| 名稱 | 在驗證期間設定易受攻擊的 ROCA WHfB 金鑰驗證 |
| 類別 | 系統管理範本\安全性帳戶管理員 |
| 描述 | ▪ 這項原則設定網域控制站處理 Windows Hello 企業版(WHfB) 金鑰之方式,其容易受到 Return of Coppersmith's attack(ROCA) 漏洞影響 ▪ 如果啟用這項設定,則支援下列選項: - 略過:驗證網域控制站期間,系統將無法探查 ROCA 漏洞的任何 WHfB 金鑰 - 稽核:驗證網域控制站期間,系統將發出 WHfB 金鑰的稽核事件,其受限於 ROCA 漏洞,驗證仍會成功 - 封鎖:驗證網域控制站期間,系統將封鎖使用的 WHfB 金鑰,其受限於 ROCA 漏洞,驗證會失敗 ▪ 這項設定只有在網域控制站上才會生效 ▪ 如果未設定這項設定,網域控制站將預設使用其本機設定,預設本機設定是「稽核」 ▪ 變更此設定不需要重新啟動就會生效 ▪ 注意:為了避免未預期的干擾,這項設定將不會設定為「封鎖」,直到已執行適當之降低風險措施,例如修補易受攻擊的 TPM |
| 設定 | 1. 執行 gpedit.msc 打開本機群組原則編輯器 2. 選擇 [電腦設定\系統管理範本\安全性帳戶管理員] 3. 在右邊窗點擊 "在驗證期間設定易受攻擊的 ROCA WHfB 金鑰驗證". 4. 選擇 "已啟用:稽核正在使用易受攻擊的 ROCA WHfB 金鑰", 點擊 "確定". (GCB 設定值為 啟用:稽核正在使用易受攻擊的 ROCA WHfB 金鑰) |