ポリシー CSP - ADMX_sam

  • [アーティクル]

ヒント

この CSP には、有効または無効にするための特別な SyncML 形式が必要な ADMX に基づくポリシーが含まれています。 SyncML のデータ型を として <Format>chr</Format>指定する必要があります。 詳細については、「 ADMX でサポートされるポリシーについて」を参照してください。

SyncML のペイロードは XML エンコードされている必要があります。この XML エンコードには、さまざまなオンライン エンコーダーを使用できます。 ペイロードのエンコードを回避するために、MDM でサポートされている場合は CDATA を使用できます。 詳細については、「 CDATA セクション」を参照してください。

SamNGCKeyROCAValidation

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー		 ✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC		 ✅Windows 10バージョン 2004 [10.0.19041.1202] 以降
✅Windows 10バージョン 2009 [10.0.19042.1202] 以降
✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降
✅Windows 11バージョン 21H2 [10.0.22000] 以降		 
./Device/Vendor/MSFT/Policy/Config/ADMX_sam/SamNGCKeyROCAValidation

このポリシー設定を使用すると、ドメイン コントローラーが "Coppersmith の攻撃のリターン" (ROCA) の脆弱性に対して脆弱なWindows Hello for Business (WHfB) キーを処理する方法を構成できます。

ROCA の脆弱性の詳細については、次を参照してください。

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15361

https://en.wikipedia.org/wiki/ROCA_vulnerability

このポリシー設定を有効にすると、次のオプションがサポートされます。

無視: 認証中、ドメイン コントローラーは ROCA の脆弱性に対して WHfB キーをプローブしません。

監査: 認証中に、ドメイン コントローラーは ROCA の脆弱性の影響を受ける WHfB キーの監査イベントを出力します (認証は引き続き成功します)。

ブロック: 認証中、ドメイン コントローラーは ROCA の脆弱性の影響を受ける WHfB キーの使用をブロックします (認証は失敗します)。

この設定は、ドメイン コントローラーでのみ有効になります。

構成されていない場合、ドメイン コントローラーは既定でローカル構成を使用します。 既定のローカル構成は Audit です。

この設定を変更して有効にするには、再起動は必要ありません。

予期しない中断を回避するために、脆弱な TPM の修正プログラムの適用など、適切な軽減策が実行されるまで、この設定を [ブロック] に設定しないでください。

詳細については、 を<https://go.microsoft.com/fwlink/?linkid=2116430>参照してください。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 SamNGCKeyROCAValidation
フレンドリ名 認証中に ROCA で脆弱な WHfB キーの検証を構成する
場所 [コンピューターの構成]
パス System > Security Account Manager
レジストリ キー名 Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM
ADMX ファイル名 sam.admx

ポリシー構成サービス プロバイダー