原則 CSP - ADMX_CredSsp
提示
此 CSP 包含 ADMX 支持的原則,需要特殊 SyncML 格式才能啟用或停用。 您必須在 SyncML 中將資料型態指定為 <Format>chr</Format>
。 如需詳細資訊,請 參閱瞭解 ADMX 支持的原則。
SyncML 的承載必須是 XML 編碼;針對此 XML 編碼,您可以使用各種在線編碼器。 若要避免編碼承載,如果您的 MDM 支援 CDATA,您可以使用 CDATA。 如需詳細資訊,請參閱 CDATA 區段。
AllowDefaultCredentials
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 和更新版本 ✅ Windows 10 版本 21H1 與 KB5005101 [10.0.19043.1202] 和更新版本 ✅ Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowDefaultCredentials
此原則設定適用於使用 Cred SSP 元件的應用程式 (例如:遠端桌面連線) 。
使用受信任的 X509 憑證或 Kerberos 來完成伺服器驗證時,會套用此原則設定。
- 如果啟用此原則設定,您可以指定使用者默認認證可以委派的伺服器, (預設認證是您第一次登入 Windows) 時所使用的認證。
當使用者下次登入執行 Windows 的計算機時,原則就會生效。
- 如果您在此原則設定) 預設停用或未設定 (,則不允許任何計算機委派預設認證。 視此委派行為而定,應用程式可能會無法通過驗證。 如需詳細資訊,請參閱 KB。
適用於 KB 的 FWlink:
https://go.microsoft.com/fwlink/?LinkId=301508
注意
[允許委派預設認證] 原則設定可以設定為 SPN) (一或多個服務主體名稱。 SPN 代表可以委派使用者認證的目標伺服器。 指定SPN時,允許使用單一通配符。
例如:
TERMSRV/host.humanresources.fabrikam.com 在 host.humanresources.fabrikam.com 計算機上執行的遠端桌面會話主機。
TERMSRV/* 在所有電腦上執行的遠端桌面會話主機。
TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 中所有計算機上執行的遠端桌面會話主機。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 |
chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
名稱 | 值 |
---|---|
名稱 | AllowDefaultCredentials |
易記名稱 | 允許委派預設認證 |
位置 | [電腦設定] |
路徑 | 系統 > 認證委派 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows\CredentialsDelegation |
登錄值名稱 | AllowDefaultCredentials |
ADMX 檔案名稱 | CredSsp.admx |
AllowDefCredentialsWhenNTLMOnly
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 和更新版本 ✅ Windows 10 版本 21H1 與 KB5005101 [10.0.19043.1202] 和更新版本 ✅ Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowDefCredentialsWhenNTLMOnly
此原則設定適用於使用 Cred SSP 元件的應用程式 (例如:遠端桌面連線) 。
透過NTLM完成伺服器驗證時,會套用此原則設定。
如果啟用此原則設定,您可以指定使用者默認認證可以委派的伺服器, (預設認證是您第一次登入 Windows) 時所使用的認證。
如果您在此原則設定) 預設停用或未設定 (,則不允許任何計算機委派預設認證。
注意
[允許使用僅限 NTLM 伺服器驗證委派預設認證] 原則設定可以設定為一或多個服務主體名稱, (SPN) 。 SPN 代表可以委派使用者認證的目標伺服器。 指定SPN時,允許使用單一通配符。
例如:
TERMSRV/host.humanresources.fabrikam.com 在 host.humanresources.fabrikam.com 計算機上執行的遠端桌面會話主機。
TERMSRV/* 在所有電腦上執行的遠端桌面會話主機。
TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 中所有計算機上執行的遠端桌面會話主機。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 |
chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
名稱 | 值 |
---|---|
名稱 | AllowDefCredentialsWhenNTLMOnly |
易記名稱 | 允許使用僅限 NTLM 的伺服器驗證委派預設認證 |
位置 | [電腦設定] |
路徑 | 系統 > 認證委派 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows\CredentialsDelegation |
登錄值名稱 | AllowDefCredentialsWhenNTLMOnly |
ADMX 檔案名稱 | CredSsp.admx |
AllowEncryptionOracle
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 和更新版本 ✅ Windows 10 版本 21H1 與 KB5005101 [10.0.19043.1202] 和更新版本 ✅ Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowEncryptionOracle
加密 Oracle 補救。
此原則設定適用於使用 CredSSP 元件的應用程式 (例如:遠端桌面連線) 。
某些版本的 CredSSP 通訊協定容易受到用戶端的加密 Oracle 攻擊。 此原則可控制與易受攻擊客戶端和伺服器的相容性。 此原則可讓您設定加密 Oracle 弱點所需的保護層級。
如果啟用此原則設定,將會根據下列選項選取 CredSSP 版本支援:
強制更新的用戶端:使用 CredSSP 的用戶端應用程式將無法回復為不安全的版本,而使用 CredSSP 的服務將無法接受未修補的用戶端。 請注意,在所有遠端主機都支援最新版本之前,不應該部署此設定。
緩和:使用 CredSSP 的用戶端應用程式將無法回復為不安全的版本,但使用 CredSSP 的服務會接受未修補的用戶端。 如需其餘未修補用戶端所造成風險的重要資訊,請參閱下列連結。
易受攻擊:使用 CredSSP 的用戶端應用程式會支援切換回不安全的版本和使用 CredSSP 的服務,讓遠端伺服器暴露在攻擊中,並接受未修補的用戶端。
如需保護弱點和服務需求的詳細資訊,請參閱 https://go.microsoft.com/fwlink/?linkid=866660
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 |
chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
名稱 | 值 |
---|---|
名稱 | AllowEncryptionOracle |
易記名稱 | 加密 Oracle 補救 |
位置 | [電腦設定] |
路徑 | 系統 > 認證委派 |
登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
ADMX 檔案名稱 | CredSsp.admx |
AllowFreshCredentials
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 和更新版本 ✅ Windows 10 版本 21H1 與 KB5005101 [10.0.19043.1202] 和更新版本 ✅ Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowFreshCredentials
此原則設定適用於使用 Cred SSP 元件的應用程式 (例如:遠端桌面連線) 。
透過受信任的 X509 憑證或 Kerberos 完成伺服器驗證時,就會套用此原則設定。
如果啟用此原則設定,您可以指定可以委派使用者全新認證的伺服器, (在執行應用程式) 時,系統會提示您輸入的全新認證。
如果您未預設設定 () 此原則設定,則在適當的相互驗證之後,允許在任何計算機上執行的遠端桌面會話主機委派全新認證 (TERMSRV/*) 。
如果您停用此原則設定,則不允許將全新認證委派給任何計算機。
注意
[允許委派全新認證] 原則設定可以設定為 SPN) (一或多個服務主體名稱。 SPN 代表可以委派使用者認證的目標伺服器。 指定SPN時,允許使用單一通配符。
例如:
TERMSRV/host.humanresources.fabrikam.com。
在 host.humanresources.fabrikam.com 計算機上執行的遠端桌面會話主機。
TERMSRV/* 在所有電腦上執行的遠端桌面會話主機。
TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 中所有計算機上執行的遠端桌面會話主機。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 |
chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
名稱 | 值 |
---|---|
名稱 | AllowFreshCredentials |
易記名稱 | 允許委派全新認證 |
位置 | [電腦設定] |
路徑 | 系統 > 認證委派 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows\CredentialsDelegation |
登錄值名稱 | AllowFreshCredentials |
ADMX 檔案名稱 | CredSsp.admx |
AllowFreshCredentialsWhenNTLMOnly
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 和更新版本 ✅ Windows 10 版本 21H1 與 KB5005101 [10.0.19043.1202] 和更新版本 ✅ Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowFreshCredentialsWhenNTLMOnly
此原則設定適用於使用 Cred SSP 元件的應用程式 (例如:遠端桌面連線) 。
透過NTLM完成伺服器驗證時,會套用此原則設定。
如果啟用此原則設定,您可以指定可以委派使用者全新認證的伺服器, (在執行應用程式) 時,系統會提示您輸入的全新認證。
如果您未預設設定 () 此原則設定,則在適當的相互驗證之後,允許在任何計算機上執行的遠端桌面會話主機委派全新認證 (TERMSRV/*) 。
如果您停用此原則設定,則不允許將全新認證委派給任何計算機。
注意
[允許使用僅限 NTLM 的伺服器驗證委派全新認證] 原則設定可以設定為一或多個服務主體名稱, (SPN) 。 SPN 代表可以委派使用者認證的目標伺服器。 指定SPN時,允許使用單一通配符。
例如:
TERMSRV/host.humanresources.fabrikam.com 在 host.humanresources.fabrikam.com 計算機上執行的遠端桌面會話主機。
TERMSRV/* 在所有電腦上執行的遠端桌面會話主機。
TERMSRV/*.humanresources.fabrikam.com 在 humanresources.fabrikam.com 的所有電腦上執行的遠端桌面會話主機。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 |
chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
名稱 | 值 |
---|---|
名稱 | AllowFreshCredentialsWhenNTLMOnly |
易記名稱 | 允許使用僅限 NTLM 的伺服器驗證委派全新認證 |
位置 | [電腦設定] |
路徑 | 系統 > 認證委派 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows\CredentialsDelegation |
登錄值名稱 | AllowFreshCredentialsWhenNTLMOnly |
ADMX 檔案名稱 | CredSsp.admx |
AllowSavedCredentials
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 和更新版本 ✅ Windows 10 版本 21H1 與 KB5005101 [10.0.19043.1202] 和更新版本 ✅ Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowSavedCredentials
此原則設定適用於使用 Cred SSP 元件的應用程式 (例如:遠端桌面連線) 。
透過受信任的 X509 憑證或 Kerberos 完成伺服器驗證時,就會套用此原則設定。
如果啟用此原則設定,您可以指定可以委派使用者儲存認證的伺服器, (儲存的認證是您選擇使用 Windows 認證管理員) 儲存/記住的認證。
如果您未預設設定 () 此原則設定,則在適當的相互驗證之後,允許將儲存的認證委派給在任何計算機上執行的遠端桌面會話主機, (TERMSRV/*) 。
如果您停用此原則設定,則不允許將儲存的認證委派給任何計算機。
注意
[允許委派已儲存的認證] 原則設定可以設定為 SPN) (一或多個服務主體名稱。 SPN 代表可以委派使用者認證的目標伺服器。 指定SPN時,允許使用單一通配符。
例如:
TERMSRV/host.humanresources.fabrikam.com 在 host.humanresources.fabrikam.com 計算機上執行的遠端桌面會話主機。
TERMSRV/* 在所有電腦上執行的遠端桌面會話主機。
TERMSRV/*.humanresources.fabrikam.com 在 humanresources.fabrikam.com 的所有電腦上執行的遠端桌面會話主機。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 |
chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
名稱 | 值 |
---|---|
名稱 | AllowSavedCredentials |
易記名稱 | 允許委派已儲存的認證 |
位置 | [電腦設定] |
路徑 | 系統 > 認證委派 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows\CredentialsDelegation |
登錄值名稱 | AllowSavedCredentials |
ADMX 檔案名稱 | CredSsp.admx |
AllowSavedCredentialsWhenNTLMOnly
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 和更新版本 ✅ Windows 10 版本 21H1 與 KB5005101 [10.0.19043.1202] 和更新版本 ✅ Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowSavedCredentialsWhenNTLMOnly
此原則設定適用於使用 Cred SSP 元件的應用程式 (例如:遠端桌面連線) 。
透過NTLM完成伺服器驗證時,會套用此原則設定。
如果啟用此原則設定,您可以指定可以委派使用者儲存認證的伺服器, (儲存的認證是您選擇使用 Windows 認證管理員) 儲存/記住的認證。
如果您未預設設定 () 此原則設定,則在適當的相互驗證之後,如果用戶端電腦不是任何網域的成員,則允許將儲存的認證委派給在任何計算機上執行的遠端桌面會話主機 (TERMSRV/*) 。 如果用戶端已加入網域,預設不允許將儲存的認證委派給任何計算機。
如果您停用此原則設定,則不允許將儲存的認證委派給任何計算機。
注意
[允許使用僅限 NTLM 的伺服器驗證委派已儲存的認證] 原則設定可以設定為一或多個服務主體名稱, (SPN) 。 SPN 代表可以委派使用者認證的目標伺服器。 指定SPN時,允許使用單一通配符。
例如:
TERMSRV/host.humanresources.fabrikam.com 在 host.humanresources.fabrikam.com 計算機上執行的遠端桌面會話主機。
TERMSRV/* 在所有電腦上執行的遠端桌面會話主機。
TERMSRV/*.humanresources.fabrikam.com 在 humanresources.fabrikam.com 的所有電腦上執行的遠端桌面會話主機。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 |
chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
名稱 | 值 |
---|---|
名稱 | AllowSavedCredentialsWhenNTLMOnly |
易記名稱 | 允許使用僅限 NTLM 的伺服器驗證委派已儲存的認證 |
位置 | [電腦設定] |
路徑 | 系統 > 認證委派 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows\CredentialsDelegation |
登錄值名稱 | AllowSavedCredentialsWhenNTLMOnly |
ADMX 檔案名稱 | CredSsp.admx |
DenyDefaultCredentials
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 和更新版本 ✅ Windows 10 版本 21H1 與 KB5005101 [10.0.19043.1202] 和更新版本 ✅ Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenyDefaultCredentials
此原則設定適用於使用 Cred SSP 元件的應用程式 (例如:遠端桌面連線) 。
如果啟用此原則設定,您可以指定使用者的預設認證無法委派的伺服器, (默認認證是您第一次登入 Windows) 時所使用的認證。
如果您預設停用或未設定 () 此原則設定,則此原則設定不會指定任何伺服器。
注意
[拒絕委派預設認證] 原則設定可以設定為 SPN) (一或多個服務主體名稱。 SPN 代表無法委派使用者認證的目標伺服器。 指定SPN時,允許使用單一通配符。
例如:
TERMSRV/host.humanresources.fabrikam.com 在 host.humanresources.fabrikam.com 計算機上執行的遠端桌面會話主機。
TERMSRV/* 在所有電腦上執行的遠端桌面會話主機。
TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 中所有計算機上執行的遠端桌面會話主機。
此原則設定可以與 [允許委派預設認證] 原則設定搭配使用,以定義在 [允許委派預設認證] 伺服器清單中使用通配符時,允許的特定伺服器例外狀況。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 |
chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
名稱 | 值 |
---|---|
名稱 | DenyDefaultCredentials |
易記名稱 | 拒絕委派預設認證 |
位置 | [電腦設定] |
路徑 | 系統 > 認證委派 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows\CredentialsDelegation |
登錄值名稱 | DenyDefaultCredentials |
ADMX 檔案名稱 | CredSsp.admx |
DenyFreshCredentials
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 和更新版本 ✅ Windows 10 版本 21H1 與 KB5005101 [10.0.19043.1202] 和更新版本 ✅ Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenyFreshCredentials
此原則設定適用於使用 Cred SSP 元件的應用程式 (例如:遠端桌面連線) 。
如果啟用此原則設定,您可以指定使用者的全新認證無法委派的伺服器, (在執行應用程式時提示您) 。
如果您預設停用或未設定 () 此原則設定,則此原則設定不會指定任何伺服器。
注意
[拒絕委派全新認證] 原則設定可以設定為 SPN) (一或多個服務主體名稱。 SPN 代表無法委派使用者認證的目標伺服器。 指定SPN時,允許使用單一通配符。
例如:
TERMSRV/host.humanresources.fabrikam.com 在 host.humanresources.fabrikam.com 計算機上執行的遠端桌面會話主機。
TERMSRV/* 在所有電腦上執行的遠端桌面會話主機。
TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 中所有計算機上執行的遠端桌面會話主機。
此原則設定可以與 [允許委派全新認證] 原則設定搭配使用,以定義在 [允許委派全新認證] 伺服器清單中使用通配符時,允許的特定伺服器例外狀況。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 |
chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
名稱 | 值 |
---|---|
名稱 | DenyFreshCredentials |
易記名稱 | 拒絕委派全新認證 |
位置 | [電腦設定] |
路徑 | 系統 > 認證委派 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows\CredentialsDelegation |
登錄值名稱 | DenyFreshCredentials |
ADMX 檔案名稱 | CredSsp.admx |
DenySavedCredentials
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 和更新版本 ✅ Windows 10 版本 21H1 與 KB5005101 [10.0.19043.1202] 和更新版本 ✅ Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenySavedCredentials
此原則設定適用於使用 Cred SSP 元件的應用程式 (例如:遠端桌面連線) 。
如果啟用此原則設定,您可以指定無法委派使用者儲存認證的伺服器, (儲存的認證是您選擇使用 Windows 認證管理員) 儲存/記住的認證。
如果您預設停用或未設定 () 此原則設定,則此原則設定不會指定任何伺服器。
注意
[拒絕委派已儲存的認證] 原則設定可以設定為 SPN) (一或多個服務主體名稱。 SPN 代表無法委派使用者認證的目標伺服器。 指定SPN時,允許使用單一通配符。
例如:
TERMSRV/host.humanresources.fabrikam.com 在 host.humanresources.fabrikam.com 計算機上執行的遠端桌面會話主機。
TERMSRV/* 在所有電腦上執行的遠端桌面會話主機。
TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 中所有計算機上執行的遠端桌面會話主機。
此原則設定可以與 [允許委派已儲存的認證] 原則設定搭配使用,以定義在 [允許委派儲存的認證] 伺服器清單中使用通配符時,允許的特定伺服器例外狀況。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 |
chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
名稱 | 值 |
---|---|
名稱 | DenySavedCredentials |
易記名稱 | 拒絕委派已儲存的認證 |
位置 | [電腦設定] |
路徑 | 系統 > 認證委派 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows\CredentialsDelegation |
登錄值名稱 | DenySavedCredentials |
ADMX 檔案名稱 | CredSsp.admx |
RestrictedRemoteAdministration
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 和更新版本 ✅ Windows 10 版本 21H1 與 KB5005101 [10.0.19043.1202] 和更新版本 ✅ Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration
在受限制的系統管理員或遠端 Credential Guard 模式中執行時,參與的應用程式不會向遠端主機公開已登入或提供的認證。 受限制的系統管理員會限制從遠端主機存取位於其他伺服器或網路上的資源,因為未委派認證。 遠端 Credential Guard 不會限制對資源的存取,因為它會將所有要求重新導向回客戶端裝置。
參與的應用程式:
遠端桌面用戶端。
- 如果您啟用此原則設定,則支援下列選項:
限制認證委派:參與的應用程式必須使用受限制的系統管理員或遠端 Credential Guard 來連線到遠端主機。
需要遠端 Credential Guard:參與的應用程式必須使用遠端 Credential Guard 來連線到遠端主機。
需要受限制的系統管理員:參與的應用程式必須使用受限制的系統管理員來連線到遠端主機。
- 如果您停用或未設定此原則設定,則不會強制執行受限制的系統管理員和遠端 Credential Guard 模式,且參與的應用程式可以將認證委派給遠端裝置。
注意
若要停用大部分的認證委派,藉由修改位於計算機設定\系統管理範本\系統\認證委派) (的系統管理範本設定,即可拒絕認證安全性支援提供者 (CredSSP) 中的委派。
注意
在 Windows 8.1 和 Windows Server 2012 R2 上,啟用此原則將會強制執行限制管理模式,無論選擇的模式為何。 這些版本不支持遠端 Credential Guard。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 |
chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
名稱 | 值 |
---|---|
名稱 | RestrictedRemoteAdministration |
易記名稱 | 限制委派認證至遠端伺服器 |
位置 | [電腦設定] |
路徑 | 系統 > 認證委派 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows\CredentialsDelegation |
登錄值名稱 | RestrictedRemoteAdministration |
ADMX 檔案名稱 | CredSsp.admx |