Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich)
Hier werden bewährte Methoden, Speicherort, Werte und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich) beschrieben.
Referenz
Diese Einstellung bestimmt, ob der gesamte vom Domänenmitglied initiierte Datenverkehr über den sicheren Kanal die Mindestanforderungen an die Sicherheit erfüllt. Insbesondere wird dabei festgestellt, ob der gesamte vom Domänenmitglied initiierte Datenverkehr über den sicheren Kanal verschlüsselt werden muss. Über den sicheren Kanal übertragene Anmeldeinformationen werden immer verschlüsselt, unabhängig davon, ob die Verschlüsselung des gesamten sonstigen Datenverkehrs über den sicheren Kanal ausgehandelt wird.
Neben dieser Richtlinieneinstellung wird von den folgenden Richtlinieneinstellungen bestimmt, ob ein sicherer Kanal mit einem Domänencontroller eingerichtet werden kann, der nicht in der Lage ist, Datenverkehr über den sicheren Kanal zu signieren oder zu verschlüsseln:
Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer)
Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich)
Wenn Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) auf Aktiviert festgelegt ist, wird das Einrichten eines sicheren Kanals mit einem Domänencontroller verhindert, der nicht alle über den sicheren Kanal übertragenen Daten signieren oder verschlüsseln kann.
Um Authentifizierungsdatenverkehr vor Man-in-the-Middle-, Replay- und sonstigen Arten von Netzwerkangriffen zu schützen, wird von Computern unter Windows ein Kommunikationskanal über sichere NetLogon-Kanäle erstellt. Über diese Kanäle werden Computerkonten authentifiziert. Sie authentifizieren zudem Benutzerkonten, wenn ein Remotebenutzer eine Verbindung mit einer Netzwerkressource herstellt und das Benutzerkonto in einer vertrauenswürdigen Domäne vorhanden ist. Dieses Szenario wird als Pass-Through-Authentifizierung bezeichnet. Damit für einen Computer mit einem Windows-Betriebssystem, der Mitglied einer Domäne ist, der Zugriff auf die Benutzerkonten-Datenbank in seiner Domäne und in allen vertrauenswürdigen Domänen zugelassen.
Durch Aktivieren der Richtlinieneinstellung Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) wird automatisch die Richtlinieneinstellung Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich) aktiviert.
Wenn ein Gerät einer Domäne beitritt, wird ein Computerkonto erstellt. Nach dem Beitritt zur Domäne erstellt das Gerät mit dem Kennwort für das Konto bei jedem Neustart einen sicheren Kanal mit dem Domänencontroller für seine Domäne. Über diesen sicheren Kanal werden Vorgänge wie NTLM-Pass-Through-Authentifizierung und LSA/SID-Namenssuche ausgeführt. Über den sicheren Kanal gesendete Anfragen werden authentifiziert, und vertrauliche Informationen wie Kennwörter werden verschlüsselt. Die Integrität des Kanals wird jedoch nicht überprüft, und es werden nicht alle Informationen verschlüsselt. Wenn ein System so konfiguriert ist, dass Daten des sicheren Kanals immer verschlüsselt oder signiert werden, kann kein sicherer Kanal mit einem Domänencontroller eingerichtet werden, der nicht den gesamten Datenverkehr im sicheren Kanal signieren oder verschlüsseln kann. Wenn der Computer so konfiguriert ist, dass Daten des sicheren Kanals nach Möglichkeit verschlüsselt oder signiert werden, kann ein sicherer Kanal hergestellt werden, die Ebene der Verschlüsselung und Signatur wird jedoch ausgehandelt.
Mögliche Werte
Aktiviert
Das Domänenmitglied fordert die Verschlüsselung des gesamten Datenverkehrs über den sicheren Kanal. Wenn der Domänencontroller die Verschlüsselung des gesamten Datenverkehrs über den sicheren Kanal unterstützt, wird der gesamte Datenverkehr über den sicheren Kanal verschlüsselt. Andernfalls werden nur über den sicheren Kanal übertragene Anmeldeinformationen verschlüsselt.
Deaktiviert
Das Domänenmitglied versucht nicht, die Verschlüsselung für den sicheren Kanal auszuhandeln.
Hinweis
Wenn die Sicherheitsrichtlinieneinstellung Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) aktiviert ist, wird diese Einstellung überschrieben.
Nicht definiert
Bewährte Methoden
Legen Sie Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) auf Aktiviert fest.
Legen Sie Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich) auf Aktiviert fest.
Legen Sie Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich) auf Aktiviert fest.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Aktiviert |
Standardeinstellungen für eigenständige Server |
Aktiviert |
Effektive Standardeinstellungen für DC |
Aktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Aktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Aktiviert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Gruppenrichtlinie
Bei der Verteilung dieser Richtlinie über eine Gruppenrichtlinie wird die Einstellung von „Lokale Sicherheitsrichtlinie“ nicht außer Kraft gesetzt.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Wenn ein Gerät einer Domäne beitritt, wird ein Computerkonto erstellt. Nach dem Beitritt zur Domäne erstellt das Gerät mit dem Kennwort für das Konto bei jedem Neustart einen sicheren Kanal mit dem Domänencontroller für seine Domäne. Über den sicheren Kanal gesendete Anfragen werden authentifiziert, und vertrauliche Informationen wie Kennwörter werden verschlüsselt. Die Integrität des Kanals hingegen wird nicht überprüft, und es werden nicht alle Informationen verschlüsselt. Wenn ein Gerät so konfiguriert ist, dass über den sicheren Kanal übertragene Daten immer verschlüsselt oder signiert werden, der Domänencontroller jedoch einen Teil der Daten im sicheren Kanal nicht signieren oder verschlüsseln kann, kann zwischen Computer und Domänencontroller kein sicherer Kanal eingerichtet werden. Wenn der Computer so konfiguriert ist, dass Daten des sicheren Kanals nach Möglichkeit verschlüsselt oder signiert werden, kann ein sicherer Kanal hergestellt werden, die Ebene der Verschlüsselung und Signatur wird jedoch ausgehandelt.
Gegenmaßnahme
Wählen Sie eine der folgenden Einstellungen je nach Eignung für Ihre Umgebung aus, um die Computer in der Domäne für das Verschlüsseln oder Signieren von Daten im sicheren Kanal zu konfigurieren:
Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer)
Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich)
Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich)
Mögliche Auswirkung
Das digitale Signieren des sicheren Kanals wird empfohlen, da dadurch die Domänenanmeldeinformationen geschützt werden, wenn sie an den Domänencontroller gesendet werden.