Netzwerksicherheit: Lokalem System die Verwendung der Computeridentität für NTLM erlauben
Hier werden Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Netzwerksicherheit: Lokalem System die Verwendung der Computeridentität für NTLM erlauben beschrieben.
Referenzen
Wenn sich Dienste mit Geräten verbinden, auf denen Windows-Betriebssystemversionen vor Windows Vista oder Windows Server 2008 ausgeführt werden, werden Dienste, die als „Lokales System“ ausgeführt werden und SPNEGO (Aushandeln) verwenden und zu NTLM zurückkehren, anonym authentifiziert. Wenn sich ein Dienst unter Windows Server 2008 R2 und Windows 7 oder höher mit einem Computer verbindet, auf dem Windows Server 2008 oder Windows Vista ausgeführt wird, verwendet der Systemdienst die Identität des Computers.
Wenn sich ein Dienst mit der Identität des Geräts verbindet, werden Signierung und Verschlüsselung zum Datenschutz unterstützt. (Wenn sich ein Dienst anonym verbindet, erzeugt das System einen Sitzungsschlüssel, der keinen Schutz bietet, jedoch für Anwendungen die fehlerfreie Signierung und Verschlüsselung von Daten ermöglicht. Die anonyme Authentifizierung verwendet eine NULL-Sitzung, d. h. eine Sitzung mit einem Server, bei der keine Benutzerauthentifizierung durchgeführt wird. Daher ist der anonyme Zugriff erlaubt.)
Mögliche Werte
| Einstellung | Windows Server 2008 und Windows Vista | Mindestens Windows Server 2008 R2 und Windows 7 |
|---|---|---|
Aktiviert |
Als „Lokales System“ ausgeführte Dienste, die Aushandeln verwenden, nutzen die Computeridentität. Dies kann u. U. dazu führen, dass einige Authentifizierungsanfragen zwischen Windows-Betriebssystemen fehlschlagen und einen Fehler protokollieren. |
Als „Lokales System“ ausgeführte Dienste, die Aushandeln verwenden, nutzen die Computeridentität. Hierbei handelt es sich um das standardmäßige Verhalten. |
Deaktiviert |
Als „Lokales System“ ausgeführte Dienste, die Aushandeln verwenden, werden anonym authentifiziert, wenn sie zur NTLM-Authentifizierung zurückkehren. Hierbei handelt es sich um das standardmäßige Verhalten. |
Als „Lokales System“ ausgeführte Dienste, die Aushandeln verwenden, werden anonym authentifiziert, wenn sie zur NTLM-Authentifizierung zurückkehren. |
Weder noch |
Als „Lokales System“ ausgeführte Dienste, die Aushandeln verwenden, werden anonym authentifiziert, wenn sie zur NTLM-Authentifizierung zurückkehren. |
Als „Lokales System“ ausgeführte Dienste, die Aushandeln verwenden, nutzen die Computeridentität. Dies kann u. U. dazu führen, dass einige Authentifizierungsanfragen zwischen Windows-Betriebssystemen fehlschlagen und einen Fehler protokollieren. |
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Nicht definiert |
Effektive Standardeinstellungen für Domänencontroller |
Nicht zutreffend |
Effektive Standardeinstellungen für Mitgliedsserver |
Nicht zutreffend |
Effektive Gruppenrichtlinien-Standardeinstellungen auf Clientcomputern |
Nicht definiert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Funktionen und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Richtlinienkonflikt-Aspekte
Wenn die Richtlinie Netzwerksicherheit: Zurückgreifen auf NULL-Sitzung für lokales System zulassen aktiviert ist, kann die NTLM- oder Kerberos-Authentifizierung verwendet werden, wenn ein Systemdienst einen Authentifizierungsversuch durchführt. Dies vereinfacht die erfolgreiche Interoperabilität auf Kosten der Sicherheit.
Das anonyme Authentifizierungsverhalten unterscheidet sich bei Windows Server 2008 und Windows Vista gegenüber neueren Versionen von Windows. Die Konfiguration und Anwendung dieser Richtlinieneinstellung auf diesen Systemen erzeugt möglicherweise nicht die gleichen Ergebnisse.
Gruppenrichtlinie
Diese Richtlinieneinstellung kann über die Gruppenrichtlinien-Verwaltungskonsole konfiguriert und über Gruppenrichtlinienobjekte verteilt werden. Wenn diese Richtlinie nicht in einem verteilten Gruppenrichtlinienobjekt enthalten ist, können Sie sie auf dem lokalen Computer mit dem Snap-In „Lokale Sicherheitsrichtlinie“ konfigurieren.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Wenn sich ein Dienst mit Computern verbindet, auf denen Windows-Versionen vor Windows Vista oder Windows Server 2008 ausgeführt werden, verwenden Dienste, die als „Lokales System“ ausgeführt werden und SPNEGO (Aushandeln) verwenden und auf NTLM zurückgreifen, die NULL-Sitzung. Wenn sich ein Dienst unter Windows Server 2008 R2 und Windows 7 oder höher mit einem Computer verbindet, auf dem Windows Server 2008 oder Windows Vista ausgeführt wird, verwendet der Systemdienst die Identität des Computers.
Wenn sich ein Dienst mit der Identität des Computers verbindet, werden Signierung und Verschlüsselung zum Datenschutz unterstützt. Wenn sich ein Dienst mit einer NULL-Sitzung verbindet, erzeugt das System einen Sitzungsschlüssel, der keinen Schutz bietet, jedoch für Anwendungen die fehlerfreie Signierung und Verschlüsselung von Daten ermöglicht.
Gegenmaßnahme
Sie können die Sicherheitsrichtlinieneinstellung Netzwerksicherheit: Lokalem System die Verwendung der Computeridentität für NTLM erlauben konfigurieren, damit lokale Systemdienste, die Aushandeln verwenden, die Identität des Computers verwenden können, wenn sie auf die NTLM-Authentifizierung zurückgreifen.
Mögliche Auswirkung
Wenn Sie diese Richtlinieneinstellung nicht auf Windows Server 2008 und Windows Vista konfigurieren, verwenden Dienste, die als „Lokales System“ ausgeführt werden und die die standardmäßigen Anmeldeinformationen verwenden, die NULL-Sitzung und greifen auf die NTLM-Authentifizierung für Windows-Betriebssysteme vor Windows Vista oder Windows Server 2008 zurück.
Ab Windows Server 2008 R2 und Windows 7 ermöglicht es das System den lokalen Systemdiensten, die Aushandeln verwenden, die Identität des Computers zu verwenden, wenn sie auf die NTLM-Authentifizierung zurückgreifen.