Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich)

Betrifft:

  • Windows 11
  • Windows 10

Beschreibt die bewährten Methoden, Standorte, Werte und Sicherheitsüberlegungen für die Sicherheitsrichtlinieneinstellung Domänenmitglied: Digitales Signieren sicherer Kanaldaten (sofern möglich).

Verweis

Diese Einstellung bestimmt, ob der gesamte vom Domänenmitglied initiierte sichere Kanaldatenverkehr die Mindestsicherheitsanforderungen erfüllt. Insbesondere wird bestimmt, ob der gesamte vom Domänenmitglied initiierte datenverkehr über sichere Kanäle signiert werden muss. Anmeldeinformationen, die über den sicheren Kanal übertragen werden, werden immer verschlüsselt, unabhängig davon, ob die Verschlüsselung des gesamten anderen datenverkehrssicheren Kanals ausgehandelt wird.

Die folgenden Richtlinieneinstellungen bestimmen, ob ein sicherer Kanal mit einem Domänencontroller eingerichtet werden kann, der keinen sicheren Kanaldatenverkehr signieren oder verschlüsseln kann:

Festlegen des Domänenmitglieds: Digitales Verschlüsseln oder Signieren sicherer Kanaldaten (immer) auf Aktiviert verhindert das Einrichten eines sicheren Kanals mit einem Domänencontroller, der nicht alle Daten des sicheren Kanals signieren oder verschlüsseln kann.

Um den Authentifizierungsdatenverkehr vor Man-in-the-Middle-, Replay- und anderen Arten von Netzwerkangriffen zu schützen, erstellen Windows-basierte Computer über NetLogon einen Kommunikationskanal, der als sichere Kanäle bezeichnet wird. Diese Kanäle authentifizieren Computerkonten. Außerdem authentifizieren sie Benutzerkonten, wenn ein Remotebenutzer eine Verbindung mit einer Netzwerkressource herstellt und das Benutzerkonto in einer vertrauenswürdigen Domäne vorhanden ist. Diese Authentifizierung wird als Passthrough-Authentifizierung bezeichnet und ermöglicht einem Computer mit dem Windows-Betriebssystem, der einer Domäne beigetreten ist, Zugriff auf die Benutzerkontodatenbank in seiner Domäne und in allen vertrauenswürdigen Domänen.

Aktivieren des Domänenmitglieds: Digitales Verschlüsseln oder Signieren von Sicheren Kanaldaten (immer) aktiviert automatisch die Richtlinieneinstellung Domänenmitglied: Digitales Signieren sicherer Kanaldaten (sofern möglich). Wenn ein Gerät einer Domäne beitritt, wird ein Computerkonto erstellt. Nachdem das Gerät mit der Domäne verknüpft wurde, verwendet es das Kennwort für dieses Konto, um bei jedem Neustart einen sicheren Kanal mit dem Domänencontroller für seine Domäne zu erstellen. Dieser sichere Kanal wird verwendet, um Vorgänge wie ntlm pass through authentication und LSA SID/name lookup auszuführen. Anforderungen, die über den sicheren Kanal gesendet werden, werden authentifiziert , und vertrauliche Informationen wie Kennwörter werden verschlüsselt, aber die Integrität des Kanals wird nicht überprüft, und nicht alle Informationen werden verschlüsselt. Wenn ein System so festgelegt ist, dass daten immer sicheren Kanal verschlüsselt oder signiert werden, kann kein sicherer Kanal mit einem Domänencontroller eingerichtet werden, der nicht in der Lage ist, den gesamten datenverkehr sicheren Kanal zu signieren oder zu verschlüsseln. Wenn der Computer so konfiguriert ist, dass nach Möglichkeit sichere Kanaldaten verschlüsselt oder signiert werden, kann ein sicherer Kanal eingerichtet werden, aber die Verschlüsselungs- und Signaturebene wird ausgehandelt.

Zulässige Werte

  • Aktiviert

    Das Domänenmitglied fordert das Signieren des gesamten datenverkehrssicheren Kanals an. Wenn der Domänencontroller das Signieren des gesamten datenverkehrssicheren Kanals unterstützt, wird der gesamte datenverkehrssichere Kanal signiert, wodurch sichergestellt wird, dass er während der Übertragung nicht manipuliert werden kann.

  • Deaktiviert

    Die Signatur wird nur ausgehandelt, wenn die Richtlinie Domänenmitglied: Digitales Verschlüsseln oder Signieren sicherer Kanaldaten (immer) aktiviert ist.

  • Nicht definiert

Bewährte Methoden

Pfad

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen

Standardwerte

In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgeführt.

Servertyp oder GPO Standardwert
Standarddomänenrichtlinie Nicht definiert
Standarddomänencontroller-Richtlinie Aktiviert
Standardeinstellungen für eigenständige Server Aktiviert
Dc Effektive Standardeinstellungen Aktiviert
Effektive Standardeinstellungen für Mitgliedsserver Aktiviert
Effektive Standardeinstellungen für Clientcomputer Aktiviert

Richtlinienverwaltung

In diesem Abschnitt werden Features und Tools beschrieben, die Ihnen bei der Verwaltung dieser Richtlinie zur Verfügung stehen.

Neustartanforderungen

Keine. Änderungen an dieser Richtlinie werden ohne Einen Geräteneustart wirksam, wenn sie lokal gespeichert oder über Gruppenrichtlinie verteilt werden.

Gruppenrichtlinie

Die Verteilung dieser Richtlinie über Gruppenrichtlinie setzt die Einstellung für lokale Sicherheitsrichtlinien nicht außer Kraft.

Überlegungen zur Sicherheit

In diesem Abschnitt wird beschrieben, wie ein Angreifer eine Funktion oder deren Konfiguration ausnutzen könnte, wie die geeigneten Schutzmaßnahmen implementiert werden und welche negativen Auswirkungen die Implementierung geeigneter Schutzmaßnahmen haben kann.

Sicherheitsrisiko

Wenn ein Gerät einer Domäne beitritt, wird ein Computerkonto erstellt. Nachdem es der Domäne beigetreten ist, verwendet das Gerät das Kennwort für dieses Konto, um bei jedem Neustart einen sicheren Kanal mit dem Domänencontroller für seine Domäne zu erstellen. Anforderungen, die über den sicheren Kanal gesendet werden, werden authentifiziert , und vertrauliche Informationen wie Kennwörter werden verschlüsselt, aber der Kanal ist nicht auf integritätsgeprüft, und nicht alle Informationen sind verschlüsselt. Wenn ein Gerät so konfiguriert ist, dass Daten im sicheren Kanal immer verschlüsselt oder signiert werden, der Domänencontroller aber keinen Teil der Daten des sicheren Kanals signieren oder verschlüsseln kann, können der Computer und der Domänencontroller keinen sicheren Kanal einrichten. Wenn der Computer so konfiguriert ist, dass nach Möglichkeit sichere Kanaldaten verschlüsselt oder signiert werden, kann ein sicherer Kanal eingerichtet werden, aber die Verschlüsselungs- und Signaturebene wird ausgehandelt.

Gegenmaßnahme

Da diese Richtlinien abhängig von Ihrer Umgebung eng miteinander verknüpft und nützlich sind, wählen Sie eine der folgenden Einstellungen aus, um die Geräte in Ihrer Domäne so zu konfigurieren, dass sichere Kanaldaten nach Möglichkeit verschlüsselt oder signiert werden.

Mögliche Auswirkung

Die digitale Signatur des sicheren Kanals ist eine gute Idee, da der sichere Kanal Domänenanmeldeinformationen schützt, wenn sie an den Domänencontroller gesendet werden.