如果您變更安全性設定和使用者權利指派，可能會發生用戶端、服務和程式問題

Windows XP

若要提高設定錯誤安全性設定的意識，請使用群組原則物件編輯器工具來變更安全性設定。 當您使用群組原則物件編輯器時，下列作業系統會增強使用者權利指派：

• Windows XP 專業 Service Pack 2 (SP2)

• Windows Server 2003 Service Pack 1 (SP1)

增強功能是包含本文連結的對話方塊。 當您將安全性設定或使用者權利指派變更為提供較不相容性且限制較嚴格的設定時，對話方塊便會出現。 如果您直接使用登錄或使用安全性範本來變更相同的安全性設定或使用者權利指派，其效果會與在 [物件編輯器] 群組原則變更設定相同。 不過，包含本文連結的對話方塊不會出現。

本文包含受特定安全性設定或使用者權利指派影響的用戶端、程式和作業範例。 不過，範例並非所有 Microsoft 作業系統、所有協力廠商作業系統或受影響之所有程式版本的授權。 並非所有安全性設定和使用者權利指派都包含在本文中。

我們建議您先驗證測試林中所有安全性相關設定變更的相容性，再將其引入生產環境中。 試驗林必須以下列方式來鏡像生產林：

• 用戶端和伺服器作業系統版本、用戶端和伺服器程式、Service Pack 版本、Hotfix、架構變更、安全性群組、群組成員資格、檔案系統中物件的許可權、共用資料夾、登錄、Active Directory 目錄服務、本機和群組原則設定，以及物件計數類型和位置

• 執行的系統管理工作、使用的系統管理工具，以及用來執行系統管理工作的作業系統

• 執行的作業，例如下列：

  • 電腦和使用者登入驗證

  • 使用者、電腦和系統管理員重設密碼

  • 流覽

  • 在所有帳戶或資源網域之所有帳戶或資源作業系統的所有用戶端作業系統中，使用 ACL 編輯器來設定檔案系統、共用資料夾、登錄和 Active Directory 資源的許可權

  • 從系統管理與非系統管理帳戶列印

Windows Server 2003 SP1

使用者權利

下列清單說明使用者權利、識別可能會造成問題的設定、說明為何應套用使用者權利，以及為何要移除使用者權利，並提供設定使用者右側時可能發生的相容性問題的範例。

1. 從網路存取此電腦

   1. 背景
      
      若要與遠端 Windows 電腦互動，必須直接從網路使用者存取此電腦。 這類網路作業的範例包括下列專案：

      • 在常見網域或樹系中的網域控制站之間複製 Active Directory

      • 從使用者和電腦向網域控制站提出驗證要求

      • 存取位於網路上遠端電腦上的共用資料夾、印表機及其他系統服務

      
      
      使用者、電腦和服務帳戶直接從網路使用者取得或遺失此電腦的存取權，方法是從已獲授予此使用者權利的安全性群組中明確或隱含地新增或移除。 例如，系統管理員可能明確地將使用者帳戶或電腦帳戶新增至自訂安全性群組或內建安全性群組，或者作業系統可能隱含新增到計算安全性群組，例如網域使用者、已驗證的使用者或企業網域控制站。
      
      根據預設，使用者帳戶和電腦帳戶會在由網路使用者撰寫「所有人」等群組，或最好是已驗證的使用者，以及針對網域控制站的 「企業網域控制站」群組，定義為預設的域控制群組原則物件 (GPO) 。

   2. 有風險的
      
      設定 下列是有害的設定：

      • 從此使用者移除企業網域控制站安全性群組

      • 移除已驗證的 [使用者] 群組或明確群組，讓使用者有權透過網路連線到電腦的使用者、電腦和服務帳戶

      • 從此使用者移除所有使用者和電腦

   3. 授與此使用者權利的理由

      • 將網路使用者的存取權授與企業網網域控制站群組，滿足 Active Directory 複寫必須具備的驗證需求，才能在相同樹系的網域控制站之間進行複寫。

      • 此使用者權利可讓使用者和電腦存取共用的檔案、印表機和系統服務，包括 Active Directory。

      • 使用者必須具備此使用者權利，才能使用舊版的 Microsoft Outlook Web Access (OWA) 存取郵件。

   4. 移除此使用者的理由

      • 能夠將電腦連線到網路的使用者，可以存取他們有許可權之遠端電腦上的資源。 例如，使用者必須有這個使用者權利才能連線到共用印表機和資料夾。 如果將此使用者權利授與[所有人] 群組，而且某些共用資料夾同時擁有共用和 NTFS 檔案系統許可權，讓同一個群組具有讀取權限，任何人都可以檢視這些共用資料夾中的檔案。 不過，重新安裝 Windows Server 2003 不太可能發生這種情況，因為 Windows Server 2003 中的預設共用和 NTFS 許可權不包含 [所有人] 群組。 對於從 Microsoft Windows NT 4.0 或 Windows 2000 升級的系統，此弱點可能會有較高的風險等級，因為這些作業系統的預設共用和檔案系統許可權沒有 Windows Server 2003 中的預設許可權那麼嚴格。

      • 從此使用者移除企業網域控制站群組是沒有充分理由的。

      • [所有人] 群組通常會移除，而支援 [已驗證的使用者] 群組。 如果移除 [所有人] 群組，則必須授予 [已驗證的使用者] 群組權利。

      • Windows NT升級至 Windows 2000 的 4.0 個網域，並不會將網路使用者存取此電腦的權利授予 [所有人] 群組、[已驗證的使用者] 群組或 [企業網域控制站] 群組。 因此，當您從 Windows NT 4.0 網域原則移除 [所有人] 群組時，Active Directory 複寫會在您升級至 Windows 2000 之後，出現「拒絕存取」錯誤訊息失敗。 Windows Server 2003 中的 Winnt32.exe 會在您將 4.0 主要域 (控制器升級 Windows NT至電腦) 時，授與企業網域控制站群組給此使用者，以避免此設定錯誤。 如果此使用者未出現在 [群組原則物件編輯器] 中，請授與企業網域控制站群組權利。

   5. 相容性問題的範例

      • Windows 2000 和 Windows Server 2003：複製下列磁碟分割區將會失敗，併發生「拒絕存取」錯誤，如事件記錄檔中的 REPLMON 和 REPADMIN 等監控工具或複寫事件所報告。

        • Active Directory 架構磁碟分割

        • 設定磁碟分割

        • 網域磁碟分割

        • 全域型目錄磁碟分割

        • 應用程式磁碟分割

      • 所有 Microsoft 網路作業系統：遠端網路用戶端電腦的使用者帳戶驗證將會失敗，除非使用者所屬的使用者或安全性群組已獲授予此使用者權利。

      • 所有 Microsoft 網路作業系統：遠端網路用戶端的帳戶驗證將會失敗，除非帳戶所屬的帳戶或安全性群組已獲授予此使用者權利。 此案例適用于使用者帳戶、電腦帳戶和服務帳戶。

      • 所有 Microsoft 網路作業系統：移除此使用者的所有帳戶將會防止任何帳戶登入網域或存取網路資源。 如果移除企業網域控制站、所有人或已驗證的使用者等計算群組，您必須明確授與此使用者帳戶或帳戶所屬安全性群組存取網路遠端電腦的權利。 此案例適用于所有使用者帳戶、所有電腦帳戶，以及所有服務帳戶。

      • 所有 Microsoft 網路作業系統：本機系統管理員帳戶使用「空白」密碼。 網域環境中的系統管理員帳戶不允許使用空白密碼的網路連線。 透過此設定，您可能會收到「拒絕存取」錯誤訊息。

2. 允許在本機登入

   1. 背景
      
      嘗試在 Windows 電腦主機上登入的使用者， (使用 CTRL+ALT+DELETE 鍵盤快速鍵) 以及嘗試啟動服務的帳戶，必須在主機電腦上擁有本機登入許可權。 本機登入作業的範例包括登入成員電腦主機的系統管理員，或是企業內的域控制者，以及登入成員電腦以使用非許可權帳戶存取桌面的網域使用者。 使用遠端桌面連線或終端服務的使用者必須在執行 Windows 2000 或 Windows XP 的目的地電腦上擁有允許本機使用者登入，因為這些登入模式被視為主機電腦的原生模式。 登入已啟用 Terminal Server 且沒有此使用者權利之伺服器的使用者，如果擁有允許透過終端服務使用者登入的許可權，則仍可在 Windows Server 2003 網域中啟動遠端互動式會話。

   2. 有風險的
      
      設定 下列是有害的設定：

      • 從預設網域控制站的原則中移除系統管理安全性群組，包括帳戶運算子、備份運算子、列印運算子或伺服器運算子，以及內建的系統管理員群組。

      • 從預設網域控制站的原則中，移除元件和成員電腦上的程式以及網域網域控制站上之程式所使用的服務帳戶。

      • 移除登入網域中成員電腦主機的使用者或安全性群組。

      • 移除本機安全性帳戶管理員 (SAM) 成員電腦或工作組電腦資料庫中定義的服務帳戶。

      • 移除透過網域控制站上執行的終端服務驗證的非內建系統管理帳戶。

      • 透過 [所有人] 群組明確或隱含地將網域中的所有使用者帳戶新增到拒絕本機登入右側。 此設定會防止使用者登入任何成員電腦或網域中的任何網域控制站。

   3. 授與此使用者權利的理由

      • 使用者必須擁有 [允許登入本機使用者] 許可權，才能存取工作組電腦、成員電腦或網域控制站的主機或桌面。

      • 使用者必須擁有此使用者的登入權，才能透過 Windows 2000 會員電腦或網域控制站上執行的終端服務會話登入。

   4. 移除此使用者的理由

      • 若未能限制主機存取合法使用者帳戶，可能會導致未經授權的使用者下載並執行惡意程式碼以變更其使用者權利。

      • 移除「允許登入本機使用者」許可權可防止未經授權的登入電腦主機，例如網域控制站或應用程式伺服器。

      • 移除此登入權利可防止非網域帳戶登入網域中成員電腦的主機。

   5. 相容性問題的範例

      • Windows 2000 終端機伺服器：使用者登入 Windows 2000 終端機伺服器時，必須具備允許本機使用者登入許可權。

      • Windows NT 4.0、Windows 2000、Windows XP 或 Windows Server 2003：使用者帳戶必須在執行 Windows NT 4.0、Windows 2000、Windows XP 或 Windows Server 2003 的電腦主機上登入。

      • Windows NT 4.0 及更新版本：在執行 Windows NT 4.0 及更新版本的電腦上，如果您在本機使用者右側新增允許登入，但您隱含或明確地授與本機登入功能，帳戶將無法登入網域控制站的主機。

3. 略過反向檢查

   1. 背景
      
      略過反向檢查使用者右鍵可讓使用者流覽 NTFS 檔案系統中的資料夾或登錄中的資料夾，而不需檢查 Traverse 資料夾的特殊存取許可權。 略過反向檢查使用者權利不允許使用者列出資料夾的內容。 它只允許使用者周閱其資料夾。

   2. 有風險的
      
      設定 下列是有害的設定：

      • 移除登入 Windows 2000 終端機服務電腦或 Windows Server 2003 型終端服務電腦，而這些電腦沒有存取檔案系統中檔案和資料夾的非系統管理帳戶。

      • 預設會從擁有此使用者的安全性主體清單中移除 [所有人] 群組。 Windows 作業系統以及許多程式的設計，都希望任何能合法存取電腦的人，都能擁有略過周轉檢查使用者的權利。 因此，將 [所有人] 群組從預設擁有此使用者的安全性主體清單中移除，可能會導致作業系統不穩定或程式失敗。 建議您將此設定保留為預設值。

   3. 授與此使用者權利的理由
      
      略過周轉檢查使用者右側的預設設定是允許任何人略過反向檢查。 對於經驗豐富的 Windows 系統管理員來說，這是預期的行為，他們會據) 設定檔案系統存取控制清單 (SACL。 只有設定許可權的系統管理員不了解該行為，且預期無法存取父資料夾的使用者將無法存取任何子資料夾的內容時，才會發生意外狀況。

   4. 移除此使用者的理由
      
      若要防止存取檔案系統中的檔案或資料夾，極為擔心安全性的組織可能會想從具有略過檢查使用者的群組清單中移除 [所有人] 群組，甚至是 [使用者] 群組。

   5. 相容性問題的範例

      • Windows 2000、Windows Server 2003：如果在執行 Windows 2000 或 Windows Server 2003 的電腦上移除略過反向檢查使用者右鍵或設定錯誤，SYVOL 資料夾中的群組原則設定將不會在網域中的網域控制站之間複製。

      • Windows 2000、Windows XP 專業版、Windows Server 2003：執行 Windows 2000、Windows XP 專業版或 Windows Server 2003 的電腦將會記錄事件 1000 和 1202，如果移除略過檢查使用者右方或設定錯誤時，將無法套用電腦原則和使用者原則。
        
         

      • Windows 2000、Windows Server 2003：在執行 Windows 2000 或 Windows Server 2003 的電腦上，當您檢視磁片區上的屬性時，Windows 檔案總管中的 [ 配額 ] 索引標籤將會消失。

      • Windows 2000：登入 Windows 2000 終端機伺服器的非系統管理員可能會收到下列錯誤訊息：

        Userinit.exe應用程式錯誤。 應用程式無法正確初始化0xc0000142按一下 [確定] 以終止應用程式。

      • Windows NT 4.0、Windows 2000、Windows XP、Windows Server 2003：電腦執行 Windows NT 4.0、Windows 2000、Windows XP 或 Windows Server 2003 的使用者可能無法存取共用資料夾或共用資料夾上的檔案，如果他們未獲授與略過反向檢查使用者許可權，則可能會收到「拒絕存取」錯誤訊息。
        
        
         

      • Windows NT 4.0：在 Windows NT 4.0 型電腦上，移除略過周遊檢查使用者右鍵會導致檔案複本捨棄檔串流。 如果您將此使用者移除，當檔案從 Windows 用戶端或 Macintosh 用戶端複製到執行 Macintosh 服務的 Windows NT 4.0 網域控制站時，目的地檔串流會遺失，且檔案會顯示為僅限文字的檔案。

      • Microsoft Windows 95、Microsoft Windows 98：在執行 Windows 95 或 Windows 98 的用戶端電腦上，如果已驗證的使用者群組未獲授與略過反向檢查使用者許可權，net use * /home 命令將會失敗並顯示「拒絕存取」錯誤訊息。

      • Outlook Web Access：非系統管理員將無法登入 Microsoft Outlook Web Access，如果他們未獲授與略過流覽檢查使用者許可權，則會收到「拒絕存取」錯誤訊息。

安全性設定

下列清單會識別安全性設定，而巢狀清單會提供安全性設定的相關描述、識別可能會造成問題的設定、說明為何應套用安全性設定，然後說明您可能會想要移除安全性設定的原因。 然後巢狀清單會為安全性設定以及安全性設定的登錄路徑提供符號名稱。 最後，提供設定安全性設定時可能會發生的相容性問題範例。

1. 稽核：如果無法記錄安全性稽核，請立即關閉系統

   1. [背景]

      • 稽核：如果無法記錄安全性稽核設定，系統會立即關機，決定如果您無法記錄安全性事件，系統是否會關閉。 若稽核系統無法記錄這些事件，信任的電腦安全性性評估準則 (TCSEC) 程式的 C2 評估以及資訊技術安全性評估通用準則必須有此設定，才能避免發生可稽核的事件。 如果稽核系統失敗，系統會關閉，並出現停止錯誤訊息。

      • 如果電腦無法將事件記錄到安全性記錄檔，則在安全性事件之後，可能無法檢閱重要證據或重要的疑難排解資訊。

   2. 風險設定
      
      下列是有害的設定：稽核：如果無法記錄安全性稽核設定已開啟，系統會立即關機，且安全性事件記錄檔的大小受限於 [請勿覆寫事件 (手動清除記錄) ] 選項、[視需要覆寫事件] 選項，或事件檢視器中的 [覆寫天數以上的事件] 選項。 如需執行原始發行版本 Windows 2000、Windows 2000 Service Pack 1 (SP1) 、Windows 2000 SP2 或 Windows 2000 SP3 之電腦的特定風險相關資訊，請參閱一節。

   3. 啟用此設定
      
      的原因 如果電腦無法將事件記錄到安全性記錄檔，則在安全性事件之後，可能無法檢閱重要證據或重要的疑難排解資訊。

   4. 停用此設定的原因

      • 啟用稽核：如果因為任何原因無法記錄安全性稽核，如果無法記錄安全性稽核設定會停止系統，請立即關閉系統。 一般情況下，當安全性稽核記錄已滿，且其指定的保留方法為 [請勿覆寫事件 (手動清除記錄]) 選項或 [覆 寫天數 以上的事件] 選項時，便無法記錄事件。

      • 啟用稽核的系統管理負擔：如果無法記錄安全性稽核設定，請立即關閉系統，這會非常高，特別是如果您也開啟了安全性記錄檔的 [請勿覆寫事件 (手動清除記錄) 選項。 此設定提供個別的運算子動作責任。 例如，系統管理員可以重設組織單位中所有使用者、電腦和群組的許可權， (OU) 使用內建系統管理員帳戶或其他共用帳戶啟用稽核，然後拒絕他們重設這類許可權。 不過，啟用此設定會降低系統的健全性，因為伺服器可能會因為內含登入事件及其他寫入安全性記錄檔的安全性事件而強制關機。 此外，由於關機無法對作業系統、程式或資料造成不寬限且無法復原的損害。 雖然 NTFS 保證檔案系統的完整性會在不正確的系統關機期間維持，但無法保證系統重新開機時，每個程式的每一個資料檔案仍會以可用的形式運作。

   5. 符號名稱：
      
      CrashOnAuditFail

   6. 登錄路徑：

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)

   7. 相容性問題的範例

      • Windows 2000：由於錯誤，執行原始發行版本 Windows 2000、Windows 2000 SP1、Windows 2000 SP2 或 Windows Server SP3 的電腦可能會在達到安全性事件記錄檔的 [最大記錄檔大小] 選項中指定的大小之前停止記錄事件。 此錯誤已于 Windows 2000 Service Pack 4 (SP4) 中修正。 請確定您的 Windows 2000 網域控制站已安裝 Windows 2000 Service Pack 4，然後再考慮啟用此設定。
        
         

      • Windows 2000、Windows Server 2003：執行 Windows 2000 或 Windows Server 2003 的電腦可能會停止回應，如果稽核，可能會主動重新開機：如果無法記錄安全性稽核設定已開啟，則立即關閉系統、安全性記錄檔已滿，且無法覆寫現有的事件記錄專案。 電腦重新開機時，會出現下列停止錯誤訊息：

        停止：C0000244 {Audit Failed}
        嘗試產生安全性稽核失敗。

        若要復原，系統管理員必須登入、封存安全性記錄 (選用) 、清除安全性記錄檔，然後重設此選項 (選擇性且視需要) 。

      • 適用于 MS-DOS、Windows 95、Windows 98、Windows NT 4.0、Windows 2000、Windows XP、Windows Server 2003 的 Microsoft Network Client：嘗試登入網域的非系統管理員會收到下列錯誤訊息：

        您的帳戶已設定為防止您使用此電腦。 請嘗試另一部電腦。

      • Windows 2000：在 Windows 2000 電腦上，非系統管理員將無法登入遠端存取服務器，而且他們會收到類似下列錯誤訊息：

        未知的使用者或錯誤的密碼

      • Windows 2000：在 Windows 2000 網域控制站上，網站間訊息服務 (Ismserv.exe) 將會停止且無法重新開機。 DCDIAG 會將錯誤回報為「測試服務 ISMserv 失敗」，事件識別碼 1083 將會在事件記錄檔中註冊。

      • Windows 2000：在 Windows 2000 網域控制站上，Active Directory 複寫將會失敗，如果安全性事件記錄檔已滿，就會顯示「拒絕存取」訊息。

      • Microsoft Exchange 2000：執行 Exchange 2000 的伺服器將無法裝載資訊存放區資料庫，事件 2102 也會在事件記錄檔中註冊。

      • Outlook、Outlook Web Access：非系統管理員將無法透過 Microsoft Outlook 或 Microsoft Outlook Web Access 存取其郵件，而且會收到 503 錯誤。

2. 網域控制站：LDAP 伺服器簽署要求

   1. 背景
      
      網域控制站：LDAP 伺服器簽署需求安全性設定決定輕量型目錄存取通訊協定 (LDAP) 伺服器是否需要 LDAP 用戶端以進行資料簽署。 此原則設定的可能值如下所示：

      • 無：不需要資料簽署即可與伺服器系結。 如果用戶端要求資料簽署，伺服器會支援此功能。

      • 需要簽署：除非使用 TLS/SSL) 的傳輸層安全性/安全通訊端層 (，否則必須交涉 LDAP 資料簽署選項。

      • 未定義：此設定未啟用或停用。

   2. 有風險的
      
      設定 下列是有害的設定：

      • 啟用：用戶端不支援 LDAP 簽署，或用戶端未啟用用戶端 LDAP 簽入的登入環境

      • 在用戶端不支援 LDAP 簽署或用戶端 LDAP 簽入的環境中套用 Windows 2000 或 Windows Server 2003 Hisecdc.inf 安全性範本

      • 在用戶端不支援 LDAP 簽署或用戶端 LDAP 簽入的環境中套用 Windows 2000 或 Windows Server 2003 Hisecws.inf 安全性範本

   3. 啟用此設定
      
      的原因 未簽署的網路流量容易受到中間人攻擊，入侵者會擷取用戶端和伺服器之間的封包、修改封包，然後轉寄至伺服器。 在 LDAP 伺服器上發生此行為時，攻擊者可能會導致伺服器根據來自 LDAP 用戶端的誤判來做出決策。 您可以實作強大的實體安全性措施來協助保護網路基礎結構，藉此降低公司網路中的風險。 網際網路通訊協定安全性 (IPSec) 驗證標頭模式可協助防止中間人攻擊。 驗證標頭模式會針對 IP 流量執行共同驗證和封包完整性。

   4. 停用此設定的原因

      • 不支援 LDAP 簽署的用戶端將無法針對網域控制站和全域目錄執行 LDAP 查詢，如果已交涉 NTLM 驗證，且 Windows 2000 網域控制站上未安裝正確的 Service Pack，則無法針對全域目錄執行查詢。

      • 用戶端和伺服器之間的 LDAP 流量網路追蹤將會加密。 這會讓您難以檢查 LDAP 交談。

      • Windows 2000 型伺服器必須有 Windows 2000 Service Pack 3 (SP3) 或安裝時，由支援從執行 Windows 2000 SP4、Windows XP 或 Windows Server 2003 的用戶端電腦執行的 LDAP 簽入功能的程式管理或安裝。  

   5. 符號名稱：
      
      LDAPServerIntegrity

   6. 登錄路徑：

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)

   7. 相容性問題的範例

      • 簡易系結將會失敗，且您會收到下列錯誤訊息：

        Ldap_simple_bind_s () 失敗：需要強驗證。

      • Windows 2000 Service Pack 4、Windows XP、Windows Server 2003：在執行 Windows 2000 SP4、Windows XP 或 Windows Server 2003 的用戶端上，某些 Active Directory 系統管理工具無法針對在進行 NTLM 驗證時執行早于 SP3 版本的 Windows 2000 網域控制站正確運作。
        
         

      • Windows 2000 Service Pack 4、Windows XP、Windows Server 2003：在執行 Windows 2000 SP4、Windows XP 或 Windows Server 2003 的用戶端上，某些針對執行早于 SP3 之 Windows 2000 版本之網域控制站的 Active Directory 系統管理工具，若使用 IP 位址 (，將無法正確運作， 「dsa.msc /server=x.x.x.x」，其中
        x.x.x.x.x是 IP 位址) 。
        
        
         

      • Windows 2000 Service Pack 4、Windows XP、Windows Server 2003：在執行 Windows 2000 SP4、Windows XP 或 Windows Server 2003 的用戶端上，某些針對執行早于 SP3 之 Windows 2000 版本之網域控制站的 Active Directory 系統管理工具無法正確運作。
        
         

3. 網域成員：需要 (Windows 2000 或更新版本) 工作階段金鑰

   1. [背景]

      • 網域成員：需要強大的 (Windows 2000 或更新版本，) 工作階段金鑰設定決定是否可以使用無法使用強式 128 位工作階段金鑰加密安全通道流量的網域控制站建立安全通道。 啟用此設定會防止與任何無法使用強鍵加密安全通道資料的網域控制站建立安全通道。 停用此設定可允許 64 位會話按鍵。

      • 在您可以在成員工作站或伺服器上啟用此設定之前，成員所屬網域中的所有網域控制站都必須能夠使用強式 128 位金鑰加密安全通道資料。 這表示所有這類網域控制站都必須執行 Windows 2000 或更新版本。

   2. 風險設定
      
      啟用網域成員：需要強 (Windows 2000 或更新版本) 工作階段金鑰設定是有害的設定。

   3. 啟用此設定的原因

      • 在 Windows 2000 中用來在成員電腦和網域控制站之間建立安全通道通訊的工作階段金鑰比舊版 Microsoft 作業系統強得多。

      • 如果可以的話，最好利用這些較強的工作階段金鑰來協助保護安全通道通訊，避免遭到 Eavesdropping 和會話串連網路攻擊。 [Eavesdropping] 是一種惡意攻擊形式，會在傳輸過程中讀取或變更網路資料。 您可以修改資料以隱藏或變更寄件者，或重新導向。

      重要事項：執行 Windows Server 2008 R2 或 Windows 7 的電腦在使用安全通道時僅支援強鍵。 這項限制可防止信任任何Windows NT 4.0 型網域和任何 Windows Server 2008 R2 型網域。 此外，這項限制會封鎖執行 Windows 7 或 Windows Server 2008 R2 之電腦的Windows NT 4.0 型網域成員資格，反之亦然。

   4. 停用此設定
      
      的原因 網域包含執行 Windows 2000、Windows XP 或 Windows Server 2003 以外的作業系統的成員電腦。

   5. 符號名稱：
      
      StrongKey

   6. 登錄路徑：

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)

   7. 相容性問題
      
      範例Windows NT 4.0：在 Windows NT 4.0 型電腦上，重設具有 NLTEST 的 Windows NT 4.0 與 Windows 2000 網域之間的安全信任關聯通道失敗。 出現「拒絕存取」錯誤訊息：

      主域與信任網域之間的信任關係失敗。
      
      Windows 7 和 Server 2008 R2：適用于 Windows 7 及更新版本以及 Windows Server 2008 R2 及更新版本，不再會採用此設定，且系統一律會使用強鍵。 因此，Windows NT 4.0 網域的信任不再運作。

4. 網域成員：數位加密或簽署安全通道資料 (一律)

   1. [背景]

      • 啟用網域成員：數位加密或簽署安全通道資料 (一律) 防止與任何無法簽署或加密所有安全通道資料的網域控制站建立安全通道。 為了協助保護驗證流量免于中間人攻擊、重播攻擊及其他類型的網路攻擊，Windows 電腦會透過 Net 登入服務建立一個稱為安全通道的通訊通道，以驗證電腦帳戶。 當一個網域中的使用者連線到遠端網域中的網路資源時，也會使用安全通道。 此多域驗證或傳遞驗證可讓已加入網域的 Windows 電腦在其網域和任何受信任的網域中存取使用者帳戶資料庫。

      • 若要啟用網域成員：數位加密或簽署安全通道資料 (一律) 成員電腦上的設定，成員所屬網域中的所有域控制者都必須能夠簽署或加密所有安全通道資料。 這表示所有這類網域控制站都必須執行 Windows NT 4.0 service Pack 6a (SP6a) 或更新版本。

      • 啟用網域成員：數位加密或簽署安全通道資料 (一律) 設定會自動啟用網域成員：盡可能) 設定進行數位加密或簽署安全通道 (資料。

   2. 風險設定
      
      啟用網域成員：數位加密或簽署安全通道資料 (一律) 網域中設定，並非所有網域控制站都可以簽署或加密安全通道資料，這是有害的設定。

   3. 啟用此設定
      
      的原因 未簽署的網路流量容易受到中間人攻擊，其中入侵者會在伺服器和用戶端之間擷取封包，然後修改封包再轉寄給用戶端。 在輕量型目錄存取通訊協定 (LDAP) 伺服器上發生此行為時，入侵者可能會導致用戶端根據 LDAP 目錄中的假記錄做出決策。 您可以實作強實體安全性措施來協助保護網路基礎結構，藉此降低這類攻擊在公司網路上的風險。 此外，實作網際網路通訊協定安全性 (IPSec) 驗證標頭模式有助於防止中間人攻擊。 此模式會針對 IP 流量執行共同驗證和封包完整性。

   4. 停用此設定的原因

      • 本機或外部網域中的電腦支援加密的安全通道。

      • 網域中並非所有的網域控制站都有適當的 Service Pack 修訂層級，以支援加密的安全通道。

   5. 符號名稱：
      
      StrongKey

   6. 登錄路徑：

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)

   7. 相容性問題的範例

      • Windows NT 4.0：Windows 2000 型成員電腦將無法加入 Windows NT 4.0 網域，且會收到下列錯誤訊息：

        此帳戶未獲得登入此站的授權。

        如需詳細資訊，請按一下下列文章編號以檢視 Microsoft 知識庫中的文章：

        281648 錯誤訊息：帳戶未獲授權從此站登入
         

      • Windows NT 4.0：Windows NT 4.0 網域將無法使用 Windows 2000 網域建立下層信任，且會收到下列錯誤訊息：

        此帳戶未獲得登入此站的授權。

        現有的下層信任可能也不會驗證來自受信任網域的使用者。 有些使用者登入網域時可能會發生問題，而且可能會收到錯誤訊息，指出用戶端找不到該網域。

      • Windows XP：加入 Windows NT 4.0 網域的 Windows XP 用戶端將無法驗證登入嘗試，而且可能會收到下列錯誤訊息，或者事件記錄檔中可能會登錄下列事件：

        Windows 無法連線至網域，可能是因為網域控制站已關閉或無法使用，或是因為找不到您的電腦帳戶

      • Microsoft 網路：Microsoft 網路用戶端會收到下列其中一個錯誤訊息：

        登入失敗：不明的使用者名稱或錯誤的密碼。

        指定的登入會話沒有使用者工作階段金鑰。

5. Microsoft 網路用戶端：數位簽署通訊 (一律)

   1. 背景
      
      伺服器訊息封鎖 (SMB) 是許多 Microsoft 作業系統支援的資源分享通訊協定。 它是 NetBIOS) 和其他許多通訊協定 (網路基本輸入/輸出系統的基礎。 SMB 簽署會驗證主控資料的使用者和伺服器。 如果任一端的驗證程式失敗，將不會進行資料傳輸。
      
      啟用 SMB 簽署會在 SMB 通訊協定商談期間開始。 SMB 簽署原則會決定電腦是否一律以數位方式簽署用戶端通訊。
      
      Windows 2000 SMB 驗證通訊協定支援共同驗證。 共同驗證會關閉「中間人」攻擊。 Windows 2000 SMB 驗證通訊協定也支援郵件驗證。 郵件驗證有助於防止作用中的郵件攻擊。 為了提供您此驗證，SMB 簽名會在每個 SMB 中加入數位簽章。 用戶端和伺服器各自驗證數位簽章。
      
      若要使用 SMB 簽署，您必須在 SMB 用戶端和 SMB 伺服器上啟用 SMB 簽署，或需要 SMB 登入。 如果在伺服器上啟用 SMB 簽署，同時啟用 SMB 簽入的用戶端會在所有後續會話期間使用封包簽署通訊協定。 如果伺服器上需要 SMB 簽署，用戶端就無法建立會話，除非用戶端已啟用或需要 SMB 簽署。
      
      
      啟用高安全性網路中的數位簽章有助於防止模擬用戶端和伺服器。 這種模擬稱為會話階層。 具有用戶端或伺服器相同網路存取權的攻擊者使用會話套用工具來中斷、結束或竊取進行中的會話。 攻擊者可以攔截及修改未簽署的 SMB 封包、修改流量，然後轉寄，讓伺服器可以執行不想要的動作。 或者，攻擊者可能會在合法驗證後冒充伺服器或用戶端，然後取得未經授權的資料存取權。
      
      在執行 Windows 2000 Server、Windows 2000 專業版、Windows XP 專業版或 Windows Server 2003 的電腦中，用於檔案共用及列印共用的 SMB 通訊協定支援共同驗證。 共同驗證會關閉會話階層攻擊，並支援郵件驗證。 因此，它可以防止中間人攻擊。 SMB 簽署會在每個 SMB 中放置數位簽章，以提供此驗證。 用戶端和伺服器接著驗證簽章。
      
      筆記

      • 或者，您可以使用 IPSec 啟用數位簽章，以協助保護所有網路流量。 有一些適用于 IPSec 加密和簽署的硬體加速器，您可以用來將伺服器 CPU 的效能影響降到最低。 SMB 簽署沒有提供這類加速器。
        
        如需詳細資訊，請參閱 Microsoft MSDN 網站上 的數位簽署伺服器通訊 章節。
        
        設定 SMB 透過群組原則物件編輯器登入，因為如果有覆寫網域原則，變更本機登錄值將不會有任何作用。

      • 在 Windows 95、Windows 98 和 Windows 98 第二版中，目錄服務用戶端在使用 NTLM 驗證與 Windows Server 2003 伺服器進行驗證時，會使用 SMB 簽署。 不過，這些用戶端在使用 NTLMv2 驗證與這些伺服器進行驗證時，並不會使用 SMB 登入。 此外，Windows 2000 伺服器不會回應來自這些用戶端的 SMB 簽署要求。 如需詳細資訊，請參閱專案 10：「網路安全性：Lan Manager 驗證層級」。

   2. 風險設定
      
      下列是有害的設定：離開 Microsoft 網路用戶端：數位簽署通訊 (一律) 設定和 Microsoft 網路用戶端：如果伺服器同意) 設定設為 [未定義] 或停用，則數位簽署通訊 (。 這些設定可讓重新導向器傳送純文字密碼給在驗證期間不支援密碼加密的非 Microsoft SMB 伺服器。

   3. 啟用此設定
      
      的原因 啟用 Microsoft 網路用戶端：數位簽署通訊 (一律) 在連絡不需要 SMB 簽章的伺服器時，用戶端必須簽署 SMB 流量。 這可讓用戶端較不容易受到會話階層式攻擊。

   4. 停用此設定的原因

      • 啟用 Microsoft 網路用戶端：數位簽署通訊 (一律) 防止用戶端與不支援 SMB 簽署的目標伺服器通訊。

      • 將電腦設定為忽略所有未簽署的 SMB 通訊，可防止較舊的程式和作業系統連線。

   5. 符號名稱：
      
      RequireSMBSignRdr

   6. 登錄路徑：

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

   7. 相容性問題的範例

      • Windows NT 4.0：您將無法使用 NLTEST 或 NETDOM 重設 Windows Server 2003 網域與 Windows NT 4.0 網域之間的信任安全通道，而且您會收到「拒絕存取」錯誤訊息。

      • Windows XP：將檔案從 Windows XP 用戶端複製到 Windows 2000 型伺服器和 Windows Server 2003 型伺服器可能會花費更多時間。

      • 啟用此設定後，您將無法從用戶端對應網路磁碟機機，而且您會收到下列錯誤訊息：

        此帳戶未獲得登入此站的授權。

   8. 重新開機需求
      
      重新開機電腦，或重新開機工作站服務。 若要這麼做，請在命令提示字元中輸入下列命令。 輸入每一個命令後，請按 Enter。

      net stop workstation
      net start workstation

6. Microsoft 網路伺服器：數位簽署通訊 (一律)

   1. [背景]

      • 伺服器 Messenger Block (SMB) 是許多 Microsoft 作業系統支援的資源分享通訊協定。 它是 NetBIOS) 和其他許多通訊協定 (網路基本輸入/輸出系統的基礎。 SMB 簽署會驗證主控資料的使用者和伺服器。 如果任一端的驗證程式失敗，將不會進行資料傳輸。
        
        啟用 SMB 簽署會在 SMB 通訊協定商談期間開始。 SMB 簽署原則會決定電腦是否一律以數位方式簽署用戶端通訊。
        
        Windows 2000 SMB 驗證通訊協定支援共同驗證。 共同驗證會關閉「中間人」攻擊。 Windows 2000 SMB 驗證通訊協定也支援郵件驗證。 郵件驗證有助於防止作用中的郵件攻擊。 為了提供您此驗證，SMB 簽名會在每個 SMB 中加入數位簽章。 用戶端和伺服器各自驗證數位簽章。
        
        若要使用 SMB 簽署，您必須在 SMB 用戶端和 SMB 伺服器上啟用 SMB 簽署，或需要 SMB 登入。 如果在伺服器上啟用 SMB 簽署，同時啟用 SMB 簽入的用戶端會在所有後續會話期間使用封包簽署通訊協定。 如果伺服器上需要 SMB 簽署，用戶端就無法建立會話，除非用戶端已啟用或需要 SMB 簽署。
        
        
        啟用高安全性網路中的數位簽章有助於防止模擬用戶端和伺服器。 這種模擬稱為會話階層。 具有用戶端或伺服器相同網路存取權的攻擊者使用會話套用工具來中斷、結束或竊取進行中的會話。 攻擊者可能會攔截及修改未簽署的子網路頻寬管理員 (SBM) 封包、修改流量，然後轉寄，讓伺服器可以執行不想要的動作。 或者，攻擊者可能會在合法驗證後冒充伺服器或用戶端，然後取得未經授權的資料存取權。
        
        在執行 Windows 2000 Server、Windows 2000 專業版、Windows XP 專業版或 Windows Server 2003 的電腦中，用於檔案共用及列印共用的 SMB 通訊協定支援共同驗證。 共同驗證會關閉會話階層攻擊，並支援郵件驗證。 因此，它可以防止中間人攻擊。 SMB 簽署會在每個 SMB 中放置數位簽章，以提供此驗證。 用戶端和伺服器接著驗證簽章。

      • 或者，您可以使用 IPSec 啟用數位簽章，以協助保護所有網路流量。 有一些適用于 IPSec 加密和簽署的硬體加速器，您可以用來將伺服器 CPU 的效能影響降到最低。 SMB 簽署沒有提供這類加速器。

      • 在 Windows 95、Windows 98 和 Windows 98 第二版中，目錄服務用戶端在使用 NTLM 驗證與 Windows Server 2003 伺服器進行驗證時，會使用 SMB 簽署。 不過，這些用戶端在使用 NTLMv2 驗證與這些伺服器進行驗證時，並不會使用 SMB 登入。 此外，Windows 2000 伺服器不會回應來自這些用戶端的 SMB 簽署要求。 如需詳細資訊，請參閱專案 10：「網路安全性：Lan Manager 驗證層級」。

   2. 風險設定
      
      下列是有害的組態設定：啟用 Microsoft 網路伺服器：數位簽署通訊 (一律) 伺服器和網域控制站上的設定，這些設定是由本機或外部網域中不相容的 Windows 電腦和協力廠商作業系統型用戶端電腦所存取。

   3. 啟用此設定的原因

      • 所有直接透過登錄或透過群組原則設定啟用此設定的用戶端電腦都支援 SMB 簽署。 換句話說，已啟用此設定的所有用戶端電腦都會在已安裝 DS 用戶端的 Windows 95、Windows 98、Windows NT 4.0、Windows 2000、Windows XP 專業版或 Windows Server 2003 中執行。

      • 如果 Microsoft 網路伺服器：數位簽署通訊 (一律) 停用，則 SMB 簽章會完全停用。 完全停用所有 SMB 簽署，讓電腦更容易受到會話階層式攻擊。

   4. 停用此設定的原因

      • 啟用此設定可能會導致用戶端電腦上的檔案複製和網路效能變慢。

      • 啟用此設定會防止無法與伺服器和網域控制站進行 SMB 簽入的用戶端通訊。 這會導致網域聯結、使用者和電腦驗證，或程式的網路存取失敗。

   5. 符號名稱：
      
      RequireSMBSignServer

   6. 登錄路徑：

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)

   7. 相容性問題的範例

      • Windows 95：未安裝目錄服務 (DS) 用戶端的 Windows 95 用戶端登入驗證失敗，並會收到下列錯誤訊息：

        您提供的網域密碼不正確，或是已拒絕登入伺服器的存取權。

      • Windows NT 4.0：執行的 Windows NT 4.0 版本早于 Service Pack 3 (SP3) 的用戶端電腦將無法登入驗證，並收到下列錯誤訊息：

        系統無法將您登入。 請確定您的使用者名稱和網域正確無誤，然後再次輸入您的密碼。

        部分非 Microsoft SMB 伺服器在驗證期間僅支援未加密的密碼交換。 (這些交易所也稱為「純文字」交換。) 對於 Windows NT 4.0 SP3 及更新版本，除非您新增特定登錄專案，否則 SMB 重新導向器不會在驗證期間傳送未加密的密碼至 SMB 伺服器。
        若要在 Windows NT 4.0 SP 3 和更新的系統上為 SMB 用戶端啟用不加密的密碼，請修改登錄，如下所示：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        
        值名稱：EnablePlainTextPassword
        
        資料類型：REG_DWORD
        
        資料：1
        
         

      • Windows Server 2003：根據預設，執行 Windows Server 2003 之網域控制站的安全性設定，可協助防止網域控制站通訊遭到惡意使用者攔截或竄改。 若要讓使用者成功與執行 Windows Server 2003 的網域控制站通訊，用戶端電腦必須同時使用 SMB 簽署和加密或安全通道流量簽署。 根據預設，在 Service Pack 2 (SP2) 或更舊版本中執行 Windows NT 4.0 的用戶端，以及執行 Windows 95 的用戶端未啟用 SMB 封包簽署。 因此，這些用戶端可能無法向 Windows Server 2003 網域控制站進行驗證。

      • Windows 2000 和 Windows Server 2003 原則設定：根據您的特定安裝需求和設定，建議您在 Microsoft Management Console 群組原則編輯器嵌入式管理層級中，將下列原則設定設定為必要範圍的最低實體群組原則編輯器嵌入式管理層級：

        • Computer Configuration\Windows 安全性 Settings\Security Options

        • 傳送不加密的密碼以連線至協力廠商 SMB 伺服器 (此設定適用于 Windows 2000)

        • Microsoft 網路用戶端：將未加密的密碼傳送至協力廠商 SMB 伺服器 (此設定適用于 Windows Server 2003)

        
        注意 在某些協力廠商 CIFS 伺服器中，例如舊版 Samba，您無法使用加密的密碼。

      • 下列用戶端與 Microsoft 網路伺服器不相容：數位簽署通訊 (一律) 設定：

        • Apple Computer， Inc.， Mac OS X 用戶端

        • Microsoft MS-DOS 網路用戶端 (例如 Microsoft LAN Manager)

        • 工作組用戶端的 Microsoft Windows

        • 未安裝 DS 用戶端的 Microsoft Windows 95 用戶端

        • 不安裝 SP3 或更新版本的 Microsoft Windows NT 4.0 型電腦

        • Novell Netware 6 CIFS 用戶端

        • 不支援 SMB 登入的 SAMBA SMB 用戶端

   8. 重新開機需求
      
      重新開機電腦，或重新開機伺服器服務。 若要這麼做，請在命令提示字元中輸入下列命令。 輸入每一個命令後，請按 Enter。

      net stop server
      net start server

7. 網路存取：允許匿名 SID/名稱翻譯

   1. 背景
      
      網路存取：允許匿名 SID/名稱翻譯安全性設定決定匿名使用者是否可以要求另一個使用者使用安全性識別碼 (SID) 屬性。

   2. 風險設定
      
      啟用網路存取：允許匿名 SID/名稱翻譯設定是有害的設定。

   3. 啟用此設定
      
      的原因 如果 [網路存取：允許匿名 SID/名稱翻譯] 設定停用，則舊版作業系統或應用程式可能無法與 Windows Server 2003 網域通訊。 例如，下列作業系統、服務或應用程式可能無法運作：

      • Windows NT 4.0 型遠端存取服務伺服器

      • 在 Windows NT 3.x 型電腦或 Windows NT 4.0 型電腦上執行的 Microsoft SQL Server

      • 在位於 Windows NT 3.x 網域或 Windows NT 4.0 網域的 Windows 2000 電腦上執行的遠端存取服務

      • 在位於 Windows NT 3.x 網域或 Windows NT 4.0 網域的 Windows 2000 電腦上執行的SQL Server

      • Windows NT 4.0 資源網域中的使用者，想要從包含 Windows Server 2003 網域控制站的帳戶網域授與存取檔案、共用資料夾和登錄物件至使用者帳戶的許可權

   4. 停用此設定
      
      的原因 如果啟用此設定，即使帳戶已重新命名，惡意使用者仍可能使用知名系統管理員 SID 取得內建系統管理員帳戶的實際名稱。 該人員接著可以使用帳戶名稱來起始密碼猜測攻擊。

   5. 符號名稱：N/A

   6. 登錄路徑：無。 路徑是在 UI 程式碼中指定的。

   7. 相容性問題
      
      範例Windows NT 4.0：Windows NT 4.0 資源網域中的電腦會在 ACL 編輯器中顯示「帳戶未知」錯誤訊息，如果包括共用資料夾、共用檔案和登錄物件等資源受到安全性主體保護，且這些資源位於包含 Windows Server 2003 網域控制站的帳戶網域中，

8. 網路存取：不允許匿名列舉 SAM 帳戶

   1. [背景]

      • 網路存取：不允許匿名列舉 SAM 帳戶設定，決定要針對電腦的匿名連線授與哪些額外許可權。 Windows 可讓匿名使用者執行特定活動，例如列舉工作站和伺服器安全性帳戶管理員 (SAM) 帳戶和網路共用的名稱。 例如，系統管理員可以使用此許可權，將存取權授與不維護倒數信任之受信任網域中的使用者。 一旦建立會話，匿名使用者可能會根據 [網路] 存取中的設定授與 [所有人] 群組相同的存取權：[讓所有人] 許可權套用至物件的 DACL) (匿名使用者設定或選擇性存取控制清單。
        
        一般情況下，舊版用戶端會要求匿名連線 (在 SMB 會話設定期間) 下層用戶端。 在這些情況下，網路追蹤顯示 SMB 處理常式識別碼 (PID) 是用戶端重新導向器，例如 Windows 2000 中的 0xFEFF 或 Windows NT 中的 0xCAFE。 RPC 可能也會嘗試進行匿名連線。

      • 重要：此設定不會影響網域控制站。 在網域控制站上，此行為是由「Pre-Windows 2000 相容 Access」 中有 「NT AUTHORITY\ANONYMOUS LOGON」 所控制。

      • 在 Windows 2000 中，名為[匿名連線的其他限制] 的類似設定會管理 RestrictAnonymous 登錄值。 此值的位置如下所示

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA  

   2. 有風險的
      
      設定 啟用網路存取：不允許匿名列舉 SAM 帳戶設定，從相容性的觀點來看，是有害的設定設定。 從安全性的觀點來看，停用它是有害的設定。

   3. 啟用此設定
      
      的原因 未經授權的使用者可能會以匿名方式列出帳戶名稱，然後使用該資訊來嘗試猜測密碼或執行社交工程攻擊。 社交工程是一種行話，意謂著誘使人員揭露其密碼或某種形式的安全性資訊。

   4. 停用此設定
      
      的原因 如果已啟用此設定，則無法使用 Windows NT 4.0 網域建立信任。 此設定也會造成下層用戶端 (的問題，例如嘗試使用伺服器資源的 Windows NT 3.51 用戶端和 Windows 95 用戶端) 。

   5. 符號名稱：
      
      
      RestrictAnonymousSAM

   6. 登錄路徑：

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)

   7. 相容性問題的範例

   • SMS Network Discovery 將無法取得作業系統資訊，且會在 OperatingSystemNameandVersion 屬性中撰寫「未知」。

   • Windows 95、Windows 98：Windows 95 用戶端和 Windows 98 用戶端將無法變更其密碼。

   • Windows NT 4.0：Windows NT 4.0 型成員電腦將無法進行驗證。

   • Windows 95、Windows 98：Windows 95 型和 Windows 98 型電腦將無法由 Microsoft 網域控制站進行驗證。

   • Windows 95、Windows 98：使用 Windows 95 和 Windows 98 電腦的使用者將無法變更其使用者帳戶的密碼。

9. 網路存取：不允許匿名列舉 SAM 帳戶和共用

   1. [背景]

      • 網路存取：不允許匿名列舉 SAM 帳戶和共用設定 (也稱為 RestrictAnonymous) 判斷是否允許匿名列舉安全性帳戶管理員 (SAM) 帳戶和共用。 Windows 可讓匿名使用者執行特定活動，例如列舉使用者、電腦和群組) 和網路共用 (域帳戶名稱。 舉例來說，當系統管理員想要將存取權授與未維持倒數信任之受信任網域中的使用者時，這項功能就很方便。 如果您不想允許匿名列舉 SAM 帳戶和共用，請啟用此設定。

      • 在 Windows 2000 中，名為[匿名連線的其他限制] 的類似設定會管理 RestrictAnonymous 登錄值。 此值的位置如下所示：

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

   2. 風險設定
      
      啟用網路存取：不允許匿名列舉 SAM 帳戶和共用設定是有害的設定。

   3. 啟用此設定的原因

      • 啟用網路存取：不允許匿名列舉 SAM 帳戶和共用設定，防止使用匿名帳戶的使用者和電腦列舉 SAM 帳戶和共用。

   4. 停用此設定的原因

      • 如果啟用此設定，未經授權的使用者可能會以匿名方式列出帳戶名稱，然後使用該資訊嘗試猜測密碼或執行社交工程攻擊。 社交工程是一種行話，意謂著誘使人員揭露其密碼或某種形式的安全性資訊。

      • 如果啟用此設定，將無法使用 Windows NT 4.0 網域建立信任。 此設定也會導致嘗試使用伺服器資源的 Windows NT 3.51 和 Windows 95 用戶端等下層用戶端發生問題。

      • 將無法授與資源網域使用者的存取權，因為信任網域的系統管理員將無法列舉其他網域中的帳戶清單。 匿名存取檔案和列印伺服器的使用者將無法在這些伺服器上列出共用網路資源。 使用者必須先進行驗證，才能檢視共用資料夾和印表機的清單。

   5. 符號名稱：
      
      RestrictAnonymous

   6. 登錄路徑：

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

   7. 相容性問題的範例

      • Windows NT 4.0：當使用者網域中的網域控制站啟用 LimitAnonymous 時，使用者將無法從 Windows NT 4.0 工作站變更密碼。

      • Windows NT 4.0：在 User Manager 中將受信任的 Windows 2000 網域中的使用者或全域群組新增至 Windows NT 4.0 本機群組將會失敗，並出現下列錯誤訊息：

        目前沒有任何登入伺服器可用來服務登入要求。

      • Windows NT 4.0：Windows NT 4.0 型電腦無法在設定期間或使用網域加入使用者介面加入網域。

      • Windows NT 4.0：使用 Windows NT 4.0 資源網域建立下層信任將會失敗。 當在信任的網域上啟用 RestrictAnonymous 時，將會顯示下列錯誤訊息：

        找不到此網域的網域控制站。

      • Windows NT 4.0：登入 Windows NT 4.0 型終端伺服器電腦的使用者，會對應至預設的家庭目錄，而非使用者管理員針對網域定義的家庭目錄。

      • Windows NT 4.0：Windows NT 4.0 備份網域控制站 (BDC) 將無法啟動 Net 登入服務、取得備份瀏覽器清單，或從 Windows 2000 或同一網域的 Windows Server 2003 網域控制站同步處理 SAM 資料庫。

      • Windows 2000：如果用戶端電腦的本機安全性原則已啟用 [沒有明確匿名的許可權] 設定，則位於 Windows NT 4.0 網域中的 Windows 2000 成員電腦將無法檢視外部網域中的印表機。

      • Windows 2000：Windows 2000 網域使用者將無法從 Active Directory 新增網路印表機;不過，從樹狀檢視選取印表機之後，他們就可以新增印表機。

      • Windows 2000：在 Windows 2000 電腦上，ACL 編輯器將無法從受信任的 Windows NT 4.0 網域新增使用者或全域群組。

      • ADMT 版本 2：使用 Active Directory 移轉工具在樹系之間移轉的使用者帳戶 (ADMT) 版本 2 的密碼移轉將會失敗。
        
        如需詳細資訊，請按一下下列文章編號以檢視 Microsoft 知識庫中的文章：

        322981 如何使用 ADMTv2 疑難排解森林間密碼移轉

      • Outlook 用戶端：Microsoft Exchange Outlook 用戶端的全域通訊清單會顯示空白。

      • 簡訊：Microsoft Systems Management Server (SMS) 網路探索將無法取得作業系統資訊。 因此，它會在探索資料記錄的 SMS DDR 屬性的 OperatingSystemNameandVersion 屬性中寫入「未知」 (DDR) 。

      • 簡訊：當您使用 SMS 系統管理員使用者精靈流覽使用者和群組時，不會列出任何使用者或群組。 此外，進階用戶端無法與管理點通訊。 管理點需要匿名存取。

      • 簡訊：當您在 SMS 2.0 和在開啟拓撲、用戶端和用戶端作業系統網路探索選項的遠端用戶端安裝中使用網路探索功能時，可能會發現電腦，但可能無法安裝。

10. 網路安全性：Lan Manager 驗證層級

    1. 背景
       
       LAN Manager (LM) 驗證是用來驗證 Windows 用戶端以進行網路作業的通訊協定，包括網域加入、存取網路資源，以及使用者或電腦驗證。 LM 驗證層級會決定用戶端和伺服器電腦之間所商談的挑戰/回應驗證通訊協定。 具體來說，LM 驗證層級會決定用戶端將嘗試進行何種驗證通訊協定，或伺服器將接受這些通訊協定。 針對 LmCompatibilityLevel 設定的值會決定網路記錄所使用的挑戰/回應驗證通訊協定。 此值會影響用戶端使用的驗證通訊協定層級、通過商談的會話安全性層級，以及伺服器接受的驗證層級。
       
       可能的設定包括下列專案。

       價值	設定	描述
       0	傳送 LM & NTLM 回應	用戶端使用 LM 和 NTLM 驗證，絕不使用 NTLMv2 會話安全性。 網域控制站接受 LM、NTLM 和 NTLMv2 驗證。
       1	傳送 LM & NTLM - 交涉時使用 NTLMv2 會話安全性	用戶端使用 LM 和 NTLM 驗證，如果伺服器支援，請使用 NTLMv2 會話安全性。 網域控制站接受 LM、NTLM 和 NTLMv2 驗證。
       2	僅傳送 NTLM 回應	用戶端僅使用 NTLM 驗證，如果伺服器支援，則使用 NTLMv2 會話安全性。 網域控制站接受 LM、NTLM 和 NTLMv2 驗證。
       3	僅傳送 NTLMv2 回應	用戶端僅使用 NTLMv2 驗證，如果伺服器支援，則使用 NTLMv2 會話安全性。 網域控制站接受 LM、NTLM 和 NTLMv2 驗證。
       4	僅傳送 NTLMv2 回應/拒絕 LM	用戶端僅使用 NTLMv2 驗證，如果伺服器支援，則使用 NTLMv2 會話安全性。 網域控制站拒絕 LM，並且只接受 NTLM 和 NTLMv2 驗證。
       5	僅傳送 NTLMv2 回應/拒絕 LM & NTLM	用戶端僅使用 NTLMv2 驗證，如果伺服器支援，則使用 NTLMv2 會話安全性。 網域控制站拒絕 LM 和 NTLM，並且只接受 NTLMv2 驗證。

       注意：在 Windows 95、Windows 98 和 Windows 98 第二版中，目錄服務用戶端使用 SMB 登入，透過使用 NTLM 驗證來驗證 Windows Server 2003 伺服器。 不過，這些用戶端在使用 NTLMv2 驗證與這些伺服器進行驗證時，並不會使用 SMB 登入。 此外，Windows 2000 伺服器不會回應來自這些用戶端的 SMB 簽署要求。
       
       檢查 LM 驗證層級：您必須變更伺服器上的原則以允許 NTLM，或者您必須設定用戶端電腦以支援 NTLMv2。
       
       如果原則設定為 (5) 在您要連線的目的電腦上只傳送 NTLMv2 回應\拒絕 LM & NTLM，則必須降低該電腦的設定，或將安全性設定為您要從來源電腦連線的相同設定。
       
       找出您可以變更 LAN 管理員驗證層級的正確位置，將用戶端和伺服器設定為相同的層級。 在您找到設定 LAN 管理員驗證層級的原則之後，如果您想要連線到執行舊版 Windows 的電腦，請將值降低到至少 (1) 傳送 LM & NTLM - 如果交涉，請使用 NTLM 版本 2 會話安全性。 不相容設定的其中一個效果是，如果伺服器需要 NTLMv2 (值 5) ，但用戶端設定為只使用 LM，而 NTLMv1 的值只有 (0) ，嘗試驗證的使用者會遇到密碼錯誤且密碼錯誤的登入失敗，而這會增加錯誤的密碼計數。 如果帳戶鎖定已設定，使用者最終可能會遭到鎖定。
       
       例如，您可能需要查看網域控制站，或者您可能需要檢查網域控制站的原則。
       
       查看網域控制站
       
       注意 您可能需要在所有網域控制站上重複下列程式。

       1. 按一下 [ 開始]，指向 [ 程式]，然後按一下 [ 系統管理工具]。

       2. 在 [ 本機安全性設定] 底下，展開 [本機原則]。

       3. 按一下 [安全性選項]。

       4. 按兩下 [網路安全性：LAN 管理員驗證層級]，然後按一下清單中的值。

       
       如果 [有效設定] 和 [本機設定] 相同，則此層級已變更原則。 如果設定不同，您必須檢查網域控制站的原則，判斷是否有定義網路安全性：LAN 管理員驗證層級設定。 如果未在該處定義，請檢查網域控制站的原則。
       
       檢查網域控制站的原則

       1. 按一下 [ 開始]，指向 [ 程式]，然後按一下 [ 系統管理工具]。

       2. 在 [ 網域控制站安全 性原則] 中，展開 [安全性設定]，然後展開 [ 本機原則]。

       3. 按一下 [安全性選項]。

       4. 按兩下 [網路安全性：LAN 管理員驗證層級]，然後按一下清單中的值。

       
       注意

       • 您可能也必須檢查在網站層級、網域層級或組織單位 (OU) 層級連結的原則，以判斷您必須在哪裡設定 LAN 管理員驗證層級。

       • 如果您實作群組原則設定做為預設網域原則，該原則會套用至網域中的所有電腦。

       • 如果您實作做為預設網域控制站原則的群組原則設定，該原則只會套用至網域控制站 OU 中的伺服器。

       • 建議您將 LAN 管理員驗證層級設定為原則應用程式階層中必要範圍的最低實體。

       Windows Server 2003 有新的預設設定，只使用 NTLMv2。 根據預設，Windows Server 2003 和 Windows 2000 Server SP3 網域控制站已啟用「Microsoft 網路伺服器：數位簽署通訊 (一律) 」原則。 此設定需要 SMB 伺服器執行 SMB 封包簽署。 對 Windows Server 2003 所做的變更是因為任何組織中的網域控制站、檔案伺服器、網路基礎結構伺服器和 Web 服務器都需要不同的設定，才能將安全性最大化。
       
       如果您想要在您的網路中實作 NTLMv2 驗證，您必須確定網域中的所有電腦都已設定為使用此驗證層級。 如果您套用適用于 Windows 95 或 Windows 98 的 Active Directory 用戶端擴充功能，且Windows NT 4.0，則用戶端擴充功能會使用 NTLMv2 中提供的改良驗證功能。 由於執行下列任何作業系統的用戶端電腦不受 Windows 2000 群組原則物件的影響，您可能需要手動設定這些用戶端：

       • Microsoft Windows NT 4.0

       • Microsoft Windows 方塊版本

       • Microsoft Windows 98

       • Microsoft Windows 95

       注意：如果您啟用 網路安全性：請勿在下一個密碼變更原則上儲存 LAN 管理員雜湊值 ，或設定 NoLMHash 登錄機碼、未安裝目錄服務用戶端的 Windows 95 型和 Windows 98 型用戶端，在變更密碼後無法登入網域。
       
       許多協力廠商 CIFS 伺服器，例如 Novell Netware 6，都不知道 NTLMv2，只使用 NTLM。 因此，大於 2 的等級不允許連線。 也有協力廠商 SMB 用戶端不使用延伸會話安全性。 在這些情況下，不會考慮資源伺服器的 LmCompatiblityLevel。 伺服器接著會封裝此舊版要求，並將它傳送到 User Domain Controller。 然後，網域控制站上的設定會決定要使用什麼雜湊來驗證要求，以及這些設定是否符合網域控制站的安全性需求。
       
        

       299656 如何防止 Windows 將 LAN 管理員雜湊儲存在 Active Directory 和本機 SAM 資料庫中
        

       2701704稽核事件會將驗證套件顯示為 NTLMv1 而非 NTLMv2 如需 LM 驗證層級的詳細資訊，請按一下下列文章編號以檢視 Microsoft 知識庫中的文章：

       239869 如何啟用 NTLM 2 驗證
        

    2. 有風險的
       
       設定 下列是有害的設定：

       • 以明確文字傳送密碼且拒絕 NTLMv2 交涉的非限制性設定

       • 可防止不相容的用戶端或域控制者進行共同驗證通訊協定商談的限制性設定

       • 在執行 Windows NT 4.0 版本早于 Service Pack 4 (SP4) 的成員電腦和網域控制站上要求 NTLMv2 驗證

       • 在未安裝 Windows 目錄服務用戶端的 Windows 95 用戶端或 Windows 98 用戶端上要求 NTLMv2 驗證。

       • 如果您在 Windows Server 2003 或 Windows 2000 Service Pack 3 型電腦上，按一下 [Microsoft Management Console 群組原則編輯器嵌入式管理器嵌入式管理器] 中選取 [要求 NTLMv2 會話安全性] 核取方塊，且您將 LAN 管理員驗證層級降低為 0，則兩個設定衝突，而且您可能會在 Secpol.msc 檔案或 GPEdit.msc 檔案中收到下列錯誤訊息：

         Windows 無法開啟本機原則資料庫。 嘗試開啟資料庫時發生未知的錯誤。

         如需安全性設定和分析工具的詳細資訊，請參閱 Windows 2000 或 Windows Server 2003 說明檔案。

    3. 修改此設定的原因

       • 您想要增加貴組織中用戶端和網域控制站支援的最低一般驗證通訊協定。

       • 在安全驗證是業務需求的情況下，您想要不允許 LM 與 NTLM 通訊協定的商談。

    4. 停用此設定
       
       的原因 用戶端或伺服器驗證需求，或兩者皆已提高，而無法透過一般通訊協定進行驗證。

    5. 符號名稱：
       
       LmCompatibilityLevel

    6. 登錄路徑：

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. 相容性問題的範例

       • Windows Server 2003：根據預設，Windows Server 2003 NTLMv2 傳送 NTLM 回應設定已啟用。 因此，當您嘗試連線到 Windows NT 4.0 型叢集或 LanManager V2.1 型伺服器時，Windows Server 2003 會在初始安裝之後收到「拒絕存取」錯誤訊息，例如 OS/2 Lanserver。 如果您嘗試從舊版用戶端連線到 Windows Server 2003 型伺服器，也會發生此問題。

       • 您安裝 Windows 2000 安全性匯總套件 1 (SRP1) 。SRP1 會強制將 NTLM 版本 2 (NTLMv2) 。 此匯總套件是在 Windows 2000 Service Pack 2 (SP2) 發行之後發行。
          

       • Windows 7 和 Windows Server 2008 R2：許多協力廠商 CIFS 伺服器，例如 Novell Netware 6 或 Linux 型 Samba 伺服器，都不知道 NTLMv2，僅使用 NTLM。 因此，大於 「2」 的等級不允許連線。 現在在這個版本的作業系統中，LmCompatibilityLevel 的預設值已變更為 「3」。 因此，當您升級 Windows 時，這些協力廠商檔案程式可能會停止運作。

       • 即使 Microsoft Outlook 用戶端已經登入網域，也可能會收到要求認證的提示。 當使用者提供認證時，會收到下列錯誤訊息：Windows 7 和 Windows Server 2008 R2

         提供的登入認證不正確。 請確定您的使用者名稱和網域正確無誤，然後再次輸入您的密碼。

         當您啟動 Outlook 時，即使您的登入網路安全性設定設為 [傳遞] 或 [密碼驗證]，系統仍可能會提示您輸入認證。 輸入正確的認證之後，您可能會收到下列錯誤訊息：

         提供的登入認證不正確。

         [網路監視器] 追蹤可能會顯示全域型目錄 (RPC 發出遠端過程呼叫，) 0x5狀態錯誤。 0x5狀態表示「拒絕存取」。

       • Windows 2000：網路監視器擷取可能會在 NetBIOS 中透過 TCP/IP (NetBT 顯示下列錯誤) 伺服器訊息封鎖 (SMB) 會話：

         SMB R 搜尋目錄錯誤， (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) 不正確使用者識別碼

       • Windows 2000：如果具有 NTLMv2 層級 2 或更新版本的 Windows 2000 網域受Windows NT 4.0 網域信任，資源網域中的 Windows 2000 型成員電腦可能會發生驗證錯誤。

       • Windows 2000 和 Windows XP：根據預設，Windows 2000 和 Windows XP 會將 LAN 管理員驗證層級本機安全性原則選項設為 0。 0 的設定表示「傳送 LM 和 NTLM 回應」。
         
         請注意Windows NT 4.0 型叢集必須使用 LM 來進行系統管理。

       • Windows 2000：如果兩個節點都是 Windows NT 4.0 Service Pack 6a (SP6a) 網域的一部分，Windows 2000 叢集不會驗證聯結節點。

       • HiSecWeb (IIS 鎖定工具) 會將 LM 相容性層級值設為 5，並將 RestrictAnonymous 值設為 2。

       • Macintosh
         
         服務 使用者驗證模組 (UAM) ：Microsoft UAM (使用者驗證模組) 提供一種方法，讓您用來登入 Windows 的密碼 (AppleTalk 歸檔通訊協定) 伺服器。 Apple User Authentication Module (UAM) 僅提供最小或無加密。 因此，您的密碼很容易在 LAN 或網際網路上被截截。 雖然不需要 UAM，但它會為執行 Macintosh 服務的 Windows 2000 伺服器提供加密驗證。 此版本包含 NTLMv2 128 位加密驗證和 MacOS X 10.1 相容版本的支援。
         
         根據預設，Windows Server 2003 Services for Macintosh 伺服器僅允許 Microsoft 驗證。
          

       • Windows Server 2008、Windows Server 2003、Windows XP 和 Windows 2000：如果您將 LM 相容性層級值設為 0 或 1，然後將 NoLMHash 值設為 1，則可能無法透過 NTLM 存取應用程式和元件。 發生此問題的原因在於電腦已設定為啟用 LM，但不使用 LM 儲存的密碼。
         
         如果您將 NoLMHash 值設為 1，則必須將 LM 相容性層級值設為 2 或更高。

11. 網路安全性：LDAP 用戶端簽署要求

    1. 背景
       
       網路安全性：LDAP 用戶端簽署需求設定決定代表用戶端要求的資料簽署層級，該用戶端發出輕量型目錄存取通訊協定 (LDAP) BIND 要求如下所示：

       • 無：LDAP BIND 要求會隨來電者指定的選項一起發出。

       • 交涉簽署：如果尚未啟動安全通訊端層/傳輸層安全性 (SSL/TLS) ，則 LDAP BIND 要求會在呼叫者指定的選項之外，使用設定 LDAP 資料簽署選項來啟動。 如果 SSL/TLS 已啟動，LDAP BIND 要求會以來電者指定的選項啟動。

       • 需要簽署：這與「交涉交涉」簽署相同。 不過，如果 LDAP 伺服器的中繼 saslBindInProgress 回應未指出需要 LDAP 流量簽署，來電者會得知 LDAP BIND 命令要求失敗。

    2. 風險設定
       
       啟用網路安全性：LDAP 用戶端簽署需求設定是有害的設定。 如果您將伺服器設定為需要 LDAP 簽章，您也必須在用戶端上設定 LDAP 簽署。 未將用戶端設定為使用 LDAP 簽章，將無法與伺服器通訊。 這會導致使用者驗證、群組原則設定、登入腳本及其他功能失敗。

    3. 修改此設定
       
       的原因 未簽署的網路流量容易受到中間人攻擊，入侵者會擷取用戶端和伺服器之間的封包、修改封包，然後轉寄至伺服器。 在 LDAP 伺服器上發生此問題時，攻擊者可能會導致伺服器根據 LDAP 用戶端的誤判查詢來回應。 您可以實作強大的實體安全性措施來協助保護網路基礎結構，藉此降低公司網路中的風險。 此外，您可以透過 IPSec 驗證標頭要求所有網路封包上的數位簽章，以協助避免所有類型的中間人攻擊。

    4. 符號名稱：
       
       LDAPClientIntegrity

    5. 登錄路徑：

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

12. 事件記錄檔：最大安全性記錄檔大小

    1. 背景
       
       事件記錄檔：最大安全性記錄檔大小安全性設定會指定安全性事件記錄檔的大小上限。 此記錄檔的大小上限為 4 GB。 若要找出此設定，請展開
       [Windows 設定]，然後展開[安全性設定]。

    2. 有風險的
       
       設定 下列是有害的設定：

       • 在稽核時限制安全性記錄檔大小和安全性記錄保留方法：如果已啟用無法記錄安全性稽核設定，請立即關閉系統。 See the "Audit: Shut down system immediately if unable to log security audits" section of this article for more details.

       • 限制安全性記錄檔大小，以覆寫感興趣的安全性事件。

    3. 增加此設定
       
       的原因 商務和安全性需求可能會要求您增加安全性記錄檔大小，以處理額外的安全性記錄詳細資料，或是將安全性記錄保留較長的時間。

    4. 減少此設定
       
       的原因事件檢視器記錄檔是記憶體對應的檔案。 事件記錄檔的大小上限受限於本機電腦的實體記憶體量，以及事件記錄程式可用的虛擬記憶體。 將記錄檔大小增加到可供事件檢視器使用的虛擬記憶體數量之外，並不會增加保留的記錄專案數量。

    5. 相容性問題的
       
       範例 Windows 2000：執行 Windows 2000 版本早于 Service Pack 4 (SP4 的電腦) 可能會在達到事件檢視器 [請勿覆寫事件 (手動清除記錄檔) 選項開啟時所指定的大小之前，停止記錄事件。
       
       
        

13. 事件記錄：保留安全性記錄檔

    1. 背景
       
       事件記錄：保留安全性記錄安全性設定會決定安全性記錄檔的「文繞圖」方法。 若要找出此設定，請展開 [Windows 設定]，然後展開 [安全性設定]。

    2. 有風險的
       
       設定 下列是有害的設定：

       • 無法在覆寫之前保留所有已記錄的安全性事件

       • 設定 [最大安全性記錄檔大小] 設定太小，以覆寫安全性事件

       • 在稽核期間限制安全性記錄檔大小和保留方法：如果無法開啟記錄安全性稽核安全性設定，請立即關閉系統

    3. 啟用此設定
       
       的原因 只有在您選取 [依天數覆寫事件] 保留方法時，才啟用此設定。 如果您使用針對事件進行投票的事件相互關聯系統，請確定天數至少是投票頻率的三倍。 這樣做可允許失敗的投票迴圈。

14. 網路存取：讓所有人的許可權套用至匿名使用者

    1. 背景
       
       根據預設，[網路存取權：讓所有人的許可權套用至匿名使用者] 設定設為 [Windows Server 2003 上未定義]。 根據預設，Windows Server 2003 不會在 [所有人] 群組中包含匿名存取權杖。

    2. 相容性問題
       
       範例 下列值：

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous [REG_DWORD]=0x0中斷 Windows Server 2003 與 Windows NT 4.0 之間的信任建立，因為 Windows Server 2003 網域是帳戶網域，而 Windows NT 4.0 網域是資源網域。 這表示帳戶網域在 Windows NT 4.0 上是信任的，而資源網域則是 Windows Server 2003 端的 [信任]。 發生此行為的原因是初始匿名連線之後啟動信任的程式是 ACL'd 與包含 Windows NT 4.0 上匿名 SID 的 [所有人] 權杖。

    3. 修改此設定
       
       的原因 該值必須設定為0x1，或使用網域控制站 OU 上的 GPO 設定為：網路存取：讓所有人的許可權套用至匿名使用者 - 啟用以讓建立信任成為可能。
       
       注意：大部分其他安全性設定會以數值的方式上移，而不是降到0x0在其最安全的狀態。 更安全的做法是變更主要網域控制站模擬器上的登錄，而不是在所有網域控制站上。 如果主要網域控制站模擬器角色因任何原因而移動，則必須在新伺服器上更新登錄。
       
       設定此值之後，必須重新開機。

    4. 登錄路徑

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

15. NTLMv2 驗證

    1. 會話安全性
       
       會話安全性會決定用戶端和伺服器會話的最低安全性標準。 建議您在 Microsoft Management Console 群組原則編輯器嵌入式管理單元中驗證下列安全性原則設定：

       • 電腦設定\Windows 設定\安全性設定\本機原則\安全性選項

       • 網路安全性：NTLM SSP 根據 (的最小會話安全性，包括安全的 RPC) 伺服器

       • 網路安全性：NTLM SSP 基礎 (的最低會話安全性，包括安全的 RPC) 用戶端

       這些設定的選項如下所示：

       • 要求郵件完整性

       • 要求郵件機密性

       • 需要 NTLM 版本 2 會話安全性

       • 需要 128 位加密

       Windows 7 之前的預設設定是 [無需求]。 從 Windows 7 開始，預設值變更為 [需要 128 位加密以改善安全性]。 在此預設情況下，不支援 128 位加密的舊版裝置將無法連線。
       
       這些原則會決定用戶端伺服器上應用程式對應用程式通訊會話的最低安全性標準。
       
       請注意，雖然已描述為有效的設定，但是在判定 NTLM 會話安全性時，並不會使用要求郵件完整性和機密性的標幟。
       
       在過去，Windows NT支援下列兩種網路記錄的挑戰/回應驗證變體：

       • LM 挑戰/回應

       • NTLM 版本 1 挑戰/回應

       LM 可讓您與已安裝的用戶端和伺服器基座進行互通性。 NTLM 為用戶端和伺服器之間的連線提供更好的安全性。
       
       對應的登錄機碼如下所示：

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec」
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec」

    2. 有風險的
       
       設定 此設定會控制如何使用 NTLM 保護網路會話。 例如，這會影響經 NTLM 驗證的 RPC 型會話。 有下列風險：

       • 使用比 NTLMv2 更舊的驗證方法可讓通訊更容易受到攻擊，因為使用的雜湊方法比較簡單。

       • 使用低於 128 位的加密金鑰可讓攻擊者使用強力攻擊中斷通訊。

時間同步處理

時間同步處理失敗。 受影響電腦的休假時間超過 30 分鐘。 確定用戶端電腦的時鐘已與網域控制站的時鐘同步處理。

SMB 簽入的因應措施

建議您在 Windows Server 2003 網域中交互操作的 Windows NT 4.0 用戶端上安裝 Service Pack 6a (SP6a) 。 Windows 98 Second Edition 型用戶端、Windows 98 型用戶端和 Windows 95 型用戶端必須執行目錄服務用戶端，才能執行 NTLMv2。 如果 Windows NT 4.0 型用戶端沒有安裝 Windows NT 4.0 SP6，或是 Windows 95 型用戶端、Windows 98 型用戶端和 Windows 98SE 型用戶端並未安裝目錄服務用戶端，請停用在網域控制站 OU 上預設網域控制站原則設定中的 SMB 登入，然後將此原則連結至所有主控網域控制站的 OU。

適用于 Windows 98 第二版、Windows 98 和 Windows 95 的目錄服務用戶端會在 NTLM 驗證下執行 Windows 2003 伺服器的 SMB 簽署，但不會在 NTLMv2 驗證下執行。 此外，Windows 2000 伺服器不會回應來自這些用戶端的 SMB 簽署要求。

雖然我們不建議使用，但您可以防止在所有在網域中執行 Windows Server 2003 的網域控制站上都必須登入 SMB。 若要設定此安全性設定，請遵循下列步驟：

1. 開啟預設網域控制站的原則。

2. 開啟 [電腦設定\Windows 設定]\[安全性設定]\[本機原則\安全性選項] 資料夾。

3. 找出並按一下 Microsoft 網路伺服器：數位簽署通訊 (一律) 原則設定，然後按一下 [停用]。

重要：本節、方法或工作包含可告訴您如何修改登錄的步驟。 不過，如果您不正確地修改登錄，可能會發生嚴重的問題。 因此，請務必謹慎遵循這些步驟。 為了提供額外的保護，請先備份登錄，再進行修改。 然後，如果發生問題，您可以還原登錄。 如需如何備份及還原登錄的詳細資訊，請按一下下列文章編號以檢視 Microsoft 知識庫中的文章：

322756 如何在 Windows 中備份及還原登錄：或者，修改登錄來關閉伺服器上的 SMB 登入。 若要這樣做，請依照下列步驟操作：

1. 按一下 [開始]，按一下 [ 執行]，輸入 regedit，然後按一下 [ 確定]。

2. 找出並按一下下列子機碼：
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

3. 按一下 [enablesecuritysignature ] 專案。

4. 在 [ 編輯] 功能表上，按一下 [ 修改]。

5. 在 [ 值資料] 方塊中，輸入 0，然後按一下 [ 確定]。

6. 結束登錄編輯程式。

7. 重新開機電腦，或停止然後重新開機伺服器服務。 若要這麼做，請在命令提示字元中輸入下列命令，然後在您輸入每個命令後按 Enter：
   net stop server
   net start server

注意 用戶端電腦上對應的機碼位於下列登錄子機碼：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters 下列列出將錯誤碼編號轉換為狀態碼，以及先前提及的逐字錯誤訊息：

如需詳細資訊，請按一下下列文章編號以檢視 Microsoft 知識庫中的文章：

324802 如何設定群組原則以在 Windows Server 2003 中設定系統服務的安全性

816585 如何在 Windows Server 2003 中套用預先定義的安全性範本