Сетевая безопасность: разрешить учетной записи локальной системы использовать удостоверение компьютера для NTLM
Содержит описание расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Сетевая безопасность: разрешить учетной записи локальной системы использовать удостоверение компьютера для NTLM.
Справка
При подключении служб к устройствам под управлением операционной системы, версия которой предшествует Windows Vista или Windows Server 2008, службы, выполняемые под учетной записью локальной системы и использующие средство SPNEGO (согласование), при откате к проверке подлинности NTLM будут проходить анонимную проверку подлинности. В Windows Server 2008 R2, а также в Windows 7 и более поздних версиях при подключении службы к компьютеру под управлением Windows Server 2008 или Windows Vista системные службы используют удостоверение компьютера.
При подключении службы с использованием удостоверения устройства обеспечивается защита данных с помощью подписывания и шифрования. (При анонимном подключении автоматически создается ключ сеанса, который не обеспечивает защиту, но позволяет приложениям подписывать и шифровать данные без ошибок. В ходе анонимной проверки подлинности используется сеанс NULL, во время которого сервер не выполняет проверку подлинности пользователя, что позволяет осуществлять анонимный доступ).
Возможные значения
| Параметр | Windows Server 2008 и Windows Vista | Версии операционной системы не ниже Windows Server 2008 R2 и Windows 7 |
|---|---|---|
Включено |
Службы, работающие под учетной записью локальной системы и применяющие согласование, будут использовать удостоверение компьютера. Это может вызвать сбой и регистрацию ошибки для некоторых запросов проверки подлинности между операционными системами Windows. |
Службы, работающие под учетной записью локальной системы и применяющие согласование, будут использовать удостоверение компьютера. Такая реакция на события используется по умолчанию. |
Отключено |
Службы, работающие под учетной записью локальной системы и применяющие согласование, при откате к проверке подлинности NTLM будут проходить проверку подлинности анонимно. Такая реакция на события используется по умолчанию. |
Службы, работающие под учетной записью локальной системы и применяющие согласование, при откате к проверке подлинности NTLM будут проходить проверку подлинности анонимно. |
Никакой |
Службы, работающие под учетной записью локальной системы и применяющие согласование, при откате к проверке подлинности NTLM будут проходить проверку подлинности анонимно. |
Службы, работающие под учетной записью локальной системы и применяющие согласование, будут использовать удостоверение компьютера. Это может вызвать сбой и регистрацию ошибки для некоторых запросов проверки подлинности между операционными системами Windows. |
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Не определено |
Действующие параметры контроллера домена по умолчанию |
Не применимо |
Действующие параметры рядового сервера по умолчанию |
Не применимо |
Действующие параметры объекта групповой политики по умолчанию на клиентских компьютерах |
Не определено |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Вопросы, касающиеся конфликтов политик
Когда политика Сетевая безопасность: разрешить LocalSystem использовать нулевые сеансы включена, то при попытке системной службой выполнить проверку подлинности, будет разрешено использование проверки подлинности NTLM или Kerberos. За счет этого повышается эффективность взаимодействия в ущерб безопасности.
Поведение проверки подлинности в Windows Server 2008 и Windows Vista отличается от поведения проверки подлинности в более поздних версиях Windows. Результаты настройки и применения этого параметра политики в этих системах могут быть разными.
Групповая политика
Этот параметр политики можно настроить с помощью консоли управления групповыми политиками (GPMC) и распространять через объекты групповой политики (GPO). Если эта политика отсутствует в распространяемом объекте GPO, ее можно настроить на локальном компьютере с помощью оснастки «Локальная политика безопасности».
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
При подключении службы к компьютерам под управлением операционной системы Windows, версия которой предшествует Windows Vista или Windows Server 2008, службы, выполняемые под учетной записью локальной системы и использующие средство SPNEGO (согласование), при откате к проверке подлинности NTLM используют сеанс NULL. В Windows Server 2008 R2, а также в Windows 7 и более поздних версиях при подключении службы к компьютеру под управлением Windows Server 2008 или Windows Vista системные службы используют удостоверение компьютера.
При подключении службы с использованием удостоверения компьютера обеспечивается защита данных с помощью подписывания и шифрования. При подключении службы с использованием сеанса NULL автоматически создается ключ сеанса, который не обеспечивает защиту, но позволяет приложениям подписывать и шифровать данные без ошибок.
Меры противодействия
С помощью параметра политики безопасности Сетевая безопасность: разрешить учетной записи локальной системы использовать удостоверение компьютера для NTLM можно разрешить службам локальной системы, использующим средство согласования, применять удостоверение компьютера для восстановления проверки подлинности NTLM.
Возможные последствия
Если этот параметр политики не настроен, для служб локальной системы, использующих учетные данные по умолчанию и сеанс NULL, восстанавливается проверка подлинности NTLM в операционной системе, версия которой предшествует Windows Vista или Windows Server 2008
Начиная с версий Windows Server 2008 R2 и Windows 7, при восстановлении проверки подлинности NTLM службы локальной системы, использующие согласование, могут применять удостоверение компьютера.