Partilhar via


Configurações do Registro e política de grupo do cartão inteligente

Este artigo para profissionais de TI e desenvolvedores de cartão inteligentes descreve as configurações de Política de Grupo, configurações de chave de registro, configurações de política de segurança local e configurações de política de delegação de credenciais disponíveis para configurar cartões inteligentes.

As seções e tabelas a seguir listam as configurações de Política de Grupo relacionadas ao cartão inteligente e as chaves de registro que podem ser definidas por computador. Se você usar GPOs (objetos de domínio Política de Grupo), poderá editar e aplicar Política de Grupo configurações a computadores locais ou de domínio.

Configurações de Política de Grupo primárias para cartões inteligentes

As seguintes configurações de cartão Política de Grupo inteligentes estão em Configuração do Computador\Modelos Administrativos\Componentes do Windows\Cartão Inteligente.

As chaves do registro estão nos seguintes locais:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ScPnP\EnableScPnP
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CertProp

Observação

As informações do registro do leitor de cartão inteligente estão no HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Calais\Readers.
As informações do registro de cartão inteligente estão em HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Calais\SmartCards.

A tabela a seguir lista os valores padrão para essas configurações de GPO. As variações são documentadas nas descrições da política neste artigo.

Tipo de servidor ou GPO Valor padrão
Política de Domínio Padrão Não configurado
Política padrão do controlador de domínio Não configurado
configurações padrão do servidor Stand-Alone Não configurado
Configurações padrão efetivas do controlador de domínio Desabilitado
Configurações padrão efetivas do servidor membro Desabilitado
Configurações padrão efetivas do computador cliente Desabilitado

Permitir certificados sem atributo de certificado de uso de chave estendida

Você pode usar essa configuração de política para permitir certificados sem um EKU (uso de chave estendida) definido para ser usado para entrada.

Observação

O atributo de certificado de uso de chave estendida também é conhecido como uso de chave estendida.

Em versões do Windows antes do Windows Vista, certificados de cartão inteligentes usados para entrar exigem uma extensão EKU com um identificador de objeto logon cartão inteligente. Essa configuração de política pode ser usada para modificar essa restrição.

Quando essa configuração de política é ativada, certificados com os seguintes atributos também podem ser usados para entrar com uma cartão inteligente:

  • Certificados sem EKU
  • Certificados com um EKU de todos os fins
  • Certificados com um EKU de Autenticação do Cliente

Quando essa configuração de política não estiver ativada, somente certificados que contêm o identificador de objeto de logon cartão inteligente podem ser usados para entrar com uma cartão inteligente.

Item Descrição
Chave do Registro AllowCertificatesWithNoEKU
Valores padrão Sem alterações por versões do sistema operacional
Desabilitados e não configurados são equivalentes
Gerenciamento de políticas Requisito de reinicialização: nenhum
Requisito de aprovação: Nenhum
Conflitos de política: nenhum

Permitir que certificados ECC sejam usados para logon e autenticação

Você pode usar essa configuração de política para controlar se certificados ECC (criptografia de curva elíptica) em um cartão inteligente podem ser usados para entrar em um domínio.

Quando essa configuração é ativada, os certificados ECC em um cartão inteligente podem ser usados para entrar em um domínio.

Quando essa configuração não está ativada, os certificados ECC em um cartão inteligente não podem ser usados para entrar em um domínio.

Item Descrição
Chave do Registro EnumerateECCCerts
Valores padrão Sem alterações por versões do sistema operacional
Desabilitados e não configurados são equivalentes
Gerenciamento de políticas Requisito de reinicialização: nenhum
Requisito de aprovação: Nenhum
Conflitos de política: nenhum
Notas e recursos Essa configuração de política afeta apenas a capacidade do usuário de entrar em um domínio. Certificados ECC em um cartão inteligente que são usados para outros aplicativos, como assinatura de documento, não são afetados por essa configuração de política.
Se você usar uma chave ECDSA para entrar, também deve ter uma chave ECDH associada para permitir a entrada quando não estiver conectado à rede.

Permitir que a tela Desbloqueio Integrado seja exibida no momento do logon

Você pode usar essa configuração de política para determinar se o recurso de desbloqueio integrado está disponível na interface do usuário (interface do usuário de entrada). O recurso foi introduzido como um recurso padrão no Provedor de Suporte à Segurança de Credencial no Windows Vista.

Quando essa configuração é ativada, o recurso de desbloqueio integrado está disponível.

Quando essa configuração não está ativada, o recurso não está disponível.

Item Descrição
Chave do Registro AllowIntegratedUnblock
Valores padrão Sem alterações por versões do sistema operacional
Desabilitados e não configurados são equivalentes
Gerenciamento de políticas Requisito de reinicialização: nenhum
Requisito de aprovação: Nenhum
Conflitos de política: nenhum
Notas e recursos Para usar o recurso de desbloqueio integrado, o cartão inteligente deve dar suporte a ele. Verifique com o fabricante de hardware para verificar se o cartão inteligente dá suporte a esse recurso.
Você pode criar uma mensagem personalizada que o usuário vê quando o cartão inteligente é bloqueado configurando a configuração de política Exibir cadeia de caracteres quando o cartão inteligente é bloqueado.

Permitir chaves de assinatura válidas para Logon

Você pode usar essa configuração de política para permitir que certificados baseados em chave de assinatura sejam enumerados e disponíveis para entrada.

Quando essa configuração é ativada, todos os certificados disponíveis no cartão inteligente com uma chave somente assinatura são listados na tela de entrada.

Quando essa configuração não está ativada, os certificados disponíveis no cartão inteligente com uma chave somente assinatura não são listados na tela de entrada.

Item Descrição
Chave do Registro AllowSignatureOnlyKeys
Valores padrão Sem alterações por versões do sistema operacional
Desabilitados e não configurados são equivalentes
Gerenciamento de políticas Requisito de reinicialização: nenhum
Requisito de aprovação: Nenhum
Conflitos de política: nenhum

Permitir certificados inválidos de tempo

Você pode usar essa configuração de política para permitir certificados expirados ou ainda não válidos para serem exibidos para entrada.

Observação

Antes do Windows Vista, os certificados eram necessários para conter uma hora válida e não expirar. Para que um certificado seja usado, ele deve ser aceito pelo controlador de domínio. Essa configuração de política controla apenas quais certificados são exibidos no computador cliente.

Quando essa configuração é ativada, os certificados são listados na tela de entrada se eles têm um tempo inválido ou sua validade de tempo expirou.

Quando essa configuração de política não está ativada, os certificados expirados ou ainda não válidos não são listados na tela de entrada.

Item Descrição
Chave do Registro AllowTimeInvalidCertificates
Valores padrão Sem alterações por versões do sistema operacional
Desabilitados e não configurados são equivalentes
Gerenciamento de políticas Requisito de reinicialização: nenhum
Requisito de aprovação: Nenhum
Conflitos de política: nenhum

Permitir dica de nome de usuário

Você pode usar essa configuração de política para determinar se um campo opcional aparece durante a entrada e fornece um processo de elevação subsequente em que os usuários podem inserir seu nome de usuário ou nome de usuário e domínio, que associa um certificado ao usuário.

Quando essa configuração de política é ativada, os usuários veem um campo opcional em que podem inserir seu nome de usuário ou nome de usuário e domínio.

Quando essa configuração de política não está ativada, os usuários não veem esse campo opcional.

Item Descrição
Chave do Registro X509HintsNeeded
Valores padrão Sem alterações por versões do sistema operacional
Desabilitados e não configurados são equivalentes
Gerenciamento de políticas Requisito de reinicialização: nenhum
Requisito de aprovação: Nenhum
Conflitos de política: nenhum

Configurar limpo de certificado raiz

Você pode usar essa configuração de política para gerenciar o comportamento de limpeza de certificados raiz. Os certificados são verificados usando uma cadeia de confiança e a âncora de confiança para o certificado digital é a Autoridade de Certificação Raiz (AC). Uma AC pode emitir vários certificados com o certificado raiz como o certificado superior da estrutura da árvore. Uma chave privada é usada para assinar outros certificados. Isso cria uma confiabilidade herdada para todos os certificados imediatamente no certificado raiz.

Quando essa configuração de política estiver ativada, você poderá definir as seguintes opções de limpeza:

  • Sem limpeza. Quando o usuário sai ou remove o cartão inteligente, os certificados raiz usados durante a sessão persistem no computador.
  • Limpe certificados na remoção de cartão inteligente. Quando o cartão inteligente é removido, os certificados raiz são removidos.
  • Limpe certificados no log off. Quando o usuário sai do Windows, os certificados raiz são removidos.

Quando essa configuração de política não está ativada, os certificados raiz são removidos automaticamente quando o usuário sai do Windows.

Item Descrição
Chave do Registro RootCertificateCleanupOption
Valores padrão Sem alterações por versões do sistema operacional
Desabilitados e não configurados são equivalentes
Gerenciamento de políticas Requisito de reinicialização: nenhum
Requisito de aprovação: Nenhum
Conflitos de política: nenhum

Exibir cadeia de caracteres quando cartão inteligente é bloqueada

Você pode usar essa configuração de política para alterar a mensagem padrão que um usuário vê se sua cartão inteligente está bloqueada.

Quando essa configuração de política é ativada, você pode criar e gerenciar a mensagem exibida que o usuário vê quando uma cartão inteligente é bloqueada.

Quando essa configuração de política não está ativada (e o recurso de desbloqueio integrado também está habilitado), o usuário verá a mensagem padrão do sistema quando o cartão inteligente é bloqueado.

Item Descrição
Chave do Registro IntegratedUnblockPromptString
Valores padrão Sem alterações por versões do sistema operacional
Desabilitados e não configurados são equivalentes
Gerenciamento de políticas Requisito de reinicialização: nenhum
Requisito de aprovação: Nenhum
Conflitos de política: essa configuração de política só é eficaz quando a tela Permitir desbloqueio integrado a ser exibida no momento da política de logon está habilitada.

Filtrar certificados de logon duplicado

Você pode usar essa configuração de política para configurar quais certificados de entrada válidos são exibidos.

Observação

Durante o período de renovação do certificado, o cartão inteligente de um usuário pode ter vários certificados de entrada válidos emitidos do mesmo modelo de certificado, o que pode causar confusão sobre qual certificado selecionar. Esse comportamento pode ocorrer quando um certificado é renovado e o certificado antigo ainda não expirou.

Se dois certificados forem emitidos do mesmo modelo com a mesma versão principal e forem para o mesmo usuário (isso é determinado pela UPN), eles serão determinados como os mesmos.

Quando essa configuração de política é ativada, a filtragem ocorre para que o usuário possa selecionar somente os certificados válidos mais atuais.

Se essa configuração de política não estiver ativada, todos os certificados serão exibidos para o usuário.

Essa configuração de política é aplicada ao computador depois que a configuração de política permitir certificados inválidos é aplicada.

Item Descrição
Chave do Registro FilterDuplicateCerts
Valores padrão Sem alterações por versões do sistema operacional
Desabilitados e não configurados são equivalentes
Gerenciamento de políticas Requisito de reinicialização: nenhum
Requisito de aprovação: Nenhum
Conflitos de política: nenhum
Notas e recursos Se houver dois ou mais dos mesmos certificados em um cartão inteligente e essa configuração de política estiver habilitada, o certificado com o tempo de expiração mais distante será exibido.

Forçar a leitura de todos os certificados do cartão inteligente

Você pode usar essa configuração de política para gerenciar como o Windows lê todos os certificados do cartão inteligente para entrar. Durante a entrada, o Windows lê apenas o certificado padrão do cartão inteligente, a menos que dê suporte à recuperação de todos os certificados em uma única chamada. Essa configuração de política força o Windows a ler todos os certificados do cartão inteligente.

Quando essa configuração de política é ativada, o Windows tenta ler todos os certificados do cartão inteligente, independentemente do conjunto de recursos CSP.

Quando essa política não está ativada, o Windows tenta ler apenas o certificado padrão de cartões inteligentes que não dão suporte à recuperação de todos os certificados em uma única chamada. Certificados diferentes do padrão não estão disponíveis para entrada.

Item Descrição
Chave do Registro ForceReadingAllCertificates
Valores padrão Sem alterações por versões do sistema operacional
Desabilitados e não configurados são equivalentes
Gerenciamento de políticas Requisito de reinicialização: nenhum
Requisito de aprovação: Nenhum
Conflitos de política: nenhum

Importante: habilitar essa configuração de política pode afetar negativamente o desempenho durante o processo de entrada em determinadas situações.
Notas e recursos Entre em contato com o fornecedor de cartão inteligente para determinar se o cartão inteligente e o CSP associado dão suporte ao comportamento necessário.

Notificar o usuário da instalação bem-sucedida do driver de cartão inteligente

Você pode usar essa configuração de política para controlar se o usuário vê uma mensagem de confirmação quando um driver de dispositivo cartão inteligente está instalado.

Quando essa configuração de política é ativada, o usuário vê uma mensagem de confirmação quando um driver de dispositivo cartão inteligente é instalado.

Quando essa configuração não está ativada, o usuário não vê uma mensagem de instalação do driver de dispositivo cartão inteligente.

-- --
Chave do Registro ScPnPNotification
Valores padrão Sem alterações por versões do sistema operacional
Desabilitados e não configurados são equivalentes
Gerenciamento de políticas Requisito de reinicialização: nenhum
Requisito de aprovação: Nenhum
Conflitos de política: nenhum
Notas e recursos Essa configuração de política se aplica apenas a drivers de cartão inteligentes que passaram pelo processo de teste do WHQL (Laboratórios de Qualidade de Hardware do Windows).

Impedir que PINs de texto simples sejam retornados pelo Credential Manager

Você pode usar essa configuração de política para impedir que o Credential Manager retorne PINs de texto sem texto.

Observação

O Gerenciador de Credenciais é controlado pelo usuário no computador local e armazena credenciais de navegadores compatíveis e aplicativos Windows. As credenciais são salvas em pastas criptografadas especiais no computador no perfil do usuário.

Quando essa configuração de política é ativada, o Credential Manager não retorna um PIN de texto simples.

Quando essa configuração não estiver ativada, o Credential Manager poderá retornar PINs de texto sem texto.

Item Descrição
Chave do Registro DisallowPlaintextPin
Valores padrão Sem alterações por versões do sistema operacional
Desabilitados e não configurados são equivalentes
Gerenciamento de políticas Requisito de reinicialização: nenhum
Requisito de aprovação: Nenhum
Conflitos de política: nenhum
Notas e recursos Se essa configuração de política estiver habilitada, alguns cartões inteligentes poderão não funcionar em computadores que executam o Windows. Consulte o fabricante de cartão inteligente para determinar se essa configuração de política deve ser habilitada.

Inverta o nome do assunto armazenado em um certificado ao exibir

Você pode usar essa configuração de política para controlar a forma como o nome do assunto aparece durante a entrada.

Observação

Para ajudar os usuários a distinguir um certificado de outro, o nome da entidade de usuário (UPN) e o nome comum são exibidos por padrão. Por exemplo, quando essa configuração estiver habilitada, se o assunto do certificado for CN=User1, OU=Users, DN=exemplo, DN=com e o UPN for user1@example.com, User1 será exibido com user1@example.com. Se o UPN não estiver presente, todo o nome do assunto será exibido. Essa configuração controla a aparência desse nome de assunto e talvez precise ser ajustada para sua organização.

Quando essa configuração de política é ativada, o nome do assunto durante a entrada aparece invertido da maneira como é armazenado no certificado.

Quando essa configuração de política não está ativada, o nome do assunto aparece da mesma forma que é armazenado no certificado.

Item Descrição
Chave do Registro ReverseSubject
Valores padrão Sem alterações por versões do sistema operacional
Desabilitados e não configurados são equivalentes
Gerenciamento de políticas Requisito de reinicialização: nenhum
Requisito de aprovação: Nenhum
Conflitos de política: nenhum

Ativar a propagação de certificado de cartão inteligente

Você pode usar essa configuração de política para gerenciar a propagação de certificado que ocorre quando uma cartão inteligente é inserida.

Observação

O serviço de propagação de certificado se aplica quando um usuário conectado insere uma cartão inteligente em um leitor anexado ao computador. Essa ação faz com que o certificado seja lido do cartão inteligente. Em seguida, os certificados são adicionados ao repositório Pessoal do usuário.

Quando essa configuração de política é ativada, a propagação de certificado ocorre quando o usuário insere o cartão inteligente.

Quando essa configuração de política é desativada, a propagação de certificados não ocorre e os certificados não estão disponíveis para aplicativos, como o Outlook.

Item Descrição
Chave do Registro CertPropEnabled
Valores padrão Sem alterações por versões do sistema operacional
Habilitados e não configurados são equivalentes
Gerenciamento de políticas Requisito de reinicialização: nenhum
Requisito de aprovação: Nenhum
Conflitos de política: essa configuração de política deve ser habilitada para permitir que a propagação de certificado raiz Ativar da configuração de cartão inteligente funcione quando ela estiver habilitada.

Ativar a propagação de certificado raiz de cartão inteligentes

Você pode usar essa configuração de política para gerenciar a propagação de certificado raiz que ocorre quando uma cartão inteligente é inserida.

Observação

O serviço de propagação de certificado se aplica quando um usuário conectado insere uma cartão inteligente em um leitor anexado ao computador. Essa ação faz com que o certificado seja lido do cartão inteligente. Em seguida, os certificados são adicionados ao repositório Pessoal do usuário.

Quando essa configuração de política é ativada, a propagação de certificado raiz ocorre quando o usuário insere o cartão inteligente.

Quando essa configuração de política não está ativada, a propagação de certificado raiz não ocorre quando o usuário insere a cartão inteligente.

Item Descrição
Chave do Registro EnableRootCertificate Propagation
Valores padrão Sem alterações por versões do sistema operacional
Habilitados e não configurados são equivalentes
Gerenciamento de políticas Requisito de reinicialização: nenhum
Requisito de aprovação: Nenhum
Conflitos de política: para que essa configuração de política funcione, a propagação de certificado Ativar da configuração de política de cartão inteligente também deve estar habilitada.
Notas e recursos

Ativar o serviço de Plug and Play de Cartão Inteligente

Você pode usar essa configuração de política para controlar se o smart card Plug and Play está habilitado.

Observação

Seus usuários podem usar cartões inteligentes de fornecedores que publicaram seus drivers por meio de Windows Update sem precisar de middleware especial. Esses drivers serão baixados da mesma forma que drivers para outros dispositivos no Windows. Se um driver apropriado não estiver disponível de Windows Update, um mini driver compatível com PIV incluído em qualquer uma das versões com suporte do Windows será usado para esses cartões.

Quando essa configuração de política é ativada, o sistema tenta instalar um driver de dispositivo cartão inteligente na primeira vez que uma cartão inteligente é inserida em um leitor de cartão inteligente.

Quando essa configuração de política não está ativada, um driver de dispositivo não é instalado quando uma cartão inteligente é inserida em um leitor de cartão inteligente.

Item Descrição
Chave do Registro EnableScPnP
Valores padrão Sem alterações por versões do sistema operacional
Habilitados e não configurados são equivalentes
Gerenciamento de políticas Requisito de reinicialização: nenhum
Requisito de aprovação: Nenhum
Conflitos de política: nenhum
Notas e recursos Essa configuração de política se aplica apenas a drivers de cartão inteligentes que passaram pelo processo de teste do WHQL (Laboratórios de Qualidade de Hardware do Windows).

Chaves de registro KSP de CSP e Smart Card base

As chaves de registro a seguir podem ser configuradas para o CSP (provedor de serviços de criptografia base) e o KSP (provedor de armazenamento de chaves) cartão inteligente. As tabelas a seguir listam as chaves. Todas as chaves usam o tipo DWORD.

As chaves do registro do CSP base estão no registro em HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Base Smart Card Crypto Provider.

As chaves do registro do cartão inteligente KSP estão em HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Cryptography\Providers\Microsoft Smart Card Key Storage Provider.

Chaves de registro para o CSP base e o cartão inteligente KSP

Chave do Registro Descrição
AllowPrivateExchangeKeyImport Um valor não zero permite que chaves privadas de troca RSA (por exemplo, criptografia) sejam importadas para uso em cenários de arquivo chave.
Valor padrão: 00000000
AllowPrivateSignatureKeyImport Um valor não zero permite que chaves privadas de assinatura RSA sejam importadas para uso em cenários de arquivo chave.
Valor padrão: 00000000
DefaultPrivateKeyLenBits Define o comprimento padrão para chaves privadas, se desejado.
Valor padrão: 00000400
Parâmetro de geração de chave padrão: chaves de 1024 bits
RequireOnCardPrivateKeyGen Essa chave define o sinalizador que requer cartão geração de chave privada (padrão). Se esse valor for definido, uma chave gerada em um host poderá ser importada para o cartão inteligente. Isso é usado para cartões inteligentes que não dão suporte à geração de chaves cartão ou onde o armazenamento de chaves é necessário.
Valor padrão: 00000000
TransactionTimeoutMilliseconds Os valores de tempo limite padrão permitem especificar se as transações que levam um tempo excessivo falharão.
Valor padrão: 000005dc
O tempo limite padrão para manter transações no cartão inteligente é de 1,5 segundos.

Chaves de registro adicionais para o cartão inteligente KSP:

Chave do Registro Descrição
AllowPrivateECDHEKeyImport Esse valor permite que chaves privadas da ECDHE (Curva Efêmera Diffie-Hellman elíptica) sejam importadas para uso em cenários principais de arquivamento.
Valor padrão: 00000000
AllowPrivateECDSAKeyImport Esse valor permite que chaves privadas do ECDSA (Algoritmo de Assinatura Digital da Curva Elíptica) sejam importadas para uso em cenários de arquivo chave.
Valor padrão: 00000000

CrL verificando chaves do registro

A tabela a seguir lista as chaves e os valores correspondentes para desativar a verificação da CRL (lista de revogação de certificado) no KDC (Centro de Distribuição de Chaves) ou no cliente. Para gerenciar a verificação de CRL, você deve configurar configurações para o KDC e o cliente.

Chave do Registro Detalhes
HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Kdc\UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors Tipo = DWORD
Valor = 1
HKEY_LOCAL_MACHINE\SYSTEM\CCS\Control\LSA\Kerberos\Parameters\UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors Tipo = DWORD
Valor = 1

Configurações de cartão Política de Grupo inteligentes adicionais e chaves de registro

Em uma implantação de cartão inteligente, configurações de Política de Grupo adicionais podem ser usadas para aprimorar a facilidade de uso ou a segurança. Duas dessas configurações de política que podem complementar uma implantação de cartão inteligente são:

  • Desativar delegação para computadores
  • Logon interativo: não requer CTRL+ALT+DEL (não recomendado)

As seguintes configurações de Política de Grupo relacionadas a cartão inteligentes estão em Configurações do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança.

Configurações de política de segurança local

Política de Grupo configuração e chave do registro Padrão Descrição
Logon interativo: Exigir um cartão inteligente

scforceoption
Desabilitado Essa configuração de política de segurança exige que os usuários entrem em um computador usando uma cartão inteligente.

Habilitado Os usuários só podem entrar no computador usando uma cartão inteligente.
Desativado Os usuários podem entrar no computador usando qualquer método.

OBSERVAÇÃO: a conta local gerenciada pelo Windows LAPS é isenta dessa política quando habilitada.
Logon interativo: Comportamento de remoção de cartão inteligente

scremoveoption
Essa configuração de política não está definida, o que significa que o sistema a trata como Nenhuma Ação. Essa configuração determina o que acontece quando o cartão inteligente de um usuário conectado é removido do leitor de cartão inteligente. As opções são:
Nenhuma ação
Lock Workstation: a estação de trabalho é bloqueada quando o cartão inteligente é removido, para que os usuários possam sair da área, levar suas cartão inteligentes com eles e ainda manter uma sessão protegida.
Forçar Logoff: o usuário é conectado automaticamente quando o cartão inteligente é removido.
Desconecte se uma sessão dos Serviços de Área de Trabalho Remota: a remoção do cartão inteligente desconecta a sessão sem a assinatura do usuário. O usuário pode reinserir o cartão inteligente e retomar a sessão mais tarde ou em outro computador equipado com um leitor de cartão inteligente, sem precisar entrar novamente. Se a sessão for local, essa configuração de política funcionará de forma idêntica à opção Bloquear Estação de Trabalho .

No Editor de Política de Segurança Local (secpol.msc), você pode editar e aplicar políticas de sistema para gerenciar a delegação de credencial para computadores locais ou de domínio.

As seguintes configurações de Política de Grupo relacionadas a cartão inteligentes estão em Configuração do Computador\Modelos Administrativos\Delegação system\Credentials.

As chaves do registro estão em HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Credssp\PolicyDefaults.

Observação

Na tabela a seguir, novas credenciais são aquelas para as quais você é solicitado ao executar um aplicativo.

Configurações de política de delegação de credencial

Política de Grupo configuração e chave do registro Padrão Descrição
Permitir delegar novas credenciais

AllowFreshCredentials
Não configurado Essa configuração de política se aplica:
Quando a autenticação do servidor foi obtida por meio de um certificado X509 confiável ou protocolo Kerberos.
Para aplicativos que usam o componente CredSSP (por exemplo, Serviços de Área de Trabalho Remota).

Habilitado: você pode especificar os servidores em que as novas credenciais do usuário podem ser delegadas.
Não configurado: após a autenticação mútua adequada, a delegação de novas credenciais é permitida aos Serviços de Área de Trabalho Remota em execução em qualquer computador.
Desabilitado: a delegação de novas credenciais para qualquer computador não é permitida.

Observação: essa configuração de política pode ser definida como um ou mais nomes de entidade de serviço (SPNs). O SPN representa o servidor de destino em que as credenciais do usuário podem ser delegadas. Um único caractere curinga é permitido ao especificar o SPN, por exemplo:
Use *TERMSRV/** para Host de Sessão da Área de Trabalho Remota (Host de Sessão RD) em execução em qualquer computador.
Use TERMSRV/host.humanresources.fabrikam.com para o Host de Sessão RD em execução no computador host.humanresources.fabrikam.com.
Use TERMSRV/*.humanresources.fabrikam.com para o Host de Sessão RD em execução em todos os computadores no .humanresources.fabrikam.com
Permitir delegar novas credenciais com autenticação de servidor somente NTLM

AllowFreshCredentialsWhenNTLMOnly
Não configurado Essa configuração de política se aplica:
Quando a autenticação do servidor foi obtida usando o NTLM.
Para aplicativos que usam o componente CredSSP (por exemplo, Área de Trabalho Remota).

Habilitado: você pode especificar os servidores em que as novas credenciais do usuário podem ser delegadas.
Não configurado: após a autenticação mútua adequada, a delegação de novas credenciais é permitida para o Host de Sessão RD em execução em qualquer computador (TERMSRV/*).
Desabilitado: a delegação de novas credenciais não é permitida a nenhum computador.

Observação: essa configuração de política pode ser definida como um ou mais SPNs. O SPN representa o servidor de destino em que as credenciais do usuário podem ser delegadas. Um único caractere curinga (*) é permitido ao especificar o SPN.
Consulte a descrição de configuração de política Permitir Delegar Novas Credenciais para obter exemplos.
Negar delegar novas credenciais

DenyFreshCredentials
Não configurado Essa configuração de política se aplica a aplicativos que usam o componente CredSSP (por exemplo, Área de Trabalho Remota).

Habilitado: você pode especificar os servidores em que as novas credenciais do usuário não podem ser delegadas.
Desabilitado ou não configurado: um servidor não é especificado.

Observação: essa configuração de política pode ser definida como um ou mais SPNs. O SPN representa o servidor de destino em que as credenciais do usuário não podem ser delegadas. Um único caractere curinga (*) é permitido ao especificar o SPN.
Para obter exemplos, confira a configuração da política "Permitir delegar novas credenciais".

Se você estiver usando os Serviços de Área de Trabalho Remota com logon de cartão inteligente, não poderá delegar credenciais padrão e salvas. As chaves do registro na tabela a seguir, que estão em HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Credssp\PolicyDefaults, e as configurações de Política de Grupo correspondentes são ignoradas.

Chave do Registro Configuração de Política de Grupo correspondente
AllowDefaultCredentials Permitir delegar credenciais padrão
AllowDefaultCredentialsWhenNTLMOnly Permitir delegar credenciais padrão com autenticação de servidor somente NTLM
AllowSavedCredentials Permitir delegar credenciais salvas
AllowSavedCredentialsWhenNTLMOnly Permitir delegar credenciais salvas com autenticação de servidor somente NTLM

Consulte também

Referência Técnica do Cartão Inteligente