Сетевая безопасность: разрешить использование сетевых удостоверений в запросах проверки подлинности PKU2U к этому компьютеру
Содержит описание рекомендаций, расположения и значений для параметра политики безопасности Сетевая безопасность: разрешить использование сетевых удостоверений в запросах проверки подлинности PKU2U к этому компьютеру.
Справка
Начиная с Windows Server 2008 R2 и Windows 7, поставщик поддержки безопасности (SSP) для пакета согласования поддерживает расширение SSP — Negoexts.dll. Этот расширение классифицируется операционной системой Windows как протокол проверки подлинности и поддерживает поставщиков поддержки безопасности, реализованных Майкрософт, в том числе PKU2U. При необходимости разработчики могут создавать или добавлять другие поставщики.
Если устройства настроены на прием запросов проверки подлинности с помощью сетевых удостоверений, Negoexts.dll вызывает поставщика поддержки безопасности PKU2U на компьютере, использующемся для входа. PKU2U SSP получает локальный сертификат и обменивается политикой между одноранговыми компьютерами. После проверки на одноранговом компьютере сертификат с соответствующими метаданными отправляется для проверки на одноранговый компьютер для входа в систему. По результатам проверки сертификат пользователя связывается с маркером безопасности, после чего процесс входа в систему завершается.
Примечание
Связывать сетевые удостоверения может любой пользователь, у которого есть учетная запись с учетными данными обычного пользователя в диспетчере учетных данных.
Эта политика не настроена по умолчанию на устройствах, подключенных к домену. Когда эта политика настроена, выполнение проверки сетевых удостоверений на компьютерах, подключенных к домену и работающих под управлением Windows 7 и более поздних версий, невозможно.
Возможные значения
Включено
Когда выбрано это значение, проверку подлинности можно выполнять с помощью сетевых удостоверений между двумя (или более) компьютерами с одноранговой структурой. SSP PKU2U получает локальный сертификат и обменивается политикой между одноранговыми устройствами. После проверки на одноранговом компьютере сертификат с соответствующими метаданными отправляется для проверки на одноранговый компьютер для входа в систему. По результатам проверки сертификат пользователя связывается с маркером безопасности, после чего процесс входа в систему завершается.
Отключено
Когда выбрано это значение, для проверки подлинности пользователя на другом компьютере, входящем в одноранговую структуру, сетевые удостоверения использовать нельзя.
Не задано. Если эта политика не настроена, использовать сетевые удостоверения для проверки подлинности пользователя нельзя. Это значение параметра задано по умолчанию для большинства устройств, подключенных к домену.
Рекомендации
Внутри домена для проверки подлинности следует использовать учетные записи домена. Задайте этой политике значение Отключено или не настраивайте ее, чтобы сетевые удостоверения не использовались для проверки подлинности.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Не определено |
Действующие параметры контроллера домена по умолчанию |
Отключено |
Действующие параметры рядового сервера по умолчанию |
Отключено |
Действующие параметры объекта групповой политики по умолчанию на клиентских компьютерах |
Отключено |
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Активация этого параметра политики позволяет связывать учетную запись пользователя на одном компьютере с сетевым удостоверением, например учетной записью Майкрософт, чтобы пользователь этой учетной записи мог выполнять вход на одноранговом устройстве (если это устройство настроено таким же образом) без использования учетной записи для входа в Windows (доменной или локальной). Несмотря на то, что такой механизм удобно использовать в рабочих или домашних группах, применение этой возможности в среде, подключенной к домену, может привести к тому, что настроенные вами политики безопасности можно будет обойти.
Меры противодействия
Задайте политике значение "Отключено" или не настраивайте эту политику безопасности для устройств, подключенных к домену.
Возможные последствия
Если эта политика не настроена или не отключена, протокол PKU2U не будет использоваться для проверки подлинности между одноранговыми устройствами, в результате чего пользователям придется соблюдать политики управления доступом, заданные для домена. Если же эта политика включена, пользователи смогут проходить проверку подлинности с помощью локальных сертификатов между системами, которые не являются частью домена, использующего протокол PKU2U. Это позволит пользователям совместно использовать ресурсы на разных устройствах.