- 19.04.2017
- 3 minute de citit
In acest articol
Se aplica la
- Windows 10
Acest articol descrie cele mai bune practici, locatie si valori pentru securitatea retelei: permiteti solicitarilor de autentificare PKU2U catre acest computer sa utilizeze setarea politicii de securitate a identitatilor online .
Referinta
Incepand cu Windows Server 2008 R2 si Windows 7, furnizorul de asistenta pentru negocieri de securitate (SSP) accepta o extensie SSP, Negoexts.dll. Aceasta extensie SSP este tratata ca un protocol de autentificare de catre sistemul de operare Windows. Accepta SSP-uri de la Microsoft, inclusiv PKU2U. De asemenea, puteti dezvolta sau adauga alte SSP-uri.
Cand dispozitivele sunt configurate pentru a accepta cereri de autentificare prin utilizarea ID-urilor online, Negoexts.dll apeleaza SSP-ul PKU2U de pe computerul folosit pentru conectare. PKU2U SSP obtine un certificat local si schimba politica intre computerele peer. Cand este validat pe computerul peer, certificatul din metadate este trimis peer-ului de conectare pentru validare. Acesta asociaza certificatul utilizatorului la un jeton de securitate, iar apoi procesul de conectare se finalizeaza.
Nota
Conectarea ID-urilor online poate fi efectuata de oricine are un cont care are acreditari standard ale utilizatorului prin Credential Manager.
Aceasta politica nu este configurata implicit pe dispozitivele conectate la domeniu. Acest lucru ar interzice identitatile online sa se autentifice pe computerele conectate la domeniu in Windows 7 si mai tarziu.
Valori posibile
-
Activat : Aceasta setare permite autentificarea sa se finalizeze cu succes intre cele doua (sau mai multe) computere care au stabilit o relatie de egalitate prin utilizarea ID-urilor online. PKU2U SSP obtine un certificat local si schimba politica intre dispozitivele peer.
porno comic español videos putas maduras
ver sexo gratis coños de viejas
tetudas españolas porno madres peludas
incesto real madre hijo porno traducido español
abuelas follando como folla mi mujer
incesto jovencitas hentaihd
sexso madura cabalgando
penes de abuelos paja en el coche
vidio pirno videosgays
corridas dentro de la boca caras llenas de semen
sobando tetas folladas extremas
sexo camara oculta españa porno casero real español
porno guey orgia bisexual
madura española con joven tetudas españolas
pollas corriendose porno torrent magnet
videos de peliculas eroticas videos de chicas gratis
orgias abuelas parejas pilladas en la calle
peliculas porno de incesto maduras por dinero
glory hole españa www rubias
milfs españolas follando tetudas jovenesCand este validat pe computerul peer, certificatul din cadrul metadatelor este trimis peer-ului de conectare pentru validare. Acesta asociaza certificatul utilizatorului la un jeton de securitate si apoi procesul de conectare se finalizeaza.
Nota
KU2U este dezactivat implicit pe Windows Server. Conexiunile de la distanta ale desktopului de la un server hibrid Azure AD-join la un dispozitiv Azure AD alaturat Windows 10 sau un membru de domeniu Hybrid Azure AD alaturat Windows 10 dispozitiv nu. Pentru a rezolva acest lucru, activati PKU2U pe server si client.
-
Dezactivat : Aceasta setare impiedica utilizarea ID-urilor online pentru autentificarea utilizatorului pe un alt computer intr-o relatie de la egal la egal.
-
Nu este setat : neconfigurarea acestei politici impiedica utilizarea ID-urilor online pentru autentificarea utilizatorului. Aceasta optiune este implicita pe dispozitivele conectate la domeniu.
Cele mai bune practici
In cadrul unui domeniu, conturile de domeniu ar trebui utilizate pentru autentificare. Setati aceasta politica la Dezactivat sau nu configurati aceasta politica pentru a exclude utilizarea identitatilor online pentru autentificare.
Locatie
Computer Configuration \ Windows Settings \ Security Settings \ Local Policies \ Security Options
Valori implicite
Urmatorul tabel listeaza valorile implicite efective pentru aceasta politica. Valorile implicite sunt, de asemenea, listate in pagina de proprietati a politicii.
Tipul de server sau Obiectul de politica de grup (GPO) Valoare implicita Politica de domeniu implicita Nedefinit Politica implicita a controlerului de domeniu Nedefinit Setari implicite ale serverului autonom Nedefinit Setari implicite efective ale controlerului de domeniu Dezactivat Setari implicite efective ale serverului membru Dezactivat Setari implicite GPO eficiente pe computerele client Dezactivat
Consideratii de securitate
Aceasta sectiune descrie modul in care un atacator ar putea exploata o caracteristica sau configuratia acesteia, cum sa implementeze contramasura si posibilele consecinte negative ale contramasurii.
Vulnerabilitate
Activarea acestei setari de politici permite contului unui utilizator de pe un computer sa fie asociat cu o identitate online, cum ar fi un cont Microsoft sau un cont Azure AD. Contul respectiv poate apoi sa se conecteze la un dispozitiv peer (daca dispozitivul peer este configurat la fel) fara utilizarea unui cont de conectare Windows (domeniu sau local). Aceasta configurare nu este numai benefica, ci este necesara pentru dispozitivele asociate Azure AD, unde acestea sunt conectate cu o identitate online si sunt eliberate certificate de Azure AD. Este posibil ca aceasta politica sa nu fie relevanta doar pentru un mediu local si sa ocoleasca politicile de securitate stabilite. Cu toate acestea, nu prezinta amenintari intr-un mediu hibrid in care se foloseste Azure AD, deoarece se bazeaza pe identitatea online a utilizatorului si pe Azure AD pentru autentificare.
Contramasura
Setati aceasta politica la Dezactivat sau nu configurati aceasta politica de securitate numai pentru medii locale .
Impact potential
Daca nu setati sau dezactivati aceasta politica, protocolul PKU2U nu va fi utilizat pentru autentificarea intre dispozitive peer, ceea ce ii obliga pe utilizatori sa respecte politicile de control al accesului definite de domeniu. Aceasta este o configuratie valida numai in medii locale . Retineti ca unele roluri / caracteristici (cum ar fi Failover Clustering) nu utilizeaza un cont de domeniu pentru autentificarea PKU2U si vor inceta sa functioneze corect atunci cand dezactivati aceasta politica.
Daca activati aceasta politica intr-un mediu hibrid, permiteti utilizatorilor sa se autentifice utilizand certificate emise de Azure AD si identitatea lor online intre dispozitivele corespunzatoare. Aceasta configuratie permite utilizatorilor sa partajeze resurse intre astfel de dispozitive. Fara a activa aceasta politica, conexiunile la distanta la un dispozitiv alaturat Azure AD nu vor functiona.
- Optiuni de securitate
