Requerer validação KDC estrita

Esta definição de política controla o comportamento do cliente Kerberos ao validar o certificado de KDC para início de sessão com smart card e com certificado do sistema.

Se ativar esta definição de política, o cliente Kerberos exige que o certificado X.509 de KDC contenha o identificador de objeto de objetivo chave KDC nas extensões de Utilização Alargada da Chave (EKU) e que o certificado X.509 de KDC contenha uma extensão SAN (dNSName subjectAltName) que corresponda ao nome DNS do domínio. Se o computador fizer parte de um domínio, o cliente Kerberos exige que o certificado X.509 de KDC seja assinado por uma Autoridade de Certificação (AC) no arquivo NTAUTH. Se o computador não fizer parte de um domínio, o cliente Kerberos permite que o certificado de AC de raiz no smart card seja utilizado na validação do caminho do certificado X.509 de KDC.

Se desativar ou não configurar esta definição de política, o cliente Kerberos exige apenas que o certificado de KDC contenha o identificador de objeto de objetivo de Autenticação do Servidor nas extensões EKU que podem ser emitidas para qualquer servidor.

Suportado em: Pelo menos, Windows Vista

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Value NameKdcValidation
Value TypeREG_DWORD
Enabled Value2
Disabled Value0

kerberos.admx

Modelos administrativos (computadores)

Modelos administrativos (utilizadores)