Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer)
Hier werden bewährte Methoden, Speicherort, Werte und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) beschrieben.
Referenz
Diese Einstellung bestimmt, ob der gesamte vom Domänenmitglied initiierte Datenverkehr über den sicheren Kanal die Mindestanforderungen an die Sicherheit erfüllt. Insbesondere wird dabei festgestellt, ob der gesamte vom Domänenmitglied initiierte Datenverkehr über den sicheren Kanal signiert oder verschlüsselt werden muss. Über den sicheren Kanal übertragene Anmeldeinformationen werden immer verschlüsselt, unabhängig davon, ob die Verschlüsselung des gesamten sonstigen Datenverkehrs über den sicheren Kanal ausgehandelt wird.
Mit den folgenden Richtlinieneinstellungen wird bestimmt, ob ein sicherer Kanal mit einem Domänencontroller eingerichtet werden kann, der nicht in der Lage ist, Datenverkehr über den sicheren Kanal zu signieren oder zu verschlüsseln:
Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer)
Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich)
Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich)
Wenn Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) auf Aktiviert festgelegt ist, wird das Einrichten eines sicheren Kanals mit einem Domänencontroller verhindert, der nicht alle über den sicheren Kanal übertragenen Daten signieren oder verschlüsseln kann.
Um Authentifizierungsdatenverkehr vor Man-in-the-Middle-, Replay- und sonstigen Arten von Netzwerkangriffen zu schützen, wird von Computern unter Windows ein Kommunikationskanal über sichere NetLogon-Kanäle erstellt. Über diese Kanäle werden Computerkonten authentifiziert. Sie authentifizieren zudem Benutzerkonten, wenn ein Remotebenutzer eine Verbindung mit einer Netzwerkressource herstellt und das Benutzerkonto in einer vertrauenswürdigen Domäne vorhanden ist. Dieses Szenario wird als Pass-Through-Authentifizierung bezeichnet. Damit für ein Gerät mit einem Windows-Betriebssystem, das Mitglied einer Domäne ist, der Zugriff auf die Benutzerkonten-Datenbank in seiner Domäne und in allen vertrauenswürdigen Domänen zugelassen.
Zum Aktivieren der Richtlinieneinstellung Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) für ein Mitglied der Domäne/Arbeitsgruppe oder einen Server müssen alle Domänencontroller in der Domäne des betreffenden Mitglieds die gesamten über den sicheren Kanal übertragenen Daten signieren oder verschlüsseln können.
Durch Aktivieren der Richtlinieneinstellung Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) wird automatisch die Richtlinieneinstellung Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich) aktiviert.
Wenn ein Gerät einer Domäne beitritt, wird ein Computerkonto erstellt. Nach dem Beitritt zur Domäne erstellt das Gerät mit dem Kennwort für das Konto bei jedem Neustart einen sicheren Kanal mit dem Domänencontroller für seine Domäne. Über diesen sicheren Kanal werden Vorgänge wie NTLM-Pass-Through-Authentifizierung und LSA/SID-Namenssuche ausgeführt. Über den sicheren Kanal gesendete Anfragen werden authentifiziert, und vertrauliche Informationen wie Kennwörter werden verschlüsselt. Die Integrität des Kanals wird jedoch nicht überprüft, und es werden nicht alle Informationen verschlüsselt. Wenn ein System so konfiguriert ist, dass Daten des sicheren Kanals immer verschlüsselt oder signiert werden, kann kein sicherer Kanal mit einem Domänencontroller eingerichtet werden, der nicht den gesamten Datenverkehr im sicheren Kanal signieren oder verschlüsseln kann. Wenn der Computer so konfiguriert ist, dass Daten des sicheren Kanals nach Möglichkeit verschlüsselt oder signiert werden, kann ein sicherer Kanal hergestellt werden, die Ebene der Verschlüsselung und Signatur wird jedoch ausgehandelt.
Mögliche Werte
Aktiviert
Die Richtlinie Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich) wird als aktiviert angenommen, wobei die tatsächliche Einstellung keine Rolle spielt. Dadurch wird sichergestellt, dass das Domänenmitglied versucht, mindestens das Signieren des Datenverkehrs im sicheren Kanal auszuhandeln.
Deaktiviert
Das Verschlüsseln und Signieren des gesamten Datenverkehrs im sicheren Kanal wird mit dem Domänencontroller ausgehandelt. In diesem Fall hängt die Signierungs- und Verschlüsselungsebene von der Version des Domänencontrollers und den Einstellungen der folgenden Richtlinien ab:
Nicht definiert
Bewährte Methoden
Legen Sie Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) auf Aktiviert fest.
Legen Sie Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich) auf Aktiviert fest.
Legen Sie Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich) auf Aktiviert fest.
Hinweis
Sie können die Richtlinieneinstellungen Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich) und Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich) auf allen Geräten in der Domäne aktivieren, die diese Richtlinieneinstellungen unterstützen. Dies hat keinerlei Auswirkungen auf Clients und Anwendungen früherer Versionen.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Aktiviert |
Standardeinstellungen für eigenständige Server |
Aktiviert |
Effektive Standardeinstellungen für DC |
Aktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Aktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Aktiviert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Gruppenrichtlinie
Bei der Verteilung dieser Richtlinie über eine Gruppenrichtlinie wird die Einstellung von „Lokale Sicherheitsrichtlinie“ außer Kraft gesetzt.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Wenn ein Gerät einer Domäne beitritt, wird ein Computerkonto erstellt. Nach dem Beitritt zur Domäne erstellt das Gerät mit dem Kennwort für das Konto bei jedem Neustart einen sicheren Kanal mit dem Domänencontroller für seine Domäne. Über den sicheren Kanal gesendete Anfragen werden authentifiziert, und vertrauliche Informationen wie Kennwörter werden verschlüsselt. Die Integrität des Kanals hingegen wird nicht überprüft, und es werden nicht alle Informationen verschlüsselt. Wenn ein Gerät so konfiguriert ist, dass über den sicheren Kanal übertragene Daten immer verschlüsselt oder signiert werden, der Domänencontroller jedoch einen Teil der Daten im sicheren Kanal nicht signieren oder verschlüsseln kann, kann zwischen Computer und Domänencontroller kein sicherer Kanal eingerichtet werden. Wenn das Gerät so konfiguriert ist, dass Daten des sicheren Kanals nach Möglichkeit verschlüsselt oder signiert werden, kann ein sicherer Kanal hergestellt werden, die Ebene der Verschlüsselung und Signatur wird jedoch ausgehandelt.
Gegenmaßnahme
Wählen Sie eine der folgenden Einstellungen je nach Eignung für Ihre Umgebung aus, um die Computer in der Domäne für das Verschlüsseln oder Signieren von Daten im sicheren Kanal zu konfigurieren.
Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer)
Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich)
Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich)
Mögliche Auswirkung
Digitales Verschlüsseln und Signieren des sicheren Kanals werden empfohlen, da der sichere Kanal Domänenanmeldeinformationen schützt, wenn sie an den Domänencontroller gesendet werden.