digite o nome para exibição aqui digite a descrição aqui Permitir delegação de credenciais padrão Esta configuração de política aplica-se a aplicativos usando o componente Cred SSP (por exemplo, Conexão de Área de Trabalho Remota). Esta configuração de política aplica-se quando a autenticação do servidor foi obtido por meio de um certificado X509 confiável ou Kerberos. Se você habilitar essa configuração de política, poderá especificar os servidores aos quais as credenciais padrão do usuário podem ser delegadas (credenciais padrão são aquelas que você usa quando faz logon no Windows pela primeira vez). A política entre entrará em vigor na próxima vez que o usuário entrar em um computador que executa Windows. Se você desabilitar ou não definir (por padrão) essa configuração de política, a delegação de credenciais padrão não será permitida em nenhum computador. Poderão ocorrer falhas de autenticação dos aplicativos que dependem desse comportamento de delegação. Para obter mais informações, consulte a Base de Dados de Conhecimento. FWlink da Base de Dados de Conhecimento: http://go.microsoft.com/fwlink/?LinkId=301508 Observação: a configuração de política "Permitir delegação de credenciais padrão" pode ser definida para um ou mais SPNs (Nomes da Entidade de Serviço). O SPN representa o servidor de destino para o qual as credenciais do usuário podem ser delegadas. Na especificação do SPN é permitido o uso de um único caractere curinga. Por exemplo: TERMSRV/host.humanresources.fabrikam.com Host da Sessão da Área de Trabalho Remota em execução no computador host.humanresources.fabrikam.com TERMSRV/* Host da Sessão da Área de Trabalho Remota em execução em todos os computadores. TERMSRV/*.humanresources.fabrikam.com Host da Sessão da Área de Trabalho Remota em execução em todos os computadores em .humanresources.fabrikam.com Permitir delegação de credenciais padrão com autenticação de servidor somente NTML Esta configuração de política aplica-se a aplicativos usando o componente Cred SSP (por exemplo, Conexão de Área de Trabalho Remota). Esta configuração de política aplica-se quando a autenticação do servidor tiver sido atingida via NTLM. Se você habilitar esta configuração de política, poderá especificar os servidores para os quais as credenciais padrão do usuário podem ser delegadas (credenciais padrão são aquelas que você usa quando faz logon no Windows pela primeira vez). Se você desabilitar ou não definir (por padrão) esta configuração de política, a delegação de credenciais padrão não será permitida em nenhum computador. Observação: a configuração de política "Permitir delegação de credenciais padrão com autenticação de servidor somente NTML" pode ser definida para um ou mais SPNs. O SPN representa o servidor de destino para o qual as credenciais do usuário podem ser delegadas. Na especificação do SPN é permitido o uso de um único caractere curinga. Por exemplo: TERMSRV/host.humanresources.fabrikam.com Host da Sessão da Área de Trabalho Remota em execução no computador host.humanresources.fabrikam.com TERMSRV/* Host da Sessão da Área de Trabalho Remota em execução em todos os computadores. TERMSRV/*.humanresources.fabrikam.com Host da Sessão da Área de Trabalho Remota em execução em todos os computadores em .humanresources.fabrikam.com Permitir delegação de novas credenciais Esta configuração de política aplica-se a aplicativos usando o componente Cred SSP (por exemplo, Conexão de Área de Trabalho Remota). Esta configuração de política aplica-se quando a autenticação do servidor foi atingida por um certificado X509 confiável ou Kerberos. Se você habilitar esta configuração de política, poderá especificar os servidores para os quais as novas credenciais do usuário podem ser delegadas (novas credenciais são aquelas que você é solicitado a fornecer quando executa o aplicativo). Se você não definir (por padrão) essa configuração de política, após a devida autenticação mútua, a delegação de novas credenciais será permitida ao Host da Sessão da Área de Trabalho Remota em execução em qualquer computador (TERMSRV/*). Se você desabilitar esta configuração de política, a delegação de novas credenciais não será permitida em nenhum computador. Observação: a configuração de política "Permitir delegação de credenciais padrão" pode ser definida com um ou mais SPNs (nomes de entidade de serviço). O SPN representa o servidor de destino para o qual as credenciais do usuário podem ser delegadas. Na especificação do SPN é permitido o uso de um único caractere curinga. Por exemplo: TERMSRV/host.humanresources.fabrikam.com Host da Sessão da Área de Trabalho Remota em execução no computador host.humanresources.fabrikam.com TERMSRV/* Host da Sessão da Área de Trabalho Remota em execução em todos os computadores. TERMSRV/*.humanresources.fabrikam.com Host da Sessão da Área de Trabalho Remota em execução em todos os computadores em .humanresources.fabrikam.com Permitir delegação de novas credenciais com autenticação de servidor somente NTML Esta configuração de política aplica-se a aplicativos usando o componente Cred SSP (por exemplo, Conexão de Área de Trabalho Remota). Esta configuração de política aplica-se quando a autenticação do servidor tiver sido atingida via NTLM. Se você habilitar esta configuração de política, poderá especificar os servidores para os quais as novas credenciais do usuário podem ser delegadas (novas credenciais são aquelas que você é solicitado a fornecer quando executa o aplicativo). Se você não definir (por padrão) essa configuração de política, após a devida autenticação mútua, a delegação de novas credenciais será permitida ao Host da Sessão da Área de Trabalho Remota em execução em qualquer computador (TERMSRV/*). Se você desabilitar esta configuração de política, a delegação de novas credenciais não será permitida em nenhum computador. Observação: a configuração de política "Permitir delegação de novas credenciais com autenticação de servidor somente NTML" pode ser definida para um ou mais SPNs. O SPN representa o servidor de destino para o qual as credenciais do usuário podem ser delegadas. Na especificação do SPN é permitido o uso de um único caractere curinga. Por exemplo: TERMSRV/host.humanresources.fabrikam.com Host da Sessão da Área de Trabalho Remota em execução no computador host.humanresources.fabrikam.com TERMSRV/* Host da Sessão da Área de Trabalho Remota em execução em todos os computadores. TERMSRV/*.humanresources.fabrikam.com Host da Sessão da Área de Trabalho Remota em execução em todos os computadores em humanresources.fabrikam.com Permitir delegação de credenciais salvas Esta configuração de política aplica-se a aplicativos usando o componente Cred SSP (por exemplo, Conexão de Área de Trabalho Remota). Esta configuração de política aplica-se quando a autenticação do servidor foi atingida por um certificado X509 confiável ou Kerberos. Se você habilitar essa configuração de política, poderá especificar para quais servidores as credenciais salvas do usuário podem ser delegadas (credenciais salvas são aquelas que você decide salvar/memorizar usando o gerenciador de credenciais do Windows). Se você não definir (por padrão) essa configuração de política, após a devida autenticação mútua, a delegação de credenciais salvas será permitida ao Host da Sessão da Área de Trabalho Remota em execução em qualquer computador (TERMSRV/*). Se você desabilitar essa configuração de política, a delegação de credenciais salvas não será permitida em nenhum computador. Observação: a configuração de política "Permitir delegação de credenciais salvas" pode ser definida com um ou mais SPNs (nomes de entidade de serviço). O SPN representa o servidor de destino para o qual as credenciais do usuário podem ser delegadas. Na especificação do SPN é permitido o uso de um único caractere curinga. Por exemplo: TERMSRV/host.humanresources.fabrikam.com Host da Sessão da Área de Trabalho Remota em execução no computador host.humanresources.fabrikam.com TERMSRV/* Host da Sessão da Área de Trabalho Remota em execução em todos os computadores. TERMSRV/*.humanresources.fabrikam.com Host da Sessão da Área de Trabalho Remota em execução em todos os computadores em humanresources.fabrikam.com Permitir delegação de credenciais salvas com autenticação de servidor somente NTML Esta configuração de política aplica-se a aplicativos usando o componente Cred SSP (por exemplo, Conexão de Área de Trabalho Remota). Esta configuração de política aplica-se quando a autenticação do servidor tiver sido atingida via NTLM. Se você habilitar essa configuração de política, poderá especificar para quais servidores as credenciais salvas do usuário podem ser delegadas (credenciais salvas são aquelas que você decide salvar/memorizar usando o gerenciador de credenciais do Windows). Se você não definir (por padrão) essa configuração de política, após a devida autenticação mútua, a delegação de credenciais salvas será permitida ao Host da Sessão da Área de Trabalho Remota em execução em qualquer computador (TERMSRV/*) se o computador cliente não for membro de um domínio. Se o cliente tiver ingressado ao domínio, por padrão a delegação de credenciais salvas não será permitida em nenhum computador. Se você desabilitar essa configuração de política, a delegação de credenciais salvas não será permitida em nenhum computador. Observação: a configuração de política "Permitir delegação de credenciais salvas com autenticação de servidor somente NTML" pode ser definida para um ou mais SPNs. O SPN representa o servidor de destino para o qual as credenciais do usuário podem ser delegadas. Na especificação do SPN é permitido o uso de um único caractere curinga. Por exemplo: TERMSRV/host.humanresources.fabrikam.com Host da Sessão da Área de Trabalho Remota em execução no computador host.humanresources.fabrikam.com TERMSRV/* Host da Sessão da Área de Trabalho Remota em execução em todos os computadores. TERMSRV/*.humanresources.fabrikam.com Host da Sessão da Área de Trabalho Remota em execução em todos os computadores em humanresources.fabrikam.com Delegação de Credenciais Negar delegação de credenciais padrão Esta configuração de política aplica-se a aplicativos usando o componente Cred SSP (por exemplo, Conexão de Área de Trabalho Remota). Se você habilitar essa configuração de política, poderá especificar os servidores para os quais as credenciais padrão do usuário não podem ser delegadas (credenciais padrão são aquelas que você usa quando faz logon no Windows pela primeira vez). Se você desabilitar ou não definir (por padrão) essa configuração de política, ela não especificará nenhum servidor. Observação: a configuração de política "Permitir delegação de credenciais padrão" pode ser definida com um ou mais SPNs (nomes de entidade de serviço). O SPN representa o servidor de destino para o qual as credenciais do usuário não podem ser delegadas. Na especificação do SPN é permitido o uso de um único caractere curinga. Por exemplo: TERMSRV/host.humanresources.fabrikam.com Host da Sessão da Área de Trabalho Remota em execução no computador host.humanresources.fabrikam.com TERMSRV/* Host da Sessão da Área de Trabalho Remota em execução em todos os computadores. TERMSRV/*.humanresources.fabrikam.com Host da Sessão da Área de Trabalho Remota em execução em todos os computadores em .humanresources.fabrikam.com Essa configuração de política pode ser usada em combinação com "Permitir delegação de credenciais padrão" para definir exceções para servidores específicos que têm permissão quando usam caracteres curingas na lista de servidores de "Permitir delegação de credenciais padrão". Negar delegação de novas credenciais Esta configuração de política aplica-se a aplicativos usando o componente Cred SSP (por exemplo, Conexão de Área de Trabalho Remota). Se você habilitar essa configuração de política, poderá especificar os servidores para os quais as novas credenciais do usuário não podem ser delegadas (novas credenciais são aquelas que você é solicitado a fornecer quando executa o aplicativo). Se você desabilitar ou não definir (por padrão) essa configuração de política, ela não especificará nenhum servidor. Observação: a configuração de política "Permitir delegação de novas credenciais" pode ser definida com um ou mais SPNs (nomes de entidade de serviço). O SPN representa o servidor de destino para o qual as credenciais do usuário não podem ser delegadas. Na especificação do SPN é permitido o uso de um único caractere curinga. Por exemplo: TERMSRV/host.humanresources.fabrikam.com Host da Sessão da Área de Trabalho Remota em execução no computador host.humanresources.fabrikam.com TERMSRV/* Host da Sessão da Área de Trabalho Remota em execução em todos os computadores. TERMSRV/*.humanresources.fabrikam.com Host da Sessão da Área de Trabalho Remota em execução em todos os computadores em .humanresources.fabrikam.com Essa configuração de política pode ser usada em combinação com "Permitir delegação de novas credenciais" para definir exceções para servidores específicos que têm permissão quando usam caracteres curingas na lista de servidores de "Permitir delegação de novas credenciais". Negar delegação de credenciais salvas Esta configuração de política aplica-se a aplicativos usando o componente Cred SSP (por exemplo, Conexão de Área de Trabalho Remota). Se você habilitar essa configuração de política, poderá especificar para quais servidores as credenciais salvas do usuário não podem ser delegadas (credenciais salvas são aquelas que você decide salvar/memorizar usando o gerenciador de credenciais do Windows). Se você desabilitar ou não definir (por padrão) essa configuração de política, ela não especificará nenhum servidor. Observação: a configuração de política "Permitir delegação de credenciais salvas" pode ser definida com um ou mais SPNs (nomes de entidade de serviço). O SPN representa o servidor de destino para o qual as credenciais do usuário não podem ser delegadas. Na especificação do SPN é permitido o uso de um único caractere curinga. Por exemplo: TERMSRV/host.humanresources.fabrikam.com Host da Sessão da Área de Trabalho Remota em execução no computador host.humanresources.fabrikam.com TERMSRV/* Host da Sessão da Área de Trabalho Remota em execução em todos os computadores. TERMSRV/*.humanresources.fabrikam.com Host da Sessão da Área de Trabalho Remota em execução em todos os computadores em .humanresources.fabrikam.com Essa configuração de política pode ser usada em combinação com "Permitir delegação de credenciais salvas" para definir exceções para servidores específicos que têm permissão quando usam caracteres curingas na lista de servidores de "Permitir delegação de credenciais salvas". Restringir delegação de credenciais para servidores remotos Quando executados no modo Administração Restrita ou Remote Credential Guard, os aplicativos participantes não expõem credenciais conectadas ou fornecidas a um host remoto. O modo Administração Restrita limita o acesso a recursos localizados em outros servidores ou redes do host remoto porque as credenciais não são delegadas. O modo Remote Credential Guard não limita o acesso a recursos, pois redireciona todas as solicitações para o dispositivo do cliente. Aplicativos participantes: Cliente da Área de Trabalho Remota Se você habilitar essa configuração de política, haverá suporte para as seguintes opções:   Restringir delegação de credencial: os aplicativos participantes devem usar o modo Administração Restrita ou Remote Credential Guard para se conectar a hosts remotos.   Exigir Remote Credential Guard: os aplicativos participantes devem usar o modo Remote Credential Guard para se conectar a hosts remotos.   Exigir Administração Restrita: Os aplicativos participantes devem usar o modo Administração Restrita para se conectar a hosts remotos. Se você desabilitar ou não definir essa configuração de política, os modos Administração Restrita e Remote Credential Guard não serão aplicados, e os aplicativos participantes poderão delegar credenciais a dispositivos remotos. Observação: para desabilitar a maioria das delegações de credenciais, pode ser suficiente negar delegação no CredSSP (Credential Security Support Provider), modificando as configurações do modelo Administrativo (localizado em Configuração do Computador\Modelos Administrativos\Sistema\Delegação de Credenciais). Observação: no Windows 8.1 e no Windows Server 2012 R2, habilitar essa política impõe o modo Administração Restrita, independentemente do modo escolhido. Essas versões não são compatíveis com o modo Remote Credential Guard. Windows Vista Restringir Delegação de Credencial Exigir Remote Credential Guard Exigir Administração Restrita O host remoto permite a delegação de credenciais não exportáveis O host remoto permite a delegação de credenciais não exportáveis Ao usar a delegação de credencial, os dispositivos fornecem uma versão exportável de credenciais ao host remoto. Isso expõe os usuários ao risco de roubo de credenciais por usuários mal-intencionados no host remoto. Se você habilitar essa configuração de política, o host dará suporte ao modo Administração Restrita ou Remote Credential Guard. Se você desabilitar ou não definir essa configuração de política, os modos Administração Restrita e Remote Credential Guard não serão compatíveis. Sempre será necessário que o usuário passe suas credenciais ao host. Correção do Oráculo de Criptografia Correção do Oráculo de Criptografia Esta configuração de política aplica-se a aplicativos que usam o componente CredSSP (por exemplo: Conexão de Área de Trabalho Remota). Algumas versões do protocolo CredSSP são vulneráveis a um ataque de oráculo de criptografia contra o cliente. Esta política controla a compatibilidade com clientes e servidores vulneráveis. Esta política permite definir o nível de proteção desejado para a vulnerabilidade do oráculo de criptografia. Se você habilitar esta configuração de política, o suporte à versão CredSSP será selecionada com base nas seguintes opções: Forçar Clientes Atualizados: aplicativos cliente que usam CredSSP não conseguirão voltar para as versões não seguras, e os serviços que usam CredSSP não aceitarão clientes sem patch. Observação: esta configuração não deve ser implantada até que todos os hosts remotos ofereçam suporte à versão mais recente. Reduzido: aplicativos cliente que usam CredSSP não conseguirão voltar para as versões não seguras, mas os serviços que usam CredSSP aceitarão clientes sem patch. Consulte o link abaixo para obter informações sobre o risco que os clientes sem patch restantes representam. Vulnerável: aplicativos cliente que usam CredSSP vão expor os servidores remotos a ataques ao oferecer suporte para voltar às versões sem segurança, e os serviços que usam CredSSP aceitarão clientes sem patch. Para obter mais informações sobre a vulnerabilidade e os requisitos de serviços para proteção, consulte https://go.microsoft.com/fwlink/?linkid=866660 Forçar Clientes Atualizados Mitigado Vulnerável Adicionar servidores à lista: Concatenar padrões do sistema operacional com entrada acima Adicionar servidores à lista: Concatenar padrões do sistema operacional com entrada acima Adicionar servidores à lista: Concatenar padrões do sistema operacional com entrada acima Adicionar servidores à lista: Concatenar padrões do sistema operacional com entrada acima Adicionar servidores à lista: Concatenar padrões do sistema operacional com entrada acima Adicionar servidores à lista: Concatenar padrões do sistema operacional com entrada acima Adicionar servidores à lista: Concatenar padrões do sistema operacional com entrada acima Adicionar servidores à lista: Concatenar padrões do sistema operacional com entrada acima Adicionar servidores à lista: Concatenar padrões do sistema operacional com entrada acima Use o seguinte modo restrito: Nível de Proteção: