Містить опис рекомендацій, розташування, значний і питань безпеки для параметра політики безпеки Мережева безпека: дозволити LocalSystem повернення до нульових сеансів.
Можливі значення
При підключенні служби, що працює під обліковим записом локальної системи, з використанням нульового сеансу автоматично створюється ключ сеансу, який не забезпечує захист, але дозволяє додаткам підписувати і шифрувати дані без помилок. Це підвищує сумісність додатків, але знижує рівень безпеки.
При підключенні служби, що працює під обліковим записом локальної системи, з використанням нульового сеансу сеансовое безпеку недоступна. Виклики, що вимагають шифрування або підписування, будуть відхилені. Цей параметр безпечніше, але ризик несумісності додатків при ньому вище. Для викликів, що використовують посвідчення пристрої замість нульового сеансу, безпеку сеансу повністю доступна.
рекомендації
При підключенні служб з використанням посвідчення пристрою забезпечується захист даних за допомогою підписування і шифрування. При підключенні служб з використанням нульового сеансу такий рівень захисту даних не надається. Однак для визначення підтримуваних версій операційної системи Windows вам буде потрібно провести оцінку вашої середовища. Якщо ця політика включена, деякі служби можуть не пройти перевірку справжності.
Розташування
Конфігурація комп'ютера \ Параметри Windows \ Параметри безпеки \ Локальні політики \ Параметри безпеки
Значення за замовчуванням
Тип сервера або об'єкт групової політики
міркування безпеки
У цьому розділі описується, яким чином зловмисник може скористатися компонентом або його конфігурацією, як застосувати заходи протидії і які можливі негативні наслідки реалізації цих заходів.
уразливість
Якщо цей параметр увімкнуто, при підключенні служби за допомогою нульового сеансу автоматично створюється ключ сеансу, який не забезпечує захист, але дозволяє додаткам підписувати і шифрувати дані без помилок. Дані, які повинні бути захищені, можуть бути розкриті.
заходи протидії
Комп'ютер можна налаштувати для використання посвідчення комп'ютера для локального облікового запису за допомогою політики Мережева безпека: дозволити облікового запису локальної системи використовувати посвідчення комп'ютера для NTLM. Якщо це неможливо, політику можна використовувати для захисту даних, зашифрованих за допомогою відомого ключа, в ході передачі.
Можливі наслідки
При включенні цієї політики служби, що використовують нульову сесію з локальної системної обліковим записом можуть не пройти перевірку справжності, так як їм буде заборонено використання підписування і шифрування.