Sicherheitsoptionen
In diesem Artikel
Gilt für: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
Dieses Referenzthema für IT-Experten bietet eine Einführung in die Einstellungen unter Sicherheitsoptionen lokale Sicherheitsrichtlinien und Links zu Informationen über jede Einstellung.
Die Sicherheitsoptionen enthalten die folgenden Gruppen von Sicherheitsrichtlinien, die das Verhalten des lokalen Computers konfiguriert werden. Einige dieser Richtlinien kann in ein Gruppenrichtlinienobjekt einbezogen und über Ihr Unternehmen verteilt.
Wenn Sie Richtlinieneinstellungen auf einem Computer lokal bearbeiten, wirkt sich dies nur auf die Einstellungen auf diesem einen Computer aus. Wenn Sie die Einstellungen in einem in einer Active Directory-Domäne gehosteten Gruppenrichtlinienobjekt (Group Policy Object, GPO) konfigurieren, werden die Einstellungen auf alle Computer angewendet, für die dieses Gruppenrichtlinienobjekt gilt. Weitere Informationen über Gruppenrichtlinien in einer Active Directory-Domäne finden Sie unter Gruppenrichtlinien (https://go.microsoft.com/fwlink/?LinkId=55625 ).
Weitere Informationen zur Funktionsweise der Security Policy-Snap-in und verwandte Technologien, finden Sie unter Technische Übersicht über Security Policy-Einstellungen .
Öffnen Sie die lokale Sicherheitsrichtlinie-Snap-in (secpol.msc) und navigieren Sie zu Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\sicherheitsoptionen .
Berechtigungen für Lokaler Computer: Mitgliedschaft in der lokalen Gruppe "Administratoren" oder entsprechende ist mindestens erforderlich, um die Richtlinien zu ändern.
Informationen zum Festlegen von Sicherheitsrichtlinien finden Sie unter Gewusst wie: Konfigurieren von Sicherheitsrichtlinien .
Konten
- Konten: Status des Administratorkontos Konten: Blockieren von Microsoft-Konten Konten: Gastkontostatus Konten: Beschränken Sie Lokales Verwendung leerer Kennwörter für die Konsole Anmeldung nur Konten: Rename-Administratorkonto Konten: Gastkonto umbenennen
Audit
- : Überwachung Zugriff auf globale Systemobjekte : Überwachung die Verwendung von Backup und Restore-Berechtigungen Überwachung: Audit unterkategorieeinstellungen (Windows Vista oder höher) um kategorieeinstellungen der Überwachungsrichtlinie außer Kraft setzen Überwachung: System sofort, wenn Sie zu Herunterfahren
DCOM
- DCOM: Computer Access Restrictions in Security Descriptor Definition Language (SDDL)-syntax DCOM: Computerstarteinschränkungen in Security Descriptor Definition Language (SDDL)-syntax
zertifizierte Geräte
- Geräte: Ermöglichen Entfernen ohne vorherige Anmeldung Geräte: Formatieren und Auswerfen von Wechselmedien zulässig Geräte: Anwendern Sie Druckertreiber installieren Geräte: Beschränken Sie CD-ROM-Zugriff auf lokal angemeldete Benutzer Geräte: Beschränken Sie Zugriff auf Diskettenlaufwerke auf lokal angemeldete Benutzer
Domänencontroller
- Domänencontroller: Serveroperatoren das Einrichten von geplanten Tasks erlauben Domänencontroller: Signieren von Anforderungen von LDAP-Server Domänencontroller: Computerkonto kennwortänderungen ablehnen
Domänenmitglied
- Domänenmitglied: digital verschlüsseln oder signieren (immer) Daten des sicheren Kanals Domänenmitglied: Daten des sicheren Kanal (wenn möglich) digital verschlüsseln Domänenmitglied: digital signieren Daten des sicheren Kanals (wenn möglich) Domänenmitglied: Computer Konto Kennwort ändern deaktivieren Domänenmitglied: Maximalalter von Computerkontenkennwörtern Maximum Domänenmitglied: Starker Sitzungsschlüssel für (Windows 2000 oder höher) erforderlich
Interaktive Anmeldung
- Interaktive Anmeldung: Benutzerinformationen anzeigen, wenn die Sitzung gesperrt ist Interaktive Anmeldung: letzten Benutzernamen nicht anzeigen Interaktive Anmeldung: erfordern keine STRG + ALT + ENTF Interaktive Anmeldung: Schwellenwert für Computerkontosperrung Interaktive Anmeldung: Obergrenze für Inaktivität auf Computer Interaktive Anmeldung: Nachricht für Benutzer anmelden Interaktive Anmeldung: Nachrichtentitel für Benutzer anmelden Interaktive Anmeldung: Anzahl der vorherigen Anmeldungen Zwischenspeichern (für den Fall, dass Domänencontroller nicht verfügbar ist) Interaktive Anmeldung: Benutzer zum Ändern vor Ablauf des Kennworts auffordern Interaktive Anmeldung: Domänencontroller-Authentifizierung zum Entsperren der Arbeitsstation Interaktive Anmeldung: Smartcard erforderlich Interaktive Anmeldung: Verhalten beim Entfernen von Smartcards
Microsoft-Netzwerkclient
- Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) Microsoft-Netzwerk (Client): Kommunikation digital signieren (Wenn Server zustimmt) Microsoft-Netzwerkclient: Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern senden
Microsoft-Netzwerkserver
- Microsoft-Netzwerk (Server): Leerlaufzeitspanne bis zum Anhalten der Sitzung Microsoft-Netzwerkserver: S4U2Self-Funktion zum Abrufen der Anspruchsdaten Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) Microsoft-Netzwerk (Server): Clientverbindungen aufheben, wenn die Anmeldezeit überschritten wird Microsoft-Netzwerkserver: Server-SPN als Ziel Validierungsebene Name
Netzwerkzugriff
- Netzwerkzugriff: anonyme SID-Name-Übersetzung zulassen Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht erlauben Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben Netzwerkzugriff: Speicherung von Kennwörtern und Anmeldeinformationen für die Netzwerkauthentifizierung nicht zulassen Netzwerkzugriff: "Jeder" für anonyme Benutzer-Berechtigungen ermöglichen Netzwerkzugriff: Named Pipes, die anonym zugegriffen werden können Netzwerkzugriff: Registrierungspfade Netzwerkzugriff: Registrierungspfade und Pfade Netzwerkzugriff: anonymen Zugriff auf Named Pipes und Freigaben einschränken Netzwerkzugriff: Freigaben, auf die anonym zugegriffen werden können Netzwerkzugriff: Freigabe- und Sicherheitsmodell für lokale Konten
Netzwerksicherheit
- Sicherheit: Zulassen der lokalen System Computeridentität für NTLM verwendet Sicherheit: "LocalSystem" NULL-Sitzung fallback zulassen Netzwerksicherheit: Zulassen Sie PKU2U-Authentifizierung-Anfragen für diesen Computer online-Identitäten verwenden Sicherheit: für Kerberos zulässige Verschlüsselungstypen konfigurieren Sicherheit: LAN Manager-Hashwerte für nächste kennwortänderung nicht speichern Sicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen Sicherheit: LAN Manager-Authentifizierungsebene Sicherheit: LDAP-Client Signieren von Anforderungen Sicherheit: Minimum sitzungssicherheit NTLM SSP basiert (einschließlich sicheren RPC) Clients Sicherheit: mindestens sitzungssicherheit für NTLM SSP-basierte (einschließlich sicheren RPC) Server Sicherheit: Beschränken von NTLM: Fügen Sie Remoteserver Ausnahmen für die NTLM-Authentifizierung Sicherheit: Beschränken von NTLM: Server-Ausnahmen in dieser Domäne hinzufügen Netzwerksicherheit: Beschränken von NTLM: NTLM-Datenverkehr Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne Netzwerksicherheit: Beschränken von NTLM: ausgehender NTLM-Datenverkehr zu Remoteservern Netzwerksicherheit: Beschränken von NTLM: NTLM-Datenverkehr überwachen Netzwerksicherheit: Beschränken von NTLM: Audit-NTLM-Authentifizierung in dieser Domäne
Recovery-Konsole
- Wiederherstellungskonsole: automatische administrative Anmeldung zulassen Wiederherstellungskonsole: Kopieren von Disketten und Zugriff auf alle Laufwerke und Ordner zulassen
Herunterfahren
- Herunterfahren: Heruntergefahren werden, ohne vorherige Anmeldung erlauben Herunterfahren: Virtuellen Arbeitspeichers löschen
Systemkryptografie
- Systemkryptografie: starken Schlüsselschutz für auf dem Computer gespeicherte Benutzerschlüssel erzwingen Systemkryptografie: Use FIPS-konformen Algorithmus für Verschlüsselung, hashing und Signatur
Systemobjekte
- Systemobjekte: Groß-/Kleinschreibung für nicht-Windows-Subsysteme erforderlich Systemobjekte: Stärkung der Standardberechtigungen interner Systemobjekte (z. B. symbolische Links)
Systemeinstellungen
- Systemeinstellungen: optionale Subsysteme Systemeinstellungen: Zertifikatregeln auf Windows-Programme für Softwareeinschränkungsrichtlinien
Benutzerkontensteuerung
- Benutzerkontensteuerung: Administratorgenehmigungsmodus für das integrierte Administratorkonto Benutzerkontensteuerung: Zulassen Sie UIAccess-Anwendungen erhöhte Rechte ohne sicheren Desktop anfordern Benutzerkontensteuerung: Verhalten der anhebungsaufforderung für Administratoren im Administratorbestätigungsmodus Benutzerkontensteuerung: Verhalten der anhebungsaufforderung für Standardbenutzer Benutzerkontensteuerung: Erkennen Sie Anwendungsinstallationen und erhöhte Rechte anfordern Benutzerkontensteuerung: Erhöhte Rechte nur für ausführbare Dateien, die signiert und validiert sind Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sind Benutzerkontensteuerung: Alle Administratoren im Administratorgenehmigungsmodus ausführen Benutzerkontensteuerung: Wechseln Sie zum sicheren Desktop für erhöhte Rechte Benutzerkontensteuerung: Virtualisieren Sie Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte