 |
|
茫茫網海中的冷日
發生過的事,不可能遺忘,只是想不起來而已! |
|
|
恭喜您是本站第 1671176
位訪客!
登入 | 註冊
|
|
|
|
| 發表者 |
討論內容 |
冷日
(冷日) |
發表時間:2004/9/11 17:50 |
- Webmaster
- 註冊日: 2008/2/19
- 來自:
- 發表數: 15771
|
- [分享]當您修改安全性設定和使用者權限指派時,可能會發生用戶端、服務和程式不相容的情形
- 當您修改安全性設定和使用者權限指派時,可能會發生用戶端、服務和程式不相容的情形
本文將告訴您,當您在 Windows NT 4.0 網域、Windows 2000 網域及 Windows Server 2003 網域中修改特定的安全性設定和使用者權限指派時,執行 Microsoft Windows 95、Microsoft Windows 98、Microsoft Windows NT 4.0、Microsoft Windows 2000、Microsoft Windows XP Professional 或 Microsoft Windows Server 2003 的用戶端電腦上可能出現的不相容情形。 您可以設定本機原則及群組原則中的這些設定和指派,以加強網域控制站和成員電腦上的安全性。增強的安全性會帶來與用戶端、服務和程式不相容的負面影響。
本文包含有關受到特定安全性設定或使用者權限指派影響的用戶端、程式及操作的範本。 然而,並非所有受影響的 Microsoft 作業系統、協力廠商作業系統或程式版本都能管理這些範本。 本文未包含所有的安全性設定及使用者權限指派。
Microsoft 建議您,先在測試樹系中驗證所有安全性相關設定變更的相容性,再套用在實際生產環境中。測試樹系必須依照下列方式對映實際的樹系:
用戶端和伺服器作業系統版本、用戶端和伺服器程式、Service Pack 版本、結構描述變更、安全性群組、群組成員資格,以及檔案系統、共用資料夾、登錄、Active Directory 目錄服務的物件權限、本機和群組原則設定,及物件計數類型和位置
執行的系統管理工作、使用的系統管理工具,以及用來執行系統管理工作的作業系統
所執行的操作,其中包括電腦和使用者登入驗證;使用者、電腦及系統管理員的密碼重設;瀏覽,以及使用 ACL 編輯器,從所有帳戶或資料中所有用戶端作業系統的所有帳戶或資源網域中,在所有用戶端作業系統中設定檔案系統、共用資料夾、登錄及 Active Directory 資源的權限;從系統管理及非系統管理帳戶執行列印其他相關資訊
下列章節將告訴您,當您修改 Windows NT 4.0 網域、Windows 2000 網域 和 Windows Server 2003 網域中的特定設定時,可能發生的不相容情形。使用者權限
從網路存取這台電腦背景
如果要與遠端 Windows 電腦互動,必須具備 [從網路存取這台電腦] 使用者權限。這類網路操作的範例包含了在一般網域或樹系的網域控制站之間複寫 Active Directory、驗證從使用者和電腦傳送到網域控制站的要求,以及存取位於網路遠端電腦上的共用資料夾、印表機和其他系統服務。
藉由明確地或暗中從已經授與 [從網路存取這台電腦] 使用者權限的安全性群組,新增或移除此使用者權限,如此,使用者、電腦和服務帳戶就會授與或失去此使用者權限。 例如,使用者帳戶或電腦帳戶可能是由系統管理員明確地新增至自訂或內建的安全性群組,或是由作業系統暗中新增到運算安全性群組,例如「網域使用者」、「已驗證的使用者」或「企業網域控制站」。
依照預設,當預設網域控制站的群組原則物件 (GPO) 已經定義運算群組 (例如「所有人」,更可能是「已驗證的使用者」,若是網域控制站,則為「企業網域控制站」) 時,就會授與使用者帳戶和電腦帳戶 [從網路存取這台電腦] 的使用者權限。風險設定
下列為有風險的設定:
將「企業網域控制站」安全性群組從這個使用者權限移除
移除「已驗證的使用者」,或是移除允許使用者、電腦和服務帳戶使用者權限透過網路連接至電腦的明確群組
將所有使用者和電腦從這個使用者權限移除
授與此使用者權限的原因
授與「企業網域控制站」群組 [從網路存取這台電腦] 的使用者權限,能夠達到 Active Directory 在相同樹系的網域控制站之間進行複寫時必須符合的驗證需求。
此使用者權限允許使用者和電腦存取共用檔案、印表機及系統服務,包括 Active Directory。
使用較舊版本 Microsoft Outlook Web Access (OWA) 的使用者必須具有此使用者權限,才能存取郵件。
移除此使用者權限的原因
能夠將電腦連接至網路的使用者,可以存取遠端電腦上所擁有權限的資源。 例如,使用者必須具有此使用者權限,才能連接至共用印表機和資料夾。如果此使用者權限授與給「所有人」群組,並且某些共用資料夾已經設定為具有共用和 NTFS 檔案系統權限,如此,相同群組都會擁有讀取存取權,任何人都可以檢閱那些共用資料夾中的檔案。然而,這種情況不太可能發生在全新的 Windows Server 2003 安裝上,因為 Windows Server 2003 中預設的共用和 NTFS 使用權限並未包含「所有人」群組。如果是從 Microsoft Windows NT 4.0 或 Windows 2000 升級的系統,就很可能出現這個弱點,因為這些作業系統的預設共用和檔案系統使用權限不像 Windows Server 2003 中的預設使用權限一樣受到限制。
沒有任何有力的原因,支持從這個使用者權限移除「企業網域控制站」。
通常會移除「所有人」群組,以支持「已驗證的使用者」群組。 如果移除了「所有人」群組,就必須將此使用者權限授與「已驗證的使用者」群組。
升級至 Windows 2000 的 Windows NT 4.0 網域不會明確地授與「所有人」、「已驗證的使用者」或「企業網域控制站」群組 [從網路存取這台電腦] 的使用者權限。因此,當您從 Windows NT 4.0 網域原則移除「所有人」群組時,在升級至 Windows 2000 之後,Active Directory 複寫將會失敗,並且出現「拒絕存取」錯誤訊息。當您升級 Windows NT 4.0 網域主控制站 (PDC) 時,Windows Server 2003 中的 Winnt32.exe 會藉由授與「企業網域控制站」群組這個使用者權限,以避免發生此錯誤設定。 如果「群組原則物件編輯器」中沒有此使用者權限,請授與「企業網域控制站」群組這個使用者權限。
相容性問題的範例
Windows 2000 和 Windows Server 2003: 如同監視工具 (例如,REPLMON 和 REPADMIN 或事件日誌中的複寫事件) 所報告,複寫 Active Directory 架構、設定、網域、通用類別目錄、應用程式磁碟分割將會失敗,並出現「拒絕存取」錯誤。
所有 Microsoft 網路作業系統: 遠端網路用戶端電腦中的使用者帳戶驗證將會失敗,除非已經將此使用者權限授與使用者所隸屬的使用者或安全性群組。
所有 Microsoft 網路作業系統: 遠端網路用戶端中的帳戶驗證將會失敗,除非已經將此使用者權限授與帳戶所隸屬的帳戶或安全性群組。 此情形會發生在使用者帳戶、電腦帳戶和服務帳戶。
所有 Microsoft 網路作業系統: 從這個使用者權限移除所有帳戶,將可以防止任何帳戶登入網域或存取網路資源。如果移除了運算群組 (例如「企業網域控制站」、「所有人」或「已驗證的使用者」),您必須明確地將此使用者權限授與帳戶所隸屬的帳戶或安全性群組,才能透過網路存取遠端電腦。 此情形會發生在所有的使用者帳戶、電腦帳戶和服務帳戶。允許本機登入背景
嘗試登入 Microsoft Windows 電腦主控台的使用者 (方法是使用 CTRL+ALT+DELETE 登入按鍵順序) 及嘗試啟動服務的帳戶,必須具有主控電腦上的本機登入特殊權限。 本機登入作業的範例,包括了登入成員電腦主控台的系統管理員,或整個企業的網域控制站,以及使用非特殊權限帳戶登入成員電腦以存取成員電腦桌面的網域使用者。 使用「遠端桌面」連線或終端機服務的使用者,必須具有執行 Windows 2000 或 Windows XP 目的電腦上的 [允許本機登入] 使用者權限,因為這些登入模式會被視為是本機登入主控的電腦。登入已啟用終端機伺服器的伺服器且沒有此使用者權限的使用者,如果具有 [允許透過終端機服務登入] 使用者權限,還是可以在 Windows Server 2003 網域中啟動遠端互動工作階段。風險設定
下列為有風險的設定:
從預設的網域控制站原則移除系統管理安全性群組,其中包括帳戶操作員、備份操作員、列印操作員或伺服器操作員,以及內建的系統管理員群組。
從預設的網域控制站原則移除網域中成員電腦和網域控制站上,元件及程式所使用的服務帳戶。
移除網域中登入成員電腦主控台的使用者或安全性群組。
移除成員電腦或工作群組電腦的本機安全性帳戶管理員 (SAM) 資料庫中所定義的服務帳戶。
移除非內建的系統管理帳戶,此帳戶透過在網域控制站上執行的終端機服務進行驗證。
明確地將所有使用者帳戶新增至網域中,或是暗中透過「所有人」群組新增至 [拒絕本機登入] 的登入權限。此設定可以防止使用者登入任何成員電腦或網域中的任何網域控制站。
授與此使用者權限的原因
使用者必須擁有 [允許本機登入] 使用者權限,才能存取工作群組電腦、成員電腦或網域控制站的主控台或桌面。
使用者必須擁有此使用者權限,才能透過在 Window 2000 成員電腦或網域控制站上執行的終端機服務工作階段進行登入。
移除此使用者權限的原因
無法限制主控台存取合法使用者帳戶,可能會造成未經授權的使用者下載並執行惡意程式碼,進而變更這些使用者的使用者權限。
移除 [允許本機登入] 使用者權限,可以避免未經授權登入電腦的主控台,例如網域控制站或應用程式伺服器。
移除此登入權限,可以避免非網域帳戶登入網域中成員電腦的主控台。
相容性問題的範例
Windows 2000 終端機伺服器: 登入 Windows 2000 終端機伺服器的使用者必須具備 [允許本機登入] 使用者權限。
Windows NT 4.0、Windows 2000、Windows XP 或 Windows Server 2003: 必須將此使用者權限授與使用者帳戶,以登入執行 Windows NT 4.0、Windows 2000、Windows XP 或 Windows Server 2003 的電腦主控台。
Windows NT 4.0 和更新的版本: 在執行 Windows NT 4.0 和更新版本的電腦上,如果您新增了 [允許本機登入] 使用者權限,但是也暗中或明確地授與 [拒絕本機登入] 的登入權限,則帳戶將無法登入網域控制站的主控台。略過周遊檢查背景
[略過周遊檢查] 使用者權限允許使用者瀏覽 NTFS 檔案系統或登錄中的資料夾,而不用檢查 [周遊資料夾] 特殊存取權限。[略過周遊檢查] 使用者權限不允許使用者列出資料夾的內容,只允許使用者周遊資料夾。風險設定
下列為有風險的設定:
移除登入 Windows 2000 或 Windows Server 2003 Terminal Services 電腦且缺少可以存取檔案系統中檔案和資料夾的使用權限的非系統管理帳戶。
從預設具有此使用者權限的安全性原則清單移除「所有人」群組。Windows 作業系統和許多程式所設計具有的預設行為,就是可以合法存取電腦的任何人將具有 [略過周遊檢查] 使用者權限。因此,從預設具有此使用者權限的安全性原則清單移除「所有人」群組,可能會導致作業系統不穩定,或者程式失敗。 最好將此設定保留為預設值。
授與此使用者權限的原因
[略過周遊檢查] 使用者權限的預設設定可以允許任何人略過周遊檢查。對經驗豐富的 Windows 系統管理員而言,這是所期望的行為,並且系統管理員會依此設定檔案系統存取控制清單 (SACL)。 要是設定使用權限的系統管理員不瞭解情況,並且期望無法存取父資料夾的使用者將無法存取任何子資料夾中的內容,這是預設設定可能導致嚴重災難的唯一案例。
移除此使用者權限的原因
非常重視安全性的組織可以移除「所有人」群組,或者甚至移除「使用者」群組、從具有[略過周遊檢查] 使用者權限的群組清單嘗試防止存取檔案系統中的檔案或資料夾。
相容性問題的範例
Windows 2000、Windows Server 2003: 如果移除或錯誤設定 Windows 2000 或 Windows Server 2003 電腦上的 [略過周遊檢查] 使用者權限,SYVOL 資料夾中的群組原則設定將無法在網域的網域控制站之間進行複寫。
Windows 2000、Windows XP Professional (商用版)、Windows Server 2003: 執行 Windows 2000、Windows XP Professional (商用版) 或 Windows Server 2003 的電腦將會記錄事件 1000 和 1202,並且如果移除或錯誤設定 [略過周遊檢查] 使用者權限,則在 SYSVOL 樹狀目錄中的必要檔案系統權限被移除之後,電腦將無法套用電腦原則和使用者原則。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
290647 Event ID 1000, 1001 is logged every five minutes in the application event log
Windows 2000、Windows Server 2003: 在執行 Windows 2000 或 Windows Server 2003 的電腦上,當您檢視磁碟區上的內容時,Windows 檔案總管中的 [配額] 索引標籤將會消失。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
316781 The Quota tab in the Volume Properties dialog box does not appear
Windows 2000: 登入 Windows 2000 終端機伺服器的非系統管理員可能會收到下列錯誤訊息:
Userinit.exe 應用程式錯誤。應用程式正常初始 0xc0000142 失敗。請按一下 [確定] 終止應用程式。
如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
272142 Users are automatically logged off when attempting to log on to Terminal Services
Windows NT 4.0、Windows 2000、Windows XP、Windows Server 2003:電腦是執行 Windows NT 4.0、Windows 2000、Windows XP 或 Windows Server 2003 的使用者可能無法存取共用資料夾或其中的檔案,並且如果未授與使用者 [略過周遊檢查] 使用者權限,則使用者可能會收到「拒絕存取」錯誤訊息。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
277644 "Access Denied" error message when users try to access shared folders
Windows NT 4.0: 在 Windows NT 4.0 電腦上,移除 [略過周遊檢查] 使用者權限會造成檔案副本卸除檔案資料流。如果移除了這個使用者權限,當您從 Windows 用戶端或 Macintosh 用戶端將檔案複製到執行 Services for Macintosh 的 Windows NT 4.0 網域控制站時,就會遺失目的檔案資料流,並且檔案看起來就像是純文字檔案。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
172930 Removal of "Bypass Traverse Checking" causes file copy to drop streams
Microsoft Windows 95、Microsoft Windows 98:在執行 Windows 95 或 Windows 98 的用戶端電腦上,如果沒有授與「已驗證的使用者」群組 [略過周遊檢查] 使用者權限,則 net use * /home 命令將會失敗,並且出現「拒絕存取」錯誤訊息。
Outlook Web Access: 如果未授與非系統管理員 [略過周遊檢查] 使用者權限,非系統管理員將無法登入 Microsoft Outlook Web Access,並且會收到出現「拒絕存取」錯誤訊息。 安全性設定
稽核:當無法記錄安全性稽核時,系統立即關機背景
[稽核:當無法記錄安全性稽核時,系統立即關機] 設定會判定當您無法記錄安全性事件時,是否要關閉系統。當稽核系統無法記錄可稽核的事件時,「安全電腦系統評估準則」(TCSEC) 程式的 C2 評估及「資訊分享安全評估的一般準則」必須使用此設定,以避免記錄那些事件。如果稽核系統失敗了,系統就會關閉,並且出現「停止」錯誤訊息。
如果電腦無法將事件記錄在安全性記錄檔,在發生安全性事件之後,就不能檢閱關鍵證據或重要的疑難排解資訊。 風險設定
下列為有風險的設定:[稽核:當無法記錄安全性稽核時,系統立即關機] 設定是開啟的,並且安全性事件記錄檔的大小受到事件檢視器中 [不要覆寫事件 (以手動方式清除記錄)] 選項、[視需要覆寫事件] 選項或 [覆寫 number 天前發生的事件] 選項的限制。如需有關執行 Windows 2000 原始發行版本、Windows 2000 Service Pack 1 (SP1)、Windows 2000 SP2 或 Windows 2000 SP3 的電腦上特定風險的資訊,請參閱<相容性問題的範例>一節。
啟用此設定的原因
如果電腦無法將事件記錄在安全性記錄檔,在發生安全性事件之後,就不能檢閱關鍵證據或重要的疑難排解資訊。
停用此設定的原因
如果啟用 [稽核:當無法記錄安全性稽核時,系統立即關機] 設定,在因為任何原因而無法記錄安全性稽核時,此設定就會停止系統。一般而言,當安全性稽核記錄檔已滿,以及特定的保留方式是設定為 [不要覆寫事件 (以手動方式清除記錄)] 選項或 [覆寫 number 天前發生的事件] 選項時,就無法記錄安全性稽核。
啟用 [稽核:當無法記錄安全性稽核時,系統立即關機] 設定可能會造成系統管理上很大的負擔,特別是如果您也開啟了安全性記錄檔的 [不要覆寫事件 (以手動方式清除記錄)] 選項。這個設定提供操作員動作的個別責任。例如,系統管理員可能會使用內建的系統管理員帳戶或其他共用的帳戶,在已啟用稽核的組織單元 (OU) 中重新設定所有使用者、電腦和群組上的使用權限,再拒絕他們重新設定這類使用權限。 然而,由於伺服器可能會因為安全性記錄檔所寫入的登入事件和其他安全性事件而被迫必須關閉,因此,啟用設定確實會削落系統的穩固性。 此外,因為無法適切地關閉伺服器,所以可能會對作業系統、程式或資料造成無法修補的損壞。儘管 NTFS 保證在急切關閉系統的期間會維護檔案系統的完整性,但是 NTFS 無法保證在系統重新啟動時所有程式的每個資料檔案都還可以使用。
符號名稱:CrashOnAuditFail登錄路徑:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaCrashOnAuditFail (Reg_DWORD)
相容性問題的範例
Windows 2000: 由於電腦中的錯誤,所以執行 Windows 2000 原始發行版本、Windows 2000 SP1、Windows 2000 SP2 或 Windows 2000 SP3 的電腦,可能會在安全性事件記錄檔中 [最大記錄檔大小] 選項所指定的大小達到上限之前,停止記錄事件。這個錯誤已經在 Windows 2000 Service Pack 4 (SP4) 中獲得修正。在您考慮啟用這個設定之前,請先確認您的 Windows 2000 網域控制站已經安裝了 Windows 2000 Service Pack 4。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
312571 The event log stops logging events before reaching the maximum log size
Windows 2000、Windows Server 2003:如果啟用 [稽核:當無法記錄安全性稽核時,系統立即關機] 設定、安全性記錄檔已經滿了,並且無法覆寫現有的事件記錄檔項目,那麼執行 Windows 2000 或 Windows Server 2003 的電腦會停止回應,然後自行重新啟動。電腦重新啟動時,會出現下列「停止」錯誤訊息:
STOP: C0000244 {稽核失敗}
嘗試產生安全性稽核時發生失敗。
如果要進行修復,必須以系統管理員的身分登入,然後封存安全性記錄檔 (選用)、清除安全性記錄檔,再重新設定這個選項 (選用且視需要而定)。
Microsoft Network Client for MS-DOS、Windows 95、Windows 98、Windows NT 4.0、Windows 2000、Windows XP、Windows Server 2003:嘗試登入網域的非系統管理員將會收到下列錯誤訊息:
您帳戶的設定使您無法使用這個電腦。 請嘗試其他電腦。
如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
160783 Error message:Users cannot log on to a workstation
Windows 2000: 在 Windows 2000 電腦上,非系統管理員將無法登入遠端存取伺服器,並且會收到類似下列的錯誤訊息:
未知的使用者或密碼
如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
285665 Error message:Your account is configured to prevent you from using this computer .
Windows 2000: 在 Windows 2000 網域控制站上,站台間訊息服務 (Ismserv.exe) 會停止執行,並且無法重新啟動。 DCDIAG 會將錯誤報告為 failed test services ISMserv (ISMserv 測試服務失敗),並且事件記錄檔中會登錄事件識別碼 1083。
Windows 2000: 在 Windows 2000 網域控制站上,Active Directory 複寫將會失敗,並且如果安全性事件記錄檔已經滿了,就會出現「拒絕存取」訊息。
Microsoft Exchange 2000: 執行 Exchange 2000 的伺服器將無法裝載資訊儲存庫資料庫,並且事件記錄檔中會登錄事件識別碼 2102。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
314294 XADM:Exchange 2000 因為 SeSecurityPrivilege 權限和 Policytest 問題而產生錯誤訊息
Outlook、Outlook Web Access: 非系統管理員將無法透過 Microsoft Outlook 或 Microsoft Outlook Web Access 存取郵件,並且會收到 503 錯誤。
網域控制站:LDAP 伺服器簽章要求背景
[網域控制站:LDAP 伺服器簽章要求] 安全性設定會判斷「輕量型目錄存取協定」(LDAP) 伺服器是否需要 LDAP 用戶端,以交涉資料簽章。此原則設定的可能值如下:
無: 資料簽章不需要與伺服器繫結在一起。如果用戶端需求資料簽章,伺服器會給予支援。
要求簽章: 除非您使用 Transport Layer Security/Secure Socket Layer (TLS/SSL),否則 LDAP 資料簽章選項必須經過交涉。
尚未定義: 並未啟用或停用這個設定。風險設定
下列為有風險的設定:
在用戶端不支援 LDAP 簽章,或是用戶端上未啟用用戶端 LDAP 簽章的環境中啟用 [要求簽章]
在用戶端不支援 LDAP 簽章,或是未啟用用戶端 LDAP 簽章的環境中套用 Windows 2000 或 Windows Server 2003 Hisecdc.inf 安全性範本
在用戶端不支援 LDAP 簽章,或是未啟用用戶端 LDAP 簽章的環境中套用 Windows 2000 或 Windows Server 2003 Hisecws.inf 安全性範本
啟用此設定的原因
當侵入者在用戶端及伺服器之間擷取封包、修改封包,並將封包轉送到伺服器時,未簽章的網路傳輸很容易遭到中間人攻擊。 當 LDAP 伺服器上發生這種情形時,攻擊者可能會使伺服器根據從 LDAP 用戶端傳來的錯誤查詢,做出決策。 在企業的網路中,您可以藉由實作增強式的安全性措施,來保護網路基礎架構,以降低風險。採用網際網路通訊協定安全性 (IPSec) 驗證標頭模式更可以避免遭受中間人攻擊。驗證標頭模式會為 IP 傳輸執行相互驗證及封包完整性。
停用此設定的原因
不支援 LDAP 簽章的用戶端,如果已交涉 NTLM 驗證,而正確的 Service Pack 並未安裝在 Windows 2000 網域控制站上,則將無法對網域控制站和通用類別目錄執行 LDAP 查詢。
用戶端及伺服器之間 LDAP 傳輸的網路追蹤將會被加密,使 LDAP 對話的檢查工作難以執行。
當 Windows 2000 伺服器是由支援 LDAP 簽章且在 Windows 2000 SP4、Windows XP 或 Windows Server 2003 用戶端電腦上執行的程式所管理時,就必須安裝 Windows 2000 Service Pack 3 (SP3) 或更新的版本。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
325465 使用 Windows Server 2003 系統管理工具時,Windows 2000 網域控制站需要 SP3 (含) 以後版本
符號名稱:LDAPServerIntegrity登錄路徑:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNTDSParametersLDAPServerIntegrity (Reg_DWORD)
相容性問題的範例
簡單連結將會失敗,並且您會收到下列錯誤訊息:
Ldap_simple_bind_s() 失敗:需要增強式驗證。
Windows 2000 Service Pack 4、Windows XP、Windows Server 2003: 在執行 Windows 2000 SP4、Windows XP 或 Windows Server 2003 的用戶端上,當 NTLM 驗證已經交涉過時,某些 Active Directory 系統管理工具將無法正確地在執行 Windows 2000 SP3 以前版本的網域控制站上操作。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
325465 使用 Windows Server 2003 系統管理工具時,Windows 2000 網域控制站需要 SP3 (含) 以後版本
Windows 2000 Service Pack 4、Windows XP、Windows Server 2003: 如果執行 Windows 2000 SP4、Windows XP 或 Windows Server 2003 的用戶端使用 IP 位址 (例如 "dsa.msc /server=x.x.x.x",其中 x.x.x.x 是 IP 位址),那麼某些 Active Directory 系統管理工具將無法正確地在執行 Windows 2000 SP3 以前版本的網域控制站上操作。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
325465 使用 Windows Server 2003 系統管理工具時,Windows 2000 網域控制站需要 SP3 (含) 以後版本
Windows 2000 Service Pack 4、Windows XP、Windows Server 2003: 在執行 Windows 2000 SP4、Windows XP 或 Windows Server 2003 的用戶端上,某些 Active Directory 系統管理工具將無法正確地在執行 Windows 2000 SP3 以前版本的網域控制站上操作。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
325465 使用 Windows Server 2003 系統管理工具時,Windows 2000 網域控制站需要 SP3 (含) 以後版本
網域成員:要求增強式 (Windows 2000 或更新) 工作階段索引鍵背景
[網域成員:要求增強式 (Windows 2000 或更新) 工作階段索引鍵] 設定會判斷是否可以與無法使用增強式 128 位元工作階段索引鍵加密安全通道傳輸的網域控制站建立安全通道。 啟用這個設定,就不能與無法使用增強式索引鍵加密安全通道資料的網域控制站建立安全通道。停用此設定,就會允許使用 64 位元工作階段索引鍵。
成員所隸屬的網域中所有的網域控制站必須能夠使用增強式 128 位元索引鍵來加密安全通道資料,您才能啟用成員工作站或伺服器上的這個設定。也就是說,所有的這類網域控制站都必須執行 Windows 2000 或更新版本。 風險設定
啟用 [網域成員:要求增強式 (Windows 2000 或更新) 工作階段索引鍵] 設定是具有風險性的設定。
啟用此設定的原因
Windows 2000 中用來在成員電腦和網域控制站之間建立安全通道通訊的工作階段索引鍵,遠比 Microsoft 作業系統的較舊版本來得強固。
如果可以的話,建議您最好利用這些更強固的工作階段索引鍵,來保護安全通道通訊,以避免遭到竊聽和工作階段劫持的網路攻擊。竊聽是一種惡意的攻擊,此攻擊會使傳輸中的網路資料被讀取或更改。資料可能被修改為隱藏或變更寄件者,或是重新導向。
停用此設定的原因
網域含有不是執行 Windows 2000、Windows XP 或 Windows Server 2003 作業系統的成員電腦。
符號名稱:StrongKey登錄路徑:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParametersRequireStrongKey (Reg_DWORD)
相容性問題的範例
Windows NT 4.0: 在 Windows NT 4.0 電腦上,無法使用 NLTEST 重新設定 Windows NT 4.0 和 Windows 2000 網域之間信任關係的安全通道,並且出現「拒絕存取」錯誤訊息:
主要網域和受信任網域間的信任關係失敗。
網域成員:安全通道資料加以數位加密或簽章 (自動)背景
啟用 [網域成員:安全通道資料加以數位加密或簽章 (自動)],可以避免與無法簽章或加密所有安全通道資料的任何網域控制站建立安全通道。 為了保護驗證傳輸,避免受到中間人攻擊、重送攻擊和其他類型的網路攻擊,Windows 電腦會透過 Net Logon 服務建立通訊通道,也就是安全通道,以驗證電腦帳戶。當一個網域中的使用者連線到遠端網域的網路資源時,也可以使用安全通道。此多重網域驗證或移轉驗證,讓已加入網域的 Windows 電腦可以在自己的網域及任何信任的網域中存取使用者帳戶資料庫。
成員所隸屬的網域中所有的網域控制站必須能夠簽章或加密所有安全通道資料,才能啟用成員電腦上的 [網域成員:安全通道資料加以數位加密或簽章 (自動)] 設定。也就是說,所有的這類網域控制站都必須執行 Windows NT 4.0 Service Pack 6a (SP6a) 或更新的版本。
啟用 [網域成員:安全通道資料加以數位加密或簽章 (自動)] 設定,就會自動地啟用 [網域成員:安全通道資料加以數位加密或簽章 (可能的話)] 設定。風險設定
在不是所有網域控制站都可以簽章或加密安全通道資料的網域中,啟用 [網域成員:安全通道資料加以數位加密或簽章 (自動)] 設定是具有風險性的設定。
啟用此設定的原因
侵入者在伺服器及用戶端之間擷取封包,然後修改封包,再將封包轉送到用戶端的情況中,未簽章的網路傳輸很容易遭到中間人攻擊。當「輕量型目錄存取協定」(LDAP) 伺服器發生這種情形時,侵入者可能會使用戶端根據從 LDAP 目錄傳來的錯誤記錄,做出決策。 在企業的網路中,您可以藉由實作增強式的安全性措施,來保護網路基礎架構,以降低遭到這類攻擊的風險。此外,執行網際網路通訊協定安全性 (IPSec) 驗證標頭模式更可以避免遭受所有種類的中間人攻擊。此模式會為 IP 傳輸執行相互驗證及封包完整性。
停用此設定的原因
本機或外部網域中的電腦確實可以支援加密的安全通道。
網域中不是所有網域控制站都有適當的 Service Pack 版本等級來支援加密的安全通道。
符號名稱:StrongKey登錄路徑:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParametersRequireStrongKey (REG_DWORD)
相容性問題的範例
Windows NT 4.0: Windows 2000 成員電腦將無法加入 Windows NT 4.0 網域,並且會收到下列錯誤訊息:
帳戶沒有權利從這個站進行登入。
如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
281648 Error message:The account is not authorized to login from this station
Windows NT 4.0: Windows NT 4.0 網域將無法與 Windows 2000 網域建立低階信任,並且會收到下列錯誤訊息:
帳戶沒有權利從這個站進行登入。
現有的低階信任可能也無法從信任的網域驗證使用者。 某些使用者可能很難登入網域,並且會收到說明用戶端找不到網域的錯誤訊息。
Windows XP: 加入 Windows NT 4.0 網域的 Windows XP 用戶端將無法驗證登入嘗試,並且會收到下列錯誤訊息,或者事件記錄檔中會登錄下列事件:
Windows 無法連線到網域,可能因為網域控制站已關機、無法使用、或是找不到您的電腦帳戶- 或 -
事件 5723:電腦 ComputerName 中的工作階段設定無法進行驗證。安全性資料庫中所參照的帳戶名稱是ComputerName. 發生下列錯誤:拒絕存取。- 或 -
事件 3227:The session setup to the Windows NT or the Windows 2000 domain controller Server Name for the domain Domain Name failed because Server Name does not support signing or sealing the Netlogon session. Upgrade the domain controller, or set the RequireSignOrSeal registry entry on this computer to 0. (在 Windows NT 或 Windows 2000 網域控制站 Server Name 設定網域 Domain Name 的工作階段失敗。因為 Server Name 不支援簽章或封裝 Netlogon 工作階段。請升級網域控制站,或是將此電腦上的 RequireSignOrSeal 登錄項目設定為 0)。
如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
318266 A Windows XP client cannot log on to a Windows NT 4.0 domain
Microsoft Network: Microsoft Network 用戶端將會收到下列其中一個錯誤訊息:
登入失敗:未知的使用者名稱或密碼。
指定的登入工作階段沒有對應的用戶工作階段索引鍵。
Microsoft 網路用戶端:數位簽章用戶端的通訊 (自動)背景
在高安全性網路中啟用數位簽章,以協助避免模擬用戶端及伺服器。這類模擬稱為工作階段劫持。可以存取與用戶端或伺服器相同網路的攻擊者,會使用工作階段劫持工具來插斷、終止或偷取處理程序中的工作階段。 攻擊者可能會攔截並修改未簽章的 Subnet Bandwidth Manager (SBM) 封包、修改傳輸,然後加以轉送,使伺服器執行不必要的動作。 或者,攻擊者會冒充伺服器或用戶端,在執行合法的驗證之後,以未經授權的方式存取資料。
SMB 是許多 Microsoft 作業系統都支援的資源共用通訊協定。這是網路基本輸入輸出系統 (NetBIOS) 和許多其他通訊協定的基礎。SMB 簽章會驗證使用者及裝載資料的伺服器。 如果其中一個無法通過驗證程序,就無法傳輸資料。
注意 另一個可以保護所有網路傳輸的方法,就是啟用具有 IPSec 的數位簽章。適用於 IPSec 加密及簽章的硬體加速器,可以用來減少來自伺服器 CPU 的效能影響。適用於 SMB 簽章的這類加速器並未提供使用。
適用於 Windows 2000 Server、Windows 2000 Professional、Windows XP Professional (商用版) 或 Windows Server 2003 電腦上檔案共用及列印共用的 SMB 通訊協定,支援相互驗證。相互驗證會終止工作階段劫持攻擊,並支援訊息驗證。 因此,可以避免遭到中間人攻擊。SMB 簽章會在每個 SMB 中放置數位簽章,以提供此驗證。然後,簽章會經由用戶端及伺服器加以驗證。風險設定
下列為有風險的設定:將 [Microsoft 網路用戶端: 數位簽章用戶端的通訊 (自動)] 設定及 [Microsoft 網路用戶端:數位簽章用戶端的通訊 (如果伺服器同意)] 設定保留為「尚未定義」或停用。這些設定允許重新導向器在驗證期間,將純文字密碼傳送給不支援密碼加密的非 Microsoft SMB 伺服器。
啟用此設定的原因
如果啟用 [Microsoft 網路用戶端:數位簽章用戶端的通訊 (自動)],則當用戶端聯繫不需要 SMB 簽章的伺服器時,必須簽署 SMB 傳輸,如此,才能使用戶端比較不容易遭受工作階段劫持攻擊。
停用此設定的原因
啟用 [Microsoft 網路用戶端:數位簽章用戶端的通訊 (自動)],可以防止用戶端與不支援 SMB 簽章的目標伺服器進行通訊。
將電腦設定為忽略所有未簽章的 SMB 通訊,以避免連接較舊版本的程式及作業系統。
符號名稱:RequireSMBSignRdr登錄路徑:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanWorkstationParametersRequireSecuritySignature
相容性問題的範例
Windows NT 4.0: 您將無法使用 NLTEST 或 NETDOM,重新設定 Windows Server 2003 網域及 Windows NT 4.0 網域之間信任的安全通道,並且會收到「拒絕存取」錯誤訊息。
Windows XP: 將檔案從 Windows XP 用戶端複製到 Windows 2000 伺服器及 Windows Server 2003 伺服器,可能會需要更多時間。
您無法從已啟用此設定的用戶端對應網路磁碟機,並且會收到下列錯誤訊息:
帳戶沒有權利從這個站進行登入。
Microsoft 網路伺服器:數位簽章伺服器的通訊 (自動)背景
啟用數位簽章,以協助避免模擬用戶端及伺服器。這類模擬稱為工作階段劫持,可以使用工具來允許可以存取與用戶端或伺服器相同網路的攻擊者,插斷、終止或偷取處理程序中的工作階段。攻擊者可能會攔截並修改未簽章的 SBM 封包、修改傳輸,然後加以轉送,使伺服器執行不必要的動作。或者,攻擊者會冒充伺服器或用戶端,在執行合法的驗證之後,以未經授權的方式存取資料。
SMB 是許多 Microsoft 作業系統都支援的資源共用通訊協定,這是網路基本輸入輸出系統 (NetBIOS) 和許多其他通訊協定的基礎。SMB 簽章會驗證使用者及裝載資料的伺服器。如果其中一個無法通過驗證程序,就無法傳輸資料。
另一個可以保護所有網路傳輸的方法,就是啟用具有 IPSec 的數位簽章。適用於 IPSec 加密及簽章的硬體加速器,可以用來減少來自伺服器 CPU 的效能影響。適用於 SMB 簽章的這類加速器並未提供使用。風險設定
下列為有風險的設定:在本機或外部網域中,不相容 Windows 和協力廠商作業系統用戶端電腦所存取的伺服器及網域控制站上,啟用 [Microsoft 網路伺服器:數位簽章伺服器的通訊 (自動)] 設定。
啟用此設定的原因
透過登錄或群組原則設定直接啟用此設定的所有用戶端電腦,均支援 SMB 簽章。 換句話說,已啟用此設定的所有用戶端電腦是執行具有 DS 用戶端的 Windows 95、Windows 98、Windows NT 4.0、Windows 2000、Windows XP Professional (商用版) 或 Windows Server 2003。
如果停用了 [Microsoft 網路伺服器:數位簽章伺服器的通訊 (自動)],就是停用 SMB 簽章。完全停用所有 SMB 簽章,會使電腦更容易遭受工作階段劫持攻擊。
停用此設定的原因
啟用此設定,可能會使用戶端電腦上檔案複製及網路效能的速度變慢。
啟用此設定,可以防止無法交涉 SMB 簽章的用戶端與伺服器及網域控制站進行通訊。 這會使程式無法執行諸如網域聯結、使用者及電腦驗證或網路存取等操作。
符號名稱:RequireSMBSignServer登錄路徑:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanManServerParametersRequireSecuritySignature (REG_DWORD)
相容性問題的範例
Windows 95: 尚未安裝「目錄服務」(DS) 用戶端的 Windows 95 用戶端將無法登入驗證,並且會收到下列錯誤訊息:
The domain password you supplied is not correct, or access to your logon server has been denied. (您提供的網域密碼不正確,或拒絕存取您的登入伺服器)。
如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
811497 Error message when Windows 95 or Windows NT 4.0 client logs on to Windows Server 2003 domain
Windows NT 4.0: 執行 Windows NT 4.0 Service Pack 3 (SP3) 以前版本的用戶端電腦將無法登入驗證,並且會收到下列錯誤訊息:
系統不讓您登入。請確定您的使用者名稱和網域是否正確,然後再輸入密碼。
下列用戶端與 [Microsoft 網路伺服器:數位簽章伺服器的通訊 (自動)] 設定不相容:
Apple Computer, Inc,Mac OS X 用戶端
Microsoft MS-DOS 網路用戶端 (例如,Microsoft LAN Manager)
Microsoft Windows for Workgroups 用戶端
未安裝 DS 用戶端的 Microsoft Windows 95 用戶端
未安裝 SP3 或更新版本的 Microsoft Windows NT 4.0 電腦
Novell Netware 6 CIFS 用戶端
不支援 SMB 簽章的 SAMBA SMB 用戶端
網路存取:允許匿名 SID/名稱轉譯背景
[網路存取:允許匿名 SID/名稱轉譯] 安全性設定會判定匿名使用者是否可以要求其他使用者的「安全識別碼」(SID) 內容。風險設定
啟用 [網路存取:允許匿名 SID/名稱轉譯] 設定是具有風險性的設定。
啟用此設定的原因
如果停用 [網路存取:允許匿名 SID/名稱轉譯] 設定,較舊版本的作業系統或應用程式可能無法與 Windows Server 2003 網域通訊。 例如,下列作業系統、服務或應用程式可能無法運作:
Windows NT 4.0 遠端存取服務伺服器
在 Windows NT 3.x 或 Windows NT 4.0 電腦上執行的 Microsoft SQL Server
在 Windows 2000 電腦上執行的「遠端存取服務」,而 Windows 2000 電腦位於 Windows NT 3.x 網域或 Windows NT 4.0 網域中
在 Windows 2000 電腦上執行的 SQL Server,而 Windows 2000 電腦位於 Windows NT 3.x 網域或 Windows NT 4.0 網域中
位於 Windows NT 4.0 資源網域中想要取得使用權限的使用者,以便從含有 Windows Server 2003 網域控制站的帳戶網域存取檔案、共用資料夾及登錄物件至使用者帳戶
停用此設定的原因
如果啟用這個設定,惡意的使用者可能會使用熟知的系統管理員 SID,以取得內建系統管理員帳戶的真實名稱,即使帳戶名稱已經更改過了。然後,該使用者會使用帳戶名稱發動「密碼猜測」攻擊。
符號名稱: N/A
登錄路徑: 無。UI 程式碼中所指定的路徑。
相容性問題的範例
Windows NT 4.0: 如果資源 (包括共用資料夾、共用檔案及登錄物件) 是由含有 Windows Server 2003 網域控制站的帳戶網域中的安全性原則加以保全,則 Windows NT 4.0 資源網域中的電腦將會在 ACL 編輯器中顯示「未知帳戶」。
網路存取:不允許 SAM 帳戶的匿名列舉背景
[網路存取:不允許 SAM 帳戶的匿名列舉] 設定會判斷將要授與哪個使用權限,以便匿名連線至電腦。Windows 允許匿名使用者執行特定活動,例如,列舉網域安全性帳戶管理員 (SAM) 帳戶及網路共用的名稱。當系統管理員想要授與未維護相互信任的信任網域中的存取權給使用者時,是十分方便的。 依照預設,匿名使用者具有授與給「所有人」群組做為特定資源的相同存取權。
此設定不會對網域控制站造成任何影響。
在 Windows 2000 中具有類似的設定,也就是 [匿名連線的其他限制] 設定,會管理 RestrictAnonymous 登錄值。此值的位置在:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA風險設定
就相容性的觀點而言,啟用 [網路存取:不允許 SAM 帳戶的匿名列舉] 設定是具有風險性的設定,但是就安全性而言,停用此設定也是具有風險的。
啟用此設定的原因
未經授權的使用者可能以匿名方式列出帳戶名稱,然後使用此資訊嘗試猜測密碼,或是執行社交工程攻擊。社交工程的意思是指,誘騙人們洩露自己的密碼或某些格式的安全性資訊。
停用此設定的原因
如果啟用此設定,就不可能與 Windows NT 4.0 網域建立信任。 此外,這個設定將會使嘗試使用伺服器資源的低階用戶端 (例如 Windows NT 3.51 用戶端及 Windows 95 用戶端) 發生問題。
符號名稱:RestrictAnonymousSAM登錄路徑:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaRestrictAnonymousSAM (Reg_DWORD)
相容性問題的範例
SMS Network Discovery 將無法取得作業系統的資訊,並且會在 OperatingSystemNameandVersion 屬性中寫入「未知」。
Windows 95、Windows 98: Windows 95 用戶端及 Windows 98 用戶端將無法變更自己的密碼。
Windows NT 4.0: Windows NT 4.0 成員電腦將無法進行驗證。
Windows 95、Windows 98: Windows 95 及 Windows 98 電腦將無法經由 Microsoft 網域控制站進行驗證。
Windows 95、Windows 98: Windows 95 及 Windows 98 電腦上的使用者將無法變更自己使用者帳戶的密碼。
網路存取:不允許 SAM 帳戶和共用的匿名列舉背景
[網路存取:不允許 SAM 帳戶和共用的匿名列舉] 設定 (也就是 RestrictAnonymous) 會判斷是否允許安全性帳戶管理員 (SAM) 帳戶及共用的匿名列舉。Windows 允許匿名使用者執行特定活動,例如,列舉網域帳戶 (使用者、電腦及群組) 和網路共用的名稱。當系統管理員想要授與未維護相互信任的信任網域中的存取權給使用者時,是十分方便的。如果您不想允許 SAM 帳戶及共用的匿名列舉,請啟用這個設定。
在 Windows 2000 中具有類似的設定,也就是 [匿名連線的其他限制] 設定,會管理 RestrictAnonymous 登錄值。此值的位置在:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA風險設定
啟用 [網路存取:不允許 SAM 帳戶和共用的匿名列舉] 設定是具有風險性的設定。
啟用此設定的原因
啟用 [網路存取:不允許 SAM 帳戶和共用的匿名列舉] 設定,可以防止使用匿名帳戶的使用者和電腦列舉 SAM 帳戶及共用。
停用此設定的原因
如果啟用此設定,則未經授權的使用者可能以匿名方式列出帳戶名稱,然後使用此資訊嘗試猜測密碼,或是執行社交工程攻擊。社交工程的意思是指,誘騙人們洩露自己的密碼或某些格式的安全性資訊。
如果啟用此設定,就不可能與 Windows NT 4.0 網域建立信任。 此外,這個設定將會使嘗試使用伺服器資源的低階用戶端 (例如 Windows NT 3.51 及 Windows 95 用戶端) 發生問題。
因為信任網域中的系統管理員無法列舉其他網域的帳戶清單,所以,不可能將存取權授與資源網域的使用者。 以匿名方式存取檔案及列印伺服器的使用者,將無法列出那些伺服器上的共用網路資源;使用者必須進行驗證,才能檢閱共用資料夾及印表機的清單。
符號名稱:RestrictAnonymous登錄路徑:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaRestrictAnonymous
相容性問題的範例
Windows NT 4.0: 如果啟用了使用者網域中網域控制站上的 RestrictAnonymous 時,使用者將無法從 Windows NT 4.0 工作站變更自己的密碼。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
198941 Users cannot change password when logging on
Windows NT 4.0: 無法從信任的 Windows 2000 網域將使用者或通用群組新增至 Windows NT 4.0 本機群組的「使用者管理員」中,並且出現下列錯誤訊息:
目前無可用的登入伺服器來服務登入請求。
如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
296405 The "RestrictAnonymous" registry value may break the trust to a Windows 2000 domain
Windows NT 4.0: Windows NT 4.0 將無法在安裝期間加入網域,或是使用加入網域使用者介面來加入網域。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
184538 Error message:A Controller for This Domain Could Not Be Found
Windows NT 4.0:Windows NT 4.0:如果啟用信任網域上的 RestrictAnonymous,將無法與 Windows NT 4.0 資源網域建立低階信任,並且會出現下列錯誤訊息:
找不到這個網域的網域控制站。
如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
178640 Could not find domain controller when establishing a trust
Windows NT 4.0: 登入 Windows NT 4.0 Terminal Server 電腦的使用者,將會對應到預設的主目錄,而不是在「使用者管理員」中為網域所定義的主目錄。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
236185 Terminal Server user profiles and home folder paths are ignored after applying SP4 or later
Windows NT 4.0: Windows NT 4.0 備份網域控制站 (BDC) 將無法啟動 Net Logon 服務、無法取得備份瀏覽器的清單,也不能在相同網域中從 Windows 2000 或 Windows Server 2003 網域控制站同步處理 SAM 資料庫。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
293127 The Net Logon service of a Windows NT 4.0 BDC does not function in a Windows 2000 domain
Windows 2000: 如果啟用了用戶端電腦中本機安全性原則的 [沒有明確的匿名使用權限,不能存取] 設定,Windows NT 4.0 網域中的 Windows 2000 成員電腦將無法檢視外部網域中的印表機。
Windows 2000: Windows 2000 網域使用者將無法從 Active Directory 新增網路印表機,不過,從樹狀檢視選取印表機之後,就可以新增。
Windows 2000: 在 Windows 2000 電腦上,ALC 編輯器將無法從信任的 Windows NT 4.0 網域新增使用者或通用群組。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
296403 The RestrictAnonymous value breaks the trust in a mixed-domain environment
ADMT 第 2 版: 使用 Active Directory 遷移工具 (ADMT) 第 2 版在樹系之間進行遷移的使用者帳戶,將無法進行密碼遷移。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322981 How to Troubleshoot Inter-Forest Password Migration with ADMTv2
Outlook 用戶端: Microsoft Exchange Outlook 用戶端將看不到全域通訊清單。
SMS: Microsoft Systems Management Server (SMS) Network Discovery 將無法取得作業系統的資訊。因此,SMS Network Discovery 會在探索資料記錄 (DDR) 中 SMS DDR 內容的 OperatingSystemNameandVersion 屬性中寫入「未知」。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
229769 SMS:How Discovery Data Manager Determines When to Generate a Client Configuration Request
SMS: 當您使用 SMS Administrator User Wizard 瀏覽使用者和群組時,將不會列出任何使用者及群組。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
302413 SMS:No Users or Groups Are Listed in the Administrator User Wizard
SMS: 當您使用 SMS 2.0 和 Remote Client Installation 中的 Network Discovery 功能,並且啟用 [Topology, client, and client operating systems] 網路探索選項時,可能會找到電腦,但是電腦並未加以安裝。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
311257 SMS:Resources Are Not Discovered if Anonymous Connections Are Turned Off
網路安全性:LAN Manager 驗證層級背景
LAN Manager (LM) 驗證,是用來驗證 Windows 用戶端,以執行網路操作 (包括了加入網域、存取網路資源,以及使用者或電腦驗證) 的通訊協定。LM 驗證層級會判定用戶端及伺服器電腦之間所要交涉的挑戰/回應驗證通訊協定。 特別的是,LM 驗證層級會決定用戶端嘗試要交涉或伺服器所要接受的驗證通訊協定。可能的設定包括:
[傳送 LM 和 NTLM 回應]:用戶端使用 LM 及 NTLM 驗證,絕不使用 NTLMv2 工作階段安全性;網域控制站接受 LM、NTLM 和 NTLMv2 驗證。
[傳送 LM 和 NTLM - 如有交涉,使用 NTLMv2 工作階段安全性]:用戶端使用 LM 及 NTLM 驗證,並且如果伺服器支援的話,也會使用 NTLMv2 工作階段安全性;網域控制站接受 LM、NTLM 和 NTLMv2 驗證。
[只傳送 NTLM 回應]:用戶端只使用 NTLM 驗證,並且如果伺服器支援的話,也會使用 NTLMv2 工作階段安全性;網域控制站接受 LM、NTLM 和 NTLMv2 驗證。
[只傳送 NTLMv2 回應]:用戶端只使用 NTLMv2 驗證,並且如果伺服器支援的話,也會使用 NTLMv2 工作階段安全性;網域控制站接受 LM、NTLM 和 NTLMv2 驗證。
[只傳送 NTLMv2 回應拒絕 LM]:用戶端只使用 NTLMv2 驗證,並且如果伺服器支援的話,也會使用 NTLMv2 工作階段安全性;網域控制站拒絕 LM (只接受 NTLM 和 NTLMv2 驗證)。
[只傳送 NTLMv2 回應拒絕 LM 和 NTLM]:用戶端只使用 NTLMv2 驗證,並且如果伺服器支援的話,也會使用 NTLMv2 工作階段安全性;網域控制站拒絕 LM 和 NTLM (只接受 NTLMv2 驗證)。
最佳的實務做法就是,升級為具有 NTLMv2 能力的用戶端及網域控制站,然後啟用 NTLMv2 驗證。 如需有關 LM 驗證層級的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
239869 How to enable NTLM 2 authentication 風險設定
下列為有風險的設定:
以純文字傳送密碼並且拒絕 NTLMv2 交涉的非限制設定
防止不相容的用戶端或網域控制站交涉通用驗證通訊協定的限制設定
執行 Windows NT 4.0 Service Pack 4 (SP4) 以前版本的成員電腦和網域控制站上,需要 NTLMv2 驗證
在未安裝 Windows Directory Services Client 的 Windows 95 用戶端或 Windows 98 用戶端上,需要 NTLMv2 驗證
修改此設定的原因
您想要在組織中增加用戶端及網域控制站支援的罕見驗證通訊協定。
由於商務要求安全的驗證,您不允許 LM 和 NTLM 通訊協定的交涉。
停用此設定的原因
用戶端或伺服器驗證需求 (或兩者) 已經增強為指出無法透過一般的通訊協定在何處進行驗證。
符號名稱:LmCompatibilityLevel登錄路徑:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaLmCompatibilityLevel
相容性問題的範例
Windows 2000: 如果具有 NTLMv2 Level 2 的 Windows 2000 網域或更新版本受到 Windows NT 4.0 網域所信任,則資源網域中的 Windows 2000 成員電腦可能會發生驗證錯誤。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
305379 Authentication problems in Windows 2000 with NTLM 2 levels above 2 in a Windows NT 4.0 domain
Windows 2000: 如果兩個節點均屬於 Windows NT 4.0 Service Pack 6a (SP6a) 網域的一部份,則 Windows 2000 叢集不會驗證加入的節點。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
305379 Authentication problems in Windows 2000 with NTLM 2 levels above 2 in a Windows NT 4.0 domain
網域安全性:LDAP 用戶端簽章要求背景
[網域安全性:LDAP 用戶端簽章要求] 設定會判斷要求代表用戶端依照下列設定,發出「輕量型目錄存取協定」(LDAP) BIND 要求的資料簽章等級:
無:LDAP BIND 要求會以呼叫者指定的選項發出。
交涉簽章:如果尚未啟動 Secure Sockets Layer/Transport Layer Security (SSL/TLS),就會使用所設定的 LDAP 資料簽章選項及呼叫者指定的選項,來啟動 LDAP BIND 要求。如果已經啟動 SSL/TLS,就會使用呼叫者指定的選項,來啟動 LDAP BIND 要求。
要求簽章:此選項與 [交涉簽章] 相同。然而,如果 LDAP 伺服器的中繼 saslBindInProgress 回應沒有表示需要 LDAP 傳輸簽章,就會告知呼叫者,LDAP BIND 命令要求失敗。風險設定
啟用 [網路安全性:LDAP 用戶端簽章要求] 設定是具有風險性的設定。如果您設定伺服器需要 LDAP 簽章,也必須在用戶端上設定 LDAP 簽章。未設定用戶端使用 LDAP 簽章,可以避免與伺服器通訊,但是,這將造成使用者驗證、群組原則設定、登入指令檔及其他功能無法運作。
修改此設定的原因
當侵入者在用戶端及伺服器之間擷取封包、修改封包,並將封包轉送到伺服器時,未簽章的網路傳輸很容易遭到中間人攻擊。 當 LDAP 伺服器上發生這種情形時,攻擊者可能會使伺服器根據從 LDAP 用戶端傳來的錯誤查詢,發出回應。 在企業的網路中,您可以藉由實作增強式的安全性措施,來保護網路基礎架構,以降低風險。此外,您可以利用 IPSec 驗證標頭,要求網路封包上必須具備數位簽章,如此,更可以避免遭受所有種類的中間人攻擊。
符號名稱:LDAPClientIntegrity登錄路徑:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLDAPLDAPClientIntegrity
事件記錄檔:安全性記錄檔大小最大值背景
[事件記錄檔:安全性記錄檔大小最大值] 安全性設定會指定安全性事件記錄檔的最大大小。記錄檔的最大大小為 4 GB。如果要找出此設定,請展開 [Windows 設定],再展開 [安全性設定]。風險設定
下列為有風險的設定:
啟用 [稽核:當無法記錄安全性稽核時,系統立即關機] 設定時,限制安全性記錄檔的大小,以及安全性記錄檔的保留方式。如需詳細資料,請參閱本文的<稽核:當無法記錄安全性稽核時,系統立即關機>一節。
限制安全性記錄檔的大小,如此,就會覆寫感興趣的安全性事件。
增加此設定的原因
基於商務及安全性的需求,促使您增加安全性記錄檔的大小,以便處理其他安全性記錄檔的詳細資料,或是將安全性記錄檔保留更長的時間。
降低此設定的原因
事件檢視器中的記錄檔屬於記憶體對應檔。 事件記錄檔的最大大小會受到本機電腦中實體記憶體數量,以及事件記錄檔處理程序可用虛擬記憶體數量的限制。 將記錄檔的大小增加超過事件檢視器可用虛擬記憶體的數量,並不能增加所維護的記錄項目數量。
相容性問題的範例
Windows 2000:如果啟用了 [不要覆寫事件 (以手動方式清除記錄)] 選項,則執行 Windows 2000 Service Pack 4 (SP4) 以前版本的電腦,可能會在事件檢視器中 [最大記錄檔大小] 設定所指定的大小達到上限之前,停止記錄事件。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
312571 The Event Log stops logging events before reaching the maximum log size
事件記錄檔:安全性記錄保留背景
[事件記錄檔:安全性記錄保留] 安全性設定會決定安全性記錄檔案的保存方式。如果要找出此設定,請展開 [Windows 設定],再展開 [安全性設定]。風險設定
下列為有風險的設定:
無法在所有記錄的安全性事件被覆寫之前加以保留
[安全性記錄檔大小最大值] 設定得太小,使得安全性事件被覆寫。
啟用 [稽核:當無法記錄安全性稽核時,系統立即關機] 安全性設定時,限制安全性記錄檔的大小及保留方式。
啟用此設定的原因
當侵入者在用戶端及伺服器之間擷取封包、修改封包,並將封包轉送到伺服器時,未簽章的網路傳輸很容易遭到中間人攻擊。 當 LDAP 伺服器上發生這種情形時,攻擊者可能會使伺服器根據從 LDAP 用戶端傳來的錯誤查詢,發出回應。 在企業的網路中,您可以藉由實作增強式的安全性措施,來保護網路基礎架構,以降低風險。此外,您可以利用 IPSec 驗證標頭,要求網路封包上必須具備數位簽章,如此,更可以避免遭受所有種類的中間人攻擊。
這篇文章中的資訊適用於:
Microsoft Windows Server 2003, Standard Edition
Microsoft Windows Server 2003, Datacenter Edition
Microsoft Windows Server 2003, Enterprise Edition
Microsoft Windows Server 2003, 64-Bit Datacenter Edition
Microsoft Windows Server 2003, 64-Bit Enterprise Edition
Microsoft Windows XP Professional
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Professional
Microsoft Windows NT Server 4.0
Microsoft Windows NT Workstation 4.0
Microsoft Windows 98
Microsoft Windows 98 Second Edition
Microsoft Windows 95
更新日期: 2004/7/28 (3.1)
關鍵字: kbinfo KB823659 kbAudITPRO
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。 與我們聯繫
c 2004 Microsoft Corporation 。著作權所有。 隱私權聲明
|
|
|
|
