Fournisseur de services de configuration de stratégie - ADMX_CredSsp
Astuce
Ce csp contient des stratégies ADMX qui nécessitent un format SyncML spécial pour activer ou désactiver. Vous devez spécifier le type de données dans syncML en tant que <Format>chr</Format>
. Pour plus d’informations, consultez Présentation des stratégies adossées à ADMX.
La charge utile de SyncML doit être encodée en XML ; pour cet encodage XML, vous pouvez utiliser un large éventail d’encodeurs en ligne. Pour éviter d’encoder la charge utile, vous pouvez utiliser CDATA si votre GPM la prend en charge. Pour plus d’informations, consultez Sections CDATA.
AllowDefaultCredentials
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures ✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures ✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures ✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowDefaultCredentials
Ce paramètre de stratégie s’applique aux applications qui utilisent le composant Cred SSP (par exemple , connexion Bureau à distance).
Ce paramètre de stratégie s’applique lorsque l’authentification du serveur a été obtenue à l’aide d’un certificat X509 approuvé ou Kerberos.
- Si vous activez ce paramètre de stratégie, vous pouvez spécifier les serveurs auxquels les informations d’identification par défaut de l’utilisateur peuvent être déléguées (les informations d’identification par défaut sont celles que vous utilisez lors de la première connexion à Windows).
La stratégie prend effet la prochaine fois que l’utilisateur se connecte à un ordinateur exécutant Windows.
- Si vous désactivez ou ne configurez pas (par défaut) ce paramètre de stratégie, la délégation des informations d’identification par défaut n’est autorisée à aucun ordinateur. Les applications qui dépendent de ce comportement de délégation peuvent échouer à l’authentification. Pour plus d’informations, consultez Kb.
FWlink pour la Base de connaissances :
https://go.microsoft.com/fwlink/?LinkId=301508
Remarque
Le paramètre de stratégie « Autoriser la délégation des informations d’identification par défaut » peut être défini sur un ou plusieurs noms de principal de service (SPN). Le SPN représente le serveur cible auquel les informations d’identification de l’utilisateur peuvent être déléguées. L’utilisation d’un caractère générique unique est autorisée lors de la spécification du SPN.
Par exemple:
TERMSRV/host.humanresources.fabrikam.com hôte de session Bureau à distance s’exécutant sur host.humanresources.fabrikam.com machine.
TERMSRV/* Hôte de session Bureau à distance s’exécutant sur tous les ordinateurs.
TERMSRV/*.humanresources.fabrikam.com hôte de session Bureau à distance s’exécutant sur tous les ordinateurs dans .humanresources.fabrikam.com.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | AllowDefaultCredentials |
Nom convivial | Autoriser la délégation des informations d’identification par défaut |
Localisation | Configuration ordinateur |
Chemin d'accès | Délégation d’informations d’identification système > |
Nom de la clé de Registre | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Nom de la valeur de Registre | AllowDefaultCredentials |
Nom du fichier ADMX | CredSsp.admx |
AllowDefCredentialsWhenNTLMOnly
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures ✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures ✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures ✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowDefCredentialsWhenNTLMOnly
Ce paramètre de stratégie s’applique aux applications qui utilisent le composant Cred SSP (par exemple , connexion Bureau à distance).
Ce paramètre de stratégie s’applique lorsque l’authentification du serveur a été obtenue via NTLM.
Si vous activez ce paramètre de stratégie, vous pouvez spécifier les serveurs auxquels les informations d’identification par défaut de l’utilisateur peuvent être déléguées (les informations d’identification par défaut sont celles que vous utilisez lors de la première connexion à Windows).
Si vous désactivez ou ne configurez pas (par défaut) ce paramètre de stratégie, la délégation des informations d’identification par défaut n’est autorisée sur aucun ordinateur.
Remarque
Le paramètre de stratégie « Autoriser la délégation des informations d’identification par défaut avec l’authentification serveur uniquement NTLM » peut être défini sur un ou plusieurs noms de principal de service (SPN). Le SPN représente le serveur cible auquel les informations d’identification de l’utilisateur peuvent être déléguées. L’utilisation d’un caractère générique unique est autorisée lors de la spécification du SPN.
Par exemple:
TERMSRV/host.humanresources.fabrikam.com hôte de session Bureau à distance s’exécutant sur host.humanresources.fabrikam.com machine.
TERMSRV/* Hôte de session Bureau à distance s’exécutant sur tous les ordinateurs.
TERMSRV/*.humanresources.fabrikam.com hôte de session Bureau à distance s’exécutant sur tous les ordinateurs dans .humanresources.fabrikam.com.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | AllowDefCredentialsWhenNTLMOnly |
Nom convivial | Autoriser la délégation des informations d’identification par défaut avec l’authentification serveur NTLM uniquement |
Localisation | Configuration ordinateur |
Chemin d'accès | Délégation d’informations d’identification système > |
Nom de la clé de Registre | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Nom de la valeur de Registre | AllowDefCredentialsWhenNTLMOnly |
Nom du fichier ADMX | CredSsp.admx |
AllowEncryptionOracle
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures ✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures ✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures ✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowEncryptionOracle
Correction Oracle de chiffrement.
Ce paramètre de stratégie s’applique aux applications qui utilisent le composant CredSSP (par exemple, connexion Bureau à distance).
Certaines versions du protocole CredSSP sont vulnérables à une attaque oracle de chiffrement contre le client. Cette stratégie contrôle la compatibilité avec les clients et serveurs vulnérables. Cette stratégie vous permet de définir le niveau de protection souhaité pour la vulnérabilité oracle de chiffrement.
Si vous activez ce paramètre de stratégie, la prise en charge de la version credSSP est sélectionnée en fonction des options suivantes :
Forcer la mise à jour des clients : les applications clientes qui utilisent CredSSP ne pourront pas revenir aux versions et services non sécurisés qui utilisent CredSSP n’acceptent pas les clients non corrigés. Notez que ce paramètre ne doit pas être déployé tant que tous les hôtes distants ne prennent pas en charge la version la plus récente.
Atténué : les applications clientes qui utilisent CredSSP ne pourront pas revenir à la version non sécurisée, mais les services utilisant CredSSP accepteront les clients non corrigés. Consultez le lien ci-dessous pour obtenir des informations importantes sur le risque posé par les clients non corrigés restants.
Vulnérable : les applications clientes qui utilisent CredSSP exposent les serveurs distants aux attaques en prenant en charge le retour aux versions non sécurisées et les services qui utilisent CredSSP acceptent les clients non corrigés.
Pour plus d’informations sur les exigences de vulnérabilité et de maintenance pour la protection, consultez https://go.microsoft.com/fwlink/?linkid=866660
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | AllowEncryptionOracle |
Nom convivial | Correction oracle de chiffrement |
Localisation | Configuration ordinateur |
Chemin d'accès | Délégation d’informations d’identification système > |
Nom de la clé de Registre | Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
Nom du fichier ADMX | CredSsp.admx |
AllowFreshCredentials
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures ✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures ✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures ✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowFreshCredentials
Ce paramètre de stratégie s’applique aux applications qui utilisent le composant Cred SSP (par exemple , connexion Bureau à distance).
Ce paramètre de stratégie s’applique lorsque l’authentification du serveur a été obtenue via un certificat X509 approuvé ou Kerberos.
Si vous activez ce paramètre de stratégie, vous pouvez spécifier les serveurs auxquels les nouvelles informations d’identification de l’utilisateur peuvent être déléguées (les nouvelles informations d’identification sont celles auxquelles vous êtes invité lors de l’exécution de l’application).
Si vous ne configurez pas (par défaut) ce paramètre de stratégie, après une authentification mutuelle appropriée, la délégation de nouvelles informations d’identification est autorisée à l’hôte de session Bureau à distance s’exécutant sur n’importe quel ordinateur (TERMSRV/*).
Si vous désactivez ce paramètre de stratégie, la délégation de nouvelles informations d’identification n’est autorisée à aucun ordinateur.
Remarque
Le paramètre de stratégie « Autoriser la délégation de nouvelles informations d’identification » peut être défini sur un ou plusieurs noms de principal de service (SPN). Le SPN représente le serveur cible auquel les informations d’identification de l’utilisateur peuvent être déléguées. L’utilisation d’un caractère générique unique est autorisée lors de la spécification du SPN.
Par exemple:
TERMSRV/host.humanresources.fabrikam.com.
Hôte de session Bureau à distance s’exécutant sur host.humanresources.fabrikam.com machine.
TERMSRV/* Hôte de session Bureau à distance s’exécutant sur tous les ordinateurs.
TERMSRV/*.humanresources.fabrikam.com hôte de session Bureau à distance s’exécutant sur tous les ordinateurs dans .humanresources.fabrikam.com.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | AllowFreshCredentials |
Nom convivial | Autoriser la délégation de nouvelles informations d’identification |
Localisation | Configuration ordinateur |
Chemin d'accès | Délégation d’informations d’identification système > |
Nom de la clé de Registre | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Nom de la valeur de Registre | AllowFreshCredentials |
Nom du fichier ADMX | CredSsp.admx |
AllowFreshCredentialsWhenNTLMOnly
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures ✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures ✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures ✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowFreshCredentialsWhenNTLMOnly
Ce paramètre de stratégie s’applique aux applications qui utilisent le composant Cred SSP (par exemple , connexion Bureau à distance).
Ce paramètre de stratégie s’applique lorsque l’authentification du serveur a été obtenue via NTLM.
Si vous activez ce paramètre de stratégie, vous pouvez spécifier les serveurs auxquels les nouvelles informations d’identification de l’utilisateur peuvent être déléguées (les nouvelles informations d’identification sont celles auxquelles vous êtes invité lors de l’exécution de l’application).
Si vous ne configurez pas (par défaut) ce paramètre de stratégie, après une authentification mutuelle appropriée, la délégation de nouvelles informations d’identification est autorisée à l’hôte de session Bureau à distance s’exécutant sur n’importe quel ordinateur (TERMSRV/*).
Si vous désactivez ce paramètre de stratégie, la délégation de nouvelles informations d’identification n’est autorisée à aucun ordinateur.
Remarque
Le paramètre de stratégie « Autoriser la délégation de nouvelles informations d’identification avec l’authentification serveur uniquement NTLM » peut être défini sur un ou plusieurs noms de principal de service (SPN). Le SPN représente le serveur cible auquel les informations d’identification de l’utilisateur peuvent être déléguées. L’utilisation d’un caractère générique unique est autorisée lors de la spécification du SPN.
Par exemple:
TERMSRV/host.humanresources.fabrikam.com hôte de session Bureau à distance s’exécutant sur host.humanresources.fabrikam.com machine.
TERMSRV/* Hôte de session Bureau à distance s’exécutant sur tous les ordinateurs.
TERMSRV/*.humanresources.fabrikam.com hôte de session Bureau à distance s’exécutant sur tous les ordinateurs de humanresources.fabrikam.com.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | AllowFreshCredentialsWhenNTLMOnly |
Nom convivial | Autoriser la délégation de nouvelles informations d’identification avec l’authentification serveur NTLM uniquement |
Localisation | Configuration ordinateur |
Chemin d'accès | Délégation d’informations d’identification système > |
Nom de la clé de Registre | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Nom de la valeur de Registre | AllowFreshCredentialsWhenNTLMOnly |
Nom du fichier ADMX | CredSsp.admx |
AllowSavedCredentials
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures ✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures ✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures ✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowSavedCredentials
Ce paramètre de stratégie s’applique aux applications qui utilisent le composant Cred SSP (par exemple , connexion Bureau à distance).
Ce paramètre de stratégie s’applique lorsque l’authentification du serveur a été obtenue via un certificat X509 approuvé ou Kerberos.
Si vous activez ce paramètre de stratégie, vous pouvez spécifier les serveurs auxquels les informations d’identification enregistrées de l’utilisateur peuvent être déléguées (les informations d’identification enregistrées sont celles que vous choisissez d’enregistrer/mémoriser à l’aide du gestionnaire d’informations d’identification Windows).
Si vous ne configurez pas (par défaut) ce paramètre de stratégie, après une authentification mutuelle appropriée, la délégation des informations d’identification enregistrées est autorisée à l’hôte de session Bureau à distance s’exécutant sur n’importe quel ordinateur (TERMSRV/*).
Si vous désactivez ce paramètre de stratégie, la délégation des informations d’identification enregistrées n’est autorisée sur aucun ordinateur.
Remarque
Le paramètre de stratégie « Autoriser la délégation des informations d’identification enregistrées » peut être défini sur un ou plusieurs noms de principal de service (SPN). Le SPN représente le serveur cible auquel les informations d’identification de l’utilisateur peuvent être déléguées. L’utilisation d’un caractère générique unique est autorisée lors de la spécification du SPN.
Par exemple:
TERMSRV/host.humanresources.fabrikam.com hôte de session Bureau à distance s’exécutant sur host.humanresources.fabrikam.com machine.
TERMSRV/* Hôte de session Bureau à distance s’exécutant sur tous les ordinateurs.
TERMSRV/*.humanresources.fabrikam.com hôte de session Bureau à distance s’exécutant sur tous les ordinateurs de humanresources.fabrikam.com.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | AllowSavedCredentials |
Nom convivial | Autoriser la délégation des informations d’identification enregistrées |
Localisation | Configuration ordinateur |
Chemin d'accès | Délégation d’informations d’identification système > |
Nom de la clé de Registre | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Nom de la valeur de Registre | AllowSavedCredentials |
Nom du fichier ADMX | CredSsp.admx |
AllowSavedCredentialsWhenNTLMOnly
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures ✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures ✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures ✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowSavedCredentialsWhenNTLMOnly
Ce paramètre de stratégie s’applique aux applications qui utilisent le composant Cred SSP (par exemple , connexion Bureau à distance).
Ce paramètre de stratégie s’applique lorsque l’authentification du serveur a été obtenue via NTLM.
Si vous activez ce paramètre de stratégie, vous pouvez spécifier les serveurs auxquels les informations d’identification enregistrées de l’utilisateur peuvent être déléguées (les informations d’identification enregistrées sont celles que vous choisissez d’enregistrer/mémoriser à l’aide du gestionnaire d’informations d’identification Windows).
Si vous ne configurez pas (par défaut) ce paramètre de stratégie, après une authentification mutuelle appropriée, la délégation des informations d’identification enregistrées est autorisée à l’hôte de session Bureau à distance s’exécutant sur n’importe quel ordinateur (TERMSRV/*) si l’ordinateur client n’est membre d’aucun domaine. Si le client est joint à un domaine, par défaut, la délégation des informations d’identification enregistrées n’est autorisée à aucun ordinateur.
Si vous désactivez ce paramètre de stratégie, la délégation des informations d’identification enregistrées n’est autorisée sur aucun ordinateur.
Remarque
Le paramètre de stratégie « Autoriser la délégation des informations d’identification enregistrées avec l’authentification serveur uniquement NTLM » peut être défini sur un ou plusieurs noms de principal de service (SPN). Le SPN représente le serveur cible auquel les informations d’identification de l’utilisateur peuvent être déléguées. L’utilisation d’un caractère générique unique est autorisée lors de la spécification du SPN.
Par exemple:
TERMSRV/host.humanresources.fabrikam.com hôte de session Bureau à distance s’exécutant sur host.humanresources.fabrikam.com machine.
TERMSRV/* Hôte de session Bureau à distance s’exécutant sur tous les ordinateurs.
TERMSRV/*.humanresources.fabrikam.com hôte de session Bureau à distance s’exécutant sur tous les ordinateurs de humanresources.fabrikam.com.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | AllowSavedCredentialsWhenNTLMOnly |
Nom convivial | Autoriser la délégation des informations d’identification enregistrées avec l’authentification serveur NTLM uniquement |
Localisation | Configuration ordinateur |
Chemin d'accès | Délégation d’informations d’identification système > |
Nom de la clé de Registre | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Nom de la valeur de Registre | AllowSavedCredentialsWhenNTLMOnly |
Nom du fichier ADMX | CredSsp.admx |
DenyDefaultCredentials
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures ✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures ✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures ✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenyDefaultCredentials
Ce paramètre de stratégie s’applique aux applications qui utilisent le composant Cred SSP (par exemple , connexion Bureau à distance).
Si vous activez ce paramètre de stratégie, vous pouvez spécifier les serveurs auxquels les informations d’identification par défaut de l’utilisateur ne peuvent pas être déléguées (les informations d’identification par défaut sont celles que vous utilisez lors de la première connexion à Windows).
Si vous désactivez ou ne configurez pas (par défaut) ce paramètre de stratégie, ce paramètre de stratégie ne spécifie aucun serveur.
Remarque
Le paramètre de stratégie « Refuser la délégation des informations d’identification par défaut » peut être défini sur un ou plusieurs noms de principal de service (SPN). Le SPN représente le serveur cible auquel les informations d’identification de l’utilisateur ne peuvent pas être déléguées. L’utilisation d’un caractère générique unique est autorisée lors de la spécification du SPN.
Par exemple:
TERMSRV/host.humanresources.fabrikam.com hôte de session Bureau à distance s’exécutant sur host.humanresources.fabrikam.com machine.
TERMSRV/* Hôte de session Bureau à distance s’exécutant sur tous les ordinateurs.
TERMSRV/*.humanresources.fabrikam.com hôte de session Bureau à distance s’exécutant sur tous les ordinateurs dans .humanresources.fabrikam.com.
Ce paramètre de stratégie peut être utilisé en combinaison avec le paramètre de stratégie « Autoriser la délégation des informations d’identification par défaut » pour définir des exceptions pour des serveurs spécifiques qui sont autrement autorisés lors de l’utilisation de caractères génériques dans la liste de serveurs « Autoriser la délégation des informations d’identification par défaut ».
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | DenyDefaultCredentials |
Nom convivial | Refuser la délégation des informations d’identification par défaut |
Localisation | Configuration ordinateur |
Chemin d'accès | Délégation d’informations d’identification système > |
Nom de la clé de Registre | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Nom de la valeur de Registre | DenyDefaultCredentials |
Nom du fichier ADMX | CredSsp.admx |
DenyFreshCredentials
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures ✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures ✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures ✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenyFreshCredentials
Ce paramètre de stratégie s’applique aux applications qui utilisent le composant Cred SSP (par exemple , connexion Bureau à distance).
Si vous activez ce paramètre de stratégie, vous pouvez spécifier les serveurs auxquels les nouvelles informations d’identification de l’utilisateur ne peuvent pas être déléguées (les nouvelles informations d’identification sont celles auxquelles vous êtes invité lors de l’exécution de l’application).
Si vous désactivez ou ne configurez pas (par défaut) ce paramètre de stratégie, ce paramètre de stratégie ne spécifie aucun serveur.
Remarque
Le paramètre de stratégie « Refuser la délégation des nouvelles informations d’identification » peut être défini sur un ou plusieurs noms de principal de service (SPN). Le SPN représente le serveur cible auquel les informations d’identification de l’utilisateur ne peuvent pas être déléguées. L’utilisation d’un caractère générique unique est autorisée lors de la spécification du SPN.
Par exemple:
TERMSRV/host.humanresources.fabrikam.com hôte de session Bureau à distance s’exécutant sur host.humanresources.fabrikam.com machine.
TERMSRV/* Hôte de session Bureau à distance s’exécutant sur tous les ordinateurs.
TERMSRV/*.humanresources.fabrikam.com hôte de session Bureau à distance s’exécutant sur tous les ordinateurs dans .humanresources.fabrikam.com.
Ce paramètre de stratégie peut être utilisé en combinaison avec le paramètre de stratégie « Autoriser la délégation de nouvelles informations d’identification » pour définir des exceptions pour des serveurs spécifiques qui sont autrement autorisés lors de l’utilisation de caractères génériques dans la liste de serveurs « Autoriser la délégation de nouvelles informations d’identification ».
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | DenyFreshCredentials |
Nom convivial | Refuser la délégation de nouvelles informations d’identification |
Localisation | Configuration ordinateur |
Chemin d'accès | Délégation d’informations d’identification système > |
Nom de la clé de Registre | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Nom de la valeur de Registre | DenyFreshCredentials |
Nom du fichier ADMX | CredSsp.admx |
DenySavedCredentials
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures ✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures ✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures ✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenySavedCredentials
Ce paramètre de stratégie s’applique aux applications qui utilisent le composant Cred SSP (par exemple , connexion Bureau à distance).
Si vous activez ce paramètre de stratégie, vous pouvez spécifier les serveurs auxquels les informations d’identification enregistrées de l’utilisateur ne peuvent pas être déléguées (les informations d’identification enregistrées sont celles que vous choisissez d’enregistrer/mémoriser à l’aide du gestionnaire d’informations d’identification Windows).
Si vous désactivez ou ne configurez pas (par défaut) ce paramètre de stratégie, ce paramètre de stratégie ne spécifie aucun serveur.
Remarque
Le paramètre de stratégie « Refuser la délégation des informations d’identification enregistrées » peut être défini sur un ou plusieurs noms de principal de service (SPN). Le SPN représente le serveur cible auquel les informations d’identification de l’utilisateur ne peuvent pas être déléguées. L’utilisation d’un caractère générique unique est autorisée lors de la spécification du SPN.
Par exemple:
TERMSRV/host.humanresources.fabrikam.com hôte de session Bureau à distance s’exécutant sur host.humanresources.fabrikam.com machine.
TERMSRV/* Hôte de session Bureau à distance s’exécutant sur tous les ordinateurs.
TERMSRV/*.humanresources.fabrikam.com hôte de session Bureau à distance s’exécutant sur tous les ordinateurs dans .humanresources.fabrikam.com.
Ce paramètre de stratégie peut être utilisé en combinaison avec le paramètre de stratégie « Autoriser la délégation des informations d’identification enregistrées » pour définir des exceptions pour des serveurs spécifiques qui sont autrement autorisés lors de l’utilisation de caractères génériques dans la liste des serveurs « Autoriser la délégation des informations d’identification enregistrées ».
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | DenySavedCredentials |
Nom convivial | Refuser la délégation des informations d’identification enregistrées |
Localisation | Configuration ordinateur |
Chemin d'accès | Délégation d’informations d’identification système > |
Nom de la clé de Registre | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Nom de la valeur de Registre | DenySavedCredentials |
Nom du fichier ADMX | CredSsp.admx |
RestrictedRemoteAdministration
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures ✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures ✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures ✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration
Lors de l’exécution en mode Administrateur restreint ou Remote Credential Guard, les applications participantes n’exposent pas les informations d’identification connectées ou fournies à un hôte distant. L’administrateur restreint limite l’accès aux ressources situées sur d’autres serveurs ou réseaux à partir de l’hôte distant, car les informations d’identification ne sont pas déléguées. Remote Credential Guard ne limite pas l’accès aux ressources, car il redirige toutes les demandes vers l’appareil client.
Applications participantes :
Client Bureau à distance.
- Si vous activez ce paramètre de stratégie, les options suivantes sont prises en charge :
Restreindre la délégation d’informations d’identification : les applications participantes doivent utiliser Restricted Admin ou Remote Credential Guard pour se connecter aux hôtes distants.
Exiger Remote Credential Guard : les applications participantes doivent utiliser Remote Credential Guard pour se connecter aux hôtes distants.
Exiger un administrateur restreint : les applications participantes doivent utiliser l’administrateur restreint pour se connecter aux hôtes distants.
- Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les modes Administrateur restreint et Remote Credential Guard ne sont pas appliqués et les applications participantes peuvent déléguer des informations d’identification à des appareils distants.
Remarque
Pour désactiver la plupart des délégations d’informations d’identification, il peut être suffisant de refuser la délégation dans Le fournisseur de prise en charge de la sécurité des informations d’identification (CredSSP) en modifiant les paramètres du modèle d’administration (situé dans Configuration ordinateur\Modèles d’administration\Système\Délégation d’informations d’identification).
Remarque
Sur Windows 8.1 et Windows Server 2012 R2, l’activation de cette stratégie applique le mode Administration restreinte, quel que soit le mode choisi. Ces versions ne prennent pas en charge Remote Credential Guard.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | RestrictedRemoteAdministration |
Nom convivial | Restreindre la délégation des informations d’identification aux serveurs distants |
Localisation | Configuration ordinateur |
Chemin d'accès | Délégation d’informations d’identification système > |
Nom de la clé de Registre | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Nom de la valeur de Registre | RestrictedRemoteAdministration |
Nom du fichier ADMX | CredSsp.admx |