Член домена: цифровая подпись данных безопасного канала, когда это возможно
Описаны рекомендации, расположение, значения и соображения безопасности для параметра политики безопасности Член домена: цифровая подпись данных безопасного канала, когда это возможно.
Справка
Этот параметр определяет, соответствует ли весь трафик безопасного канала, инициированный членом домена, минимальным требованиям безопасности. Если точнее, он указывает, следует ли подписывать весь трафик безопасного канала, инициированный членом домена. Сведения о входе, передаваемые через безопасный канал, всегда зашифрованы независимо от того, согласовано ли шифрование всего остального трафика безопасного канала.
Перечисленные ниже параметры политики определяют, можно ли создавать безопасный канал с контроллером домена, который не может подписывать или шифровать трафик безопасного канала.
Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала
Член домена: шифрование данных безопасного канала, когда это возможно
Член домена: цифровая подпись данных безопасного канала, когда это возможно
Чтобы не допустить создание безопасного канала с контроллером домена, который не может подписывать или шифровать все данные безопасного канала, задайте для параметра Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала значение Включено.
Чтобы защитить трафик проверки подлинности от атак "злоумышленник в середине", атак с повторением и других типов сетевых атак, компьютеры с Windows создают безопасные каналы связи через службу NetLogon. Эти каналы выполняют проверку подлинности учетных записей компьютеров. Кроме того, они выполняют проверку подлинности учетных записей пользователей, когда удаленный пользователь подключается к сетевому ресурсу и при этом учетная запись пользователя имеется в доверенном домене. Это называется сквозной проверкой подлинности и позволяет компьютеру с Windows, присоединенному к домену, получать доступ к базе данных учетных записей пользователей в своем домене и в любом другом доверенном домене.
Если вы включите параметр политики Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала, то будет автоматически включен параметр политики Член домена: цифровая подпись данных безопасного канала, когда это возможно.
При присоединении устройства к домену создается учетная запись этого устройства. После присоединения к домену при каждом перезапуске устройство использует пароль этой учетной записи, чтобы создать безопасный канал с контроллером своего домена. Этот безопасный канал используется для выполнения различных операций, например сквозной проверки подлинности NTLM и поиска ИД безопасности или имени LSA. Запросы, отправляемые по безопасному каналу, проходят проверку подлинности. При этом выполняется шифрование конфиденциальной информации, например паролей. Тем не менее проверка целостности канала не выполняется и не вся информация шифруется. Если система настроена так, чтобы всегда шифровать или подписывать данные безопасного канала, то не удастся создать безопасный канал с контроллером домена, который не может подписывать или шифровать весь трафик безопасного канала. Если компьютер настроен так, чтобы шифровать или подписывать данные безопасного канала, когда это возможно, то можно создать безопасный канал, но при этом необходимо согласовать уровень шифрования и подписания.
Возможные значения
Включено
Член домена будет требовать подписывать весь трафик безопасного канала. Если контроллер домена поддерживает подписание всего трафика безопасного канала, то оно будет выполняться. Это гарантирует, что трафик не будет несанкционированно изменен в пути.
Отключено
Согласование подписания не будет выполняться, если только не включена политика Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала.
Не определено
Рекомендации
Задайте для параметра политики Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала значение Включено.
Задайте для параметра политики Член домена: шифрование данных безопасного канала, когда это возможно значение Включено.
Задайте для параметра политики Член домена: цифровая подпись данных безопасного канала, когда это возможно значение Включено.
Примечание
Вы можете включить два других параметра политик (Член домена: шифрование данных безопасного канала, когда это возможно и Член домена: цифровая подпись данных безопасного канала, когда это возможно) на всех присоединенных к домену устройствах, поддерживающих эти параметры политик, не оказывая влияния на клиенты и приложения более ранних версий.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Включено |
Параметры автономного сервера по умолчанию |
Включено |
Действующие параметры контроллера домена по умолчанию |
Включено |
Действующие параметры рядового сервера по умолчанию |
Включено |
Действующие параметры клиентского компьютера по умолчанию |
Включено |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Групповая политика
При распространении этой политики через групповую политику параметр локальной политики безопасности не переопределяется.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
При присоединении устройства к домену создается учетная запись этого устройства. После присоединения к домену при каждом перезапуске устройство использует пароль этой учетной записи, чтобы создать безопасный канал с контроллером своего домена. Запросы, отправляемые по безопасному каналу, проходят проверку подлинности. При этом выполняется шифрование конфиденциальной информации, например паролей. Тем не менее проверка целостности канала не выполняется и не вся информация шифруется. Если устройство настроено так, чтобы всегда шифровать или подписывать данные безопасного канала, но при этом домен контроллера не может подписывать или шифровать какую-либо часть данных безопасного канала, то создать безопасный канал между устройством и контроллером домена не удастся. Если компьютер настроен так, чтобы шифровать или подписывать данные безопасного канала, когда это возможно, то можно создать безопасный канал, но при этом необходимо согласовать уровень шифрования и подписания.
Меры противодействия
Так как эти политики тесно связаны и их польза зависит от вашей среды, выберите один из указанных ниже параметров для настройки устройств в вашем домене для шифрования или подписания данных, передаваемых по безопасному каналу, когда это возможно.
Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала
Член домена: шифрование данных безопасного канала, когда это возможно
Член домена: цифровая подпись данных безопасного канала, когда это возможно
Возможные последствия
Рекомендуется использовать цифровое подписание данных безопасного канала, поскольку безопасный канал защищает учетные данные домена, отправляемые в контроллер домена.