Provider di servizi di configurazione dei criteri - ADMX_sam
Suggerimento
Questo provider di servizi di configurazione contiene criteri supportati da ADMX che richiedono un formato SyncML speciale per l'abilitazione o la disabilitazione. È necessario specificare il tipo di dati in SyncML come <Format>chr</Format>. Per informazioni dettagliate, vedere Informazioni sui criteri supportati da ADMX.
Il payload di SyncML deve essere codificato in XML; per questa codifica XML, è possibile usare un'ampia gamma di codificatori online. Per evitare la codifica del payload, è possibile usare CDATA se MDM lo supporta. Per altre informazioni, vedere Sezioni di CDATA.
SamNGCKeyROCAValidation
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive ✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive ✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive ✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_sam/SamNGCKeyROCAValidation
Questa impostazione di criterio consente di configurare il modo in cui i controller di dominio gestiscono le chiavi di Windows Hello for Business (WHfB) vulnerabili alla vulnerabilità "Ritorno dell'attacco di Coppersmith" (ROCA).
Per altre informazioni sulla vulnerabilità ROCA, vedere:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15361
https://en.wikipedia.org/wiki/ROCA_vulnerability
Se si abilita questa impostazione di criterio, sono supportate le opzioni seguenti:
Ignora: durante l'autenticazione il controller di dominio non eseguirà il probe delle chiavi WHfB per la vulnerabilità ROCA.
Controllo: durante l'autenticazione il controller di dominio genererà eventi di controllo per le chiavi WHfB soggette alla vulnerabilità ROCA (le autenticazioni continueranno ad avere esito positivo).
Blocca: durante l'autenticazione il controller di dominio bloccherà l'uso di chiavi WHfB soggette alla vulnerabilità ROCA (le autenticazioni avranno esito negativo).
Questa impostazione ha effetto solo sui controller di dominio.
Se non è configurato, i controller di dominio useranno per impostazione predefinita la configurazione locale. La configurazione locale predefinita è Audit.
Non è necessario un riavvio per rendere effettive le modifiche a questa impostazione.
Si noti che per evitare interruzioni impreviste questa impostazione non deve essere impostata su Blocca fino a quando non sono state eseguite mitigazioni appropriate, ad esempio l'applicazione di patch ai TPM vulnerabili.
Altre informazioni sono disponibili all'indirizzo<https://go.microsoft.com/fwlink/?linkid=2116430>.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | SamNGCKeyROCAValidation |
| Nome descrittivo | Configurare la convalida delle chiavi WHfB vulnerabili a ROCA durante l'autenticazione |
| Posizione | Configurazione computer |
| Percorso | System > Security Account Manager |
| Nome della chiave del Registro di sistema | Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM |
| Nome file ADMX | sam.admx |