Netzwerksicherheit: Lässt an diesen Computer gerichtete PKU2U-Authentifizierungsanforderungen zu, um die Verwendung von Online-Identitäten zu ermöglichen
Hier werden bewährte Methoden, Speicherort und Werte für die Sicherheitsrichtlinie Netzwerksicherheit: Lässt an diesen Computer gerichtete PKU2U-Authentifizierungsanforderungen zu, um die Verwendung von Online-Identitäten zu ermöglichen beschrieben.
Referenzen
Ab Windows Server 2008 R2 und Windows 7 unterstützt der Negotiate-SSP (Security Support Provider) einen Erweiterungs-SSP, Negoexts.dll. Dieser Erweiterungs-SSP, der vom Windows-Betriebssystem als Authentifizierungsprotokoll behandelt wird, unterstützt Microsoft-SSPs einschließlich PKU2U. Sie können auch andere SSPs entwickeln oder hinzufügen.
Wenn Geräte so konfiguriert sind, dass sie Authentifizierungsanfragen unter Verwendung von Online-IDs akzeptieren, ruft Negoexts.dll den PKU2U-SSP auf dem Computer auf, der für die Anmeldung verwendet wurde. Der PKU2U-SSP empfängt ein lokales Zertifikat und tauscht die Richtlinie zwischen den Peercomputern aus. Nach Überprüfung des Zertifikats auf dem Peercomputer wird es innerhalb der Metadaten zur Überprüfung an den Anmeldepeer gesendet. Das Zertifikat des Benutzers wird mit einem Sicherheitstoken verbunden, und dann wird der Anmeldevorgang abgeschlossen.
Hinweis
Die Möglichkeit zur Verknüpfung von Online-IDs kann von jedem Benutzer mit einem Konto, das standardmäßige Benutzeranmeldeinformationen besitzt, über die Anmeldeinformationsverwaltung genutzt werden.
Diese Richtlinie ist auf Geräten mit Domänenzugehörigkeit standardmäßig nicht konfiguriert. Dies würde verhindern, dass die Online-Identitäten bei Computern unter Windows 7 und höher mit Domänenzugehörigkeit authentifiziert werden können.
Mögliche Werte
Aktiviert
Dies ermöglicht eine erfolgreiche Authentifizierung zwischen den beiden (oder mehreren) Computern, die eine Peerbeziehung durch Verwendung von Online-IDs eingerichtet haben. Der PKU2U-SSP empfängt ein lokales Zertifikat und tauscht die Richtlinie zwischen den Peergeräten aus. Nach Überprüfung des Zertifikats auf dem Peercomputer wird es innerhalb der Metadaten zur Überprüfung an den Anmeldepeer gesendet. Das Zertifikat des Benutzers wird mit einem Sicherheitstoken verbunden, und dann wird der Anmeldevorgang abgeschlossen.
Deaktiviert
Dies verhindert, dass zur Authentifizierung des Benutzers bei einem anderen Computer in einer Peer-to-Peer-Beziehung Online-IDs verwendet werden können.
Nicht festgelegt. Wenn diese Richtlinie nicht konfiguriert wird, können keine Online-IDs zur Authentifizierung des Benutzers verwendet werden. Dies ist auf den meisten Geräten mit Domänenzugehörigkeit die Standardeinstellung.
Bewährte Methoden
Innerhalb einer Domäne sollten Domänenkonten für die Authentifizierung verwendet werden. Legen Sie diese Richtlinie auf Deaktiviert fest oder konfigurieren Sie diese Richtlinie nicht, wenn die Verwendung von Onlineidentitäten zur Authentifizierung ausgeschlossen werden soll.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Nicht definiert |
Effektive Standardeinstellungen für Domänencontroller |
Deaktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Deaktiviert |
Effektive Gruppenrichtlinien-Standardeinstellungen auf Clientcomputern |
Deaktiviert |
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Das Aktivieren dieser Richtlinieneinstellung bewirkt, dass ein Benutzerkonto auf einem Computer mit einer Online-Identität, z. B. einem Microsoft-Konto, verknüpft werden kann, sodass sich das Konto an einem Peergerät anmelden kann (sofern das Peergerät entsprechend konfiguriert ist), ohne ein Windows-Anmeldekonto (Domäne oder lokal) zu verwenden. Dies ist zwar für Arbeitsgruppen und Heimnetzgruppen von Vorteil, in einer Umgebung mit Domänenzugehörigkeit kann diese Funktion jedoch Ihre eingerichteten Sicherheitsrichtlinien umgehen.
Gegenmaßnahme
Legen Sie diese Richtlinie auf Geräten mit Domänenzugehörigkeit auf „Deaktiviert“ fest, oder konfigurieren Sie die Sicherheitsrichtlinie nicht.
Mögliche Auswirkung
Wenn Sie diese Richtlinie nicht konfigurieren oder wenn Sie sie deaktivieren, wird das PKU2U-Protokoll nicht zur Authentifizierung zwischen Peergeräten verwendet. Dadurch sind Benutzer gezwungen, die für die Domäne definierten Zugangssteuerungsrichtlinien zu befolgen. Wenn Sie diese Richtlinie aktivieren, erlauben Sie Ihren Benutzern die Authentifizierung durch lokale Zertifikate zwischen Systemen, die nicht Teil einer Domäne sind, die PKU2U verwendet. Dies ermöglicht Benutzern das Freigeben von Ressourcen zwischen Geräten.