Член домена: требовать стойкий ключ сеанса (Windows 2000 или выше)

Описаны рекомендации, расположение, значения и соображения безопасности для параметра политики безопасности Член домена: требовать стойкий ключ сеанса (Windows 2000 или выше).

Справка

Параметр политики Член домена: требовать стойкий ключ сеанса (Windows 2000 или выше) определяет, можно ли создавать безопасный канал с контроллером домена, который не может шифровать трафик безопасного канала с помощью надежного 128-разрядного сеансового ключа. Если вы включите этот параметр политики, то будет запрещено создавать безопасный канал с контроллером домена, который не может шифровать данные безопасного канала с помощью надежного ключа. Если вы отключите этот параметр, то будет разрешено использовать 64-разрядные сеансовые ключи.

По возможности следует использовать более надежные сеансовые ключи для защиты безопасных каналов связи от сетевых атак методом "прослушивания" и перехвата сеансов. "Прослушивание" — это форма несанкционированного доступа, при которой выполняется чтение или изменение передаваемых по сети данных. Злоумышленник может перенаправить или изменить данные, чтобы скрыть или изменить имя отправителя.

Возможные значения

  • Включено

    Если параметр включен на члене-рабочей станции или сервере, все контроллеры в домене, которому принадлежит этот член, должны быть способны шифровать данные безопасного канала с помощью надежного 128-разрядного ключа. Это означает, что такие контроллеры домена должны работать под управлением ОС версии не ниже Windows 2000.

  • Отключено

    В этом случае будет разрешено использовать 64-разрядные сеансовые ключи.

  • Не определено.

Рекомендации

  • Рекомендуется задавать для параметра Член домена: требовать стойкий ключ сеанса (Windows 2000 или выше) значение "Включено". Если вы включите этот параметр политики, то система будет требовать защищать весь исходящий трафик безопасного канала надежным ключом шифрования. Если вы отключите этот параметр, то перед передачей данных потребуется согласовать надежность ключа. Включайте этот параметр, только если контроллеры во всех доверенных доменах поддерживают надежные ключи. По умолчанию это значение отключено.

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности

Значения по умолчанию

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Не определено

Параметры автономного сервера по умолчанию

Отключено

Действующие параметры контроллера домена по умолчанию

Отключено

Действующие параметры рядового сервера по умолчанию

Отключено

Действующие параметры клиентского компьютера по умолчанию

Отключено

 

Управление политикой

В данном разделе описываются компоненты и средства, доступные для управления этой политикой.

Необходимость перезагрузки

Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.

Групповая политика

Неправильное использование этого параметра политики является распространенной ошибкой и может привести к потере данных, проблемам с доступом к данным или безопасностью.

Невозможно присоединить устройства, не поддерживающие этот параметр политики, к доменам, в которых на контроллерах домена включен этот параметр политики.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Начиная с ОС Windows 2000 сеансовые ключи, используемые для создания безопасных каналов связи между контроллерами доменов и компьютерами-членами, стали намного надежнее.

По возможности следует использовать более надежные сеансовые ключи для защиты безопасных каналов связи от сетевых атак методом "прослушивания" и перехвата сетевых сеансов. ("Прослушивание" — это форма несанкционированного доступа, при которой выполняется чтение или изменение передаваемых по сети данных. Злоумышленник может перенаправить или изменить данные, чтобы скрыть или изменить имя отправителя.)

Меры противодействия

Включите параметр Член домена: требовать стойкий ключ сеанса (Windows 2000 или выше).

Если вы включите этот параметр политики, то система будет требовать использовать надежный ключ шифрования для всего исходящего трафика безопасного канала. Если вы отключите этот параметр политики, то перед передачей данных потребуется согласовать надежность ключа. Этот параметр политики следует включать, только если контроллеры домена во всех доверенных доменах поддерживают надежные ключи. По умолчанию этот параметр политики отключен.

Возможные последствия

Устройства, не поддерживающие этот параметр политики, не могут присоединяться к доменам, в которых на контроллерах включен этот параметр политики.

Связанные разделы

Параметры безопасности

 

 

Показ: