Política CSP – ADMX_sam
Dica
Este CSP contém políticas apoiadas pelo ADMX que exigem um formato SyncML especial para habilitar ou desabilitar. Você deve especificar o tipo de dados no SyncML como <Format>chr</Format>
. Para obter detalhes, consulte Noções básicas sobre políticas apoiadas pelo ADMX.
A carga do SyncML deve ser codificada por XML; para essa codificação XML, há uma variedade de codificadores online que você pode usar. Para evitar codificar a carga, você pode usar a CDATA se o MDM der suporte a ela. Para obter mais informações, confira Seções CDATA.
SamNGCKeyROCAValidation
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_sam/SamNGCKeyROCAValidation
Essa configuração de política permite configurar como os controladores de domínio lidam com chaves de Windows Hello para Empresas (WHfB) vulneráveis à vulnerabilidade "Retorno do ataque do Coppersmith" (ROCA).
Para obter mais informações sobre a vulnerabilidade ROCA, consulte:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15361
https://en.wikipedia.org/wiki/ROCA_vulnerability
Se você habilitar essa configuração de política, as seguintes opções serão compatíveis:
Ignore: durante a autenticação, o controlador de domínio não investigará nenhuma chave WHfB para a vulnerabilidade ROCA.
Auditoria: durante a autenticação, o controlador de domínio emitirá eventos de auditoria para chaves WHfB que estão sujeitas à vulnerabilidade ROCA (as autenticações ainda serão bem-sucedidas).
Bloquear: durante a autenticação, o controlador de domínio bloqueará o uso de chaves WHfB sujeitas à vulnerabilidade ROCA (as autenticações falharão).
Essa configuração só entra em vigor em controladores de domínio.
Se não estiver configurado, os controladores de domínio serão padrão para usar a configuração local. A configuração local padrão é Auditoria.
Uma reinicialização não é necessária para que as alterações nessa configuração entrem em vigor.
Observe que para evitar interrupções inesperadas, essa configuração não deve ser definida como Bloquear até que as mitigações apropriadas tenham sido executadas, por exemplo, patching de TPMs vulneráveis.
Mais informações estão disponíveis em<https://go.microsoft.com/fwlink/?linkid=2116430>.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | chr (cadeia de caracteres) |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
Nome | Valor |
---|---|
Nome | SamNGCKeyROCAValidation |
Nome Amigável | Configurar a validação de chaves WHfB vulneráveis a ROCA durante a autenticação |
Localização | Configuração do Computador |
Caminho | System > Security Account Manager |
Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM |
Nome do Arquivo ADMX | sam.admx |
Artigos relacionados
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de