To ustawienie zasad umożliwia skonfigurowanie sposobu obsługiwania kluczy usługi Windows Hello dla firm (WHdf) przez kontrolery domeny, które są podatne na „powrót ataku Coppersmitha" (ROCA).
Aby uzyskać więcej informacji o podatności na ROCA, zobacz:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15361
https://en.wikipedia.org/wiki/ROCA_vulnerability
Jeśli włączysz to ustawienie zasad, następujące opcje będą obsługiwane:
ignorowanie : podczas uwierzytelniania kontroler domeny nie przeprowadzi sondowania żadnego klucza WHdf pod kątem podatności na ROCA;
inspekcja: podczas uwierzytelniania kontroler domeny będzie emitować zdarzenia inspekcji dotyczące kluczy WHdf podatnych na ROCA (uwierzytelnienie będzie nadal działać);
blokowanie: podczas uwierzytelniania kontroler domeny zablokuje możliwość korzystania z kluczy WHdf podatnych na ROCA (uwierzytelnianie nie powiedzie się).
To ustawienie działa tylko w odniesieniu do kontrolerów domeny.
Jeśli nie skonfigurowano usługi, kontrolery domen będą domyślnie korzystać z ich konfiguracji lokalnej. Domyślna konfiguracja lokalna to inspekcja.
Ponowne uruchomienie nie jest konieczne, aby zmiany tego ustawienia zaczęły obowiązywać.
Uwaga: aby uniknąć nieoczekiwanych zakłóceń, nie należy korzystać z ustawienia blokowanie, zanim nie zostaną podjęte odpowiednie działania w celu ograniczenia ryzyka, na przykład wprowadzenie poprawek w podatnych TPM.
Więcej informacji znajdziesz na stronie https://go.microsoft.com/fwlink/?linkid=2116430.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM |
Value Name | SamNGCKeyROCAValidation |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM |
Value Name | SamNGCKeyROCAValidation |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM |
Value Name | SamNGCKeyROCAValidation |
Value Type | REG_DWORD |
Value | 2 |