Beveiligingsopties

  • Artikel

 

Gepubliceerd: augustus 2016

Is van toepassing op: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

In dit naslagonderwerp voor IT-professional biedt een inleiding tot de instellingen onder Beveiligingsopties van het lokale beveiligingsbeleid en koppelingen naar informatie over iedere instelling.

De Beveiligingsopties bevatten de volgende groepen met instellingen voor beveiligingsbeleid die u kunnen het gedrag van de lokale computer configureren. Sommige van dit beleid kan worden opgenomen in een groepsbeleidsobject en verdeeld zijn over uw onderneming.

Als u beleidsinstellingen lokaal op een computer wilt aanpassen, beïnvloedt u de instellingen enkel op die ene computer. Als u de instellingen in een groepsbeleidsobject (GPO) configureert die wordt gehost in een Active Directory-domein, zijn de instellingen van toepassing op alle computers die onderdeel zijn van dat GPO. Zie voor meer informatie over Groepsbeleid in Active Directory-domein Groepsbeleid(https://go.microsoft.com/fwlink/?LinkId=55625).

Zie voor meer informatie over de werking van de beleid-module en verwante beveiligingstechnologieën Beveiligingsinstellingen beleid technische-overzicht.

Open de module Lokaal beveiligingsbeleid (secpol.msc) en Ga naar Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Lokaal Beleid\beveiligingsopties.

Machtigingen van de lokale computer: lidmaatschap van de lokale groep Administrators of iets vergelijkbaars, is de minimale vereiste om te wijzigen van deze beleidsinstellingen.

Zie voor meer informatie over het instellen van beveiligingsbeleid Het configureren van instellingen voor beveiligingsbeleid.

Groeperen Instelling voor beveiligingsbeleid
Accounts - -Accounts: De status van de account Administrator
- Accounts: Microsoft-accounts blokkeren
- -Accounts: De status van de account Gast
- Accounts: Gebruik van lege wachtwoorden aanmelden op de console beperken
- Accounts: Naam wijzigen van het administrator-account
- Accounts: Wijzig de naam van Gast-account
Audit - : Controle de toegang tot globale systeemobjecten
- : Controle het gebruik van de bevoegdheden Back-up en herstel
- Controle: Force subcategorie controlebeleidsinstellingen (Windows Vista of hoger) voor de categorie controlebeleidsinstellingen onderdrukking
- Controle: Systeem onmiddellijk als kan niet aanmelden beveiligingscontroles afsluiten
DCOM - DCOM: Machine toegangsbeperkingen in de syntaxis van de Security Descriptor Definition Language (SDDL)
- DCOM: Machine start-beperkingen in de syntaxis van de Security Descriptor Definition Language (SDDL)
Apparaten - Apparaten: Toestaan loskoppelen zonder te hoeven aanmelden
- Apparaten: Toegestaan om te formatteren en verwisselbare media uitwerpen
- Apparaten: Te voorkomen dat gebruikers printerstuurprogramma's installeren
- Apparaten: Cd-rom-toegang beperken tot lokaal aangemelde gebruiker
- Apparaten: Diskettestations toegang beperken tot lokaal aangemelde gebruiker
Domeincontroller - Domeincontroller: operators om taken te plannen voor de server toestaan
- Domeincontroller: vereisten voor ondertekenen van LDAP-server
- Domeincontroller: wachtwoordwijzigingen van computeraccounts weigeren
Domeinlid - Domeinlid: digitaal coderen of ondertekenen (altijd) gegevens in beveiligd kanaal
- Domeinlid: gegevens digitaal coderen beveiligd kanaal (indien mogelijk)
- Domeinlid: digitaal ondertekenen gegevens in beveiligd kanaal (indien mogelijk)
- Domeinlid: wachtwoord van computeraccount uitschakelen
- Domeinlid: wachtwoord voor Maximum machine computeraccount
- Lid van domein: sterke (sessiesleutel verplicht Windows 2000 of hoger)
Interactief aanmelden - Interactief aanmelden: gebruikersgegevens weergeven wanneer de sessie is vergrendeld
- Interactief aanmelden: laatste gebruikersnaam niet weergeven
- Interactief aanmelden: CTRL + ALT + DEL niet nodig hebt
- Interactief aanmelden: Machine accountvergrendelingsdrempel
- Interactief aanmelden: Machine inactiviteit limiet
- Interactief aanmelden: berichttekst voor gebruikers willen aanmelden
- Interactief aanmelden: bericht titel in voor gebruikers die proberen om aan te melden
- Interactief aanmelden: aantal voorafgaande aanmeldingen (als domeincontroller niet beschikbaar is) in de cache
- Interactief aanmelden: gebruiker vragen om wachtwoord voor de vervaldatum te wijzigen
- Interactief aanmelden: verificatie van de domeincontroller voor het ontgrendelen van werkstation
- Interactief aanmelden: smartcard is vereist
- Interactief aanmelden: gedrag bij verwijderen van smartcard
Microsoft-netwerkclient - Microsoft netwerkclient: servercommunicatie altijd digitaal te ondertekenen
- Microsoft netwerkclient: clientcommunicatie digitaal te ondertekenen (indien mogelijk)
- Microsoft netwerkclient: niet-versleuteld wachtwoord verzenden om SMB-servers van derden
Microsoft network-server - Microsoft-netwerkserver: niet-actieve tijd voordat de sessie wordt verbroken
- Microsoft-netwerkserver: poging van S4U2Self om claiminformatie te verkrijgen
- Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (altijd)
- Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (indien mogelijk)
- Microsoft-netwerkserver: gebruikers automatisch afmelden als aanmeldingstijd verstrijkt (lokaal)
- Microsoft network-server: Server SPN naam validatieniveau als doel
Toegang tot het netwerk - Netwerktoegang: anonieme SID/naamomzetting toestaan
- Netwerktoegang: geen anonieme inventarisatie van SAM-accounts toestaan
- Netwerktoegang: geen anonieme inventarisatie van SAM-accounts en shares toestaan
- Netwerktoegang: geen opslag van wachtwoorden en referenties voor netwerkverificatie toestaan
- Netwerktoegang: iedereen machtigingen op anonieme gebruikers toepassen
- Netwerktoegang: Named Pipes waarvoor anoniem kunnen worden gebruikt
- Netwerktoegang: registerpaden op afstand bereikbaar is
- Netwerktoegang: registerpaden en onderliggende paden op afstand bereikbaar is
- Netwerktoegang: anonieme toegang beperken tot Named Pipes en Shares
- Netwerktoegang: Shares die anoniem kunnen worden gebruikt
- Netwerktoegang: model voor delen en beveiliging voor lokale accounts
Netwerkbeveiliging - Netwerkbeveiliging: lokaal systeem, computeridentiteit gebruiken voor NTLM toestaan
- Netwerkbeveiliging: LocalSystem NULL sessie terugval toestaan
- Netwerkbeveiliging: PKU2U verificatieaanvragen toestaan om deze computer online identiteiten gebruiken
- Netwerkbeveiliging: toegestane versleutelingstypen bindingen voor Kerberos configureren
- Netwerkbeveiliging: hashwaarde van LAN Manager niet bewaren bij volgende wachtwoordwijziging
- Netwerkbeveiliging: Afmelden forceren wanneer aanmeldingstijden verlopen
- Netwerkbeveiliging: LAN Manager-verificatieniveau
- Netwerkbeveiliging: vereisten voor ondertekenen van LDAP-client
- Netwerkbeveiliging: minimale sessiebeveiliging voor NTLM SSP gebaseerde (inclusief beveiligde RPC) clients
- Netwerkbeveiliging: minimale sessiebeveiliging voor NTLM SSP gebaseerde (inclusief beveiligde RPC) servers
- Netwerkbeveiliging: NTLM beperken: Voeg externe serveruitzonderingen voor de NTLM-verificatie
- Netwerkbeveiliging: NTLM beperken: serveruitzonderingen in dit domein toevoegen
- Netwerkbeveiliging: NTLM beperken: inkomend verkeer met NTLM
- Netwerkbeveiliging: NTLM beperken: NTLM-verificatie in dit domein
- Netwerkbeveiliging: NTLM beperken: uitgaand NTLM-verkeer naar externe servers
- Netwerkbeveiliging: NTLM beperken: inkomend verkeer met NTLM controleren
- Netwerkbeveiliging: NTLM beperken: Audit NTLM-verificatie in dit domein
Recovery-console - Recovery-console: automatische aanmelding door beheerder toestaan
- Recovery-console: kopiëren vanaf diskette en toegang tot alle stations en mappen toestaan
Afsluiten - Wordt afgesloten: Systeem worden afgesloten zonder te hoeven aanmelden toestaan
- Wordt afgesloten: Wisselbestand voor virtueel geheugen wissen
Systeemcryptografie - Systeemcryptografie: sterke sleutelbeveiliging voor gebruikerssleutels die zijn opgeslagen op de computer forceren
- Systeemcryptografie: gebruik FIPS algoritmen voor codering, hashing en ondertekening
Systeemobjecten - Systeemobjecten: kleine letters is vereist voor niet-Windows-subsystemen
- Systeemobjecten: standaardmachtigingen versterken van interne systeemobjecten (b.v. symbolische koppelingen)
Systeeminstellingen - Systeeminstellingen: optionele subsystemen
- Systeeminstellingen: Certificaatregels gebruiken op Windows uitvoerbare bestanden voor beleid voor softwarebeperking
Gebruikersaccountbeheer - Gebruikersaccountbeheer: Beheermodus goedkeuring voor de ingebouwde Administrator-account
- Gebruikersaccountbeheer: UIAccess bevoegdheden te vragen zonder gebruik van de beveiligde desktop-toestaan
- Gebruikersaccountbeheer: Gedrag van de uitbreiding van bevoegdheden voor beheerders in de modus goedkeuring door beheerder
- User Account Control: Gedrag van de vraag om bevoegdheden voor standaardgebruikers
- Gebruikersaccountbeheer: Detecteren en vragen om verhoging
- Gebruikersaccountbeheer: Alleen uitvoerbare bestanden die zijn ondertekend en gevalideerd
- User Account Control: Alleen bevoegdheden UIAccess-toepassingen die zijn geïnstalleerd op beveiligde locaties
- Gebruikersaccountbeheer: Alle administrators uitvoeren in de modus Goedkeuring beheerder
- Gebruikersaccountbeheer: Overschakelen naar het beveiligde bureaublad bij vragen om verhoging
- Gebruikersaccountbeheer: Bestands- en registermachtigingen schrijven, mislukte per gebruikerslocatie virtualiseren