Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer)

Diese Sicherheitseinstellung bestimmt, ob der gesamte vom Domänenmitglied initiierte Datenverkehr durch den sicheren Kanal signiert oder verschlüsselt werden muss.

Beim Hinzufügen eines Computers zu einer Domäne wird ein Computerkonto erstellt. Wenn das System anschließend gestartet wird, verwendet es das Kennwort des Computerkontos, um einen sicheren Kanal mit einem Domänencontroller für die Domäne zu erstellen. Dieser sichere Kanal wird verwendet, um Vorgänge wie die NTLM-Passthrough-Authentifizierung, die LSA/SID-Namenssuche usw. auszuführen.

Diese Sicherheitseinstellung bestimmt, ob der gesamte vom Domänemitglied initiierte Datenverkehr durch den sicheren Kanal den minimalen Sicherheitsanforderungen entspricht. Die Einstellung legt insbesondere fest, ob der gesamte vom Domänemitglied initiierte Datenverkehr durch den sicheren Kanal signiert oder verschlüsselt werden muss. Wenn diese Richtlinie aktiviert ist, wird der sichere Kanal nur eingerichtet, wenn die Signatur oder Verschlüsselung des gesamten Datenverkehrs des sicheren Kanals ausgehandelt wird. Wenn diese Richtlinie deaktiviert wird, wird die Verschlüsselung und Signatur des gesamten Datenverkehrs durch den sicheren Kanal mit dem Domänencontroller ausgehandelt. In diesem Fall hängt die Signatur- und Verschlüsselungsstufe von der Version des Domänencontrollers und den Einstellungen für die folgenden beiden Richtlinien ab:

  • Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich)
  • Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich)

Standardeinstellung: Aktiviert

Hinweise:
Wenn diese Richtlinie aktiviert ist, wird unabhängig von der aktuellen Richtlinieneinstellung angenommen, dass "Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich)" aktiviert ist. Dadurch wird sichergestellt, dass das Domänenmitglied versucht, zumindest die Signatur der Daten des sicheren Kanals auszuhandeln.
Wenn diese Richtlinie aktiviert ist, wird unabhängig von der aktuellen Richtlinieneinstellung angenommen, dass "Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich)" aktiviert ist. Dadurch wird sichergestellt, dass das Domänenmitglied versucht, zumindest die Signatur der Daten des sicheren Kanals auszuhandeln.
Über den sicheren Kanal übertragene Anmeldeinformationen werden immer verschlüsselt, unabhängig davon, ob die Verschlüsselung ALLER anderen Daten des sicheren Kanals vereinbart wird.

Regsitry Key: HKLM\System\CurrentControlSet\Services\Netlogon\Parameters
Registry Value: RequireSignOrSeal
Secedit: n/a