名稱在驗證期間設定易受攻擊的 ROCA WHfB 金鑰驗證
類別系統管理範本\安全性帳戶管理員
描述▪ 這項原則設定網域控制站處理 Windows Hello 企業版(WHfB) 金鑰之方式,其容易受到 Return of Coppersmith's attack(ROCA) 漏洞影響
▪ 如果啟用這項設定,則支援下列選項:
- 略過:驗證網域控制站期間,系統將無法探查 ROCA 漏洞的任何 WHfB 金鑰
- 稽核:驗證網域控制站期間,系統將發出 WHfB 金鑰的稽核事件,其受限於 ROCA 漏洞,驗證仍會成功
- 封鎖:驗證網域控制站期間,系統將封鎖使用的 WHfB 金鑰,其受限於 ROCA 漏洞,驗證會失敗
▪ 這項設定只有在網域控制站上才會生效
▪ 如果未設定這項設定,網域控制站將預設使用其本機設定,預設本機設定是「稽核」
▪ 變更此設定不需要重新啟動就會生效
▪ 注意:為了避免未預期的干擾,這項設定將不會設定為「封鎖」,直到已執行適當之降低風險措施,例如修補易受攻擊的 TPM
設定1. 執行 gpedit.msc 打開本機群組原則編輯器
2. 選擇 [電腦設定\系統管理範本\安全性帳戶管理員]
3. 在右邊窗點擊 "在驗證期間設定易受攻擊的 ROCA WHfB 金鑰驗證".
4. 選擇 "已啟用:稽核正在使用易受攻擊的 ROCA WHfB 金鑰", 點擊 "確定". (GCB 設定值為 啟用:稽核正在使用易受攻擊的 ROCA WHfB 金鑰)