Поставщик служб CSP политики — ADMX_sam
Совет
Этот CSP содержит политики, поддерживаемые ADMX, для включения или отключения которых требуется специальный формат SyncML. Необходимо указать тип данных в SyncML как <Format>chr</Format>. Дополнительные сведения см. в разделе Общие сведения о политиках на основе ADMX.
Полезные данные SyncML должны быть в кодировке XML; Для этой кодирования XML существуют различные сетевые кодировщики, которые можно использовать. Чтобы избежать кодирования полезных данных, можно использовать CDATA, если mdm поддерживает их. Дополнительные сведения см. в разделе Разделы CDATA.
SamNGCKeyROCAValidation
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10 версии 2004 [10.0.19041.1202] и более поздних версий ✅Windows 10, версия 2009 [10.0.19042.1202] и более поздние версии ✅Windows 10, версия 21H1 [10.0.19043.1202] и более поздние ✅Windows 11, версия 21H2 [10.0.22000] и более поздние |
./Device/Vendor/MSFT/Policy/Config/ADMX_sam/SamNGCKeyROCAValidation
Этот параметр политики позволяет настроить, как контроллеры домена обрабатывают ключи Windows Hello для бизнеса (WHfB), которые уязвимы для уязвимости "Возвращение атаки Coppersmith" (ROCA).
Дополнительные сведения об уязвимости ROCA см. в следующих разделах:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15361
https://en.wikipedia.org/wiki/ROCA_vulnerability
Если этот параметр политики включен, поддерживаются следующие параметры:
Игнорировать: во время проверки подлинности контроллер домена не будет проверять ключи WHfB на наличие уязвимости ROCA.
Аудит. Во время проверки подлинности контроллер домена будет выдавать события аудита для ключей WHfB, которые подвержены уязвимости ROCA (проверка подлинности по-прежнему будет выполнена успешно).
Блокировать: во время проверки подлинности контроллер домена заблокирует использование ключей WHfB, которые подвержены уязвимости ROCA (проверка подлинности завершится ошибкой).
Этот параметр вступает в силу только на контроллерах домена.
Если настройка не настроена, контроллеры домена по умолчанию будут использовать свою локальную конфигурацию. Локальная конфигурация по умолчанию — Аудит.
Перезагрузка не требуется, чтобы изменения этого параметра вступили в силу.
Обратите внимание, что во избежание непредвиденных сбоев этот параметр не должен иметь значение Блокировать, пока не будут выполнены соответствующие меры по устранению рисков, например исправление уязвимых TTPM.
Дополнительные сведения см. по адресу<https://go.microsoft.com/fwlink/?linkid=2116430>.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | SamNGCKeyROCAValidation |
| Понятное имя | Настройка проверки ключей WHfB, уязвимых к ROCA, во время проверки подлинности |
| Location | Конфигурация компьютера |
| Путь | Диспетчер учетных записей безопасности системы > |
| Имя раздела реестра | Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM |
| Имя файла ADMX | sam.admx |
Связанные статьи
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по