اطمینان از تنظیم Domain member: Digitally encrypt or sign secure channel data (always) روی Enabled (Scored)
Profile Applicability
• Level 1 – Domain Controller
• Level 1 – Member Server
Description
این policy setting تعیین میکند که آیا کلیه ترافیک secure channel که توسط domain member آغاز شده است باید امضا شده یا رمزگذاری شود.
حالت پیشنهادی برای این setting: Enabled است.
Rationale
هنگامی که یک کامپیوتر به یک دامین join میشود، یک Computer Account ایجاد میشود. پس از پیوستن به دامین، رایانه از رمز عبور آن اکانت استفاده میکند تا هر بار که restart شود، یک secure channel با Domain Controller برای دامین خود ایجاد کند. درخواستهایی که در secure channel ارسال شدهاند احراز هویت شده – و اطلاعات حساس مانند رمزهای عبور، رمزگذاری میشوند – اما این کانال با یکپارچگی (integrity) بررسی نشده است و تمام اطلاعات رمزگذاری نمیشوند.
رمزگذاری دیجیتالی و امضای secure channel ایده خوبی است که در آن پشتیبانی میشود. secure channel هنگام ارسال به Domain Controller از domain credential محافظت میکند.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است. این group policy setting توسط مکان registry زیر پشتیبانی میشود:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters:RequireSignOrSeal
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی Enabled قرار دهید:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Domain member: Digitally encrypt or sign secure channel data (always)
Impact
هیچ –این یک رفتار پیشفرض است.
با این وجود، فقط ویندوز NT 4.0 با سرویس پک a6 (SP6a)و نسخههای بعدی سیستم عامل ویندوز از رمزگذاری دیجیتالی و امضای secure channel پشتیبانی میکنند. کلاینتهای ویندوز 98 ادیشن دوم این موضوع را ساپورت نمیکنند تا زمانی که Dsclient روی آنها نصب شود. بنابراین، شما نمیتوانید Domain member را فعال کنید: تنظیمات Digitally encrypt و sign secure channel data (always) را در Domain Controller هایی که از کلاینتهای ویندوز 98 به عنوان اعضای دامین ساپورت میکنند فعال کنید. تأثیرات احتمالی میتواند موارد زیر را شامل شود:
• امکان ایجاد یا حذف trust relationship با کلاینتهایی که نسخههای Windows قبل از Windows NT 4.0 با SP6a اجرا میکنند غیرفعال خواهد شد.
• ورود به سیستم از کلاینتهایی که نسخههای Windows قدیمی تر از Windows NT 4.0 با SP6a اجرا میکنند غیرفعال میشوند.
• امکان تأیید اعتبار کاربران سایر دامینها از یک Domain Controller ای در حال اجرا نسخه ای از ویندوز که قدیمیتر از ویندوز NT 4.0 با SP6a در یک trusted domain میباشد، غیرفعال خواهد شد.
شما میتوانید این policy setting را پس از حذف کلیه کلاینتهای Windows 9x از دامین مورد نظر فعال کنید و کلیه سرورهای Windows NT 4.0 و Domain Controllers را از دامینهایی که به شما trust یا شما به آنها trust دارید به ویندوز NT 4.0 با SP6a آپگرید کنید.
Default Value
Enabled. (تمامی دیتاهای secure channel باید امضا یا رمزگذاری شوند.)
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط آقای نوربخش تهیه شده است.
