您目前已離線,請等候您的網際網路重新連線

如果您變更安全性設定和使用者權限指派,則可能會發生用戶端、服務和程式問題

Windows XP 支援已結束

Microsoft 於 2014 年 4 月 8 日結束對 Windows XP 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

Windows Server 2003 的支援已於 2015 年 7 月 14 日結束

Microsoft 已於 2015 年 7 月 14 日結束對 Windows Server 2003 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

結論
安全性設定和使用者權限指派可在本機原則及群組原則中變更,以協助加強網域控制站和成員電腦上的安全性。不過,增強的安全性會帶來與用戶端、服務和程式不相容的負面影響。

本文說明當您在 Windows Server 2003 網域或舊版的 Windows Server 網域中修改特定的安全性設定和使用者權限指派時,可能會在執行 Windows XP 或舊版 Windows 的用戶端腦上發生不相容的問題。

如需有關 Windows 7、Windows Server 2008 R2 和 Windows Server 2008 群組原則的詳細資訊,請參閱下列文章:注意:本文中的其餘內容則為 Windows XP、Windows Server 2003 和舊版 Windows 的特定資訊。

Windows XP

按一下這裡以查閱 Windows XP 的特定資訊
如果要提高警覺,以避免錯誤設定安全性設定,請使用「群組原則物件編輯器」工具來變更安全性設定。使用「群組原則物件編輯器」,可以增強下列作業系統上的使用者權限指派:
  • Windows XP Professional Service Pack 2 (SP2)
  • Windows Server 2003 Service Pack 1 (SP1)
增強的功能為含有本文件連結的對話方塊。每當您將安全性設定或使用者權限指派變更為提供較低相容性,但具有較多限制的設定時,就會出現這個對話方塊。如果您使用登錄或安全性範本直接變更相同的安全性設定或使用者權限指派,則所產生的效果會與在「群組原則物件編輯器」中變更設定的效果相同,不過,並不會出現含有本文件連結的對話方塊。

本文包含有關受到特定安全性設定或使用者權限指派影響的用戶端、程式及操作的範例。然而,並非所有受影響的 Microsoft 作業系統、協力廠商作業系統或程式版本都能以這些範例為準。本文未包含所有的安全性設定及使用者權限指派。

我們建議您,先在測試樹系中驗證所有安全性相關設定變更的相容性,再套用在實際生產環境中。測試樹系必須依照下列方式對映實際的樹系:
  • 用戶端和伺服器作業系統版本、用戶端和伺服器程式、Service Pack 版本、結構描述變更、安全性群組、群組成員資格,以及檔案系統、共用資料夾、登錄、Active Directory 目錄服務的物件權限、本機和群組原則設定,及物件計數類型和位置
  • 執行的系統管理工作、使用的系統管理工具,以及用來執行系統管理工作的作業系統
  • 執行的作業如下所示:
    • 電腦和使用者登入驗證
    • 使用者、電腦及系統管理員的密碼重設
    • 瀏覽
    • 使用 ACL 編輯器,從所有帳戶或資料中所有用戶端作業系統的所有帳戶或資源網域中,在所有用戶端作業系統中設定檔案系統、共用資料夾、登錄及 Active Directory 資源的權限
    • 從系統管理及非系統管理帳戶執行列印

Windows Server 2003 SP1

按一下這裡以查閱 Windows Server SP1 的特定資訊

Gpedit.msc 中的警告

為了協助客戶瞭解,他們編輯使用者權限或安全性選項可能會對網路造成不良影響,我們在 gpedit.msc 中加入了兩個警告機制。當系統管理員編輯可能對整個企業造成負面影響的使用者權限時,將會看到像是「讓路」標誌的新圖示。他們也會收到連往「Microsoft 知識庫」文章 823659 的警告訊息。這個訊息的文字如下:
修改此設定可能會對用戶端、服務及應用程式之間的相容性造成影響。如需詳細資訊,請參閱<已修改的使用者權限或安全性選項> (Q823659)
如果您已從 Gpedit.msc 中的連結導向至此知識庫文章,請務必加以閱讀,並了解其說明,以及變更此設定可能造成的影響。以下列出包含警告文字的使用者權限:
  • 從網路存取這台電腦
  • 從本機登入
  • 略過周遊檢查
  • 啟用受信任委派的電腦與使用者
以下列出包含警告和快顯訊息的安全性選項:
  • 網域成員:安全通道資料加以數位加密或簽章 (自動)
  • 網域成員:要求增強式 (Windows 2000 或更新版本) 工作階段金鑰
  • 網域控制站:LDAP 伺服器簽章要求
  • Microsoft 網路伺服器:數位簽章伺服器的通訊 (自動)
  • 網路存取:允許匿名 SID/名稱轉譯
  • 網路存取:不允許 SAM 帳戶和共用的匿名列舉
  • 網路安全性:LAN Manager 驗證層級
  • 稽核:當無法記錄安全性稽核時,系統立即關機
  • 網路存取:LDAP 用戶端簽章的需求
其他相關資訊
下列小節將告訴您,當您變更 Windows NT 4.0 網域、Windows 2000 網域和 Windows Server 2003 網域中的特定設定時發生的不相容情形。

使用者權限

按一下這裡以查閱關於使用者權限的資訊
下表說明使用者權限、識別可能會造成問題的組態設定、說明為何您應套用使用者權限以及為何需要移除使用者權限,並提供當設定使用者權限時可能發生的相容性問題範例。
  1. 從網路存取這台電腦
    1. 背景

      如果要與遠端 Windows 電腦互動,必須具備 [從網路存取這台電腦] 使用者權限。這類網路操作的範例包含下列項目:
      • 在一般網域或樹系的網域控制站之間複寫 Active Directory
      • 驗證從使用者和電腦傳送到網域控制站的要求
      • 存取位於網路遠端電腦上的共用資料夾、印表機和其他系統服務


      藉由明確地或暗中從已經授與 [從網路存取這台電腦] 使用者權限的安全性群組,新增或移除此使用者權限,如此,使用者、電腦和服務帳戶就會授與或失去此使用者權限。例如,使用者帳戶或電腦帳戶可能是由系統管理員明確地新增至自訂或內建的安全性群組,或是由作業系統暗中新增到運算安全性群組,例如「網域使用者」、「已驗證的使用者」或「企業網域控制站」。

      依照預設,當預設網域控制站的群組原則物件 (GPO) 已經定義運算群組 (例如「所有人」,更可能是「已驗證的使用者」,如果是網域控制站,則為「企業網域控制站」) 時,就會授與使用者帳戶和電腦帳戶 [從網路存取這台電腦] 的使用者權限。
    2. 風險設定

      下列為有害的組態設定:
      • 將「企業網域控制站」安全性群組從這個使用者權限移除
      • 移除「已驗證的使用者」,或是移除允許使用者、電腦和服務帳戶使用者權限透過網路連接至電腦的明確群組
      • 將所有使用者和電腦從這個使用者權限移除
    3. 授與此使用者權限的原因
      • [從網路存取這台電腦] 的使用者權限授與「企業網域控制站」群組,能夠達到 Active Directory 在相同樹系的網域控制站之間進行複寫時必須符合的驗證需求。
      • 此使用者權限允許使用者和電腦存取共用檔案、印表機及系統服務,包括 Active Directory。
      • 使用較舊版本 Microsoft Outlook Web Access (OWA) 的使用者必須具有此使用者權限,才能存取郵件。
    4. 移除此使用者權限的原因
      • 能夠將電腦連接至網路的使用者,可以存取遠端電腦上所擁有權限的資源。例如,使用者必須具有此使用者權限,才能連接至共用印表機和資料夾。如果此使用者權限授與給「所有人」群組,並且某些共用資料夾已經設定為具有共用和 NTFS 檔案系統權限,如此,相同群組都會擁有讀取存取權,任何人都可以檢閱那些共用資料夾中的檔案。然而,這種情況不太可能發生在全新的 Windows Server 2003 安裝上,因為 Windows Server 2003 中預設的共用和 NTFS 使用權限並未包含「所有人」群組。如果是從 Microsoft Windows NT 4.0 或 Windows 2000 升級的系統,就很可能出現這個弱點,因為這些作業系統的預設共用和檔案系統使用權限不像 Windows Server 2003 中的預設使用權限一樣受到限制。
      • 沒有任何有力的原因,支持從這個使用者權限移除「企業網域控制站」。
      • 通常會移除「所有人」群組,以支持「已驗證的使用者」群組。如果移除了「所有人」群組,就必須將此使用者權限授與「已驗證的使用者」群組。
      • 升級至 Windows 2000 的 Windows NT 4.0 網域不會明確地將 [從網路存取這台電腦] 的使用者權限授與「所有人」群組、「已驗證的使用者」群組或「企業網域控制站」群組。因此,當您從 Windows NT 4.0 網域原則移除「所有人」群組時,在升級至 Windows 2000 之後,Active Directory 複寫將會失敗,並且出現「拒絕存取」錯誤訊息。當您升級 Windows NT 4.0 網域主控制站 (PDC) 時,Windows Server 2003 中的 Winnt32.exe 會藉由授與「企業網域控制站」群組這個使用者權限,以避免發生此錯誤設定。如果「群組原則物件編輯器」中沒有此使用者權限,請授與「企業網域控制站」群組這個使用者權限。
    5. 相容性問題的範例
      • Windows 2000 和 Windows Server 2003:如同監視工具 REPLMON 和 REPADMIN 或事件記錄檔中的複寫事件所報告,複寫下列磁碟分割將會失敗,並出現「拒絕存取」錯誤。
        • Active Directory 架構分割
        • 設定磁碟分割
        • 網域磁碟分割
        • 類別目錄分割
        • 應用程式分割
      • 所有 Microsoft 網路作業系統:遠端網路用戶端電腦中的使用者帳戶驗證將會失敗,除非已經將此使用者權限授與使用者所隸屬的使用者或安全性群組。
      • 所有 Microsoft 網路作業系統:遠端網路用戶端中的帳戶驗證將會失敗,除非已經將此使用者權限授與帳戶所隸屬的帳戶或安全性群組。此情形會發生在使用者帳戶、電腦帳戶和服務帳戶。
      • 所有 Microsoft 網路作業系統:從這個使用者權限移除所有帳戶,將可以防止任何帳戶登入網域或存取網路資源。如果移除了運算群組 (例如「企業網域控制站」、「所有人」或「已驗證的使用者」),您必須明確地將此使用者權限授與帳戶所隸屬的帳戶或安全性群組,才能透過網路存取遠端電腦。此情形會發生在所有的使用者帳戶、電腦帳戶和服務帳戶。
      • 所有 Microsoft 網路作業系統:本機系統管理員帳戶使用「空白」密碼。網域環境的網路連線不允許系統管理員帳戶使用空白密碼。如果使用這種設定,可能會出現「拒絕存取」錯誤訊息。
  2. 允許本機登入
    1. 背景

      嘗試登入 Windows 電腦主控台的使用者 (方法是使用 CTRL+ALT+DELETE 按鍵順序) 及嘗試啟動服務的帳戶,必須具有主控電腦上的本機登入特殊權限。本機登入作業的範例,包括了登入成員電腦主控台的系統管理員,或整個企業的網域控制站,以及使用非特殊權限帳戶登入成員電腦以存取成員電腦桌面的網域使用者。使用「遠端桌面」連線或終端機服務的使用者,在執行 Windows 2000 或 Windows XP 的目的電腦上必須具備 [允許本機登入] 使用者權限,因為這些登入模式會被主控電腦視為本機登入。登入已啟用終端機伺服器的伺服器且沒有此使用者權限的使用者,如果具有 [允許透過終端機服務登入] 使用者權限,還是可以在 Windows Server 2003 網域中啟動遠端互動工作階段。
    2. 風險設定

      下列為有害的組態設定:
      • 從預設的網域控制站原則移除系統管理安全性群組,其中包括帳戶操作員、備份操作員、列印操作員或伺服器操作員,以及內建的系統管理員群組。
      • 從預設的網域控制站原則移除網域中成員電腦和網域控制站上,元件及程式所使用的服務帳戶。
      • 移除網域中登入成員電腦主控台的使用者或安全性群組。
      • 移除成員電腦或工作群組電腦的本機安全性帳戶管理員 (SAM) 資料庫中所定義的服務帳戶。
      • 移除非內建的系統管理帳戶,此帳戶透過在網域控制站上執行的終端機服務進行驗證。
      • 明確地將所有使用者帳戶新增至網域中,或是暗中透過「所有人」群組新增至 [拒絕本機登入] 的登入權限。此設定可以防止使用者登入任何成員電腦或網域中的任何網域控制站。
    3. 授與此使用者權限的原因
      • 使用者必須擁有 [允許本機登入] 使用者權限,才能存取工作群組電腦、成員電腦或網域控制站的主控台或桌面。
      • 使用者必須具備此使用者權限,才能透過在 Window 2000 成員電腦或網域控制站上執行的終端機服務工作階段進行登入。
    4. 移除此使用者權限的原因
      • 無法限制主控台存取合法使用者帳戶,可能會造成未經授權的使用者下載並執行惡意程式碼,進而變更這些使用者的使用者權限。
      • 移除 [允許本機登入] 使用者權限,可以避免未經授權登入電腦的主控台,例如網域控制站或應用程式伺服器。
      • 移除此登入權限,可以避免非網域帳戶登入網域中成員電腦的主控台。
    5. 相容性問題的範例
      • Windows 2000 終端機伺服器:登入 Windows 2000 終端機伺服器的使用者必須具備 [允許本機登入] 使用者權限。
      • Windows NT 4.0、Windows 2000、Windows XP 或 Windows Server 2003:必須將此使用者權限授與使用者帳戶,以登入執行 Windows NT 4.0、Windows 2000、Windows XP 或 Windows Server 2003 的電腦主控台。
      • Windows NT 4.0 和更新的版本:在執行 Windows NT 4.0 和更新版本的電腦上,如果您新增了 [允許本機登入] 使用者權限,但是也暗中或明確地授與 [拒絕本機登入] 的登入權限,則帳戶將無法登入網域控制站的主控台。
  3. 略過周遊檢查
    1. 背景

      [略過周遊檢查] 使用者權限允許使用者瀏覽 NTFS 檔案系統或登錄中的資料夾,而不用檢查 [周遊資料夾] 特殊存取權限。[略過周遊檢查] 使用者權限不允許使用者列出資料夾的內容,只允許使用者周遊資料夾。
    2. 風險設定

      下列為有害的組態設定:
      • 移除登入 Windows 2000 Terminal Services 電腦或 Windows Server 2003 Terminal Services 電腦且不含可以存取檔案系統中檔案和資料夾的使用權限的非系統管理帳戶。
      • 從預設具有此使用者權限的安全性原則清單移除「所有人」群組。Windows 作業系統和許多程式所設計具有的預設行為,就是可以合法存取電腦的任何人將具有 [略過周遊檢查] 使用者權限。因此,從預設具有此使用者權限的安全性原則清單移除「所有人」群組,可能會導致作業系統不穩定,或者程式失敗。最好將此設定保留為預設值。
    3. 授與此使用者權限的原因

      [略過周遊檢查] 使用者權限的預設設定可以允許任何人略過周遊檢查。對經驗豐富的 Windows 系統管理員而言,這是所期望的行為,並且系統管理員會依此設定檔案系統存取控制清單 (SACL)。預設設定可能導致嚴重災難的唯一情況,就是設定使用權限的系統管理員不了解預設的行為,並且認為無法存取父資料夾的使用者就該無法存取任何子資料夾中的內容。
    4. 移除此使用者權限的原因

      為了防止其他人存取檔案系統中的檔案或資料夾,非常重視安全性的組織可以嘗試移除「所有人」群組,或者甚至從具有 [略過周遊檢查] 使用者權限的群組清單移除「使用者」群組。
    5. 相容性問題的範例
      • Windows 2000、Windows Server 2003:如果移除或錯誤設定 Windows 2000 或 Windows Server 2003 電腦上的 [略過周遊檢查] 使用者權限,SYVOL 資料夾中的群組原則設定將無法在網域的網域控制站之間進行複寫。
      • Windows 2000、Windows XP Professional、Windows Server 2003:執行 Windows 2000、Windows XP Professional 或 Windows Server 2003 的電腦將會記錄事件 1000 和 1202,並且如果移除或錯誤設定 [略過周遊檢查] 使用者權限,則在 SYSVOL 樹狀目錄中的必要檔案系統權限被移除之後,電腦將無法套用電腦原則和使用者原則。

        如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
        290647每隔五分鐘會在應用程式事件記錄檔中記錄事件識別碼 1001 和 1000 (機器翻譯)
      • Windows 2000、Windows Server 2003:在執行 Windows 2000 或 Windows Server 2003 的電腦上,當您檢視磁碟區上的內容時,Windows 檔案總管中的 [配額] 索引標籤將會消失。
      • Windows 2000:登入 Windows 2000 終端機伺服器的非系統管理員可能會收到下列錯誤訊息:
        Userinit.exe 應用程式錯誤。應用程式正常初始 0xc0000142 失敗。請按一下 [確定] 終止應用程式。
        如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
        272142使用者在嘗試登入終端機服務時被自動登出 (機器翻譯)
      • Windows NT 4.0、Windows 2000、Windows XP、Windows Server 2003:電腦是執行 Windows NT 4.0、Windows 2000、Windows XP 或 Windows Server 2003 的使用者可能無法存取共用資料夾或其中的檔案,並且如果未授與使用者 [略過周遊檢查] 使用者權限,則使用者可能會收到「拒絕存取」錯誤訊息。

        如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
        277644使用者嘗試存取共用資料夾時,出現「拒絕存取」錯誤訊息 (機器翻譯)
      • Windows NT 4.0:在 Windows NT 4.0 電腦上,移除 [略過周遊檢查] 使用者權限會造成檔案副本卸除檔案資料流。如果移除了這個使用者權限,當您從 Windows 用戶端或 Macintosh 用戶端將檔案複製到執行 Services for Macintosh 的 Windows NT 4.0 網域控制站時,就會遺失目的檔案資料流,並且檔案看起來就像是純文字檔案。

        如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
        172930移除「略過周遊檢查」會造成檔案副本卸除資料流 (機器翻譯)
      • Microsoft Windows 95、Microsoft Windows 98:在執行 Windows 95 或 Windows 98 的用戶端電腦上,如果沒有授與「已驗證的使用者」群組 [略過周遊檢查] 使用者權限,則 net use * /home 命令將會失敗,並且出現「拒絕存取」錯誤訊息。
      • Outlook Web Access:如果未授與非系統管理員 [略過周遊檢查] 使用者權限,非系統管理員將無法登入 Microsoft Outlook Web Access,並且會收到出現「拒絕存取」錯誤訊息。

安全性設定

按一下這裡以查閱有關安全性設定的資訊
下列清單會識別安全性設定,巢狀清單則提供有關安全性設定的說明、識別可能會造成問題的組態設定、說明為何您應套用安全性設定,然後說明移除安全性設定的原因。然後巢狀清單會提供安全性設定的符號名稱和安全性設定的登錄路徑。最後提供當進行安全性設定時可能發生的相容性問題範例。
  1. 稽核:當無法記錄安全性稽核時,系統立即關機
    1. 背景
      • [稽核:當無法記錄安全性稽核時,系統立即關機] 設定會判定當您無法記錄安全性事件時,是否要關閉系統。當稽核系統無法記錄可稽核的事件時,「安全電腦系統評估準則」(TCSEC) 程式的 C2 評估及「資訊技術安全評估的一般準則」必須使用此設定,以避免記錄那些事件。如果稽核系統失敗了,系統就會關機,並且出現「停止」錯誤訊息。
      • 如果電腦無法將事件記錄在安全性記錄檔,在發生安全性事件之後,就不能檢閱關鍵證據或重要的疑難排解資訊。
    2. 風險設定

      下列為有害的組態設定:[稽核:當無法記錄安全性稽核時,系統立即關機] 設定是開啟的,並且安全性事件記錄檔的大小受到事件檢視器中 [不要覆寫事件 (以手動方式清除記錄)] 選項、[視需要覆寫事件] 選項或 [覆寫 number 天前發生的事件] 選項所限制。如需有關執行 Windows 2000 原始發行版本、Windows 2000 Service Pack 1 (SP1)、Windows 2000 SP2 或 Windows 2000 SP3 的電腦上特定風險的資訊,請參閱<相容性問題的範例>一節。
    3. 啟用此設定的原因

      如果電腦無法將事件記錄在安全性記錄檔,在發生安全性事件之後,就不能檢閱關鍵證據或重要的疑難排解資訊。
    4. 停用此設定的原因
      • 如果啟用 [稽核:當無法記錄安全性稽核時,系統立即關機] 設定,在因為任何原因而無法記錄安全性稽核時,此設定就會停止系統。一般而言,當安全性稽核記錄檔已滿,以及記錄檔所指定的保留方式為 [不要覆寫事件 (以手動方式清除記錄)] 選項或 [覆寫 number 天前發生的事件] 選項時,就無法記錄事件。
      • 啟用 [稽核:當無法記錄安全性稽核時,系統立即關機] 設定可能會造成系統管理上很大的負擔,特別是如果您也開啟了安全性記錄檔的 [不要覆寫事件 (以手動方式清除記錄)] 選項。這個設定提供操作員動作的個別責任。例如,系統管理員可能會使用內建的系統管理員帳戶或其他共用的帳戶,在已啟用稽核的組織單元 (OU) 中重新設定所有使用者、電腦和群組上的使用權限,再拒絕他們重新設定這類使用權限。然而,由於伺服器可能會因為安全性記錄檔所寫入的登入事件和其他安全性事件而被迫必須關閉,因此,啟用設定確實會削落系統的穩固性。此外,因為無法適切地關閉伺服器,所以可能會對作業系統、程式或資料造成無法修補的損壞。儘管 NTFS 保證在急切關閉系統的期間會維護檔案系統的完整性,但是 NTFS 無法保證在系統重新啟動時所有程式的每個資料檔案都還可以使用。
    5. 符號名稱:

      CrashOnAuditFail

    6. 登錄路徑:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)
    7. 相容性問題的範例
      • Windows 2000:某錯誤會導致執行 Windows 2000 原始發行版本、Windows 2000 SP1、Windows 2000 SP2 或 Windows Server SP3 的電腦,在安全性事件日誌 [最大記錄大小] 選項所指定的大小達到上限之前,停止記錄事件。這個錯誤已經在 Windows 2000 Service Pack 4 (SP4) 中獲得修正。在您考慮啟用這個設定之前,請先確認您的 Windows 2000 網域控制站已經安裝了 Windows 2000 Service Pack 4。

        如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
        312571事件記錄檔在到達記錄大小上限之前就停止記錄事件 (機器翻譯)
      • Windows 2000、Windows Server 2003:如果啟用 [稽核:當無法記錄安全性稽核時,系統立即關機] 設定、安全性記錄檔已滿,並且無法覆寫現有的事件記錄檔項目,那麼執行 Windows 2000 或 Windows Server 2003 的電腦會停止回應,然後自行重新啟動。電腦重新啟動時,會出現下列「停止」錯誤訊息:
        STOP:C0000244 {稽核失敗}
        嘗試產生安全性稽核時發生失敗。
        如果要進行修復,必須以系統管理員的身分登入,然後封存安全性記錄檔 (選用)、清除安全性記錄檔,再重新設定這個選項 (選用且視需要而定)。
      • Microsoft Network Client for MS-DOS、Windows 95、Windows 98、Windows NT 4.0、Windows 2000、Windows XP、Windows Server 2003:嘗試登入網域的非系統管理員將會收到下列錯誤訊息:
        您帳戶的設定使您無法使用這個電腦。請嘗試其他電腦。
        如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
        160783錯誤訊息:Users cannot log on to a workstation (使用者無法登入工作站) (機器翻譯)
      • Windows 2000:在 Windows 2000 電腦上,非系統管理員將無法登入遠端存取伺服器,並且會收到類似下列的錯誤訊息:
        未知的使用者或密碼
        如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
        285665錯誤訊息:您的帳戶已設定為防止您使用這台電腦 (機器翻譯)
      • Windows 2000:在 Windows 2000 網域控制站上,站台間訊息服務 (Ismserv.exe) 會停止執行,並且無法重新啟動。DCDIAG 會將錯誤報告為 failed test services ISMserv (ISMserv 測試服務失敗),並且事件記錄檔中會登錄事件識別碼 1083。
      • Windows 2000:在 Windows 2000 網域控制站上,Active Directory 複寫將會失敗,並且如果安全性事件記錄檔已經滿了,就會出現「拒絕存取」訊息。
      • Microsoft Exchange 2000:執行 Exchange 2000 的伺服器將無法裝載資訊儲存庫資料庫,並且事件記錄檔中會登錄事件識別碼 2102。

        如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
        314294XADM:Exchange 2000 因為 SeSecurityPrivilege 權限和 Policytest 問題而產生錯誤訊息
      • Outlook、Outlook Web Access:非系統管理員將無法透過 Microsoft Outlook 或 Microsoft Outlook Web Access 存取郵件,並且會收到 503 錯誤。
  2. 網域控制站:LDAP 伺服器簽章要求
    1. 背景

      [網域控制站:LDAP 伺服器簽章要求] 安全性設定會判斷「輕量型目錄存取協定」(LDAP) 伺服器是否需要 LDAP 用戶端,以交涉資料簽章。此原則設定的可能值如下:
      • 無:資料簽章不需要與伺服器繫結在一起。如果用戶端需求資料簽章,伺服器會給予支援。
      • 要求簽章:除非您使用 Transport Layer Security/Secure Socket Layer (TLS/SSL),否則 LDAP 資料簽章選項必須經過交涉。
      • 尚未定義:並未啟用或停用這個設定。
    2. 風險設定

      下列為有害的組態設定:
      • 在用戶端不支援 LDAP 簽章,或是用戶端上未啟用用戶端 LDAP 簽章的環境中啟用 [要求簽章]
      • 在用戶端不支援 LDAP 簽章,或是未啟用用戶端 LDAP 簽章的環境中套用 Windows 2000 或 Windows Server 2003 Hisecdc.inf 安全性範本
      • 在用戶端不支援 LDAP 簽章,或是未啟用用戶端 LDAP 簽章的環境中套用 Windows 2000 或 Windows Server 2003 Hisecws.inf 安全性範本
    3. 啟用此設定的原因

      當侵入者在用戶端及伺服器之間擷取封包、修改封包,並將封包轉送到伺服器時,未簽章的網路傳輸很容易遭到攔截式攻擊。當 LDAP 伺服器上發生這種情形時,攻擊者可能會使伺服器根據從 LDAP 用戶端傳來的錯誤查詢,做出決策。您可以在企業網路中施行較強功能的安全性措施保護網路基礎架構,並降低其風險。採用網際網路通訊協定安全性 (IPSec) 驗證標頭模式更可以避免遭受攔截式攻擊。驗證標頭模式會為 IP 傳輸執行相互驗證及封包完整性。
    4. 停用此設定的原因
      • 不支援 LDAP 簽章的用戶端,如果已交涉 NTLM 驗證,而正確的 Service Pack 並未安裝在 Windows 2000 網域控制站上,則將無法對網域控制站和通用類別目錄執行 LDAP 查詢。
      • 用戶端及伺服器之間 LDAP 傳輸的網路追蹤將會經過加密,這會使 LDAP 對話的檢查工作難以執行。
      • 當 Windows 2000 伺服器是由支援 LDAP 簽章且在 Windows 2000 SP4、Windows XP 或 Windows Server 2003 用戶端電腦上執行的程式所管理時,就必須安裝 Windows 2000 Service Pack 3 (SP3)。如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
        325465使用 Windows Server 2003 系統管理工具時,Windows 2000 網域控制站需要 SP3 (含) 以後版本
    5. 符號名稱:

      LDAPServerIntegrity
    6. 登錄路徑:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)
    7. 相容性問題的範例
      • 簡單連結將會失敗,並且您會收到下列錯誤訊息:
        Ldap_simple_bind_s() 失敗:需要增強式驗證。
      • Windows 2000 Service Pack 4、Windows XP、Windows Server 2003:在執行 Windows 2000 SP4、Windows XP 或 Windows Server 2003 的用戶端上,當 NTLM 驗證已經交涉過時,某些 Active Directory 系統管理工具將無法正確地在執行 Windows 2000 SP3 以前版本的網域控制站上操作。

        如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
        325465使用 Windows Server 2003 系統管理工具時,Windows 2000 網域控制站需要 SP3 (含) 以後版本
      • Windows 2000 Service Pack 4、Windows XP、Windows Server 2003:如果執行 Windows 2000 SP4、Windows XP 或 Windows Server 2003 的用戶端使用 IP 位址 (例如 dsa.msc /server=x.x.x.x,其中的 x.x.x.x 是 IP 位址),那麼針對執行 Windows 2000 SP3 以前版本的網域控制站所設計的某些 Active Directory 系統管理工具將無法正確運作。

        如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
        325465使用 Windows Server 2003 系統管理工具時,Windows 2000 網域控制站需要 SP3 (含) 以後版本
      • Windows 2000 Service Pack 4、Windows XP、Windows Server 2003:在執行 Windows 2000 SP4、Windows XP 或 Windows Server 2003 的用戶端上,某些 Active Directory 系統管理工具將無法正確地在執行 Windows 2000 SP3 以前版本的網域控制站上操作。

        如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
        325465使用 Windows Server 2003 系統管理工具時,Windows 2000 網域控制站需要 SP3 (含) 以後版本
  3. 網域成員:要求增強式 (Windows 2000 或更新) 工作階段金鑰
    1. 背景
      • [網域成員:要求增強式 (Windows 2000 或更新) 工作階段索引鍵] 設定會判斷是否可以與無法使用增強式 128 位元工作階段索引鍵加密安全通道傳輸的網域控制站建立安全通道。啟用這個設定,就不能與無法使用增強式索引鍵加密安全通道資料的網域控制站建立安全通道。停用此設定,就會允許使用 64 位元工作階段索引鍵。
      • 成員所隸屬的網域中所有的網域控制站必須能夠使用增強式 128 位元索引鍵來加密安全通道資料,您才能啟用成員工作站或伺服器上的這個設定。也就是說,所有的這類網域控制站都必須執行 Windows 2000 或更新版本。
    2. 風險設定

      在不是所有網域控制站都可以簽章或加密安全通道資料的網域中,啟用 [網域成員:要求增強式 (Windows 2000 或更新) 工作階段索引鍵] 設定是有害的組態設定。
    3. 啟用此設定的原因
      • Windows 2000 中用來在成員電腦和網域控制站之間建立安全通道通訊的工作階段索引鍵,遠比 Microsoft 作業系統的較舊版本來得強固。
      • 如果可以的話,建議您最好利用這些更強固的工作階段索引鍵,來保護安全通道通訊,以避免遭到竊聽和工作階段劫持的網路攻擊。竊聽是一種惡意的攻擊,此攻擊會使傳輸中的網路資料被讀取或更改。資料可能被修改為隱藏或變更寄件者,或是重新導向。
      重要 一台執行 Windows Server 2008 R2 或 Windows 7 的電腦只在使用安全通道時支援增強式索引鍵。此限制防止了任何 Windows NT 4.0 網域和任何 Windows Server 2008 R2 網域之間的信任。此外,此限制封鎖了執行 Windows 7 或 Windows Server 2008 R2 電腦的 Windows NT 4.0 網域成員資格,反之亦然。
    4. 停用此設定的原因

      網域含有不是執行 Windows 2000、Windows XP 或 Windows Server 2003 作業系統的成員電腦。
    5. 符號名稱:

      StrongKey
    6. 登錄路徑:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)
    7. 相容性問題的範例

      Windows NT 4.0:在 Windows NT 4.0 電腦上,無法使用 NLTEST 重新設定 Windows NT 4.0 和 Windows 2000 網域之間信任關係的安全通道。出現「拒絕存取」錯誤訊息:
      主要網域和受信任網域間的信任關係失敗。

      Windows 7 和 Server 2008 R2:如果是 Windows 7 和更新版本,以及 Windows Server 2008 R2 和更新版本,則不會再執行此設定並一律使用增強式金鑰。因此,無法再與 Windows NT 4.0 網域建立信任。
  4. 網域成員:安全通道資料加以數位加密或簽章 (自動)
    1. 背景
      • 啟用 [網域成員:安全通道資料加以數位加密或簽章 (自動)],可以避免與無法簽章或加密所有安全通道資料的任何網域控制站建立安全通道。為了保護驗證傳輸,避免受到攔截式攻擊、重送攻擊和其他類型的網路攻擊,Windows 電腦會透過 Net Logon 服務建立通訊通道,也就是安全通道,以驗證電腦帳戶。當一個網域中的使用者連線到遠端網域的網路資源時,也可以使用安全通道。此多重網域驗證或傳遞驗證,讓已加入網域的 Windows 電腦可以在自己的網域及任何信任的網域中存取使用者帳戶資料庫。
      • 成員所隸屬的網域中所有的網域控制站必須能夠簽章或加密所有安全通道資料,才能啟用成員電腦上的 [網域成員:安全通道資料加以數位加密或簽章 (自動)] 設定。也就是說,所有的這類網域控制站都必須執行 Windows NT 4.0 Service Pack 6a (SP6a) 或更新的版本。
      • 在不是所有網域控制站都可以簽章或加密安全通道資料的網域中,啟用 [網域成員:安全通道資料加以數位加密或簽章 (自動)] 設定,就會自動地啟用 [網域成員:安全通道資料加以數位加密或簽章 (可能的話)] 設定。
    2. 風險設定

      在並非所有網域控制站都可簽章或加密安全通道資料的網域中,啟用 [網域成員:安全通道資料加以數位加密或簽章 (自動)] 設定是有害的組態設定。
    3. 啟用此設定的原因

      侵入者在伺服器及用戶端之間擷取封包,然後修改封包,再將封包轉送到用戶端的情況中,未簽章的網路傳輸很容易遭到攔截式攻擊。當「輕量型目錄存取協定」(LDAP) 伺服器發生這種情形時,侵入者可能會使用戶端根據從 LDAP 目錄傳來的錯誤記錄,做出決策。在企業的網路中,您可以藉由實作增強式的安全性措施,來保護網路基礎架構,以降低遭到這類攻擊的風險。此外,執行網際網路通訊協定安全性 (IPSec) 驗證標頭模式更可以避免遭受攔截式攻擊。此模式會為 IP 傳輸執行相互驗證及封包完整性。
    4. 停用此設定的原因
      • 本機或外部網域中的電腦確實可以支援加密的安全通道。
      • 網域中不是所有網域控制站都有適當的 Service Pack 版本等級來支援加密的安全通道。
    5. 符號名稱:

      StrongKey
    6. 登錄路徑:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)
    7. 相容性問題的範例
      • Windows NT 4.0: Windows 2000 成員電腦將無法加入 Windows NT 4.0 網域,並且會收到下列錯誤訊息:
        帳戶沒有權利從這個站進行登入。
        如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
        281648錯誤訊息:這個帳戶並未得到從這個工作站登入的授權 (機器翻譯)
      • Windows NT 4.0: Windows NT 4.0 網域將無法與 Windows 2000 網域建立低階信任,並且會收到下列錯誤訊息:
        帳戶沒有權利從這個站進行登入。
        現有的低階信任可能也無法從信任的網域驗證使用者。某些使用者可能很難登入網域,並且會收到說明用戶端找不到網域的錯誤訊息。
      • Windows XP:加入 Windows NT 4.0 網域的 Windows XP 用戶端將無法驗證登入嘗試,並且會收到下列錯誤訊息,或者事件記錄檔中會登錄下列事件:
        Windows 無法連線到網域,可能因為網域控制站已關機、無法使用、或是找不到您的電腦帳戶

        事件 5723:從電腦 ComputerName 設定的工作階段無法進行驗證。安全性資料庫中所參照的帳戶名稱是 ComputerName。發生下列錯誤:拒絕被拒。

        事件 3227:The session setup to the Windows NT or the Windows 2000 domain controller Server Name for the domain Domain Name failed because Server Name does not support signing or sealing the Netlogon session.Upgrade the domain controller, or set the RequireSignOrSeal registry entry on this computer to 0. (在 Windows NT 或 Windows 2000 網域控制站 Server Name 設定網域 <Domain Name> 的工作階段失敗。因為 <Server Name> 不支援簽章或封裝 Netlogon 工作階段。請升級網域控制站,或是將此電腦上的 RequireSignOrSeal 登錄項目設定為 0)。

        如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
        318266Windows XP 用戶端無法登入 Windows NT 4.0 網域 (機器翻譯)
      • Microsoft Network: Microsoft Network 用戶端將會收到下列其中一個錯誤訊息:
        登入失敗:未知的使用者名稱或密碼。
        指定的登入工作階段沒有對應的用戶工作階段索引鍵。
  5. Microsoft 網路用戶端:數位簽章伺服器的通訊 (自動)
    1. 背景

      Server Messenger Block (SMB) 是許多 Microsoft 作業系統均支援的資源分享通訊協定。同時也是網路基本輸入/輸出系統 (NetBIOS) 與許多其他通訊協定的基礎。SMB 簽章會驗證使用者及裝載資料的伺服器。如果其中一個無法通過驗證程序,就無法傳輸資料。

      啟用的 SMB 簽章會在 SMB 通訊協定交涉期間開始作用。SMB 簽章原則決定了電腦是否自動數位簽章用戶端的通訊。

      Windows 2000 SMB 驗證通訊協定支援相互驗證。相互驗證可以避免遭受攔截式攻擊。Windows 2000 SMB 驗證通訊協定也支援訊息驗證。訊息驗證有助於防止主動式訊息攻擊。為了提供這種驗證,SMB 簽章會在每個 SMB 中放入數位簽章。用戶端和伺服器會各自檢查數位簽章。

      如果要使用 SMB 簽章,您必須啟用 SMB 簽章,或者將 SMB 用戶端和 SMB 伺服器都設定為必須使用 SMB 簽章。如果伺服器啟用了 SMB 簽章,那麼同樣也啟用 SMB 簽章的用戶端便會在所有後續的工作階段期間,使用封包簽章通訊協定。如果伺服器需要使用 SMB 簽章,用戶端就必須啟用或設定為需要使用 SMB 簽章,否則便無法建立工作階段。

      在高安全性網路中啟用數位簽章,以協助避免模擬用戶端及伺服器。這類模擬稱為工作階段劫持。能存取與用戶端或伺服器相同網路的攻擊者,會利用工作階段劫持工具來插斷、終止或偷取進行中的工作階段。攻擊者可以攔截並修改未簽章的 SMB 封包、修改傳輸,並加以轉送,促使伺服器執行不必要的動作。或者,攻擊者會冒充伺服器或用戶端,在執行合法的驗證之後,以未經授權的方式存取資料。

      用於 Windows 2000 Server、Windows 2000 Professional、Windows XP Professional 或 Windows Server 2003 電腦上檔案共用及列印共用的 SMB 通訊協定,支援相互驗證。相互驗證會終止工作階段劫持攻擊,並支援訊息驗證。因此,可以避免遭到攔截式攻擊。SMB 簽章會在每個 SMB 中放置數位簽章,以提供此驗證。然後用戶端和伺服器會檢查簽章。

      注意
      • 另一個可以保護所有網路傳輸的方法,就是啟用具有 IPSec 的數位簽章。適用於 IPSec 加密及簽章的硬體加速器,可以用來減少來自伺服器 CPU 的效能影響。適用於 SMB 簽章的這類加速器並未提供使用。

        如需詳細資訊,請參閱 Microsoft MSDN 網站上的<數位簽章伺服器通訊>章節 (英文):

        請透過「群組原則物件編輯器」來設定 SMB 簽章,因為修改後的本機登錄值會被既有的網域原則所覆寫,因此不具任何效用。
      • 在 Windows 95、Windows 98 和 Windows 98 Second Edition 中,當 Directory Services Client 使用 NTLM 驗證來驗證 Windows Server 2003 伺服器時,會使用 SMB 簽章。然而,這些用戶端在使用 NTLMv2 驗證來驗證這些伺服器時,並不會使用 SMB 簽章。此外,Windows 2000 伺服器不會回應這些用戶端提出的 SMB 簽章要求。如需詳細資訊,請參閱項目 10:「網路安全性:LAN Manager 驗證層級。」
    2. 風險設定

      下列為有害的組態設定:將 [Microsoft 網路用戶端:數位簽章用戶端的通訊 (自動)] 設定及 [Microsoft 網路用戶端:數位簽章用戶端的通訊 (如果伺服器同意)] 設定保留為「尚未定義」或停用。這些設定允許重新導向器在驗證期間,將純文字密碼傳送給不支援密碼加密的非 Microsoft SMB 伺服器。
    3. 啟用此設定的原因

      啟用 [Microsoft 網路用戶端:數位簽章用戶端的通訊 (自動)],則當用戶端聯繫不需要 SMB 簽章的伺服器時,必須簽署 SMB 傳輸。如此,才能使用戶端比較不容易遭受工作階段劫持攻擊。
    4. 停用此設定的原因
      • 啟用 [Microsoft 網路用戶端:數位簽章用戶端的通訊 (自動)],可以防止用戶端與不支援 SMB 簽章的目標伺服器進行通訊。
      • 將電腦設定為忽略所有未簽章的 SMB 通訊,以避免連接較舊版本的程式及作業系統。
    5. 符號名稱:

      RequireSMBSignRdr
    6. 登錄路徑:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
    7. 相容性問題的範例
      • Windows NT 4.0:您將無法使用 NLTEST 或 NETDOM,重新設定 Windows Server 2003 網域及 Windows NT 4.0 網域之間信任的安全通道,並且會收到「拒絕存取」錯誤訊息。
      • Windows XP:將檔案從 Windows XP 用戶端複製到 Windows 2000 伺服器及 Windows Server 2003 伺服器,可能會需要更多時間。
      • 您無法從已啟用此設定的用戶端對應網路磁碟機,並且會收到下列錯誤訊息:
        帳戶沒有權利從這個站進行登入。
    8. 重新啟動需求

      重新啟動電腦,或重新啟動工作站服務。如果要執行這項操作,請在命令提示字元輸入下列命令。輸入每個命令之後按下 ENTER。
      net stop workstation
      net start workstation
  6. Microsoft 網路伺服器:數位簽章伺服器的通訊 (自動)
    1. 背景
      • Server Messenger Block (SMB) 是許多 Microsoft 作業系統都支援的資源分享通訊協定,這是網路基本輸入/輸出系統 (NetBIOS) 和許多其他通訊協定的基礎。SMB 簽章會驗證使用者及裝載資料的伺服器。如果其中一個無法通過驗證程序,就無法傳輸資料。

        啟用的 SMB 簽章會在 SMB 通訊協定交涉期間開始作用。SMB 簽章原則決定了電腦是否自動數位簽章用戶端的通訊。

        Windows 2000 SMB 驗證通訊協定支援相互驗證。相互驗證可以避免遭受「攔截式」(中間人) 攻擊。Windows 2000 SMB 驗證通訊協定也支援訊息驗證。訊息驗證有助於防止主動式訊息攻擊。為了提供這種驗證,SMB 簽章會在每個 SMB 中放入數位簽章。用戶端和伺服器會各自檢查數位簽章。

        如果要使用 SMB 簽章,您必須啟用 SMB 簽章,或者將 SMB 用戶端和 SMB 伺服器都設定為必須使用 SMB 簽章。如果伺服器啟用了 SMB 簽章,那麼在所有後續的工作階段期間,同樣也啟用了 SMB 簽章的用戶端便會使用封包簽章通訊協定。如果伺服器需要使用 SMB 簽章,那用戶端就必須啟用或設定為需要使用 SMB 簽章,否則便無法建立工作階段。

        在高安全性網路中啟用數位簽章,以協助避免模擬用戶端及伺服器。這類模擬稱為工作階段劫持。可以存取與用戶端或伺服器相同網路的攻擊者,會使用工作階段劫持工具來插斷、終止或偷取處理程序中的工作階段。攻擊者可以攔截並修改未簽章的 Subnet Bandwidth Manager (SMB) 封包、修改傳輸,並加以轉送,促使伺服器執行不必要的動作。或者,攻擊者會冒充伺服器或用戶端,在執行合法的驗證之後,以未經授權的方式存取資料。

        適用於 Windows 2000 Server、Windows 2000 Professional、Windows XP Professional 或 Windows Server 2003 電腦上檔案共用及列印共用的 SMB 通訊協定,支援相互驗證。相互驗證會終止工作階段劫持攻擊,並支援訊息驗證。因此,可以避免遭到中間人攻擊。SMB 簽章會在每個 SMB 中放置數位簽章,以提供此驗證。然後,用戶端及伺服器會驗證簽章。
      • 另一個可以保護所有網路傳輸的方法,就是啟用具有 IPSec 的數位簽章。適用於 IPSec 加密及簽章的硬體加速器,可以用來減少來自伺服器 CPU 的效能影響。這類加速器並不適用於 SMB 簽章。
      • 在 Windows 95、Windows 98 和 Windows 98 Second Edition 中,當 Directory Services Client 使用 NTLM 驗證來驗證 Windows Server 2003 伺服器時,會使用 SMB 簽章。然而,這些用戶端在使用 NTLMv2 驗證來驗證這些伺服器時,並不會使用 SMB 簽章。此外,Windows 2000 伺服器不會回應這些用戶端提出的 SMB 簽章要求。如需詳細資訊,請參閱項目 10:「網路安全性:LAN Manager 驗證層級」。
    2. 風險設定

      下列為有害的組態設定:在本機或外部網域中,不相容 Windows 和協力廠商作業系統用戶端電腦所存取的伺服器及網域控制站上,啟用 [Microsoft 網路伺服器:數位簽章伺服器的通訊 (自動)] 設定。
    3. 啟用此設定的原因
      • 透過登錄或群組原則設定直接啟用此設定的所有用戶端電腦,均支援 SMB 簽章。換句話說,已啟用此設定的所有用戶端電腦是執行具有 DS 用戶端的 Windows 95、Windows 98、Windows NT 4.0、Windows 2000、Windows XP Professional 或 Windows Server 2003。
      • 如果停用了 [Microsoft 網路伺服器:數位簽章伺服器的通訊 (自動)],就是停用 SMB 簽章。完全停用所有 SMB 簽章,會使電腦更容易遭受工作階段劫持攻擊。
    4. 停用此設定的原因
      • 啟用此設定,可能會使用戶端電腦上檔案複製及網路效能的速度變慢。
      • 啟用此設定,可以防止無法交涉 SMB 簽章的用戶端與伺服器及網域控制站進行通訊。這會使程式無法執行諸如網域聯結、使用者及電腦驗證或網路存取等操作。
    5. 符號名稱:

      RequireSMBSignServer
    6. 登錄路徑:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)
    7. 相容性問題的範例
      • Windows 95:尚未安裝「目錄服務」(DS) 用戶端的 Windows 95 用戶端將無法登入驗證,並且會收到下列錯誤訊息:
        The domain password you supplied is not correct, or access to your logon server has been denied. (您提供的網域密碼不正確,或拒絕存取您的登入伺服器)
        如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
        811497Windows 95 或 Windows NT 4.0 用戶端登入 Windows Server 2003 網域時,出現錯誤訊息 (機器翻譯)
      • Windows NT 4.0:執行 Windows NT 4.0 Service Pack 3 (SP3) 以前版本的用戶端電腦將無法登入驗證,並且會收到下列錯誤訊息:
        系統不讓您登入。請確定您的使用者名稱和網域是否正確,然後再輸入密碼。
        部分非 Microsoft SMB 伺服器只允許在驗證期間交換未加密的密碼。(這類交換又稱為「純文字」交換)。如果是 Windows NT 4.0 SP3 和更新版本,除非加入特定的登錄項目,否則 SMB 重新導向程式在驗證期間不會將未加密的密碼傳送到 SMB 伺服器。
        如果要讓 Windows NT 4.0 SP 3 及更新版本的系統允許 SMB 用戶端傳送未加密的密碼,請修改下列登錄:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        數值名稱:EnablePlainTextPassword
        資料類型:REG_DWORD
        資料: 1

        如需相關主題的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
        224287錯誤訊息:發生系統錯誤 1240。這個帳戶並未得到從這個工作站登入的授權 (機器翻譯)
        166730 加密的密碼可能會造成 SP 3 才能無法連線到 SMB 伺服器 (機器翻譯)
      • Windows Server 2003:預設執行 Windows Server 2003 的網域控制站會設有安全性設定,以避免網域控制站的通訊,遭到惡意使用者攔截或篡改。使用者如果要和執行 Windows Server 2003 的網域控制站順利進行通訊,用戶端電腦必須同時使用 SMB 簽章與加密,或是安全通道傳輸簽章。根據預設,執行 Windows NT 4.0 並且安裝 Service Pack 2 (SP2) 或更舊版本的用戶端,以及執行 Windows 95 的用戶端均未啟用 SMB 封包簽章。因此,這些用戶端可能無法通過 Windows Server 2003 網域控制站的驗證。
      • Windows 2000 and Windows Server 2003 policy settings:建議您根據您特有的安裝需求與組態,在 Microsoft Management Console 之「群組原則編輯器」嵌入式管理單元階層架構中,將下列原則設為所需範圍的最低實體:
        • 電腦組態\Windows 安全性設定\安全性選項
        • 傳送未加密的密碼來連接其他廠商的 SMB 伺服器 (此設定適用於 Windows 2000)。
        • Microsoft 網路用戶端:將未加密的密碼傳送到協力廠商的 SMB 伺服器 (此設定適用於 Windows Server 2003)

        注意 某些協力廠商的 CIFS 伺服器 (例如舊版的 Samba 伺服器) 無法使用加密的密碼。
      • 下列用戶端與 [Microsoft 網路伺服器:數位簽章伺服器的通訊 (自動)] 設定不相容:
        • Apple Computer, Inc,Mac OS X 用戶端
        • Microsoft MS-DOS 網路用戶端 (例如,Microsoft LAN Manager)
        • Microsoft Windows for Workgroups 用戶端
        • 未安裝 DS 用戶端的 Microsoft Windows 95 用戶端
        • 未安裝 SP3 或更新版本的 Microsoft Windows NT 4.0 電腦
        • Novell Netware 6 CIFS 用戶端
        • 不支援 SMB 簽章的 SAMBA SMB 用戶端
    8. 重新啟動需求

      重新啟動電腦,或重新啟動伺服器服務。如果要執行這項操作,請在命令提示字元中輸入下列命令。輸入每個命令之後按下 Enter。
      net stop server
      net start server
  7. [網路存取:允許匿名 SID/名稱轉譯]
    1. 背景

      [網路存取:允許匿名 SID/名稱轉譯] 安全性設定會判定匿名使用者是否可以要求其他使用者的「安全識別碼」(SID) 內容。
    2. 風險設定

      啟用 [網路存取:允許匿名 SID/名稱轉譯] 設定是有害的組態設定。
    3. 啟用此設定的原因

      如果停用 [網路存取:允許匿名 SID/名稱轉譯] 設定,較舊版本的作業系統或應用程式可能無法與 Windows Server 2003 網域通訊。例如,下列作業系統、服務或應用程式可能無法運作:
      • Windows NT 4.0 遠端存取服務伺服器
      • 在 Windows NT 3.x 電腦或 Windows NT 4.0 電腦上執行的 Microsoft SQL Server
      • 在 Windows 2000 電腦上執行的「遠端存取服務」,而 Windows 2000 電腦位於 Windows NT 3.x 網域或 Windows NT 4.0 網域中
      • 在 Windows 2000 電腦上執行的 SQL Server,而 Windows 2000 電腦位於 Windows NT 3.x 網域或 Windows NT 4.0 網域中
      • 位於 Windows NT 4.0 資源網域中想要取得使用權限的使用者,以便從含有 Windows Server 2003 網域控制站的帳戶網域存取檔案、共用資料夾及登錄物件至使用者帳戶
    4. 停用此設定的原因

      如果啟用這個設定,惡意的使用者可能會使用熟知的系統管理員 SID,以取得內建系統管理員帳戶的真實名稱,即使帳戶名稱已經更改過了。然後,該使用者會使用帳戶名稱發動「密碼猜測」攻擊。
    5. 符號名稱: N/A
    6. 登錄路徑:無。UI 程式碼中所指定的路徑。
    7. 相容性問題的範例

      Windows NT 4.0:如果資源 (包括共用資料夾、共用檔案及登錄物件) 是由含有 Windows Server 2003 網域控制站的帳戶網域中的安全性原則加以保全,則 Windows NT 4.0 資源網域中的電腦將會在 ACL 編輯器中顯示「未知帳戶」。
  8. [網路存取:不允許 SAM 帳戶的匿名列舉
    1. 背景
      • [網路存取:不允許 SAM 帳戶的匿名列舉] 設定會判斷將要授與哪個使用權限,以便匿名連線至電腦。Windows 允許匿名使用者執行特定活動,例如,列舉安全性帳戶管理員 (SAM) 帳戶及網路共用的名稱。舉例來說,管理員可以使用此名稱將未維護相互信任的信任網域中的存取權給使用者。一旦完成工作階段,匿名使用者具有根據 網路存取:讓 Everyone 權限套用到匿名使用者設定中的設定或物件的判別存取控制清單 (DACL) 授與給「所有人」群組相同的存取權。

        一般而言,較舊版本的用戶端 (低階用戶端) 會在 SMB 工作階段設定期間要求使用匿名連線。在這些情況下,網路追蹤會指出 SMB 處理序識別碼 (PID) 是用戶端重新導向程式,例如在 Windows 2000 中為 0xFEFF,在 Windows NT 中則為 0xCAFE。RPC 可能也會嘗試進行匿名連線。
      • 重要 此設定不會對網域控制站造成任何影響。對網域控制站而言,此行為由「Windows 2000 前版相容性存取」中的「NT AUTHORITY\ANONYMOUS LOGON」目前狀態來控制。
      • 在 Windows 2000 中具有類似的設定,也就是 [匿名連線的其他限制] 設定,會管理
        RestrictAnonymous
        登錄值。此值的位置如下
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
        如需有關 RestrictAnonymous 登錄值的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
        246261如何使用 Windows 2000 中的 RestrictAnonymous 登錄值
        143474 限制對匿名登入使用者可用的資訊 (機器翻譯)
    2. 風險設定

      啟用 [網路存取:不允許 SAM 帳戶的匿名列舉] 設定就相容性而言是有害的組態設定。但是就安全性而言,停用此組態設定也是有害的。
    3. 啟用此設定的原因

      未經授權的使用者可能以匿名方式列出帳戶名稱,然後使用此資訊嘗試猜測密碼,或是執行社交工程攻擊。社交工程的意思是指,誘騙人們洩露自己的密碼或某些格式的安全性資訊。
    4. 停用此設定的原因

      如果啟用此設定,就不可能與 Windows NT 4.0 網域建立信任。此外,這個設定將會使嘗試使用伺服器資源的低階用戶端 (例如 Windows NT 3.51 用戶端及 Windows 95 用戶端) 發生問題。
    5. 符號名稱:


      RestrictAnonymousSAM
    6. 登錄路徑:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)
    7. 相容性問題的範例
    • SMS Network Discovery 將無法取得作業系統的資訊,並且會在 OperatingSystemNameandVersion 屬性中寫入「未知」。
    • Windows 95、Windows 98: Windows 95 用戶端及 Windows 98 用戶端將無法變更自己的密碼。
    • Windows NT 4.0:Windows NT 4.0 成員電腦將無法進行驗證。
    • Windows 95 及 Windows 98:Windows 95 和 Windows 98 電腦將無法經由 Microsoft 網域控制站進行驗證。
    • Windows 95 及 Windows 98:Windows 95 和 Windows 98 電腦上的使用者將無法變更自己使用者帳戶的密碼。
  9. [網路存取:不允許 SAM 帳戶和共用的匿名列舉
    1. 背景
      • [網路存取:不允許 SAM 帳戶和共用的匿名列舉] 設定 (也就是 RestrictAnonymous) 會判斷是否允許安全性帳戶管理員 (SAM) 帳戶及共用的匿名列舉。Windows 允許匿名使用者執行特定活動,例如,列舉網域帳戶 (使用者、電腦及群組) 和網路共用的名稱。這對要將存取權授與信任網域中,未保有相互信任之使用者的系統管理員而言非常方便。如果您不想允許 SAM 帳戶及共用的匿名列舉,請啟用這個設定。
      • 在 Windows 2000 中具有類似的設定,也就是 [匿名連線的其他限制] 設定,會管理
        RestrictAnonymous
        登錄值。此值的位置如下:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    2. 風險設定

      啟用 [網路存取:不允許 SAM 帳戶和共用的匿名列舉] 設定是有害的組態設定。
    3. 啟用此設定的原因
      • 啟用 [網路存取:不允許 SAM 帳戶和共用的匿名列舉] 設定,可以防止使用匿名帳戶的使用者和電腦列舉 SAM 帳戶及共用。
    4. 停用此設定的原因
      • 如果啟用此設定,則未經授權的使用者可能以匿名方式列出帳戶名稱,然後使用此資訊嘗試猜測密碼,或是執行社交工程攻擊。社交工程的意思是指,誘騙人們洩露自己的密碼或某些格式的安全性資訊。
      • 如果啟用此設定,就不可能與 Windows NT 4.0 網域建立信任。此外,這個設定將會使嘗試使用伺服器資源的低階用戶端 (例如 Windows NT 3.51 及 Windows 95 用戶端) 發生問題。
      • 因為信任網域中的系統管理員無法列舉其他網域的帳戶清單,所以,不可能將存取權授與資源網域的使用者。以匿名方式存取檔案及列印伺服器的使用者,將無法列出那些伺服器上的共用網路資源。使用者必須進行驗證,才能檢閱共用資料夾及印表機的清單。
    5. 符號名稱:

      RestrictAnonymous
    6. 登錄路徑:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
    7. 相容性問題的範例
      • Windows NT 4.0:如果啟用了使用者網域中網域控制站上的 RestrictAnonymous 時,使用者將無法從 Windows NT 4.0 工作站變更自己的密碼。 如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
        198941使用者在登入時無法變更密碼 (機器翻譯)
      • Windows NT 4.0:無法從信任的 Windows 2000 網域將使用者或通用群組新增至 Windows NT 4.0 本機群組的「使用者管理員」中,並且出現下列錯誤訊息:
        目前無可用的登入伺服器來服務登入請求。
        如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
        296405「RestrictAnonymous」登錄值可能會中斷對 Windows 2000 網域的信任 (機器翻譯)
      • Windows NT 4.0: Windows NT 4.0 將無法在安裝期間加入網域,或是使用加入網域使用者介面來加入網域。

        如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
        184538錯誤訊息:a controller for this domain could not be found (找不到這個網域的控制站) (機器翻譯)
      • Windows NT 4.0:如果啟用信任網域上的 RestrictAnonymous,將無法與 Windows NT 4.0 資源網域建立低階信任,並且會出現下列錯誤訊息:
        找不到這個網域的網域控制站。
        如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
        178640建立信任時找不到網域控制站 (機器翻譯)
      • Windows NT 4.0:登入 Windows NT 4.0 Terminal Server 電腦的使用者,將會對應到預設的主目錄,而不是在「使用者管理員」中為網域所定義的主目錄。

        如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
        236185套用 SP4 或更新版本之後,終端機伺服器使用者設定檔和主資料夾路徑均被略過 (機器翻譯)
      • Windows NT 4.0: Windows NT 4.0 備份網域控制站 (BDC) 將無法啟動 Net Logon 服務、無法取得備份瀏覽器的清單,也不能在相同網域中從 Windows 2000 或 Windows Server 2003 網域控制站同步處理 SAM 資料庫。

        如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
        293127Windows NT 4.0 BDC 的 Net Logon 服務在 Windows 2000 網域中無法運作 (機器翻譯)
      • Windows 2000:如果啟用了用戶端電腦中本機安全性原則的 [沒有明確的匿名使用權限,不能存取] 設定,Windows NT 4.0 網域中的 Windows 2000 成員電腦將無法檢視外部網域中的印表機。

        如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
        280329使用者無法管理或檢視印表機內容 (機器翻譯)
      • Windows 2000: Windows 2000 網域使用者將無法從 Active Directory 新增網路印表機,不過,從樹狀檢視選取印表機之後,就可以新增。

        如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
        318866在通用類別目錄伺服器上安裝 Security Rollup Package 1 (SRP1) 之後,Outlook 用戶端無法檢視全域通訊清單 (機器翻譯)
      • Windows 2000:在 Windows 2000 電腦上,ALC 編輯器將無法新增信任之 Windows NT 4.0 網域的使用者或通用群組。

        如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
        296403RestrictAnonymous 值會中斷混合網域環境中的信任 (機器翻譯)
      • ADMT 第 2 版:使用 Active Directory 遷移工具 (ADMT) 第 2 版在樹系之間進行遷移的使用者帳戶,將無法進行密碼遷移。

        如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
        322981如何疑難排解與 ADMTv2 的同一樹系內密碼遷移 (機器翻譯)
      • Outlook 用戶端: Microsoft Exchange Outlook 用戶端將看不到全域通訊清單。

        如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
        318866在通用類別目錄伺服器上安裝安全彙總套件 1 (SR) 後,Outlook 用戶端無法檢視全域通訊清單 (機器翻譯)
        321169 複製 Windows XP 檔案到 Windows 2000 網域控制站時 SMB 效能變慢
      • SMS: Microsoft Systems Management Server (SMS) Network Discovery 將無法取得作業系統的資訊。因此,SMS Network Discovery 會在探索資料記錄 (DDR) 中 SMS DDR 內容的 OperatingSystemNameandVersion 屬性中寫入「未知」。

        如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
        229769SMS:Discovery Data Manager 如何判斷何時產生用戶端設定要求 (機器翻譯)
      • SMS:當您使用 SMS Administrator User Wizard 瀏覽使用者和群組時,將不會列出任何使用者及群組。此外,進階用戶端無法與管理點進行通訊。管理點必須使用匿名存取。

        如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
        302413SMS:Administrator User Wizard 中未列出使用者或群組 (機器翻譯)
      • SMS:當您使用 SMS 2.0 和 Remote Client Installation 中的 Network Discovery 功能,並且啟用 [Topology, client, and client operating systems] 網路探索選項時,可能會找到電腦,但是電腦並未加以安裝。

        如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
        311257SMS:如果關閉匿名連線,便找不到資源 (機器翻譯)
  10. 網路安全性:LAN Manager 驗證層級
    1. 背景

      LAN Manager (LM) 驗證,是用來驗證 Windows 用戶端,以執行網路操作 (包括了加入網域、存取網路資源,以及使用者或電腦驗證) 的通訊協定。LM 驗證層級會判定用戶端及伺服器電腦之間所要交涉的挑戰/回應驗證通訊協定。特別的是,LM 驗證層級會決定用戶端嘗試要交涉或伺服器所要接受的驗證通訊協定。LmCompatibilityLevel 的設定值決定了網路登入將使用哪一種挑戰/回應驗證通訊協定。這個值會影響到用戶端使用的驗證通訊協定層級、交涉的工作階段安全性等級,以及伺服器接受的驗證層級。

      可能的設定包括:
      數值設定描述
      0 傳送 LM & NTLM 回應用戶端使用 LM 及 NTLM 驗證,絕不使用 NTLMv2 工作階段安全性。網域控制站接受 LM、NTLM 和 NTLMv2 驗證。
      1傳送 LM & NTLM - 如有交涉,使用 NTLMv2 工作階段安全性用戶端使用 LM 及 NTLM 驗證,並且如果伺服器支援的話,也會使用 NTLMv2 工作階段安全性。網域控制站接受 LM、NTLM 和 NTLMv2 驗證。
      2只傳送 NTLM 回應用戶端只使用 NTLM 驗證,並且如果伺服器支援的話,也會使用 NTLMv2 工作階段安全性。網域控制站接受 LM、NTLM 和 NTLMv2 驗證。
      3只傳送 NTLMv2 回應用戶端只使用 NTLMv2 驗證,並且如果伺服器支援的話,也會使用 NTLMv2 工作階段安全性。網域控制站接受 LM、NTLM 和 NTLMv2 驗證。
      4只傳送 NTLMv2 回應/拒絕 LM用戶端只使用 NTLMv2 驗證,而且如果伺服器支援的話,也會使用 NTLMv2 工作階段安全性。網域控制站拒絕 LM,而且只接受 NTLM 及 NTLMv2 驗證。
      5只傳送 NTLMv2 回應/拒絕 LM & NTLM用戶端只使用 NTLMv2 驗證,並且如果伺服器支援的話,也會使用 NTLMv2 工作階段安全性。網域控制站拒絕 LM 和 NTLM,並只接受 NTLMv2 驗證。
      注意 在 Windows 95、Windows 98 和 Windows 98 Second Edition 中,當 Directory Services Client 使用 NTLM 驗證來驗證 Windows Server 2003 伺服器時,會使用 SMB 簽章。然而,這些用戶端在使用 NTLMv2 驗證來驗證這些伺服器時,並不會使用 SMB 簽章。此外,Windows 2000 伺服器不會回應這些用戶端提出的 SMB 簽章要求。

      檢查 LM 驗證層級:您必須修改伺服器原則以便允許 NTLM,或將用戶端電腦設定為支援 NTLMv2。

      要連線之目標電腦上的此項原則如果是設定為 [(5) 只傳送 NTLMv2 回應\拒絕 LM & NTLM],便須降低該電腦的設定值,或比照連線來源端電腦的安全性設定,設定目標電腦的安全性設定。

      請搜尋可以變更 LAN Manager 驗證層級的正確位置,以便將用戶端和伺服器設定為相同層級。當您找到用來設定 LAN Manager 驗證層級的原則後,如果想要在執行舊版 Windows 的電腦之間彼此連線,請將其值設定為最低值 (1) 傳送 LM & NTLM - 如有交涉,使用 NTLMv2 工作階段安全性。不相容設定的其中一項影響是,如果伺服器要求 NTLMv2 (值 5),但用戶端是設定為只使用 LM 和 NTLMv1 (值 0),則嘗試驗證的使用者會遇到因密碼錯誤及密碼錯誤計數增量而登入失敗的問題。如果已設定帳戶鎖定,使用者最後可能會被鎖定。

      例如,您可能必須檢查網域控制站,甚或檢查網域控制站的原則。

      檢查網域控制站

      注意 您可能必須在所有的網域控制站上重複執行下列程序。
      1. 按一下 [開始],指向 [程式集],再按一下 [系統管理工具]
      2. 展開 [本機安全性設定] 下的 [本機原則]
      3. 按一下 [安全性選項]
      4. 按兩下 [網路安全性:LAN Manager 驗證層級],再按一下清單中的值。

      如果 [有效的原則設定] 和 [本機原則設定] 相同,就表示原則已經改為該層級。兩者設定如不相同,便須檢查網域控制站的原則,確定是否定義了 [網路安全性:LAN Manager 驗證層級] 設定。如果該處並未加以定義,請檢查網域控制站的其他原則。

      檢查網域控制站的原則
      1. 按一下 [開始],指向 [程式集],再按一下 [系統管理工具]
      2. 展開 [網域控制站安全性原則] 下的 [安全性設定],然後展開 [本機原則]
      3. 按一下 [安全性選項]
      4. 按兩下 [網路安全性:LAN Manager 驗證層級],再按一下清單中的值。

      注意
      • 您可能也必須檢查站台層級、網域層級或組織單位 (OU) 層級的連結原則,以判斷該在何處設定 LAN Manager 驗證層級。
      • 如果將群組原則設定實作為預設的網域原則,那麼網域內的所有電腦都會套用該原則。
      • 如果將群組原則設定實作為預設的網域控制站原則,就只有位在網域控制站的 OU 內的伺服器會套用該原則。
      • 最好的作法就是在原則應用階層所需範圍內,對位於最底層的實體設定 LAN Manager 驗證層級。

      Windows Server 2003 新增的預設設定是「僅使用 NTLMv2」。根據預設,Windows Server 2003 和 Windows 2000 Server SP3 網域控制站會啟用「Microsoft 網路伺服器:數位簽章伺服器的通訊 (自動)」原則。要使用這種設定,SMB 伺服器必須執行 SMB 封包簽章。Windows Server 2003 之所以如此改變,是因為任何組織為求達到最高安全性,其網域控制站、檔案伺服器、網路基礎架構伺服器及 Web 伺服器所需的設定各不相同。

      如果您要在網路中實作 NTLMv2 驗證,就必須確定網域內的所有電腦都已設定為使用這種驗證層級。如果您對 Windows 95 或 Windows 98 以及 Windows NT 4.0 套用 Active Directory 用戶端擴充功能,用戶端擴充功能便會使用 NTLMv2 中改進過的驗證功能。由於執行下列任何一種作業系統的用戶端電腦不會受到 Windows 2000 群組原則物件的影響,您可能必須以手動方式來設定這些用戶端:
      • Microsoft Windows NT 4.0
      • Microsoft Windows Millennium Edition
      • Microsoft Windows 98
      • Microsoft Windows 95
      注意 如果您已啟用 [網路安全性:下次密碼變更時不儲存 LAN Manager 雜湊數值] 原則,或設定了 NoLMHash 登錄機碼,尚未安裝 Directory Services Client 的 Windows 95 與 Windows 98 用戶端會在密碼變更後,無法登入網域。

      許多協力廠商的 CIFS 伺服器 (例如 Novell Netware 6) 都不認得 NTLMv2,而且僅使用 NTLM。因此,高於層級 2,就不允許連線。另外也有不使用延伸工作階段安全性的協力廠商 SMB 用戶端。在這些情況中,資源伺服器的 LmCompatiblityLevel 並不列入考量。然後伺服器會封裝此舊版要求並將其傳送至使用者網域控制站。然後網域控制站上的設定會決定要使用哪些雜湊來驗證要求,並判斷其是否符合網域控制站的安全性需求。

      如需有關如何手動設定 LAN Manager 驗證層級的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
      147706如何停用在 Windows NT LM 驗證 (機器翻譯)
      175641 LMCompatibilityLevel 和其效果 (機器翻譯)
      299656 用來將 LM 雜湊從 Active Directory 及安全性帳戶管理員中移除的新登錄機碼
      312630 Outlook 會繼續將提示您輸入登入認證 (機器翻譯)
      2701704稽核事件會將驗證封裝顯示為 NTLMv1 而不是 NTLMv2 (英文)
      如需有關 LM 驗證層級的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
      239869HOW TO:啟用 NTLM 2 驗證 (機器翻譯)
    2. 風險設定

      下列為有害的組態設定:
      • 以純文字傳送密碼並且拒絕 NTLMv2 交涉的非限制設定
      • 防止不相容的用戶端或網域控制站交涉通用驗證通訊協定的限制設定
      • 執行 Windows NT 4.0 Service Pack 4 (SP4) 以前版本的成員電腦和網域控制站上,需要 NTLMv2 驗證
      • 在未安裝 Windows Directory Services Client 的 Windows 95 用戶端或 Windows 98 用戶端上,需要 NTLMv2 驗證
      • 如果您在 Windows Server 2003 或 Windows 2000 Service Pack 3 電腦上,在 Microsoft Management Console「群組原則編輯器」嵌入式管理單元中按一下以選取 [要求 NTLMv2 工作階段安全性] 核取方塊,並且將 LAN Manager 驗證層級降為 0,那麼這兩項設定會發生衝突,而且可能會出現由 Secpol.msc 檔案或 GPEdit.msc 檔案發出的下列錯誤訊息:
        Windows 無法開啟本機原則資料庫。嘗試開啟資料庫時發生不明的錯誤。
        如需有關「安全性設定及分析」工具的詳細資訊,請參閱 Windows 2000 或 Windows Server 2003 說明檔。

        如需有關如何分析 Windows 2000 與 Windows Server 2003 安全性等級的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
        313203如何在 Windows 2000 系統安全性分析 (機器翻譯)
        816580 如何在 Windows Server 2003 系統安全性分析 (機器翻譯)
    3. 修改此設定的原因
      • 您想要在組織中增加用戶端及網域控制站支援的罕見驗證通訊協定。
      • 由於商務要求安全的驗證,您不允許 LM 和 NTLM 通訊協定的交涉。
    4. 停用此設定的原因

      用戶端或伺服器驗證需求 (或兩者) 已經增強為指出無法透過一般的通訊協定在何處進行驗證。
    5. 符號名稱:

      LmCompatibilityLevel
    6. 登錄路徑:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
    7. 相容性問題的範例
      • Windows Server 2003:Windows Server 2003 NTLMv2 預設為啟用「傳送 NTLM 回應」設定。因此,當您初次安裝後嘗試連線到 Windows NT 4.0 叢集或 LanManager V2.1 伺服器 (如 OS/2 Lanserver) 時,Windows Server 2003 會出現「拒絕存取」錯誤訊息。如果您嘗試從舊版用戶端連線到 Windows Server 2003 伺服器,也會發生這個問題。
      • 您安裝了 Windows 2000 安全性更新彙總套件 1 (SRP1)。SRP1 強制使用 NTLM 第 2 版 (NTLMv2)。此彙總套件是在 Windows 2000 Service Pack 2 (SP2) 發行之後才發行的。如需有關 SRP1 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:

        311401 Windows 2000 安全彙總套件 1,2002 年 1 月 1 日 (機器翻譯)
      • Windows 7 和 Windows Server 2008 R2:許多協力廠商的 CIFS 伺服器 (例如 Novell Netware 6) 都不認得 NTLMv2,而且僅使用 NTLM。因此,高於層級 2,就不允許連線。現在,在此作業系統版本中,LmCompatibilityLevel 的預設值已變更為「3」。因此當您升級 Windows 時,這些協力廠商篩選器可能會停止運作。
      • Microsoft Outlook 用戶端即使已登入網域,可能仍會提示您輸入憑證。使用者提供憑證後卻出現下列錯誤訊息:Windows 7 和 Windows Server 2008 R2
        The logon credentials supplied were incorrect.Make sure your username and domain are correct, then type your password again. (提供的憑證不正確。請確定您的使用者名稱和網域是否正確,然後再輸入密碼)
        即使您將「登入網路安全性」設定為「Passthrough 驗證」或「密碼驗證」,啟動 Outlook 時,系統可能仍會提示您輸入憑證。當您輸入正確的憑證後,可能出現下列錯誤訊息:
        The login credentials supplied were incorrect. (提供的憑證不正確)
        網路監視器追蹤記錄可能顯示通用類別目錄所發出的遠端程序呼叫 (RPC) 錯誤,狀態碼為 0x5。狀態碼 0x5 表示「拒絕存取」。
      • Windows 2000:網路監視器擷取可能顯示 NetBIOS over TCP/IP (NetBT) 伺服器訊息區 (SMB) 工作階段發生下列錯誤:
        SMB R Search Directory Dos error, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Invalid user identifier (SMB R Search Directory Dos 錯誤,(5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) 無效的使用者識別元)
      • Windows 2000:如果具有 NTLMv2 Level 2 的 Windows 2000 網域或更新版本受到 Windows NT 4.0 網域所信任,則資源網域中的 Windows 2000 成員電腦可能會發生驗證錯誤。

        如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
        305379具有 NTLM Level 2 (含) 以上的 Windows 2000 在 Windows NT 4.0 網域中的驗證問題 (機器翻譯)
      • Windows 2000 及 Windows XP:根據預設,Windows 2000 及 Windows XP 將「LAN Manager 驗證層級 - 本機安全性原則」選項設成 0。設定值 0 表示「傳送 LM 和 NTLM 回應」。

        注意 Windows NT 4.0 叢集必須使用 LM 進行管理。
      • Windows 2000:如果兩個節點均屬於 Windows NT 4.0 Service Pack 6a (SP6a) 網域的一部分,則 Windows 2000 叢集不會驗證加入的節點。

        如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
        305379具有 NTLM Level 2 (含) 以上的 Windows 2000 在 Windows NT 4.0 網域中的驗證問題 (機器翻譯)
      • IIS 鎖定工具 (HiSecWeb) 將 LMCompatibilityLevel 值設定為 5,並將 RestrictAnonymous 值設定為 2。
      • 供 Macintosh 使用的服務

        使用者驗證模組 (UAM): Microsoft UAM (使用者驗證模組) 提供一種方法,將您用來登入 Windows AFP (AppleTalk Filing Protocol) 伺服器的密碼加密。Apple 使用者驗證模組 (UAM) 則僅提供最低程度的加密,甚至沒有加密。因此,您在區域網路或網際網路上傳送的密碼很容易被攔截。雖然 UAM 並非必要元件,卻為執行 Services For Macintosh 的 Windows 2000 伺服器提供了加密驗證。目前的版本支援 NTLMv2 128 位元加密驗證,並且包含 MacOS X 10.1 相容版本。

        根據預設,Windows Server 2003 Services for Macintosh 伺服器只允許 Microsoft 驗證。

        如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
        834498Macintosh 用戶端無法連線到 Services for Mac 在 Windows Server 2003 (機器翻譯)
        838331 Mac OS X 使用者無法開啟 Windows Server 2003 伺服器上的 Macintosh 共用資料夾 (機器翻譯)
      • Windows Server 2008、Windows Server 2003、Windows XP 和 Windows 2000: 如果您將 LMCompatibilityLevel 值設為 0 或 1,然後將 NoLMHash 值設為 1,應用程式和元件可能會拒絕透過 NTLM 的存取。這個問題發生的原因,是因為電腦是設定為啟用 LM,而不是去使用 LM 儲存的密碼。

        如果您將 NoLMHash 值設為 1,則必須將 LMCompatibilityLevel 值設定為 2 或以上。
  11. 網路安全性:LDAP 用戶端簽章的需求
    1. 背景

      [網路安全性:LDAP 用戶端簽章要求] 設定會判斷要求代表用戶端依照下列設定,發出「輕量型目錄存取協定」(LDAP) BIND 要求的資料簽章等級:
      • :LDAP BIND 要求會以呼叫者指定的選項發出。
      • 交涉簽章:如果尚未啟動 Secure Sockets Layer/Transport Layer Security (SSL/TLS),就會使用所設定的 LDAP 資料簽章選項及呼叫者指定的選項,來啟動 LDAP BIND 要求。如果已經啟動 SSL/TLS,就會使用呼叫者指定的選項,來啟動 LDAP BIND 要求。
      • 要求簽章:此選項與 [交涉簽章] 相同。然而,如果 LDAP 伺服器的中繼 saslBindInProgress 回應沒有表示需要 LDAP 傳輸簽章,就會告知呼叫者,LDAP BIND 命令要求失敗。
    2. 風險設定

      啟用 [網路安全性:LDAP 用戶端簽章要求] 設定是有害的組態設定。如果您設定伺服器需要 LDAP 簽章,也必須在用戶端上設定 LDAP 簽章。未設定用戶端使用 LDAP 簽章,可以避免與伺服器通訊。這會造成使用者驗證、群組原則設定、登入指令檔及其他功能無法運作。
    3. 修改此設定的原因

      當侵入者在用戶端及伺服器之間擷取封包、修改封包,並將封包轉送到伺服器時,未簽章的網路傳輸很容易遭到攔截式攻擊。當 LDAP 伺服器上發生這種情形時,攻擊者可能會使伺服器根據從 LDAP 用戶端傳來的錯誤查詢,發出回應。在企業的網路中,您可以藉由實作增強式的安全性措施,來保護網路基礎架構,以降低風險。此外,您可以利用 IPSec 驗證標頭,要求網路封包上必須具備數位簽章,如此,更可以避免遭受所有種類的攔截式攻擊。
    4. 符號名稱:

      LDAPClientIntegrity
    5. 登錄路徑:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
  12. 事件日誌:安全性記錄檔大小最大值
    1. 背景

      [事件記錄檔:安全性記錄檔大小最大值] 安全性設定會指定安全性事件記錄檔的最大大小。記錄檔的最大大小為 4 GB。如果要找出此設定,請展開 [Windows 設定],再展開 [安全性設定]
    2. 風險設定

      下列為有害的組態設定:
      • 啟用 [稽核:當無法記錄安全性稽核時,系統立即關機] 設定時,限制安全性記錄檔的大小,以及安全性記錄檔的保留方式。請參閱本文中的<稽核:當無法記錄安全性稽核時,系統立即關機>一節,以獲得詳細資訊。
      • 限制安全性記錄檔的大小,如此,就會覆寫感興趣的安全性事件。
    3. 增加此設定的原因

      基於商務及安全性的需求,促使您增加安全性記錄檔的大小,以便處理其他安全性記錄檔的詳細資料,或是將安全性記錄檔保留更長的時間。
    4. 降低此設定的原因

      事件檢視器中的記錄檔屬於記憶體對應檔。事件記錄檔的最大大小會受到本機電腦中實體記憶體數量,以及事件記錄檔處理程序可用虛擬記憶體數量的限制。將記錄檔的大小增加超過事件檢視器可用虛擬記憶體的數量,並不能增加所維護的記錄項目數量。
    5. 相容性問題的範例

      Windows 2000:如有開啟 [不要覆寫事件 (以手動方式清除記錄)] 選項,則執行 Windows 2000 Service Pack 4 (SP4) 以前版本的電腦,可能會在事件檢視器中 [最大記錄大小] 設定所指定的大小達到上限之前,停止記錄事件。

      如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
      312571事件記錄檔在到達最大記錄檔大小之前會先停止記錄事件 (機器翻譯)
  13. 事件日誌:安全性記錄保留
    1. 背景

      [事件日誌:安全性記錄保留] 安全性設定會決定安全性記錄檔案的保存方式。如果要找出此設定,請展開 [Windows 設定],再展開 [安全性設定]
    2. 風險設定

      下列為有害的組態設定:
      • 無法在所有記錄的安全性事件被覆寫之前加以保留
      • [安全性記錄檔大小最大值] 設定得太小,使得安全性事件被覆寫。
      • 啟用 [稽核:當無法記錄安全性稽核時,系統立即關機] 安全性設定時,限制安全性記錄檔的大小及保留方式。
    3. 啟用此設定的原因

      您只有在選取 [依天數覆寫] 的保留方式時,才可啟用此設定。如果您使用輪詢事件的事件相互關聯系統,請確認天數至少是輪詢頻率的三倍。請進行這項設定以允許失敗的輪詢週期。
  14. [網路存取:讓 Everyone 權限套用到匿名使用者
    1. 背景

      根據預設,[網路存取:讓 Everyone 權限套用到匿名使用者] 選項在 Windows Server 2003 上是設定為 [尚未定義],而 Windows Server 2003 並未將「匿名存取」權杖納入 Everyone 群組中。
    2. 相容性問題的範例

      如果 Windows Server 2003 網域是帳戶網域且 Windows NT 4.0 網域是資源網域,則下列
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
      [REG_DWORD]=0x0 的值將會中斷 Windows Server 2003 和 Windows NT 4.0 之間信任關係的建立。這表示帳戶網域是 Windows NT 4.0 這一邊的「受信任端」,資源網域則是 Windows Server 2003 這一邊的「信任端」。會發生這種情形,是因為當 Windows NT 4.0 將初次的匿名連線連同含有匿名 SID 的 Everyone 權杖一併列入存取控制清單中之後,處理程序隨即起始信任關係。
    3. 修改此設定的原因

      此值必須設定為 0x1,或使用網域控制站的 OU 中的 GPO 將其設定為:[網路存取:讓 Everyone 權限套用到匿名使用者 - 已啟用] 使信任關係得以建立。

      注意 其餘大部分的安全性設定均應設為更高的值而非降至 0x0,以維持最安全的狀態。更安全的作法是修改網域主控站模擬器的登錄,而不要修改所有網域控制站的登錄。如果因為任何原因,遷移了網域主控站模擬器角色,新伺服器也必須隨之更新登錄。

      設定此值之後需要重新啟動。
    4. 登錄路徑
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
  15. NTLMv2 驗證

    1. 工作階段安全性

      工作階段安全性決定了用戶端與伺服器工作階段的最低安全標準。您最好檢查一下 Microsoft Management Console「群組原則編輯器」嵌入式管理單元中的下列安全性原則設定:
      • 電腦設定\Windows 設定\安全性設定\本機原則\安全性選項
      • 網路安全性:NTLM SSP 為主的 (包含安全 RPC) 伺服器的最小工作階段安全性
      • 網路安全性:NTLM SSP 為主的 (包含安全 RPC) 用戶端的最小工作階段安全性
      這些設定的選項如下:
      • 要求訊息完整性
      • 要求訊息機密性
      • 要求 NTLMv2 工作階段安全性
      • 要求 128 位元加密
      Windows 7 之前的預設設定為 [無需求]。從 Windows 7 開始,預設值會變更為 [需要 128 位元加密] 以改善安全性。如果使用此預設值,不支援 128 位元加密的舊版裝置將無法連接。

      對用戶端而言,這些原則決定了伺服器上,應用程式對應用程式之通訊工作階段的最低安全標準。

      Windows NT 的網路登入通常會支援下列兩種挑戰/回應驗證:
      • LM 挑戰/回應
      • NTLM 第 1 版挑戰/回應
      LM 讓基礎設置的用戶端與伺服器得以相互操作。NTLM 為用戶端與伺服器之間的連線提供改善的安全性。

      對應的登錄機碼如下:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"
    2. 風險設定

      此設定可控制使用 NTLM 保護網路工作階段的處理方式。例如,這會影響使用 NTLM 進行驗證的 RPC 工作階段。產生的風險如下所示:
      • 未簽章的通訊 (完整性) 可能會讓通訊的連線遭到修改。
      • 未加密的通訊 (機密性) 可能會讓通訊的連線遭到監控。
      • 使用比 NTLMv2 更舊的驗證方法,會使得通訊因為使用更簡單的雜湊方法而更容易遭到攻擊。
      • 使用低於 128 位元的加密金鑰,可以讓攻擊者使用暴力密碼破解攻擊中斷通訊。

時間同步

時間同步失敗。受影響的電腦其時間相差了 30 分鐘以上。請確定用戶端的電腦時鐘是否與網域控制站的時鐘同步。

SMB 簽章的解決方法

按一下這裡以取得有關如何解決 SMB 簽章問題資訊
在 Windows Server 2003 網域內,建議您為相互操作的 Windows NT 4.0 用戶端安裝 Service Pack 6a (SP6a)。Windows 98 Second Edition、Windows 98 和 Windows 95 用戶端必須執行 Directory Services Client,才能執行 NTLMv2。如果 Windows NT 4.0 用戶端未安裝 Windows NT 4.0 SP6,或者 Windows 95、Windows 98 或 Windows 98SE 用戶端未安裝 Directory Services Client,您就可以在網域控制站的 OU 中,將預設網域控制站的原則設定改為停用 SMB 簽章,然後將此原則連結到裝載網域控制站的所有 OU。

Windows 98 Second Edition、Windows 98 與 Windows 95 的 Directory Services Client 將會依照 NTLM 驗證下搭配 Windows 2003 伺服器執行 SMB 簽章,而不是 NTLMv2 驗證。此外,Windows 2000 伺服器並不會回應這些用戶端提出的 SMB 簽章要求。

儘管我們並不建議,您仍然可將網域內所有執行 Windows Server 2003 的網域控制站設定為拒絕接受 SMB 簽章要求。如果要進行這項安全性設定,請依照下列步驟執行:
  1. 開啟預設網域控制站的原則。
  2. 開啟 [電腦組態\Windows 設定\安全性設定\本機原則\安全性選項] 資料夾。
  3. 找出並按一下 [Microsoft 網路伺服器:數位簽章伺服器的通訊 (自動)] 原則設定,然後按一下 [已停用]
重要 這個章節、方法或工作包含修改登錄的步驟。然而,如果您不當修改登錄,可能會發生嚴重的問題。因此,請務必小心執行這些步驟。為加強保護,修改登錄之前請務必先備份。如果發生問題,您就可以還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322756 如何在 Windows XP 中備份及還原登錄
或者,您也可以修改登錄以關閉伺服器的 SMB 簽章。如果要執行這項操作,請依照下列步驟執行:
  1. 按一下 [開始],再按一下 [執行],輸入 regedit,然後按一下 [確定]
  2. 找出並按一下下列子機碼:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters
  3. 按一下 [enablesecuritysignature] 項目。
  4. 按一下 [編輯] 功能表上的 [修改]
  5. [數值資料] 方塊中,輸入 0,然後按一下 [確定]
  6. 結束登錄編輯程式。
  7. 重新啟動電腦,或先停止 Server 服務,然後再重新啟動。如果要執行這項操作,請在命令提示字元輸入下列命令,並在每一個命令之後按 Enter:
    net stop server
    net start server
注意 用戶端電腦上的對應機碼位於下列登錄子機碼中:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters
前面所提到的錯誤訊息文字是由下列錯誤碼數字和狀態碼逐字轉譯而來:
錯誤 5
ERROR_ACCESS_DENIED
拒絕被拒。
錯誤 1326
ERROR_LOGON_FAILURE
登入失敗:使用者名稱不明或密碼錯誤。
錯誤 1788
ERROR_TRUSTED_DOMAIN_FAILURE
主要網域和受信任網域間的信任關係失敗。
error 1789
ERROR_TRUSTED_RELATIONSHIP_FAILURE
此工作站和主要網域間的信任關係失敗。
如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
324802如何設定要為在 Windows Server 2003 系統服務設定安全性群組原則 (機器翻譯)
306771 在您設定 Windows Server 2003 叢集 「 拒絕存取 」 錯誤訊息 (機器翻譯)
101747 如何在 Macintosh 上安裝 Microsoft 驗證 (機器翻譯)
161372 如何啟用 SMB 簽章在 Windows NT (機器翻譯)
236414 無法使用共用與 LMCompatibilityLevel 設定為只 NTLM 2 驗證 (機器翻譯)
241338 第一次登入 Windows NT LAN Manager 版本 3 用戶端可防止後續登入活動 (機器翻譯)
262890 無法取得在混合環境中的主目錄磁碟機連線 (機器翻譯)
308580 在登入時主資料夾對應到舊版伺服器可能無法運作 (機器翻譯)
285901 遠端存取、VPN 和 RIS 用戶端無法建立與伺服器設定為只接受 NTLM 第 2 版驗證工作階段 (機器翻譯)
816585 如何套用 Windows Server 2003 中預先定義的安全性範本 (機器翻譯)
820281 當您使用 Outlook 2003 RPC over HTTP 功能可以連接到 Exchange Server 2003 時您必須提供 Windows 帳戶認證 (機器翻譯)
user right security setting compat compatibility registry secure group policy acl rights gpedit pdce
內容

文章識別碼:823659 - 最後檢閱時間:05/07/2014 16:47:00 - 修訂: 23.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Workstation 4.0 Developer Edition, Microsoft Windows 98 Standard Edition, Microsoft Windows 95

  • kbinfo KB823659
意見反應