CSP de Política - ADMX_kdc
Dica
Este CSP contém políticas apoiadas por ADMX que requerem um formato SyncML especial para ativar ou desativar. Tem de especificar o tipo de dados no SyncML como <Format>chr</Format>. Para obter detalhes, veja Understanding ADMX-backed policies (Compreender as políticas apoiadas pelo ADMX).
O payload do SyncML tem de ter codificação XML; para esta codificação XML, existem vários codificadores online que pode utilizar. Para evitar codificar o payload, pode utilizar o CDATA se o MDM o suportar. Para obter mais informações, veja Secções CDATA.
CbacAndArmor
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior ✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior ✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior ✅ Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/CbacAndArmor
Esta definição de política permite-lhe configurar um controlador de domínio para suportar afirmações e autenticação composta para Controlo de Acesso Dinâmico e proteção Kerberos através da autenticação Kerberos.
Se ativar esta definição de política, os computadores cliente que suportam afirmações e autenticação composta para o Controlo de Acesso Dinâmico e que tenham suporte de proteção Kerberos utilizarão esta funcionalidade para mensagens de autenticação Kerberos. Esta política deve ser aplicada a todos os controladores de domínio para garantir uma aplicação consistente desta política no domínio.
Se desativar ou não configurar esta definição de política, o controlador de domínio não suporta afirmações, autenticação composta ou proteção.
Se configurar a opção "Não suportado", o controlador de domínio não suporta afirmações, autenticação composta ou proteção, que é o comportamento predefinido para controladores de domínio com o Windows Server 2008 R2 ou sistemas operativos anteriores.
Observação
Para que as seguintes opções desta política KDC sejam eficazes, a Política de Grupo Kerberos "Suporte de cliente Kerberos para afirmações, autenticação composta e proteção Kerberos" tem de ser ativada em sistemas suportados. Se a definição de política Kerberos não estiver ativada, as mensagens de autenticação Kerberos não utilizarão estas funcionalidades.
Se configurar "Suportado", o controlador de domínio suporta afirmações, autenticação composta e proteção Kerberos. O controlador de domínio anuncia aos computadores cliente Kerberos que o domínio é capaz de afirmações e autenticação composta para Controlo de Acesso Dinâmico e proteção Kerberos.
Requisitos de nível funcional do domínio.
Para as opções "Fornecer sempre afirmações" e "Falhar pedidos de autenticação desarmados", quando o nível funcional do domínio está definido como Windows Server 2008 R2 ou anterior, os controladores de domínio comportam-se como se a opção "Suportado" estivesse selecionada.
Quando o nível funcional do domínio está definido como Windows Server 2012, o controlador de domínio anuncia aos computadores cliente Kerberos que o domínio é capaz de afirmações e autenticação composta para Controlo de Acesso Dinâmico e proteção Kerberos e:
Se definir a opção "Fornecer sempre afirmações", devolve sempre afirmações para contas e suporta o comportamento rfc para anunciar o túnel seguro de autenticação flexível (FAST).
Se definir a opção "Falhar pedidos de autenticação desarmados", o rejeita mensagens Kerberos desarmadas.
Aviso
Quando a opção "Falhar pedidos de autenticação desarmada" estiver definida, os computadores cliente que não suportam a proteção Kerberos não serão autenticados no controlador de domínio.
Para garantir que esta funcionalidade é eficaz, implemente controladores de domínio suficientes que suportem afirmações e autenticação composta para o Controlo de Acesso Dinâmico e deteção de proteção Kerberos para processar os pedidos de autenticação. Número insuficiente de controladores de domínio que suportam esta política resulta em falhas de autenticação sempre que for necessário o Controlo de Acesso Dinâmico ou a proteção Kerberos (ou seja, a opção "Suportado" está ativada).
Impacto no desempenho do controlador de domínio quando esta definição de política está ativada:
A deteção segura da capacidade de domínio Kerberos é necessária, o que resulta em trocas de mensagens adicionais.
As afirmações e a autenticação composta para o Controlo de Acesso Dinâmico aumentam o tamanho e a complexidade dos dados na mensagem, o que resulta num maior tempo de processamento e maior tamanho da permissão de serviço Kerberos.
O proteção Kerberos encripta totalmente as mensagens Kerberos e assina erros kerberos, o que resulta num maior tempo de processamento, mas não altera o tamanho da permissão de serviço.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | CbacAndArmor |
| Nome Amigável | Suporte KDC para afirmações, autenticação composta e proteção Kerberos |
| Localização | Configuração do Computador |
| Caminho | KDC do Sistema > |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| Nome do Valor do Registro | EnableCbacAndArmor |
| Nome do Arquivo ADMX | kdc.admx |
emitlili
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior ✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior ✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior ✅ Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/emitlili
Esta definição de política controla se o controlador de domínio fornece informações sobre inícios de sessão anteriores aos computadores cliente.
- Se ativar esta definição de política, o controlador de domínio fornece a mensagem de informações sobre inícios de sessão anteriores.
Para o Início de Sessão do Windows tirar partido desta funcionalidade, a definição de política "Apresentar informações sobre inícios de sessão anteriores durante o início de sessão do utilizador" localizada no nó Opções de Início de Sessão do Windows em Componentes do Windows também tem de estar ativada.
- Se desativar ou não configurar esta definição de política, o controlador de domínio não fornece informações sobre inícios de sessão anteriores, a menos que a definição de política "Apresentar informações sobre inícios de sessão anteriores durante o início de sessão do utilizador" esteja ativada.
Observação
As informações sobre inícios de sessão anteriores só são fornecidas se o nível funcional do domínio for o Windows Server 2008. Em domínios com um nível funcional de domínio do Windows Server 2003, windows 2000 nativo ou windows 2000 misto, os controladores de domínio não podem fornecer informações sobre inícios de sessão anteriores e ativar esta definição de política não afeta nada.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | emitlili |
| Nome Amigável | Fornecer informações sobre inícios de sessão anteriores para computadores cliente |
| Localização | Configuração do Computador |
| Caminho | KDC do Sistema > |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| Nome do Valor do Registro | EmitLILI |
| Nome do Arquivo ADMX | kdc.admx |
Pesquisa florestal
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior ✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior ✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior ✅ Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/ForestSearch
Esta definição de política define a lista de florestas fidedignas que o Centro de Distribuição de Chaves (KDC) procura ao tentar resolver nomes de principais de serviço (SPNs) de duas partes.
Se ativar esta definição de política, o KDC procurará as florestas nesta lista se não conseguir resolver um SPN de duas partes na floresta local. A pesquisa de floresta é efetuada através de um catálogo global ou sugestões de sufixo de nome. Se for encontrada uma correspondência, o KDC devolverá um pedido de referência ao cliente para o domínio adequado.
Se desativar ou não configurar esta definição de política, o KDC não procurará nas florestas listadas para resolver o SPN. Se o KDC não conseguir resolver o SPN porque o nome não foi encontrado, poderá ser utilizada a autenticação NTLM.
Para garantir um comportamento consistente, esta definição de política tem de ser suportada e definida de forma idêntica em todos os controladores de domínio no domínio.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | Pesquisa florestal |
| Nome Amigável | Utilizar a ordem de pesquisa de floresta |
| Localização | Configuração do Computador |
| Caminho | KDC do Sistema > |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| Nome do Valor do Registro | UseForestSearch |
| Nome do Arquivo ADMX | kdc.admx |
PKINITFreshness
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior ✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior ✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior ✅ Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/PKINITFreshness
O suporte para a Extensão de Atualização PKInit requer o nível funcional de domínio (DFL) do Windows Server 2016. Se o domínio do controlador de domínio não estiver na DFL do Windows Server 2016 ou superior, esta política não será aplicada.
Esta definição de política permite-lhe configurar um controlador de domínio (DC) para suportar a Extensão de Atualização PKInit.
- Se ativar esta definição de política, são suportadas as seguintes opções:
Suportado: a Extensão de Atualização PKInit é suportada a pedido. Os clientes Kerberos que efetuam a autenticação com êxito com a Extensão de Atualização do PKInit obterão o SID de identidade de chave pública recente.
Obrigatório: a Extensão de Atualização PKInit é necessária para uma autenticação bem-sucedida. Os clientes Kerberos que não suportam a Extensão de Atualização do PKInit falharão sempre ao utilizar credenciais de chave pública.
- Se desativar ou não configurar esta definição de política, o DC nunca oferecerá a Extensão de Atualização PKInit e aceitará pedidos de autenticação válidos sem verificar a atualização. Os utilizadores nunca irão receber o SID de identidade de chave pública nova.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | PKINITFreshness |
| Nome Amigável | Suporte do KDC para a Extensão de Atualização PKInit |
| Localização | Configuração do Computador |
| Caminho | KDC do Sistema > |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| Nome do Arquivo ADMX | kdc.admx |
RequestCompoundId
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior ✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior ✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior ✅ Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/RequestCompoundId
Esta definição de política permite-lhe configurar um controlador de domínio para pedir autenticação composta.
Observação
Para um controlador de domínio pedir autenticação composta, a política "Suporte KDC para afirmações, autenticação composta e proteção Kerberos" tem de ser configurada e ativada.
Se ativar esta definição de política, os controladores de domínio pedirão autenticação composta. A permissão de serviço devolvida só conterá autenticação composta quando a conta estiver explicitamente configurada. Esta política deve ser aplicada a todos os controladores de domínio para garantir uma aplicação consistente desta política no domínio.
Se desativar ou não configurar esta definição de política, os controladores de domínio devolverão pedidos de assistência que contenham autenticação composta sempre que o cliente enviar um pedido de autenticação composto, independentemente da configuração da conta.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | RequestCompoundId |
| Nome Amigável | Pedir autenticação composta |
| Localização | Configuração do Computador |
| Caminho | KDC do Sistema > |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| Nome do Valor do Registro | RequestCompoundId |
| Nome do Arquivo ADMX | kdc.admx |
TicketSizeThreshold
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior ✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior ✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior ✅ Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/TicketSizeThreshold
Esta definição de política permite-lhe configurar com que tamanho as permissões Kerberos irão acionar o evento de aviso emitido durante a autenticação Kerberos. Os avisos de tamanho da permissão são registados no Registo do sistema.
Se ativar esta definição de política, pode definir o limite de limiar para a permissão Kerberos que aciona os eventos de aviso. Se estiver definido como demasiado alto, poderão ocorrer falhas de autenticação, apesar de os eventos de aviso não estarem a ser registados. Se for definido como demasiado baixo, haverá demasiados avisos de pedidos de suporte no registo para serem úteis para análise. Este valor deve ser definido para o mesmo valor que a política Kerberos "Definir o tamanho máximo da memória intermédia do token de contexto SSPI kerberos" ou o menor MaxTokenSize utilizado no seu ambiente se não estiver a configurar com a Política de Grupo.
Se desativar ou não configurar esta definição de política, o valor de limiar é predefinido para 12 000 bytes, que é o Kerberos MaxTokenSize predefinido para Windows 7, Windows Server 2008 R2 e versões anteriores.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | TicketSizeThreshold |
| Nome Amigável | Aviso para bilhetes Kerberos grandes |
| Localização | Configuração do Computador |
| Caminho | KDC do Sistema > |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| Nome do Valor do Registro | EnableTicketSizeThreshold |
| Nome do Arquivo ADMX | kdc.admx |