Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich)
Diese Sicherheitseinstellung bestimmt, ob ein Domänenmitglied versucht, die Verschlüsslung für den gesamten von ihm initiierten Datenverkehr durch den sicheren Kanal auszuhandeln.
Beim Hinzufügen eines Computers zu einer Domäne wird ein Computerkonto erstellt. Wenn das System anschließend gestartet wird, verwendet es das Kennwort des Computerkontos, um einen sicheren Kanal mit einem Domänencontroller für die Domäne zu erstellen. Dieser sichere Kanal wird verwendet, um Vorgänge wie die NTLM-Passthrough-Authentifizierung, LSA/SID-Namenssuche usw. auszuführen.
Diese Einstellung bestimmt, ob das Domänenmitglied versucht, die Verschlüsslung für den gesamten von ihm initiierten Datenverkehr durch den sicheren Kanal auszuhandeln. Wenn die Einstellung aktiviert ist, fordert das Domänenmitglied die Verschlüsselung aller Daten des sicheren Kanals an. Unterstützt der Domänencontroller die Verschlüsselung des gesamten Datenverkehrs durch den sicheren Kanal, wird der gesamte Datenverkehr des sicheren Kanals verschlüsselt. Andernfalls werden nur über den sicheren Kanal übertragene Anmeldeinformationen verschlüsselt. Wenn diese Einstellung deaktiviert ist, versucht das Domänenmitglied nicht, die Verschlüsselung der Daten des sicheren Kanals auszuhandeln.
Standardeinstellung: Aktiviert
Wichtig
Es sind keine Gründe bekannt, die für die Deaktivierung dieser Einstellung sprechen. Neben der unnötigen Verringerung der potenziellen Vertraulichkeitsstufe des sicheren Kanals kann das Deaktivieren dieser Einstellung zu einer ebenso unnötigen Reduzierung des Durchsatzes des sicheren Kanals führen, da gleichzeitige API-Aufrufe über den sicheren Kanal nur möglich sind, wenn der sichere Kanal signiert oder verschlüsselt ist.
Hinweis:
Domänencontroller sind auch Domänenmitglieder und richten sichere Kanäle mit anderen Domänencontrollern in derselben Domäne sowie mit Domänencontrollern in vertrauten Domänen ein.
Regsitry Key: HKLM\System\CurrentControlSet\Services\Netlogon\Parameters
Registry Value: SealSecureChannel
Secedit: