Această secțiune de ajutor privind politica de securitate pentru profesioniștii IT descrie recomandările, locația, valorile, gestionarea politicilor și considerentele de securitate pentru această setare de politică.
Materiale de referință
Standardul federal de prelucrare a informațiilor (FIPS) 140 este o aplicație de securitate concepută pentru a certifica software-ul criptografic. În Windows, acești algoritmi certificați sunt implementați pentru a îndeplini cerințele și standardele asociate modulelor criptografice care ar trebui să fie utilizate de agențiile și agențiile guvernului federal american.
Această setare de politică determină dacă furnizorul TLS de securitate / SSL suportă doar set de criptare puternică, împreună cu FIPS, care este cunoscut sub numele de TLS_RSA_WITH_3DES_EDE_CBC_SHA, ceea ce înseamnă un sprijin pentru acest furnizor doar TLS pe computerul client și server, dacă este cazul. Folosit doar algoritm de criptare 3DES pentru a cripta traficul TLS, doar algoritmul RSA-cheie publică pentru partajarea și chei de autentificare TLS și numai algoritmul SHA-1 hashing TLS pentru a satisface cerințele pentru hashing.
Sistemul de criptare a fișierelor (EFS)
Servicii desktop la distanță (RDS)
Pentru a cripta traficul de rețea al serviciilor desktop la distanță, această setare de politică utilizează numai algoritmul de criptare 3DES.
Cu BitLocker, această setare de politică trebuie să fie activată înainte de crearea oricărei chei de criptare.
Valori posibile
recomandări
Pentru utilizarea cu TLS, setați această politică la Activat. Dispozitivele pe care este activată această setare de politică nu vor putea comunica cu serverele care nu acceptă acești algoritmi prin protocoale cu criptare sau semnătură digitală. Dispozitivele client care sunt conectate la rețea și nu acceptă aceste algoritmi nu vor putea utiliza serverele care necesită aceste algoritmi pentru a transfera date prin rețea. Dacă activați această setare de politică, trebuie să configurați Internet Explorer să utilizeze TLS.
locație
Configurarea calculatorului \ Setări Windows \ Setări de securitate \ Politici locale \ Setări de securitate
Valorile implicite
Tabelul următor prezintă valorile implicite efective și efective pentru această politică. Valorile implicite sunt, de asemenea, afișate pe pagina de proprietăți a politicilor.
Tipul serverului sau Obiectul politicii de grup
Valoare implicită
Versiuni ale sistemului de operare
Dacă activați această setare, BitLocker creează o parolă de recuperare sau chei de recuperare care se aplică tuturor versiunilor enumerate mai jos.
Parola de recuperare creată în aceste sisteme de operare nu poate fi utilizată în alte sisteme specificate în tabel.
Parola de recuperare creată în aceste sisteme de operare poate fi utilizată și în alte sisteme specificate în tabel.
Parola de recuperare creată în aceste sisteme de operare poate fi utilizată și în alte sisteme specificate în tabel.
Parola de recuperare creată în aceste sisteme de operare poate fi utilizată și în alte sisteme specificate în tabel.
Gestionarea politicilor
Această secțiune descrie componentele și instrumentele disponibile pentru gestionarea acestei politici.
Cerință de repornire
Nu, nu este. Modificările la această politică au efect fără să repornească dispozitivul după ce au fost salvate local sau distribuite prin intermediul politicii de grup.
Politica de grup
Configurarea și implementarea acestei politici prin utilizarea politicii de grup are prioritate față de setarea de pe dispozitivul local. Dacă politica de grup este setată pe Nu este configurată. se vor aplica parametrii locali.
Considerații privind siguranța
Această secțiune descrie modul în care un atacator poate să exploateze o componentă sau configurația acesteia, cum să aplice contramăsuri și care sunt posibilele consecințe negative ale implementării acestor măsuri.
vulnerabilitate
contramăsuri
Activați opțiunea criptografie sistem: utilizați algoritmi compatibili cu FIPS pentru criptare, hashing și semnare.
Posibile consecințe
dispozitivele client în care această setare de politică activat, nu pot comunica utilizând protocoale de semnătură digitală sau criptare cu servere care nu acceptă acești algoritmi. Clienții de rețea care nu acceptă acești algoritmi nu pot utiliza servere care necesită suport pentru aceste algoritmi pentru comunicații în rețea. De exemplu, multe servere web bazate pe Apache nu sunt configurate pentru a suporta TLS. Dacă activați această setare, trebuie să configurați Internet Explorer® să utilizeze TLS. Această setare de politică afectează și nivelul de criptare utilizat pentru Remote Desktop Protocol (RDP). Mijloace de a se conecta la Remote Desktop utilizează protocolul RDP pentru a comunica cu serverele care rulează Terminal Services, și computerele client care sunt configurate pentru a sprijini gestionarea de la distanță; Conexiunile RDP eșuează cu o eroare dacă ambele dispozitive nu sunt configurate să utilizeze aceiași algoritmi de criptare.
Subiecte conexe
Afișare: Mijlocit protejat
Trimiteți-le prietenilor: