CSP de Política - Kerberos
Dica
Este CSP contém políticas apoiadas por ADMX que requerem um formato SyncML especial para ativar ou desativar. Tem de especificar o tipo de dados no SyncML como <Format>chr</Format>. Para obter detalhes, veja Understanding ADMX-backed policies (Compreender as políticas apoiadas pelo ADMX).
O payload do SyncML tem de ter codificação XML; para esta codificação XML, existem vários codificadores online que pode utilizar. Para evitar codificar o payload, pode utilizar o CDATA se o MDM o suportar. Para obter mais informações, veja Secções CDATA.
AllowForestSearchOrder
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1703 [10.0.15063] e posterior |
./Device/Vendor/MSFT/Policy/Config/Kerberos/AllowForestSearchOrder
Esta definição de política define a lista de florestas fidedignas que o cliente Kerberos procura ao tentar resolve nomes de principais de serviço (SPNs) de duas partes.
Se ativar esta definição de política, o cliente Kerberos pesquisa as florestas nesta lista se não conseguir resolve um SPN de duas partes. Se for encontrada uma correspondência, o cliente Kerberos solicita um pedido de referência para o domínio adequado.
Se desativar ou não configurar esta definição de política, o cliente Kerberos não procura nas florestas listadas para resolve o SPN. Se o cliente Kerberos não conseguir resolve o SPN porque o nome não foi encontrado, poderá ser utilizada a autenticação NTLM.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | Pesquisa florestal |
| Nome Amigável | Utilizar a ordem de pesquisa de floresta |
| Local | Configuração do Computador |
| Caminho | Kerberos do Sistema > |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome do Valor do Registro | UseForestSearch |
| Nome do Arquivo ADMX | Kerberos.admx |
CloudKerberosTicketRetrievalEnabled
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/Kerberos/CloudKerberosTicketRetrievalEnabled
Esta definição de política permite obter a Permissão de Concessão de Permissão kerberos Microsoft Entra durante o início de sessão.
Se desativar ou não configurar esta definição de política, a Permissão de Concessão de Permissão Microsoft Entra Kerberos não é obtida durante o início de sessão.
Se ativar esta definição de política, a Permissão de Concessão de Permissão Microsoft Entra Kerberos é obtida durante o início de sessão.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 (Padrão) | Desabilitado. |
| 1 | Enabled. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | CloudKerberosTicketRetrievalEnabled |
| Nome Amigável | Permitir a obtenção da Permissão de Concessão de Permissão kerberos Azure AD durante o início de sessão |
| Local | Configuração do Computador |
| Caminho | Kerberos do Sistema > |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome do Valor do Registro | CloudKerberosTicketRetrievalEnabled |
| Nome do Arquivo ADMX | Kerberos.admx |
KerberosClientSupportsClaimsCompoundArmor
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1703 [10.0.15063] e posterior |
./Device/Vendor/MSFT/Policy/Config/Kerberos/KerberosClientSupportsClaimsCompoundArmor
Esta definição de política controla se um dispositivo irá pedir afirmações e autenticação composta para proteção De Controle de Acesso Dinâmico e Kerberos através da autenticação Kerberos com domínios que suportam estas funcionalidades.
Se ativar esta definição de política, os computadores cliente irão pedir afirmações, fornecer informações necessárias para criar mensagens Kerberos de proteção e autenticação compostas em domínios que suportem afirmações e autenticação composta para proteção Kerberos e Controle de Acesso Dinâmicos.
Se desativar ou não configurar esta definição de política, os dispositivos cliente não pedirão afirmações, fornecerão as informações necessárias para criar mensagens Kerberos de proteção e autenticação composta. Os serviços alojados no dispositivo não conseguirão obter afirmações para clientes que utilizem a transição do protocolo Kerberos.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | EnableCbacAndArmor |
| Nome Amigável | Suporte de cliente Kerberos para afirmações, autenticação composta e proteção Kerberos |
| Local | Configuração do Computador |
| Caminho | Kerberos do Sistema > |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome do Valor do Registro | EnableCbacAndArmor |
| Nome do Arquivo ADMX | Kerberos.admx |
PKInitHashAlgorithmConfiguration
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 11, versão 22H2 [10.0.22621] e posterior |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
Esta definição de política controla os algoritmos hash ou soma de verificação utilizados pelo cliente Kerberos ao efetuar a autenticação de certificados.
Se ativar esta política, poderá configurar um de quatro estados para cada algoritmo:
"Predefinição" define o algoritmo para o estado recomendado.
"Suportado" permite a utilização do algoritmo. Ativar algoritmos que tenham sido desativados por predefinição pode reduzir a sua segurança.
"Auditado" permite a utilização do algoritmo e comunica um evento (ID 206) sempre que é utilizado. Este estado destina-se a verificar se o algoritmo não está a ser utilizado e pode ser desativado em segurança.
"Não Suportado" desativa a utilização do algoritmo. Este estado destina-se a algoritmos considerados inseguros.
Se desativar ou não configurar esta política, cada algoritmo assumirá o estado "Predefinido".
Eventos gerados por esta configuração: 205, 206, 207, 208.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 (Padrão) | Desativado/Não Configurado. |
| 1 | Enabled. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | PKInitHashAlgorithmConfiguration |
| Nome Amigável | Configurar algoritmos hash para o início de sessão do certificado |
| Local | Configuração do Computador |
| Caminho | Kerberos do Sistema > |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome do Valor do Registro | PKInitHashAlgorithmConfigurationEnabled |
| Nome do Arquivo ADMX | Kerberos.admx |
PKInitHashAlgorithmSHA1
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 11, versão 22H2 [10.0.22621] e posterior |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA1
Esta definição de política controla a configuração do algoritmo SHA1 utilizado pelo cliente Kerberos ao efetuar a autenticação de certificados. Esta política só é imposta se Kerberos/PKInitHashAlgorithmConfiguration estiver ativada. Pode configurar um de quatro estados para este algoritmo:
- 0 - Não Suportado: este estado desativa a utilização do algoritmo. Este estado destina-se a algoritmos considerados inseguros.
- 1 - Predefinição: este estado define o algoritmo para o estado recomendado.
- 2 - Auditado: este estado permite a utilização do algoritmo e comunica um evento (ID 206) sempre que é utilizado. Este estado destina-se a verificar se o algoritmo não está a ser utilizado e pode ser desativado em segurança.
- 3 - Suportado: este estado permite a utilização do algoritmo. Ativar algoritmos que tenham sido desativados por predefinição pode reduzir a sua segurança.
Se não configurar esta política, o algoritmo SHA1 assumirá o estado Predefinido .
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
| Dependência [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | Tipo de Dependência: DependsOn URI de Dependência: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration Valor Permitido da Dependência: [1] Tipo de Valor Permitido de Dependência: Range |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 | Não suportado. |
| 1 (Predefinição) | Predefinição. |
| 2 | Auditado. |
| 3 | Com suporte. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | PKInitHashAlgorithmConfiguration |
| Nome Amigável | Configurar algoritmos hash para o início de sessão do certificado |
| Local | Configuração do Computador |
| Caminho | Kerberos do Sistema > |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome do Valor do Registro | PKInitHashAlgorithmConfigurationEnabled |
| Nome do Arquivo ADMX | Kerberos.admx |
PKInitHashAlgorithmSHA256
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 11, versão 22H2 [10.0.22621] e posterior |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA256
Esta definição de política controla a configuração do algoritmo SHA256 utilizado pelo cliente Kerberos ao efetuar a autenticação de certificados. Esta política só é imposta se Kerberos/PKInitHashAlgorithmConfiguration estiver ativada. Pode configurar um de quatro estados para este algoritmo:
- 0 - Não Suportado: este estado desativa a utilização do algoritmo. Este estado destina-se a algoritmos considerados inseguros.
- 1 - Predefinição: este estado define o algoritmo para o estado recomendado.
- 2 - Auditado: este estado permite a utilização do algoritmo e comunica um evento (ID 206) sempre que é utilizado. Este estado destina-se a verificar se o algoritmo não está a ser utilizado e pode ser desativado em segurança.
- 3 - Suportado: este estado permite a utilização do algoritmo. Ativar algoritmos que tenham sido desativados por predefinição pode reduzir a sua segurança.
Se não configurar esta política, o algoritmo SHA256 assumirá o estado Predefinido .
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
| Dependência [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | Tipo de Dependência: DependsOn URI de Dependência: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration Valor Permitido da Dependência: [1] Tipo de Valor Permitido de Dependência: Range |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 | Não suportado. |
| 1 (Predefinição) | Predefinição. |
| 2 | Auditado. |
| 3 | Com suporte. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | PKInitHashAlgorithmConfiguration |
| Nome Amigável | Configurar algoritmos hash para o início de sessão do certificado |
| Local | Configuração do Computador |
| Caminho | Kerberos do Sistema > |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome do Valor do Registro | PKInitHashAlgorithmConfigurationEnabled |
| Nome do Arquivo ADMX | Kerberos.admx |
PKInitHashAlgorithmSHA384
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 11, versão 22H2 [10.0.22621] e posterior |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA384
Esta definição de política controla a configuração do algoritmo SHA384 utilizado pelo cliente Kerberos ao efetuar a autenticação de certificados. Esta política só é imposta se Kerberos/PKInitHashAlgorithmConfiguration estiver ativada. Pode configurar um de quatro estados para este algoritmo:
- 0 - Não Suportado: este estado desativa a utilização do algoritmo. Este estado destina-se a algoritmos considerados inseguros.
- 1 - Predefinição: este estado define o algoritmo para o estado recomendado.
- 2 - Auditado: este estado permite a utilização do algoritmo e comunica um evento (ID 206) sempre que é utilizado. Este estado destina-se a verificar se o algoritmo não está a ser utilizado e pode ser desativado em segurança.
- 3 - Suportado: este estado permite a utilização do algoritmo. Ativar algoritmos que tenham sido desativados por predefinição pode reduzir a sua segurança.
Se não configurar esta política, o algoritmo SHA384 assumirá o estado Predefinido .
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
| Dependência [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | Tipo de Dependência: DependsOn URI de Dependência: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration Valor Permitido da Dependência: [1] Tipo de Valor Permitido de Dependência: Range |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 | Não suportado. |
| 1 (Predefinição) | Predefinição. |
| 2 | Auditado. |
| 3 | Com suporte. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | PKInitHashAlgorithmConfiguration |
| Nome Amigável | Configurar algoritmos hash para o início de sessão do certificado |
| Local | Configuração do Computador |
| Caminho | Kerberos do Sistema > |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome do Valor do Registro | PKInitHashAlgorithmConfigurationEnabled |
| Nome do Arquivo ADMX | Kerberos.admx |
PKInitHashAlgorithmSHA512
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 11, versão 22H2 [10.0.22621] e posterior |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA512
Esta definição de política controla a configuração do algoritmo SHA512 utilizado pelo cliente Kerberos ao efetuar a autenticação de certificados. Esta política só é imposta se Kerberos/PKInitHashAlgorithmConfiguration estiver ativada. Pode configurar um de quatro estados para este algoritmo:
- 0 - Não Suportado: este estado desativa a utilização do algoritmo. Este estado destina-se a algoritmos considerados inseguros.
- 1 - Predefinição: este estado define o algoritmo para o estado recomendado.
- 2 - Auditado: este estado permite a utilização do algoritmo e comunica um evento (ID 206) sempre que é utilizado. Este estado destina-se a verificar se o algoritmo não está a ser utilizado e pode ser desativado em segurança.
- 3 - Suportado: este estado permite a utilização do algoritmo. Ativar algoritmos que tenham sido desativados por predefinição pode reduzir a sua segurança.
Se não configurar esta política, o algoritmo SHA512 assumirá o estado Predefinido .
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
| Dependência [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | Tipo de Dependência: DependsOn URI de Dependência: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration Valor Permitido da Dependência: [1] Tipo de Valor Permitido de Dependência: Range |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 | Não suportado. |
| 1 (Predefinição) | Predefinição. |
| 2 | Auditado. |
| 3 | Com suporte. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | PKInitHashAlgorithmConfiguration |
| Nome Amigável | Configurar algoritmos hash para o início de sessão do certificado |
| Local | Configuração do Computador |
| Caminho | Kerberos do Sistema > |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome do Valor do Registro | PKInitHashAlgorithmConfigurationEnabled |
| Nome do Arquivo ADMX | Kerberos.admx |
RequireKerberosArmoring
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1703 [10.0.15063] e posterior |
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireKerberosArmoring
Esta definição de política controla se um computador requer que as trocas de mensagens Kerberos sejam blindadas ao comunicar com um controlador de domínio.
Aviso
Quando um domínio não suporta proteção Kerberos ao ativar "Suporte de proteção De Controle de Acesso Dinâmico e Kerberos", toda a autenticação para todos os utilizadores falhará nos computadores com esta definição de política ativada.
- Se ativar esta definição de política, os computadores cliente no domínio impõem a utilização de proteção Kerberos apenas em trocas de mensagens do serviço de autenticação (AS) e do serviço de concessão de permissões (TGS) com os controladores de domínio.
Observação
O Kerberos Política de Grupo "Suporte de cliente Kerberos para afirmações, autenticação composta e proteção Kerberos" também tem de estar ativado para suportar a proteção Kerberos.
- Se desativar ou não configurar esta definição de política, os computadores cliente no domínio impõem a utilização de proteção Kerberos sempre que possível, conforme suportado pelo domínio de destino.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | ClientRequireFast |
| Nome Amigável | Pedidos de autenticação pós-falha quando a proteção Kerberos não está disponível |
| Local | Configuração do Computador |
| Caminho | Kerberos do Sistema > |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome do Valor do Registro | ExigirRápida |
| Nome do Arquivo ADMX | Kerberos.admx |
RequireStrictKDCValidation
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1703 [10.0.15063] e posterior |
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireStrictKDCValidation
Esta definição de política controla o comportamento do cliente Kerberos na validação do certificado KDC para início de sessão de certificados de sistema e card inteligentes.
Se ativar esta definição de política, o cliente Kerberos requer que o certificado X.509 do KDC contenha o identificador de objeto de finalidade da chave KDC nas extensões de Utilização Alargada de Chaves (EKU) e que o certificado X.509 do KDC contenha uma extensão dNSName subjectAltName (SAN) que corresponda ao nome DNS do domínio. Se o computador estiver associado a um domínio, o cliente Kerberos requer que o certificado X.509 do KDC tenha de ser assinado por uma Autoridade de Certificação (AC) no arquivo NTAuth. Se o computador não estiver associado a um domínio, o cliente Kerberos permite que o certificado de AC de raiz no card inteligente seja utilizado na validação do caminho do certificado X.509 do KDC.
Se desativar ou não configurar esta definição de política, o cliente Kerberos requer apenas que o certificado KDC contenha o identificador de objeto fins de Autenticação do Servidor nas extensões de EKU que podem ser emitidas para qualquer servidor.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | ValidateKDC |
| Nome Amigável | Exigir validação KDC rigorosa |
| Local | Configuração do Computador |
| Caminho | Kerberos do Sistema > |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome do Valor do Registro | KdcValidation |
| Nome do Arquivo ADMX | Kerberos.admx |
SetMaximumContextTokenSize
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1703 [10.0.15063] e posterior |
./Device/Vendor/MSFT/Policy/Config/Kerberos/SetMaximumContextTokenSize
Esta definição de política permite-lhe definir o valor devolvido às aplicações que pedem o tamanho máximo do tamanho da memória intermédia do token de contexto SSPI.
O tamanho da memória intermédia do token de contexto determina o tamanho máximo dos tokens de contexto SSPI que uma aplicação espera e aloca. Consoante o processamento de pedidos de autenticação e as associações a grupos, a memória intermédia pode ser inferior ao tamanho real do token de contexto SSPI.
Se ativar esta definição de política, o cliente ou servidor Kerberos utiliza o valor configurado ou o valor máximo permitido localmente, o que for menor.
Se desativar ou não configurar esta definição de política, o cliente ou servidor Kerberos utiliza o valor configurado localmente ou o valor predefinido.
Observação
Esta definição de política configura o valor de registo MaxTokenSize existente no HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters, que foi adicionado no Windows XP e Windows Server 2003, com um valor predefinido de 12 000 bytes. A partir de Windows 8 a predefinição é de 48 000 bytes. Devido à codificação base64 de http de tokens de contexto de autenticação, não é aconselhável definir este valor com mais de 48 000 bytes.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | MaxTokenSize |
| Nome Amigável | Definir o tamanho máximo da memória intermédia do token de contexto SSPI kerberos |
| Local | Configuração do Computador |
| Caminho | Kerberos do Sistema > |
| Nome da Chave do Registro | System\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
| Nome do Valor do Registro | EnableMaxTokenSize |
| Nome do Arquivo ADMX | Kerberos.admx |
UPNNameHints
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1809 [10.0.17763] e posterior |
./Device/Vendor/MSFT/Policy/Config/Kerberos/UPNNameHints
Os dispositivos associados a Microsoft Entra ID num ambiente híbrido precisam de interagir com controladores Domínio do Active Directory, mas não têm a capacidade incorporada de encontrar um Controlador de Domínio que tenha um dispositivo associado a um domínio. Isto pode causar falhas quando um dispositivo deste tipo precisa de resolve um UPN Microsoft Entra num Principal do Active Directory. Este parâmetro adiciona uma lista de domínios que um Microsoft Entra dispositivo associado deve tentar contactar se, de outra forma, não conseguir resolve um UPN a um principal.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |