Параметры групповой политики и реестра смарт-карт
В этой статье для ИТ-специалистов и разработчиков интеллектуальных карта описаны параметры групповая политика, параметры раздела реестра, параметры локальной политики безопасности и параметры политики делегирования учетных данных, доступные для настройки смарт-карт.
В следующих разделах и таблицах перечислены связанные с интеллектуальными карта параметры групповая политика и разделы реестра, которые можно задать для каждого компьютера. Если вы используете объекты групповая политика домена , вы можете изменять и применять параметры групповая политика к локальным компьютерам или компьютерам домена.
-
Параметры основного групповая политика для смарт-карт
- Разрешить сертификаты без атрибута сертификата расширенного использования ключа
- Разрешить использование сертификатов ECC для входа и проверки подлинности
- Разрешить отображение встроенного экрана разблокировки во время входа
- Разрешить ключи подписи, допустимые для входа
- Разрешить недопустимые сертификаты по времени
- Указание разрешения имени пользователя
- Настройка очистки корневого сертификата
- Отображение строки при блокировке смарт-карта
- Фильтрация повторяющихся сертификатов входа
- Принудительное чтение всех сертификатов из смарт-карта
- Уведомление пользователя об успешной установке драйвера smart карта
- Запретить получение ПИН-кодов в виде обычного текста диспетчером учетных данных
- Отмена имени субъекта, хранящегося в сертификате, при отображении
- Включение распространения сертификатов из смарт-карта
- Включение распространения корневого сертификата из смарт-карта
- Включение службы Plug and Play смарт-карт
- Базовые разделы реестра CSP и KSP смарт-карт
- Проверка списков отзыва сертификатов реестра
- Дополнительные параметры интеллектуальной карта групповая политика и разделы реестра
Параметры основного групповая политика для смарт-карт
Следующие параметры смарт-карта групповая политика находятся в разделе Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Смарт-карта.
Разделы реестра находятся в следующих расположениях:
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ScPnP\EnableScPnP
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CertProp
Примечание.
Сведения о реестре средства чтения смарт-карта содержатся в HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Calais\Readers.
Сведения о реестре смарт-карта содержатся в HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Calais\SmartCards.
В следующей таблице перечислены значения по умолчанию для этих параметров объекта групповой политики. Варианты описаны в описании политики в этой статье.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
| Default Domain Policy | Не настроено |
| Политика контроллера домена по умолчанию | Не настроено |
| Параметры по умолчанию для автономного сервера | Не настроено |
| Действующие параметры по умолчанию для контроллера домена | Отключено |
| Действующие параметры по умолчанию для рядового сервера | Отключено |
| Действующие параметры по умолчанию для клиентского компьютера | Отключено |
Разрешить сертификаты без атрибута сертификата расширенного использования ключа
Этот параметр политики можно использовать, чтобы разрешить использование сертификатов без расширенного использования ключа (EKU) для входа.
Примечание.
Атрибут сертификата расширенного использования ключа также называется расширенным использованием ключа.
В версиях Windows до Windows Vista смарт-карта сертификатам, используемым для входа, требуется расширение EKU с идентификатором объекта интеллектуального карта входа. Этот параметр политики можно использовать для изменения этого ограничения.
Если этот параметр политики включен, сертификаты со следующими атрибутами также можно использовать для входа с помощью смарт-карта:
- Сертификаты без EKU
- Сертификаты с EKU "Все назначения"
- Сертификаты с EKU проверки подлинности клиента
Если этот параметр политики не включен, для входа с помощью смарт-карта можно использовать только сертификаты, содержащие идентификатор объекта интеллектуального карта входа.
| Элемент | Описание |
|---|---|
| Раздел реестра | AllowCertificatesWithNoEKU |
| Значения по умолчанию | Нет изменений для версий операционной системы Отключенные и не настроенные эквивалентны |
| Управление политикой | Требование перезапуска: нет Требование выхода: нет Конфликты политик: Нет |
Разрешить использование сертификатов ECC для входа и проверки подлинности
Этот параметр политики можно использовать для управления тем, можно ли использовать сертификаты шифрования на эллиптических кривых (ECC) в интеллектуальной карта для входа в домен.
Если этот параметр включен, для входа в домен можно использовать сертификаты ECC на смарт-карта.
Если этот параметр не включен, сертификаты ECC на смарт-карта нельзя использовать для входа в домен.
| Элемент | Описание |
|---|---|
| Раздел реестра | EnumerateECCCerts |
| Значения по умолчанию | Нет изменений для версий операционной системы Отключенные и не настроенные эквивалентны |
| Управление политикой | Требование перезапуска: нет Требование выхода: нет Конфликты политик: Нет |
| Заметки и ресурсы | Этот параметр политики влияет только на возможность входа пользователя в домен. Этот параметр политики не влияет на сертификаты ECC на смарт-карта, которые используются для других приложений, таких как подписывание документов. Если для входа используется ключ ECDSA, необходимо также иметь связанный ключ ECDH, чтобы разрешить вход, если вы не подключены к сети. |
Разрешить отображение встроенного экрана разблокировки во время входа
Этот параметр политики можно использовать, чтобы определить, доступна ли встроенная функция разблокировки в пользовательском интерфейсе входа. Эта функция была представлена в качестве стандартной функции в поставщике поддержки безопасности учетных данных в Windows Vista.
Если этот параметр включен, доступна встроенная функция разблокировки.
Если этот параметр не включен, функция недоступна.
| Элемент | Описание |
|---|---|
| Раздел реестра | AllowIntegratedUnblock |
| Значения по умолчанию | Нет изменений для версий операционной системы Отключенные и не настроенные эквивалентны |
| Управление политикой | Требование перезапуска: нет Требование выхода: нет Конфликты политик: Нет |
| Заметки и ресурсы | Чтобы использовать встроенную функцию разблокировки, интеллектуальная карта должна поддерживать ее. Обратитесь к производителю оборудования, чтобы убедиться, что смарт-карта поддерживает эту функцию. Вы можете создать пользовательское сообщение, которое пользователь видит при блокировке смарт-карта, настроив параметр политики Отображение строки при блокировке смарт-карта. |
Разрешить ключи подписи, допустимые для входа
Этот параметр политики можно использовать, чтобы разрешить перечисление сертификатов на основе ключа подписи и их доступность для входа.
Если этот параметр включен, на экране входа отображаются все сертификаты, доступные в смарт-карта с ключом только для подписи.
Если этот параметр не включен, сертификаты, доступные в смарт-карта с ключом только для подписи, не отображаются на экране входа.
| Элемент | Описание |
|---|---|
| Раздел реестра | AllowSignatureOnlyKeys |
| Значения по умолчанию | Нет изменений для версий операционной системы Отключенные и не настроенные эквивалентны |
| Управление политикой | Требование перезапуска: нет Требование выхода: нет Конфликты политик: Нет |
Разрешить недопустимые сертификаты по времени
Этот параметр политики можно использовать, чтобы разрешить отображение сертификатов, срок действия которых истек или еще не действителен для входа.
Примечание.
До Windows Vista сертификаты должны были содержать допустимое время и не истекать. Чтобы использовать сертификат, он должен быть принят контроллером домена. Этот параметр политики определяет только, какие сертификаты отображаются на клиентском компьютере.
Если этот параметр включен, сертификаты отображаются на экране входа независимо от того, имеет ли у них недопустимое время или истек срок действия времени.
Если этот параметр политики не включен, сертификаты, срок действия которых истек или еще не действителен, не отображаются на экране входа.
| Элемент | Описание |
|---|---|
| Раздел реестра | AllowTimeInvalidCertificates |
| Значения по умолчанию | Нет изменений для версий операционной системы Отключенные и не настроенные эквивалентны |
| Управление политикой | Требование перезапуска: нет Требование выхода: нет Конфликты политик: Нет |
Указание разрешения имени пользователя
Этот параметр политики можно использовать, чтобы определить, отображается ли необязательное поле во время входа и предоставляет последующий процесс повышения прав, в котором пользователи могут ввести свое имя пользователя или имя пользователя и домен, который связывает сертификат с пользователем.
Если этот параметр политики включен, пользователи увидят необязательное поле, в котором можно ввести имя пользователя или имя пользователя и домен.
Если этот параметр политики не включен, пользователи не видят это необязательное поле.
| Элемент | Описание |
|---|---|
| Раздел реестра | X509HintsNeeded |
| Значения по умолчанию | Нет изменений для версий операционной системы Отключенные и не настроенные эквивалентны |
| Управление политикой | Требование перезапуска: нет Требование выхода: нет Конфликты политик: Нет |
Настройка очистки корневого сертификата
Этот параметр политики можно использовать для управления поведением очистки корневых сертификатов. Сертификаты проверяются с помощью цепочки доверия, а привязкой доверия для цифрового сертификата является корневой центр сертификации (ЦС). ЦС может выдать несколько сертификатов с корневым сертификатом в качестве верхнего сертификата структуры дерева. Закрытый ключ используется для подписи других сертификатов. Это создает унаследованную надежность для всех сертификатов непосредственно под корневым сертификатом.
Если этот параметр политики включен, можно задать следующие параметры очистки:
- Очистка отсутствует. Когда пользователь выходит или удаляет смарт-карта, корневые сертификаты, используемые во время сеанса, сохраняются на компьютере.
- Очистка сертификатов при удалении смарт-карта. При удалении смарт-карта удаляются корневые сертификаты.
- Очистка сертификатов при выходе из системы. Когда пользователь выходит из Windows, корневые сертификаты удаляются.
Если этот параметр политики не включен, корневые сертификаты автоматически удаляются при выходе пользователя из Windows.
| Элемент | Описание |
|---|---|
| Раздел реестра | RootCertificateCleanupOption |
| Значения по умолчанию | Нет изменений для версий операционной системы Отключенные и не настроенные эквивалентны |
| Управление политикой | Требование перезапуска: нет Требование выхода: нет Конфликты политик: Нет |
Отображение строки при блокировке смарт-карта
Этот параметр политики можно использовать для изменения сообщения по умолчанию, которое видит пользователь, если его смарт-карта заблокирован.
Если этот параметр политики включен, можно создать отображаемое сообщение, которое пользователь видит при блокировке смарт-карта, и управлять ими.
Если этот параметр политики не включен (а встроенная функция разблокировки также включена), пользователь видит сообщение системы по умолчанию при блокировке смарт-карта.
| Элемент | Описание |
|---|---|
| Раздел реестра | IntegratedUnblockPromptString |
| Значения по умолчанию | Нет изменений для версий операционной системы Отключенные и не настроенные эквивалентны |
| Управление политикой | Требование перезапуска: нет Требование выхода: нет Конфликты политик. Этот параметр политики действует только в том случае, если включен экран Разрешить встроенную разблокировку, отображаемый во время входа в систему. |
Фильтрация повторяющихся сертификатов входа
Этот параметр политики можно использовать для настройки отображаемых допустимых сертификатов входа.
Примечание.
В период продления сертификата смарт-карта пользователя может иметь несколько действительных сертификатов для входа, выданных из одного шаблона сертификата, что может привести к путанице в отношении выбранного сертификата. Это может произойти, когда сертификат обновляется, а срок действия старого сертификата еще не истек.
Если два сертификата выдаются из одного шаблона с одной основной версией и предназначены для одного и того же пользователя (это определяется его именем участника-пользователя), они определяются как одинаковые.
Если этот параметр политики включен, выполняется фильтрация, чтобы пользователь смог выбрать только самые актуальные действительные сертификаты.
Если этот параметр политики не включен, пользователю будут отображаться все сертификаты.
Этот параметр политики применяется к компьютеру после применения параметра политики Разрешить недопустимые сертификаты во время .
| Элемент | Описание |
|---|---|
| Раздел реестра | FilterDuplicateCerts |
| Значения по умолчанию | Нет изменений для версий операционной системы Отключенные и не настроенные эквивалентны |
| Управление политикой | Требование перезапуска: нет Требование выхода: нет Конфликты политик: Нет |
| Заметки и ресурсы | Если на смарт-карта есть два или более одинаковых сертификатов и этот параметр политики включен, отображается сертификат с наиболее удаленным сроком действия. |
Принудительное чтение всех сертификатов из смарт-карта
Этот параметр политики можно использовать для управления тем, как Windows считывает все сертификаты из смарт-карта для входа. Во время входа Windows считывает из смарт-карта только сертификат по умолчанию, если он не поддерживает получение всех сертификатов в одном вызове. Этот параметр политики заставляет Windows считывать все сертификаты из смарт-карта.
Если этот параметр политики включен, Windows пытается считывать все сертификаты из смарт-карта независимо от набора функций CSP.
Если эта политика не включена, Windows пытается считывать только сертификат по умолчанию со смарт-карт, которые не поддерживают получение всех сертификатов в одном вызове. Сертификаты, отличные от стандартного, недоступны для входа.
| Элемент | Описание |
|---|---|
| Раздел реестра | ForceReadingAllCertificates |
| Значения по умолчанию | Нет изменений для версий операционной системы Отключенные и не настроенные эквивалентны |
| Управление политикой | Требование перезапуска: нет Требование выхода: нет Конфликты политик: Нет Важно! Включение этого параметра политики может отрицательно сказаться на производительности при входе в систему в определенных ситуациях. |
| Заметки и ресурсы | Обратитесь к поставщику интеллектуальной карта, чтобы определить, поддерживает ли ваш интеллектуальный карта и связанный поставщик служб CSP требуемое поведение. |
Уведомление пользователя об успешной установке драйвера smart карта
Этот параметр политики можно использовать для управления тем, видит ли пользователь сообщение подтверждения при установке драйвера устройства smart карта.
Если этот параметр политики включен, пользователь видит сообщение с подтверждением при установке драйвера устройства интеллектуальной карта.
Если этот параметр не включен, пользователь не увидит сообщение об установке драйвера смарт-карта устройства.
| -- | -- |
|---|---|
| Раздел реестра | ScPnPNotification |
| Значения по умолчанию | Нет изменений для версий операционной системы Отключенные и не настроенные эквивалентны |
| Управление политикой | Требование перезапуска: нет Требование выхода: нет Конфликты политик: Нет |
| Заметки и ресурсы | Этот параметр политики применяется только к драйверам smart карта, которые прошли тестирование Лаборатории качества оборудования Windows (WHQL). |
Запретить получение ПИН-кодов в виде обычного текста диспетчером учетных данных
Этот параметр политики можно использовать, чтобы запретить диспетчеру учетных данных возвращать ПИН-коды в виде открытого текста.
Примечание.
Диспетчер учетных данных управляется пользователем на локальном компьютере и хранит учетные данные из поддерживаемых браузеров и приложений Windows. Учетные данные сохраняются в специальных зашифрованных папках на компьютере в профиле пользователя.
Если этот параметр политики включен, диспетчер учетных данных не возвращает ПИН-код в виде открытого текста.
Если этот параметр не включен, диспетчер учетных данных может возвращать ПИН-коды в виде открытого текста.
| Элемент | Описание |
|---|---|
| Раздел реестра | DisallowPlaintextPin |
| Значения по умолчанию | Нет изменений для версий операционной системы Отключенные и не настроенные эквивалентны |
| Управление политикой | Требование перезапуска: нет Требование выхода: нет Конфликты политик: Нет |
| Заметки и ресурсы | Если этот параметр политики включен, некоторые смарт-карты могут не работать на компьютерах под управлением Windows. Чтобы определить, следует ли включить этот параметр политики, обратитесь к производителю интеллектуальной карта. |
Отмена имени субъекта, хранящегося в сертификате, при отображении
Этот параметр политики можно использовать для управления тем, как имя субъекта отображается во время входа.
Примечание.
Чтобы помочь пользователям отличить один сертификат от другого, по умолчанию отображаются имя участника-пользователя (UPN) и общее имя. Например, если этот параметр включен, если субъект сертификата — CN=User1, OU=Users, DN=example, DN=com и имя участника-пользователя — [email protected], user1 отображается с [email protected]. Если имя участника-пользователя отсутствует, отображается все имя субъекта. Этот параметр управляет внешним видом этого имени субъекта, и его, возможно, потребуется настроить для вашей организации.
Если этот параметр политики включен, имя субъекта во время входа будет отображаться в обратном порядке, чем то, как оно хранится в сертификате.
Если этот параметр политики не включен, имя субъекта отображается так же, как оно хранится в сертификате.
| Элемент | Описание |
|---|---|
| Раздел реестра | ReverseSubject |
| Значения по умолчанию | Нет изменений для версий операционной системы Отключенные и не настроенные эквивалентны |
| Управление политикой | Требование перезапуска: нет Требование выхода: нет Конфликты политик: Нет |
Включение распространения сертификатов из смарт-карта
Этот параметр политики можно использовать для управления распространением сертификатов, которое происходит при вставке смарт-карта.
Примечание.
Служба распространения сертификатов применяется, когда пользователь, выполнив вход, вставляет смарт-карта в средство чтения, подключенное к компьютеру. Это действие приводит к тому, что сертификат считывается из смарт-карта. Затем сертификаты добавляются в личное хранилище пользователя.
Если этот параметр политики включен, распространение сертификата происходит, когда пользователь вставляет смарт-карта.
Если этот параметр политики отключен, распространение сертификатов не происходит, а сертификаты недоступны для приложений, таких как Outlook.
| Элемент | Описание |
|---|---|
| Раздел реестра | CertPropEnabled |
| Значения по умолчанию | Нет изменений для версий операционной системы Включено и не настроено эквивалентно |
| Управление политикой | Требование перезапуска: нет Требование выхода: нет Конфликты политик. Этот параметр политики должен быть включен, чтобы включить параметр Включить распространение корневого сертификата из смарт-карта, когда он включен. |
Включение распространения корневого сертификата из смарт-карта
Этот параметр политики можно использовать для управления распространением корневого сертификата, которое происходит при вставке смарт-карта.
Примечание.
Служба распространения сертификатов применяется, когда пользователь, выполнив вход, вставляет смарт-карта в средство чтения, подключенное к компьютеру. Это действие приводит к тому, что сертификат считывается из смарт-карта. Затем сертификаты добавляются в личное хранилище пользователя.
Если этот параметр политики включен, распространение корневого сертификата происходит, когда пользователь вставляет смарт-карта.
Если этот параметр политики не включен, распространение корневого сертификата не происходит, когда пользователь вставляет смарт-карта.
| Элемент | Описание |
|---|---|
| Раздел реестра | EnableRootCertificate Propagation |
| Значения по умолчанию | Нет изменений для версий операционной системы Включено и не настроено эквивалентно |
| Управление политикой | Требование перезапуска: нет Требование выхода: нет Конфликты политик. Чтобы этот параметр политики работал, необходимо также включить параметр политики Включить распространение сертификатов из смарт-карта. |
| Заметки и ресурсы |
Включение службы Plug and Play смарт-карт
Этот параметр политики можно использовать для управления включением Plug and Play смарт-карт.
Примечание.
Пользователи могут использовать смарт-карты от поставщиков, которые опубликовали свои драйверы через клиентский компонент Центра обновления Windows без необходимости использовать специальное ПО промежуточного слоя. Эти драйверы будут загружены так же, как и драйверы для других устройств в Windows. Если соответствующий драйвер недоступен в клиентский компонент Центра обновления Windows, для этих карт используется совместимый с PIV мини-драйвер, который входит в состав любой из поддерживаемых версий Windows.
Если этот параметр политики включен, система пытается установить драйвер устройства smart карта при первом вставке интеллектуального карта в средство чтения смарт-карта.
Если этот параметр политики не включен, драйвер устройства не устанавливается, когда смарт-карта вставляется в средство чтения смарт-карта.
| Элемент | Описание |
|---|---|
| Раздел реестра | EnableScPnP |
| Значения по умолчанию | Нет изменений для версий операционной системы Включено и не настроено эквивалентно |
| Управление политикой | Требование перезапуска: нет Требование выхода: нет Конфликты политик: Нет |
| Заметки и ресурсы | Этот параметр политики применяется только к драйверам smart карта, которые прошли тестирование Лаборатории качества оборудования Windows (WHQL). |
Базовые разделы реестра CSP и KSP смарт-карт
Следующие разделы реестра можно настроить для базового поставщика служб шифрования (CSP) и поставщика хранилища ключей интеллектуальной карта (KSP). В следующих таблицах перечислены ключи. Все ключи используют тип DWORD.
Разделы реестра для базового CSP находятся в реестре в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Base Smart Card Crypto Provider.
Разделы реестра для интеллектуального карта KSP находятся в HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Cryptography\Providers\Microsoft Smart Card Key Storage Provider.
Разделы реестра для базового CSP и интеллектуального карта KSP
| Раздел реестра | Описание |
|---|---|
| AllowPrivateExchangeKeyImport | Ненулевое значение позволяет импортировать закрытые ключи rsa exchange (например, шифрование) для использования в сценариях архивации ключей. Значение по умолчанию: 00000000 |
| AllowPrivateSignatureKeyImport | Ненулевое значение позволяет импортировать закрытые ключи подписи RSA для использования в сценариях архивации ключей. Значение по умолчанию: 00000000 |
| DefaultPrivateKeyLenBits | При необходимости определяет длину закрытых ключей по умолчанию. Значение по умолчанию: 00000400 Параметр создания ключа по умолчанию: 1024-разрядные ключи |
| RequireOnCardPrivateKeyGen | Этот ключ задает флаг, который требует создания закрытого ключа карта (по умолчанию). Если это значение задано, ключ, созданный на узле, можно импортировать в смарт-карта. Он используется для смарт-карт, которые не поддерживают создание ключей карта или где требуется депонирование ключей. Значение по умолчанию: 00000000 |
| TransactionTimeoutMilliseconds | Значения времени ожидания по умолчанию позволяют указать, будут ли транзакции, которые занимают слишком много времени, завершатся ошибкой. Значение по умолчанию: 000005dc Время ожидания по умолчанию для хранения транзакций в смарт-карта составляет 1,5 секунды. |
Дополнительные разделы реестра для интеллектуального карта KSP:
| Раздел реестра | Описание |
|---|---|
| AllowPrivateECDHEKeyImport | Это значение позволяет импортировать закрытые ключи Diffie-Hellman ECDHE для использования в сценариях архивации ключей. Значение по умолчанию: 00000000 |
| AllowPrivateECDSAKeyImport | Это значение позволяет импортировать закрытые ключи алгоритма цифровой подписи на основе эллиптических кривых (ECDSA) для использования в сценариях архивации ключей. Значение по умолчанию: 00000000 |
Проверка списков отзыва сертификатов реестра
В следующей таблице перечислены ключи и соответствующие значения для отключения проверки списка отзыва сертификатов (CRL) в центре распространения ключей (KDC) или клиенте. Чтобы управлять проверкой списка отзыва сертификатов, необходимо настроить параметры как для KDC, так и для клиента.
| Раздел реестра | Сведения |
|---|---|
HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Kdc\UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors |
Type = DWORD Значение = 1 |
HKEY_LOCAL_MACHINE\SYSTEM\CCS\Control\LSA\Kerberos\Parameters\UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors |
Type = DWORD Значение = 1 |
Дополнительные параметры интеллектуальной карта групповая политика и разделы реестра
В развертывании интеллектуальной карта можно использовать дополнительные параметры групповая политика для повышения удобства использования или безопасности. Два из этих параметров политики, которые могут дополнить интеллектуальное развертывание карта:
- Отключение делегирования для компьютеров
- Интерактивный вход: не требуется ctrl+ALT+DEL (не рекомендуется)
Следующие параметры групповая политика, связанные с интеллектуальными карта, находятся в разделе Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметры локальной политики безопасности
| параметр групповая политика и раздел реестра | По умолчанию | Описание |
|---|---|---|
| Интерактивный вход в систему: требовать смарт-карту scforceoption |
Отключено | Этот параметр политики безопасности требует, чтобы пользователи входить на компьютер с помощью интеллектуальной карта. Включен Пользователи могут войти на компьютер только с помощью смарт-карта. Отключен Пользователи могут войти на компьютер с помощью любого метода. ПРИМЕЧАНИЕ. Локальная учетная запись, управляемая Windows LAPS, исключается из этой политики при включении. |
| Интерактивный вход в систему: поведение при извлечении смарт-карты scremoveoption |
Этот параметр политики не определен, что означает, что система обрабатывает его как нет действий. | Этот параметр определяет, что происходит при удалении смарт-карта для вошедшего пользователя из средства чтения смарт-карта. Ниже перечислены возможные варианты. Нет действий Блокировка рабочей станции. Рабочая станция блокируется при удалении интеллектуальной карта, поэтому пользователи могут покинуть этот район, взять с собой интеллектуальные карта и по-прежнему поддерживать защищенный сеанс. Принудительный выход. Пользователь автоматически выходит из системы при удалении смарт-карта. Отключение, если сеанс служб удаленных рабочих столов. Удаление смарт-карта отключает сеанс без выхода пользователя. Пользователь может повторно ввести интеллектуальный карта и возобновить сеанс позже или на другом компьютере, оснащенном интеллектуальным карта читателем, без необходимости повторного входа. Если сеанс является локальным, этот параметр политики работает так же, как и параметр Блокировать рабочую станцию . |
В Редактор локальной политики безопасности (secpol.msc) можно изменять и применять системные политики для управления делегированием учетных данных для локальных компьютеров или компьютеров домена.
Следующие параметры групповая политика, связанные с интеллектуальными карта, находятся в разделе Конфигурация компьютера\Административные шаблоны\Система\Делегирование учетных данных.
Разделы реестра находятся в HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Credssp\PolicyDefaults.
Примечание.
В следующей таблице новые учетные данные — это учетные данные, которые запрашиваются при запуске приложения.
Параметры политики делегирования учетных данных
| параметр групповая политика и раздел реестра | По умолчанию | Описание |
|---|---|---|
| Разрешить делегирование новых учетных данных AllowFreshCredentials |
Не настроено | Этот параметр политики применяется: Когда проверка подлинности сервера была выполнена с помощью доверенного сертификата X509 или протокола Kerberos. Приложения, использующие компонент CredSSP (например, службы удаленных рабочих столов). Включено. Можно указать серверы, на которых можно делегировать новые учетные данные пользователя. Не настроено. После правильной взаимной проверки подлинности разрешено делегирование новых учетных данных службам удаленных рабочих столов, работающим на любом компьютере. Отключено. Делегирование новых учетных данных на любой компьютер запрещено. Примечание. Для этого параметра политики можно задать одно или несколько имен субъектов-служб (SPN). Имя субъекта-службы представляет целевой сервер, на котором можно делегировать учетные данные пользователя. При указании имени субъекта-службы допускается использование одного подстановочного знака, например: Используйте *TERMSRV/** для узла сеансов удаленного рабочего стола (узел сеансов удаленных рабочих столов), работающего на любом компьютере. Используйте TERMSRV/host.humanresources.fabrikam.com для узла сеансов удаленных рабочих стола, работающего на компьютере host.humanresources.fabrikam.com. Использование TERMSRV/*.humanresources.fabrikam.com для узла сеансов удаленных рабочих стола, работающего на всех компьютерах в .humanresources.fabrikam.com |
| Разрешить делегирование новых учетных данных с помощью проверки подлинности сервера только NTLM AllowFreshCredentialsWhenNTLMOnly |
Не настроено | Этот параметр политики применяется: Когда проверка подлинности сервера была достигнута с помощью NTLM. Для приложений, использующих компонент CredSSP (например, удаленный рабочий стол). Включено. Можно указать серверы, на которых можно делегировать новые учетные данные пользователя. Не настроено. После правильной взаимной проверки подлинности делегирование новых учетных данных разрешено узлу сеансов удаленных рабочих стола, работающему на любом компьютере (TERMSRV/*). Отключено. Делегирование новых учетных данных запрещено ни на одном компьютере. Примечание. Для этого параметра политики можно задать одно или несколько имен субъектов-служб. Имя субъекта-службы представляет целевой сервер, на котором можно делегировать учетные данные пользователя. При указании имени субъекта-службы допускается один подстановочный знак (*). Примеры см. в описании параметра политики Разрешить делегирование новых учетных данных . |
| Запрет делегации новых учетных данных DenyFreshCredentials |
Не настроено | Этот параметр политики применяется к приложениям, которые используют компонент CredSSP (например, удаленный рабочий стол). Включено: можно указать серверы, на которых нельзя делегировать новые учетные данные пользователя. Отключено или не настроено: сервер не указан. Примечание. Для этого параметра политики можно задать одно или несколько имен субъектов-служб. Имя субъекта-службы представляет целевой сервер, на котором невозможно делегировать учетные данные пользователя. При указании имени субъекта-службы допускается один подстановочный знак (*). Примеры см. в параметре политики "Разрешить делегирование новых учетных данных". |
Если вы используете службы удаленных рабочих столов с интеллектуальным карта входа, вы не можете делегировать учетные данные по умолчанию и сохраненные учетные данные. Разделы реестра в следующей таблице, которые находятся в HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Credssp\PolicyDefaults, и соответствующие параметры групповая политика игнорируются.
| Раздел реестра | Соответствующий параметр групповая политика |
|---|---|
| AllowDefaultCredentials | Разрешить делегирование учетных данных по умолчанию |
| AllowDefaultCredentialsWhenNTLMOnly | Разрешить делегирование учетных данных по умолчанию с проверкой подлинности сервера только NTLM |
| AllowSavedCredentials | Разрешить делегирование сохраненных учетных данных |
| AllowSavedCredentialsWhenNTLMOnly | Разрешить делегирование сохраненных учетных данных с помощью проверки подлинности сервера только NTLM |