quản lý LAN 0, xung đột hai cài đặt và bạn có thể nhận được thông báo lỗi sau đây trong Secpol.msc hoặc tệp GPEdit.msc:

        Windows không thể mở cơ sở dữ liệu chính sách cục bộ. Lỗi không xác định xảy ra khi cố gắng mở cơ sở dữ liệu.

        Để biết thêm thông tin về cấu hình bảo mật và công cụ phân tích, xem tệp trợ giúp Windows Server 2003 hoặc Windows 2000.

    3. Lý do thay đổi thiết đặt này

      • Bạn muốn tăng giao thức xác thực phổ biến thấp nhất được hỗ trợ khách hàng và bộ điều khiển miền trong tổ chức của bạn.

      • Xác thực bảo mật là một yêu cầu công việc, bạn muốn không cho phép thoả thuận LM và giao thức NTLM.

    4. Lý do để vô hiệu hoá cài đặt này

      Khách hàng hoặc yêu cầu xác thực máy chủ hoặc cả hai, được tăng lên khi khi xác thực qua giao thức phổ biến không xảy ra.

    5. Tên biểu tượng:

      LmCompatibilityLevel

    6. Đường dẫn đăng ký:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. Ví dụ về các vấn đề tương thích

      • Windows Server 2003: Theo mặc định, Windows Server 2003 NTLMv2 gửi NTLM câu trả lời đặt được kích hoạt. Do đó, Windows Server 2003 nhận được thông báo lỗi "Truy cập từ chối" sau khi cài đặt ban đầu khi bạn cố gắng kết nối cụm dựa trên Windows NT 4.0, LanManager V2.1 dựa trên máy chủ, chẳng hạn như Lanserver OS/2. Vấn đề này cũng xảy ra nếu bạn cố gắng kết nối từ một máy khách Phiên bản trước đó cho máy chủ chạy Windows Server 2003.

      • Bạn cài đặt Windows 2000 bảo mật Cập Nhật gói 1 (SRP1). SRP1 áp dụng NTLM Phiên bản 2 (NTLMv2). Gói cập nhật này được phát hành sau khi phát hành Windows 2000 Service Pack 2 (SP2). Để biết thêm thông tin về SRP1, hãy bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

        Windows 2000 bảo mật gói 1, tháng 1 năm 2002
         

      • Windows 7 và Windows Server 2008 R2: nhiều bên thứ ba CIFS máy chủ, chẳng hạn như máy chủ Novell Netware 6 hoặc dựa trên Linux Samba, không biết NTLMv2 và chỉ sử dụng NTLM. Do đó, mức độ lớn hơn "2" cho phép kết nối. Bây giờ trong phiên bản hệ điều hành, mặc định cho LmCompatibilityLevel đổi "3". Vì vậy khi bạn nâng cấp Windows, các filers bên thứ ba có thể ngừng hoạt động.

      • Khách hàng Microsoft Outlook có thể được nhắc nhập uỷ nhiệm ngay cả khi họ đã được đăng nhập vào miền. Khi người dùng cung cấp thông tin của họ, họ nhận được thông báo lỗi: Windows 7 và Windows Server 2008 R2

        Thông tin đăng nhập được cung cấp là chính xác. Đảm bảo rằng tên người dùng và vùng là chính xác, sau đó gõ lại mật khẩu của bạn.

        Khi bạn khởi động Outlook, bạn có thể được nhắc về ủy nhiệm của bạn ngay cả khi thiết đặt bảo mật đăng nhập được đặt Passthrough hoặc mật khẩu xác thực. Sau khi bạn nhập thông tin chính xác của bạn, bạn có thể nhận được thông báo lỗi sau:

        Thông tin đăng nhập được cung cấp là chính xác.

        Theo dõi giám sát mạng có thể hiển thị danh mục chung cung cấp một cuộc gọi (RPC) thủ tục từ xa lỗi với trạng thái 0x5. Trạng thái 0x5 có nghĩa là "Truy cập bị từ chối."

      • Windows 2000: Thu thập ng có thể hiển thị các lỗi sau đây trong các NetBIOS trên TCP/IP (NetBT) máy chủ thư khối (SMB) phiên:

        SMB R tìm thư mục Dos lỗi, mã định danh người dùng không hợp lệ (91) (5) STATUS_LOGON_FAILURE ACCESS_DENIED (109)

      • Windows 2000: Nếu miền Windows 2000 với NTLMv2 mức 2 hoặc mới hơn được tin tưởng bởi miền Windows NT 4.0, máy tính chạy Windows 2000 thành viên miền tài nguyên có thể gặp phải lỗi xác thực.

      • Windows 2000 và Windows XP: Theo mặc định, Windows 2000 và Windows XP đặt tuỳ chọn LAN Manager xác thực mức bảo mật chính sách cục bộ 0. Thiết đặt 0 có nghĩa là "gửi LM và NTLM câu trả lời."

        Lưu ý Windows NT 4.0 dựa trên cụm phải sử dụng LM quản trị.

      • Windows 2000: Windows 2000 cụm không xác thực một nút tham gia nếu cả hai nút là một phần của một gói dịch vụ Windows NT 4.0 6a tên miền (SP6a).

      • Công cụ khoá II (HiSecWeb) đặt giá trị LMCompatibilityLevel 5 và giá trị RestrictAnonymous 2.

      • Dịch vụ dành cho Macintosh

        Mô-đun xác thực người dùng (UAM): Microsoft UAM (mô-đun xác thực người dùng) cung cấp các phương pháp mã hóa mật khẩu mà bạn sử dụng để đăng nhập vào máy chủ Windows AFP (AppleTalk nộp Protocol). Mô-đun xác thực người dùng Apple (UAM) cung cấp chỉ tối thiểu hoặc không mã hoá. Do đó, mật khẩu của bạn có thể dễ dàng bị chặn trên mạng LAN hoặc Internet. Mặc dù UAM là không cần thiết, nó cung cấp mã xác thực máy chủ Windows 2000 chạy dịch vụ dành cho Macintosh. Phiên bản này bao gồm hỗ trợ cho NTLMv2 128 bit mã xác thực và bản MacOS X 10.1 tương thích.

        Theo mặc định, Windows Server 2003 dịch vụ dành cho Macintosh server cho phép chỉ Microsoft Authentication.


        Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:

        Macintosh khách hàng không thể kết nối với các dịch vụ dành cho Mac trên Windows Server 2003

      • Windows Server 2008, Windows Server 2003, Windows XP và Windows 2000: Nếu bạn cấu hình LMCompatibilityLevel giá trị 0 hoặc 1 và sau đó cấu hình giá trị NoLMHash 1, ứng dụng và các cấu phần có thể bị từ chối truy cập qua NTLM. Sự cố này xảy ra do máy tính được cấu hình để cho phép LM nhưng không sử dụng mật khẩu lưu trữ LM.

        Nếu bạn cấu hình giá trị NoLMHash 1, bạn phải cấu hình giá trị LMCompatibilityLevel là 2 hoặc cao hơn.

  11. An ninh mạng: LDAP khách đăng yêu cầu

    1. Nền

      Các an ninh mạng: LDAP khách đăng yêu cầu thiết lập xác định mức độ đăng nhập dữ liệu yêu cầu đại diện cho khách hàng sự cố kết giao thức truy cập thư mục nhẹ (LDAP) yêu cầu như sau:

      • None: LDAP kết yêu cầu được thực hiện với các tùy chọn gọi quy định.

      • Thương lượng ký: nếu các Secure Socket Layer/Transport Layer Security (SSL/TLS) không được khởi động, yêu cầu LDAP liên kết được bắt đầu với dữ liệu LDAP ký tuỳ chọn đặt in gọi chỉ định tuỳ chọn. Nếu SSL/TLS đã được khởi động, yêu cầu LDAP liên kết được bắt đầu với các tuỳ chọn chỉ định gọi.

      • Yêu cầu đăng nhập: điều này giống như thương lượng đăng nhập. Tuy nhiên, nếu máy chủ LDAP saslBindInProgress trung gian phản hồi chỉ ra LDAP lưu lượng truy cập đăng nhập là bắt buộc, người gọi nói LDAP ràng buộc lệnh yêu cầu thất bại.

    2. Cấu hình rủi ro

      Cho phép các an ninh mạng: LDAP khách đăng yêu cầu cài đặt là thiết lập cấu hình độc hại. Nếu bạn đặt máy chủ yêu cầu LDAP chữ ký, bạn cũng phải cấu hình LDAP ký trên máy khách. Không phải cấu hình máy khách sử dụng LDAP chữ ký sẽ ngăn liên lạc với máy chủ. Điều này khiến người dùng xác thực, chính sách nhóm cài đặt, tập lệnh đăng nhập và khác không thành công.

    3. Lý do thay đổi thiết đặt này

      Lưu lượng mạng đánh dấu là dễ bị tấn công người ở giữa nơi xâm nhập một bắt gói dữ liệu giữa máy khách và máy chủ, sửa đổi chúng, và sau đó chuyển chúng vào máy chủ. Khi điều này xảy ra trên máy chủ LDAP, kẻ tấn công có thể gây ra máy chủ trả lời dựa trên các truy vấn sai từ máy khách LDAP. Bạn có thể làm giảm nguy cơ này trong mạng công ty bằng cách thực hiện các biện pháp bảo mật vật lý mạnh mẽ để giúp bảo vệ cơ sở hạ tầng mạng. Ngoài ra, bạn có thể giúp ngăn chặn mọi người trong trung tấn công bởi yêu cầu chữ ký điện tử trên tất cả các gói mạng bằng IPSec tiêu đề xác thực.

    4. Tên biểu tượng:

      LDAPClientIntegrity

    5. Đường dẫn đăng ký:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

  12. Nhật ký sự kiện: Kích thước Nhật ký bảo mật tối đa

    1. Nền

      Các sự kiện: kích thước Nhật ký bảo mật tối đa thiết đặt bảo mật xác định kích thước tối đa của Nhật ký sự kiện bảo mật. Nhật ký này có kích thước tối đa 4 GB. Để xác định thiết đặt này, mở rộng
      Cài đặt Windows, sau đó mở rộng Thiết đặt bảo mật.

    2. Cấu hình rủi ro

      Sau đây là các cài đặt cấu hình độc hại:

      • Hạn chế kích thước Nhật ký bảo mật và phương pháp lưu Nhật ký bảo mật khi các kiểm tra: tắt hệ thống ngay lập tức nếu không thể đăng kiểm tra bảo mật cài đặt được kích hoạt. Xem phần "kiểm tra: tắt hệ thống ngay lập tức nếu không thể đăng kiểm tra bảo mật" trong bài viết này để biết thêm chi tiết.

      • Hạn chế kích thước Nhật ký bảo mật để sự kiện bảo mật quan được ghi đè.

    3. Lý do để tăng y

      Yêu cầu doanh nghiệp và bảo mật có thể chỉ ra rằng bạn tăng kích thước Nhật ký bảo mật để xử lý bảo mật thêm bản ghi chi tiết hoặc giữ lại Nhật ký bảo mật cho một thời gian dài.

    4. Lý do giảm thiết đặt này

      Xem Nhật ký sự kiện là bộ nhớ ánh xạ. Kích thước tối đa của Nhật ký sự kiện được hạn chế số lượng bộ nhớ vật lý vào máy tính và bộ nhớ ảo được cung cấp để xử lý sự kiện. Tăng kích thước Nhật ký vượt quá số lượng bộ nhớ ảo dành cho trình xem sự kiện tăng số mục nhập Nhật ký được duy trì.

    5. Ví dụ về các vấn đề tương thích

      Windows 2000: Trong trường hợp máy tính đang chạy phiên bản Windows 2000 cũ hơn gói dịch vụ 4 (SP4) có thể dừng ghi nhật ký sự kiện đăng nhập trước khi đạt kích thước được chỉ định kích thước tối đa Nhật ký cài đặt trong trình xem sự kiện nếu không ghi đè các sự kiện (xóa Nhật ký tự) Tuỳ chọn bật.


      Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:

      Nhật ký sự kiện dừng ghi nhật ký sự kiện trước khi đạt kích thước tối đa đăng nhập
       

  13. Nhật ký sự kiện: Giữ lại Nhật ký bảo mật

    1. Nền

      Các sự kiện: giữ lại Nhật ký bảo mật thiết đặt bảo mật xác định phương pháp "gói" Nhật ký bảo mật. Để xác định thiết đặt này, mở rộng Cửa sổ cài đặt, và sau đó mở rộng Thiết đặt bảo mật.

    2. Cấu hình rủi ro

      Sau đây là các cài đặt cấu hình độc hại:

      • Không giữ lại tất cả ghi sự kiện bảo mật trước khi chúng được ghi đè

      • Cấu hình tối đa kích thước Nhật ký bảo mật thiết lập quá nhỏ để bảo mật sự kiện được ghi đè

      • Hạn chế bảo mật đăng nhập kích thước và duy trì phương pháp trong khi những kiểm tra: tắt hệ thống ngay lập tức nếu không thể đăng kiểm tra bảo mật thiết đặt bảo mật được kích hoạt

    3. Lý do để bật thiết đặt này

      Bật thiết đặt này chỉ khi bạn chọn phương pháp duy trì sự kiện ghi đè bởi ngày . Nếu bạn sử dụng một sự kiện tương quan hệ cuộc thăm dò sự kiện, đảm bảo rằng số ngày là ít nhất ba lần tần suất kiểm tra vòng. Thực hiện việc này cho phép kiểm tra vòng không chu kỳ.

  14. Truy cập mạng: cho mọi người quyền áp dụng cho người dùng ẩn danh

    1. Nền

      Theo mặc định, các mạng truy cập: quyền cho mọi người áp dụng cho người dùng ẩn danh thiết đặt Không xác định trên Windows Server 2003. Theo mặc định, Windows Server 2003 không bao gồm mã thông báo truy nhập vô danh trong mọi người nhóm.

    2. Ví dụ về vấn đề tương thích

      Giá trị sau

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous[REG_DWORD] = 0x0 ngắt tạo tin cậy giữa Windows Server 2003 và Windows NT 4.0, khi miền Windows Server 2003 là tài khoản miền miền Windows NT 4.0 là tài nguyên miền. Điều này có nghĩa là vùng tài khoản được tin cậy trên Windows NT 4.0 và nguyên miền là tưởng bên Windows Server 2003. Hiện tượng này xảy ra bởi vì quá trình khởi động tin tưởng sau khi kết nối vô danh ban đầu ACL với mọi người mã thông báo bao gồm SID vô danh trên Windows NT 4.0.

    3. Lý do thay đổi thiết đặt này

      Giá trị phải được đặt để 0x1 hoặc bằng cách sử dụng một GPO trên bộ điều khiển miền OU được: mạng truy cập: quyền cho mọi người áp dụng cho người dùng ẩn danh - kích hoạt cho sáng tạo tin cậy có thể.

      Lưu ý Các thiết đặt bảo mật lên giá trị thay vì xuống 0x0 ở trạng thái an toàn nhất. Một thực tế an toàn hơn sẽ thay đổi sổ đăng ký trên mô phỏng điều khiển miền chính thay vì trên tất cả các bộ điều khiển miền. Nếu vai trò mô phỏng điều khiển miền chính di chuyển vì lý do nào, sổ đăng ký phải được Cập Nhật trên máy chủ mới.

      Khởi động lại phải sau khi giá trị này được cài đặt.

    4. Đường dẫn đăng ký

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

  15. Xác thực NTLMv2

    1. Phiên bảo mật

      Phiên an ninh xác định các tiêu chuẩn bảo mật tối thiểu cho máy khách và máy chủ phiên. Đó là một ý tưởng tốt để kiểm tra thiết đặt chính sách bảo mật sau trong Microsoft Management Console chính sách Nhóm đính-vào:

      • Máy tính Settings\Windows Settings\Security Policies settings\security settings\local lựa chọn

      • Bảo mật: Bảo mật phiên tối thiểu cho NTLM SSP dựa trên (bao gồm bảo mật RPC) máy chủ

      • Bảo mật: Bảo mật phiên tối thiểu cho NTLM SSP dựa trên (bao gồm bảo mật RPC) khách hàng

      Các tùy chọn cho các thiết như sau:

      • Yêu cầu thông báo tính toàn vẹn

      • Yêu cầu thông báo bảo mật

      • Yêu cầu NTLM Phiên bản 2 phiên bảo mật

      • Yêu cầu mã hóa 128-bit

      Thiết đặt mặc định trước khi Windows 7 là không yêu cầu. Bắt đầu với Windows 7, mặc định thay đổi để yêu cầu 128 bit mã hoá để tăng cường bảo mật. Với mặc định, thiết bị cũ không hỗ trợ mã hóa 128-bit sẽ không thể kết nối.

      Các chính sách xác định các tiêu chuẩn bảo mật tối thiểu cho một phiên ứng dụng ứng dụng thông tin trên máy chủ cho khách hàng.

      Lưu ý rằng Tuy là thiết đặt giá trị, cờ yêu cầu thông báo tính toàn vẹn và bảo mật không được sử dụng khi bảo mật phiên NTLM xác định.

      Trong quá khứ, Windows NT có hỗ trợ hai phiên bản sau của thách thức/phản hồi xác thực để đăng nhập mạng:

      • LM thách thức/phản hồi

      • NTLM Phiên bản 1 thách thức/phản hồi

      LM cho phép tương tác với cơ sở cài đặt máy khách và máy chủ. NTLM cung cấp tăng cường bảo mật cho kết nối giữa máy khách và máy chủ.

      Khoá đăng ký tương ứng là như sau:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

    2. Cấu hình rủi ro

      Thiết đặt này kiểm soát cách mạng phiên đảm bảo sử dụng NTLM sẽ được xử lý. Điều này ảnh hưởng đến phiên RPC dựa trên xác thực với NTLM, ví dụ. Có những rủi ro sau:

      • Sử dụng phương pháp xác thực lớn hơn NTLMv2 dễ dàng giao tiếp tấn công do các phương pháp đơn giản hashing sử dụng.

      • Sử dụng khoá mật mã hơn 128-bit cho phép kẻ tấn công để ngắt kết nối bằng cách sử dụng brute-lực tấn công.

Đồng bộ thời gian

Đồng bộ thời gian không thành công. Đó là ra hơn 30 phút trên một máy tính bị ảnh hưởng. Đảm bảo rằng đồng hồ máy tính được đồng bộ hoá với đồng hồ điều khiển miền.

Giải pháp cho đăng ký SMB

Chúng tôi khuyến nghị bạn cài đặt gói dịch vụ 6a (SP6a) trên máy khách Windows NT 4.0 interoperate trong miền dựa trên Windows Server 2003. Windows 98 Second Edition dựa trên máy khách, máy khách dựa trên Windows 98 và chạy trên Windows 95 khách hàng phải chạy máy khách dịch vụ thư mục để thực hiện NTLMv2. Nếu Windows NT 4.0 dựa trên máy khách không có Windows NT 4.0 SP6 cài đặt hoặc chạy trên Windows 95 khách hàng, khách hàng dựa trên Windows 98 và Windows 98SE dựa trên máy khách không có máy khách dịch vụ thư mục cài đặt, tắt SMB ký miền mặc định cài đặt trên bộ điều khiển miền chính sách của bộ điều khiển của đơn vị tổ chức, và sau đó liên kết chính sách này với anh tất cả lưu trữ bộ điều khiển miền.

Thư mục Dịch vụ khách hàng cho Windows 98 Second Edition, Windows 98 và Windows 95 sẽ thực hiện đăng ký SMB với máy chủ Windows 2003 trong NTLM xác thực, nhưng không NTLMv2 xác thực. Ngoài ra, máy chủ Windows 2000 sẽ không đáp ứng yêu cầu đăng ký SMB từ các khách hàng.

Mặc dù chúng tôi không khuyên bạn nên nó, bạn có thể không đăng ký SMB từ được yêu cầu trên tất cả các bộ điều khiển miền chạy Windows Server 2003 trong một miền. Cấu hình thiết đặt bảo mật này, hãy làm theo các bước sau:

  1. Mở bộ điều khiển miền mặc định chính sách.

  2. Mở thư mục Computer Configuration\Windows Settings\Security Policies settings\security settings\local tuỳ chọn .

  3. Định vị và sau đó bấm vào máy chủ mạng Microsoft: ký điện tử truyền thông (luôn luôn) thiết đặt chính sách, và sau đó bấm tắt.

Quan trọng Phần, phương pháp hoặc tác vụ này chứa các bước chỉ dẫn bạn cách sửa đổi sổ đăng ký. Tuy nhiên, sự cố nghiêm trọng có thể xảy ra nếu bạn sửa đổi sổ đăng ký không đúng. Vì vậy, hãy đảm bảo bạn làm theo các bước sau đây một cách cẩn thận. Để bảo vệ tốt hơn, sao lưu sổ đăng ký trước khi bạn sửa đổi. Sau đó, bạn có thể khôi phục sổ đăng ký nếu xảy ra sự cố. Để biết thêm thông tin về cách sao lưu và khôi phục sổ đăng ký, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:

cách sao lưu và khôi phục sổ đăng ký trong WindowsNgoài ra, hãy tắt ai đăng nhập vào máy chủ bằng cách sửa đổi sổ đăng ký. Để thực hiện việc này, hãy làm theo các bước sau:

  1. Bấm vào Bắt đầu, bấm vào Chạy, nhập regedit, sau đó bấm OK.

  2. Tìm và sau đó bấm vào khóa con sau:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

  3. Bấm vào mục enablesecuritysignature .

  4. Trên menu chỉnh sửa, bấm Sửa đổi.

  5. Trong ô dữ liệu giá trị , nhập 0, và sau đó bấm OK.

  6. Thoát khỏi Trình chỉnh sửa Sổ đăng ký.

  7. Khởi động lại máy tính, hoặc dừng và sau đó khởi động lại dịch vụ máy chủ. Để thực hiện việc này, gõ lệnh sau tại dấu nhắc lệnh và sau đó nhấn Enter sau khi bạn gõ mỗi lệnh:
    net stop server
    máy chủ mạng bắt đầu

Lưu ý Phím tương ứng trên máy tính là khoá con đăng ký sau:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\ParametersSau đây liệt kê các lỗi dịch mã số mã trạng thái và các thông báo lỗi nguyên được đề cập trước đó:

lỗi 5
ERROR_ACCESS_DENIED

Truy cập bị từ chối.

lỗi 1326

ERROR_LOGON_FAILURE

Đăng nhập thất bại: tên không xác định người dùng hoặc mật khẩu không hợp lệ.

lỗi 1788

ERROR_TRUSTED_DOMAIN_FAILURE

Mối quan hệ tin cậy giữa vùng chính và miền đáng tin cậy không thành công.

lỗi 1789

ERROR_TRUSTED_RELATIONSHIP_FAILURE

Mối quan hệ tin cậy giữa các trạm làm việc này và tên miền chính không thành công.

Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:

làm thế nào để cấu hình chính sách nhóm để thiết lập bảo mật cho các dịch vụ hệ thống trong Windows Server 2003
 

làm thế nào để cho phép ai đăng nhập Windows NT
 

làm thế nào để áp dụng mẫu bảo mật được xác định trước trong Windows Server 2003
 

bạn phải cung cấp thông tin đăng nhập tài khoản Windows khi bạn kết nối với Exchange Server 2003 bằng cách sử dụng Outlook 2003 RPC qua HTTP tính năng

Bạn cần thêm trợ giúp?

Phát triển các kỹ năng của bạn
Khám phá nội dung đào tạo
Sở hữu tính năng mới đầu tiên
Tham gia Microsoft dùng nội bộ

Thông tin này có hữu ích không?

Bạn hài lòng đến đâu với chất lượng dịch thuật?
Điều gì ảnh hưởng đến trải nghiệm của bạn?

Cảm ơn phản hồi của bạn!

×