Configurer la validation de clés WHfB vulnérables au ROCA lors de l'authentification

Ce paramètre de stratégie vous permet de configurer la façon dont les contrôleurs de domaine gèrent les clés Windows Hello Entreprise (WHfB) qui sont sensibles à la vulnérabilité au «Retour des attaques de Coppersmith» (ROCA).

Pour plus d'informations sur la vulnérabilité au ROCA, voir:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15361

https://en.wikipedia.org/wiki/ROCA_vulnerability

Si vous activez ce paramètre de stratégie, les options suivantes sont prises en charge:

Ignorer: au cours de l'authentification, le contrôleur de domaine ne doit pas détecter les clés WHfB pour la vulnérabilité au ROCA.

Audit: lors de l'authentification, le contrôleur de domaine présente des événements d'audit pour les clés WHfB qui sont soumises à la vulnérabilité du ROCA (les authentifications réussissent).

Bloquer: pendant l'authentification, le contrôleur de domaine bloque l'utilisation des clés WHfB qui sont sujettes à la vulnérabilité du ROCA (les authentifications échouent).

Ce paramètre ne prend effet que sur les contrôleurs de domaine.

Si cette option n'est pas configurée, les contrôleurs de domaine utilisent leur configuration locale par défaut. La configuration locale par défaut est Audit.

Un redémarrage n'est pas nécessaire pour que les modifications apportées à ce paramètre prennent effet.

Remarque: pour éviter des perturbations inattendues, ce paramètre ne doit pas être défini sur Bloquer tant que les atténuations appropriées n'ont pas été effectuées (par exemple, mise à jour corrective des Modules de plateforme sécurisée vulnérables).

Plus d'informations sont disponibles sur https://go.microsoft.com/fwlink/?linkid=2116430.

Pris en charge sur : Au minimum Windows Vista

Options de gestion des clés WHfB vulnérables au ROCA


  1. Ignorer les clés WHfB vulnérables au ROCA
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\SAM
    Value NameSamNGCKeyROCAValidation
    Value TypeREG_DWORD
    Value0
  2. Auditer les clés WHfB vulnérables au ROCA lors de l'utilisation
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\SAM
    Value NameSamNGCKeyROCAValidation
    Value TypeREG_DWORD
    Value1
  3. Bloquer les clés WHfB vulnérables au ROCA lors de l'utilisation
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\SAM
    Value NameSamNGCKeyROCAValidation
    Value TypeREG_DWORD
    Value2


sam.admx

Modèles d'administration (ordinateurs)

Modèles d'administration (utilisateurs)