Freigeben über


Richtlinien-CSP – ADMX_CredSsp

Tipp

Dieser CSP enthält ADMX-gestützte Richtlinien, die ein spezielles SyncML-Format zum Aktivieren oder Deaktivieren erfordern. Sie müssen den Datentyp in SyncML als <Format>chr</Format>angeben. Weitere Informationen finden Sie unter Grundlegendes zu ADMX-gestützten Richtlinien.

Die Nutzlast des SyncML muss XML-codiert sein. Für diese XML-Codierung gibt es eine Vielzahl von Onlineencodern, die Sie verwenden können. Um die Codierung der Nutzlast zu vermeiden, können Sie CDATA verwenden, wenn Ihr MDM dies unterstützt. Weitere Informationen finden Sie unter CDATA-Abschnitte.

AllowDefaultCredentials

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowDefaultCredentials

Diese Richtlinieneinstellung gilt für Anwendungen, die die Cred-SSP-Komponente verwenden (z. B. Remotedesktopverbindung).

Diese Richtlinieneinstellung gilt, wenn die Serverauthentifizierung mithilfe eines vertrauenswürdigen X509-Zertifikats oder Kerberos erreicht wurde.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Server angeben, an die die Standardanmeldeinformationen des Benutzers delegiert werden können (Standardanmeldeinformationen sind die Anmeldeinformationen, die Sie bei der ersten Anmeldung bei Windows verwenden).

Die Richtlinie wird wirksam, wenn sich der Benutzer das nächste Mal bei einem Computer unter Windows anmeldet.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder (standardmäßig) nicht konfigurieren, ist die Delegierung von Standardanmeldeinformationen auf keinem Computer zulässig. Bei Anwendungen, die von diesem Delegierungsverhalten abhängig sind, kann die Authentifizierung fehlschlagen. Weitere Informationen finden Sie unter KB.

FWlink für KB:

https://go.microsoft.com/fwlink/?LinkId=301508

Hinweis

Die Richtlinieneinstellung "Delegieren von Standardanmeldeinformationen zulassen" kann auf mindestens einen Dienstprinzipalnamen (Service Principal Names, SPNs) festgelegt werden. Der SPN stellt den Zielserver dar, an den die Benutzeranmeldeinformationen delegiert werden können. Die Verwendung eines einzelnen Wildcardzeichens ist zulässig, wenn der SPN angegeben wird.

Zum Beispiel:

TERMSRV/host.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf host.humanresources.fabrikam.com Computer ausgeführt wird.

TERMSRV/* Remotedesktop-Sitzungshost, der auf allen Computern ausgeführt wird.

TERMSRV/*.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf allen Computern in .humanresources.fabrikam.com ausgeführt wird.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name AllowDefaultCredentials
Anzeigename Delegieren von Standardanmeldeinformationen zulassen
Position Computerkonfiguration
Pfad Delegierung von Systemanmeldeinformationen >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\CredentialsDelegation
Name des Registrierungswertes AllowDefaultCredentials
ADMX-Dateiname CredSsp.admx

AllowDefCredentialsWhenNTLMOnly

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowDefCredentialsWhenNTLMOnly

Diese Richtlinieneinstellung gilt für Anwendungen, die die Cred-SSP-Komponente verwenden (z. B. Remotedesktopverbindung).

Diese Richtlinieneinstellung gilt, wenn die Serverauthentifizierung über NTLM erreicht wurde.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Server angeben, an die die Standardanmeldeinformationen des Benutzers delegiert werden können (Standardanmeldeinformationen sind die Anmeldeinformationen, die Sie bei der ersten Anmeldung bei Windows verwenden).

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder (standardmäßig) nicht konfigurieren, ist die Delegierung von Standardanmeldeinformationen auf keinem Computer zulässig.

Hinweis

Die Richtlinieneinstellung "Delegieren von Standardanmeldeinformationen mit nur NTLM-Serverauthentifizierung zulassen" kann auf mindestens einen Dienstprinzipalnamen (Service Principal Names, SPNs) festgelegt werden. Der SPN stellt den Zielserver dar, an den die Benutzeranmeldeinformationen delegiert werden können. Die Verwendung eines einzelnen Wildcardzeichens ist zulässig, wenn der SPN angegeben wird.

Zum Beispiel:

TERMSRV/host.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf host.humanresources.fabrikam.com Computer ausgeführt wird.

TERMSRV/* Remotedesktop-Sitzungshost, der auf allen Computern ausgeführt wird.

TERMSRV/*.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf allen Computern in .humanresources.fabrikam.com ausgeführt wird.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name AllowDefCredentialsWhenNTLMOnly
Anzeigename Delegieren von Standardanmeldeinformationen mit nur NTLM-Serverauthentifizierung zulassen
Position Computerkonfiguration
Pfad Delegierung von Systemanmeldeinformationen >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\CredentialsDelegation
Name des Registrierungswertes AllowDefCredentialsWhenNTLMOnly
ADMX-Dateiname CredSsp.admx

AllowEncryptionOracle

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowEncryptionOracle

Oracle-Wiederherstellung zur Verschlüsselung.

Diese Richtlinieneinstellung gilt für Anwendungen, die die CredSSP-Komponente verwenden (z. B. Remotedesktopverbindung).

Einige Versionen des CredSSP-Protokolls sind anfällig für einen Verschlüsselungs-Oracle-Angriff auf den Client. Diese Richtlinie steuert die Kompatibilität mit anfälligen Clients und Servern. Mit dieser Richtlinie können Sie die gewünschte Schutzebene für das Verschlüsselungs-Oracle-Sicherheitsrisiko festlegen.

Wenn Sie diese Richtlinieneinstellung aktivieren, wird die CredSSP-Versionsunterstützung basierend auf den folgenden Optionen ausgewählt:

Aktualisierte Clients erzwingen: Clientanwendungen, die CredSSP verwenden, können nicht auf unsichere Versionen zurückgreifen, und Dienste, die CredSSP verwenden, akzeptieren keine nicht gepatchten Clients. Beachten Sie, dass diese Einstellung erst bereitgestellt werden sollte, wenn alle Remotehosts die neueste Version unterstützen.

Entschärfung: Clientanwendungen, die CredSSP verwenden, können nicht auf die unsichere Version zurückgreifen, aber Dienste, die CredSSP verwenden, akzeptieren nicht gepatchte Clients. Unter dem folgenden Link finden Sie wichtige Informationen zum Risiko, das von verbleibenden nicht gepatchten Clients ausgeht.

Anfällig: Clientanwendungen, die CredSSP verwenden, machen die Remoteserver für Angriffe verfügbar, indem sie Fallbacks auf unsichere Versionen unterstützen, und Dienste, die CredSSP verwenden, akzeptieren nicht gepatchte Clients.

Weitere Informationen zu den Sicherheitsrisiken und Wartungsanforderungen für den Schutz finden Sie unter https://go.microsoft.com/fwlink/?linkid=866660

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name AllowEncryptionOracle
Anzeigename Oracle-Wiederherstellung zur Verschlüsselung
Position Computerkonfiguration
Pfad Delegierung von Systemanmeldeinformationen >
Registrierungsschlüsselname Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
ADMX-Dateiname CredSsp.admx

AllowFreshCredentials

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowFreshCredentials

Diese Richtlinieneinstellung gilt für Anwendungen, die die Cred-SSP-Komponente verwenden (z. B. Remotedesktopverbindung).

Diese Richtlinieneinstellung gilt, wenn die Serverauthentifizierung über ein vertrauenswürdiges X509-Zertifikat oder Kerberos erreicht wurde.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Server angeben, an die die neuen Anmeldeinformationen des Benutzers delegiert werden können (neue Anmeldeinformationen sind diejenigen, die Beim Ausführen der Anwendung aufgefordert werden).

  • Wenn Sie diese Richtlinieneinstellung nicht (standardmäßig) konfigurieren, ist nach ordnungsgemäßer gegenseitiger Authentifizierung die Delegierung neuer Anmeldeinformationen an den Remotedesktopsitzungshost zulässig, der auf einem beliebigen Computer (TERMSRV/*) ausgeführt wird.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren, ist die Delegierung neuer Anmeldeinformationen auf keinem Computer zulässig.

Hinweis

Die Richtlinieneinstellung "Delegieren neuer Anmeldeinformationen zulassen" kann auf einen oder mehrere Dienstprinzipalnamen (SPNs) festgelegt werden. Der SPN stellt den Zielserver dar, an den die Benutzeranmeldeinformationen delegiert werden können. Die Verwendung eines einzelnen Wildcards ist zulässig, wenn der SPN angegeben wird.

Zum Beispiel:

TERMSRV/host.humanresources.fabrikam.com.

Remotedesktop-Sitzungshost, der auf host.humanresources.fabrikam.com Computer ausgeführt wird.

TERMSRV/* Remotedesktop-Sitzungshost, der auf allen Computern ausgeführt wird.

TERMSRV/*.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf allen Computern in .humanresources.fabrikam.com ausgeführt wird.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name AllowFreshCredentials
Anzeigename Delegieren neuer Anmeldeinformationen zulassen
Position Computerkonfiguration
Pfad Delegierung von Systemanmeldeinformationen >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\CredentialsDelegation
Name des Registrierungswertes AllowFreshCredentials
ADMX-Dateiname CredSsp.admx

AllowFreshCredentialsWhenNTLMOnly

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowFreshCredentialsWhenNTLMOnly

Diese Richtlinieneinstellung gilt für Anwendungen, die die Cred-SSP-Komponente verwenden (z. B. Remotedesktopverbindung).

Diese Richtlinieneinstellung gilt, wenn die Serverauthentifizierung über NTLM erreicht wurde.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Server angeben, an die die neuen Anmeldeinformationen des Benutzers delegiert werden können (neue Anmeldeinformationen sind diejenigen, die Beim Ausführen der Anwendung aufgefordert werden).

  • Wenn Sie diese Richtlinieneinstellung nicht (standardmäßig) konfigurieren, ist nach ordnungsgemäßer gegenseitiger Authentifizierung die Delegierung neuer Anmeldeinformationen an den Remotedesktopsitzungshost zulässig, der auf einem beliebigen Computer (TERMSRV/*) ausgeführt wird.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren, ist die Delegierung neuer Anmeldeinformationen auf keinem Computer zulässig.

Hinweis

Die Richtlinieneinstellung "Delegieren neuer Anmeldeinformationen mit nur NTLM-Serverauthentifizierung zulassen" kann auf einen oder mehrere Dienstprinzipalnamen (SPNs) festgelegt werden. Der SPN stellt den Zielserver dar, an den die Benutzeranmeldeinformationen delegiert werden können. Die Verwendung eines einzelnen Wildcardzeichens ist zulässig, wenn der SPN angegeben wird.

Zum Beispiel:

TERMSRV/host.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf host.humanresources.fabrikam.com Computer ausgeführt wird.

TERMSRV/* Remotedesktop-Sitzungshost, der auf allen Computern ausgeführt wird.

TERMSRV/*.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf allen Computern in humanresources.fabrikam.com ausgeführt wird.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name AllowFreshCredentialsWhenNTLMOnly
Anzeigename Delegieren neuer Anmeldeinformationen mit nur NTLM-Serverauthentifizierung zulassen
Position Computerkonfiguration
Pfad Delegierung von Systemanmeldeinformationen >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\CredentialsDelegation
Name des Registrierungswertes AllowFreshCredentialsWhenNTLMOnly
ADMX-Dateiname CredSsp.admx

AllowSavedCredentials

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowSavedCredentials

Diese Richtlinieneinstellung gilt für Anwendungen, die die Cred-SSP-Komponente verwenden (z. B. Remotedesktopverbindung).

Diese Richtlinieneinstellung gilt, wenn die Serverauthentifizierung über ein vertrauenswürdiges X509-Zertifikat oder Kerberos erreicht wurde.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Server angeben, an die die gespeicherten Anmeldeinformationen des Benutzers delegiert werden können (gespeicherte Anmeldeinformationen sind diejenigen, die Sie mithilfe des Windows-Anmeldeinformations-Managers speichern bzw. speichern möchten).

  • Wenn Sie diese Richtlinieneinstellung nicht (standardmäßig) konfigurieren, ist nach ordnungsgemäßer gegenseitiger Authentifizierung die Delegierung gespeicherter Anmeldeinformationen an den Remotedesktopsitzungshost zulässig, der auf einem beliebigen Computer (TERMSRV/*) ausgeführt wird.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren, ist die Delegierung gespeicherter Anmeldeinformationen auf keinem Computer zulässig.

Hinweis

Die Richtlinieneinstellung "Delegieren gespeicherter Anmeldeinformationen zulassen" kann auf mindestens einen Dienstprinzipalnamen (Service Principal Names, SPNs) festgelegt werden. Der SPN stellt den Zielserver dar, an den die Benutzeranmeldeinformationen delegiert werden können. Die Verwendung eines einzelnen Wildcardzeichens ist zulässig, wenn der SPN angegeben wird.

Zum Beispiel:

TERMSRV/host.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf host.humanresources.fabrikam.com Computer ausgeführt wird.

TERMSRV/* Remotedesktop-Sitzungshost, der auf allen Computern ausgeführt wird.

TERMSRV/*.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf allen Computern in humanresources.fabrikam.com ausgeführt wird.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name AllowSavedCredentials
Anzeigename Delegieren gespeicherter Anmeldeinformationen zulassen
Position Computerkonfiguration
Pfad Delegierung von Systemanmeldeinformationen >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\CredentialsDelegation
Name des Registrierungswertes AllowSavedCredentials
ADMX-Dateiname CredSsp.admx

AllowSavedCredentialsWhenNTLMOnly

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowSavedCredentialsWhenNTLMOnly

Diese Richtlinieneinstellung gilt für Anwendungen, die die Cred-SSP-Komponente verwenden (z. B. Remotedesktopverbindung).

Diese Richtlinieneinstellung gilt, wenn die Serverauthentifizierung über NTLM erreicht wurde.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Server angeben, an die die gespeicherten Anmeldeinformationen des Benutzers delegiert werden können (gespeicherte Anmeldeinformationen sind diejenigen, die Sie mithilfe des Windows-Anmeldeinformations-Managers speichern bzw. speichern möchten).

  • Wenn Sie diese Richtlinieneinstellung nicht (standardmäßig) konfigurieren, ist nach ordnungsgemäßer gegenseitiger Authentifizierung die Delegierung gespeicherter Anmeldeinformationen an den Remotedesktopsitzungshost zulässig, der auf einem beliebigen Computer (TERMSRV/*) ausgeführt wird, wenn der Clientcomputer kein Mitglied einer Domäne ist. Wenn der Client in die Domäne eingebunden ist, ist die Delegierung gespeicherter Anmeldeinformationen auf keinem Computer zulässig.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren, ist die Delegierung gespeicherter Anmeldeinformationen auf keinem Computer zulässig.

Hinweis

Die Richtlinieneinstellung "Delegieren gespeicherter Anmeldeinformationen mit nur NTLM-Serverauthentifizierung zulassen" kann auf mindestens einen Dienstprinzipalnamen (Service Principal Names, SPNs) festgelegt werden. Der SPN stellt den Zielserver dar, an den die Benutzeranmeldeinformationen delegiert werden können. Die Verwendung eines einzelnen Wildcardzeichens ist zulässig, wenn der SPN angegeben wird.

Zum Beispiel:

TERMSRV/host.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf host.humanresources.fabrikam.com Computer ausgeführt wird.

TERMSRV/* Remotedesktop-Sitzungshost, der auf allen Computern ausgeführt wird.

TERMSRV/*.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf allen Computern in humanresources.fabrikam.com ausgeführt wird.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name AllowSavedCredentialsWhenNTLMOnly
Anzeigename Delegieren gespeicherter Anmeldeinformationen mit nur NTLM-Serverauthentifizierung zulassen
Position Computerkonfiguration
Pfad Delegierung von Systemanmeldeinformationen >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\CredentialsDelegation
Name des Registrierungswertes AllowSavedCredentialsWhenNTLMOnly
ADMX-Dateiname CredSsp.admx

DenyDefaultCredentials

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenyDefaultCredentials

Diese Richtlinieneinstellung gilt für Anwendungen, die die Cred-SSP-Komponente verwenden (z. B. Remotedesktopverbindung).

  • Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Server angeben, an die die Standardanmeldeinformationen des Benutzers nicht delegiert werden können (Standardanmeldeinformationen sind die Anmeldeinformationen, die Sie bei der ersten Anmeldung bei Windows verwenden).

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder (standardmäßig) nicht konfigurieren, gibt diese Richtlinieneinstellung keinen Server an.

Hinweis

Die Richtlinieneinstellung "Delegieren von Standardanmeldeinformationen verweigern" kann auf mindestens einen Dienstprinzipalnamen (Service Principal Names, SPNs) festgelegt werden. Der SPN stellt den Zielserver dar, an den die Benutzeranmeldeinformationen nicht delegiert werden können. Die Verwendung eines einzelnen Wildcardzeichens ist zulässig, wenn der SPN angegeben wird.

Zum Beispiel:

TERMSRV/host.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf host.humanresources.fabrikam.com Computer ausgeführt wird.

TERMSRV/* Remotedesktop-Sitzungshost, der auf allen Computern ausgeführt wird.

TERMSRV/*.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf allen Computern in .humanresources.fabrikam.com ausgeführt wird.

Diese Richtlinieneinstellung kann in Kombination mit der Richtlinieneinstellung "Delegieren von Standardanmeldeinformationen zulassen" verwendet werden, um Ausnahmen für bestimmte Server zu definieren, die andernfalls zulässig sind, wenn in der Serverliste "Delegieren von Standardanmeldeinformationen zulassen" Die Verwendung von Wildcardzeichen verwendet wird.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name DenyDefaultCredentials
Anzeigename Delegieren von Standardanmeldeinformationen verweigern
Position Computerkonfiguration
Pfad Delegierung von Systemanmeldeinformationen >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\CredentialsDelegation
Name des Registrierungswertes DenyDefaultCredentials
ADMX-Dateiname CredSsp.admx

DenyFreshCredentials

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenyFreshCredentials

Diese Richtlinieneinstellung gilt für Anwendungen, die die Cred-SSP-Komponente verwenden (z. B. Remotedesktopverbindung).

  • Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Server angeben, an die die neuen Anmeldeinformationen des Benutzers nicht delegiert werden können (neue Anmeldeinformationen sind diejenigen, die Beim Ausführen der Anwendung aufgefordert werden).

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder (standardmäßig) nicht konfigurieren, gibt diese Richtlinieneinstellung keinen Server an.

Hinweis

Die Richtlinieneinstellung "Delegieren neuer Anmeldeinformationen verweigern" kann auf mindestens einen Dienstprinzipalnamen (Service Principal Names, SPNs) festgelegt werden. Der SPN stellt den Zielserver dar, an den die Benutzeranmeldeinformationen nicht delegiert werden können. Die Verwendung eines einzelnen Wildcardzeichens ist zulässig, wenn der SPN angegeben wird.

Zum Beispiel:

TERMSRV/host.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf host.humanresources.fabrikam.com Computer ausgeführt wird.

TERMSRV/* Remotedesktop-Sitzungshost, der auf allen Computern ausgeführt wird.

TERMSRV/*.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf allen Computern in .humanresources.fabrikam.com ausgeführt wird.

Diese Richtlinieneinstellung kann in Kombination mit der Richtlinieneinstellung "Delegieren neuer Anmeldeinformationen zulassen" verwendet werden, um Ausnahmen für bestimmte Server zu definieren, die andernfalls zulässig sind, wenn in der Serverliste "Delegieren neuer Anmeldeinformationen zulassen" Die Verwendung von Wildcardzeichen verwendet wird.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name DenyFreshCredentials
Anzeigename Delegieren neuer Anmeldeinformationen verweigern
Position Computerkonfiguration
Pfad Delegierung von Systemanmeldeinformationen >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\CredentialsDelegation
Name des Registrierungswertes DenyFreshCredentials
ADMX-Dateiname CredSsp.admx

DenySavedCredentials

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenySavedCredentials

Diese Richtlinieneinstellung gilt für Anwendungen, die die Cred-SSP-Komponente verwenden (z. B. Remotedesktopverbindung).

  • Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Server angeben, an die die gespeicherten Anmeldeinformationen des Benutzers nicht delegiert werden können (gespeicherte Anmeldeinformationen sind diejenigen, die Sie mithilfe des Windows-Anmeldeinformations-Managers speichern bzw. speichern möchten).

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder (standardmäßig) nicht konfigurieren, gibt diese Richtlinieneinstellung keinen Server an.

Hinweis

Die Richtlinieneinstellung "Delegieren gespeicherter Anmeldeinformationen verweigern" kann auf einen oder mehrere Dienstprinzipalnamen (SPNs) festgelegt werden. Der SPN stellt den Zielserver dar, an den die Benutzeranmeldeinformationen nicht delegiert werden können. Die Verwendung eines einzelnen Wildcardzeichens ist zulässig, wenn der SPN angegeben wird.

Zum Beispiel:

TERMSRV/host.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf host.humanresources.fabrikam.com Computer ausgeführt wird.

TERMSRV/* Remotedesktop-Sitzungshost, der auf allen Computern ausgeführt wird.

TERMSRV/*.humanresources.fabrikam.com Remotedesktop-Sitzungshost, der auf allen Computern in .humanresources.fabrikam.com ausgeführt wird.

Diese Richtlinieneinstellung kann in Kombination mit der Richtlinieneinstellung "Delegieren gespeicherter Anmeldeinformationen zulassen" verwendet werden, um Ausnahmen für bestimmte Server zu definieren, die andernfalls zulässig sind, wenn in der Serverliste "Delegieren gespeicherter Anmeldeinformationen zulassen" Die Verwendung von Wildcardzeichen verwendet wird.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name DenySavedCredentials
Anzeigename Delegieren gespeicherter Anmeldeinformationen verweigern
Position Computerkonfiguration
Pfad Delegierung von Systemanmeldeinformationen >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\CredentialsDelegation
Name des Registrierungswertes DenySavedCredentials
ADMX-Dateiname CredSsp.admx

RestrictedRemoteAdministration

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration

Wenn sie im Modus "Eingeschränkter Administrator" oder "Remote Credential Guard" ausgeführt werden, machen die teilnehmenden Apps keine angemeldeten oder bereitgestellten Anmeldeinformationen für einen Remotehost verfügbar. Eingeschränkter Administrator beschränkt den Zugriff auf Ressourcen, die sich auf anderen Servern oder Netzwerken vom Remotehost befinden, da anmeldeinformationen nicht delegiert werden. Remote Credential Guard schränkt den Zugriff auf Ressourcen nicht ein, da alle Anforderungen zurück an das Clientgerät umgeleitet werden.

Teilnehmende Apps:

Remotedesktopclient.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, werden die folgenden Optionen unterstützt:

Delegierung von Anmeldeinformationen einschränken: Teilnehmende Anwendungen müssen eingeschränkter Administrator oder Remote Credential Guard verwenden, um eine Verbindung mit Remotehosts herzustellen.

Remote Credential Guard erforderlich: Teilnehmende Anwendungen müssen Remote Credential Guard verwenden, um eine Verbindung mit Remotehosts herzustellen.

Eingeschränkten Administrator erforderlich: Teilnehmende Anwendungen müssen eingeschränkten Administrator verwenden, um eine Verbindung mit Remotehosts herzustellen.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden der Eingeschränkte Administratormodus und der Remote-Credential Guard-Modus nicht erzwungen, und teilnehmende Apps können Anmeldeinformationen an Remotegeräte delegieren.

Hinweis

Um die meisten Delegierungen von Anmeldeinformationen zu deaktivieren, kann es ausreichen, die Delegierung im Credential Security Support Provider (CredSSP) zu verweigern, indem Sie die Administrativen Vorlageneinstellungen (unter Computerkonfiguration\Administrative Vorlagen\System\Anmeldeinformationendelegierung) ändern.

Hinweis

Unter Windows 8.1 und Windows Server 2012 R2 erzwingt die Aktivierung dieser Richtlinie den Eingeschränkten Verwaltungsmodus, unabhängig vom gewählten Modus. Diese Versionen unterstützen Remote Credential Guard nicht.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name RestrictedRemoteAdministration
Anzeigename Einschränken der Delegierung von Anmeldeinformationen auf Remoteserver
Position Computerkonfiguration
Pfad Delegierung von Systemanmeldeinformationen >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\CredentialsDelegation
Name des Registrierungswertes RestrictedRemoteAdministration
ADMX-Dateiname CredSsp.admx

Dienstanbieter für die Richtlinienkonfiguration