CSP de directiva: ADMX_sam
Sugerencia
Este CSP contiene directivas respaldadas por ADMX que requieren un formato SyncML especial para habilitar o deshabilitar. Debe especificar el tipo de datos en SyncML como <Format>chr</Format>. Para obtener más información, consulte Descripción de las directivas respaldadas por ADMX.
La carga de SyncML debe estar codificada en XML; para esta codificación XML, hay una variedad de codificadores en línea que puede usar. Para evitar la codificación de la carga, puede usar CDATA si su MDM lo admite. Para obtener más información, vea Secciones de CDATA.
SamNGCKeyROCAValidation
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_sam/SamNGCKeyROCAValidation
Esta configuración de directiva permite configurar cómo los controladores de dominio controlan las claves de Windows Hello para empresas (WHfB) que son vulnerables a la vulnerabilidad "Retorno del ataque de Coppersmith" (ROCA).
Para obtener más información sobre la vulnerabilidad ROCA, consulte:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15361
https://en.wikipedia.org/wiki/ROCA_vulnerability
Si habilita esta configuración de directiva, se admiten las siguientes opciones:
Omitir: durante la autenticación, el controlador de dominio no sondeará ninguna clave WHfB para detectar la vulnerabilidad ROCA.
Auditoría: durante la autenticación, el controlador de dominio emitirá eventos de auditoría para las claves WHfB que están sujetas a la vulnerabilidad ROCA (las autenticaciones se seguirán realizando correctamente).
Bloquear: durante la autenticación, el controlador de dominio bloqueará el uso de claves WHfB que están sujetas a la vulnerabilidad ROCA (se producirá un error en las autenticaciones).
Esta configuración solo surte efecto en los controladores de dominio.
Si no está configurado, los controladores de dominio usarán de forma predeterminada su configuración local. La configuración local predeterminada es Audit.
No se requiere un reinicio para que los cambios en esta configuración surtan efecto.
Tenga en cuenta que para evitar interrupciones inesperadas, esta configuración no debe establecerse en Bloquear hasta que se hayan realizado las mitigaciones adecuadas, por ejemplo, la aplicación de revisiones de TPM vulnerables.
Puede encontrar más información en<https://go.microsoft.com/fwlink/?linkid=2116430> .
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | SamNGCKeyROCAValidation |
| Nombre descriptivo | Configuración de la validación de claves WHfB vulnerables a ROCA durante la autenticación |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Administrador de cuentas de seguridad del sistema > |
| Nombre de la clave del Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM |
| Nombre de archivo ADMX | sam.admx |