Ce paramètre de stratégie vous permet de configurer la façon dont les contrôleurs de domaine gèrent les clés Windows Hello Entreprise (WHfB) qui sont sensibles à la vulnérabilité au «Retour des attaques de Coppersmith» (ROCA).
Pour plus d'informations sur la vulnérabilité au ROCA, voir:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15361
https://en.wikipedia.org/wiki/ROCA_vulnerability
Si vous activez ce paramètre de stratégie, les options suivantes sont prises en charge:
Ignorer: au cours de l'authentification, le contrôleur de domaine ne doit pas détecter les clés WHfB pour la vulnérabilité au ROCA.
Audit: lors de l'authentification, le contrôleur de domaine présente des événements d'audit pour les clés WHfB qui sont soumises à la vulnérabilité du ROCA (les authentifications réussissent).
Bloquer: pendant l'authentification, le contrôleur de domaine bloque l'utilisation des clés WHfB qui sont sujettes à la vulnérabilité du ROCA (les authentifications échouent).
Ce paramètre ne prend effet que sur les contrôleurs de domaine.
Si cette option n'est pas configurée, les contrôleurs de domaine utilisent leur configuration locale par défaut. La configuration locale par défaut est Audit.
Un redémarrage n'est pas nécessaire pour que les modifications apportées à ce paramètre prennent effet.
Remarque: pour éviter des perturbations inattendues, ce paramètre ne doit pas être défini sur Bloquer tant que les atténuations appropriées n'ont pas été effectuées (par exemple, mise à jour corrective des Modules de plateforme sécurisée vulnérables).
Plus d'informations sont disponibles sur https://go.microsoft.com/fwlink/?linkid=2116430.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM |
Value Name | SamNGCKeyROCAValidation |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM |
Value Name | SamNGCKeyROCAValidation |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM |
Value Name | SamNGCKeyROCAValidation |
Value Type | REG_DWORD |
Value | 2 |