策略 CSP - ADMX_sam

提示

此 CSP 包含 ADMX 支持的策略,这些策略需要特殊的 SyncML 格式才能启用或禁用。 必须在 SyncML 中将数据类型指定为 <Format>chr</Format>。 有关详细信息,请参阅 了解 ADMX 支持的策略

SyncML 的有效负载必须是 XML 编码的;对于此 XML 编码,可以使用各种联机编码器。 若要避免对有效负载进行编码,可以使用 CDATA(如果 MDM 支持)。 有关详细信息,请参阅 CDATA 节

SamNGCKeyROCAValidation

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本
✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本
✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本
✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本
./Device/Vendor/MSFT/Policy/Config/ADMX_sam/SamNGCKeyROCAValidation

此策略设置允许配置域控制器如何处理 Windows Hello 企业版 (WHfB) 密钥,这些密钥容易受到“铜匠攻击的返回” (ROCA) 漏洞的攻击。

有关 ROCA 漏洞的详细信息,请参阅:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15361

https://en.wikipedia.org/wiki/ROCA_vulnerability

如果启用此策略设置,则支持以下选项:

忽略:在身份验证期间,域控制器不会探测 ROCA 漏洞的任何 WHfB 密钥。

审核:在身份验证期间,域控制器将为受 ROCA 漏洞约束的 WHfB 密钥发出审核事件, (身份验证) 仍会成功。

阻止:在身份验证期间,域控制器将阻止使用受 ROCA 漏洞约束的 WHfB 密钥, (身份验证) 失败。

此设置仅在域控制器上生效。

如果未配置,域控制器将默认使用其本地配置。 默认本地配置为 Audit。

对此设置的更改无需重新启动即可生效。

请注意,为了避免意外中断,在执行适当的缓解措施(例如修补易受攻击的 TPM)之前,不应将此设置设置为“阻止”。

有关详细信息,请参阅<https://go.microsoft.com/fwlink/?linkid=2116430>

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

提示

这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略

ADMX 映射

名称
名称 SamNGCKeyROCAValidation
友好名称 在身份验证期间配置 ROCA 易受攻击的 WHfB 密钥的验证
位置 “计算机配置”
路径 系统 > 安全帐户管理器
注册表项名称 Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM
ADMX 文件名 sam.admx

策略配置服务提供程序