原則 CSP - LocalSecurityAuthority

  • 發行項

提示

此 CSP 包含 ADMX 支持的原則,需要特殊 SyncML 格式才能啟用或停用。 您必須在 SyncML 中將資料型態指定為 <Format>chr</Format>。 如需詳細資訊,請 參閱瞭解 ADMX 支持的原則

SyncML 的承載必須是 XML 編碼;針對此 XML 編碼,您可以使用各種在線編碼器。 若要避免編碼承載,如果您的 MDM 支援 CDATA,您可以使用 CDATA。 如需詳細資訊,請參閱 CDATA 區段

AllowCustomSSPsAPs

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者		 ✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC		 ✅Windows 11 版本 22H2 [10.0.22621] 和更新版本 
./Device/Vendor/MSFT/Policy/Config/LocalSecurityAuthority/AllowCustomSSPsAPs

此原則會控制 LSASS 載入自定義 SSP 和 IP 的設定。

  • 如果您啟用此設定或未進行設定,LSA 會允許載入自定義 SSP 和 IP。

  • 如果您停用此設定,LSA 不會載入自訂 SSP 和 IP。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 AllowCustomSSPsAPs
易記名稱 允許將自定義 SSP 和 IP 載入 LSASS
位置 [電腦設定]
路徑 系統 > 本機安全性授權單位
登錄機碼名稱 Software\Policies\Microsoft\Windows\System
登錄值名稱 AllowCustomSSPsAPs
ADMX 檔案名稱 LocalSecurityAuthority.admx

ConfigureLsaProtectedProcess

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者		 ✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC		 ✅Windows 11 版本 22H2 [10.0.22621] 和更新版本 
./Device/Vendor/MSFT/Policy/Config/LocalSecurityAuthority/ConfigureLsaProtectedProcess

此原則會控制 LSASS 執行所在的設定。

  • 如果您未設定此原則,且登錄中沒有目前的設定,LSA 會以受保護的程序執行,以取得全新安裝、具備 HVCI 功能的用戶端 SKU,也就是已加入網域或已加入雲端網域的裝置。 此設定未鎖定 UEFI。 如果已設定原則,則可以覆寫此專案。

  • 如果您設定此原則設定為 [已停用],LSA 將不會以受保護的程序執行。

  • 如果您設定並將此原則設定設為 「EnabledWithUEFILock」,LSA 會以受保護的程式執行,且此設定已鎖定 UEFI。

  • 如果您設定並將此原則設定設為 「EnabledWithoutUEFILock」,LSA 會以受保護的程式執行,而且此設定不會鎖定 UEFI。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) 已停用。 預設值。 LSA 不會以受保護的進程執行。
1 使用 UEFI 鎖定啟用。 LSA 會以受保護的進程執行,且此設定已鎖定 UEFI。
2 在不使用 UEFI 鎖定的情況下啟用。 LSA 會以受保護的程序執行,而且此設定不會鎖定 UEFI。

群組原則對應:

名稱
名稱 ConfigureLsaProtectedProcess
易記名稱 將 LSASS 設定為以受保護的進程執行
位置 [電腦設定]
路徑 系統 > 本機安全性授權單位
登錄機碼名稱 System\CurrentControlSet\Control\Lsa
ADMX 檔案名稱 LocalSecurityAuthority.admx

原則設定服務提供者