Compartilhar via

Opções de segurança

  • Artigo

 

Aplicável a: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Este tópico de referência para profissionais de TI fornece uma introdução para as configurações em Opções de segurança das diretivas de segurança local e links para informações sobre cada configuração.

O Opções de segurança contêm os seguintes grupos de configurações de política de segurança que lhe permite configurar o comportamento do computador local. Algumas dessas diretivas podem ser incluídas em um objeto de diretiva de grupo e distribuídas em sua empresa.

Se você editar configurações de diretiva localmente em um computador, afetará somente as configurações de tal computador. Se você configurar as configurações em um Objeto de Política de Grupo (GPO) hospedado em um domínio do Active Directory, as configurações se aplicam a todos os computadores que estão sujeitos a esse GPO. Para obter mais informações sobre a diretiva de grupo em um domínio do Active Directory, consulte política de grupo(https://go.microsoft.com/fwlink/?LinkId=55625).

Para obter informações sobre como funcionam as tecnologias de segurança política snap-in e relacionadas, consulte Visão geral técnica de segurança política configurações.

Abra o snap-in Diretiva de segurança Local (secpol. msc) e navegue até computador Configuration\Windows Settings\Security Settings\Local Policies\Security Options.

Permissões do computador local: associação no grupo Administradores local, ou equivalente, é o mínimo necessário para modificar essas configurações de política.

Para obter informações sobre como definir diretivas de segurança, consulte Como definir configurações de política de segurança.

Agrupamento Configuração de diretiva de segurança
Contas - Contas: Status de conta de administrador
- Contas: bloquear contas da Microsoft
- Contas: Status de conta de convidado
- Contas: Limite o uso em contas locais de senhas em branco ao logon no console somente
- Contas: Conta de administrador de renomeação
- Contas: Renomear a conta de convidado
Auditoria - Auditoria: O acesso a objetos do sistema global de auditoria
- Auditoria: Fazer auditoria do uso dos privilégios de Backup e restauração
- Auditoria: Forçar configurações de subcategorias de política de auditoria (Windows Vista ou posterior) para substituir configurações de categoria de política de auditoria
- Auditoria: Desligar o sistema imediatamente se não for possível registrar auditorias de segurança
DCOM - DCOM: Restrições de acesso de computador na sintaxe da linguagem de definição de descritor de segurança (SDDL)
- DCOM: Restrições Iniciar do computador na sintaxe da linguagem de definição de descritor de segurança (SDDL)
Dispositivos - Dispositivos: Permitir desencaixe sem fazer logon
- Dispositivos: Permite formatar e ejetar a mídia removível
- Dispositivos: Evita que usuários instalem drivers de impressora
- Dispositivos: Restringir o acesso de CD-ROM somente para usuário com logon localmente
- Dispositivos: Restringir o acesso somente para usuário com logon localmente
Controlador de domínio - Controlador de domínio: permitir que operadores do servidor agendem tarefas
- Controlador de domínio: requisitos de assinatura de servidor LDAP
- Controlador de domínio: recusar alterações de senha de conta de computador
Membro do domínio - Membro do domínio: criptografar ou assinar digitalmente os dados de canal seguro (sempre)
- Membro do domínio: criptografar digitalmente dados do canal seguro (quando for possível)
- Membro do domínio: assinar digitalmente dados do canal (quando for possível) seguro
- Membro do domínio: Desativar alterações de senha de conta de máquina
- Membro de domínio: duração de senha de conta de máquina do máximo
- Membro do domínio: requer uma chave de sessão de alta segurança (Windows 2000 ou posterior)
Logon interativo - Logon interativo: exibir informações do usuário quando a sessão estiver bloqueada
- Logon interativo: não exibir o último nome de usuário
- Logon interativo: não exigir CTRL + ALT + DEL
- Logon interativo: limite de bloqueio de conta de computador
- Logon interativo: limite de inatividade do computador
- Logon interativo: texto da mensagem para usuários tentando fazer logon
- Logon interativo: título da mensagem para usuários tentando fazer logon
- Logon interativo: número de logons anteriores para armazenar em cache (caso o controlador de domínio não está disponível)
- Logon interativo: solicitar que o usuário altere a senha antes da expiração
- Logon interativo: exigir autenticação de controlador de domínio para desbloqueio de estação de trabalho
- Logon interativo: requer um cartão inteligente
- Logon interativo: comportamento de remoção de cartão inteligente
Cliente de rede Microsoft - Cliente de rede Microsoft: assinar digitalmente a comunicação (sempre)
- Cliente de rede Microsoft: assinar digitalmente a comunicação (se o servidor concordar)
- Cliente de rede Microsoft: enviar senha não criptografada para servidores SMB de terceiros
Servidor de rede Microsoft - Servidor de rede Microsoft: quantidade de tempo ocioso necessário antes de suspender a sessão
- Servidor de rede Microsoft: tentativa do S4U2Self de obter informações de declaração
- Servidor de rede Microsoft: assinar comunicações digitalmente (sempre)
- Servidor de rede Microsoft: assinar comunicações digitalmente (se o cliente concordar)
- Servidor de rede Microsoft: desconectar clientes quando o horário de logon terminar
- Servidor de rede Microsoft: nível de validação de nome de destino do SPN do servidor
Acesso à rede - Acesso à rede: permitir tradução de SID/nome anônima
- Acesso à rede: não permitir enumeração anônima de contas
- Acesso à rede: não permitir enumeração anônima de contas e compartilhamentos
- Acesso à rede: não permitir o armazenamento de senhas e credenciais para autenticação de rede
- Acesso à rede: permitir que as pessoas permissões se aplicam a usuários anônimos
- Acesso à rede: Pipes nomeados que podem ser acessadas anonimamente
- Acesso à rede: caminhos do Registro acessíveis remotamente
- Acesso à rede: caminhos do Registro acessíveis remotamente
- Acesso à rede: acesso anônimo restrito a Pipes nomeados e compartilhamentos
- Acesso à rede: compartilhamentos acessíveis anonimamente
- Acesso à rede: modelo de compartilhamento e segurança para contas locais
Segurança de rede - Segurança de rede: permitir que o sistema Local usar a identidade do computador para NTLM
- Segurança de rede: permitir sessões nulas LocalSystem fallback
- Segurança de rede: Permitir solicitações de autenticação PKU2U a este computador usar identidades on-line
- Segurança de rede: configurar tipos de criptografia permitidos pelo Kerberos
- Segurança de rede: não armazenar o valor de hash do LAN Manager na próxima alteração de senha
- Segurança de rede: forçar logoff quando o horário de logon terminar
- Segurança de rede: nível de autenticação LAN Manager
- Segurança de rede: requisitos de assinatura de cliente LDAP
- Segurança de rede: segurança mínima de sessão para NTLM SSP com base (incluindo RPC seguro) clientes
- Segurança de rede: segurança mínima de sessão para NTLM SSP com base (incluindo RPC seguro) servidores
- Segurança de rede: restringir NTLM: Adicione exceções de servidor remoto para a autenticação NTLM
- Segurança de rede: restringir NTLM: Adicione exceções de servidor no domínio
- Segurança de rede: Restringir NTLM: tráfego NTLM
- Segurança de rede: Restringir NTLM: autenticação NTLM nesse domínio
- Segurança de rede: Restringir NTLM: tráfego NTLM de saída para servidores remotos
- Segurança de rede: Restringir NTLM: tráfego NTLM de auditoria
- Segurança de rede: Restringir NTLM: autenticação NTLM de auditoria nesse domínio
Console de recuperação - Console de recuperação: permite logon automático administrativo
- Console de recuperação: permite cópia em disquete e acesso a todas as unidades e pastas
Desligar - Desligamento: Permitir que o sistema seja encerrado sem fazer logon
- Desligamento: o arquivo de paginação limpar memória virtual
Criptografia do sistema - Criptografia do sistema: forçar proteção de chave forte para chaves do usuário armazenadas no computador
- Criptografia de sistema: usar FIPS compatível com algoritmos para criptografia, hash e assinatura
Objetos do sistema - Objetos do sistema: minúsculas necessária para subsistemas não-Windows
- Objetos de sistema: restringir permissões padrão de objetos do sistema interno (por exemplo, Links simbólicos)
Configurações do sistema - Configurações do sistema: subsistemas opcionais
- Configurações do sistema: usar regras de certificado em arquivos executáveis do Windows para diretivas de restrição de Software
Controle de conta de usuário - Controle de conta de usuário: Modo de aprovação de administrador para a conta interna administrador
- Controle de conta de usuário: Permitir que aplicativos UIAccess solicitem elevação sem usar a área de trabalho segura
- Controle de conta de usuário: Comportamento do prompt de elevação de administradores no modo de aprovação de administrador
- Controle de conta de usuário: Comportamento do prompt de elevação para usuários padrão
- Controle de conta de usuário: Detectar instalações de aplicativos e aviso de elevação
- Controle de conta de usuário: Elevar somente executáveis assinados e validados
- Controle de conta de usuário: Eleve apenas aplicativos UIAccess que estejam instalados em locais seguros
- Controle de conta de usuário: Executar todos os administradores no modo de aprovação de administrador
- Controle de conta de usuário: Alternar para a área de trabalho segura ao pedir elevação
- Controle de conta de usuário: Virtualizar falhas de gravação de arquivo e registro para locais por usuário