Сетевая безопасность: минимальный уровень безопасности сеанса для серверов на базе NTLM SSP (включая безопасный RPC)
Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Сетевая безопасность: минимальный уровень безопасности сеанса для серверов на базе NTLM SSP (включая безопасный RPC).
Справка
Этот параметр политики позволяет клиентскому устройству требовать согласования 128-битного шифрования или безопасности сеанса NTLMv2. Эти значения зависят от значения параметра политики Сетевая безопасность: уровень проверки подлинности LAN Manager.
Установка всех этих значений для этого параметра политики поможет защитить сетевой трафик, который использует поставщика поддержки безопасности NTLM (NTLM SSP), от вредоносных атак пользователем-злоумышленником, который получил доступ к той же сети. То есть, эти параметры защищают от атак "злоумышленник в середине".
Возможные значения
Требовать 128-битное шифрование. Подключение установить не удастся, если стойкое шифрование (128-бит) не будет согласовано.
Требовать сеансовую безопасность NTLMv2. Подключение установить не удастся, если протокол NTLMv2 не будет согласован.
Не определено.
Рекомендации
- Установите все значения, доступные для этой политики безопасности. Устаревшие клиентские устройства, не поддерживающие эти параметры политики, не смогут связаться с сервером.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Требовать 128-битное шифрование |
Действующие параметры контроллера домена по умолчанию |
Требовать 128-битное шифрование |
Действующие параметры рядового сервера по умолчанию |
Требовать 128-битное шифрование |
Действующие параметры клиентского компьютера по умолчанию |
Требовать 128-битное шифрование |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Зависимости политики
Параметры этой политики безопасности зависят от значения параметра политики Сетевая безопасность: уровень проверки подлинности LAN Manager.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Сетевой трафик, использующий поставщика поддержки безопасности NTLM (NTLM SSP), может выглядеть так, будто злоумышленник, который получил доступ к сети, может создать атаку "злоумышленник в середине".
Меры противодействия
Включите все параметры, доступные для параметра политики Сетевая безопасность: минимальный уровень безопасности сеанса для серверов на базе NTLM SSP (включая безопасный RPC).
Возможные последствия
Старые клиентские устройства, не поддерживающие эти параметры безопасности, не смогут взаимодействовать с компьютером, на котором установлена эта политика.