Exigir validação KDC rigorosa

Esta configuração de política controla o comportamento do cliente Kerberos relativo à validação do certificado KDC para logon de certificado do sistema e cartão inteligente.

Se você habilitar essa configuração de política, o cliente Kerberos exigirá que o certificado X.509 do KDC contenha o identificador de objeto de finalidade de chave KDC nas extensões EKU (Uso Estendido de Chave) e que o certificado X.509 do KDC contenha uma extensão dNSName subjectAltName (SAN) que corresponda ao nome DNS do domínio. Se o computador fizer parte de um domínio, o cliente Kerberos exigirá que o certificado X.509 do KDC seja assinado por uma CA (Autoridade de Certificação) no repositório NTAuth. Se o computador não fizer parte de um domínio, o cliente Kerberos permitirá que o certificado CA raiz no cartão inteligente seja usado na validação de caminho do certificado X.509 do KDC.

Se você desabilitar ou não definir essa configuração de política, o cliente Kerberos exigirá apenas que o certificado KDC contenha o identificador do objeto de finalidade de Autenticação de Servidor nas extensões EKU, que podem ser emitidas em qualquer servidor.

Suporte em: Windows Vista ou posterior

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Value NameKdcValidation
Value TypeREG_DWORD
Enabled Value2
Disabled Value0

kerberos.admx

Modelos Administrativos (Computadores)

Modelos Administrativos (Usuários)