Menyediakan persekitaran yang log masuk interaktif: minta pengguna untuk menukar kata laluan sebelum tamat tempohnya sebagai 14 hari. Syarikat boleh memilih untuk menetapkan tetapan ini untuk 2 untuk pengguna komputer, terutama pengguna telefon. Maklumat log masuk untuk akaun domain boleh cache tempatan supaya, jika pengawal domain tidak boleh dihubungi pada Kaitangan berikutnya, pengguna masih boleh log. Tambahan pertahanan diri termasuk pelaksanaan dasar-dasar kata laluan kukuh dan fizikal selamat lokasi komputer. sebagai 0, yang melumpuhkan cache tempatan maklumat log masuk.
Apabila log pengguna yang kesebelas ke dalam komputer, pelayan menggantikan sesi log masuk cache. Pengguna akan sentiasa perlu menaip nama pengguna mereka apabila log masuk. nombor yang diperuntukkan kepada seting dasar ini menunjukkan bilangan pengguna maklumatnya log masuk pelayan akan menyimpan cache tempatan. Jika anda mendayakan seting ini, pengawal domain mesti mengesahkan akaun domain yang digunakan untuk membuka komputer. Penyerang dapat memasang atur cara kuda Trojan yang kelihatan seperti kotak dialog log masuk lalai Windows untuk menangkap kata laluan pengguna. Paparkan mesej amaran sebelum login boleh membantu menghalang serangan untuk memberi amaran kepada si penyerang salah-laku anda sebelum ia berlaku.
Dengan amaran awal ini, pengguna mempunyai masa untuk menyediakan laluan yang cukup selamat. Walau bagaimanapun, pelanggan Windows 2000 tidak boleh mentafsir dan memaparkan mesej ini. Untuk akaun domain, log masuk interaktif: memerlukan pengesahan pengawal domain untuk membuka stesen kerja menentukan sama ada untuk menghubungi pengawal domain untuk membuka komputer. Anda perlu menggunakan komputer Windows 2000 untuk mencipta dasar mesej log masuk yang digunakan untuk komputer ini. Jika anda mendayakan seting dasar ini, nama pengguna terakhir untuk menyambung berjaya dipaparkan. Penyerang yang mempunyai akses kepada sistem fail pelayan boleh mengesan maklumat cache ini dan gunakan serangan brute force untuk cuba untuk menentukan kata laluan pengguna.
Nota: seting ini terpakai kepada komputer yang menggunakan Windows 2000, tetapi ini tidak dapat dihubungi melalui Pengurus Konfigurasi Keselamatan pada komputer ini. penyerang boleh cuba untuk meneka kata laluan, gunakan dalam kamus atau menggunakan serangan brute force untuk cubaan menyambung. Kurang Upaya akaun masih boleh membuka konsol komputer. Menetapkan mesej teks seting bagi pengguna yang cuba untuk log masuk dan mesej tajuk untuk pengguna yang cuba untuk log masuk dengan nilai yang sesuai untuk organisasi anda. Beliau akan menggunakan kelayakkan untuk mengesahkan sesiapa yang cuba untuk membuka konsol. Anda boleh melihat nama pengguna terakhir yang dilog masuk pada pelayan.
boleh dipercayai di pembaca operasi, kad pintar dan kad pintar untuk semua pengguna. Maklumat login adalah dikehendaki untuk membuka komputer yang berkunci. Pengguna akan melihat kotak dialog segera untuk menukar kata laluan anda setiap kali anda log on ke domain apabila kata laluan mereka dijangka akan tamat dalam masa 14 hari atau kurang.
Secara lalai, komputer cache dalam memori kelayakan mana-mana pengguna yang akan disahkan dalam negara. Pengesetan dasar ini menentukan bilangan pengguna unik maklumat log masuk yang disimpan secara tempatan di cache. Pengesetan dasar ini menentukan sama ada saluran yang selamat boleh ditubuhkan dengan pengawal domain yang tidak boleh menyulitkan trafik saluran selamat dengan kunci sesi 128-bit yang kuat. Seting polisi ini memerlukan pengguna untuk log masuk ke komputer dengan kad pintar. Ia sebagai 0 supaya komputer tidak lagi menukar kata laluan mereka, penyerang akan mempunyai lebih banyak masa untuk melaksanakan satu serangan brute force untuk meneka kata laluan satu atau lebih akaun komputer.
Pengguna perlu diberi amaran bahawa kata laluan mereka akan tamat, atau mereka mungkin secara tidak sengaja disekat pada komputer apabila tamat tempoh kata laluan mereka. Jika jumlah disetkan kepada 10, pelayan akan cache maklumat pengguna 10. tidak dipertimbangkan atau diaplikasikan setelah akaun tersebut disahkan. Selain itu, penyerang jika anda lulus oleh pelayan atau oleh pelanggan selepas pengesahan yang sah dan mendapat akses yang tidak dibenarkan kepada data. Nota: seting ini terpakai kepada komputer yang menggunakan Windows 2000, tetapi ini tidak dapat dihubungi melalui Pengurus Konfigurasi Keselamatan pada komputer ini. Ini bermakna bahawa anda mesti mempunyai 25. Nota: mana-mana mesej amaran dipaparkan hendaklah diluluskan oleh wakil-wakil undang-undang mereka, dan sumber manusia bagi organisasi.
termasuk sijil (Babysitting), Perkhidmatan yang amat canggih untuk menggerakkan dan menguruskan sijil. Dalam erti kata lain, pengguna tersebut mestilah mempunyai kad pintar dan tahu PIN anda. Seting polisi ini menghalang pemasangan pemacu yang tidak ditandatangani atau memberi amaran kepada pentadbir bahawa untuk perisian pemacu yang tidak ditandatangani adalah kira-kira untuk dipasang. Ini mengurangkan peluang untuk penyerang dapat meneka kata laluan pengguna melalui serangan brute force.
Pengesetan dasar pertama menetapkan mesej teks yang dipaparkan apabila pengguna log masuk, dan pengesetan dasar kedua menentukan tajuk yang dipaparkan di dalam bar tajuk tetingkap yang mengandungi mesej teks. Jika anda memilih log keluar tentera dalam kotak dialog sifat-sifat untuk seting dasar ini, pengguna akan terputus secara automatik apabila kad pintar dialih keluar. dengan SP1 melaksanakan ACLs dengan lalai sebagaimana yang dinyatakan dalam dokumen. tidak boleh log masuk. Kad pintar yang memerlukan nombor pengenalan peribadi, dipanggil PINs, menawarkan pengesahan dua faktor.
Kaedah ini membolehkan pengguna untuk log masuk ke komputer mereka apabila mereka tidak tersambung ke rangkaian organisasi. Beberapa sumber mengesyorkan bahawa anda menetapkan semua tatacara ini dibolehkan untuk. Jika anda memilih stesyen kerja kunci dalam kotak dialog sifat-sifat untuk seting dasar ini, stesen kerja dikunci apabila kad pintar dialih keluar. Jika terdapat tiada pengawal domain, pengguna tidak boleh buka stesen kerja mereka. Microsoft mengesyorkan bahawa kata laluan pengguna boleh dikonfigurasikan untuk luput dari semasa ke semasa. Jika anda menggunakan kad pintar untuk pengesahan, komputer akan mengunci dengan sendirinya apabila Kad dikeluarkan. Pengguna perlu memasukkan semula kad pintar mereka dan taip semula PIN mereka apabila mereka kembali ke stesen kerja mereka.
sekali lagi pada pengawal domain. Penyerang yang menangkap trafik pengesahan antara pengawal domain dan pengguna komputer akan mendapati ia amat sukar untuk menyah enkripsi trafik dan, bahkan jika mereka lakukan, apabila pengguna menyambung ke rangkaian, kunci sesi baru yang akan dijana untuk mengenkrip trafik antara pengguna dan pengawal domain. Memerlukan pengguna untuk menggunakan kata laluan yang panjang dan kompleks untuk mengesahkan mempertingkatkan keselamatan rangkaian, terutamanya jika mereka boleh menukar kata laluan mereka dengan kerap. seting lalai untuk komputer berasaskan Windows Server 2003 dan bahawa kepunyaan domain adalah mereka yang bertanggungjawab untuk secara automatik menukar kata laluan untuk akaun mereka setiap 30 hari. Konfigurasi kad pintar pemindahan tingkah laku sebagai stesen kerja kunci.
Pengesetan dasar ini menentukan jumlah masa melahu berterusan prestasi yang mesti berlalu di SMB sesi sebelum sesi digantung kerana tidak aktif. pelaksanaan tanda tangan digital dalam rangkaian keselamatan yang tinggi membantu untuk menghalang impersonation pelanggan dan pelayan. Jika anda menyahdayakan seting ini, pengesahan maklumat log masuk untuk pengawal domain yang tidak diperlukan bagi pengguna untuk membuka komputer. Nilai 0 akan mencabut satu sesi terbiar secepat mungkin. Jika mana-mana pihak gagal proses pengesahan, penghantaran data tidak akan terjadi.
Konfigurasi pelayan rangkaian Microsoft: jangka masa terbiar yang diperlukan sebelum memutuskan sesi 15 minit. pelaksanaan SMB menandatangani boleh menjejaskan prestasi, kerana setiap pakej perlu ditandatangani dan disahkan. Impersonation jenis ini dikenali sebagai sesi rampasan dan kegunaan peralatan yang membolehkan penceroboh yang mempunyai akses ke rangkaian yang sama seperti klien atau pelayan untuk mengganggu, membatalkan, atau mencuri satu sesi yang dijalankan.
Jika perlahan atau berhenti bertindak balas. Jika anda mendayakan seting dasar ini, pelayan mungkin menghantar kata laluan dalam teks melalui rangkaian ke komputer lain yang menawarkan perkhidmatan SMB. menggunakan kad pintar sebagai ganti kata laluan untuk pengesahan secara dramatik meningkatkan Keselamatan, kerana teknologi semasa yang menjadikan ia hampir mustahil untuk penyerang untuk menyamar sebagai pengguna lain. penceroboh kemungkinan memintas dan mengubah suai peket SMB tidak ditandatangani, dan kemudian mengubahsuai trafik dan kemukakan supaya pelayan melakukan tindakan yang tidak diingini.
Walau bagaimanapun, adalah sukar untuk membuat pengguna memilih kata laluan yang kuat, dan kata laluan yang lebih kuat akan terdedah kepada serangan brute force jika penyerang mempunyai cukup masa dan sumber pengkomputeran. Anda akan log masuk menggunakan maklumat cache. Walau bagaimanapun, seting ini mungkin menyebabkan prestasi yang lebih perlahan pada komputer pelanggan dan berhenti berkomunikasi dengan legasi SMB aplikasi dan sistem operasi. SMB merupakan protokol perkongsian sumber yang disokong oleh sistem operasi Microsoft yang banyak. Jika anda mengkonfigurasikan komputer untuk mengabaikan semua tidak ditandatangani SMB komunikasi, aplikasi dan sistem operasi yang lebih tua tidak akan dapat menyambung.
XP profesional fail perkongsian protokol SMB percetakan dan pengesahan bersama sokongan, yang menghalang sesi rampasan serangan dan menyokong pengesahan mesej, sehingga mencegah serangan pemintasan.
