Keupayaan untuk mengesahkan pengguna daripada domain lain daripada domain aras bawah yang dipercayai akan dinyahdayakan. Ini adalah pengesahan mulakan, yang membolehkan komputer untuk bersambung ke domain untuk mengakses pangkalan data akaun pengguna dalam domain anda dan mana-mana domain boleh dipercayai. Jika pelanggan meminta data menandatangani, pelayan akan menyokong. Saluran ini mengesahkan akaun komputer dan akaun pengguna apabila pengguna jauh bersambung kepada sumber rangkaian dan akaun pengguna wujud dalam domain yang dipercayai. Seting polisi ini tidak akan mudah untuk komputer yang berfungsi sebagai CD jukebox bagi pengguna rangkaian. Prosedur-prosedur yang betul untuk mewujudkan imej membuat ini tidak perlu untuk komputer dengan imej dasar.
saluran yang selamat tidak dapat diwujudkan dengan mana-mana pengawal domain yang tidak mendaftar atau menyulitkan semua saluran selamat data. Kira-kira dalam pelayan LDAP, penyerang boleh menyebabkan klien untuk membuat keputusan berdasarkan rekod-rekod palsu dari direktori LDAP. pada semua komputer dalam domain yang menyokong, dan pelanggan dan aplikasi tingkat rendah tidak akan terjejas. Jika anda mendayakan seting dasar ini, apa-apa tugas yang dicipta oleh pelayan pembekal melalui Perkhidmatan tersebut akan dilakukan dalam konteks akaun yang menjalankan perkhidmatan ini. Jika anda mendayakan seting dasar ini, ahli domain tidak akan dapat menukar kata laluan akaun anda.
Jadi jika anda menamakan semula akaun pentadbir, penyerang boleh melancarkan serangan brute force yang menggunakan SID tersebut untuk log masuk. Pengesetan dasar ini menentukan sama ada ahli domain dari semasa ke semasa mengubah kata laluan akaun komputer anda. Kaitangan down peringkat pelanggan telah dinyahdayakan. Jika anda mahu untuk menyokong senario dua kemudahan yang menyertai dalam satu domain tunggal, menggunakan nama yang berbeza bagi dua kemudahan. Amaran: tidak mengaktifkan seting dasar ini. Menyahdayakan pengawal domain konfigurasi: membenarkan pengendali pelayan untuk Menjadual tugas.
Satu lagi masalah yang berpotensi dengan suasana untuk memberi amaran kepada tetapi membenarkan pemasangan adalah tidak dilayan pemasangan skrip akan gagal jika mereka cuba untuk memasang pemacu yang tidak ditandatangani. IPSec, yang menjalankan pengesahan bersama dan integriti paket untuk IP trafik, yang boleh membuat amat keras semua jenis serangan. NT menyertai domain, akaun komputer dicipta. Stesen kerja ahli atau pelayan, Semua pengawal domain dalam domain yang ahli tergolong mesti berupaya tandatangan atau menyulitkan semua saluran selamat data. Jika anda mendayakan seting dasar ini, saluran selamat tidak dapat diwujudkan dengan mana-mana pengawal domain yang tidak boleh menyulitkan data selamat saluran dengan kekunci yang kukuh. keupayaan untuk mencipta atau menghapuskan kepercayaan hubungan di tahap yang lebih rendah akan dinyahdayakan.
Kata laluan akaun komputer digunakan untuk mewujudkan saluran selamat komunikasi antara ahli dan pengawal domain dan, dalam domain, antara pengawal domain sendiri. Ini adalah seting lalai. Secara lalai, ahli domain secara automatik menukar kata laluan domain mereka setiap 30 hari. ROM boleh dicapai secara serentak oleh pengguna tempatan dan jauh. Jika anda mendayakan seting dasar ini, semua trafik saluran selamat keluar memerlukan Kekunci enkripsi kukuh, Windows 2000 atau kemudian. Mengesahkan bahawa ahli domain: mematikan perubahan konfigurasi akaun Mesin kata laluan dikonfigurasi sebagai orang Kurang Upaya. Ini adalah seting lalai.
Dalam domain berasaskan Active Directory, setiap komputer mempunyai satu akaun dan kata laluan, seperti mana-mana pengguna. Jika anda melumpuhkan seting dasar ini, ahli domain akan dapat menukar kata laluan akaun komputer sebagaimana yang ditentukan oleh persekitaran untuk ahli domain: umur maksimum untuk laluan akaun Mesin, mana secara lalai adalah 30 hari. atau versi terkini sistem pengendalian Windows. Komputer yang tidak dapat menukar kata laluan akaun anda pada risiko serangan secara automatik oleh penceroboh yang menentukan kata laluan untuk akaun domain dari komputer. Jika komputer ini dikonfigurasi untuk menyulitkan atau mendaftar data saluran selamat apabila mungkin, saluran yang selamat dapat diwujudkan, tetapi tahap penyulitan dan menandatangani dirundingkan. dipasang yang dimasukkan ke dalam pengeluaran bulan kemudian. seterusnya versi sistem operasi Windows menyokong enskripsi digital dan menandatangani satu saluran yang selamat.
Ia menghapuskan keperluan untuk reingressarem komputer ini dalam bidang. Seting polisi ini juga kadang-kadang digunakan dengan komputer dengan imej atau orang-orang dengan pencegahan peringkat perkakasan atau perisian yang berubah-ubah. Konfigurasi domain ahli: umur maksimum untuk kata laluan akaun Mesin sebagai 30 hari. Tatacara ini juga digunakan untuk komputer Windows 2000, tetapi ia tidak boleh didapati melalui Pengurus Konfigurasi Keselamatan pada komputer ini. saluran selamat melindungi domain kelayakan seperti mereka dihantar ke pengawal domain.
Pengguna yang mendok komputer mereka akan perlu untuk log masuk ke konsol tempatan sebelum mereka boleh keluar dok komputer. Secara lalai, seting dasar ini telah dinyahdayakan. Jika anda melumpuhkan seting dasar ini, tahap keselamatan akan dirundingkan. Setelah komunikasi ditubuhkan, Selat selamat menghantar maklumat sensitif yang diperlukan untuk membuat keputusan pengesahan dan kebenaran.
DEL, akan mudah terdedah kepada serangan yang cuba memintas kata laluan mereka. mereka akan menyimpan kata laluan yang sama seperti akaun komputer mereka. Jika anda mendayakan seting dasar ini, pengguna boleh log tanpa kombinasi kekunci ini. Pengesetan dasar ini menentukan tempoh maksimum yang dibenarkan bagi kata laluan akaun komputer. Anda hanya perlu mengaktifkan seting dasar ini jika pengawal domain dalam semua domain dipercayai menyokong kuat kekunci. dengan pek perkhidmatan 6a atau versi terkini sistem pengendalian Windows. Nota: untuk membolehkan seting dasar ini pada stesyen kerja ahli atau pelayan, Semua pengawal domain dalam domain yang tergolong ahli mesti berupaya menyulitkan data selamat saluran dengan kekunci 128-bit yang kuat.
DEL untuk log masuk untuk Kurang Upaya. Jika anda melumpuhkan seting dasar ini, kunci sesi 64-bit adalah dibenarkan. Seting untuk log masuk interaktif: mesej teks untuk pengguna yang cuba untuk log masuk dan log masuk interaktif: mesej tajuk untuk pengguna yang cuba untuk log berkait rapat. Mentakrifkan semula seting yang menggunakan komputer Windows 2000. Di samping itu, komputer yang tidak menyokong pengesetan dasar ini tidak akan dapat menyertai dalam kawasan di mana pengawal domain mempunyai seting dasar ini dibolehkan. Pengesetan dasar ini menentukan sama ada dalam log masuk ke kotak dialog Windows memaparkan nama pengguna terakhir yang telah disambungkan kepada komputer anda.
Amanah antara domain Active Directory dan Windows NT domain gaya mungkin tidak berfungsi dengan betul. Pengguna yang mencapai konsol pelayan akan mempunyai kelayakan log masuk yang cache pada pelayan tersebut. Jika anda mendayakan seting dasar ini pada semua pengawal domain, ahli domain tidak boleh menukar kata laluan akaun komputer mereka dan kata laluan ini akan menjadi lebih mudah terdedah kepada serangan. Bila-bila masa yang mungkin, anda perlu mengambil kesempatan daripada kekunci sesi ini kuat untuk membantu melindungi saluran selamat komunikasi terhadap serangan yang cuba merampas sesi rangkaian dan mengintip. DEL sebelum log masuk Windows, melainkan jika anda menggunakan kad pintar untuk log masuk ke Windows. Kad pintar adalah tahan bega peranti yang menyimpan maklumat Keselamatan.
Jangan gunakan seting dasar ini sebagai cubaan untuk menyokong senario dwi-boot yang menggunakan akaun komputer yang sama. Kunci sesi digunakan untuk mewujudkan saluran selamat komunikasi antara pengawal domain dan ahli komputer adalah jauh lebih terhad dalam Windows 2000 daripada dalam sistem operasi Microsoft yang sebelumnya. Konfigurasi Jangan tidak memaparkan nama pengguna akhir dalam skrin log masuk untuk membolehkan. Pindaan yang dibuat ke profil anda sejak log masuk terakhir anda mungkin tidak boleh didapati. Amaran: Log masuk menyokong Windows XP Professional, trek yang boleh melebihi 512 aksara tambahan untuk mengandungi urutan linefeed dihasilkan oleh pulangan pengangkutan. Kemudian, si penyerang akan dapat log masuk ke akaun terjejas dengan tahap keistimewaan yang pengguna.
Menguping adalah satu bentuk serangan dalam rangkaian data dibaca atau dipinda dalam transit. Pertama, set semula seting seperti yang tidak ditetapkan. bahawa tindakan mereka boleh diaudit. Jika anda mendayakan seting dasar ini, pengguna boleh menekan butang lenting untuk keluar dok komputer fizikal dengan keselamatan komputer. Set semula konfigurasi tidak disetkan. Pengesetan dasar ini menentukan bilangan pengguna unik yang boleh log masuk ke domain Windows menggunakan maklumat akaun cache.
Jika anda mendayakan seting dasar ini, nama pengguna terakhir berjaya menyambung tidak akan dipaparkan. Ini juga boleh membantu untuk mengukuhkan dasar korporat untuk memberitahu pekerja polisi yang sesuai semasa proses log masuk. DEL diperlukan untuk log masuk, kata laluan pengguna akan dimaklumkan melalui laluan yang dipercayai. DEL sebelum log masuk.
Pengguna akan melihat mesej dalam kotak dialog sebelum anda log masuk ke pelayan konsol. A pengawal domain anda tidak dapat dihubungi. melainkan mereka menggunakan kad pintar untuk log masuk, pengguna perlu tekan kekunci tiga serentak untuk kotak dialog log masuk muncul. Microsoft membangunkan ciri-ciri ini untuk membuat ia lebih mudah untuk pengguna dengan kecacatan jenis tertentu untuk log masuk ke komputer yang menggunakan Windows. dengan nilai lebih daripada sifar, kelayakan cache pengguna akan digunakan untuk membuka komputer.