Política CSP – ADMX_kdc
Dica
Este CSP contém políticas apoiadas pelo ADMX que exigem um formato SyncML especial para habilitar ou desabilitar. Você deve especificar o tipo de dados no SyncML como <Format>chr</Format>. Para obter detalhes, consulte Noções básicas sobre políticas apoiadas pelo ADMX.
A carga do SyncML deve ser codificada por XML; para essa codificação XML, há uma variedade de codificadores online que você pode usar. Para evitar codificar a carga, você pode usar a CDATA se o MDM der suporte a ela. Para obter mais informações, confira Seções CDATA.
CbacAndArmor
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/CbacAndArmor
Essa configuração de política permite configurar um controlador de domínio para dar suporte a declarações e autenticação composta para blindagem do Dynamic Controle de Acesso e Kerberos usando a autenticação Kerberos.
Se você habilitar essa configuração de política, os computadores cliente que dão suporte a declarações e autenticação composta para o Dynamic Controle de Acesso e estiverem cientes do Kerberos usarão esse recurso para mensagens de autenticação Kerberos. Essa política deve ser aplicada a todos os controladores de domínio para garantir a aplicação consistente dessa política no domínio.
Se você desabilitar ou não configurar essa configuração de política, o controlador de domínio não oferecerá suporte a declarações, autenticação composta ou blindagem.
Se você configurar a opção "Sem suporte", o controlador de domínio não oferecerá suporte a declarações, autenticação composta ou blindagem, que é o comportamento padrão para controladores de domínio que executam o Windows Server 2008 R2 ou sistemas operacionais anteriores.
Observação
Para que as opções a seguir desta política KDC sejam eficazes, os Kerberos Política de Grupo "Suporte ao cliente Kerberos para declarações, autenticação composta e blindamento Kerberos" devem ser habilitados em sistemas com suporte. Se a configuração da política Kerberos não estiver habilitada, as mensagens de autenticação kerberos não usarão esses recursos.
Se você configurar "Com suporte", o controlador de domínio será compatível com declarações, autenticação composta e blindagem Kerberos. O controlador de domínio anuncia aos computadores cliente Kerberos que o domínio é capaz de declarações e autenticação composta para o blindamento do Dynamic Controle de Acesso e Kerberos.
Requisitos de nível funcional de domínio.
Para as opções "Always provide claims" e "Fail unarmored authentication requests", when the domain functional level is set to Windows Server 2008 R2 or earlier then domain controllers behave as if the "Supported" option is selected.
Quando o nível funcional de domínio é definido como Windows Server 2012 então o controlador de domínio anuncia aos computadores cliente Kerberos que o domínio é capaz de declarações e autenticação composta para o blindamento dynamic Controle de Acesso e Kerberos, e:
Se você definir a opção "Sempre fornecer declarações", sempre retornará declarações para contas e dará suporte ao comportamento de RFC para anunciar o fast (túnel seguro de autenticação flexível).
Se você definir a opção "Solicitações de autenticação não apaixonadas por fail", rejeitará mensagens Kerberos não apaixonadas.
Aviso
Quando "Fail unarmored authentication requests" for definido, os computadores cliente que não dão suporte ao blindamento Kerberos falharão em autenticar no controlador de domínio.
Para garantir que esse recurso seja eficaz, implante controladores de domínio suficientes que dão suporte a declarações e autenticação composta para o Dynamic Controle de Acesso e estejam cientes da blindagem kerberos para lidar com as solicitações de autenticação. Um número insuficiente de controladores de domínio que dão suporte a essa política resulta em falhas de autenticação sempre que o blindamento dynamic Controle de Acesso ou Kerberos é necessário (ou seja, a opção "Com suporte" está habilitada).
Impacto no desempenho do controlador de domínio quando essa configuração de política está habilitada:
A descoberta segura da capacidade de domínio kerberos é necessária, resultando em trocas de mensagens adicionais.
Declarações e autenticação composta para o Dynamic Controle de Acesso aumenta o tamanho e a complexidade dos dados na mensagem, o que resulta em mais tempo de processamento e maior tamanho do tíquete de serviço Kerberos.
O blindamento kerberos criptografa totalmente as mensagens kerberos e assina erros kerberos, o que resulta em maior tempo de processamento, mas não altera o tamanho do tíquete de serviço.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | CbacAndArmor |
| Nome Amigável | Suporte do KDC para declarações, autenticação composta e blindagem Kerberos |
| Localização | Configuração do Computador |
| Caminho | Sistema > KDC |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| Nome do Valor do Registro | EnableCbacAndArmor |
| Nome do Arquivo ADMX | kdc.admx |
emitlili
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/emitlili
Essa configuração de política controla se o controlador de domínio fornece informações sobre logons anteriores para computadores cliente.
- Se você habilitar essa configuração de política, o controlador de domínio fornecerá a mensagem de informações sobre logons anteriores.
Para que o Logotipo do Windows aproveite esse recurso, a configuração da política "Exibir informações sobre logons anteriores durante o logon do usuário" localizada no nó Opções de Logon do Windows em Componentes do Windows também precisa ser habilitada.
- Se você desabilitar ou não configurar essa configuração de política, o controlador de domínio não fornecerá informações sobre logons anteriores, a menos que a configuração de política "Exibir informações sobre logons anteriores durante o logon do usuário" esteja habilitada.
Observação
As informações sobre logons anteriores são fornecidas somente se o nível funcional do domínio for o Windows Server 2008. Em domínios com um nível funcional de domínio do Windows Server 2003, Windows 2000 nativo ou Windows 2000 misto, os controladores de domínio não podem fornecer informações sobre logons anteriores e habilitar essa configuração de política não afeta nada.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | emitlili |
| Nome Amigável | Fornecer informações sobre logons anteriores para computadores cliente |
| Localização | Configuração do Computador |
| Caminho | Sistema > KDC |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| Nome do Valor do Registro | EmitLILI |
| Nome do Arquivo ADMX | kdc.admx |
ForestSearch
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/ForestSearch
Essa configuração de política define a lista de florestas confiáveis que o KDC (Key Distribution Center) pesquisa ao tentar resolve SPNs (nomes de entidade de serviço de duas partes).
Se você habilitar essa configuração de política, o KDC pesquisará as florestas nesta lista se não puder resolve um SPN de duas partes na floresta local. A pesquisa florestal é realizada usando um catálogo global ou dicas de sufixo de nome. Se uma correspondência for encontrada, o KDC retornará um tíquete de referência ao cliente para o domínio apropriado.
Se você desabilitar ou não configurar essa configuração de política, o KDC não pesquisará as florestas listadas para resolve o SPN. Se o KDC não conseguir resolve o SPN porque o nome não foi encontrado, a autenticação NTLM poderá ser usada.
Para garantir um comportamento consistente, essa configuração de política deve ser suportada e definida de forma idêntica em todos os controladores de domínio no domínio.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | ForestSearch |
| Nome Amigável | Usar a ordem de pesquisa florestal |
| Localização | Configuração do Computador |
| Caminho | Sistema > KDC |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| Nome do Valor do Registro | UseForestSearch |
| Nome do Arquivo ADMX | kdc.admx |
PKINITFreshness
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/PKINITFreshness
O suporte para a Extensão de Frescor PKInit requer Windows Server 2016 DFL (nível funcional de domínio). Se o domínio do controlador de domínio não estiver em Windows Server 2016 DFL ou superior, essa política não será aplicada.
Essa configuração de política permite que você configure um DC (controlador de domínio) para dar suporte à Extensão de Frescor PKInit.
- Se você habilitar essa configuração de política, as seguintes opções serão compatíveis:
Com suporte: a Extensão de Frescor PKInit tem suporte na solicitação. Os clientes Kerberos que se autenticam com êxito com a Extensão de Frescor PKInit obterão a nova identidade de chave pública SID.
Obrigatório: a Extensão de Frescor PKInit é necessária para autenticação bem-sucedida. Os clientes Kerberos que não dão suporte à Extensão de Frescor PKInit sempre falharão ao usar credenciais de chave pública.
- Se você desabilitar ou não configurar essa configuração de política, o DC nunca oferecerá a Extensão de Frescor PKInit e aceitará solicitações de autenticação válidas sem verificar se há frescor. Os usuários nunca receberão o SID de identidade de chave pública.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | PKINITFreshness |
| Nome Amigável | Suporte do KDC para Extensão de Frescor PKInit |
| Localização | Configuração do Computador |
| Caminho | Sistema > KDC |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| Nome do Arquivo ADMX | kdc.admx |
RequestCompoundId
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/RequestCompoundId
Essa configuração de política permite configurar um controlador de domínio para solicitar a autenticação composta.
Observação
Para que um controlador de domínio solicite autenticação composta, a política "Suporte do KDC para declarações, autenticação composta e blindamento Kerberos" deve ser configurada e habilitada.
Se você habilitar essa configuração de política, os controladores de domínio solicitarão autenticação composta. O tíquete de serviço retornado conterá autenticação composta somente quando a conta estiver configurada explicitamente. Essa política deve ser aplicada a todos os controladores de domínio para garantir a aplicação consistente dessa política no domínio.
Se você desabilitar ou não configurar essa configuração de política, os controladores de domínio retornarão tíquetes de serviço que contenham autenticação composta sempre que o cliente enviar uma solicitação de autenticação composta, independentemente da configuração da conta.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | RequestCompoundId |
| Nome Amigável | Solicitar autenticação composta |
| Localização | Configuração do Computador |
| Caminho | Sistema > KDC |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| Nome do Valor do Registro | RequestCompoundId |
| Nome do Arquivo ADMX | kdc.admx |
TicketSizeThreshold
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/TicketSizeThreshold
Essa configuração de política permite que você configure em que tamanho os ingressos kerberos dispararão o evento de aviso emitido durante a autenticação kerberos. Os avisos de tamanho do tíquete são registrados no log do Sistema.
Se você habilitar essa configuração de política, poderá definir o limite de limite para o tíquete Kerberos que dispara os eventos de aviso. Se definido muito alto, as falhas de autenticação podem estar ocorrendo mesmo que eventos de aviso não estejam sendo registrados. Se definido muito baixo, haverá muitos avisos de tíquete no log para ser útil para análise. Esse valor deve ser definido como o mesmo valor da política Kerberos "Definir o tamanho máximo do buffer de token de contexto SSPI kerberos" ou o menor MaxTokenSize usado em seu ambiente se você não estiver configurando usando Política de Grupo.
Se você desabilitar ou não configurar essa configuração de política, o valor limite será padrão para 12.000 bytes, que é o Kerberos MaxTokenSize padrão para Windows 7, Windows Server 2008 R2 e versões anteriores.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | TicketSizeThreshold |
| Nome Amigável | Aviso para bilhetes kerberos grandes |
| Localização | Configuração do Computador |
| Caminho | Sistema > KDC |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| Nome do Valor do Registro | EnableTicketSizeThreshold |
| Nome do Arquivo ADMX | kdc.admx |
Artigos relacionados
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários