CSP de directiva: ADMX_CredSsp
Sugerencia
Este CSP contiene directivas respaldadas por ADMX que requieren un formato SyncML especial para habilitar o deshabilitar. Debe especificar el tipo de datos en SyncML como <Format>chr</Format>. Para obtener más información, consulte Descripción de las directivas respaldadas por ADMX.
La carga de SyncML debe estar codificada en XML; para esta codificación XML, hay una variedad de codificadores en línea que puede usar. Para evitar la codificación de la carga, puede usar CDATA si su MDM lo admite. Para obtener más información, vea Secciones de CDATA.
AllowDefaultCredentials
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowDefaultCredentials
Esta configuración de directiva se aplica a las aplicaciones que usan el componente Cred SSP (por ejemplo, Conexión a Escritorio remoto).
Esta configuración de directiva se aplica cuando se logró la autenticación del servidor mediante un certificado X509 de confianza o Kerberos.
- Si habilita esta configuración de directiva, puede especificar los servidores a los que se pueden delegar las credenciales predeterminadas del usuario (las credenciales predeterminadas son las que se usan al iniciar sesión por primera vez en Windows).
La directiva se hace efectiva la próxima vez que el usuario inicia sesión en un equipo que ejecuta Windows.
- Si deshabilita o no configura (de forma predeterminada) esta configuración de directiva, no se permite la delegación de credenciales predeterminadas a ningún equipo. Las aplicaciones en función de este comportamiento de delegación pueden producir un error de autenticación. Para obtener más información, vea KB.
FWlink para KB:
https://go.microsoft.com/fwlink/?LinkId=301508
Nota
La configuración de directiva "Permitir delegar credenciales predeterminadas" se puede establecer en uno o varios nombres de entidad de seguridad de servicio (SPN). El SPN representa el servidor de destino al que se pueden delegar las credenciales de usuario. Se permite el uso de un solo carácter comodín al especificar el SPN.
Por ejemplo:
TERMSRV/host.humanresources.fabrikam.com Host de sesión de Escritorio remoto que se ejecuta en host.humanresources.fabrikam.com equipo.
TERMSRV/* Host de sesión de Escritorio remoto que se ejecuta en todas las máquinas.
TERMSRV/*.humanresources.fabrikam.com host de sesión de Escritorio remoto que se ejecuta en todas las máquinas de .humanresources.fabrikam.com.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | AllowDefaultCredentials |
| Nombre descriptivo | Permitir la delegación de credenciales predeterminadas |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Delegación de credenciales del sistema > |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nombre del valor de registro | AllowDefaultCredentials |
| Nombre de archivo ADMX | CredSsp.admx |
AllowDefCredentialsWhenNTLMOnly
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowDefCredentialsWhenNTLMOnly
Esta configuración de directiva se aplica a las aplicaciones que usan el componente Cred SSP (por ejemplo, Conexión a Escritorio remoto).
Esta configuración de directiva se aplica cuando se ha logrado la autenticación del servidor a través de NTLM.
Si habilita esta configuración de directiva, puede especificar los servidores a los que se pueden delegar las credenciales predeterminadas del usuario (las credenciales predeterminadas son las que se usan al iniciar sesión por primera vez en Windows).
Si deshabilita o no configura (de forma predeterminada) esta configuración de directiva, no se permite la delegación de credenciales predeterminadas a ninguna máquina.
Nota
La configuración de directiva "Permitir delegar credenciales predeterminadas con autenticación de servidor solo NTLM" se puede establecer en uno o varios nombres de entidad de seguridad de servicio (SPN). El SPN representa el servidor de destino al que se pueden delegar las credenciales de usuario. Se permite el uso de un solo carácter comodín al especificar el SPN.
Por ejemplo:
TERMSRV/host.humanresources.fabrikam.com Host de sesión de Escritorio remoto que se ejecuta en host.humanresources.fabrikam.com equipo.
TERMSRV/* Host de sesión de Escritorio remoto que se ejecuta en todas las máquinas.
TERMSRV/*.humanresources.fabrikam.com host de sesión de Escritorio remoto que se ejecuta en todas las máquinas de .humanresources.fabrikam.com.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | AllowDefCredentialsWhenNTLMOnly |
| Nombre descriptivo | Permitir la delegación de credenciales predeterminadas con autenticación de servidor solo NTLM |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Delegación de credenciales del sistema > |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nombre del valor de registro | AllowDefCredentialsWhenNTLMOnly |
| Nombre de archivo ADMX | CredSsp.admx |
AllowEncryptionOracle
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowEncryptionOracle
Corrección de Oracle de cifrado.
Esta configuración de directiva se aplica a las aplicaciones que usan el componente CredSSP (por ejemplo, Conexión a Escritorio remoto).
Algunas versiones del protocolo CredSSP son vulnerables a un ataque de oracle de cifrado contra el cliente. Esta directiva controla la compatibilidad con los clientes y servidores vulnerables. Esta directiva le permite establecer el nivel de protección deseado para la vulnerabilidad de Oracle de cifrado.
Si habilita esta configuración de directiva, se seleccionará la compatibilidad con la versión de CredSSP en función de las siguientes opciones:
Forzar clientes actualizados: las aplicaciones cliente que usan CredSSP no podrán revertir a las versiones y servicios no seguros que usan CredSSP no aceptarán clientes no revisados. Tenga en cuenta que esta configuración no debe implementarse hasta que todos los hosts remotos admitan la versión más reciente.
Mitigado: las aplicaciones cliente que usan CredSSP no podrán volver a la versión no segura, pero los servicios que usan CredSSP aceptarán clientes no asignados. Consulte el vínculo siguiente para obtener información importante sobre el riesgo que suponen los clientes no revisados restantes.
Vulnerable: las aplicaciones cliente que usan CredSSP expondrán los servidores remotos a ataques, ya que admiten la devolución a las versiones y servicios no seguros que usan CredSSP aceptarán clientes no revisados.
Para obtener más información sobre los requisitos de vulnerabilidad y mantenimiento para la protección, consulte https://go.microsoft.com/fwlink/?linkid=866660
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | AllowEncryptionOracle |
| Nombre descriptivo | Corrección de Oracle de cifrado |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Delegación de credenciales del sistema > |
| Nombre de la clave del Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
| Nombre de archivo ADMX | CredSsp.admx |
AllowFreshCredentials
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowFreshCredentials
Esta configuración de directiva se aplica a las aplicaciones que usan el componente Cred SSP (por ejemplo, Conexión a Escritorio remoto).
Esta configuración de directiva se aplica cuando se ha logrado la autenticación del servidor a través de un certificado X509 de confianza o Kerberos.
Si habilita esta configuración de directiva, puede especificar los servidores a los que se pueden delegar las credenciales nuevas del usuario (las credenciales nuevas son las que se le solicitan al ejecutar la aplicación).
Si no configura (de forma predeterminada) esta configuración de directiva, después de la autenticación mutua adecuada, se permite la delegación de credenciales nuevas al host de sesión de Escritorio remoto que se ejecuta en cualquier equipo (TERMSRV/*).
Si deshabilita esta configuración de directiva, no se permite la delegación de credenciales nuevas a ninguna máquina.
Nota
La configuración de directiva "Permitir delegar credenciales nuevas" se puede establecer en uno o varios nombres de entidad de seguridad de servicio (SPN). El SPN representa el servidor de destino al que se pueden delegar las credenciales de usuario. Se permite el uso de un solo carácter comodín al especificar el SPN.
Por ejemplo:
TERMSRV/host.humanresources.fabrikam.com.
Host de sesión de Escritorio remoto que se ejecuta en host.humanresources.fabrikam.com equipo.
TERMSRV/* Host de sesión de Escritorio remoto que se ejecuta en todas las máquinas.
TERMSRV/*.humanresources.fabrikam.com host de sesión de Escritorio remoto que se ejecuta en todas las máquinas de .humanresources.fabrikam.com.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | AllowFreshCredentials |
| Nombre descriptivo | Permitir la delegación de credenciales nuevas |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Delegación de credenciales del sistema > |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nombre del valor de registro | AllowFreshCredentials |
| Nombre de archivo ADMX | CredSsp.admx |
AllowFreshCredentialsWhenNTLMOnly
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowFreshCredentialsWhenNTLMOnly
Esta configuración de directiva se aplica a las aplicaciones que usan el componente Cred SSP (por ejemplo, Conexión a Escritorio remoto).
Esta configuración de directiva se aplica cuando se ha logrado la autenticación del servidor a través de NTLM.
Si habilita esta configuración de directiva, puede especificar los servidores a los que se pueden delegar las credenciales nuevas del usuario (las credenciales nuevas son las que se le solicitan al ejecutar la aplicación).
Si no configura (de forma predeterminada) esta configuración de directiva, después de la autenticación mutua adecuada, se permite la delegación de credenciales nuevas al host de sesión de Escritorio remoto que se ejecuta en cualquier equipo (TERMSRV/*).
Si deshabilita esta configuración de directiva, no se permite la delegación de credenciales nuevas a ninguna máquina.
Nota
La configuración de directiva "Permitir delegar credenciales nuevas con autenticación de servidor solo NTLM" se puede establecer en uno o varios nombres de entidad de seguridad de servicio (SPN). El SPN representa el servidor de destino al que se pueden delegar las credenciales de usuario. Se permite el uso de un solo carácter comodín al especificar el SPN.
Por ejemplo:
TERMSRV/host.humanresources.fabrikam.com Host de sesión de Escritorio remoto que se ejecuta en host.humanresources.fabrikam.com equipo.
TERMSRV/* Host de sesión de Escritorio remoto que se ejecuta en todas las máquinas.
TERMSRV/*.humanresources.fabrikam.com host de sesión de Escritorio remoto que se ejecuta en todas las máquinas de humanresources.fabrikam.com.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | AllowFreshCredentialsWhenNTLMOnly |
| Nombre descriptivo | Permitir la delegación de credenciales nuevas con autenticación de servidor solo NTLM |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Delegación de credenciales del sistema > |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nombre del valor de registro | AllowFreshCredentialsWhenNTLMOnly |
| Nombre de archivo ADMX | CredSsp.admx |
AllowSavedCredentials
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowSavedCredentials
Esta configuración de directiva se aplica a las aplicaciones que usan el componente Cred SSP (por ejemplo, Conexión a Escritorio remoto).
Esta configuración de directiva se aplica cuando se ha logrado la autenticación del servidor a través de un certificado X509 de confianza o Kerberos.
Si habilita esta configuración de directiva, puede especificar los servidores a los que se pueden delegar las credenciales guardadas del usuario (las credenciales guardadas son las que decide guardar o recordar mediante el administrador de credenciales de Windows).
Si no configura (de forma predeterminada) esta configuración de directiva, después de la autenticación mutua adecuada, se permite la delegación de credenciales guardadas al host de sesión de Escritorio remoto que se ejecuta en cualquier equipo (TERMSRV/*).
Si deshabilita esta configuración de directiva, no se permite la delegación de credenciales guardadas a ninguna máquina.
Nota
La configuración de directiva "Permitir delegar credenciales guardadas" se puede establecer en uno o varios nombres de entidad de seguridad de servicio (SPN). El SPN representa el servidor de destino al que se pueden delegar las credenciales de usuario. Se permite el uso de un solo carácter comodín al especificar el SPN.
Por ejemplo:
TERMSRV/host.humanresources.fabrikam.com Host de sesión de Escritorio remoto que se ejecuta en host.humanresources.fabrikam.com equipo.
TERMSRV/* Host de sesión de Escritorio remoto que se ejecuta en todas las máquinas.
TERMSRV/*.humanresources.fabrikam.com host de sesión de Escritorio remoto que se ejecuta en todas las máquinas de humanresources.fabrikam.com.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | AllowSavedCredentials |
| Nombre descriptivo | Permitir delegación de credenciales guardadas |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Delegación de credenciales del sistema > |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nombre del valor de registro | AllowSavedCredentials |
| Nombre de archivo ADMX | CredSsp.admx |
AllowSavedCredentialsWhenNTLMOnly
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowSavedCredentialsWhenNTLMOnly
Esta configuración de directiva se aplica a las aplicaciones que usan el componente Cred SSP (por ejemplo, Conexión a Escritorio remoto).
Esta configuración de directiva se aplica cuando se ha logrado la autenticación del servidor a través de NTLM.
Si habilita esta configuración de directiva, puede especificar los servidores a los que se pueden delegar las credenciales guardadas del usuario (las credenciales guardadas son las que decide guardar o recordar mediante el administrador de credenciales de Windows).
Si no configura (de forma predeterminada) esta configuración de directiva, después de la autenticación mutua adecuada, se permite la delegación de credenciales guardadas al host de sesión de Escritorio remoto que se ejecuta en cualquier máquina (TERMSRV/*) si la máquina cliente no es miembro de ningún dominio. Si el cliente está unido a un dominio, de forma predeterminada la delegación de credenciales guardadas no se permite a ninguna máquina.
Si deshabilita esta configuración de directiva, no se permite la delegación de credenciales guardadas a ninguna máquina.
Nota
La configuración de directiva "Permitir delegar credenciales guardadas con autenticación de servidor solo NTLM" se puede establecer en uno o varios nombres de entidad de seguridad de servicio (SPN). El SPN representa el servidor de destino al que se pueden delegar las credenciales de usuario. Se permite el uso de un solo carácter comodín al especificar el SPN.
Por ejemplo:
TERMSRV/host.humanresources.fabrikam.com Host de sesión de Escritorio remoto que se ejecuta en host.humanresources.fabrikam.com equipo.
TERMSRV/* Host de sesión de Escritorio remoto que se ejecuta en todas las máquinas.
TERMSRV/*.humanresources.fabrikam.com host de sesión de Escritorio remoto que se ejecuta en todas las máquinas de humanresources.fabrikam.com.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | AllowSavedCredentialsWhenNTLMOnly |
| Nombre descriptivo | Permitir la delegación de credenciales guardadas con autenticación de servidor solo NTLM |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Delegación de credenciales del sistema > |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nombre del valor de registro | AllowSavedCredentialsWhenNTLMOnly |
| Nombre de archivo ADMX | CredSsp.admx |
DenyDefaultCredentials
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenyDefaultCredentials
Esta configuración de directiva se aplica a las aplicaciones que usan el componente Cred SSP (por ejemplo, Conexión a Escritorio remoto).
Si habilita esta configuración de directiva, puede especificar los servidores a los que no se pueden delegar las credenciales predeterminadas del usuario (las credenciales predeterminadas son las que se usan al iniciar sesión por primera vez en Windows).
Si deshabilita o no configura (de forma predeterminada) esta configuración de directiva, esta configuración de directiva no especifica ningún servidor.
Nota
La configuración de directiva "Denegar la delegación de credenciales predeterminadas" se puede establecer en uno o varios nombres de entidad de seguridad de servicio (SPN). El SPN representa el servidor de destino al que no se pueden delegar las credenciales de usuario. Se permite el uso de un solo carácter comodín al especificar el SPN.
Por ejemplo:
TERMSRV/host.humanresources.fabrikam.com Host de sesión de Escritorio remoto que se ejecuta en host.humanresources.fabrikam.com equipo.
TERMSRV/* Host de sesión de Escritorio remoto que se ejecuta en todas las máquinas.
TERMSRV/*.humanresources.fabrikam.com host de sesión de Escritorio remoto que se ejecuta en todas las máquinas de .humanresources.fabrikam.com.
Esta configuración de directiva se puede usar en combinación con la configuración de directiva "Permitir delegar credenciales predeterminadas" para definir excepciones para servidores específicos que se permiten de otro modo cuando se usan caracteres comodín en la lista de servidores "Permitir delegar credenciales predeterminadas".
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | DenyDefaultCredentials |
| Nombre descriptivo | Denegar la delegación de credenciales predeterminadas |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Delegación de credenciales del sistema > |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nombre del valor de registro | DenyDefaultCredentials |
| Nombre de archivo ADMX | CredSsp.admx |
DenyFreshCredentials
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenyFreshCredentials
Esta configuración de directiva se aplica a las aplicaciones que usan el componente Cred SSP (por ejemplo, Conexión a Escritorio remoto).
Si habilita esta configuración de directiva, puede especificar los servidores a los que no se pueden delegar las credenciales nuevas del usuario (las credenciales nuevas son las que se le solicitan al ejecutar la aplicación).
Si deshabilita o no configura (de forma predeterminada) esta configuración de directiva, esta configuración de directiva no especifica ningún servidor.
Nota
La configuración de directiva "Denegar la delegación de credenciales nuevas" se puede establecer en uno o varios nombres de entidad de seguridad de servicio (SPN). El SPN representa el servidor de destino al que no se pueden delegar las credenciales de usuario. Se permite el uso de un solo carácter comodín al especificar el SPN.
Por ejemplo:
TERMSRV/host.humanresources.fabrikam.com Host de sesión de Escritorio remoto que se ejecuta en host.humanresources.fabrikam.com equipo.
TERMSRV/* Host de sesión de Escritorio remoto que se ejecuta en todas las máquinas.
TERMSRV/*.humanresources.fabrikam.com host de sesión de Escritorio remoto que se ejecuta en todas las máquinas de .humanresources.fabrikam.com.
Esta configuración de directiva se puede usar en combinación con la configuración de directiva "Permitir delegar credenciales nuevas" para definir excepciones para servidores específicos que se permiten de otro modo cuando se usan caracteres comodín en la lista de servidores "Permitir delegar credenciales nuevas".
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | DenyFreshCredentials |
| Nombre descriptivo | Denegar la delegación de credenciales nuevas |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Delegación de credenciales del sistema > |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nombre del valor de registro | DenyFreshCredentials |
| Nombre de archivo ADMX | CredSsp.admx |
DenySavedCredentials
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenySavedCredentials
Esta configuración de directiva se aplica a las aplicaciones que usan el componente Cred SSP (por ejemplo, Conexión a Escritorio remoto).
Si habilita esta configuración de directiva, puede especificar los servidores a los que no se pueden delegar las credenciales guardadas del usuario (las credenciales guardadas son las que decide guardar o recordar mediante el administrador de credenciales de Windows).
Si deshabilita o no configura (de forma predeterminada) esta configuración de directiva, esta configuración de directiva no especifica ningún servidor.
Nota
La configuración de directiva "Denegar delegación de credenciales guardadas" se puede establecer en uno o varios nombres de entidad de seguridad de servicio (SPN). El SPN representa el servidor de destino al que no se pueden delegar las credenciales de usuario. Se permite el uso de un solo carácter comodín al especificar el SPN.
Por ejemplo:
TERMSRV/host.humanresources.fabrikam.com Host de sesión de Escritorio remoto que se ejecuta en host.humanresources.fabrikam.com equipo.
TERMSRV/* Host de sesión de Escritorio remoto que se ejecuta en todas las máquinas.
TERMSRV/*.humanresources.fabrikam.com host de sesión de Escritorio remoto que se ejecuta en todas las máquinas de .humanresources.fabrikam.com.
Esta configuración de directiva se puede usar en combinación con la configuración de directiva "Permitir delegar credenciales guardadas" para definir excepciones para servidores específicos que se permiten de otro modo cuando se usan caracteres comodín en la lista de servidores "Permitir delegar credenciales guardadas".
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | DenySavedCredentials |
| Nombre descriptivo | Denegar la delegación de credenciales guardadas |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Delegación de credenciales del sistema > |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nombre del valor de registro | DenySavedCredentials |
| Nombre de archivo ADMX | CredSsp.admx |
RestrictedRemoteAdministration
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration
Cuando se ejecuta en el modo administrador restringido o Credential Guard remoto, las aplicaciones participantes no exponen las credenciales iniciadas o proporcionadas a un host remoto. El administrador restringido limita el acceso a los recursos ubicados en otros servidores o redes desde el host remoto porque las credenciales no se delegan. Credential Guard remoto no limita el acceso a los recursos porque redirige todas las solicitudes al dispositivo cliente.
Aplicaciones participantes:
Cliente de Escritorio remoto.
- Si habilita esta configuración de directiva, se admiten las siguientes opciones:
Restringir la delegación de credenciales: las aplicaciones participantes deben usar Restricted Admin o Remote Credential Guard para conectarse a hosts remotos.
Requerir Credential Guard remoto: las aplicaciones participantes deben usar Remote Credential Guard para conectarse a hosts remotos.
Requerir administrador restringido: las aplicaciones participantes deben usar el administrador restringido para conectarse a hosts remotos.
- Si deshabilita o no configura esta configuración de directiva, no se aplican los modos Administrador restringido y Protección remota de credenciales y las aplicaciones participantes pueden delegar credenciales en dispositivos remotos.
Nota
Para deshabilitar la mayoría de la delegación de credenciales, puede ser suficiente denegar la delegación en el proveedor de soporte técnico de seguridad de credenciales (CredSSP) modificando la configuración de la plantilla administrativa (que se encuentra en Configuración del equipo\Plantillas administrativas\Sistema\Delegación de credenciales).
Nota
En Windows 8.1 y Windows Server 2012 R2, al habilitar esta directiva se aplicará el modo de administración restringida, independientemente del modo elegido. Estas versiones no admiten Remote Credential Guard.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | RestrictedRemoteAdministration |
| Nombre descriptivo | Restricción de la delegación de credenciales a servidores remotos |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Delegación de credenciales del sistema > |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nombre del valor de registro | RestrictedRemoteAdministration |
| Nombre de archivo ADMX | CredSsp.admx |