域成员: 对安全通道数据进行数字签名(如果可能)
介绍了有关“域成员: 对安全通道数据进行数字签名(如果可能)”安全策略设置的最佳做法、位置、值和安全注意事项。
参考
此设置确定域成员启动的所有安全通道流量是否满足最低安全要求。具体来说,它确定域成员启动的所有安全通道流量是否必须进行签名。通过安全通道传输的登录信息始终进行加密,无论是否协商所有其他安全通道流量的加密。
以下策略设置确定是否可以与不支持对安全通道流量进行签名或加密的域控制器建立安全通道。
域成员:对安全通道数据进行数字签名(如果可能)
通过将“域成员: 对安全通道数据进行数字加密或签名(始终)”设置为“已启用”****,可防止与任何无法为所有安全通道数据进行签名或加密的域控制器建立安全通道。
为了保护身份验证通信免受中间人、重播和其他类型的网络攻击的危害,基于 Windows 的计算机创建了通过 NetLogon 的通信通道,称为安全通道。这些通道对计算机帐户进行身份验证。当远程用户连接到网络资源,并且用户帐户存在于受信任的域中时,它们还对用户帐户进行身份验证。这称为传递身份验证,并且它允许已加入域的运行 Windows 操作系统的计算机具有对其域中和任何受信任的域中的用户帐户数据库的访问权限。
启用“域成员: 对安全通道数据进行数字加密或签名(始终)”策略设置将自动启用“域成员: 对安全通道数据进行数字签名(如果可能)”策略设置。
当设备加入域时,将创建计算机帐户。加入域后,每次重新启动设备时,它都会通过该帐户的密码针对其所在的域使用域控制器来创建安全通道。此安全通道用于执行诸如 NTLM 传递身份验证和 LSA SID/名称查找等操作。将对在安全通道上发送的请求进行身份验证(以及对密码等敏感信息进行加密),但不会检查通道的完整性,并且不会加密所有信息。如果系统设置为始终对安全通道数据进行加密或签名,则无法建立与不支持对所有安全通道流量进行签名或加密的域控制器的安全通道。如果计算机配置对安全通道数据进行加密或签名(如果可能),则可以建立安全通道,但将协商加密和签名的级别。
可能值
启用
域成员将请求对所有安全通道流量进行签名。如果域控制器支持对所有安全通道流量进行签名,则将对所有安全通道流量进行签名,以确保其在传输时不被篡改。
已禁用
将不会协商签名,除非启用策略“域成员: 对安全通道数据进行数字加密或签名(始终)”。
未定义
最佳做法
将“域成员: 对安全通道数据进行数字加密或签名(始终)”设置为“已启用”****。
将“域成员: 对安全通道数据进行数字加密(如果可能)”设置为“已启用”。
将“域成员: 对安全通道数据进行数字签名(如果可能)”****设置为“已启用”。
注意
你可以在加入到域的支持这些策略设置的所有设备上启用另外两个策略设置,即“域成员: 对安全通道数据进行数字加密(如果可能)”和“域成员: 对安全通道数据进行数字签名(如果可能)”,而不会影响较早版本的客户端和应用程序。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出此策略的实际和有效默认值。策略的属性页中还列出了默认值。
| 服务器类型或 GPO | 默认值 |
|---|---|
默认域策略 |
未定义 |
默认域控制器策略 |
启用 |
独立服务器默认设置 |
启用 |
DC 有效默认设置 |
启用 |
成员服务器有效默认设置 |
启用 |
客户端计算机有效默认设置 |
已启用 |
策略管理
本部分介绍可用于帮助管理此策略的功能和工具。
重启要求
无。当以本地方式保存或通过组策略分配对本策略的更改时,无需重新启动设备即可使这些更改生效。
组策略
通过组策略分配此策略不会覆盖本地安全策略设置。
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
漏洞
当设备加入域时,将创建计算机帐户。加入域后,每次重新启动设备时,它都会通过该帐户的密码针对其所在的域使用域控制器来创建安全通道。将对在安全通道上发送的请求进行身份验证(以及对诸如密码等敏感信息进行加密),但不会对通道进行完整性检查,并且不会加密所有信息。如果设备配置为始终对安全通道数据进行加密或签名,但域控制器无法对安全通道数据的任何部分进行签名或加密,则计算机和域控制器无法建立安全通道。如果计算机配置为对安全通道数据进行加密或签名(如果可能),则可以建立安全通道,但将协商加密和签名的级别。
对策
由于这些策略紧密相关并且其作用取决于你的环境,请根据情况选择以下设置之一,以将你的域中的设备配置为对安全通道数据进行加密或签名(如果可能)。
域成员:对安全通道数据进行数字签名(如果可能)
潜在影响
对安全通道进行数字签名是一个不错的选择,因为安全通道会在域凭据发送到域控制器时保护域凭据。