CSP de Política - ADMX_CredSsp
Dica
Este CSP contém políticas apoiadas por ADMX que requerem um formato SyncML especial para ativar ou desativar. Tem de especificar o tipo de dados no SyncML como <Format>chr</Format>. Para obter detalhes, veja Understanding ADMX-backed policies (Compreender as políticas apoiadas pelo ADMX).
O payload do SyncML tem de ter codificação XML; para esta codificação XML, existem vários codificadores online que pode utilizar. Para evitar codificar o payload, pode utilizar o CDATA se o MDM o suportar. Para obter mais informações, veja Secções CDATA.
AllowDefaultCredentials
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior ✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior ✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior ✅ Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowDefaultCredentials
Esta definição de política aplica-se às aplicações que utilizam o componente SSP Cred (por exemplo: Ligação ao Ambiente de Trabalho Remoto).
Esta definição de política aplica-se quando a autenticação do servidor foi obtida com um certificado X509 ou Kerberos fidedigno.
- Se ativar esta definição de política, pode especificar os servidores aos quais as credenciais predefinidas do utilizador podem ser delegadas (as credenciais predefinidas são as que utiliza quando inicia sessão pela primeira vez no Windows).
A política torna-se eficaz da próxima vez que o utilizador iniciar sessão num computador com o Windows.
- Se desativar ou não configurar (por predefinição) esta definição de política, a delegação de credenciais predefinidas não será permitida a nenhum computador. As aplicações consoante este comportamento de delegação podem falhar na autenticação. Para obter mais informações, veja KB.
FWlink para KB:
https://go.microsoft.com/fwlink/?LinkId=301508
Observação
A definição de política "Permitir delegação de credenciais predefinidas" pode ser definida como um ou mais Nomes dos Principais de Serviço (SPNs). O SPN representa o servidor de destino ao qual as credenciais de utilizador podem ser delegadas. A utilização de um único caráter universal é permitida ao especificar o SPN.
Por exemplo:
TERMSRV/host.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução no host.humanresources.fabrikam.com computador.
TERMSRV/* Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores.
TERMSRV/*.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores no .humanresources.fabrikam.com.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | AllowDefaultCredentials |
| Nome Amigável | Permitir delegar credenciais predefinidas |
| Localização | Configuração do Computador |
| Caminho | Delegação de Credenciais do Sistema > |
| Nome da Chave do Registro | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nome do Valor do Registro | AllowDefaultCredentials |
| Nome do Arquivo ADMX | CredSsp.admx |
AllowDefCredentialsWhenNTLMOnly
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior ✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior ✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior ✅ Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowDefCredentialsWhenNTLMOnly
Esta definição de política aplica-se às aplicações que utilizam o componente SSP Cred (por exemplo: Ligação ao Ambiente de Trabalho Remoto).
Esta definição de política aplica-se quando a autenticação do servidor foi obtida através do NTLM.
Se ativar esta definição de política, pode especificar os servidores aos quais as credenciais predefinidas do utilizador podem ser delegadas (as credenciais predefinidas são as que utiliza quando inicia sessão pela primeira vez no Windows).
Se desativar ou não configurar (por predefinição) esta definição de política, a delegação de credenciais predefinidas não será permitida a nenhum computador.
Observação
A definição de política "Permitir delegar credenciais predefinidas com autenticação de servidor apenas NTLM" pode ser definida como um ou mais Nomes dos Principais de Serviço (SPNs). O SPN representa o servidor de destino ao qual as credenciais de utilizador podem ser delegadas. A utilização de um único caráter universal é permitida ao especificar o SPN.
Por exemplo:
TERMSRV/host.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução no host.humanresources.fabrikam.com computador.
TERMSRV/* Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores.
TERMSRV/*.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores no .humanresources.fabrikam.com.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | AllowDefCredentialsWhenNTLMOnly |
| Nome Amigável | Permitir a delegação de credenciais predefinidas com a autenticação de servidor apenas NTLM |
| Localização | Configuração do Computador |
| Caminho | Delegação de Credenciais do Sistema > |
| Nome da Chave do Registro | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nome do Valor do Registro | AllowDefCredentialsWhenNTLMOnly |
| Nome do Arquivo ADMX | CredSsp.admx |
AllowEncryptionOracle
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior ✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior ✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior ✅ Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowEncryptionOracle
Remediação Oracle de Encriptação.
Esta definição de política aplica-se às aplicações que utilizam o componente CredSSP (por exemplo: Ligação ao Ambiente de Trabalho Remoto).
Algumas versões do protocolo CredSSP são vulneráveis a um ataque oracle de encriptação contra o cliente. Esta política controla a compatibilidade com clientes e servidores vulneráveis. Esta política permite-lhe definir o nível de proteção pretendido para a vulnerabilidade do oráculo de encriptação.
Se ativar esta definição de política, o suporte da versão credSSP será selecionado com base nas seguintes opções:
Forçar Clientes Atualizados: as aplicações cliente que utilizam CredSSP não poderão reverter para as versões e serviços inseguros que utilizam CredSSP não aceitarão clientes não correspondentes. Tenha em atenção que esta definição não deve ser implementada até que todos os anfitriões remotos suportem a versão mais recente.
Mitigado: as aplicações cliente que utilizam CredSSP não poderão reverter para a versão insegura, mas os serviços que utilizam CredSSP aceitarão clientes não correspondentes. Veja a ligação abaixo para obter informações importantes sobre o risco colocado pelos clientes restantes sem correspondência.
Vulnerável: as aplicações cliente que utilizam CredSSP exporão os servidores remotos a ataques ao suportar a reativação das versões e serviços inseguros com CredSSP aceitarão clientes não correspondentes.
Para obter mais informações sobre os requisitos de vulnerabilidade e manutenção para proteção, consulte https://go.microsoft.com/fwlink/?linkid=866660
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | AllowEncryptionOracle |
| Nome Amigável | Remediação Oracle de Encriptação |
| Localização | Configuração do Computador |
| Caminho | Delegação de Credenciais do Sistema > |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
| Nome do Arquivo ADMX | CredSsp.admx |
AllowFreshCredentials
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior ✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior ✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior ✅ Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowFreshCredentials
Esta definição de política aplica-se às aplicações que utilizam o componente SSP Cred (por exemplo: Ligação ao Ambiente de Trabalho Remoto).
Esta definição de política aplica-se quando a autenticação do servidor foi obtida através de um certificado X509 ou Kerberos fidedigno.
Se ativar esta definição de política, pode especificar os servidores aos quais as novas credenciais do utilizador podem ser delegadas (as credenciais novas são as que lhe são pedidas ao executar a aplicação).
Se não configurar (por predefinição) esta definição de política, após a autenticação mútua adequada, é permitida a delegação de credenciais novas ao Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em qualquer computador (TERMSRV/*).
Se desativar esta definição de política, a delegação de credenciais novas não será permitida a qualquer computador.
Observação
A definição de política "Permitir delegar credenciais novas" pode ser definida como um ou mais Nomes dos Principais de Serviço (SPNs). O SPN representa o servidor de destino ao qual as credenciais de utilizador podem ser delegadas. A utilização de um único caráter universal é permitida ao especificar o SPN.
Por exemplo:
TERMSRV/host.humanresources.fabrikam.com.
Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução no host.humanresources.fabrikam.com computador.
TERMSRV/* Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores.
TERMSRV/*.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores no .humanresources.fabrikam.com.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | AllowFreshCredentials |
| Nome Amigável | Permitir delegar credenciais novas |
| Localização | Configuração do Computador |
| Caminho | Delegação de Credenciais do Sistema > |
| Nome da Chave do Registro | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nome do Valor do Registro | AllowFreshCredentials |
| Nome do Arquivo ADMX | CredSsp.admx |
AllowFreshCredentialsWhenNTLMOnly
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior ✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior ✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior ✅ Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowFreshCredentialsWhenNTLMOnly
Esta definição de política aplica-se às aplicações que utilizam o componente SSP Cred (por exemplo: Ligação ao Ambiente de Trabalho Remoto).
Esta definição de política aplica-se quando a autenticação do servidor foi obtida através do NTLM.
Se ativar esta definição de política, pode especificar os servidores aos quais as novas credenciais do utilizador podem ser delegadas (as credenciais novas são as que lhe são pedidas ao executar a aplicação).
Se não configurar (por predefinição) esta definição de política, após a autenticação mútua adequada, é permitida a delegação de credenciais novas ao Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em qualquer computador (TERMSRV/*).
Se desativar esta definição de política, a delegação de credenciais novas não será permitida a qualquer computador.
Observação
A definição de política "Permitir delegar credenciais novas com autenticação de servidor apenas NTLM" pode ser definida como um ou mais Nomes dos Principais de Serviço (SPNs). O SPN representa o servidor de destino ao qual as credenciais de utilizador podem ser delegadas. A utilização de um único caráter universal é permitida ao especificar o SPN.
Por exemplo:
TERMSRV/host.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução no host.humanresources.fabrikam.com computador.
TERMSRV/* Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores.
TERMSRV/*.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores no humanresources.fabrikam.com.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | AllowFreshCredentialsWhenNTLMOnly |
| Nome Amigável | Permitir delegar credenciais novas com autenticação de servidor apenas NTLM |
| Localização | Configuração do Computador |
| Caminho | Delegação de Credenciais do Sistema > |
| Nome da Chave do Registro | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nome do Valor do Registro | AllowFreshCredentialsWhenNTLMOnly |
| Nome do Arquivo ADMX | CredSsp.admx |
AllowSavedCredentials
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior ✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior ✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior ✅ Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowSavedCredentials
Esta definição de política aplica-se às aplicações que utilizam o componente SSP Cred (por exemplo: Ligação ao Ambiente de Trabalho Remoto).
Esta definição de política aplica-se quando a autenticação do servidor foi obtida através de um certificado X509 ou Kerberos fidedigno.
Se ativar esta definição de política, pode especificar os servidores aos quais as credenciais guardadas do utilizador podem ser delegadas (as credenciais guardadas são as que opta por guardar/memorizar com o gestor de credenciais do Windows).
Se não configurar (por predefinição) esta definição de política, após a autenticação mútua adequada, a delegação de credenciais guardadas é permitida ao Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em qualquer computador (TERMSRV/*).
Se desativar esta definição de política, a delegação de credenciais guardadas não será permitida a nenhum computador.
Observação
A definição de política "Permitir delegar credenciais guardadas" pode ser definida como um ou mais Nomes dos Principais de Serviço (SPNs). O SPN representa o servidor de destino ao qual as credenciais de utilizador podem ser delegadas. A utilização de um único caráter universal é permitida ao especificar o SPN.
Por exemplo:
TERMSRV/host.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução no host.humanresources.fabrikam.com computador.
TERMSRV/* Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores.
TERMSRV/*.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores no humanresources.fabrikam.com.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | AllowSavedCredentials |
| Nome Amigável | Permitir delegar credenciais guardadas |
| Localização | Configuração do Computador |
| Caminho | Delegação de Credenciais do Sistema > |
| Nome da Chave do Registro | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nome do Valor do Registro | AllowSavedCredentials |
| Nome do Arquivo ADMX | CredSsp.admx |
AllowSavedCredentialsWhenNTLMOnly
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior ✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior ✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior ✅ Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowSavedCredentialsWhenNTLMOnly
Esta definição de política aplica-se às aplicações que utilizam o componente SSP Cred (por exemplo: Ligação ao Ambiente de Trabalho Remoto).
Esta definição de política aplica-se quando a autenticação do servidor foi obtida através do NTLM.
Se ativar esta definição de política, pode especificar os servidores aos quais as credenciais guardadas do utilizador podem ser delegadas (as credenciais guardadas são as que opta por guardar/memorizar com o gestor de credenciais do Windows).
Se não configurar (por predefinição) esta definição de política, após a autenticação mútua adequada, a delegação de credenciais guardadas é permitida ao Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em qualquer computador (TERMSRV/*) se o computador cliente não for membro de nenhum domínio. Se o cliente estiver associado a um domínio, por predefinição, a delegação de credenciais guardadas não é permitida a nenhum computador.
Se desativar esta definição de política, a delegação de credenciais guardadas não será permitida a nenhum computador.
Observação
A definição de política "Permitir delegar credenciais guardadas com autenticação de servidor apenas NTLM" pode ser definida como um ou mais Nomes dos Principais de Serviço (SPNs). O SPN representa o servidor de destino ao qual as credenciais de utilizador podem ser delegadas. A utilização de um único caráter universal é permitida ao especificar o SPN.
Por exemplo:
TERMSRV/host.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução no host.humanresources.fabrikam.com computador.
TERMSRV/* Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores.
TERMSRV/*.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores no humanresources.fabrikam.com.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | AllowSavedCredentialsWhenNTLMOnly |
| Nome Amigável | Permitir delegar credenciais guardadas com autenticação de servidor apenas NTLM |
| Localização | Configuração do Computador |
| Caminho | Delegação de Credenciais do Sistema > |
| Nome da Chave do Registro | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nome do Valor do Registro | AllowSavedCredentialsWhenNTLMOnly |
| Nome do Arquivo ADMX | CredSsp.admx |
DenyDefaultCredentials
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior ✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior ✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior ✅ Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenyDefaultCredentials
Esta definição de política aplica-se às aplicações que utilizam o componente SSP Cred (por exemplo: Ligação ao Ambiente de Trabalho Remoto).
Se ativar esta definição de política, pode especificar os servidores para os quais as credenciais predefinidas do utilizador não podem ser delegadas (as credenciais predefinidas são as que utiliza quando inicia sessão pela primeira vez no Windows).
Se desativar ou não configurar (por predefinição) esta definição de política, esta definição de política não especifica nenhum servidor.
Observação
A definição de política "Negar delegar credenciais predefinidas" pode ser definida como um ou mais Nomes dos Principais de Serviço (SPNs). O SPN representa o servidor de destino ao qual as credenciais de utilizador não podem ser delegadas. A utilização de um único caráter universal é permitida ao especificar o SPN.
Por exemplo:
TERMSRV/host.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução no host.humanresources.fabrikam.com computador.
TERMSRV/* Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores.
TERMSRV/*.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores no .humanresources.fabrikam.com.
Esta definição de política pode ser utilizada em combinação com a definição de política "Permitir delegar credenciais predefinidas" para definir exceções para servidores específicos que, de outra forma, são permitidos ao utilizar carateres universais na lista de servidores "Permitir delegar credenciais predefinidas".
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | DenyDefaultCredentials |
| Nome Amigável | Negar delegar credenciais predefinidas |
| Localização | Configuração do Computador |
| Caminho | Delegação de Credenciais do Sistema > |
| Nome da Chave do Registro | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nome do Valor do Registro | DenyDefaultCredentials |
| Nome do Arquivo ADMX | CredSsp.admx |
DenyFreshCredentials
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior ✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior ✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior ✅ Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenyFreshCredentials
Esta definição de política aplica-se às aplicações que utilizam o componente SSP Cred (por exemplo: Ligação ao Ambiente de Trabalho Remoto).
Se ativar esta definição de política, pode especificar os servidores aos quais as credenciais novas do utilizador não podem ser delegadas (as credenciais novas são as que lhe são pedidas ao executar a aplicação).
Se desativar ou não configurar (por predefinição) esta definição de política, esta definição de política não especifica nenhum servidor.
Observação
A definição de política "Negar delegar credenciais novas" pode ser definida como um ou mais Nomes dos Principais de Serviço (SPNs). O SPN representa o servidor de destino ao qual as credenciais de utilizador não podem ser delegadas. A utilização de um único caráter universal é permitida ao especificar o SPN.
Por exemplo:
TERMSRV/host.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução no host.humanresources.fabrikam.com computador.
TERMSRV/* Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores.
TERMSRV/*.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores no .humanresources.fabrikam.com.
Esta definição de política pode ser utilizada em combinação com a definição de política "Permitir delegar credenciais novas" para definir exceções para servidores específicos que, de outra forma, são permitidos ao utilizar carateres universais na lista de servidores "Permitir delegar credenciais novas".
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | DenyFreshCredentials |
| Nome Amigável | Negar delegar credenciais novas |
| Localização | Configuração do Computador |
| Caminho | Delegação de Credenciais do Sistema > |
| Nome da Chave do Registro | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nome do Valor do Registro | DenyFreshCredentials |
| Nome do Arquivo ADMX | CredSsp.admx |
DenySavedCredentials
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior ✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior ✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior ✅ Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenySavedCredentials
Esta definição de política aplica-se às aplicações que utilizam o componente SSP Cred (por exemplo: Ligação ao Ambiente de Trabalho Remoto).
Se ativar esta definição de política, pode especificar os servidores aos quais as credenciais guardadas do utilizador não podem ser delegadas (as credenciais guardadas são as que opta por guardar/memorizar com o gestor de credenciais do Windows).
Se desativar ou não configurar (por predefinição) esta definição de política, esta definição de política não especifica nenhum servidor.
Observação
A definição de política "Negar delegar credenciais guardadas" pode ser definida como um ou mais Nomes dos Principais de Serviço (SPNs). O SPN representa o servidor de destino ao qual as credenciais de utilizador não podem ser delegadas. A utilização de um único caráter universal é permitida ao especificar o SPN.
Por exemplo:
TERMSRV/host.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução no host.humanresources.fabrikam.com computador.
TERMSRV/* Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores.
TERMSRV/*.humanresources.fabrikam.com Anfitrião de Sessões de Ambiente de Trabalho Remoto em execução em todos os computadores no .humanresources.fabrikam.com.
Esta definição de política pode ser utilizada em combinação com a definição de política "Permitir delegar credenciais guardadas" para definir exceções para servidores específicos que, de outra forma, são permitidos ao utilizar carateres universais na lista de servidores "Permitir delegar credenciais guardadas".
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | DenySavedCredentials |
| Nome Amigável | Negar delegar credenciais guardadas |
| Localização | Configuração do Computador |
| Caminho | Delegação de Credenciais do Sistema > |
| Nome da Chave do Registro | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nome do Valor do Registro | DenySavedCredentials |
| Nome do Arquivo ADMX | CredSsp.admx |
RestrictedRemoteAdministration
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior ✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior ✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior ✅ Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration
Ao executar no modo Dedmin Restrito ou Remote Credential Guard, as aplicações participantes não expõem credenciais com sessão iniciada ou fornecidas a um anfitrião remoto. O Administrador Restrito limita o acesso aos recursos localizados noutros servidores ou redes do anfitrião remoto porque as credenciais não são delegadas. O Credential Guard Remoto não limita o acesso aos recursos porque redireciona todos os pedidos de volta para o dispositivo cliente.
Aplicações participantes:
Cliente de Ambiente de Trabalho Remoto.
- Se ativar esta definição de política, são suportadas as seguintes opções:
Restringir a delegação de credenciais: as aplicações participantes têm de utilizar o Administrador Restrito ou o Remote Credential Guard para ligar a anfitriões remotos.
Exigir o Credential Guard Remoto: as aplicações participantes têm de utilizar o Remote Credential Guard para ligar a anfitriões remotos.
Exigir Administrador Restrito: as aplicações participantes têm de utilizar o Administrador Restrito para se ligarem a anfitriões remotos.
- Se desativar ou não configurar esta definição de política, o Modo de Administrador Restrito e o Modo de Proteção de Credenciais Remotas não são impostos e as aplicações participantes podem delegar credenciais a dispositivos remotos.
Observação
Para desativar a maior parte da delegação de credenciais, pode ser suficiente negar a delegação no Fornecedor de Suporte de Segurança de Credenciais (CredSSP) ao modificar as Definições de modelo administrativo (localizadas em Configuração do Computador\Modelos Administrativos\Sistema\Delegação de Credenciais).
Observação
No Windows 8.1 e no Windows Server 2012 R2, ativar esta política irá impor o modo de Administração Restrita, independentemente do modo escolhido. Estas versões não suportam o Remote Credential Guard.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | RestrictedRemoteAdministration |
| Nome Amigável | Restringir a delegação de credenciais a servidores remotos |
| Localização | Configuração do Computador |
| Caminho | Delegação de Credenciais do Sistema > |
| Nome da Chave do Registro | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| Nome do Valor do Registro | RestrictedRemoteAdministration |
| Nome do Arquivo ADMX | CredSsp.admx |