Política CSP – Kerberos
Dica
Este CSP contém políticas apoiadas pelo ADMX que exigem um formato SyncML especial para habilitar ou desabilitar. Você deve especificar o tipo de dados no SyncML como <Format>chr</Format>. Para obter detalhes, consulte Noções básicas sobre políticas apoiadas pelo ADMX.
A carga do SyncML deve ser codificada por XML; para essa codificação XML, há uma variedade de codificadores online que você pode usar. Para evitar codificar a carga, você pode usar a CDATA se o MDM der suporte a ela. Para obter mais informações, confira Seções CDATA.
AllowForestSearchOrder
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1703 [10.0.15063] e posterior |
./Device/Vendor/MSFT/Policy/Config/Kerberos/AllowForestSearchOrder
Essa configuração de política define a lista de florestas confiáveis que o cliente Kerberos pesquisa ao tentar resolve SPNs (nomes de entidade de serviço de duas partes).
Se você habilitar essa configuração de política, o cliente Kerberos pesquisará as florestas nesta lista, se não conseguir resolve um SPN de duas partes. Se uma correspondência for encontrada, o cliente Kerberos solicitará um tíquete de referência para o domínio apropriado.
Se você desabilitar ou não configurar essa configuração de política, o cliente Kerberos não pesquisará as florestas listadas para resolve o SPN. Se o cliente Kerberos não conseguir resolve o SPN porque o nome não foi encontrado, a autenticação NTLM poderá ser usada.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | ForestSearch |
| Nome Amigável | Usar a ordem de pesquisa florestal |
| Localização | Configuração do Computador |
| Caminho | Sistema > Kerberos |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome do Valor do Registro | UseForestSearch |
| Nome do Arquivo ADMX | Kerberos.admx |
CloudKerberosTicketRetrievalEnabled
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/Kerberos/CloudKerberosTicketRetrievalEnabled
Essa configuração de política permite recuperar o Tíquete de Concessão de Tíquete Kerberos Microsoft Entra durante o logon.
Se você desabilitar ou não configurar essa configuração de política, o Tíquete de Concessão de Tíquete kerberos Microsoft Entra não será recuperado durante o logon.
Se você habilitar essa configuração de política, o Tíquete de Concessão de Tíquete kerberos Microsoft Entra será recuperado durante o logon.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 (Padrão) | Desabilitado. |
| 1 | Enabled. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | CloudKerberosTicketRetrievalEnabled |
| Nome Amigável | Permitir a recuperação do tíquete de concessão de tíquete kerberos Azure AD durante o logon |
| Localização | Configuração do Computador |
| Caminho | Sistema > Kerberos |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome do Valor do Registro | CloudKerberosTicketRetrievalEnabled |
| Nome do Arquivo ADMX | Kerberos.admx |
KerberosClientSupportsClaimsCompoundArmor
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1703 [10.0.15063] e posterior |
./Device/Vendor/MSFT/Policy/Config/Kerberos/KerberosClientSupportsClaimsCompoundArmor
Essa configuração de política controla se um dispositivo solicitará declarações e autenticação composta para o blindamento do Dynamic Controle de Acesso e Kerberos usando a autenticação Kerberos com domínios que dão suporte a esses recursos.
Se você habilitar essa configuração de política, os computadores cliente solicitarão declarações, fornecerão informações necessárias para criar autenticação composta e blindar mensagens Kerberos em domínios que dão suporte a declarações e autenticação composta para blindagem do Dynamic Controle de Acesso e Kerberos.
Se você desabilitar ou não configurar essa configuração de política, os dispositivos cliente não solicitarão declarações, fornecerão informações necessárias para criar autenticação composta e blindar mensagens Kerberos. Os serviços hospedados no dispositivo não poderão recuperar declarações para clientes usando a transição de protocolo Kerberos.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | EnableCbacAndArmor |
| Nome Amigável | Suporte ao cliente Kerberos para declarações, autenticação composta e blindagem Kerberos |
| Localização | Configuração do Computador |
| Caminho | Sistema > Kerberos |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome do Valor do Registro | EnableCbacAndArmor |
| Nome do Arquivo ADMX | Kerberos.admx |
PKInitHashAlgorithmConfiguration
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 11, versão 22H2 [10.0.22621] e posterior |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
Essa configuração de política controla algoritmos de hash ou check-um usados pelo cliente Kerberos ao executar a autenticação de certificado.
Se você habilitar essa política, poderá configurar um dos quatro estados para cada algoritmo:
"Padrão" define o algoritmo como o estado recomendado.
"Com suporte" permite o uso do algoritmo. Habilitar algoritmos que foram desabilitados por padrão pode reduzir sua segurança.
"Auditado" permite o uso do algoritmo e relata um evento (ID 206) toda vez que ele é usado. Esse estado destina-se a verificar se o algoritmo não está sendo usado e pode ser desabilitado com segurança.
"Não suportado" desabilita o uso do algoritmo. Esse estado destina-se a algoritmos considerados inseguros.
Se você desabilitar ou não configurar essa política, cada algoritmo assumirá o estado "Padrão".
Eventos gerados por essa configuração: 205, 206, 207, 208.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 (Padrão) | Desabilitado/ não configurado. |
| 1 | Enabled. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | PKInitHashAlgorithmConfiguration |
| Nome Amigável | Configurar algoritmos de hash para logon de certificado |
| Localização | Configuração do Computador |
| Caminho | Sistema > Kerberos |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome do Valor do Registro | PKInitHashAlgorithmConfigurationEnabled |
| Nome do Arquivo ADMX | Kerberos.admx |
PKInitHashAlgorithmSHA1
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 11, versão 22H2 [10.0.22621] e posterior |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA1
Essa configuração de política controla a configuração do algoritmo SHA1 usado pelo cliente Kerberos ao executar a autenticação de certificado. Essa política só será imposta se Kerberos/PKInitHashAlgorithmConfiguration estiver habilitada. Você pode configurar um dos quatro estados para este algoritmo:
- 0 – Sem suporte: esse estado desabilita o uso do algoritmo. Esse estado destina-se a algoritmos considerados inseguros.
- 1 – Padrão: esse estado define o algoritmo como o estado recomendado.
- 2 – Auditado: esse estado permite o uso do algoritmo e relata um evento (ID 206) sempre que ele é usado. Esse estado destina-se a verificar se o algoritmo não está sendo usado e pode ser desabilitado com segurança.
- 3 – Com suporte: esse estado permite o uso do algoritmo. Habilitar algoritmos que foram desabilitados por padrão pode reduzir sua segurança.
Se você não configurar essa política, o algoritmo SHA1 assumirá o estado Padrão .
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
| Dependência [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | Tipo de dependência: DependsOn URI de dependência: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration Valor permitido de dependência: [1] Tipo de valor permitido de dependência: Range |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 | Não há suporte. |
| 1 (Padrão) | Padrão. |
| 2 | Auditadas. |
| 3 | Com suporte. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | PKInitHashAlgorithmConfiguration |
| Nome Amigável | Configurar algoritmos de hash para logon de certificado |
| Localização | Configuração do Computador |
| Caminho | Sistema > Kerberos |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome do Valor do Registro | PKInitHashAlgorithmConfigurationEnabled |
| Nome do Arquivo ADMX | Kerberos.admx |
PKInitHashAlgorithmSHA256
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 11, versão 22H2 [10.0.22621] e posterior |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA256
Essa configuração de política controla a configuração do algoritmo SHA256 usado pelo cliente Kerberos ao executar a autenticação de certificado. Essa política só será imposta se Kerberos/PKInitHashAlgorithmConfiguration estiver habilitada. Você pode configurar um dos quatro estados para este algoritmo:
- 0 – Sem suporte: esse estado desabilita o uso do algoritmo. Esse estado destina-se a algoritmos considerados inseguros.
- 1 – Padrão: esse estado define o algoritmo como o estado recomendado.
- 2 – Auditado: esse estado permite o uso do algoritmo e relata um evento (ID 206) sempre que ele é usado. Esse estado destina-se a verificar se o algoritmo não está sendo usado e pode ser desabilitado com segurança.
- 3 – Com suporte: esse estado permite o uso do algoritmo. Habilitar algoritmos que foram desabilitados por padrão pode reduzir sua segurança.
Se você não configurar essa política, o algoritmo SHA256 assumirá o estado Padrão .
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
| Dependência [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | Tipo de dependência: DependsOn URI de dependência: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration Valor permitido de dependência: [1] Tipo de valor permitido de dependência: Range |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 | Não há suporte. |
| 1 (Padrão) | Padrão. |
| 2 | Auditadas. |
| 3 | Com suporte. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | PKInitHashAlgorithmConfiguration |
| Nome Amigável | Configurar algoritmos de hash para logon de certificado |
| Localização | Configuração do Computador |
| Caminho | Sistema > Kerberos |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome do Valor do Registro | PKInitHashAlgorithmConfigurationEnabled |
| Nome do Arquivo ADMX | Kerberos.admx |
PKInitHashAlgorithmSHA384
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 11, versão 22H2 [10.0.22621] e posterior |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA384
Essa configuração de política controla a configuração do algoritmo SHA384 usado pelo cliente Kerberos ao executar a autenticação de certificado. Essa política só será imposta se Kerberos/PKInitHashAlgorithmConfiguration estiver habilitada. Você pode configurar um dos quatro estados para este algoritmo:
- 0 – Sem suporte: esse estado desabilita o uso do algoritmo. Esse estado destina-se a algoritmos considerados inseguros.
- 1 – Padrão: esse estado define o algoritmo como o estado recomendado.
- 2 – Auditado: esse estado permite o uso do algoritmo e relata um evento (ID 206) sempre que ele é usado. Esse estado destina-se a verificar se o algoritmo não está sendo usado e pode ser desabilitado com segurança.
- 3 – Com suporte: esse estado permite o uso do algoritmo. Habilitar algoritmos que foram desabilitados por padrão pode reduzir sua segurança.
Se você não configurar essa política, o algoritmo SHA384 assumirá o estado Padrão .
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
| Dependência [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | Tipo de dependência: DependsOn URI de dependência: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration Valor permitido de dependência: [1] Tipo de valor permitido de dependência: Range |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 | Não há suporte. |
| 1 (Padrão) | Padrão. |
| 2 | Auditadas. |
| 3 | Com suporte. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | PKInitHashAlgorithmConfiguration |
| Nome Amigável | Configurar algoritmos de hash para logon de certificado |
| Localização | Configuração do Computador |
| Caminho | Sistema > Kerberos |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome do Valor do Registro | PKInitHashAlgorithmConfigurationEnabled |
| Nome do Arquivo ADMX | Kerberos.admx |
PKInitHashAlgorithmSHA512
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 11, versão 22H2 [10.0.22621] e posterior |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA512
Essa configuração de política controla a configuração do algoritmo SHA512 usado pelo cliente Kerberos ao executar a autenticação de certificado. Essa política só será imposta se Kerberos/PKInitHashAlgorithmConfiguration estiver habilitada. Você pode configurar um dos quatro estados para este algoritmo:
- 0 – Sem suporte: esse estado desabilita o uso do algoritmo. Esse estado destina-se a algoritmos considerados inseguros.
- 1 – Padrão: esse estado define o algoritmo como o estado recomendado.
- 2 – Auditado: esse estado permite o uso do algoritmo e relata um evento (ID 206) sempre que ele é usado. Esse estado destina-se a verificar se o algoritmo não está sendo usado e pode ser desabilitado com segurança.
- 3 – Com suporte: esse estado permite o uso do algoritmo. Habilitar algoritmos que foram desabilitados por padrão pode reduzir sua segurança.
Se você não configurar essa política, o algoritmo SHA512 assumirá o estado Padrão .
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
| Dependência [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | Tipo de dependência: DependsOn URI de dependência: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration Valor permitido de dependência: [1] Tipo de valor permitido de dependência: Range |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 | Não há suporte. |
| 1 (Padrão) | Padrão. |
| 2 | Auditadas. |
| 3 | Com suporte. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | PKInitHashAlgorithmConfiguration |
| Nome Amigável | Configurar algoritmos de hash para logon de certificado |
| Localização | Configuração do Computador |
| Caminho | Sistema > Kerberos |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome do Valor do Registro | PKInitHashAlgorithmConfigurationEnabled |
| Nome do Arquivo ADMX | Kerberos.admx |
RequireKerberosArmoring
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1703 [10.0.15063] e posterior |
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireKerberosArmoring
Essa configuração de política controla se um computador exige que as trocas de mensagens Kerberos sejam blindadas ao se comunicar com um controlador de domínio.
Aviso
Quando um domínio não dá suporte ao blindamento Kerberos habilitando "Suporte ao blindamento dinâmico Controle de Acesso e Kerberos", toda a autenticação para todos os seus usuários falhará em computadores com essa configuração de política habilitada.
- Se você habilitar essa configuração de política, os computadores cliente no domínio imporão o uso do blindamento Kerberos somente em trocas de mensagens TGS (serviço de autenticação) e TGS (serviço de concessão de tíquetes) com os controladores de domínio.
Observação
Os Kerberos Política de Grupo "Suporte ao cliente Kerberos para declarações, autenticação composta e blindagem Kerberos" também devem estar habilitados para dar suporte ao blindamento Kerberos.
- Se você desabilitar ou não configurar essa configuração de política, os computadores cliente no domínio imporão o uso do blindamento Kerberos quando possível, conforme suportado pelo domínio de destino.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | ClientRequireFast |
| Nome Amigável | Solicitações de autenticação de falha quando o blindamento Kerberos não está disponível |
| Localização | Configuração do Computador |
| Caminho | Sistema > Kerberos |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome do Valor do Registro | RequireFast |
| Nome do Arquivo ADMX | Kerberos.admx |
RequireStrictKDCValidation
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1703 [10.0.15063] e posterior |
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireStrictKDCValidation
Essa configuração de política controla o comportamento do cliente Kerberos na validação do certificado KDC para cartão inteligente e logon de certificado do sistema.
Se você habilitar essa configuração de política, o cliente Kerberos exigirá que o certificado X.509 do KDC contenha o identificador de objeto de finalidade de chave KDC nas extensões EKU (Uso de Chave Estendida) e que o certificado X.509 do KDC contenha uma extensão dNSName subjectAltName (SAN) que corresponda ao nome DNS do domínio. Se o computador for ingressado em um domínio, o cliente Kerberos exigirá que o certificado X.509 do KDC seja assinado por uma AUTORIDADE de Certificado (AC) no repositório NTAuth. Se o computador não for ingressado em um domínio, o cliente Kerberos permitirá que o certificado de AC raiz no cartão inteligente seja usado na validação de caminho do certificado X.509 do KDC.
Se você desabilitar ou não configurar essa configuração de política, o cliente Kerberos exigirá apenas que o certificado KDC contenha o identificador de objeto de finalidade autenticação do servidor nas extensões EKU que podem ser emitidas para qualquer servidor.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | ValidateKDC |
| Nome Amigável | Exigir validação estrita do KDC |
| Localização | Configuração do Computador |
| Caminho | Sistema > Kerberos |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome do Valor do Registro | KdcValidation |
| Nome do Arquivo ADMX | Kerberos.admx |
SetMaximumContextTokenSize
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1703 [10.0.15063] e posterior |
./Device/Vendor/MSFT/Policy/Config/Kerberos/SetMaximumContextTokenSize
Essa configuração de política permite definir o valor retornado aos aplicativos que solicitam o tamanho máximo do tamanho do buffer do token de contexto SSPI.
O tamanho do buffer de token de contexto determina o tamanho máximo dos tokens de contexto SSPI que um aplicativo espera e aloca. Dependendo do processamento de solicitação de autenticação e associações de grupo, o buffer pode ser menor do que o tamanho real do token de contexto SSPI.
Se você habilitar essa configuração de política, o cliente ou servidor Kerberos usará o valor configurado ou o valor máximo permitido localmente, o que for menor.
Se você desabilitar ou não configurar essa configuração de política, o cliente ou servidor Kerberos usará o valor configurado localmente ou o valor padrão.
Observação
Essa configuração de política configura o valor de registro MaxTokenSize existente no HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters, que foi adicionado no Windows XP e no Windows Server 2003, com um valor padrão de 12.000 bytes. Começando com Windows 8 o padrão é 48.000 bytes. Devido à codificação base64 do HTTP de tokens de contexto de autenticação, não é recomendável definir esse valor em mais de 48.000 bytes.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | MaxTokenSize |
| Nome Amigável | Definir o tamanho máximo do buffer de token de contexto do Kerberos SSPI |
| Localização | Configuração do Computador |
| Caminho | Sistema > Kerberos |
| Nome da Chave do Registro | System\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
| Nome do Valor do Registro | EnableMaxTokenSize |
| Nome do Arquivo ADMX | Kerberos.admx |
UPNNameHints
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1809 [10.0.17763] e posterior |
./Device/Vendor/MSFT/Policy/Config/Kerberos/UPNNameHints
Os dispositivos unidos ao Microsoft Entra ID em um ambiente híbrido precisam interagir com Domínio do Active Directory Controladores, mas não têm a capacidade interna de encontrar um Controlador de Domínio que um dispositivo ingressado no domínio tenha. Isso pode causar falhas quando esse dispositivo precisa resolve um MICROSOFT ENTRA UPN em uma Entidade do Active Directory. Esse parâmetro adiciona uma lista de domínios que um Microsoft Entra dispositivo ingressado deve tentar contatar se não for possível resolve um UPN a uma entidade de segurança.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Artigos relacionados
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de