Richtlinien-CSP – LocalPoliciesSecurityOptions
Wichtig
Dieser CSP enthält einige Einstellungen, die sich in der Entwicklung befinden und nur für Windows Insider Preview Builds gelten. Diese Einstellungen können geändert werden und können Abhängigkeiten von anderen Features oder Diensten in der Vorschau aufweisen.
Hinweis
Informationen zum Suchen nach Datenformaten (und anderen richtlinienbezogenen Details) finden Sie unter Richtlinien-DDF-Datei.
Accounts_BlockMicrosoftAccounts
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_BlockMicrosoftAccounts
Diese Richtlinieneinstellung verhindert, dass Benutzer neue Microsoft-Konten auf diesem Computer hinzufügen. Wenn Sie die Option "Benutzer können keine Microsoft-Konten hinzufügen" auswählen, können Benutzer keine neuen Microsoft-Konten auf diesem Computer erstellen, ein lokales Konto auf ein Microsoft-Konto umstellen oder ein Domänenkonto mit einem Microsoft-Konto verbinden. Dies ist die bevorzugte Option, wenn Sie die Verwendung von Microsoft-Konten in Ihrem Unternehmen einschränken müssen. Wenn Sie die Option "Benutzer können microsoft-Konten nicht hinzufügen oder anmelden" auswählen, können sich vorhandene Microsoft-Kontobenutzer nicht bei Windows anmelden. Wenn Sie diese Option auswählen, kann es für einen vorhandenen Administrator auf diesem Computer möglicherweise unmöglich sein, sich anzumelden und das System zu verwalten. Wenn Sie diese Richtlinie deaktivieren oder nicht konfigurieren (empfohlen), können Benutzer Microsoft-Konten mit Windows verwenden.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Deaktiviert (Benutzer können Microsoft-Konten mit Windows verwenden). |
| 1 | Aktiviert (Benutzer können keine Microsoft-Konten hinzufügen). |
| 3 | Benutzer können microsoft-Konten nicht hinzufügen oder sich mit ihnen anmelden. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Konten: Blockieren von Microsoft-Konten |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
Accounts_EnableAdministratorAccountStatus
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_EnableAdministratorAccountStatus
Diese Sicherheitseinstellung bestimmt, ob das lokale Administratorkonto aktiviert oder deaktiviert ist.
Hinweis
Wenn Sie versuchen, das Administratorkonto erneut zu aktivieren, nachdem es deaktiviert wurde, und wenn das aktuelle Administratorkennwort die Kennwortanforderungen nicht erfüllt, können Sie das Konto nicht erneut aktivieren. In diesem Fall muss ein alternatives Mitglied der Gruppe Administratoren das Kennwort für das Administratorkonto zurücksetzen. Informationen zum Zurücksetzen eines Kennworts finden Sie unter So setzen Sie ein Kennwort zurück. Das Deaktivieren des Administratorkontos kann unter bestimmten Umständen zu einem Wartungsproblem werden. Unter Start im abgesicherten Modus wird das deaktivierte Administratorkonto nur aktiviert, wenn der Computer nicht in die Domäne eingebunden ist und keine anderen lokalen aktiven Administratorkonten vorhanden sind. Wenn der Computer in die Domäne eingebunden ist, wird der deaktivierte Administrator nicht aktiviert. Standard: Deaktiviert.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Aktivieren. |
| 0 (Standard) | Deaktivieren. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Konten: Administratorkontostatus |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
Accounts_EnableGuestAccountStatus
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_EnableGuestAccountStatus
Diese Sicherheitseinstellung bestimmt, ob das Gastkonto aktiviert oder deaktiviert ist. Standard: Deaktiviert.
Hinweis
Wenn das Gastkonto deaktiviert ist und die Sicherheitsoption Netzwerkzugriff: Freigabe und Sicherheitsmodell für lokale Konten auf Nur Gast festgelegt ist, schlagen Netzwerkanmeldungen fehl, z. B. die von Microsoft Network Server (SMB-Dienst) ausgeführten.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Aktivieren. |
| 0 (Standard) | Deaktivieren. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Konten: Gastkontenstatus |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
Konten: Die Verwendung leerer Kennwörter für lokale Konten auf die Konsolenanmeldung beschränken Diese Sicherheitseinstellung bestimmt, ob lokale Konten, die nicht kennwortgeschützte sind, für die Anmeldung von anderen Standorten als der Konsole des physischen Computers verwendet werden können. Wenn diese Option aktiviert ist, können sich lokale Konten, die nicht kennwortgeschützte Sind, nur über die Tastatur des Computers anmelden. Standard: Aktiviert.
Warnung
Computer, die sich nicht an physisch sicheren Standorten befinden, sollten immer Richtlinien für sichere Kennwörter für alle lokalen Benutzerkonten erzwingen. Andernfalls kann sich jeder Benutzer mit physischem Zugriff auf den Computer mit einem Benutzerkonto anmelden, das kein Kennwort hat. Dies ist besonders wichtig für tragbare Computer. Wenn Sie diese Sicherheitsrichtlinie auf die Gruppe Jeder anwenden, kann sich niemand über Remotedesktopdienste anmelden.
Hinweis
Diese Einstellung wirkt sich nicht auf Anmeldungen aus, die Domänenkonten verwenden. Es ist möglich, dass Anwendungen, die interaktive Remoteanmeldungen verwenden, diese Einstellung umgehen.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Deaktiviert. |
| 1 (Standard) | Aktiviert. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Konten: Lokale Kontenverwendung von leeren Kennwörtern auf Konsolenanmeldung beschränken |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
Accounts_RenameAdministratorAccount
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_RenameAdministratorAccount
Konten: Administratorkonto umbenennen Diese Sicherheitseinstellung bestimmt, ob der Sicherheits-ID (SID) für den Kontoadministrator ein anderer Kontoname zugeordnet ist. Durch die Umbenennung des bekannten Administratorkontos wird es für Unbefugte etwas schwieriger, diese Kombination aus privilegiertem Benutzernamen und Kennwort zu erraten. Standard: Administrator.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | Administrator |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Konten: Administrator umbenennen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
Accounts_RenameGuestAccount
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_RenameGuestAccount
Konten: Gastkonto umbenennen Diese Sicherheitseinstellung bestimmt, ob der Sicherheits-ID (SID) für das Konto "Guest" ein anderer Kontoname zugeordnet ist. Durch die Umbenennung des bekannten Gastkontos ist es für Unbefugte etwas schwieriger, diese Kombination aus Benutzername und Kennwort zu erraten. Standard: Gast.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | Gast |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Konten: Gastkonto umbenennen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
Audit_AuditTheUseOfBackupAndRestoreprivilege
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_AuditTheUseOfBackupAndRestoreprivilege
Überwachung: Überwachen der Verwendung von Sicherungs- und Wiederherstellungsberechtigungen Diese Sicherheitseinstellung bestimmt, ob die Verwendung aller Benutzerberechtigungen, einschließlich Sicherung und Wiederherstellung, überwacht werden soll, wenn die Richtlinie Zum Verwenden von Überwachungsberechtigungen in Kraft ist. Wenn Sie diese Option aktivieren, wenn auch die Richtlinie Zum Verwenden von Überwachungsberechtigungen aktiviert ist, wird ein Überwachungsereignis für jede Datei generiert, die gesichert oder wiederhergestellt wird. Wenn Sie diese Richtlinie deaktivieren, wird die Verwendung der Berechtigung "Sichern" oder "Wiederherstellen" auch dann nicht überwacht, wenn die Verwendung von Überwachungsberechtigungen aktiviert ist.
Hinweis
Bei Windows-Versionen vor dem Konfigurieren dieser Sicherheitseinstellung unter Windows Vista werden Änderungen erst wirksam, wenn Sie Windows neu starten. Das Aktivieren dieser Einstellung kann während eines Sicherungsvorgangs viele Ereignisse verursachen, manchmal Hunderte pro Sekunde. Standard: Deaktiviert.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | b64 |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: '') |
| Standardwert | 00 |
Audit_ForceAuditPolicySubcategorySettingsToOverrideAuditPolicyCategorySettings
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_ForceAuditPolicySubcategorySettingsToOverrideAuditPolicyCategorySettings
Überwachung: Erzwingen von Überwachungsrichtlinien-Unterkategorieeinstellungen (Windows Vista oder höher), um Überwachungsrichtlinienkategorieeinstellungen außer Kraft zu setzen Windows Vista und höhere Versionen von Windows ermöglichen die präzisere Verwaltung von Überwachungsrichtlinien mithilfe von Überwachungsrichtlinienunterkategorien. Durch das Festlegen der Überwachungsrichtlinie auf Kategorieebene wird das neue Überwachungsrichtlinienfeature der Unterkategorie außer Kraft gesetzt. Gruppenrichtlinie lässt nur das Festlegen der Überwachungsrichtlinie auf Kategorieebene zu, und vorhandene Gruppenrichtlinien können die Unterkategorieeinstellungen neuer Computer überschreiben, wenn sie der Domäne beigetreten oder auf Windows Vista oder höhere Versionen aktualisiert werden. Damit Überwachungsrichtlinien mithilfe von Unterkategorien verwaltet werden können, ohne dass eine Änderung an Gruppenrichtlinie erforderlich ist, gibt es in Windows Vista und höheren Versionen den neuen Registrierungswert SCENoApplyLegacyAuditPolicy, der verhindert, dass die Anwendung der Überwachungsrichtlinie auf Kategorieebene Gruppenrichtlinie und vom Verwaltungstool für lokale Sicherheitsrichtlinien verwendet wird. Wenn die hier festgelegte Überwachungsrichtlinie auf Kategorieebene nicht mit den ereignissen konsistent ist, die derzeit generiert werden, kann die Ursache sein, dass dieser Registrierungsschlüssel festgelegt ist. Standard: Aktiviert.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-1] |
| Standardwert | 1 |
Audit_ShutdownSystemImmediatelyIfUnableToLogSecurityAudits
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_ShutdownSystemImmediatelyIfUnableToLogSecurityAudits
Überwachung: System sofort herunterfahren, wenn Sicherheitsüberwachungen nicht protokolliert werden können Diese Sicherheitseinstellung bestimmt, ob das System heruntergefahren wird, wenn es keine Sicherheitsereignisse protokollieren kann. Wenn diese Sicherheitseinstellung aktiviert ist, wird das System beendet, wenn eine Sicherheitsüberwachung aus irgendeinem Grund nicht protokolliert werden kann. In der Regel kann ein Ereignis nicht protokolliert werden, wenn das Sicherheitsüberwachungsprotokoll voll ist und die aufbewahrungsmethode, die für das Sicherheitsprotokoll angegeben ist, entweder Ereignisse nicht überschreiben oder Ereignisse nach Tagen überschreiben. Wenn das Sicherheitsprotokoll voll ist und ein vorhandener Eintrag nicht überschrieben werden kann und diese Sicherheitsoption aktiviert ist, wird der folgende Stoppfehler angezeigt: STOP: C0000244 {Audit Failed} Ein Versuch, eine Sicherheitsüberwachung zu generieren, ist fehlgeschlagen. Zur Wiederherstellung muss sich ein Administrator anmelden, das Protokoll archivieren (optional), das Protokoll löschen und diese Option wie gewünscht zurücksetzen. Bis diese Sicherheitseinstellung zurückgesetzt wird, können sich außer einem Mitglied der Gruppe Administratoren keine Benutzer beim System anmelden, auch wenn das Sicherheitsprotokoll nicht voll ist.
Hinweis
Bei Windows-Versionen vor dem Konfigurieren dieser Sicherheitseinstellung unter Windows Vista werden Änderungen erst wirksam, wenn Sie Windows neu starten. Standard: Deaktiviert.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-1] |
| Standardwert | 0 |
Devices_AllowedToFormatAndEjectRemovableMedia
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_AllowedToFormatAndEjectRemovableMedia
Geräte: Dürfen Wechselmedien formatieren und auswerfen Diese Sicherheitseinstellung bestimmt, wer NTFS-Wechselmedien formatieren und auswerfen darf. Diese Funktion kann bereitgestellt werden für: Administratoren Administratoren und interaktive Benutzer Standard: Diese Richtlinie ist nicht definiert, und nur Administratoren haben diese Möglichkeit.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Geräte: Formatieren und Auswerfen von Wechselmedien zulassen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
Devices_AllowUndockWithoutHavingToLogon
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_AllowUndockWithoutHavingToLogon
Geräte: Ausdocken zulassen, ohne sich anmelden zu müssen Diese Sicherheitseinstellung bestimmt, ob ein tragbarer Computer abgedockt werden kann, ohne sich anmelden zu müssen. Wenn diese Richtlinie aktiviert ist, ist keine Anmeldung erforderlich, und eine externe Hardwareauswurfschaltfläche kann zum Andocken des Computers verwendet werden. Wenn diese Option deaktiviert ist, muss sich ein Benutzer anmelden und über die Berechtigung Computer aus Dockingstation entfernen verfügen, um das Ausdocken des Computers rückgängig zu machen. Standard: Aktiviert.
Achtung
Das Deaktivieren dieser Richtlinie kann benutzer dazu verleiten, den Laptop mit anderen Methoden als der externen Hardwareauswurftaste physisch von der Dockingstation zu entfernen. Da dies zu Schäden an der Hardware führen kann, sollte diese Einstellung im Allgemeinen nur für Laptopkonfigurationen deaktiviert werden, die physisch sicherungsfähig sind.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 (Standard) | Zulassen |
| 0 | Blockieren. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Geräte: Entfernen ohne vorherige Anmeldung erlauben |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters
Geräte: Verhindern, dass Benutzer Druckertreiber installieren, wenn sie eine Verbindung mit freigegebenen Druckern herstellen damit ein Computer auf einem freigegebenen Drucker drucken kann, muss der Treiber für diesen freigegebenen Drucker auf dem lokalen Computer installiert sein. Diese Sicherheitseinstellung bestimmt, wer einen Druckertreiber im Rahmen der Verbindung mit einem freigegebenen Drucker installieren darf.
Wenn diese Einstellung aktiviert ist, können nur Administratoren einen Druckertreiber als Teil der Verbindung mit einem freigegebenen Drucker installieren.
Wenn diese Einstellung deaktiviert ist, kann jeder Benutzer einen Druckertreiber als Teil der Verbindung mit einem freigegebenen Drucker installieren. Standard auf Servern: Aktiviert. Standard auf Arbeitsstationen: Deaktivierte Hinweise Diese Einstellung wirkt sich nicht auf die Möglichkeit aus, einen lokalen Drucker hinzuzufügen. Diese Einstellung wirkt sich nicht auf Administratoren aus.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Aktivieren. |
| 0 (Standard) | Deaktivieren. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Geräte: Anwendern das Installieren von Druckertreibern nicht erlauben |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly
Geräte: Beschränken des CD-ROM-Zugriffs auf lokal angemeldete Benutzer Diese Sicherheitseinstellung bestimmt, ob sowohl lokale als auch Remotebenutzer gleichzeitig auf eine CD-ROM zugreifen können. Wenn diese Richtlinie aktiviert ist, kann nur der interaktiv angemeldete Benutzer auf Wechseldatenträger zugreifen. Wenn diese Richtlinie aktiviert ist und niemand interaktiv angemeldet ist, kann über das Netzwerk auf die CD-ROM zugegriffen werden. Standard: Diese Richtlinie ist nicht definiert, und der CD-ROM-Zugriff ist nicht auf den lokal angemeldeten Benutzer beschränkt.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Geräte: Zugriff auf CD-ROM-Laufwerke auf lokal angemeldete Benutzer beschränken |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
Devices_RestrictFloppyAccessToLocallyLoggedOnUserOnly
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_RestrictFloppyAccessToLocallyLoggedOnUserOnly
Geräte: Zugriff auf Disketten auf lokal angemeldete Benutzer beschränken Diese Sicherheitseinstellung bestimmt, ob sowohl lokale als auch Remotebenutzer gleichzeitig auf Wechselmedien zugreifen können. Wenn diese Richtlinie aktiviert ist, kann nur der interaktiv angemeldete Benutzer auf Wechseldatenträger zugreifen. Wenn diese Richtlinie aktiviert ist und niemand interaktiv angemeldet ist, kann über das Netzwerk auf die Diskette zugegriffen werden. Standard: Diese Richtlinie ist nicht definiert, und der Zugriff auf Diskettenlaufwerke ist nicht auf den lokal angemeldeten Benutzer beschränkt.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Geräte: Zugriff auf Diskettenlaufwerke auf lokal angemeldete Benutzer beschränken |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
DomainMember_DigitallyEncryptOrSignSecureChannelDataAlways
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallyEncryptOrSignSecureChannelDataAlways
Domänenmitglied: Sichere Kanaldaten digital verschlüsseln oder signieren (immer) Diese Sicherheitseinstellung bestimmt, ob der gesamte vom Domänenmitglied initiierte sichere Kanaldatenverkehr signiert oder verschlüsselt werden muss. Wenn ein Computer einer Domäne beitritt, wird ein Computerkonto erstellt. Danach verwendet es beim Starten des Systems das Computerkontokennwort, um einen sicheren Kanal mit einem Domänencontroller für seine Domäne zu erstellen. Dieser sichere Kanal wird verwendet, um Vorgänge wie ntlm pass through authentication, LSA SID/name lookup usw. auszuführen. Diese Einstellung bestimmt, ob der gesamte vom Domänenmitglied initiierte sichere Kanaldatenverkehr die Mindestsicherheitsanforderungen erfüllt. Insbesondere wird bestimmt, ob der gesamte vom Domänenmitglied initiierte sichere Kanaldatenverkehr signiert oder verschlüsselt werden muss. Wenn diese Richtlinie aktiviert ist, wird der sichere Kanal nur dann eingerichtet, wenn entweder das Signieren oder die Verschlüsselung des gesamten datenverkehrssicheren Kanals ausgehandelt wird. Wenn diese Richtlinie deaktiviert ist, wird die Verschlüsselung und Signierung des gesamten datenverkehrssicheren Kanals mit dem Domänencontroller ausgehandelt. In diesem Fall hängt der Grad der Signierung und Verschlüsselung von der Version des Domänencontrollers und den Einstellungen der folgenden beiden Richtlinien ab: Domänenmitglied: Sichere Kanaldaten digital verschlüsseln (sofern möglich) Domänenmitglied: Digitales Signieren sicherer Kanaldaten (sofern möglich) Standard: Aktiviert.
Hinweis
Wenn diese Richtlinie aktiviert ist, wird davon ausgegangen, dass die Richtlinie Domänenmitglied: Sichere Kanaldaten (sofern möglich digital signieren) unabhängig von ihrer aktuellen Einstellung aktiviert ist. Dadurch wird sichergestellt, dass das Domänenmitglied versucht, mindestens die Signierung des datenverkehrssicheren Kanals auszuhandeln. Anmeldeinformationen, die über den sicheren Kanal übertragen werden, werden immer verschlüsselt, unabhängig davon, ob die Verschlüsselung des GESAMTEN anderen datenverkehrssicheren Kanals ausgehandelt wird oder nicht.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-1] |
| Standardwert | 1 |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
DomainMember_DigitallyEncryptSecureChannelDataWhenPossible
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallyEncryptSecureChannelDataWhenPossible
Domänenmitglied: Sichere Kanaldaten digital verschlüsseln (wenn möglich) Diese Sicherheitseinstellung bestimmt, ob ein Domänenmitglied versucht, die Verschlüsselung für den gesamten von ihr initiierten sicheren Kanaldatenverkehr auszuhandeln. Wenn ein Computer einer Domäne beitritt, wird ein Computerkonto erstellt. Danach verwendet es beim Starten des Systems das Computerkontokennwort, um einen sicheren Kanal mit einem Domänencontroller für seine Domäne zu erstellen. Dieser sichere Kanal wird verwendet, um Vorgänge wie NTLM-Passthrough-Authentifizierung, LSA SID/Name Lookup usw. auszuführen. Diese Einstellung bestimmt, ob das Domänenmitglied versucht, die Verschlüsselung für den gesamten datenverkehrssicheren Kanal auszuhandeln, den es initiiert. Wenn diese Option aktiviert ist, fordert das Domänenmitglied die Verschlüsselung des gesamten datenverkehrssicheren Kanals an. Wenn der Domänencontroller die Verschlüsselung des gesamten datenverkehrssicheren Kanals unterstützt, wird der gesamte sichere Kanaldatenverkehr verschlüsselt. Andernfalls werden nur Anmeldeinformationen verschlüsselt, die über den sicheren Kanal übertragen werden. Wenn diese Einstellung deaktiviert ist, versucht das Domänenmitglied nicht, die sichere Kanalverschlüsselung auszuhandeln. Standard: Aktiviert.
Wichtig
Es gibt keinen bekannten Grund für die Deaktivierung dieser Einstellung. Neben der unnötigen Reduzierung der potenziellen Vertraulichkeitsstufe des sicheren Kanals kann das Deaktivieren dieser Einstellung den Durchsatz des sicheren Kanals unnötig reduzieren, da gleichzeitige API-Aufrufe, die den sicheren Kanal verwenden, nur möglich sind, wenn der sichere Kanal signiert oder verschlüsselt ist.
Hinweis
Domänencontroller sind auch Domänenmitglieder und richten sichere Kanäle mit anderen Domänencontrollern in derselben Domäne sowie Domänencontrollern in vertrauenswürdigen Domänen ein.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-1] |
| Standardwert | 1 |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich) |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
DomainMember_DigitallySignSecureChannelDataWhenPossible
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallySignSecureChannelDataWhenPossible
Domänenmitglied: Digitales Signieren sicherer Kanaldaten (sofern möglich) Diese Sicherheitseinstellung bestimmt, ob ein Domänenmitglied versucht, die Signierung für den gesamten von ihr initiierten datenverkehr sicheren Kanal auszuhandeln. Wenn ein Computer einer Domäne beitritt, wird ein Computerkonto erstellt. Danach verwendet es beim Starten des Systems das Computerkontokennwort, um einen sicheren Kanal mit einem Domänencontroller für seine Domäne zu erstellen. Dieser sichere Kanal wird verwendet, um Vorgänge wie ntlm pass through authentication, LSA SID/name lookup usw. auszuführen. Diese Einstellung bestimmt, ob das Domänenmitglied versucht, die Signierung für den gesamten datenverkehrssicheren Kanal auszuhandeln, den es initiiert. Wenn diese Option aktiviert ist, fordert das Domänenmitglied die Signierung des gesamten datenverkehrssicheren Kanals an. Wenn der Domänencontroller das Signieren des gesamten datenverkehrssicheren Kanals unterstützt, wird der gesamte sichere Kanaldatenverkehr signiert, wodurch sichergestellt wird, dass er während der Übertragung nicht manipuliert werden kann. Standard: Aktiviert.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-1] |
| Standardwert | 1 |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich) |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
DomainMember_DisableMachineAccountPasswordChanges
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DisableMachineAccountPasswordChanges
Domänenmitglied: Kennwortänderungen für Computerkonten deaktivieren Bestimmt, ob ein Domänenmitglied in regelmäßigen Abständen sein Computerkontokennwort ändert.
Wenn diese Einstellung aktiviert ist, versucht das Domänenmitglied nicht, sein Computerkontokennwort zu ändern.
Wenn diese Einstellung deaktiviert ist, versucht das Domänenmitglied, sein Computerkontokennwort zu ändern, wie in der Einstellung für Domänenmitglied: Maximales Alter für das Kennwort des Computerkontos angegeben( standardmäßig alle 30 Tage). Standard: Deaktiviert.
Hinweis
Diese Sicherheitseinstellung sollte nicht aktiviert werden. Computerkontokennwörter werden verwendet, um eine sichere Kanalkommunikation zwischen Mitgliedern und Domänencontrollern und innerhalb der Domäne zwischen den Domänencontrollern selbst herzustellen. Nach der Einrichtung wird der sichere Kanal verwendet, um vertrauliche Informationen zu übertragen, die für Authentifizierungs- und Autorisierungsentscheidungen erforderlich sind. Diese Einstellung sollte nicht verwendet werden, um Dual-Boot-Szenarien zu unterstützen, die dasselbe Computerkonto verwenden. Wenn Sie zwei Installationen, die mit derselben Domäne verknüpft sind, dual starten möchten, weisen Sie den beiden Installationen unterschiedliche Computernamen zu.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-1] |
| Standardwert | 0 |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Domänenmitglied: Änderungen von Computerkontenkennwörtern deaktivieren |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
DomainMember_MaximumMachineAccountPasswordAge
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_MaximumMachineAccountPasswordAge
Domänenmitglied: Maximales Kennwortalter für Computerkonten Diese Sicherheitseinstellung bestimmt, wie oft ein Domänenmitglied versucht, sein Computerkontokennwort zu ändern. Standard: 30 Tage.
Wichtig
Diese Einstellung gilt für Windows 2000-Computer, ist jedoch nicht über die Sicherheitstools Configuration Manager auf diesen Computern verfügbar.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-999] |
| Standardwert | 30 |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Domänenmitglied: Maximalalter von Computerkontenkennwörtern |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
DomainMember_RequireStrongSessionKey
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_RequireStrongSessionKey
Domänenmitglied: Starker Sitzungsschlüssel erforderlich (Windows 2000 oder höher) Diese Sicherheitseinstellung bestimmt, ob die 128-Bit-Schlüsselstärke für verschlüsselte Daten im sicheren Kanal erforderlich ist. Wenn ein Computer einer Domäne beitritt, wird ein Computerkonto erstellt. Danach verwendet es beim Starten des Systems das Computerkontokennwort, um einen sicheren Kanal mit einem Domänencontroller innerhalb der Domäne zu erstellen. Dieser sichere Kanal wird verwendet, um Vorgänge wie NTLM-Passthrough-Authentifizierung, LSA-SID/Name-Suche usw. auszuführen. Abhängig von der Windows-Version, die auf dem Domänencontroller ausgeführt wird, mit dem das Domänenmitglied kommuniziert, und den Einstellungen der Parameter: Domänenmitglied: Sichere Kanaldaten digital verschlüsseln oder signieren (immer) Domänenmitglied: Digitales Verschlüsseln sicherer Kanaldaten (sofern möglich) Einige oder alle Informationen, die über den sicheren Kanal übertragen werden, werden verschlüsselt. Diese Richtlinieneinstellung bestimmt, ob die 128-Bit-Schlüsselstärke für die verschlüsselten informationen zum sicheren Kanal erforderlich ist.
Wenn diese Einstellung aktiviert ist, wird der sichere Kanal nur dann eingerichtet, wenn eine 128-Bit-Verschlüsselung durchgeführt werden kann.
Wenn diese Einstellung deaktiviert ist, wird die Schlüsselstärke mit dem Domänencontroller ausgehandelt. Standard: Aktiviert.
Wichtig
Um diese Richtlinie auf Mitgliedsarbeitsstationen und -servern nutzen zu können, muss auf allen Domänencontrollern, die die Domäne des Mitglieds bilden, Windows 2000 oder höher ausgeführt werden. Um diese Richtlinie auf Domänencontrollern nutzen zu können, müssen alle Domänencontroller in derselben Domäne sowie alle vertrauenswürdigen Domänen Windows 2000 oder höher ausführen.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-1] |
| Standardwert | 1 |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Domänenmitglied: Starker Sitzungsschlüssel erforderlich (Windows 2000 oder höher) |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked
Interaktive Anmeldung: Anzeigen von Benutzerinformationen, wenn die Sitzung gesperrt ist Benutzeranzeigename, Domäne und Benutzernamen (1) Nur Anzeigename des Benutzers (2) Keine Benutzerinformationen anzeigen (3) Nur Domänen- und Benutzernamen (4)
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 (Standard) | Benutzeranzeigename, Domänen- und Benutzernamen. |
| 2 | Nur Benutzeranzeigename. |
| 3 | Zeigen Sie keine Benutzerinformationen an. |
| 4 | Nur Domänen- und Benutzernamen. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Interaktive Anmeldung: Benutzerinformationen anzeigen, wenn Sitzung gesperrt ist |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
InteractiveLogon_DoNotDisplayLastSignedIn
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayLastSignedIn
Interaktive Anmeldung: Letzte Anmeldung nicht anzeigen Diese Sicherheitseinstellung bestimmt, ob auf dem Windows-Anmeldebildschirm der Benutzername der letzten Person angezeigt wird, die sich auf diesem PC angemeldet hat. Wenn diese Richtlinie aktiviert ist, wird der Benutzername nicht angezeigt. Wenn diese Richtlinie deaktiviert ist, wird der Benutzername angezeigt. Standard: Deaktiviert.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Deaktiviert (Benutzername wird angezeigt). |
| 1 | Aktiviert (Benutzername wird nicht angezeigt). |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Interaktive Anmeldung: Letzte Anmeldung nicht anzeigen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
InteractiveLogon_DoNotDisplayUsernameAtSignIn
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayUsernameAtSignIn
Interaktive Anmeldung: Benutzername bei Anmeldung nicht anzeigen Diese Sicherheitseinstellung bestimmt, ob der Benutzername der Person, die sich bei diesem PC anmeldet, bei der Windows-Anmeldung, nach der Eingabe der Anmeldeinformationen und vor der Anzeige des PC-Desktops angezeigt wird. Wenn diese Richtlinie aktiviert ist, wird der Benutzername nicht angezeigt. Wenn diese Richtlinie deaktiviert ist, wird der Benutzername angezeigt. Standard: Deaktiviert.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Deaktiviert (Benutzername wird angezeigt). |
| 1 (Standard) | Aktiviert (Benutzername wird nicht angezeigt). |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Interaktive Anmeldung: Benutzername bei der Anmeldung nicht anzeigen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
InteractiveLogon_DoNotRequireCTRLALTDEL
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotRequireCTRLALTDEL
Interaktive Anmeldung: Strg+ALT+ENTF nicht erforderlich Diese Sicherheitseinstellung bestimmt, ob STRG+ALT+ENTF gedrückt werden muss, bevor sich ein Benutzer anmelden kann. Wenn diese Richtlinie auf einem Computer aktiviert ist, muss ein Benutzer nicht STRG+ALT+ENTF drücken, um sich anzumelden. Wenn Sie STRG+ALT+ENTF nicht drücken müssen, sind Benutzer anfällig für Angriffe, die versuchen, die Kennwörter der Benutzer abzufangen. Durch drücken von STRG+ALT+ENTF vor der Anmeldung von Benutzern wird sichergestellt, dass Benutzer über einen vertrauenswürdigen Pfad kommunizieren, wenn sie ihre Kennwörter eingeben. Wenn diese Richtlinie deaktiviert ist, muss jeder Benutzer STRG+ALT+ENTF drücken, bevor er sich bei Windows anmeldet. Standardeinstellung auf Domänencomputern: Aktiviert: Mindestens Windows 8/Deaktiviert: Windows 7 oder früher. Standardeinstellung auf eigenständigen Computern: Aktiviert.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Deaktiviert. |
| 1 (Standard) | Aktiviert (ein Benutzer muss nicht STRG+ALT+ENTF drücken, um sich anzumelden). |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Interaktive Anmeldung: STRG+ALT+ENTF nicht erforderlich |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
InteractiveLogon_MachineAccountLockoutThreshold
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MachineAccountLockoutThreshold
Interaktive Anmeldung: Computerkontoschwellenwert. Die Computersperrungsrichtlinie wird nur auf Computern erzwungen, auf denen BitLocker zum Schutz von Betriebssystemvolumes aktiviert ist. Stellen Sie sicher, dass geeignete Richtlinien für die Sicherung von Wiederherstellungskennwörtern aktiviert sind. Diese Sicherheitseinstellung bestimmt die Anzahl der fehlgeschlagenen Anmeldeversuche, die dazu führen, dass der Computer gesperrt wird. Ein gesperrter Computer kann nur durch Bereitstellen des Wiederherstellungsschlüssels in der Konsole wiederhergestellt werden. Sie können den Wert zwischen 1 und 999 fehlgeschlagenen Anmeldeversuchen festlegen. Wenn Sie den Wert auf 0 festlegen, wird der Computer nie gesperrt. Werte von 1 bis 3 werden als 4 interpretiert. Fehlgeschlagene Kennwortversuche an Arbeitsstationen oder Mitgliedsservern, die entweder mit STRG+ALT+ENTF oder kennwortgeschützten Bildschirmschonern gesperrt wurden, zählen als fehlgeschlagene Anmeldeversuche. Die Computersperrungsrichtlinie wird nur auf Computern erzwungen, auf denen BitLocker zum Schutz von Betriebssystemvolumes aktiviert ist. Stellen Sie sicher, dass die entsprechenden Richtlinien für die Sicherung von Wiederherstellungskennwörtern aktiviert sind. Standardwert: 0.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-999] |
| Standardwert | 0 |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Interaktive Anmeldung: Schwellenwert für Computerkontosperrung |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
InteractiveLogon_MachineInactivityLimit
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MachineInactivityLimit
Interaktive Anmeldung: Grenzwert für Computerinaktivität. Windows erkennt Inaktivität einer Anmeldesitzung. Wenn die Inaktivitätsdauer den Inaktivitätsgrenzwert überschreitet, wird der Bildschirmschoner ausgeführt und die Sitzung gesperrt. Standardwert: nicht erzwungen.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-599940] |
| Standardwert | 0 |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Interaktive Anmeldung: Inaktivitätsgrenze des Computers |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
Überprüfen:
Gültige Werte: Von 0 bis 599940, wobei der Wert der Inaktivitätszeit (in Sekunden) entspricht, nach der die Sitzung gesperrt wird. Wenn sie auf null (0) festgelegt ist, ist die Einstellung deaktiviert.
InteractiveLogon_MessageTextForUsersAttemptingToLogOn
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MessageTextForUsersAttemptingToLogOn
Interaktive Anmeldung: Meldungstext für Benutzer, die versuchen, sich anzumelden Diese Sicherheitseinstellung gibt eine SMS an, die Benutzern angezeigt wird, wenn sie sich anmelden. Dieser Text wird häufig aus rechtlichen Gründen verwendet, z. B. um Benutzer vor den Auswirkungen der missbräuchlichen Nutzung von Unternehmensinformationen zu warnen oder um sie zu warnen, dass ihre Handlungen überwacht werden können. Standard: Keine Nachricht.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Interaktive Anmeldung: Nachricht für Benutzer, die sich anmelden wollen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
InteractiveLogon_MessageTitleForUsersAttemptingToLogOn
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MessageTitleForUsersAttemptingToLogOn
Interaktive Anmeldung: Nachrichtentitel für Benutzer, die sich anmelden möchten Diese Sicherheitseinstellung ermöglicht es, dass die Angabe eines Titels in der Titelleiste des Fensters angezeigt wird, das den Text Interaktive Anmeldung: Meldung für Benutzer enthält, die sich anmelden möchten. Standard: Keine Nachricht.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Interaktive Anmeldung: Nachrichtentitel für Benutzer, die sich anmelden wollen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
InteractiveLogon_NumberOfPreviousLogonsToCache
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_NumberOfPreviousLogonsToCache
Interaktive Anmeldung: Anzahl der vorherigen Anmeldungen, die zwischengespeichert werden sollen (falls der Domänencontroller nicht verfügbar ist) Die Anmeldeinformationen jedes eindeutigen Benutzers werden lokal zwischengespeichert, sodass er sich anmelden kann, falls ein Domänencontroller bei nachfolgenden Anmeldeversuchen nicht verfügbar ist. Die zwischengespeicherten Anmeldeinformationen werden aus der vorherigen Anmeldesitzung gespeichert. Wenn ein Domänencontroller nicht verfügbar ist und die Anmeldeinformationen eines Benutzers nicht zwischengespeichert werden, wird der Benutzer mit der folgenden Meldung aufgefordert: Es sind derzeit keine Anmeldeserver verfügbar, um die Anmeldeanforderung zu verarbeiten. In dieser Richtlinieneinstellung deaktiviert der Wert 0 die Zwischenspeicherung der Anmeldung. Jeder Wert über 50 speichert nur 50 Anmeldeversuche zwischen. Windows unterstützt maximal 50 Cacheeinträge, und die Anzahl der pro Benutzer verbrauchten Einträge hängt von den Anmeldeinformationen ab. Beispielsweise können maximal 50 eindeutige Kennwortbenutzerkonten auf einem Windows-System zwischengespeichert werden, aber nur 25 intelligente Karte Benutzerkonten können zwischengespeichert werden, da sowohl die Kennwortinformationen als auch die Informationen zum intelligenten Karte gespeichert werden. Wenn sich ein Benutzer mit zwischengespeicherten Anmeldeinformationen erneut anmeldet, werden die einzelnen zwischengespeicherten Informationen des Benutzers ersetzt. Standard: Windows Server 2008: 25 Alle anderen Versionen: 10.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 10 |
InteractiveLogon_PromptUserToChangePasswordBeforeExpiration
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_PromptUserToChangePasswordBeforeExpiration
Interaktive Anmeldung: Benutzer vor Ablauf zum Ändern des Kennworts auffordern Legt fest, wie weit im Voraus (in Tagen) Benutzer gewarnt werden, dass ihr Kennwort bald abläuft. Mit dieser Vorabwarnung hat der Benutzer Zeit, ein Kennwort zu erstellen, das ausreichend sicher ist. Standard: 5 Tage.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-999] |
| Standardwert | 5 |
InteractiveLogon_SmartCardRemovalBehavior
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_SmartCardRemovalBehavior
Interaktive Anmeldung: Intelligentes Karte Entfernungsverhalten Diese Sicherheitseinstellung bestimmt, was geschieht, wenn die intelligente Karte für einen angemeldeten Benutzer aus dem Smart Karte-Reader entfernt wird. Die Optionen lauten: No Action Lock Workstation Force Logoff Disconnect if a Remote Desktop Services session Wenn Sie im Dialogfeld Eigenschaften für diese Richtlinie auf Arbeitsstation sperren klicken, wird die Arbeitsstation gesperrt, wenn die intelligente Karte entfernt wird, sodass Benutzer den Bereich verlassen, ihre smarten Karte mitnehmen und trotzdem eine geschützte Sitzung beibehalten können. Wenn Sie im Dialogfeld Eigenschaften für diese Richtlinie auf Abmelden erzwingen klicken, wird der Benutzer automatisch abgemeldet, wenn die intelligente Karte entfernt wird. Wenn Sie bei einer Remotedesktopdienste-Sitzung auf Trennen klicken, wird die Sitzung durch Entfernen des intelligenten Karte getrennt, ohne dass der Benutzer abgemeldet wird. Auf diese Weise kann der Benutzer die intelligente Karte einfügen und die Sitzung später oder an einem anderen computer mit Lesegerät Karte fortsetzen, ohne sich erneut anmelden zu müssen. Wenn die Sitzung lokal ist, funktioniert diese Richtlinie identisch mit Arbeitsstation sperren.
Hinweis
Remotedesktopdienste wurden in früheren Versionen von Windows Server als Terminaldienste bezeichnet. Standard: Diese Richtlinie ist nicht definiert, was bedeutet, dass sie vom System als Keine Aktion behandelt wird. Unter Windows Vista und höher: Damit diese Einstellung funktioniert, muss der Dienst zum Entfernen von Smartcards gestartet werden.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Keine Aktion. |
| 1 | Arbeitsstation sperren. |
| 2 | Abmeldung erzwingen. |
| 3 | Trennen Sie die Verbindung, wenn eine Remotedesktopdienste-Sitzung vorhanden ist. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Interaktive Anmeldung: Verhalten beim Entfernen von Smartcards |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
MicrosoftNetworkClient_DigitallySignCommunicationsAlways
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsAlways
Microsoft-Netzwerkclient: Kommunikation digital signieren (immer) Diese Sicherheitseinstellung bestimmt, ob die Paketsignatur für die SMB-Clientkomponente erforderlich ist. Das SMB-Protokoll (Server Message Block) ist die Grundlage für die Datei- und Druckfreigabe von Microsoft und viele andere Netzwerkvorgänge, z. B. die Windows-Remoteverwaltung. Um Man-in-the-Middle-Angriffe zu verhindern, die SMB-Pakete während der Übertragung ändern, unterstützt das SMB-Protokoll das digitale Signieren von SMB-Paketen. Diese Richtlinieneinstellung bestimmt, ob die SMB-Paketsignierung ausgehandelt werden muss, bevor die weitere Kommunikation mit einem SMB-Server zulässig ist.
Wenn diese Einstellung aktiviert ist, kommuniziert der Microsoft-Netzwerkclient nicht mit einem Microsoft-Netzwerkserver, es sei denn, dieser Server stimmt der SMB-Paketsignierung zu.
Wenn diese Richtlinie deaktiviert ist, wird die SMB-Paketsignierung zwischen Client und Server ausgehandelt. Standard: Deaktiviert.
Wichtig
Damit diese Richtlinie auf Computern mit Windows 2000 wirksam wird, muss auch die clientseitige Paketsignierung aktiviert sein. Um die clientseitige SMB-Paketsignierung zu aktivieren, legen Sie Microsoft-Netzwerkclient: Kommunikation digital signieren fest (wenn der Server zustimmt).
Hinweis
Alle Windows-Betriebssysteme unterstützen sowohl eine clientseitige SMB-Komponente als auch eine serverseitige SMB-Komponente. Unter Windows 2000 und höheren Betriebssystemen wird die Aktivierung oder Anforderung der Paketsignatur für client- und serverseitige SMB-Komponenten durch die folgenden vier Richtlinieneinstellungen gesteuert: Microsoft-Netzwerkclient: Kommunikation digital signieren (immer) – Steuert, ob die clientseitige SMB-Komponente paketsignieren erfordert. Microsoft-Netzwerkclient: Kommunikation digital signieren (wenn der Server zustimmt) – Steuert, ob für die clientseitige SMB-Komponente die Paketsignatur aktiviert ist. Microsoft-Netzwerkserver: Kommunikation digital signieren (immer): Steuert, ob die serverseitige SMB-Komponente paketsignieren muss. Microsoft-Netzwerkserver: Kommunikation digital signieren (wenn der Client zustimmt) – Steuert, ob die Paketsignatur für die serverseitige SMB-Komponente aktiviert ist. Die SMB-Paketsignierung kann die SMB-Leistung erheblich beeinträchtigen, je nach Dialektversion, Betriebssystemversion, Dateigrößen, Prozessorauslagerungsfunktionen und Anwendungs-E/A-Verhalten. Weitere Informationen finden Sie unter Referenz:<https://go.microsoft.com/fwlink/?LinkID=787136>.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Aktivieren. |
| 0 (Standard) | Deaktivieren. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees
Microsoft-Netzwerkclient: Kommunikation digital signieren (wenn der Server zustimmt) Diese Sicherheitseinstellung bestimmt, ob der SMB-Client versucht, die SMB-Paketsignierung auszuhandeln. Das SMB-Protokoll (Server Message Block) ist die Grundlage für die Datei- und Druckfreigabe von Microsoft und viele andere Netzwerkvorgänge, z. B. die Windows-Remoteverwaltung. Um Man-in-the-Middle-Angriffe zu verhindern, die SMB-Pakete während der Übertragung ändern, unterstützt das SMB-Protokoll das digitale Signieren von SMB-Paketen. Diese Richtlinieneinstellung bestimmt, ob die SMB-Clientkomponente versucht, die SMB-Paketsignierung auszuhandeln, wenn sie eine Verbindung mit einem SMB-Server herstellt.
Wenn diese Einstellung aktiviert ist, fordert der Microsoft-Netzwerkclient den Server auf, beim Einrichten der Sitzung SMB-Pakete zu signieren. Wenn die Paketsignierung auf dem Server aktiviert wurde, wird die Paketsignierung ausgehandelt.
Wenn diese Richtlinie deaktiviert ist, wird der SMB-Client niemals die SMB-Paketsignierung aushandeln. Standard: Aktiviert.
Hinweis
Alle Windows-Betriebssysteme unterstützen sowohl eine clientseitige SMB-Komponente als auch eine serverseitige SMB-Komponente. Unter Windows 2000 und höher wird das Aktivieren oder Anfordern der Paketsignatur für client- und serverseitige SMB-Komponenten durch die folgenden vier Richtlinieneinstellungen gesteuert: Microsoft-Netzwerkclient: Kommunikation digital signieren (immer) – Steuert, ob die clientseitige SMB-Komponente paketsigniert werden muss. Microsoft-Netzwerkclient: Kommunikation digital signieren (wenn der Server zustimmt) – Steuert, ob für die clientseitige SMB-Komponente die Paketsignatur aktiviert ist. Microsoft-Netzwerkserver: Kommunikation digital signieren (immer): Steuert, ob die serverseitige SMB-Komponente paketsignieren muss. Microsoft-Netzwerkserver: Kommunikation digital signieren (wenn der Client zustimmt) – Steuert, ob die Paketsignatur für die serverseitige SMB-Komponente aktiviert ist. Wenn sowohl die clientseitige als auch die serverseitige SMB-Signatur aktiviert ist und der Client eine SMB 1.0-Verbindung mit dem Server herstellt, wird versucht, SMB-Signierung zu versuchen. Die SMB-Paketsignierung kann die SMB-Leistung erheblich beeinträchtigen, je nach Dialektversion, Betriebssystemversion, Dateigrößen, Prozessorauslagerungsfunktionen und Anwendungs-E/A-Verhalten. Diese Einstellung gilt nur für SMB 1.0-Verbindungen. Weitere Informationen finden Sie unter Referenz:<https://go.microsoft.com/fwlink/?LinkID=787136>.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 (Standard) | Aktivieren. |
| 0 | Deaktivieren. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers
Microsoft-Netzwerkclient: Senden eines unverschlüsselten Kennworts zum Herstellen einer Verbindung mit SMB-Servern von Drittanbietern Wenn diese Sicherheitseinstellung aktiviert ist, darf der SMB-Redirector (Server Message Block) Klartextkennwörter an Nicht-Microsoft-SMB-Server senden, die die Kennwortverschlüsselung während der Authentifizierung nicht unterstützen. Das Senden unverschlüsselter Kennwörter ist ein Sicherheitsrisiko. Standard: Deaktiviert.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Aktivieren. |
| 0 (Standard) | Deaktivieren. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Microsoft-Netzwerk (Client): Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern senden |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
MicrosoftNetworkServer_AmountOfIdleTimeRequiredBeforeSuspendingSession
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_AmountOfIdleTimeRequiredBeforeSuspendingSession
Microsoft-Netzwerkserver: Zeit im Leerlauf, die vor dem Anhalten einer Sitzung erforderlich ist Diese Sicherheitseinstellung bestimmt die Dauer der fortlaufenden Leerlaufzeit, die in einer SMB-Sitzung (Server Message Block) verstreichen muss, bevor die Sitzung aufgrund von Inaktivität angehalten wird. Administratoren können diese Richtlinie verwenden, um zu steuern, wann ein Computer eine inaktive SMB-Sitzung ansetzt. Wenn die Clientaktivität fortgesetzt wird, wird die Sitzung automatisch wiederhergestellt. Für diese Richtlinieneinstellung bedeutet der Wert 0, eine Sitzung im Leerlauf so schnell wie möglich zu trennen. Der Höchstwert beträgt 99999, also 208 Tage; Dieser Wert deaktiviert die Richtlinie. Standard: Diese Richtlinie ist nicht definiert, was bedeutet, dass das System sie als 15 Minuten für Server und als nicht definiert für Arbeitsstationen behandelt.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-99999] |
| Standardwert | 99999 |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Microsoft-Netzwerk (Server): Leerlaufzeitspanne bis zum Anhalten der Sitzung |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
MicrosoftNetworkServer_DigitallySignCommunicationsAlways
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsAlways
Microsoft-Netzwerkserver: Kommunikation digital signieren (immer) Diese Sicherheitseinstellung bestimmt, ob die Paketsignatur für die SMB-Serverkomponente erforderlich ist. Das SMB-Protokoll (Server Message Block) ist die Grundlage für die Datei- und Druckfreigabe von Microsoft und viele andere Netzwerkvorgänge, z. B. die Windows-Remoteverwaltung. Um Man-in-the-Middle-Angriffe zu verhindern, die SMB-Pakete während der Übertragung ändern, unterstützt das SMB-Protokoll das digitale Signieren von SMB-Paketen. Diese Richtlinieneinstellung bestimmt, ob die SMB-Paketsignierung ausgehandelt werden muss, bevor die weitere Kommunikation mit einem SMB-Client zulässig ist.
Wenn diese Einstellung aktiviert ist, kommuniziert der Microsoft-Netzwerkserver nicht mit einem Microsoft-Netzwerkclient, es sei denn, dieser Client stimmt der SMB-Paketsignierung zu.
Wenn diese Einstellung deaktiviert ist, wird die SMB-Paketsignierung zwischen Client und Server ausgehandelt. Standardeinstellung: Für Mitgliedsserver deaktiviert. Aktiviert für Domänencontroller.
Hinweis
Alle Windows-Betriebssysteme unterstützen sowohl eine clientseitige SMB-Komponente als auch eine serverseitige SMB-Komponente. Unter Windows 2000 und höher wird das Aktivieren oder Anfordern der Paketsignatur für client- und serverseitige SMB-Komponenten durch die folgenden vier Richtlinieneinstellungen gesteuert: Microsoft-Netzwerkclient: Kommunikation digital signieren (immer) – Steuert, ob die clientseitige SMB-Komponente paketsigniert werden muss. Microsoft-Netzwerkclient: Kommunikation digital signieren (wenn der Server zustimmt) – Steuert, ob für die clientseitige SMB-Komponente die Paketsignatur aktiviert ist. Microsoft-Netzwerkserver: Kommunikation digital signieren (immer): Steuert, ob die serverseitige SMB-Komponente paketsignieren muss. Microsoft-Netzwerkserver: Kommunikation digital signieren (wenn der Client zustimmt) – Steuert, ob die Paketsignatur für die serverseitige SMB-Komponente aktiviert ist. Wenn eine clientseitige SMB-Signatur erforderlich ist, kann dieser Client auf ähnliche Weise keine Sitzung mit Servern einrichten, auf denen die Paketsignatur nicht aktiviert ist. Standardmäßig ist die serverseitige SMB-Signatur nur auf Domänencontrollern aktiviert. Wenn die serverseitige SMB-Signatur aktiviert ist, wird die SMB-Paketsignierung mit Clients ausgehandelt, für die die clientseitige SMB-Signatur aktiviert ist. Die SMB-Paketsignierung kann die SMB-Leistung erheblich beeinträchtigen, je nach Dialektversion, Betriebssystemversion, Dateigrößen, Prozessorauslagerungsfunktionen und Anwendungs-E/A-Verhalten.
Wichtig
Damit diese Richtlinie auf Computern mit Windows 2000 wirksam wird, muss auch die serverseitige Paketsignierung aktiviert sein. Um die serverseitige SMB-Paketsignatur zu aktivieren, legen Sie die folgende Richtlinie fest: Microsoft-Netzwerkserver: Kommunikation digital signieren (sofern server zustimmt) Damit Windows 2000-Server die Signierung mit Windows NT 4.0-Clients aushandeln können, muss der folgende Registrierungswert auf dem Windows 2000-Server auf 1 festgelegt werden: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Weitere Informationen finden Sie unter: <https://go.microsoft.com/fwlink/?LinkID=787136>.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Aktivieren. |
| 0 (Standard) | Deaktivieren. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees
Microsoft-Netzwerkserver: Kommunikation digital signieren (wenn der Client zustimmt) Diese Sicherheitseinstellung bestimmt, ob der SMB-Server die SMB-Paketsignierung mit Clients aushandelt, die dies anfordern. Das SMB-Protokoll (Server Message Block) ist die Grundlage für die Datei- und Druckfreigabe von Microsoft und viele andere Netzwerkvorgänge, z. B. die Windows-Remoteverwaltung. Um Man-in-the-Middle-Angriffe zu verhindern, die SMB-Pakete während der Übertragung ändern, unterstützt das SMB-Protokoll das digitale Signieren von SMB-Paketen. Diese Richtlinieneinstellung bestimmt, ob der SMB-Server die SMB-Paketsignierung aushandelt, wenn ein SMB-Client dies anfordert.
Wenn diese Einstellung aktiviert ist, handelt der Microsoft-Netzwerkserver die SMB-Paketsignierung aus, wie vom Client angefordert. Das heißt, wenn die Paketsignierung auf dem Client aktiviert wurde, wird die Paketsignierung ausgehandelt.
Wenn diese Richtlinie deaktiviert ist, wird der SMB-Client niemals die SMB-Paketsignierung aushandeln. Standard: Nur auf Domänencontrollern aktiviert.
Wichtig
Damit Windows 2000-Server die Signierung mit Windows NT 4.0-Clients aushandeln können, muss der folgende Registrierungswert auf dem Server mit Windows 2000 auf 1 festgelegt werden: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Hinweise Alle Windows-Betriebssysteme unterstützen sowohl eine clientseitige SMB-Komponente als auch eine serverseitige SMB-Komponente. Für Windows 2000 und höher wird das Aktivieren oder Anfordern der Paketsignatur für client- und serverseitige SMB-Komponenten durch die folgenden vier Richtlinieneinstellungen gesteuert: Microsoft-Netzwerkclient: Kommunikation digital signieren (immer) – Steuert, ob die clientseitige SMB-Komponente Paketsignierung erfordert. Microsoft-Netzwerkclient: Kommunikation digital signieren (wenn der Server zustimmt) – Steuert, ob für die clientseitige SMB-Komponente die Paketsignatur aktiviert ist. Microsoft-Netzwerkserver: Kommunikation digital signieren (immer): Steuert, ob die serverseitige SMB-Komponente paketsignieren muss. Microsoft-Netzwerkserver: Kommunikation digital signieren (wenn der Client zustimmt) – Steuert, ob die Paketsignatur für die serverseitige SMB-Komponente aktiviert ist. Wenn sowohl die clientseitige als auch die serverseitige SMB-Signatur aktiviert ist und der Client eine SMB 1.0-Verbindung mit dem Server herstellt, wird versucht, SMB-Signierung zu versuchen. Die SMB-Paketsignierung kann die SMB-Leistung erheblich beeinträchtigen, je nach Dialektversion, Betriebssystemversion, Dateigrößen, Prozessorauslagerungsfunktionen und Anwendungs-E/A-Verhalten. Diese Einstellung gilt nur für SMB 1.0-Verbindungen. Weitere Informationen finden Sie unter Referenz:<https://go.microsoft.com/fwlink/?LinkID=787136>.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Aktivieren. |
| 0 (Standard) | Deaktivieren. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
MicrosoftNetworkServer_DisconnectClientsWhenLogonHoursExpire
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DisconnectClientsWhenLogonHoursExpire
Microsoft-Netzwerkserver: Clients nach Ablauf der Anmeldezeiten trennen Diese Sicherheitseinstellung bestimmt, ob Benutzer, die außerhalb der gültigen Anmeldezeiten ihres Benutzerkontos mit dem lokalen Computer verbunden sind, getrennt werden sollen. Diese Einstellung wirkt sich auf die SMB-Komponente (Server Message Block) aus. Wenn diese Richtlinie aktiviert ist, werden Clientsitzungen mit dem SMB-Dienst erzwungen getrennt, wenn die Anmeldezeiten des Clients ablaufen. Wenn diese Richtlinie deaktiviert ist, kann eine eingerichtete Clientsitzung nach Ablauf der Anmeldestunden des Clients beibehalten werden. Standard unter Windows Vista und höher: Aktiviert. Standard unter Windows XP: Deaktiviert.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-1] |
| Standardwert | 1 |
MicrosoftNetworkServer_ServerSPNTargetNameValidationLevel
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_ServerSPNTargetNameValidationLevel
Microsoft-Netzwerkserver: Überprüfungsebene des Server-SPN-Zielnamens Diese Richtlinieneinstellung steuert die Überprüfungsebene, die ein Computer mit freigegebenen Ordnern oder Druckern (der Server) für den Dienstprinzipalnamen (SPN) ausführt, der vom Clientcomputer beim Einrichten einer Sitzung mithilfe des SMB-Protokolls (Server Message Block) bereitgestellt wird. Das SMB-Protokoll (Server Message Block) bietet die Grundlage für die Datei- und Druckfreigabe und andere Netzwerkvorgänge, z. B. die Windows-Remoteverwaltung. Das SMB-Protokoll unterstützt die Überprüfung des SMB-Serverdienstprinzipalnamens (SPN) innerhalb des von einem SMB-Client bereitgestellten Authentifizierungsblobs, um eine Klasse von Angriffen auf SMB-Server zu verhindern, die als SMB-Relayangriffe bezeichnet werden. Diese Einstellung wirkt sich sowohl auf SMB1 als auch auf SMB2 aus. Diese Sicherheitseinstellung bestimmt die Überprüfungsebene, die ein SMB-Server für den Dienstprinzipalnamen (SPN) ausführt, der vom SMB-Client bereitgestellt wird, wenn versucht wird, eine Sitzung mit einem SMB-Server einzurichten. Die Optionen sind: Aus : Der SPN ist vom SMB-Server von einem SMB-Client nicht erforderlich oder überprüft. Akzeptieren, wenn vom Client bereitgestellt: Der SMB-Server akzeptiert und überprüft den vom SMB-Client bereitgestellten SPN und lässt die Einrichtung einer Sitzung zu, wenn er mit der Liste der SPNs des SMB-Servers für sich selbst übereinstimmt. Wenn der SPN NICHT übereinstimmt, wird die Sitzungsanforderung für diesen SMB-Client abgelehnt. Vom Client erforderlich: Der SMB-Client MUSS bei der Sitzungseinrichtung einen SPN-Namen senden, und der angegebene SPN-Name MUSS mit dem SMB-Server übereinstimmen, der zum Herstellen einer Verbindung angefordert wird. Wenn vom Client kein SPN bereitgestellt wird oder der bereitgestellte SPN nicht übereinstimmt, wird die Sitzung verweigert. Standard: Aus Alle Windows-Betriebssysteme unterstützen sowohl eine clientseitige SMB-Komponente als auch eine serverseitige SMB-Komponente. Diese Einstellung wirkt sich auf das SMB-Verhalten des Servers aus, und die Implementierung sollte sorgfältig ausgewertet und getestet werden, um Unterbrechungen der Datei- und Druckbereitstellungsfunktionen zu verhindern. Weitere Informationen zur Implementierung und Verwendung dieser Zum Schutz Ihrer SMB-Server finden Sie auf der Microsoft-Website (https://go.microsoft.com/fwlink/?LinkId=144505).
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-2] |
| Standardwert | 0 |
NetworkAccess_AllowAnonymousSIDOrNameTranslation
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_AllowAnonymousSIDOrNameTranslation
Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen Diese Richtlinieneinstellung bestimmt, ob ein anonymer Benutzer SID-Attribute (Security Identifier) für einen anderen Benutzer anfordern kann.
Wenn diese Richtlinie aktiviert ist, kann ein anonymer Benutzer das SID-Attribut für einen anderen Benutzer anfordern. Ein anonymer Benutzer mit Kenntnis der SID eines Administrators kann einen Computer kontaktieren, auf dem diese Richtlinie aktiviert ist, und die SID verwenden, um den Namen des Administrators abzurufen. Diese Einstellung wirkt sich sowohl auf die SID-in-Name-Übersetzung als auch auf die Name-in-SID-Übersetzung aus.
Wenn diese Richtlinieneinstellung deaktiviert ist, kann ein anonymer Benutzer das SID-Attribut nicht für einen anderen Benutzer anfordern. Standard auf Arbeitsstationen und Mitgliedsservern: Deaktiviert. Standard auf Domänencontrollern unter Windows Server 2008 oder höher: Deaktiviert. Standard auf Domänencontrollern unter Windows Server 2003 R2 oder früher: Aktiviert.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Aktivieren. |
| 0 (Standard) | Deaktivieren. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts
Netzwerkzugriff: Anonyme Enumeration von SAM-Konten nicht zulassen Diese Sicherheitseinstellung bestimmt, welche zusätzlichen Berechtigungen für anonyme Verbindungen mit dem Computer gewährt werden. Windows ermöglicht anonymen Benutzern, bestimmte Aktivitäten auszuführen, z. B. das Aufzählen der Namen von Domänenkonten und Netzwerkfreigaben. Dies ist z. B. praktisch, wenn ein Administrator Benutzern in einer vertrauenswürdigen Domäne, die keine gegenseitige Vertrauensstellung aufrechterhält, Zugriff gewähren möchte. Mit dieser Sicherheitsoption können zusätzliche Einschränkungen für anonyme Verbindungen wie folgt festgelegt werden: Aktiviert: Enumeration von SAM-Konten nicht zulassen. Mit dieser Option wird jeder durch authentifizierte Benutzer in den Sicherheitsberechtigungen für Ressourcen ersetzt. Deaktiviert: Keine zusätzlichen Einschränkungen. Verlassen Sie sich auf Standardberechtigungen. Standard auf Arbeitsstationen: Aktiviert. Standard auf server:Aktiviert.
Wichtig
Diese Richtlinie hat keine Auswirkungen auf Domänencontroller.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 (Standard) | Aktiviert. |
| 0 | Deaktiviert. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Netzwerkzugriff: Anonyme Enumeration von SAM-Konten nicht zulassen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares
Netzwerkzugriff: Anonyme Enumeration von SAM-Konten und -Freigaben nicht zulassen Diese Sicherheitseinstellung bestimmt, ob die anonyme Enumeration von SAM-Konten und -Freigaben zulässig ist. Windows ermöglicht anonymen Benutzern, bestimmte Aktivitäten auszuführen, z. B. das Aufzählen der Namen von Domänenkonten und Netzwerkfreigaben. Dies ist z. B. praktisch, wenn ein Administrator Benutzern in einer vertrauenswürdigen Domäne, die keine gegenseitige Vertrauensstellung aufrechterhält, Zugriff gewähren möchte. Wenn Sie die anonyme Enumeration von SAM-Konten und -Freigaben nicht zulassen möchten, aktivieren Sie diese Richtlinie. Standard: Deaktiviert.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Aktiviert. |
| 0 (Standard) | Deaktiviert. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Netzwerkzugriff: Anonyme Enumeration von SAM-Konten und -Freigaben nicht zulassen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
NetworkAccess_DoNotAllowStorageOfPasswordsAndCredentialsForNetworkAuthentication
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowStorageOfPasswordsAndCredentialsForNetworkAuthentication
Netzwerkzugriff: Speicherung von Kennwörtern und Anmeldeinformationen für die Netzwerkauthentifizierung nicht zulassen Diese Sicherheitseinstellung bestimmt, ob der Anmeldeinformations-Manager Kennwörter und Anmeldeinformationen zur späteren Verwendung speichert, wenn die Domänenauthentifizierung erfolgt.
Wenn Sie diese Einstellung aktivieren, speichert der Anmeldeinformations-Manager keine Kennwörter und Anmeldeinformationen auf dem Computer.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, speichert der Anmeldeinformations-Manager Kennwörter und Anmeldeinformationen auf diesem Computer zur späteren Verwendung für die Domänenauthentifizierung.
Hinweis
Beim Konfigurieren dieser Sicherheitseinstellung werden Änderungen erst wirksam, wenn Sie Windows neu starten. Standard: Deaktiviert.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-1] |
| Standardwert | 0 |
NetworkAccess_LetEveryonePermissionsApplyToAnonymousUsers
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_LetEveryonePermissionsApplyToAnonymousUsers
Netzwerkzugriff: Alle Berechtigungen für anonyme Benutzer anwenden Diese Sicherheitseinstellung bestimmt, welche zusätzlichen Berechtigungen für anonyme Verbindungen mit dem Computer gewährt werden. Windows ermöglicht anonymen Benutzern, bestimmte Aktivitäten auszuführen, z. B. das Aufzählen der Namen von Domänenkonten und Netzwerkfreigaben. Dies ist z. B. praktisch, wenn ein Administrator Benutzern in einer vertrauenswürdigen Domäne, die keine gegenseitige Vertrauensstellung aufrechterhält, Zugriff gewähren möchte. Standardmäßig wird die Sicherheits-ID (Sid) Jeder aus dem Token entfernt, das für anonyme Verbindungen erstellt wurde. Daher gelten berechtigungen, die der Gruppe Jeder gewährt werden, nicht für anonyme Benutzer. Wenn diese Option festgelegt ist, können anonyme Benutzer nur auf die Ressourcen zugreifen, für die dem anonymen Benutzer explizit die Berechtigung erteilt wurde. Wenn diese Richtlinie aktiviert ist, wird dem Token, das für anonyme Verbindungen erstellt wird, die SID jeder hinzugefügt. In diesem Fall können anonyme Benutzer auf jede Ressource zugreifen, für die der Gruppe Jeder Berechtigungen erteilt wurden. Standard: Deaktiviert.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-1] |
| Standardwert | 0 |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Netzwerkzugriff: Die Verwendung von „Jeder“-Berechtigungen für anonyme Benutzer ermöglichen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
NetworkAccess_NamedPipesThatCanBeAccessedAnonymously
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_NamedPipesThatCanBeAccessedAnonymously
Netzwerkzugriff: Named Pipes, auf die anonym zugegriffen werden kann Diese Sicherheitseinstellung bestimmt, welche Kommunikationssitzungen (Pipes) Über Attribute und Berechtigungen verfügen, die anonymen Zugriff zulassen. Standardwert: Keine.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: ,) |
NetworkAccess_RemotelyAccessibleRegistryPaths
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RemotelyAccessibleRegistryPaths
Netzwerkzugriff: Registrierungspfade mit Remotezugriff Diese Sicherheitseinstellung bestimmt, auf welche Registrierungsschlüssel über das Netzwerk zugegriffen werden kann, unabhängig von den Benutzern oder Gruppen, die in der Zugriffssteuerungsliste (Access Control List, ACL) des winreg-Registrierungsschlüssels aufgeführt sind. Standard: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Achtung Wenn Sie die Registrierung falsch bearbeiten, kann ihr System erheblich beschädigt werden. Bevor Sie Änderungen an der Registrierung vornehmen, sollten Sie alle wertigen Daten auf dem Computer sichern.
Hinweis
Diese Sicherheitseinstellung ist in früheren Versionen von Windows nicht verfügbar. Die Sicherheitseinstellung "Netzwerkzugriff: Remote zugängliche Registrierungspfade" auf Computern unter Windows XP entspricht der Sicherheitsoption "Netzwerkzugriff: Remote zugängliche Registrierungspfade und Unterpfade" für Mitglieder der Windows Server 2003-Familie. Weitere Informationen finden Sie unter Netzwerkzugriff: Remotezugriff auf Registrierungspfade und Unterpfade.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: ,) |
NetworkAccess_RemotelyAccessibleRegistryPathsAndSubpaths
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RemotelyAccessibleRegistryPathsAndSubpaths
Netzwerkzugriff: Remotezugriff auf Registrierungspfade und Unterpfade Diese Sicherheitseinstellung bestimmt, auf welche Registrierungspfade und Unterpfade über das Netzwerk zugegriffen werden kann, unabhängig von den Benutzern oder Gruppen, die in der Zugriffssteuerungsliste (Access Control List, ACL) des winreg-Registrierungsschlüssels aufgeführt sind. Standard: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog System\CurrentControlSet\Services\CertSvc System\CurrentControlSet\Services\Wins Vorsicht Eine fehlerhafte Bearbeitung der Registrierung kann Ihr System schwer beschädigen. Bevor Sie Änderungen an der Registrierung vornehmen, sollten Sie alle wertigen Daten auf dem Computer sichern.
Hinweis
Unter Windows XP wurde diese Sicherheitseinstellung als "Netzwerkzugriff: Remote zugängliche Registrierungspfade" bezeichnet. Wenn Sie diese Einstellung für ein Mitglied der Windows Server 2003-Familie konfigurieren, das einer Domäne beigetreten ist, wird diese Einstellung von Computern mit Windows XP geerbt, wird jedoch als Sicherheitsoption "Netzwerkzugriff: Remotezugriff auf Registrierungspfade" angezeigt. Weitere Informationen finden Sie unter Netzwerkzugriff: Remotezugriff auf Registrierungspfade und Unterpfade.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: ,) |
NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares
Netzwerkzugriff: Anonymen Zugriff auf Named Pipes und Freigaben einschränken Wenn diese Sicherheitseinstellung aktiviert ist, beschränkt diese Sicherheitseinstellung den anonymen Zugriff auf Freigaben und Pipes auf die Einstellungen für: Netzwerkzugriff: Named Pipes, auf die anonym zugegriffen werden kann Netzwerkzugriff: Freigaben, auf die anonym zugegriffen werden kann Standard: Aktiviert.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 (Standard) | Aktivieren. |
| 0 | Deaktivieren. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Netzwerkzugriff: Anonymen Zugriff auf Named Pipes und Freigaben einschränken |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM
Netzwerkzugriff: Clients einschränken, die Remoteaufrufe an SAM durchführen dürfen Mit dieser Richtlinieneinstellung können Sie RPC-Remoteverbindungen auf SAM einschränken. Wenn diese Option nicht ausgewählt ist, wird der Standardsicherheitsdeskriptor verwendet. Diese Richtlinie wird auf mindestens Windows Server 2016 unterstützt.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Netzwerkzugriff: Clients einschränken, die Remoteaufrufe an SAM ausführen dürfen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
NetworkAccess_SharesThatCanBeAccessedAnonymously
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_SharesThatCanBeAccessedAnonymously
Netzwerkzugriff: Freigaben, auf die anonym zugegriffen werden kann Diese Sicherheitseinstellung bestimmt, auf welche Netzwerkfreigaben anonyme Benutzer zugreifen können. Standardwert: Keine angegeben.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: ,) |
NetworkAccess_SharingAndSecurityModelForLocalAccounts
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_SharingAndSecurityModelForLocalAccounts
Netzwerkzugriff: Freigabe- und Sicherheitsmodell für lokale Konten Diese Sicherheitseinstellung bestimmt, wie Netzwerkanmeldungen, die lokale Konten verwenden, authentifiziert werden. Wenn diese Einstellung auf Klassisch festgelegt ist, authentifizieren sich Netzwerkanmeldungen, die anmeldeinformationen für lokale Konten verwenden, mithilfe dieser Anmeldeinformationen. Das klassische Modell ermöglicht eine präzise Kontrolle über den Zugriff auf Ressourcen. Mithilfe des klassischen Modells können Sie verschiedenen Benutzern unterschiedliche Zugriffstypen für dieselbe Ressource gewähren. Wenn diese Einstellung auf Nur Gast festgelegt ist, werden Netzwerkanmeldungen, die lokale Konten verwenden, automatisch dem Gastkonto zugeordnet. Mit dem Gastmodell können Sie alle Benutzer gleich behandeln lassen. Alle Benutzer authentifizieren sich als Gast, und sie erhalten alle die gleiche Zugriffsebene auf eine bestimmte Ressource, die entweder schreibgeschützt oder Ändern sein kann. Standard auf Domänencomputern: Klassisch. Standard auf eigenständigen Computern: Nur Gast wichtig Mit dem Nur-Gast-Modell kann jeder Benutzer, der über das Netzwerk auf Ihren Computer zugreifen kann (einschließlich anonymer Internetbenutzer), auf Ihre freigegebenen Ressourcen zugreifen. Sie müssen die Windows-Firewall oder ein ähnliches Gerät verwenden, um Ihren Computer vor nicht autorisiertem Zugriff zu schützen. Analog dazu müssen beim klassischen Modell lokale Konten kennwortsicher sein. Andernfalls können diese Benutzerkonten von jedem für den Zugriff auf freigegebene Systemressourcen verwendet werden.
Hinweis
Diese Einstellung wirkt sich nicht auf interaktive Anmeldungen aus, die remote mithilfe von Diensten wie Telnet oder Remotedesktopdiensten ausgeführt werden. Remotedesktopdienste wurden in früheren Versionen von Windows Server als Terminaldienste bezeichnet. Diese Richtlinie hat keine Auswirkungen auf Computer, auf denen Windows 2000 ausgeführt wird. Wenn der Computer nicht mit einer Domäne verknüpft ist, ändert diese Einstellung auch die Registerkarten Freigabe und Sicherheit in Explorer entsprechend dem verwendeten Freigabe- und Sicherheitsmodell.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-1] |
| Standardwert | 0 |
NetworkSecurity_AllowLocalSystemNULLSessionFallback
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemNULLSessionFallback
Netzwerksicherheit: LocalSystem NULL-Sitzungsfallback zulassen Ntlm kann bei Verwendung mit LocalSystem auf EINE NULL-Sitzung zurückfallen. Der Standardwert ist TRUE bis Windows Vista und FALSE in Windows 7.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-1] |
| Standardwert | 1 |
NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM
Netzwerksicherheit: Lokales System die Verwendung der Computeridentität für NTLM zulassen Diese Richtlinieneinstellung ermöglicht lokalen Systemdiensten, die Negotiate verwenden, die Computeridentität beim Wiederherstellen der NTLM-Authentifizierung zu verwenden.
Wenn Sie diese Richtlinieneinstellung aktivieren, verwenden Dienste, die als lokales System ausgeführt werden und Negotiate verwenden, die Computeridentität. Dies kann dazu führen, dass einige Authentifizierungsanforderungen zwischen Windows-Betriebssystemen fehlschlagen und einen Fehler protokollieren.
Wenn Sie diese Richtlinieneinstellung deaktivieren, werden Dienste, die als lokales System ausgeführt werden und bei der Wiederherstellung der NTLM-Authentifizierung Aushandlung verwenden, anonym authentifiziert. Standardmäßig ist diese Richtlinie unter Windows 7 und höher aktiviert. Diese Richtlinie ist unter Windows Vista standardmäßig deaktiviert. Diese Richtlinie wird mindestens unter Windows Vista oder Windows Server 2008 unterstützt.
Hinweis
Windows Vista oder Windows Server 2008 machen diese Einstellung nicht in Gruppenrichtlinie verfügbar.
- Wenn ein Dienst eine Verbindung mit der Geräteidentität herstellt, werden Signierung und Verschlüsselung unterstützt, um Datenschutz zu gewährleisten.
- Wenn ein Dienst eine anonyme Verbindung herstellt, wird ein vom System generierter Sitzungsschlüssel erstellt, der keinen Schutz bietet, aber Anwendungen ermöglicht, Daten ohne Fehler zu signieren und zu verschlüsseln. Bei der anonymen Authentifizierung wird eine NULL-Sitzung verwendet. Dabei handelt es sich um eine Sitzung mit einem Server, bei dem keine Benutzerauthentifizierung durchgeführt wird. daher ist anonymer Zugriff zulässig.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 (Standard) | Zulassen |
| 0 | Blockieren. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Netzwerksicherheit: Lokalem System die Verwendung der Computeridentität für NTLM erlauben |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
NetworkSecurity_AllowPKU2UAuthenticationRequests
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowPKU2UAuthenticationRequests
Netzwerksicherheit: Erlauben Sie PKU2U-Authentifizierungsanforderungen an diesen Computer, Onlineidentitäten zu verwenden. Diese Richtlinie wird auf in die Domäne eingebundenen Computern standardmäßig deaktiviert. Dies würde verhindern, dass Sich Onlineidentitäten auf dem in die Domäne eingebundenen Computer authentifizieren.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Blockieren. |
| 1 (Standard) | Zulassen |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Netzwerksicherheit: Erlauben Sie PKU2U-Authentifizierungsanforderungen an diesen Computer, Onlineidentitäten zu verwenden. |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange
Hinweis
Diese Richtlinie ist veraltet und kann in einer zukünftigen Version entfernt werden.
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange
Netzwerksicherheit: Lan-Manager-Hashwert bei nächster Kennwortänderung nicht speichern Diese Sicherheitseinstellung bestimmt, ob bei der nächsten Kennwortänderung der LAN-Manager-Hashwert (LM) für das neue Kennwort gespeichert wird. Der LM-Hash ist im Vergleich zum kryptografisch stärkeren Windows NT-Hash relativ schwach und anfällig für Angriffe. Da der LM-Hash auf dem lokalen Computer in der Sicherheitsdatenbank gespeichert ist, können die Kennwörter kompromittiert werden, wenn die Sicherheitsdatenbank angegriffen wird. Standard unter Windows Vista und höher: Standard unter Windows XP aktiviert: Deaktiviert.
Wichtig
Windows 2000 Service Pack 2 (SP2) und höher bieten Kompatibilität mit der Authentifizierung mit früheren Versionen von Windows, z. B. Microsoft Windows NT 4.0. Diese Einstellung kann sich auf die Fähigkeit von Computern mit Windows 2000 Server, Windows 2000 Professional, Windows XP und der Windows Server 2003-Familie auswirken, mit Computern unter Windows 95 und Windows 98 zu kommunizieren.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 (Standard) | Aktivieren. |
| 0 | Deaktivieren. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Netzwerksicherheit: Speichern Sie den LAN Manager-Hashwert bei der nächsten Kennwortänderung nicht. |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
NetworkSecurity_ForceLogoffWhenLogonHoursExpire
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_ForceLogoffWhenLogonHoursExpire
Netzwerksicherheit: Abmeldung bei Ablauf der Anmeldezeiten erzwingen Diese Sicherheitseinstellung bestimmt, ob Benutzer, die außerhalb der gültigen Anmeldezeiten ihres Benutzerkontos mit dem lokalen Computer verbunden sind, getrennt werden sollen. Diese Einstellung wirkt sich auf die SMB-Komponente (Server Message Block) aus. Wenn diese Richtlinie aktiviert ist, werden Clientsitzungen mit dem SMB-Server erzwungen getrennt, wenn die Anmeldezeiten des Clients ablaufen. Wenn diese Richtlinie deaktiviert ist, kann eine eingerichtete Clientsitzung nach Ablauf der Anmeldestunden des Clients beibehalten werden. Standard: Aktiviert.
Hinweis
Diese Sicherheitseinstellung verhält sich wie eine Kontorichtlinie. Für Domänenkonten kann es nur eine Kontorichtlinie geben. Die Kontorichtlinie muss in der Standarddomänenrichtlinie definiert werden und wird von den Domänencontrollern erzwungen, aus denen die Domäne besteht. Ein Domänencontroller ruft die Kontorichtlinie immer aus dem Standarddomänenrichtlinien-Gruppenrichtlinie-Objekt (GPO) ab, auch wenn eine andere Kontorichtlinie auf die Organisationseinheit angewendet wird, die den Domänencontroller enthält. Arbeitsstationen und Server, die einer Domäne beigetreten sind (z. B. Mitgliedscomputer), erhalten standardmäßig auch die gleiche Kontorichtlinie für ihre lokalen Konten. Lokale Kontorichtlinien für Mitgliedscomputer können sich jedoch von der Domänenkontorichtlinie unterscheiden, indem sie eine Kontorichtlinie für die Organisationseinheit definieren, die die Mitgliedscomputer enthält. Kerberos-Einstellungen werden nicht auf Mitgliedscomputer angewendet.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 (Standard) | Aktivieren. |
| 0 | Deaktivieren. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
NetworkSecurity_LANManagerAuthenticationLevel
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_LANManagerAuthenticationLevel
Netzwerksicherheit LAN Manager-Authentifizierungsebene Diese Sicherheitseinstellung bestimmt, welches Challenge/Response-Authentifizierungsprotokoll für Netzwerkanmeldungen verwendet wird. Diese Auswahl wirkt sich auf die Ebene des von Clients verwendeten Authentifizierungsprotokolls, die ausgehandelte Sitzungssicherheit und die von Servern akzeptierte Authentifizierungsebene wie folgt aus: Senden von LM- und NTLM-Antworten: Clients verwenden LM- und NTLM-Authentifizierung und verwenden niemals NTLMv2-Sitzungssicherheit; Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung. LM und NTLM senden: Verwenden Sie die NTLMv2-Sitzungssicherheit, falls ausgehandelt: Clients verwenden LM- und NTLM-Authentifizierung und NTLMv2-Sitzungssicherheit, wenn der Server sie unterstützt; Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung. Nur NTLM-Antwort senden: Clients verwenden nur die NTLM-Authentifizierung und die NTLMv2-Sitzungssicherheit, wenn der Server sie unterstützt. Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung. Nur NTLMv2-Antwort senden: Clients verwenden nur die NTLMv2-Authentifizierung und die NTLMv2-Sitzungssicherheit, wenn der Server sie unterstützt. Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung. Nur NTLMv2-Antwort senden\LM ablehnen: Clients verwenden nur die NTLMv2-Authentifizierung und die NTLMv2-Sitzungssicherheit, wenn der Server dies unterstützt; Domänencontroller lehnen LM ab (akzeptieren nur DIE NTLM- und NTLMv2-Authentifizierung). Nur NTLMv2-Antwort senden\LM und NTLM ablehnen: Clients verwenden nur die NTLMv2-Authentifizierung und verwenden die NTLMv2-Sitzungssicherheit, wenn der Server sie unterstützt; Domänencontroller lehnen LM und NTLM ab (nur NTLMv2-Authentifizierung akzeptieren).
Wichtig
Diese Einstellung kann sich darauf auswirken, dass Computer mit Windows 2000 Server, Windows 2000 Professional, Windows XP Professional und der Windows Server 2003-Familie über das Netzwerk mit Computern unter Windows NT 4.0 und früher kommunizieren können. Zum Zeitpunkt dieses Schreibens haben Computer, auf denen Windows NT 4.0 SP4 und früher ausgeführt wird, z. B. NTLMv2 nicht unterstützt. Computer mit Windows 95 und Windows 98 haben NTLM nicht unterstützt. Standard: Windows 2000 und Windows XP: Lm- und NTLM-Antworten senden Windows Server 2003: Nur NTLM-Antwort senden Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2: Nur NTLMv2-Antwort senden.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 3 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Senden von LM- und NTLM-Antworten. |
| 1 | Senden Sie lm- und NTLM-use NTLMv2-Sitzungssicherheit, falls ausgehandelt. |
| 2 | Nur LM- und NTLM-Antworten senden. |
| 3 (Standard) | Nur LM- und NTLMv2-Antworten senden. |
| 4 | Nur LM- und NTLMv2-Antworten senden. Lm ablehnen. |
| 5 | Nur LM- und NTLMv2-Antworten senden. Lm und NTLM ablehnen. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Netzwerksicherheit: LAN Manager-Authentifizierungsebene |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
NetworkSecurity_LDAPClientSigningRequirements
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_LDAPClientSigningRequirements
Netzwerksicherheit: Anforderungen an die LDAP-Clientsignatur Diese Sicherheitseinstellung bestimmt die Ebene der Datensignatur, die im Auftrag von Clients angefordert wird, die LDAP-BIND-Anforderungen ausgeben, wie folgt: Keine: Die LDAP BIND-Anforderung wird mit den vom Aufrufer angegebenen Optionen ausgestellt. Signierung aushandeln: Wenn Transport Layer Security/Secure Sockets Layer (TLS\SSL) nicht gestartet wurde, wird die LDAP BIND-Anforderung mit der option LDAP-Datensignatur initiiert, die zusätzlich zu den vom Aufrufer angegebenen Optionen festgelegt wurde. Wenn TLS\SSL gestartet wurde, wird die LDAP-BIND-Anforderung mit den vom Aufrufer angegebenen Optionen initiiert. Signatur erforderlich: Dies entspricht der Aushandlungssignatur. Wenn die zwischengeschaltete saslBindInProgress-Antwort des LDAP-Servers jedoch nicht anzeigt, dass die Signierung des LDAP-Datenverkehrs erforderlich ist, wird dem Aufrufer mitgeteilt, dass bei der LDAP BIND-Befehlsanforderung ein Fehler aufgetreten ist.
Achtung
Wenn Sie den Server auf Signatur erforderlich festlegen, müssen Sie auch den Client festlegen. Wenn der Client nicht festgelegt wird, geht die Verbindung mit dem Server verloren.
Hinweis
Diese Einstellung hat keine Auswirkungen auf ldap_simple_bind oder ldap_simple_bind_s. Keine mit Windows XP Professional ausgelieferten Microsoft LDAP-Clients verwenden ldap_simple_bind oder ldap_simple_bind_s, um mit einem Domänencontroller zu kommunizieren. Standard: Signierung aushandeln.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-2] |
| Standardwert | 1 |
NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients
Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschließlich sicherer RPC-Clients) Diese Sicherheitseinstellung ermöglicht es einem Client, die Aushandlung der 128-Bit-Verschlüsselung und/oder NTLMv2-Sitzungssicherheit zu erfordern. Diese Werte sind abhängig vom Wert der Sicherheitseinstellung lan-Manager-Authentifizierungsebene. Die Optionen sind: NTLMv2-Sitzungssicherheit erforderlich: Die Verbindung schlägt fehl, wenn das NTLMv2-Protokoll nicht ausgehandelt wird. 128-Bit-Verschlüsselung erforderlich: Die Verbindung schlägt fehl, wenn keine starke Verschlüsselung (128-Bit) ausgehandelt wird. Standard: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 und Windows Server 2008: Keine Anforderungen. Windows 7 und Windows Server 2008 R2: 128-Bit-Verschlüsselung erforderlich.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 536870912 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Keine |
| 524288 | NtLMv2-Sitzungssicherheit erforderlich. |
| 536870912 (Standard) | 128-Bit-Verschlüsselung erforderlich. |
| 537395200 | NtLM und 128-Bit-Verschlüsselung erforderlich. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschließlich sicherer RPC-Clients) |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers
Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Server (einschließlich sicherer RPC-Server) Diese Sicherheitseinstellung ermöglicht es einem Server, die Aushandlung der 128-Bit-Verschlüsselung und/oder NTLMv2-Sitzungssicherheit zu erfordern. Diese Werte sind abhängig vom Wert der Sicherheitseinstellung lan-Manager-Authentifizierungsebene. Die Optionen sind: NTLMv2-Sitzungssicherheit erforderlich: Die Verbindung schlägt fehl, wenn die Nachrichtenintegrität nicht ausgehandelt wird. 128-Bit-Verschlüsselung erforderlich. Die Verbindung schlägt fehl, wenn keine starke Verschlüsselung (128-Bit) ausgehandelt wird. Standard: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 und Windows Server 2008: Keine Anforderungen. Windows 7 und Windows Server 2008 R2: 128-Bit-Verschlüsselung erforderlich.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 536870912 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Keine |
| 524288 | NtLMv2-Sitzungssicherheit erforderlich. |
| 536870912 (Standard) | 128-Bit-Verschlüsselung erforderlich. |
| 537395200 | NtLM und 128-Bit-Verschlüsselung erforderlich. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Server (einschließlich sicherer RPC-Server) |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
NetworkSecurity_RestrictNTLM_AddRemoteServerExceptionsForNTLMAuthentication
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AddRemoteServerExceptionsForNTLMAuthentication
Netzwerksicherheit: NTLM einschränken: Remoteserverausnahmen für NTLM-Authentifizierung hinzufügen Mit dieser Richtlinieneinstellung können Sie eine Ausnahmeliste von Remoteservern erstellen, für die Clients die NTLM-Authentifizierung verwenden dürfen, wenn die Richtlinieneinstellung "Netzwerksicherheit: NtLM einschränken: Ausgehender NTLM-Datenverkehr an Remoteserver" konfiguriert ist.
Wenn Sie diese Richtlinieneinstellung konfigurieren, können Sie eine Liste von Remoteservern definieren, für die Clients die NTLM-Authentifizierung verwenden dürfen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden keine Ausnahmen angewendet. Das Benennungsformat für Server in dieser Ausnahmeliste ist der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) oder der NetBIOS-Servername, der von der Anwendung verwendet wird und eins pro Zeile aufgeführt ist. Um sicherzustellen, dass ausnahmen, die von allen Anwendungen verwendet werden, in der Liste enthalten sein müssen, und um sicherzustellen, dass eine Ausnahme korrekt ist, sollte der Servername in beiden Benennungsformaten aufgeführt werden. Ein einzelnes Sternchen (*) kann an einer beliebigen Stelle in der Zeichenfolge als Platzhalterzeichen verwendet werden.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Netzwerksicherheit: Beschränken von NTLM: Remoteserverausnahmen für die NTLM-Authentifizierung hinzufügen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
NetworkSecurity_RestrictNTLM_AuditIncomingNTLMTraffic
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AuditIncomingNTLMTraffic
Netzwerksicherheit: NTLM einschränken: Eingehenden NTLM-Datenverkehr überwachen Mit dieser Richtlinieneinstellung können Sie eingehenden NTLM-Datenverkehr überwachen. Wenn Sie "Deaktivieren" auswählen oder diese Richtlinieneinstellung nicht konfigurieren, protokolliert der Server keine Ereignisse für eingehenden NTLM-Datenverkehr. Wenn Sie "Überwachung für Domänenkonten aktivieren" auswählen, protokolliert der Server Ereignisse für NTLM-Passthrough-Authentifizierungsanforderungen, die blockiert würden, wenn die Richtlinieneinstellung "Netzwerksicherheit: NTLM: Eingehender NTLM-Datenverkehr einschränken" auf die Option "Alle Domänenkonten verweigern" festgelegt ist. Wenn Sie "Überwachung für alle Konten aktivieren" auswählen, protokolliert der Server Ereignisse für alle NTLM-Authentifizierungsanforderungen, die blockiert würden, wenn die Richtlinieneinstellung "Netzwerksicherheit: NTLM:Eingehender NTLM-Datenverkehr einschränken" auf die Option "Alle Konten verweigern" festgelegt ist. Diese Richtlinie wird mindestens unter Windows 7 oder Windows Server 2008 R2 unterstützt.
Hinweis
Überwachungsereignisse werden auf diesem Computer im "Betriebsprotokoll" im Anwendungs- und Dienstprotokoll/Microsoft/Windows/NTLM aufgezeichnet.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Deaktivieren. |
| 1 | Aktivieren Sie die Überwachung für Domänenkonten. |
| 2 | Aktivieren Sie die Überwachung für alle Konten. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Netzwerksicherheit: NTLM einschränken: Eingehenden NTLM-Datenverkehr überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
NetworkSecurity_RestrictNTLM_IncomingNTLMTraffic
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_IncomingNTLMTraffic
Netzwerksicherheit: NTLM einschränken: Eingehender NTLM-Datenverkehr Mit dieser Richtlinieneinstellung können Sie eingehenden NTLM-Datenverkehr verweigern oder zulassen. Wenn Sie "Alle zulassen" auswählen oder diese Richtlinieneinstellung nicht konfigurieren, lässt der Server alle NTLM-Authentifizierungsanforderungen zu. Wenn Sie "Alle Domänenkonten verweigern" auswählen, verweigert der Server NTLM-Authentifizierungsanforderungen für die Domänenanmeldung und zeigt einen NTLM-blockierten Fehler an, lässt aber die Anmeldung des lokalen Kontos zu. Wenn Sie "Alle Konten verweigern" auswählen, verweigert der Server NTLM-Authentifizierungsanforderungen von eingehendem Datenverkehr und zeigt einen NTLM-blockierten Fehler an. Diese Richtlinie wird mindestens unter Windows 7 oder Windows Server 2008 R2 unterstützt.
Hinweis
Blockereignisse werden auf diesem Computer im "Betriebsprotokoll" im Anwendungs- und Dienstprotokoll/Microsoft/Windows/NTLM aufgezeichnet.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Alle zulassen. |
| 1 | Alle Domänenkonten verweigern. |
| 2 | Alle Konten verweigern. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
NetworkSecurity_RestrictNTLM_OutgoingNTLMTrafficToRemoteServers
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_OutgoingNTLMTrafficToRemoteServers
Netzwerksicherheit: NTLM einschränken: Ausgehender NTLM-Datenverkehr an Remoteserver Mit dieser Richtlinieneinstellung können Sie ausgehenden NTLM-Datenverkehr von diesem Windows 7- oder windows Server 2008 R2-Computer zu einem beliebigen Windows-Remoteserver verweigern oder überwachen. Wenn Sie "Alle zulassen" auswählen oder diese Richtlinieneinstellung nicht konfigurieren, kann der Clientcomputer Identitäten bei einem Remoteserver mithilfe der NTLM-Authentifizierung authentifizieren. Wenn Sie "Alle überwachen" auswählen, protokolliert der Clientcomputer ein Ereignis für jede NTLM-Authentifizierungsanforderung an einen Remoteserver. Auf diese Weise können Sie die Server identifizieren, die NTLM-Authentifizierungsanforderungen vom Clientcomputer empfangen. Wenn Sie "Alle verweigern" auswählen, kann der Clientcomputer Identitäten bei einem Remoteserver nicht mithilfe der NTLM-Authentifizierung authentifizieren. Sie können die Richtlinieneinstellung "Netzwerksicherheit: NTLM einschränken: Remoteserverausnahmen für NTLM-Authentifizierung hinzufügen" verwenden, um eine Liste der Remoteserver zu definieren, für die Clients die NTLM-Authentifizierung verwenden dürfen. Diese Richtlinie wird mindestens unter Windows 7 oder Windows Server 2008 R2 unterstützt.
Hinweis
Überwachungs- und Blockereignisse werden auf diesem Computer im "Betriebsprotokoll" unter Dem Anwendungs- und Dienstprotokoll/Microsoft/Windows/NTLM aufgezeichnet.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Alle zulassen. |
| 1 | Alle Domänenkonten verweigern. |
| 2 | Alle Konten verweigern. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Netzwerksicherheit: Beschränken von NTLM: Ausgehender NTLM-Datenverkehr zu Remoteservern |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
RecoveryConsole_AllowAutomaticAdministrativeLogon
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/RecoveryConsole_AllowAutomaticAdministrativeLogon
Wiederherstellungskonsole: Automatische administrative Anmeldung zulassen Diese Sicherheitseinstellung bestimmt, ob das Kennwort für das Administratorkonto angegeben werden muss, bevor der Zugriff auf das System gewährt wird. Wenn diese Option aktiviert ist, müssen Sie in der Wiederherstellungskonsole kein Kennwort angeben, und sie meldet sich automatisch beim System an. Standard: Diese Richtlinie ist nicht definiert, und die automatische administrative Anmeldung ist nicht zulässig.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-1] |
| Standardwert | 0 |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Wiederherstellungskonsole: Automatische administrative Anmeldungen zulassen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
RecoveryConsole_AllowFloppyCopyAndAccessToAllDrivesAndAllFolders
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/RecoveryConsole_AllowFloppyCopyAndAccessToAllDrivesAndAllFolders
Wiederherstellungskonsole: Diskettenkopie und Zugriff auf alle Laufwerke und alle Ordner zulassen Wenn Sie diese Sicherheitsoption aktivieren, wird der SET-Befehl der Wiederherstellungskonsole verfügbar, mit dem Sie die folgenden Umgebungsvariablen der Wiederherstellungskonsole festlegen können: AllowWildCards: Aktivieren der Unterstützung von Wildcards für einige Befehle (z. B. del-Befehl). AllowAllPaths: Erlauben Sie den Zugriff auf alle Dateien und Ordner auf dem Computer. AllowRemovableMedia: Ermöglicht das Kopieren von Dateien auf Wechselmedien, z. B. auf eine Diskette. NoCopyPrompt: Keine Aufforderung beim Überschreiben einer vorhandenen Datei. Standard: Diese Richtlinie ist nicht definiert, und der SET-Befehl der Wiederherstellungskonsole ist nicht verfügbar.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-1] |
| Standardwert | 0 |
Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn
Herunterfahren: System wird heruntergefahren, ohne sich anmelden zu müssen Diese Sicherheitseinstellung bestimmt, ob ein Computer heruntergefahren werden kann, ohne sich bei Windows anmelden zu müssen. Wenn diese Richtlinie aktiviert ist, ist der Befehl Herunterfahren auf dem Windows-Anmeldebildschirm verfügbar. Wenn diese Richtlinie deaktiviert ist, wird die Option zum Herunterfahren des Computers nicht auf dem Windows-Anmeldebildschirm angezeigt. In diesem Fall müssen sich Benutzer erfolgreich am Computer anmelden können und den Systembenutzer direkt herunterfahren lassen, bevor sie das System herunterfahren können. Standard auf Arbeitsstationen: Aktiviert. Standard auf Servern: Deaktiviert.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Deaktiviert. |
| 1 (Standard) | Aktiviert (System kann heruntergefahren werden, ohne sich anmelden zu müssen). |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Herunterfahren: Herunterfahren des Systems ohne Anmeldung zulassen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
Shutdown_ClearVirtualMemoryPageFile
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Shutdown_ClearVirtualMemoryPageFile
Herunterfahren: Auslagerungsdatei des virtuellen Speichers löschen Diese Sicherheitseinstellung bestimmt, ob die Auslagerungsdatei des virtuellen Speichers beim Herunterfahren des Systems gelöscht wird. Die Unterstützung des virtuellen Speichers verwendet eine System-Auslagerungsdatei, um Seiten des Arbeitsspeichers auf einen Datenträger zu tauschen, wenn sie nicht verwendet werden. Auf einem ausgeführten System wird diese Auslagerungsdatei ausschließlich vom Betriebssystem geöffnet und ist gut geschützt. Systeme, die für das Starten mit anderen Betriebssystemen konfiguriert sind, müssen jedoch möglicherweise sicherstellen, dass die Systemseitendatei sauber zurückgesetzt wird, wenn dieses System heruntergefahren wird. Dadurch wird sichergestellt, dass vertrauliche Informationen aus dem Prozessspeicher, die möglicherweise in die Auslagerungsdatei gelangen, für nicht autorisierte Benutzer, die direkt auf die Auslagerungsdatei zugreifen können, nicht verfügbar sind. Wenn diese Richtlinie aktiviert ist, wird die Auslagerungsdatei des Systems beim Herunterfahren sauber gelöscht. Wenn Sie diese Sicherheitsoption aktivieren, wird auch die Ruhezustandsdatei (hiberfil.sys) auf null gesetzt, wenn der Ruhezustand deaktiviert ist. Standard: Deaktiviert.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Aktivieren. |
| 0 (Standard) | Deaktivieren. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Herunterfahren: Auslagerungsdatei des virtuellen Arbeitsspeichers löschen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
SystemCryptography_ForceStrongKeyProtection
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemCryptography_ForceStrongKeyProtection
Systemkryptografie: Erzwingen eines starken Schlüsselschutzes für Benutzerschlüssel, die auf dem Computer gespeichert sind. Diese Sicherheitseinstellung bestimmt, ob für die privaten Schlüssel der Benutzer ein Kennwort verwendet werden muss. Die Optionen sind: Benutzereingabe ist nicht erforderlich, wenn neue Schlüssel gespeichert und verwendet werden Der Benutzer wird bei der ersten Verwendung des Schlüssels aufgefordert Benutzer muss bei jeder Verwendung eines Schlüssels ein Kennwort eingeben. Weitere Informationen finden Sie unter Public Key-Infrastruktur. Standard: Diese Richtlinie ist nicht definiert.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-2] |
| Standardwert | 0 |
SystemObjects_RequireCaseInsensitivityForNonWindowsSubsystems
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemObjects_RequireCaseInsensitivityForNonWindowsSubsystems
Systemobjekte: Berücksichtigung der Groß-/Kleinschreibung für Nicht-Windows-Subsysteme erforderlich Diese Sicherheitseinstellung bestimmt, ob die Groß-/Kleinschreibung für alle Subsysteme erzwungen wird. Beim Win32-Subsystem wird die Groß-/Kleinschreibung nicht beachtet. Der Kernel unterstützt jedoch die Groß-/Kleinschreibung für andere Subsysteme, z. B. POSIX. Wenn diese Einstellung aktiviert ist, wird die Groß-/Kleinschreibung für alle Verzeichnisobjekte, symbolischen Verknüpfungen und E/A-Objekte, einschließlich Dateiobjekten, erzwungen. Das Deaktivieren dieser Einstellung lässt nicht zu, dass beim Win32-Subsystem die Groß-/Kleinschreibung beachtet wird. Standard: Aktiviert.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-1] |
| Standardwert | 1 |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Systemobjekte: Groß- und Kleinschreibung für Nicht-Windows-Subsysteme ignorieren |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
SystemObjects_StrengthenDefaultPermissionsOfInternalSystemObjects
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemObjects_StrengthenDefaultPermissionsOfInternalSystemObjects
Systemobjekte: Stärken der Standardberechtigungen interner Systemobjekte (z. B. symbolische Verknüpfungen) Diese Sicherheitseinstellung bestimmt die Stärke der standardmäßigen daCL (Discretionary Access Control List) für Objekte. Active Directory verwaltet eine globale Liste freigegebener Systemressourcen, z. B. DOS-Gerätenamen, Mutexe und Semaphore. Auf diese Weise können Objekte gefunden und von Prozessen gemeinsam genutzt werden. Jeder Objekttyp wird mit einer Standard-DACL erstellt, die angibt, wer auf die Objekte zugreifen kann und welche Berechtigungen erteilt werden. Wenn diese Richtlinie aktiviert ist, ist die Standard-DACL stärker, sodass Benutzer, die keine Administratoren sind, freigegebene Objekte lesen können, aber nicht zulassen, dass diese Benutzer freigegebene Objekte ändern können, die sie nicht erstellt haben. Standard: Aktiviert.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-1] |
| Standardwert | 1 |
UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
Benutzerkontensteuerung: Zulassen, dass UIAccess-Anwendungen die Rechteerweiterung auffordern, ohne den sicheren Desktop zu verwenden. Diese Richtlinieneinstellung steuert, ob Benutzeroberflächen-Barrierefreiheitsprogramme (UIAccess oder UIA) den sicheren Desktop für Von einem Standardbenutzer verwendete Eingabeaufforderungen zur Erhöhung automatisch deaktivieren können. – Aktiviert: UIA-Programme, einschließlich Windows-Remoteunterstützung, deaktivieren automatisch den sicheren Desktop für Eingabeaufforderungen zur Erhöhung. Wenn Sie die Richtlinieneinstellung "Benutzerkontensteuerung: Wechseln zum sicheren Desktop bei Aufforderung zur Erhöhung" nicht deaktivieren, werden die Eingabeaufforderungen auf dem Desktop des interaktiven Benutzers anstelle des sicheren Desktops angezeigt. – Deaktiviert: (Standard) Der sichere Desktop kann nur durch den Benutzer des interaktiven Desktops oder durch Deaktivieren der Richtlinieneinstellung "Benutzerkontensteuerung: Wechseln zum sicheren Desktop bei Aufforderung zur Erhöhung" deaktiviert werden.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Deaktiviert. |
| 1 | Aktiviert (UIAccess-Anwendungen können rechte Rechte einfordern, ohne den sicheren Desktop zu verwenden). |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Benutzerkontensteuerung: UIAccess-Anwendungen können erhöhte Rechte ohne sicheren Desktop anfordern |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für Rechteerweiterungen für Administratoren im Admin Genehmigungsmodus Diese Richtlinieneinstellung steuert das Verhalten der Eingabeaufforderung für Erhöhte Rechte für Administratoren. Die Optionen sind: - Erhöhen ohne Aufforderung: Ermöglicht privilegierten Konten das Ausführen eines Vorgangs, der Rechteerweiterungen erfordert, ohne dass zustimmungs- oder anmeldeinformationen erforderlich sind.
Hinweis
Verwenden Sie diese Option nur in den umgebungen mit den meisten Einschränkungen. – Aufforderung zur Eingabe von Anmeldeinformationen auf dem sicheren Desktop: Wenn für einen Vorgang rechteerweiterungen erforderlich sind, wird der Benutzer auf dem sicheren Desktop aufgefordert, einen privilegierten Benutzernamen und ein Kennwort einzugeben. Wenn der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit der höchsten verfügbaren Berechtigung des Benutzers fortgesetzt. - Aufforderung zur Zustimmung auf dem sicheren Desktop: Wenn ein Vorgang rechteerweiterungen erfordert, wird der Benutzer auf dem sicheren Desktop aufgefordert, entweder Zulassen oder Verweigern auszuwählen. Wenn der Benutzer Zulassen auswählt, wird der Vorgang mit der höchsten verfügbaren Berechtigung des Benutzers fortgesetzt. – Aufforderung zur Eingabe von Anmeldeinformationen: Wenn für einen Vorgang rechteerweiterungen erforderlich sind, wird der Benutzer aufgefordert, einen Administratorbenutzernamen und ein Kennwort einzugeben. Wenn der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit der entsprechenden Berechtigung fortgesetzt. - Aufforderung zur Zustimmung: Wenn für einen Vorgang rechteerweiterungen erforderlich sind, wird der Benutzer aufgefordert, entweder Zulassen oder Verweigern auszuwählen. Wenn der Benutzer Zulassen auswählt, wird der Vorgang mit der höchsten verfügbaren Berechtigung des Benutzers fortgesetzt. - Aufforderung zur Zustimmung für Nicht-Windows-Binärdateien: (Standard) Wenn ein Vorgang für eine Nicht-Microsoft-Anwendung rechteerweiterungen erfordert, wird der Benutzer auf dem sicheren Desktop aufgefordert, entweder Zulassen oder Verweigern auszuwählen. Wenn der Benutzer Zulassen auswählt, wird der Vorgang mit der höchsten verfügbaren Berechtigung des Benutzers fortgesetzt.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 5 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Erhöhen Sie die Rechte ohne Aufforderung. |
| 1 | Aufforderung zur Eingabe von Anmeldeinformationen auf dem sicheren Desktop. |
| 2 | Aufforderung zur Zustimmung auf dem sicheren Desktop. |
| 3 | Zur Eingabe von Anmeldeinformationen auffordern. |
| 4 | Aufforderung zur Zustimmung. |
| 5 (Standard) | Aufforderung zur Zustimmung für Nicht-Windows-Binärdateien. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorbestätigungsmodus |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
UserAccountControl_BehaviorOfTheElevationPromptForEnhancedAdministrators
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForEnhancedAdministrators
Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für Erhöhte Rechte für Administratoren, die mit erweitertem Berechtigungsschutz ausgeführt werden. Diese Richtlinieneinstellung steuert das Verhalten der Eingabeaufforderung für Rechteerweiterungen für Administratoren. Die Optionen lauten: – Aufforderung zur Eingabe von Anmeldeinformationen auf dem sicheren Desktop: Wenn für einen Vorgang rechteerweiterungen erforderlich sind, wird der Benutzer auf dem sicheren Desktop aufgefordert, einen privilegierten Benutzernamen und ein Kennwort einzugeben. Wenn der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit der höchsten verfügbaren Berechtigung des Benutzers fortgesetzt. - Aufforderung zur Zustimmung auf dem sicheren Desktop: Wenn ein Vorgang rechteerweiterungen erfordert, wird der Benutzer auf dem sicheren Desktop aufgefordert, entweder Zulassen oder Verweigern auszuwählen. Wenn der Benutzer Zulassen auswählt, wird der Vorgang mit der höchsten verfügbaren Berechtigung des Benutzers fortgesetzt.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 2 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Aufforderung zur Eingabe von Anmeldeinformationen auf dem sicheren Desktop. |
| 2 (Standard) | Aufforderung zur Zustimmung auf dem sicheren Desktop. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für Erhöhte Rechte für Administratoren, die mit erweitertem Berechtigungsschutz ausgeführt werden |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für Erhöhte Rechte für Standardbenutzer Diese Richtlinieneinstellung steuert das Verhalten der Eingabeaufforderung zur Erhöhung für Standardbenutzer. Die Optionen lauten: – Aufforderung zur Eingabe von Anmeldeinformationen: (Standard) Wenn für einen Vorgang rechteerweiterungen erforderlich sind, wird der Benutzer aufgefordert, einen Administratorbenutzernamen und ein Administratorkennwort einzugeben. Wenn der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit der entsprechenden Berechtigung fortgesetzt. - Erhöhungsanforderungen automatisch verweigern: Wenn für einen Vorgang rechteerweiterungen erforderlich sind, wird eine konfigurierbare Fehlermeldung "Zugriff verweigert" angezeigt. Ein Unternehmen, das Desktops als Standardbenutzer ausführt, kann diese Einstellung auswählen, um Helpdesk-Anrufe zu reduzieren. - Aufforderung zur Eingabe von Anmeldeinformationen auf dem sicheren Desktop: Wenn für einen Vorgang rechteerweiterungen erforderlich sind, wird der Benutzer auf dem sicheren Desktop aufgefordert, einen anderen Benutzernamen und ein anderes Kennwort einzugeben. Wenn der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit der entsprechenden Berechtigung fortgesetzt.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 3 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Rechteerweiterungsanforderungen automatisch verweigern. |
| 1 | Aufforderung zur Eingabe von Anmeldeinformationen auf dem sicheren Desktop. |
| 3 (Standard) | Zur Eingabe von Anmeldeinformationen auffordern. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
Benutzerkontensteuerung: Anwendungsinstallationen erkennen und zur Erhöhung auffordern Diese Richtlinieneinstellung steuert das Verhalten der Anwendungsinstallationserkennung für den Computer. Die Optionen sind: Aktiviert: (Standard) Wenn ein Anwendungsinstallationspaket erkannt wird, das rechteerweiterungen erfordert, wird der Benutzer aufgefordert, einen Administratorbenutzernamen und ein Kennwort einzugeben. Wenn der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit der entsprechenden Berechtigung fortgesetzt. Deaktiviert: Anwendungsinstallationspakete werden nicht erkannt und zur Erhöhung aufgefordert. Unternehmen, die Standardbenutzerdesktops ausführen und delegierte Installationstechnologien wie Gruppenrichtlinie Softwareinstallation oder Systemverwaltungsserver (SMS) verwenden, sollten diese Richtlinieneinstellung deaktivieren. In diesem Fall ist die Installationsprogrammerkennung nicht erforderlich.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 (Standard) | Aktivieren. |
| 0 | Deaktivieren. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated
Benutzerkontensteuerung: Erhöhen Sie nur ausführbare Dateien, die signiert und überprüft wurden. Diese Richtlinieneinstellung erzwingt PKI-Signaturprüfungen (Public Key Infrastructure) für alle interaktiven Anwendungen, die Rechteerweiterungen anfordern. Unternehmensadministratoren können steuern, welche Anwendungen ausgeführt werden dürfen, indem sie Zertifikate zum Zertifikatspeicher für vertrauenswürdige Herausgeber auf lokalen Computern hinzufügen. Die Optionen sind: – Aktiviert: Erzwingt die Überprüfung des PKI-Zertifizierungspfads für eine bestimmte ausführbare Datei, bevor sie ausgeführt werden darf. – Deaktiviert: (Standard) Erzwingt keine Überprüfung des PKI-Zertifizierungspfads, bevor eine bestimmte ausführbare Datei ausgeführt werden darf.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Deaktiviert: Erzwingt keine Überprüfung. |
| 1 | Aktiviert: Erzwingt die Überprüfung. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und überprüft sind |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
Benutzerkontensteuerung: Erhöhen Sie nur UIAccess-Anwendungen, die an sicheren Speicherorten installiert sind Diese Richtlinieneinstellung steuert, ob Anwendungen, die die Ausführung mit einer UIAccess-Integritätsstufe (User Interface Accessibility) anfordern, sich an einem sicheren Speicherort im Dateisystem befinden müssen. Sichere Speicherorte sind auf Folgendes beschränkt: - .. \Programme, einschließlich Unterordnern – .. \Windows\system32\ – .. \Programme (x86), einschließlich Unterordnern für 64-Bit-Versionen von Windows Hinweis: Windows erzwingt eine PKI-Signaturprüfung (Public Key Infrastructure) für jede interaktive Anwendung, die unabhängig vom Status dieser Sicherheitseinstellung die Ausführung mit einer UIAccess-Integritätsstufe anfordert. Die Optionen sind: – Aktiviert: (Standard) Wenn sich eine Anwendung an einem sicheren Speicherort im Dateisystem befindet, wird sie nur mit UIAccess-Integrität ausgeführt. – Deaktiviert: Eine Anwendung wird mit UIAccess-Integrität ausgeführt, auch wenn sie sich nicht an einem sicheren Speicherort im Dateisystem befindet.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Deaktiviert: Die Anwendung wird mit UIAccess-Integrität ausgeführt, auch wenn sie sich nicht an einem sicheren Speicherort befindet. |
| 1 (Standard) | Aktiviert: Die Anwendung wird nur mit UIAccess-Integrität ausgeführt, wenn sie sich an einem sicheren Speicherort befindet. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sind |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
UserAccountControl_RunAllAdministratorsInAdminApprovalMode
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_RunAllAdministratorsInAdminApprovalMode
Benutzerkontensteuerung: Aktivieren sie Admin Genehmigungsmodus Diese Richtlinieneinstellung steuert das Verhalten aller Richtlinieneinstellungen für die Benutzerkontensteuerung (User Account Control, UAC) für den Computer. Wenn Sie diese Richtlinieneinstellung ändern, müssen Sie den Computer neu starten. Die Optionen sind: - Aktiviert: (Standard) Admin Genehmigungsmodus aktiviert ist. Diese Richtlinie muss aktiviert sein, und die zugehörigen UAC-Richtlinieneinstellungen müssen auch entsprechend festgelegt werden, damit das integrierte Administratorkonto und alle anderen Benutzer, die Mitglieder der Gruppe Administratoren sind, im Admin Genehmigungsmodus ausgeführt werden können. – Deaktiviert: Admin Genehmigungsmodus und alle zugehörigen UAC-Richtlinieneinstellungen sind deaktiviert.
Hinweis
Wenn diese Richtlinieneinstellung deaktiviert ist, benachrichtigt Das Security Center Sie darüber, dass die Gesamtsicherheit des Betriebssystems reduziert wurde.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Deaktiviert. |
| 1 (Standard) | Aktiviert. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
Benutzerkontensteuerung: Wechseln Sie zum sicheren Desktop, wenn Sie zur Erhöhung auffordern. Diese Richtlinieneinstellung steuert, ob die Aufforderung zur Erhöhung der Rechte auf dem Desktop des interaktiven Benutzers oder auf dem sicheren Desktop angezeigt wird. Die Optionen sind: – Aktiviert: (Standard) Alle Rechteerweiterungsanforderungen werden an den sicheren Desktop gesendet, unabhängig von den Richtlinieneinstellungen für Das Eingabeaufforderungsverhalten für Administratoren und Standardbenutzer. - Deaktiviert: Alle Anforderungen für Rechteerweiterungen werden an den Desktop des interaktiven Benutzers gesendet. Richtlinieneinstellungen für Eingabeaufforderungsverhalten für Administratoren und Standardbenutzer werden verwendet.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Deaktiviert. |
| 1 (Standard) | Aktiviert. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
UserAccountControl_TypeOfAdminApprovalMode
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_TypeOfAdminApprovalMode
Benutzerkontensteuerung: Konfigurieren Sie den Typ des Admin Genehmigungsmodus. Diese Richtlinieneinstellung steuert, ob der erweiterte Berechtigungsschutz auf Rechteerweiterungen im Administratorgenehmigungsmodus angewendet wird. Wenn Sie diese Richtlinieneinstellung ändern, müssen Sie den Computer neu starten. Diese Richtlinie wird nur unter Windows Desktop unterstützt, nicht auf Server. Die Optionen sind: – Admin Genehmigungsmodus im Legacymodus (Standard) ausgeführt wird. – Admin Genehmigungsmodus mit erweitertem Berechtigungsschutz ausgeführt wird.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 (Standard) | Legacy Admin-Genehmigungsmodus. |
| 2 | Admin Genehmigungsmodus mit erweitertem Berechtigungsschutz. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Benutzerkontensteuerung: Konfigurieren des Typs Admin Genehmigungsmodus |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
UserAccountControl_UseAdminApprovalMode
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_UseAdminApprovalMode
Benutzerkontensteuerung: Verwenden sie Admin Genehmigungsmodus für das integrierte Administratorkonto. Diese Richtlinieneinstellung steuert das Verhalten Admin Genehmigungsmodus für das integrierte Administratorkonto. Die Optionen sind: – Aktiviert: Das integrierte Administratorkonto verwendet Admin Genehmigungsmodus. Standardmäßig fordert jeder Vorgang, der rechteerweiterungen erfordert, den Benutzer auf, den Vorgang zu genehmigen. – Deaktiviert: (Standard) Das integrierte Administratorkonto führt alle Anwendungen mit vollständigen Administratorrechten aus.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Aktivieren. |
| 0 (Standard) | Deaktivieren. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Benutzerkontensteuerung: Administratorgenehmigungsmodus für das integrierte Administratorkonto |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations
Benutzerkontensteuerung: Virtualisieren von Datei- und Registrierungsschreibfehlern an benutzerspezifische Speicherorte Diese Richtlinieneinstellung steuert, ob Schreibfehler von Anwendungen an definierte Registrierungs- und Dateisystemspeicherorte umgeleitet werden. Diese Richtlinieneinstellung verringert Anwendungen, die als Administrator ausgeführt werden und Laufzeitanwendungsdaten in %ProgramFiles%, %Windir%, %Windir%\system32 oder HKLM\Software schreiben. Die Optionen sind: - Aktiviert: (Standard) Fehler beim Schreiben von Anwendungen werden zur Laufzeit an definierte Benutzerspeicherorte für das Dateisystem und die Registrierung umgeleitet. – Deaktiviert: Anwendungen, die Daten in geschützte Speicherorte schreiben, schlagen fehl.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Deaktiviert. |
| 1 (Standard) | Aktiviert. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen |
Verwandte Artikel
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für