远程机允许委派不可导出的凭据

远程机允许委派不可导出的凭据

使用凭据委派功能时,设备将向远程机提供一个可导出版本的凭据。这会使用户面临被位于远程机端的攻击者盗用凭据的风险。

如果启用此策略设置,主机将支持"受限管理"或"远程 Credential Guard"模式。

如果禁用或未配置此策略设置,则不支持"受限管理"和"远程 Credential Guard"模式。用户始终需要将其凭据传递给主机。

支持的平台: 至少为 Windows Server 2016、Windows 10 版本 1703

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Windows\CredentialsDelegation
Value NameAllowProtectedCreds
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

credssp.admx

管理模板(计算机)

管理模板(用户)