Share via

域成员: 对安全通道数据进行数字加密或签名(始终)

  • 项目

介绍了有关“域成员: 对安全通道数据进行数字加密或签名(始终)”安全策略设置的最佳做法、位置、值和安全注意事项。

参考

此设置确定域成员启动的所有安全通道流量是否满足最低安全要求。具体来说,它确定域成员启动的所有安全通道流量是否必须进行签名或加密。通过安全通道传输的登录信息始终进行加密,无论是否协商所有其他安全通道流量的加密。

以下策略设置确定是否可以与不支持对安全通道流量进行签名或加密的域控制器建立安全通道。

通过将“域成员: 对安全通道数据进行数字加密或签名(始终)”****设置为“启用”,可防止与任何无法为所有安全通道数据签名或加密的域控制器建立安全通道。

为了保护身份验证通信免受中间人、重播和其他类型的网络攻击的危害,基于 Windows 的计算机创建了通过 NetLogon 的通信通道,称为安全通道。这些通道会对计算机帐户进行身份验证。当远程用户连接到网络资源,并且用户帐户存在于受信任的域中时,它们也对用户帐户进行身份验证。这称为传递身份验证,并且它允许已加入域的运行 Windows 的设备具有对其域中和任何受信任的域中的用户帐户数据库的访问权限。

若要在成员工作站或服务器上启用“域成员: 对安全通道数据进行数字加密或签名(始终)”****策略设置,该成员所属的域中的所有域控制器都必须支持对所有安全通道数据进行签名或加密。

启用“域成员: 对安全通道数据进行数字加密或签名(始终)”策略设置将自动启用“域成员: 对安全通道数据进行数字签名(如果可能)”策略设置。

当设备加入域时,将创建计算机帐户。加入域后,每次重新启动设备时,它都会通过该帐户的密码针对其所在的域使用域控制器来创建安全通道。此安全通道用于执行诸如 NTLM 传递身份验证和 LSA SID/名称查找等操作。将对在安全通道上发送的请求进行身份验证(以及对密码等敏感信息进行加密),但不会检查通道的完整性,并且不会加密所有信息。如果系统设置为始终对安全通道数据进行加密或签名,则无法建立与不支持对所有安全通道流量进行签名或加密的域控制器的安全通道。如果计算机配置对安全通道数据进行加密或签名(如果可能),则可以建立安全通道,但将协商加密和签名的级别。

可能值

最佳做法

注意  

你可以在域中支持这些策略设置的所有设备上启用策略设置“域成员: 对安全通道数据进行数字加密(如果可能)”“域成员: 对安全通道数据进行数字签名(如果可能)”,而不会影响较早版本的客户端和应用程序。

 

位置

计算机配置\Windows 设置\安全设置\本地策略\安全选项

默认值

下表列出此策略的实际和有效默认值。策略的属性页中还列出了默认值。

服务器类型或 GPO 默认值

默认域策略

未定义

默认域控制器策略

启用

独立服务器默认设置

启用

DC 有效默认设置

启用

成员服务器有效默认设置

启用

客户端计算机有效默认设置

已启用

 

策略管理

本部分介绍可用于帮助管理此策略的功能和工具。

重启要求

无。当以本地方式保存或通过组策略分配对本策略的更改时,无需重新启动设备即可使这些更改生效。

组策略

通过组策略分发此策略会覆盖本地安全策略设置。

安全注意事项

本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。

漏洞

当设备加入域时,将创建计算机帐户。加入域后,每次重新启动设备时,它都会通过该帐户的密码针对其所在的域使用域控制器来创建安全通道。将对在安全通道上发送的请求进行身份验证(以及对诸如密码等敏感信息进行加密),但不会对通道进行完整性检查,并且不会加密所有信息。如果设备配置为始终对安全通道数据进行加密或签名,但域控制器无法对安全通道数据的任何部分进行签名或加密,则计算机和域控制器无法建立安全通道。如果设备配置为对安全通道数据进行加密或签名(如果可能),则可以建立安全通道,但将协商加密和签名的级别。

对策

根据你的环境选择以下设置之一,以将你的域中的计算机配置为对安全通道数据进行加密或签名。

潜在影响

对安全通道进行数字加密和签名是一个不错的选择,因为安全通道会在域凭据发送到域控制器时保护域凭据。

相关主题

安全选项