Opções de segurança

 

Aplica-se A: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Este tópico de referência para o profissional de TI disponibiliza uma introdução às definições em Opções de segurança das políticas de segurança local e ligações para informações sobre cada definição.

O Opções de segurança conter os seguintes agrupamentos de definições de política de segurança que lhe permitem configurar o comportamento do computador local. Algumas destas políticas podem ser incluídas num objeto de política de grupo e distribuídas ao longo do sistema da sua empresa.

Se editar as definições de política localmente num computador, irá afetar as definições apenas nesse computador. Se configurar as definições num Objeto de Política de Grupo (GPO) alojado num domínio do Active Directory, as definições aplicam-se a todos os computadores que estão sujeitos a esse GPO. Para mais informações sobre política de grupo no domínio do Active Directory, consulte o artigo política de grupo(https://go.microsoft.com/fwlink/?LinkId=55625).

Para obter informações sobre como funcionam as tecnologias de snap-in e relacionados da política de segurança, consulte o artigo Descrição de técnica de definições de política de segurança.

Abra o snap-in Política de segurança Local (secpol.msc) e navegue para computador Configuration\Windows Settings\Security Settings\Local Policies\Security opções.

Permissões de computador local: ser membro do grupo Administradores local, ou equivalente, é o mínimo requerido para modificar estas definições de política.

Para obter informações sobre a definição de políticas de segurança, consulte o artigo Como configurar as definições de política de segurança.

Agrupamento	Definição de política de segurança
Contas	- Contas: Estado de conta de administrador - Contas: bloquear contas Microsoft - Contas: Estado de conta de convidado - Contas: Limitar a utilização de conta local de palavras-passe em branco para apenas início de sessão de consola - Contas: Conta de administrador de mudar o nome - Contas: Mudar o nome de conta de convidado
Audit	- Auditoria: O acesso aos objetos do sistema global de auditoria - Auditoria: A utilização de privilégios de cópia de segurança e restauro de auditoria - Auditoria: Definições de subcategoria de política de auditoria de força (Windows Vista ou posterior) para substituir definições de categoria de política de auditoria - Auditorias: Encerrar sistema imediatamente se não consegue registar auditorias de segurança
DCOM	- DCOM: Restrições de acesso máquina na sintaxe do idioma de definição de descritor de segurança (SDDL) - DCOM: As restrições de iniciação máquina na sintaxe do idioma de definição de descritor de segurança (SDDL)
Dispositivos	- Dispositivos: Permitir que desancorar sem ter de início de sessão - Dispositivos: Permissão para formatar e ejetar o suporte de dados amovível - Dispositivos: Impedir os utilizadores de instalar controladores de impressora - Dispositivos: Restringir o acesso de CD-ROM localmente utilizador com sessão iniciada apenas - Dispositivos: Restringir o acesso de disquete localmente utilizador com sessão iniciada apenas
Controlador de domínio	- Controlador de domínio: permitir operadores de servidor para agendar tarefas - Controlador de domínio: requisitos de assinatura do servidor LDAP - Controlador de domínio: recusar a conta da máquina alterações de palavra-passe
Membro de domínio	- Membro de domínio: digitalmente encriptar ou assinar dados de canal seguro (sempre) - Membro de domínio: digitalmente encriptar os dados de canal seguro (sempre que possível) - Membro de domínio: digitalmente o início de sessão proteger os dados de canal (sempre que possível) - Membro de domínio: desativar alterações de palavra-passe de conta de computador - Membro de domínio: idade de palavra-passe de conta de máquina máximo - Membro de domínio: requerem forte chave de sessão (Windows 2000 ou posterior)
Início de sessão interativo	- Início de sessão interativo: Mostrar informações de utilizador quando a sessão está bloqueada - Início de sessão interativo: não apresentar o apelido do utilizador - Início de sessão interativo: não necessitam de CTRL + ALT + DEL - Início de sessão interativo: limiar de bloqueio de conta de computador - Início de sessão interativo: limite de inatividade máquina - Início de sessão interativo: mensagem de texto para os utilizadores a tentar iniciar sessão - Início de sessão interativo: título para os utilizadores a tentar iniciar sessão de mensagens - Início de sessão interativo: número de inícios de sessão anteriores a cache (caso o controlador de domínio não está disponível) - Início de sessão interativo: perguntar ao utilizador alterar palavra-passe antes de expirar - Início de sessão interativo: requerem a autenticação do controlador de domínio para desbloquear estação de trabalho - Início de sessão interativo: necessitam de smart card - Início de sessão interativo: comportamento de remoção do Smart card
Cliente de rede da Microsoft	- Cliente de rede da Microsoft: assinar digitalmente comunicações (sempre) - Cliente de rede da Microsoft: assinar digitalmente comunicações (se o servidor aceita) - Cliente de rede da Microsoft: enviar palavra-passe não encriptada para servidores SMB de terceiros
Servidor de rede Microsoft	- Servidor de rede da Microsoft: Quantidade de tempo de inatividade obrigatório antes de suspender a sessão - Servidor de rede da Microsoft: tentativa S4U2Self para obter informações de afirmação - Servidor de rede da Microsoft: Assinar digitalmente as comunicações (sempre) - Servidor de rede da Microsoft: Assinar digitalmente comunicações (se o cliente concordar) - Servidor de rede da Microsoft: Desligar clientes quando as horas de início de sessão expirarem - Servidor de rede da Microsoft: nível de validação do nome de servidor SPN destino
Acesso à rede	- Acesso de rede: permitir a tradução de SID/Nome anónima - Acesso de rede: não permitem anónima enumeração dos SAM contas - Acesso de rede: não permitir anónima enumeração dos SAM contas e partilhas - Acesso de rede: não permitem o armazenamento de palavras-passe e as credenciais de autenticação de rede - Acesso de rede: informe todos aqueles permissões aplicam-se para utilizadores anónimos - Acesso de rede: Pipes que podem ser acedidas anonimamente nomeados - Acesso de rede: caminhos de registo é acessível remotamente - Acesso de rede: caminhos de registo é acessível remotamente e subpaths - Acesso de rede: restringir o acesso anónimo Pipes nomeados e partilhas - Acesso de rede: partilhas que podem ser acedidas anonimamente - Acesso de rede: modelo de partilha e a segurança para contas locais
Segurança de rede	- Segurança de rede: permitir do sistema Local utilizar a identidade do computador para NTLM - Segurança de rede: permitir sessão LocalSystem nula contingência - Rede de segurança: Permitir pedidos de autenticação PKU2U a este computador utilizar as identidades online - Segurança de rede: Configurar tipos de encriptação permitidos para Kerberos - Segurança de rede: não armazene o valor de hash do LAN Manager na próxima alteração de palavra-passe - Segurança de rede: fim de sessão do Force quando expirarem horas de início de sessão - Segurança de rede: nível de autenticação do LAN Manager - Segurança de rede: cliente LDAP requisitos de assinatura - Segurança de rede: segurança de sessão mínimo do NTLM SSP com base (incluindo RPC segura) clientes - Segurança de rede: segurança de sessão mínimo do NTLM SSP com base (incluindo RPC segura) servidores - Segurança de rede: restringir NTLM: Adicione exceções de servidor remoto para a autenticação NTLM - Segurança de rede: restringir NTLM: Adicione exceções de servidor neste domínio - Segurança de rede: Restringir NTLM: tráfego de entrada NTLM - Segurança de rede: Restringir NTLM: a autenticação NTLM deste domínio - Segurança de rede: Restringir NTLM: tráfego de saída NTLM para servidores remotos - Segurança de rede: Restringir NTLM: auditoria de tráfego de entrada NTLM - Segurança de rede: Restringir NTLM: a autenticação NTLM de auditoria deste domínio
Consola da recuperação	- Consola da recuperação: Permitir início de sessão administrativo automático - Consola da recuperação: permitir cópia de disquete e acesso a todas as unidades e pastas
Encerrar	- Encerramento do: Permitir ser encerradas sem ter de início de sessão do sistema - Encerramento: Ficheiro de paginação de memória virtual limpar
Criptografia de sistema	- Criptografia de sistema: forçar a proteção forte por chave para chaves de utilizador armazenadas no computador - Criptografia de sistema: Utilize FIPS algoritmos em conformidade com encriptação, o hash e iniciar sessão
Objetos de sistema	- Objetos de sistema: exigir insensitivity maiúsculas e minúsculas para subsistemas de não-Windows - Objetos de sistema: Strengthen permissões predefinidas de objetos de sistema interno (por exemplo, simbólicas)
Definições do sistema	- Definições do sistema: subsistemas opcionais - Definições do sistema: utilizar regras de certificado no Windows executáveis para políticas de restrição de Software
Controlo de conta de utilizador	- Controlo de conta de utilizador: Modo de Aprovação Admin para a conta de administrador incorporada - Controlo de conta de utilizador: Permitir que as aplicações UIAccess linha de comandos para a elevação sem utilizar o ambiente de trabalho seguro - Controlo de conta de utilizador: Comportamento da linha de comandos de elevação para administradores no modo de aprovação do administrador - Controlo de conta de utilizador: Comportamento da linha de comandos de elevação para os utilizadores padrão - Controlo de conta de utilizador: Detetar instalações da aplicação e pedido de elevação - Controlo de conta de utilizador: Apenas elevar executáveis que são assinados e validado - Controlo de conta de utilizador: Apenas elevar UIAccess aplicações que estão instaladas nas localizações seguras - Controlo de conta de utilizador: Executar todos os administradores em modo de aprovação do administrador - Controlo de conta de utilizador: Mudar para o ambiente de trabalho seguro quando lhe pede para elevação - Controlo de conta de utilizador: Virtualizar ficheiros e registo de falhas de escrita para localizações por utilizador