Share via

策略 CSP - LocalSecurityAuthority

  • 项目

提示

此 CSP 包含 ADMX 支持的策略,这些策略需要特殊的 SyncML 格式才能启用或禁用。 必须在 SyncML 中将数据类型指定为 <Format>chr</Format>。 有关详细信息,请参阅 了解 ADMX 支持的策略

SyncML 的有效负载必须是 XML 编码的;对于此 XML 编码,可以使用各种联机编码器。 若要避免对有效负载进行编码,可以使用 CDATA(如果 MDM 支持)。 有关详细信息,请参阅 CDATA 节

AllowCustomSSPsAP

范围 版本 适用的操作系统
✅ 设备
❌ 用户		 ✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC		 ✅Windows 11版本 22H2 [10.0.22621] 及更高版本 
./Device/Vendor/MSFT/Policy/Config/LocalSecurityAuthority/AllowCustomSSPsAPs

此策略控制 LSASS 加载自定义 SSP 和 AP 时所依据的配置。

  • 如果启用或未配置此设置,则 LSA 允许加载自定义 SSP 和 AP。

  • 如果禁用此设置,LSA 不会加载自定义 SSP 和 AP。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

提示

这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略

ADMX 映射

名称
名称 AllowCustomSSPsAP
友好名称 允许将自定义 SSP 和 AP 加载到 LSASS
位置 “计算机配置”
路径 系统 > 本地安全机构
注册表项名称 Software\Policies\Microsoft\Windows\System
注册表值名称 AllowCustomSSPsAP
ADMX 文件名 LocalSecurityAuthority.admx

ConfigureLsaProtectedProcess

范围 版本 适用的操作系统
✅ 设备
❌ 用户		 ✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC		 ✅Windows 11版本 22H2 [10.0.22621] 及更高版本 
./Device/Vendor/MSFT/Policy/Config/LocalSecurityAuthority/ConfigureLsaProtectedProcess

此策略控制运行 LSASS 时所依据的配置。

  • 如果未配置此策略,并且注册表中没有当前设置,则 LSA 将为干净安装的、支持 HVCI 的客户端 SKU(已加入域或云域的设备)作为受保护进程运行。 此配置未锁定 UEFI。 如果配置了策略,则可以重写此策略。

  • 如果将此策略设置配置为“已禁用”,则 LSA 不会作为受保护的进程运行。

  • 如果配置此策略设置并将其设置为“EnabledWithUEFILock”,则 LSA 将作为受保护的进程运行,并且此配置已锁定 UEFI。

  • 如果将此策略设置配置为“EnabledWithoutUEFILock”,则 LSA 将作为受保护的进程运行,并且此配置未锁定 UEFI。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 已禁用。 默认值。 LSA 不会作为受保护的进程运行。
1 使用 UEFI 锁定启用。 LSA 将作为受保护的进程运行,并且此配置已锁定 UEFI。
2 在未使用 UEFI 锁定的情况下启用。 LSA 将作为受保护的进程运行,并且此配置未锁定 UEFI。

组策略映射:

名称
名称 ConfigureLsaProtectedProcess
友好名称 将 LSASS 配置为作为受保护的进程运行
位置 “计算机配置”
路径 系统 > 本地安全机构
注册表项名称 System\CurrentControlSet\Control\Lsa
ADMX 文件名 LocalSecurityAuthority.admx

策略配置服务提供程序