Opzioni di protezione

 

Si applica a: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Questo argomento di riferimento per i professionisti IT viene fornita un'introduzione alle impostazioni in Opzioni di protezione di criteri di sicurezza locali e collegamenti a informazioni su ogni impostazione.

Il Opzioni di protezione contengono i raggruppamenti seguenti delle impostazioni di criteri di sicurezza che consentono di configurare il comportamento del computer locale. Alcuni di questi criteri possono essere inclusi in un oggetto Criteri di gruppo e distribuito in azienda.

Le modifiche apportate in locale alle impostazioni dei criteri in un computer avranno effetto solo su quel computer. Se le impostazioni vengono configurate in un oggetto Criteri di gruppo ospitato in un dominio Active Directory, si applicano a tutti i computer soggetti a quell'oggetto. Per ulteriori informazioni sui criteri di gruppo in un dominio Active Directory, vedere criteri di gruppo(https://go.microsoft.com/fwlink/?LinkId=55625).

Per informazioni sull'utilizzo delle tecnologie correlate e snap-in Criteri di protezione, vedere Panoramica tecnica delle impostazioni criteri di sicurezza.

Aprire lo snap-in Criteri di sicurezza locali (secpol. msc) e passare a Configurazione computer\Impostazioni di Windows\Impostazioni protezione\Criteri Locali\opzioni di protezione.

Autorizzazioni per il computer locale: l'appartenenza al gruppo Administrators locale o equivalente è il requisito minimo necessario per modificare queste impostazioni dei criteri.

Per informazioni sull'impostazione di criteri di sicurezza, vedere Come configurare le impostazioni di criteri di sicurezza.

Raggruppamento	Impostazione di criteri di sicurezza
Account	- Account: Lo stato dell'account amministratore - Account: blocca gli account Microsoft - Account: Lo stato dell'account Guest - Gli account: Limitare l'uso di password vuote all'accesso alla console solo - Account: Rinomina account amministratore - Account: Rinomina account guest
Audit	- Controllo: Controlla l'accesso degli oggetti di sistema globale - Controllo: Controlla l'uso dei privilegi di Backup e ripristino - Controllo: Impostazioni di sottocategoria di criteri forza controllo (Windows Vista o versioni successive) per eseguire l'override delle impostazioni di categoria di criteri di controllo - Controllo: Arresto del sistema immediato se non è possibile registrare i controlli di sicurezza
DCOM	- DCOM: Restrizioni di accesso computer nella sintassi Security Descriptor Definition Language (SDDL) - DCOM: Restrizioni avvio computer nella sintassi Security Descriptor Definition Language (SDDL)
Dispositivi	- Dispositivi: Consenti disancorare senza dover accedere - Dispositivi: È consentita la formattazione e la rimozione di un supporto rimovibile - I dispositivi: Impedire agli utenti di installare driver della stampante - I dispositivi: Limita accesso al CD connesso localmente utente - Periferiche: Limitare l'accesso floppy utente connesso localmente solo
Controller di dominio	- Controller di dominio: consente agli operatori dei server di pianificare attività - Controller di dominio: requisiti di accesso al server LDAP - Controller di dominio: rifiuta cambio password account computer
Membro del dominio	- Membro del dominio: digitalmente crittografare o firmare i dati del canale protetto (sempre) - Membro del dominio: crittografia digitale ai dati del canale protetto (sempre) - Membro del dominio: firma digitale ai protetto i dati del canale (sempre) - Membro del dominio: disabilitazione password account computer - Membro del dominio: validità massima password account computer - Membro del dominio: Richiedi chiave di sessione avanzata (Windows 2000 o versioni successive)
Accesso interattivo	- Accesso interattivo: visualizzare le informazioni utente quando la sessione è bloccata - Accesso interattivo: non visualizzare l'ultimo nome utente - Accesso interattivo: non richiedono CTRL + ALT + CANC - Accesso interattivo: soglia di blocco degli account computer - Accesso interattivo: limite di inattività del computer - Accesso interattivo: testo del messaggio per gli utenti che tentano di accedere - Accesso interattivo: titolo del messaggio per gli utenti che tentano di accedere - Accesso interattivo: numero di accessi precedenti da memorizzare nella cache (nel caso in cui i controller di dominio non è disponibile) - Accesso interattivo: Richiedi all'utente di modificare la password prima della scadenza - Accesso interattivo: richiesta autenticazione Controller di dominio per sbloccare la workstation - Accesso interattivo: Richiedi smart card - Accesso interattivo: funzionamento rimozione Smart card
Client di rete Microsoft	- Client di rete Microsoft: firma digitale alle comunicazioni (sempre) - Client di rete Microsoft: Aggiungi firma digitale alle comunicazioni (se autorizzato dal server) - Client di rete Microsoft: invia password non crittografata al server SMB di terze parti
Server di rete Microsoft	- Server di rete Microsoft: periodo di inattività necessario prima di sospendere la sessione - Server di rete Microsoft: tentativo di ottenere informazioni sulle attestazioni tramite S4U2Self - Server di rete Microsoft: aggiungi firma digitale alle comunicazioni client (sempre) - Server di rete Microsoft: aggiungi firma digitale alle comunicazioni (se autorizzato dal client) - Server di rete Microsoft: disconnetti automaticamente i client al termine dell'orario di accesso - Server di rete Microsoft: livello di convalida di nome di destinazione SPN Server
Accesso alla rete	- Accesso alla rete: Consenti conversione anonima SID/nome - Accesso alla rete: non consentire l'enumerazione SAM account - Accesso alla rete: non consentire l'enumerazione anonima di SAM account e condivisioni - Accesso alla rete: non consentire l'archiviazione delle password e credenziali per l'autenticazione di rete - Accesso alla rete: Consenti agli utenti anonimi - Accesso alla rete: Named pipe a cui è possibile accedere in modo anonimo - Accesso alla rete: percorsi del Registro di sistema sia accessibile in remoto - Accesso alla rete: percorsi del Registro di sistema sia accessibile in remoto e percorsi secondari - Accesso alla rete: limita l'accesso anonimo a Named pipe e condivisioni - Accesso alla rete: condivisioni di cui è possibile accedere in modo anonimo - Accesso alla rete: modello di condivisione e sicurezza per gli account locali
Sicurezza della rete	- Sicurezza di rete: consente di sistema locale da utilizzare l'identità del computer per NTLM - Sicurezza di rete: Consenti fallback sessione LocalSystem NULL - Sicurezza di rete: Consentire le richieste di autenticazione PKU2U al computer di utilizzare identità in linea - Sicurezza di rete: configurare i tipi di crittografia consentiti per Kerberos - Sicurezza di rete: non memorizzare il valore hash di LAN Manager al prossimo cambio di password - Sicurezza di rete: Imponi disconnessione al termine dell'orario di accesso - Sicurezza di rete: livello di autenticazione di LAN Manager - Sicurezza di rete: requisiti di accesso client LDAP - Sicurezza di rete: basato su protezione sessione minima per NTLM SSP (incluso il RPC protetto) client - Sicurezza di rete: basato su protezione sessione minima per NTLM SSP (incluso il RPC protetto) Server - Sicurezza di rete: limitazione di NTLM: Aggiungi le eccezioni di server remoto per l'autenticazione NTLM - Sicurezza di rete: limitazione di NTLM: aggiungere le eccezioni di server in questo dominio - Sicurezza di rete: Limitazione di NTLM: traffico NTLM in ingresso - Sicurezza di rete: Limitazione di NTLM: l'autenticazione NTLM in questo dominio - Sicurezza di rete: Limitazione di NTLM: traffico NTLM in uscita verso server remoti - Sicurezza di rete: Limitazione di NTLM: traffico NTLM in ingresso di controllo - Sicurezza di rete: Limitazione di NTLM: l'autenticazione NTLM di controllo in questo dominio
Console di ripristino	- Console di ripristino: consente l'accesso amministrativo automatico - Console di ripristino: consentire l'accesso a tutte le unità e le cartelle e copia di dischi floppy
Arresto	- Arresto del sistema: Consente di arrestare senza dover accedere sistema - Arresto: File di paging della memoria virtuale Cancella
Crittografia di sistema	- Crittografia di sistema: imponi protezione chiave avanzata per chiavi utente archiviate nel computer - Crittografia di sistema: utilizza algoritmi FIPS compatibili per crittografia, hash e firma hash
Oggetti di sistema	- Gli oggetti di sistema: richiedono tra maiuscole e minuscole per i sottosistemi non Windows - Gli oggetti di sistema: potenzia le autorizzazioni predefinite degli oggetti di sistema (ad esempio, i collegamenti simbolici)
Impostazioni di sistema	- Le impostazioni di sistema: sottosistemi facoltativi - Le impostazioni di sistema: utilizza regole certificati con file eseguibili di Windows per i criteri di restrizione Software
Controllo dell'Account utente	- Controllo dell'Account utente: Modalità Approvazione amministratore per l'account amministratore predefinito - Controllo Account utente: Consenti alle applicazioni richiedere l'elevazione senza utilizzare il desktop sicuro - Controllo Account utente: Comportamento della richiesta di elevazione per gli amministratori in modalità Approvazione amministratore - Controllo Account utente: Comportamento della richiesta di elevazione per utenti standard - Controllo Account utente: Rileva installazione applicazioni e richiedi elevazione - Controllo Account utente: Eleva solo file eseguibili firmati e convalidati - Controllo Account utente: Eleva solo applicazioni UIAccess installate in percorsi sicuri - Controllo Account utente: Esegui tutti gli amministratori in modalità Approvazione amministratore - Controllo Account utente: Passare al desktop sicuro alla richiesta di elevazione - Controllo Account utente: Virtualizza errori di scrittura di file e Registro di sistema in posizioni per utente