Política CSP – ADMX_CredSsp
Dica
Este CSP contém políticas apoiadas pelo ADMX que exigem um formato SyncML especial para habilitar ou desabilitar. Você deve especificar o tipo de dados no SyncML como <Format>chr</Format>. Para obter detalhes, consulte Noções básicas sobre políticas apoiadas pelo ADMX.
A carga do SyncML deve ser codificada por XML; para essa codificação XML, há uma variedade de codificadores online que você pode usar. Para evitar codificar a carga, você pode usar a CDATA se o MDM der suporte a ela. Para obter mais informações, confira Seções CDATA.
AllowDefaultCredentials
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowDefaultCredentials
Essa configuração de política se aplica a aplicativos que usam o componente SSP do Cred (por exemplo: Conexão de Área de Trabalho Remota).
Essa configuração de política se aplica quando a autenticação do servidor foi obtida usando um certificado X509 confiável ou Kerberos.
- Se você habilitar essa configuração de política, poderá especificar os servidores aos quais as credenciais padrão do usuário podem ser delegadas (credenciais padrão são aquelas que você usa ao fazer logon pela primeira vez no Windows).
A política entra em vigor na próxima vez que o usuário entrar em um computador que executa o Windows.
- Se você desabilitar ou não configurar (por padrão) essa configuração de política, a delegação de credenciais padrão não será permitida a nenhum computador. Aplicativos dependendo desse comportamento de delegação podem falhar na autenticação. Para obter mais informações, consulte KB.
FWlink para KB:
https://go.microsoft.com/fwlink/?LinkId=301508
Observação
A configuração da política "Permitir credenciais padrão" pode ser definida como um ou mais SPNs (Nomes de Entidade de Serviço). O SPN representa o servidor de destino ao qual as credenciais do usuário podem ser delegadas. O uso de um único caractere curinga é permitido ao especificar o SPN.
Por exemplo:
TERMSRV/host.humanresources.fabrikam.com Host de Sessão da Área de Trabalho Remota em execução em host.humanresources.fabrikam.com computador.
TERMSRV/* Host de Sessão da Área de Trabalho Remota em execução em todos os computadores.
TERMSRV/*.humanresources.fabrikam.com Host de Sessão da Área de Trabalho Remota em execução em todos os computadores no .humanresources.fabrikam.com.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | AllowDefaultCredentials |
| Nome Amigável | Permitir delegar credenciais padrão |
| Localização | Configuração do Computador |
| Caminho | Delegação de Credenciais do Sistema > |
| Nome da Chave do Registro | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nome do Valor do Registro | AllowDefaultCredentials |
| Nome do Arquivo ADMX | CredSsp.admx |
AllowDefCredentialsWhenNTLMOnly
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowDefCredentialsWhenNTLMOnly
Essa configuração de política se aplica a aplicativos que usam o componente SSP do Cred (por exemplo: Conexão de Área de Trabalho Remota).
Essa configuração de política se aplica quando a autenticação do servidor foi obtida por meio do NTLM.
Se você habilitar essa configuração de política, poderá especificar os servidores aos quais as credenciais padrão do usuário podem ser delegadas (credenciais padrão são aquelas que você usa ao fazer logon pela primeira vez no Windows).
Se você desabilitar ou não configurar (por padrão) essa configuração de política, a delegação de credenciais padrão não será permitida a nenhum computador.
Observação
A configuração de política "Permitir delegar credenciais padrão com autenticação de servidor somente NTLM" pode ser definida como um ou mais SPNs (Nomes da Entidade de Serviço). O SPN representa o servidor de destino ao qual as credenciais do usuário podem ser delegadas. O uso de um único caractere curinga é permitido ao especificar o SPN.
Por exemplo:
TERMSRV/host.humanresources.fabrikam.com Host de Sessão da Área de Trabalho Remota em execução em host.humanresources.fabrikam.com computador.
TERMSRV/* Host de Sessão da Área de Trabalho Remota em execução em todos os computadores.
TERMSRV/*.humanresources.fabrikam.com Host de Sessão da Área de Trabalho Remota em execução em todos os computadores no .humanresources.fabrikam.com.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | AllowDefCredentialsWhenNTLMOnly |
| Nome Amigável | Permitir delegar credenciais padrão com autenticação de servidor somente NTLM |
| Localização | Configuração do Computador |
| Caminho | Delegação de Credenciais do Sistema > |
| Nome da Chave do Registro | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nome do Valor do Registro | AllowDefCredentialsWhenNTLMOnly |
| Nome do Arquivo ADMX | CredSsp.admx |
AllowEncryptionOracle
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowEncryptionOracle
Criptografia Oracle Remediation.
Essa configuração de política se aplica a aplicativos que usam o componente CredSSP (por exemplo: Conexão de Área de Trabalho Remota).
Algumas versões do protocolo CredSSP são vulneráveis a um ataque oracle de criptografia contra o cliente. Essa política controla a compatibilidade com clientes e servidores vulneráveis. Essa política permite que você defina o nível de proteção desejado para a vulnerabilidade do oráculo de criptografia.
Se você habilitar essa configuração de política, o suporte à versão do CredSSP será selecionado com base nas seguintes opções:
Forçar clientes atualizados: os aplicativos cliente que usam CredSSP não poderão voltar às versões e serviços inseguros usando o CredSSP não aceitarão clientes não corrigidos. Observe que essa configuração não deve ser implantada até que todos os hosts remotos dêem suporte à versão mais recente.
Mitigado: os aplicativos cliente que usam o CredSSP não poderão voltar à versão insegura, mas os serviços que usam o CredSSP aceitarão clientes não corrigidos. Confira o link abaixo para obter informações importantes sobre o risco representado pelos clientes não corrigidos restantes.
Vulnerável: os aplicativos cliente que usam o CredSSP exporão os servidores remotos a ataques, dando suporte às versões e serviços inseguros que usam o CredSSP aceitarão clientes não corrigidos.
Para obter mais informações sobre os requisitos de vulnerabilidade e manutenção para proteção, consulte https://go.microsoft.com/fwlink/?linkid=866660
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | AllowEncryptionOracle |
| Nome Amigável | Criptografia Oracle Remediation |
| Localização | Configuração do Computador |
| Caminho | Delegação de Credenciais do Sistema > |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
| Nome do Arquivo ADMX | CredSsp.admx |
AllowFreshCredentials
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowFreshCredentials
Essa configuração de política se aplica a aplicativos que usam o componente SSP do Cred (por exemplo: Conexão de Área de Trabalho Remota).
Essa configuração de política se aplica quando a autenticação do servidor foi obtida por meio de um certificado X509 confiável ou Kerberos.
Se você habilitar essa configuração de política, poderá especificar os servidores aos quais as novas credenciais do usuário podem ser delegadas (novas credenciais são aquelas para as quais você é solicitado ao executar o aplicativo).
Se você não configurar (por padrão) essa configuração de política, após a autenticação mútua adequada, a delegação de novas credenciais será permitida para o Host de Sessão da Área de Trabalho Remota em execução em qualquer computador (TERMSRV/*).
Se você desabilitar essa configuração de política, a delegação de novas credenciais não será permitida a nenhum computador.
Observação
A configuração da política "Permitir delegar novas credenciais" pode ser definida como um ou mais SPNs (Nomes de Entidade de Serviço). O SPN representa o servidor de destino ao qual as credenciais do usuário podem ser delegadas. O uso de um único curinga é permitido ao especificar o SPN.
Por exemplo:
TERMSRV/host.humanresources.fabrikam.com.
Host de Sessão da Área de Trabalho Remota em execução no computador host.humanresources.fabrikam.com.
TERMSRV/* Host de Sessão da Área de Trabalho Remota em execução em todos os computadores.
TERMSRV/*.humanresources.fabrikam.com Host de Sessão da Área de Trabalho Remota em execução em todos os computadores no .humanresources.fabrikam.com.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | AllowFreshCredentials |
| Nome Amigável | Permitir delegar novas credenciais |
| Localização | Configuração do Computador |
| Caminho | Delegação de Credenciais do Sistema > |
| Nome da Chave do Registro | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nome do Valor do Registro | AllowFreshCredentials |
| Nome do Arquivo ADMX | CredSsp.admx |
AllowFreshCredentialsWhenNTLMOnly
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowFreshCredentialsWhenNTLMOnly
Essa configuração de política se aplica a aplicativos que usam o componente SSP do Cred (por exemplo: Conexão de Área de Trabalho Remota).
Essa configuração de política se aplica quando a autenticação do servidor foi obtida por meio do NTLM.
Se você habilitar essa configuração de política, poderá especificar os servidores aos quais as novas credenciais do usuário podem ser delegadas (novas credenciais são aquelas para as quais você é solicitado ao executar o aplicativo).
Se você não configurar (por padrão) essa configuração de política, após a autenticação mútua adequada, a delegação de novas credenciais será permitida para o Host de Sessão da Área de Trabalho Remota em execução em qualquer computador (TERMSRV/*).
Se você desabilitar essa configuração de política, a delegação de novas credenciais não será permitida a nenhum computador.
Observação
A configuração de política "Permitir delegar novas credenciais com autenticação de servidor somente NTLM" pode ser definida como um ou mais SPNs (Nomes da Entidade de Serviço). O SPN representa o servidor de destino ao qual as credenciais do usuário podem ser delegadas. O uso de um único caractere curinga é permitido ao especificar o SPN.
Por exemplo:
TERMSRV/host.humanresources.fabrikam.com Host de Sessão da Área de Trabalho Remota em execução em host.humanresources.fabrikam.com computador.
TERMSRV/* Host de Sessão da Área de Trabalho Remota em execução em todos os computadores.
TERMSRV/*.humanresources.fabrikam.com Host de Sessão da Área de Trabalho Remota em execução em todos os computadores do humanresources.fabrikam.com.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | AllowFreshCredentialsWhenNTLMOnly |
| Nome Amigável | Permitir delegar novas credenciais com autenticação de servidor somente NTLM |
| Localização | Configuração do Computador |
| Caminho | Delegação de Credenciais do Sistema > |
| Nome da Chave do Registro | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nome do Valor do Registro | AllowFreshCredentialsWhenNTLMOnly |
| Nome do Arquivo ADMX | CredSsp.admx |
AllowSavedCredentials
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowSavedCredentials
Essa configuração de política se aplica a aplicativos que usam o componente SSP do Cred (por exemplo: Conexão de Área de Trabalho Remota).
Essa configuração de política se aplica quando a autenticação do servidor foi obtida por meio de um certificado X509 confiável ou Kerberos.
Se você habilitar essa configuração de política, poderá especificar os servidores aos quais as credenciais salvas do usuário podem ser delegadas (credenciais salvas são aquelas que você opta por salvar/lembrar usando o gerenciador de credenciais do Windows).
Se você não configurar (por padrão) essa configuração de política, após a autenticação mútua adequada, a delegação de credenciais salvas será permitida para o Host de Sessão da Área de Trabalho Remota em execução em qualquer computador (TERMSRV/*).
Se você desabilitar essa configuração de política, a delegação de credenciais salvas não será permitida a nenhum computador.
Observação
A configuração de política "Permitir delegar credenciais salvas" pode ser definida como um ou mais SPNs (Nomes de Entidade de Serviço). O SPN representa o servidor de destino ao qual as credenciais do usuário podem ser delegadas. O uso de um único caractere curinga é permitido ao especificar o SPN.
Por exemplo:
TERMSRV/host.humanresources.fabrikam.com Host de Sessão da Área de Trabalho Remota em execução em host.humanresources.fabrikam.com computador.
TERMSRV/* Host de Sessão da Área de Trabalho Remota em execução em todos os computadores.
TERMSRV/*.humanresources.fabrikam.com Host de Sessão da Área de Trabalho Remota em execução em todos os computadores do humanresources.fabrikam.com.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | AllowSavedCredentials |
| Nome Amigável | Permitir delegar credenciais salvas |
| Localização | Configuração do Computador |
| Caminho | Delegação de Credenciais do Sistema > |
| Nome da Chave do Registro | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nome do Valor do Registro | AllowSavedCredentials |
| Nome do Arquivo ADMX | CredSsp.admx |
AllowSavedCredentialsWhenNTLMOnly
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowSavedCredentialsWhenNTLMOnly
Essa configuração de política se aplica a aplicativos que usam o componente SSP do Cred (por exemplo: Conexão de Área de Trabalho Remota).
Essa configuração de política se aplica quando a autenticação do servidor foi obtida por meio do NTLM.
Se você habilitar essa configuração de política, poderá especificar os servidores aos quais as credenciais salvas do usuário podem ser delegadas (credenciais salvas são aquelas que você opta por salvar/lembrar usando o gerenciador de credenciais do Windows).
Se você não configurar (por padrão) essa configuração de política, após a autenticação mútua adequada, a delegação de credenciais salvas será permitida para o Host de Sessão da Área de Trabalho Remota em execução em qualquer computador (TERMSRV/*) se o computador cliente não for membro de nenhum domínio. Se o cliente for ingressado no domínio, por padrão, a delegação de credenciais salvas não será permitida a nenhum computador.
Se você desabilitar essa configuração de política, a delegação de credenciais salvas não será permitida a nenhum computador.
Observação
A configuração de política "Permitir delegar credenciais salvas com autenticação de servidor somente NTLM" pode ser definida como um ou mais SPNs (Nomes da Entidade de Serviço). O SPN representa o servidor de destino ao qual as credenciais do usuário podem ser delegadas. O uso de um único caractere curinga é permitido ao especificar o SPN.
Por exemplo:
TERMSRV/host.humanresources.fabrikam.com Host de Sessão da Área de Trabalho Remota em execução em host.humanresources.fabrikam.com computador.
TERMSRV/* Host de Sessão da Área de Trabalho Remota em execução em todos os computadores.
TERMSRV/*.humanresources.fabrikam.com Host de Sessão da Área de Trabalho Remota em execução em todos os computadores do humanresources.fabrikam.com.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | AllowSavedCredentialsWhenNTLMOnly |
| Nome Amigável | Permitir delegar credenciais salvas com autenticação de servidor somente NTLM |
| Localização | Configuração do Computador |
| Caminho | Delegação de Credenciais do Sistema > |
| Nome da Chave do Registro | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nome do Valor do Registro | AllowSavedCredentialsWhenNTLMOnly |
| Nome do Arquivo ADMX | CredSsp.admx |
DenyDefaultCredentials
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenyDefaultCredentials
Essa configuração de política se aplica a aplicativos que usam o componente SSP do Cred (por exemplo: Conexão de Área de Trabalho Remota).
Se você habilitar essa configuração de política, poderá especificar os servidores aos quais as credenciais padrão do usuário não podem ser delegadas (credenciais padrão são aquelas que você usa ao fazer logon pela primeira vez no Windows).
Se você desabilitar ou não configurar (por padrão) essa configuração de política, essa configuração de política não especificará nenhum servidor.
Observação
A configuração de política "Negar credenciais padrão" pode ser definida como um ou mais SPNs (Nomes de Entidade de Serviço). O SPN representa o servidor de destino ao qual as credenciais do usuário não podem ser delegadas. O uso de um único caractere curinga é permitido ao especificar o SPN.
Por exemplo:
TERMSRV/host.humanresources.fabrikam.com Host de Sessão da Área de Trabalho Remota em execução em host.humanresources.fabrikam.com computador.
TERMSRV/* Host de Sessão da Área de Trabalho Remota em execução em todos os computadores.
TERMSRV/*.humanresources.fabrikam.com Host de Sessão da Área de Trabalho Remota em execução em todos os computadores no .humanresources.fabrikam.com.
Essa configuração de política pode ser usada em combinação com a configuração de política "Permitir delegar credenciais padrão" para definir exceções para servidores específicos que, de outra forma, são permitidos ao usar caracteres curinga na lista de servidores "Permitir delegar credenciais padrão".
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | DenyDefaultCredentials |
| Nome Amigável | Negar a delegação de credenciais padrão |
| Localização | Configuração do Computador |
| Caminho | Delegação de Credenciais do Sistema > |
| Nome da Chave do Registro | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nome do Valor do Registro | DenyDefaultCredentials |
| Nome do Arquivo ADMX | CredSsp.admx |
DenyFreshCredentials
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenyFreshCredentials
Essa configuração de política se aplica a aplicativos que usam o componente SSP do Cred (por exemplo: Conexão de Área de Trabalho Remota).
Se você habilitar essa configuração de política, poderá especificar os servidores aos quais as novas credenciais do usuário não podem ser delegadas (novas credenciais são aquelas solicitadas ao executar o aplicativo).
Se você desabilitar ou não configurar (por padrão) essa configuração de política, essa configuração de política não especificará nenhum servidor.
Observação
A configuração da política "Negar delegar novas credenciais" pode ser definida como um ou mais SPNs (Nomes de Entidade de Serviço). O SPN representa o servidor de destino ao qual as credenciais do usuário não podem ser delegadas. O uso de um único caractere curinga é permitido ao especificar o SPN.
Por exemplo:
TERMSRV/host.humanresources.fabrikam.com Host de Sessão da Área de Trabalho Remota em execução em host.humanresources.fabrikam.com computador.
TERMSRV/* Host de Sessão da Área de Trabalho Remota em execução em todos os computadores.
TERMSRV/*.humanresources.fabrikam.com Host de Sessão da Área de Trabalho Remota em execução em todos os computadores no .humanresources.fabrikam.com.
Essa configuração de política pode ser usada em combinação com a configuração de política "Permitir delegar novas credenciais" para definir exceções para servidores específicos que, de outra forma, são permitidos ao usar caracteres curinga na lista de servidores "Permitir delegar novas credenciais".
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | DenyFreshCredentials |
| Nome Amigável | Negar delegar novas credenciais |
| Localização | Configuração do Computador |
| Caminho | Delegação de Credenciais do Sistema > |
| Nome da Chave do Registro | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nome do Valor do Registro | DenyFreshCredentials |
| Nome do Arquivo ADMX | CredSsp.admx |
DenySavedCredentials
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenySavedCredentials
Essa configuração de política se aplica a aplicativos que usam o componente SSP do Cred (por exemplo: Conexão de Área de Trabalho Remota).
Se você habilitar essa configuração de política, poderá especificar os servidores aos quais as credenciais salvas do usuário não podem ser delegadas (credenciais salvas são aquelas que você opta por salvar/lembrar usando o gerenciador de credenciais do Windows).
Se você desabilitar ou não configurar (por padrão) essa configuração de política, essa configuração de política não especificará nenhum servidor.
Observação
A configuração da política "Negar delegar credenciais salvas" pode ser definida como um ou mais SPNs (Nomes da Entidade de Serviço). O SPN representa o servidor de destino ao qual as credenciais do usuário não podem ser delegadas. O uso de um único caractere curinga é permitido ao especificar o SPN.
Por exemplo:
TERMSRV/host.humanresources.fabrikam.com Host de Sessão da Área de Trabalho Remota em execução em host.humanresources.fabrikam.com computador.
TERMSRV/* Host de Sessão da Área de Trabalho Remota em execução em todos os computadores.
TERMSRV/*.humanresources.fabrikam.com Host de Sessão da Área de Trabalho Remota em execução em todos os computadores no .humanresources.fabrikam.com.
Essa configuração de política pode ser usada em combinação com a configuração de política "Permitir delegar credenciais salvas" para definir exceções para servidores específicos que, de outra forma, são permitidos ao usar caracteres curinga na lista de servidores "Permitir delegar credenciais salvas".
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | DenySavedCredentials |
| Nome Amigável | Negar delegar credenciais salvas |
| Localização | Configuração do Computador |
| Caminho | Delegação de Credenciais do Sistema > |
| Nome da Chave do Registro | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nome do Valor do Registro | DenySavedCredentials |
| Nome do Arquivo ADMX | CredSsp.admx |
RestrictedRemoteAdministration
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration
Ao executar no modo Restricted Administração ou Remote Credential Guard, os aplicativos participantes não expõem credenciais assinadas ou fornecidas a um host remoto. O Administração restrito limita o acesso a recursos localizados em outros servidores ou redes do host remoto porque as credenciais não são delegadas. O Remote Credential Guard não limita o acesso aos recursos porque redireciona todas as solicitações de volta para o dispositivo cliente.
Aplicativos participantes:
Cliente da Área de Trabalho Remota.
- Se você habilitar essa configuração de política, as seguintes opções serão compatíveis:
Restringir a delegação de credencial: os aplicativos participantes devem usar o Administração restrito ou o Remote Credential Guard para se conectar a hosts remotos.
Exigir o Remote Credential Guard: os aplicativos participantes devem usar o Remote Credential Guard para se conectar a hosts remotos.
Exigir Administração restrita: os aplicativos participantes devem usar Administração restritas para se conectar a hosts remotos.
- Se você desabilitar ou não configurar essa configuração de política, o modo Restricted Administração e Remote Credential Guard não será imposto e os aplicativos participantes poderão delegar credenciais para dispositivos remotos.
Observação
Para desabilitar a maioria das delegações de credencial, pode ser suficiente negar a delegação no CredsSP (Provedor de Suporte à Segurança credencial) modificando as configurações de modelo administrativo (localizadas em Configuração de Computador\Modelos Administrativos\Sistema\Delegação de Credenciais).
Observação
Em Windows 8.1 e Windows Server 2012 R2, habilitar essa política imporá o modo administração restrita, independentemente do modo escolhido. Essas versões não dão suporte ao Remote Credential Guard.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | RestrictedRemoteAdministration |
| Nome Amigável | Restringir a delegação de credenciais a servidores remotos |
| Localização | Configuração do Computador |
| Caminho | Delegação de Credenciais do Sistema > |
| Nome da Chave do Registro | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nome do Valor do Registro | RestrictedRemoteAdministration |
| Nome do Arquivo ADMX | CredSsp.admx |
Artigos relacionados
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de