Библибоба

Читаем Домашний доктор для вашего ПК полностью

Домашний доктор для вашего ПК

Алексей Степанович Виноградов

Определяет, принимает ли контроллер домена запросы на изменение пароля для учетной записи компьютера. Если этот параметр включен на всех контроллерах домена, то члены этого домена не смогут менять пароли учетных записей своих компьютеров, что делает их уязвимыми для внешних атак. По умолчанию: отключен.

Член домена как средство безопасности

Всегда требуется цифровая подпись или шифрование потока данных безопасного канала Определяет, можно ли установить безопасный канал связи с контроллером домена, который не способен подписывать или шифровать весь трафик этого канала. Если этот параметр включен, то безопасный канал нельзя будет устанавливать ни с одним контроллером домена, не обеспечивающим подписывание или шифрование всех данных канала. Если параметр отключен, безопасный канал установить можно, но уровень шифрования и подписывания придется согласовывать. По умолчанию: отключен.

Следует обратить особое внимание на следующие особенности: прежде чем включать этот параметр на рядовом сервере или рабочей станции домена, необходимо убедиться, что все контроллеры этого домена могут шифровать или подписывать все данные безопасного канала. Это означает, что все такие контроллеры домена должны работать под управлением Windows NT 4.0 с пакетом обновления 4 или более поздней версии. Прежде чем включать этот параметр на контроллере домена, необходимо убедиться, что все контроллеры всех доверенных доменов и доменов-доверителей могут шифровать или подписывать все данные безопасного канала. Это означает, что все такие контроллеры доменов должны работать под управлением Windows NT 4.0 с пакетом обновления 4 или более поздней версии. Если эта политика включена, автоматически включается политика «Член домена: цифровая подпись данных безопасного канала, когда это возможно».

Шифрование данных безопасного канала, когда это возможно

Обеспечивает шифрование всего трафика безопасного канала, если контроллер домена, с которым установлена связь, также может шифровать весь этот трафик. По умолчанию: включен. Следует обратить особое внимание на следующие особенности: не существует причин, по которым этот параметр следовало бы отключить. Это привело бы не только к нежелательному снижению уровня потенциальной конфиденциальности безопасного канала, но и уменьшило бы его пропускную способность, поскольку одновременное прохождение нескольких вызовов API-функций по этому безопасному каналу возможно только в случае, если его трафик подписан или зашифрован.

Цифровая подпись данных безопасного канала, когда это возможно

Обеспечивает подписывание всего трафика безопасного канала, если контроллер домена, с которым установлена связь, также может подписывать весь этот трафик. По умолчанию: включен. Следует обратить особое внимание на следующие особенности: не существует причин, по которым этот параметр следовало бы отключить. Это привело бы не только к нежелательному снижению уровня потенциальной целостности безопасного канала, но и уменьшило бы его пропускную способность, поскольку одновременное прохождение нескольких вызовов API-функций по этому безопасному каналу возможно только в случае, если его трафик подписан или зашифрован. Если политика «Член домена: шифрование данных безопасного канала», когда этот возможно включена, данный параметр также включается неявным образом.

Максимальный срок действия пароля учетных записей компьютера

Определяет максимальный допустимый срок службы пароля учетной записи компьютера. По умолчанию: 30 дней. Следует обратить внимание на то, что этот параметр применяется к компьютерам Windows 2000, но он недоступен при использовании средств диспетчера настройки безопасности на этих компьютерах.

Т ребует стойкого ключа сеанса (W indows 2000 или выше)

Определяет, можно ли установить безопасный канал связи с контроллером домена, который не способен шифровать трафик этого канала с помощью стойкого (128-разрядного) ключа.

Если этот параметр включен, то безопасный канал нельзя будет устанавливать ни с одним контроллером домена, не обеспечивающим шифрование всех данных канала стойким ключом. Если параметр отключен, допускаются 64-разрядные ключи сеансов. По умолчанию: отключен. При использовании этой политики обязательно следует учесть следующие обстоятельства: прежде чем включать этот параметр на рядовом сервере или рабочей станции домена, необходимо убедиться, что все контроллеры этого домена могут шифровать данные безопасного канала с использованием стойкого (128-разрядного) ключа. Это означает, что все такие контроллеры домена должны работать под управлением Windows 2000. Прежде чем включать этот параметр на контроллере домена, необходимо убедиться, что все контроллеры всех доверенных доменов и доменов-доверителей могут шифровать данные безопасного канала с использованием стойкого (128-разрядного) ключа. Это означает, что все такие контроллеры доменов должны работать под управлением Windows 2000.

Отключить изменение пароля учетных записей компьютера

Перейти на страницу:
Читать далее
Нет соединения с сервером, попробуйте зайти чуть позже
Избранное