网络安全: 基于 NTLM SSP 的(包括安全 RPC)服务器的最小会话安全
介绍了有关“网络安全: 基于 NTLM SSP 的(包括安全 RPC)服务器的最小会话安全”安全策略设置的最佳做法、位置、值、策略管理和安全注意事项。
参考
此策略设置允许客户端设备要求协商 128 位加密或 NTLMv2 会话安全。这些值依赖于“网络安全: LAN 管理器身份验证级别”策略设置值。
设置此策略设置的所有这些值有助于防止使用 NTLM 安全支持提供程序 (NTLM SSP) 的网络通信被访问相同网络的恶意用户公开或篡改。即,这些设置有助于防御中间人攻击。
可能值
要求 128 位加密。如果未协商强加密(128 位),则连接失败。
要求 NTLMv2 会话安全。如果未协商 NTLMv2 协议,则连接失败。
未定义。
最佳做法
- 启用适用于此安全策略的所有值。不支持这些策略设置的传统客户端设备无法与服务器通信。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出此策略的实际和有效默认值。策略的属性页中还列出了默认值。
| 服务器类型或 GPO | 默认值 |
|---|---|
默认域策略 |
未定义 |
默认域控制器策略 |
未定义 |
独立服务器默认设置 |
要求 128 位加密 |
DC 有效默认设置 |
要求 128 位加密 |
成员服务器有效默认设置 |
要求 128 位加密 |
客户端计算机有效默认设置 |
要求 128 位加密 |
策略管理
本部分介绍可用于帮助管理此策略的功能和工具。
重启要求
无。当以本地方式保存或通过组策略分配对本策略的更改时,无需重新启动设备即可使这些更改生效。
策略依赖关系
此安全策略的设置依赖于“网络安全: LAN 管理器身份验证级别”设置值。
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
漏洞
使用 NTLM 安全支持提供程序 (NTLM SSP) 的网络通信可以公开,这样能够访问网络的攻击者将可以创建中间人攻击。
对策
启用可用于“网络安全: 基于 NTLM SSP 的(包括安全 RPC)服务器的最低会话安全”****策略设置的所有选项。
潜在影响
不支持这些安全设置的旧版客户端设备无法与设置此策略的计算机通信。