原則 CSP - ADMX_sam
提示
此 CSP 包含 ADMX 支持的原則,需要特殊 SyncML 格式才能啟用或停用。 您必須在 SyncML 中將資料型態指定為 <Format>chr</Format>。 如需詳細資訊,請 參閱瞭解 ADMX 支持的原則。
SyncML 的承載必須是 XML 編碼;針對此 XML 編碼,您可以使用各種在線編碼器。 若要避免編碼承載,如果您的 MDM 支援 CDATA,您可以使用 CDATA。 如需詳細資訊,請參閱 CDATA 區段。
SamNGCKeyROCAValidation
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 和更新版本 ✅ Windows 10 版本 21H1 與 KB5005101 [10.0.19043.1202] 和更新版本 ✅ Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_sam/SamNGCKeyROCAValidation
此原則設定可讓您設定域控制器如何處理 Windows Hello 企業版 (WHfB) 密鑰,這些金鑰容易受到「銅鐵制的攻擊傳回」 (ROCA) 弱點。
如需 ROCA 弱點的詳細資訊,請參閱:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15361
https://en.wikipedia.org/wiki/ROCA_vulnerability
如果您啟用此原則設定,則支援下列選項:
忽略:在驗證期間,域控制器不會探查 ROCA 弱點的任何 WHfB 金鑰。
稽核:在驗證期間,域控制器會針對受限於 ROCA 弱點的 WHfB 金鑰發出稽核事件, (驗證仍會成功) 。
封鎖:在驗證期間,域控制器會封鎖使用受限於 ROCA 弱點的 WHfB 金鑰, (驗證將會失敗) 。
此設定只會在域控制器上生效。
如果未設定,域控制器預設會使用其本機設定。 默認的本機設定為 Audit。
不需要重新啟動,此設定的變更才會生效。
請注意,為了避免非預期的中斷,在執行適當的緩和措施之前,此設定不應設定為 [封鎖],例如修補易受攻擊的 TPM。
如需詳細資訊,請參<https://go.microsoft.com/fwlink/?linkid=2116430>閱。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | SamNGCKeyROCAValidation |
| 易記名稱 | 在驗證期間設定 ROCA 易受攻擊 WHfB 金鑰的驗證 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > 安全性帳戶管理員 |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM |
| ADMX 檔案名稱 | sam.admx |