Сетевая безопасность: разрешить LocalSystem использовать нулевые сеансы
Содержит описание рекомендаций, расположения, значений и вопросов безопасности для параметра политики безопасности Сетевая безопасность: разрешить LocalSystem возврат к нулевым сеансам.
Справка
Эта политика влияет на безопасность сеанса в процессе проверки подлинности между устройствами под управлением Windows Server 2008 R2, а также Windows 7 и более поздних версий и устройствами под управлением более ранних версий операционной системы Windows. На компьютерах под управлением Windows Server 2008 R2, а также Windows 7 и более поздних версий службам, запущенным как локальная система, требуется имя субъекта-службы (SPN) для создания ключа сеанса. Однако если параметр Сетевая безопасность: разрешить учетной записи локальной системы использовать удостоверение компьютера для NTLM отключен, службы, запущенные как локальная система, возвращаются к использованию нулевых сеансов для проверки подлинности при передаче данных на серверы, которые работают под управлением версий Windows, выпущенных до Windows Vista или Windows Server 2008. Нулевой сеанс не создает уникального ключа сеанса для каждой проверки подлинности, и следовательно, не обеспечивает проверку целостности и защиту конфиденциальности. Параметр Сетевая безопасность: разрешить LocalSystem использовать нулевые сеансы определяет, разрешено ли службам, требующим сеансовой безопасности, выполнять функции подписывания или шифрования с известным ключом для обеспечения совместимости приложений.
Возможные значения
Включено
При подключении службы, работающей под учетной записью локальной системы, с использованием нулевого сеанса автоматически создается ключ сеанса, который не обеспечивает защиту, но позволяет приложениям подписывать и шифровать данные без ошибок. Это повышает совместимость приложений, но снижает уровень безопасности.
Отключено
При подключении службы, работающей под учетной записью локальной системы, с использованием нулевого сеанса сеансовая безопасность недоступна. Вызовы, требующие шифрования или подписывания, будут отклонены. Этот параметр безопаснее, но риск несовместимости приложений при нем выше. Для вызовов, использующих удостоверение устройства вместо нулевого сеанса, безопасность сеанса полностью доступна.
Не определено. Если данная политика не определена, применяется значение по умолчанию. Для операционных систем Windows, выпущенных до Windows Server 2008 R2 и Windows 7, этот параметр включен, а для более поздних версий — отключен.
Рекомендации
При подключении служб с использованием удостоверения устройства обеспечивается защита данных с помощью подписывания и шифрования. При подключении служб с использованием нулевого сеанса такой уровень защиты данных не предоставляется. Однако для определения поддерживаемых версий операционной системы Windows вам потребуется провести оценку вашей среды. Если эта политика включена, некоторые службы могут не пройти проверку подлинности.
Эта политика применяется к Windows Server 2008 и Windows Vista (SP1 и более поздних версий). Если ваша среда не требует поддержки Windows NT4, эту политику следует отключить. По умолчанию политика отключена в Windows 7, а также Windows Server 2008 R2 и более поздних версиях.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Не определено |
Действующие параметры контроллера домена по умолчанию |
Не применимо |
Действующие параметры рядового сервера по умолчанию |
Не применимо |
Действующие параметры объекта групповой политики по умолчанию на клиентских компьютерах |
Не применимо |
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Если данный параметр включен, при подключении службы с помощью нулевого сеанса автоматически создается ключ сеанса, который не обеспечивает защиту, но позволяет приложениям подписывать и шифровать данные без ошибок. Данные, которые должны быть защищены, могут быть раскрыты.
Меры противодействия
Компьютер можно настроить для использования удостоверения компьютера для локальной учетной записи с помощью политики Сетевая безопасность: разрешить учетной записи локальной системы использовать удостоверение компьютера для NTLM. Если это невозможно, политику можно использовать для защиты данных, зашифрованных с помощью известного ключа, в ходе передачи.
Возможные последствия
При включении этой политики службы, использующие нулевую сессию с локальной системной учетной записью могут не пройти проверку подлинности, так как им будет запрещено использование подписывания и шифрования.