Domänenmitglied: Starker Sitzungsschlüssel erforderlich (Windows 2000 oder höher)
Hier werden bewährte Methoden, Speicherort, Werte und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Domänenmitglied: Starker Sitzungsschlüssel erforderlich (Windows 2000 oder höher) beschrieben.
Referenz
Die Richtlinieneinstellung Domänenmitglied: Starker Sitzungsschlüssel erforderlich (Windows 2000 oder höher) bestimmt, ob ein sicherer Kanal mit einem Domänencontroller hergestellt werden kann, der nicht in der Lage ist, Datenverkehr im sicheren Kanal mit einem starken 128-Bit-Sitzungsschlüssel zu verschlüsseln. Das Aktivieren dieser Einstellung verhindert, dass ein sicherer Kanal mit einem Domänencontroller eingerichtet wird, der Daten des sicheren Kanals nicht mit einem starken Schlüssel verschlüsseln kann. Wird diese Richtlinieneinstellung deaktiviert, werden 64-Bit-Sitzungsschlüssel zugelassen.
Sie sollten die Vorteile dieser stärkeren Sitzungsschlüssel nach Möglichkeit nutzen, um die Kommunikation über einen sicheren Kanal gegen Mitverfolgung und Sitzungsübernahme-Netzwerkangriffe zu schützen. Mitverfolgen ist eine Form des Hacking, bei dem Netzwerkdaten bei der Übertragung gelesen oder geändert werden. Die Daten können so geändert werden, dass der Name des Absenders ausgeblendet oder geändert wird, oder die Daten können umgeleitet werden.
Mögliche Werte
Aktiviert
Wenn diese Einstellung auf einer Arbeitsstation oder einem Server aktiviert ist, müssen alle Domänencontroller in der Domäne des betreffenden Mitglieds in der Lage sein, Daten im sicheren Kanal mit einem starken 128-Bit-Schlüssel zu verschlüsseln. Das bedeutet, dass auf diesen Domänencontrollern mindestens Windows 2000 Server ausgeführt werden muss.
Deaktiviert
Lässt die Verwendung von 64-Bit-Sitzungsschlüsseln zu.
Nicht definiert.
Bewährte Methoden
- Es empfiehlt sich, die Einstellung Domänenmitglied: Starker Sitzungsschlüssel erforderlich (Windows 2000 oder höher) auf „Aktiviert“ festzulegen. Durch Aktivieren dieser Richtlinieneinstellung wird sichergestellt, dass für den gesamten ausgehenden Datenverkehr im sicheren Kanal ein starker Verschlüsselungsschlüssel erforderlich ist. Wird diese Richtlinieneinstellung deaktiviert, muss die Schlüssellänge ausgehandelt werden. Aktivieren Sie diese Option nur, wenn die Domänencontroller in allen vertrauenswürdigen Domänen starke Schlüssel unterstützen. Standardmäßig ist diese Einstellung auf „Deaktiviert“ festgelegt.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Deaktiviert |
Effektive Standardeinstellungen für DC |
Deaktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Deaktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Deaktiviert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Gruppenrichtlinie
Eine falsche Verwendung dieser Richtlinieneinstellung ist ein häufiger Fehler, der zu Datenverlust oder Problemen in Bezug auf den Datenzugriff oder die Datensicherheit führen kann.
Sie können Geräte, die diese Richtlinieneinstellung nicht unterstützen, in Domänen einbinden, in denen diese Richtlinieneinstellung für Domänencontroller aktiviert ist.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Sitzungsschlüssel, mit denen die Kommunikation über sichere Kanäle zwischen Domänencontrollern und Mitgliedscomputern eingerichtet wird, sind seit Windows 2000 viel stärker.
Sie sollten die Vorteile dieser stärkeren Sitzungsschlüssel nach Möglichkeit nutzen, um die Kommunikation über einen sicheren Kanal gegen Angriffe zur Netzwerksitzungsübernahme und Mitverfolgung zu schützen. (Mitverfolgen ist eine Form des Hacking, bei dem Netzwerkdaten bei der Übertragung gelesen oder geändert werden. Die Daten können so manipuliert werden, dass der Absender ausgeblendet bzw. geändert wird, oder die Daten können umgeleitet werden.)
Gegenmaßnahme
Aktivieren Sie die Einstellung Domänenmitglied: Starker Sitzungsschlüssel erforderlich (Windows 2000 oder höher).
Wenn Sie diese Richtlinieneinstellung aktivieren, ist für den gesamten Datenverkehr in sicheren Kanälen ein starker Verschlüsselungsschlüssel erforderlich. Wenn Sie die Richtlinieneinstellung deaktivieren, wird die Schlüssellänge ausgehandelt. Sie sollten diese Einstellung nur dann aktivieren, wenn die Domänencontroller in allen vertrauenswürdigen Domänen starke Schlüssel unterstützen. Diese Richtlinieneinstellung ist standardmäßig deaktiviert.
Mögliche Auswirkung
Zudem können Geräte, für die diese Richtlinieneinstellung nicht unterstützt wird, keinen Domänen beitreten, auf deren Domänencontrollern die Richtlinieneinstellung aktiviert ist.