策略 CSP - ADMX_sam
提示
此 CSP 包含 ADMX 支持的策略,这些策略需要特殊的 SyncML 格式才能启用或禁用。 必须在 SyncML 中将数据类型指定为 <Format>chr</Format>。 有关详细信息,请参阅 了解 ADMX 支持的策略。
SyncML 的有效负载必须是 XML 编码的;对于此 XML 编码,可以使用各种联机编码器。 若要避免对有效负载进行编码,可以使用 CDATA(如果 MDM 支持)。 有关详细信息,请参阅 CDATA 节。
SamNGCKeyROCAValidation
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_sam/SamNGCKeyROCAValidation
此策略设置允许配置域控制器如何处理 Windows Hello 企业版 (WHfB) 密钥,这些密钥容易受到“铜匠攻击的返回” (ROCA) 漏洞的攻击。
有关 ROCA 漏洞的详细信息,请参阅:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15361
https://en.wikipedia.org/wiki/ROCA_vulnerability
如果启用此策略设置,则支持以下选项:
忽略:在身份验证期间,域控制器不会探测 ROCA 漏洞的任何 WHfB 密钥。
审核:在身份验证期间,域控制器将为受 ROCA 漏洞约束的 WHfB 密钥发出审核事件, (身份验证) 仍会成功。
阻止:在身份验证期间,域控制器将阻止使用受 ROCA 漏洞约束的 WHfB 密钥, (身份验证) 失败。
此设置仅在域控制器上生效。
如果未配置,域控制器将默认使用其本地配置。 默认本地配置为 Audit。
对此设置的更改无需重新启动即可生效。
请注意,为了避免意外中断,在执行适当的缓解措施(例如修补易受攻击的 TPM)之前,不应将此设置设置为“阻止”。
有关详细信息,请参阅<https://go.microsoft.com/fwlink/?linkid=2116430>。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | SamNGCKeyROCAValidation |
| 友好名称 | 在身份验证期间配置 ROCA 易受攻击的 WHfB 密钥的验证 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 安全帐户管理器 |
| 注册表项名称 | Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM |
| ADMX 文件名 | sam.admx |