Поставщик служб CSP политики — LocalPoliciesSecurityOptions
Важно.
Этот CSP содержит некоторые параметры, находящиеся в стадии разработки и применимые только для сборок Windows Insider Preview. Эти параметры могут изменяться и зависеть от других функций или служб в предварительной версии.
Примечание.
Сведения о том, как найти форматы данных (и другие сведения, связанные с политикой), см. в разделе DDF-файл политики.
Accounts_BlockMicrosoftAccounts
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_BlockMicrosoftAccounts
Этот параметр политики запрещает пользователям добавлять новые учетные записи Майкрософт на этом компьютере. Если выбрать параметр "Пользователи не могут добавлять учетные записи Майкрософт", пользователи не смогут создавать новые учетные записи Майкрософт на этом компьютере, переключать локальную учетную запись на учетную запись Майкрософт или подключать учетную запись домена к учетной записи Майкрософт. Это предпочтительный вариант, если необходимо ограничить использование учетных записей Майкрософт на предприятии. Если выбрать параметр "Пользователи не могут добавлять учетные записи Майкрософт или входить в нее", существующие пользователи учетных записей Майкрософт не смогут войти в Windows. При выборе этого параметра существующий администратор на этом компьютере не сможет войти в систему и управлять ею. Если вы отключите или не настроите эту политику (рекомендуется), пользователи смогут использовать учетные записи Майкрософт в Windows.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Отключено (пользователи смогут использовать учетные записи Майкрософт в Windows). |
| 1 | Включено (пользователи не могут добавлять учетные записи Майкрософт). |
| 3 | Пользователи не могут добавлять учетные записи Майкрософт или входить в нее. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Учетные записи: блокирование учетных записей Майкрософт |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
Accounts_EnableAdministratorAccountStatus
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_EnableAdministratorAccountStatus
Этот параметр безопасности определяет, включена или отключена учетная запись локального администратора.
Примечание.
Если вы пытаетесь повторно включить учетную запись администратора после ее отключения и если текущий пароль администратора не соответствует требованиям к паролю, вы не сможете повторно включить учетную запись. В этом случае альтернативный член группы "Администраторы" должен сбросить пароль учетной записи администратора. Сведения о сбросе пароля см. в статье Сброс пароля. Отключение учетной записи администратора может стать проблемой обслуживания при определенных обстоятельствах. При загрузке в безопасном режиме отключенная учетная запись администратора будет включена только в том случае, если компьютер присоединен к домену и нет других локальных активных учетных записей администратора. Если компьютер присоединен к домену, отключенный администратор не будет включен. По умолчанию: отключено.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Включить. |
| 0 (по умолчанию) | Отключить. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Учетные записи: состояние учетной записи «Администратор» |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
Accounts_EnableGuestAccountStatus
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_EnableGuestAccountStatus
Этот параметр безопасности определяет, включена или отключена гостевая учетная запись. По умолчанию: отключено.
Примечание.
Если учетная запись гостя отключена, а параметр безопасности Сетевой доступ: модель общего доступа и безопасности для локальных учетных записей имеет значение Только гость, вход в сеть, например, выполняемый службой Microsoft Network Server (SMB), завершится ошибкой.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Включить. |
| 0 (по умолчанию) | Отключить. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Учетные записи: состояние учетной записи «Гость» |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
Учетные записи. Ограничьте использование пустых паролей в локальной учетной записи только для входа в консоль. Этот параметр безопасности определяет, можно ли использовать локальные учетные записи, не защищенные паролем, для входа из расположений, отличных от физической консоли компьютера. Если этот параметр включен, локальные учетные записи, не защищенные паролем, смогут войти в систему только с клавиатуры компьютера. По умолчанию: включено.
Warning
Компьютеры, которые не расположены в физически безопасных расположениях, всегда должны применять политики надежных паролей для всех локальных учетных записей пользователей. В противном случае любой пользователь с физическим доступом к компьютеру может войти в систему с помощью учетной записи пользователя без пароля. Это особенно важно для портативных компьютеров. Если применить эту политику безопасности к группе Все, никто не сможет войти в систему через службы удаленных рабочих столов.
Примечание.
Этот параметр не влияет на входы в систему, использующие учетные записи домена. Приложения, использующие удаленные интерактивные входы, могут обойти этот параметр.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Отключено. |
| 1 (по умолчанию) | Включено. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Учетные записи: разрешить использование пустых паролей только при консольном входе |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
Accounts_RenameAdministratorAccount
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_RenameAdministratorAccount
Учетные записи: переименование учетной записи администратора. Этот параметр безопасности определяет, связано ли другое имя учетной записи с идентификатором безопасности (SID) для администратора учетной записи. При переименовании известной учетной записи администратора несанкционированным лицам будет немного сложнее угадать это сочетание привилегированного пользователя и пароля. По умолчанию: администратор.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | Администратор |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Учетные записи: переименование учетной записи администратора |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
Accounts_RenameGuestAccount
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_RenameGuestAccount
Учетные записи: переименование гостевой учетной записи. Этот параметр безопасности определяет, связано ли другое имя учетной записи с идентификатором безопасности (SID) для учетной записи Guest. Переименование известной гостевой учетной записи немного усложняет для несанкционированных лиц угадать это сочетание имени пользователя и пароля. По умолчанию: гость.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | Гость |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Учетные записи: переименование учетной записи гостя |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
Audit_AuditTheUseOfBackupAndRestoreprivilege
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_AuditTheUseOfBackupAndRestoreprivilege
Аудит. Аудит использования привилегий резервного копирования и восстановления. Этот параметр безопасности определяет, следует ли выполнять аудит использования всех привилегий пользователей, включая резервное копирование и восстановление, когда действует политика использования привилегий аудита. Включение этого параметра при включенной политике использования привилегий аудита создает событие аудита для каждого файла, резервного копирования или восстановления. Если эта политика отключена, то использование привилегий резервного копирования или восстановления не выполняется, даже если включено использование привилегий аудита.
Примечание.
В версиях Windows до windows Vista, настроив этот параметр безопасности, изменения не вступают в силу до перезапуска Windows. Включение этого параметра может вызвать множество событий, иногда сотни в секунду, во время операции резервного копирования. По умолчанию: отключено.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | b64 |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | List (разделитель: '') |
| Значение по умолчанию | 00 |
Audit_ForceAuditPolicySubcategorySettingsToOverrideAuditPolicyCategorySettings
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_ForceAuditPolicySubcategorySettingsToOverrideAuditPolicyCategorySettings
Аудит. Принудительное переопределение параметров подкатегорий политики аудита (Windows Vista или более поздней версии) для переопределения параметров категории политики аудита Windows Vista и более поздних версий Windows позволяет более точно управлять политикой аудита с помощью подкатегорий политики аудита. Установка политики аудита на уровне категории переопределит новую функцию политики аудита подкатегории. групповая политика позволяет задать политику аудита только на уровне категории, а существующая групповая политика может переопределить параметры подкатегории новых компьютеров, присоединенных к домену или обновленных до Windows Vista или более поздних версий. Чтобы разрешить управление политикой аудита с помощью подкатегорий без необходимости изменения групповая политика, в Windows Vista и более поздних версиях существует новое значение реестра SCENoApplyLegacyAuditPolicy, которое предотвращает применение политики аудита на уровне категорий с групповая политика и из средства администрирования локальной политики безопасности. Если заданная здесь политика аудита на уровне категорий не согласуется с событиями, которые создаются в данный момент, причиной может быть установка этого раздела реестра. По умолчанию: включено.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-1] |
| Значение по умолчанию | 1 |
Audit_ShutdownSystemImmediatelyIfUnableToLogSecurityAudits
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_ShutdownSystemImmediatelyIfUnableToLogSecurityAudits
Аудит. Немедленное завершение работы системы, если не удается записать в журнал аудиты безопасности. Этот параметр безопасности определяет, завершает ли система работу, если она не может регистрировать события безопасности. Если этот параметр безопасности включен, система останавливается, если по какой-либо причине невозможно регистрироваться в журнале аудита безопасности. Обычно событие не регистрируется, когда журнал аудита безопасности заполнен, а для журнала безопасности используется метод хранения, указанный для журнала безопасности: "Не перезаписывать события" или "Перезапись событий по дням". Если журнал безопасности заполнен и существующая запись не может быть перезаписана и этот параметр безопасности включен, появляется следующая stop-ошибка: STOP: C0000244 {Audit Failed} Попытка создать аудит безопасности завершилась ошибкой. Для восстановления администратор должен войти в систему, заархивировать журнал (необязательно), очистить журнал и сбросить этот параметр по мере необходимости. До сброса этого параметра безопасности никакие пользователи, кроме члена группы администраторов, не смогут войти в систему, даже если журнал безопасности не заполнен.
Примечание.
В версиях Windows до windows Vista, настроив этот параметр безопасности, изменения не вступают в силу до перезапуска Windows. По умолчанию: отключено.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-1] |
| Значение по умолчанию | 0 |
Devices_AllowedToFormatAndEjectRemovableMedia
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_AllowedToFormatAndEjectRemovableMedia
Устройства: разрешено форматировать и извлекать съемные носители. Этот параметр безопасности определяет, кому разрешено форматировать и извлекать съемные носители NTFS. Эта возможность может быть предоставлена: Администраторы и интерактивные пользователи По умолчанию: эта политика не определена, и только администраторы имеют эту возможность.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Устройства: разрешить форматирование и извлечение съемных носителей |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
Devices_AllowUndockWithoutHavingToLogon
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_AllowUndockWithoutHavingToLogon
Устройства: разрешить отстыковку без необходимости входа в этот параметр безопасности определяет, можно ли отстыковать переносимый компьютер без необходимости входа в систему. Если эта политика включена, вход не требуется, а для отстыковки компьютера можно использовать кнопку извлечения внешнего оборудования. Если этот параметр отключен, пользователь должен войти в систему и получить привилегию Удалить компьютер из док-станции для отстыковки компьютера. По умолчанию: включено.
Предостережение
Отключение этой политики может заставить пользователей попытаться физически удалить ноутбук из док-станции с помощью методов, отличных от кнопки извлечения внешнего оборудования. Так как это может привести к повреждению оборудования, этот параметр, как правило, следует отключить только в конфигурациях ноутбуков, которые физически защищаемы.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 (по умолчанию) | Разрешить |
| 0 | Блокировка. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Устройства: разрешать отстыковку без входа в систему |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters
Устройства. Запретить пользователям устанавливать драйверы принтеров при подключении к общим принтерам. Чтобы компьютер печатал на общем принтере, на локальном компьютере должен быть установлен драйвер для этого общего принтера. Этот параметр безопасности определяет, кому разрешено устанавливать драйвер принтера при подключении к общему принтеру.
Если этот параметр включен, только администраторы могут установить драйвер принтера при подключении к общему принтеру.
Если этот параметр отключен, любой пользователь может установить драйвер принтера при подключении к общему принтеру. На серверах по умолчанию: включено. По умолчанию на рабочих станциях: отключено примечание. Этот параметр не влияет на возможность добавления локального принтера. Этот параметр не влияет на администраторов.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Включить. |
| 0 (по умолчанию) | Отключить. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Устройства: запретить пользователям установку драйверов принтера. |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly
Устройства. Ограничьте доступ к компакт-диску только локально вошедшего в систему пользователя. Этот параметр безопасности определяет, доступен ли компакт-диск одновременно как локальным, так и удаленным пользователям. Если эта политика включена, она разрешает доступ к съемным носителям компакт-дисков только пользователю, вошедшего в систему в интерактивном режиме. Если эта политика включена и никто не вошел в систему в интерактивном режиме, доступ к компакт-диску можно получить по сети. По умолчанию: эта политика не определена, и доступ к компакт-диску не ограничен локально вошедшего в систему пользователя.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Устройства: разрешить доступ к дисководам компакт-дисков только локальным пользователям. |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
Devices_RestrictFloppyAccessToLocallyLoggedOnUserOnly
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_RestrictFloppyAccessToLocallyLoggedOnUserOnly
Устройства. Ограничьте доступ к гибким дискетам только локально вошедшего в систему пользователя. Этот параметр безопасности определяет, доступны ли съемные носители гибких дисков одновременно для локальных и удаленных пользователей. Если эта политика включена, она разрешает доступ к съемным гибким носителям только пользователю, вошедшего в систему в интерактивном режиме. Если эта политика включена и никто не вошел в систему в интерактивном режиме, доступ к дискете можно получить по сети. По умолчанию: эта политика не определена, а доступ к дисководу гибких дисков не ограничен локально вошедшего в систему пользователя.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Устройства: разрешить доступ к дисководам гибких дисков только локальным пользователям. |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
DomainMember_DigitallyEncryptOrSignSecureChannelDataAlways
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallyEncryptOrSignSecureChannelDataAlways
Член домена: цифровое шифрование или подпись данных безопасного канала (всегда). Этот параметр безопасности определяет, должен ли быть подписан или зашифрован весь трафик безопасного канала, инициированный членом домена. При присоединении компьютера к домену создается учетная запись компьютера. После этого при запуске система использует пароль учетной записи компьютера для создания безопасного канала с контроллером домена для своего домена. Этот безопасный канал используется для выполнения таких операций, как проверка подлинности ntlm, идентификатор безопасности LSA или поиск имени и т. д. Этот параметр определяет, соответствует ли весь трафик безопасного канала, инициированный членом домена, минимальным требованиям безопасности. В частности, он определяет, должен ли весь трафик безопасного канала, инициированный членом домена, быть подписанным или зашифрованным. Если эта политика включена, безопасный канал не будет установлен, если не будет согласовано подписывание или шифрование всего трафика безопасного канала. Если эта политика отключена, шифрование и подпись всего трафика безопасного канала согласовываются с контроллером домена, и в этом случае уровень подписывания и шифрования зависит от версии контроллера домена и параметров следующих двух политик: член домена: Цифровое шифрование данных безопасного канала (по возможности) член домена: Цифровая подпись данных безопасного канала (по возможности) По умолчанию: включено.
Примечание.
Если эта политика включена, предполагается, что член домена политики: цифровая подпись данных безопасного канала (по возможности) будет включен независимо от текущего параметра. Это гарантирует, что член домена попытается договориться по крайней мере о подписании трафика безопасного канала. Информация для входа, передаваемая по защищенному каналу, всегда шифруется независимо от того, согласовано ли шифрование всего трафика безопасного канала.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-1] |
| Значение по умолчанию | 1 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
DomainMember_DigitallyEncryptSecureChannelDataWhenPossible
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallyEncryptSecureChannelDataWhenPossible
Член домена: цифровое шифрование данных безопасного канала (по возможности). Этот параметр безопасности определяет, пытается ли член домена согласовать шифрование для всего трафика безопасного канала, который он инициирует. При присоединении компьютера к домену создается учетная запись компьютера. После этого при запуске система использует пароль учетной записи компьютера для создания безопасного канала с контроллером домена для своего домена. Этот безопасный канал используется для выполнения таких операций, как сквозная проверка подлинности NTLM, идентификатор безопасности LSA или поиск имен и т. д. Этот параметр определяет, пытается ли член домена согласовать шифрование для всего трафика безопасного канала, который он инициирует. Если этот параметр включен, член домена запросит шифрование всего трафика безопасного канала. Если контроллер домена поддерживает шифрование всего трафика безопасного канала, весь трафик безопасного канала будет зашифрован. В противном случае шифруются только данные для входа, передаваемые по защищенному каналу. Если этот параметр отключен, член домена не будет пытаться согласовать шифрование безопасного канала. По умолчанию: включено.
Важно.
Нет известных причин для отключения этого параметра. Помимо ненужного снижения потенциального уровня конфиденциальности безопасного канала, отключение этого параметра может неоправданно снизить пропускную способность безопасного канала, так как одновременные вызовы API, использующие безопасный канал, возможны только при подписании или шифровании безопасного канала.
Примечание.
Контроллеры домена также являются членами домена и устанавливают безопасные каналы с другими контроллерами домена в том же домене, а также контроллерами домена в доверенных доменах.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-1] |
| Значение по умолчанию | 1 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Член домена: шифрование данных безопасного канала, когда это возможно |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
DomainMember_DigitallySignSecureChannelDataWhenPossible
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallySignSecureChannelDataWhenPossible
Член домена: цифровая подпись данных безопасного канала (по возможности). Этот параметр безопасности определяет, пытается ли участник домена договориться о подписи для всего трафика безопасного канала, который он инициирует. При присоединении компьютера к домену создается учетная запись компьютера. После этого при запуске система использует пароль учетной записи компьютера для создания безопасного канала с контроллером домена для своего домена. Этот безопасный канал используется для выполнения таких операций, как проверка подлинности ntlm, идентификатор безопасности LSA или поиск имени и т. д. Этот параметр определяет, пытается ли член домена согласовать подписывание для всего трафика безопасного канала, который он инициирует. Если этот параметр включен, участник домена запросит подписывание всего трафика безопасного канала. Если контроллер домена поддерживает подписывание всего трафика безопасного канала, то будет подписан весь трафик безопасного канала, что гарантирует, что он не может быть изменен при передаче. По умолчанию: включено.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-1] |
| Значение по умолчанию | 1 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Член домена: цифровая подпись данных безопасного канала, когда это возможно |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
DomainMember_DisableMachineAccountPasswordChanges
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DisableMachineAccountPasswordChanges
Член домена. Отключить изменение пароля учетной записи компьютера Определяет, периодически ли участник домена изменяет пароль своей учетной записи компьютера.
Если этот параметр включен, участник домена не пытается изменить пароль своей учетной записи компьютера.
Если этот параметр отключен, член домена пытается изменить пароль своей учетной записи компьютера, как указано в параметре Член домена: Максимальный возраст для пароля учетной записи компьютера, который по умолчанию составляет каждые 30 дней. По умолчанию: отключено.
Примечание.
Этот параметр безопасности не должен быть включен. Пароли учетных записей компьютера используются для установления безопасного канала связи между членами и контроллерами домена, а также в пределах домена между самими контроллерами домена. После его создания безопасный канал используется для передачи конфиденциальной информации, необходимой для принятия решений о проверке подлинности и авторизации. Этот параметр не следует использовать при попытке поддержки сценариев двойной загрузки, использующих одну и ту же учетную запись компьютера. Если вы хотите выполнить двойную загрузку двух установок, присоединенных к одному домену, присвойте двум установкам разные имена компьютеров.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-1] |
| Значение по умолчанию | 0 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Член домена: отключить изменение пароля учетных записей компьютера |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
DomainMember_MaximumMachineAccountPasswordAge
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_MaximumMachineAccountPasswordAge
Член домена: максимальный срок действия пароля учетной записи компьютера. Этот параметр безопасности определяет, как часто член домена будет пытаться изменить пароль своей учетной записи компьютера. Значение по умолчанию: 30 дней.
Важно.
Этот параметр применяется к компьютерам с Windows 2000, но он недоступен с помощью средств Configuration Manager безопасности на этих компьютерах.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-999] |
| Значение по умолчанию | 30 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Член домена: максимальный срок действия пароля учетных записей компьютера |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
DomainMember_RequireStrongSessionKey
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_RequireStrongSessionKey
Член домена: требуется сильный (Windows 2000 или более поздней версии) ключ этот параметр безопасности определяет, требуется ли 128-разрядный ключ для зашифрованных данных безопасного канала. При присоединении компьютера к домену создается учетная запись компьютера. После этого при запуске система использует пароль учетной записи компьютера для создания безопасного канала с контроллером домена в домене. Этот безопасный канал используется для выполнения таких операций, как сквозная проверка подлинности NTLM, идентификатор безопасности LSA или поиск имен и т. д. В зависимости от того, какая версия Windows работает на контроллере домена, с которым взаимодействует член домена, и от параметров: Член домена: Цифровое шифрование или подпись данных безопасного канала (всегда) Член домена: цифровое шифрование данных безопасного канала (по возможности) Некоторые или все данные, передаваемые по безопасному каналу, будут зашифрованы. Этот параметр политики определяет, требуется ли 128-разрядный ключ для зашифрованных сведений о защищенном канале.
Если этот параметр включен, безопасный канал не будет установлен, если не будет выполнено 128-разрядное шифрование.
Если этот параметр отключен, то надежность ключа согласовывается с контроллером домена. По умолчанию: включено.
Важно.
Чтобы воспользоваться преимуществами этой политики на рабочих станциях и серверах-членах, все контроллеры домена, составляющие домен участника, должны работать под управлением Windows 2000 или более поздней версии. Чтобы воспользоваться преимуществами этой политики на контроллерах домена, все контроллеры домена в одном домене, а также все доверенные домены должны работать под управлением Windows 2000 или более поздней версии.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-1] |
| Значение по умолчанию | 1 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Член домена: требовать стойкий сеансовый ключ (Windows 2000 или выше) |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked
Интерактивный вход: отображение сведений о пользователе, если сеанс заблокирован, отображаемое имя пользователя, домен и имена пользователей (1) Только отображаемое имя пользователя (2) Не отображать сведения о пользователе (3) Только домен и имена пользователей (4)
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 (по умолчанию) | Отображаемое имя пользователя, домен и имена пользователей. |
| 2 | Только отображаемое имя пользователя. |
| 3 | Не отображайте сведения о пользователе. |
| 4 | Только имена доменов и пользователей. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Интерактивный вход в систему: отображать сведения о пользователе, когда сеанс заблокирован |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
InteractiveLogon_DoNotDisplayLastSignedIn
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayLastSignedIn
Интерактивный вход: не отображать последний вход. Этот параметр безопасности определяет, будет ли на экране входа Windows отображаться имя пользователя последнего пользователя, выполнившего вход на этом компьютере. Если эта политика включена, имя пользователя не будет отображаться. Если эта политика отключена, отобразится имя пользователя. По умолчанию: отключено.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Отключено (будет отображаться имя пользователя). |
| 1 | Включено (имя пользователя не отображается). |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Интерактивный вход в систему: не отображать сведения о последнем входе в систему |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
InteractiveLogon_DoNotDisplayUsernameAtSignIn
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayUsernameAtSignIn
Интерактивный вход. Не отображайте имя пользователя при входе. Этот параметр безопасности определяет, отображается ли имя пользователя, выполнившего вход на этот компьютер, при входе в Windows после ввода учетных данных и перед отображением рабочего стола компьютера. Если эта политика включена, имя пользователя не будет отображаться. Если эта политика отключена, отобразится имя пользователя. По умолчанию: отключено.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Отключено (будет отображаться имя пользователя). |
| 1 (по умолчанию) | Включено (имя пользователя не отображается). |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Интерактивный вход в систему: не отображать имя пользователя при входе в систему |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
InteractiveLogon_DoNotRequireCTRLALTDEL
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotRequireCTRLALTDEL
Интерактивный вход: не требуется CTRL+ALT+DEL. Этот параметр безопасности определяет, требуется ли нажатие клавиш CTRL+ALT+DEL, прежде чем пользователь сможет войти в систему. Если эта политика включена на компьютере, пользователю не требуется нажимать клавиши CTRL+ALT+DEL, чтобы войти в систему. Если не нажать клавиши CTRL+ALT+DEL, пользователи будут уязвимы для атак, пытающихся перехватить пароли пользователей. Требование ctrl+ALT+DEL перед входом пользователей в систему гарантирует, что пользователи взаимодействуют по доверенному пути при вводе паролей. Если эта политика отключена, любой пользователь должен нажать клавиши CTRL+ALT+DEL перед входом в Windows. По умолчанию на компьютерах домена: включено: по крайней мере Windows 8/Отключено: Windows 7 или более ранней версии. По умолчанию на автономных компьютерах: включено.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Отключено. |
| 1 (по умолчанию) | Включено (пользователю не требуется нажимать клавиши CTRL+ALT+DEL, чтобы войти в систему). |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Интерактивный вход: не требуется ctrl+ALT+DEL |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
InteractiveLogon_MachineAccountLockoutThreshold
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MachineAccountLockoutThreshold
Интерактивный вход: пороговое значение учетной записи компьютера. Политика блокировки компьютера применяется только на тех компьютерах, на которых включен BitLocker для защиты томов ОС. Убедитесь, что включены соответствующие политики резервного копирования паролей восстановления. Этот параметр безопасности определяет количество неудачных попыток входа, что приводит к блокировке компьютера. Заблокированный компьютер можно восстановить только путем предоставления ключа восстановления в консоли. Можно задать значение от 1 до 999 неудачных попыток входа. Если задать значение 0, компьютер никогда не будет заблокирован. Значения от 1 до 3 будут интерпретироваться как 4. Неудачные попытки ввода пароля на рабочих станциях или рядовых серверах, которые были заблокированы с помощью клавиш CTRL+ALT+DELETE или защищенных паролем заставок, считаются неудачными попытками входа. Политика блокировки компьютера применяется только на тех компьютерах, на которых включен BitLocker для защиты томов ОС. Убедитесь, что включены соответствующие политики резервного копирования паролей восстановления. Значение по умолчанию: 0.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-999] |
| Значение по умолчанию | 0 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Интерактивный вход в систему: пороговое число неудачных попыток входа |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
InteractiveLogon_MachineInactivityLimit
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MachineInactivityLimit
Интерактивный вход: ограничение на бездействие компьютера. Windows отмечает бездействие сеанса входа в систему, и если время неактивности превышает ограничение активности, заставка запустится, заблокируя сеанс. По умолчанию: не применяется.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-599940] |
| Значение по умолчанию | 0 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Интерактивный вход в систему: предел простоя компьютера |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
Проверка:
Допустимые значения: от 0 до 599940, где значение — это время бездействия (в секундах), после которого сеанс будет заблокирован. Если задано значение ноль (0), параметр отключен.
InteractiveLogon_MessageTextForUsersAttemptingToLogOn
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MessageTextForUsersAttemptingToLogOn
Интерактивный вход: текст сообщения для пользователей, пытающихся войти в этот параметр безопасности, указывает текстовое сообщение, отображаемое пользователям при входе в систему. Этот текст часто используется по юридическим причинам, например, чтобы предупредить пользователей о последствиях неправильного использования информации о компании или предупредить их о том, что их действия могут быть проверены. По умолчанию: нет сообщения.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Список (разделитель: 0xF000) |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Интерактивный вход в систему: текст сообщения для пользователей при входе в систему |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
InteractiveLogon_MessageTitleForUsersAttemptingToLogOn
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MessageTitleForUsersAttemptingToLogOn
Интерактивный вход: заголовок сообщения для пользователей, пытающихся войти в систему. Этот параметр безопасности позволяет отображать спецификацию заголовка в строке заголовка окна, содержащего текст интерактивного входа: сообщение для пользователей, пытающихся войти в систему. По умолчанию: нет сообщения.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Интерактивный вход в систему: заголовок сообщения для пользователей при входе в систему |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
InteractiveLogon_NumberOfPreviousLogonsToCache
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_NumberOfPreviousLogonsToCache
Интерактивный вход. Количество предыдущих входов в кэш (если контроллер домена недоступен). Сведения о входе каждого уникального пользователя кэшируются локально, чтобы в случае, если контроллер домена был недоступен во время последующих попыток входа, он мог войти в систему. Кэшированные сведения о входе хранятся из предыдущего сеанса входа. Если контроллер домена недоступен и сведения о входе пользователя не кэшируются, пользователю будет предложено следующее сообщение: В настоящее время нет доступных серверов входа для обслуживания запроса на вход. В этом параметре политики значение 0 отключает кэширование входа. Любое значение выше 50 кэширует только 50 попыток входа. Windows поддерживает не более 50 записей кэша, и количество записей, используемых для каждого пользователя, зависит от учетных данных. Например, в системе Windows можно кэшировать не более 50 уникальных учетных записей пользователей паролей, но кэшировать можно только 25 учетных записей пользователей интеллектуальных карта, так как хранятся как сведения о пароле, так и сведения о смарт-карта. Когда пользователь с кэшируемыми сведениями о входе в систему снова входит в систему, отдельные кэшированные сведения пользователя заменяются. По умолчанию: Windows Server 2008: 25 Все остальные версии: 10.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 10 |
InteractiveLogon_PromptUserToChangePasswordBeforeExpiration
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_PromptUserToChangePasswordBeforeExpiration
Интерактивный вход. Запрос пользователя на изменение пароля до истечения срока действия Определяет, насколько далеко вперед (в днях) пользователи будут предупреждаться о том, что срок действия пароля скоро истечет. С этим предварительным предупреждением у пользователя есть время для создания достаточно надежного пароля. По умолчанию: 5 дней.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-999] |
| Значение по умолчанию | 5 |
InteractiveLogon_SmartCardRemovalBehavior
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1803 [10.0.17134] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_SmartCardRemovalBehavior
Интерактивный вход: поведение удаления смарт-карта. Этот параметр безопасности определяет, что происходит при удалении интеллектуального карта для вошедшего пользователя из средства чтения смарт-карта. Возможные варианты: Отключение отключения рабочей станции без блокировки действий при отключении при сеансе служб удаленных рабочих столов. Если щелкнуть Заблокировать рабочую станцию в диалоговом окне Свойства этой политики, рабочая станция блокируется при удалении смарт-карта, что позволяет пользователям покинуть область, взять с собой интеллектуальные карта и по-прежнему поддерживать защищенный сеанс. Если щелкнуть Принудительный выход из системы в диалоговом окне Свойства для этой политики, пользователь автоматически будет выходить из системы при удалении смарт-карта. Если щелкнуть Отключить, если сеанс служб удаленных рабочих столов, удаление смарт-карта отключает сеанс без выхода пользователя из системы. Это позволяет пользователю вставлять смарт-карта и возобновлять сеанс позже или на другом компьютере с карта, оснащенном читателем, без необходимости повторного входа в систему. Если сеанс является локальным, эта политика работает так же, как и Блокировка рабочей станции.
Примечание.
В предыдущих версиях Windows Server службы удаленных рабочих столов назывались службами терминалов. По умолчанию. Эта политика не определена, что означает, что система обрабатывает ее как нет действия. В Windows Vista и более поздних версиях: чтобы этот параметр работал, необходимо запустить службу политики удаления смарт-карт.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Нет действий. |
| 1 | Блокировка рабочей станции. |
| 2 | Принудительный выход из системы. |
| 3 | Отключение, если сеанс служб удаленных рабочих столов. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Интерактивный вход в систему: поведение при извлечении смарт-карты |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
MicrosoftNetworkClient_DigitallySignCommunicationsAlways
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsAlways
Сетевой клиент Майкрософт: обмен данными о цифровой подписи (всегда). Этот параметр безопасности определяет, требуется ли подписывание пакетов компоненту клиента SMB. Протокол SMB обеспечивает общий доступ к файлам и печати Майкрософт, а также многие другие сетевые операции, такие как удаленное администрирование Windows. Чтобы предотвратить атаки типа "злоумышленник в середине", которые изменяют пакеты SMB при передаче, протокол SMB поддерживает цифровую подпись пакетов SMB. Этот параметр политики определяет, должна ли быть согласована подпись пакетов SMB, прежде чем будет разрешено дальнейшее взаимодействие с сервером SMB.
Если этот параметр включен, сетевой клиент Майкрософт не будет взаимодействовать с сетевым сервером Майкрософт, если только этот сервер не согласится выполнить подписывание пакетов SMB.
Если эта политика отключена, подписывание пакетов SMB согласовывается между клиентом и сервером. По умолчанию: отключено.
Важно.
Чтобы эта политика действовала на компьютерах под управлением Windows 2000, необходимо также включить подписывание пакетов на стороне клиента. Чтобы включить подписывание пакетов SMB на стороне клиента, установите параметр Microsoft Network Client: Digitally signs communications (если сервер соглашается).
Примечание.
Все операционные системы Windows поддерживают как клиентский компонент SMB, так и компонент SMB на стороне сервера. В операционных системах Windows 2000 и более поздних версий включение или требование подписывания пакетов для клиентских и серверных компонентов SMB управляется следующими четырьмя параметрами политики: сетевой клиент Майкрософт: обмен данными о цифровой подписи (всегда) — определяет, требуется ли подписывание пакетов для компонента SMB на стороне клиента. Сетевой клиент Майкрософт: цифровая подпись сообщений (если сервер согласен) — определяет, включено ли подписывание пакетов в компоненте SMB на стороне клиента. Сетевой сервер Майкрософт: цифровая подпись (всегда) — определяет, требуется ли подписывание пакетов компоненту SMB на стороне сервера. Сетевой сервер Майкрософт. Цифровая подпись сообщений (если клиент согласен) — определяет, включена ли подписывание пакетов компонентом SMB на стороне сервера. Подписывание пакетов SMB может значительно снизить производительность SMB в зависимости от версии диалекта, версии ОС, размеров файлов, возможностей разгрузки процессора и поведения операций ввода-вывода приложения. Дополнительные сведения см. в статье<https://go.microsoft.com/fwlink/?LinkID=787136>.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Включить. |
| 0 (по умолчанию) | Отключить. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Клиент сети Microsoft: использовать цифровую подпись (всегда) |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1803 [10.0.17134] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees
Сетевой клиент Майкрософт: цифровая подпись сообщений (если сервер согласен). Этот параметр безопасности определяет, пытается ли клиент SMB согласовать подписывание пакетов SMB. Протокол SMB обеспечивает общий доступ к файлам и печати Майкрософт, а также многие другие сетевые операции, такие как удаленное администрирование Windows. Чтобы предотвратить атаки типа "злоумышленник в середине", которые изменяют пакеты SMB при передаче, протокол SMB поддерживает цифровую подпись пакетов SMB. Этот параметр политики определяет, пытается ли клиентский компонент SMB согласовать подписывание пакетов SMB при подключении к серверу SMB.
Если этот параметр включен, сетевой клиент Майкрософт попросит сервер выполнить подписывание пакетов SMB при настройке сеанса. Если на сервере включено подписывание пакетов, подписывание пакетов будет согласовано.
Если эта политика отключена, клиент SMB никогда не будет согласовывать подписывание пакетов SMB. По умолчанию: включено.
Примечание.
Все операционные системы Windows поддерживают как клиентский компонент SMB, так и компонент SMB на стороне сервера. В Windows 2000 и более поздних версиях включение или требование подписывания пакетов для клиентских и серверных компонентов SMB управляется следующими четырьмя параметрами политики: сетевой клиент Майкрософт: обмен данными о цифровой подписи (всегда) — определяет, требуется ли подписывание пакетов для компонента SMB на стороне клиента. Сетевой клиент Майкрософт: цифровая подпись сообщений (если сервер согласен) — определяет, включено ли подписывание пакетов в компоненте SMB на стороне клиента. Сетевой сервер Майкрософт: цифровая подпись (всегда) — определяет, требуется ли подписывание пакетов компоненту SMB на стороне сервера. Сетевой сервер Майкрософт. Цифровая подпись сообщений (если клиент согласен) — определяет, включена ли подписывание пакетов компонентом SMB на стороне сервера. Если подписывание SMB на стороне клиента и на стороне сервера включено и клиент устанавливает подключение SMB 1.0 к серверу, будет предпринята попытка подписывания SMB. Подписывание пакетов SMB может значительно снизить производительность SMB в зависимости от версии диалекта, версии ОС, размеров файлов, возможностей разгрузки процессора и поведения операций ввода-вывода приложения. Этот параметр применяется только к подключениям SMB 1.0. Дополнительные сведения см. в статье<https://go.microsoft.com/fwlink/?LinkID=787136>.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 (по умолчанию) | Включить. |
| 0 | Отключить. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера) |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1803 [10.0.17134] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers
Сетевой клиент Майкрософт. Отправка незашифрованного пароля для подключения к сторонним серверам SMB. Если этот параметр безопасности включен, перенаправлению SMB разрешено отправлять пароли в виде открытого текста на серверы SMB сторонних производителей, которые не поддерживают шифрование паролей во время проверки подлинности. Отправка незашифрованных паролей представляет угрозу безопасности. По умолчанию: отключено.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Включить. |
| 0 (по умолчанию) | Отключить. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Клиент сети Microsoft: отправлять незашифрованный пароль сторонним SMB-серверам |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
MicrosoftNetworkServer_AmountOfIdleTimeRequiredBeforeSuspendingSession
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_AmountOfIdleTimeRequiredBeforeSuspendingSession
Сетевой сервер Майкрософт: время простоя, необходимое для приостановки сеанса. Этот параметр безопасности определяет время непрерывного простоя, которое должно пройти в сеансе SMB перед приостановкой сеанса из-за бездействия. Администраторы могут использовать эту политику для управления тем, когда компьютер приостанавливает неактивный сеанс SMB. Если активность клиента возобновляется, сеанс автоматически восстанавливается. Для этого параметра политики значение 0 означает отключение сеанса простоя как можно быстрее. Максимальное значение — 99999, то есть 208 дней; в действии это значение отключает политику. По умолчанию. Эта политика не определена, что означает, что система обрабатывает ее как 15 минут для серверов и не определено для рабочих станций.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-99999] |
| Значение по умолчанию | 99999 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Сервер сети Microsoft: время бездействия до приостановки сеанса |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
MicrosoftNetworkServer_DigitallySignCommunicationsAlways
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1803 [10.0.17134] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsAlways
Сетевой сервер Майкрософт. Связь с цифровой подписью (всегда) Этот параметр безопасности определяет, требуется ли подписывание пакетов компоненту сервера SMB. Протокол SMB обеспечивает общий доступ к файлам и печати Майкрософт, а также многие другие сетевые операции, такие как удаленное администрирование Windows. Чтобы предотвратить атаки типа "злоумышленник в середине", которые изменяют пакеты SMB при передаче, протокол SMB поддерживает цифровую подпись пакетов SMB. Этот параметр политики определяет, нужно ли согласовывать подписывание пакетов SMB, прежде чем будет разрешено дальнейшее взаимодействие с клиентом SMB.
Если этот параметр включен, сетевой сервер Майкрософт не будет взаимодействовать с сетевым клиентом Майкрософт, если он не согласится выполнить подписывание пакетов SMB.
Если этот параметр отключен, подписывание пакетов SMB согласовывается между клиентом и сервером. Значение по умолчанию: отключено для рядового сервера. Включено для контроллеров домена.
Примечание.
Все операционные системы Windows поддерживают как клиентский компонент SMB, так и компонент SMB на стороне сервера. В Windows 2000 и более поздних версиях включение или требование подписывания пакетов для клиентских и серверных компонентов SMB управляется следующими четырьмя параметрами политики: сетевой клиент Майкрософт: обмен данными о цифровой подписи (всегда) — определяет, требуется ли подписывание пакетов для компонента SMB на стороне клиента. Сетевой клиент Майкрософт: цифровая подпись сообщений (если сервер согласен) — определяет, включено ли подписывание пакетов в компоненте SMB на стороне клиента. Сетевой сервер Майкрософт: цифровая подпись (всегда) — определяет, требуется ли подписывание пакетов компоненту SMB на стороне сервера. Сетевой сервер Майкрософт. Цифровая подпись сообщений (если клиент согласен) — определяет, включена ли подписывание пакетов компонентом SMB на стороне сервера. Аналогичным образом, если требуется подписывание SMB на стороне клиента, этот клиент не сможет установить сеанс с серверами, на которых не включено подписывание пакетов. По умолчанию подписывание SMB на стороне сервера включено только на контроллерах домена. Если включено подписывание SMB на стороне сервера, подписывание пакетов SMB будет согласовываться с клиентами, для которых включено подписывание SMB на стороне клиента. Подписывание пакетов SMB может значительно снизить производительность SMB в зависимости от версии диалекта, версии ОС, размеров файлов, возможностей разгрузки процессора и поведения операций ввода-вывода приложения.
Важно.
Чтобы эта политика действовала на компьютерах под управлением Windows 2000, необходимо также включить подписывание пакетов на стороне сервера. Чтобы включить подписывание пакетов SMB на стороне сервера, задайте следующую политику: Microsoft Network Server: Digital sign communications (если сервер согласен) Для серверов Windows 2000 для согласования подписывания с клиентами Windows NT 4.0 на сервере Windows 2000 необходимо задать следующее значение реестра: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Дополнительные сведения см. в справочнике.<https://go.microsoft.com/fwlink/?LinkID=787136>
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Включить. |
| 0 (по умолчанию) | Отключить. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Сервер сети Microsoft: использовать цифровую подпись (всегда) |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1803 [10.0.17134] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees
Сетевой сервер Майкрософт: цифровая подпись сообщений (если клиент соглашается). Этот параметр безопасности определяет, будет ли SMB-сервер согласовывать подписывание SMB-пакетов с клиентами, которые его запрашивают. Протокол SMB обеспечивает общий доступ к файлам и печати Майкрософт, а также многие другие сетевые операции, такие как удаленное администрирование Windows. Чтобы предотвратить атаки типа "злоумышленник в середине", которые изменяют пакеты SMB при передаче, протокол SMB поддерживает цифровую подпись пакетов SMB. Этот параметр политики определяет, будет ли сервер SMB согласовывать подписывание пакетов SMB, когда клиент SMB запрашивает его.
Если этот параметр включен, сетевой сервер Майкрософт будет согласовывать подписывание пакетов SMB по запросу клиента. То есть, если на клиенте включено подписывание пакетов, подписывание пакетов будет согласовано.
Если эта политика отключена, клиент SMB никогда не будет согласовывать подписывание пакетов SMB. По умолчанию: включено только на контроллерах домена.
Важно.
Чтобы серверы Windows 2000 согласовывали подписывание с клиентами Windows NT 4.0, на сервере под управлением Windows 2000 должно быть установлено значение 1: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Notes Все операционные системы Windows поддерживают как клиентский компонент SMB, так и компонент SMB на стороне сервера. В Windows 2000 и более поздних версий включение или требование подписывания пакетов для компонентов SMB на стороне клиента и сервера управляется следующими четырьмя параметрами политики: сетевой клиент Майкрософт: обмен данными о цифровой подписи (всегда) — определяет, требуется ли подписывание пакетов для компонента SMB на стороне клиента. Сетевой клиент Майкрософт: цифровая подпись сообщений (если сервер согласен) — определяет, включено ли подписывание пакетов в компоненте SMB на стороне клиента. Сетевой сервер Майкрософт: цифровая подпись (всегда) — определяет, требуется ли подписывание пакетов компоненту SMB на стороне сервера. Сетевой сервер Майкрософт. Цифровая подпись сообщений (если клиент согласен) — определяет, включена ли подписывание пакетов компонентом SMB на стороне сервера. Если подписывание SMB на стороне клиента и на стороне сервера включено и клиент устанавливает подключение SMB 1.0 к серверу, будет предпринята попытка подписывания SMB. Подписывание пакетов SMB может значительно снизить производительность SMB в зависимости от версии диалекта, версии ОС, размеров файлов, возможностей разгрузки процессора и поведения операций ввода-вывода приложения. Этот параметр применяется только к подключениям SMB 1.0. Дополнительные сведения см. в статье<https://go.microsoft.com/fwlink/?LinkID=787136>.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Включить. |
| 0 (по умолчанию) | Отключить. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента) |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
MicrosoftNetworkServer_DisconnectClientsWhenLogonHoursExpire
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DisconnectClientsWhenLogonHoursExpire
Сетевой сервер Майкрософт. Отключение клиентов по истечении времени входа. Этот параметр безопасности определяет, следует ли отключать пользователей, подключенных к локальному компьютеру за пределами допустимого времени входа в учетную запись пользователя. Этот параметр влияет на компонент SMB. Если эта политика включена, сеансы клиента со службой SMB принудительно отключаются по истечении времени входа клиента. Если эта политика отключена, установленный сеанс клиента может поддерживаться по истечении времени входа клиента. По умолчанию в Windows Vista и более поздних версиях: включено. По умолчанию в Windows XP: отключено.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-1] |
| Значение по умолчанию | 1 |
MicrosoftNetworkServer_ServerSPNTargetNameValidationLevel
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_ServerSPNTargetNameValidationLevel
Сетевой сервер Майкрософт: уровень проверки имени целевого имени субъекта-службы. Этот параметр политики определяет уровень проверки, выполняемой компьютером с общими папками или принтерами (сервером), для имени субъекта-службы , предоставленного клиентским компьютером при создании сеанса с использованием протокола SMB. Протокол SMB обеспечивает основу для общего доступа к файлам и печати, а также для других сетевых операций, таких как удаленное администрирование Windows. Протокол SMB поддерживает проверку имени субъекта-службы сервера SMB в большом двоичном объекте проверки подлинности, предоставленном клиентом SMB, чтобы предотвратить класс атак на серверы SMB, называемый атаками ретранслятора SMB. Этот параметр повлияет на SMB1 и SMB2. Этот параметр безопасности определяет уровень проверки, выполняемой сервером SMB для имени субъекта-службы (SPN), предоставленного клиентом SMB при попытке установить сеанс на SMB-сервере. Параметры: Выкл. Имя субъекта-службы не требуется или не проверяется сервером SMB из клиента SMB. Примите, если предоставлено клиентом. Сервер SMB примет и проверит имя субъекта-службы, предоставленное клиентом SMB, и разрешит установить сеанс, если он соответствует списку SMB-сервера имени субъекта-службы для себя. Если имя субъекта-службы не совпадает, запрос сеанса для этого клиента SMB будет отклонен. Требуется от клиента. Клиент SMB должен отправить имя имени субъекта-службы при настройке сеанса, а указанное имя субъекта-службы ДОЛЖНО соответствовать серверу SMB, запрашиваемого для установки подключения. Если клиент не предоставляет имя субъекта-службы или предоставленное имя субъекта-службы не совпадает, сеанс отклоняется. Значение по умолчанию. Все операционные системы Windows поддерживают как клиентский компонент SMB, так и серверный компонент SMB. Этот параметр влияет на поведение сервера SMB, и его реализация должна быть тщательно оценена и протестирована, чтобы предотвратить перебои с возможностями обслуживания файлов и печати. Дополнительные сведения о реализации и использовании для защиты серверов SMB можно найти на веб-сайте Майкрософт (https://go.microsoft.com/fwlink/?LinkId=144505).
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-2] |
| Значение по умолчанию | 0 |
NetworkAccess_AllowAnonymousSIDOrNameTranslation
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_AllowAnonymousSIDOrNameTranslation
Доступ к сети: разрешить преобразование анонимного идентификатора безопасности или имени. Этот параметр политики определяет, может ли анонимный пользователь запрашивать атрибуты идентификатора безопасности (SID) для другого пользователя.
Если эта политика включена, анонимный пользователь может запросить атрибут SID для другого пользователя. Анонимный пользователь со знанием идентификатора безопасности администратора может связаться с компьютером, на который включена эта политика, и использовать идентификатор безопасности для получения имени администратора. Этот параметр влияет как на преобразование sid-to-name, так и на преобразование "имя в идентификатор безопасности".
Если этот параметр политики отключен, анонимный пользователь не сможет запросить атрибут SID для другого пользователя. По умолчанию на рабочих станциях и рядовых серверах: отключено. По умолчанию на контроллерах домена под управлением Windows Server 2008 или более поздней версии: отключено. По умолчанию на контроллерах домена под управлением Windows Server 2003 R2 или более ранней версии: включено.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Включить. |
| 0 (по умолчанию) | Отключить. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Сетевой доступ: разрешить анонимный перевод идентификаторов безопасности или имени |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1803 [10.0.17134] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts
Доступ к сети: не разрешайте анонимное перечисление учетных записей SAM. Этот параметр безопасности определяет, какие дополнительные разрешения будут предоставлены для анонимных подключений к компьютеру. Windows позволяет анонимным пользователям выполнять определенные действия, такие как перечисление имен учетных записей домена и общих сетевых ресурсов. Это удобно, например, когда администратор хочет предоставить доступ пользователям в доверенном домене, который не поддерживает взаимное доверие. Этот параметр безопасности позволяет накладывать дополнительные ограничения на анонимные подключения следующим образом: Включено: Не разрешать перечисление учетных записей SAM. Этот параметр заменяет Все на пользователи, прошедшие проверку подлинности, в разрешениях безопасности для ресурсов. Отключено: нет дополнительных ограничений. Полагайтесь на разрешения по умолчанию. На рабочих станциях по умолчанию: включено. Значение по умолчанию для server:Enabled.
Важно.
Эта политика не влияет на контроллеры домена.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 (по умолчанию) | Включено. |
| 0 | Отключено. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Сетевой доступ: не разрешайте анонимное перечисление учетных записей SAM. |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1803 [10.0.17134] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares
Доступ к сети: не разрешайте анонимное перечисление учетных записей и общих папок SAM. Этот параметр безопасности определяет, разрешено ли анонимное перечисление учетных записей SAM и общих папок. Windows позволяет анонимным пользователям выполнять определенные действия, такие как перечисление имен учетных записей домена и общих сетевых ресурсов. Это удобно, например, когда администратор хочет предоставить доступ пользователям в доверенном домене, который не поддерживает взаимное доверие. Если вы не хотите разрешать анонимное перечисление учетных записей и общих папок SAM, включите эту политику. По умолчанию: отключено.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Включено. |
| 0 (по умолчанию) | Служба отключена. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Доступ к сети: не разрешайте анонимное перечисление учетных записей и общих папок SAM. |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
NetworkAccess_DoNotAllowStorageOfPasswordsAndCredentialsForNetworkAuthentication
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowStorageOfPasswordsAndCredentialsForNetworkAuthentication
Доступ к сети. Не разрешайте хранение паролей и учетных данных для проверки подлинности сети Этот параметр безопасности определяет, сохраняет ли диспетчер учетных данных пароли и учетные данные для последующего использования при получении проверки подлинности домена.
Если этот параметр включен, диспетчер учетных данных не сохраняет пароли и учетные данные на компьютере.
Если этот параметр политики отключен или не настроен, диспетчер учетных данных будет хранить пароли и учетные данные на этом компьютере для последующего использования для проверки подлинности домена.
Примечание.
При настройке этого параметра безопасности изменения не вступают в силу до перезапуска Windows. По умолчанию: отключено.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-1] |
| Значение по умолчанию | 0 |
NetworkAccess_LetEveryonePermissionsApplyToAnonymousUsers
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_LetEveryonePermissionsApplyToAnonymousUsers
Доступ к сети: разрешить всем применять разрешения к анонимным пользователям. Этот параметр безопасности определяет, какие дополнительные разрешения предоставляются для анонимных подключений к компьютеру. Windows позволяет анонимным пользователям выполнять определенные действия, такие как перечисление имен учетных записей домена и общих сетевых ресурсов. Это удобно, например, когда администратор хочет предоставить доступ пользователям в доверенном домене, который не поддерживает взаимное доверие. По умолчанию идентификатор безопасности (SID) всех удаляется из маркера, созданного для анонимных подключений. Поэтому разрешения, предоставленные группе Все, не применяются к анонимным пользователям. Если этот параметр задан, анонимные пользователи могут получить доступ только к тем ресурсам, для которых анонимный пользователь явно получил разрешение. Если эта политика включена, идентификатор безопасности "Все" добавляется к маркеру, созданному для анонимных подключений. В этом случае анонимные пользователи могут получить доступ к любому ресурсу, для которого группе Все предоставлены разрешения. По умолчанию: отключено.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-1] |
| Значение по умолчанию | 0 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Сетевой доступ: разрешать применение разрешений «Для всех» к анонимным пользователям |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
NetworkAccess_NamedPipesThatCanBeAccessedAnonymously
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_NamedPipesThatCanBeAccessedAnonymously
Доступ к сети: именованные каналы, к которым можно получить анонимный доступ. Этот параметр безопасности определяет, какие сеансы связи (каналы) будут иметь атрибуты и разрешения, разрешающие анонимный доступ. По умолчанию: нет.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Список (разделитель: ,) |
NetworkAccess_RemotelyAccessibleRegistryPaths
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RemotelyAccessibleRegistryPaths
Сетевой доступ: удаленные пути к реестру. Этот параметр безопасности определяет, к каким разделам реестра можно получить доступ по сети, независимо от пользователей или групп, перечисленных в списке управления доступом (ACL) раздела реестра winreg. По умолчанию: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Внимание. Неправильное изменение реестра может серьезно повредить систему. Перед внесением изменений в реестр следует создать резервную копию всех важных данных на компьютере.
Примечание.
Этот параметр безопасности недоступен в более ранних версиях Windows. Параметр безопасности, отображаемый на компьютерах под управлением Windows XP, "Сетевой доступ: пути к удаленному доступу к реестру" соответствует параметру безопасности "Сетевой доступ: удаленные пути к реестру и вложенные пути" для членов семейства Windows Server 2003. Дополнительные сведения см. в статье Сетевой доступ: пути к реестру и подпутьи к удаленному доступу.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Список (разделитель: ,) |
NetworkAccess_RemotelyAccessibleRegistryPathsAndSubpaths
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RemotelyAccessibleRegistryPathsAndSubpaths
Сетевой доступ. Удаленные доступные пути к реестру и подпутьи. Этот параметр безопасности определяет, к каким путям реестра и подпутьям можно получить доступ по сети независимо от пользователей или групп, перечисленных в списке управления доступом (ACL) раздела реестра winreg. По умолчанию: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\ UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog System\CurrentControlSet\Services\CertSvc System\CurrentControlSet\Services\Wins Внимание! Неправильное изменение реестра может серьезно повредить систему. Перед внесением изменений в реестр следует создать резервную копию всех важных данных на компьютере.
Примечание.
В Windows XP этот параметр безопасности назывался "Сетевой доступ: пути к удаленному доступу к реестру". Если этот параметр настроен для члена семейства Windows Server 2003, присоединенного к домену, этот параметр наследуется компьютерами под управлением Windows XP, но будет отображаться как параметр безопасности "Сетевой доступ: пути к удаленному доступу к реестру". Дополнительные сведения см. в статье Сетевой доступ: пути к реестру и подпутьи к удаленному доступу.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Список (разделитель: ,) |
NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1803 [10.0.17134] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares
Сетевой доступ. Ограничение анонимного доступа к именованным каналам и общим папкам Если этот параметр безопасности включен, анонимный доступ к общим папкам и каналам ограничивается параметрами для: Сетевой доступ: Именованные каналы, к которым можно получить анонимный доступ Сетевой доступ: Общие папки, к которым можно получить анонимный доступ По умолчанию: Включено.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 (по умолчанию) | Включить. |
| 0 | Отключить. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Сетевой доступ: запретить анонимный доступ к именованным каналам и общим ресурсам |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM
Доступ к сети. Ограничение клиентов, которым разрешено совершать удаленные вызовы к SAM. Этот параметр политики позволяет ограничить удаленные RPC-подключения к SAM. Если этот параметр не выбран, будет использоваться дескриптор безопасности по умолчанию. Эта политика поддерживается по крайней мере Windows Server 2016.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Доступ к сети: ограничение на совершение удаленных вызовов SAM для клиентов |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
NetworkAccess_SharesThatCanBeAccessedAnonymously
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_SharesThatCanBeAccessedAnonymously
Сетевой доступ: общие папки, к которым можно получить анонимный доступ. Этот параметр безопасности определяет, к каким сетевым ресурсам могут обращаться анонимные пользователи. По умолчанию: нет указанного значения.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Список (разделитель: ,) |
NetworkAccess_SharingAndSecurityModelForLocalAccounts
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_SharingAndSecurityModelForLocalAccounts
Сетевой доступ: модель общего доступа и безопасности для локальных учетных записей Этот параметр безопасности определяет, как проходят проверку подлинности сетевых входов, использующих локальные учетные записи. Если для этого параметра задано значение Классическая, сетевые входы, использующие учетные данные локальной учетной записи, проходят проверку подлинности с помощью этих учетных данных. Классическая модель обеспечивает точное управление доступом к ресурсам. С помощью классической модели можно предоставить разные типы доступа разным пользователям для одного и того же ресурса. Если для этого параметра задано значение Только гостевой, сетевые входы, использующие локальные учетные записи, автоматически сопоставляются с гостевой учетной записью. Используя гостевую модель, вы можете одинаково относиться ко всем пользователям. Все пользователи проходят проверку подлинности как гость, и все они получают одинаковый уровень доступа к заданному ресурсу, который может быть доступен только для чтения или Изменить. По умолчанию на компьютерах домена: классическая. По умолчанию на автономных компьютерах: только гость важно. В модели только гость любой пользователь, который может получить доступ к вашему компьютеру по сети (включая анонимных пользователей Интернета), может получить доступ к общим ресурсам. Чтобы защитить компьютер от несанкционированного доступа, необходимо использовать брандмауэр Windows или другое аналогичное устройство. Аналогичным образом, в классической модели локальные учетные записи должны быть защищены паролем; В противном случае эти учетные записи пользователей могут использоваться любым пользователем для доступа к общим системным ресурсам.
Примечание.
Этот параметр не влияет на интерактивные входы, выполняемые удаленно с помощью таких служб, как Telnet или службы удаленных рабочих столов. В предыдущих версиях Windows Server службы удаленных рабочих столов назывались службами терминалов. Эта политика не повлияет на компьютеры под управлением Windows 2000. Если компьютер не присоединен к домену, этот параметр также изменяет вкладки Общий доступ и безопасность в проводник в соответствии с используемой моделью общего доступа и безопасности.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-1] |
| Значение по умолчанию | 0 |
NetworkSecurity_AllowLocalSystemNULLSessionFallback
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemNULLSessionFallback
Безопасность сети. Разрешить резервный сеанс LocalSystem NULL Разрешить NTLM вернуться к сеансу NULL при использовании с LocalSystem. Значение по умолчанию — TRUE до Windows Vista и FALSE в Windows 7.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-1] |
| Значение по умолчанию | 1 |
NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM
Безопасность сети. Разрешить локальной системе использовать удостоверение компьютера для NTLM. Этот параметр политики позволяет локальным системным службам, используюющим Negotiate, использовать удостоверение компьютера при возврате к проверке подлинности NTLM.
Если этот параметр политики включен, удостоверения компьютера будут использоваться в службах, работающих под управлением локальной системы и использующих Согласование. Это может привести к сбою некоторых запросов проверки подлинности между операционными системами Windows и регистрации ошибки.
Если этот параметр политики отключен, службы, работающие как локальная система, которые используют Согласование при возврате к проверке подлинности NTLM, будут проходить анонимную проверку подлинности. По умолчанию эта политика включена в Windows 7 и более поздних версиях. По умолчанию эта политика отключена в Windows Vista. Эта политика поддерживается по крайней мере в Windows Vista или Windows Server 2008.
Примечание.
Windows Vista или Windows Server 2008 не предоставляют этот параметр в групповая политика.
- Когда служба подключается с удостоверением устройства, для обеспечения защиты данных поддерживаются подписывание и шифрование.
- При анонимном подключении службы создается ключ сеанса, созданный системой, который не обеспечивает защиты, но позволяет приложениям подписывать и шифровать данные без ошибок. Анонимная проверка подлинности использует сеанс NULL, который является сеансом с сервером, в котором не выполняется проверка подлинности пользователя; и, следовательно, анонимный доступ разрешен.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 (по умолчанию) | Разрешить |
| 0 | Блокировка. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Сетевая безопасность: разрешить учетной записи локальной системы использовать удостоверение компьютера для NTLM |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
NetworkSecurity_AllowPKU2UAuthenticationRequests
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowPKU2UAuthenticationRequests
Безопасность сети: разрешить запросы проверки подлинности PKU2U на этот компьютер для использования сетевых удостоверений. Эта политика будет отключена по умолчанию на компьютерах, присоединенных к домену. Это помешает проверке подлинности сетевых удостоверений на компьютере, присоединенном к домену.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Блокировка. |
| 1 (по умолчанию) | Разрешить |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Безопасность сети: разрешить запросы проверки подлинности PKU2U на этот компьютер для использования сетевых удостоверений. |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange
Примечание.
Эта политика является устаревшей и может быть удалена в будущем выпуске.
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1803 [10.0.17134] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange
Безопасность сети. Не сохраняйте значение хэша LAN Manager при следующем изменении пароля. Этот параметр безопасности определяет, сохраняется ли хэш-значение LAN Manager (LM) для нового пароля. Хэш LM относительно слаб и подвержен атакам по сравнению с криптографически более сильным Windows NT хэша. Так как хэш LM хранится на локальном компьютере в базе данных безопасности, пароли могут быть скомпрометированы при атаке на базу данных безопасности. По умолчанию в Windows Vista и более поздних версиях: включено Значение по умолчанию в Windows XP: отключено.
Важно.
Windows 2000 с пакетом обновления 2 (SP2) и более поздних версий обеспечивают совместимость с проверкой подлинности в предыдущих версиях Windows, таких как Microsoft Windows NT 4.0. Этот параметр может повлиять на способность компьютеров под управлением Windows 2000 Server, Windows 2000 Professional, Windows XP и семейства Windows Server 2003 взаимодействовать с компьютерами под управлением Windows 95 и Windows 98.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 (по умолчанию) | Включить. |
| 0 | Отключить. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Безопасность сети: не сохраняйте значение хэша LAN Manager при следующем изменении пароля |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
NetworkSecurity_ForceLogoffWhenLogonHoursExpire
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_ForceLogoffWhenLogonHoursExpire
Сетевая безопасность: принудительный выход из системы по истечении времени входа. Этот параметр безопасности определяет, следует ли отключать пользователей, подключенных к локальному компьютеру за пределами допустимого времени входа в учетную запись пользователя. Этот параметр влияет на компонент SMB. Если эта политика включена, сеансы клиента с сервером SMB принудительно отключаются по истечении времени входа клиента. Если эта политика отключена, установленный сеанс клиента может поддерживаться по истечении времени входа клиента. По умолчанию: включено.
Примечание.
Этот параметр безопасности ведет себя как политика учетной записи. Для учетных записей домена может быть только одна политика учетных записей. Политика учетных записей должна быть определена в политике домена по умолчанию и применяется контроллерами домена, составляющими домен. Контроллер домена всегда извлекает политику учетной записи из объекта групповая политика политики домена по умолчанию, даже если к подразделению организации, содержащей контроллер домена, применяется другая политика учетной записи. По умолчанию рабочие станции и серверы, присоединенные к домену (например, компьютеры-члены), также получают ту же политику учетных записей для своих локальных учетных записей. Однако политики локальных учетных записей для компьютеров-членов могут отличаться от политики учетных записей домена путем определения политики учетных записей для подразделения, содержащего компьютеры-члены. Параметры Kerberos не применяются к компьютерам-членам.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 (по умолчанию) | Включить. |
| 0 | Отключить. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Сетевая безопасность: принудительный вывод из сеанса по истечении допустимых часов работы |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
NetworkSecurity_LANManagerAuthenticationLevel
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1803 [10.0.17134] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_LANManagerAuthenticationLevel
Уровень проверки подлинности диспетчера сетевой сети. Этот параметр безопасности определяет, какой протокол проверки подлинности "запрос/ответ" используется для входа в сеть. Этот выбор влияет на уровень протокола проверки подлинности, используемый клиентами, уровень согласованной безопасности сеанса и уровень проверки подлинности, принятый серверами следующим образом: отправка ответов LM и NTLM: клиенты используют проверку подлинности LM и NTLM и никогда не используют безопасность сеанса NTLMv2; контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. Отправка LM и NTLM — используйте безопасность сеанса NTLMv2, если согласовано: клиенты используют проверку подлинности LM и NTLM и используют безопасность сеанса NTLMv2, если сервер поддерживает ее; контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. Отправка ответа NTLM. Клиенты используют только проверку подлинности NTLM и безопасность сеанса NTLMv2, если сервер поддерживает ее; контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. Отправлять только ответ NTLMv2. Клиенты используют только проверку подлинности NTLMv2 и безопасность сеанса NTLMv2, если сервер поддерживает ее; контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. Отправка ответа NTLMv2\отказ LM: клиенты используют только проверку подлинности NTLMv2 и безопасность сеанса NTLMv2, если сервер поддерживает ее; контроллеры домена отказываются от LM (принимают только проверку подлинности NTLM и NTLMv2). Отправка ответа NTLMv2\отказ LM и NTLM: клиенты используют только проверку подлинности NTLMv2 и безопасность сеанса NTLMv2, если сервер поддерживает ее; контроллеры домена отказываются от LM и NTLM (принимают только проверку подлинности NTLMv2).
Важно.
Этот параметр может повлиять на способность компьютеров под управлением Windows 2000 Server, Windows 2000 Professional, Windows XP Professional и семейства Windows Server 2003 взаимодействовать с компьютерами под управлением Windows NT 4.0 и более ранних версий по сети. Например, на момент написания этой статьи компьютеры под управлением Windows NT 4.0 с пакетом обновления 4 (SP4) и более ранних версий не поддерживали NTLMv2. Компьютеры под управлением Windows 95 и Windows 98 не поддерживали NTLM. По умолчанию: Windows 2000 и Windows XP: отправка ответов LM и NTLM Windows Server 2003: отправка ответа NTLM только Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2: только отправка ответа NTLMv2.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 3 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Отправка ответов LM и NTLM. |
| 1 | Отправка безопасности сеанса NTLMv2 с использованием LM и NTLM, если согласовано. |
| 2 | Отправлять только ответы LM и NTLM. |
| 3 (по умолчанию) | Отправлять только ответы LM и NTLMv2. |
| 4 | Отправлять только ответы LM и NTLMv2. Отказаться от LM. |
| 5 | Отправлять только ответы LM и NTLMv2. Отказаться от LM и NTLM. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Сетевая безопасность: уровень проверки подлинности LAN Manager |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
NetworkSecurity_LDAPClientSigningRequirements
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_LDAPClientSigningRequirements
Безопасность сети: требования к подписыванию клиента LDAP. Этот параметр безопасности определяет уровень подписи данных, запрашиваемый от имени клиентов, отправляющих запросы LDAP BIND, как показано ниже: Нет: запрос LDAP BIND отправляется с параметрами, заданными вызывающим объектом. Согласование подписывания. Если протокол TLS\SSL не запущен, запрос LDAP BIND инициируется с установленным параметром подписывания данных LDAP в дополнение к параметрам, заданным вызывающим объектом. Если протокол TLS\SSL запущен, запрос LDAP BIND инициируется с параметрами, заданными вызывающим объектом. Требовать подпись. Это то же самое, что и подписывание Negotiate. Однако если промежуточный ответ saslBindInProgress сервера LDAP не указывает, что требуется подписывание трафика LDAP, вызывающему абоненту сообщается, что запрос команды LDAP BIND завершился сбоем.
Предостережение
Если для сервера задано значение Требовать сигнатуру, необходимо также задать клиент. Если не задать клиент, соединение с сервером будет потеряно.
Примечание.
Этот параметр не влияет на ldap_simple_bind или ldap_simple_bind_s. Клиенты Microsoft LDAP, поставляемые с Windows XP Professional, не используют ldap_simple_bind или ldap_simple_bind_s для взаимодействия с контроллером домена. По умолчанию: согласование подписывания.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-2] |
| Значение по умолчанию | 1 |
NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients
Безопасность сети: минимальная безопасность сеанса для клиентов на основе NTLM SSP (включая защищенный RPC) Этот параметр безопасности позволяет клиенту требовать согласования 128-разрядного шифрования и (или) безопасности сеанса NTLMv2. Эти значения зависят от значения параметра безопасности уровня проверки подлинности LAN Manager. Возможные варианты: Требовать безопасность сеанса NTLMv2. Подключение завершится ошибкой, если протокол NTLMv2 не согласован. Требовать 128-разрядное шифрование. Подключение завершится сбоем, если не согласовано надежное шифрование (128-разрядное). По умолчанию: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 и Windows Server 2008: нет требований. Windows 7 и Windows Server 2008 R2: требуется 128-разрядное шифрование.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 536870912 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Нет. |
| 524288 | Требовать безопасность сеанса NTLMv2. |
| 536870912 (по умолчанию) | Требуется 128-разрядное шифрование. |
| 537395200 | Требовать NTLM и 128-разрядное шифрование. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLMSSP (включая безопасный RPC) |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1803 [10.0.17134] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers
Безопасность сети: минимальная безопасность сеанса для серверов на основе NTLM SSP (включая защищенный RPC) Этот параметр безопасности позволяет серверу требовать согласования 128-разрядного шифрования и (или) безопасности сеанса NTLMv2. Эти значения зависят от значения параметра безопасности уровня проверки подлинности LAN Manager. Возможные варианты: Требовать безопасность сеанса NTLMv2. Подключение завершится ошибкой, если целостность сообщений не согласована. Требуется 128-разрядное шифрование. Подключение завершится ошибкой, если не согласовано строгое шифрование (128-разрядное). По умолчанию: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 и Windows Server 2008: нет требований. Windows 7 и Windows Server 2008 R2: требуется 128-разрядное шифрование.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 536870912 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Нет. |
| 524288 | Требовать безопасность сеанса NTLMv2. |
| 536870912 (по умолчанию) | Требуется 128-разрядное шифрование. |
| 537395200 | Требовать NTLM и 128-разрядное шифрование. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Сетевая безопасность: минимальная сеансовая безопасность для серверов на базе NTLMSSP (включая безопасный RPC) |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
NetworkSecurity_RestrictNTLM_AddRemoteServerExceptionsForNTLMAuthentication
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1803 [10.0.17134] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AddRemoteServerExceptionsForNTLMAuthentication
Сетевая безопасность: ограничение NTLM: добавление исключений удаленного сервера для проверки подлинности NTLM. Этот параметр политики позволяет создать список исключений удаленных серверов, на которых клиентам разрешено использовать проверку подлинности NTLM, если настроен параметр политики "Сетевая безопасность: ограничение NTLM: исходящий трафик NTLM на удаленные серверы".
Если этот параметр политики настроен, можно определить список удаленных серверов, на которых клиентам разрешено использовать проверку подлинности NTLM.
Если этот параметр политики не настроен, исключения применяться не будут. Формат именования для серверов в этом списке исключений — это полное доменное имя (FQDN) или имя сервера NetBIOS, используемое приложением, в списке по одному на строку. Чтобы обеспечить исключения, имя, используемое всеми приложениями, должно быть в списке, а для обеспечения точности исключения имя сервера должно быть указано в обоих форматах именования . Одну звездочку (*) можно использовать в любом месте строки в качестве подстановочного знака.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Список (разделитель: 0xF000) |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Сетевая безопасность: ограничения NTLM: добавить удаленные серверы в исключения проверки подлинности NTLM. |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
NetworkSecurity_RestrictNTLM_AuditIncomingNTLMTraffic
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1803 [10.0.17134] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AuditIncomingNTLMTraffic
Сетевая безопасность: ограничение NTLM: аудит входящего трафика NTLM Этот параметр политики позволяет выполнять аудит входящего трафика NTLM. Если выбрать "Отключить" или не настроить этот параметр политики, сервер не будет регистрировать события для входящего трафика NTLM. Если выбрать параметр "Включить аудит для учетных записей домена", сервер будет регистрировать события для запросов сквозной проверки подлинности NTLM, которые будут заблокированы, если для параметра политики "Сетевая безопасность: ограничение NTLM: входящие трафик NTLM" задан параметр "Запретить все учетные записи домена". Если выбрать параметр "Включить аудит для всех учетных записей", сервер будет регистрировать события для всех запросов проверки подлинности NTLM, которые будут заблокированы, если параметр политики "Сетевая безопасность: ограничение NTLM: входящий трафик NTLM" установлен на параметр "Запретить все учетные записи". Эта политика поддерживается по крайней мере в Windows 7 или Windows Server 2008 R2.
Примечание.
События аудита записываются на этом компьютере в операционный журнал, расположенный в журнале приложений и служб/Microsoft/Windows/NTLM.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Отключить. |
| 1 | Включите аудит для учетных записей домена. |
| 2 | Включите аудит для всех учетных записей. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Сетевая безопасность: ограничение NTLM: аудит входящего трафика NTLM |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
NetworkSecurity_RestrictNTLM_IncomingNTLMTraffic
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1803 [10.0.17134] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_IncomingNTLMTraffic
Сетевая безопасность: ограничение NTLM: входящий трафик NTLM. Этот параметр политики позволяет запретить или разрешить входящий трафик NTLM. Если выбрать "Разрешить все" или не настроить этот параметр политики, сервер разрешит все запросы проверки подлинности NTLM. Если выбрать "Запретить все учетные записи домена", сервер будет отклонять запросы проверки подлинности NTLM для входа в домен и отображать ошибку NTLM заблокировано, но разрешает вход в локальную учетную запись. Если выбрать "Запретить все учетные записи", сервер отклонит запросы проверки подлинности NTLM от входящего трафика и отобразит ошибку NTLM заблокировано. Эта политика поддерживается по крайней мере в Windows 7 или Windows Server 2008 R2.
Примечание.
События блокировки записываются на этом компьютере в операционный журнал, расположенный в журнале приложений и служб/Microsoft/Windows/NTLM.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Разрешить все. |
| 1 | Запретить все учетные записи домена. |
| 2 | Запретить все учетные записи. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Сетевая безопасность: ограничения NTLM — входящий трафик NTLM |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
NetworkSecurity_RestrictNTLM_OutgoingNTLMTrafficToRemoteServers
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1803 [10.0.17134] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_OutgoingNTLMTrafficToRemoteServers
Сетевая безопасность: ограничение NTLM: исходящий трафик NTLM на удаленные серверы. Этот параметр политики позволяет запретить или проверить исходящий трафик NTLM с компьютера Windows 7 или Windows Server 2008 R2 на любой удаленный сервер Windows. Если выбрать "Разрешить все" или не настроить этот параметр политики, клиентский компьютер может проверить подлинность удостоверений на удаленном сервере с помощью проверки подлинности NTLM. Если выбрать "Аудит всех", клиентский компьютер регистрирует событие для каждого запроса проверки подлинности NTLM на удаленный сервер. Это позволяет определить серверы, получающие запросы проверки подлинности NTLM с клиентского компьютера. Если выбрать "Запретить все", клиентский компьютер не сможет проверить подлинность удостоверений на удаленном сервере с помощью проверки подлинности NTLM. Можно использовать параметр политики "Сетевая безопасность: ограничение NTLM: добавление исключений удаленного сервера для проверки подлинности NTLM", чтобы определить список удаленных серверов, на которых клиентам разрешено использовать проверку подлинности NTLM. Эта политика поддерживается по крайней мере в Windows 7 или Windows Server 2008 R2.
Примечание.
События аудита и блокировки записываются на этом компьютере в операционный журнал, расположенный в журнале приложений и служб/Microsoft/Windows/NTLM.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Разрешить все. |
| 1 | Запретить все учетные записи домена. |
| 2 | Запретить все учетные записи. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Сетевая безопасность: ограничения NTLM — исходящий трафик NTLM к удаленным серверам |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
RecoveryConsole_AllowAutomaticAdministrativeLogon
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/RecoveryConsole_AllowAutomaticAdministrativeLogon
Консоль восстановления: разрешить автоматический административный вход. Этот параметр безопасности определяет, должен ли быть указан пароль для учетной записи администратора перед предоставлением доступа к системе. Если этот параметр включен, консоль восстановления не требует ввода пароля и автоматически входит в систему. По умолчанию: эта политика не определена, и автоматический административный вход запрещен.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-1] |
| Значение по умолчанию | 0 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Консоль восстановления: разрешить автоматический вход администратора |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
RecoveryConsole_AllowFloppyCopyAndAccessToAllDrivesAndAllFolders
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/RecoveryConsole_AllowFloppyCopyAndAccessToAllDrivesAndAllFolders
Консоль восстановления: разрешить копирование гибких дисков и доступ ко всем дискам и папкам Включение этого параметра безопасности делает доступной команду SET консоли восстановления, которая позволяет задать следующие переменные среды консоли восстановления: AllowWildCards: Enable wildcards for some commands (например, команда DEL). AllowAllPaths: разрешить доступ ко всем файлам и папкам на компьютере. AllowRemovableMedia: разрешить копирование файлов на съемный носитель, например на гибкий диск. NoCopyPrompt: не запрашивайте запрос при перезаписи существующего файла. По умолчанию: эта политика не определена, и команда SET консоли восстановления недоступна.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-1] |
| Значение по умолчанию | 0 |
Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn
Завершение работы. Разрешить завершение работы системы без необходимости входа в этот параметр безопасности определяет, можно ли завершить работу компьютера без входа в Windows. Если эта политика включена, на экране входа Windows будет доступна команда Завершение работы. Если эта политика отключена, параметр для завершения работы компьютера не отображается на экране входа Windows. В этом случае пользователи должны иметь возможность успешно войти на компьютер и иметь право завершить работу системного пользователя, прежде чем они смогут выполнить завершение работы системы. На рабочих станциях по умолчанию: включено. На серверах по умолчанию: отключено.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Отключено. |
| 1 (по умолчанию) | Включено (разрешить завершение работы системы без необходимости входа в систему). |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Завершение работы: разрешить завершение работы системы без выполнения входа в систему |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
Shutdown_ClearVirtualMemoryPageFile
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Shutdown_ClearVirtualMemoryPageFile
Завершение работы: очистить файл подкачки виртуальной памяти. Этот параметр безопасности определяет, очищается ли файл подкачки виртуальной памяти при завершении работы системы. Поддержка виртуальной памяти использует системный файл подкачки для переключения страниц памяти на диск, если они не используются. В работающей системе этот файл подкачки открывается исключительно операционной системой и хорошо защищен. Однако системам, настроенным для загрузки в других операционных системах, может потребоваться очистка файла подкачки при завершении работы системы. Это гарантирует, что конфиденциальная информация из памяти процесса, которая может попасть в файл подкачки, будет недоступна для несанкционированного пользователя, который управляет прямым доступом к файлу подкачки. Если эта политика включена, системный файл подкачки будет очищен после чистого завершения работы. Если этот параметр безопасности включен, файл гибернации (hiberfil.sys) также обнуляется при отключении гибернации. По умолчанию: отключено.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Включить. |
| 0 (по умолчанию) | Отключить. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Завершение работы: очистка файла подкачки виртуальной памяти |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
SystemCryptography_ForceStrongKeyProtection
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemCryptography_ForceStrongKeyProtection
Системная криптография: принудительная защита ключей пользователей, хранящихся на компьютере. Этот параметр безопасности определяет, требуются ли закрытые ключи пользователей для использования пароля. Возможные варианты: Ввод пользователем не требуется, когда сохраняются новые ключи и пользователь запрашивается при первом использовании ключа Пользователь должен вводить пароль каждый раз, когда он использует ключ Дополнительные сведения см. в разделе Инфраструктура открытых ключей. По умолчанию: эта политика не определена.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-2] |
| Значение по умолчанию | 0 |
SystemObjects_RequireCaseInsensitivityForNonWindowsSubsystems
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemObjects_RequireCaseInsensitivityForNonWindowsSubsystems
Системные объекты: требовать нечувствительность к регистру для подсистем, отличных от Windows. Этот параметр безопасности определяет, применяется ли нечувствительность к регистру для всех подсистем. Подсистема Win32 не учитывает регистр. Однако ядро поддерживает чувствительность регистра для других подсистем, таких как POSIX. Если этот параметр включен, для всех объектов каталогов, символьных ссылок и объектов ввода-вывода, включая файловые объекты, применяется нечувствительность к регистру. Отключение этого параметра не позволяет подсистеме Win32 учитывать регистр. По умолчанию: включено.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-1] |
| Значение по умолчанию | 1 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Системные объекты: учитывать регистр для подсистем, отличных от Windows |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
SystemObjects_StrengthenDefaultPermissionsOfInternalSystemObjects
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemObjects_StrengthenDefaultPermissionsOfInternalSystemObjects
Системные объекты: усиление разрешений по умолчанию для внутренних системных объектов (например, символических ссылок). Этот параметр безопасности определяет прочность списка управления доступом по умолчанию (DACL) для объектов. Active Directory поддерживает глобальный список общих системных ресурсов, таких как имена устройств DOS, мьютексы и семафоры. Таким образом, объекты могут находиться и совместно использоваться между процессами. Каждый тип объекта создается с daCL по умолчанию, который указывает, кто может получить доступ к объектам и какие разрешения предоставляются. Если эта политика включена, daCL по умолчанию будет сильнее, что позволяет пользователям, которые не являются администраторами, читать общие объекты, но не позволяет этим пользователям изменять общие объекты, которые они не создали. По умолчанию: включено.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-1] |
| Значение по умолчанию | 1 |
UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
Контроль учетных записей пользователей: разрешить приложениям UIAccess запрашивать повышение прав без использования защищенного рабочего стола. Этот параметр политики определяет, могут ли программы специальных возможностей пользовательского интерфейса (UIAccess или UIA) автоматически отключать защищенный рабочий стол для запросов на повышение прав, используемых обычным пользователем. — Включено: программы UIA, включая удаленный помощник Windows, автоматически отключают безопасный рабочий стол для запросов на повышение прав. Если не отключить параметр политики "Контроль учетных записей пользователей: переключение на безопасный рабочий стол при запросе на повышение прав", запросы будут отображаться на рабочем столе интерактивного пользователя, а не на защищенном рабочем столе. Отключено: (по умолчанию) Безопасный рабочий стол может быть отключен только пользователем интерактивного рабочего стола или путем отключения параметра политики "Контроль учетных записей: переключение на безопасный рабочий стол при запросе повышения прав".
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Служба отключена. |
| 1 | Включено (разрешить приложениям UIAccess запрашивать повышение прав без использования безопасного рабочего стола). |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Контроль учетных записей пользователей: разрешать UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме утверждения Администратор. Этот параметр политики управляет поведением запроса на повышение прав для администраторов. Возможные варианты: — повышение уровня без запроса: позволяет привилегированным учетным записям выполнять операцию, требующую повышения прав, не требуя согласия или учетных данных.
Примечание.
Используйте этот параметр только в средах с самыми ограниченными ограничениями. — Запрос учетных данных на защищенном рабочем столе. Если для операции требуется повышение прав, пользователю на защищенном рабочем столе будет предложено ввести привилегированное имя пользователя и пароль. Если пользователь вводит допустимые учетные данные, операция продолжается с наивысшими доступными привилегиями пользователя. — Запрос согласия на безопасном рабочем столе. Если для операции требуется повышение прав, пользователю на защищенном рабочем столе будет предложено выбрать разрешение или запретить. Если пользователь выбирает Разрешение, операция продолжается с наивысшими доступными привилегиями пользователя. Запрос учетных данных. Если для операции требуется повышение привилегий, пользователю будет предложено ввести имя пользователя и пароль администратора. Если пользователь вводит допустимые учетные данные, операция продолжается с соответствующими привилегиями. Запрос согласия. Если для операции требуется повышение привилегий, пользователю предлагается выбрать разрешить или запретить. Если пользователь выбирает Разрешение, операция продолжается с наивысшими доступными привилегиями пользователя. — Запрос согласия для двоичных файлов, отличных от Windows: (по умолчанию). Если для операции для приложения, отличного от Майкрософт, требуется повышение привилегий, пользователю на защищенном рабочем столе будет предложено выбрать разрешение или запрет. Если пользователь выбирает Разрешение, операция продолжается с наивысшими доступными привилегиями пользователя.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 5 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Повышение уровня без запроса. |
| 1 | Запрос учетных данных на защищенном рабочем столе. |
| 2 | Запрос согласия на безопасном рабочем столе. |
| 3 | Запрос учетных данных. |
| 4 | Запрос согласия. |
| 5 (по умолчанию) | Запрос согласия для двоичных файлов, отличных от Windows. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
UserAccountControl_BehaviorOfTheElevationPromptForEnhancedAdministrators
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForEnhancedAdministrators
Контроль учетных записей пользователей. Поведение запроса на повышение прав для администраторов, работающих с расширенной защитой привилегий. Этот параметр политики управляет поведением запроса на повышение прав для администраторов. Ниже приведены следующие параметры: запрос учетных данных на защищенном рабочем столе. Если операция требует повышения привилегий, пользователю на защищенном рабочем столе будет предложено ввести привилегированное имя пользователя и пароль. Если пользователь вводит допустимые учетные данные, операция продолжается с наивысшими доступными привилегиями пользователя. — Запрос согласия на безопасном рабочем столе. Если для операции требуется повышение прав, пользователю на защищенном рабочем столе будет предложено выбрать разрешение или запретить. Если пользователь выбирает Разрешение, операция продолжается с наивысшими доступными привилегиями пользователя.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 2 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Запрос учетных данных на защищенном рабочем столе. |
| 2 (по умолчанию) | Запрос согласия на безопасном рабочем столе. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов, работающих с расширенной защитой привилегий |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
Контроль учетных записей пользователей. Поведение запроса на повышение прав для стандартных пользователей Этот параметр политики управляет поведением запроса на повышение прав для стандартных пользователей. Варианты: — запрос учетных данных: (по умолчанию). Если для операции требуется повышение привилегий, пользователю будет предложено ввести имя пользователя и пароль администратора. Если пользователь вводит допустимые учетные данные, операция продолжается с соответствующими привилегиями. — Автоматическое отклонение запросов на повышение прав. Если для операции требуется повышение привилегий, отображается сообщение об ошибке с настраиваемым доступом об отказе. Предприятие, использующее настольные компьютеры в качестве стандартного пользователя, может выбрать этот параметр, чтобы сократить количество обращений в службу поддержки. — Запрос учетных данных на защищенном рабочем столе. Если для операции требуется повышение прав, пользователю на защищенном рабочем столе будет предложено ввести другое имя пользователя и пароль. Если пользователь вводит допустимые учетные данные, операция продолжается с соответствующими привилегиями.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 3 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Автоматически отклонять запросы на повышение прав. |
| 1 | Запрос учетных данных на защищенном рабочем столе. |
| 3 (по умолчанию) | Запрос учетных данных. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Контроль учетных записей пользователей: поведение запроса на повышение прав для обычных пользователей |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
Контроль учетных записей пользователей: обнаружение установок приложений и запрос на повышение прав Этот параметр политики управляет поведением обнаружения установки приложений для компьютера. Параметры: Включено ( по умолчанию) При обнаружении пакета установки приложения, требующего повышения привилегий, пользователю будет предложено ввести имя пользователя и пароль администратора. Если пользователь вводит допустимые учетные данные, операция продолжается с соответствующими привилегиями. Отключено: пакеты установки приложений не обнаруживаются и не запрашиваются повышение прав. Предприятия, использующие стандартные пользовательские рабочие столы и использующие технологии делегированной установки, такие как групповая политика установка программного обеспечения или сервер управления системами (SMS), должны отключить этот параметр политики. В этом случае обнаружение установщика не требуется.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 (по умолчанию) | Включить. |
| 0 | Отключить. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Контроль учетных записей пользователей: обнаружение установки приложений и запрос на повышение прав |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated
Контроль учетных записей пользователей: повышение прав только для подписанных и проверенных исполняемых файлов. Этот параметр политики принудительно проверяет сигнатуры инфраструктуры открытых ключей (PKI) для всех интерактивных приложений, запрашивающих повышение привилегий. Администраторы предприятия могут контролировать, какие приложения разрешено запускать, добавляя сертификаты в хранилище сертификатов доверенных издателей на локальных компьютерах. Параметры: - Включено: принудительно проверяет путь сертификации PKI для заданного исполняемого файла, прежде чем он будет разрешен к запуску. — Отключено: (по умолчанию) Не применяет проверку пути сертификации PKI до того, как будет разрешен запуск данного исполняемого файла.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Отключено: не применяет проверку. |
| 1 | Включено: принудительно выполняет проверку. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Контроль учетных записей пользователей: повышение прав только для подписанных и проверенных исполняемых файлов |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
Контроль учетных записей пользователей: повышение уровня прав только для приложений UIAccess, установленных в безопасных расположениях. Этот параметр политики определяет, должны ли приложения, запрашивающие запуск с уровнем целостности пользовательского интерфейса (UIAccess), находиться в безопасном расположении в файловой системе. Безопасные расположения ограничены следующими: - .. \Program Files, включая вложенные папки — .. \Windows\system32\ — .. \Program Files (x86), включая вложенные папки для 64-разрядных версий Windows Примечание. Windows применяет сигнатуру инфраструктуры открытых ключей (PKI) проверка в любом интерактивном приложении, которое запрашивает выполнение с уровнем целостности UIAccess независимо от состояния этого параметра безопасности. Параметры: - Включено( по умолчанию). Если приложение находится в безопасном расположении в файловой системе, оно выполняется только с целостностью UIAccess. — Отключено: приложение выполняется с целостностью UIAccess, даже если оно не находится в безопасном расположении в файловой системе.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Отключено: приложение выполняется с целостностью UIAccess, даже если оно не находится в безопасном расположении. |
| 1 (по умолчанию) | Включено: приложение выполняется с целостностью UIAccess, только если оно находится в безопасном расположении. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Контроль учетных записей пользователей: повышать права для UIAccess-приложений только при установке в безопасных местах |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
UserAccountControl_RunAllAdministratorsInAdminApprovalMode
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_RunAllAdministratorsInAdminApprovalMode
Контроль учетных записей пользователей: включить режим утверждения Администратор. Этот параметр политики управляет поведением всех параметров политики контроля учетных записей (UAC) для компьютера. При изменении этого параметра политики необходимо перезагрузить компьютер. Параметры: - Включено: (по умолчанию) Администратор включен режим утверждения. Эта политика должна быть включена, а связанные параметры политики контроля учетных записей также должны быть настроены соответствующим образом, чтобы разрешить встроенной учетной записи администратора и всем другим пользователям, которые являются членами группы администраторов, работать в режиме утверждения Администратор. — Отключено: Администратор режим утверждения и все связанные параметры политики контроля учетных записей отключены.
Примечание.
Если этот параметр политики отключен, Центр безопасности уведомляет вас о снижении общей безопасности операционной системы.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Отключено. |
| 1 (по умолчанию) | Включено. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Контроль учетных записей пользователей: все администраторы работают в режиме одобрения администратором |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
Контроль учетных записей пользователей. Переключение на безопасный рабочий стол при запросе повышения прав Этот параметр политики определяет, отображается ли запрос на повышение прав на повышение прав на рабочем столе интерактивного пользователя или на защищенном рабочем столе. Доступны следующие параметры: - Включено (по умолчанию) Все запросы на повышение прав отправляются на безопасный рабочий стол независимо от параметров политики поведения запроса для администраторов и обычных пользователей. — Отключено: все запросы на повышение прав отправляются на рабочий стол интерактивного пользователя. Используются параметры политики поведения запроса для администраторов и обычных пользователей.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Отключено. |
| 1 (по умолчанию) | Включено. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Контроль учетных записей пользователей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
UserAccountControl_TypeOfAdminApprovalMode
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_TypeOfAdminApprovalMode
Контроль учетных записей пользователей. Настройте тип Администратор режим утверждения. Этот параметр политики определяет, применяется ли расширенная защита привилегий к повышению прав администратора в режиме утверждения. При изменении этого параметра политики необходимо перезагрузить компьютер. Эта политика поддерживается только на рабочем столе Windows, но не на сервере. Ниже приведены следующие параметры: Администратор режим утверждения работает в устаревшем режиме (по умолчанию). — Администратор режим утверждения работает с расширенной защитой привилегий.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 (по умолчанию) | Устаревший режим утверждения Администратор. |
| 2 | Администратор режим утверждения с расширенной защитой привилегий. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Контроль учетных записей пользователей: настройка типа режима утверждения Администратор |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
UserAccountControl_UseAdminApprovalMode
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_UseAdminApprovalMode
Контроль учетных записей пользователей. Используйте режим утверждения Администратор для встроенной учетной записи администратора. Этот параметр политики управляет поведением режима утверждения Администратор для встроенной учетной записи администратора. Параметры: - Включено. Встроенная учетная запись администратора использует режим утверждения Администратор. По умолчанию любая операция, требующая повышения привилегий, предложит пользователю утвердить операцию. — Отключено: (по умолчанию) Встроенная учетная запись администратора запускает все приложения с полными правами администратора.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Включить. |
| 0 (по умолчанию) | Отключить. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Контроль учетных записей: использование режима одобрения администратором для встроенной учетной записи администратора |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations
Контроль учетных записей пользователей. Виртуализация ошибок записи файлов и реестра в расположениях для каждого пользователя Этот параметр политики определяет, перенаправляются ли сбои записи приложений в определенные расположения реестра и файловой системы. Этот параметр политики смягчает работу приложений, которые выполняются от имени администратора и записывают данные приложения во время выполнения в %ProgramFiles, %Windir%, %Windir%\system32 или HKLM\Software. Варианты: - Включено: (по умолчанию) Ошибки записи приложений перенаправляются во время выполнения в определенные расположения пользователей как для файловой системы, так и для реестра. — Отключено: приложения, записывющие данные в защищенные расположения, завершаются сбоем.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Отключено. |
| 1 (по умолчанию) | Включено. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Контроль учетных записей: виртуализация сбоев записи в файл или реестр на основании расположений пользователя |
| Путь | Параметры > безопасности Windows Параметры безопасности Локальные > политики > Параметры безопасности |
Связанные статьи
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по