策略 CSP - Kerberos
提示
此 CSP 包含 ADMX 支持的策略,这些策略需要特殊的 SyncML 格式才能启用或禁用。 必须在 SyncML 中将数据类型指定为 <Format>chr</Format>。 有关详细信息,请参阅 了解 ADMX 支持的策略。
SyncML 的有效负载必须是 XML 编码的;对于此 XML 编码,可以使用各种联机编码器。 若要避免对有效负载进行编码,可以使用 CDATA(如果 MDM 支持)。 有关详细信息,请参阅 CDATA 节。
AllowForestSearchOrder
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/AllowForestSearchOrder
此策略设置定义 Kerberos 客户端在尝试解析由两部分构成的服务主体名称 (SPN) 时搜索的信任林列表。
如果启用此策略设置,Kerberos 客户端将搜索此列表中的林(如果无法解析由两部分构成的 SPN)。 如果找到匹配项,Kerberos 客户端会向相应的域请求引荐票证。
如果禁用或不配置此策略设置,Kerberos 客户端不会搜索列出的林来解析 SPN。 如果 Kerberos 客户端由于找不到名称而无法解析 SPN,则可能使用 NTLM 身份验证。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | ForestSearch |
| 友好名称 | 使用林搜索顺序 |
| 位置 | “计算机配置” |
| 路径 | 系统 > Kerberos |
| 注册表项名称 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 注册表值名称 | UseForestSearch |
| ADMX 文件名 | Kerberos.admx |
CloudKerberosTicketRetrievalEnabled
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/CloudKerberosTicketRetrievalEnabled
此策略设置允许在登录期间检索Microsoft Entra Kerberos 票证授予票证。
如果禁用或未配置此策略设置,则登录期间不会检索Microsoft Entra Kerberos 票证授予票证。
如果启用此策略设置,则会在登录期间检索Microsoft Entra Kerberos 票证授予票证。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 已禁用。 |
| 1 | 已启用。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | CloudKerberosTicketRetrievalEnabled |
| 友好名称 | 允许在登录期间检索 Azure AD Kerberos 票证授予票证 |
| 位置 | “计算机配置” |
| 路径 | 系统 > Kerberos |
| 注册表项名称 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 注册表值名称 | CloudKerberosTicketRetrievalEnabled |
| ADMX 文件名 | Kerberos.admx |
KerberosClientSupportsClaimsCompoundArmor
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/KerberosClientSupportsClaimsCompoundArmor
此策略设置控制设备是否对动态访问控制和 Kerberos 保护请求声明和复合身份验证,使用 Kerberos 身份验证和支持这些功能的域。
如果启用此策略设置,客户端计算机将请求声明,提供创建复合身份验证所需的信息,并在支持动态访问控制和 Kerberos 保护的域中保护 Kerberos 消息。
如果禁用或未配置此策略设置,则客户端设备不会请求声明、提供创建复合身份验证和保护 Kerberos 消息所需的信息。 设备上托管的服务将无法检索使用 Kerberos 协议转换的客户端的声明。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | EnableCbacAndArmor |
| 友好名称 | 针对声明、复合身份验证和 Kerberos 保护的 Kerberos 客户端支持 |
| 位置 | “计算机配置” |
| 路径 | 系统 > Kerberos |
| 注册表项名称 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 注册表值名称 | EnableCbacAndArmor |
| ADMX 文件名 | Kerberos.admx |
PKInitHashAlgorithmConfiguration
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 22H2 [10.0.22621] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
此策略设置控制执行证书身份验证时 Kerberos 客户端使用的哈希或校验和算法。
如果启用此策略,你将能够为每个算法配置以下四种状态之一:
“Default”将算法设置为建议的状态。
“Supported”允许使用算法。 启用默认禁用的算法可能会降低安全性。
“Audited”允许使用该算法,并在每次使用时报告事件 (ID 206) 。 此状态旨在验证算法是否未使用,并且可以安全禁用。
“不支持”禁用算法的使用。 此状态适用于被视为不安全的算法。
如果禁用或未配置此策略,则每个算法将采用“默认”状态。
此配置生成的事件:205、206、207、208。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 已禁用/未配置。 |
| 1 | 已启用。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | PKInitHashAlgorithmConfiguration |
| 友好名称 | 为证书登录配置哈希算法 |
| 位置 | “计算机配置” |
| 路径 | 系统 > Kerberos |
| 注册表项名称 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 注册表值名称 | PKInitHashAlgorithmConfigurationEnabled |
| ADMX 文件名 | Kerberos.admx |
PKInitHashAlgorithmSHA1
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 22H2 [10.0.22621] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA1
此策略设置控制执行证书身份验证时 Kerberos 客户端使用的 SHA1 算法的配置。 仅当启用 Kerberos/PKInitHashAlgorithmConfiguration 时,才会强制实施此策略。 可以为此算法配置以下四种状态之一:
- 0 - 不支持:此状态禁用算法的使用。 此状态适用于被视为不安全的算法。
- 1 - 默认值:此状态将算法设置为建议状态。
- 2 - 已审核:此状态允许使用算法,并在每次使用时报告事件 (ID 206) 。 此状态旨在验证算法是否未使用,并且可以安全禁用。
- 3 - 支持:此状态允许使用算法。 启用默认禁用的算法可能会降低安全性。
如果未配置此策略,SHA1 算法将采用 默认 状态。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
| 依赖项 [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | 依赖项类型: DependsOn 依赖项 URI: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration 依赖项允许值: [1] 依赖项允许值类型: Range |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 不支持。 |
| 1 (默认) | 默认值。 |
| 2 | 审计。 |
| 3 | 支持。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | PKInitHashAlgorithmConfiguration |
| 友好名称 | 为证书登录配置哈希算法 |
| 位置 | “计算机配置” |
| 路径 | 系统 > Kerberos |
| 注册表项名称 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 注册表值名称 | PKInitHashAlgorithmConfigurationEnabled |
| ADMX 文件名 | Kerberos.admx |
PKInitHashAlgorithmSHA256
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 22H2 [10.0.22621] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA256
此策略设置控制执行证书身份验证时 Kerberos 客户端使用的 SHA256 算法的配置。 仅当启用 Kerberos/PKInitHashAlgorithmConfiguration 时,才会强制实施此策略。 可以为此算法配置以下四种状态之一:
- 0 - 不支持:此状态禁用算法的使用。 此状态适用于被视为不安全的算法。
- 1 - 默认值:此状态将算法设置为建议状态。
- 2 - 已审核:此状态允许使用算法,并在每次使用时报告事件 (ID 206) 。 此状态旨在验证算法是否未使用,并且可以安全禁用。
- 3 - 支持:此状态允许使用算法。 启用默认禁用的算法可能会降低安全性。
如果未配置此策略,SHA256 算法将采用 默认 状态。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
| 依赖项 [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | 依赖项类型: DependsOn 依赖项 URI: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration 依赖项允许值: [1] 依赖项允许值类型: Range |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 不支持。 |
| 1 (默认) | 默认值。 |
| 2 | 审计。 |
| 3 | 支持。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | PKInitHashAlgorithmConfiguration |
| 友好名称 | 为证书登录配置哈希算法 |
| 位置 | “计算机配置” |
| 路径 | 系统 > Kerberos |
| 注册表项名称 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 注册表值名称 | PKInitHashAlgorithmConfigurationEnabled |
| ADMX 文件名 | Kerberos.admx |
PKInitHashAlgorithmSHA384
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 22H2 [10.0.22621] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA384
此策略设置控制执行证书身份验证时 Kerberos 客户端使用的 SHA384 算法的配置。 仅当启用 Kerberos/PKInitHashAlgorithmConfiguration 时,才会强制实施此策略。 可以为此算法配置以下四种状态之一:
- 0 - 不支持:此状态禁用算法的使用。 此状态适用于被视为不安全的算法。
- 1 - 默认值:此状态将算法设置为建议状态。
- 2 - 已审核:此状态允许使用算法,并在每次使用时报告事件 (ID 206) 。 此状态旨在验证算法是否未使用,并且可以安全禁用。
- 3 - 支持:此状态允许使用算法。 启用默认禁用的算法可能会降低安全性。
如果未配置此策略,SHA384 算法将采用 默认 状态。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
| 依赖项 [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | 依赖项类型: DependsOn 依赖项 URI: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration 依赖项允许值: [1] 依赖项允许值类型: Range |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 不支持。 |
| 1 (默认) | 默认值。 |
| 2 | 审计。 |
| 3 | 支持。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | PKInitHashAlgorithmConfiguration |
| 友好名称 | 为证书登录配置哈希算法 |
| 位置 | “计算机配置” |
| 路径 | 系统 > Kerberos |
| 注册表项名称 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 注册表值名称 | PKInitHashAlgorithmConfigurationEnabled |
| ADMX 文件名 | Kerberos.admx |
PKInitHashAlgorithmSHA512
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 22H2 [10.0.22621] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA512
此策略设置控制执行证书身份验证时 Kerberos 客户端使用的 SHA512 算法的配置。 仅当启用 Kerberos/PKInitHashAlgorithmConfiguration 时,才会强制实施此策略。 可以为此算法配置以下四种状态之一:
- 0 - 不支持:此状态禁用算法的使用。 此状态适用于被视为不安全的算法。
- 1 - 默认值:此状态将算法设置为建议状态。
- 2 - 已审核:此状态允许使用算法,并在每次使用时报告事件 (ID 206) 。 此状态旨在验证算法是否未使用,并且可以安全禁用。
- 3 - 支持:此状态允许使用算法。 启用默认禁用的算法可能会降低安全性。
如果未配置此策略,SHA512 算法将采用 默认 状态。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
| 依赖项 [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | 依赖项类型: DependsOn 依赖项 URI: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration 依赖项允许值: [1] 依赖项允许值类型: Range |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 不支持。 |
| 1 (默认) | 默认值。 |
| 2 | 审计。 |
| 3 | 支持。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | PKInitHashAlgorithmConfiguration |
| 友好名称 | 为证书登录配置哈希算法 |
| 位置 | “计算机配置” |
| 路径 | 系统 > Kerberos |
| 注册表项名称 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 注册表值名称 | PKInitHashAlgorithmConfigurationEnabled |
| ADMX 文件名 | Kerberos.admx |
RequireKerberosArmoring
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireKerberosArmoring
此策略设置控制计算机是否要求在与域控制器通信时保护 Kerberos 消息交换。
警告
如果域通过启用“支持动态访问控制和 Kerberos 保护”不支持 Kerberos 保护,则其所有用户的所有身份验证都将在启用此策略设置的计算机中失败。
- 如果启用此策略设置,域中的客户端计算机将强制仅在身份验证服务中使用 Kerberos 保护, (AS) 和票证授予服务 (TGS) 与域控制器的消息交换。
注意
还必须启用 Kerberos 组策略“对声明、复合身份验证和 Kerberos 保护的 Kerberos 客户端支持”才能支持 Kerberos 保护。
- 如果禁用或未配置此策略设置,域中的客户端计算机在目标域支持的情况下会强制使用 Kerberos 保护。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | ClientRequireFast |
| 友好名称 | 当 Kerberos 保护不可用时,身份验证请求失败 |
| 位置 | “计算机配置” |
| 路径 | 系统 > Kerberos |
| 注册表项名称 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 注册表值名称 | RequireFast |
| ADMX 文件名 | Kerberos.admx |
RequireStrictKDCValidation
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireStrictKDCValidation
此策略设置控制 Kerberos 客户端在为智能卡和系统证书登录验证 KDC 证书时的行为。
如果启用此策略设置,Kerberos 客户端要求 KDC 的 X.509 证书包含扩展密钥用法 (EKU) 扩展中的 KDC 密钥用途对象标识符,并且 KDC 的 X.509 证书包含与域的 DNS 名称匹配的 dNSName subjectAltName (SAN) 扩展。 如果计算机已加入域,Kerberos 客户端要求 KDC 的 X.509 证书必须由 NTAuth 存储中的证书颁发机构 (CA) 签名。 如果计算机未加入域,Kerberos 客户端允许在 KDC X.509 证书的路径验证中使用智能卡上的根 CA 证书。
如果禁用或未配置此策略设置,Kerberos 客户端仅要求 KDC 证书在 EKU 扩展中包含服务器身份验证目的对象标识符,该标识符可颁发给任何服务器。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | ValidateKDC |
| 友好名称 | 需要严格的 KDC 验证 |
| 位置 | “计算机配置” |
| 路径 | 系统 > Kerberos |
| 注册表项名称 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 注册表值名称 | KdcValidation |
| ADMX 文件名 | Kerberos.admx |
SetMaximumContextTokenSize
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/SetMaximumContextTokenSize
此策略设置允许设置返回到请求 SSPI 上下文令牌缓冲区大小最大大小的应用程序的值。
上下文令牌缓冲区的大小决定了应用程序预期和分配的 SSPI 上下文令牌的最大大小。 根据身份验证请求处理和组成员身份,缓冲区可能小于 SSPI 上下文令牌的实际大小。
如果启用此策略设置,Kerberos 客户端或服务器将使用配置的值或本地允许的最大值(以较小者为准)。
如果禁用或未配置此策略设置,Kerberos 客户端或服务器将使用本地配置的值或默认值。
注意
此策略设置在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters 中配置现有的 MaxTokenSize 注册表值,该值在 Windows XP 和 Windows Server 2003 中添加,默认值为 12,000 字节。 从 Windows 8默认值为 48,000 字节。 由于 HTTP 的 base64 身份验证上下文令牌编码,建议不要将此值设置为超过 48,000 字节。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | MaxTokenSize |
| 友好名称 | 设置最大 Kerberos SSPI 上下文令牌缓冲区大小 |
| 位置 | “计算机配置” |
| 路径 | 系统 > Kerberos |
| 注册表项名称 | System\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
| 注册表值名称 | EnableMaxTokenSize |
| ADMX 文件名 | Kerberos.admx |
UPNNameHints
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/UPNNameHints
在混合环境中加入Microsoft Entra ID的设备需要与Active Directory 域控制器交互,但它们缺乏查找已加入域的设备具有的域控制器的内置功能。 当此类设备需要将 UPN Microsoft Entra 解析为 Active Directory 主体时,这可能会导致失败。 此参数添加加入Microsoft Entra的设备在无法将 UPN 解析为主体时尝试联系的域列表。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 列表 (分隔符: 0xF000) |