策略 CSP - ADMX_CredSsp
提示
此 CSP 包含 ADMX 支持的策略,这些策略需要特殊的 SyncML 格式才能启用或禁用。 必须在 SyncML 中将数据类型指定为 <Format>chr</Format>。 有关详细信息,请参阅 了解 ADMX 支持的策略。
SyncML 的有效负载必须是 XML 编码的;对于此 XML 编码,可以使用各种联机编码器。 若要避免对有效负载进行编码,可以使用 CDATA(如果 MDM 支持)。 有关详细信息,请参阅 CDATA 节。
AllowDefaultCredentials
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowDefaultCredentials
此策略设置适用于使用 Cred SSP 组件 (的应用程序,例如:远程桌面连接) 。
当使用受信任的 X509 证书或 Kerberos 实现服务器身份验证时,此策略设置适用。
- 如果启用此策略设置,则可以指定可将用户的默认凭据委托到的服务器, (默认凭据是首次登录到 Windows) 时使用的服务器。
该策略将在用户下次登录到运行 Windows 的计算机时生效。
- 如果禁用或未在此策略设置) 默认配置 (,则不允许将默认凭据委派到任何计算机。 根据此委派行为的应用程序可能无法通过身份验证。 有关详细信息,请参阅 KB。
KB 的 FWlink:
https://go.microsoft.com/fwlink/?LinkId=301508
注意
“允许委派默认凭据”策略设置可以设置为一个或多个服务主体名称 (SPN) 。 SPN 表示可将用户凭据委托到的目标服务器。 指定 SPN 时,允许使用单个通配符。
例如:
在 host.humanresources.fabrikam.com 计算机上运行的 TERMSRV/host.humanresources.fabrikam.com 远程桌面会话主机。
在所有计算机上运行的 TERMSRV/* 远程桌面会话主机。
在 .humanresources.fabrikam.com 中的所有计算机上运行的 TERMSRV/*.humanresources.fabrikam.com 远程桌面会话主机。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | AllowDefaultCredentials |
| 友好名称 | 允许委派默认凭据 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 凭据委派 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| 注册表值名称 | AllowDefaultCredentials |
| ADMX 文件名 | CredSsp.admx |
AllowDefCredentialsWhenNTLMOnly
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowDefCredentialsWhenNTLMOnly
此策略设置适用于使用 Cred SSP 组件 (的应用程序,例如:远程桌面连接) 。
当通过 NTLM 实现服务器身份验证时,此策略设置适用。
如果启用此策略设置,则可以指定可将用户的默认凭据委托到的服务器, (默认凭据是首次登录到 Windows) 时使用的服务器。
如果默认) 此策略设置禁用或未配置 (,则不允许将默认凭据委派到任何计算机。
注意
“允许使用仅 NTLM 服务器身份验证委派默认凭据”策略设置可以设置为一个或多个服务主体名称 (SPN) 。 SPN 表示可将用户凭据委托到的目标服务器。 指定 SPN 时,允许使用单个通配符。
例如:
在 host.humanresources.fabrikam.com 计算机上运行的 TERMSRV/host.humanresources.fabrikam.com 远程桌面会话主机。
在所有计算机上运行的 TERMSRV/* 远程桌面会话主机。
在 .humanresources.fabrikam.com 中的所有计算机上运行的 TERMSRV/*.humanresources.fabrikam.com 远程桌面会话主机。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | AllowDefCredentialsWhenNTLMOnly |
| 友好名称 | 允许使用仅限 NTLM 的服务器身份验证委派默认凭据 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 凭据委派 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| 注册表值名称 | AllowDefCredentialsWhenNTLMOnly |
| ADMX 文件名 | CredSsp.admx |
AllowEncryptionOracle
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowEncryptionOracle
加密 Oracle 修正。
此策略设置适用于使用 CredSSP 组件 (的应用程序,例如:远程桌面连接) 。
某些版本的 CredSSP 协议容易受到针对客户端的加密 Oracle 攻击。 此策略控制与易受攻击的客户端和服务器的兼容性。 此策略允许设置加密 Oracle 漏洞所需的保护级别。
如果启用此策略设置,则会根据以下选项选择 CredSSP 版本支持:
强制更新的客户端:使用 CredSSP 的客户端应用程序将无法回退到不安全的版本,而使用 CredSSP 的服务将不接受未修补的客户端。 请注意,在所有远程主机都支持最新版本之前,不应部署此设置。
缓解:使用 CredSSP 的客户端应用程序将无法回退到不安全的版本,但使用 CredSSP 的服务将接受未修补的客户端。 有关剩余未修补客户端构成的风险的重要信息,请参阅以下链接。
易受攻击:使用 CredSSP 的客户端应用程序将通过支持回退到不安全的版本来使远程服务器受到攻击,而使用 CredSSP 的服务将接受未修补的客户端。
有关保护的漏洞和维护要求的详细信息,请参阅 https://go.microsoft.com/fwlink/?linkid=866660
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | AllowEncryptionOracle |
| 友好名称 | 加密 Oracle 修正 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 凭据委派 |
| 注册表项名称 | Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
| ADMX 文件名 | CredSsp.admx |
AllowFreshCredentials
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowFreshCredentials
此策略设置适用于使用 Cred SSP 组件 (的应用程序,例如:远程桌面连接) 。
当通过受信任的 X509 证书或 Kerberos 实现服务器身份验证时,此策略设置适用。
如果启用此策略设置,则可以指定可将用户的全新凭据委托到的服务器, (新凭据是执行应用程序) 时提示使用的凭据。
如果未在此策略设置) 默认配置 (,则正确相互身份验证后,允许将新凭据委派给任何计算机上运行的远程桌面会话主机, (TERMSRV/*) 。
如果禁用此策略设置,则不允许将新凭据委派到任何计算机。
注意
“允许委派新凭据”策略设置可以设置为一个或多个服务主体名称 (SPN) 。 SPN 表示可将用户凭据委托到的目标服务器。 指定 SPN 时,允许使用单个通配符。
例如:
TERMSRV/host.humanresources.fabrikam.com。
host.humanresources.fabrikam.com 计算机上运行的远程桌面会话主机。
在所有计算机上运行的 TERMSRV/* 远程桌面会话主机。
在 .humanresources.fabrikam.com 中的所有计算机上运行的 TERMSRV/*.humanresources.fabrikam.com 远程桌面会话主机。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | AllowFreshCredentials |
| 友好名称 | 允许委派新凭据 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 凭据委派 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| 注册表值名称 | AllowFreshCredentials |
| ADMX 文件名 | CredSsp.admx |
AllowFreshCredentialsWhenNTLMOnly
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowFreshCredentialsWhenNTLMOnly
此策略设置适用于使用 Cred SSP 组件 (的应用程序,例如:远程桌面连接) 。
当通过 NTLM 实现服务器身份验证时,此策略设置适用。
如果启用此策略设置,则可以指定可将用户的全新凭据委托到的服务器, (新凭据是执行应用程序) 时提示使用的凭据。
如果未在此策略设置) 默认配置 (,则正确相互身份验证后,允许将新凭据委派给任何计算机上运行的远程桌面会话主机, (TERMSRV/*) 。
如果禁用此策略设置,则不允许将新凭据委派到任何计算机。
注意
“允许使用仅限 NTLM 的服务器身份验证委派新凭据”策略设置可以设置为一个或多个服务主体名称 (SPN) 。 SPN 表示可将用户凭据委托到的目标服务器。 指定 SPN 时,允许使用单个通配符。
例如:
在 host.humanresources.fabrikam.com 计算机上运行的 TERMSRV/host.humanresources.fabrikam.com 远程桌面会话主机。
在所有计算机上运行的 TERMSRV/* 远程桌面会话主机。
在 humanresources.fabrikam.com 中的所有计算机上运行的 TERMSRV/*.humanresources.fabrikam.com 远程桌面会话主机。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | AllowFreshCredentialsWhenNTLMOnly |
| 友好名称 | 允许使用仅限 NTLM 的服务器身份验证委派新凭据 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 凭据委派 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| 注册表值名称 | AllowFreshCredentialsWhenNTLMOnly |
| ADMX 文件名 | CredSsp.admx |
AllowSavedCredentials
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowSavedCredentials
此策略设置适用于使用 Cred SSP 组件 (的应用程序,例如:远程桌面连接) 。
当通过受信任的 X509 证书或 Kerberos 实现服务器身份验证时,此策略设置适用。
如果启用此策略设置,则可以指定用户保存凭据可以委托到的服务器, (保存的凭据是你选择使用 Windows 凭据管理器) 保存/记住的服务器。
如果未在此策略设置) 默认配置 (,则正确相互身份验证后,允许将保存的凭据委派给任何计算机上运行的远程桌面会话主机, (TERMSRV/*) 。
如果禁用此策略设置,则不允许将保存的凭据委派到任何计算机。
注意
可以将“允许委派已保存凭据”策略设置设置为一个或多个服务主体名称, (SPN) 。 SPN 表示可将用户凭据委托到的目标服务器。 指定 SPN 时,允许使用单个通配符。
例如:
在 host.humanresources.fabrikam.com 计算机上运行的 TERMSRV/host.humanresources.fabrikam.com 远程桌面会话主机。
在所有计算机上运行的 TERMSRV/* 远程桌面会话主机。
在 humanresources.fabrikam.com 中的所有计算机上运行的 TERMSRV/*.humanresources.fabrikam.com 远程桌面会话主机。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | AllowSavedCredentials |
| 友好名称 | 允许委派保存的凭据 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 凭据委派 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| 注册表值名称 | AllowSavedCredentials |
| ADMX 文件名 | CredSsp.admx |
AllowSavedCredentialsWhenNTLMOnly
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowSavedCredentialsWhenNTLMOnly
此策略设置适用于使用 Cred SSP 组件 (的应用程序,例如:远程桌面连接) 。
当通过 NTLM 实现服务器身份验证时,此策略设置适用。
如果启用此策略设置,则可以指定用户保存凭据可以委托到的服务器, (保存的凭据是你选择使用 Windows 凭据管理器) 保存/记住的服务器。
如果未在此策略设置) 默认配置 (,则正确相互身份验证后,如果客户端计算机不是任何域的成员,则允许将保存的凭据委派给任何计算机上运行的远程桌面会话主机 (TERMSRV/*) 。 如果客户端已加入域,则默认情况下不允许将保存的凭据委派到任何计算机。
如果禁用此策略设置,则不允许将保存的凭据委派到任何计算机。
注意
“允许使用仅限 NTLM 的服务器身份验证委派保存的凭据”策略设置可以设置为一个或多个服务主体名称 (SPN) 。 SPN 表示可将用户凭据委托到的目标服务器。 指定 SPN 时,允许使用单个通配符。
例如:
在 host.humanresources.fabrikam.com 计算机上运行的 TERMSRV/host.humanresources.fabrikam.com 远程桌面会话主机。
在所有计算机上运行的 TERMSRV/* 远程桌面会话主机。
在 humanresources.fabrikam.com 中的所有计算机上运行的 TERMSRV/*.humanresources.fabrikam.com 远程桌面会话主机。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | AllowSavedCredentialsWhenNTLMOnly |
| 友好名称 | 允许使用仅限 NTLM 的服务器身份验证委派保存的凭据 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 凭据委派 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| 注册表值名称 | AllowSavedCredentialsWhenNTLMOnly |
| ADMX 文件名 | CredSsp.admx |
DenyDefaultCredentials
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenyDefaultCredentials
此策略设置适用于使用 Cred SSP 组件 (的应用程序,例如:远程桌面连接) 。
如果启用此策略设置,则可以指定用户的默认凭据不能委派到的服务器, (默认凭据是首次登录到 Windows) 时使用的服务器。
如果禁用或未在此策略设置默认) 配置 (,则此策略设置不会指定任何服务器。
注意
“拒绝委派默认凭据”策略设置可以设置为一个或多个服务主体名称, (SPN) 。 SPN 表示无法将用户凭据委派到的目标服务器。 指定 SPN 时,允许使用单个通配符。
例如:
在 host.humanresources.fabrikam.com 计算机上运行的 TERMSRV/host.humanresources.fabrikam.com 远程桌面会话主机。
在所有计算机上运行的 TERMSRV/* 远程桌面会话主机。
在 .humanresources.fabrikam.com 中的所有计算机上运行的 TERMSRV/*.humanresources.fabrikam.com 远程桌面会话主机。
此策略设置可以与“允许委派默认凭据”策略设置结合使用,以定义特定服务器的例外,在“允许委派默认凭据”服务器列表中使用通配符时允许这些例外。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | DenyDefaultCredentials |
| 友好名称 | 拒绝委派默认凭据 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 凭据委派 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| 注册表值名称 | DenyDefaultCredentials |
| ADMX 文件名 | CredSsp.admx |
DenyFreshCredentials
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenyFreshCredentials
此策略设置适用于使用 Cred SSP 组件 (的应用程序,例如:远程桌面连接) 。
如果启用此策略设置,则可以指定不能将用户的新凭据委派到的服务器, (新凭据是执行应用程序) 时提示你输入的服务器。
如果禁用或未在此策略设置默认) 配置 (,则此策略设置不会指定任何服务器。
注意
“拒绝委派新凭据”策略设置可以设置为一个或多个服务主体名称 (SPN) 。 SPN 表示无法将用户凭据委派到的目标服务器。 指定 SPN 时,允许使用单个通配符。
例如:
在 host.humanresources.fabrikam.com 计算机上运行的 TERMSRV/host.humanresources.fabrikam.com 远程桌面会话主机。
在所有计算机上运行的 TERMSRV/* 远程桌面会话主机。
在 .humanresources.fabrikam.com 中的所有计算机上运行的 TERMSRV/*.humanresources.fabrikam.com 远程桌面会话主机。
此策略设置可以与“允许委派新凭据”策略设置结合使用,以定义特定服务器的例外,这些例外在“允许委派新凭据”服务器列表中使用通配符时被允许。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | DenyFreshCredentials |
| 友好名称 | 拒绝委派新凭据 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 凭据委派 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| 注册表值名称 | DenyFreshCredentials |
| ADMX 文件名 | CredSsp.admx |
DenySavedCredentials
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenySavedCredentials
此策略设置适用于使用 Cred SSP 组件 (的应用程序,例如:远程桌面连接) 。
如果启用此策略设置,则可以指定用户保存的凭据不能委托到的服务器, (保存的凭据是你选择使用 Windows 凭据管理器) 保存/记住的服务器。
如果禁用或未在此策略设置默认) 配置 (,则此策略设置不会指定任何服务器。
注意
“拒绝委派已保存凭据”策略设置可以设置为一个或多个服务主体名称 (SPN) 。 SPN 表示无法将用户凭据委派到的目标服务器。 指定 SPN 时,允许使用单个通配符。
例如:
在 host.humanresources.fabrikam.com 计算机上运行的 TERMSRV/host.humanresources.fabrikam.com 远程桌面会话主机。
在所有计算机上运行的 TERMSRV/* 远程桌面会话主机。
在 .humanresources.fabrikam.com 中的所有计算机上运行的 TERMSRV/*.humanresources.fabrikam.com 远程桌面会话主机。
此策略设置可以与“允许委派已保存凭据”策略设置结合使用,以定义特定服务器的例外,而特定服务器在使用“允许委派已保存凭据”服务器列表中的通配符时允许这些例外。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | DenySavedCredentials |
| 友好名称 | 拒绝委派已保存的凭据 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 凭据委派 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| 注册表值名称 | DenySavedCredentials |
| ADMX 文件名 | CredSsp.admx |
RestrictedRemoteAdministration
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration
在受限管理员或远程凭据防护模式下运行时,参与的应用不会向远程主机公开登录或提供的凭据。 受限管理员限制从远程主机访问位于其他服务器或网络上的资源,因为凭据未委派。 远程 Credential Guard 不会限制对资源的访问,因为它会将所有请求重定向回客户端设备。
参与应用:
远程桌面客户端。
- 如果启用此策略设置,则支持以下选项:
限制凭据委派:参与的应用程序必须使用受限管理员或远程 Credential Guard 连接到远程主机。
需要远程凭据防护:参与的应用程序必须使用远程 Credential Guard 连接到远程主机。
需要受限管理员:参与应用程序必须使用受限管理员连接到远程主机。
- 如果禁用或未配置此策略设置,则不会强制实施“受限管理员”和“远程凭据防护”模式,并且参与的应用可以将凭据委托给远程设备。
注意
若要禁用大多数凭据委派,在凭据安全支持提供程序 (CredSSP) 中,修改位于计算机配置\管理模板\系统\凭据委派) 的管理模板设置 (,就足以拒绝委派。
注意
在 Windows 8.1 和 Windows Server 2012 R2 上,启用此策略将强制实施受限管理模式,而不考虑所选模式。 这些版本不支持远程凭据防护。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | RestrictedRemoteAdministration |
| 友好名称 | 限制将凭据委派到远程服务器 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 凭据委派 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| 注册表值名称 | RestrictedRemoteAdministration |
| ADMX 文件名 | CredSsp.admx |