Dela via

Säkerhetsalternativ

  • Artikel

 

Gäller för: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Det här referensavsnittet för IT-proffs innehåller en introduktion till inställningarna under Säkerhetsalternativ av lokala säkerhetsprinciper och länkar till information om varje inställning.

Den Säkerhetsalternativ innehåller följande grupper i säkerhetsinställningar så att du kan konfigurera den lokala datorn. Vissa av dessa principer kan ingå i ett grupprincipobjekt och fördelas på företaget.

Om du redigerar principinställningar lokalt på en dator, påverkas inställningarna på bara den datorn. Om du konfigurerar inställningarna i ett grupprincipobjekt (GPO) i en Active Directory-domän, tillämpas inställningarna på alla datorer som omfattas av grupprincipobjektet. Mer information om grupprinciper i en Active Directory-domän finns Grupprincip(https://go.microsoft.com/fwlink/?LinkId=55625).

Information om hur säkerhet princip snapin-modulen och relaterade tekniker fungerar finns Säkerhet inställningar teknisk översikt över princip.

Öppna snapin-modulen Lokal säkerhetsprincip (secpol.msc) och gå till Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Lokala Principer\säkerhetsalternativ.

Behörigheter för lokal dator: medlemskap i den lokala gruppen Administratörer eller motsvarande, är minimikravet för att ändra inställningarna.

Information om hur du anger säkerhetsprinciper finns Hur du konfigurerar säkerhetsinställningar.

Gruppering Inställning för säkerhetsprincip
Konton - Konton: Status för administratörskontot
- Konton: Blockera Microsoft-konton
- Konton: Status för gästkonto
- Konton: Begränsa lokala konton använda tomma lösenord konsolen inloggning endast
- Konton: Byt namn på administratörskontot
- Konton: Byt namn på gästkontot
Granskning - Granskning: Granska åtkomst till globala systemobjekt
- Granskning: Granska användning av privilegium för säkerhetskopiering och återställning
- Granskning: Tvinga underkategoriinställningar (Windows Vista eller senare) att åsidosätta kategori principinställningar för granskning
- Granskning: Stäng av systemet omedelbart om det inte går att logga säkerhetsgranskningar
DCOM - DCOM: Datoråtkomstbegränsningar i Security Descriptor (SDDL syntax Definition Language)
- DCOM: Datorn starta begränsningar i Security Descriptor (SDDL syntax Definition Language)
Enheter - Enheter: Tillåt frånkoppling utan att logga in
- Enheter: Tillåt att formatera och mata ut flyttbara media
- Enheter: Förhindra att användare installerar skrivardrivrutiner
- Enheter: Begränsa CD-ROM-åtkomst till användare som är lokalt inloggade
- Enheter: Begränsa diskettenheter åtkomst till användare som är lokalt inloggade
Domänkontrollant - Domänkontrollant: Tillåt att serveransvariga schemalägger aktiviteter
- Domänkontrollant: LDAP-servern signering krav
- Domänkontrollant: Tillåt inte datorkonton lösenordsändringar
Domänmedlem - Domänmedlem: kryptera eller signera data för säker kanal (alltid) digitalt
- Domänmedlem: kryptera data för säker kanal (om det är möjligt) digitalt
- Domänmedlem: signera säkra kanalen data (om det är möjligt)
- Domänmedlem: inaktivera lösenord för datorkonton
- Domänmedlem: Högsta ålder för lösenord för kontot
- Domänmedlem: kräver stark (Windows 2000 eller senare) sessionsnyckel
Interaktiv inloggning - Interaktiv inloggning: visa information om användare när sessionen är låst
- Interaktiv inloggning: Visa inte senaste användare
- Interaktiv inloggning: kräver inte CTRL + ALT + DEL
- Interaktiv inloggning: datorn tröskelvärde för kontoutelåsning
- Interaktiv inloggning: datorn inaktivitet gräns
- Interaktiv inloggning: meddelandetext för användare som försöker logga in
- Interaktiv inloggning: meddelande rubrik för användare som försöker logga in
- Interaktiv inloggning: antal tidigare inloggningar till cacheminnet (om domänkontrollanten inte är tillgänglig)
- Interaktiv inloggning: uppmana användaren att ändra lösenord innan de upphör att gälla
- Interaktiv inloggning: Kräv autentisering av domänkontrollant för upplåsning av arbetsstationen
- Interaktiv inloggning: Kräv smartkort
- Interaktiv inloggning: beteende vid borttagning av smartkort
Klient för Microsoft-nätverk - Microsoft-nätverksklient: Signera kommunikation (alltid)
- Microsoft-nätverksklient: Signera kommunikation (om servern tillåter)
- Klient för Microsoft-nätverk: Skicka okrypterade lösenord till SMB-servrar från tredje part
Microsoft-nätverksserver - Microsoft-nätverksserver: Väntetid som krävs innan sessionen stoppas
- Microsoft-nätverksserver: Försök få S4U2Self att hämta anspråksinformation
- Microsoft-nätverksserver: Signera kommunikation digitalt (alltid)
- Microsoft-nätverksserver: Signera kommunikation digitalt (om klienten tillåter)
- Microsoft-nätverksserver: Koppla bort klienter när inloggningstiden upphör
- Microsoft-nätverksserver: Server SPN mål namn verifiering nivå
Nätverksåtkomst - Nätverksåtkomst: Tillåt anonym översättning av SID/namn
- Nätverksåtkomst: Tillåt inte anonym uppräkning av SAM-konton
- Nätverksåtkomst: Tillåt inte anonym uppräkning av SAM-konton och resurser
- Nätverksåtkomst: Tillåt inte lagring av lösenord och autentiseringsuppgifter för nätverksautentisering
- Nätverksåtkomst: Låt behörigheter för alla gälla för anonyma användare
- Nätverksåtkomst: namngivna Pipes som kan användas anonymt
- Nätverksåtkomst: Registersökvägar
- Nätverksåtkomst: Registersökvägar och delsökvägar
- Nätverksåtkomst: Begränsa anonym åtkomst till namngivna Pipes och resurser
- Nätverksåtkomst: resurser som kan användas anonymt
- Nätverksåtkomst: delning och säkerhetsmodell för lokala konton
Nätverkssäkerhet - Nätverkssäkerhet: Tillåt lokalt System för att använda datoridentitet för NTLM
- Nätverkssäkerhet: Tillåt LocalSystem NULL-session
- Nätverkssäkerhet: Tillåt PKU2U autentiseringsförfrågningar till den här datorn online identiteter
- Nätverkssäkerhet: Konfigurera krypteringstyper tillåts för Kerberos
- Nätverkssäkerhet: lagra inte hashvärdet för LAN Manager vid nästa lösenordsändring
- Nätverkssäkerhet: Framtvinga utloggning när inloggningstid
- Nätverkssäkerhet: autentiseringsnivå för LAN Manager
- Nätverkssäkerhet: LDAP-klient
- Nätverkssäkerhet: Lägsta sessionssäkerhet för NTLM SSP-baserat (inklusive secure RPC) klienter
- Nätverkssäkerhet: Lägsta sessionssäkerhet för NTLM SSP-baserat (inklusive secure RPC) servrar
- Nätverkssäkerhet: begränsa NTLM: Lägg till fjärrservern undantag för NTLM-autentisering
- Nätverkssäkerhet: begränsa NTLM: Lägg till undantag i den här domänen
- Nätverkssäkerhet: Begränsa NTLM: inkommande NTLM-trafik
- Nätverkssäkerhet: Begränsa NTLM: NTLM-autentisering i den här domänen
- Nätverkssäkerhet: Begränsa NTLM: utgående NTLM-trafik till fjärrservrar
- Nätverkssäkerhet: Begränsa NTLM: granska inkommande NTLM-trafik
- Nätverkssäkerhet: Begränsa NTLM: granska NTLM-autentisering i den här domänen
Recovery-konsolen - Recovery-konsolen: Tillåt automatisk administratörsinloggning
- Recovery-konsolen: Tillåt diskettenheter kopia och åtkomst till alla enheter och mappar
Avstängning - Avstängning: Tillåt att systemet stängs av utan att behöva logga in
- Avstängning: Rensa den virtuella växlingsfilen
Systemkryptografi - Systemkryptografi: Framtvinga starkt nyckelskydd för användaren nycklarna lagras på datorn
- Systemkryptografi: Använd FIPS kompatibla algoritmer för kryptering, hashing och signering
Systemobjekt - Systemobjekt: Kräv skiftlägesokänslighet för Windows-undersystem
- Systemobjekt: stärka standardbehörigheterna för interna systemobjekt (t.ex. symboliska länkar)
Systeminställningar - Systeminställningar: valfria undersystem
- Systeminställningar: använda regler för certifikatet på körbara Windows-filer för principer för begränsning av programvara
Kontroll av användarkonto - Kontroll av användarkonto: Adminläge för det inbyggda administratörskontot
- Kontroll av användarkonto: Tillåt UIAccess-program att fråga efter höjning utan att använda skyddat skrivbord
- Kontroll av användarkonto: Funktionssätt rättighetsökning för administratörer i läge för Admin
- Kontroll av användarkonto: Beteende vid fråga för standardanvändare
- Kontroll av användarkonto: Upptäcka programinstallationer och fråga efter rättighetsökning
- Kontroll av användarkonto: Endast höjer körbara filer som är signerade och validerade
- Kontroll av användarkonto: Endast höjer UIAccess-program som är installerade på skyddade platser
- Kontroll av användarkonto: Kör alla administratörer i läge för Admin
- Kontroll av användarkonto: Växla till skyddat skrivbord vid fråga om höjning
- Kontroll av användarkonto: Virtualisera skrivfel för filer och register till platser per användare