Configurações do Registro e política de grupo do cartão inteligente
Este artigo para profissionais de TI e desenvolvedores de cartão inteligentes descreve as configurações de Política de Grupo, configurações de chave de registro, configurações de política de segurança local e configurações de política de delegação de credenciais disponíveis para configurar cartões inteligentes.
As seções e tabelas a seguir listam as configurações de Política de Grupo relacionadas ao cartão inteligente e as chaves de registro que podem ser definidas por computador. Se você usar GPOs (objetos de domínio Política de Grupo), poderá editar e aplicar Política de Grupo configurações a computadores locais ou de domínio.
-
Configurações de Política de Grupo primárias para cartões inteligentes
- Permitir certificados sem atributo de certificado de uso de chave estendida
- Permitir que certificados ECC sejam usados para logon e autenticação
- Permitir que a tela Desbloqueio Integrado seja exibida no momento do logon
- Permitir chaves de assinatura válidas para Logon
- Permitir certificados inválidos de tempo
- Permitir dica de nome de usuário
- Configurar o certificado raiz limpo para cima
- Exibir cadeia de caracteres quando cartão inteligente é bloqueada
- Filtrar certificados de logon duplicado
- Forçar a leitura de todos os certificados do cartão inteligente
- Notificar o usuário da instalação bem-sucedida do driver de cartão inteligente
- Impedir que PINs de texto simples sejam retornados pelo Credential Manager
- Inverta o nome do assunto armazenado em um certificado ao exibir
- Ativar a propagação de certificado de cartão inteligente
- Ativar a propagação de certificado raiz de cartão inteligentes
- Ativar o serviço de Plug and Play de Cartão Inteligente
- Chaves de registro KSP de CSP e Smart Card base
- CrL verificando chaves do registro
- Configurações de cartão Política de Grupo inteligentes adicionais e chaves de registro
Configurações de Política de Grupo primárias para cartões inteligentes
As seguintes configurações de cartão Política de Grupo inteligentes estão em Configuração do Computador\Modelos Administrativos\Componentes do Windows\Cartão Inteligente.
As chaves do registro estão nos seguintes locais:
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ScPnP\EnableScPnP
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CertProp
Observação
As informações do registro do leitor de cartão inteligente estão no HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Calais\Readers.
As informações do registro de cartão inteligente estão em HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Calais\SmartCards.
A tabela a seguir lista os valores padrão para essas configurações de GPO. As variações são documentadas nas descrições da política neste artigo.
Tipo de servidor ou GPO | Valor padrão |
---|---|
Política de Domínio Padrão | Não configurado |
Política padrão do controlador de domínio | Não configurado |
configurações padrão do servidor Stand-Alone | Não configurado |
Configurações padrão efetivas do controlador de domínio | Desabilitado |
Configurações padrão efetivas do servidor membro | Desabilitado |
Configurações padrão efetivas do computador cliente | Desabilitado |
Permitir certificados sem atributo de certificado de uso de chave estendida
Você pode usar essa configuração de política para permitir certificados sem um EKU (uso de chave estendida) definido para ser usado para entrada.
Observação
O atributo de certificado de uso de chave estendida também é conhecido como uso de chave estendida.
Em versões do Windows antes do Windows Vista, certificados de cartão inteligentes usados para entrar exigem uma extensão EKU com um identificador de objeto logon cartão inteligente. Essa configuração de política pode ser usada para modificar essa restrição.
Quando essa configuração de política é ativada, certificados com os seguintes atributos também podem ser usados para entrar com uma cartão inteligente:
- Certificados sem EKU
- Certificados com um EKU de todos os fins
- Certificados com um EKU de Autenticação do Cliente
Quando essa configuração de política não estiver ativada, somente certificados que contêm o identificador de objeto de logon cartão inteligente podem ser usados para entrar com uma cartão inteligente.
Item | Descrição |
---|---|
Chave do Registro | AllowCertificatesWithNoEKU |
Valores padrão | Sem alterações por versões do sistema operacional Desabilitados e não configurados são equivalentes |
Gerenciamento de políticas | Requisito de reinicialização: nenhum Requisito de aprovação: Nenhum Conflitos de política: nenhum |
Permitir que certificados ECC sejam usados para logon e autenticação
Você pode usar essa configuração de política para controlar se certificados ECC (criptografia de curva elíptica) em um cartão inteligente podem ser usados para entrar em um domínio.
Quando essa configuração é ativada, os certificados ECC em um cartão inteligente podem ser usados para entrar em um domínio.
Quando essa configuração não está ativada, os certificados ECC em um cartão inteligente não podem ser usados para entrar em um domínio.
Item | Descrição |
---|---|
Chave do Registro | EnumerateECCCerts |
Valores padrão | Sem alterações por versões do sistema operacional Desabilitados e não configurados são equivalentes |
Gerenciamento de políticas | Requisito de reinicialização: nenhum Requisito de aprovação: Nenhum Conflitos de política: nenhum |
Notas e recursos | Essa configuração de política afeta apenas a capacidade do usuário de entrar em um domínio. Certificados ECC em um cartão inteligente que são usados para outros aplicativos, como assinatura de documento, não são afetados por essa configuração de política. Se você usar uma chave ECDSA para entrar, também deve ter uma chave ECDH associada para permitir a entrada quando não estiver conectado à rede. |
Permitir que a tela Desbloqueio Integrado seja exibida no momento do logon
Você pode usar essa configuração de política para determinar se o recurso de desbloqueio integrado está disponível na interface do usuário (interface do usuário de entrada). O recurso foi introduzido como um recurso padrão no Provedor de Suporte à Segurança de Credencial no Windows Vista.
Quando essa configuração é ativada, o recurso de desbloqueio integrado está disponível.
Quando essa configuração não está ativada, o recurso não está disponível.
Item | Descrição |
---|---|
Chave do Registro | AllowIntegratedUnblock |
Valores padrão | Sem alterações por versões do sistema operacional Desabilitados e não configurados são equivalentes |
Gerenciamento de políticas | Requisito de reinicialização: nenhum Requisito de aprovação: Nenhum Conflitos de política: nenhum |
Notas e recursos | Para usar o recurso de desbloqueio integrado, o cartão inteligente deve dar suporte a ele. Verifique com o fabricante de hardware para verificar se o cartão inteligente dá suporte a esse recurso. Você pode criar uma mensagem personalizada que o usuário vê quando o cartão inteligente é bloqueado configurando a configuração de política Exibir cadeia de caracteres quando o cartão inteligente é bloqueado. |
Permitir chaves de assinatura válidas para Logon
Você pode usar essa configuração de política para permitir que certificados baseados em chave de assinatura sejam enumerados e disponíveis para entrada.
Quando essa configuração é ativada, todos os certificados disponíveis no cartão inteligente com uma chave somente assinatura são listados na tela de entrada.
Quando essa configuração não está ativada, os certificados disponíveis no cartão inteligente com uma chave somente assinatura não são listados na tela de entrada.
Item | Descrição |
---|---|
Chave do Registro | AllowSignatureOnlyKeys |
Valores padrão | Sem alterações por versões do sistema operacional Desabilitados e não configurados são equivalentes |
Gerenciamento de políticas | Requisito de reinicialização: nenhum Requisito de aprovação: Nenhum Conflitos de política: nenhum |
Permitir certificados inválidos de tempo
Você pode usar essa configuração de política para permitir certificados expirados ou ainda não válidos para serem exibidos para entrada.
Observação
Antes do Windows Vista, os certificados eram necessários para conter uma hora válida e não expirar. Para que um certificado seja usado, ele deve ser aceito pelo controlador de domínio. Essa configuração de política controla apenas quais certificados são exibidos no computador cliente.
Quando essa configuração é ativada, os certificados são listados na tela de entrada se eles têm um tempo inválido ou sua validade de tempo expirou.
Quando essa configuração de política não está ativada, os certificados expirados ou ainda não válidos não são listados na tela de entrada.
Item | Descrição |
---|---|
Chave do Registro | AllowTimeInvalidCertificates |
Valores padrão | Sem alterações por versões do sistema operacional Desabilitados e não configurados são equivalentes |
Gerenciamento de políticas | Requisito de reinicialização: nenhum Requisito de aprovação: Nenhum Conflitos de política: nenhum |
Permitir dica de nome de usuário
Você pode usar essa configuração de política para determinar se um campo opcional aparece durante a entrada e fornece um processo de elevação subsequente em que os usuários podem inserir seu nome de usuário ou nome de usuário e domínio, que associa um certificado ao usuário.
Quando essa configuração de política é ativada, os usuários veem um campo opcional em que podem inserir seu nome de usuário ou nome de usuário e domínio.
Quando essa configuração de política não está ativada, os usuários não veem esse campo opcional.
Item | Descrição |
---|---|
Chave do Registro | X509HintsNeeded |
Valores padrão | Sem alterações por versões do sistema operacional Desabilitados e não configurados são equivalentes |
Gerenciamento de políticas | Requisito de reinicialização: nenhum Requisito de aprovação: Nenhum Conflitos de política: nenhum |
Configurar limpo de certificado raiz
Você pode usar essa configuração de política para gerenciar o comportamento de limpeza de certificados raiz. Os certificados são verificados usando uma cadeia de confiança e a âncora de confiança para o certificado digital é a Autoridade de Certificação Raiz (AC). Uma AC pode emitir vários certificados com o certificado raiz como o certificado superior da estrutura da árvore. Uma chave privada é usada para assinar outros certificados. Isso cria uma confiabilidade herdada para todos os certificados imediatamente no certificado raiz.
Quando essa configuração de política estiver ativada, você poderá definir as seguintes opções de limpeza:
- Sem limpeza. Quando o usuário sai ou remove o cartão inteligente, os certificados raiz usados durante a sessão persistem no computador.
- Limpe certificados na remoção de cartão inteligente. Quando o cartão inteligente é removido, os certificados raiz são removidos.
- Limpe certificados no log off. Quando o usuário sai do Windows, os certificados raiz são removidos.
Quando essa configuração de política não está ativada, os certificados raiz são removidos automaticamente quando o usuário sai do Windows.
Item | Descrição |
---|---|
Chave do Registro | RootCertificateCleanupOption |
Valores padrão | Sem alterações por versões do sistema operacional Desabilitados e não configurados são equivalentes |
Gerenciamento de políticas | Requisito de reinicialização: nenhum Requisito de aprovação: Nenhum Conflitos de política: nenhum |
Exibir cadeia de caracteres quando cartão inteligente é bloqueada
Você pode usar essa configuração de política para alterar a mensagem padrão que um usuário vê se sua cartão inteligente está bloqueada.
Quando essa configuração de política é ativada, você pode criar e gerenciar a mensagem exibida que o usuário vê quando uma cartão inteligente é bloqueada.
Quando essa configuração de política não está ativada (e o recurso de desbloqueio integrado também está habilitado), o usuário verá a mensagem padrão do sistema quando o cartão inteligente é bloqueado.
Item | Descrição |
---|---|
Chave do Registro | IntegratedUnblockPromptString |
Valores padrão | Sem alterações por versões do sistema operacional Desabilitados e não configurados são equivalentes |
Gerenciamento de políticas | Requisito de reinicialização: nenhum Requisito de aprovação: Nenhum Conflitos de política: essa configuração de política só é eficaz quando a tela Permitir desbloqueio integrado a ser exibida no momento da política de logon está habilitada. |
Filtrar certificados de logon duplicado
Você pode usar essa configuração de política para configurar quais certificados de entrada válidos são exibidos.
Observação
Durante o período de renovação do certificado, o cartão inteligente de um usuário pode ter vários certificados de entrada válidos emitidos do mesmo modelo de certificado, o que pode causar confusão sobre qual certificado selecionar. Esse comportamento pode ocorrer quando um certificado é renovado e o certificado antigo ainda não expirou.
Se dois certificados forem emitidos do mesmo modelo com a mesma versão principal e forem para o mesmo usuário (isso é determinado pela UPN), eles serão determinados como os mesmos.
Quando essa configuração de política é ativada, a filtragem ocorre para que o usuário possa selecionar somente os certificados válidos mais atuais.
Se essa configuração de política não estiver ativada, todos os certificados serão exibidos para o usuário.
Essa configuração de política é aplicada ao computador depois que a configuração de política permitir certificados inválidos é aplicada.
Item | Descrição |
---|---|
Chave do Registro | FilterDuplicateCerts |
Valores padrão | Sem alterações por versões do sistema operacional Desabilitados e não configurados são equivalentes |
Gerenciamento de políticas | Requisito de reinicialização: nenhum Requisito de aprovação: Nenhum Conflitos de política: nenhum |
Notas e recursos | Se houver dois ou mais dos mesmos certificados em um cartão inteligente e essa configuração de política estiver habilitada, o certificado com o tempo de expiração mais distante será exibido. |
Forçar a leitura de todos os certificados do cartão inteligente
Você pode usar essa configuração de política para gerenciar como o Windows lê todos os certificados do cartão inteligente para entrar. Durante a entrada, o Windows lê apenas o certificado padrão do cartão inteligente, a menos que dê suporte à recuperação de todos os certificados em uma única chamada. Essa configuração de política força o Windows a ler todos os certificados do cartão inteligente.
Quando essa configuração de política é ativada, o Windows tenta ler todos os certificados do cartão inteligente, independentemente do conjunto de recursos CSP.
Quando essa política não está ativada, o Windows tenta ler apenas o certificado padrão de cartões inteligentes que não dão suporte à recuperação de todos os certificados em uma única chamada. Certificados diferentes do padrão não estão disponíveis para entrada.
Item | Descrição |
---|---|
Chave do Registro | ForceReadingAllCertificates |
Valores padrão | Sem alterações por versões do sistema operacional Desabilitados e não configurados são equivalentes |
Gerenciamento de políticas | Requisito de reinicialização: nenhum Requisito de aprovação: Nenhum Conflitos de política: nenhum Importante: habilitar essa configuração de política pode afetar negativamente o desempenho durante o processo de entrada em determinadas situações. |
Notas e recursos | Entre em contato com o fornecedor de cartão inteligente para determinar se o cartão inteligente e o CSP associado dão suporte ao comportamento necessário. |
Notificar o usuário da instalação bem-sucedida do driver de cartão inteligente
Você pode usar essa configuração de política para controlar se o usuário vê uma mensagem de confirmação quando um driver de dispositivo cartão inteligente está instalado.
Quando essa configuração de política é ativada, o usuário vê uma mensagem de confirmação quando um driver de dispositivo cartão inteligente é instalado.
Quando essa configuração não está ativada, o usuário não vê uma mensagem de instalação do driver de dispositivo cartão inteligente.
-- | -- |
---|---|
Chave do Registro | ScPnPNotification |
Valores padrão | Sem alterações por versões do sistema operacional Desabilitados e não configurados são equivalentes |
Gerenciamento de políticas | Requisito de reinicialização: nenhum Requisito de aprovação: Nenhum Conflitos de política: nenhum |
Notas e recursos | Essa configuração de política se aplica apenas a drivers de cartão inteligentes que passaram pelo processo de teste do WHQL (Laboratórios de Qualidade de Hardware do Windows). |
Impedir que PINs de texto simples sejam retornados pelo Credential Manager
Você pode usar essa configuração de política para impedir que o Credential Manager retorne PINs de texto sem texto.
Observação
O Gerenciador de Credenciais é controlado pelo usuário no computador local e armazena credenciais de navegadores compatíveis e aplicativos Windows. As credenciais são salvas em pastas criptografadas especiais no computador no perfil do usuário.
Quando essa configuração de política é ativada, o Credential Manager não retorna um PIN de texto simples.
Quando essa configuração não estiver ativada, o Credential Manager poderá retornar PINs de texto sem texto.
Item | Descrição |
---|---|
Chave do Registro | DisallowPlaintextPin |
Valores padrão | Sem alterações por versões do sistema operacional Desabilitados e não configurados são equivalentes |
Gerenciamento de políticas | Requisito de reinicialização: nenhum Requisito de aprovação: Nenhum Conflitos de política: nenhum |
Notas e recursos | Se essa configuração de política estiver habilitada, alguns cartões inteligentes poderão não funcionar em computadores que executam o Windows. Consulte o fabricante de cartão inteligente para determinar se essa configuração de política deve ser habilitada. |
Inverta o nome do assunto armazenado em um certificado ao exibir
Você pode usar essa configuração de política para controlar a forma como o nome do assunto aparece durante a entrada.
Observação
Para ajudar os usuários a distinguir um certificado de outro, o nome da entidade de usuário (UPN) e o nome comum são exibidos por padrão. Por exemplo, quando essa configuração estiver habilitada, se o assunto do certificado for CN=User1, OU=Users, DN=exemplo, DN=com e o UPN for user1@example.com, User1 será exibido com user1@example.com. Se o UPN não estiver presente, todo o nome do assunto será exibido. Essa configuração controla a aparência desse nome de assunto e talvez precise ser ajustada para sua organização.
Quando essa configuração de política é ativada, o nome do assunto durante a entrada aparece invertido da maneira como é armazenado no certificado.
Quando essa configuração de política não está ativada, o nome do assunto aparece da mesma forma que é armazenado no certificado.
Item | Descrição |
---|---|
Chave do Registro | ReverseSubject |
Valores padrão | Sem alterações por versões do sistema operacional Desabilitados e não configurados são equivalentes |
Gerenciamento de políticas | Requisito de reinicialização: nenhum Requisito de aprovação: Nenhum Conflitos de política: nenhum |
Ativar a propagação de certificado de cartão inteligente
Você pode usar essa configuração de política para gerenciar a propagação de certificado que ocorre quando uma cartão inteligente é inserida.
Observação
O serviço de propagação de certificado se aplica quando um usuário conectado insere uma cartão inteligente em um leitor anexado ao computador. Essa ação faz com que o certificado seja lido do cartão inteligente. Em seguida, os certificados são adicionados ao repositório Pessoal do usuário.
Quando essa configuração de política é ativada, a propagação de certificado ocorre quando o usuário insere o cartão inteligente.
Quando essa configuração de política é desativada, a propagação de certificados não ocorre e os certificados não estão disponíveis para aplicativos, como o Outlook.
Item | Descrição |
---|---|
Chave do Registro | CertPropEnabled |
Valores padrão | Sem alterações por versões do sistema operacional Habilitados e não configurados são equivalentes |
Gerenciamento de políticas | Requisito de reinicialização: nenhum Requisito de aprovação: Nenhum Conflitos de política: essa configuração de política deve ser habilitada para permitir que a propagação de certificado raiz Ativar da configuração de cartão inteligente funcione quando ela estiver habilitada. |
Ativar a propagação de certificado raiz de cartão inteligentes
Você pode usar essa configuração de política para gerenciar a propagação de certificado raiz que ocorre quando uma cartão inteligente é inserida.
Observação
O serviço de propagação de certificado se aplica quando um usuário conectado insere uma cartão inteligente em um leitor anexado ao computador. Essa ação faz com que o certificado seja lido do cartão inteligente. Em seguida, os certificados são adicionados ao repositório Pessoal do usuário.
Quando essa configuração de política é ativada, a propagação de certificado raiz ocorre quando o usuário insere o cartão inteligente.
Quando essa configuração de política não está ativada, a propagação de certificado raiz não ocorre quando o usuário insere a cartão inteligente.
Item | Descrição |
---|---|
Chave do Registro | EnableRootCertificate Propagation |
Valores padrão | Sem alterações por versões do sistema operacional Habilitados e não configurados são equivalentes |
Gerenciamento de políticas | Requisito de reinicialização: nenhum Requisito de aprovação: Nenhum Conflitos de política: para que essa configuração de política funcione, a propagação de certificado Ativar da configuração de política de cartão inteligente também deve estar habilitada. |
Notas e recursos |
Ativar o serviço de Plug and Play de Cartão Inteligente
Você pode usar essa configuração de política para controlar se o smart card Plug and Play está habilitado.
Observação
Seus usuários podem usar cartões inteligentes de fornecedores que publicaram seus drivers por meio de Windows Update sem precisar de middleware especial. Esses drivers serão baixados da mesma forma que drivers para outros dispositivos no Windows. Se um driver apropriado não estiver disponível de Windows Update, um mini driver compatível com PIV incluído em qualquer uma das versões com suporte do Windows será usado para esses cartões.
Quando essa configuração de política é ativada, o sistema tenta instalar um driver de dispositivo cartão inteligente na primeira vez que uma cartão inteligente é inserida em um leitor de cartão inteligente.
Quando essa configuração de política não está ativada, um driver de dispositivo não é instalado quando uma cartão inteligente é inserida em um leitor de cartão inteligente.
Item | Descrição |
---|---|
Chave do Registro | EnableScPnP |
Valores padrão | Sem alterações por versões do sistema operacional Habilitados e não configurados são equivalentes |
Gerenciamento de políticas | Requisito de reinicialização: nenhum Requisito de aprovação: Nenhum Conflitos de política: nenhum |
Notas e recursos | Essa configuração de política se aplica apenas a drivers de cartão inteligentes que passaram pelo processo de teste do WHQL (Laboratórios de Qualidade de Hardware do Windows). |
Chaves de registro KSP de CSP e Smart Card base
As chaves de registro a seguir podem ser configuradas para o CSP (provedor de serviços de criptografia base) e o KSP (provedor de armazenamento de chaves) cartão inteligente. As tabelas a seguir listam as chaves. Todas as chaves usam o tipo DWORD.
As chaves do registro do CSP base estão no registro em HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Base Smart Card Crypto Provider
.
As chaves do registro do cartão inteligente KSP estão em HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Cryptography\Providers\Microsoft Smart Card Key Storage Provider
.
Chaves de registro para o CSP base e o cartão inteligente KSP
Chave do Registro | Descrição |
---|---|
AllowPrivateExchangeKeyImport | Um valor não zero permite que chaves privadas de troca RSA (por exemplo, criptografia) sejam importadas para uso em cenários de arquivo chave. Valor padrão: 00000000 |
AllowPrivateSignatureKeyImport | Um valor não zero permite que chaves privadas de assinatura RSA sejam importadas para uso em cenários de arquivo chave. Valor padrão: 00000000 |
DefaultPrivateKeyLenBits | Define o comprimento padrão para chaves privadas, se desejado. Valor padrão: 00000400 Parâmetro de geração de chave padrão: chaves de 1024 bits |
RequireOnCardPrivateKeyGen | Essa chave define o sinalizador que requer cartão geração de chave privada (padrão). Se esse valor for definido, uma chave gerada em um host poderá ser importada para o cartão inteligente. Isso é usado para cartões inteligentes que não dão suporte à geração de chaves cartão ou onde o armazenamento de chaves é necessário. Valor padrão: 00000000 |
TransactionTimeoutMilliseconds | Os valores de tempo limite padrão permitem especificar se as transações que levam um tempo excessivo falharão. Valor padrão: 000005dc O tempo limite padrão para manter transações no cartão inteligente é de 1,5 segundos. |
Chaves de registro adicionais para o cartão inteligente KSP:
Chave do Registro | Descrição |
---|---|
AllowPrivateECDHEKeyImport | Esse valor permite que chaves privadas da ECDHE (Curva Efêmera Diffie-Hellman elíptica) sejam importadas para uso em cenários principais de arquivamento. Valor padrão: 00000000 |
AllowPrivateECDSAKeyImport | Esse valor permite que chaves privadas do ECDSA (Algoritmo de Assinatura Digital da Curva Elíptica) sejam importadas para uso em cenários de arquivo chave. Valor padrão: 00000000 |
CrL verificando chaves do registro
A tabela a seguir lista as chaves e os valores correspondentes para desativar a verificação da CRL (lista de revogação de certificado) no KDC (Centro de Distribuição de Chaves) ou no cliente. Para gerenciar a verificação de CRL, você deve configurar configurações para o KDC e o cliente.
Chave do Registro | Detalhes |
---|---|
HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Kdc\UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors |
Tipo = DWORD Valor = 1 |
HKEY_LOCAL_MACHINE\SYSTEM\CCS\Control\LSA\Kerberos\Parameters\UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors |
Tipo = DWORD Valor = 1 |
Configurações de cartão Política de Grupo inteligentes adicionais e chaves de registro
Em uma implantação de cartão inteligente, configurações de Política de Grupo adicionais podem ser usadas para aprimorar a facilidade de uso ou a segurança. Duas dessas configurações de política que podem complementar uma implantação de cartão inteligente são:
- Desativar delegação para computadores
- Logon interativo: não requer CTRL+ALT+DEL (não recomendado)
As seguintes configurações de Política de Grupo relacionadas a cartão inteligentes estão em Configurações do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança.
Configurações de política de segurança local
Política de Grupo configuração e chave do registro | Padrão | Descrição |
---|---|---|
Logon interativo: Exigir um cartão inteligente scforceoption |
Desabilitado | Essa configuração de política de segurança exige que os usuários entrem em um computador usando uma cartão inteligente. Habilitado Os usuários só podem entrar no computador usando uma cartão inteligente. Desativado Os usuários podem entrar no computador usando qualquer método. OBSERVAÇÃO: a conta local gerenciada pelo Windows LAPS é isenta dessa política quando habilitada. |
Logon interativo: Comportamento de remoção de cartão inteligente scremoveoption |
Essa configuração de política não está definida, o que significa que o sistema a trata como Nenhuma Ação. | Essa configuração determina o que acontece quando o cartão inteligente de um usuário conectado é removido do leitor de cartão inteligente. As opções são: Nenhuma ação Lock Workstation: a estação de trabalho é bloqueada quando o cartão inteligente é removido, para que os usuários possam sair da área, levar suas cartão inteligentes com eles e ainda manter uma sessão protegida. Forçar Logoff: o usuário é conectado automaticamente quando o cartão inteligente é removido. Desconecte se uma sessão dos Serviços de Área de Trabalho Remota: a remoção do cartão inteligente desconecta a sessão sem a assinatura do usuário. O usuário pode reinserir o cartão inteligente e retomar a sessão mais tarde ou em outro computador equipado com um leitor de cartão inteligente, sem precisar entrar novamente. Se a sessão for local, essa configuração de política funcionará de forma idêntica à opção Bloquear Estação de Trabalho . |
No Editor de Política de Segurança Local (secpol.msc), você pode editar e aplicar políticas de sistema para gerenciar a delegação de credencial para computadores locais ou de domínio.
As seguintes configurações de Política de Grupo relacionadas a cartão inteligentes estão em Configuração do Computador\Modelos Administrativos\Delegação system\Credentials.
As chaves do registro estão em HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Credssp\PolicyDefaults
.
Observação
Na tabela a seguir, novas credenciais são aquelas para as quais você é solicitado ao executar um aplicativo.
Configurações de política de delegação de credencial
Política de Grupo configuração e chave do registro | Padrão | Descrição |
---|---|---|
Permitir delegar novas credenciais AllowFreshCredentials |
Não configurado | Essa configuração de política se aplica: Quando a autenticação do servidor foi obtida por meio de um certificado X509 confiável ou protocolo Kerberos. Para aplicativos que usam o componente CredSSP (por exemplo, Serviços de Área de Trabalho Remota). Habilitado: você pode especificar os servidores em que as novas credenciais do usuário podem ser delegadas. Não configurado: após a autenticação mútua adequada, a delegação de novas credenciais é permitida aos Serviços de Área de Trabalho Remota em execução em qualquer computador. Desabilitado: a delegação de novas credenciais para qualquer computador não é permitida. Observação: essa configuração de política pode ser definida como um ou mais nomes de entidade de serviço (SPNs). O SPN representa o servidor de destino em que as credenciais do usuário podem ser delegadas. Um único caractere curinga é permitido ao especificar o SPN, por exemplo: Use *TERMSRV/** para Host de Sessão da Área de Trabalho Remota (Host de Sessão RD) em execução em qualquer computador. Use TERMSRV/host.humanresources.fabrikam.com para o Host de Sessão RD em execução no computador host.humanresources.fabrikam.com. Use TERMSRV/*.humanresources.fabrikam.com para o Host de Sessão RD em execução em todos os computadores no .humanresources.fabrikam.com |
Permitir delegar novas credenciais com autenticação de servidor somente NTLM AllowFreshCredentialsWhenNTLMOnly |
Não configurado | Essa configuração de política se aplica: Quando a autenticação do servidor foi obtida usando o NTLM. Para aplicativos que usam o componente CredSSP (por exemplo, Área de Trabalho Remota). Habilitado: você pode especificar os servidores em que as novas credenciais do usuário podem ser delegadas. Não configurado: após a autenticação mútua adequada, a delegação de novas credenciais é permitida para o Host de Sessão RD em execução em qualquer computador (TERMSRV/*). Desabilitado: a delegação de novas credenciais não é permitida a nenhum computador. Observação: essa configuração de política pode ser definida como um ou mais SPNs. O SPN representa o servidor de destino em que as credenciais do usuário podem ser delegadas. Um único caractere curinga (*) é permitido ao especificar o SPN. Consulte a descrição de configuração de política Permitir Delegar Novas Credenciais para obter exemplos. |
Negar delegar novas credenciais DenyFreshCredentials |
Não configurado | Essa configuração de política se aplica a aplicativos que usam o componente CredSSP (por exemplo, Área de Trabalho Remota). Habilitado: você pode especificar os servidores em que as novas credenciais do usuário não podem ser delegadas. Desabilitado ou não configurado: um servidor não é especificado. Observação: essa configuração de política pode ser definida como um ou mais SPNs. O SPN representa o servidor de destino em que as credenciais do usuário não podem ser delegadas. Um único caractere curinga (*) é permitido ao especificar o SPN. Para obter exemplos, confira a configuração da política "Permitir delegar novas credenciais". |
Se você estiver usando os Serviços de Área de Trabalho Remota com logon de cartão inteligente, não poderá delegar credenciais padrão e salvas. As chaves do registro na tabela a seguir, que estão em HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Credssp\PolicyDefaults
, e as configurações de Política de Grupo correspondentes são ignoradas.
Chave do Registro | Configuração de Política de Grupo correspondente |
---|---|
AllowDefaultCredentials | Permitir delegar credenciais padrão |
AllowDefaultCredentialsWhenNTLMOnly | Permitir delegar credenciais padrão com autenticação de servidor somente NTLM |
AllowSavedCredentials | Permitir delegar credenciais salvas |
AllowSavedCredentialsWhenNTLMOnly | Permitir delegar credenciais salvas com autenticação de servidor somente NTLM |