Teilen über


Richtlinien-CSP – Kerberos

Tipp

Dieser CSP enthält ADMX-gestützte Richtlinien, die ein spezielles SyncML-Format zum Aktivieren oder Deaktivieren erfordern. Sie müssen den Datentyp in SyncML als <Format>chr</Format>angeben. Weitere Informationen finden Sie unter Grundlegendes zu ADMX-gestützten Richtlinien.

Die Nutzlast des SyncML muss XML-codiert sein. Für diese XML-Codierung gibt es eine Vielzahl von Onlineencodern, die Sie verwenden können. Um die Codierung der Nutzlast zu vermeiden, können Sie CDATA verwenden, wenn Ihr MDM dies unterstützt. Weitere Informationen finden Sie unter CDATA-Abschnitte.

AllowForestSearchOrder

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1703 [10.0.15063] und höher
./Device/Vendor/MSFT/Policy/Config/Kerberos/AllowForestSearchOrder

Diese Richtlinieneinstellung definiert die Liste der vertrauenswürdigen Gesamtstrukturen, die der Kerberos-Client durchsucht, wenn versucht wird, zweiteilige Dienstprinzipalnamen (SPNs) aufzulösen.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, durchsucht der Kerberos-Client die Gesamtstrukturen in dieser Liste, wenn er einen zweiteiligen SPN nicht auflösen kann. Wenn eine Übereinstimmung gefunden wird, fordert der Kerberos-Client ein Empfehlungsticket an die entsprechende Domäne an.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, durchsucht der Kerberos-Client die aufgelisteten Gesamtstrukturen nicht, um den SPN aufzulösen. Wenn der Kerberos-Client den SPN nicht auflösen kann, weil der Name nicht gefunden wird, kann die NTLM-Authentifizierung verwendet werden.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name ForestSearch
Anzeigename Verwenden der Gesamtstruktursuchreihenfolge
Pfad Computerkonfiguration
Pfad System > Kerberos
Registrierungsschlüsselname Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Registrierungswertname UseForestSearch
ADMX-Dateiname Kerberos.admx

CloudKerberosTicketRetrievalEnabled

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/Kerberos/CloudKerberosTicketRetrievalEnabled

Diese Richtlinieneinstellung ermöglicht das Abrufen des Microsoft Entra Kerberos Ticket Granting Ticket während der Anmeldung.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird die Microsoft Entra Kerberos Ticket Granting Ticket während der Anmeldung nicht abgerufen.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, wird die Microsoft Entra Kerberos Ticket Granting Ticket während der Anmeldung abgerufen.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Deaktiviert.
1 Aktiviert.

Gruppenrichtlinienzuordnung:

Name Wert
Name CloudKerberosTicketRetrievalEnabled
Anzeigename Zulassen des Abrufens des Azure AD Kerberos Ticket Granting Ticket während der Anmeldung
Pfad Computerkonfiguration
Pfad System > Kerberos
Registrierungsschlüsselname Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Registrierungswertname CloudKerberosTicketRetrievalEnabled
ADMX-Dateiname Kerberos.admx

KerberosClientSupportsClaimsCompoundArmor

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1703 [10.0.15063] und höher
./Device/Vendor/MSFT/Policy/Config/Kerberos/KerberosClientSupportsClaimsCompoundArmor

Diese Richtlinieneinstellung steuert, ob ein Gerät Ansprüche und Verbundauthentifizierung für dynamische Access Control und Kerberos Armoring mithilfe der Kerberos-Authentifizierung mit Domänen anzufordern, die diese Features unterstützen.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, fordern die Clientcomputer Ansprüche an, stellen Informationen bereit, die zum Erstellen der verbundierten Authentifizierung erforderlich sind, und schützen Kerberos-Nachrichten in Domänen, die Ansprüche und Verbundauthentifizierung für dynamische Access Control und Kerberos Armoring unterstützen.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, fordern die Clientgeräte keine Ansprüche an, geben Informationen an, die zum Erstellen der zusammengesetzten Authentifizierung und zum Schützen von Kerberos-Nachrichten erforderlich sind. Dienste, die auf dem Gerät gehostet werden, können keine Ansprüche für Clients mithilfe des Kerberos-Protokollübergangs abrufen.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name EnableCbacAndArmor
Anzeigename Kerberos-Clientunterstützung für Ansprüche, Verbundauthentifizierung und Kerberos-Armoring
Pfad Computerkonfiguration
Pfad System > Kerberos
Registrierungsschlüsselname Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Registrierungswertname EnableCbacAndArmor
ADMX-Dateiname Kerberos.admx

PKInitHashAlgorithmConfiguration

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, Version 22H2 [10.0.22621] und höher
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration

Diese Richtlinieneinstellung steuert Hash- oder Prüfsummenalgorithmen, die vom Kerberos-Client bei der Zertifikatauthentifizierung verwendet werden.

  • Wenn Sie diese Richtlinie aktivieren, können Sie einen von vier Zuständen für jeden Algorithmus konfigurieren:

  • "Standard" legt den Algorithmus auf den empfohlenen Zustand fest.

  • "Unterstützt" ermöglicht die Verwendung des Algorithmus. Das Aktivieren von Algorithmen, die standardmäßig deaktiviert wurden, kann Ihre Sicherheit verringern.

  • "Audited" ermöglicht die Verwendung des Algorithmus und meldet bei jeder Verwendung ein Ereignis (ID 206). Dieser Zustand soll überprüfen, ob der Algorithmus nicht verwendet wird und sicher deaktiviert werden kann.

  • "Nicht unterstützt" deaktiviert die Verwendung des Algorithmus. Dieser Zustand ist für Algorithmen vorgesehen, die als unsicher gelten.

  • Wenn Sie diese Richtlinie deaktivieren oder nicht konfigurieren, nimmt jeder Algorithmus den Status "Standard" an.

Von dieser Konfiguration generierte Ereignisse: 205, 206, 207, 208.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Deaktiviert/Nicht konfiguriert.
1 Aktiviert.

Gruppenrichtlinienzuordnung:

Name Wert
Name PKInitHashAlgorithmConfiguration
Anzeigename Konfigurieren von Hashalgorithmen für die Zertifikatanmeldung
Pfad Computerkonfiguration
Pfad System > Kerberos
Registrierungsschlüsselname Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Registrierungswertname PKInitHashAlgorithmConfigurationEnabled
ADMX-Dateiname Kerberos.admx

PKInitHashAlgorithmSHA1

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, Version 22H2 [10.0.22621] und höher
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA1

Diese Richtlinieneinstellung steuert die Konfiguration des SHA1-Algorithmus, der vom Kerberos-Client bei der Zertifikatauthentifizierung verwendet wird. Diese Richtlinie wird nur erzwungen, wenn Kerberos/PKInitHashAlgorithmConfiguration aktiviert ist. Sie können einen von vier Zuständen für diesen Algorithmus konfigurieren:

  • 0 – Nicht unterstützt: Dieser Zustand deaktiviert die Verwendung des Algorithmus. Dieser Zustand ist für Algorithmen vorgesehen, die als unsicher gelten.
  • 1 – Standard: Dieser Zustand legt den Algorithmus auf den empfohlenen Zustand fest.
  • 2 – Überwacht: Dieser Zustand ermöglicht die Verwendung des Algorithmus und meldet bei jeder Verwendung ein Ereignis (ID 206). Dieser Zustand soll überprüfen, ob der Algorithmus nicht verwendet wird und sicher deaktiviert werden kann.
  • 3 – Unterstützt: Dieser Zustand ermöglicht die Verwendung des Algorithmus. Das Aktivieren von Algorithmen, die standardmäßig deaktiviert wurden, kann Ihre Sicherheit verringern.

Wenn Sie diese Richtlinie nicht konfigurieren, nimmt der SHA1-Algorithmus den Standardzustand an.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1
Abhängigkeit [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] Abhängigkeitstyp: DependsOn
Abhängigkeits-URI: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): [1]
Dependency Allowed Value Type(Dependency Allowed Value Type): Range

Zulässige Werte:

Wert Beschreibung
0 Nicht unterstützt.
1 (Standard) Standard.
2 Geprüft.
3 Unterstützt.

Gruppenrichtlinienzuordnung:

Name Wert
Name PKInitHashAlgorithmConfiguration
Anzeigename Konfigurieren von Hashalgorithmen für die Zertifikatanmeldung
Pfad Computerkonfiguration
Pfad System > Kerberos
Registrierungsschlüsselname Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Registrierungswertname PKInitHashAlgorithmConfigurationEnabled
ADMX-Dateiname Kerberos.admx

PKInitHashAlgorithmSHA256

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, Version 22H2 [10.0.22621] und höher
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA256

Diese Richtlinieneinstellung steuert die Konfiguration des SHA256-Algorithmus, der vom Kerberos-Client bei der Zertifikatauthentifizierung verwendet wird. Diese Richtlinie wird nur erzwungen, wenn Kerberos/PKInitHashAlgorithmConfiguration aktiviert ist. Sie können einen von vier Zuständen für diesen Algorithmus konfigurieren:

  • 0 – Nicht unterstützt: Dieser Zustand deaktiviert die Verwendung des Algorithmus. Dieser Zustand ist für Algorithmen vorgesehen, die als unsicher gelten.
  • 1 – Standard: Dieser Zustand legt den Algorithmus auf den empfohlenen Zustand fest.
  • 2 – Überwacht: Dieser Zustand ermöglicht die Verwendung des Algorithmus und meldet bei jeder Verwendung ein Ereignis (ID 206). Dieser Zustand soll überprüfen, ob der Algorithmus nicht verwendet wird und sicher deaktiviert werden kann.
  • 3 – Unterstützt: Dieser Zustand ermöglicht die Verwendung des Algorithmus. Das Aktivieren von Algorithmen, die standardmäßig deaktiviert wurden, kann Ihre Sicherheit verringern.

Wenn Sie diese Richtlinie nicht konfigurieren, nimmt der SHA256-Algorithmus den Standardstatus an.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1
Abhängigkeit [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] Abhängigkeitstyp: DependsOn
Abhängigkeits-URI: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): [1]
Dependency Allowed Value Type(Dependency Allowed Value Type): Range

Zulässige Werte:

Wert Beschreibung
0 Nicht unterstützt.
1 (Standard) Standard.
2 Geprüft.
3 Unterstützt.

Gruppenrichtlinienzuordnung:

Name Wert
Name PKInitHashAlgorithmConfiguration
Anzeigename Konfigurieren von Hashalgorithmen für die Zertifikatanmeldung
Pfad Computerkonfiguration
Pfad System > Kerberos
Registrierungsschlüsselname Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Registrierungswertname PKInitHashAlgorithmConfigurationEnabled
ADMX-Dateiname Kerberos.admx

PKInitHashAlgorithmSHA384

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, Version 22H2 [10.0.22621] und höher
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA384

Diese Richtlinieneinstellung steuert die Konfiguration des SHA384-Algorithmus, der vom Kerberos-Client bei der Zertifikatauthentifizierung verwendet wird. Diese Richtlinie wird nur erzwungen, wenn Kerberos/PKInitHashAlgorithmConfiguration aktiviert ist. Sie können einen von vier Zuständen für diesen Algorithmus konfigurieren:

  • 0 – Nicht unterstützt: Dieser Zustand deaktiviert die Verwendung des Algorithmus. Dieser Zustand ist für Algorithmen vorgesehen, die als unsicher gelten.
  • 1 – Standard: Dieser Zustand legt den Algorithmus auf den empfohlenen Zustand fest.
  • 2 – Überwacht: Dieser Zustand ermöglicht die Verwendung des Algorithmus und meldet bei jeder Verwendung ein Ereignis (ID 206). Dieser Zustand soll überprüfen, ob der Algorithmus nicht verwendet wird und sicher deaktiviert werden kann.
  • 3 – Unterstützt: Dieser Zustand ermöglicht die Verwendung des Algorithmus. Das Aktivieren von Algorithmen, die standardmäßig deaktiviert wurden, kann Ihre Sicherheit verringern.

Wenn Sie diese Richtlinie nicht konfigurieren, nimmt der SHA384-Algorithmus den Standardstatus an.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1
Abhängigkeit [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] Abhängigkeitstyp: DependsOn
Abhängigkeits-URI: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): [1]
Dependency Allowed Value Type(Dependency Allowed Value Type): Range

Zulässige Werte:

Wert Beschreibung
0 Nicht unterstützt.
1 (Standard) Standard.
2 Geprüft.
3 Unterstützt.

Gruppenrichtlinienzuordnung:

Name Wert
Name PKInitHashAlgorithmConfiguration
Anzeigename Konfigurieren von Hashalgorithmen für die Zertifikatanmeldung
Pfad Computerkonfiguration
Pfad System > Kerberos
Registrierungsschlüsselname Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Registrierungswertname PKInitHashAlgorithmConfigurationEnabled
ADMX-Dateiname Kerberos.admx

PKInitHashAlgorithmSHA512

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, Version 22H2 [10.0.22621] und höher
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA512

Diese Richtlinieneinstellung steuert die Konfiguration des SHA512-Algorithmus, der vom Kerberos-Client bei der Zertifikatauthentifizierung verwendet wird. Diese Richtlinie wird nur erzwungen, wenn Kerberos/PKInitHashAlgorithmConfiguration aktiviert ist. Sie können einen von vier Zuständen für diesen Algorithmus konfigurieren:

  • 0 – Nicht unterstützt: Dieser Zustand deaktiviert die Verwendung des Algorithmus. Dieser Zustand ist für Algorithmen vorgesehen, die als unsicher gelten.
  • 1 – Standard: Dieser Zustand legt den Algorithmus auf den empfohlenen Zustand fest.
  • 2 – Überwacht: Dieser Zustand ermöglicht die Verwendung des Algorithmus und meldet bei jeder Verwendung ein Ereignis (ID 206). Dieser Zustand soll überprüfen, ob der Algorithmus nicht verwendet wird und sicher deaktiviert werden kann.
  • 3 – Unterstützt: Dieser Zustand ermöglicht die Verwendung des Algorithmus. Das Aktivieren von Algorithmen, die standardmäßig deaktiviert wurden, kann Ihre Sicherheit verringern.

Wenn Sie diese Richtlinie nicht konfigurieren, nimmt der SHA512-Algorithmus den Status Standard an.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1
Abhängigkeit [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] Abhängigkeitstyp: DependsOn
Abhängigkeits-URI: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): [1]
Dependency Allowed Value Type(Dependency Allowed Value Type): Range

Zulässige Werte:

Wert Beschreibung
0 Nicht unterstützt.
1 (Standard) Standard.
2 Geprüft.
3 Unterstützt.

Gruppenrichtlinienzuordnung:

Name Wert
Name PKInitHashAlgorithmConfiguration
Anzeigename Konfigurieren von Hashalgorithmen für die Zertifikatanmeldung
Pfad Computerkonfiguration
Pfad System > Kerberos
Registrierungsschlüsselname Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Registrierungswertname PKInitHashAlgorithmConfigurationEnabled
ADMX-Dateiname Kerberos.admx

RequireKerberosArmoring

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1703 [10.0.15063] und höher
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireKerberosArmoring

Diese Richtlinieneinstellung steuert, ob ein Computer erfordert, dass der Kerberos-Nachrichtenaustausch bei der Kommunikation mit einem Domänencontroller gepanzert wird.

Warnung

Wenn eine Domäne die Kerberos-Panzerung nicht unterstützt, indem sie "Unterstützung dynamischer Access Control und Kerberos-Armoring" aktiviert, schlägt die gesamte Authentifizierung für alle Benutzer von Computern mit dieser Richtlinieneinstellung fehl.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, erzwingen die Clientcomputer in der Domäne die Verwendung von Kerberos Armoring nur in Authentifizierungsdienst (AS) und TgS-Nachrichtenaustausch (Ticket-Granting Service) mit den Domänencontrollern.

Hinweis

Die Kerberos-Gruppenrichtlinie "Kerberos-Clientunterstützung für Ansprüche, Verbundauthentifizierung und Kerberos-Rüstung" muss ebenfalls aktiviert sein, um kerberos armoring zu unterstützen.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, erzwingen die Clientcomputer in der Domäne nach Möglichkeit die Verwendung von Kerberos-Armoring, wie von der Zieldomäne unterstützt.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name ClientRequireFast
Anzeigename Fehler bei Authentifizierungsanforderungen, wenn kerberos armoring nicht verfügbar ist
Pfad Computerkonfiguration
Pfad System > Kerberos
Registrierungsschlüsselname Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Registrierungswertname RequireFast
ADMX-Dateiname Kerberos.admx

RequireStrictKDCValidation

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1703 [10.0.15063] und höher
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireStrictKDCValidation

Diese Richtlinieneinstellung steuert das Verhalten des Kerberos-Clients bei der Überprüfung des KDC-Zertifikats für intelligente Karte- und Systemzertifikatanmeldungen.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, erfordert der Kerberos-Client, dass das X.509-Zertifikat des KDC den KDC-Schlüsselzweckobjektbezeichner in den Erweiterungen für erweiterte Schlüsselverwendung (Extended Key Usage, EKU) enthält und dass das X.509-Zertifikat des KDC eine dNSName-Erweiterung subjectAltName (SAN) enthält, die dem DNS-Namen der Domäne entspricht. Wenn der Computer in eine Domäne eingebunden ist, erfordert der Kerberos-Client, dass das X.509-Zertifikat des KDC von einer Zertifizierungsstelle (Ca) im NTAuth-Speicher signiert werden muss. Wenn der Computer nicht mit einer Domäne verknüpft ist, lässt der Kerberos-Client zu, dass das Zertifikat der Stammzertifizierungsstelle auf dem smarten Karte bei der Pfadüberprüfung des X.509-Zertifikats des KDC verwendet wird.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, erfordert der Kerberos-Client nur, dass das KDC-Zertifikat den Objektbezeichner für die Serverauthentifizierung in den EKU-Erweiterungen enthält, die für jeden Server ausgestellt werden kann.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name ValidateKDC
Anzeigename Strenge KDC-Überprüfung erforderlich
Pfad Computerkonfiguration
Pfad System > Kerberos
Registrierungsschlüsselname Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Registrierungswertname KdcValidation
ADMX-Dateiname Kerberos.admx

SetMaximumContextTokenSize

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1703 [10.0.15063] und höher
./Device/Vendor/MSFT/Policy/Config/Kerberos/SetMaximumContextTokenSize

Mit dieser Richtlinieneinstellung können Sie den Wert festlegen, der an Anwendungen zurückgegeben wird, die die maximale Größe des SSPI-Kontexttokenpuffers anfordern.

Die Größe des Kontexttokenpuffers bestimmt die maximale Größe von SSPI-Kontexttoken, die eine Anwendung erwartet und zuweist. Je nach Verarbeitung von Authentifizierungsanforderungen und Gruppenmitgliedschaften ist der Puffer möglicherweise kleiner als die tatsächliche Größe des SSPI-Kontexttokens.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, verwendet der Kerberos-Client oder -Server den konfigurierten Wert oder den lokal zulässigen Maximalwert, je nachdem, welcher Wert kleiner ist.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet der Kerberos-Client oder -Server den lokal konfigurierten Wert oder den Standardwert.

Hinweis

Diese Richtlinieneinstellung konfiguriert den vorhandenen MaxTokenSize-Registrierungswert in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters, der in Windows XP und Windows Server 2003 hinzugefügt wurde, mit einem Standardwert von 12.000 Bytes. Ab Windows 8 ist der Standardwert 48.000 Bytes. Aufgrund der Base64-Codierung von Authentifizierungskontexttoken von HTTP wird davon abgeraten, diesen Wert auf mehr als 48.000 Bytes festzulegen.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name Maxtokensize
Anzeigename Festlegen der maximalen Kerberos-SSPI-Kontexttokenpuffergröße
Pfad Computerkonfiguration
Pfad System > Kerberos
Registrierungsschlüsselname System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Registrierungswertname EnableMaxTokenSize
ADMX-Dateiname Kerberos.admx

UPNNameHints

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Policy/Config/Kerberos/UPNNameHints

Geräte, die mit Microsoft Entra ID in einer Hybridumgebung verbunden sind, müssen mit Active Directory-Domäne Controllern interagieren, aber ihnen fehlt die integrierte Möglichkeit, einen Domänencontroller zu finden, über den ein in die Domäne eingebundenes Gerät verfügt. Dies kann zu Fehlern führen, wenn ein solches Gerät einen Microsoft Entra UPN in einen Active Directory-Prinzipal auflösen muss. Dieser Parameter fügt eine Liste der Domänen hinzu, die ein Microsoft Entra verbundenes Gerät zu kontaktieren versuchen sollte, wenn ein UPN andernfalls nicht in einem Prinzipal aufgelöst werden kann.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Dienstanbieter für die Richtlinienkonfiguration