정책 CSP - ADMX_sam
팁
이 CSP에는 사용하거나 사용하지 않도록 설정하기 위해 특별한 SyncML 형식이 필요한 ADMX 지원 정책이 포함되어 있습니다. SyncML의 데이터 형식을 로 <Format>chr</Format>지정해야 합니다. 자세한 내용은 ADMX 기반 정책 이해를 참조하세요.
SyncML의 페이로드는 XML로 인코딩되어야 합니다. 이 XML 인코딩의 경우 사용할 수 있는 다양한 온라인 인코더가 있습니다. 페이로드를 인코딩하지 않도록 MDM에서 지원하는 경우 CDATA를 사용할 수 있습니다. 자세한 내용은 CDATA 섹션을 참조하세요.
SamNGCKeyROCAValidation
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, 버전 2004 및 KB5005101 [10.0.19041.1202] 이상 ✅ Windows 10 버전 20H2 및 KB5005101 [10.0.19042.1202] 이상 ✅ Windows 10 버전 21H1 및 KB5005101 [10.0.19043.1202] 이상 ✅ Windows 11 버전 21H2 [10.0.22000] 이상 |
./Device/Vendor/MSFT/Policy/Config/ADMX_sam/SamNGCKeyROCAValidation
이 정책 설정을 사용하면 도메인 컨트롤러가 "ROCA(Coppersmith 공격 반환) 취약성에 취약한 WHfB(비즈니스용 Windows Hello) 키를 처리하는 방법을 구성할 수 있습니다.
ROCA 취약성에 대한 자세한 내용은 다음을 참조하세요.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15361
https://en.wikipedia.org/wiki/ROCA_vulnerability
이 정책 설정을 사용하도록 설정하면 다음 옵션이 지원됩니다.
무시: 인증하는 동안 도메인 컨트롤러는 ROCA 취약성에 대한 WHfB 키를 검색하지 않습니다.
감사: 인증하는 동안 도메인 컨트롤러는 ROCA 취약성이 적용되는 WHfB 키에 대한 감사 이벤트를 내보냅니다(인증은 여전히 성공함).
차단: 인증하는 동안 도메인 컨트롤러는 ROCA 취약성이 적용되는 WHfB 키의 사용을 차단합니다(인증 실패).
이 설정은 도메인 컨트롤러에만 적용됩니다.
구성되지 않은 경우 도메인 컨트롤러는 기본적으로 로컬 구성을 사용합니다. 기본 로컬 구성은 Audit입니다.
이 설정을 변경하려면 다시 부팅이 필요하지 않습니다.
예기치 않은 중단을 방지하기 위해 취약한 TPM의 패치와 같은 적절한 완화가 수행될 때까지 이 설정을 차단으로 설정하면 안 됩니다.
자세한 내용은 에서<https://go.microsoft.com/fwlink/?linkid=2116430> 확인할 수 있습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 |
chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
팁
ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.
ADMX 매핑:
| 이름 | 값 |
|---|---|
| 이름 | SamNGCKeyROCAValidation |
| 이름 | 인증 중에 ROCA에 취약한 WHfB 키의 유효성 검사 구성 |
| 위치 | 컴퓨터 구성 |
| 경로 | 시스템 > 보안 계정 관리자 |
| 레지스트리 키 이름 | Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM |
| ADMX 파일 이름 | sam.admx |