Paramètres de Registre et de stratégie de groupe de carte à puce
Cet article destiné aux professionnels de l’informatique et aux développeurs de carte intelligente décrit les paramètres de stratégie de groupe, les paramètres de clé de Registre, les paramètres de stratégie de sécurité locaux et les paramètres de stratégie de délégation d’informations d’identification disponibles pour la configuration des cartes à puce.
Les sections et les tableaux suivants répertorient les paramètres de stratégie de groupe liés aux carte intelligents et les clés de Registre qui peuvent être définis par ordinateur. Si vous utilisez des objets de stratégie de groupe de domaine (GPO), vous pouvez modifier et appliquer des paramètres stratégie de groupe aux ordinateurs locaux ou de domaine.
- Paramètres de stratégie de groupe principaux pour les cartes à puce
- Autoriser les certificats sans attribut de certificat d’utilisation de clé étendue
- Autoriser l’utilisation des certificats ECC pour l’ouverture de session et l’authentification
- Autoriser l’affichage de l’écran de déblocage intégré au moment de l’ouverture de session
- Autoriser les clés de signature valides pour l’ouverture de session
- Autoriser la durée des certificats non valides
- Autoriser l’indicateur de nom d’utilisateur
- Configurer le certificat racine propre
- Afficher la chaîne lorsque le carte intelligent est bloqué
- Filtrer les certificats d’ouverture de session en double
- Forcer la lecture de tous les certificats du carte intelligent
- Informer l’utilisateur de la réussite de l’installation du pilote smart carte
- Empêcher le renvoi de codes confidentiels en texte clair par le Gestionnaire d’informations d’identification
- Inverser le nom de l’objet stocké dans un certificat lors de l’affichage
- Activer la propagation des certificats à partir d’une carte intelligente
- Activer la propagation du certificat racine à partir de smart carte
- Activer le service de Plug-and-Play carte à puce
- Clés de Registre CSP et KSP de carte à puce de base
- Vérification des clés de Registre par liste de révocation de certificats
- Paramètres de carte stratégie de groupe intelligent supplémentaires et clés de Registre
Paramètres de stratégie de groupe principaux pour les cartes à puce
Les paramètres de carte stratégie de groupe intelligente suivants se trouvent dans Configuration ordinateur\Modèles d’administration\Composants Windows\Carte à puce.
Les clés de Registre se trouvent aux emplacements suivants :
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ScPnP\EnableScPnP
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CertProp
Remarque
Les informations du registre du lecteur smart carte se trouve dans HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Calais\Readers.
Les informations de Registre smart carte se trouve dans HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Calais\SmartCards.
Le tableau suivant répertorie les valeurs par défaut de ces paramètres d’objet de stratégie de groupe. Les variantes sont documentées sous les descriptions de stratégie de cet article.
| Type de serveur ou GPO | Valeur par défaut |
|---|---|
| Stratégie de domaine par défaut | Non configuré |
| Stratégie de contrôleur de domaine par défaut | Non configuré |
| Paramètres par défaut du serveur autonome | Non configuré |
| Paramètres par défaut effectifs du contrôleur de domaine | Désactivés |
| Paramètres effectifs par défaut du serveur membre | Désactivés |
| Paramètres effectifs par défaut de l’ordinateur client | Désactivés |
Autoriser les certificats sans attribut de certificat d’utilisation de clé étendue
Vous pouvez utiliser ce paramètre de stratégie pour autoriser l’utilisation de certificats sans utilisation de clé étendue (EKU) pour la connexion.
Remarque
l’attribut de certificat d’utilisation de clé étendue est également connu sous le nom d’utilisation étendue de clé.
Dans les versions de Windows antérieures à Windows Vista, les certificats smart carte utilisés pour la connexion nécessitent une extension EKU avec un identificateur d’objet d’ouverture de session smart carte. Ce paramètre de stratégie peut être utilisé pour modifier cette restriction.
Lorsque ce paramètre de stratégie est activé, les certificats avec les attributs suivants peuvent également être utilisés pour se connecter avec un carte intelligent :
- Certificats sans référence EKU
- Certificats avec une référence EKU tout usage
- Certificats avec une référence EKU d’authentification client
Lorsque ce paramètre de stratégie n’est pas activé, seuls les certificats qui contiennent l’identificateur d’objet d’ouverture de session smart carte peuvent être utilisés pour se connecter avec un carte intelligent.
| Élément | Description |
|---|---|
| Clé de Registre | AllowCertificatesWithNoEKU |
| Valeurs par défaut | Aucune modification par version du système d’exploitation Désactivé et non configuré sont équivalents |
| Gestion des stratégies | Condition requise pour le redémarrage : Aucun Condition de déconnexion : Aucune Conflits de stratégie : Aucun |
Autoriser l’utilisation des certificats ECC pour l’ouverture de session et l’authentification
Vous pouvez utiliser ce paramètre de stratégie pour contrôler si les certificats ECC (Elliptic Curve Cryptography) sur un carte intelligent peuvent être utilisés pour se connecter à un domaine.
Lorsque ce paramètre est activé, les certificats ECC sur un carte intelligent peuvent être utilisés pour se connecter à un domaine.
Lorsque ce paramètre n’est pas activé, les certificats ECC sur un carte intelligent ne peuvent pas être utilisés pour se connecter à un domaine.
| Élément | Description |
|---|---|
| Clé de Registre | EnumerateECCCerts |
| Valeurs par défaut | Aucune modification par version du système d’exploitation Désactivé et non configuré sont équivalents |
| Gestion des stratégies | Condition requise pour le redémarrage : Aucun Condition de déconnexion : Aucune Conflits de stratégie : Aucun |
| Notes et ressources | Ce paramètre de stratégie affecte uniquement la capacité d’un utilisateur à se connecter à un domaine. Les certificats ECC sur un carte intelligent qui sont utilisés pour d’autres applications, telles que la signature de document, ne sont pas affectés par ce paramètre de stratégie. Si vous utilisez une clé ECDSA pour vous connecter, vous devez également disposer d’une clé ECDH associée pour autoriser la connexion lorsque vous n’êtes pas connecté au réseau. |
Autoriser l’affichage de l’écran de déblocage intégré au moment de l’ouverture de session
Vous pouvez utiliser ce paramètre de stratégie pour déterminer si la fonctionnalité de déblocage intégrée est disponible dans l’interface utilisateur de connexion. La fonctionnalité a été introduite en tant que fonctionnalité standard dans le fournisseur de support de sécurité des informations d’identification dans Windows Vista.
Lorsque ce paramètre est activé, la fonctionnalité de déblocage intégrée est disponible.
Lorsque ce paramètre n’est pas activé, la fonctionnalité n’est pas disponible.
| Élément | Description |
|---|---|
| Clé de Registre | AllowIntegratedUnblock |
| Valeurs par défaut | Aucune modification par version du système d’exploitation Désactivé et non configuré sont équivalents |
| Gestion des stratégies | Condition requise pour le redémarrage : Aucun Condition de déconnexion : Aucune Conflits de stratégie : Aucun |
| Notes et ressources | Pour utiliser la fonctionnalité de déblocage intégrée, le carte intelligent doit la prendre en charge. Contactez le fabricant du matériel pour vérifier que le carte intelligent prend en charge cette fonctionnalité. Vous pouvez créer un message personnalisé que l’utilisateur voit quand le carte intelligent est bloqué en configurant le paramètre de stratégie Afficher la chaîne lorsque le carte intelligent est bloqué. |
Autoriser les clés de signature valides pour l’ouverture de session
Vous pouvez utiliser ce paramètre de stratégie pour permettre l’énumération et la disponibilité des certificats basés sur une clé de signature pour la connexion.
Lorsque ce paramètre est activé, tous les certificats disponibles sur le carte intelligent avec une clé de signature uniquement sont répertoriés sur l’écran de connexion.
Lorsque ce paramètre n’est pas activé, les certificats disponibles sur le carte intelligent avec une clé de signature uniquement ne sont pas répertoriés sur l’écran de connexion.
| Élément | Description |
|---|---|
| Clé de Registre | AllowSignatureOnlyKeys |
| Valeurs par défaut | Aucune modification par version du système d’exploitation Désactivé et non configuré sont équivalents |
| Gestion des stratégies | Condition requise pour le redémarrage : Aucun Condition de déconnexion : Aucune Conflits de stratégie : Aucun |
Autoriser la durée des certificats non valides
Vous pouvez utiliser ce paramètre de stratégie pour autoriser l’affichage des certificats qui ont expiré ou qui ne sont pas encore valides pour la connexion.
Remarque
Avant Windows Vista, les certificats devaient contenir une heure valide et ne pas expirer. Pour qu’un certificat soit utilisé, il doit être accepté par le contrôleur de domaine. Ce paramètre de stratégie contrôle uniquement les certificats affichés sur l’ordinateur client.
Lorsque ce paramètre est activé, les certificats sont répertoriés sur l’écran de connexion, qu’ils aient une heure non valide ou que leur durée de validité ait expiré.
Lorsque ce paramètre de stratégie n’est pas activé, les certificats qui ont expiré ou qui ne sont pas encore valides ne sont pas répertoriés sur l’écran de connexion.
| Élément | Description |
|---|---|
| Clé de Registre | AllowTimeInvalidCertificates |
| Valeurs par défaut | Aucune modification par version du système d’exploitation Désactivé et non configuré sont équivalents |
| Gestion des stratégies | Condition requise pour le redémarrage : Aucun Condition de déconnexion : Aucune Conflits de stratégie : Aucun |
Autoriser l’indicateur de nom d’utilisateur
Vous pouvez utiliser ce paramètre de stratégie pour déterminer si un champ facultatif s’affiche pendant la connexion et fournit un processus d’élévation ultérieur dans lequel les utilisateurs peuvent entrer leur nom d’utilisateur ou nom d’utilisateur et leur domaine, ce qui associe un certificat à l’utilisateur.
Lorsque ce paramètre de stratégie est activé, les utilisateurs voient un champ facultatif dans lequel ils peuvent entrer leur nom d’utilisateur ou leur nom d’utilisateur et leur domaine.
Lorsque ce paramètre de stratégie n’est pas activé, les utilisateurs ne voient pas ce champ facultatif.
| Élément | Description |
|---|---|
| Clé de Registre | X509HintsNeeded |
| Valeurs par défaut | Aucune modification par version du système d’exploitation Désactivé et non configuré sont équivalents |
| Gestion des stratégies | Condition requise pour le redémarrage : Aucun Condition de déconnexion : Aucune Conflits de stratégie : Aucun |
Configurer le certificat racine propre up
Vous pouvez utiliser ce paramètre de stratégie pour gérer le comportement de nettoyage des certificats racines. Les certificats sont vérifiés à l’aide d’une chaîne d’approbation, et l’ancre de confiance pour le certificat numérique est l’autorité de certification racine. Une autorité de certification peut émettre plusieurs certificats avec le certificat racine comme certificat supérieur de l’arborescence. Une clé privée est utilisée pour signer d’autres certificats. Cela crée une fiabilité héritée pour tous les certificats immédiatement sous le certificat racine.
Lorsque ce paramètre de stratégie est activé, vous pouvez définir les options de nettoyage suivantes :
- Aucun nettoyage. Lorsque l’utilisateur se déconnecte ou supprime le carte intelligent, les certificats racine utilisés pendant sa session sont conservés sur l’ordinateur.
- Nettoyer les certificats lors de la suppression carte intelligente. Lorsque le carte intelligent est supprimé, les certificats racine sont supprimés.
- Nettoyez les certificats lors de la déconnexion. Lorsque l’utilisateur se déconnecte de Windows, les certificats racine sont supprimés.
Lorsque ce paramètre de stratégie n’est pas activé, les certificats racines sont automatiquement supprimés lorsque l’utilisateur se déconnecte de Windows.
| Élément | Description |
|---|---|
| Clé de Registre | RootCertificateCleanupOption |
| Valeurs par défaut | Aucune modification par version du système d’exploitation Désactivé et non configuré sont équivalents |
| Gestion des stratégies | Condition requise pour le redémarrage : Aucun Condition de déconnexion : Aucune Conflits de stratégie : Aucun |
Afficher la chaîne lorsque le carte intelligent est bloqué
Vous pouvez utiliser ce paramètre de stratégie pour modifier le message par défaut qu’un utilisateur voit si son carte intelligent est bloqué.
Lorsque ce paramètre de stratégie est activé, vous pouvez créer et gérer le message affiché que l’utilisateur voit lorsqu’un carte intelligent est bloqué.
Lorsque ce paramètre de stratégie n’est pas activé (et que la fonctionnalité de déblocage intégrée est également activée), l’utilisateur voit le message par défaut du système lorsque le carte intelligent est bloqué.
| Élément | Description |
|---|---|
| Clé de Registre | IntegratedUnblockPromptString |
| Valeurs par défaut | Aucune modification par version du système d’exploitation Désactivé et non configuré sont équivalents |
| Gestion des stratégies | Condition requise pour le redémarrage : Aucun Condition de déconnexion : Aucune Conflits de stratégie : ce paramètre de stratégie n’est effectif que lorsque l’écran Autoriser le déblocage intégré à s’afficher au moment de l’ouverture de session est activé. |
Filtrer les certificats d’ouverture de session en double
Vous pouvez utiliser ce paramètre de stratégie pour configurer les certificats de connexion valides qui sont affichés.
Remarque
Pendant la période de renouvellement du certificat, le carte intelligent d’un utilisateur peut avoir plusieurs certificats de connexion valides émis à partir du même modèle de certificat, ce qui peut entraîner une confusion quant au certificat à sélectionner. Ce comportement peut se produire lorsqu’un certificat est renouvelé et que l’ancien certificat n’a pas encore expiré.
Si deux certificats sont émis à partir du même modèle avec la même version principale et qu’ils concernent le même utilisateur (ce qui est déterminé par leur UPN), ils sont déterminés comme étant identiques.
Lorsque ce paramètre de stratégie est activé, le filtrage se produit afin que l’utilisateur puisse sélectionner uniquement parmi les certificats valides les plus actuels.
Si ce paramètre de stratégie n’est pas activé, tous les certificats sont affichés à l’utilisateur.
Ce paramètre de stratégie est appliqué à l’ordinateur après l’application du paramètre de stratégie Autoriser la durée des certificats non valides .
| Élément | Description |
|---|---|
| Clé de Registre | FilterDuplicateCerts |
| Valeurs par défaut | Aucune modification par version du système d’exploitation Désactivé et non configuré sont équivalents |
| Gestion des stratégies | Condition requise pour le redémarrage : Aucun Condition de déconnexion : Aucune Conflits de stratégie : Aucun |
| Notes et ressources | S’il existe au moins deux certificats identiques sur un carte intelligent et que ce paramètre de stratégie est activé, le certificat dont le délai d’expiration est le plus éloigné s’affiche. |
Forcer la lecture de tous les certificats du carte intelligent
Vous pouvez utiliser ce paramètre de stratégie pour gérer la façon dont Windows lit tous les certificats de la carte intelligente pour la connexion. Pendant la connexion, Windows lit uniquement le certificat par défaut à partir du carte intelligent, sauf s’il prend en charge la récupération de tous les certificats dans un seul appel. Ce paramètre de stratégie force Windows à lire tous les certificats du carte intelligent.
Lorsque ce paramètre de stratégie est activé, Windows tente de lire tous les certificats à partir de la carte intelligente, quel que soit l’ensemble des fonctionnalités CSP.
Lorsque cette stratégie n’est pas activée, Windows tente de lire uniquement le certificat par défaut à partir de cartes à puce qui ne prennent pas en charge la récupération de tous les certificats en un seul appel. Les certificats autres que les certificats par défaut ne sont pas disponibles pour la connexion.
| Élément | Description |
|---|---|
| Clé de Registre | ForceReadingAllCertificates |
| Valeurs par défaut | Aucune modification par version du système d’exploitation Désactivé et non configuré sont équivalents |
| Gestion des stratégies | Condition requise pour le redémarrage : Aucun Condition de déconnexion : Aucune Conflits de stratégie : Aucun Important : L’activation de ce paramètre de stratégie peut nuire aux performances pendant le processus de connexion dans certaines situations. |
| Notes et ressources | Contactez le fournisseur smart carte pour déterminer si votre carte intelligent et le fournisseur de solutions Cloud associé prennent en charge le comportement requis. |
Informer l’utilisateur de la réussite de l’installation du pilote smart carte
Vous pouvez utiliser ce paramètre de stratégie pour contrôler si l’utilisateur voit un message de confirmation lors de l’installation d’un pilote de périphérique smart carte.
Lorsque ce paramètre de stratégie est activé, l’utilisateur voit un message de confirmation lors de l’installation d’un pilote de périphérique smart carte.
Lorsque ce paramètre n’est pas activé, l’utilisateur ne voit pas de message d’installation du pilote de périphérique intelligent carte.
| -- | -- |
|---|---|
| Clé de Registre | ScPnPNotification |
| Valeurs par défaut | Aucune modification par version du système d’exploitation Désactivé et non configuré sont équivalents |
| Gestion des stratégies | Condition requise pour le redémarrage : Aucun Condition de déconnexion : Aucune Conflits de stratégie : Aucun |
| Notes et ressources | Ce paramètre de stratégie s’applique uniquement aux pilotes carte intelligents qui ont passé le processus de test WHQL (Hardware Quality Labs) Windows. |
Empêcher le renvoi de codes confidentiels en texte clair par le Gestionnaire d’informations d’identification
Vous pouvez utiliser ce paramètre de stratégie pour empêcher le Gestionnaire d’informations d’identification de retourner des codes confidentiels en texte clair.
Remarque
Le Gestionnaire d’informations d’identification est contrôlé par l’utilisateur sur l’ordinateur local et stocke les informations d’identification des navigateurs et applications Windows pris en charge. Les informations d’identification sont enregistrées dans des dossiers chiffrés spéciaux sur l’ordinateur sous le profil de l’utilisateur.
Lorsque ce paramètre de stratégie est activé, le Gestionnaire d’informations d’identification ne renvoie pas de code confidentiel en texte clair.
Lorsque ce paramètre n’est pas activé, le Gestionnaire d’informations d’identification peut retourner des codes confidentiels en texte clair.
| Élément | Description |
|---|---|
| Clé de Registre | DisallowPlaintextPin |
| Valeurs par défaut | Aucune modification par version du système d’exploitation Désactivé et non configuré sont équivalents |
| Gestion des stratégies | Condition requise pour le redémarrage : Aucun Condition de déconnexion : Aucune Conflits de stratégie : Aucun |
| Notes et ressources | Si ce paramètre de stratégie est activé, certaines cartes à puce peuvent ne pas fonctionner sur les ordinateurs exécutant Windows. Consultez le fabricant smart carte pour déterminer si ce paramètre de stratégie doit être activé. |
Inverser le nom de l’objet stocké dans un certificat lors de l’affichage
Vous pouvez utiliser ce paramètre de stratégie pour contrôler la façon dont le nom de l’objet apparaît lors de la connexion.
Remarque
Pour aider les utilisateurs à distinguer un certificat d’un autre, le nom d’utilisateur principal (UPN) et le nom commun sont affichés par défaut. Par exemple, lorsque ce paramètre est activé, si l’objet du certificat est CN=User1, OU=Users, DN=example, DN=com et que l’UPN est user1@example.com, User1 est affiché avec user1@example.com. Si l’UPN n’est pas présent, le nom de l’objet entier s’affiche. Ce paramètre contrôle l’apparence de ce nom de sujet, et il peut être nécessaire de l’ajuster pour votre organization.
Lorsque ce paramètre de stratégie est activé, le nom de l’objet pendant la connexion apparaît inversé par rapport à la façon dont il est stocké dans le certificat.
Lorsque ce paramètre de stratégie n’est pas activé, le nom de l’objet apparaît le même qu’il est stocké dans le certificat.
| Élément | Description |
|---|---|
| Clé de Registre | ReverseSubject |
| Valeurs par défaut | Aucune modification par version du système d’exploitation Désactivé et non configuré sont équivalents |
| Gestion des stratégies | Condition requise pour le redémarrage : Aucun Condition de déconnexion : Aucune Conflits de stratégie : Aucun |
Activer la propagation des certificats à partir d’une carte intelligente
Vous pouvez utiliser ce paramètre de stratégie pour gérer la propagation de certificat qui se produit lorsqu’un carte intelligent est inséré.
Remarque
Le service de propagation de certificat s’applique lorsqu’un utilisateur connecté insère un carte intelligent dans un lecteur attaché à l’ordinateur. Cette action entraîne la lecture du certificat à partir du carte intelligent. Les certificats sont ensuite ajoutés au magasin Personnel de l’utilisateur.
Lorsque ce paramètre de stratégie est activé, la propagation du certificat se produit lorsque l’utilisateur insère le carte intelligent.
Lorsque ce paramètre de stratégie est désactivé, la propagation des certificats ne se produit pas et les certificats ne sont pas disponibles pour les applications, comme Outlook.
| Élément | Description |
|---|---|
| Clé de Registre | CertPropEnabled |
| Valeurs par défaut | Aucune modification par version du système d’exploitation Activé et non configuré sont équivalents |
| Gestion des stratégies | Condition requise pour le redémarrage : Aucun Condition de déconnexion : Aucune Conflits de stratégie : ce paramètre de stratégie doit être activé pour permettre au paramètre Activer la propagation du certificat racine à partir de smart carte de fonctionner lorsqu’il est activé. |
Activer la propagation du certificat racine à partir de smart carte
Vous pouvez utiliser ce paramètre de stratégie pour gérer la propagation du certificat racine qui se produit lorsqu’un carte intelligent est inséré.
Remarque
Le service de propagation de certificat s’applique lorsqu’un utilisateur connecté insère un carte intelligent dans un lecteur attaché à l’ordinateur. Cette action entraîne la lecture du certificat à partir du carte intelligent. Les certificats sont ensuite ajoutés au magasin Personnel de l’utilisateur.
Lorsque ce paramètre de stratégie est activé, la propagation du certificat racine se produit lorsque l’utilisateur insère le carte intelligent.
Lorsque ce paramètre de stratégie n’est pas activé, la propagation du certificat racine ne se produit pas lorsque l’utilisateur insère le carte intelligent.
| Élément | Description |
|---|---|
| Clé de Registre | EnableRootCertificate Propagation |
| Valeurs par défaut | Aucune modification par version du système d’exploitation Activé et non configuré sont équivalents |
| Gestion des stratégies | Condition requise pour le redémarrage : Aucun Condition de déconnexion : Aucune Conflits de stratégie : pour que ce paramètre de stratégie fonctionne, le paramètre de stratégie Activer la propagation des certificats à partir de smart carte doit également être activé. |
| Notes et ressources |
Activer le service de Plug-and-Play carte à puce
Vous pouvez utiliser ce paramètre de stratégie pour contrôler si le Plug-and-Play de carte à puce est activé.
Remarque
Vos utilisateurs peuvent utiliser des cartes à puce de fournisseurs qui ont publié leurs pilotes via Windows Update sans avoir besoin d’intergiciels spéciaux. Ces pilotes seront téléchargés de la même façon que les pilotes pour d’autres appareils dans Windows. Si aucun pilote approprié n’est disponible à partir de Windows Update, un mini-pilote compatible PIV fourni avec l’une des versions prises en charge de Windows est utilisé pour ces cartes.
Lorsque ce paramètre de stratégie est activé, le système tente d’installer un pilote de périphérique carte intelligent la première fois qu’un carte intelligent est inséré dans un lecteur carte intelligent.
Lorsque ce paramètre de stratégie n’est pas activé, un pilote de périphérique n’est pas installé lorsqu’un carte intelligent est inséré dans un lecteur carte intelligent.
| Élément | Description |
|---|---|
| Clé de Registre | EnableScPnP |
| Valeurs par défaut | Aucune modification par version du système d’exploitation Activé et non configuré sont équivalents |
| Gestion des stratégies | Condition requise pour le redémarrage : Aucun Condition de déconnexion : Aucune Conflits de stratégie : Aucun |
| Notes et ressources | Ce paramètre de stratégie s’applique uniquement aux pilotes carte intelligents qui ont passé le processus de test WHQL (Hardware Quality Labs) Windows. |
Clés de Registre CSP et KSP de carte à puce de base
Les clés de Registre suivantes peuvent être configurées pour le fournisseur de services de chiffrement de base (CSP) et le fournisseur de stockage de clés de carte intelligent (KSP). Les tableaux suivants répertorient les clés. Toutes les clés utilisent le type DWORD.
Les clés de Registre pour le fournisseur de solutions cloud de base se trouvent dans le Registre dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Base Smart Card Crypto Provider.
Les clés de Registre pour le KSP smart carte se trouvent dans HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Cryptography\Providers\Microsoft Smart Card Key Storage Provider.
Clés de Registre pour le fournisseur de solutions cloud de base et le fournisseur de clés carte intelligent
| Clé de Registre | Description |
|---|---|
| AllowPrivateExchangeKeyImport | Une valeur différente de zéro permet d’importer des clés privées d’échange RSA (par exemple, le chiffrement) pour les utiliser dans des scénarios d’archivage de clés. Valeur par défaut : 00000000 |
| AllowPrivateSignatureKeyImport | Une valeur différente de zéro permet d’importer des clés privées de signature RSA pour les utiliser dans des scénarios d’archivage de clés. Valeur par défaut : 00000000 |
| DefaultPrivateKeyLenBits | Définit la longueur par défaut des clés privées, si vous le souhaitez. Valeur par défaut : 00000400 Paramètre de génération de clé par défaut : clés 1024 bits |
| RequireOnCardPrivateKeyGen | Cette clé définit l’indicateur qui nécessite une génération de clé privée carte (par défaut). Si cette valeur est définie, une clé générée sur un hôte peut être importée dans le carte intelligent. Cette option est utilisée pour les cartes à puce qui ne prennent pas en charge la génération de clé carte ou pour lesquelles l’entiercement de clé est requis. Valeur par défaut : 00000000 |
| TransactionTimeoutMilliseconds | Les valeurs de délai d’expiration par défaut vous permettent de spécifier si les transactions qui prennent un temps excessif échouent. Valeur par défaut : 000005dc Le délai d’attente par défaut pour la conservation des transactions dans le carte intelligent est de 1,5 seconde. |
Clés de Registre supplémentaires pour le KSP smart carte :
| Clé de Registre | Description |
|---|---|
| AllowPrivateECDHEKeyImport | Cette valeur permet d’importer des clés privées ECDHE (Ephemeral Elliptic Curve Diffie-Hellman) pour les utiliser dans des scénarios d’archivage de clés. Valeur par défaut : 00000000 |
| AllowPrivateECDSAKeyImport | Cette valeur permet d’importer des clés privées ECDSA (Elliptic Curve Digital Signature Algorithm) pour les utiliser dans des scénarios d’archivage de clés. Valeur par défaut : 00000000 |
Vérification des clés de Registre par liste de révocation de certificats
Le tableau suivant répertorie les clés et les valeurs correspondantes pour désactiver la vérification de la liste de révocation de certificats (CRL) dans le centre de distribution de clés (KDC) ou le client. Pour gérer la vérification de la liste de révocation de certificats, vous devez configurer les paramètres du KDC et du client.
| Clé de Registre | Détails |
|---|---|
HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Kdc\UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors |
Type = DWORD Valeur = 1 |
HKEY_LOCAL_MACHINE\SYSTEM\CCS\Control\LSA\Kerberos\Parameters\UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors |
Type = DWORD Valeur = 1 |
Paramètres de carte stratégie de groupe intelligent supplémentaires et clés de Registre
Dans un déploiement carte intelligent, des paramètres de stratégie de groupe supplémentaires peuvent être utilisés pour améliorer la facilité d’utilisation ou la sécurité. Deux de ces paramètres de stratégie qui peuvent compléter un déploiement carte intelligent sont les suivants :
- Désactivation de la délégation pour les ordinateurs
- Ouverture de session interactive : n’avez pas besoin de Ctrl+Alt+Suppr (non recommandé)
Les paramètres de stratégie de groupe smart carte suivants se trouvent dans Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité.
Paramètres de stratégie de sécurité locale
| stratégie de groupe paramètre et clé de Registre | Par défaut | Description |
|---|---|---|
| Ouverture de session interactive : carte à puce nécessaire scforceoption |
Désactivés | Ce paramètre de stratégie de sécurité exige que les utilisateurs se connectent à un ordinateur à l’aide d’un carte intelligent. Activé Les utilisateurs peuvent se connecter à l’ordinateur uniquement à l’aide d’une carte intelligente. Handicapés Les utilisateurs peuvent se connecter à l’ordinateur à l’aide de n’importe quelle méthode. REMARQUE : le compte local géré par Windows LAPS est exempté de cette stratégie lorsqu’il est activé. |
| Ouverture de session interactive : comportement lorsque la carte à puce est retirée scremoveoption |
Ce paramètre de stratégie n’est pas défini, ce qui signifie que le système le traite comme Aucune action. | Ce paramètre détermine ce qui se passe lorsque le carte intelligent d’un utilisateur connecté est supprimé du lecteur smart carte. Les options sont les suivantes : Aucune action Verrouiller la station de travail : la station de travail est verrouillée lorsque le carte intelligent est supprimé, de sorte que les utilisateurs peuvent quitter la zone, prendre leur carte intelligent avec eux et maintenir une session protégée. Forcer la fermeture de session : l’utilisateur est automatiquement déconnecté lorsque le carte intelligent est supprimé. Déconnecter si une session des services Bureau à distance : la suppression du carte intelligent déconnecte la session sans déconnecter l’utilisateur. L’utilisateur peut réinsérer le carte intelligent et reprendre la session ultérieurement, ou sur un autre ordinateur équipé d’un lecteur carte intelligent, sans avoir à se reconnecter. Si la session est locale, ce paramètre de stratégie fonctionne de la même manière que l’option Verrouiller la station de travail . |
À partir de l’Rédacteur stratégie de sécurité locale (secpol.msc), vous pouvez modifier et appliquer des stratégies système pour gérer la délégation d’informations d’identification pour les ordinateurs locaux ou de domaine.
Les paramètres de stratégie de groupe smart carte suivants se trouvent dans Configuration ordinateur\Modèles d’administration\Système\Délégation d’informations d’identification.
Les clés de Registre se trouvent dans HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Credssp\PolicyDefaults.
Remarque
Dans le tableau suivant, les nouvelles informations d’identification sont celles que vous êtes invité à entrer lors de l’exécution d’une application.
Paramètres de stratégie de délégation d’informations d’identification
| stratégie de groupe paramètre et clé de Registre | Par défaut | Description |
|---|---|---|
| Autoriser la délégation de nouvelles informations d’identification AllowFreshCredentials |
Non configuré | Ce paramètre de stratégie s’applique : Quand l’authentification du serveur a été obtenue par le biais d’un certificat X509 approuvé ou d’un protocole Kerberos. Aux applications qui utilisent le composant CredSSP (par exemple, les services Bureau à distance). Activé : vous pouvez spécifier les serveurs où les nouvelles informations d’identification de l’utilisateur peuvent être déléguées. Non configuré : après une authentification mutuelle appropriée, la délégation de nouvelles informations d’identification est autorisée aux services Bureau à distance exécutés sur n’importe quel ordinateur. Désactivé : la délégation de nouvelles informations d’identification à n’importe quel ordinateur n’est pas autorisée. Remarque : Ce paramètre de stratégie peut être défini sur un ou plusieurs noms de principal de service (SPN). Le SPN représente le serveur cible où les informations d’identification de l’utilisateur peuvent être déléguées. Un caractère générique unique est autorisé lors de la spécification du SPN, par exemple : Utilisez *TERMSRV/** pour l’hôte de session Bureau à distance (hôte de session Bureau à distance) exécuté sur n’importe quel ordinateur. Utilisez TERMSRV/host.humanresources.fabrikam.com pour l’hôte de session Bureau à distance exécuté sur l’ordinateur host.humanresources.fabrikam.com. Utilisez termsRV/*.humanresources.fabrikam.com pour l’hôte de session Bureau à distance s’exécutant sur tous les ordinateurs de .humanresources.fabrikam.com |
| Autoriser la délégation de nouvelles informations d’identification avec l’authentification serveur NTLM uniquement AllowFreshCredentialsWhenNTLMOnly |
Non configuré | Ce paramètre de stratégie s’applique : Quand l’authentification du serveur a été obtenue à l’aide de NTLM. Aux applications qui utilisent le composant CredSSP (par exemple, Bureau à distance). Activé : vous pouvez spécifier les serveurs où les nouvelles informations d’identification de l’utilisateur peuvent être déléguées. Non configuré : après une authentification mutuelle appropriée, la délégation de nouvelles informations d’identification est autorisée à l’hôte de session Bureau à distance s’exécutant sur n’importe quel ordinateur (TERMSRV/*). Désactivé : la délégation de nouvelles informations d’identification n’est autorisée à aucun ordinateur. Remarque : Ce paramètre de stratégie peut être défini sur un ou plusieurs noms de principal du service. Le SPN représente le serveur cible où les informations d’identification de l’utilisateur peuvent être déléguées. Un caractère générique unique (*) est autorisé lors de la spécification du SPN. Pour obtenir des exemples, consultez la description du paramètre de stratégie Autoriser la délégation de nouvelles informations d’identification . |
| Refuser la délégation de nouvelles informations d’identification DenyFreshCredentials |
Non configuré | Ce paramètre de stratégie s’applique aux applications qui utilisent le composant CredSSP (par exemple, Bureau à distance). Activé : vous pouvez spécifier les serveurs pour lesquels les nouvelles informations d’identification de l’utilisateur ne peuvent pas être déléguées. Désactivé ou Non configuré : aucun serveur n’est spécifié. Remarque : Ce paramètre de stratégie peut être défini sur un ou plusieurs noms de principal du service. Le SPN représente le serveur cible sur lequel les informations d’identification de l’utilisateur ne peuvent pas être déléguées. Un caractère générique unique (*) est autorisé lors de la spécification du SPN. Pour obtenir des exemples, consultez le paramètre de stratégie « Autoriser la délégation de nouvelles informations d’identification ». |
Si vous utilisez les services Bureau à distance avec une ouverture de session carte intelligente, vous ne pouvez pas déléguer les informations d’identification par défaut et enregistrées. Les clés de Registre du tableau suivant, qui se trouvent dans HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Credssp\PolicyDefaults, et les paramètres de stratégie de groupe correspondants sont ignorés.
| Clé de Registre | Paramètre de stratégie de groupe correspondant |
|---|---|
| AllowDefaultCredentials | Autoriser la délégation des informations d’identification par défaut |
| AllowDefaultCredentialsWhenNTLMOnly | Autoriser la délégation des informations d’identification par défaut avec l’authentification serveur NTLM uniquement |
| AllowSavedCredentials | Autoriser la délégation des informations d’identification enregistrées |
| AllowSavedCredentialsWhenNTLMOnly | Autoriser la délégation des informations d’identification enregistrées avec l’authentification serveur NTLM uniquement |
Voir également
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour