Diese Richtlinieneinstellung ermöglicht es Ihnen, zu konfigurieren, wie Domänencontroller Windows Hello for Business-Schlüssel (WHfB) behandeln, die für die Sicherheitsanfälligkeit von "Return of Coppersmith‘s Attack" (ROCA) anfällig sind.
Weitere Informationen zur Sicherheitsanfälligkeit für ROCA finden Sie unter:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15361
https://en.wikipedia.org/wiki/ROCA_vulnerability
Wenn Sie diese Richtlinieneinstellung aktivieren, werden die folgenden Optionen unterstützt:
Ignorieren : während der Authentifizierung prüft der Domänencontroller keine WHfB-Schlüssel für die Sicherheitsanfälligkeit von ROCA.
Überwachung: während der Authentifizierung gibt der Domänencontroller Überwachungsereignisse für WHfB-Schlüssel aus, die der Sicherheitsanfälligkeit von ROCA unterworfen sind (Authentifizierungen werden weiterhin erfolgreich ausgeführt).
Blockieren: während der Authentifizierung blockiert der Domänencontroller die Verwendung von WHfB-Schlüsseln, die der Sicherheitsanfälligkeit von ROCA unterliegen (Authentifizierungen können nicht ausgeführt werden).
Diese Einstellung ist nur auf Domänencontrollern wirksam.
Wenn nicht konfiguriert, wird standardmäßig die lokale Konfiguration der Domänencontroller verwendet. Die lokale Standardkonfiguration ist Überwachung.
Ein Neustart ist nicht erforderlich, damit Änderungen an dieser Einstellung wirksam werden.
Hinweis: um unerwartete Unterbrechungen zu vermeiden, sollte diese Einstellung nicht so lange blockiert werden, bis geeignete Eindämmungsmaßnahmen vorgenommen wurden, wie beispielsweise das Patchen von verwundbaren TPMs.
Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2116430.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM |
Value Name | SamNGCKeyROCAValidation |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM |
Value Name | SamNGCKeyROCAValidation |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM |
Value Name | SamNGCKeyROCAValidation |
Value Type | REG_DWORD |
Value | 2 |