اطمینان از تنظیم Domain member: Require strong (Windows 2000 or later) session key روی Enabled (Scored)
Profile Applicability
- Level 1 – Domain Controller
- Level 1 – Member Server
Description
وقتی که این policy setting فعال شود، فقط زمانی یک secure channel با دامین کنترلر برقرار میشود که آن DC توانایی رمزگذاری دیتاهای secure channel را با یک session key قدرتمند (128-bit) داشته باشد.
برای فعال کردن این policy setting، کلیه Domain Controller ها در دامین مورد نظر باید بتوانند دادههای secure channel را با یک کلید قوی رمزگذاری کنند، این بدان معنی است که همه Domain Controller ها باید Microsoft Windows 2000 یا جدیدتر را اجرا کنند.
حالت پیشنهادی برای این setting: Enabled است.
Rationale
Session key هایی که برای برقراری ارتباطات secure channel بین Domain Controllers و رایانههای عضو استفاده میشوند در ویندوز 2000 بسیار قویتر از سیستمعاملهای قبلی مایکروسافت هستند. هر زمان ممکن باشد، باید از session key های قویتر استفاده کنید تا از ارتباطات secure channel در برابر حملات hijack network sessions و استراق سمع محافظت کنید. (استراق سمع نوعی هک کردن است که در آن دادههای شبکه در هنگام عبور خوانده میشوند یا تغییر مییابند. دادهها میتوانند پنهان، اصلاح یا فرستنده آنها تغییر داده شوند یا redirected شوند.)
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است. این group policy setting توسط مکان registry زیر پشتیبانی میشود:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters:RequireStrongKey
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی Enabled قرار دهید:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Domain member: Require strong (Windows 2000 or later) session key
Impact
هیچ –این یک رفتار پیشفرض است. با این حال، رایانهها قادر به پیوستن به دامینهای Windows NT 4.0 نخواهند بود و trust بین دامنههای اکتیو دایرکتوری و دامینهای به سبک ویندوز NT ممکن است به درستی کار نکند. همچنین، Domain Controllers با این تنظیمات پیکربندی شده اجازه نخواهند داد که کلاینتهای قدیمیتر ویندوز 2000 (که از این policy setting پشتیبانی نمیکنند) به دامین بپیوندند.
Default Value
Enabled. (secure channel ایجاد نخواهد شد مگر اینکه رمزگذاری 128 بیتی انجام شود.)
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط آقای نوربخش تهیه شده است.