修改安全设置和用户权限分配时可能出现的客.docxVIP

修改安全设置和用户权限分配时可能出现的客户端、服务和程序不兼容问题本文介绍了以下问题：在 Windows NT 4.0 域、Windows 2000 域和 Windows Server 2003 域中修改特定安全设置和用户权限分配时，在运行 Microsoft Windows 95、Microsoft Windows 98、Microsoft Windows NT 4.0、Microsoft Windows 2000、Microsoft Windows XP Professional 或 Microsoft Windows Server 2003 的客户端计算机上可能出现不兼容问题。通过在本地策略和组策略中配置这些设置和分配，可以帮助提高域控制器和成员计算机上的安全性。提高安全性的弊端是会出现客户端、服务和程序的不兼容问题。要更好地发现配置不当的安全设置，请使用组策略对象编辑器工具来修改安全设置。当使用组策略对象编辑器时，以下操作系统上的用户权限分配可有所增强： Microsoft Windows XP Professional Service Pack 2 (SP2) Microsoft Windows Server 2003 Service Pack 1 (SP1)增强功能包括一个包含指向本文的链接的对话框，每当您将安全设置或用户权限分配更改为一个兼容性更低、限制性更强的设置时就会弹出该对话框。如果您使用注册表或安全模板直接修改相同的安全设置或用户权限分配，则得到的效果与在组策略对象编辑器中修改设置是相同的；只是将不会出现包含指向本文的链接的对话框。 本文包含受特定安全设置或用户权限分配影响的客户端、程序和操作的示例。但是，这些示例并不对所有 Microsoft 操作系统、所有第三方操作系统或所有受影响的程序版本都具有权威性。本文并不包括所有安全设置和用户权限分配。Microsoft 建议您在将任何与安全性有关的配置更改引入生产环境之前，先在测试林中验证它们的兼容性。测试林必须在以下方面与生产林相同： 客户端和服务器操作系统版本、客户端和服务器程序、Service Pack 版本、修补程序、架构更改、安全组、组成员、文件系统中对象上的权限、共享文件夹、注册表、Active Directory 目录服务、本地和组策略设置、对象计数类型和位置 执行的管理任务、使用的管理工具和用于执行管理任务的操作系统 执行的操作，包括计算机和用户登录身份验证；用户、计算机和管理员进行的密码重置；浏览；从所有帐户域或资源域的所有客户端操作系统中使用 ACL 编辑器来设置文件系统、共享文件夹、注册表和 Active Directory 资源的权限；从管理和非管理帐户进行打印回到顶端Windows Server 2003 SP1Gpedit.msc 中的警告为帮助客户认识到他们正在编辑的用户权限或安全选项会对网络产生不利影响，已向 gpedit.msc 中添加了两个警告机制。当管理员编辑的用户权限会对整个企业造成负面影响时，他们会看到一个类似让步标志的新图标。同时还将收到一条警告消息，其中包含一个指向 Microsoft 知识库文章 823659 的链接。此消息的文本如下所示： 修改此设置可能影响与客户端、服务和应用程序的兼容性。有关更多信息，请参见 (Q823659)如果已通过 GPEDIT.MSC 中的链接定向到此 KB，请确保阅读并了解所提供的说明及修改此设置的可能后果。下面是包含新的警告文本的用户权限列表： 从网络访问这台计算机 本地登录 跳过遍历检查 启用计算机和用户以进行受信任的委派 下面是包含警告和弹出窗口的安全选项列表： 域成员:对安全通道数据进行数字加密或签名(总是) 域成员:需要强(Windows 2000 或以上版本)会话密钥 域控制器:LDAP 服务器签名要求 Microsoft 网络服务器:数字签名的通信(总是) 网络访问:允许匿名 SID/名称转换 网络访问:不允许 SAM 帐户和共享的匿名枚举 网络安全:LAN Manager 身份验证级别 审核:如果无法记录安全审核则立即关闭系统 网络访问:LDAP 客户端签名要求 回到顶端更多信息 以下部分介绍了在修改 Windows NT 4.0 域、Windows 2000 域和 Windows Server 2003 域中的特定设置时可能出现的不兼容.以下部分介绍了在修改 Windows NT 4.0 域、Windows 2000 域和 Windows Server 2003 域中的特定设置时可能出现的不兼容问题。 回到顶端用户权限1. 从网络访问这台计算机 a. 背景与远程 Windows 计算机进行交互的能力需要“从网络访问这台计算机”用户权限。此类网络操作的示例包括：在公用域或林中的域控制器之间复制 Active Directory、用户和计算机向域控制器发出身份验证请求，以及访问位于网络中远程计算机上的共享文件夹、打印机和其他系统服务。通过将用户、计算机和服务帐户显式或隐式地添加到已被授予“从网络访问这台计算机”用户权限的安全组中或将它们从此类安全组中删除，可相应地使这些用户、计算机和服务帐户获得或失去该用户权限。例如，用户帐户或计算机帐户可能被管理员显式添加到某个自定义或内置的安全组中，或被操作系统隐式添加到计算安全组（如 Domain Users、Authenticated Users 或 Enterprise Domain Controllers）中。默认情况下，如果在默认域控制器的组策略对象 (GPO) 中定义了计算组（例如 Everyone 或 Authenticated Users，后者更好；若是域控制器，则为 Enterprise Domain Controllers 组），则会为用户帐户和计算机帐户授予“从网络访问这台计算机”用户权限。 b. 危险配置以下是危险配置： 从此用户权限中删除 Enterprise Domain Controllers 安全组 删除 Authenticated Users 组或授予用户、计算机和服务帐户通过网络连接到计算机的用户权限的显式组 从此用户权限中删除所有用户和计算机c. 授予此用户权限的原因 通过向 Enterprise Domain Controllers 组授予“从网络访问这台计算机”用户权限，可满足在同一林中的域控制器之间进行 Active Directory 复制所必须具备的身份验证要求。 此用户权限允许用户和计算机访问共享文件、打印机和系统服务，包括 Active Directory。 用户使用早期版本的 Microsoft Outlook Web Access (OWA) 访问邮件时需要此用户权限。d. 删除此用户权限的原因 那些可以将计算机连接到网络的用户可以访问他们具有权限的远程计算机上的资源。例如，用户需要具备此用户权限才能连接到共享打印机和文件夹。如果向 Everyone 组授予此用户权限，并且某些共享文件夹同时配置有共享和 NTFS 文件系统权限以使相同的组具有读取权限，则任何人均可查看这些共享文件夹中的文件。但是，Windows Server 2003 的全新安装不大可能出现这种情况，因为 Windows Server 2003 中默认的共享和 NTFS 权限不包括 Everyone 组。对于从 Microsoft Windows NT 4.0 或 Windows 2000 升级的系统，这个弱点的危险性可能更高，因为这些操作系统默认的共享和文件系统权限的限制性不如 Windows Server 2003 中的默认权限严格。 从此用户权限中删除 Enterprise Domain Controllers 组并没有有效的根据。 通常会删除 Everyone 组，而倾向于使用 Authenticated Users 组。如果删除了 Everyone 组，则必须向 Authenticated Users 组授予此用户权限。 升级到 Windows 2000 的 Windows NT 4.0 域不会显式对 Everyone、Authenticated Users 或 Enterprise Domain Controllers 组授予“从网络访问这台计算机”用户权限。因此，如果从 Windows NT 4.0 域策略中删除了 Everyone 组，则在升级到 Windows 2000 后，Active Directory 复制将失败并出现“Access Denied”错误消息。Windows Server 2003 中的 Winnt32.exe 在升级 Windows NT 4.0 主域控制器 (PDC) 时会对 Enterprise Domain Controllers 组授予此用户权限，从而避免了这种错误配置。如果 Enterprise Domain Controllers 组不在组策略对象编辑器中，则向该组授予此用户权限。e. 兼容性问题的示例 Windows 2000 和 Windows Server 2003：对 Active Directory 架构、配置、域、全局编录或应用程序分区的复制将会失败，并且监视工具（如 REPLMON 和 REPADMIN）或事件日志中的复制事件会报告“Access Denied”错误。 所有 Microsoft 网络操作系统：除非已向用户或用户所属的安全组授予了此用户权限，否则来自远程网络客户端计算机的用户帐户身份验证将会失败。 所有 Microsoft 网络操作系统：除非已向帐户或帐户所属的安全组授予了此用户权限，否则来自远程网络客户端的帐户身份验证将会失败。此情况适用于用户帐户、计算机帐户和服务帐户。 所有 Microsoft 网络操作系统：如果从此用户权限中删除所有帐户，则会阻止任何帐户登录到域或访问网络资源。如果删除了计算组（例如 Enterprise Domain Controllers、Everyone 或 Authenticated Users），则必须将此用户权限显式授予帐户或帐户所属的安全组才能通过网络访问远程计算机。此情况适用于所有用户帐户、所有计算机帐户和所有服务帐户。 所有 Microsoft 网络操作系统：本地管理员帐户使用“空”密码。在域环境中，不允许管理员帐户使用空密码进行网络连接。如果使用此配置，将收到“Access Denied”错误消息。2. 允许在本地登录 a. 背景尝试在 Microsoft Windows 计算机的控制台上登录的用户（使用 Ctrl+Alt+Delete 登录按键顺序）和尝试启动服务的帐户必须在主机计算机上具有本地登录权限。本地登录操作的示例包括：管理员登录到企业中成员计算机或域控制器的控制台和域用户使用非特权帐户登录到成员计算机以访问其桌面。使用远程桌面连接或终端服务的用户在运行 Windows 2000 或 Windows XP 的目标计算机上必须具有“允许在本地登录”用户权限，因为这些登录模式对于主机计算机来说是本地的。如果用户登录到启用了终端服务的服务器而又不具有此用户权限，但他们具有“允许通过终端服务登录”用户权限，则他们仍可以在 Windows Server 2003 域中启动远程交互式会话。 b. 危险配置以下是危险配置： 从默认域控制器策略中删除管理安全组，包括 Account Operators、Backup Operators、Print Operators、Server Operators 和内置 Administrators 组。 从默认域控制器策略中删除域中成员计算机和域控制器上的组件和程序所使用的服务帐户。 删除登录到域中成员计算机的控制台的用户或安全组。 删除在成员计算机或工作组计算机的安全帐户管理器 (SAM) 数据库中定义的服务帐户。 删除通过在域控制器上运行的终端服务进行身份验证的非内置管理帐户。 通过 Everyone 组将域中的所有用户帐户显式或隐式添加到“拒绝本地登录”登录权限中。此配置会阻止用户登录到域中的任何成员计算机或任何域控制器。c. 授予此用户权限的原因 用户必须具有“允许在本地登录”用户权限才能访问工作组计算机、成员计算机或域控制器的控制台或桌面。 用户必须具有此用户权限才能通过在 Window 2000 成员计算机或域控制器上运行的终端服务会话进行登录。d. 删除此用户权限的原因 如果未能将控制台访问权限制在合法的用户帐户范围内，则未经授权的用户可能下载并执行恶意代码来更改他们的用户权限。 删除“允许在本地登录”用户权限可以阻止未经授权即在计算机（例如域控制器或应用程序服务器）的控制台上登录。 删除此登录权限可以阻止非域帐户登录域中成员计算机的控制台。e. 兼容性问题的示例 Windows 2000 终端服务器：为了登录到 Windows 2000 终端服务器，用户需要“允许在本地登录”用户权限。 Windows NT 4.0、Windows 2000、Windows XP 或 Windows Server 2003：必须向用户帐户授予此用户权限，它们才能登录运行 Windows NT 4.0、Windows 2000、Windows XP 或 Windows Server 2003 的计算机的控制台。 Windows NT 4.0 和更高版本：在运行 Windows NT 4.0 和更高版本的计算机上，如果添加“允许在本地登录”用户权限，但又隐式或显式授予了“拒绝本地登录”登录权限，则帐户将无法登录到域控制器的控制台。3. 跳过遍历检查 a. 背景“跳过遍历检查”用户权限允许用户浏览 NTFS 文件系统或注册表中的文件夹，而无需检查用户是否具有“遍历文件夹”的特殊访问权限。“跳过遍历检查”用户权限不允许用户列出文件夹的内容，只允许用户遍历其文件夹。 b. 危险配置以下是危险配置： 删除登录到基于 Windows 2000 或基于 Windows Server 2003 的终端服务计算机上而且缺少访问文件系统中的文件和文件夹的权限的非管理性帐户。 从安全主体列表中删除 Everyone 组，默认情况下，这些安全主体具有此用户权限。根据 Windows 操作系统和许多程序的设计思路，系统认为可以合法访问计算机的任何人都应该具有“跳过遍历检查”用户权限。因此，从默认具有此用户权限的安全主体列表中删除 Everyone 组可能导致操作系统不稳定或程序故障。最好保留此设置的默认值。c. 授予此用户权限的原因“跳过遍历检查”用户权限的默认设置是允许任何人跳过遍历检查。对于有经验的 Windows 系统管理员，这是预期的行为，他们会相应地配置文件系统访问控制列表 (SACL)。如果配置权限的管理员不了解该行为并认为不能访问父文件夹的用户将无法访问任何子文件夹的内容，则默认配置可能导致问题，这也是默认配置可能导致问题的唯一情况。 d. 删除此用户权限的原因非常注重安全性的组织可能很想要从具有“跳过遍历检查”用户权限的组的列表中删除 Everyone 组，甚至可能删除 Users 组，以试图阻止对文件系统中文件或文件夹的访问。 e. 兼容性问题的示例 Windows 2000、Windows Server 2003：如果在运行 Windows 2000 或 Windows Server 2003 的计算机上删除或错误地配置了“跳过遍历检查”用户权限，则无法在域中的域控制器之间复制 SYVOL 文件夹中的组策略设置。 Windows 2000、Windows XP Professional、Windows Server 2003：如果删除或错误地配置了“跳过遍历检查”用户权限，则在从 SYSVOL 树中删除所需的文件系统权限时，运行 Windows 2000、Windows XP Professional 或 Windows Server 2003 的计算机将记录事件 1000 和 1202 而且无法应用计算机策略和用户策略。 有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 290647 (/kb/290647/ ) 应用程序事件日志中每 5 分钟记录一次 Event ID 1000、1001 Windows 2000、Windows Server 2003：在运行 Windows 2000 或 Windows Server 2003 的计算机上，当您查看卷的属性时，Windows 资源管理器中的“配额”选项卡将会消失。 Windows 2000：登录到 Windows 2000 终端服务器的非管理员可能会收到以下错误消息： Userinit.exe 应用程序错误。应用程序正常初始化 0xc0000142 失败。请单击“确定”，终止应用程序。有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 272142 (/kb/272142/ ) 用户在尝试登录到终端服务时会自动注销 (EN) Windows NT 4.0、Windows 2000、Windows XP、Windows Server 2003：在运行 Windows NT 4.0、Windows 2000、Windows XP 或 Windows Server 2003 的计算机上，如果未对用户授予“跳过遍历检查”用户权限，则这些用户可能无法访问共享文件夹或共享文件夹中的文件，并且可能收到“Access Denied”错误消息。 有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 277644 (/kb/277644/ ) 用户尝试访问共享文件夹时出现“Access Denied”（拒绝访问）错误信息 Windows NT 4.0：在基于 Windows NT 4.0 的计算机上，删除“跳过遍历检查”用户权限将导致文件复制过程丢失文件流。如果删除此用户权限，则在将文件从 Windows 客户端或 Macintosh 客户端复制到运行 Macintosh 服务的 Windows NT 4.0 域控制器时，会丢失目标文件流，并且该文件会显示为纯文本文件。 有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 172930 (/kb/172930/ ) 删除“跳过遍历检查”导致文件复制过程丢失文件流 (EN) Microsoft Windows 95、Microsoft Windows 98：在运行 Windows 95 或 Windows 98 的客户端计算机上，如果未向 Authenticated Users 组授予“跳过遍历检查”用户权限，则 net use * /home 命令会失败并显示“Access Denied”错误消息。 Outlook Web Access：如果未向非管理员授予“跳过遍历检查”用户权限，则他们将无法登录到 Microsoft Outlook Web Access，并会收到“Access Denied”错误消息。安全设置 1. 审核:如果无法记录安全审核则立即关闭系统 a. 背景 “审核:如果无法记录安全审核则立即关闭系统”设置可确定在无法记录安全事件时是否关闭系统。如果审核系统不能记录这些事件，则可信计算机安全评估标准 (TCSEC) 方案的 C2 评估和信息技术安全评估的通用标准需要此设置以防止发生可审核事件。如果审核系统失败，则关闭系统，并出现停止错误消息。 如果计算机不能将事件记录到安全日志中，则发生安全事故后可能没有关键证据或重要的故障排除信息可供查看。b. 危险配置以下是一种危险配置：“审核:如果无法记录安全审核则立即关闭系统”设置打开，并且事件查看器中的安全事件日志的大小受以下选项约束：“不要覆盖事件(手动清除日志)”选项、“按需要覆盖事件”选项、“覆盖时间超过 number 天的事件”选项。请参见“兼容性问题的示例”部分，了解运行最初发布的 Windows 2000、Windows 2000 Service Pack 1 (SP1)、Windows 2000 SP2 或 Windows 2000 SP3 版本的计算机的特定风险。 c. 启用此设置的原因如果计算机不能将事件记录到安全日志中，则发生安全事故后可能没有关键证据或重要的故障排除信息可供查看。 d. 禁用此设置的原因 启用了“审核:如果无法记录安全审核则立即关闭系统”设置后，如果由于任何原因无法记录安全审核，则会关闭系统。如果安全审核日志已满并且其指定的保留方法为“不要覆盖事件(手动清除日志)”选项或“覆盖时间超过 number 天的事件”选项时，通常无法记录事件。 如果启用了“审核:如果无法记录安全审核则立即关闭系统”设置，则可能导致非常重的管理负担，尤其是在您还为安全日志打开了“不要覆盖事件(手动清除日志)”选项的情况下。此设置可以追查操作员的操作。例如，管理员可以使用内置管理员帐户或其他共享帐户来重置启用了审核的组织单位 (OU) 中所有用户、计算机和组上的权限，然后拒绝他们重置这些权限。但是，因为写入安全日志的大量登录事件和其他安全事件可能会使服务器不堪重负而被迫关闭，所以启用此设置确实会降低系统的稳定性。另外，因为不是正常关闭，还可能对操作系统、程序或数据造成无法修复的损坏。虽然 NTFS 可以在非正常系统关闭过程中确保文件系统的完整性得以保持，但它无法保证每个程序的每个数据文件在系统重新启动后仍处于可以使用的状态。e. 符号名称：CrashOnAuditFail f. 注册表路径： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaCrashOnAuditFail (Reg_DWORD)g. 兼容性问题的示例 Windows 2000：由于存在错误，运行最初发布的 Windows 2000、Windows 2000 SP1、Windows 2000 SP2 或 Windows Server SP3 版本的计算机可能在达到“最大日志大小”选项中指定的安全事件日志大小之前就停止记录事件。此错误在 Windows 2000 Service Pack 4 (SP4) 中得到修复。在考虑启用此设置之前，确保您的 Windows 2000 域控制器安装了 Windows 2000 Service Pack 4。有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 312571 (/kb/312571/ ) 在事件日志停止在达到最大日志大小之前记录事件 Windows 2000、Windows Server 2003：如果打开了“审核:如果无法记录安全审核则立即关闭系统”设置，在安全日志已满并且不能覆盖现有事件日志项的情况下，运行 Windows 2000 或 Windows Server 2003 的计算机可能会停止响应，然后自行重新启动。当计算机重新启动后，出现以下停止错误消息： 停止:C0000244 审核失败未能生成安全审核。 要进行恢复，管理员必须登录，对安全日志进行存档（可选），清除安全日志，然后重置此选项（可选，根据需要进行）。 用于 MS-DOS、Windows 95、Windows 98、Windows NT 4.0、Windows 2000、Windows XP、Windows Server 2003 的 Microsoft 网络客户端：尝试登录到域的非管理员会收到以下错误消息： 您的帐户配置为阻止您使用该计算机。请尝试其他计算机。有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 160783 (/kb/160783/ ) 错误消息：Users cannot log on to a workstation（用户无法登录到工作站） (EN) Windows 2000：在基于 Windows 2000 的计算机上，非管理员将无法登录到远程访问服务器，并且收到类似于以下内容的错误消息： Unknown user or bad password有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 285665 (/kb/285665/ ) 错误消息：您的帐户配置为阻止您使用该计算机 (EN) Windows 2000：在 Windows 2000 域控制器上，站点间消息服务 (Ismserv.exe) 将停止且无法重新启动。DCDIAG 会将此错误报告为“failed test services ISMserv”，并在事件日志中记录事件 ID 1083。 Windows 2000：在 Windows 2000 域控制器上，如果安全事件日志已满，则 Active Directory 复制将失败并出现“Access Denied”消息。 Microsoft Exchange 2000：运行 Exchange 2000 的服务器无法装入信息存储数据库，事件日志中将记录事件 2102。 有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 314294 (/kb/314294/ ) XADM：由于 SeSecurityPrivilege 权限和策略测试存在问题而产生 Exchange 2000 错误信息 Outlook、Outlook Web Access：非管理员无法通过 Microsoft Outlook 或 Microsoft Outlook Web Access 访问他们的邮件，并且收到 503 错误。2. 域控制器：LDAP 服务器签名要求 a. 背景“域控制器:LDAP 服务器签名要求”安全设置可确定轻型目录访问协议 (LDAP) 服务器是否需要 LDAP 客户端协商数据签名。此策略设置的可能值包括： 无：绑定到服务器不需要数据签名。如果客户端请求数据签名，则服务器将支持它。 要求签名：除非正在使用传输层安全/安全套接字层 (TLS/SSL)，否则必须协商 LDAP 数据签名选项。 未定义：未启用或禁用此设置。b. 危险配置以下是危险配置： 在客户端不支持 LDAP 签名或在客户端上未启用客户端 LDAP 签名的环境中，启用“要求签名” 在客户端不支持 LDAP 签名或未启用客户端 LDAP 签名的环境中，应用 Windows 2000 或 Windows Server 2003 Hisecdc.inf 安全模板 在客户端不支持 LDAP 签名或未启用客户端 LDAP 签名的环境中，应用 Windows 2000 或 Windows Server 2003 Hisecws.inf 安全模板c. 启用此设置的原因未经签名的网络通信容易受到中间人攻击，入侵者可以捕获客户端和服务器之间的数据包，修改数据包，然后将它们转发到服务器。当此行为发生在 LDAP 服务器上时，攻击者会导致服务器根据来自 LDAP 客户端的错误查询而进行决策。您可以降低企业网络中的这种风险，方法是实施严格的物理安全措施以帮助保护网络基础结构。Internet 协议安全 (IPSec) 身份验证头模式可使得发动中间人攻击非常困难。身份验证头模式会为 IP 通信执行相互身份验证和数据包完整性检查。 d. 禁用此设置的原因 如果协商了 NTLM 身份验证而且在 Windows 2000 域控制器上没有安装正确的 Service Pack，则不支持 LDAP 签名的客户端将无法对域控制器和全局编录执行 LDAP 查询。 客户端和服务器间 LDAP 通信的网络跟踪会被加密，从而使检查 LDAP 对话变得困难。 如果用支持 LDAP 签名的程序管理基于 Windows 2000 的服务器，并且这些程序是从运行 Windows 2000 SP4、Windows XP 或 Windows Server 2003 的客户端计算机运行的，则基于 Windows 2000 的服务器必须装有 Windows 2000 Service Pack 3 (SP3) 或更高版本。 有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 325465 (/kb/325465/ ) 使用 Windows Server 2003 管理工具时 Windows 2000 域控制器需要 SP3 或更高版本 e. 符号名称：LDAPServerIntegrity f. 注册表路径： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNTDSParametersLDAPServerIntegrity (Reg_DWORD)g. 兼容性问题的示例 简单绑定会失败，您会收到以下错误消息： Ldap_simple_bind_s() failed:Strong Authentication Required. Windows 2000 Service Pack 4、Windows XP、Windows Server 2003：在运行 Windows 2000 SP4、Windows XP 或 Windows Server 2003 的客户端上，当协商 NTLM 身份验证时，如果域控制器运行的是低于 Windows 2000 SP3 的版本，则某些 Active Directory 管理工具将不能对该域控制器执行正常操作。 有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 325465 (/kb/325465/ ) 使用 Windows Server 2003 管理工具时 Windows 2000 域控制器需要 SP3 或更高版本 Windows 2000 Service Pack 4、Windows XP、Windows Server 2003：在运行 Windows 2000 SP4、Windows XP 或 Windows Server 2003 的客户端上，如果域控制器运行的是低于 Windows 2000 SP3 的版本，而以该域控制器为目标的某些 Active Directory 管理工具使用的是 IP 地址（例如“dsa.msc /server=x.x.x.x”，其中 x.x.x.x 是 IP 地址），则这些管理工具将无法执行正常操作。 有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 325465 (/kb/325465/ ) 使用 Windows Server 2003 管理工具时 Windows 2000 域控制器需要 SP3 或更高版本 Windows 2000 Service Pack 4、Windows XP、Windows Server 2003：在运行 Windows 2000 SP4、Windows XP 或 Windows Server 2003 的客户端上，如果域控制器运行的是低于 Windows 2000 SP3 的版本，则以该域控制器为目标的某些 Active Directory 管理工具将无法执行正常操作。 有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 325465 (/kb/325465/ ) 使用 Windows Server 2003 管理工具时 Windows 2000 域控制器需要 SP3 或更高版本 3. 域成员：需要强(Windows 2000 或以上版本)会话密钥 a. 背景 “域成员:需要强(Windows 2000 或以上版本)会话密钥”设置可确定是否可以与不能用 128 位强会话密钥对安全通道通信进行加密的域控制器建立安全通道。启用此设置可以防止与不能用强密钥对安全通道数据进行加密的域控制器建立安全通道。禁用此设置可允许 64 位会话密钥。 成员所属的域中的所有域控制器必须能够用 128 位强密钥对安全通道数据进行加密，然后才可以在成员工作站或服务器上启用此设置。这意味着所有这些域控制器都必须运行 Windows 2000 或更高版本。b. 危险配置启用“域成员：需要强(Windows 2000 或以上版本)会话密钥”设置是一种危险配置。 c. 启用此设置的原因 在 Windows 2000 中用于在成员计算机和域控制器之间建立安全通道通信的会话密钥相对于在更早版本的 Microsoft 操作系统中使用的会话密钥，安全性更高。 最好尽可能地利用这些更强的会话密钥，以便协助保护安全通道通信免遭“窃听”和会话劫持网络攻击。“窃听”是恶意攻击的形式之一，网络数据会在传输过程中被读取或更改。数据可能被修改为隐藏或更改发送方，或被重定向。d. 禁用此设置的原因域中包含一些运行除 Windows 2000、Windows XP 或 Windows Server 2003 之外的操作系统的成员计算机。 e. 符号名称：StrongKey f. 注册表路径： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParametersRequireStrongKey (Reg_DWORD)g. 兼容性问题的示例Windows NT 4.0：在基于 Windows NT 4.0 的计算机上，使用 NLTEST 重置 Windows NT 4.0 域和 Windows 2000 域之间信任关系的安全通道的尝试失败，并出现“Access Denied”错误消息： 主域和受信域间的信任关系失败。4. 域成员：对安全通道数据进行数字加密或签名(总是) a. 背景 启用“域成员:对安全通道数据进行数字加密或签名(总是)”可以防止与不能对所有安全通道数据进行签名或加密的任何域控制器建立安全通道。为了协助保护身份验证通信免遭中间人攻击、重播攻击和其他类型的网络攻击，基于 Windows 的计算机可通过 Net Logon 服务创建一个称为“安全通道”的通信通道，以便对计算机帐户进行身份验证。当一个域中的用户连接到远程域中的网络资源时也可使用安全通道。这种多域身份验证（或称“过滤身份验证”）允许已加入某个域的 Windows 计算机访问该域及任何受信任域中的用户帐户数据库。 要在成员计算机上启用“域成员:对安全通道数据进行数字加密或签名(总是)”设置，该成员所属的域中的所有域控制器都必须能够对所有安全通道数据进行签名或加密。这意味着所有这些域控制器都必须运行装有 Service Pack 6a (SP6a) 的 Windows NT 4.0 或更高版本。 启用“域成员:对安全通道数据进行数字加密或签名(总是)”设置，则会自动启用“域成员:对安全通道数据进行数字加密或签名(如果可能)”设置。b. 危险配置启用“域成员:对安全通道数据进行数字加密或签名(总是)”设置是一种危险配置。 c. 启用此设置的原因未经签名的网络通信容易受到中间人攻击，入侵者可以捕获服务器和客户端之间的数据包，对数据包进行修改，然后将数据包转发到客户端。当此行为发生在轻型目录访问协议 (LDAP) 服务器上时，入侵者会导致客户端根据 LDAP 目录中的错误记录而进行决策。您可以降低企业网络遭受这种攻击的风险，方法是实施严格的物理安全措施以帮助保护网络基础结构。另外，实施 Internet 协议安全 (IPSec) 身份验证头模式可使得发动各种中间人攻击非常困难。此模式可为 IP 通信执行相互身份验证和数据包完整性检查。 d. 禁用此设置的原因 本地或外部域中的计算机支持加密的安全通道。 并非域中所有的域控制器都具有适当的 Service Pack 版本级别来支持加密的安全通道。e. 符号名称：StrongKey f. 注册表路径： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParametersRequireSignOrSeal (REG_DWORD)g. 兼容性问题的示例 Windows NT 4.0：基于 Windows 2000 的成员计算机无法加入 Windows NT 4.0 域，并会收到以下错误消息： 此帐户并未得到从这个工作站登录的授权。有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 281648 (/kb/281648/ ) 错误消息：The account is not authorized to login from this station（此帐户并未得到从这个工作站登录的授权） (EN) Windows NT 4.0：Windows NT 4.0 域无法与 Windows 2000 域建立下级信任，并收到以下错误消息： 此帐户并未得到从这个工作站登录的授权。现有的下级信任可能也无法对来自受信任域的用户进行身份验证。某些用户可能很难登录到该域中，他们可能会收到错误消息，指出客户端无法找到该域。 Windows XP：加入到 Windows NT 4.0 域中的 Windows XP 客户端无法对登录尝试进行身份验证，并且可能收到以下错误消息，或者在事件日志中记录以下事件： Windows 无法与此域连接，因为域控制器存在故障或不可用，或者没有找到计算机帐户事件 5723:从计算机 ComputerName 设置会话失败，无法进行身份验证。安全数据库中引用的帐户名称是 ComputerName。出现以下错误:访问被拒绝。事件 3227:因为 Server Name 不支持签名或封装 Netlogon 会话，所以域 Domain Name 的 Windows NT 或 Windows 2000 域控制器 Server Name 的会话设置失败。升级域控制器，或者将此计算机上的 RequireSignOrSeal 注册表项设置为 0。有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 318266 (/kb/318266/ ) Windows XP 客户端无法登录到 Windows NT 4.0 域 Microsoft 网络： Microsoft 网络客户端将收到以下错误消息之一： Logon failure:unknown username or bad password.There is no user session key for the specified logon session.5. Microsoft 网络客户端：数字签名的通信(总是) a. 背景Server Messenger Block (SMB) 是许多 Microsoft 操作系统支持的资源共享协议；它是网络基本输入/输出系统 (NetBIOS) 和许多其他协议的基础。SMB 签名对用户和承载数据的服务器都进行身份验证。如果任何一方未能通过身份验证过程，则不发生数据传输。SMB 协议协商过程中将启用 SMB 签名。SMB 签名策略可确定计算机是否始终对客户端通信进行数字签名。Windows 2000 SMB 身份验证协议支持相互身份验证。相互身份验证可阻止“中间人”攻击。Windows 2000 SMB 身份验证协议还支持消息身份验证。消息身份验证可帮助阻止活动消息攻击。为了提供此身份验证，SMB 签名将向每个 SMB 中放入数字签名。客户端和服务器会分别验证此数字签名。要使用 SMB 签名，必须在 SMB 客户端和 SMB 服务器上启用 SMB 签名或要求 SMB 签名。如果在服务器上启用了 SMB 签名，那么启用了 SMB 签名的客户端将在所有后续会话中使用该数据包签名协议。如果服务器需要 SMB 签名，那么除非客户端启用或请求 SMB 签名，否则该客户端无法建立会话。 在高安全性网络中启用数字签名有助于防止对客户端和服务器的模拟。这种类型的模拟称为会话劫持。能够访问客户端或服务器所在网络的攻击者会使用会话劫持工具中断、结束或窃取正在进行的会话。攻击者可以截获并修改未经签名的 SMB 数据包，修改通信，然后转发该数据包，这样服务器就可能执行您不想执行的操作。或者，攻击者可能在经过合法身份验证后伪装成服务器或客户端，然后对数据进行未经授权的访问。在运行 Windows 2000 Server、Win