CSP de Política - ADMX_sam
Dica
Este CSP contém políticas apoiadas por ADMX que requerem um formato SyncML especial para ativar ou desativar. Tem de especificar o tipo de dados no SyncML como <Format>chr</Format>. Para obter detalhes, veja Understanding ADMX-backed policies (Compreender as políticas apoiadas pelo ADMX).
O payload do SyncML tem de ter codificação XML; para esta codificação XML, existem vários codificadores online que pode utilizar. Para evitar codificar o payload, pode utilizar o CDATA se o MDM o suportar. Para obter mais informações, veja Secções CDATA.
SamNGCKeyROCAValidation
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior ✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior ✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior ✅ Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_sam/SamNGCKeyROCAValidation
Esta definição de política permite-lhe configurar a forma como os controladores de domínio processam as chaves do Windows Hello para Empresas (WHfB) vulneráveis à vulnerabilidade "Return of Coppersmith's attack" (ROCA).
Para obter mais informações sobre a vulnerabilidade roca, veja:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15361
https://en.wikipedia.org/wiki/ROCA_vulnerability
Se ativar esta definição de política, são suportadas as seguintes opções:
Ignorar: durante a autenticação, o controlador de domínio não sonda quaisquer chaves WHfB para a vulnerabilidade ROCA.
Auditoria: durante a autenticação, o controlador de domínio emitirá eventos de auditoria para chaves WHfB que estão sujeitas à vulnerabilidade ROCA (as autenticações continuarão a ser bem-sucedidas).
Bloco: durante a autenticação, o controlador de domínio bloqueará a utilização de chaves WHfB que estão sujeitas à vulnerabilidade ROCA (as autenticações falharão).
Esta definição só entra em vigor nos controladores de domínio.
Se não estiver configurado, os controladores de domínio utilizarão a configuração local por predefinição. A configuração local predefinida é Auditoria.
Não é necessário reiniciar para que as alterações a esta definição entrem em vigor.
Tenha em atenção que para evitar interrupções inesperadas, esta definição não deve ser definida como Bloquear até serem executadas mitigações adequadas, por exemplo, aplicação de patches de TPMs vulneráveis.
Estão disponíveis mais informações em<https://go.microsoft.com/fwlink/?linkid=2116430>.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | SamNGCKeyROCAValidation |
| Nome Amigável | Configurar a validação de chaves WHfB vulneráveis a ROCA durante a autenticação |
| Localização | Configuração do Computador |
| Caminho | Gestor de Conta de Segurança do Sistema > |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM |
| Nome do Arquivo ADMX | sam.admx |