Partilhar via


CSP de Política - ADMX_CredSsp

Dica

Este CSP contém políticas apoiadas por ADMX que requerem um formato SyncML especial para ativar ou desativar. Tem de especificar o tipo de dados no SyncML como <Format>chr</Format>. Para obter detalhes, veja Understanding ADMX-backed policies (Compreender as políticas apoiadas pelo ADMX).

O payload do SyncML tem de ter codificação XML; para esta codificação XML, existem vários codificadores online que pode utilizar. Para evitar codificar o payload, pode utilizar o CDATA se o MDM o suportar. Para obter mais informações, veja Secções CDATA.

AllowDefaultCredentials

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior
✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior
✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior
✅ Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowDefaultCredentials

Esta definição de política aplica-se às aplicações que utilizam o componente SSP Cred (por exemplo: Ligação ao Ambiente de Trabalho Remoto).

Esta definição de política aplica-se quando a autenticação do servidor foi obtida com um certificado X509 ou Kerberos fidedigno.

  • Se ativar esta definição de política, pode especificar os servidores aos quais as credenciais predefinidas do utilizador podem ser delegadas (as credenciais predefinidas são as que utiliza quando inicia sessão pela primeira vez no Windows).

A política torna-se eficaz da próxima vez que o utilizador iniciar sessão num computador com o Windows.

  • Se desativar ou não configurar (por predefinição) esta definição de política, a delegação de credenciais predefinidas não será permitida a nenhum computador. As aplicações consoante este comportamento de delegação podem falhar na autenticação. Para obter mais informações, veja KB.

FWlink para KB:

https://go.microsoft.com/fwlink/?LinkId=301508

Observação

A definição de política "Permitir delegação de credenciais predefinidas" pode ser definida como um ou mais Nomes dos Principais de Serviço (SPNs). O SPN representa o servidor de destino ao qual as credenciais de utilizador podem ser delegadas. A utilização de um único caráter universal é permitida ao especificar o SPN.

Por exemplo:

TERMSRV/host.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução no host.humanresources.fabrikam.com computador.

TERMSRV/* Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores.

TERMSRV/*.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores no .humanresources.fabrikam.com.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome AllowDefaultCredentials
Nome Amigável Permitir delegar credenciais predefinidas
Localização Configuração do Computador
Caminho Delegação de Credenciais do Sistema >
Nome da Chave do Registro Software\Policies\Microsoft\Windows\CredentialsDelegation
Nome do Valor do Registro AllowDefaultCredentials
Nome do Arquivo ADMX CredSsp.admx

AllowDefCredentialsWhenNTLMOnly

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior
✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior
✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior
✅ Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowDefCredentialsWhenNTLMOnly

Esta definição de política aplica-se às aplicações que utilizam o componente SSP Cred (por exemplo: Ligação ao Ambiente de Trabalho Remoto).

Esta definição de política aplica-se quando a autenticação do servidor foi obtida através do NTLM.

  • Se ativar esta definição de política, pode especificar os servidores aos quais as credenciais predefinidas do utilizador podem ser delegadas (as credenciais predefinidas são as que utiliza quando inicia sessão pela primeira vez no Windows).

  • Se desativar ou não configurar (por predefinição) esta definição de política, a delegação de credenciais predefinidas não será permitida a nenhum computador.

Observação

A definição de política "Permitir delegar credenciais predefinidas com autenticação de servidor apenas NTLM" pode ser definida como um ou mais Nomes dos Principais de Serviço (SPNs). O SPN representa o servidor de destino ao qual as credenciais de utilizador podem ser delegadas. A utilização de um único caráter universal é permitida ao especificar o SPN.

Por exemplo:

TERMSRV/host.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução no host.humanresources.fabrikam.com computador.

TERMSRV/* Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores.

TERMSRV/*.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores no .humanresources.fabrikam.com.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome AllowDefCredentialsWhenNTLMOnly
Nome Amigável Permitir a delegação de credenciais predefinidas com a autenticação de servidor apenas NTLM
Localização Configuração do Computador
Caminho Delegação de Credenciais do Sistema >
Nome da Chave do Registro Software\Policies\Microsoft\Windows\CredentialsDelegation
Nome do Valor do Registro AllowDefCredentialsWhenNTLMOnly
Nome do Arquivo ADMX CredSsp.admx

AllowEncryptionOracle

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior
✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior
✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior
✅ Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowEncryptionOracle

Remediação Oracle de Encriptação.

Esta definição de política aplica-se às aplicações que utilizam o componente CredSSP (por exemplo: Ligação ao Ambiente de Trabalho Remoto).

Algumas versões do protocolo CredSSP são vulneráveis a um ataque oracle de encriptação contra o cliente. Esta política controla a compatibilidade com clientes e servidores vulneráveis. Esta política permite-lhe definir o nível de proteção pretendido para a vulnerabilidade do oráculo de encriptação.

Se ativar esta definição de política, o suporte da versão credSSP será selecionado com base nas seguintes opções:

Forçar Clientes Atualizados: as aplicações cliente que utilizam CredSSP não poderão reverter para as versões e serviços inseguros que utilizam CredSSP não aceitarão clientes não correspondentes. Tenha em atenção que esta definição não deve ser implementada até que todos os anfitriões remotos suportem a versão mais recente.

Mitigado: as aplicações cliente que utilizam CredSSP não poderão reverter para a versão insegura, mas os serviços que utilizam CredSSP aceitarão clientes não correspondentes. Veja a ligação abaixo para obter informações importantes sobre o risco colocado pelos clientes restantes sem correspondência.

Vulnerável: as aplicações cliente que utilizam CredSSP exporão os servidores remotos a ataques ao suportar a reativação das versões e serviços inseguros com CredSSP aceitarão clientes não correspondentes.

Para obter mais informações sobre os requisitos de vulnerabilidade e manutenção para proteção, consulte https://go.microsoft.com/fwlink/?linkid=866660

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome AllowEncryptionOracle
Nome Amigável Remediação Oracle de Encriptação
Localização Configuração do Computador
Caminho Delegação de Credenciais do Sistema >
Nome da Chave do Registro Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
Nome do Arquivo ADMX CredSsp.admx

AllowFreshCredentials

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior
✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior
✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior
✅ Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowFreshCredentials

Esta definição de política aplica-se às aplicações que utilizam o componente SSP Cred (por exemplo: Ligação ao Ambiente de Trabalho Remoto).

Esta definição de política aplica-se quando a autenticação do servidor foi obtida através de um certificado X509 ou Kerberos fidedigno.

  • Se ativar esta definição de política, pode especificar os servidores aos quais as novas credenciais do utilizador podem ser delegadas (as credenciais novas são as que lhe são pedidas ao executar a aplicação).

  • Se não configurar (por predefinição) esta definição de política, após a autenticação mútua adequada, é permitida a delegação de credenciais novas ao Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em qualquer computador (TERMSRV/*).

  • Se desativar esta definição de política, a delegação de credenciais novas não será permitida a qualquer computador.

Observação

A definição de política "Permitir delegar credenciais novas" pode ser definida como um ou mais Nomes dos Principais de Serviço (SPNs). O SPN representa o servidor de destino ao qual as credenciais de utilizador podem ser delegadas. A utilização de um único caráter universal é permitida ao especificar o SPN.

Por exemplo:

TERMSRV/host.humanresources.fabrikam.com.

Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução no host.humanresources.fabrikam.com computador.

TERMSRV/* Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores.

TERMSRV/*.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores no .humanresources.fabrikam.com.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome AllowFreshCredentials
Nome Amigável Permitir delegar credenciais novas
Localização Configuração do Computador
Caminho Delegação de Credenciais do Sistema >
Nome da Chave do Registro Software\Policies\Microsoft\Windows\CredentialsDelegation
Nome do Valor do Registro AllowFreshCredentials
Nome do Arquivo ADMX CredSsp.admx

AllowFreshCredentialsWhenNTLMOnly

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior
✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior
✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior
✅ Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowFreshCredentialsWhenNTLMOnly

Esta definição de política aplica-se às aplicações que utilizam o componente SSP Cred (por exemplo: Ligação ao Ambiente de Trabalho Remoto).

Esta definição de política aplica-se quando a autenticação do servidor foi obtida através do NTLM.

  • Se ativar esta definição de política, pode especificar os servidores aos quais as novas credenciais do utilizador podem ser delegadas (as credenciais novas são as que lhe são pedidas ao executar a aplicação).

  • Se não configurar (por predefinição) esta definição de política, após a autenticação mútua adequada, é permitida a delegação de credenciais novas ao Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em qualquer computador (TERMSRV/*).

  • Se desativar esta definição de política, a delegação de credenciais novas não será permitida a qualquer computador.

Observação

A definição de política "Permitir delegar credenciais novas com autenticação de servidor apenas NTLM" pode ser definida como um ou mais Nomes dos Principais de Serviço (SPNs). O SPN representa o servidor de destino ao qual as credenciais de utilizador podem ser delegadas. A utilização de um único caráter universal é permitida ao especificar o SPN.

Por exemplo:

TERMSRV/host.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução no host.humanresources.fabrikam.com computador.

TERMSRV/* Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores.

TERMSRV/*.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores no humanresources.fabrikam.com.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome AllowFreshCredentialsWhenNTLMOnly
Nome Amigável Permitir delegar credenciais novas com autenticação de servidor apenas NTLM
Localização Configuração do Computador
Caminho Delegação de Credenciais do Sistema >
Nome da Chave do Registro Software\Policies\Microsoft\Windows\CredentialsDelegation
Nome do Valor do Registro AllowFreshCredentialsWhenNTLMOnly
Nome do Arquivo ADMX CredSsp.admx

AllowSavedCredentials

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior
✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior
✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior
✅ Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowSavedCredentials

Esta definição de política aplica-se às aplicações que utilizam o componente SSP Cred (por exemplo: Ligação ao Ambiente de Trabalho Remoto).

Esta definição de política aplica-se quando a autenticação do servidor foi obtida através de um certificado X509 ou Kerberos fidedigno.

  • Se ativar esta definição de política, pode especificar os servidores aos quais as credenciais guardadas do utilizador podem ser delegadas (as credenciais guardadas são as que opta por guardar/memorizar com o gestor de credenciais do Windows).

  • Se não configurar (por predefinição) esta definição de política, após a autenticação mútua adequada, a delegação de credenciais guardadas é permitida ao Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em qualquer computador (TERMSRV/*).

  • Se desativar esta definição de política, a delegação de credenciais guardadas não será permitida a nenhum computador.

Observação

A definição de política "Permitir delegar credenciais guardadas" pode ser definida como um ou mais Nomes dos Principais de Serviço (SPNs). O SPN representa o servidor de destino ao qual as credenciais de utilizador podem ser delegadas. A utilização de um único caráter universal é permitida ao especificar o SPN.

Por exemplo:

TERMSRV/host.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução no host.humanresources.fabrikam.com computador.

TERMSRV/* Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores.

TERMSRV/*.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores no humanresources.fabrikam.com.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome AllowSavedCredentials
Nome Amigável Permitir delegar credenciais guardadas
Localização Configuração do Computador
Caminho Delegação de Credenciais do Sistema >
Nome da Chave do Registro Software\Policies\Microsoft\Windows\CredentialsDelegation
Nome do Valor do Registro AllowSavedCredentials
Nome do Arquivo ADMX CredSsp.admx

AllowSavedCredentialsWhenNTLMOnly

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior
✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior
✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior
✅ Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowSavedCredentialsWhenNTLMOnly

Esta definição de política aplica-se às aplicações que utilizam o componente SSP Cred (por exemplo: Ligação ao Ambiente de Trabalho Remoto).

Esta definição de política aplica-se quando a autenticação do servidor foi obtida através do NTLM.

  • Se ativar esta definição de política, pode especificar os servidores aos quais as credenciais guardadas do utilizador podem ser delegadas (as credenciais guardadas são as que opta por guardar/memorizar com o gestor de credenciais do Windows).

  • Se não configurar (por predefinição) esta definição de política, após a autenticação mútua adequada, a delegação de credenciais guardadas é permitida ao Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em qualquer computador (TERMSRV/*) se o computador cliente não for membro de nenhum domínio. Se o cliente estiver associado a um domínio, por predefinição, a delegação de credenciais guardadas não é permitida a nenhum computador.

  • Se desativar esta definição de política, a delegação de credenciais guardadas não será permitida a nenhum computador.

Observação

A definição de política "Permitir delegar credenciais guardadas com autenticação de servidor apenas NTLM" pode ser definida como um ou mais Nomes dos Principais de Serviço (SPNs). O SPN representa o servidor de destino ao qual as credenciais de utilizador podem ser delegadas. A utilização de um único caráter universal é permitida ao especificar o SPN.

Por exemplo:

TERMSRV/host.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução no host.humanresources.fabrikam.com computador.

TERMSRV/* Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores.

TERMSRV/*.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores no humanresources.fabrikam.com.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome AllowSavedCredentialsWhenNTLMOnly
Nome Amigável Permitir delegar credenciais guardadas com autenticação de servidor apenas NTLM
Localização Configuração do Computador
Caminho Delegação de Credenciais do Sistema >
Nome da Chave do Registro Software\Policies\Microsoft\Windows\CredentialsDelegation
Nome do Valor do Registro AllowSavedCredentialsWhenNTLMOnly
Nome do Arquivo ADMX CredSsp.admx

DenyDefaultCredentials

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior
✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior
✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior
✅ Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenyDefaultCredentials

Esta definição de política aplica-se às aplicações que utilizam o componente SSP Cred (por exemplo: Ligação ao Ambiente de Trabalho Remoto).

  • Se ativar esta definição de política, pode especificar os servidores para os quais as credenciais predefinidas do utilizador não podem ser delegadas (as credenciais predefinidas são as que utiliza quando inicia sessão pela primeira vez no Windows).

  • Se desativar ou não configurar (por predefinição) esta definição de política, esta definição de política não especifica nenhum servidor.

Observação

A definição de política "Negar delegar credenciais predefinidas" pode ser definida como um ou mais Nomes dos Principais de Serviço (SPNs). O SPN representa o servidor de destino ao qual as credenciais de utilizador não podem ser delegadas. A utilização de um único caráter universal é permitida ao especificar o SPN.

Por exemplo:

TERMSRV/host.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução no host.humanresources.fabrikam.com computador.

TERMSRV/* Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores.

TERMSRV/*.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores no .humanresources.fabrikam.com.

Esta definição de política pode ser utilizada em combinação com a definição de política "Permitir delegar credenciais predefinidas" para definir exceções para servidores específicos que, de outra forma, são permitidos ao utilizar carateres universais na lista de servidores "Permitir delegar credenciais predefinidas".

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome DenyDefaultCredentials
Nome Amigável Negar delegar credenciais predefinidas
Localização Configuração do Computador
Caminho Delegação de Credenciais do Sistema >
Nome da Chave do Registro Software\Policies\Microsoft\Windows\CredentialsDelegation
Nome do Valor do Registro DenyDefaultCredentials
Nome do Arquivo ADMX CredSsp.admx

DenyFreshCredentials

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior
✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior
✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior
✅ Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenyFreshCredentials

Esta definição de política aplica-se às aplicações que utilizam o componente SSP Cred (por exemplo: Ligação ao Ambiente de Trabalho Remoto).

  • Se ativar esta definição de política, pode especificar os servidores aos quais as credenciais novas do utilizador não podem ser delegadas (as credenciais novas são as que lhe são pedidas ao executar a aplicação).

  • Se desativar ou não configurar (por predefinição) esta definição de política, esta definição de política não especifica nenhum servidor.

Observação

A definição de política "Negar delegar credenciais novas" pode ser definida como um ou mais Nomes dos Principais de Serviço (SPNs). O SPN representa o servidor de destino ao qual as credenciais de utilizador não podem ser delegadas. A utilização de um único caráter universal é permitida ao especificar o SPN.

Por exemplo:

TERMSRV/host.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução no host.humanresources.fabrikam.com computador.

TERMSRV/* Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores.

TERMSRV/*.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores no .humanresources.fabrikam.com.

Esta definição de política pode ser utilizada em combinação com a definição de política "Permitir delegar credenciais novas" para definir exceções para servidores específicos que, de outra forma, são permitidos ao utilizar carateres universais na lista de servidores "Permitir delegar credenciais novas".

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome DenyFreshCredentials
Nome Amigável Negar delegar credenciais novas
Localização Configuração do Computador
Caminho Delegação de Credenciais do Sistema >
Nome da Chave do Registro Software\Policies\Microsoft\Windows\CredentialsDelegation
Nome do Valor do Registro DenyFreshCredentials
Nome do Arquivo ADMX CredSsp.admx

DenySavedCredentials

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior
✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior
✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior
✅ Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenySavedCredentials

Esta definição de política aplica-se às aplicações que utilizam o componente SSP Cred (por exemplo: Ligação ao Ambiente de Trabalho Remoto).

  • Se ativar esta definição de política, pode especificar os servidores aos quais as credenciais guardadas do utilizador não podem ser delegadas (as credenciais guardadas são as que opta por guardar/memorizar com o gestor de credenciais do Windows).

  • Se desativar ou não configurar (por predefinição) esta definição de política, esta definição de política não especifica nenhum servidor.

Observação

A definição de política "Negar delegar credenciais guardadas" pode ser definida como um ou mais Nomes dos Principais de Serviço (SPNs). O SPN representa o servidor de destino ao qual as credenciais de utilizador não podem ser delegadas. A utilização de um único caráter universal é permitida ao especificar o SPN.

Por exemplo:

TERMSRV/host.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução no host.humanresources.fabrikam.com computador.

TERMSRV/* Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores.

TERMSRV/*.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores no .humanresources.fabrikam.com.

Esta definição de política pode ser utilizada em combinação com a definição de política "Permitir delegar credenciais guardadas" para definir exceções para servidores específicos que, de outra forma, são permitidos ao utilizar carateres universais na lista de servidores "Permitir delegar credenciais guardadas".

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome DenySavedCredentials
Nome Amigável Negar delegar credenciais guardadas
Localização Configuração do Computador
Caminho Delegação de Credenciais do Sistema >
Nome da Chave do Registro Software\Policies\Microsoft\Windows\CredentialsDelegation
Nome do Valor do Registro DenySavedCredentials
Nome do Arquivo ADMX CredSsp.admx

RestrictedRemoteAdministration

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior
✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior
✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior
✅ Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration

Ao executar no modo Dedmin Restrito ou Remote Credential Guard, as aplicações participantes não expõem credenciais com sessão iniciada ou fornecidas a um anfitrião remoto. O Administrador Restrito limita o acesso aos recursos localizados noutros servidores ou redes do anfitrião remoto porque as credenciais não são delegadas. O Credential Guard Remoto não limita o acesso aos recursos porque redireciona todos os pedidos de volta para o dispositivo cliente.

Aplicações participantes:

Cliente de Ambiente de Trabalho Remoto.

  • Se ativar esta definição de política, são suportadas as seguintes opções:

Restringir a delegação de credenciais: as aplicações participantes têm de utilizar o Administrador Restrito ou o Remote Credential Guard para ligar a anfitriões remotos.

Exigir o Credential Guard Remoto: as aplicações participantes têm de utilizar o Remote Credential Guard para ligar a anfitriões remotos.

Exigir Administrador Restrito: as aplicações participantes têm de utilizar o Administrador Restrito para se ligarem a anfitriões remotos.

  • Se desativar ou não configurar esta definição de política, o Modo de Administrador Restrito e o Modo de Proteção de Credenciais Remotas não são impostos e as aplicações participantes podem delegar credenciais a dispositivos remotos.

Observação

Para desativar a maior parte da delegação de credenciais, pode ser suficiente negar a delegação no Fornecedor de Suporte de Segurança de Credenciais (CredSSP) ao modificar as Definições de modelo administrativo (localizadas em Configuração do Computador\Modelos Administrativos\Sistema\Delegação de Credenciais).

Observação

No Windows 8.1 e no Windows Server 2012 R2, ativar esta política irá impor o modo de Administração Restrita, independentemente do modo escolhido. Estas versões não suportam o Remote Credential Guard.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome RestrictedRemoteAdministration
Nome Amigável Restringir a delegação de credenciais a servidores remotos
Localização Configuração do Computador
Caminho Delegação de Credenciais do Sistema >
Nome da Chave do Registro Software\Policies\Microsoft\Windows\CredentialsDelegation
Nome do Valor do Registro RestrictedRemoteAdministration
Nome do Arquivo ADMX CredSsp.admx

Provedor de serviço da configuração de política