Domänencontroller: Sichere Verbindungen mit verwundbaren Kanäle über den Anmeldedienst (Netlogon) zulassen

Diese Sicherheitseinstellung legt fest, ob der Domänencontroller den sicheren RPC -Port für den Anmeldedienst zu sicheren Kanälen für bestimmte Computerkonten umgeht.

Diese Richtlinie sollte auf alle Domänencontroller in einer Gesamtstruktur angewendet werden, indem die Richtlinie auf den Domänencontrollern OU aktiviert wird.

Wenn die Liste "Anfällige Verbindungen erstellen" (Liste der Berechtigungen) konfiguriert ist:

  • Wenn die Genehmigung erteilt ist, erlaubt der Domänencontroller Konten die Verwendung eines Anmeldedienstes für sichere Kanäle ohne einen sicheren RPC-Port.
  • Wenn die Genehmigung abgelehnt wird, erfordert der Domänencontroller, dass Konten einen Anmeldedienst für sichere Kanäle mit einem sicheren RPC-Port verwenden, der dem Standard entspricht (nicht erforderlich).

Achtung!
Wenn Sie diese Richtlinie aktivieren, werden die mit der Domäne verbundenen Geräte verfügbar gemacht und die Gesamtstruktur des Active Directory kann gefährdet sein. Diese Richtlinie sollte als vorübergehende Maßnahme für Geräte von Drittanbietern verwendet werden, während Sie Updates bereitstellen. Sobald ein Gerät eines Drittanbieters aktualisiert wird, dass dieser die Verwendung eines sicheren RPC-Ports mit dem Anmeldedienst für sichere Kanäle unterstützt, sollte das Konto aus der Liste "Anfällige Verbindungen erstellen" entfernt werden. Um das Risiko besser zu verstehen, wenn Konten so konfiguriert werden, dass sie verwundbare Kanäle für sichere Verbindungen mit dem Anmeldedienst verwenden dürfen, besuchen Sie bitte https://go.microsoft.com/fwlink/?linkid=2133485.

Standardeinstellung: Diese Richtlinie ist nicht konfiguriert, es sind keine Computer- oder Vertrauenskonten explizit vom durch den sicheren RPC-Port erzwungenen Anmeldedienst für sichere Kanäle ausgenommen.

Diese Richtlinie wird mindestens unter Windows Server 2008 R2 unterstützt

Regsitry Key: HKLM\System\CurrentControlSet\Services\Netlogon\Parameters
Registry Value: VulnerableChannelAllowList
Secedit: n/a