اطمینان از تنظیم Domain member: Digitally encrypt secure channel data (when possible) روی Enabled (Scored)
Profile Applicability
• Level 1 – Domain Controller
• Level 1 – Member Server
Description
این policy setting تعیین میکند که آیا یک عضو دامین باید برای مذاکره، رمزگذاری برای همه ترافیک secure channel که آغاز میکند، تلاش کند یا خیر.
حالت پیشنهادی برای این setting: Enabled است.
Rationale
هنگامی که یک کامپیوتر به یک دامین join میشود، یک Computer Account ایجاد میشود. پس از پیوستن به دامین، رایانه از رمز عبور آن حساب استفاده میکند تا هر بار که restart شود، یک secure channel با Domain Controller برای دامین خود ایجاد کند. درخواستهایی که در secure channel ارسال شدهاند احراز هویت شده – و اطلاعات حساس مانند رمزهای عبور، رمزگذاری میشوند – اما این کانال با یکپارچگی (integrity) بررسی نشده است و تمام اطلاعات رمزگذاری نمیشوند.
رمزگذاری دیجیتالی و امضای secure channel ایده خوبی است که در آن پشتیبانی میشود. secure channel هنگام ارسال به Domain Controller از domain credential محافظت میکند.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است. این group policy setting توسط مکان registry زیر پشتیبانی میشود:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters:SealSecureChannel
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی Enabled قرار دهید:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Domain member: Digitally encrypt secure channel data (when possible)
Impact
هیچ –این یک رفتار پیشفرض است. با این وجود، فقط ویندوز NT 4.0 با سرویس پک a6 (SP6a)و نسخههای بعدی سیستم عامل ویندوز از رمزگذاری دیجیتالی و امضای secure channel پشتیبانی میکنند. کلاینتهای ویندوز 98 ادیشن دوم این موضوع را ساپورت نمیکنند تا زمانی که Dsclient روی آنها نصب شود.
Default Value
Enabled. (عضو دامین، رمزگذاری همه ترافیک secure channel را درخواست میکند.)
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط آقای نوربخش تهیه شده است.