Provider di servizi di configurazione dei criteri - ADMX_CredSsp
Suggerimento
Questo provider di servizi di configurazione contiene criteri supportati da ADMX che richiedono un formato SyncML speciale per l'abilitazione o la disabilitazione. È necessario specificare il tipo di dati in SyncML come <Format>chr</Format>. Per informazioni dettagliate, vedere Informazioni sui criteri supportati da ADMX.
Il payload di SyncML deve essere codificato in XML; per questa codifica XML, è possibile usare un'ampia gamma di codificatori online. Per evitare la codifica del payload, è possibile usare CDATA se MDM lo supporta. Per altre informazioni, vedere Sezioni di CDATA.
AllowDefaultCredentials
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive ✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive ✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive ✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowDefaultCredentials
Questa impostazione di criterio si applica alle applicazioni che usano il componente Cred SSP ,ad esempio Connessione Desktop remoto.
Questa impostazione di criterio si applica quando è stata eseguita l'autenticazione del server usando un certificato X509 attendibile o Kerberos.
- Se si abilita questa impostazione di criterio, è possibile specificare i server a cui è possibile delegare le credenziali predefinite dell'utente. Le credenziali predefinite sono quelle usate per la prima volta per l'accesso a Windows.
Il criterio diventa effettivo la volta successiva che l'utente accede a un computer che esegue Windows.
- Se si disabilita o non si configura (per impostazione predefinita) questa impostazione di criterio, la delega delle credenziali predefinite non è consentita a nessun computer. Le applicazioni a seconda di questo comportamento di delega potrebbero non riuscire l'autenticazione. Per altre informazioni, vedere KB.
FWlink per KB:
https://go.microsoft.com/fwlink/?LinkId=301508
Nota
L'impostazione dei criteri "Consenti delega delle credenziali predefinite" può essere impostata su uno o più nomi di entità servizio (SPN). L'SPN rappresenta il server di destinazione a cui è possibile delegare le credenziali utente. L'uso di un singolo carattere jolly è consentito quando si specifica il nome SPN.
Per esempio:
TERMSRV/host.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione nel computer host.humanresources.fabrikam.com.
TERMSRV/* Host sessione Desktop remoto in esecuzione in tutti i computer.
TERMSRV/*.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione in tutti i computer in .humanresources.fabrikam.com.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | AllowDefaultCredentials |
| Nome descrittivo | Consenti delega delle credenziali predefinite |
| Posizione | Configurazione computer |
| Percorso | Delega delle credenziali di sistema > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nome del valore del registro | AllowDefaultCredentials |
| Nome file ADMX | CredSsp.admx |
AllowDefCredentialsWhenNTLMOnly
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive ✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive ✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive ✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowDefCredentialsWhenNTLMOnly
Questa impostazione di criterio si applica alle applicazioni che usano il componente Cred SSP ,ad esempio Connessione Desktop remoto.
Questa impostazione di criterio si applica quando è stata eseguita l'autenticazione del server tramite NTLM.
Se si abilita questa impostazione di criterio, è possibile specificare i server a cui è possibile delegare le credenziali predefinite dell'utente. Le credenziali predefinite sono quelle usate per la prima volta per l'accesso a Windows.
Se si disabilita o non si configura (per impostazione predefinita) questa impostazione di criterio, la delega delle credenziali predefinite non è consentita a nessun computer.
Nota
L'impostazione del criterio "Consenti delega delle credenziali predefinite con autenticazione server solo NTLM" può essere impostata su uno o più nomi di entità servizio (SPN). L'SPN rappresenta il server di destinazione a cui è possibile delegare le credenziali utente. L'uso di un singolo carattere jolly è consentito quando si specifica il nome SPN.
Per esempio:
TERMSRV/host.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione nel computer host.humanresources.fabrikam.com.
TERMSRV/* Host sessione Desktop remoto in esecuzione in tutti i computer.
TERMSRV/*.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione in tutti i computer in .humanresources.fabrikam.com.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | AllowDefCredentialsWhenNTLMOnly |
| Nome descrittivo | Consenti delega delle credenziali predefinite con l'autenticazione server solo NTLM |
| Posizione | Configurazione computer |
| Percorso | Delega delle credenziali di sistema > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nome del valore del registro | AllowDefCredentialsWhenNTLMOnly |
| Nome file ADMX | CredSsp.admx |
AllowEncryptionOracle
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive ✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive ✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive ✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowEncryptionOracle
Correzione Oracle di crittografia.
Questa impostazione di criterio si applica alle applicazioni che usano il componente CredSSP ,ad esempio Connessione Desktop remoto.
Alcune versioni del protocollo CredSSP sono vulnerabili a un attacco oracle di crittografia contro il client. Questo criterio controlla la compatibilità con client e server vulnerabili. Questo criterio consente di impostare il livello di protezione desiderato per la vulnerabilità oracle di crittografia.
Se si abilita questa impostazione di criterio, verrà selezionato il supporto della versione di CredSSP in base alle opzioni seguenti:
Forzare i client aggiornati: le applicazioni client che usano CredSSP non saranno in grado di eseguire il fallback alle versioni non sicure e i servizi che usano CredSSP non accettano client senza patch. Si noti che questa impostazione non deve essere distribuita fino a quando tutti gli host remoti non supportano la versione più recente.
Attenuato: le applicazioni client che usano CredSSP non saranno in grado di eseguire il fallback alla versione non sicura, ma i servizi che usano CredSSP accetteranno client senza patch. Vedere il collegamento seguente per informazioni importanti sul rischio rappresentato dai client senza patch rimanenti.
Vulnerabili: le applicazioni client che usano CredSSP espongono i server remoti agli attacchi supportando il fallback alle versioni non sicure e i servizi che usano CredSSP accetteranno client senza patch.
Per altre informazioni sulla vulnerabilità e sui requisiti di manutenzione per la protezione, vedere https://go.microsoft.com/fwlink/?linkid=866660
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | AllowEncryptionOracle |
| Nome descrittivo | Correzione oracle di crittografia |
| Posizione | Configurazione computer |
| Percorso | Delega delle credenziali di sistema > |
| Nome della chiave del Registro di sistema | Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
| Nome file ADMX | CredSsp.admx |
AllowFreshCredentials
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive ✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive ✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive ✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowFreshCredentials
Questa impostazione di criterio si applica alle applicazioni che usano il componente Cred SSP ,ad esempio Connessione Desktop remoto.
Questa impostazione di criterio si applica quando l'autenticazione del server è stata eseguita tramite un certificato X509 attendibile o Kerberos.
Se si abilita questa impostazione di criterio, è possibile specificare i server a cui è possibile delegare le nuove credenziali dell'utente(le credenziali nuove sono quelle richieste durante l'esecuzione dell'applicazione).
Se non si configura (per impostazione predefinita) questa impostazione di criterio, dopo l'autenticazione reciproca corretta, la delega di credenziali nuove è consentita all'host sessione Desktop remoto in esecuzione in qualsiasi computer (TERMSRV/*).
Se si disabilita questa impostazione di criterio, la delega di credenziali nuove non è consentita ad alcun computer.
Nota
L'impostazione del criterio "Consenti la delega di credenziali nuove" può essere impostata su uno o più nomi di entità servizio (SPN). L'SPN rappresenta il server di destinazione a cui è possibile delegare le credenziali utente. L'uso di un singolo carattere jolly è consentito quando si specifica il nome SPN.
Per esempio:
TERMSRV/host.humanresources.fabrikam.com.
Host sessione Desktop remoto in esecuzione in host.humanresources.fabrikam.com computer.
TERMSRV/* Host sessione Desktop remoto in esecuzione in tutti i computer.
TERMSRV/*.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione in tutti i computer in .humanresources.fabrikam.com.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | AllowFreshCredentials |
| Nome descrittivo | Consenti la delega di credenziali nuove |
| Posizione | Configurazione computer |
| Percorso | Delega delle credenziali di sistema > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nome del valore del registro | AllowFreshCredentials |
| Nome file ADMX | CredSsp.admx |
AllowFreshCredentialsWhenNTLMOnly
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive ✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive ✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive ✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowFreshCredentialsWhenNTLMOnly
Questa impostazione di criterio si applica alle applicazioni che usano il componente Cred SSP ,ad esempio Connessione Desktop remoto.
Questa impostazione di criterio si applica quando è stata eseguita l'autenticazione del server tramite NTLM.
Se si abilita questa impostazione di criterio, è possibile specificare i server a cui è possibile delegare le nuove credenziali dell'utente(le credenziali nuove sono quelle richieste durante l'esecuzione dell'applicazione).
Se non si configura (per impostazione predefinita) questa impostazione di criterio, dopo l'autenticazione reciproca corretta, la delega di credenziali nuove è consentita all'host sessione Desktop remoto in esecuzione in qualsiasi computer (TERMSRV/*).
Se si disabilita questa impostazione di criterio, la delega di credenziali nuove non è consentita ad alcun computer.
Nota
L'impostazione del criterio "Consenti la delega di credenziali aggiornate con l'autenticazione server solo NTLM" può essere impostata su uno o più nomi di entità servizio (SPN). L'SPN rappresenta il server di destinazione a cui è possibile delegare le credenziali utente. L'uso di un singolo carattere jolly è consentito quando si specifica il nome SPN.
Per esempio:
TERMSRV/host.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione nel computer host.humanresources.fabrikam.com.
TERMSRV/* Host sessione Desktop remoto in esecuzione in tutti i computer.
TERMSRV/*.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione in tutti i computer in humanresources.fabrikam.com.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | AllowFreshCredentialsWhenNTLMOnly |
| Nome descrittivo | Consentire la delega di credenziali aggiornate con l'autenticazione server solo NTLM |
| Posizione | Configurazione computer |
| Percorso | Delega delle credenziali di sistema > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nome del valore del registro | AllowFreshCredentialsWhenNTLMOnly |
| Nome file ADMX | CredSsp.admx |
AllowSavedCredentials
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive ✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive ✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive ✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowSavedCredentials
Questa impostazione di criterio si applica alle applicazioni che usano il componente Cred SSP ,ad esempio Connessione Desktop remoto.
Questa impostazione di criterio si applica quando l'autenticazione del server è stata eseguita tramite un certificato X509 attendibile o Kerberos.
Se si abilita questa impostazione di criterio, è possibile specificare i server a cui è possibile delegare le credenziali salvate dell'utente(le credenziali salvate sono quelle che si sceglie di salvare/ricordare usando Gestione credenziali di Windows).
Se non si configura (per impostazione predefinita) questa impostazione di criterio, dopo l'autenticazione reciproca corretta, la delega delle credenziali salvate è consentita all'host sessione Desktop remoto in esecuzione in qualsiasi computer (TERMSRV/*).
Se si disabilita questa impostazione di criterio, la delega delle credenziali salvate non è consentita a nessun computer.
Nota
L'impostazione del criterio "Consenti delega credenziali salvate" può essere impostata su uno o più nomi di entità servizio (SPN). L'SPN rappresenta il server di destinazione a cui è possibile delegare le credenziali utente. L'uso di un singolo carattere jolly è consentito quando si specifica il nome SPN.
Per esempio:
TERMSRV/host.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione nel computer host.humanresources.fabrikam.com.
TERMSRV/* Host sessione Desktop remoto in esecuzione in tutti i computer.
TERMSRV/*.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione in tutti i computer in humanresources.fabrikam.com.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | AllowSavedCredentials |
| Nome descrittivo | Consenti delega delle credenziali salvate |
| Posizione | Configurazione computer |
| Percorso | Delega delle credenziali di sistema > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nome del valore del registro | AllowSavedCredentials |
| Nome file ADMX | CredSsp.admx |
AllowSavedCredentialsWhenNTLMOnly
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive ✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive ✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive ✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowSavedCredentialsWhenNTLMOnly
Questa impostazione di criterio si applica alle applicazioni che usano il componente Cred SSP ,ad esempio Connessione Desktop remoto.
Questa impostazione di criterio si applica quando è stata eseguita l'autenticazione del server tramite NTLM.
Se si abilita questa impostazione di criterio, è possibile specificare i server a cui è possibile delegare le credenziali salvate dell'utente(le credenziali salvate sono quelle che si sceglie di salvare/ricordare usando Gestione credenziali di Windows).
Se non si configura (per impostazione predefinita) questa impostazione di criterio, dopo l'autenticazione reciproca corretta, la delega delle credenziali salvate è consentita all'host sessione Desktop remoto in esecuzione in qualsiasi computer (TERMSRV/*) se il computer client non è membro di alcun dominio. Se il client è aggiunto a un dominio, per impostazione predefinita la delega delle credenziali salvate non è consentita in alcun computer.
Se si disabilita questa impostazione di criterio, la delega delle credenziali salvate non è consentita a nessun computer.
Nota
L'impostazione del criterio "Consenti la delega delle credenziali salvate con l'autenticazione server solo NTLM" può essere impostata su uno o più nomi di entità servizio (SPN). L'SPN rappresenta il server di destinazione a cui è possibile delegare le credenziali utente. L'uso di un singolo carattere jolly è consentito quando si specifica il nome SPN.
Per esempio:
TERMSRV/host.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione nel computer host.humanresources.fabrikam.com.
TERMSRV/* Host sessione Desktop remoto in esecuzione in tutti i computer.
TERMSRV/*.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione in tutti i computer in humanresources.fabrikam.com.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | AllowSavedCredentialsWhenNTLMOnly |
| Nome descrittivo | Consenti delega delle credenziali salvate con l'autenticazione server solo NTLM |
| Posizione | Configurazione computer |
| Percorso | Delega delle credenziali di sistema > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nome del valore del registro | AllowSavedCredentialsWhenNTLMOnly |
| Nome file ADMX | CredSsp.admx |
DenyDefaultCredentials
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive ✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive ✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive ✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenyDefaultCredentials
Questa impostazione di criterio si applica alle applicazioni che usano il componente Cred SSP ,ad esempio Connessione Desktop remoto.
Se si abilita questa impostazione di criterio, è possibile specificare i server a cui non è possibile delegare le credenziali predefinite dell'utente. Le credenziali predefinite sono quelle usate per la prima volta per l'accesso a Windows.
Se si disabilita o non si configura (per impostazione predefinita) questa impostazione di criterio, questa impostazione di criterio non specifica alcun server.
Nota
L'impostazione del criterio "Nega la delega delle credenziali predefinite" può essere impostata su uno o più nomi di entità servizio (SPN). Il nome SPN rappresenta il server di destinazione a cui non è possibile delegare le credenziali utente. L'uso di un singolo carattere jolly è consentito quando si specifica il nome SPN.
Per esempio:
TERMSRV/host.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione nel computer host.humanresources.fabrikam.com.
TERMSRV/* Host sessione Desktop remoto in esecuzione in tutti i computer.
TERMSRV/*.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione in tutti i computer in .humanresources.fabrikam.com.
Questa impostazione di criterio può essere usata in combinazione con l'impostazione dei criteri "Consenti delega delle credenziali predefinite" per definire eccezioni per server specifici che sono altrimenti consentiti quando si usano caratteri jolly nell'elenco del server "Consenti delega delle credenziali predefinite".
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | DenyDefaultCredentials |
| Nome descrittivo | Nega delega delle credenziali predefinite |
| Posizione | Configurazione computer |
| Percorso | Delega delle credenziali di sistema > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nome del valore del registro | DenyDefaultCredentials |
| Nome file ADMX | CredSsp.admx |
DenyFreshCredentials
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive ✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive ✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive ✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenyFreshCredentials
Questa impostazione di criterio si applica alle applicazioni che usano il componente Cred SSP ,ad esempio Connessione Desktop remoto.
Se si abilita questa impostazione di criterio, è possibile specificare i server a cui non è possibile delegare le nuove credenziali dell'utente(le credenziali nuove sono quelle richieste durante l'esecuzione dell'applicazione).
Se si disabilita o non si configura (per impostazione predefinita) questa impostazione di criterio, questa impostazione di criterio non specifica alcun server.
Nota
L'impostazione del criterio "Nega la delega di credenziali nuove" può essere impostata su uno o più nomi di entità servizio (SPN). Il nome SPN rappresenta il server di destinazione a cui non è possibile delegare le credenziali utente. L'uso di un singolo carattere jolly è consentito quando si specifica il nome SPN.
Per esempio:
TERMSRV/host.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione nel computer host.humanresources.fabrikam.com.
TERMSRV/* Host sessione Desktop remoto in esecuzione in tutti i computer.
TERMSRV/*.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione in tutti i computer in .humanresources.fabrikam.com.
Questa impostazione di criterio può essere usata in combinazione con l'impostazione dei criteri "Consenti la delega di credenziali nuove" per definire eccezioni per server specifici che sono altrimenti consentiti quando si usano caratteri jolly nell'elenco del server "Consenti la delega di credenziali nuove".
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | DenyFreshCredentials |
| Nome descrittivo | Nega delega di credenziali nuove |
| Posizione | Configurazione computer |
| Percorso | Delega delle credenziali di sistema > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nome del valore del registro | DenyFreshCredentials |
| Nome file ADMX | CredSsp.admx |
DenySavedCredentials
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive ✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive ✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive ✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenySavedCredentials
Questa impostazione di criterio si applica alle applicazioni che usano il componente Cred SSP ,ad esempio Connessione Desktop remoto.
Se si abilita questa impostazione di criterio, è possibile specificare i server a cui non è possibile delegare le credenziali salvate dell'utente(le credenziali salvate sono quelle che si sceglie di salvare/ricordare usando Gestione credenziali di Windows).
Se si disabilita o non si configura (per impostazione predefinita) questa impostazione di criterio, questa impostazione di criterio non specifica alcun server.
Nota
L'impostazione del criterio "Nega delega credenziali salvate" può essere impostata su uno o più nomi di entità servizio (SPN). Il nome SPN rappresenta il server di destinazione a cui non è possibile delegare le credenziali utente. L'uso di un singolo carattere jolly è consentito quando si specifica il nome SPN.
Per esempio:
TERMSRV/host.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione nel computer host.humanresources.fabrikam.com.
TERMSRV/* Host sessione Desktop remoto in esecuzione in tutti i computer.
TERMSRV/*.humanresources.fabrikam.com Host sessione Desktop remoto in esecuzione in tutti i computer in .humanresources.fabrikam.com.
Questa impostazione di criterio può essere usata in combinazione con l'impostazione dei criteri "Consenti delega credenziali salvate" per definire eccezioni per server specifici altrimenti consentiti quando si usano caratteri jolly nell'elenco del server "Consenti delega delle credenziali salvate".
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | DenySavedCredentials |
| Nome descrittivo | Nega delega delle credenziali salvate |
| Posizione | Configurazione computer |
| Percorso | Delega delle credenziali di sistema > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nome del valore del registro | DenySavedCredentials |
| Nome file ADMX | CredSsp.admx |
RestrictedRemoteAdministration
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive ✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive ✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive ✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration
Durante l'esecuzione in modalità Amministratore con restrizioni o Remote Credential Guard, le app partecipanti non espongono le credenziali di accesso o fornite a un host remoto. L'amministratore con restrizioni limita l'accesso alle risorse che si trovano in altri server o reti dall'host remoto perché le credenziali non sono delegate. Remote Credential Guard non limita l'accesso alle risorse perché reindirizza tutte le richieste al dispositivo client.
App partecipanti:
Client Desktop remoto.
- Se si abilita questa impostazione di criterio, sono supportate le opzioni seguenti:
Limitare la delega delle credenziali: le applicazioni partecipanti devono usare l'amministratore con restrizioni o Remote Credential Guard per connettersi agli host remoti.
Richiedi Remote Credential Guard: le applicazioni partecipanti devono usare Remote Credential Guard per connettersi agli host remoti.
Richiedi amministratore con restrizioni: le applicazioni partecipanti devono usare l'amministratore con restrizioni per connettersi agli host remoti.
- Se disabiliti o non configuri questa impostazione di criterio, l'amministratore con restrizioni e la modalità Remote Credential Guard non vengono applicati e le app partecipanti possono delegare le credenziali ai dispositivi remoti.
Nota
Per disabilitare la maggior parte della delega delle credenziali, potrebbe essere sufficiente negare la delega nel provider di supporto per la sicurezza delle credenziali (CredSSP) modificando le impostazioni del modello amministrativo (disponibile in Configurazione computer\Modelli amministrativi\Sistema\Delega credenziali).
Nota
In Windows 8.1 e Windows Server 2012 R2, l'abilitazione di questo criterio imporrà la modalità Amministrazione con restrizioni, indipendentemente dalla modalità scelta. Queste versioni non supportano Remote Credential Guard.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | RestrictedRemoteAdministration |
| Nome descrittivo | Limitare la delega delle credenziali ai server remoti |
| Posizione | Configurazione computer |
| Percorso | Delega delle credenziali di sistema > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nome del valore del registro | RestrictedRemoteAdministration |
| Nome file ADMX | CredSsp.admx |