Этот параметр политики позволяет вам настроить, как контроллеры домена обрабатывают ключи Windows Hello for Business (WHfB), которые уязвимы к уязвимости «Возвращение Копперсмита» (ROCA).
Дополнительную информацию об уязвимости ROCA см. По адресу: :
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15361
https://en.wikipedia.org/wiki/ROCA_vulnerability
если вы включаете этот параметр политики, поддерживаются следующие параметры:
Игнорировать: во время аутентификации контроллер домена не будет проверять какие-либо ключи WHfB на предмет уязвимости ROCA.
Аудит: во время аутентификации контроллер домена будет генерировать события аудита для ключей WHfB, которые подвержены уязвимости ROCA (аутентификации все равно будут успешными).
Блокировать: во время аутентификации контроллер домена будет блокировать использование ключей WHfB, которые подвержены уязвимости ROCA (аутентификации не удастся). .
Этот параметр действует только на контроллерах домена.
Если не настроено, контроллеры домена по умолчанию будут использовать свою локальную конфигурацию. Локальная конфигурация по умолчанию - Аудит.
Перезагрузка не требуется, чтобы изменения этого параметра вступили в силу.
Примечание. Во избежание непредвиденных сбоев этот параметр не следует устанавливать на «Блокировать» до тех пор, пока не будут выполнены соответствующие меры, например исправления уязвимых доверенных платформенных модулей.
Дополнительная информация доступна по адресу https://go.microsoft.com/fwlink/?linkid=2116430.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM |
Value Name | SamNGCKeyROCAValidation |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM |
Value Name | SamNGCKeyROCAValidation |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM |
Value Name | SamNGCKeyROCAValidation |
Value Type | REG_DWORD |
Value | 2 |