原則 CSP - Kerberos

提示

此 CSP 包含 ADMX 支持的原則,需要特殊 SyncML 格式才能啟用或停用。 您必須在 SyncML 中將資料型態指定為 <Format>chr</Format>。 如需詳細資訊,請 參閱瞭解 ADMX 支持的原則

SyncML 的承載必須是 XML 編碼;針對此 XML 編碼,您可以使用各種在線編碼器。 若要避免編碼承載,如果您的 MDM 支援 CDATA,您可以使用 CDATA。 如需詳細資訊,請參閱 CDATA 區段

AllowForestSearchOrder

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1703 [10.0.15063] 和更新版本
./Device/Vendor/MSFT/Policy/Config/Kerberos/AllowForestSearchOrder

此原則設定會定義 Kerberos 用戶端嘗試解析兩部分服務主體名稱時,Kerberos 用戶端 (SPN) 時所搜尋的信任樹系列表。

  • 如果啟用此原則設定,Kerberos 用戶端會在此清單中搜尋樹系,如果無法解析兩部分的 SPN。 如果找到相符專案,Kerberos 用戶端會向適當的網域要求轉介票證。

  • 如果您停用或未設定此原則設定,Kerberos 用戶端不會搜尋列出的樹系來解析 SPN。 如果 Kerberos 用戶端因為找不到名稱而無法解析 SPN,則可能會使用 NTLM 驗證。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 ForestSearch
易記名稱 使用樹系搜尋順序
位置 [電腦設定]
路徑 系統 > Kerberos
登錄機碼名稱 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
登錄值名稱 UseForestSearch
ADMX 檔案名稱 Kerberos.admx

CloudKerberosTicketRetrievalEnabled

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 11,版本 21H2 [10.0.22000] 和更新版本
./Device/Vendor/MSFT/Policy/Config/Kerberos/CloudKerberosTicketRetrievalEnabled

此原則設定允許在登入期間擷取 Microsoft Entra Kerberos 票證授與票證。

  • 如果您停用或未設定此原則設定,登入期間不會擷取 Microsoft Entra Kerberos 票證授權票證。

  • 如果您啟用此原則設定,登入期間會擷取 Microsoft Entra Kerberos 票證授與票證。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) 已停用。
1 啟用。

群組原則對應:

名稱
名稱 CloudKerberosTicketRetrievalEnabled
易記名稱 允許在登入期間擷取 Azure AD Kerberos 票證授與票證
位置 [電腦設定]
路徑 系統 > Kerberos
登錄機碼名稱 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
登錄值名稱 CloudKerberosTicketRetrievalEnabled
ADMX 檔案名稱 Kerberos.admx

KerberosClientSupportsClaimsCompoundArmor

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1703 [10.0.15063] 和更新版本
./Device/Vendor/MSFT/Policy/Config/Kerberos/KerberosClientSupportsClaimsCompoundArmor

此原則設定可控制裝置是否會使用 Kerberos 驗證搭配支援這些功能的網域,要求動態 存取控制 和 Kerberos 防護的宣告和復合驗證。

  • 如果啟用此原則設定,用戶端計算機會要求宣告,並提供在網域中建立複合驗證和保護 Kerberos 訊息所需的資訊,以支援動態 存取控制 和 Kerberos 防護的宣告和復合驗證。

  • 如果您停用或未設定此原則設定,用戶端裝置將不會要求宣告、提供建立複合驗證和保護 Kerberos 訊息所需的資訊。 裝載於裝置上的服務將無法使用 Kerberos 通訊協定轉換來擷取用戶端的宣告。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 EnableCbacAndArmor
易記名稱 Kerberos 用戶端支援宣告、復合驗證和 Kerberos 防護
位置 [電腦設定]
路徑 系統 > Kerberos
登錄機碼名稱 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
登錄值名稱 EnableCbacAndArmor
ADMX 檔案名稱 Kerberos.admx

PKInitHashAlgorithmConfiguration

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 11 版本 22H2 [10.0.22621] 和更新版本
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration

此原則設定可控制 Kerberos 用戶端在執行憑證驗證時所使用的哈希或總和檢查碼演算法。

  • 如果啟用此原則,您將能夠為每個演算法設定四種狀態的其中一個:

  • “Default” 會將演演算法設定為建議的狀態。

  • 「支援」可啟用演算法的使用方式。 啟用預設已停用的演算法可能會降低您的安全性。

  • 「已稽核」會啟用演算法的使用方式,並在每次使用時報告事件標識 (標識碼 206) 。 此狀態的目的是要確認演算法並未被使用,而且可以安全地停用。

  • 「不支援」會停用演算法的使用方式。 此狀態適用於被視為不安全的演算法。

  • 如果您停用或未設定此原則,則每個演算法都會採用「預設」狀態。

此組態所產生的事件:205、206、207、208。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) 已停用/未設定。
1 啟用。

群組原則對應:

名稱
名稱 PKInitHashAlgorithmConfiguration
易記名稱 設定憑證登入的哈希演算法
位置 [電腦設定]
路徑 系統 > Kerberos
登錄機碼名稱 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
登錄值名稱 PKInitHashAlgorithmConfigurationEnabled
ADMX 檔案名稱 Kerberos.admx

PKInitHashAlgorithmSHA1

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 11,版本 22H2 [10.0.22621] 和更新版本
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA1

此原則設定可控制 Kerberos 用戶端在執行憑證驗證時所使用的 SHA1 演演算法組態。 只有在啟用 Kerberos/PKInitHashAlgorithmConfiguration 時,才會強制執行此原則。 您可以為此演算法設定四種狀態之一:

  • 0 - 不支援:此狀態會停用演算法的使用方式。 此狀態適用於被視為不安全的演算法。
  • 1 - 預設值:此狀態會將演算法設定為建議的狀態。
  • 2 - 稽核:此狀態可讓您使用演算法,並在每次使用時報告事件 (標識碼 206) 。 此狀態的目的是要確認演算法並未被使用,而且可以安全地停用。
  • 3 - 支援:此狀態可讓您使用演算法。 啟用預設已停用的演算法可能會降低您的安全性。

如果您未設定此原則,SHA1 演算法會假設為 默認 狀態。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 1
相依性 [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] 相依性類型: DependsOn
相依性 URI: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
相依性允許的值: [1]
相依性允許的值類型: Range

允許的值:

說明
0 不支援。
1 (預設) 預設。
2 審計。
3 支援。

群組原則對應:

名稱
名稱 PKInitHashAlgorithmConfiguration
易記名稱 設定憑證登入的哈希演算法
位置 [電腦設定]
路徑 系統 > Kerberos
登錄機碼名稱 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
登錄值名稱 PKInitHashAlgorithmConfigurationEnabled
ADMX 檔案名稱 Kerberos.admx

PKInitHashAlgorithmSHA256

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 11,版本 22H2 [10.0.22621] 和更新版本
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA256

此原則設定可控制 Kerberos 用戶端在執行憑證驗證時所使用的 SHA256 演算法組態。 只有在啟用 Kerberos/PKInitHashAlgorithmConfiguration 時,才會強制執行此原則。 您可以為此演算法設定四種狀態之一:

  • 0 - 不支援:此狀態會停用演算法的使用方式。 此狀態適用於被視為不安全的演算法。
  • 1 - 預設值:此狀態會將演算法設定為建議的狀態。
  • 2 - 稽核:此狀態可讓您使用演算法,並在每次使用時報告事件 (標識碼 206) 。 此狀態的目的是要確認演算法並未被使用,而且可以安全地停用。
  • 3 - 支援:此狀態可讓您使用演算法。 啟用預設已停用的演算法可能會降低您的安全性。

如果您未設定此原則,SHA256 演算法會採用 默認 狀態。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 1
相依性 [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] 相依性類型: DependsOn
相依性 URI: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
相依性允許的值: [1]
相依性允許的值類型: Range

允許的值:

說明
0 不支援。
1 (預設) 預設。
2 審計。
3 支援。

群組原則對應:

名稱
名稱 PKInitHashAlgorithmConfiguration
易記名稱 設定憑證登入的哈希演算法
位置 [電腦設定]
路徑 系統 > Kerberos
登錄機碼名稱 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
登錄值名稱 PKInitHashAlgorithmConfigurationEnabled
ADMX 檔案名稱 Kerberos.admx

PKInitHashAlgorithmSHA384

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 11 版本 22H2 [10.0.22621] 和更新版本
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA384

此原則設定可控制 Kerberos 用戶端在執行憑證驗證時所使用的 SHA384 演算法組態。 只有在啟用 Kerberos/PKInitHashAlgorithmConfiguration 時,才會強制執行此原則。 您可以為此演算法設定四種狀態之一:

  • 0 - 不支援:此狀態會停用演算法的使用方式。 此狀態適用於被視為不安全的演算法。
  • 1 - 預設值:此狀態會將演算法設定為建議的狀態。
  • 2 - 稽核:此狀態可讓您使用演算法,並在每次使用時報告事件 (標識碼 206) 。 此狀態的目的是要確認演算法並未被使用,而且可以安全地停用。
  • 3 - 支援:此狀態可讓您使用演算法。 啟用預設已停用的演算法可能會降低您的安全性。

如果您未設定此原則,SHA384 演算法會採用 默認 狀態。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 1
相依性 [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] 相依性類型: DependsOn
相依性 URI: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
相依性允許的值: [1]
相依性允許的值類型: Range

允許的值:

說明
0 不支援。
1 (預設) 預設。
2 審計。
3 支援。

群組原則對應:

名稱
名稱 PKInitHashAlgorithmConfiguration
易記名稱 設定憑證登入的哈希演算法
位置 [電腦設定]
路徑 系統 > Kerberos
登錄機碼名稱 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
登錄值名稱 PKInitHashAlgorithmConfigurationEnabled
ADMX 檔案名稱 Kerberos.admx

PKInitHashAlgorithmSHA512

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 11 版本 22H2 [10.0.22621] 和更新版本
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA512

此原則設定可控制 Kerberos 用戶端在執行憑證驗證時所使用的 SHA512 演算法組態。 只有在啟用 Kerberos/PKInitHashAlgorithmConfiguration 時,才會強制執行此原則。 您可以為此演算法設定四種狀態之一:

  • 0 - 不支援:此狀態會停用演算法的使用方式。 此狀態適用於被視為不安全的演算法。
  • 1 - 預設值:此狀態會將演算法設定為建議的狀態。
  • 2 - 稽核:此狀態可讓您使用演算法,並在每次使用時報告事件 (標識碼 206) 。 此狀態的目的是要確認演算法並未被使用,而且可以安全地停用。
  • 3 - 支援:此狀態可讓您使用演算法。 啟用預設已停用的演算法可能會降低您的安全性。

如果您未設定此原則,SHA512 演算法會採用 默認 狀態。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 1
相依性 [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] 相依性類型: DependsOn
相依性 URI: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
相依性允許的值: [1]
相依性允許的值類型: Range

允許的值:

說明
0 不支援。
1 (預設) 預設。
2 審計。
3 支援。

群組原則對應:

名稱
名稱 PKInitHashAlgorithmConfiguration
易記名稱 設定憑證登入的哈希演算法
位置 [電腦設定]
路徑 系統 > Kerberos
登錄機碼名稱 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
登錄值名稱 PKInitHashAlgorithmConfigurationEnabled
ADMX 檔案名稱 Kerberos.admx

RequireKerberosArmoring

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1703 [10.0.15063] 和更新版本
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireKerberosArmoring

此原則設定可控制計算機是否需要在與域控制器通訊時保護 Kerberos 訊息交換。

警告

當網域啟用 「支援動態 存取控制 和 Kerberos 防護」來不支援 Kerberos 防護時,則其所有使用者的所有驗證都會在啟用此原則設定的電腦上失敗。

  • 如果啟用此原則設定,網域中的用戶端計算機只會在驗證服務中強制使用 Kerberos 防護, (AS) 和票證授與服務, (TGS) 與域控制器進行訊息交換。

注意

Kerberos 群組原則 也必須啟用「宣告、復合驗證和 Kerberos 防護的 Kerberos 用戶端支援」,才能支援 Kerberos 防護。

  • 如果停用或未設定此原則設定,網域中的用戶端計算機會盡可能強制使用 Kerberos 防護,如目標網域所支援。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 ClientRequireFast
易記名稱 無法使用 Kerberos 防護時,驗證要求失敗
位置 [電腦設定]
路徑 系統 > Kerberos
登錄機碼名稱 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
登錄值名稱 RequireFast
ADMX 檔案名稱 Kerberos.admx

RequireStrictKDCValidation

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1703 [10.0.15063] 和更新版本
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireStrictKDCValidation

此原則設定可控制 Kerberos 用戶端在驗證智慧卡和系統憑證登入 KDC 憑證時的行為。

  • 如果啟用此原則設定,Kerberos 用戶端會要求 KDC 的 X.509 憑證在擴充密鑰使用方式 (EKU) 延伸模組中包含 KDC 金鑰用途物件標識符,而且 KDC 的 X.509 憑證包含符合網域 DNS 名稱的 dNSName subjectAltName (SAN) 擴充功能。 如果計算機已加入網域,Kerberos 用戶端會要求 KDC 的 X.509 憑證必須由 NTAuth 存放區中的證書頒發機構單位 (CA) 簽署。 如果計算機未加入網域,Kerberos 用戶端會允許智慧卡上的根 CA 憑證用於 KDC X.509 憑證的路徑驗證。

  • 如果您停用或未設定此原則設定,Kerberos 用戶端只需要 KDC 憑證在 EKU 擴充功能中包含伺服器驗證用途物件識別碼,才能發行給任何伺服器。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 ValidateKDC
易記名稱 需要嚴格的 KDC 驗證
位置 [電腦設定]
路徑 系統 > Kerberos
登錄機碼名稱 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
登錄值名稱 KdcValidation
ADMX 檔案名稱 Kerberos.admx

SetMaximumContextTokenSize

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1703 [10.0.15063] 和更新版本
./Device/Vendor/MSFT/Policy/Config/Kerberos/SetMaximumContextTokenSize

此原則設定可讓您設定傳回給要求 SSPI 內容令牌緩衝區大小上限之應用程式的值。

內容令牌緩衝區的大小決定應用程式預期和配置的 SSPI 內容令牌大小上限。 根據驗證要求處理和群組成員資格,緩衝區可能會小於SSPI內容令牌的實際大小。

  • 如果您啟用此原則設定,Kerberos 用戶端或伺服器會使用已設定的值,或本機允許的最大值,以較小者為準。

  • 如果您停用或未設定此原則設定,Kerberos 用戶端或伺服器會使用本機設定的值或預設值。

注意

此原則設定會在 windows XP 和 Windows Server 2003 中新增的 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters 中設定現有的 MaxTokenSize 登錄值,預設值為 12,000 個字節。 從 Windows 8 開始,預設值為48,000個字節。 由於 HTTP 的驗證內容令牌 base64 編碼,因此不建議將此值設定為超過 48,000 個字節。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 MaxTokenSize
易記名稱 設定 Kerberos SSPI 內容令牌緩衝區大小上限
位置 [電腦設定]
路徑 系統 > Kerberos
登錄機碼名稱 System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
登錄值名稱 EnableMaxTokenSize
ADMX 檔案名稱 Kerberos.admx

UPNNameHints

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 和更新版本
./Device/Vendor/MSFT/Policy/Config/Kerberos/UPNNameHints

在混合式環境中加入 Microsoft Entra ID的裝置需要與 Active Directory 網域 控制器互動,但缺少內建能力來尋找已加入網域的裝置擁有的域控制器。 當這類裝置需要將 Microsoft Entra UPN 解析為 Active Directory 主體時,這可能會導致失敗。 如果已加入 Microsoft Entra 裝置無法將 UPN 解析為主體,則此參數會新增其應嘗試連絡的網域清單。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代
允許的值 列出 (分隔符: 0xF000)

原則設定服務提供者