Configure a validação das chaves do WHpE vulneráveis à ROCA durante a autenticação

Esta definição de política permite-lhe configurar como os controladores de domínio lidam com as chaves do Windows Hello para Empresas (WHpE) que são vulneráveis à vulnerabilidade "Return of Coppersmith's attack" (ROCA).

Para obter mais informações sobre a vulnerabilidade ROCA, consulte:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15361

https://en.wikipedia.org/wiki/ROCA_vulnerability

As seguintes opções serão suportadas se ativar esta definição de política:

Ignorar: durante a autenticação, o controlador de domínio não sondará nenhuma chave do WHpE para a vulnerabilidade ROCA.

Auditar: durante a autenticação, o controlador de domínio emitirá eventos de auditoria para chaves do WHpE que estão sujeitas à vulnerabilidade ROCA (as autenticações continuarão a ter sucesso).

Bloquear: durante a autenticação, o controlador de domínio bloqueará a utilização de chaves do WHpE que estão sujeitas à vulnerabilidade ROCA (as autenticações falharão).

Esta definição só entra em vigor nos controladores de domínio.

Se não estiver configurado, os controladores de domínio serão definidos por defeito para utilizar a sua configuração local. A configuração local padrão é Auditar.

Não é necessário reiniciar para que as alterações a esta definição entrem em vigor.

Nota: para evitar perturbações inesperadas, esta definição não deve ser definida para Bloquear até que sejam realizadas mitigações adequadas, por exemplo, a correção de TPMs vulneráveis.

Pode encontrar mais informações em https://go.microsoft.com/fwlink/?linkid=2116430.

Suportado em: Pelo menos, Windows Vista

Opções para manusear chaves do WHpE vulneráveis à ROCA:


  1. Ignorar chaves do WHpE vulneráveis à ROCA
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\SAM
    Value NameSamNGCKeyROCAValidation
    Value TypeREG_DWORD
    Value0
  2. Auditar chaves em uso do WHpE vulneráveis à ROCA
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\SAM
    Value NameSamNGCKeyROCAValidation
    Value TypeREG_DWORD
    Value1
  3. Bloquear chaves em uso do WHpE vulneráveis à ROCA
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\SAM
    Value NameSamNGCKeyROCAValidation
    Value TypeREG_DWORD
    Value2


sam.admx

Modelos administrativos (computadores)

Modelos administrativos (utilizadores)