Примјетио сам неке чудности када приступам директоријумима СИСВОЛ и НЕТЛОГОН у домени из система Виндовс 10 / Виндовс Сервер 2016. Када приступите контролеру домена од клијента преко УНЦ путање \\ СИСВОЛ
или ИП адресом контролера домена \\ 192.168.1.10 \ Нетлогон
појављује се грешка “Приступ је одбијен”(Приступ је одбијен) са захтевом за унос налога и лозинке. Када одређујете кориснички налог домене или чак администратора домене, директоријуми се и даље не отварају.
У исто време, исти Сисвол / Нетлогон директориј се нормално отвара (без тражења лозинке) ако наведете име контролера домена: \\ дц1.домаин.ру \ сисвол
или само \\ дц1 \ сисвол
.
Поред тога, проблеми са применом групних смерница могу се приметити на проблематичним рачунарима са системом Виндовс 10. У дневнику можете пронаћи грешке са ЕвентИД 1058:
Обрада групне политике није успела. Виндовс је покушао да прочита датотеку \\ домаин.ру \ сисвол \ домаин.ру \ Полициес \ ГПО ГУИД \ гпт.ини са контролера домена и није успео. Подешавања групних полиса можда неће бити примењена док се овај догађај не реши.
Све је то повезано са новим безбедносним подешавањима која су дизајнирана да заштите рачунаре домена од покретаног кода (скрипте за пријаву, извршне датотеке) и примају конфигурационе датотеке смерница из непоузданих извора - УНЦ каљење. Сигурносна подешавања система Виндовс 10 / Виндовс Сервер 2016 захтевају да се следећи нивои сигурности користе за приступ УНЦ директоријумима са побољшаном заштитом (СИСВОЛ и НЕТЛОГОН):
- Узајамна аутентификација - међусобна аутентификација клијента и сервера. Керберос се користи за аутентификацију (НТЛМ није подржан). Због тога се не можете повезати са директоријама СИСВОЛ и НЕТЛОГОН на контролеру домена путем ИП адресе. Подразумевано
РекуиреМутуалАутхентицатион = 1
. - Интегритет - Верификација СМБ потписа Омогућава вам да будете сигурни да подаци у СМБ сесији нису модификовани током преноса. Потпис СМБ подржан је само у СМБ верзији 2.0 и новијим (СМБ 1 не подржава СМБ потпис за сесију). Подразумевано
РекуиреИнтегрити = 1
. - Приватност - шифрирање података у СМБ сесији. Подржава се од СМБ 3.0 (Виндовс 8 / Виндовс Сервер 2012 и новији). РекуиреПриваци = 0. Ако на рачунару имате рачунаре и контролере домена са старијим верзијама оперативног система Виндовс (Виндовс 7 / Виндовс Сервер 2008 Р2 и новије верзије), не бисте требали да користите ову опцију
РекуиреПриваци = 1
. У супротном, стари клијенти се неће моћи повезати с мрежним директоријима на контролерима домена.
У почетку су ове промене извршене у Виндовсу 10 још 2015. године као део безбедносних билтена МС15-011 и МС15-014. Као резултат тога, промењен је алгоритам Вишеструког УНЦ провајдера (МУП), који сада користи посебна правила за приступ критичним директоријумима на контролерима домена. \\ * \ СИСВОЛ и \\ * \ НЕТЛОГОН.
У оперативним системима Виндовс 7 и Виндовс 8.1 стазе заштићене УНЦ-ом су подразумевано онемогућене.Можете да промените УНЦ подешавања очвршћивања у оперативном систему Виндовс 10 да бисте приступили СИСВОЛ и НЕТЛОГОН путем групних смерница. Можете да користите различите безбедносне поставке да бисте приступили различитим УНЦ путевима помоћу политике. Ојачани УНЦ путеви (УНЦ стазе с побољшаном заштитом).
- Отворите локални уредник сигурносних политика гпедит.мсц;
- Идите на одељак са смерницама Конфигурација рачунара -> Административни предлошци -> Мрежа -> Мрежни провајдер;
- Омогући политику Отврднуте унц стазе;
- Кликните на дугме Покажи и креирајте уносе за УНЦ стазе до директорија Нетлогон и Сисвол. Да бисте у потпуности онемогућили УНЦ стврдњавање за одређене директоријуме (не препоручује се !!), наведите
РекуиреМутуалАутхентицатион = 0, РекуиреИнтегрити = 0, РекуиреПриваци = 0
За УНЦ стазе можете користити сљедеће формате:- \\ ДЦ_ИП
- \\ домаин.ру
- \\ ДЦНаме
Или можете дозволити приступ директоријумима Сисвол и Нетлогон без обзира на УНЦ пут:
- \\ * \ СИСВОЛ
- \\ * \ НЕТЛОГОН
Морате навести сва потребна имена домена (контролери домена) или ИП адресе.
Мицрософт препоручује коришћење следећих поставки за безбедан приступ критичним УНЦ директоријумима:- \\ * \ НЕТЛОГОН
РекуиреМутуалАутхентицатион = 1, РекуиреИнтегрити = 1
- \\ * \ СИСВОЛ
РекуиреМутуалАутхентицатион = 1, РекуиреИнтегрити = 1
Остаје да се ажурирају смернице на рачунару помоћу команде гпупдате / форце
и проверите да ли имате приступ директоријумима Сисвол и Нетлогон.
Ова подешавања можете да конфигуришете помоћу централизоване политике домена. Или уз помоћ следећих команди на клијентима. (Ове наредбе ће онемогућити Керберос провјеру аутентичности приликом приступа наведеним директоријима на ДЦ-у. Користиће се НТЛМ, као резултат што можете отворити заштићене директоријуме на ДЦ-у по ИП адреси):
рег додај ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СОФТВАРЕ \ Полициес \ Мицрософт \ Виндовс \ НетворкПровидер \ ХарденедПатхс / в "\\ * \ СИСВОЛ" / д "РекуиреМутуалАутхентицатион = 0" / т РЕГ_СЗ / ф
рег додај ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СОФТВАРЕ \ Политике \ Мицрософт \ Виндовс \ НетворкПровидер \ ХарденедПатхс / в "\\ * \ НЕТЛОГОН" / д "РекуиреМутуалАутхентицатион = 0" / т РЕГ_СЗ / ф
- Имате стару верзију административних предложака на контролеру домена (ДЦ са старог Виндовс Сервер 2008 Р2 / Виндовс Сервер 2012) који немају поставку Ојачане УНЦ Патхс политике;
- због неприступачности директорија Сисвол, клијенти не могу да добију смернице о домену и не можете да дистрибуирају ове поставке регистра.