用戶權(quán)限分配注意的問題本文介紹了以下問題：在WindowsNT4.0域、Windows2000域和WindowsServer2003域中修改特定安全設(shè)置和用戶權(quán)限分配時(shí)，在運(yùn)行MicrosoftWindows95、MicrosoftWindows98、MicrosoftWindowsNT4.0>MicrosoftWindows2000、MicrosoftWindowsXPProfessional或MicrosoftWindowsServer2003的客戶端計(jì)算機(jī)上可能出現(xiàn)不兼容問題。通過在本地策略和組策略中配置這些設(shè)置和分配，可以幫助提高域控制器和成員計(jì)算機(jī)上的安全性。提高安全性的弊端是會(huì)出現(xiàn)客戶端、服務(wù)和程序的不兼容問題。要更好地發(fā)現(xiàn)配置不當(dāng)?shù)陌踩O(shè)置，請(qǐng)使用組策略對(duì)象編輯器工具來修改安全設(shè)置。當(dāng)使用組策略對(duì)象編輯器時(shí)，以下操作系統(tǒng)上的用戶權(quán)限分配可有所增強(qiáng)：MicrosoftWindowsXPProfessionalServicePack2(SP2)MicrosoftWindowsServer2003ServicePack1(SP1)增強(qiáng)功能包括一個(gè)包含指向本文的鏈接的對(duì)話框，每當(dāng)您將安全設(shè)置或用戶權(quán)限分配更改為一個(gè)兼容性更低、限制性更強(qiáng)的設(shè)置時(shí)就會(huì)彈出該對(duì)話框。如果您使用注冊(cè)表或安全模板直接修改相同的安全設(shè)置或用戶權(quán)限分配，則得到的效果與在組策略對(duì)象編輯器中修改設(shè)置是相同的；只是將不會(huì)出現(xiàn)包含指向本文的鏈接的對(duì)話框。本文包含受特定安全設(shè)置或用戶權(quán)限分配影響的客戶端、程序和操作的示例。但是，這些示例并不對(duì)所有Microsoft操作系統(tǒng)、所有第三方操作系統(tǒng)或所有受影響的程序版本都具有權(quán)威性。本文并不包括所有安全設(shè)置和用戶權(quán)限分配。Microsoft建議您在將任何與安全性有關(guān)的配置更改引入生產(chǎn)環(huán)境之前，先在測(cè)試林中驗(yàn)證它們的兼容性。測(cè)試林必須在以下方面與生產(chǎn)林相同：客戶端和服務(wù)器操作系統(tǒng)版本、客戶端和服務(wù)器程序、ServicePack版本、修補(bǔ)程序、架構(gòu)更改、安全組、組成員、文件系統(tǒng)中對(duì)象上的權(quán)限、共享文件夾、注冊(cè)表、ActiveDirectory目錄服務(wù)、本地和組策略設(shè)置、對(duì)象計(jì)數(shù)類型和位置執(zhí)行的管理任務(wù)、使用的管理工具和用于執(zhí)行管理任務(wù)的操作系統(tǒng)執(zhí)行的操作，包括計(jì)算機(jī)和用戶登錄身份驗(yàn)證；用戶、計(jì)算機(jī)和管理員進(jìn)行的密碼重置；瀏覽；從所有帳戶域或資源域的所有客戶端操作系統(tǒng)中使用ACL編輯器來設(shè)置文件系統(tǒng)、共享文件夾、注冊(cè)表和ActiveDirectory資源的權(quán)限；從管理和非管理帳戶進(jìn)行打印回到頂端WindowsServer2003SP1Gpedit.msc中的警告為幫助客戶認(rèn)識(shí)到他們正在編輯的用戶權(quán)限或安全選項(xiàng)會(huì)對(duì)網(wǎng)絡(luò)產(chǎn)生不利影響，已向gpedit.msc中添加了兩個(gè)警告機(jī)制。當(dāng)管理員編輯的用戶權(quán)限會(huì)對(duì)整個(gè)企業(yè)造成負(fù)面影響時(shí)，他們會(huì)看到一個(gè)類似讓步標(biāo)志的新圖標(biāo)。同時(shí)還將收到一條警告消息，其中包含一個(gè)指向Microsoft知識(shí)庫(kù)文章823659的鏈接。此消息的文本如下所示：修改此設(shè)置可能影響與客戶端、服務(wù)和應(yīng)用程序的兼容性。有關(guān)更多信息，請(qǐng)參吸要修改的用戶權(quán)限或安全選項(xiàng)>(Q823659)如果已通過GPEDIT.MSC中的鏈接定向到此KB，請(qǐng)確保閱讀并了解所提供的說明及修改此設(shè)置的可能后果。下面是包含新的警告文本的用戶權(quán)限列表：從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)本地登錄跳過遍歷檢查啟用計(jì)算機(jī)和用戶以進(jìn)行受信任的委派下面是包含警告和彈出窗口的安全選項(xiàng)列表：域成員:對(duì)安全通道數(shù)據(jù)進(jìn)行數(shù)字加密或簽名（總是）域成員:需要強(qiáng)（Windows2000或以上版本）會(huì)話密鑰域控制器:LDAP服務(wù)器簽名要求Microsoft網(wǎng)絡(luò)服務(wù)器:數(shù)字簽名的通信（總是）網(wǎng)絡(luò)訪問:允許匿名SID/名稱轉(zhuǎn)換網(wǎng)絡(luò)訪問:不允許SAM帳戶和共享的匿名枚舉網(wǎng)絡(luò)安全:LANManager身份驗(yàn)證級(jí)別審核:如果無法記錄安全審核則立即關(guān)閉系統(tǒng)網(wǎng)絡(luò)訪問:LDAP客戶端簽名要求用戶權(quán)限從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)背景與遠(yuǎn)程Windows計(jì)算機(jī)進(jìn)行交互的能力需要“從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)”用戶權(quán)限。此類網(wǎng)絡(luò)操作的示例包括：在公用域或林中的域控制器之間復(fù)制ActiveDirectory、用戶和計(jì)算機(jī)向域控制器發(fā)出身份驗(yàn)證請(qǐng)求，以及訪問位于網(wǎng)絡(luò)中遠(yuǎn)程計(jì)算機(jī)上的共享文件夾、打印機(jī)和其他系統(tǒng)服務(wù)。通過將用戶、計(jì)算機(jī)和服務(wù)帳戶顯式或隱式地添加到已被授予“從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)”用戶權(quán)限的安全組中或?qū)⑺鼈儚拇祟惏踩M中刪除，可相應(yīng)地使這些用戶、計(jì)算機(jī)和服務(wù)帳戶獲得或失去該用戶權(quán)限。例如，用戶帳戶或計(jì)算機(jī)帳戶可能被管理員顯式添加到某個(gè)自定義或內(nèi)置的安全組中，或被操作系統(tǒng)隱式添加到計(jì)算安全組（如DomainUsers、AuthenticatedUsers或EnterpriseDomainControllers）中。默認(rèn)情況下，如果在默認(rèn)域控制器的組策略對(duì)象（GPO）中定義了計(jì)算組（例如Everyone或AuthenticatedUsers，后者更好；若是域控制器，則為EnterpriseDomainControllers組），則會(huì)為用戶帳戶和計(jì)算機(jī)帳戶授予“從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)”用戶權(quán)限。危險(xiǎn)配置以下是有害的配置設(shè)置：從此用戶權(quán)限中刪除EnterpriseDomainControllers安全組刪除AuthenticatedUsers組或授予用戶、計(jì)算機(jī)和服務(wù)帳戶通過網(wǎng)絡(luò)連接到計(jì)算機(jī)的用戶權(quán)限的顯式組從此用戶權(quán)限中刪除所有用戶和計(jì)算機(jī)授予此用戶權(quán)限的原因通過向EnterpriseDomainControllers組授予“從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)”用戶權(quán)限，可滿足在同一林中的域控制器之間進(jìn)行ActiveDirectory復(fù)制所必須具備的身份驗(yàn)證要求。此用戶權(quán)限允許用戶和計(jì)算機(jī)訪問共享文件、打印機(jī)和系統(tǒng)服務(wù)，包括ActiveDirectory。用戶使用早期版本的MicrosoftOutlookWebAccess（OWV）訪問郵件時(shí)需要此用戶權(quán)限。刪除此用戶權(quán)限的原因那些可以將計(jì)算機(jī)連接到網(wǎng)絡(luò)的用戶可以訪問他們具有權(quán)限的遠(yuǎn)程計(jì)算機(jī)上的資源。例如，用戶需要具備此用戶權(quán)限才能連接到共享打印機(jī)和文件夾。如果向Everyone組授予此用戶權(quán)限，并且某些共享文件夾同時(shí)配置有共享和NTFS文件系統(tǒng)權(quán)限以使相同的組具有讀取權(quán)限，則任何人均可查看這些共享文件夾中的文件。但是，WindowsServer2003的全新安裝不大可能出現(xiàn)這種情況，因?yàn)閃indowsServer2003中默認(rèn)的共享和NTFS權(quán)限不包括Everyone組。對(duì)于從MicrosoftWindowsNT4.0或Windows2000升級(jí)的系統(tǒng)，這個(gè)弱點(diǎn)的危險(xiǎn)性可能更高，因?yàn)檫@些操作系統(tǒng)默認(rèn)的共享和文件系統(tǒng)權(quán)限的限制性不如WindowsServer2003中的默認(rèn)權(quán)限嚴(yán)格。從此用戶權(quán)限中刪除EnterpriseDomainControllers組并沒有有效的根據(jù)。通常會(huì)刪除Everyone組，而傾向于使用AuthenticatedUsers組。如果刪除了Everyone組，則必須向AuthenticatedUsers組授予此用戶權(quán)限。升級(jí)到Windows2000的WindowsNT4.0域不會(huì)顯式對(duì)Everyone>AuthenticatedUsers或EnterpriseDomainControllers組授予“從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)”用戶權(quán)限。因此，如果從WindowsNT4.0域策略中刪除了Everyone組，則在升級(jí)到Windows2000后，ActiveDirectory復(fù)制將失敗并出現(xiàn)“AccessDenied”錯(cuò)誤消息。WindowsServer2003中的Winnt32.exe在升級(jí)WindowsNT4.0主域控制器（PDC）時(shí)會(huì)對(duì)EnterpriseDomainControllers組授予此用戶權(quán)限，從而避免了這種錯(cuò)誤配置。如果EnterpriseDomainControllers組不在組策略對(duì)象編輯器中，則向該組授予此用戶權(quán)限。兼容性問題的示例Windows2000和WindowsServer2003:對(duì)ActiveDirectory架構(gòu)、配置、域、全局編錄或應(yīng)用程序分區(qū)的復(fù)制將會(huì)失敗，并且監(jiān)視工具（如REPLMON和REPADMIN）或事件日志中的復(fù)制事件會(huì)報(bào)告“AccessDenied”錯(cuò)誤。所有Microsoft網(wǎng)絡(luò)操作系統(tǒng)：除非已向用戶或用戶所屬的安全組授予了此用戶權(quán)限，否則來自遠(yuǎn)程網(wǎng)絡(luò)客戶端計(jì)算機(jī)的用戶帳戶身份驗(yàn)證將會(huì)失敗。所有Microsoft網(wǎng)絡(luò)操作系統(tǒng)：除非已向帳戶或帳戶所屬的安全組授予了此用戶權(quán)限，否則來自遠(yuǎn)程網(wǎng)絡(luò)客戶端的帳戶身份驗(yàn)證將會(huì)失敗。此情況適用于用戶帳戶、計(jì)算機(jī)帳戶和服務(wù)帳戶。所有Microsoft網(wǎng)絡(luò)操作系統(tǒng)：如果從此用戶權(quán)限中刪除所有帳戶，則會(huì)阻止任何帳戶登錄到域或訪問網(wǎng)絡(luò)資源。如果刪除了計(jì)算組（例如EnterpriseDomainControllers、Everyone或AuthenticatedUsers），則必須將此用戶權(quán)限顯式授予帳戶或帳戶所屬的安全組才能通過網(wǎng)絡(luò)訪問遠(yuǎn)程計(jì)算機(jī)。此情況適用于所有用戶帳戶、所有計(jì)算機(jī)帳戶和所有服務(wù)帳戶。所有Microsoft網(wǎng)絡(luò)操作系統(tǒng)：本地管理員帳戶使用，空”密碼。在域環(huán)境中，不允許管理員帳戶使用空密碼進(jìn)行網(wǎng)絡(luò)連接。如果使用此配置，將收到^AccessDenied”錯(cuò)誤消息。允許在本地登錄背景嘗試在MicrosoftWindows計(jì)算機(jī)的控制臺(tái)上登錄的用戶（使用Ctrl+Alt+Delete登錄按鍵順序）和嘗試啟動(dòng)服務(wù)的帳戶必須在主機(jī)計(jì)算機(jī)上具有本地登錄權(quán)限。本地登錄操作的示例包括:管理員登錄到企業(yè)中成員計(jì)算機(jī)或域控制器的控制臺(tái)和域用戶使用非特權(quán)帳戶登錄到成員計(jì)算機(jī)以訪問其桌面。使用遠(yuǎn)程桌面連接或終端服務(wù)的用戶在運(yùn)行Windows2000或WindowsXP的目標(biāo)計(jì)算機(jī)上必須具有“允許在本地登錄”用戶權(quán)限，因?yàn)檫@些登錄模式對(duì)于主機(jī)計(jì)算機(jī)來說是本地的。如果用戶登錄到啟用了終端服務(wù)的服務(wù)器而又不具有此用戶權(quán)限，但他們具有“允許通過終端服務(wù)登錄”用戶權(quán)限，則他們?nèi)钥梢栽赪indowsServer2003域中啟動(dòng)遠(yuǎn)程交互式會(huì)話。危險(xiǎn)配置以下是有害的配置設(shè)置：從默認(rèn)域控制器策略中刪除管理安全組，包括AccountOperators>BackupOperators>PrintOperators>ServerOperators和內(nèi)置Administrators組。從默認(rèn)域控制器策略中刪除域中成員計(jì)算機(jī)和域控制器上的組件和程序所使用的服務(wù)帳戶。刪除登錄到域中成員計(jì)算機(jī)的控制臺(tái)的用戶或安全組。刪除在成員計(jì)算機(jī)或工作組計(jì)算機(jī)的安全帳戶管理器(SAM)數(shù)據(jù)庫(kù)中定義的服務(wù)帳戶。刪除通過在域控制器上運(yùn)行的終端服務(wù)進(jìn)行身份驗(yàn)證的非內(nèi)置管理帳戶。通過Everyone組將域中的所有用戶帳戶顯式或隱式添加到“拒絕本地登錄”登錄權(quán)限中。此配置會(huì)阻止用戶登錄到域中的任何成員計(jì)算機(jī)或任何域控制器。授予此用戶權(quán)限的原因用戶必須具有“允許在本地登錄”用戶權(quán)限才能訪問工作組計(jì)算機(jī)、成員計(jì)算機(jī)或域控制器的控制臺(tái)或桌面。用戶必須具有此用戶權(quán)限才能通過在Window2000成員計(jì)算機(jī)或域控制器上運(yùn)行的終端服務(wù)會(huì)話進(jìn)行登錄。刪除此用戶權(quán)限的原因如果未能將控制臺(tái)訪問權(quán)限制在合法的用戶帳戶范圍內(nèi)，則未經(jīng)授權(quán)的用戶可能下載并執(zhí)行惡意代碼來更改他們的用戶權(quán)限。刪除“允許在本地登錄”用戶權(quán)限可以阻止未經(jīng)授權(quán)即在計(jì)算機(jī)(例如域控制器或應(yīng)用程序服務(wù)器)的控制臺(tái)上登錄。刪除此登錄權(quán)限可以阻止非域帳戶登錄域中成員計(jì)算機(jī)的控制臺(tái)。兼容性問題的示例Windows2000終端服務(wù)器：為了登錄到Windows2000終端服務(wù)器，用戶需要“允許在本地登錄”用戶權(quán)限。WindowsNT4.0、Windows2000、WindowsXP或WindowsServer2003:必須向用戶帳戶授予此用戶權(quán)限，它們才能登錄運(yùn)行WindowsNT4.0、Windows2000、WindowsXP或WindowsServer2003的計(jì)算機(jī)的控制臺(tái)。WindowsNT4.0和更高版本：在運(yùn)行WindowsNT4.0和更高版本的計(jì)算機(jī)上，如果添加“允許在本地登錄”用戶權(quán)限，但又隱式或顯式授予了“拒絕本地登錄”登錄權(quán)限，則帳戶將無法登錄到域控制器的控制臺(tái)。跳過遍歷檢查背景“跳過遍歷檢查”用戶權(quán)限允許用戶瀏覽NTFS文件系統(tǒng)或注冊(cè)表中的文件夾，而無需檢查用戶是否具有“遍歷文件夾”的特殊訪問權(quán)限?！疤^遍歷檢查”用戶權(quán)限不允許用戶列出文件夾的內(nèi)容，只允許用戶遍歷其文件夾。危險(xiǎn)配置以下是有害的配置設(shè)置：刪除登錄到基于Windows2000或基于WindowsServer2003的終端服務(wù)計(jì)算機(jī)上而且缺少訪問文件系統(tǒng)中的文件和文件夾的權(quán)限的非管理性帳戶。從安全主體列表中刪除Everyone組，默認(rèn)情況下，這些安全主體具有此用戶權(quán)限。根據(jù)Windows操作系統(tǒng)和許多程序的設(shè)計(jì)思路，系統(tǒng)認(rèn)為可以合法訪問計(jì)算機(jī)的任何人都應(yīng)該具有“跳過遍歷檢查”用戶權(quán)限。因此，從默認(rèn)具有此用戶權(quán)限的安全主體列表中刪除Everyone組可能導(dǎo)致操作系統(tǒng)不穩(wěn)定或程序故障。最好保留此設(shè)置的默認(rèn)值。授予此用戶權(quán)限的原因“跳過遍歷檢查”用戶權(quán)限的默認(rèn)設(shè)置是允許任何人跳過遍歷檢查。對(duì)于有經(jīng)驗(yàn)的Windows系統(tǒng)管理員，這是預(yù)期的行為，他們會(huì)相應(yīng)地配置文件系統(tǒng)訪問控制列表(SACL)。如果配置權(quán)限的管理員不了解該行為并認(rèn)為不能訪問父文件夾的用戶將無法訪問任何子文件夾的內(nèi)容，則默認(rèn)配置可能導(dǎo)致問題，這也是默認(rèn)配置可能導(dǎo)致問題的唯一情況。刪除此用戶權(quán)限的原因非常注重安全性的組織可能很想要從具有“跳過遍歷檢查”用戶權(quán)限的組的列表中刪除Everyone組，甚至可能刪除Users組，以試圖阻止對(duì)文件系統(tǒng)中文件或文件夾的訪問。兼容性問題的示例Windows2000、WindowsServer2003:如果在運(yùn)行Windows2000或WindowsServer2003的計(jì)算機(jī)上刪除或錯(cuò)誤地配置了“跳過遍歷檢查”用戶權(quán)限，則無法在域中的域控制器之間復(fù)制SYVOL文件夾中的組策略設(shè)置。Windows2000>WindowsXPProfessional、WindowsServer2003：如果刪除或錯(cuò)誤地配置了“跳過遍歷檢查”用戶權(quán)限，則在從SYSVOL樹中刪除所需的文件系統(tǒng)權(quán)限時(shí)，運(yùn)行Windows2000、WindowsXPProfessional或WindowsServer2003的計(jì)算機(jī)將記錄事件1000和1202而且無法應(yīng)用計(jì)算機(jī)策略和用戶策略。Windows2000、WindowsServer2003：在運(yùn)行Windows2000或WindowsServer2003的計(jì)算機(jī)上，當(dāng)您查看卷的屬性時(shí)，Windows資源管理器中的“配額”選項(xiàng)卡將會(huì)消失。Windows2000:登錄到Windows2000終端服務(wù)器的非管理員可能會(huì)收到以下錯(cuò)誤消息：Userinit.exe應(yīng)用程序錯(cuò)誤。應(yīng)用程序正常初始化0xc0000142失敗。請(qǐng)單擊“確定”，終止應(yīng)用程序。有關(guān)更多信息，請(qǐng)單擊下面的文章編號(hào)，以查看Microsoft知識(shí)庫(kù)中相應(yīng)的文章：272142(/kb/272142/)用戶在嘗試登錄到終端服務(wù)時(shí)會(huì)自動(dòng)注銷WindowsNT4.0、Windows2000、WindowsXP、WindowsServer2003:在運(yùn)行WindowsNT4.0、Windows2000、WindowsXP或WindowsServer2003的計(jì)算機(jī)上，如果未對(duì)用戶授予“跳過遍歷檢查”用戶權(quán)限，則這些用戶可能無法訪問共享文件夾或共享文件夾中的文件，并且可能收到“AccessDenied”錯(cuò)誤消息。WindowsNT4.0：在基于WindowsNT4.0的計(jì)算機(jī)上，刪除“跳過遍歷檢查”用戶權(quán)限將導(dǎo)致文件復(fù)制過程丟失文件流。如果刪除此用戶權(quán)限，則在將文件從Windows客戶端或Macintosh客戶端復(fù)制到運(yùn)行Macintosh服務(wù)的WindowsNT4.0域控制器時(shí)，會(huì)丟失目標(biāo)文件流，并且該文件會(huì)顯示為純文本文件。MicrosoftWindows95、MicrosoftWindows98：在運(yùn)行Windows95或Windows98的客戶端計(jì)算機(jī)上，如果未向AuthenticatedUsers組授予“跳過遍歷檢查”用戶權(quán)限，則netuse*/home命令會(huì)失敗并顯示“AccessDenied”錯(cuò)誤消息。OutlookWebAccess：如果未向非管理員授予“跳過遍歷檢查”用戶權(quán)限，則他們將無法登錄到MicrosoftOutlookWebAccess.并會(huì)收至U“AccessDenied”錯(cuò)誤消息。安全設(shè)置審核:如果無法記錄安全審核則立即關(guān)閉系統(tǒng)背景“審核:如果無法記錄安全審核則立即關(guān)閉系統(tǒng)”設(shè)置可確定在無法記錄安全事件時(shí)是否關(guān)閉系統(tǒng)。如果審核系統(tǒng)不能記錄這些事件，則可信計(jì)算機(jī)安全評(píng)估標(biāo)準(zhǔn)(TCSEC)方案的C2評(píng)估和信息技術(shù)安全評(píng)估的通用標(biāo)準(zhǔn)需要此設(shè)置以防止發(fā)生可審核事件。如果審核系統(tǒng)失敗，則關(guān)閉系統(tǒng)，并出現(xiàn)停止錯(cuò)誤消息。如果計(jì)算機(jī)不能將事件記錄到安全日志中，則發(fā)生安全事故后可能沒有關(guān)鍵證據(jù)或重要的故障排除信息可供查看。危險(xiǎn)配置以下是一種有害的配置設(shè)置：“審核:如果無法記錄安全審核則立即關(guān)閉系統(tǒng)”設(shè)置打開，并且事件查看器中的安全事件日志的大小受以下選項(xiàng)約束：“不要覆蓋事件(手動(dòng)清除日志)”選項(xiàng)、“按需要覆蓋事件”選項(xiàng)、“覆蓋時(shí)間超過number天的事件”選項(xiàng)。請(qǐng)參見“兼容性問題的示例”部分，了解運(yùn)行最初發(fā)布的Windows2000、Windows2000ServicePack1(SP1)、Windows2000SP2或Windows2000SP3版本的計(jì)算機(jī)的特定風(fēng)險(xiǎn)。啟用此設(shè)置的原因如果計(jì)算機(jī)不能將事件記錄到安全日志中，則發(fā)生安全事故后可能沒有關(guān)鍵證據(jù)或重要的故障排除信息可供查看。禁用此設(shè)置的原因啟用了“審核:如果無法記錄安全審核則立即關(guān)閉系統(tǒng)”設(shè)置后，如果由于任何原因無法記錄安全審核，則會(huì)關(guān)閉系統(tǒng)。如果安全審核日志已滿并且其指定的保留方法為“不要覆蓋事件(手動(dòng)清除日志)”選項(xiàng)或“覆蓋時(shí)間超過number天的事件”選項(xiàng)時(shí)，通常無法記錄事件。如果啟用了“審核:如果無法記錄安全審核則立即關(guān)閉系統(tǒng)”設(shè)置，則可能導(dǎo)致非常重的管理負(fù)擔(dān)，尤其是在您還為安全日志打開了“不要覆蓋事件(手動(dòng)清除日志)”選項(xiàng)的情況下。此設(shè)置可以追查操作員的操作。例如，管理員可以使用內(nèi)置管理員帳戶或其他共享帳戶來重置啟用了審核的組織單位(OU)中所有用戶、計(jì)算機(jī)和組上的權(quán)限，然后拒絕他們重置這些權(quán)限。但是，因?yàn)閷懭氚踩罩镜拇罅康卿浭录推渌踩录赡軙?huì)使服務(wù)器不堪重負(fù)而被迫關(guān)閉，所以啟用此設(shè)置確實(shí)會(huì)降低系統(tǒng)的穩(wěn)定性。另外，因?yàn)椴皇钦ｊP(guān)閉，還可能對(duì)操作系統(tǒng)、程序或數(shù)據(jù)造成無法修復(fù)的損壞。雖然NTFS可以在非正常系統(tǒng)關(guān)閉過程中確保文件系統(tǒng)的完整性得以保持，但它無法保證每個(gè)程序的每個(gè)數(shù)據(jù)文件在系統(tǒng)重新啟動(dòng)后仍處于可以使用的狀態(tài)。符號(hào)名稱：CrashOnAuditFail注冊(cè)表路徑：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail(Reg_DWORD)兼容性問題的示例Windows2000：由于存在錯(cuò)誤，運(yùn)行最初發(fā)布的Windows2000>Windows2000SP1>Windows2000SP2或WindowsServerSP3版本的計(jì)算機(jī)可能在達(dá)到“最大日志大小”選項(xiàng)中指定的安全事件日志大小之前就停止記錄事件。此錯(cuò)誤在Windows2000ServicePack4(SP4)中得到修復(fù)。在考慮啟用此設(shè)置之前，確保您的Windows2000域控制器安裝了Windows2000ServicePack4。Windows2000、WindowsServer2003:如果打開了“審核:如果無法記錄安全審核則立即關(guān)閉系統(tǒng)”設(shè)置，在安全日志已滿并且不能覆蓋現(xiàn)有事件日志項(xiàng)的情況下，運(yùn)行Windows2000或WindowsServer2003的計(jì)算機(jī)可能會(huì)停止響應(yīng)，然后自行重新啟動(dòng)。當(dāng)計(jì)算機(jī)重新啟動(dòng)后，出現(xiàn)以下停止錯(cuò)誤消息：停止:C0000244｛審核失敗｝未能生成安全審核。要進(jìn)行恢復(fù)，管理員必須登錄，對(duì)安全日志進(jìn)行存檔(可選)，清除安全日志，然后重置此選項(xiàng)(可選，根據(jù)需要進(jìn)行)。用于MS-DOS、Windows95、Windows98、WindowsNT4.0、Windows2000、WindowsXP、WindowsServer2003的Microsoft網(wǎng)絡(luò)客戶端：嘗試登錄到域的非管理員會(huì)收到以下錯(cuò)誤消息：您的帳戶配置為阻止您使用該計(jì)算機(jī)。請(qǐng)嘗試其他計(jì)算機(jī)。Windows2000：在基于Windows2000的計(jì)算機(jī)上，非管理員將無法登錄到遠(yuǎn)程訪問服務(wù)器，并且收到類似于以下內(nèi)容的錯(cuò)誤消息：Unknownuserorbadpassword有關(guān)更多信息，請(qǐng)單擊下面的文章編號(hào)，以查看Microsoft知識(shí)庫(kù)中相應(yīng)的文章：285665(/kb/285665/)錯(cuò)誤消息：您的帳戶配置為阻止您使用該計(jì)算機(jī)Windows2000:在Windows2000域控制器上，站點(diǎn)間消息服務(wù)(Ismserv.exe)將停止且無法重新啟動(dòng)。DCDIAG會(huì)將此錯(cuò)誤報(bào)告為“failedtestservicesISMserv”，并在事件日志中記錄事件ID1083。Windows2000：在Windows2000域控制器上，如果安全事件日志已滿，則0ActiveDirectory復(fù)制將失敗并出現(xiàn)“AccessDenied”消息。MicrosoftExchange2000:運(yùn)行Exchange2000的服務(wù)器無法裝入信息存儲(chǔ)數(shù)據(jù)庫(kù)，事件日志中將記錄事件2102。Outlook、OutlookWebAccess:非管理員無法通過MicrosoftOutlook或MicrosoftOutlookWebAccess訪問他們的郵件，并且收到503錯(cuò)誤。域控制器：LDAP服務(wù)器簽名要求背景“域控制器:LDAP服務(wù)器簽名要求”安全設(shè)置可確定輕型目錄訪問協(xié)議(LDAP)服務(wù)器是否需要LDAP客戶端協(xié)商數(shù)據(jù)簽名。此策略設(shè)置的可能值包括：無：綁定到服務(wù)器不需要數(shù)據(jù)簽名。如果客戶端請(qǐng)求數(shù)據(jù)簽名，則服務(wù)器將支持它。要求簽名：除非正在使用傳輸層安全/安全套接字層(TLS/SSL)，否則必須協(xié)商LDAP數(shù)據(jù)簽名選項(xiàng)。未定義：未啟用或禁用此設(shè)置。危險(xiǎn)配置以下是有害的配置設(shè)置：在客戶端不支持LDAP簽名或在客戶端上未啟用客戶端LDAP簽名的環(huán)境中，啟用“要求簽名”在客戶端不支持LDAP簽名或未啟用客戶端LDAP簽名的環(huán)境中，應(yīng)用Windows2000或WindowsServer2003Hisecdc.inf安全模板在客戶端不支持LDAP簽名或未啟用客戶端LDAP簽名的環(huán)境中，應(yīng)用Windows2000或WindowsServer2003Hisecws.inf安全模板啟用此設(shè)置的原因未經(jīng)簽名的網(wǎng)絡(luò)通信容易受到中間人攻擊，入侵者可以捕獲客戶端和服務(wù)器之間的數(shù)據(jù)包，修改數(shù)據(jù)包，然后將它們轉(zhuǎn)發(fā)到服務(wù)器。當(dāng)此行為發(fā)生在LDAP服務(wù)器上時(shí)，攻擊者會(huì)導(dǎo)致服務(wù)器根據(jù)來自LDAP客戶端的錯(cuò)誤查詢而進(jìn)行決策。您可以降低企業(yè)網(wǎng)絡(luò)中的這種風(fēng)險(xiǎn)，方法是實(shí)施嚴(yán)格的物理安全措施以幫助保護(hù)網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)。Internet協(xié)議安全(IPSec)身份驗(yàn)證頭模式可使得發(fā)動(dòng)中間人攻擊非常困難。身份驗(yàn)證頭模式會(huì)為IP通信執(zhí)行相互身份驗(yàn)證和數(shù)據(jù)包完整性檢查。禁用此設(shè)置的原因如果協(xié)商了NTLM身份驗(yàn)證而且在Windows2000域控制器上沒有安裝正確的ServicePack，則不支持LDAP簽名的客戶端將無法對(duì)域控制器和全局編錄執(zhí)行LDAP查詢。客戶端和服務(wù)器間LDAP通信的網(wǎng)絡(luò)跟蹤會(huì)被加密，從而使檢查L(zhǎng)DAP對(duì)話變得困難。如果用支持LDAP簽名的程序管理基于Windows2000的服務(wù)器，并且這些程序是從運(yùn)行Windows2000SP4、WindowsXP或WindowsServer2003的客戶端計(jì)算機(jī)運(yùn)行的，則基于Windows2000的服務(wù)器必須裝有Windows2000ServicePack3(SP3)或更高版本。符號(hào)名稱：LDAPServerIntegrity注冊(cè)表路徑：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity(Reg_DWORD)兼容性問題的示例簡(jiǎn)單綁定會(huì)失敗，您會(huì)收到以下錯(cuò)誤消息：Ldap_simple_bind_s()failed:StrongAuthenticationRequired.Windows2000ServicePack4、WindowsXP、WindowsServer2003:在運(yùn)行Windows2000SP4、WindowsXP或WindowsServer2003的客戶端上，當(dāng)協(xié)商N(yùn)TLM身份驗(yàn)證時(shí)，如果域控制器運(yùn)行的是低于Windows2000SP3的版本，則某些ActiveDirectory管理工具將不能對(duì)該域控制器執(zhí)行正常操作。有關(guān)更多信息，請(qǐng)單擊下面的文章編號(hào)，以查看Microsoft知識(shí)庫(kù)中相應(yīng)的文章：325465(/kb/325465/)使用WindowsServer2003管理工具時(shí)Windows2000域控制器需要SP3或更高版本W(wǎng)indows2000ServicePack4、WindowsXP、WindowsServer2003:在運(yùn)行Windows2000SP4、WindowsXP或WindowsServer2003的客戶端上，如果域控制器運(yùn)行的是低于Windows2000SP3的版本，而以該域控制器為目標(biāo)的某些ActiveDirectory管理工具使用的是IP地址(例如“dsa.msc/server=x.x.x.x”，其中x.x.x.x是IP地址)，則這些管理工具將無法執(zhí)行正常操作。背景“域成員:需要強(qiáng)（Windows2000或以上版本）會(huì)話密鑰”設(shè)置可確定是否可以與不能用128位強(qiáng)會(huì)話密鑰對(duì)安全通道通信進(jìn)行加密的域控制器建立安全通道。啟用此設(shè)置可以防止與不能用強(qiáng)密鑰對(duì)安全通道數(shù)據(jù)進(jìn)行加密的域控制器建立安全通道。禁用此設(shè)置可允許64位會(huì)話密鑰。成員所屬的域中的所有域控制器必須能夠用128位強(qiáng)密鑰對(duì)安全通道數(shù)據(jù)進(jìn)行加密，然后才可以在成員工作站或服務(wù)器上啟用此設(shè)置。這意味著所有這些域控制器都必須運(yùn)行Windows2000或更高版本。危險(xiǎn)配置啟用“域成員：需要強(qiáng)（Windows2000或以上版本）會(huì)話密鑰”設(shè)置是一種有害的配置設(shè)置。啟用此設(shè)置的原因在Windows2000中用于在成員計(jì)算機(jī)和域控制器之間建立安全通道通信的會(huì)話密鑰相對(duì)于在更早版本的Microsoft操作系統(tǒng)中使用的會(huì)話密鑰，安全性更高。最好盡可能地利用這些更強(qiáng)的會(huì)話密鑰，以便協(xié)助保護(hù)安全通道通信免遭“竊聽”和會(huì)話劫持網(wǎng)絡(luò)攻擊?！案`聽”是惡意攻擊的形式之一，網(wǎng)絡(luò)數(shù)據(jù)會(huì)在傳輸過程中被讀取或更改。數(shù)據(jù)可能被修改為隱藏或更改發(fā)送方，或被重定向。重要說明：使用安全通道時(shí)，運(yùn)行WindowsServer2008R2或Windows7的計(jì)算機(jī)僅支持強(qiáng)密鑰。此限制可阻止任何WindowsNT4.0域和任何WindowsServer2008R2域之間的信任。此外，此限制還可以阻止隸屬于WindowsNT4.0域但運(yùn)行Windows7或WindowsServer2008R2的計(jì)算機(jī)，反之亦然。禁用此設(shè)置的原因域中包含一些運(yùn)行除Windows2000、WindowsXP或WindowsServer2003之外的操作系統(tǒng)的成員計(jì)算機(jī)。符號(hào)名稱：StrongKey注冊(cè)表路徑：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey（Reg_DWORD）兼容性問題的示例WindowsNT4.0:在基于WindowsNT4.0的計(jì)算機(jī)上，使用NLTEST重置WindowsNT4.0域和Windows2000域之間信任關(guān)系的安全通道的嘗試失敗，并出現(xiàn)“AccessDenied”錯(cuò)誤消息：主域和受信域間的信任關(guān)系失敗。域成員：對(duì)安全通道數(shù)據(jù)進(jìn)行數(shù)字加密或簽名（總是）背景啟用“域成員:對(duì)安全通道數(shù)據(jù)進(jìn)行數(shù)字加密或簽名（總是）”可以防止與不能對(duì)所有安全通道數(shù)據(jù)進(jìn)行簽名或加密的任何域控制器建立安全通道。為了協(xié)助保護(hù)身份驗(yàn)證通信免遭中間人攻擊、重播攻擊和其他類型的網(wǎng)絡(luò)攻擊，基于Windows的計(jì)算機(jī)可通過NetLogon服務(wù)創(chuàng)建一個(gè)稱為“安全通道”的通信通道，以便對(duì)計(jì)算機(jī)帳戶進(jìn)行身份驗(yàn)證。當(dāng)一個(gè)域中的用戶連接到遠(yuǎn)程域中的網(wǎng)絡(luò)資源時(shí)也可使用安全通道。這種多域身份驗(yàn)證（或稱“過濾身份驗(yàn)證”）允許已加入某個(gè)域的Windows計(jì)算機(jī)訪問該域及任何受信任域中的用戶帳戶數(shù)據(jù)庫(kù)。要在成員計(jì)算機(jī)上啟用“域成員:對(duì)安全通道數(shù)據(jù)進(jìn)行數(shù)字加密或簽名(總是)”設(shè)置，該成員所屬的域中的所有域控制器都必須能夠?qū)λ邪踩ǖ罃?shù)據(jù)進(jìn)行簽名或加密。這意味著所有這些域控制器都必須運(yùn)行裝有ServicePack6a(SP6a)的WindowsNT4.0或更高版本。啟用“域成員:對(duì)安全通道數(shù)據(jù)進(jìn)行數(shù)字加密或簽名(總是)”設(shè)置，則會(huì)自動(dòng)啟用“域成員:對(duì)安全通道數(shù)據(jù)進(jìn)行數(shù)字加密或簽名(如果可能)”設(shè)置。危險(xiǎn)配置在并非所有域控制器都可以簽名或加密安全通道數(shù)據(jù)的域中啟用“域成員:對(duì)安全通道數(shù)據(jù)進(jìn)行數(shù)字加密或簽名(總是)”設(shè)置是一種有害的配置設(shè)置。啟用此設(shè)置的原因未經(jīng)簽名的網(wǎng)絡(luò)通信容易受到中間人攻擊，入侵者可以捕獲服務(wù)器和客戶端之間的數(shù)據(jù)包，對(duì)數(shù)據(jù)包進(jìn)行修改，然后將數(shù)據(jù)包轉(zhuǎn)發(fā)到客戶端。當(dāng)此行為發(fā)生在輕型目錄訪問協(xié)議(LDAP)服務(wù)器上時(shí)，入侵者會(huì)導(dǎo)致客戶端根據(jù)LDAP目錄中的錯(cuò)誤記錄而進(jìn)行決策。您可以降低企業(yè)網(wǎng)絡(luò)遭受這種攻擊的風(fēng)險(xiǎn)，方法是實(shí)施嚴(yán)格的物理安全措施以幫助保護(hù)網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)。另外，實(shí)施Internet協(xié)議安全(IPSec)身份驗(yàn)證頭模式可使得發(fā)動(dòng)各種中間人攻擊非常困難。此模式可為IP通信執(zhí)行相互身份驗(yàn)證和數(shù)據(jù)包完整性檢查。禁用此設(shè)置的原因本地或外部域中的計(jì)算機(jī)支持加密的安全通道。并非域中所有的域控制器都具有適當(dāng)?shù)腟ervicePack版本級(jí)別來支持加密的安全通道。符號(hào)名稱：StrongKey注冊(cè)表路徑：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal(REG_DWORD)兼容性問題的示例WindowsNT4.0：基于Windows2000的成員計(jì)算機(jī)無法加入WindowsNT4.0域，并會(huì)收到以下錯(cuò)誤消息：此帳戶并未得到從這個(gè)工作站登錄的授權(quán)。WindowsNT4.0：WindowsNT4.0域無法與Windows2000域建立下級(jí)信任，并收到以下錯(cuò)誤消息：此帳戶并未得到從這個(gè)工作站登錄的授權(quán)。現(xiàn)有的下級(jí)信任可能也無法對(duì)來自受信任域的用戶進(jìn)行身份驗(yàn)證。某些用戶可能很難登錄到該域中，他們可能會(huì)收到錯(cuò)誤消息，指出客戶端無法找到該域。WindowsXP：加入到WindowsNT4.0域中的WindowsXP客戶端無法對(duì)登錄嘗試進(jìn)行身份驗(yàn)證，并且可能收到以下錯(cuò)誤消息，或者在事件日志中記錄以下事件：Windows無法與此域連接，因?yàn)橛蚩刂破鞔嬖诠收匣虿豢捎茫蛘邲]有找到計(jì)算機(jī)帳戶事件5723:從計(jì)算機(jī)ComputerName設(shè)置會(huì)話失敗，無法進(jìn)行身份驗(yàn)證。安全數(shù)據(jù)庫(kù)中引用的帳戶名稱是ComputerName。出現(xiàn)以下錯(cuò)誤:訪問被拒絕。事件3227:因?yàn)镾erverName不支持簽名或封裝Netlogon會(huì)話，所以域DomainName的WindowsNT或Windows2000域控制器ServerName的會(huì)話設(shè)置失敗。升級(jí)域控制器，或者將此計(jì)算機(jī)上的RequireSignOrSeal注冊(cè)表項(xiàng)設(shè)置為0。登錄失敗：用戶名未知或密碼錯(cuò)誤。指定的登錄會(huì)話沒有用戶會(huì)話密鑰。Microsoft網(wǎng)絡(luò)客戶端：數(shù)字簽名的通信（總是）背景ServerMessengerBlock（SMB）是許多Microsoft操作系統(tǒng)支持的資源共享協(xié)議；它是網(wǎng)絡(luò)基本輸入/輸出系統(tǒng)（NetBIOS）和許多其他協(xié)議的基礎(chǔ)。SMB簽名對(duì)用戶和承載數(shù)據(jù)的服務(wù)器都進(jìn)行身份驗(yàn)證。如果任何一方未能通過身份驗(yàn)證過程，則不發(fā)生數(shù)據(jù)傳輸。SMB協(xié)議協(xié)商過程中將啟用SMB簽名。SMB簽名策略可確定計(jì)算機(jī)是否始終對(duì)客戶端通信進(jìn)行數(shù)字簽名。Windows2000SMB身份驗(yàn)證協(xié)議支持相互身份驗(yàn)證。相互身份驗(yàn)證可阻止“中間人”攻擊。Windows2000SMB身份驗(yàn)證協(xié)議還支持消息身份驗(yàn)證。消息身份驗(yàn)證可幫助阻止活動(dòng)消息攻擊。為了提供此身份驗(yàn)證，SMB簽名將向每個(gè)SMB中放入數(shù)字簽名。客戶端和服務(wù)器會(huì)分別驗(yàn)證此數(shù)字簽名。要使用SMB簽名，必須在SMB客戶端和SMB服務(wù)器上啟用SMB簽名或要求SMB簽名。如果在服務(wù)器上啟用了SMB簽名，那么啟用了SMB簽名的客戶端將在所有后續(xù)會(huì)話中使用該數(shù)據(jù)包簽名協(xié)議。如果服務(wù)器需要SMB簽名，那么除非客戶端啟用或請(qǐng)求SMB簽名，否則該客戶端無法建立會(huì)話。在高安全性網(wǎng)絡(luò)中啟用數(shù)字簽名有助于防止對(duì)客戶端和服務(wù)器的模擬。這種類型的模擬稱為會(huì)話劫持。能夠訪問客戶端或服務(wù)器所在網(wǎng)絡(luò)的攻擊者會(huì)使用會(huì)話劫持工具中斷、結(jié)束或竊取正在進(jìn)行的會(huì)話。攻擊者可以截獲并修改未經(jīng)簽名的SMB數(shù)據(jù)包，修改通信，然后轉(zhuǎn)發(fā)該數(shù)據(jù)包，這樣服務(wù)器就可能執(zhí)行您不想執(zhí)行的操作?；蛘撸粽呖赡茉诮?jīng)過合法身份驗(yàn)證后偽裝成服務(wù)器或客戶端，然后對(duì)數(shù)據(jù)進(jìn)行未經(jīng)授權(quán)的訪問。在運(yùn)行Windows2000Server、Windows2000Professional、WindowsXPProfessional或WindowsServer2003的計(jì)算機(jī)中，用于文件共享和打印共享的SMB協(xié)議支持相互身份驗(yàn)證。相互身份驗(yàn)證可以防止會(huì)話劫持攻擊并支持消息身份驗(yàn)證。因此，它可以防止中間人攻擊。SMB簽名通過在每個(gè)SMB中放置數(shù)字簽名來提供這種身份驗(yàn)證，隨后客戶端和服務(wù)器都會(huì)驗(yàn)證該簽名。汪意另一個(gè)可用來保護(hù)所有網(wǎng)絡(luò)通信的對(duì)策是啟用帶有IPSec的數(shù)字簽名。IPSec加密和簽名具有基于硬件的加速器，可用來盡量減小來自服務(wù)器CPU的性能影響，而SMB簽名沒有這樣的加速器。由于在改寫域策略時(shí)，對(duì)本地注冊(cè)表值的更改不起作用，因此需要通過組策略對(duì)象編輯器配置SMB簽名。在Windows95、Windows98和Windows98SecondEdition中，目錄服務(wù)客戶端在通過NTLM身份驗(yàn)證向WindowsServer2003服務(wù)器驗(yàn)證身份時(shí)使用SMB簽名。但是，目錄服務(wù)客戶端在通過NTLMv2身份驗(yàn)證向這些服務(wù)器驗(yàn)證身份時(shí)并不使用SMB簽名。另外，Windows2000服務(wù)器不響應(yīng)來自這些客戶端的SMB簽名請(qǐng)求。請(qǐng)參見第10條：“網(wǎng)絡(luò)安全：LanManager身份驗(yàn)證級(jí)別”。危險(xiǎn)配置以下是一種有害的配置設(shè)置：將“Microsoft網(wǎng)絡(luò)客戶端擻字簽名的通信（總是）”設(shè)置和“Microsoft網(wǎng)絡(luò)客戶端:數(shù)字簽名的通信（若服務(wù)器同意）”設(shè)置同時(shí)保留為“未定義”，或?qū)⑺鼈兺瑫r(shí)禁用。這些設(shè)置允許重定向器在身份驗(yàn)證過程中將純文本密碼發(fā)送到不支持密碼加密的非MicrosoftSMB服務(wù)器。啟用此設(shè)置的原因啟用“Microsoft網(wǎng)絡(luò)客戶端:數(shù)字簽名的通信（總是）”要求客戶端在與不需要SMB簽名的服務(wù)器聯(lián)系時(shí)對(duì)SMB通信進(jìn)行簽名，從而使客戶端不易受到會(huì)話劫持攻擊。禁用此設(shè)置的原因啟用“Microsoft網(wǎng)絡(luò)客戶端:數(shù)字簽名的通信（總是）”可以防止客戶端與不支持SMB簽名的目標(biāo)服務(wù)器進(jìn)行通信配置計(jì)算機(jī)忽略所有未經(jīng)簽名的SMB通信可以防止較早的程序和操作系統(tǒng)進(jìn)行連接。符號(hào)名稱：RequireSMBSignRdr注冊(cè)表路徑：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature兼容性問題的示例WindowsNT4.0：您將無法使用NLTEST或NETDOM重置WindowsServer2003域和WindowsNT4.0域之間信任的安全通道，并會(huì)收到“AccessDenied”錯(cuò)誤消息。WindowsXP：如果將文件從WindowsXP客戶端復(fù)制到基于Windows2000的服務(wù)器和基于WindowsServer2003的服務(wù)器，則可能要花費(fèi)更長(zhǎng)的時(shí)間。您將無法映射啟用了此設(shè)置的客戶端中的網(wǎng)絡(luò)驅(qū)動(dòng)器，并會(huì)收到以下錯(cuò)誤消息：此帳戶并未得到從這個(gè)工作站登錄的授權(quán)。重新啟動(dòng)要求重新啟動(dòng)計(jì)算機(jī)，或重新啟動(dòng)工作站服務(wù)。為此，請(qǐng)?jiān)诿钐崾痉庢I入下列命令，在鍵入每個(gè)命令后按Enter：netstopworkstationnetstartworkstationMicrosoft網(wǎng)絡(luò)服務(wù)器：數(shù)字簽名的通信（總是）背景ServerMessengerBlock（SMB）是許多Microsoft操作系統(tǒng)支持的資源共享協(xié)議；它是網(wǎng)絡(luò)基本輸入/輸出系統(tǒng)（NetBIOS）和許多其他協(xié)議的基礎(chǔ)。SMB簽名對(duì)用戶和承載數(shù)據(jù)的服務(wù)器都進(jìn)行身份驗(yàn)證。如果任何一方未能通過身份驗(yàn)證過程，則不發(fā)生數(shù)據(jù)傳輸。SMB協(xié)議協(xié)商過程中將啟用SMB簽名。SMB簽名策略可確定計(jì)算機(jī)是否始終對(duì)客戶端通信進(jìn)行數(shù)字簽名。Windows2000SMB身份驗(yàn)證協(xié)議支持相互身份驗(yàn)證。相互身份驗(yàn)證可阻止“中間人”攻擊。Windows2000SMB身份驗(yàn)證協(xié)議還支持消息身份驗(yàn)證。消息身份驗(yàn)證可幫助阻止活動(dòng)消息攻擊。為了提供此身份驗(yàn)證，SMB簽名將向每個(gè)SMB中放入數(shù)字簽名。客戶端和服務(wù)器會(huì)分別驗(yàn)證此數(shù)字簽名。要使用SMB簽名，必須在SMB客戶端和SMB服務(wù)器上啟用SMB簽名或要求SMB簽名。如果在服務(wù)器上啟用了SMB簽名，那么啟用了SMB簽名的客戶端將在所有后續(xù)會(huì)話中使用該數(shù)據(jù)包簽名協(xié)議。如果服務(wù)器需要SMB簽名，那么除非客戶端啟用或請(qǐng)求SMB簽名，否則該客戶端無法建立會(huì)話。在高安全性網(wǎng)絡(luò)中啟用數(shù)字簽名有助于防止對(duì)客戶端和服務(wù)器的模擬。這種類型的模擬稱為會(huì)話劫持。能夠訪問客戶端或服務(wù)器所在網(wǎng)絡(luò)的攻擊者會(huì)使用會(huì)話劫持工具中斷、結(jié)束或竊取正在進(jìn)行的會(huì)話。攻擊者可以截獲并修改未經(jīng)簽名的子網(wǎng)帶寬管理器（SBM）數(shù)據(jù)包，修改通信，然后轉(zhuǎn)發(fā)該數(shù)據(jù)包，這樣服務(wù)器就可能執(zhí)行您不想執(zhí)行的操作?；蛘?，攻擊者可能在經(jīng)過合法身份驗(yàn)證后偽裝成服務(wù)器或客戶端，然后對(duì)數(shù)據(jù)進(jìn)行未經(jīng)授權(quán)的訪問。在運(yùn)行Windows2000Server、Windows2000Professional、WindowsXPProfessional或WindowsServer2003的計(jì)算機(jī)中，用于文件共享和打印共享的SMB協(xié)議支持相互身份驗(yàn)證。相互身份驗(yàn)證可以防止會(huì)話劫持攻擊并支持消息身份驗(yàn)證。因此，它可以防止中間人攻擊。SMB簽名通過在每個(gè)SMB中放置數(shù)字簽名來提供這種身份驗(yàn)證，隨后客戶端和服務(wù)器都會(huì)驗(yàn)證該簽名。另一個(gè)可用來保護(hù)所有網(wǎng)絡(luò)通信的對(duì)策是啟用帶有IPSec的數(shù)字簽名。IPSec加密和簽名具有基于硬件的加速器，可用來盡量減小來自服務(wù)器CPU的性能影響，而SMB簽名沒有這樣的加速器。在Windows95、Windows98和Windows98SecondEdition中，目錄服務(wù)客戶端在通過NTLM身份驗(yàn)證向WindowsServer2003服務(wù)器驗(yàn)證身份時(shí)使用SMB簽名。但是，目錄服務(wù)客戶端在通過NTLMv2身份驗(yàn)證向這些服務(wù)器驗(yàn)證身份時(shí)并不使用SMB簽名。另夕卜，Windows2000服務(wù)器不響應(yīng)來自這些客戶端的SMB簽名請(qǐng)求。請(qǐng)參見第10條：“網(wǎng)絡(luò)安全：LanManager身份驗(yàn)證級(jí)別”。危險(xiǎn)配置以下是一種有害的配置設(shè)置：在本地域或外部域中，當(dāng)不兼容的基于Windows和第三方操作系統(tǒng)的客戶端計(jì)算機(jī)進(jìn)行訪問時(shí)，在服務(wù)器和域控制器上啟用“Microsoft網(wǎng)絡(luò)服務(wù)器:數(shù)字簽名的通信（總是）”設(shè)置。啟用此設(shè)置的原因直接通過注冊(cè)表或通過組策略設(shè)置啟用此設(shè)置的所有客戶端計(jì)算機(jī)都支持SMB簽名。換句話說，啟用了此設(shè)置的所有客戶端計(jì)算機(jī)都可運(yùn)行Windows95（安裝了DS客戶端）、Windows98、WindowsNT4.0、Windows2000、WindowsXPProfessional或WindowsServer2003。如果禁用了“Microsoft網(wǎng)絡(luò)服務(wù)器:數(shù)字簽名的通信（總是）”，則完全禁用SMB簽名。完全禁用所有SMB簽名將使計(jì)算機(jī)更容易受到會(huì)話劫持攻擊。禁用此設(shè)置的原因啟用此設(shè)置可能導(dǎo)致客戶端計(jì)算機(jī)上的文件復(fù)制速度更慢、網(wǎng)絡(luò)性能降低。啟用此設(shè)置將阻止無法協(xié)商SMB簽名的客戶端與服務(wù)器和域控制器進(jìn)行通信。這會(huì)導(dǎo)致某些操作(例如域加入、用戶和計(jì)算機(jī)身份驗(yàn)證或者程序?qū)W(wǎng)絡(luò)的訪問)失敗。符號(hào)名稱：RequireSMBSignServer注冊(cè)表路徑：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature(REG_DWORD)兼容性問題的示例Windows95：未安裝目錄服務(wù)(DS)客戶端的Windows95客戶端將無法成功通過登錄身份驗(yàn)證，并會(huì)收到以下錯(cuò)誤消息：您提供的域密碼不正確，或訪問登錄服務(wù)器被拒絕。錯(cuò)誤消息：發(fā)生系統(tǒng)錯(cuò)誤1240。此帳戶并未得到從這個(gè)工作站登錄的授權(quán)。166730(/kb/166730/)未加密的密碼可能導(dǎo)致SP3無法連接到SMB服務(wù)器WindowsServer2003：默認(rèn)情況下，運(yùn)行WindowsServer2003的域控制器上的安全設(shè)置被配置為幫助防止惡意用戶截獲或篡改域控制器通信。為了使用戶與運(yùn)行WindowsServer2003的域控制器成功通信，客戶端計(jì)算機(jī)必須同時(shí)使用SMB簽名和加密，或者使用安全通道通信簽名。默認(rèn)情況下，運(yùn)行安裝了ServicePack2(SP2)或更早版本的WindowsNT4.0客戶端和運(yùn)行Windows95的客戶端未啟用SMB數(shù)據(jù)包簽名。因此，這些客戶端可能無法向基于WindowsServer2003的域控制器進(jìn)行身份驗(yàn)證。Windows2000和WindowsServer2003策略設(shè)置：根據(jù)您的具體安裝要求和配置，我們建議您在Microsoft管理控制臺(tái)的“組策略編輯器”管理單元層次結(jié)構(gòu)中所需范圍的最低實(shí)體處設(shè)置下面的策略設(shè)置：計(jì)算機(jī)配置\Windows安全設(shè)置\安全選項(xiàng)發(fā)送未加密的密碼以連接到第三方SMB服務(wù)器(此設(shè)置適用于Windows2000。)Microsoft網(wǎng)絡(luò)客戶端：發(fā)送未加密的密碼到第三方SMB服務(wù)器(此設(shè)置適用于WindowsServer2003。)注意：在某些第三方CIFS服務(wù)器(如較早的Samba版本)中，不能使用加密的密碼。以下客戶端與“Microsoft網(wǎng)絡(luò)服務(wù)器:數(shù)字簽名的通信(總是)”設(shè)置不兼容：AppleComputer,Inc.，MacOSX客戶端MicrosoftMS-DOS網(wǎng)絡(luò)客戶端(如MicrosoftLANManager)MicrosoftWindowsforWorkgroups客戶端未安裝DS客戶端的MicrosoftWindows95客戶端未安裝SP3或更高版本的基于MicrosoftWindowsNT4.0的計(jì)算機(jī)NovellNetware6CIFS客戶端不支持SMB簽名的SAMBASMB客戶端重新啟動(dòng)要求重新啟動(dòng)計(jì)算機(jī)，或重新啟動(dòng)服務(wù)器服務(wù)。為此，請(qǐng)?jiān)诿钐崾痉庢I入下列命令，在鍵入每個(gè)命令后按Enter：netstopservernetstartserver網(wǎng)絡(luò)訪問：允許匿名SID/名稱轉(zhuǎn)換背景“網(wǎng)絡(luò)訪問:允許匿名SID/名稱轉(zhuǎn)換”安全設(shè)置可確定匿名用戶是否可以請(qǐng)求另一用戶的安全標(biāo)識(shí)號(hào)(SID)屬性。危險(xiǎn)配置啟用“網(wǎng)絡(luò)訪問:允許匿名SID/名稱轉(zhuǎn)換”設(shè)置是一種有害的配置設(shè)置。啟用此設(shè)置的原因如果禁用“網(wǎng)絡(luò)訪問:允許匿名SID/名稱轉(zhuǎn)換”設(shè)置，較早的操作系統(tǒng)或應(yīng)用程序可能無法與WindowsServer2003域進(jìn)行通信。例如，以下操作系統(tǒng)、服務(wù)或應(yīng)用程序可能無法工作：基于WindowsNT4.0的“遠(yuǎn)程訪問服務(wù)”服務(wù)器在基于WindowsNT3.x或基于WindowsNT4.0的計(jì)算機(jī)上運(yùn)行的MicrosoftSQLServer在WindowsNT3.x域或WindowsNT4.0域中的基于Windows2000的計(jì)算機(jī)上運(yùn)行的遠(yuǎn)程訪問服務(wù)在WindowsNT3.x域或WindowsNT4.0域中基于Windows2000的計(jì)算機(jī)上運(yùn)行的SQLServer在WindowsNT4.0資源域中，要向包含WindowsServer2003域控制器的帳戶域中的用戶帳戶授予訪問文件、共享文件夾和注冊(cè)表對(duì)象的權(quán)限的用戶禁用此設(shè)置的原因如果啟用了此設(shè)置，惡意用戶可能會(huì)使用已知的管理員SID獲得內(nèi)置管理員帳戶的真實(shí)名稱，即使該帳戶已重命名。然后，此人可以使用該帳戶名發(fā)動(dòng)密碼猜測(cè)攻擊。符號(hào)名稱：N/A注冊(cè)表路徑：無。該路徑用UI代碼指定。兼容性問題的示例WindowsNT4.0：如果使用駐留在包含WindowsServer2003域控制器的帳戶域中的安全主體對(duì)資源(包括共享文件夾、共享文件和注冊(cè)表對(duì)象)進(jìn)行保護(hù)，則WindowsNT4.0資源域中的計(jì)算機(jī)將在ACL編輯器中顯示“AccountUnknown”錯(cuò)誤消息。網(wǎng)絡(luò)訪問：不允許SAM帳戶的匿名枚舉背景“網(wǎng)絡(luò)訪問:不允許SAM帳戶的匿名枚舉”設(shè)置可確定為了能夠匿名連接到計(jì)算機(jī)，需要授予哪些權(quán)限。Windows允許匿名用戶執(zhí)行某些活動(dòng)，例如枚舉工作站和服務(wù)器安全帳戶管理器(SAM)帳戶和網(wǎng)絡(luò)共享的名稱。例如，管理員可以使用此功能向不維護(hù)可逆信任的受信任域中的用戶授予訪問權(quán)限。根據(jù)對(duì)象的“網(wǎng)絡(luò)訪問:讓每個(gè)人(Everyone)權(quán)限應(yīng)用于匿名用戶”設(shè)置或隨機(jī)訪問控制列表(DACL)中的設(shè)置，實(shí)現(xiàn)會(huì)話以后，匿名用戶可能會(huì)被授予與Everyone組相同的訪問權(quán)限。通常情況下，在SMB會(huì)話設(shè)置過程中，早期版本的客戶端(下級(jí)客戶端)會(huì)請(qǐng)求匿名連接。在這些情況下，網(wǎng)絡(luò)跟蹤顯示SMB進(jìn)程ID(PID)為客戶端重新定向器(如在Windows2000中為0xFEFF，在WindowsNT中為0xCAFE)。RPC也可能嘗試進(jìn)行匿名連接。重要說明：此設(shè)置對(duì)域控制器沒有影響。在域控制器上，此行為由“Pre-Windows2000compatibleAccess"中是否存在“NTAUTHORITYANONYMOUSLOGON”控制。在Windows2000中，一個(gè)類似的設(shè)置“對(duì)匿名連接的額外限制”可管理RestrictAnonymous注冊(cè)表值。該值的位置是：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA限制用于匿名登錄用戶的信息危險(xiǎn)配置：?jiǎn)⒂谩熬W(wǎng)絡(luò)訪問:不允許SAM帳戶的匿名枚舉”設(shè)置是一種有害的配置設(shè)置；但從安全性角度來講，禁用此設(shè)置也是一種有害的配置設(shè)置。啟用此設(shè)置的原因未經(jīng)授權(quán)的用戶可以匿名列出帳戶名，然后使用這些信息猜測(cè)密碼或發(fā)動(dòng)，社交工程"（socialengineering）攻擊?！吧缃还こ獭笔且粋€(gè)術(shù)語，指以欺騙手段使人們泄漏他們的密碼或某些形式的安全信息。禁用此設(shè)置的原因如果啟用此設(shè)置，則無法與WindowsNT4.0域建立信任。此設(shè)置還將導(dǎo)致下級(jí)客戶端（例如，嘗試使用服務(wù)器上的資源的WindowsNT3.51客戶端和Windows95客戶端）出現(xiàn)問題。符號(hào)名稱：RestrictAnonymousSAM注冊(cè)表路徑：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM（Reg_DWORD）兼容性問題的示例SMSNetworkDiscovery（SMS網(wǎng)絡(luò)發(fā)現(xiàn)）將無法獲得操作系統(tǒng)信息，并在OperatingSystemNameandVbrsion屬性中寫入“Unknown"。Windows95、Windows98：Windows95客戶端和Windows98客戶端將無法更改其密碼。WindowsNT4.0：基于WindowsNT4.0的成員計(jì)算機(jī)將無法通過身份驗(yàn)證。Windows95、Windows98:基于Windows95和基于Windows98的計(jì)算機(jī)將無法通過Microsoft域控制器的身份驗(yàn)證。Windows95、Windows98：基于Windows95和基于Windows98的計(jì)算機(jī)上的用戶將無法更改其用戶帳戶的密碼。網(wǎng)絡(luò)訪問:不允許SAM帳戶和共享的匿名枚舉背景“網(wǎng)絡(luò)訪問:不允許SAM帳戶和共享的匿名枚舉”設(shè)置（也稱為“RestrictAnonymous”）可確定是否允許對(duì)安全帳戶管理器（SAM）帳戶和共享的匿名枚舉。Windows允許匿名用戶執(zhí)行某些操作，例如枚舉域帳戶（用戶、計(jì)算機(jī)和組）和網(wǎng)絡(luò)共享的名稱。在某些情況下這很方便，例如，在管理員要向不維護(hù)可逆信任的受信任域中的用戶授予訪問權(quán)限時(shí)。如果您不想允許SAM帳戶和共享的匿名枚舉，請(qǐng)啟用此設(shè)置。在Windows2000中，一個(gè)類似的設(shè)置“對(duì)匿名連接的額外限制”可管理RestrictAnonymous注冊(cè)表值。該值的位置是：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA危險(xiǎn)配置啟用“網(wǎng)絡(luò)訪問:不允許SAM帳戶和共享的匿名枚舉”設(shè)置是一種有害的配置設(shè)置。啟用此設(shè)置的原因啟用“網(wǎng)絡(luò)訪問:不允許SAM帳戶和共享的匿名枚舉”設(shè)置可以防止使用匿名帳戶的用戶和計(jì)算機(jī)進(jìn)行SAM帳戶和共享的枚舉。禁用此設(shè)置的原因如果啟用了此設(shè)置，未經(jīng)授權(quán)的用戶便可以匿名列出帳戶名，然后使用這些信息嘗試猜測(cè)密碼或發(fā)動(dòng)“社交工程”攻擊?！吧缃还こ獭笔且粋€(gè)術(shù)語，指欺騙人們暴露他們的密碼或某些形式的安全信息。如果啟用此設(shè)置，則無法與WindowsNT4.0域建立信任。此設(shè)置還將導(dǎo)致下級(jí)客戶端(例如，嘗試使用服務(wù)器上資源的WindowsNT3.51和Windows95客戶端)出現(xiàn)問題。因?yàn)樾湃斡蛑械墓芾韱T不能枚舉其他域中帳戶的列表，所以無法向資源域的用戶授予訪問權(quán)限。匿名訪問文件服務(wù)器和打印服務(wù)器的用戶將無法列出這些服務(wù)器上的共享網(wǎng)絡(luò)資源;用戶必須先進(jìn)行身份驗(yàn)證，然后才可以查看共享文件夾和打印機(jī)的列表。符號(hào)名稱：RestrictAnonymous注冊(cè)表路徑：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous兼容性問題的示例WindowsNT4.0：當(dāng)用戶的域中的域控制器上啟用7"RestrictAnonymous”時(shí)，用戶將無法從WindowsNT4.0工作站更改其密碼。有關(guān)更多信息，請(qǐng)單擊下面的文章編號(hào)，以查看錯(cuò)誤消息：acontrollerforthisdomaincouldnotbefound(無法找到此域的控制器)WindowsNT4.0：WindowsNT4.0：在受信任域上啟用了“RestrictAnonymous”時(shí)，與WindowsNT4.0資源域建立下級(jí)信任將會(huì)失敗，出現(xiàn)以下錯(cuò)誤消息：找不到此域的域控制器。有關(guān)更多信息，請(qǐng)單擊下面的文章編號(hào)，以查看Microsoft知識(shí)庫(kù)中相應(yīng)的文章：178640(/kb/178640/)建立信任時(shí)無法找到域控制器WindowsNT4.0：登錄到基于WindowsNT4.0的終端服務(wù)器計(jì)算機(jī)的用戶將映射到默認(rèn)主目錄，而不是在用戶管理器中為域定義的主目錄。有關(guān)更多信息，請(qǐng)單擊下面的文章編號(hào)，以查看Microsoft知識(shí)庫(kù)中相應(yīng)的文章：236185(/kb/236185/)應(yīng)用SP4或更高版本后將忽略終端服務(wù)器用戶配置文件和主文件夾路徑WindowsNT4.0：WindowsNT4.0備份域控制器(BDC)將無法啟動(dòng)NetLogon服務(wù)、獲得備份瀏覽器的列表或同步同一域中Windows2000或WindowsServer2003域控制器上的SAM數(shù)據(jù)庫(kù)。有關(guān)更多信息，請(qǐng)單擊下面的文章編號(hào)，以查看Microsoft知識(shí)庫(kù)中相應(yīng)的文章：293127(/kb/293127/)WindowsNT4.0BDC的NetLogon服務(wù)在Windows2000域中不起作用Windows2000:如果在客戶端計(jì)算機(jī)的本地安全策略中啟用了“沒有顯式匿名權(quán)限就無法訪問”設(shè)置，則WindowsNT4.0域中的基于Windows2000的成員計(jì)算機(jī)將無法查看外部域中的打印機(jī)。RestrictAnonymous值中斷混合域環(huán)境中的信任ADMT版本2：使用ActiveDirectory遷移工具（ADMT）版本2在各林間遷移的用戶帳戶的密碼遷移將會(huì)失敗。有關(guān)更多信息，請(qǐng)單擊下面的文章編號(hào)，以查看Microsoft知識(shí)庫(kù)中相應(yīng)的文章：322981（/kb/322981/）如何解決在使用ADMTv2遷移Inter-Forest（跨樹系）密碼時(shí)所出現(xiàn)的問題Outlook客戶端：對(duì)于MicrosoftExchangeOutlook客戶端，全球通信簿顯示為空。如何確定何時(shí)生成客戶端配置請(qǐng)求SMS：當(dāng)使用SMS管理員用戶向?qū)g覽用戶和組時(shí)，不會(huì)列出任何用戶和組。此外，高級(jí)客戶端也無法與管理點(diǎn)進(jìn)行通信。網(wǎng)絡(luò)安全：LanManager身份驗(yàn)證級(jí)別背景LANManager（LM）身份驗(yàn)證是用于驗(yàn)證Windows客戶端以進(jìn)行網(wǎng)絡(luò)操作（包括域加入、訪問網(wǎng)絡(luò)資源以及用戶或計(jì)算機(jī)身份驗(yàn)證）的協(xié)議。LM身份驗(yàn)證級(jí)別可確定在客戶端和服務(wù)器計(jì)算機(jī)之間協(xié)商哪個(gè)質(zhì)詢/響應(yīng)身份驗(yàn)證協(xié)議。確切地說，LM身份驗(yàn)證級(jí)別可確定客戶端會(huì)嘗試協(xié)商或服務(wù)器會(huì)接受哪些身份驗(yàn)證協(xié)議。設(shè)置的LmCompatibilityLevel值可確定將哪種質(zhì)詢/響應(yīng)身份驗(yàn)證協(xié)議用于網(wǎng)絡(luò)登錄。該值會(huì)影響客戶端使用的身份驗(yàn)證協(xié)議級(jí)別、協(xié)商的會(huì)話安全級(jí)別以及服務(wù)器接受的身份驗(yàn)證級(jí)別，具體請(qǐng)參見下表。可能的設(shè)置包括以下內(nèi)容。收起該表格展開該表格值設(shè)置說明0發(fā)送LM和NTLM響應(yīng)客戶端使用LM和NTLM身份驗(yàn)證而從不使用NTLMv2會(huì)話安全;域控制器接受LM、NTLM和NTLMv2身份驗(yàn)證。1發(fā)送LM和NTLM-若協(xié)商使用NTLMv2會(huì)話安全客戶端使用LM和NTLM身份驗(yàn)證并使用NTLMv2會(huì)話安全（如果服務(wù)器支持）；域控制器接受LM、NTLM和NTLMv2身份驗(yàn)證。2僅發(fā)送NTLM響應(yīng)客戶端只使用NTLM身份驗(yàn)證并使用NTLMv2會(huì)話安全（如果服務(wù)器支持）；域控制器接受LM、NTLM和NTLMv2身份驗(yàn)證。3僅發(fā)送NTLMv2響應(yīng)客戶端只使用NTLMv2身份驗(yàn)證并使用NTLMv2會(huì)話安全（如果服務(wù)器支持）；域控制器接受LM、NTLM和NTLMv2身份驗(yàn)證。4僅發(fā)送NTLMv2響應(yīng)/拒絕LM客戶端只使用NTLMv2身份驗(yàn)證并在服務(wù)器支持時(shí)使用NTLMv2會(huì)話安全。域控制器拒絕LM，而只接受NTLM和NTLMv2身份驗(yàn)證。

僅發(fā)送NTLMv2響應(yīng)/拒絕LM和NTLM客戶端只使用NTLMv2身份驗(yàn)證并使用NTLMv2會(huì)話安全（如果服務(wù)器支持）；域控制器僅發(fā)送NTLMv2響應(yīng)/拒絕LM和NTLM注意：在Windows95、Windows98和Windows98SecondEdition中，目錄服務(wù)客戶端在通過NTLM身份驗(yàn)證向WindowsServer2003服務(wù)器驗(yàn)證身份時(shí)使用SMB簽名。但是，目錄服務(wù)客戶端在通過NTLMv2身份驗(yàn)證向這些服務(wù)器驗(yàn)證身份時(shí)并不使用SMB簽名。另外，Windows2000服務(wù)器不響應(yīng)來自這些客戶端的SMB簽名請(qǐng)求。檢查L(zhǎng)M身份驗(yàn)證級(jí)別必須更改服務(wù)器上的策略以允許使用NTLM，或者必須配置客戶端計(jì)算機(jī)以支持NTLMv2。如果要連接到的目標(biāo)計(jì)算機(jī)上的策略設(shè)置為“（5）僅發(fā)送NTLMv2響應(yīng)\拒絕LM和NTLM”，那么必須降低該計(jì)算機(jī)上的設(shè)置，或者對(duì)安全性進(jìn)行設(shè)置使其與要從中進(jìn)行連接的源計(jì)算機(jī)的設(shè)置相同。找到可以更改LANManager身份驗(yàn)證級(jí)別的正確位置，以便將客戶端和服務(wù)器設(shè)置為同一級(jí)別。找到設(shè)置LANManager身份驗(yàn)證級(jí)別的策略后，如果您希望與運(yùn)行較早版本W(wǎng)indows的計(jì)算機(jī)建立連接，請(qǐng)將該值至少降低至?xí)纾?）發(fā)送LM和NTLM-若協(xié)商則使用NTLMv2會(huì)話安全”。不兼容設(shè)置的一個(gè)結(jié)果便是：如果服務(wù)器需要NTLMv2（值5），但客戶端配置為僅使用LM和NTLMvl（值0），則嘗試身份驗(yàn)證的用戶會(huì)因使用了無效密碼而無法登錄，同時(shí)會(huì)因此增加無效密碼計(jì)數(shù)。如果配置了帳戶鎖定，則可能最終會(huì)鎖定該用戶。例如，您可能必須查看域控制器，或者查看域控制器的策略。查看域控制器注意：您可能必須在所有域控制器上重復(fù)以下過程。單擊“開始”，指向“程序”，然后單擊“管理工具”。在“本地安全設(shè)置”下，展開“本地策略”。單擊“安全選項(xiàng)”。雙擊“網(wǎng)絡(luò)安全:LANManager身份驗(yàn)證級(jí)別”，然后單擊列表中的適當(dāng)值。如果“有效設(shè)置”與“本地設(shè)置”相同，則表明已在此級(jí)別上更改了策略。如果這兩個(gè)設(shè)置不同，則必須檢查域控制器的策略以確定是否在此處定義了“網(wǎng)絡(luò)安全:LANManager身份驗(yàn)證級(jí)別”設(shè)置。如果未在此處定義，請(qǐng)查看域控制器的策略。查看域控制器的策略單擊“開始”，指向“程序”，然后單擊“管理工具”。在“域控制器安全”策略中，展開“安全設(shè)置”，然后展開“本地策略”。單擊“安全選項(xiàng)”。雙擊“網(wǎng)絡(luò)安全:LANManager身份驗(yàn)證級(jí)別”，然后單擊列表中的適當(dāng)值。汪意您可能還必須檢查在網(wǎng)站級(jí)別、域級(jí)別或組織單位（OU）級(jí)別鏈接的策略，以確定必須配置LANManager身份驗(yàn)證級(jí)別的位置。如果將某一組策略設(shè)置作為默認(rèn)域策略來執(zhí)行，則該策略將應(yīng)用于域中的所有計(jì)算機(jī)。如果將某一組策略設(shè)置作為默認(rèn)域控制器的策略來執(zhí)行，則該策略僅適用于域控制器的OU中的服務(wù)器。最好在策略應(yīng)用程序?qū)哟谓Y(jié)構(gòu)中所需范圍的最低實(shí)體中設(shè)置LANManager身份驗(yàn)證級(jí)別。請(qǐng)?jiān)谶M(jìn)行更改后刷新該策略。（如果更改是在本地安全設(shè)置級(jí)別進(jìn)行的，則此更改會(huì)立即生效。但是，在進(jìn)行測(cè)試之前必須重新啟動(dòng)客戶端。）默認(rèn)情況下，組策略設(shè)置在域控制器上每5分鐘更新一次。要在Windows2000或更高版本上立即強(qiáng)制更新策略設(shè)置，請(qǐng)使用gpupdate命令。gpupdate/force命令可更新本地組策略設(shè)置和基于ActiveDirectory目錄服務(wù)的組策略設(shè)置，包括安全設(shè)置。此命令取代了現(xiàn)已過時(shí)的secedit命令的/refreshpolicy選項(xiàng)。gpupdate命令使用以下語法：gpupdate[/target:{computer|user}][/force][/wait:value][/logoff][/boot]通過使用gpupdate命令手動(dòng)重新應(yīng)用所有策略設(shè)置，可以應(yīng)用新的組策略對(duì)象（GPO）。為此，請(qǐng)?jiān)诿钐崾痉庢I入以下內(nèi)容，然后按Enter：GPUpdate/Force查看應(yīng)用程序事件日志以確保成功應(yīng)用了策略設(shè)置。在WindowsXP和WindowsServer2003上，可以使用“策略的結(jié)果集”管理單元來查看有效設(shè)置。為此，請(qǐng)單擊“開始”，單擊“運(yùn)行”，鍵入rsop.msc，然后單擊“確定”。如果對(duì)策略進(jìn)行更改后問題仍然存在，請(qǐng)重新啟動(dòng)基于Windows的服務(wù)器，然后驗(yàn)證問題是否已解決。注意：如果您有多臺(tái)基于Windows2000的域控制器和/或多臺(tái)基于WindowsServer2003的域控制器，則可能必須復(fù)制ActiveDirectory以確保這些域控制器能夠立即獲得更新的更改?；蛘?，該設(shè)置可能看起來像被設(shè)置為本地安全策略中的最低設(shè)置。如果可以通過安全數(shù)據(jù)庫(kù)進(jìn)行設(shè)置，則還可以通過在注冊(cè)表中編輯以下注冊(cè)表子項(xiàng)中的LmCompatibilityLevel項(xiàng)來設(shè)置LANManager身份驗(yàn)證級(jí)別：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LsaWindowsServer2003有一個(gè)僅使用NTLMv2的新默認(rèn)設(shè)置。默認(rèn)情況下，基于WindowsServer2003和基于Windows2000ServerSP3的域控制器已啟用“Microsoft網(wǎng)絡(luò)服務(wù)器:數(shù)字簽名的通信（總是）”策略。此設(shè)置要求SMB服務(wù)器執(zhí)行SMB數(shù)據(jù)包簽名。已經(jīng)對(duì)WindowsServer2003進(jìn)行了更改，原因是任何組織中的域控制器、文件服務(wù)器、網(wǎng)絡(luò)結(jié)構(gòu)服務(wù)器和Web服務(wù)器均要求采用不同的設(shè)置，以最大程度地提高其安全性。如果您想在網(wǎng)絡(luò)中實(shí)施NTLMv2身份驗(yàn)證，請(qǐng)一定要確保將域中的所有計(jì)算機(jī)都設(shè)置為使用此身份驗(yàn)證級(jí)別。如果對(duì)Windows95或Windows98以及WindowsNT4.0應(yīng)用了ActiveDirectoryClientExtension，則此客戶端擴(kuò)展將使用NTLMv2中提供的改進(jìn)的身份驗(yàn)證功能。因?yàn)檫\(yùn)行以下任何操作系統(tǒng)的客戶端計(jì)算機(jī)都不受Windows2000組策略對(duì)象的影響，所以您可能需要手動(dòng)配置這些客戶端：MicrosoftWindowsNT4.0MicrosoftWindowsMillenniumEditionMicrosoftWindows98MicrosoftWindows95注意:如果啟用了“網(wǎng)絡(luò)安全:不要在下次更改密碼時(shí)存儲(chǔ)LANManager的哈希值”策略或設(shè)置了“NoLMHash”注冊(cè)表項(xiàng)，則未安裝目錄服務(wù)客戶端的Windows95和Windows98客戶端在密碼更改后將無法登錄到域。在WindowsNT4.0域中具有高于2的NTLM2級(jí)別的Windows2000中出現(xiàn)身份驗(yàn)證問題Windows2000和WindowsXP:默認(rèn)情況下，Windows2000和WindowsXP將“LANManager身份驗(yàn)證級(jí)別本地安全策略”選項(xiàng)設(shè)置為0。設(shè)置為0表示“發(fā)送LM和NTLM響應(yīng)”。注意：基于WindowsNT4.0的群集必須使用LM才能進(jìn)行管理。Windows2000:如果兩個(gè)節(jié)點(diǎn)都是WindowsNT4.0ServicePack6a(SP6a)域的一部分，則Windows2000群集不能對(duì)一個(gè)加入節(jié)點(diǎn)進(jìn)行身份驗(yàn)證。有關(guān)更多信息，請(qǐng)單擊下面的文章編號(hào)，以查看Microsoft知識(shí)庫(kù)中相應(yīng)的文章：305379(/kb/305379/)在WindowsNT4.0域中具有高于2的NTLM2級(jí)別的Windows2000中出現(xiàn)身份驗(yàn)證問題IISLockdownTool(HiSecWeb)將LMCompatibilityLevel的值設(shè)為5，并將RestrictAnonymous的值設(shè)為2。Macintosh服務(wù)UserAuthenticationModule(UAM)：MicrosoftUAM(UserAuthenticationModule)提供了一種對(duì)登錄到WindowsAFP(AppleTalkFilingProtocol)服務(wù)器所使用的密碼進(jìn)行加密的方法。AppleUserAuthenticationModule(UAM)僅提供最簡(jiǎn)單的加密或者根本不加密。因此，在LAN或Internet上，您的密碼很容易被截獲。雖然沒有要求UAM，但它確實(shí)可以為運(yùn)行Macintosh服務(wù)的Windows2000服務(wù)器提供加密的身份驗(yàn)證。此版本包括對(duì)NTLMv2128位加密身份驗(yàn)證和與MacOSX10.1兼容的版本的支持。默認(rèn)情況下，WindowsServer2003ServicesforMacintosh服務(wù)器僅允許使用Microsoft身份驗(yàn)證。MacOSX用戶無法打開基于WindowsServer2003服務(wù)器上的Macintosh共享文件夾WindowsServer2008、WindowsServer2003、WindowsXP和Windows2000：如果將LMCompatibilityLevel值配置為0或1，然后將NoLMHash值配置為1，則可能會(huì)拒絕應(yīng)用程序和組件通過NTLM進(jìn)行訪問。此問題是由于計(jì)算機(jī)被配置為啟用LM而非使用LM存儲(chǔ)的密碼造成的。如果將NoLMHash值配置為1，則必須將LMCompatibilityLevel值配置為2或更大的值。網(wǎng)絡(luò)安全：LDAP客戶端簽名要求背景“網(wǎng)絡(luò)安全:LDAP客戶端簽名要求”設(shè)置可確定代表發(fā)出輕型目錄訪