Поделиться через


Поставщик служб CSP политики — ADMX_sam

Совет

Этот CSP содержит политики, поддерживаемые ADMX, для включения или отключения которых требуется специальный формат SyncML. Необходимо указать тип данных в SyncML как <Format>chr</Format>. Дополнительные сведения см. в разделе Общие сведения о политиках на основе ADMX.

Полезные данные SyncML должны быть в кодировке XML; Для этой кодирования XML существуют различные сетевые кодировщики, которые можно использовать. Чтобы избежать кодирования полезных данных, можно использовать CDATA, если mdm поддерживает их. Дополнительные сведения см. в разделе Разделы CDATA.

SamNGCKeyROCAValidation

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий
✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий
✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий
✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/ADMX_sam/SamNGCKeyROCAValidation

Этот параметр политики позволяет настроить, как контроллеры домена обрабатывают ключи Windows Hello для бизнеса (WHfB), которые уязвимы для уязвимости "Возвращение атаки Coppersmith" (ROCA).

Дополнительные сведения об уязвимости ROCA см. в следующих разделах:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15361

https://en.wikipedia.org/wiki/ROCA_vulnerability

Если этот параметр политики включен, поддерживаются следующие параметры:

Игнорировать: во время проверки подлинности контроллер домена не будет проверять ключи WHfB на наличие уязвимости ROCA.

Аудит. Во время проверки подлинности контроллер домена будет выдавать события аудита для ключей WHfB, которые подвержены уязвимости ROCA (проверка подлинности по-прежнему будет выполнена успешно).

Блокировать: во время проверки подлинности контроллер домена заблокирует использование ключей WHfB, которые подвержены уязвимости ROCA (проверка подлинности завершится ошибкой).

Этот параметр вступает в силу только на контроллерах домена.

Если настройка не настроена, контроллеры домена по умолчанию будут использовать свою локальную конфигурацию. Локальная конфигурация по умолчанию — Аудит.

Перезагрузка не требуется, чтобы изменения этого параметра вступили в силу.

Обратите внимание, что во избежание непредвиденных сбоев этот параметр не должен иметь значение Блокировать, пока не будут выполнены соответствующие меры по устранению рисков, например исправление уязвимых TTPM.

Дополнительные сведения см. по адресу<https://go.microsoft.com/fwlink/?linkid=2116430>.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя SamNGCKeyROCAValidation
Понятное имя Настройка проверки ключей WHfB, уязвимых к ROCA, во время проверки подлинности
Location Конфигурация компьютера
Путь Диспетчер учетных записей безопасности системы >
Имя раздела реестра Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM
Имя файла ADMX sam.admx

Поставщик служб конфигурации политики