Gruppenrichtlinien Templates

LDAP Channel Binding, Digital Sign Secure Channel Data & Digital Sign Communications

Enforce LDAP Channel Binding

Mit dieser Vorlage forcieren wir das LDAP Channel Binding (CBT) auf unseren Domain Controllern und allen Domain-Members. Bei der LDAP-Kanalbindung geht es um die Erstellung eines Fingerabdrucks. Der Token, der in der Client-Authentifizierungsinformation enthalten ist, muss mit dem übereinstimmen, den der DC zuvor vom Client übermittelt bekommen hat. Im Allgemeinen wird dieses Verfahren zusammen mit einer LDAP-Signatur dort eingesetzt, wo noch ungesicherte Verbindungen eingesetzt werden.

Digital Sign Secure Channel Data

Das Domänenmitglied fordert die Signierung aller sicheren Kanaldaten an. Wenn der Domänencontroller die Signierung des gesamten sicheren Kanal-Datenverkehrs unterstützt, wird der gesamte Datenverkehr signiert, der letztlich sicherstellt, dass bei der Übertragung keine Manipulation stattfinden kann.

https://docs.microsoft.com/de-de/windows/security/threat-protection/security-policy-settings/domain-member-digitally-sign-secure-channel-data-when-possible

Digital Sign Communications

Das SMB-Protokoll (Server Message Block) bietet die Grundlage für die Datei-und Druckerfreigabe und weitere Netzwerkaktivitäten, wie etwa die Remote-Windows-Verwaltung. Um zu verhindern, dass man über ein Man-in-the-Middle-Angriff, die SMB-Pakete bei der Übertragung ändern kann, unterstützt das SMB-Protokoll die digitale Signierung von SMB-Paketen.

https://docs.microsoft.com/de-de/windows/security/threat-protection/security-policy-settings/microsoft-network-server-digitally-sign-communications-always