选择“允许本地激活安全检查豁免”有哪些安全风险？

Question

在 Windows Server 2012 R2 下的服务器管理器中查看事件时，我有很多 schannel 错误消息，上面写着“生成了致命警报并将其发送到远程端点。这可能会导致连接终止。TLS 协议定义了致命错误代码是 10。Windows SChannel 错误状态是 1203。” 一些站点建议将“允许本地激活安全检查豁免”作为解决方案。虽然这可能会减少事件列表中的错误消息数量，但我对允许这些豁免所引入的实际安全风险感兴趣。

Answer 1

我的建议是不要更改链接中的安全策略。作为参考，这里是政策及其说明：

有可能，但安全设置不太可能解决问题。它甚至可能根本没有关系。并且在不知道它是否甚至可以解决您遇到的问题的情况下更改系统范围的安全策略通常是不明智的。

您看到的错误来自 Schannel。Schannel 处理网络上的 SSL 和 TLS 连接。这通常是互联网上通过 HTTPS 的网站，但许多不同类型的服务都利用 TLS。

TLS 协议定义的致命错误代码是 10。

该错误代码由 RFC 定义为“意外消息”：

可以在此处找到其余的 TLS 警报代码。

Windows SChannel 错误状态为 1203。

这些错误状态代码是内部的，没有公开记录，但我可以告诉你 1203 意味着解析 Client Hello 时出错。这意味着有人向您发送了一个 Client Hello 并且您无法解析它。数据在某些方面格式不正确。

如果没有任何问题，请考虑禁用 Schannel 错误日志记录：

reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL" /v "EventLogging" /t REG_DWORD /d 0 /f

Schannel 日志记录可能会很嘈杂，您可能会花费余生来尝试追踪网络上的每个节点，这些节点带有不兼容的密码套件或无效的 SSL 证书或禁用的协议版本或损坏的 SSL 实现等。

现在，回到你最初的问题。我并不是说这是不可能的，但我很难看出该政策与 Schannel 错误有什么关系。目前看来对我来说无关紧要。

修改该特定安全策略的安全影响相对较小。它使本地管理员能够扩充允许激活 DCOM 应用程序的人员列表。由于我们讨论的是只允许管理员操作的 ACL，因此我认为权限提升的潜力不大。也许有一些利用后持久性的潜力。

（在我看来，DCOM 可能是有史以来最糟糕的想法，但这是另一天的话题。）

DCOM 应用程序，尤其是 DCOM 服务器上错误配置的安全权限，是大量神秘事件日志消息的来源。但我不认为它们是恶意软件或安全漏洞的常见载体。

所以总而言之，我认为启用该策略没什么大不了的，但我也怀疑它会使 Schannel 错误消失。