ポリシー CSP - ADMX_sam
ヒント
この CSP には、有効または無効にするための特別な SyncML 形式が必要な ADMX に基づくポリシーが含まれています。 SyncML でデータ型を <Format>chr</Format>として指定する必要があります。 詳細については、「 ADMX でサポートされるポリシーについて」を参照してください。
SyncML のペイロードは XML エンコードされている必要があります。この XML エンコードには、さまざまなオンライン エンコーダーを使用できます。 ペイロードのエンコードを回避するために、MDM でサポートされている場合は CDATA を使用できます。 詳細については、「 CDATA セクション」を参照してください。
SamNGCKeyROCAValidation
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降 ✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降 ✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降 ✅ Windows 11 バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_sam/SamNGCKeyROCAValidation
このポリシー設定を使用すると、ドメイン コントローラーが Windows Hello for Business (WHfB) キーを処理する方法を構成できます。このキーは、"Coppersmith の攻撃のリターン" (ROCA) の脆弱性に対して脆弱です。
ROCA の脆弱性の詳細については、次を参照してください。
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15361
https://en.wikipedia.org/wiki/ROCA_vulnerability
このポリシー設定を有効にすると、次のオプションがサポートされます。
無視: 認証中、ドメイン コントローラーは ROCA の脆弱性に対して WHfB キーをプローブしません。
監査: 認証中に、ドメイン コントローラーは ROCA の脆弱性の影響を受ける WHfB キーの監査イベントを出力します (認証は引き続き成功します)。
ブロック: 認証中、ドメイン コントローラーは ROCA の脆弱性の影響を受ける WHfB キーの使用をブロックします (認証は失敗します)。
この設定は、ドメイン コントローラーでのみ有効になります。
構成されていない場合、ドメイン コントローラーは既定でローカル構成を使用します。 既定のローカル構成は Audit です。
この設定を変更して有効にするには、再起動は必要ありません。
予期しない中断を回避するために、脆弱な TPM の修正プログラムの適用など、適切な軽減策が実行されるまで、この設定を [ブロック] に設定しないでください。
詳細については、「<https://go.microsoft.com/fwlink/?linkid=2116430>」を参照してください。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | SamNGCKeyROCAValidation |
| フレンドリ名 | 認証中に ROCA で脆弱な WHfB キーの検証を構成する |
| 場所 | [コンピューターの構成] |
| パス | System > Security Account Manager |
| レジストリ キー名 | Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM |
| ADMX ファイル名 | sam.admx |