Член домена: шифрование данных безопасного канала, когда это возможно

Описаны рекомендации, расположение, значения и соображения безопасности для параметра политики безопасности Член домена: шифрование данных безопасного канала, когда это возможно.

Справка

Этот параметр определяет, соответствует ли весь трафик безопасного канала, инициированный членом домена, минимальным требованиям безопасности. Если точнее, он указывает, необходимо ли шифровать весь трафик безопасного канала, инициированный членом домена. Сведения о входе, передаваемые через безопасный канал, всегда зашифрованы независимо от того, согласовано ли шифрование всего остального трафика безопасного канала.

В дополнение к этому параметру политики перечисленные ниже параметры политики определяют, можно ли создавать безопасный канал с контроллером домена, который не может подписывать или шифровать трафик безопасного канала.

Чтобы не допустить создание безопасного канала с контроллером домена, который не может подписывать или шифровать все данные безопасного канала, задайте для параметра Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала значение Включено.

Чтобы защитить трафик проверки подлинности от атак "злоумышленник в середине", атак с повторением и других типов сетевых атак, компьютеры с Windows создают безопасные каналы связи через службу NetLogon. Эти каналы выполняют проверку подлинности учетных записей компьютеров. Кроме того, они выполняют проверку подлинности учетных записей пользователей, когда удаленный пользователь подключается к сетевому ресурсу и при этом учетная запись пользователя имеется в доверенном домене. Это называется сквозной проверкой подлинности и позволяет компьютеру с Windows, присоединенному к домену, получать доступ к базе данных учетных записей пользователей в своем домене и в любом другом доверенном домене.

Если вы включите параметр политики Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала, то будет автоматически включен параметр политики Член домена: цифровая подпись данных безопасного канала, когда это возможно.

При присоединении устройства к домену создается учетная запись этого устройства. После присоединения к домену при каждом перезапуске устройство использует пароль этой учетной записи, чтобы создать безопасный канал с контроллером своего домена. Этот безопасный канал используется для выполнения различных операций, например сквозной проверки подлинности NTLM и поиска ИД безопасности или имени LSA. Запросы, отправляемые по безопасному каналу, проходят проверку подлинности. При этом выполняется шифрование конфиденциальной информации, например паролей. Тем не менее проверка целостности канала не выполняется и не вся информация шифруется. Если система настроена так, чтобы всегда шифровать или подписывать данные безопасного канала, то не удастся создать безопасный канал с контроллером домена, который не может подписывать или шифровать весь трафик безопасного канала. Если компьютер настроен так, чтобы шифровать или подписывать данные безопасного канала, когда это возможно, то можно создать безопасный канал, но при этом необходимо согласовать уровень шифрования и подписания.

Возможные значения

  • Включено

    Член домена будет требовать шифровать весь трафик безопасного канала. Если контроллер домена поддерживает шифрование всего трафика безопасного канала, то будет выполняться шифрование всего трафика безопасного канала. В противном случае будет выполняться шифрование только информации о входе, которая передается через безопасный канал.

  • Отключено

    Член домена не будет пытаться согласовать шифрование безопасного канала.

    Примечание  

    Если параметр политики Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала включен, то этот параметр будет перезаписан.

     

  • Не определено

Рекомендации

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности

Значения по умолчанию

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политики Значение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Включено

Параметры автономного сервера по умолчанию

Включено

Действующие параметры контроллера домена по умолчанию

Включено

Действующие параметры рядового сервера по умолчанию

Включено

Действующие параметры клиентского компьютера по умолчанию

Включено

 

Управление политикой

В данном разделе описываются компоненты и средства, доступные для управления этой политикой.

Необходимость перезагрузки

Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.

Групповая политика

При распространении этой политики через групповую политику параметр локальной политики безопасности не переопределяется.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

При присоединении устройства к домену создается учетная запись этого устройства. После присоединения к домену при каждом перезапуске устройство использует пароль этой учетной записи, чтобы создать безопасный канал с контроллером своего домена. Запросы, отправляемые по безопасному каналу, проходят проверку подлинности. При этом выполняется шифрование конфиденциальной информации, например паролей. Тем не менее проверка целостности канала не выполняется и не вся информация шифруется. Если устройство настроено так, чтобы всегда шифровать или подписывать данные безопасного канала, но при этом домен контроллера не может подписывать или шифровать какую-либо часть данных безопасного канала, то создать безопасный канал между устройством и контроллером домена не удастся. Если компьютер настроен так, чтобы шифровать или подписывать данные безопасного канала, когда это возможно, то можно создать безопасный канал, но при этом необходимо согласовать уровень шифрования и подписания.

Меры противодействия

Выберите один из указанных ниже параметров, подходящих для вашей среды, чтобы настроить компьютеры в вашем домене для шифрования или подписания данных безопасного канала.

Возможные последствия

Рекомендуется использовать цифровое подписание данных безопасного канала, поскольку оно защищает учетные данные домена, отправляемые в контроллер домена.

Связанные разделы

Параметры безопасности