Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала
Описаны рекомендации, расположение, значения и соображения безопасности для параметра политики безопасности Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала.
Справка
Этот параметр определяет, соответствует ли весь трафик безопасного канала, инициированный членом домена, минимальным требованиям безопасности. Если точнее, он указывает, необходимо ли подписывать или шифровать весь трафик безопасного канала, инициированный членом домена. Сведения о входе, передаваемые через безопасный канал, всегда зашифрованы независимо от того, согласовано ли шифрование всего остального трафика безопасного канала.
Перечисленные ниже параметры политики определяют, можно ли создавать безопасный канал с контроллером домена, который не может подписывать или шифровать трафик безопасного канала.
Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала
Член домена: шифрование данных безопасного канала, когда это возможно
Член домена: цифровая подпись данных безопасного канала, когда это возможно
Чтобы не допустить создание безопасного канала с контроллером домена, который не может подписывать или шифровать все данные безопасного канала, задайте для параметра Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала значение Включено.
Чтобы защитить трафик проверки подлинности от атак "злоумышленник в середине", атак с повторением и других типов сетевых атак, компьютеры с Windows создают безопасные каналы связи через службу NetLogon. Эти каналы выполняют проверку подлинности учетных записей компьютеров. Кроме того, они выполняют проверку подлинности учетных записей пользователей, когда удаленный пользователь подключается к сетевому ресурсу и при этом учетная запись пользователя имеется в доверенном домене. Это называется сквозной проверкой подлинности и позволяет устройству с Windows, присоединенному к домену, получать доступ к базе данных учетных записей пользователей в своем домене и в любом другом доверенном домене.
Чтобы включить параметр политики Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала на рядовой рабочей станции или сервере, все контроллеры в домене, к которому принадлежит этот участник, должны быть способны подписывать или шифровать все данные безопасного канала.
Если вы включите параметр политики Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала, то будет автоматически включен параметр политики Член домена: цифровая подпись данных безопасного канала, когда это возможно.
При присоединении устройства к домену создается учетная запись этого устройства. После присоединения к домену при каждом перезапуске устройство использует пароль этой учетной записи, чтобы создать безопасный канал с контроллером своего домена. Этот безопасный канал используется для выполнения различных операций, например сквозной проверки подлинности NTLM и поиска ИД безопасности или имени LSA. Запросы, отправляемые по безопасному каналу, проходят проверку подлинности. При этом выполняется шифрование конфиденциальной информации, например паролей. Тем не менее проверка целостности канала не выполняется и не вся информация шифруется. Если система настроена так, чтобы всегда шифровать или подписывать данные безопасного канала, то не удастся создать безопасный канал с контроллером домена, который не может подписывать или шифровать весь трафик безопасного канала. Если компьютер настроен так, чтобы шифровать или подписывать данные безопасного канала, когда это возможно, то можно создать безопасный канал, но при этом необходимо согласовать уровень шифрования и подписания.
Возможные значения
Включено
Предполагается, что политика Член домена: цифровая подпись данных безопасного канала, когда это возможно включена независимо от ее текущего параметра. Это гарантирует, что член домена будет пытаться согласовать хотя бы подписание трафика безопасного канала.
Отключено
Шифрование и подписание всего трафика безопасного канала согласовывается с контроллером домена. В этом случае уровень подписания и шифрования зависит от версии контроллера домена и параметров указанных ниже политик.
Не определено
Рекомендации
Задайте для параметра политики Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала значение Включено.
Задайте для параметра политики Член домена: шифрование данных безопасного канала, когда это возможно значение Включено.
Задайте для параметра политики Член домена: цифровая подпись данных безопасного канала, когда это возможно значение Включено.
Примечание
Вы можете включить параметры политик Член домена: шифрование данных безопасного канала, когда это возможно и Член домена: цифровая подпись данных безопасного канала, когда это возможно на всех устройствах в домене, поддерживающих эти параметры политик, не затрагивая клиенты и приложения более ранних версий.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Включено |
Параметры автономного сервера по умолчанию |
Включено |
Действующие параметры контроллера домена по умолчанию |
Включено |
Действующие параметры рядового сервера по умолчанию |
Включено |
Действующие параметры клиентского компьютера по умолчанию |
Включено |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Групповая политика
При распространении этой политики через групповую политику будет переопределен параметр локальной политики безопасности.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
При присоединении устройства к домену создается учетная запись этого устройства. После присоединения к домену при каждом перезапуске устройство использует пароль этой учетной записи, чтобы создать безопасный канал с контроллером своего домена. Запросы, отправляемые по безопасному каналу, проходят проверку подлинности. При этом выполняется шифрование конфиденциальной информации, например паролей. Тем не менее проверка целостности канала не выполняется и не вся информация шифруется. Если устройство настроено так, чтобы всегда шифровать или подписывать данные безопасного канала, но при этом домен контроллера не может подписывать или шифровать какую-либо часть данных безопасного канала, то создать безопасный канал между устройством и контроллером домена не удастся. Если устройство настроено так, чтобы шифровать или подписывать данные безопасного канала, когда это возможно, то можно создать безопасный канал, но при этом необходимо согласовать уровень шифрования и подписания.
Меры противодействия
Выберите один из указанных ниже параметров, подходящих для вашей среды, чтобы настроить компьютеры в вашем домене для шифрования или подписания данных безопасного канала.
Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала
Член домена: шифрование данных безопасного канала, когда это возможно
Член домена: цифровая подпись данных безопасного канала, когда это возможно
Возможные последствия
Рекомендуется использовать шифрование и подписание данных безопасного канала, поскольку безопасный канал защищает учетные данные домена, отправляемые в контроллер домена.