安全选项

  • 项目

 

适用于: Windows Vista,Windows Server 2008,Windows 7,Windows 8.1,Windows Server 2008 R2,Windows Server 2012 R2,Windows Server 2012,Windows 8

本参考主题面向 IT 专业人员提供对下的设置的介绍 安全选项 的本地安全策略并链接到有关每个设置的信息。

安全选项 包含下列分组的安全策略设置,可用于配置本地计算机的行为。 其中某些策略都可以包括在组策略对象,并且可以分布在您的企业。

如果在计算机本地编辑策略设置,将只会影响该计算机上的设置。 如果在 Active Directory 域中承载的组策略对象 (GPO) 中配置设置,则这些设置将应用到受此 GPO 约束的所有计算机。 有关 Active Directory 域中的组策略的详细信息,请参阅 组策略(https://go.microsoft.com/fwlink/?LinkId=55625)。

有关安全策略管理单元和相关技术的工作原理的信息,请参阅 安全策略设置技术概述

打开本地安全策略的管理单元 (secpol.msc) 并导航到 计算机配置 \windows 设置 \ 安全设置本地策略 \ 策略 \ 安全选项

本地计算机的权限︰ 本地 Administrators 组或同等成员资格是修改这些策略设置所需的最低。

有关设置安全策略的信息,请参阅 如何配置安全策略设置

分组 安全策略设置
帐户 - 帐户︰ 管理员帐户状态
- 帐户:阻止 Microsoft 帐户
- 帐户︰ 来宾帐户状态
- 帐户︰ 限制空白密码的控制台登录只使用本地帐户
- 帐户︰ 重命名管理员帐户
- 帐户︰ 重命名来宾帐户
Audit - 审核︰ 审核全局系统对象的访问权限
- 审计︰ 审核备份和还原权限的使用
- 审核︰ 强制审核策略子类别设置 (Windows Vista 或更高版本) 替代审核策略类别设置
- 审计︰ 关闭系统,如果无法记录安全审计则立即
DCOM - 安全描述符定义语言 (SDDL) 语法中的 DCOM︰ 计算机访问限制
- 在安全描述符定义语言 (SDDL) 语法中的 DCOM︰ 计算机启动限制
设备 - 设备︰ 允许取消停靠而无需登录
- 允许进行格式化和弹出可移动媒体设备︰
- 设备︰ 禁止用户安装打印机驱动程序
- 设备︰ 仅允许本地登录的用户仅 CD-ROM 访问
- 设备︰ 只有本地登录的用户才能访问软盘
域控制器 - 域控制器︰ 允许服务器操作员安排任务
- 域控制器︰ LDAP 服务器签名要求
- 域控制器︰ 拒绝密码更改的计算机帐户
域成员 - 域成员︰ 数字数据加密或签名安全通道 (始终)
- 域成员︰ 进行数字加密安全通道数据 (如果可能)
- 域成员︰ 安全进行数字签名通道数据 (如果可能)
- 域成员︰ 禁用计算机帐户的密码更改
- 域成员︰ 最大计算机帐户密码使用期限
- 域成员︰ 需要强 (Windows 2000 或更高版本) 会话密钥
交互式登录 - 交互式登录︰ 显示用户信息时将会锁定会话
- 交互式登录︰ 不显示用户的姓
- 交互式登录︰ 不需要 CTRL + ALT + DEL
- 交互式登录:计算机帐户锁定阈值
- 交互式登录︰ 计算机非活动限制
- 交互式登录︰ 消息正文试图登录的用户
- 交互式登录︰ 在尝试登录的用户消息标题
- 交互式登录︰ 的上一次登录缓存 (以防域控制器不可用)
- 交互式登录︰ 提示用户更改密码过期前
- 交互式登录︰ 要求域控制器身份验证以解锁工作站
- 交互式登录︰ 要求智能卡
- 交互式登录︰ 智能卡移除操作
Microsoft 网络客户端 - Microsoft 网络客户端︰ 数字签名的通信 (始终)
- Microsoft 网络客户端︰ 通信进行数字签名 (如果服务器允许)
- Microsoft 网络客户端︰ 发送到第三方 SMB 服务器的未加密的密码
Microsoft 网络服务器 - Microsoft 网络服务器: 暂停会话前所需的空闲时长
- Microsoft 网络服务器:尝试使用 S4U2Self 获取声明信息
- Microsoft 网络服务器: 对通信进行数字签名(始终)
- Microsoft 网络服务器: 对通信进行数字签名(如果客户端允许)
- Microsoft 网络服务器: 登录时间过期后断开与客户端的连接
- Microsoft 网络服务器︰ 服务器 SPN 目标名称的验证级别
网络访问权限 - 网络访问︰ 允许匿名 SID/名称转换
- 网络访问︰ 不允许匿名枚举 SAM 帐户
- 网络访问︰ 不允许
- 网络访问︰ 不允许存储的密码和凭据用于网络身份验证
- 网络访问︰ 让 Everyone 权限应用于匿名用户
- 网络访问︰ 可以匿名访问的命名管道
- 网络访问︰ 远程访问的注册表路径
- 网络访问︰ 远程访问的注册表路径和子路径
- 网络访问︰ 命名管道和共享限制匿名访问
- 网络访问︰ 可以匿名访问的共享
- 网络访问︰ 本地帐户的共享和安全模型
网络安全性 - 网络安全︰ 允许本地系统为 NTLM 使用计算机标识
- 网络安全︰ 允许本地系统空会话回退
- 网络安全︰ 允许 PKU2U 身份验证请求到这台计算机用于联机标识
- 网络安全︰ 配置为使用 Kerberos 允许使用的加密类型
- 网络安全︰ 不要在下次更改密码时存储 LAN Manager 哈希值
- 网络安全︰ 登录时间过期后强制注销
- 网络安全︰ LAN Manager 身份验证级别
- 网络安全︰ LDAP 客户端签名要求
- 网络安全︰ NTLM SSP 的最小会话安全基于 (包括安全 RPC) 客户端
- 网络安全︰ NTLM SSP 的最小会话安全基于 (包括安全 RPC) 服务器
- 网络安全︰ 限制 NTLM︰ 添加对 NTLM 身份验证的远程服务器异常
- 网络安全︰ 限制 NTLM︰ 添加此域中的服务器异常
- 网络安全︰ 限制 NTLM: NTLM 的传入流量
- 网络安全︰ 限制 NTLM︰ 此域中的 NTLM 身份验证
- 网络安全︰ 限制 NTLM︰ 到远程服务器的传出 NTLM 流量
- 网络安全︰ 限制 NTLM︰ 审核 NTLM 的传入流量
- 网络安全︰ 限制 NTLM︰ 此域中的审核 NTLM 身份验证
故障恢复控制台 - 故障恢复控制台︰ 允许自动管理登录
- 故障恢复控制台 ︰ 允许软盘复制和对所有驱动器和文件夹的访问
关机 - 关机︰ 允许系统关闭而无需登录
- 关机︰ 清理虚拟内存页面文件
系统加密法 - 系统加密︰ 强制使用强密钥保护存储在计算机上的用户密钥
- 系统加密︰ 使用 FIPS 兼容的算法来加密、 哈希和签名
系统对象 - 系统对象︰ 对非 Windows 子系统不要求不区分大小写
- 系统对象︰ 加强内部系统对象 (例如符号链接) 的默认权限
系统设置 - 系统设置︰ 可选子系统
- 系统设置︰ 对 Windows 软件限制策略的可执行文件使用证书规则
用户帐户控制 - 用于内置 Administrator 帐户的用户帐户控制︰ 管理员批准模式
- 用户帐户控制︰ 允许 UIAccess 应用程序以提示进行提升,而无需使用安全桌面
- 用户帐户控制︰ 管理员批准模式中管理员的提升提示行为
- 用户帐户控制︰ 标准用户的提升提示行为
- 用户帐户控制︰ 检测应用程序安装并提示提升
- 用户帐户控制︰ 只提升签名并验证的可执行文件
- 用户帐户控制︰ 仅提升安装在安全位置的 UIAccess 应用程序
- 用户帐户控制︰ 管理员批准模式中运行所有管理员
- 提示提升时,用户帐户控制︰ 切换到安全桌面
- 用户帐户控制︰ 将文件和注册表写入错误指定到每个用户的位置