Fournisseur de services de configuration de stratégie - ADMX_sam

Astuce

Ce csp contient des stratégies ADMX qui nécessitent un format SyncML spécial pour activer ou désactiver. Vous devez spécifier le type de données dans syncML en tant que <Format>chr</Format>. Pour plus d’informations, consultez Présentation des stratégies adossées à ADMX.

La charge utile de SyncML doit être encodée en XML ; pour cet encodage XML, vous pouvez utiliser un large éventail d’encodeurs en ligne. Pour éviter d’encoder la charge utile, vous pouvez utiliser CDATA si votre GPM la prend en charge. Pour plus d’informations, consultez Sections CDATA.

SamNGCKeyROCAValidation

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures
✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures
✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures
✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/ADMX_sam/SamNGCKeyROCAValidation

Ce paramètre de stratégie vous permet de configurer la façon dont les contrôleurs de domaine gèrent les clés Windows Hello Entreprise (WHfB) qui sont vulnérables à la vulnérabilité « Return of Coppersmith’s attack » (RECONFIGUR).

Pour plus d’informations sur la vulnérabilité DE LA, consultez :

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15361

https://en.wikipedia.org/wiki/ROCA_vulnerability

Si vous activez ce paramètre de stratégie, les options suivantes sont prises en charge :

Ignorer : lors de l’authentification, le contrôleur de domaine ne sonde aucune clé WHfB pour la vulnérabilité DE LA.

Audit : pendant l’authentification, le contrôleur de domaine émettra des événements d’audit pour les clés WHfB qui sont soumises à la vulnérabilité AUT (les authentifications réussissent toujours).

Bloquer : lors de l’authentification, le contrôleur de domaine bloque l’utilisation des clés WHfB qui sont soumises à la vulnérabilité DUT (les authentifications échouent).

Ce paramètre prend effet uniquement sur les contrôleurs de domaine.

S’il n’est pas configuré, les contrôleurs de domaine utilisent par défaut leur configuration locale. La configuration locale par défaut est Audit.

Un redémarrage n’est pas nécessaire pour que les modifications apportées à ce paramètre prennent effet.

Notez que pour éviter les interruptions inattendues, ce paramètre ne doit pas être défini sur Bloquer tant que les atténuations appropriées n’ont pas été effectuées, par exemple la mise à jour corrective des TPM vulnérables.

Plus d’informations sont disponibles à l’adresse<https://go.microsoft.com/fwlink/?linkid=2116430> .

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom SamNGCKeyROCAValidation
Nom convivial Configurer la validation des clés WHfB vulnérables à LAHF LORS de l’authentification
Localisation Configuration ordinateur
Chemin d'accès Gestionnaire de compte de sécurité système >
Nom de la clé de Registre Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM
Nom du fichier ADMX sam.admx

Fournisseur de services de configuration de stratégie