В тази връзка точка на политиката за сигурност, предназначени за ИТ специалисти, описва най-добри практики, местоположение, ценности, политики и съображения за сигурност за управлението на тази настройка политика.
референтни материали
Федералния Стандарт обработка на информация (FIPS) 140 - това е изпълнение за сигурност, предназначени за сертифициране на криптографски софтуер. В Windows, тези сертифицирани алгоритми са въведени, за да отговори на изискванията и стандартите, свързани с криптографски модули, за да бъдат използвани в институции и федерални агенции на САЩ.
Тази настройка определя дали политиката доставчика TLS / SSL сигурност поддържа само силен набор криптиране, съвместно с FIPS, който е известен като TLS_RSA_WITH_3DES_EDE_CBC_SHA, което означава подкрепа за този продавач само TLS на клиентския компютър и сървъра, ако е приложимо. Използва се само алгоритъм 3DES криптиране за криптиране на трафика, TLS, само RSA алгоритъм с публичен ключ за споделяне и за удостоверяване на ключовете TLS и само алгоритъма SHA-1 хеширане TLS за изпълнение на изискванията за хеширане.
Шифрованата файлова система (EFS)
Отдалечен работен плот (RDS)
За кодиране на мрежовия трафик RDS тази политика за създаване използва само алгоритъм 3DES криптиране.
BitLocker във връзка с тази настройка политика трябва да е активиран, за да създадете произволен клавиш криптиране.
възможни стойности
препоръки
За използване с TLS, задайте тази политика да се използва JavaScript. Клиентските устройства, на които тази настройка политика активиран няма да могат да комуникират със сървърите, които не поддържат тези алгоритми, протоколи чрез дигитално кодирани или подписани. Клиентските устройства, свързани към мрежата и не се подкрепят тези алгоритми, няма да могат да се използват сървъри, които изискват използването на тези алгоритми за предаване на данни по мрежа. Ако активирате тази настройка политика, трябва да настроите и Internet Explorer да използва TLS.
местоположение
Компютърна конфигурация \ Windows \ Настройки Настройки за сигурност \ Local Policies \ опции за сигурност
стойности по подразбиране
Следващата таблица показва реалните и валидни стойности за тази политика. Стойностите по подразбиране също са посочени в страницата имот на тази политика.
тип сървър или на GPO
стойност по подразбиране
Различията версии на операционни системи
Ако тази опция е включена, BitLocker създава парола за възстановяване или ключове за възстановяване, приложим за всички версии, изброени по-долу.
Проектиран за тези операционни системи, паролата за възстановяване не може да се използва и в други системи, посочени в таблицата.
Проектиран за тези операционни системи, паролата за възстановяване може да се използва и в други системи, посочени в таблицата.
Проектиран за тези операционни системи, паролата за възстановяване може да се използва и в други системи, посочени в таблицата.
Проектиран за тези операционни системи, паролата за възстановяване може да се използва и в други системи, посочени в таблицата.
управление на политиката
Този раздел описва компонентите и ресурси за управление на тази политика.
изискване за рестартиране
Не. Промени в тази политика да влязат в сила без да се рестартира устройството след техния местен опазване или разпространение чрез Group Policy.
политика група
Конфигуриране и внедряване на политиката с помощта на груповите правила има предимство пред настройките на местния устройството. Ако стойността не е конфигурирана за Group Policy. Местните ще се прилагат.
съображения за сигурност
Този раздел описва как атакуващият може да се използва компонент или конфигурация, как да се прилагат мерки за противодействие, и какви са възможните отрицателни последици от прилагането на тези мерки.
уязвимост
мерки за противодействие
Активиране на системата криптографията: Използвайте FIPS съвместими алгоритми за криптиране, хеширане и подписване.
възможните последствия
Клиентските устройства, в които позволиха тази настройка политика, не могат да общуват с помощта на протоколи цифров подпис или криптиране със сървъри, които не поддържат тези алгоритми. Мрежови клиенти, които не поддържат тези алгоритми не може да използва сървъра, който се нуждае от подкрепата на тези алгоритми за мрежова комуникация. Например, много уеб сървъри, базирани на Apache не е конфигуриран да поддържа TLS. Ако активирате тази опция, трябва да настроите и Internet Explorer® да използва TLS. Тази настройка оказва влияние и върху нивото на криптиране, която се използва за Remote Desktop Protocol (RDP). Означава да се свържете с отдалечен работен плот използва протокола ПРСР връзка със сървърите, които се изпълняват Terminal Services, както и клиентски компютри, които са конфигурирани да подкрепят дистанционно управление; RDP-връзка се провали, ако двете устройства не са конфигурирани да използват едни и същи алгоритми за криптиране.
теми, свързани с
Показване: наследени Защитена