名稱網域成員:安全通道資料加以數位加密或簽章(自動)
CCECCE-10871-2
GPOComputer Settings
類別安全性選項\網域成員
描述▪ 此項原則設定決定,網域成員啟動的所有安全通道傳輸是否必須經過簽章或加密
▪ 當電腦加入網域時,會建立電腦帳戶。隨後,啟動系統時,系統會使用電腦帳戶密碼為其網域建立一個與網域控制站的安全通道。此安全通道用來執行諸如 NTLM 通過驗證及 LSA SID/名稱查詢的操作
▪ 此項原則設定決定網域成員啟動的所有安全通道傳輸是否符合最低安全性需求,以及是否必須經過簽章或加密
▪ 如果啟用此項原則,那麼將不會建立安全通道,除非已交涉所有安全通道傳輸的簽章或加密
▪ 如果停用此項原則,那麼所有安全通道傳輸的加密和簽章都會與網域控制站進行交涉,在此情況下,簽章和加密的等級是根據網域控制站的版本以及下列兩項原則的設定而定:
(1) 網域成員:安全通道資料加以數位加密(可能的話)
(2) 網域成員:安全通道資料加以數位簽章(自動)
▪ 注意:
(1) 如果啟用此原則,則原則「網域成員:安全通道資料加以數位簽章(可能的話)」假設已被啟用,而不考慮其目前的設定。這將確保網域成員至少嘗試交涉安全通道傳輸的簽章
(2) 透過安全通道傳輸的登入資訊一定會經過加密,無論「所有」其他安全通道傳輸的加密是否已進行交涉
設定1. 執行 gpedit.msc 打開本機群組原則編輯器
2. 選擇 [電腦設定\Windows 設定\安全性設定\本機原則\安全性選項]
3. 在右邊窗點擊 "網域成員:安全通道資料加以數位加密或簽章(自動)".
4. 選擇 "啟用", 點擊 "確定" (GCB 設定值為 啟用)
對應Windows 7 + IE8: 第 79 項
對應Windows 8.1: 第 101 項
對應Windows 10: 第 103 項