Сетевая безопасность: минимальный уровень безопасности сеанса для серверов на базе NTLM SSP (включая безопасный RPC)

Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Сетевая безопасность: минимальный уровень безопасности сеанса для серверов на базе NTLM SSP (включая безопасный RPC).

Справка

Этот параметр политики позволяет клиентскому устройству требовать согласования 128-битного шифрования или безопасности сеанса NTLMv2. Эти значения зависят от значения параметра политики Сетевая безопасность: уровень проверки подлинности LAN Manager.

Установка всех этих значений для этого параметра политики поможет защитить сетевой трафик, который использует поставщика поддержки безопасности NTLM (NTLM SSP), от вредоносных атак пользователем-злоумышленником, который получил доступ к той же сети. То есть, эти параметры защищают от атак "злоумышленник в середине".

Возможные значения

  • Требовать 128-битное шифрование. Подключение установить не удастся, если стойкое шифрование (128-бит) не будет согласовано.

  • Требовать сеансовую безопасность NTLMv2. Подключение установить не удастся, если протокол NTLMv2 не будет согласован.

  • Не определено.

Рекомендации

  • Установите все значения, доступные для этой политики безопасности. Устаревшие клиентские устройства, не поддерживающие эти параметры политики, не смогут связаться с сервером.

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности

Значения по умолчанию

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Не определено

Параметры автономного сервера по умолчанию

Требовать 128-битное шифрование

Действующие параметры контроллера домена по умолчанию

Требовать 128-битное шифрование

Действующие параметры рядового сервера по умолчанию

Требовать 128-битное шифрование

Действующие параметры клиентского компьютера по умолчанию

Требовать 128-битное шифрование

 

Управление политикой

В данном разделе описываются компоненты и средства, доступные для управления этой политикой.

Необходимость перезагрузки

Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.

Зависимости политики

Параметры этой политики безопасности зависят от значения параметра политики Сетевая безопасность: уровень проверки подлинности LAN Manager.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Сетевой трафик, использующий поставщика поддержки безопасности NTLM (NTLM SSP), может выглядеть так, будто злоумышленник, который получил доступ к сети, может создать атаку "злоумышленник в середине".

Меры противодействия

Включите все параметры, доступные для параметра политики Сетевая безопасность: минимальный уровень безопасности сеанса для серверов на базе NTLM SSP (включая безопасный RPC).

Возможные последствия

Старые клиентские устройства, не поддерживающие эти параметры безопасности, не смогут взаимодействовать с компьютером, на котором установлена эта политика.

Связанные разделы

Параметры безопасности

 

 

Показ: