Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich)

  • Artikel

Hier werden bewährte Methoden, Speicherort, Werte und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich) beschrieben.

Referenz

Diese Einstellung bestimmt, ob der gesamte vom Domänenmitglied initiierte Datenverkehr über den sicheren Kanal die Mindestanforderungen an die Sicherheit erfüllt. Insbesondere wird dabei festgestellt, ob der gesamte vom Domänenmitglied initiierte Datenverkehr über den sicheren Kanal signiert werden muss. Über den sicheren Kanal übertragene Anmeldeinformationen werden immer verschlüsselt, unabhängig davon, ob die Verschlüsselung des gesamten sonstigen Datenverkehrs über den sicheren Kanal ausgehandelt wird.

Mit den folgenden Richtlinieneinstellungen wird bestimmt, ob ein sicherer Kanal mit einem Domänencontroller eingerichtet werden kann, der nicht in der Lage ist, Datenverkehr über den sicheren Kanal zu signieren oder zu verschlüsseln:

Wenn Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) auf Aktiviert festgelegt ist, wird das Einrichten eines sicheren Kanals mit einem Domänencontroller verhindert, der nicht alle über den sicheren Kanal übertragenen Daten signieren oder verschlüsseln kann.

Um Authentifizierungsdatenverkehr vor Man-in-the-Middle-, Replay- und sonstigen Arten von Netzwerkangriffen zu schützen, wird von Computern unter Windows ein Kommunikationskanal über sichere NetLogon-Kanäle erstellt. Über diese Kanäle werden Computerkonten authentifiziert. Sie authentifizieren zudem Benutzerkonten, wenn ein Remotebenutzer eine Verbindung mit einer Netzwerkressource herstellt und das Benutzerkonto in einer vertrauenswürdigen Domäne vorhanden ist. Dieses Szenario wird als Pass-Through-Authentifizierung bezeichnet. Damit für einen Computer mit einem Windows-Betriebssystem, der Mitglied einer Domäne ist, der Zugriff auf die Benutzerkonten-Datenbank in seiner Domäne und in allen vertrauenswürdigen Domänen zugelassen.

Durch Aktivieren der Richtlinieneinstellung Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) wird automatisch die Richtlinieneinstellung Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich) aktiviert.

Wenn ein Gerät einer Domäne beitritt, wird ein Computerkonto erstellt. Nach dem Beitritt zur Domäne erstellt das Gerät mit dem Kennwort für das Konto bei jedem Neustart einen sicheren Kanal mit dem Domänencontroller für seine Domäne. Über diesen sicheren Kanal werden Vorgänge wie NTLM-Pass-Through-Authentifizierung und LSA/SID-Namenssuche ausgeführt. Über den sicheren Kanal gesendete Anfragen werden authentifiziert, und vertrauliche Informationen wie Kennwörter werden verschlüsselt. Die Integrität des Kanals wird jedoch nicht überprüft, und es werden nicht alle Informationen verschlüsselt. Wenn ein System so konfiguriert ist, dass Daten des sicheren Kanals immer verschlüsselt oder signiert werden, kann kein sicherer Kanal mit einem Domänencontroller eingerichtet werden, der nicht den gesamten Datenverkehr im sicheren Kanal signieren oder verschlüsseln kann. Wenn der Computer so konfiguriert ist, dass Daten des sicheren Kanals nach Möglichkeit verschlüsselt oder signiert werden, kann ein sicherer Kanal hergestellt werden, die Ebene der Verschlüsselung und Signatur wird jedoch ausgehandelt.

Mögliche Werte

  • Aktiviert

    Das Domänenmitglied fordert das Signieren des gesamten Datenverkehrs über den sicheren Kanal. Wenn der Domänencontroller das Signieren des gesamten Datenverkehrs über den sicheren Kanal unterstützt, wird der gesamte Datenverkehr über den sicheren Kanal signiert. Dadurch wird sichergestellt, dass er während der Übertragung nicht manipuliert werden kann.

  • Deaktiviert

    Signaturen werden nicht ausgehandelt, es sei denn, die Richtlinie Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) ist aktiviert.

  • Nicht definiert

Bewährte Methoden

Hinweis  

Sie können die anderen beiden Richtlinieneinstellungen Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich) und Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich) auf allen in die Domäne eingebundenen Geräten aktivieren, die diese Richtlinieneinstellungen unterstützen. Dies hat keinerlei Auswirkungen auf Clients und Anwendungen früherer Versionen.

 

Speicherort

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen

Standardwerte

In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.

Servertyp oder Gruppenrichtlinienobjekt Standardwert

Standarddomänenrichtlinie

Nicht definiert

Standardrichtlinie für Domänencontroller

Aktiviert

Standardeinstellungen für eigenständige Server

Aktiviert

Effektive Standardeinstellungen für DC

Aktiviert

Effektive Standardeinstellungen für Mitgliedsserver

Aktiviert

Effektive Standardeinstellungen für Clientcomputer

Aktiviert

 

Richtlinienverwaltung

In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.

Neustartanforderung

Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.

Gruppenrichtlinie

Bei der Verteilung dieser Richtlinie über eine Gruppenrichtlinie wird die Einstellung von „Lokale Sicherheitsrichtlinie“ nicht außer Kraft gesetzt.

Sicherheitsaspekte

In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.

Sicherheitsrisiko

Wenn ein Gerät einer Domäne beitritt, wird ein Computerkonto erstellt. Nach dem Beitritt zur Domäne erstellt das Gerät mit dem Kennwort für das Konto bei jedem Neustart einen sicheren Kanal mit dem Domänencontroller für seine Domäne. Über den sicheren Kanal gesendete Anfragen werden authentifiziert, und vertrauliche Informationen wie Kennwörter werden verschlüsselt. Die Integrität des Kanals hingegen wird nicht überprüft, und es werden nicht alle Informationen verschlüsselt. Wenn ein Gerät so konfiguriert ist, dass über den sicheren Kanal übertragene Daten immer verschlüsselt oder signiert werden, der Domänencontroller jedoch einen Teil der Daten im sicheren Kanal nicht signieren oder verschlüsseln kann, kann zwischen Computer und Domänencontroller kein sicherer Kanal eingerichtet werden. Wenn der Computer so konfiguriert ist, dass Daten des sicheren Kanals nach Möglichkeit verschlüsselt oder signiert werden, kann ein sicherer Kanal hergestellt werden, die Ebene der Verschlüsselung und Signatur wird jedoch ausgehandelt.

Gegenmaßnahme

Da diese Richtlinien in enger Beziehung zueinander stehen und je nach Umgebung sehr hilfreich sein können, wählen Sie je nach vorliegenden Anforderungen eine der folgenden Einstellungen aus, um die Geräte in Ihrer Domäne für das Verschlüsseln oder Signieren von Daten im sicheren Kanal (sofern möglich) zu konfigurieren.

Mögliche Auswirkung

Das digitale Signieren des sicheren Kanals wird empfohlen, da der sichere Kanal Domänenanmeldeinformationen schützt, wenn sie an den Domänencontroller gesendet werden.

Verwandte Themen

Sicherheitsoptionen