Поставщик служб CSP политики — ADMX_CredSsp
Совет
Этот CSP содержит политики, поддерживаемые ADMX, для включения или отключения которых требуется специальный формат SyncML. Необходимо указать тип данных в SyncML как <Format>chr</Format>
. Дополнительные сведения см. в разделе Общие сведения о политиках на основе ADMX.
Полезные данные SyncML должны быть в кодировке XML; Для этой кодирования XML существуют различные сетевые кодировщики, которые можно использовать. Чтобы избежать кодирования полезных данных, можно использовать CDATA, если mdm поддерживает их. Дополнительные сведения см. в разделе Разделы CDATA.
AllowDefaultCredentials
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowDefaultCredentials
Этот параметр политики применяется к приложениям, использующим компонент Cred SSP (например, подключение к удаленному рабочему столу).
Этот параметр политики применяется, если проверка подлинности сервера была достигнута с помощью доверенного сертификата X509 или Kerberos.
- Если этот параметр политики включен, можно указать серверы, которым можно делегировать учетные данные пользователя по умолчанию (учетные данные по умолчанию используются при первом входе в Windows).
Политика вступает в силу при следующем входе пользователя на компьютер под управлением Windows.
- Если этот параметр политики отключен или не настроен (по умолчанию), делегирование учетных данных по умолчанию запрещено ни на одном компьютере. Приложения в зависимости от этого поведения делегирования могут завершиться ошибкой проверки подлинности. Дополнительные сведения см. в статье Базы знаний.
FWlink для базы знаний:
https://go.microsoft.com/fwlink/?LinkId=301508
Примечание.
Для параметра политики "Разрешить делегирование учетных данных по умолчанию" можно задать одно или несколько имен субъектов-служб (SPN). Имя субъекта-службы представляет целевой сервер, которому можно делегировать учетные данные пользователя. При указании имени субъекта-службы допускается использование одного подстановочного знака.
Например:
TERMSRV/host.humanresources.fabrikam.com узел сеансов удаленного рабочего стола, работающий на host.humanresources.fabrikam.com компьютере.
TERMSRV/* Узел сеансов удаленного рабочего стола, работающий на всех компьютерах.
TERMSRV/*.humanresources.fabrikam.com узел сеансов удаленного рабочего стола, работающий на всех компьютерах в humanresources.fabrikam.com.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
Имя | Значение |
---|---|
Имя | AllowDefaultCredentials |
Понятное имя | Разрешить делегирование учетных данных по умолчанию |
Location | Конфигурация компьютера |
Путь | Делегирование системных > учетных данных |
Имя раздела реестра | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Имя значения реестра | AllowDefaultCredentials |
Имя файла ADMX | CredSsp.admx |
AllowDefCredentialsWhenNTLMOnly
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowDefCredentialsWhenNTLMOnly
Этот параметр политики применяется к приложениям, использующим компонент Cred SSP (например, подключение к удаленному рабочему столу).
Этот параметр политики применяется при проверке подлинности сервера с помощью NTLM.
Если этот параметр политики включен, можно указать серверы, которым можно делегировать учетные данные пользователя по умолчанию (учетные данные по умолчанию используются при первом входе в Windows).
Если этот параметр политики отключен или не настроен (по умолчанию), делегирование учетных данных по умолчанию запрещено ни одному компьютеру.
Примечание.
Параметру политики "Разрешить делегирование учетных данных по умолчанию с проверкой подлинности сервера только NTLM" можно задать одно или несколько имен субъектов-служб (SPN). Имя субъекта-службы представляет целевой сервер, которому можно делегировать учетные данные пользователя. При указании имени субъекта-службы допускается использование одного подстановочного знака.
Например:
TERMSRV/host.humanresources.fabrikam.com узел сеансов удаленного рабочего стола, работающий на host.humanresources.fabrikam.com компьютере.
TERMSRV/* Узел сеансов удаленного рабочего стола, работающий на всех компьютерах.
TERMSRV/*.humanresources.fabrikam.com узел сеансов удаленного рабочего стола, работающий на всех компьютерах в humanresources.fabrikam.com.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
Имя | Значение |
---|---|
Имя | AllowDefCredentialsWhenNTLMOnly |
Понятное имя | Разрешить делегирование учетных данных по умолчанию с проверкой подлинности сервера только NTLM |
Location | Конфигурация компьютера |
Путь | Делегирование системных > учетных данных |
Имя раздела реестра | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Имя значения реестра | AllowDefCredentialsWhenNTLMOnly |
Имя файла ADMX | CredSsp.admx |
AllowEncryptionOracle
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowEncryptionOracle
Исправление Oracle для шифрования.
Этот параметр политики применяется к приложениям, использующим компонент CredSSP (например, подключение к удаленному рабочему столу).
Некоторые версии протокола CredSSP уязвимы для атаки oracle шифрования на клиент. Эта политика управляет совместимостью с уязвимыми клиентами и серверами. Эта политика позволяет задать требуемый уровень защиты для уязвимости oracle шифрования.
Если этот параметр политики включен, поддержка версий CredSSP будет выбрана на основе следующих параметров:
Принудительно обновленные клиенты. Клиентские приложения, использующие CredSSP, не смогут вернуться к небезопасным версиям и службам, использующим CredSSP, не будут принимать клиенты без исправления. Обратите внимание, что этот параметр не следует развертывать, пока все удаленные узлы не поддерживают последнюю версию.
Устранено: клиентские приложения, использующие CredSSP, не смогут вернуться к небезопасной версии, но службы, использующие CredSSP, будут принимать клиенты без исправления. См. ссылку ниже для получения важных сведений о риске, создаваемом оставшимися клиентами без исправления.
Уязвимые. Клиентские приложения, использующие CredSSP, будут подвергать удаленные серверы атакам, поддерживая небезопасные версии и службы, использующие CredSSP, будут принимать клиенты без исправления.
Дополнительные сведения об уязвимостях и требованиях к обслуживанию для защиты см. в статье. https://go.microsoft.com/fwlink/?linkid=866660
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
Имя | Значение |
---|---|
Имя | AllowEncryptionOracle |
Понятное имя | Исправление Oracle для шифрования |
Location | Конфигурация компьютера |
Путь | Делегирование системных > учетных данных |
Имя раздела реестра | Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
Имя файла ADMX | CredSsp.admx |
AllowFreshCredentials
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowFreshCredentials
Этот параметр политики применяется к приложениям, использующим компонент Cred SSP (например, подключение к удаленному рабочему столу).
Этот параметр политики применяется, если проверка подлинности сервера была выполнена с помощью доверенного сертификата X509 или Kerberos.
Если этот параметр политики включен, можно указать серверы, которым можно делегировать новые учетные данные пользователя (новые учетные данные — это те, которые запрашиваются при выполнении приложения).
Если этот параметр политики не настроен (по умолчанию), после надлежащей взаимной проверки подлинности делегирование новых учетных данных разрешается узлу сеансов удаленных рабочих столов, работающему на любом компьютере (TERMSRV/*).
Если этот параметр политики отключен, делегирование новых учетных данных запрещено ни на одном компьютере.
Примечание.
Для параметра политики "Разрешить делегирование новых учетных данных" можно задать одно или несколько имен субъектов-служб (SPN). Имя субъекта-службы представляет целевой сервер, которому можно делегировать учетные данные пользователя. При указании имени субъекта-службы допускается использование одного подстановочного знака.
Например:
TERMSRV/host.humanresources.fabrikam.com.
Узел сеансов удаленного рабочего стола, работающий на host.humanresources.fabrikam.com компьютере.
TERMSRV/* Узел сеансов удаленного рабочего стола, работающий на всех компьютерах.
TERMSRV/*.humanresources.fabrikam.com узел сеансов удаленного рабочего стола, работающий на всех компьютерах в humanresources.fabrikam.com.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
Имя | Значение |
---|---|
Имя | AllowFreshCredentials |
Понятное имя | Разрешить делегирование новых учетных данных |
Location | Конфигурация компьютера |
Путь | Делегирование системных > учетных данных |
Имя раздела реестра | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Имя значения реестра | AllowFreshCredentials |
Имя файла ADMX | CredSsp.admx |
AllowFreshCredentialsWhenNTLMOnly
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowFreshCredentialsWhenNTLMOnly
Этот параметр политики применяется к приложениям, использующим компонент Cred SSP (например, подключение к удаленному рабочему столу).
Этот параметр политики применяется при проверке подлинности сервера с помощью NTLM.
Если этот параметр политики включен, можно указать серверы, которым можно делегировать новые учетные данные пользователя (новые учетные данные — это те, которые запрашиваются при выполнении приложения).
Если этот параметр политики не настроен (по умолчанию), после надлежащей взаимной проверки подлинности делегирование новых учетных данных разрешается узлу сеансов удаленных рабочих столов, работающему на любом компьютере (TERMSRV/*).
Если этот параметр политики отключен, делегирование новых учетных данных запрещено ни на одном компьютере.
Примечание.
Для параметра политики "Разрешить делегирование новых учетных данных с проверкой подлинности сервера только NTLM" можно задать одно или несколько имен субъектов-служб (SPN). Имя субъекта-службы представляет целевой сервер, которому можно делегировать учетные данные пользователя. При указании имени субъекта-службы допускается использование одного подстановочного знака.
Например:
TERMSRV/host.humanresources.fabrikam.com узел сеансов удаленного рабочего стола, работающий на host.humanresources.fabrikam.com компьютере.
TERMSRV/* Узел сеансов удаленного рабочего стола, работающий на всех компьютерах.
TERMSRV/*.humanresources.fabrikam.com узел сеансов удаленного рабочего стола, работающий на всех компьютерах в humanresources.fabrikam.com.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
Имя | Значение |
---|---|
Имя | AllowFreshCredentialsWhenNTLMOnly |
Понятное имя | Разрешить делегирование новых учетных данных с помощью проверки подлинности сервера только NTLM |
Location | Конфигурация компьютера |
Путь | Делегирование системных > учетных данных |
Имя раздела реестра | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Имя значения реестра | AllowFreshCredentialsWhenNTLMOnly |
Имя файла ADMX | CredSsp.admx |
AllowSavedCredentials
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowSavedCredentials
Этот параметр политики применяется к приложениям, использующим компонент Cred SSP (например, подключение к удаленному рабочему столу).
Этот параметр политики применяется, если проверка подлинности сервера была выполнена с помощью доверенного сертификата X509 или Kerberos.
Если этот параметр политики включен, можно указать серверы, на которые можно делегировать сохраненные учетные данные пользователя (сохраненные учетные данные — это те, которые вы решили сохранить или запомнить с помощью диспетчера учетных данных Windows).
Если этот параметр политики не настроен (по умолчанию), после надлежащей взаимной проверки подлинности делегирование сохраненных учетных данных разрешено узлу сеансов удаленных рабочих столов, работающему на любом компьютере (TERMSRV/*).
Если этот параметр политики отключен, делегирование сохраненных учетных данных запрещено ни на одном компьютере.
Примечание.
Параметру политики "Разрешить делегирование сохраненных учетных данных" можно задать одно или несколько имен субъектов-служб (SPN). Имя субъекта-службы представляет целевой сервер, которому можно делегировать учетные данные пользователя. При указании имени субъекта-службы допускается использование одного подстановочного знака.
Например:
TERMSRV/host.humanresources.fabrikam.com узел сеансов удаленного рабочего стола, работающий на host.humanresources.fabrikam.com компьютере.
TERMSRV/* Узел сеансов удаленного рабочего стола, работающий на всех компьютерах.
TERMSRV/*.humanresources.fabrikam.com узел сеансов удаленного рабочего стола, работающий на всех компьютерах в humanresources.fabrikam.com.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
Имя | Значение |
---|---|
Имя | AllowSavedCredentials |
Понятное имя | Разрешить делегирование сохраненных учетных данных |
Location | Конфигурация компьютера |
Путь | Делегирование системных > учетных данных |
Имя раздела реестра | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Имя значения реестра | AllowSavedCredentials |
Имя файла ADMX | CredSsp.admx |
AllowSavedCredentialsWhenNTLMOnly
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowSavedCredentialsWhenNTLMOnly
Этот параметр политики применяется к приложениям, использующим компонент Cred SSP (например, подключение к удаленному рабочему столу).
Этот параметр политики применяется при проверке подлинности сервера с помощью NTLM.
Если этот параметр политики включен, можно указать серверы, на которые можно делегировать сохраненные учетные данные пользователя (сохраненные учетные данные — это те, которые вы решили сохранить или запомнить с помощью диспетчера учетных данных Windows).
Если этот параметр политики не настроен (по умолчанию), после правильной взаимной проверки подлинности делегирование сохраненных учетных данных будет разрешено узлу сеансов удаленного рабочего стола, работающему на любом компьютере (TERMSRV/*), если клиентский компьютер не является членом какого-либо домена. Если клиент присоединен к домену, по умолчанию делегирование сохраненных учетных данных запрещено ни на одном компьютере.
Если этот параметр политики отключен, делегирование сохраненных учетных данных запрещено ни на одном компьютере.
Примечание.
Для параметра политики "Разрешить делегирование сохраненных учетных данных с проверкой подлинности сервера только NTLM" можно задать одно или несколько имен субъектов-служб (SPN). Имя субъекта-службы представляет целевой сервер, которому можно делегировать учетные данные пользователя. При указании имени субъекта-службы допускается использование одного подстановочного знака.
Например:
TERMSRV/host.humanresources.fabrikam.com узел сеансов удаленного рабочего стола, работающий на host.humanresources.fabrikam.com компьютере.
TERMSRV/* Узел сеансов удаленного рабочего стола, работающий на всех компьютерах.
TERMSRV/*.humanresources.fabrikam.com узел сеансов удаленного рабочего стола, работающий на всех компьютерах в humanresources.fabrikam.com.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
Имя | Значение |
---|---|
Имя | AllowSavedCredentialsWhenNTLMOnly |
Понятное имя | Разрешить делегирование сохраненных учетных данных с проверкой подлинности сервера только NTLM |
Location | Конфигурация компьютера |
Путь | Делегирование системных > учетных данных |
Имя раздела реестра | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Имя значения реестра | AllowSavedCredentialsWhenNTLMOnly |
Имя файла ADMX | CredSsp.admx |
DenyDefaultCredentials
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenyDefaultCredentials
Этот параметр политики применяется к приложениям, использующим компонент Cred SSP (например, подключение к удаленному рабочему столу).
Если этот параметр политики включен, можно указать серверы, которым нельзя делегировать учетные данные пользователя по умолчанию (учетные данные по умолчанию используются при первом входе в Windows).
Если этот параметр политики отключен или не настроен (по умолчанию), этот параметр политики не указывает ни один сервер.
Примечание.
Для параметра политики "Запрет делегирования учетных данных по умолчанию" можно задать одно или несколько имен субъектов-служб (SPN). Имя субъекта-службы представляет целевой сервер, которому нельзя делегировать учетные данные пользователя. При указании имени субъекта-службы допускается использование одного подстановочного знака.
Например:
TERMSRV/host.humanresources.fabrikam.com узел сеансов удаленного рабочего стола, работающий на host.humanresources.fabrikam.com компьютере.
TERMSRV/* Узел сеансов удаленного рабочего стола, работающий на всех компьютерах.
TERMSRV/*.humanresources.fabrikam.com узел сеансов удаленного рабочего стола, работающий на всех компьютерах в humanresources.fabrikam.com.
Этот параметр политики можно использовать в сочетании с параметром политики "Разрешить делегирование учетных данных по умолчанию" для определения исключений для определенных серверов, которые в противном случае разрешены при использовании подстановочных знаков в списке серверов "Разрешить делегирование учетных данных по умолчанию".
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
Имя | Значение |
---|---|
Имя | DenyDefaultCredentials |
Понятное имя | Запрет делегирования учетных данных по умолчанию |
Location | Конфигурация компьютера |
Путь | Делегирование системных > учетных данных |
Имя раздела реестра | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Имя значения реестра | DenyDefaultCredentials |
Имя файла ADMX | CredSsp.admx |
DenyFreshCredentials
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenyFreshCredentials
Этот параметр политики применяется к приложениям, использующим компонент Cred SSP (например, подключение к удаленному рабочему столу).
Если этот параметр политики включен, можно указать серверы, которым нельзя делегировать новые учетные данные пользователя (новые учетные данные — это те, которые запрашиваются при выполнении приложения).
Если этот параметр политики отключен или не настроен (по умолчанию), этот параметр политики не указывает ни один сервер.
Примечание.
Для параметра политики "Запрет делегации новых учетных данных" можно задать одно или несколько имен субъектов-служб (SPN). Имя субъекта-службы представляет целевой сервер, которому нельзя делегировать учетные данные пользователя. При указании имени субъекта-службы допускается использование одного подстановочного знака.
Например:
TERMSRV/host.humanresources.fabrikam.com узел сеансов удаленного рабочего стола, работающий на host.humanresources.fabrikam.com компьютере.
TERMSRV/* Узел сеансов удаленного рабочего стола, работающий на всех компьютерах.
TERMSRV/*.humanresources.fabrikam.com узел сеансов удаленного рабочего стола, работающий на всех компьютерах в humanresources.fabrikam.com.
Этот параметр политики можно использовать в сочетании с параметром политики "Разрешить делегирование новых учетных данных" для определения исключений для определенных серверов, которые в противном случае разрешены при использовании подстановочных знаков в списке серверов "Разрешить делегирование новых учетных данных".
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
Имя | Значение |
---|---|
Имя | DenyFreshCredentials |
Понятное имя | Запрет делегации новых учетных данных |
Location | Конфигурация компьютера |
Путь | Делегирование системных > учетных данных |
Имя раздела реестра | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Имя значения реестра | DenyFreshCredentials |
Имя файла ADMX | CredSsp.admx |
DenySavedCredentials
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenySavedCredentials
Этот параметр политики применяется к приложениям, использующим компонент Cred SSP (например, подключение к удаленному рабочему столу).
Если этот параметр политики включен, можно указать серверы, которым нельзя делегировать сохраненные учетные данные пользователя (сохраненные учетные данные — это те, которые вы решили сохранить и запомнить с помощью диспетчера учетных данных Windows).
Если этот параметр политики отключен или не настроен (по умолчанию), этот параметр политики не указывает ни один сервер.
Примечание.
Для параметра политики "Запрет делегирования сохраненных учетных данных" можно задать одно или несколько имен субъектов-служб (SPN). Имя субъекта-службы представляет целевой сервер, которому нельзя делегировать учетные данные пользователя. При указании имени субъекта-службы допускается использование одного подстановочного знака.
Например:
TERMSRV/host.humanresources.fabrikam.com узел сеансов удаленного рабочего стола, работающий на host.humanresources.fabrikam.com компьютере.
TERMSRV/* Узел сеансов удаленного рабочего стола, работающий на всех компьютерах.
TERMSRV/*.humanresources.fabrikam.com узел сеансов удаленного рабочего стола, работающий на всех компьютерах в humanresources.fabrikam.com.
Этот параметр политики можно использовать в сочетании с параметром политики "Разрешить делегирование сохраненных учетных данных" для определения исключений для определенных серверов, которые в противном случае разрешены при использовании подстановочных знаков в списке серверов "Разрешить делегирование сохраненных учетных данных".
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
Имя | Значение |
---|---|
Имя | DenySavedCredentials |
Понятное имя | Запрет делегирования сохраненных учетных данных |
Location | Конфигурация компьютера |
Путь | Делегирование системных > учетных данных |
Имя раздела реестра | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Имя значения реестра | DenySavedCredentials |
Имя файла ADMX | CredSsp.admx |
RestrictedRemoteAdministration
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration
При запуске в режиме ограниченного администратора или удаленного credential Guard участвующие приложения не предоставляют вошедшего в систему или предоставленные учетные данные удаленному узлу. Ограниченный администратор ограничивает доступ к ресурсам, расположенным на других серверах или в сетях с удаленного узла, так как учетные данные не делегированы. Remote Credential Guard не ограничивает доступ к ресурсам, так как перенаправляет все запросы обратно на клиентское устройство.
Участвующие приложения:
Клиент удаленного рабочего стола.
- Если этот параметр политики включен, поддерживаются следующие параметры:
Ограничение делегирования учетных данных. Участвующие приложения должны использовать ограниченный администратор или remote Credential Guard для подключения к удаленным узлам.
Требовать remote Credential Guard. Участвующие приложения должны использовать Remote Credential Guard для подключения к удаленным узлам.
Требовать ограниченного администратора. Участвующие приложения должны использовать ограниченный администратор для подключения к удаленным узлам.
- Если этот параметр политики отключен или не настроен, режимы ограниченного администратора и удаленного credential Guard не применяются, а участвующие приложения могут делегировать учетные данные удаленным устройствам.
Примечание.
Чтобы отключить большую часть делегирования учетных данных, может быть достаточно запретить делегирование в поставщике поддержки безопасности учетных данных (CredSSP), изменив параметры административного шаблона (находятся в разделе Конфигурация компьютера\Административные шаблоны\Система\Делегирование учетных данных).
Примечание.
На Windows 8.1 и Windows Server 2012 R2 включение этой политики будет применять режим ограниченного администрирования независимо от выбранного режима. Эти версии не поддерживают Remote Credential Guard.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
Имя | Значение |
---|---|
Имя | RestrictedRemoteAdministration |
Понятное имя | Ограничение делегирования учетных данных удаленным серверам |
Location | Конфигурация компьютера |
Путь | Делегирование системных > учетных данных |
Имя раздела реестра | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Имя значения реестра | RestrictedRemoteAdministration |
Имя файла ADMX | CredSsp.admx |