Richtlinien-CSP – Kerberos
Tipp
Dieser CSP enthält ADMX-gestützte Richtlinien, die ein spezielles SyncML-Format zum Aktivieren oder Deaktivieren erfordern. Sie müssen den Datentyp in SyncML als <Format>chr</Format>angeben. Weitere Informationen finden Sie unter Grundlegendes zu ADMX-gestützten Richtlinien.
Die Nutzlast des SyncML muss XML-codiert sein. Für diese XML-Codierung gibt es eine Vielzahl von Onlineencodern, die Sie verwenden können. Um die Codierung der Nutzlast zu vermeiden, können Sie CDATA verwenden, wenn Ihr MDM dies unterstützt. Weitere Informationen finden Sie unter CDATA-Abschnitte.
AllowForestSearchOrder
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1703 [10.0.15063] und höher |
./Device/Vendor/MSFT/Policy/Config/Kerberos/AllowForestSearchOrder
Diese Richtlinieneinstellung definiert die Liste der vertrauenswürdigen Gesamtstrukturen, die der Kerberos-Client durchsucht, wenn versucht wird, zweiteilige Dienstprinzipalnamen (SPNs) aufzulösen.
Wenn Sie diese Richtlinieneinstellung aktivieren, durchsucht der Kerberos-Client die Gesamtstrukturen in dieser Liste, wenn er einen zweiteiligen SPN nicht auflösen kann. Wenn eine Übereinstimmung gefunden wird, fordert der Kerberos-Client ein Empfehlungsticket an die entsprechende Domäne an.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, durchsucht der Kerberos-Client die aufgelisteten Gesamtstrukturen nicht, um den SPN aufzulösen. Wenn der Kerberos-Client den SPN nicht auflösen kann, weil der Name nicht gefunden wird, kann die NTLM-Authentifizierung verwendet werden.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | ForestSearch |
| Anzeigename | Verwenden der Gesamtstruktursuchreihenfolge |
| Pfad | Computerkonfiguration |
| Pfad | System > Kerberos |
| Registrierungsschlüsselname | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Registrierungswertname | UseForestSearch |
| ADMX-Dateiname | Kerberos.admx |
CloudKerberosTicketRetrievalEnabled
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/Kerberos/CloudKerberosTicketRetrievalEnabled
Diese Richtlinieneinstellung ermöglicht das Abrufen des Microsoft Entra Kerberos Ticket Granting Ticket während der Anmeldung.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird die Microsoft Entra Kerberos Ticket Granting Ticket während der Anmeldung nicht abgerufen.
Wenn Sie diese Richtlinieneinstellung aktivieren, wird die Microsoft Entra Kerberos Ticket Granting Ticket während der Anmeldung abgerufen.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Deaktiviert. |
| 1 | Aktiviert. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | CloudKerberosTicketRetrievalEnabled |
| Anzeigename | Zulassen des Abrufens des Azure AD Kerberos Ticket Granting Ticket während der Anmeldung |
| Pfad | Computerkonfiguration |
| Pfad | System > Kerberos |
| Registrierungsschlüsselname | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Registrierungswertname | CloudKerberosTicketRetrievalEnabled |
| ADMX-Dateiname | Kerberos.admx |
KerberosClientSupportsClaimsCompoundArmor
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1703 [10.0.15063] und höher |
./Device/Vendor/MSFT/Policy/Config/Kerberos/KerberosClientSupportsClaimsCompoundArmor
Diese Richtlinieneinstellung steuert, ob ein Gerät Ansprüche und Verbundauthentifizierung für dynamische Access Control und Kerberos Armoring mithilfe der Kerberos-Authentifizierung mit Domänen anzufordern, die diese Features unterstützen.
Wenn Sie diese Richtlinieneinstellung aktivieren, fordern die Clientcomputer Ansprüche an, stellen Informationen bereit, die zum Erstellen der verbundierten Authentifizierung erforderlich sind, und schützen Kerberos-Nachrichten in Domänen, die Ansprüche und Verbundauthentifizierung für dynamische Access Control und Kerberos Armoring unterstützen.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, fordern die Clientgeräte keine Ansprüche an, geben Informationen an, die zum Erstellen der zusammengesetzten Authentifizierung und zum Schützen von Kerberos-Nachrichten erforderlich sind. Dienste, die auf dem Gerät gehostet werden, können keine Ansprüche für Clients mithilfe des Kerberos-Protokollübergangs abrufen.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | EnableCbacAndArmor |
| Anzeigename | Kerberos-Clientunterstützung für Ansprüche, Verbundauthentifizierung und Kerberos-Armoring |
| Pfad | Computerkonfiguration |
| Pfad | System > Kerberos |
| Registrierungsschlüsselname | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Registrierungswertname | EnableCbacAndArmor |
| ADMX-Dateiname | Kerberos.admx |
PKInitHashAlgorithmConfiguration
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, Version 22H2 [10.0.22621] und höher |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
Diese Richtlinieneinstellung steuert Hash- oder Prüfsummenalgorithmen, die vom Kerberos-Client bei der Zertifikatauthentifizierung verwendet werden.
Wenn Sie diese Richtlinie aktivieren, können Sie einen von vier Zuständen für jeden Algorithmus konfigurieren:
"Standard" legt den Algorithmus auf den empfohlenen Zustand fest.
"Unterstützt" ermöglicht die Verwendung des Algorithmus. Das Aktivieren von Algorithmen, die standardmäßig deaktiviert wurden, kann Ihre Sicherheit verringern.
"Audited" ermöglicht die Verwendung des Algorithmus und meldet bei jeder Verwendung ein Ereignis (ID 206). Dieser Zustand soll überprüfen, ob der Algorithmus nicht verwendet wird und sicher deaktiviert werden kann.
"Nicht unterstützt" deaktiviert die Verwendung des Algorithmus. Dieser Zustand ist für Algorithmen vorgesehen, die als unsicher gelten.
Wenn Sie diese Richtlinie deaktivieren oder nicht konfigurieren, nimmt jeder Algorithmus den Status "Standard" an.
Von dieser Konfiguration generierte Ereignisse: 205, 206, 207, 208.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Deaktiviert/Nicht konfiguriert. |
| 1 | Aktiviert. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | PKInitHashAlgorithmConfiguration |
| Anzeigename | Konfigurieren von Hashalgorithmen für die Zertifikatanmeldung |
| Pfad | Computerkonfiguration |
| Pfad | System > Kerberos |
| Registrierungsschlüsselname | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Registrierungswertname | PKInitHashAlgorithmConfigurationEnabled |
| ADMX-Dateiname | Kerberos.admx |
PKInitHashAlgorithmSHA1
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, Version 22H2 [10.0.22621] und höher |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA1
Diese Richtlinieneinstellung steuert die Konfiguration des SHA1-Algorithmus, der vom Kerberos-Client bei der Zertifikatauthentifizierung verwendet wird. Diese Richtlinie wird nur erzwungen, wenn Kerberos/PKInitHashAlgorithmConfiguration aktiviert ist. Sie können einen von vier Zuständen für diesen Algorithmus konfigurieren:
- 0 – Nicht unterstützt: Dieser Zustand deaktiviert die Verwendung des Algorithmus. Dieser Zustand ist für Algorithmen vorgesehen, die als unsicher gelten.
- 1 – Standard: Dieser Zustand legt den Algorithmus auf den empfohlenen Zustand fest.
- 2 – Überwacht: Dieser Zustand ermöglicht die Verwendung des Algorithmus und meldet bei jeder Verwendung ein Ereignis (ID 206). Dieser Zustand soll überprüfen, ob der Algorithmus nicht verwendet wird und sicher deaktiviert werden kann.
- 3 – Unterstützt: Dieser Zustand ermöglicht die Verwendung des Algorithmus. Das Aktivieren von Algorithmen, die standardmäßig deaktiviert wurden, kann Ihre Sicherheit verringern.
Wenn Sie diese Richtlinie nicht konfigurieren, nimmt der SHA1-Algorithmus den Standardzustand an.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
| Abhängigkeit [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | Abhängigkeitstyp: DependsOn Abhängigkeits-URI: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): [1] Dependency Allowed Value Type(Dependency Allowed Value Type): Range |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Nicht unterstützt. |
| 1 (Standard) | Standard. |
| 2 | Geprüft. |
| 3 | Unterstützt. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | PKInitHashAlgorithmConfiguration |
| Anzeigename | Konfigurieren von Hashalgorithmen für die Zertifikatanmeldung |
| Pfad | Computerkonfiguration |
| Pfad | System > Kerberos |
| Registrierungsschlüsselname | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Registrierungswertname | PKInitHashAlgorithmConfigurationEnabled |
| ADMX-Dateiname | Kerberos.admx |
PKInitHashAlgorithmSHA256
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, Version 22H2 [10.0.22621] und höher |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA256
Diese Richtlinieneinstellung steuert die Konfiguration des SHA256-Algorithmus, der vom Kerberos-Client bei der Zertifikatauthentifizierung verwendet wird. Diese Richtlinie wird nur erzwungen, wenn Kerberos/PKInitHashAlgorithmConfiguration aktiviert ist. Sie können einen von vier Zuständen für diesen Algorithmus konfigurieren:
- 0 – Nicht unterstützt: Dieser Zustand deaktiviert die Verwendung des Algorithmus. Dieser Zustand ist für Algorithmen vorgesehen, die als unsicher gelten.
- 1 – Standard: Dieser Zustand legt den Algorithmus auf den empfohlenen Zustand fest.
- 2 – Überwacht: Dieser Zustand ermöglicht die Verwendung des Algorithmus und meldet bei jeder Verwendung ein Ereignis (ID 206). Dieser Zustand soll überprüfen, ob der Algorithmus nicht verwendet wird und sicher deaktiviert werden kann.
- 3 – Unterstützt: Dieser Zustand ermöglicht die Verwendung des Algorithmus. Das Aktivieren von Algorithmen, die standardmäßig deaktiviert wurden, kann Ihre Sicherheit verringern.
Wenn Sie diese Richtlinie nicht konfigurieren, nimmt der SHA256-Algorithmus den Standardstatus an.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
| Abhängigkeit [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | Abhängigkeitstyp: DependsOn Abhängigkeits-URI: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): [1] Dependency Allowed Value Type(Dependency Allowed Value Type): Range |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Nicht unterstützt. |
| 1 (Standard) | Standard. |
| 2 | Geprüft. |
| 3 | Unterstützt. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | PKInitHashAlgorithmConfiguration |
| Anzeigename | Konfigurieren von Hashalgorithmen für die Zertifikatanmeldung |
| Pfad | Computerkonfiguration |
| Pfad | System > Kerberos |
| Registrierungsschlüsselname | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Registrierungswertname | PKInitHashAlgorithmConfigurationEnabled |
| ADMX-Dateiname | Kerberos.admx |
PKInitHashAlgorithmSHA384
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, Version 22H2 [10.0.22621] und höher |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA384
Diese Richtlinieneinstellung steuert die Konfiguration des SHA384-Algorithmus, der vom Kerberos-Client bei der Zertifikatauthentifizierung verwendet wird. Diese Richtlinie wird nur erzwungen, wenn Kerberos/PKInitHashAlgorithmConfiguration aktiviert ist. Sie können einen von vier Zuständen für diesen Algorithmus konfigurieren:
- 0 – Nicht unterstützt: Dieser Zustand deaktiviert die Verwendung des Algorithmus. Dieser Zustand ist für Algorithmen vorgesehen, die als unsicher gelten.
- 1 – Standard: Dieser Zustand legt den Algorithmus auf den empfohlenen Zustand fest.
- 2 – Überwacht: Dieser Zustand ermöglicht die Verwendung des Algorithmus und meldet bei jeder Verwendung ein Ereignis (ID 206). Dieser Zustand soll überprüfen, ob der Algorithmus nicht verwendet wird und sicher deaktiviert werden kann.
- 3 – Unterstützt: Dieser Zustand ermöglicht die Verwendung des Algorithmus. Das Aktivieren von Algorithmen, die standardmäßig deaktiviert wurden, kann Ihre Sicherheit verringern.
Wenn Sie diese Richtlinie nicht konfigurieren, nimmt der SHA384-Algorithmus den Standardstatus an.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
| Abhängigkeit [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | Abhängigkeitstyp: DependsOn Abhängigkeits-URI: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): [1] Dependency Allowed Value Type(Dependency Allowed Value Type): Range |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Nicht unterstützt. |
| 1 (Standard) | Standard. |
| 2 | Geprüft. |
| 3 | Unterstützt. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | PKInitHashAlgorithmConfiguration |
| Anzeigename | Konfigurieren von Hashalgorithmen für die Zertifikatanmeldung |
| Pfad | Computerkonfiguration |
| Pfad | System > Kerberos |
| Registrierungsschlüsselname | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Registrierungswertname | PKInitHashAlgorithmConfigurationEnabled |
| ADMX-Dateiname | Kerberos.admx |
PKInitHashAlgorithmSHA512
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, Version 22H2 [10.0.22621] und höher |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA512
Diese Richtlinieneinstellung steuert die Konfiguration des SHA512-Algorithmus, der vom Kerberos-Client bei der Zertifikatauthentifizierung verwendet wird. Diese Richtlinie wird nur erzwungen, wenn Kerberos/PKInitHashAlgorithmConfiguration aktiviert ist. Sie können einen von vier Zuständen für diesen Algorithmus konfigurieren:
- 0 – Nicht unterstützt: Dieser Zustand deaktiviert die Verwendung des Algorithmus. Dieser Zustand ist für Algorithmen vorgesehen, die als unsicher gelten.
- 1 – Standard: Dieser Zustand legt den Algorithmus auf den empfohlenen Zustand fest.
- 2 – Überwacht: Dieser Zustand ermöglicht die Verwendung des Algorithmus und meldet bei jeder Verwendung ein Ereignis (ID 206). Dieser Zustand soll überprüfen, ob der Algorithmus nicht verwendet wird und sicher deaktiviert werden kann.
- 3 – Unterstützt: Dieser Zustand ermöglicht die Verwendung des Algorithmus. Das Aktivieren von Algorithmen, die standardmäßig deaktiviert wurden, kann Ihre Sicherheit verringern.
Wenn Sie diese Richtlinie nicht konfigurieren, nimmt der SHA512-Algorithmus den Status Standard an.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
| Abhängigkeit [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | Abhängigkeitstyp: DependsOn Abhängigkeits-URI: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): [1] Dependency Allowed Value Type(Dependency Allowed Value Type): Range |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Nicht unterstützt. |
| 1 (Standard) | Standard. |
| 2 | Geprüft. |
| 3 | Unterstützt. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | PKInitHashAlgorithmConfiguration |
| Anzeigename | Konfigurieren von Hashalgorithmen für die Zertifikatanmeldung |
| Pfad | Computerkonfiguration |
| Pfad | System > Kerberos |
| Registrierungsschlüsselname | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Registrierungswertname | PKInitHashAlgorithmConfigurationEnabled |
| ADMX-Dateiname | Kerberos.admx |
RequireKerberosArmoring
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1703 [10.0.15063] und höher |
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireKerberosArmoring
Diese Richtlinieneinstellung steuert, ob ein Computer erfordert, dass der Kerberos-Nachrichtenaustausch bei der Kommunikation mit einem Domänencontroller gepanzert wird.
Warnung
Wenn eine Domäne die Kerberos-Panzerung nicht unterstützt, indem sie "Unterstützung dynamischer Access Control und Kerberos-Armoring" aktiviert, schlägt die gesamte Authentifizierung für alle Benutzer von Computern mit dieser Richtlinieneinstellung fehl.
- Wenn Sie diese Richtlinieneinstellung aktivieren, erzwingen die Clientcomputer in der Domäne die Verwendung von Kerberos Armoring nur in Authentifizierungsdienst (AS) und TgS-Nachrichtenaustausch (Ticket-Granting Service) mit den Domänencontrollern.
Hinweis
Die Kerberos-Gruppenrichtlinie "Kerberos-Clientunterstützung für Ansprüche, Verbundauthentifizierung und Kerberos-Rüstung" muss ebenfalls aktiviert sein, um kerberos armoring zu unterstützen.
- Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, erzwingen die Clientcomputer in der Domäne nach Möglichkeit die Verwendung von Kerberos-Armoring, wie von der Zieldomäne unterstützt.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | ClientRequireFast |
| Anzeigename | Fehler bei Authentifizierungsanforderungen, wenn kerberos armoring nicht verfügbar ist |
| Pfad | Computerkonfiguration |
| Pfad | System > Kerberos |
| Registrierungsschlüsselname | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Registrierungswertname | RequireFast |
| ADMX-Dateiname | Kerberos.admx |
RequireStrictKDCValidation
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1703 [10.0.15063] und höher |
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireStrictKDCValidation
Diese Richtlinieneinstellung steuert das Verhalten des Kerberos-Clients bei der Überprüfung des KDC-Zertifikats für intelligente Karte- und Systemzertifikatanmeldungen.
Wenn Sie diese Richtlinieneinstellung aktivieren, erfordert der Kerberos-Client, dass das X.509-Zertifikat des KDC den KDC-Schlüsselzweckobjektbezeichner in den Erweiterungen für erweiterte Schlüsselverwendung (Extended Key Usage, EKU) enthält und dass das X.509-Zertifikat des KDC eine dNSName-Erweiterung subjectAltName (SAN) enthält, die dem DNS-Namen der Domäne entspricht. Wenn der Computer in eine Domäne eingebunden ist, erfordert der Kerberos-Client, dass das X.509-Zertifikat des KDC von einer Zertifizierungsstelle (Ca) im NTAuth-Speicher signiert werden muss. Wenn der Computer nicht mit einer Domäne verknüpft ist, lässt der Kerberos-Client zu, dass das Zertifikat der Stammzertifizierungsstelle auf dem smarten Karte bei der Pfadüberprüfung des X.509-Zertifikats des KDC verwendet wird.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, erfordert der Kerberos-Client nur, dass das KDC-Zertifikat den Objektbezeichner für die Serverauthentifizierung in den EKU-Erweiterungen enthält, die für jeden Server ausgestellt werden kann.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | ValidateKDC |
| Anzeigename | Strenge KDC-Überprüfung erforderlich |
| Pfad | Computerkonfiguration |
| Pfad | System > Kerberos |
| Registrierungsschlüsselname | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Registrierungswertname | KdcValidation |
| ADMX-Dateiname | Kerberos.admx |
SetMaximumContextTokenSize
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1703 [10.0.15063] und höher |
./Device/Vendor/MSFT/Policy/Config/Kerberos/SetMaximumContextTokenSize
Mit dieser Richtlinieneinstellung können Sie den Wert festlegen, der an Anwendungen zurückgegeben wird, die die maximale Größe des SSPI-Kontexttokenpuffers anfordern.
Die Größe des Kontexttokenpuffers bestimmt die maximale Größe von SSPI-Kontexttoken, die eine Anwendung erwartet und zuweist. Je nach Verarbeitung von Authentifizierungsanforderungen und Gruppenmitgliedschaften ist der Puffer möglicherweise kleiner als die tatsächliche Größe des SSPI-Kontexttokens.
Wenn Sie diese Richtlinieneinstellung aktivieren, verwendet der Kerberos-Client oder -Server den konfigurierten Wert oder den lokal zulässigen Maximalwert, je nachdem, welcher Wert kleiner ist.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet der Kerberos-Client oder -Server den lokal konfigurierten Wert oder den Standardwert.
Hinweis
Diese Richtlinieneinstellung konfiguriert den vorhandenen MaxTokenSize-Registrierungswert in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters, der in Windows XP und Windows Server 2003 hinzugefügt wurde, mit einem Standardwert von 12.000 Bytes. Ab Windows 8 ist der Standardwert 48.000 Bytes. Aufgrund der Base64-Codierung von Authentifizierungskontexttoken von HTTP wird davon abgeraten, diesen Wert auf mehr als 48.000 Bytes festzulegen.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | Maxtokensize |
| Anzeigename | Festlegen der maximalen Kerberos-SSPI-Kontexttokenpuffergröße |
| Pfad | Computerkonfiguration |
| Pfad | System > Kerberos |
| Registrierungsschlüsselname | System\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
| Registrierungswertname | EnableMaxTokenSize |
| ADMX-Dateiname | Kerberos.admx |
UPNNameHints
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Policy/Config/Kerberos/UPNNameHints
Geräte, die mit Microsoft Entra ID in einer Hybridumgebung verbunden sind, müssen mit Active Directory-Domäne Controllern interagieren, aber ihnen fehlt die integrierte Möglichkeit, einen Domänencontroller zu finden, über den ein in die Domäne eingebundenes Gerät verfügt. Dies kann zu Fehlern führen, wenn ein solches Gerät einen Microsoft Entra UPN in einen Active Directory-Prinzipal auflösen muss. Dieser Parameter fügt eine Liste der Domänen hinzu, die ein Microsoft Entra verbundenes Gerät zu kontaktieren versuchen sollte, wenn ein UPN andernfalls nicht in einem Prinzipal aufgelöst werden kann.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |