CSP de directiva: Kerberos
Sugerencia
Este CSP contiene directivas respaldadas por ADMX que requieren un formato SyncML especial para habilitar o deshabilitar. Debe especificar el tipo de datos en SyncML como <Format>chr</Format>. Para obtener más información, consulte Descripción de las directivas respaldadas por ADMX.
La carga de SyncML debe estar codificada en XML; para esta codificación XML, hay una variedad de codificadores en línea que puede usar. Para evitar la codificación de la carga, puede usar CDATA si su MDM lo admite. Para obtener más información, vea Secciones de CDATA.
AllowForestSearchOrder
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Kerberos/AllowForestSearchOrder
Esta configuración de directiva define la lista de bosques de confianza que busca el cliente Kerberos al intentar resolver nombres de entidades de servicio (SPN) de dos partes.
Si habilita esta configuración de directiva, el cliente Kerberos busca en los bosques de esta lista si no puede resolver un SPN de dos partes. Si se encuentra una coincidencia, el cliente Kerberos solicita un vale de referencia al dominio adecuado.
Si deshabilita o no configura esta configuración de directiva, el cliente Kerberos no busca en los bosques enumerados para resolver el SPN. Si el cliente Kerberos no puede resolver el SPN porque no se encuentra el nombre, se podría usar la autenticación NTLM.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | ForestSearch |
| Nombre descriptivo | Uso del orden de búsqueda del bosque |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Kerberos del sistema > |
| Nombre de la clave del Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nombre del valor de registro | UseForestSearch |
| Nombre de archivo ADMX | Kerberos.admx |
CloudKerberosTicketRetrievalEnabled
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Kerberos/CloudKerberosTicketRetrievalEnabled
Esta configuración de directiva permite recuperar el vale de concesión de vales de Kerberos Microsoft Entra durante el inicio de sesión.
Si deshabilita o no establece esta configuración de directiva, el vale de concesión de vales de Kerberos Microsoft Entra no se recupera durante el inicio de sesión.
Si habilita esta configuración de directiva, se recupera el vale de concesión de vales de Kerberos Microsoft Entra durante el inicio de sesión.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Deshabilitado. |
| 1 | Habilitado. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | CloudKerberosTicketRetrievalEnabled |
| Nombre descriptivo | Permitir recuperar el vale de concesión de vales kerberos de Azure AD durante el inicio de sesión |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Kerberos del sistema > |
| Nombre de la clave del Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nombre del valor de registro | CloudKerberosTicketRetrievalEnabled |
| Nombre de archivo ADMX | Kerberos.admx |
KerberosClientSupportsClaimsCompoundArmor
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Kerberos/KerberosClientSupportsClaimsCompoundArmor
Esta configuración de directiva controla si un dispositivo solicitará notificaciones y autenticación compuesta para la Access Control dinámica y la protección de Kerberos mediante la autenticación Kerberos con dominios que admiten estas características.
Si habilita esta configuración de directiva, los equipos cliente solicitarán notificaciones, proporcionarán la información necesaria para crear la autenticación compuesta y proteger los mensajes Kerberos en dominios que admiten notificaciones y autenticación compuesta para la Access Control dinámica y la protección de Kerberos.
Si deshabilita o no configura esta configuración de directiva, los dispositivos cliente no solicitarán notificaciones y proporcionarán la información necesaria para crear la autenticación compuesta y proteger los mensajes kerberos. Los servicios hospedados en el dispositivo no podrán recuperar notificaciones para clientes mediante la transición del protocolo Kerberos.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | EnableCbacAndArmor |
| Nombre descriptivo | Compatibilidad del cliente kerberos con notificaciones, autenticación compuesta y protección de Kerberos |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Kerberos del sistema > |
| Nombre de la clave del Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nombre del valor de registro | EnableCbacAndArmor |
| Nombre de archivo ADMX | Kerberos.admx |
PKInitHashAlgorithmConfiguration
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, versión 22H2 [10.0.22621] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
Esta configuración de directiva controla los algoritmos hash o suma de comprobación utilizados por el cliente Kerberos al realizar la autenticación de certificados.
Si habilita esta directiva, podrá configurar uno de los cuatro estados para cada algoritmo:
"Default" establece el algoritmo en el estado recomendado.
"Compatible" permite el uso del algoritmo. Habilitar algoritmos que se han deshabilitado de forma predeterminada puede reducir la seguridad.
"Auditado" permite el uso del algoritmo e informa de un evento (id. 206) cada vez que se usa. Este estado está pensado para comprobar que el algoritmo no se está usando y se puede deshabilitar de forma segura.
"No compatible" deshabilita el uso del algoritmo. Este estado está pensado para algoritmos que se consideran inseguros.
Si deshabilita o no configura esta directiva, cada algoritmo asumirá el estado "Predeterminado".
Eventos generados por esta configuración: 205, 206, 207 y 208.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Deshabilitado o no configurado. |
| 1 | Habilitado. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | PKInitHashAlgorithmConfiguration |
| Nombre descriptivo | Configuración de algoritmos hash para el inicio de sesión de certificado |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Kerberos del sistema > |
| Nombre de la clave del Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nombre del valor de registro | PKInitHashAlgorithmConfigurationEnabled |
| Nombre de archivo ADMX | Kerberos.admx |
PKInitHashAlgorithmSHA1
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, versión 22H2 [10.0.22621] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA1
Esta configuración de directiva controla la configuración del algoritmo SHA1 que usa el cliente Kerberos al realizar la autenticación de certificados. Esta directiva solo se aplica si Kerberos/PKInitHashAlgorithmConfiguration está habilitado. Puede configurar uno de los cuatro estados para este algoritmo:
- 0- No compatible: este estado deshabilita el uso del algoritmo. Este estado está pensado para algoritmos que se consideran inseguros.
- 1: valor predeterminado: este estado establece el algoritmo en el estado recomendado.
- 2 - Auditado: este estado permite el uso del algoritmo e informa de un evento (id. 206) cada vez que se usa. Este estado está pensado para comprobar que el algoritmo no se está usando y se puede deshabilitar de forma segura.
- 3- Compatible: este estado permite el uso del algoritmo. Habilitar algoritmos que se han deshabilitado de forma predeterminada puede reducir la seguridad.
Si no configura esta directiva, el algoritmo SHA1 asumirá el estado Predeterminado .
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
| Dependencia [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | Tipo de dependencia: DependsOn URI de dependencia: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration Valor permitido de dependencia: [1] Tipo de valor permitido de dependencia: Range |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | No se admite. |
| 1 (valor predeterminado) | Predeterminado. |
| 2 | Auditado. |
| 3 | Compatible. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | PKInitHashAlgorithmConfiguration |
| Nombre descriptivo | Configuración de algoritmos hash para el inicio de sesión de certificado |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Kerberos del sistema > |
| Nombre de la clave del Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nombre del valor de registro | PKInitHashAlgorithmConfigurationEnabled |
| Nombre de archivo ADMX | Kerberos.admx |
PKInitHashAlgorithmSHA256
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, versión 22H2 [10.0.22621] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA256
Esta configuración de directiva controla la configuración del algoritmo SHA256 que usa el cliente Kerberos al realizar la autenticación de certificados. Esta directiva solo se aplica si Kerberos/PKInitHashAlgorithmConfiguration está habilitado. Puede configurar uno de los cuatro estados para este algoritmo:
- 0- No compatible: este estado deshabilita el uso del algoritmo. Este estado está pensado para algoritmos que se consideran inseguros.
- 1: valor predeterminado: este estado establece el algoritmo en el estado recomendado.
- 2 - Auditado: este estado permite el uso del algoritmo e informa de un evento (id. 206) cada vez que se usa. Este estado está pensado para comprobar que el algoritmo no se está usando y se puede deshabilitar de forma segura.
- 3- Compatible: este estado permite el uso del algoritmo. Habilitar algoritmos que se han deshabilitado de forma predeterminada puede reducir la seguridad.
Si no configura esta directiva, el algoritmo SHA256 asumirá el estado Predeterminado .
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
| Dependencia [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | Tipo de dependencia: DependsOn URI de dependencia: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration Valor permitido de dependencia: [1] Tipo de valor permitido de dependencia: Range |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | No se admite. |
| 1 (valor predeterminado) | Predeterminado. |
| 2 | Auditado. |
| 3 | Compatible. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | PKInitHashAlgorithmConfiguration |
| Nombre descriptivo | Configuración de algoritmos hash para el inicio de sesión de certificado |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Kerberos del sistema > |
| Nombre de la clave del Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nombre del valor de registro | PKInitHashAlgorithmConfigurationEnabled |
| Nombre de archivo ADMX | Kerberos.admx |
PKInitHashAlgorithmSHA384
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, versión 22H2 [10.0.22621] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA384
Esta configuración de directiva controla la configuración del algoritmo SHA384 que usa el cliente Kerberos al realizar la autenticación de certificados. Esta directiva solo se aplica si Kerberos/PKInitHashAlgorithmConfiguration está habilitado. Puede configurar uno de los cuatro estados para este algoritmo:
- 0- No compatible: este estado deshabilita el uso del algoritmo. Este estado está pensado para algoritmos que se consideran inseguros.
- 1: valor predeterminado: este estado establece el algoritmo en el estado recomendado.
- 2 - Auditado: este estado permite el uso del algoritmo e informa de un evento (id. 206) cada vez que se usa. Este estado está pensado para comprobar que el algoritmo no se está usando y se puede deshabilitar de forma segura.
- 3- Compatible: este estado permite el uso del algoritmo. Habilitar algoritmos que se han deshabilitado de forma predeterminada puede reducir la seguridad.
Si no configura esta directiva, el algoritmo SHA384 asumirá el estado Predeterminado .
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
| Dependencia [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | Tipo de dependencia: DependsOn URI de dependencia: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration Valor permitido de dependencia: [1] Tipo de valor permitido de dependencia: Range |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | No se admite. |
| 1 (valor predeterminado) | Predeterminado. |
| 2 | Auditado. |
| 3 | Compatible. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | PKInitHashAlgorithmConfiguration |
| Nombre descriptivo | Configuración de algoritmos hash para el inicio de sesión de certificado |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Kerberos del sistema > |
| Nombre de la clave del Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nombre del valor de registro | PKInitHashAlgorithmConfigurationEnabled |
| Nombre de archivo ADMX | Kerberos.admx |
PKInitHashAlgorithmSHA512
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, versión 22H2 [10.0.22621] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA512
Esta configuración de directiva controla la configuración del algoritmo SHA512 que usa el cliente Kerberos al realizar la autenticación de certificados. Esta directiva solo se aplica si Kerberos/PKInitHashAlgorithmConfiguration está habilitado. Puede configurar uno de los cuatro estados para este algoritmo:
- 0- No compatible: este estado deshabilita el uso del algoritmo. Este estado está pensado para algoritmos que se consideran inseguros.
- 1: valor predeterminado: este estado establece el algoritmo en el estado recomendado.
- 2 - Auditado: este estado permite el uso del algoritmo e informa de un evento (id. 206) cada vez que se usa. Este estado está pensado para comprobar que el algoritmo no se está usando y se puede deshabilitar de forma segura.
- 3- Compatible: este estado permite el uso del algoritmo. Habilitar algoritmos que se han deshabilitado de forma predeterminada puede reducir la seguridad.
Si no configura esta directiva, el algoritmo SHA512 asumirá el estado Predeterminado .
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
| Dependencia [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | Tipo de dependencia: DependsOn URI de dependencia: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration Valor permitido de dependencia: [1] Tipo de valor permitido de dependencia: Range |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | No se admite. |
| 1 (valor predeterminado) | Predeterminado. |
| 2 | Auditado. |
| 3 | Compatible. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | PKInitHashAlgorithmConfiguration |
| Nombre descriptivo | Configuración de algoritmos hash para el inicio de sesión de certificado |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Kerberos del sistema > |
| Nombre de la clave del Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nombre del valor de registro | PKInitHashAlgorithmConfigurationEnabled |
| Nombre de archivo ADMX | Kerberos.admx |
RequireKerberosArmoring
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireKerberosArmoring
Esta configuración de directiva controla si un equipo requiere que los intercambios de mensajes Kerberos estén blindados al comunicarse con un controlador de dominio.
Advertencia
Cuando un dominio no admite la protección de Kerberos al habilitar "Compatibilidad con la protección dinámica de Access Control y Kerberos", toda la autenticación de todos sus usuarios producirá un error en los equipos con esta configuración de directiva habilitada.
- Si habilita esta configuración de directiva, los equipos cliente del dominio aplican el uso de la protección kerberos solo en los intercambios de mensajes del servicio de autenticación (AS) y del servicio de concesión de vales (TGS) con los controladores de dominio.
Nota
El directiva de grupo kerberos "Compatibilidad con clientes kerberos para notificaciones, autenticación compuesta y protección de Kerberos" también debe estar habilitado para admitir la protección de Kerberos.
- Si deshabilita o no establece esta configuración de directiva, los equipos cliente del dominio aplicarán el uso de la protección kerberos siempre que sea posible, según sea compatible con el dominio de destino.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | ClientRequireFast |
| Nombre descriptivo | Error en las solicitudes de autenticación cuando la protección de Kerberos no está disponible |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Kerberos del sistema > |
| Nombre de la clave del Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nombre del valor de registro | RequireFast |
| Nombre de archivo ADMX | Kerberos.admx |
RequireStrictKDCValidation
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireStrictKDCValidation
Esta configuración de directiva controla el comportamiento del cliente Kerberos al validar el certificado KDC para el inicio de sesión de tarjeta inteligente y certificado del sistema.
Si habilita esta configuración de directiva, el cliente Kerberos requiere que el certificado X.509 del KDC contenga el identificador de objeto de propósito de clave KDC en las extensiones de uso extendido de claves (EKU) y que el certificado X.509 del KDC contenga una extensión subjectAltName (SAN) dNSName que coincida con el nombre DNS del dominio. Si el equipo está unido a un dominio, el cliente Kerberos requiere que el certificado X.509 del KDC debe estar firmado por una entidad de certificación (CA) en el almacén NTAuth. Si el equipo no está unido a un dominio, el cliente Kerberos permite que el certificado de ca raíz de la tarjeta inteligente se use en la validación de ruta de acceso del certificado X.509 del KDC.
Si deshabilita o no configura esta configuración de directiva, el cliente Kerberos solo requiere que el certificado KDC contenga el identificador de objeto de propósito de autenticación del servidor en las extensiones EKU que se pueden emitir a cualquier servidor.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | ValidateKDC |
| Nombre descriptivo | Requerir validación estricta de KDC |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Kerberos del sistema > |
| Nombre de la clave del Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nombre del valor de registro | KdcValidation |
| Nombre de archivo ADMX | Kerberos.admx |
SetMaximumContextTokenSize
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Kerberos/SetMaximumContextTokenSize
Esta configuración de directiva permite establecer el valor devuelto a las aplicaciones que solicitan el tamaño máximo del tamaño del búfer del token de contexto de SSPI.
El tamaño del búfer de token de contexto determina el tamaño máximo de los tokens de contexto SSPI que una aplicación espera y asigna. Según el procesamiento de solicitudes de autenticación y las pertenencias a grupos, el búfer podría ser menor que el tamaño real del token de contexto de SSPI.
Si habilita esta configuración de directiva, el cliente o servidor Kerberos usa el valor configurado o el valor máximo permitido localmente, lo que sea menor.
Si deshabilita o no establece esta configuración de directiva, el cliente o servidor Kerberos usa el valor configurado localmente o el valor predeterminado.
Nota
Esta configuración de directiva configura el valor del Registro MaxTokenSize existente en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters, que se agregó en Windows XP y Windows Server 2003, con un valor predeterminado de 12 000 bytes. A partir de Windows 8 el valor predeterminado es de 48 000 bytes. Debido a la codificación base64 de HTTP de tokens de contexto de autenticación, no se recomienda establecer este valor en más de 48 000 bytes.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | MaxTokenSize |
| Nombre descriptivo | Establecimiento del tamaño máximo del búfer de token de contexto de SSPI de Kerberos |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Kerberos del sistema > |
| Nombre de la clave del Registro | System\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
| Nombre del valor de registro | EnableMaxTokenSize |
| Nombre de archivo ADMX | Kerberos.admx |
UPNNameHints
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1809 [10.0.17763] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Kerberos/UPNNameHints
Los dispositivos unidos a Microsoft Entra ID en un entorno híbrido necesitan interactuar con controladores de Dominio de Active Directory, pero carecen de la capacidad integrada de encontrar un controlador de dominio que tenga un dispositivo unido a un dominio. Esto puede provocar errores cuando un dispositivo de este tipo necesita resolver un UPN de Microsoft Entra en una entidad de seguridad de Active Directory. Este parámetro agrega una lista de dominios con los que un dispositivo unido a Microsoft Entra debe intentar ponerse en contacto si, de lo contrario, no puede resolver un UPN en una entidad de seguridad.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |