名稱網域成員:安全通道資料加以數位加密或簽章(自動)
CCECCE-8974-8
GPOComputer Settings
類別安全性選項\網域成員
描述這項原則設定決定, 網域成員啟動的所有安全通道傳輸是否必須經過簽章或加密.
當電腦加入網域時, 會建立電腦帳戶。隨後, 啟動系統時, 系統會使用電腦帳戶密碼為其網域建立一個與網域控制站的安全通道。此安全通道用來執行諸如 NTLM 通過驗證及 LSA SID/名稱 查詢的操作.
這項原則設定決定網域成員啟動的所有安全通道傳輸是否符合最低安全性需求, 以及是否必須經過簽章或加密.
如果啟用這項原則, 那麼將不會建立安全通道, 除非已交涉所有安全通道傳輸的簽章或加密.
如果停用這項原則, 那麼所有安全通道傳輸的加密和簽章都會與網域控制站進行交涉, 在此情況下, 簽章和加密的等級是根據網域控制站的版本以及下列兩項原則的設定而定:
(1) 網域成員:安全通道資料加以數位加密 (可能的話)
(2) 網域成員:安全通道資料加以數位簽章 (自動)
設定1. 執行 gpedit.msc 打開本機群組原則編輯器
2. 選擇 [電腦設定\Windows 設定\安全性設定\本機原則\安全性選項]
3. 在右邊窗點擊 "網域成員:安全通道資料加以數位加密或簽章(自動)".
4. 選擇 "啟用", 點擊 "確定" (GCB 設定值為 啟用)
對應Server 2008 R2: 第 69 項
對應Windows 8.1: 第 105 項