Fournisseur de services de configuration de stratégie - ADMX_sam
Astuce
Ce csp contient des stratégies ADMX qui nécessitent un format SyncML spécial pour activer ou désactiver. Vous devez spécifier le type de données dans syncML en tant que <Format>chr</Format>. Pour plus d’informations, consultez Présentation des stratégies adossées à ADMX.
La charge utile de SyncML doit être encodée en XML ; pour cet encodage XML, vous pouvez utiliser un large éventail d’encodeurs en ligne. Pour éviter d’encoder la charge utile, vous pouvez utiliser CDATA si votre GPM la prend en charge. Pour plus d’informations, consultez Sections CDATA.
SamNGCKeyROCAValidation
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures ✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures ✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures ✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_sam/SamNGCKeyROCAValidation
Ce paramètre de stratégie vous permet de configurer la façon dont les contrôleurs de domaine gèrent les clés Windows Hello Entreprise (WHfB) qui sont vulnérables à la vulnérabilité « Return of Coppersmith’s attack » (RECONFIGUR).
Pour plus d’informations sur la vulnérabilité DE LA, consultez :
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15361
https://en.wikipedia.org/wiki/ROCA_vulnerability
Si vous activez ce paramètre de stratégie, les options suivantes sont prises en charge :
Ignorer : lors de l’authentification, le contrôleur de domaine ne sonde aucune clé WHfB pour la vulnérabilité DE LA.
Audit : pendant l’authentification, le contrôleur de domaine émettra des événements d’audit pour les clés WHfB qui sont soumises à la vulnérabilité AUT (les authentifications réussissent toujours).
Bloquer : lors de l’authentification, le contrôleur de domaine bloque l’utilisation des clés WHfB qui sont soumises à la vulnérabilité DUT (les authentifications échouent).
Ce paramètre prend effet uniquement sur les contrôleurs de domaine.
S’il n’est pas configuré, les contrôleurs de domaine utilisent par défaut leur configuration locale. La configuration locale par défaut est Audit.
Un redémarrage n’est pas nécessaire pour que les modifications apportées à ce paramètre prennent effet.
Notez que pour éviter les interruptions inattendues, ce paramètre ne doit pas être défini sur Bloquer tant que les atténuations appropriées n’ont pas été effectuées, par exemple la mise à jour corrective des TPM vulnérables.
Plus d’informations sont disponibles à l’adresse<https://go.microsoft.com/fwlink/?linkid=2116430> .
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
| Nom | Valeur |
|---|---|
| Nom | SamNGCKeyROCAValidation |
| Nom convivial | Configurer la validation des clés WHfB vulnérables à LAHF LORS de l’authentification |
| Localisation | Configuration ordinateur |
| Chemin d'accès | Gestionnaire de compte de sécurité système > |
| Nom de la clé de Registre | Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM |
| Nom du fichier ADMX | sam.admx |