Домашний доктор для вашего ПК
Шрифт:
Определяет, какие сетевые ресурсы доступны анонимным пользователям. По умолчанию: не определен.
Сетевой доступ: модель общего доступа и безопасности для локальных учетных записей
Определяет метод проверки подлинности при входе в сеть с использованием локальных учетных записей. Если этот параметр имеет значение Классический, то при проверке подлинности локальной учетной записи используются предъявляемые при входе в сеть учетные данные. Если параметр имеет значение Только гости, то при входе в сеть с использованием локальной учетной записи последней автоматически сопоставляется гостевая учетная запись. Классическая модель позволяет с высокой степенью точности контролировать доступ к ресурсам. С ее помощью можно дифференцировать типы доступа к одному и тому же ресурсу для различных пользователей. В гостевой модели все пользователи считаются равноправными. Все они проверяются как пользователи группы «Гость» и обладают одинаковыми разрешениями на доступ к каждому конкретному ресурсу – либо «Только чтение», либо «Изменение».
Итак, существуют две модели доступа: «Классическая» – подлинность локальных пользователей проверяется по их учетным данным; «Только гости» – локальные пользователи проверяются как гости.
По умолчанию: «Только гости» в Windows XP Professional.
Действие данного параметра не распространяется на вход в сеть с использованием учетных записей домена. Действие параметра не распространяется на интерактивный вход в сеть,
выполняемый в удаленном режиме с использованием таких служб, как Telnet или службы терминалов. Если компьютер не присоединен к домену, данный параметр также определяет внешний вид вкладок Доступ и Безопасность проводника Windows: они настраиваются в соответствии с выбранной моделью доступа и безопасности.
Особого внимания заслуживают следующие особенности данной политики.
• В случае гостевой модели любой пользователь, имеющий доступ к данному компьютеру через сеть (в том числе анонимный пользователь Интернета), получит доступ и к общим ресурсам этого компьютера. Компьютер следует защитить от несанкционированного доступа с помощью брандмауэра подключения к Интернету (ICF) или аналогичного средства.
Точно так же в случае классической модели локальные учетные записи должны быть защищены паролем; в противном случае любой пользователь сможет с помощью такой учетной записи получить доступ к общим системным ресурсам.
• Данная политика неприменима на компьютерах Windows 2000.
Политики сетевой безопасности
С етевая безопасность: не хранить хеш-значений LAN M anager при следующей смене пароля Определяет, сможет ли протокол LAN Manager при очередной смене пароля сохранить хеш-коды для нового пароля. По умолчанию: отключен.
Сетевая безопасность: принудительный вывод из сеанса по истечении допустимых часов работы
Определяет, следует ли отключать пользователей, работающих на локальном компьютере после установленного для них допустимого срока. Этот параметр влияет на работу компонента SMB (Server Message Block). Если эта политика включена, то клиентские сеансы с участием сервера SMB будут принудительно прекращаться по истечении периода времени, отведенного клиенту для входа в систему. Если эта политика отключена, установленный сеанс клиента может продолжаться по истечении периода времени, разрешенного для клиента. По умолчанию: включен.
Учетные записи доменов контролируются только одной политикой учетных записей. Она должна быть определена в стандартной политике домена и реализовываться контроллерами этого домена. Контроллер домена всегда получает политику учетных записей из объекта групповой политики «Стандартная политика домена», даже если к подразделению, в котором этот контроллер домена содержится, применяется еще и другая политика учетных записей. Присоединяемые к домену рабочие станции и серверы (т. е. рядовые компьютеры) по умолчанию используют ту же стандартную политику и для своих локальных учетных записей. Однако политики локальных учетных записей рядовых компьютеров могут отличаться от политики учетных записей домена, если они принадлежат подразделению, в котором определена своя политика учетных записей. Параметры Kerberos не применяются к рядовым компьютерам.
Сетевая безопасность: уровень проверки подлинности LAN Manager
Определяет, какие протоколы проверки подлинности типа «запрос/ответ» должны использоваться при входе в сеть. От выбранного варианта зависит уровень протокола проверки подлинности, используемого клиентами, согласуемый уровень безопасности сеанса, а также уровень проверки подлинности, принимаемый серверами.
• Отправлять LM и NTLM ответы: клиенты используют протоколы LM и NTLM для проверки подлинности и никогда не используют протокол NTLMv2 для обеспечения безопасности сеанса; контроллеры домена допускают проверку подлинности по протоколам LM, NTLM и NTLMv2.
• Отправлять LM и NTLM – использовать сеансовую безопасность NTLMv2 при согласовании: клиенты используют протоколы LM и NTLM для проверки подлинности и протокол NTLMv2 для обеспечения безопасности сеанса, если сервер поддерживает безопасность сеанса по протоколу NTLMv2; контроллеры домена допускают проверку подлинности по протоколам LM, NTLM и NTLMv2.
• Отправлять только NTLM ответ: клиенты используют протокол NTLM для проверки подлинности и протокол NTLMv2 для обеспечения безопасности сеанса, если сервер поддерживает безопасность сеанса по протоколу NTLMv2; контроллеры домена допускают проверку подлинности по протоколам LM, NTLM и NTLMv2.
• Отправлять только NTLMv2 ответ: клиенты используют только протокол NTLMv2 для проверки подлинности, а также для обеспечения безопасности сеанса, если сервер поддерживает безопасность сеанса по протоколу NTLMv2; контроллеры домена допускают проверку подлинности по протоколам LM, NTLM и NTLMv2.
• Отправлять только NTLMv2 ответ, отказывать LM: клиенты используют только протокол NTLMv2 для проверки подлинности, а также для обеспечения безопасности сеанса, если сервер поддерживает безопасность сеанса по протоколу NTLMv2; контроллеры домена допускают проверку подлинности только по протоколам NTLM и NTLMv2, отвергая LM.
• Отправлять только NTLMv2 ответ, отказывать LM и NTLM: клиенты используют только протокол NTLMv2 для проверки подлинности, а также для обеспечения безопасности сеанса, если сервер поддерживает безопасность сеанса по протоколу NTLMv2; контроллеры домена допускают проверку подлинности только по протоколу NTLMv2, отвергая LM и NTLM.
По умолчанию: отправлять LM и NTLM ответы на сервере; не определен на рабочих станциях.
Данный параметр может влиять на возможности сетевого взаимодействия компьютеров Windows 2000 Server, Windows 2000 Professional и Windows XP Professional с клиентами Windows NT 4.0 и более ранних версий. Например, на момент составления данной справки компьютеры с системой Windows NT 4.0, использовавшейся до выпуска пакета обновления SP4, не поддерживают NTLMv2. Системы Windows 95 и Windows 98 не поддерживают NTLM.
Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасный RPC)
Определяет минимальные стандарты безопасности для сеансов связи между приложениями для клиента. Windows NT поддерживает два варианта проверки подлинности по схеме «запрос/ответ» при входе в сеть: LAN Manager (LM); NTLM версии 1. Протокол LM обеспечивает совместимость с уже действующими платформами клиентов и серверов.
Протокол NTLM обеспечивает повышенный уровень безопасности для подключений между клиентами и серверами. По умолчанию: не определен.
Этот параметр применяется ко всем компьютерам Windows 2000, но не доступен для просмотра на этих компьютерах.
Сетевая безопасность: минимальная сеансовая безопасность для серверов на базе NTLM SSP (включая безопасный RPC)
Определяет минимальные стандарты безопасности для сеансов связи между приложениями на сервере. Windows NT поддерживает два варианта проверки подлинности по схеме «запрос/ ответ» при входе в сеть: LAN Manager (LM); NTLM версии 1. Протокол LM обеспечивает совместимость с уже действующими платформами клиентов и серверов. Протокол NTLM обеспечивает повышенный уровень безопасности для подключений между клиентами и серверами. По умолчанию: не определен.