Richtlinien-CSP – ADMX_sam
Tipp
Dieser CSP enthält ADMX-gestützte Richtlinien, die ein spezielles SyncML-Format zum Aktivieren oder Deaktivieren erfordern. Sie müssen den Datentyp in SyncML als <Format>chr</Format>angeben. Weitere Informationen finden Sie unter Grundlegendes zu ADMX-gestützten Richtlinien.
Die Nutzlast des SyncML muss XML-codiert sein. Für diese XML-Codierung gibt es eine Vielzahl von Onlineencodern, die Sie verwenden können. Um die Codierung der Nutzlast zu vermeiden, können Sie CDATA verwenden, wenn Ihr MDM dies unterstützt. Weitere Informationen finden Sie unter CDATA-Abschnitte.
SamNGCKeyROCAValidation
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_sam/SamNGCKeyROCAValidation
Mit dieser Richtlinieneinstellung können Sie konfigurieren, wie Domänencontroller Windows Hello for Business-Schlüssel (WHfB) behandeln, die anfällig für das RoCA-Sicherheitsrisiko (Return of Coppersmith's Attack) sind.
Weitere Informationen zur ROCA-Sicherheitslücke finden Sie unter:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15361
https://en.wikipedia.org/wiki/ROCA_vulnerability
Wenn Sie diese Richtlinieneinstellung aktivieren, werden die folgenden Optionen unterstützt:
Ignorieren: Während der Authentifizierung testet der Domänencontroller keine WHfB-Schlüssel auf das ROCA-Sicherheitsrisiko.
Überwachung: Während der Authentifizierung gibt der Domänencontroller Überwachungsereignisse für WHfB-Schlüssel aus, die der ROCA-Sicherheitsanfälligkeit unterliegen (Authentifizierungen werden weiterhin erfolgreich ausgeführt).
Blockieren: Während der Authentifizierung blockiert der Domänencontroller die Verwendung von WHfB-Schlüsseln, die der ROCA-Sicherheitsanfälligkeit unterliegen (Authentifizierungen schlagen fehl).
Diese Einstellung wird nur auf Domänencontrollern wirksam.
Wenn nicht konfiguriert, verwenden Domänencontroller standardmäßig ihre lokale Konfiguration. Die lokale Standardkonfiguration ist Audit.
Ein Neustart ist nicht erforderlich, damit Änderungen an dieser Einstellung wirksam werden.
Hinweis: Um unerwartete Unterbrechungen zu vermeiden, sollte diese Einstellung erst auf Blockieren festgelegt werden, bis geeignete Abhilfemaßnahmen durchgeführt wurden, z. B. Patchen anfälliger TPMs.
Weitere Informationen finden Sie unter<https://go.microsoft.com/fwlink/?linkid=2116430>.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | SamNGCKeyROCAValidation |
| Anzeigename | Konfigurieren der Überprüfung von ROCA-anfälligen WHfB-Schlüsseln während der Authentifizierung |
| Position | Computerkonfiguration |
| Pfad | Systemsicherheitskonto-Manager > |
| Registrierungsschlüsselname | Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM |
| ADMX-Dateiname | sam.admx |