이 정책 설정을 통해 도메인 컨트롤러에서 "ROCA(Return of Coppersmith's attack)" 취약점에 취약한 Windows Hello for Business(WHfB) 키를 처리하는 방법을 구성할 수 있습니다.
ROCA 취약점에 관한 자세한 내용은 다음을 참조하세요.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15361
https://en.wikipedia.org/wiki/ROCA_vulnerability
이 정책 설정을 사용하도록 설정하는 경우, 다음 옵션이 지원됩니다.
무시: 인증하는 동안 도메인 컨트롤러에서 ROCA 취약점의 WHfB 키를 프로브하지 않습니다.
감사: 인증하는 동안 도메인 컨트롤러에서 ROCA 취약성에 영향받기 쉬운 WHfB 키의 감사 이벤트를 내보냅니다(인증에 아직 성공함).
차단: 인증하는 동안 도메인 컨트롤러에서 ROCA 취약점에 영향받기 쉬운 WHfB 키의 사용을 차단합니다(인증에 실패함).
이 설정을 도메인 컨트롤러에만 적용됩니다.
구성되지 않은 경우, 도메인 컨트롤러는 로컬 구성을 사용하도록 기본 설정됩니다. 기본 로컬 구성은 감사입니다.
이 설정의 변경 내용을 적용하기 위해 다시 부팅하지 않아도 됩니다.
참고: 예기치 못한 중단을 방지하려면, 적절한 완화 조치(예: 취약한 TPM의 패치 지원)가 수행될 때까지 이 설정을 차단으로 설정하지 않아야 합니다.
자세한 정보는 https://go.microsoft.com/fwlink/?linkid=2116430을 참조하세요.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM |
Value Name | SamNGCKeyROCAValidation |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM |
Value Name | SamNGCKeyROCAValidation |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM |
Value Name | SamNGCKeyROCAValidation |
Value Type | REG_DWORD |
Value | 2 |