Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschließlich sicherer RPC-Clients)
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschließlich sicherer RPC-Clients) beschrieben.
Referenzen
Diese Richtlinieneinstellung ermöglicht es einem Clientgerät, die Aushandlung der 128-Bit-Verschlüsselung oder NTLMv2-Sitzungssicherheit anzufordern. Diese Werte hängen vom Wert für die Richtlinieneinstellung Netzwerksicherheit: LAN Manager-Authentifizierungsebene ab.
Mögliche Werte
NTLMv2-Sitzungssicherheit erfordern.
Die Verbindung ist nicht erfolgreich, wenn die starke Verschlüsselung (128 Bit) nicht ausgehandelt wird.
128-Bit-Verschlüsselung erfordern
Die Verbindung ist nicht erfolgreich, wenn das NTLMv2-Protokoll nicht ausgehandelt wird.
Bewährte Methoden
Die Vorgehensweise beim Festlegen dieser Richtlinie ist abhängig von Ihren Sicherheitsanforderungen.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
128-Bit-Verschlüsselung erfordern |
Effektive Standardeinstellungen für DC |
128-Bit-Verschlüsselung erfordern |
Effektive Standardeinstellungen für Mitgliedsserver |
128-Bit-Verschlüsselung erfordern |
Effektive Standardeinstellungen für Clientcomputer |
128-Bit-Verschlüsselung erfordern |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Richtlinienkonflikte
Die Einstellungen für diese Sicherheitsrichtlinie hängen vom Wert für die Richtlinieneinstellung Netzwerksicherheit: LAN Manager-Authentifizierungsebene ab. Informationen zu dieser Richtlinie finden Sie unter Netzwerksicherheit: LAN Manager-Authentifizierungsebene.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Netzwerkdatenverkehr, der NTLM Security Support Provider (NTLM SSP) nutzt, kann exponiert werden, sodass ein Angreifer, der sich Zugriff auf das Netzwerk verschafft hat, Man-in-the-Middle-Angriffe ausführen kann.
Gegenmaßnahme
Aktivieren Sie alle Optionen, die für die Richtlinie Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschließlich sicherer RPC-Clients) zur Verfügung stehen.
Mögliche Auswirkung
Clientgeräte, die diese Einstellungen erzwingen, können nicht mit älteren Servern kommunizieren, die die Einstellungen nicht unterstützen.