Systemkryptografie: Starken Schlüsselschutz für auf dem Computer gespeicherte Benutzerschlüssel erzwingen
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Systemkryptografie: Starken Schlüsselschutz für auf dem Computer gespeicherte Benutzerschlüssel erzwingen beschrieben.
Referenzen
Durch diese Richtlinieneinstellung wird bestimmt, ob Benutzer private Schlüssel, z. B. Secure/Multipurpose Internet Mail Extensions-Schlüssel (S/MIME), ohne ein Kennwort verwenden dürfen.
Wenn Sie diese Richtlinieneinstellung so konfigurieren, dass Benutzer bei jeder Verwendung eines Schlüssels (zusätzlich zu ihrem Domänenkennwort) ein Kennwort angeben müssen, erschweren Sie böswilligen Benutzern den Zugriff auf lokal gespeicherte Benutzerschlüssel. Dies gilt selbst dann, wenn der Angreifer die Steuerung des Benutzergeräts übernimmt und das Anmeldekennwort festlegt.
Mögliche Werte
Keine Benutzereingabe erforderlich, wenn neue Schlüssel gespeichert und verwendet werden
Benutzer wird zur Eingabe aufgefordert, wenn der Schlüssel zum ersten Mal verwendet wird
Bei jeder Verwendung eines Schlüssels Kennwort eingeben
Nicht definiert
Bewährte Methoden
- Legen Sie diese Richtlinie auf Bei jeder Verwendung eines Schlüssels Kennwort eingeben fest. Benutzer müssen ihr Kennwort jedes Mal eingeben, wenn sie auf einen Schlüssel zugreifen, der auf ihrem Computer gespeichert ist. Wenn Benutzer ihre E-Mails beispielsweise mit einem digitalen S/MIME-Zertifikat signieren, sind sie beim Senden jeder signierten E-Mail gezwungen, das Kennwort für dieses Zertifikat einzugeben. Einigen Organisationen dürfte der Mehraufwand, der mit der Verwendung dieses Werts verbunden ist, zu hoch sein. Es sollte aber mindestens der Wert Benutzer wird zur Eingabe aufgefordert, wenn der Schlüssel zum ersten Mal verwendet wird festgelegt werden.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Nicht definiert |
Effektive Standardeinstellungen für DC |
Nicht definiert |
Effektive Standardeinstellungen für Mitgliedsserver |
Nicht definiert |
Effektive Standardeinstellungen für Clientcomputer |
Nicht definiert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Wenn die Sicherheit eines Benutzerkontos beeinträchtigt oder das Benutzergerät versehentlich ungeschützt ist, kann ein böswilliger Benutzer über die gespeicherten Benutzerschlüssel auf geschützte Ressourcen zugreifen.
Gegenmaßnahme
Legen Sie die Einstellung Systemkryptografie: Starken Schlüsselschutz für auf dem Computer gespeicherte Benutzerschlüssel erzwingen auf Bei jeder Verwendung eines Schlüssels Kennwort eingeben fest, damit Benutzer ein von ihrem Domänenkennwort abweichendes Kennwort eingeben müssen, sobald sie einen Schlüssel verwenden. Durch diese Konfiguration erschweren Sie Angreifern den Zugriff auf lokale gespeicherte Benutzerschlüssel. Dies gilt selbst dann, wenn der Angreifer die Steuerung des Benutzercomputers übernimmt und das Anmeldekennwort festlegt.
Mögliche Auswirkung
Benutzer müssen ihr Kennwort jedes Mal eingeben, wenn sie auf einen Schlüssel zugreifen, der auf ihrem Gerät gespeichert ist. Wenn Benutzer ihre E-Mails beispielsweise mit einem digitalen S/MIME-Zertifikat signieren, sind sie beim Senden jeder signierten E-Mail gezwungen, das Kennwort für dieses Zertifikat einzugeben. Einigen Organisationen dürfte der mit dieser Konfiguration verbundene Mehraufwand zu hoch sein. Es sollte aber mindestens die Einstellung Benutzer wird zur Eingabe aufgefordert, wenn der Schlüssel zum ersten Mal verwendet wird festgelegt werden.