Richtlinien-CSP – ADMX_CredSsp
Tipp
Dieser CSP enthält ADMX-gestützte Richtlinien, die ein spezielles SyncML-Format zum Aktivieren oder Deaktivieren erfordern. Sie müssen den Datentyp in SyncML als <Format>chr</Format>angeben. Weitere Informationen finden Sie unter Grundlegendes zu ADMX-gestützten Richtlinien.
Die Nutzlast des SyncML muss XML-codiert sein. Für diese XML-Codierung gibt es eine Vielzahl von Onlineencodern, die Sie verwenden können. Um die Codierung der Nutzlast zu vermeiden, können Sie CDATA verwenden, wenn Ihr MDM dies unterstützt. Weitere Informationen finden Sie unter CDATA-Abschnitte.
AllowDefaultCredentials
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowDefaultCredentials
Diese Richtlinieneinstellung gilt für Anwendungen, die die Cred-SSP-Komponente verwenden (z. B. Remotedesktopverbindung).
Diese Richtlinieneinstellung gilt, wenn die Serverauthentifizierung mithilfe eines vertrauenswürdigen X509-Zertifikats oder Kerberos erreicht wurde.
- Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Server angeben, an die die Standardanmeldeinformationen des Benutzers delegiert werden können (Standardanmeldeinformationen sind die Anmeldeinformationen, die Sie bei der ersten Anmeldung bei Windows verwenden).
Die Richtlinie wird wirksam, wenn sich der Benutzer das nächste Mal bei einem Computer unter Windows anmeldet.
- Wenn Sie diese Richtlinieneinstellung deaktivieren oder (standardmäßig) nicht konfigurieren, ist die Delegierung von Standardanmeldeinformationen auf keinem Computer zulässig. Bei Anwendungen, die von diesem Delegierungsverhalten abhängig sind, kann die Authentifizierung fehlschlagen. Weitere Informationen finden Sie unter KB.
FWlink für KB:
https://go.microsoft.com/fwlink/?LinkId=301508
Hinweis
Die Richtlinieneinstellung "Delegieren von Standardanmeldeinformationen zulassen" kann auf mindestens einen Dienstprinzipalnamen (Service Principal Names, SPNs) festgelegt werden. Der SPN stellt den Zielserver dar, an den die Benutzeranmeldeinformationen delegiert werden können. Die Verwendung eines einzelnen Wildcardzeichens ist zulässig, wenn der SPN angegeben wird.
Zum Beispiel:
TERMSRV/host.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf host.humanresources.fabrikam.com Computer ausgeführt wird.
TERMSRV/* Remotedesktop-Sitzungshost, der auf allen Computern ausgeführt wird.
TERMSRV/*.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf allen Computern in .humanresources.fabrikam.com ausgeführt wird.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | AllowDefaultCredentials |
| Anzeigename | Delegieren von Standardanmeldeinformationen zulassen |
| Position | Computerkonfiguration |
| Pfad | Delegierung von Systemanmeldeinformationen > |
| Registrierungsschlüsselname | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Name des Registrierungswertes | AllowDefaultCredentials |
| ADMX-Dateiname | CredSsp.admx |
AllowDefCredentialsWhenNTLMOnly
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowDefCredentialsWhenNTLMOnly
Diese Richtlinieneinstellung gilt für Anwendungen, die die Cred-SSP-Komponente verwenden (z. B. Remotedesktopverbindung).
Diese Richtlinieneinstellung gilt, wenn die Serverauthentifizierung über NTLM erreicht wurde.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Server angeben, an die die Standardanmeldeinformationen des Benutzers delegiert werden können (Standardanmeldeinformationen sind die Anmeldeinformationen, die Sie bei der ersten Anmeldung bei Windows verwenden).
Wenn Sie diese Richtlinieneinstellung deaktivieren oder (standardmäßig) nicht konfigurieren, ist die Delegierung von Standardanmeldeinformationen auf keinem Computer zulässig.
Hinweis
Die Richtlinieneinstellung "Delegieren von Standardanmeldeinformationen mit nur NTLM-Serverauthentifizierung zulassen" kann auf mindestens einen Dienstprinzipalnamen (Service Principal Names, SPNs) festgelegt werden. Der SPN stellt den Zielserver dar, an den die Benutzeranmeldeinformationen delegiert werden können. Die Verwendung eines einzelnen Wildcardzeichens ist zulässig, wenn der SPN angegeben wird.
Zum Beispiel:
TERMSRV/host.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf host.humanresources.fabrikam.com Computer ausgeführt wird.
TERMSRV/* Remotedesktop-Sitzungshost, der auf allen Computern ausgeführt wird.
TERMSRV/*.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf allen Computern in .humanresources.fabrikam.com ausgeführt wird.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | AllowDefCredentialsWhenNTLMOnly |
| Anzeigename | Delegieren von Standardanmeldeinformationen mit nur NTLM-Serverauthentifizierung zulassen |
| Position | Computerkonfiguration |
| Pfad | Delegierung von Systemanmeldeinformationen > |
| Registrierungsschlüsselname | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Name des Registrierungswertes | AllowDefCredentialsWhenNTLMOnly |
| ADMX-Dateiname | CredSsp.admx |
AllowEncryptionOracle
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowEncryptionOracle
Oracle-Wiederherstellung zur Verschlüsselung.
Diese Richtlinieneinstellung gilt für Anwendungen, die die CredSSP-Komponente verwenden (z. B. Remotedesktopverbindung).
Einige Versionen des CredSSP-Protokolls sind anfällig für einen Verschlüsselungs-Oracle-Angriff auf den Client. Diese Richtlinie steuert die Kompatibilität mit anfälligen Clients und Servern. Mit dieser Richtlinie können Sie die gewünschte Schutzebene für das Verschlüsselungs-Oracle-Sicherheitsrisiko festlegen.
Wenn Sie diese Richtlinieneinstellung aktivieren, wird die CredSSP-Versionsunterstützung basierend auf den folgenden Optionen ausgewählt:
Aktualisierte Clients erzwingen: Clientanwendungen, die CredSSP verwenden, können nicht auf unsichere Versionen zurückgreifen, und Dienste, die CredSSP verwenden, akzeptieren keine nicht gepatchten Clients. Beachten Sie, dass diese Einstellung erst bereitgestellt werden sollte, wenn alle Remotehosts die neueste Version unterstützen.
Entschärfung: Clientanwendungen, die CredSSP verwenden, können nicht auf die unsichere Version zurückgreifen, aber Dienste, die CredSSP verwenden, akzeptieren nicht gepatchte Clients. Unter dem folgenden Link finden Sie wichtige Informationen zum Risiko, das von verbleibenden nicht gepatchten Clients ausgeht.
Anfällig: Clientanwendungen, die CredSSP verwenden, machen die Remoteserver für Angriffe verfügbar, indem sie Fallbacks auf unsichere Versionen unterstützen, und Dienste, die CredSSP verwenden, akzeptieren nicht gepatchte Clients.
Weitere Informationen zu den Sicherheitsrisiken und Wartungsanforderungen für den Schutz finden Sie unter https://go.microsoft.com/fwlink/?linkid=866660
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | AllowEncryptionOracle |
| Anzeigename | Oracle-Wiederherstellung zur Verschlüsselung |
| Position | Computerkonfiguration |
| Pfad | Delegierung von Systemanmeldeinformationen > |
| Registrierungsschlüsselname | Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
| ADMX-Dateiname | CredSsp.admx |
AllowFreshCredentials
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowFreshCredentials
Diese Richtlinieneinstellung gilt für Anwendungen, die die Cred-SSP-Komponente verwenden (z. B. Remotedesktopverbindung).
Diese Richtlinieneinstellung gilt, wenn die Serverauthentifizierung über ein vertrauenswürdiges X509-Zertifikat oder Kerberos erreicht wurde.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Server angeben, an die die neuen Anmeldeinformationen des Benutzers delegiert werden können (neue Anmeldeinformationen sind diejenigen, die Beim Ausführen der Anwendung aufgefordert werden).
Wenn Sie diese Richtlinieneinstellung nicht (standardmäßig) konfigurieren, ist nach ordnungsgemäßer gegenseitiger Authentifizierung die Delegierung neuer Anmeldeinformationen an den Remotedesktopsitzungshost zulässig, der auf einem beliebigen Computer (TERMSRV/*) ausgeführt wird.
Wenn Sie diese Richtlinieneinstellung deaktivieren, ist die Delegierung neuer Anmeldeinformationen auf keinem Computer zulässig.
Hinweis
Die Richtlinieneinstellung "Delegieren neuer Anmeldeinformationen zulassen" kann auf einen oder mehrere Dienstprinzipalnamen (SPNs) festgelegt werden. Der SPN stellt den Zielserver dar, an den die Benutzeranmeldeinformationen delegiert werden können. Die Verwendung eines einzelnen Wildcards ist zulässig, wenn der SPN angegeben wird.
Zum Beispiel:
TERMSRV/host.humanresources.fabrikam.com.
Remotedesktop-Sitzungshost, der auf host.humanresources.fabrikam.com Computer ausgeführt wird.
TERMSRV/* Remotedesktop-Sitzungshost, der auf allen Computern ausgeführt wird.
TERMSRV/*.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf allen Computern in .humanresources.fabrikam.com ausgeführt wird.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | AllowFreshCredentials |
| Anzeigename | Delegieren neuer Anmeldeinformationen zulassen |
| Position | Computerkonfiguration |
| Pfad | Delegierung von Systemanmeldeinformationen > |
| Registrierungsschlüsselname | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Name des Registrierungswertes | AllowFreshCredentials |
| ADMX-Dateiname | CredSsp.admx |
AllowFreshCredentialsWhenNTLMOnly
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowFreshCredentialsWhenNTLMOnly
Diese Richtlinieneinstellung gilt für Anwendungen, die die Cred-SSP-Komponente verwenden (z. B. Remotedesktopverbindung).
Diese Richtlinieneinstellung gilt, wenn die Serverauthentifizierung über NTLM erreicht wurde.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Server angeben, an die die neuen Anmeldeinformationen des Benutzers delegiert werden können (neue Anmeldeinformationen sind diejenigen, die Beim Ausführen der Anwendung aufgefordert werden).
Wenn Sie diese Richtlinieneinstellung nicht (standardmäßig) konfigurieren, ist nach ordnungsgemäßer gegenseitiger Authentifizierung die Delegierung neuer Anmeldeinformationen an den Remotedesktopsitzungshost zulässig, der auf einem beliebigen Computer (TERMSRV/*) ausgeführt wird.
Wenn Sie diese Richtlinieneinstellung deaktivieren, ist die Delegierung neuer Anmeldeinformationen auf keinem Computer zulässig.
Hinweis
Die Richtlinieneinstellung "Delegieren neuer Anmeldeinformationen mit nur NTLM-Serverauthentifizierung zulassen" kann auf einen oder mehrere Dienstprinzipalnamen (SPNs) festgelegt werden. Der SPN stellt den Zielserver dar, an den die Benutzeranmeldeinformationen delegiert werden können. Die Verwendung eines einzelnen Wildcardzeichens ist zulässig, wenn der SPN angegeben wird.
Zum Beispiel:
TERMSRV/host.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf host.humanresources.fabrikam.com Computer ausgeführt wird.
TERMSRV/* Remotedesktop-Sitzungshost, der auf allen Computern ausgeführt wird.
TERMSRV/*.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf allen Computern in humanresources.fabrikam.com ausgeführt wird.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | AllowFreshCredentialsWhenNTLMOnly |
| Anzeigename | Delegieren neuer Anmeldeinformationen mit nur NTLM-Serverauthentifizierung zulassen |
| Position | Computerkonfiguration |
| Pfad | Delegierung von Systemanmeldeinformationen > |
| Registrierungsschlüsselname | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Name des Registrierungswertes | AllowFreshCredentialsWhenNTLMOnly |
| ADMX-Dateiname | CredSsp.admx |
AllowSavedCredentials
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowSavedCredentials
Diese Richtlinieneinstellung gilt für Anwendungen, die die Cred-SSP-Komponente verwenden (z. B. Remotedesktopverbindung).
Diese Richtlinieneinstellung gilt, wenn die Serverauthentifizierung über ein vertrauenswürdiges X509-Zertifikat oder Kerberos erreicht wurde.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Server angeben, an die die gespeicherten Anmeldeinformationen des Benutzers delegiert werden können (gespeicherte Anmeldeinformationen sind diejenigen, die Sie mithilfe des Windows-Anmeldeinformations-Managers speichern bzw. speichern möchten).
Wenn Sie diese Richtlinieneinstellung nicht (standardmäßig) konfigurieren, ist nach ordnungsgemäßer gegenseitiger Authentifizierung die Delegierung gespeicherter Anmeldeinformationen an den Remotedesktopsitzungshost zulässig, der auf einem beliebigen Computer (TERMSRV/*) ausgeführt wird.
Wenn Sie diese Richtlinieneinstellung deaktivieren, ist die Delegierung gespeicherter Anmeldeinformationen auf keinem Computer zulässig.
Hinweis
Die Richtlinieneinstellung "Delegieren gespeicherter Anmeldeinformationen zulassen" kann auf mindestens einen Dienstprinzipalnamen (Service Principal Names, SPNs) festgelegt werden. Der SPN stellt den Zielserver dar, an den die Benutzeranmeldeinformationen delegiert werden können. Die Verwendung eines einzelnen Wildcardzeichens ist zulässig, wenn der SPN angegeben wird.
Zum Beispiel:
TERMSRV/host.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf host.humanresources.fabrikam.com Computer ausgeführt wird.
TERMSRV/* Remotedesktop-Sitzungshost, der auf allen Computern ausgeführt wird.
TERMSRV/*.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf allen Computern in humanresources.fabrikam.com ausgeführt wird.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | AllowSavedCredentials |
| Anzeigename | Delegieren gespeicherter Anmeldeinformationen zulassen |
| Position | Computerkonfiguration |
| Pfad | Delegierung von Systemanmeldeinformationen > |
| Registrierungsschlüsselname | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Name des Registrierungswertes | AllowSavedCredentials |
| ADMX-Dateiname | CredSsp.admx |
AllowSavedCredentialsWhenNTLMOnly
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowSavedCredentialsWhenNTLMOnly
Diese Richtlinieneinstellung gilt für Anwendungen, die die Cred-SSP-Komponente verwenden (z. B. Remotedesktopverbindung).
Diese Richtlinieneinstellung gilt, wenn die Serverauthentifizierung über NTLM erreicht wurde.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Server angeben, an die die gespeicherten Anmeldeinformationen des Benutzers delegiert werden können (gespeicherte Anmeldeinformationen sind diejenigen, die Sie mithilfe des Windows-Anmeldeinformations-Managers speichern bzw. speichern möchten).
Wenn Sie diese Richtlinieneinstellung nicht (standardmäßig) konfigurieren, ist nach ordnungsgemäßer gegenseitiger Authentifizierung die Delegierung gespeicherter Anmeldeinformationen an den Remotedesktopsitzungshost zulässig, der auf einem beliebigen Computer (TERMSRV/*) ausgeführt wird, wenn der Clientcomputer kein Mitglied einer Domäne ist. Wenn der Client in die Domäne eingebunden ist, ist die Delegierung gespeicherter Anmeldeinformationen auf keinem Computer zulässig.
Wenn Sie diese Richtlinieneinstellung deaktivieren, ist die Delegierung gespeicherter Anmeldeinformationen auf keinem Computer zulässig.
Hinweis
Die Richtlinieneinstellung "Delegieren gespeicherter Anmeldeinformationen mit nur NTLM-Serverauthentifizierung zulassen" kann auf mindestens einen Dienstprinzipalnamen (Service Principal Names, SPNs) festgelegt werden. Der SPN stellt den Zielserver dar, an den die Benutzeranmeldeinformationen delegiert werden können. Die Verwendung eines einzelnen Wildcardzeichens ist zulässig, wenn der SPN angegeben wird.
Zum Beispiel:
TERMSRV/host.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf host.humanresources.fabrikam.com Computer ausgeführt wird.
TERMSRV/* Remotedesktop-Sitzungshost, der auf allen Computern ausgeführt wird.
TERMSRV/*.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf allen Computern in humanresources.fabrikam.com ausgeführt wird.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | AllowSavedCredentialsWhenNTLMOnly |
| Anzeigename | Delegieren gespeicherter Anmeldeinformationen mit nur NTLM-Serverauthentifizierung zulassen |
| Position | Computerkonfiguration |
| Pfad | Delegierung von Systemanmeldeinformationen > |
| Registrierungsschlüsselname | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Name des Registrierungswertes | AllowSavedCredentialsWhenNTLMOnly |
| ADMX-Dateiname | CredSsp.admx |
DenyDefaultCredentials
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenyDefaultCredentials
Diese Richtlinieneinstellung gilt für Anwendungen, die die Cred-SSP-Komponente verwenden (z. B. Remotedesktopverbindung).
Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Server angeben, an die die Standardanmeldeinformationen des Benutzers nicht delegiert werden können (Standardanmeldeinformationen sind die Anmeldeinformationen, die Sie bei der ersten Anmeldung bei Windows verwenden).
Wenn Sie diese Richtlinieneinstellung deaktivieren oder (standardmäßig) nicht konfigurieren, gibt diese Richtlinieneinstellung keinen Server an.
Hinweis
Die Richtlinieneinstellung "Delegieren von Standardanmeldeinformationen verweigern" kann auf mindestens einen Dienstprinzipalnamen (Service Principal Names, SPNs) festgelegt werden. Der SPN stellt den Zielserver dar, an den die Benutzeranmeldeinformationen nicht delegiert werden können. Die Verwendung eines einzelnen Wildcardzeichens ist zulässig, wenn der SPN angegeben wird.
Zum Beispiel:
TERMSRV/host.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf host.humanresources.fabrikam.com Computer ausgeführt wird.
TERMSRV/* Remotedesktop-Sitzungshost, der auf allen Computern ausgeführt wird.
TERMSRV/*.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf allen Computern in .humanresources.fabrikam.com ausgeführt wird.
Diese Richtlinieneinstellung kann in Kombination mit der Richtlinieneinstellung "Delegieren von Standardanmeldeinformationen zulassen" verwendet werden, um Ausnahmen für bestimmte Server zu definieren, die andernfalls zulässig sind, wenn in der Serverliste "Delegieren von Standardanmeldeinformationen zulassen" Die Verwendung von Wildcardzeichen verwendet wird.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | DenyDefaultCredentials |
| Anzeigename | Delegieren von Standardanmeldeinformationen verweigern |
| Position | Computerkonfiguration |
| Pfad | Delegierung von Systemanmeldeinformationen > |
| Registrierungsschlüsselname | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Name des Registrierungswertes | DenyDefaultCredentials |
| ADMX-Dateiname | CredSsp.admx |
DenyFreshCredentials
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenyFreshCredentials
Diese Richtlinieneinstellung gilt für Anwendungen, die die Cred-SSP-Komponente verwenden (z. B. Remotedesktopverbindung).
Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Server angeben, an die die neuen Anmeldeinformationen des Benutzers nicht delegiert werden können (neue Anmeldeinformationen sind diejenigen, die Beim Ausführen der Anwendung aufgefordert werden).
Wenn Sie diese Richtlinieneinstellung deaktivieren oder (standardmäßig) nicht konfigurieren, gibt diese Richtlinieneinstellung keinen Server an.
Hinweis
Die Richtlinieneinstellung "Delegieren neuer Anmeldeinformationen verweigern" kann auf mindestens einen Dienstprinzipalnamen (Service Principal Names, SPNs) festgelegt werden. Der SPN stellt den Zielserver dar, an den die Benutzeranmeldeinformationen nicht delegiert werden können. Die Verwendung eines einzelnen Wildcardzeichens ist zulässig, wenn der SPN angegeben wird.
Zum Beispiel:
TERMSRV/host.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf host.humanresources.fabrikam.com Computer ausgeführt wird.
TERMSRV/* Remotedesktop-Sitzungshost, der auf allen Computern ausgeführt wird.
TERMSRV/*.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf allen Computern in .humanresources.fabrikam.com ausgeführt wird.
Diese Richtlinieneinstellung kann in Kombination mit der Richtlinieneinstellung "Delegieren neuer Anmeldeinformationen zulassen" verwendet werden, um Ausnahmen für bestimmte Server zu definieren, die andernfalls zulässig sind, wenn in der Serverliste "Delegieren neuer Anmeldeinformationen zulassen" Die Verwendung von Wildcardzeichen verwendet wird.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | DenyFreshCredentials |
| Anzeigename | Delegieren neuer Anmeldeinformationen verweigern |
| Position | Computerkonfiguration |
| Pfad | Delegierung von Systemanmeldeinformationen > |
| Registrierungsschlüsselname | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Name des Registrierungswertes | DenyFreshCredentials |
| ADMX-Dateiname | CredSsp.admx |
DenySavedCredentials
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenySavedCredentials
Diese Richtlinieneinstellung gilt für Anwendungen, die die Cred-SSP-Komponente verwenden (z. B. Remotedesktopverbindung).
Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Server angeben, an die die gespeicherten Anmeldeinformationen des Benutzers nicht delegiert werden können (gespeicherte Anmeldeinformationen sind diejenigen, die Sie mithilfe des Windows-Anmeldeinformations-Managers speichern bzw. speichern möchten).
Wenn Sie diese Richtlinieneinstellung deaktivieren oder (standardmäßig) nicht konfigurieren, gibt diese Richtlinieneinstellung keinen Server an.
Hinweis
Die Richtlinieneinstellung "Delegieren gespeicherter Anmeldeinformationen verweigern" kann auf einen oder mehrere Dienstprinzipalnamen (SPNs) festgelegt werden. Der SPN stellt den Zielserver dar, an den die Benutzeranmeldeinformationen nicht delegiert werden können. Die Verwendung eines einzelnen Wildcardzeichens ist zulässig, wenn der SPN angegeben wird.
Zum Beispiel:
TERMSRV/host.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf host.humanresources.fabrikam.com Computer ausgeführt wird.
TERMSRV/* Remotedesktop-Sitzungshost, der auf allen Computern ausgeführt wird.
TERMSRV/*.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf allen Computern in .humanresources.fabrikam.com ausgeführt wird.
Diese Richtlinieneinstellung kann in Kombination mit der Richtlinieneinstellung "Delegieren gespeicherter Anmeldeinformationen zulassen" verwendet werden, um Ausnahmen für bestimmte Server zu definieren, die andernfalls zulässig sind, wenn in der Serverliste "Delegieren gespeicherter Anmeldeinformationen zulassen" Die Verwendung von Wildcardzeichen verwendet wird.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | DenySavedCredentials |
| Anzeigename | Delegieren gespeicherter Anmeldeinformationen verweigern |
| Position | Computerkonfiguration |
| Pfad | Delegierung von Systemanmeldeinformationen > |
| Registrierungsschlüsselname | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Name des Registrierungswertes | DenySavedCredentials |
| ADMX-Dateiname | CredSsp.admx |
RestrictedRemoteAdministration
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration
Wenn sie im Modus "Eingeschränkter Administrator" oder "Remote Credential Guard" ausgeführt werden, machen die teilnehmenden Apps keine angemeldeten oder bereitgestellten Anmeldeinformationen für einen Remotehost verfügbar. Eingeschränkter Administrator beschränkt den Zugriff auf Ressourcen, die sich auf anderen Servern oder Netzwerken vom Remotehost befinden, da anmeldeinformationen nicht delegiert werden. Remote Credential Guard schränkt den Zugriff auf Ressourcen nicht ein, da alle Anforderungen zurück an das Clientgerät umgeleitet werden.
Teilnehmende Apps:
Remotedesktopclient.
- Wenn Sie diese Richtlinieneinstellung aktivieren, werden die folgenden Optionen unterstützt:
Delegierung von Anmeldeinformationen einschränken: Teilnehmende Anwendungen müssen eingeschränkter Administrator oder Remote Credential Guard verwenden, um eine Verbindung mit Remotehosts herzustellen.
Remote Credential Guard erforderlich: Teilnehmende Anwendungen müssen Remote Credential Guard verwenden, um eine Verbindung mit Remotehosts herzustellen.
Eingeschränkten Administrator erforderlich: Teilnehmende Anwendungen müssen eingeschränkten Administrator verwenden, um eine Verbindung mit Remotehosts herzustellen.
- Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden der Eingeschränkte Administratormodus und der Remote-Credential Guard-Modus nicht erzwungen, und teilnehmende Apps können Anmeldeinformationen an Remotegeräte delegieren.
Hinweis
Um die meisten Delegierungen von Anmeldeinformationen zu deaktivieren, kann es ausreichen, die Delegierung im Credential Security Support Provider (CredSSP) zu verweigern, indem Sie die Administrativen Vorlageneinstellungen (unter Computerkonfiguration\Administrative Vorlagen\System\Anmeldeinformationendelegierung) ändern.
Hinweis
Unter Windows 8.1 und Windows Server 2012 R2 erzwingt die Aktivierung dieser Richtlinie den Eingeschränkten Verwaltungsmodus, unabhängig vom gewählten Modus. Diese Versionen unterstützen Remote Credential Guard nicht.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | RestrictedRemoteAdministration |
| Anzeigename | Einschränken der Delegierung von Anmeldeinformationen auf Remoteserver |
| Position | Computerkonfiguration |
| Pfad | Delegierung von Systemanmeldeinformationen > |
| Registrierungsschlüsselname | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Name des Registrierungswertes | RestrictedRemoteAdministration |
| ADMX-Dateiname | CredSsp.admx |