Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала

Область применения

  • Windows 10

Описывает рекомендации, расположение, значения и рекомендации по безопасности для параметра политики безопасности члена домена: цифровое шифрование или подпись данных безопасного канала (всегда).

Справочные материалы

Этот параметр определяет, соответствует ли весь трафик безопасного канала, инициированный членом домена, минимальным требованиям безопасности. В частности, он определяет, должен ли быть подписан или зашифрован весь трафик безопасного канала, инициированный членом домена. Данные для входа, передаваемые по защищенному каналу, всегда шифруются независимо от того, согласовано ли шифрование всего трафика безопасного канала.

Следующие параметры политики определяют, можно ли установить безопасный канал с помощью контроллера домена, который не может подписывать или шифровать трафик безопасного канала:

Задание член домена: цифровое шифрование или подпись данных безопасного канала (всегда) в значение Включено предотвращает создание безопасного канала с любым контроллером домена, который не может подписывать или шифровать все данные безопасного канала.

Чтобы защитить трафик проверки подлинности от атак типа "злоумышленник в середине", воспроизведения и других типов сетевых атак, компьютеры под управлением Windows создают канал связи через NetLogon, который называется защищенными каналами. Эти каналы проверяют подлинность учетных записей компьютеров. Они также проверяют подлинность учетных записей пользователей, когда удаленный пользователь подключается к сетевому ресурсу и учетная запись пользователя существует в доверенном домене. Эта проверка подлинности называется сквозной проверкой подлинности и позволяет устройству под управлением Windows, присоединенное к домену, иметь доступ к базе данных учетных записей пользователей в своем домене и в любых доверенных доменах.

Чтобы включить параметр политики член домена: цифровое шифрование или подпись данных безопасного канала (всегда) на рядовой рабочей станции или сервере, все контроллеры домена в домене, к которому принадлежит член, должны иметь возможность подписывать или шифровать все данные безопасного канала.

Включение параметра политики член домена: цифровое шифрование или подпись данных безопасного канала (всегда) автоматически включает параметр политики Член домена: цифровая подпись данных безопасного канала (если это возможно).

Когда устройство присоединяется к домену, создается учетная запись компьютера. После подключения к домену устройство использует пароль для этой учетной записи, чтобы создать безопасный канал с контроллером домена для своего домена при каждом перезапуске. Этот безопасный канал используется для выполнения таких операций, как сквозная проверка подлинности NTLM и поиск идентификатора безопасности или имени LSA. Запросы, отправляемые по безопасному каналу, проходят проверку подлинности, а конфиденциальные сведения, такие как пароли, шифруются, но целостность канала не проверяется, и не вся информация шифруется. Если в системе настроено постоянное шифрование или подпись данных безопасного канала, безопасный канал не может быть установлен с контроллером домена, который не может подписывать или шифровать весь трафик безопасного канала. Если компьютер настроен для шифрования или подписывания данных безопасного канала по возможности, можно установить безопасный канал, но уровень шифрования и подписывания согласовывается.

Возможные значения

Примечание: Вы можете включить параметры политики Член домена: цифровое шифрование данных безопасного канала (по возможности) и член домена: цифровая подпись данных безопасного канала (по возможности) на всех устройствах в домене, поддерживающих эти параметры политики, не затрагивая клиентов и приложений более ранних версий.

Location

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности

Значения по умолчанию

В следующей таблице перечислены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.

Тип сервера или объект групповой политики Значение по умолчанию
Default Domain Policy Не определено
Политика контроллера домена по умолчанию Enabled
Параметры по умолчанию для автономного сервера Enabled
Действующие параметры по умолчанию контроллера домена Enabled
Действующие параметры по умолчанию для рядового сервера Enabled
Действующие параметры по умолчанию для клиентского компьютера Enabled

Управление политикой

В этом разделе описываются функции и средства, которые помогут вам управлять этой политикой.

Необходимость перезапуска

Нет. Изменения этой политики вступает в силу без перезапуска устройства, когда они сохраняются локально или распространяются через групповая политика.

Групповая политика

Распределение этой политики через групповая политика переопределяет параметр локальной политики безопасности.

Вопросы безопасности

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.

Уязвимость

Когда устройство присоединяется к домену, создается учетная запись компьютера. После присоединения устройства к домену оно использует пароль для этой учетной записи, чтобы создать безопасный канал с контроллером домена для своего домена при каждом перезапуске. Запросы, отправляемые по защищенному каналу, проходят проверку подлинности, а конфиденциальная информация, например пароли, шифруются, но канал не проверяется на целостность, и не вся информация шифруется. Если устройство настроено для постоянного шифрования или подписывания данных безопасного канала, но контроллер домена не может подписать или зашифровать какую-либо часть данных безопасного канала, компьютер и контроллер домена не могут установить безопасный канал. Если устройство настроено для шифрования или подписывания данных безопасного канала, по возможности можно установить безопасный канал, но уровень шифрования и подписывания согласовывается.

Противодействие

Выберите один из следующих параметров, чтобы среда настраивала компьютеры в домене для шифрования или подписывания данных безопасного канала.

Возможное влияние

Цифровое шифрование и подписывание безопасного канала — хорошая идея, так как защищенный канал защищает учетные данные домена при их отправке на контроллер домена.

Связанные статьи