Condividi tramite


Provider di servizi di configurazione dei criteri - ADMX_CredSsp

Suggerimento

Questo provider di servizi di configurazione contiene criteri supportati da ADMX che richiedono un formato SyncML speciale per l'abilitazione o la disabilitazione. È necessario specificare il tipo di dati in SyncML come <Format>chr</Format>. Per informazioni dettagliate, vedere Informazioni sui criteri supportati da ADMX.

Il payload di SyncML deve essere codificato in XML; per questa codifica XML, è possibile usare un'ampia gamma di codificatori online. Per evitare la codifica del payload, è possibile usare CDATA se MDM lo supporta. Per altre informazioni, vedere Sezioni di CDATA.

AllowDefaultCredentials

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowDefaultCredentials

Questa impostazione di criterio si applica alle applicazioni che usano il componente Cred SSP ,ad esempio Connessione Desktop remoto.

Questa impostazione di criterio si applica quando è stata eseguita l'autenticazione del server usando un certificato X509 attendibile o Kerberos.

  • Se si abilita questa impostazione di criterio, è possibile specificare i server a cui è possibile delegare le credenziali predefinite dell'utente. Le credenziali predefinite sono quelle usate per la prima volta per l'accesso a Windows.

Il criterio diventa effettivo la volta successiva che l'utente accede a un computer che esegue Windows.

  • Se si disabilita o non si configura (per impostazione predefinita) questa impostazione di criterio, la delega delle credenziali predefinite non è consentita a nessun computer. Le applicazioni a seconda di questo comportamento di delega potrebbero non riuscire l'autenticazione. Per altre informazioni, vedere KB.

FWlink per KB:

https://go.microsoft.com/fwlink/?LinkId=301508

Nota

L'impostazione dei criteri "Consenti delega delle credenziali predefinite" può essere impostata su uno o più nomi di entità servizio (SPN). L'SPN rappresenta il server di destinazione a cui è possibile delegare le credenziali utente. L'uso di un singolo carattere jolly è consentito quando si specifica il nome SPN.

Per esempio:

TERMSRV/host.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione nel computer host.humanresources.fabrikam.com.

TERMSRV/* Host sessione Desktop remoto in esecuzione in tutti i computer.

TERMSRV/*.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione in tutti i computer in .humanresources.fabrikam.com.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome AllowDefaultCredentials
Nome descrittivo Consenti delega delle credenziali predefinite
Posizione Configurazione computer
Percorso Delega delle credenziali di sistema >
Nome della chiave del Registro di sistema Software\Policies\Microsoft\Windows\CredentialsDelegation
Nome del valore del registro AllowDefaultCredentials
Nome file ADMX CredSsp.admx

AllowDefCredentialsWhenNTLMOnly

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowDefCredentialsWhenNTLMOnly

Questa impostazione di criterio si applica alle applicazioni che usano il componente Cred SSP ,ad esempio Connessione Desktop remoto.

Questa impostazione di criterio si applica quando è stata eseguita l'autenticazione del server tramite NTLM.

  • Se si abilita questa impostazione di criterio, è possibile specificare i server a cui è possibile delegare le credenziali predefinite dell'utente. Le credenziali predefinite sono quelle usate per la prima volta per l'accesso a Windows.

  • Se si disabilita o non si configura (per impostazione predefinita) questa impostazione di criterio, la delega delle credenziali predefinite non è consentita a nessun computer.

Nota

L'impostazione del criterio "Consenti delega delle credenziali predefinite con autenticazione server solo NTLM" può essere impostata su uno o più nomi di entità servizio (SPN). L'SPN rappresenta il server di destinazione a cui è possibile delegare le credenziali utente. L'uso di un singolo carattere jolly è consentito quando si specifica il nome SPN.

Per esempio:

TERMSRV/host.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione nel computer host.humanresources.fabrikam.com.

TERMSRV/* Host sessione Desktop remoto in esecuzione in tutti i computer.

TERMSRV/*.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione in tutti i computer in .humanresources.fabrikam.com.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome AllowDefCredentialsWhenNTLMOnly
Nome descrittivo Consenti delega delle credenziali predefinite con l'autenticazione server solo NTLM
Posizione Configurazione computer
Percorso Delega delle credenziali di sistema >
Nome della chiave del Registro di sistema Software\Policies\Microsoft\Windows\CredentialsDelegation
Nome del valore del registro AllowDefCredentialsWhenNTLMOnly
Nome file ADMX CredSsp.admx

AllowEncryptionOracle

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowEncryptionOracle

Correzione Oracle di crittografia.

Questa impostazione di criterio si applica alle applicazioni che usano il componente CredSSP ,ad esempio Connessione Desktop remoto.

Alcune versioni del protocollo CredSSP sono vulnerabili a un attacco oracle di crittografia contro il client. Questo criterio controlla la compatibilità con client e server vulnerabili. Questo criterio consente di impostare il livello di protezione desiderato per la vulnerabilità oracle di crittografia.

Se si abilita questa impostazione di criterio, verrà selezionato il supporto della versione di CredSSP in base alle opzioni seguenti:

Forzare i client aggiornati: le applicazioni client che usano CredSSP non saranno in grado di eseguire il fallback alle versioni non sicure e i servizi che usano CredSSP non accettano client senza patch. Si noti che questa impostazione non deve essere distribuita fino a quando tutti gli host remoti non supportano la versione più recente.

Attenuato: le applicazioni client che usano CredSSP non saranno in grado di eseguire il fallback alla versione non sicura, ma i servizi che usano CredSSP accetteranno client senza patch. Vedere il collegamento seguente per informazioni importanti sul rischio rappresentato dai client senza patch rimanenti.

Vulnerabili: le applicazioni client che usano CredSSP espongono i server remoti agli attacchi supportando il fallback alle versioni non sicure e i servizi che usano CredSSP accetteranno client senza patch.

Per altre informazioni sulla vulnerabilità e sui requisiti di manutenzione per la protezione, vedere https://go.microsoft.com/fwlink/?linkid=866660

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome AllowEncryptionOracle
Nome descrittivo Correzione oracle di crittografia
Posizione Configurazione computer
Percorso Delega delle credenziali di sistema >
Nome della chiave del Registro di sistema Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
Nome file ADMX CredSsp.admx

AllowFreshCredentials

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowFreshCredentials

Questa impostazione di criterio si applica alle applicazioni che usano il componente Cred SSP ,ad esempio Connessione Desktop remoto.

Questa impostazione di criterio si applica quando l'autenticazione del server è stata eseguita tramite un certificato X509 attendibile o Kerberos.

  • Se si abilita questa impostazione di criterio, è possibile specificare i server a cui è possibile delegare le nuove credenziali dell'utente(le credenziali nuove sono quelle richieste durante l'esecuzione dell'applicazione).

  • Se non si configura (per impostazione predefinita) questa impostazione di criterio, dopo l'autenticazione reciproca corretta, la delega di credenziali nuove è consentita all'host sessione Desktop remoto in esecuzione in qualsiasi computer (TERMSRV/*).

  • Se si disabilita questa impostazione di criterio, la delega di credenziali nuove non è consentita ad alcun computer.

Nota

L'impostazione del criterio "Consenti la delega di credenziali nuove" può essere impostata su uno o più nomi di entità servizio (SPN). L'SPN rappresenta il server di destinazione a cui è possibile delegare le credenziali utente. L'uso di un singolo carattere jolly è consentito quando si specifica il nome SPN.

Per esempio:

TERMSRV/host.humanresources.fabrikam.com.

Host sessione Desktop remoto in esecuzione in host.humanresources.fabrikam.com computer.

TERMSRV/* Host sessione Desktop remoto in esecuzione in tutti i computer.

TERMSRV/*.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione in tutti i computer in .humanresources.fabrikam.com.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome AllowFreshCredentials
Nome descrittivo Consenti la delega di credenziali nuove
Posizione Configurazione computer
Percorso Delega delle credenziali di sistema >
Nome della chiave del Registro di sistema Software\Policies\Microsoft\Windows\CredentialsDelegation
Nome del valore del registro AllowFreshCredentials
Nome file ADMX CredSsp.admx

AllowFreshCredentialsWhenNTLMOnly

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowFreshCredentialsWhenNTLMOnly

Questa impostazione di criterio si applica alle applicazioni che usano il componente Cred SSP ,ad esempio Connessione Desktop remoto.

Questa impostazione di criterio si applica quando è stata eseguita l'autenticazione del server tramite NTLM.

  • Se si abilita questa impostazione di criterio, è possibile specificare i server a cui è possibile delegare le nuove credenziali dell'utente(le credenziali nuove sono quelle richieste durante l'esecuzione dell'applicazione).

  • Se non si configura (per impostazione predefinita) questa impostazione di criterio, dopo l'autenticazione reciproca corretta, la delega di credenziali nuove è consentita all'host sessione Desktop remoto in esecuzione in qualsiasi computer (TERMSRV/*).

  • Se si disabilita questa impostazione di criterio, la delega di credenziali nuove non è consentita ad alcun computer.

Nota

L'impostazione del criterio "Consenti la delega di credenziali aggiornate con l'autenticazione server solo NTLM" può essere impostata su uno o più nomi di entità servizio (SPN). L'SPN rappresenta il server di destinazione a cui è possibile delegare le credenziali utente. L'uso di un singolo carattere jolly è consentito quando si specifica il nome SPN.

Per esempio:

TERMSRV/host.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione nel computer host.humanresources.fabrikam.com.

TERMSRV/* Host sessione Desktop remoto in esecuzione in tutti i computer.

TERMSRV/*.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione in tutti i computer in humanresources.fabrikam.com.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome AllowFreshCredentialsWhenNTLMOnly
Nome descrittivo Consentire la delega di credenziali aggiornate con l'autenticazione server solo NTLM
Posizione Configurazione computer
Percorso Delega delle credenziali di sistema >
Nome della chiave del Registro di sistema Software\Policies\Microsoft\Windows\CredentialsDelegation
Nome del valore del registro AllowFreshCredentialsWhenNTLMOnly
Nome file ADMX CredSsp.admx

AllowSavedCredentials

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowSavedCredentials

Questa impostazione di criterio si applica alle applicazioni che usano il componente Cred SSP ,ad esempio Connessione Desktop remoto.

Questa impostazione di criterio si applica quando l'autenticazione del server è stata eseguita tramite un certificato X509 attendibile o Kerberos.

  • Se si abilita questa impostazione di criterio, è possibile specificare i server a cui è possibile delegare le credenziali salvate dell'utente(le credenziali salvate sono quelle che si sceglie di salvare/ricordare usando Gestione credenziali di Windows).

  • Se non si configura (per impostazione predefinita) questa impostazione di criterio, dopo l'autenticazione reciproca corretta, la delega delle credenziali salvate è consentita all'host sessione Desktop remoto in esecuzione in qualsiasi computer (TERMSRV/*).

  • Se si disabilita questa impostazione di criterio, la delega delle credenziali salvate non è consentita a nessun computer.

Nota

L'impostazione del criterio "Consenti delega credenziali salvate" può essere impostata su uno o più nomi di entità servizio (SPN). L'SPN rappresenta il server di destinazione a cui è possibile delegare le credenziali utente. L'uso di un singolo carattere jolly è consentito quando si specifica il nome SPN.

Per esempio:

TERMSRV/host.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione nel computer host.humanresources.fabrikam.com.

TERMSRV/* Host sessione Desktop remoto in esecuzione in tutti i computer.

TERMSRV/*.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione in tutti i computer in humanresources.fabrikam.com.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome AllowSavedCredentials
Nome descrittivo Consenti delega delle credenziali salvate
Posizione Configurazione computer
Percorso Delega delle credenziali di sistema >
Nome della chiave del Registro di sistema Software\Policies\Microsoft\Windows\CredentialsDelegation
Nome del valore del registro AllowSavedCredentials
Nome file ADMX CredSsp.admx

AllowSavedCredentialsWhenNTLMOnly

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowSavedCredentialsWhenNTLMOnly

Questa impostazione di criterio si applica alle applicazioni che usano il componente Cred SSP ,ad esempio Connessione Desktop remoto.

Questa impostazione di criterio si applica quando è stata eseguita l'autenticazione del server tramite NTLM.

  • Se si abilita questa impostazione di criterio, è possibile specificare i server a cui è possibile delegare le credenziali salvate dell'utente(le credenziali salvate sono quelle che si sceglie di salvare/ricordare usando Gestione credenziali di Windows).

  • Se non si configura (per impostazione predefinita) questa impostazione di criterio, dopo l'autenticazione reciproca corretta, la delega delle credenziali salvate è consentita all'host sessione Desktop remoto in esecuzione in qualsiasi computer (TERMSRV/*) se il computer client non è membro di alcun dominio. Se il client è aggiunto a un dominio, per impostazione predefinita la delega delle credenziali salvate non è consentita in alcun computer.

  • Se si disabilita questa impostazione di criterio, la delega delle credenziali salvate non è consentita a nessun computer.

Nota

L'impostazione del criterio "Consenti la delega delle credenziali salvate con l'autenticazione server solo NTLM" può essere impostata su uno o più nomi di entità servizio (SPN). L'SPN rappresenta il server di destinazione a cui è possibile delegare le credenziali utente. L'uso di un singolo carattere jolly è consentito quando si specifica il nome SPN.

Per esempio:

TERMSRV/host.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione nel computer host.humanresources.fabrikam.com.

TERMSRV/* Host sessione Desktop remoto in esecuzione in tutti i computer.

TERMSRV/*.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione in tutti i computer in humanresources.fabrikam.com.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome AllowSavedCredentialsWhenNTLMOnly
Nome descrittivo Consenti delega delle credenziali salvate con l'autenticazione server solo NTLM
Posizione Configurazione computer
Percorso Delega delle credenziali di sistema >
Nome della chiave del Registro di sistema Software\Policies\Microsoft\Windows\CredentialsDelegation
Nome del valore del registro AllowSavedCredentialsWhenNTLMOnly
Nome file ADMX CredSsp.admx

DenyDefaultCredentials

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenyDefaultCredentials

Questa impostazione di criterio si applica alle applicazioni che usano il componente Cred SSP ,ad esempio Connessione Desktop remoto.

  • Se si abilita questa impostazione di criterio, è possibile specificare i server a cui non è possibile delegare le credenziali predefinite dell'utente. Le credenziali predefinite sono quelle usate per la prima volta per l'accesso a Windows.

  • Se si disabilita o non si configura (per impostazione predefinita) questa impostazione di criterio, questa impostazione di criterio non specifica alcun server.

Nota

L'impostazione del criterio "Nega la delega delle credenziali predefinite" può essere impostata su uno o più nomi di entità servizio (SPN). Il nome SPN rappresenta il server di destinazione a cui non è possibile delegare le credenziali utente. L'uso di un singolo carattere jolly è consentito quando si specifica il nome SPN.

Per esempio:

TERMSRV/host.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione nel computer host.humanresources.fabrikam.com.

TERMSRV/* Host sessione Desktop remoto in esecuzione in tutti i computer.

TERMSRV/*.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione in tutti i computer in .humanresources.fabrikam.com.

Questa impostazione di criterio può essere usata in combinazione con l'impostazione dei criteri "Consenti delega delle credenziali predefinite" per definire eccezioni per server specifici che sono altrimenti consentiti quando si usano caratteri jolly nell'elenco del server "Consenti delega delle credenziali predefinite".

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome DenyDefaultCredentials
Nome descrittivo Nega delega delle credenziali predefinite
Posizione Configurazione computer
Percorso Delega delle credenziali di sistema >
Nome della chiave del Registro di sistema Software\Policies\Microsoft\Windows\CredentialsDelegation
Nome del valore del registro DenyDefaultCredentials
Nome file ADMX CredSsp.admx

DenyFreshCredentials

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenyFreshCredentials

Questa impostazione di criterio si applica alle applicazioni che usano il componente Cred SSP ,ad esempio Connessione Desktop remoto.

  • Se si abilita questa impostazione di criterio, è possibile specificare i server a cui non è possibile delegare le nuove credenziali dell'utente(le credenziali nuove sono quelle richieste durante l'esecuzione dell'applicazione).

  • Se si disabilita o non si configura (per impostazione predefinita) questa impostazione di criterio, questa impostazione di criterio non specifica alcun server.

Nota

L'impostazione del criterio "Nega la delega di credenziali nuove" può essere impostata su uno o più nomi di entità servizio (SPN). Il nome SPN rappresenta il server di destinazione a cui non è possibile delegare le credenziali utente. L'uso di un singolo carattere jolly è consentito quando si specifica il nome SPN.

Per esempio:

TERMSRV/host.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione nel computer host.humanresources.fabrikam.com.

TERMSRV/* Host sessione Desktop remoto in esecuzione in tutti i computer.

TERMSRV/*.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione in tutti i computer in .humanresources.fabrikam.com.

Questa impostazione di criterio può essere usata in combinazione con l'impostazione dei criteri "Consenti la delega di credenziali nuove" per definire eccezioni per server specifici che sono altrimenti consentiti quando si usano caratteri jolly nell'elenco del server "Consenti la delega di credenziali nuove".

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome DenyFreshCredentials
Nome descrittivo Nega delega di credenziali nuove
Posizione Configurazione computer
Percorso Delega delle credenziali di sistema >
Nome della chiave del Registro di sistema Software\Policies\Microsoft\Windows\CredentialsDelegation
Nome del valore del registro DenyFreshCredentials
Nome file ADMX CredSsp.admx

DenySavedCredentials

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenySavedCredentials

Questa impostazione di criterio si applica alle applicazioni che usano il componente Cred SSP ,ad esempio Connessione Desktop remoto.

  • Se si abilita questa impostazione di criterio, è possibile specificare i server a cui non è possibile delegare le credenziali salvate dell'utente(le credenziali salvate sono quelle che si sceglie di salvare/ricordare usando Gestione credenziali di Windows).

  • Se si disabilita o non si configura (per impostazione predefinita) questa impostazione di criterio, questa impostazione di criterio non specifica alcun server.

Nota

L'impostazione del criterio "Nega delega credenziali salvate" può essere impostata su uno o più nomi di entità servizio (SPN). Il nome SPN rappresenta il server di destinazione a cui non è possibile delegare le credenziali utente. L'uso di un singolo carattere jolly è consentito quando si specifica il nome SPN.

Per esempio:

TERMSRV/host.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione nel computer host.humanresources.fabrikam.com.

TERMSRV/* Host sessione Desktop remoto in esecuzione in tutti i computer.

TERMSRV/*.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione in tutti i computer in .humanresources.fabrikam.com.

Questa impostazione di criterio può essere usata in combinazione con l'impostazione dei criteri "Consenti delega credenziali salvate" per definire eccezioni per server specifici altrimenti consentiti quando si usano caratteri jolly nell'elenco del server "Consenti delega delle credenziali salvate".

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome DenySavedCredentials
Nome descrittivo Nega delega delle credenziali salvate
Posizione Configurazione computer
Percorso Delega delle credenziali di sistema >
Nome della chiave del Registro di sistema Software\Policies\Microsoft\Windows\CredentialsDelegation
Nome del valore del registro DenySavedCredentials
Nome file ADMX CredSsp.admx

RestrictedRemoteAdministration

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration

Durante l'esecuzione in modalità Amministratore con restrizioni o Remote Credential Guard, le app partecipanti non espongono le credenziali di accesso o fornite a un host remoto. L'amministratore con restrizioni limita l'accesso alle risorse che si trovano in altri server o reti dall'host remoto perché le credenziali non sono delegate. Remote Credential Guard non limita l'accesso alle risorse perché reindirizza tutte le richieste al dispositivo client.

App partecipanti:

Client Desktop remoto.

  • Se si abilita questa impostazione di criterio, sono supportate le opzioni seguenti:

Limitare la delega delle credenziali: le applicazioni partecipanti devono usare l'amministratore con restrizioni o Remote Credential Guard per connettersi agli host remoti.

Richiedi Remote Credential Guard: le applicazioni partecipanti devono usare Remote Credential Guard per connettersi agli host remoti.

Richiedi amministratore con restrizioni: le applicazioni partecipanti devono usare l'amministratore con restrizioni per connettersi agli host remoti.

  • Se disabiliti o non configuri questa impostazione di criterio, l'amministratore con restrizioni e la modalità Remote Credential Guard non vengono applicati e le app partecipanti possono delegare le credenziali ai dispositivi remoti.

Nota

Per disabilitare la maggior parte della delega delle credenziali, potrebbe essere sufficiente negare la delega nel provider di supporto per la sicurezza delle credenziali (CredSSP) modificando le impostazioni del modello amministrativo (disponibile in Configurazione computer\Modelli amministrativi\Sistema\Delega credenziali).

Nota

In Windows 8.1 e Windows Server 2012 R2, l'abilitazione di questo criterio imporrà la modalità Amministrazione con restrizioni, indipendentemente dalla modalità scelta. Queste versioni non supportano Remote Credential Guard.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome RestrictedRemoteAdministration
Nome descrittivo Limitare la delega delle credenziali ai server remoti
Posizione Configurazione computer
Percorso Delega delle credenziali di sistema >
Nome della chiave del Registro di sistema Software\Policies\Microsoft\Windows\CredentialsDelegation
Nome del valore del registro RestrictedRemoteAdministration
Nome file ADMX CredSsp.admx

Provider del servizio di configurazione dei criteri