Beveiligingsadvies
Microsoft Security Advisory 974926
Referenties relaying-aanvallen op geïntegreerde Windows-verificatie
Gepubliceerd: 08 december 2009
Versie: 1.0
Met dit advies wordt het potentieel voor aanvallen behandeld die van invloed zijn op de verwerking van referenties met behulp van Geïntegreerde Windows-verificatie (IWA) en de mechanismen die Microsoft beschikbaar heeft gesteld voor klanten om te helpen beschermen tegen deze aanvallen.
Bij deze aanvallen kan een aanvaller die de verificatiereferenties van de gebruiker kan verkrijgen terwijl deze worden overgedragen tussen een client en een server, deze referenties weer weergeven naar een service die op de client wordt uitgevoerd, of doorsturen naar een andere server waarop de client een geldig account heeft. Hierdoor kan de aanvaller toegang krijgen tot deze resources, waarbij de client wordt geïmiteert. Omdat IWA-referenties zijn gehasht, kan een aanvaller deze niet gebruiken om de werkelijke gebruikersnaam en het werkelijke wachtwoord te bepalen.
Afhankelijk van het scenario en het gebruik van extra aanvalsvectoren kan een aanvaller mogelijk verificatiereferenties verkrijgen binnen en buiten de beveiligingsperimeter van de organisatie en deze gebruiken om ongepaste toegang tot resources te krijgen.
Microsoft richt zich op de mogelijke impact van deze problemen op verschillende niveaus en wil klanten bewust maken van de hulpprogramma's die beschikbaar zijn gesteld om deze problemen op te lossen en de impact van het gebruik van deze hulpprogramma's. Dit advies bevat informatie over de verschillende acties die Microsoft heeft ondernomen om de beveiliging van IWA-verificatiereferenties te verbeteren en hoe klanten deze beveiliging kunnen implementeren.
Beperkende factoren:
- Om referenties door te geven, moet een aanvaller een ander beveiligingsprobleem gebruiken om een man-in-the-middle-aanval uit te voeren, of om het slachtoffer, met behulp van social engineering, te overtuigen om verbinding te maken met een server onder controle van de aanvaller, bijvoorbeeld door een koppeling in een schadelijk e-mailbericht te verzenden.
- Internet Explorer verzendt niet automatisch referenties met behulp van HTTP naar servers die worden gehost in de internetzone. Dit vermindert het risico dat referenties kunnen worden doorgestuurd of weerspiegeld door een aanvaller binnen deze zone.
- Binnenkomend verkeer moet naar het clientsysteem worden toegestaan om een reflectie-aanval te laten slagen. De meest voorkomende aanvalsvector is SMB, omdat hiermee IWA-verificatie is toegestaan. Hosts achter een firewall die SMB-verkeer blokkeert of hosts die SMB-verkeer op een hostfirewall blokkeren, zijn niet kwetsbaar voor de meest voorkomende NTLM-reflectieaanvallen, die gericht zijn op SMB.
Algemene gegevens
Overzicht
Doel van advies: om de acties te verduidelijken die Microsoft uitvoert om de beveiliging van gebruikersreferenties uit te breiden bij het gebruik van Geïntegreerde Windows-verificatie (IWA).
Adviesstatus: Advies gepubliceerd.
Aanbeveling: Bekijk de voorgestelde acties en configureer indien van toepassing.
| Verwijzingen | Kenmerk |
|---|---|
| Microsoft Knowledge Base-artikel | 974926 |
In dit advies worden de volgende software besproken.
| Betrokken software |
|---|
| Windows XP Service Pack 2 en Windows XP Service Pack 3 |
| Windows XP voor op x64 gebaseerde systemen Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 voor x64-systemen Service Pack 2 |
| Windows Server 2003 voor op Itanium gebaseerde systemen Service Pack 2 |
| Windows Vista, Windows Vista Service Pack 1 en Windows Vista Service Pack 2 |
| Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 en Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 voor 32-bits systemen en Windows Server 2008 voor 32-bits systemen Service Pack 2 |
| Windows Server 2008 voor x64-systemen en Windows Server 2008 voor x64-systemen Service Pack 2 |
| Windows Server 2008 voor Op Itanium gebaseerde systemen en Windows Server 2008 voor Op Itanium gebaseerde Systemen Service Pack 2 |
| Windows 7 voor 32-bits systemen* |
| Windows 7 voor x64-systemen* |
| Windows Server 2008 R2 voor x64-systemen* |
| Windows Server 2008 R2 voor op Itanium gebaseerde systemen* |
*Windows 7 en Windows Server 2008 R2 bieden uitgebreide beveiliging voor verificatie als onderdeel van de SSPI (Security Support Provider Interface). Toepassingen die op deze besturingssystemen worden uitgevoerd, kunnen nog steeds worden blootgesteld aan referenties die worden doorgegeven als het besturingssysteem of de toepassing niet is geconfigureerd om deze functie te ondersteunen. Uitgebreide beveiliging voor verificatie is niet standaard ingeschakeld.
Veelgestelde vragen
Wat is het bereik van het advies?
Dit beveiligingsadvies biedt een uitgebreid overzicht van de strategie die Microsoft van toepassing is om te beschermen tegen het doorgeven van referenties. Het biedt een overzicht van de updates die momenteel beschikbaar zijn om dit probleem uitgebreid op te lossen.
Wat veroorzaakt deze bedreiging?
Met dit advies wordt het potentieel voor het doorgeven van verificatie behandeld. Deze aanvallen vinden plaats wanneer een aanvaller slaagt in het verkrijgen van verificatiereferenties, bijvoorbeeld via een man-in-the-middle-aanval, of door een gebruiker te overtuigen om op een koppeling te klikken. Deze koppeling kan ertoe leiden dat de client toegang krijgt tot een door een aanvaller beheerde service die de gebruiker vraagt zich te verifiëren met behulp van IWA.
Vormen van referentieverzending waarnaar in dit advies wordt verwezen, zijn:
- Referenties doorsturen: domeinreferenties die door een aanvaller worden verkregen, kunnen worden gebruikt om zich aan te melden bij andere services waartoe het slachtoffer bekend is. De aanvaller kan vervolgens machtigingen verkrijgen die identiek zijn aan die van het slachtoffer op de doelservice.
- Referentiespiegeling: domeinreferenties die door een aanvaller worden verkregen, kunnen worden gebruikt om zich weer aan te melden bij de computer van het slachtoffer. De aanvaller krijgt vervolgens machtigingen op die machine die identiek is aan die van het slachtoffer.
Om deze aanvallen te laten slagen, vereist een aanvaller dat een gebruiker verbinding maakt met de server van de aanvaller. Dit kan worden bereikt door aanvallen waarbij de aanvaller aanwezig is op het lokale netwerk, zoals ARP-cachevergiftiging (Address Resolution Protocol).
De impact van deze aanvallen neemt toe wanneer een aanvaller een gebruiker overtuigt om verbinding te maken met een server buiten de grens van de organisatie. Specifieke scenario's die dit mogelijk maken, zijn als volgt:
- DNS-devolution, een Windows DNS-clientfunctie waarmee Windows DNS-clients DNS-query's kunnen oplossen voor niet-gekwalificeerde hostnamen met één label. Een kwaadwillende gebruiker kan een specifieke hostnaam buiten de grens van de organisatie registreren die, als clients onjuist zijn geconfigureerd, onbedoeld contact kan krijgen met een client wanneer deze zich buiten de organisatiegrens bevindt terwijl deze toegang probeert te krijgen tot die hostnaam.
- DNS-adresvervalsing, waarbij een aanvaller misbruik kan maken van beveiligingsproblemen in het Windows Domain Name System (DNS), waardoor adresvervalsing is toegestaan. Met deze aanvallen kan een externe aanvaller netwerkverkeer omleiden dat is bedoeld voor systemen op internet naar het systeem van de aanvaller.
- NetBIOS Name Service (NBNS) spoofing, waarbij de gebruiker wordt verleid om een speciaal gemaakte Active Code applet (bijvoorbeeld Java of Flash) uit te voeren die een query voor een lokale hostnaam zou initiëren en vervolgens vervalste NBNS-antwoorden op de client met een extern IP-adres introduceert. Bij het maken van verbinding met deze hostnaam zou de client dit een lokale computer overwegen en IWA-referenties proberen, waardoor deze worden blootgesteld aan de externe aanvaller;
Microsoft heeft verschillende updates uitgebracht om deze scenario's aan te pakken en dit advies is erop gericht samen te vatten hoe klanten risico's en problemen in hun specifieke implementatiescenario het beste kunnen beoordelen.
Wat is Geïntegreerde Windows-verificatie (IWA)?
Met geïntegreerde Windows-verificatie (voorheen NTLM genoemd en ook wel Bekend als Windows NT Challenge/Response Authentication), worden de gebruikersnaam en het wachtwoord (referenties) gehasht voordat ze via het netwerk worden verzonden. Wanneer u geïntegreerde Windows-verificatie inschakelt, bewijst de client de kennis van het wachtwoord via een gehashte cryptografische uitwisseling met uw webserver. Geïntegreerde Windows-verificatie omvat de methoden Negotiate, Kerberos en NTLM-verificatie.
Wat is een man-in-the-middle aanval?
Een man-in-the-middle-aanval treedt op wanneer een aanvaller de communicatie tussen twee gebruikers omleiden via de computer van de aanvaller zonder de kennis van de twee communicerende gebruikers. De aanvaller kan het verkeer controleren en lezen voordat het naar de beoogde ontvanger wordt verzonden. Elke gebruiker in de communicatie verzendt onbewust verkeer naar en ontvangt verkeer van de aanvaller, allemaal terwijl ze denken dat ze alleen communiceren met de beoogde partij.
Welke acties heeft Microsoft ondernomen om DNS-adresvervalsingsaanvallen aan te pakken?
Microsoft heeft de volgende beveiligingsbulletins uitgebracht om DNS-adresvervalsingsaanvallen aan te pakken:
- MS08-037 heeft betrekking op twee beveiligingsproblemen waardoor een aanvaller DNS-records kan spoofen en deze in de DNS-servercache kan invoegen.
- MS09-008 heeft betrekking op twee beveiligingsproblemen waardoor een aanvaller DNS-records kan spoofen en deze in de DNS-servercache kan invoegen, en twee beveiligingsproblemen waardoor een aanvaller schadelijk netwerkinfrastructuurgerelateerde hostnamen (WPAD en ISATAP) kan registreren die kunnen worden gebruikt voor verdere aanvallen.
Welke acties heeft Microsoft ondernomen om NBNS-adresvervalsingsaanvallen aan te pakken?
Microsoft heeft samengewerkt met de externe leveranciers die worden beïnvloed door dit beveiligingsprobleem en ze hebben risicobeperking tegen deze aanvalsvector geïmplementeerd. Dit probleem is opgelost in Adobe Flash Player in Adobe Security Bulletin APSB08-11 en in de Sun Java Runtime Environment in Sun Alert 103079.
Wat is ARP-cachevergiftiging (Address Resolution Protocol) ?
ARP-cachevergiftiging is een aanval die bestaat uit de computer van een aanvaller, aanwezig op hetzelfde subnet als het slachtoffer, het verzenden van vervalste of gratuite ARP-antwoorden. Deze proberen clients meestal te verwarren met het geloven dat de aanvaller de standaardgateway op het netwerk is en resulteert in het verzenden van informatie naar de aanvaller in plaats van de gateway. Een dergelijke aanval kan worden gebruikt om een man-in-the-middle-aanval in te stellen.
Wat is Transport Layer Security (TLS)?
Het Tls-handshakeprotocol (Transport Layer Security) is verantwoordelijk voor de verificatie en sleuteluitwisseling die nodig is om beveiligde sessies tot stand te brengen of te hervatten. Bij het tot stand brengen van een beveiligde sessie beheert het Handshake Protocol het volgende:
- Coderingssuiteonderhandeling
- Verificatie van de server en eventueel de client
- Informatie-uitwisseling van sessiesleutels
Zie het TechNet-artikel over hoe TLS/SSL werkt voor meer informatie.
Welke versies van Windows zijn gekoppeld aan dit advies?
Het doorsturen van referenties en weerspiegeling is van invloed op alle platforms met de mogelijkheid om geïntegreerde Windows-verificatie uit te voeren. De functie Uitgebreide beveiliging voor verificatie is opgenomen in Windows 7 en Windows Server 2008 R2 en is beschikbaar gesteld voor Windows XP, Windows Server 2003, Windows Vista en Windows Server 2008 in een niet-beveiligingsupdate die is uitgebracht als Microsoft Security Advisory 973811. Om verificatiereferenties volledig te beveiligen, moeten specifieke toepassingen op deze besturingssystemen zich nog steeds aanmelden voor het mechanisme. De functie Uitgebreide beveiliging is niet beschikbaar voor het Besturingssysteem Microsoft Windows 2000.
Welke acties heeft Microsoft ondernomen om referentiespiegelingaanvallen aan te pakken?
Toepassingen worden beschermd tegen referentiespiegelingsaanvallen als ze de SPN (Service Principal Name) goed gebruiken bij het verifiëren van een service.
Voordat dit beveiligingsadvies werd gepubliceerd, had Microsoft de volgende beveiligingsupdates uitgebracht om ervoor te zorgen dat Windows-onderdelen en Microsoft-toepassingen zich op de juiste wijze aanmelden voor dit mechanisme om bescherming te bieden tegen aanvallen met referentiespiegeling:
- Microsoft Security Bulletin MS08-068 adres weerspiegelt referenties bij het maken van verbinding met de SMB-server van een aanvaller.
- Microsoft Security Bulletin MS08-076 adres weerspiegelt referenties bij het maken van verbinding met de Windows Media-server van een aanvaller.
- Microsoft Security Bulletin MS09-013 adres weerspiegelt referenties bij het maken van verbinding met de webserver van een aanvaller met behulp van de WinHTTP Application Programming Interface.
- Microsoft Security Bulletin MS09-014 adres weerspiegelt referenties bij het maken van verbinding met de webserver van een aanvaller met behulp van de WinINET Application Programming Interface.
- Microsoft-beveiligingsbulletin MS09-042 heeft betrekking op referenties bij het maken van verbinding met de telnetserver van een aanvaller.
Welke acties heeft Microsoft ondernomen om aanvallen voor het doorsturen van referenties aan te pakken?
Bepaalde beveiliging tegen het doorsturen van referenties wordt geleverd door de Windows-beveiliging SSPI (Support Provider Interface). Deze interface is geïmplementeerd in Windows 7 en Windows Server 2008 R2 en is beschikbaar gesteld als een niet-beveiligingsupdate voor Windows XP, Windows Server 2003, Windows Vista en Windows Server 2008.
Om te worden beveiligd, moeten aanvullende niet-beveiligingsupdates worden geïmplementeerd om dezelfde beveiliging te bieden voor specifieke client- en serveronderdelen en -toepassingen. Met deze functie worden wijzigingen toegepast op verificatie op zowel het client- als servereindpunt en moeten zorgvuldig worden geïmplementeerd. Meer informatie over uitgebreide beveiliging voor verificatie en de niet-beveiligingsupdates die zijn uitgebracht om dit mechanisme te implementeren, vindt u in Microsoft Security Advisory 973811.
Hoe kunnen deze updates aanvallen voor het doorsturen van referenties oplossen?
De SSPI-niet-beveiligingsupdate Microsoft-beveiligingsadvies 973811 wijzigt de SSPI om het huidige IWA-mechanisme (Integrated Windows Authentication) uit te breiden, zodat verificatieaanvragen kunnen worden gebonden aan zowel de SPN van de server waarmee de client verbinding probeert te maken, evenals het buitenste TLS-kanaal (Transport Layer Security) waarop de IWA-verificatie plaatsvindt, als een dergelijk kanaal bestaat. Dit is een basisupdate waarmee geen beveiligingsprobleem op zichzelf wordt aangepakt, maar deze wordt geïmplementeerd als een optionele functie die toepassingsleveranciers kunnen configureren.
De toepassingsspecifieke niet-beveiligingsupdates wijzigen afzonderlijke systeemonderdelen die IWA-verificatie uitvoeren, zodat de onderdelen zich aanmelden voor de beveiligingsmechanismen die door de niet-beveiligingsupdate van laag 1 worden geïmplementeerd. Meer informatie over het inschakelen van uitgebreide beveiliging voor verificatie vindt u in Microsoft Security Advisory 973811 en het bijbehorende Microsoft Knowledge Base-artikel 973811.
Welke acties heeft Microsoft ondernomen om DNS-devolution aan te pakken?
DNS-devolution kan worden gebruikt als aanvalsvector om dit beveiligingsprobleem buiten een bedrijfsnetwerk te misbruiken. Devolution is een Windows DNS-clientfunctie waarmee Windows DNS-clients DNS-query's voor niet-gekwalificeerde hostnamen met één label oplossen. Query's worden samengesteld door het primaire DNS-achtervoegsel (PDS) toe te voegen aan de hostnaam. De query wordt opnieuw geprobeerd door systematisch het meest linkse label in de PDS te verwijderen totdat de hostnaam en resterende PDS worden omgezet, of slechts twee labels blijven in de gestreepte PDS. Windows-clients die op zoek zijn naar 'Enkel label' in het western.corp.contoso.co.us domein, voeren geleidelijk query's uit op Single-label.western.corp.contoso.co.us, Single-label.corp.contoso.co.us, Single-label.contoso.co.us en Single-label.co.us totdat er een systeem wordt gevonden dat wordt omgezet. Dit proces wordt devolution genoemd.
Een aanvaller kan een systeem hosten met een naam met één label buiten de grens van een organisatie en als gevolg van DNS-devolution kan een Windows DNS-client verbinding maken alsof deze zich binnen de grenzen van de organisatie bevindt. Als het DNS-achtervoegsel van een onderneming bijvoorbeeld corp.contoso.co.us is en er wordt geprobeerd een niet-gekwalificeerde hostnaam van 'Single-Label' op te lossen, probeert de DNS-resolver Single-Label.corp.contoso.co.us. Als dat niet wordt gevonden, probeert het via DNS-devolution om Single-label.contoso.co.us om te lossen. Als dat niet wordt gevonden, wordt geprobeerd Single-label.co.us, die zich buiten het contoso.co.us domein bevindt, op te lossen. Dit proces wordt devolution genoemd.
Als deze hostnaam bijvoorbeeld WPAD is, kan een aanvaller die WPAD.co.us instelt een schadelijk webproxy autodetectiebestand bieden om de clientproxy-instellingen te configureren.
Microsoft heeft beveiligingsadvies uitgebracht 971888 en een bijbehorende update om organisaties gedetailleerdere controle te bieden over hoe Windows-clients DNS-devolution uitvoeren. Met deze update kan een organisatie voorkomen dat clients zich buiten de grenzen van de organisatie ontwikkelen.
Wat kunnen externe ontwikkelaars doen om referenties door te geven?
Ontwikkelaars van derden moeten overwegen om uitgebreide beveiliging voor verificatie te implementeren door zich aan te passen aan dit nieuwe beveiligingsmechanisme dat wordt beschreven in Microsoft Security Advisory 973811.
Meer informatie over hoe ontwikkelaars zich voor dit mechanisme kunnen aanmelden, vindt u in het MSDN-artikel geïntegreerde Windows-verificatie met uitgebreide beveiliging.
Wat is een SPN (Service Principal Name)?
Een SPN (Service Principal Name) is de naam waarmee een client een exemplaar van een service op unieke wijze identificeert. Als u meerdere exemplaren van een service installeert op computers in een netwerk, moet elk exemplaar een eigen SPN hebben. Een bepaald service-exemplaar kan meerdere SPN's hebben als er meerdere namen zijn die clients kunnen gebruiken voor verificatie. Een SPN bevat bijvoorbeeld altijd de naam van de hostcomputer waarop het service-exemplaar wordt uitgevoerd, zodat een service-exemplaar een SPN kan registreren voor elke naam of alias van de host.
Voorgestelde acties
- Microsoft-beveiligingsadviesbekijken 973811, uitgebreide beveiliging voor verificatie en de bijbehorende updates implementeren
Dit beveiligingsadvies kondigt de release aan van niet-beveiligingsupdates die uitgebreide beveiliging voor verificatie implementeren. Deze functie helpt verificatiepogingen te beschermen tegen relayaanvallen. - Microsoft-beveiligingsadviesbekijken 971888, update voor DNS-devolution
Dit beveiligingsadvies kondigt de release aan van een optionele niet-beveiligingsupdate waarmee systeembeheerders DNS-devolution met een grotere specificiteit kunnen configureren. - Bekijk het Microsoft Knowledge Base-artikel dat is gekoppeld aan dit advies
Klanten die geïnteresseerd zijn in meer informatie over dit beveiligingsadvies, moeten het Microsoft Knowledge Base-artikel 974926 bekijken. - Uw pc beveiligen
We blijven klanten aanmoedigen om onze richtlijnen voor uw computer beveiligen te volgen voor het inschakelen van een firewall, het ophalen van software-updates en het installeren van antivirussoftware. Klanten kunnen meer informatie over deze stappen vinden door naar Uw computer beveiligen te gaan. - Voor meer informatie over veilig blijven op internet, moeten klanten Microsoft Security Central bezoeken.
- Windows bijgewerkt houden
Alle Windows-gebruikers moeten de nieuwste beveiligingsupdates van Microsoft toepassen om ervoor te zorgen dat hun computers zo goed mogelijk zijn beveiligd. Als u niet zeker weet of uw software up-to-date is, gaat u naar Windows Update, scant u uw computer op beschikbare updates en installeert u eventuele updates met hoge prioriteit die aan u worden aangeboden. Als automatische updates zijn ingeschakeld, worden de updates aan u geleverd wanneer ze worden uitgebracht, maar moet u ervoor zorgen dat u ze installeert.
Tijdelijke oplossingen
Er bestaan een aantal tijdelijke oplossingen om systemen te beschermen tegen referentiespiegeling of aanvallen voor het doorsturen van referenties. Microsoft heeft de volgende tijdelijke oplossingen getest. Hoewel deze tijdelijke oplossingen het onderliggende beveiligingsprobleem niet corrigeren, helpen ze bekende aanvalsvectoren te blokkeren. Wanneer een tijdelijke oplossing de functionaliteit vermindert, wordt deze geïdentificeerd in de volgende sectie.
TCP-poorten 139 en 445 blokkeren bij de firewall
In het geval van referentiespiegelingsaanvallen zijn binnenkomende verbindingen met behulp van de relay-referenties het meest waarschijnlijk via de SMB- of RPC-services. Door TCP-poorten 139 en 445 bij de firewall te blokkeren, worden systemen die zich achter die firewall bevinden beschermd tegen pogingen om dit beveiligingsprobleem te misbruiken. Microsoft raadt u aan alle ongevraagde binnenkomende communicatie van internet te blokkeren om aanvallen te voorkomen die andere poorten kunnen gebruiken. Zie TCP- en UDP-poorttoewijzingen voor meer informatie over poorten.
Gevolgen van tijdelijke oplossing: verschillende Windows-services gebruiken de betrokken poorten. Het blokkeren van connectiviteit met de poorten kan ertoe leiden dat verschillende toepassingen of services niet werken. Hieronder vindt u enkele toepassingen of services die kunnen worden beïnvloed:
- Toepassingen die gebruikmaken van SMB (CIFS)
- Toepassingen die mailslots of named pipes (RPC via SMB) gebruiken
- Server (delen van bestanden en afdrukken)
- Groepsbeleid
- Net-aanmelding
- Distributed File System (DFS)
- Terminal Server-licentieverlening
- Afdrukspooler
- Computerbrowser
- Externe oproepzoeker voor procedures
- Faxservice
- Indexing-service
- Prestatielogboeken en -waarschuwingen
- Systeembeheerserver
- Service voor licentieregistratie
SMB-ondertekening inschakelen
Als u SMB-ondertekening inschakelt, voorkomt u dat de aanvaller code uitvoert in de context van de aangemelde gebruiker. SMB-ondertekening biedt wederzijdse en berichtverificatie door een digitale handtekening in elke SMB te plaatsen, die vervolgens wordt geverifieerd door zowel de client als de server. Microsoft raadt het gebruik van groepsbeleid aan om SMB-ondertekening te configureren.
Zie het Microsoft Knowledge Base-artikel 887429 voor gedetailleerde instructies over het gebruik van Groepsbeleid voor het in- en uitschakelen van SMB-ondertekening voor Microsoft Windows 2000, Windows XP en Windows Server 2003. De instructies in het Microsoft Knowledge Base-artikel 887429 voor Windows XP en Windows Server 2003 zijn ook van toepassing op Windows Vista en Windows Server 2008.
Gevolgen van tijdelijke oplossing: het gebruik van SMB-pakketondertekening kan de prestaties van bestandsservicetransacties verminderen. Computers met deze beleidsset communiceren niet met computers waarvoor pakketondertekening aan de clientzijde niet is ingeschakeld. Zie Microsoft-netwerkserver: Communicatie digitaal ondertekenen (altijd)voor meer informatie over SMB-ondertekening en mogelijke gevolgen.
Overige informatie
Bronnen:
- U kunt feedback geven door het formulier in te vullen door naar Microsoft Help en ondersteuning te gaan: Neem contact met ons op.
- Klanten in de Verenigde Staten en Canada kunnen technische ondersteuning van Security Support ontvangen. Zie Microsoft Help en ondersteuning voor meer informatie over beschikbare ondersteuningsopties.
- Internationale klanten kunnen ondersteuning krijgen van hun lokale Microsoft-dochterondernemingen. Ga naar Internationale ondersteuning voor meer informatie over hoe u contact kunt opnemen met Microsoft voor internationale ondersteuningsproblemen.
- Microsoft TechNet Security biedt aanvullende informatie over beveiliging in Microsoft-producten.
Disclaimer:
De informatie die in dit advies wordt verstrekt, wordt "zoals zodanig" verstrekt zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.
Revisies:
- V1.0 (8 december 2009): Advies gepubliceerd.
Gebouwd op 2014-04-18T13:49:36Z-07:00