名稱網域成員:安全通道資料加以數位簽章 (可能的話) (自動)
GPOComputer Settings
類別安全性選項\網域成員
描述▪ 這項原則設定決定網域成員是否嘗試為其所啟動的所有安全通道傳輸交涉簽章
▪ 當電腦加入網域時,會建立電腦帳戶。隨後,啟動系統時,系統會使用電腦帳戶密碼為其網域建立一個與網域控制站的安全通道。此安全通道用來執行諸如 NTLM 通過驗證及 LSA SID/名稱 查詢的操作
▪ 這項設定決定網域成員是否嘗試為其所啟動的所有安全通道傳輸交涉簽章
▪ 如果已啟用,則網域成員將要求所有安全通道傳輸的簽章。如果網域控制站支援所有安全通道傳輸的簽章,則所有安全通道傳輸都會經過簽章,如此能確保它不會在傳送時遭到竄改
▪ 注意:
如果啟用了原則「網域成員:安全通道資料加以數位加密或簽章(自動)」,則會假設這項原則為啟用狀態,無論目前設定為何
網域控制站也是網域成員,並會與同一網域中的其他網域控制站及受信任網域中的網域控制站建立安全通道
設定1. 執行 gpedit.msc 打開本機群組原則編輯器
2. 選擇 電腦設定\Windows 設定\安全性設定\本機原則\安全性選項
3. Win7: 在右邊窗點擊 "網域成員:安全通道資料加以數位簽章 (可能的話)".
Win8.1/Win10/Win11, Server 2008/2012/2016/2019/2022: 在右邊窗點擊 "網域成員:安全通道資料加以數位簽章 (自動)"
4. 選擇 "已啟用", 點擊 "確定" (GCB 設定值為 啟用)