域成员: 对安全通道数据进行数字签名(如果可能)
04/19/2017
本文内容
适用范围
Windows 10
介绍域成员的最佳方案、位置、值和安全注意事项:对安全通道数据进行数字签名 ** (使用 **) 安全策略设置。
参考
此设置确定由域成员启动的所有安全通道流量是否满足最低安全要求。 具体来说,它确定是否必须签署由域成员启动的所有安全通道流量。 通过安全通道传输的登录信息始终加密,而不管是否协商了所有其他安全通道通信的加密。
以下策略设置确定是否可以使用无法对安全通道流量进行签名或加密的域控制器建立安全通道:
设置 域成员: 对安全通道数据进行数字签名 (始终) 启用 "阻止使用无法签署或加密所有安全通道数据的任何域控制器建立安全通道。
为了保护身份验证流量免受中间人、重播和其他类型的网络攻击的攻击,基于 Windows 的计算机通过称为安全通道的 NetLogon 创建通信通道。 这些通道对计算机帐户进行身份验证。 当远程用户连接到网络资源并且用户帐户存在于受信任的域中时,他们还会对用户帐户进行身份验证。 这称为传递身份验证,它允许运行已加入域的 Windows 操作系统的计算机能够访问其域和任何受信任域中的用户帐户数据库。
启用域成员:对安全通道数据进行数字签名 (始终) 策略设置将自动启用域成员:如果可能 (安全通道数据进行数字签名 **) 策略设置 ** 。
当设备加入域时,将创建计算机帐户。 加入域后,设备会使用该帐户的密码创建一个安全通道,每次重启时,设备都会使用域控制器为域创建安全通道。 此安全通道用于执行诸如 NTLM 通过身份验证和 LSA SID/名称查找等操作。 在安全通道上发送的请求已经过身份验证,敏感信息(如密码)会进行加密,但是不会检查通道的完整性,并且并非所有信息都加密。 如果系统设置为始终加密或签署安全通道数据,则不能使用无法签署或加密所有安全通道流量的域控制器建立安全通道。 如果计算机配置为在可能的情况下对安全通道数据进行加密或签名,可以建立安全通道,但加密和签名级别是经过协商的。
可能值
启用
域成员将请求所有安全通道流量的签名。 如果域控制器支持对所有安全通道流量进行签名,则所有安全通道流量都会进行签名,以确保在传输过程中不能篡改它。
未定义
最佳做法
设置 域成员:对安全通道数据 进行数字签名或 (始终) 设置为 已启用。
设置 域成员: 尽可能对安全通道数据进行 (加密) 设置为 已启用。
设置 **域成员: ** 尽可能对安全通道 (进行数字签名) 设置为 已启用。
注意: 可以在加入支持这些策略设置的所有设备上启用其他两个策略设置:Domain member: Domain member: Digitally encrypt secure channel data (( 如果可能) )和 **Domain member: Digitally **sign secure channel data ((如果可能) ):在支持这些策略设置的所有设备上进行数字签名,而不会影响早期版本的客户端和应用程序。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出了此策略的实际和有效默认值。 默认值也会列在策略的属性页上。
服务器类型或 GPO
默认值
默认域策略
未定义
默认域控制器策略
启用
Stand-Alone服务器默认设置
启用
DC 有效默认设置
启用
成员服务器有效默认设置
启用
客户端计算机有效默认设置
启用
策略管理
本节介绍可帮助您管理此策略的功能和工具。
重启要求
无。 在本地保存或通过组策略分发更改时,无需重新启动设备,此策略更改将生效。
组策略
通过组策略分发此策略不会覆盖本地安全策略设置。
安全注意事项
本部分介绍攻击者如何利用一项功能或其配置,如何实施对策,以及对策实施可能产生的负面后果。
漏洞
当设备加入域时,将创建计算机帐户。 加入域后,设备会使用该帐户的密码创建一个安全通道,每次重新启动时,设备都会使用域控制器为域创建安全通道。 对在安全通道上发送的请求进行身份验证,并且加密敏感信息(如密码)但通道未经过完整性检查,并且并非所有信息都经过加密。 如果设备配置为始终对安全通道数据进行加密或签名,但域控制器无法对安全通道数据的任何部分进行签名或加密,则计算机和域控制器将无法建立安全通道。 如果计算机配置为在可能的情况下对安全通道数据进行加密或签名,可以建立安全通道,但加密和签名级别是经过协商的。
对策
由于这些策略密切相关,并且根据你的环境非常有用,因此请根据需要选择以下设置之一,将域中的设备配置为在可能的情况下对安全通道数据进行加密或签名。
潜在影响
安全通道的数字签名是一个好主意,因为安全通道在将域凭据发送到域控制器时将保护这些凭据。
相关主题