Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Server (einschließlich sicherer RPC-Server)
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Server (einschließlich sicherer RPC-Server) beschrieben.
Referenzen
Diese Richtlinieneinstellung ermöglicht es einem Clientgerät, die Aushandlung der 128-Bit-Verschlüsselung oder NTLMv2-Sitzungssicherheit anzufordern. Diese Werte hängen vom Wert für die Richtlinieneinstellung Netzwerksicherheit: LAN Manager-Authentifizierungsebene ab.
Das Festlegen aller Werte für diese Richtlinieneinstellungen trägt zum Schutz davor bei, dass Netzwerkdatenverkehr, der NTLM Security Support Provider (NTLM SSP) verwendet, von einem böswilligen Benutzer verfügbar gemacht oder manipuliert wird, der Zugriff auf dasselbe Netzwerk erlangt hat. Das bedeutet, dass diese Einstellungen zum Schutz vor Man-in-the-Middle-Angriffen beiträgt.
Mögliche Werte
128-Bit-Verschlüsselung erfordern. Die Verbindung ist nicht erfolgreich, wenn die starke Verschlüsselung (128 Bit) nicht ausgehandelt wird.
NTLMv2-Sitzungssicherheit erfordern. Die Verbindung ist nicht erfolgreich, wenn das NTLMv2-Protokoll nicht ausgehandelt wird.
Nicht definiert.
Bewährte Methoden
- Aktivieren Sie alle Werte, die für diese Sicherheitsrichtlinie verfügbar sind. Ältere Clientgeräte, die diese Richtlinien nicht unterstützen, können nicht mit dem Server kommunizieren.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
128-Bit-Verschlüsselung erfordern |
Effektive Standardeinstellungen für DC |
128-Bit-Verschlüsselung erfordern |
Effektive Standardeinstellungen für Mitgliedsserver |
128-Bit-Verschlüsselung erfordern |
Effektive Standardeinstellungen für Clientcomputer |
128-Bit-Verschlüsselung erfordern |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Richtlinienabhängigkeiten
Die Einstellungen für diese Sicherheitsrichtlinie hängen vom Wert für die Richtlinieneinstellung Netzwerksicherheit: LAN Manager-Authentifizierungsebene ab.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Netzwerkdatenverkehr, der NTLM Security Support Provider (NTLM SSP) nutzt, kann exponiert werden, sodass ein Angreifer, der sich Zugriff auf das Netzwerk verschafft hat, Man-in-the-Middle-Angriffe ausführen kann.
Gegenmaßnahme
Aktivieren Sie alle Optionen, die für die Richtlinie Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Server (einschließlich sicherer RPC-Server) zur Verfügung stehen.
Mögliche Auswirkung
Ältere Clientgeräte, die diese Sicherheitseinstellungen nicht unterstützen, können nicht mit dem Computer kommunizieren, auf dem diese Richtlinie festgelegt ist.