Netzwerksicherheit: Zurückgreifen auf NULL-Sitzung für lokales System zulassen
Hier werden bewährte Methoden, Speicherort, Werte und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Netzwerksicherheit: Zurückgreifen auf NULL-Sitzung für lokales System zulassen beschrieben.
Referenzen
Diese Richtlinie betrifft die Sitzungssicherheit während der Authentifizierung zwischen Geräten unter Windows Server 2008 R2 und Windows 7 oder höher und Geräten mit früheren Versionen des Windows-Betriebssystems. Für Computer unter Windows Server 2008 R2 und Windows 7 oder höher benötigen Dienste, die als „Lokales System“ ausgeführt werden, einen Dienstprinzipalnamen (Service Principal Name, SPN), um den Sitzungsschlüssel zu generieren. Wenn jedoch Netzwerksicherheit: Lokalem System die Verwendung der Computeridentität für NTLM erlauben deaktiviert ist, greifen als „Lokales System“ ausgeführte Dienste auf die NULL-Sitzungsauthentifizierung zurück, wenn sie Daten auf Server übertragen, auf denen Windows-Versionen vor Windows Vista oder Windows Server 2008 Server ausgeführt werden. Die NULL-Sitzung richtet keinen eindeutigen Sitzungsschlüssel für jede Authentifizierung ein und kann folglich keinen Integritäts-oder Vertraulichkeitsschutz bieten. Die Einstellung Netzwerksicherheit: Zurückgreifen auf NULL-Sitzung für lokales System zulassen bestimmt, ob Dienste, die die Verwendung der Sitzungssicherheit anfordern, Signierungs- oder Verschlüsselungsfunktionen mit einem bekannten Schlüssel für die Anwendungskompatibilität ausführen dürfen.
Mögliche Werte
Aktiviert
Wenn sich ein Dienst, der als „Lokales System“ ausgeführt wird, mit einer NULL-Sitzung verbindet, erzeugt das System einen Sitzungsschlüssel, der keinen Schutz bietet, jedoch für Anwendungen die fehlerfreie Signierung und Verschlüsselung von Daten ermöglicht. Dies erhöht die Anwendungskompatibilität, setzt jedoch die Sicherheitsstufe herab.
Deaktiviert
Wenn sich ein Dienst, der als „Lokales System“ ausgeführt wird, mit einer NULL-Sitzung verbindet, ist die Sitzungssicherheit nicht verfügbar. Aufrufe von Verschlüsselung oder Signierung schlagen fehl. Diese Einstellung ist sicherer, erhöht jedoch das Risiko der Beeinträchtigung von Anwendungskompatibilität. Aufrufe, die die Identität des Geräts anstelle einer NULL-Sitzung verwenden, können die Sitzungssicherheit dennoch in vollem Umfang nutzen.
Nicht definiert. Wenn diese Richtlinie nicht definiert ist, wird die Standardeinstellung wirksam. Dies ist bei Versionen des Windows-Betriebssystems vor Windows Server 2008 R2 und Windows 7 aktiviert und andernfalls deaktiviert.
Bewährte Methoden
Wenn sich Dienste mit der Identität des Geräts verbinden, werden Signierung und Verschlüsselung zum Schutz der Daten unterstützt. Wenn sich Dienste mit einer NULL-Sitzung verbinden, wird diese Stufe des Datenschutzes nicht bereitgestellt. Allerdings müssen Sie Ihre Umgebung auswerten, um die von Ihnen unterstützten Windows-Betriebssystemversionen zu ermitteln. Wenn diese Richtlinie aktiviert ist, können einige Dienste möglichweise nicht authentifiziert werden.
Diese Richtlinie gilt für Windows Server 2008 und Windows Vista (SP1 und höher). Wenn Ihre Umgebung keine Unterstützung mehr für Windows NT 4 benötigt, sollte diese Richtlinie deaktiviert werden. Standardmäßig ist sie in Windows 7 und Windows Server 2008 R2 oder höher deaktiviert.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Nicht definiert |
Effektive Standardeinstellungen für Domänencontroller |
Nicht zutreffend |
Effektive Standardeinstellungen für Mitgliedsserver |
Nicht zutreffend |
Effektive Gruppenrichtlinien-Standardeinstellungen auf Clientcomputern |
Nicht zutreffend |
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Wenn diese Einstellung aktiviert ist und sich ein Dienst, der als „Lokales System“ ausgeführt wird, mit einer NULL-Sitzung verbindet, erzeugt das System einen Sitzungsschlüssel, der keinen Schutz bietet, jedoch für Anwendungen die fehlerfreie Signierung und Verschlüsselung von Daten ermöglicht. Daten, die als geschützt gelten, werden möglicherweise verfügbar gemacht.
Gegenmaßnahme
Mit der Richtlinie Netzwerksicherheit: Lokalem System die Verwendung der Computeridentität für NTLM erlauben können Sie den Computer so konfigurieren, dass er für das „Lokale System“ die Identität des Computers verwendet. Wenn dies nicht möglich ist, kann diese Richtlinie verwendet werden, um zu verhindern, dass Daten während der Übertragung verfügbar gemacht werden, wenn sie mit einem bekannten Schlüssel geschützt wurden.
Mögliche Auswirkung
Wenn Sie diese Richtlinie aktivieren, kann die Authentifizierung von Diensten, die die NULL-Sitzung mit dem „Lokalen System“ verwenden, möglicherweise fehlschlagen, da sie keine Signierung und Verschlüsselung anwenden dürfen.