安全性選項

  • 發行項

 

發行︰ 2016年7月

適用於: Windows Vista、Windows Server 2008、Windows 7、Windows 8.1、Windows Server 2008 R2、Windows Server 2012 R2、Windows Server 2012、Windows 8

這個適用於 IT 專業人員的參考主題提供簡介下設定 安全性選項 本機安全性原則與每個設定的相關資訊的連結。

安全性選項 包含下列群組的安全性原則設定可讓您設定本機電腦的行為。 部分這些原則可以包含在群組原則物件和分散在您的企業。

如果在本機電腦上編輯原則設定,就只會影響到這一部電腦上的設定。 如果在裝載於 Active Directory 網域的群組原則物件 (GPO) 中進行設定,則這些設定會套用到受該 GPO 約束的所有電腦。 如需 Active Directory 網域中的群組原則的詳細資訊,請參閱 群組原則(https://go.microsoft.com/fwlink/?LinkId=55625)。

安全性原則嵌入式管理單元與相關技術的運作方式的詳細資訊,請參閱 安全性原則設定的技術概觀

開啟 [本機安全性原則嵌入式管理單元 (secpol.msc),並瀏覽至 電腦設定 \windows 設定 \ 安全性設定 \ 本機原則 \ 安全性選項

本機電腦的權限︰ 本機 Administrators 群組或同等權限的成員資格時,至少需要修改這些原則設定。

設定安全性原則的相關資訊,請參閱 如何設定安全性原則設定

群組 安全性原則設定
帳戶 - 帳戶︰ 系統管理員帳戶狀態
- 帳戶:封鎖 Microsoft 帳戶
- 帳戶︰ 來賓帳戶狀態
- 帳戶︰ 限制空白密碼登入主控台只使用本機帳戶
- 帳戶︰ 重新命名系統管理員帳戶
- 帳戶︰ 重新命名 guest 帳戶
Audit - 稽核︰ 稽核通用系統物件的存取權
- 稽核︰ 稽核備份和還原權限的使用
- 稽核︰ 強制執行稽核原則子類別目錄設定 (Windows Vista 或更新版本) 來覆寫稽核原則類別目錄設定
- 稽核︰ 當無法記錄安全性稽核時系統立即關機
DCOM - 安全性描述元定義語言 (SDDL) 語法中的 DCOM︰ 電腦存取限制
- DCOM︰ 電腦啟動限制在安全性描述元定義語言 (SDDL) 語法
裝置 - 裝置︰ 允許卸除而不須登入
- 允許格式化以及退出卸除式媒體的裝置︰
- 裝置︰ 防止使用者安裝印表機驅動程式
- 裝置︰ 限制 CD-ROM 存取只限於登入的使用者
- 裝置︰ 只限於登入的使用者限制磁碟的存取
網域控制站 - 網域控制站︰ 允許伺服器操作者排程工作
- 網域控制站︰ LDAP 伺服器簽章需求
- 網域控制站︰ 拒絕電腦帳戶密碼變更
網域成員 - 網域成員︰ 經過數位加密或簽章 (自動) 安全通道資料
- 網域成員︰ 資料加以數位加密安全通道 (可能的話)
- 網域成員︰ 安全數位簽章 (自動) 的通道資料
- 網域成員︰ 停用電腦帳戶密碼變更
- 網域成員︰ 機器帳戶密碼最長有效期
- 網域成員︰ 需要強式 (Windows 2000 或更新版本) 工作階段金鑰
互動式登入 - 互動式登入︰ 在工作階段鎖定時,顯示使用者資訊
- 互動式登入︰ 不會顯示最後的使用者名稱
- 互動式登入︰ 不需要按 CTRL + ALT + DEL
- 互動式登入:電腦帳戶鎖定閾值
- 互動式登入︰ 電腦未使用時間限制
- 互動式登入︰ 給登入使用者的訊息本文
- 互動式登入︰ 給登入使用者的訊息標題
- 互動式登入︰ 先前登入快取 (沒有可用的網域控制站)
- 互動式登入︰ 若要變更密碼的到期日之前提示使用者
- 互動式登入︰ 要求網域控制站驗證以解除鎖定工作站
- 互動式登入︰ 要求智慧卡
- 互動式登入︰ 智慧卡移除操作
Microsoft 網路用戶端 - Microsoft 網路用戶端︰ 數位簽章通訊 (自動)
- Microsoft 網路用戶端︰ 數位簽章的通訊 (如果伺服器同意)
- Microsoft 網路用戶端︰ 傳送到協力廠商的 SMB 伺服器未加密的密碼
Microsoft 網路伺服器 - Microsoft 網路伺服器: 暫停工作階段前,要求的閒置時間
- Microsoft 網路伺服器:嘗試 S4U2Self 以取得宣告資訊
- Microsoft 網路伺服器: 數位簽章伺服器的通訊 (自動)
- Microsoft 網路伺服器: 數位簽章伺服器的通訊 (如果用戶端同意)
- Microsoft 網路伺服器: 當登入時數到期時,中斷用戶端連線
- Microsoft 網路伺服器︰ 伺服器的 SPN 目標名稱的驗證層級
網路存取 - 網路存取︰ 允許匿名 SID/名稱轉譯
- 網路存取︰ 不允許匿名列舉 SAM 帳戶
- 網路存取︰ 不允許匿名列舉 SAM 帳戶和共用
- 網路存取︰ 不允許儲存密碼和認證用於網路驗證
- 網路存取︰ 讓 Everyone 權限套用到匿名使用者
- 網路存取︰ 可以匿名存取的具名管道
- 網路存取︰ 遠端存取的登錄路徑
- 網路存取︰ 遠端存取的登錄路徑和子路徑
- 網路存取︰ 限制匿名存取具名管道和共用
- 網路存取︰ 可以匿名存取的共用
- 網路存取︰ 共用和安全性模式用於本機帳戶
網路安全性 - 網路安全性︰ 允許本機系統中,使用 NTLM 電腦識別
- 網路安全性︰ 允許使用 LocalSystem NULL 工作階段
- 網路安全性︰ 允許 PKU2U 驗證要求到這台電腦使用線上識別
- 網路安全性︰ 設定允許 kerberos 的加密類型
- 網路安全性︰ 下次密碼變更,不儲存 LAN Manager 雜湊值
- 網路安全性︰ 強制登出登入時數
- 網路安全性︰ LAN Manager 驗證層級
- 網路安全性︰ LDAP 用戶端簽章需求
- 網路安全性︰ NTLM SSP 的最小工作階段安全性基礎 (包括安全 RPC) 用戶端
- 網路安全性︰ NTLM SSP 的最小工作階段安全性基礎 (包括安全 RPC) 伺服器
- 網路安全性︰ 限制 NTLM︰ 新增 NTLM 驗證的遠端伺服器例外狀況
- 網路安全性︰ 限制 NTLM︰ 在此網域中新增伺服器例外狀況
- 網路安全性︰ 限制 NTLM: NTLM 的連入流量
- 網路安全性︰ 限制 NTLM︰ 此網域中的 NTLM 驗證
- 網路安全性︰ 限制 NTLM︰ 遠端伺服器的連出 NTLM 流量
- 網路安全性︰ 限制 NTLM︰ 稽核 NTLM 的連入流量
- 網路安全性︰ 限制 NTLM︰ 此網域中的稽核 NTLM 驗證
修復主控台 - 修復主控台︰ 允許自動系統管理的登入
- 修復主控台 ︰ 允許軟碟複製以及存取所有的磁碟機和資料夾
關機 - 關機︰ 允許系統關閉而不需要登入
- 關機︰ 清除虛擬記憶體分頁檔
系統密碼編譯 - 系統密碼編譯︰ 強制使用強式金鑰保護,對使用者的電腦上儲存的金鑰
- 系統密碼編譯︰ 使用 FIPS 相容演算法於加密,雜湊,以及簽章
系統物件 - 系統物件︰ 要求不區分大小寫用於非 Windows 子系統
- 系統物件︰ 加強內部系統物件 (例如︰ 符號連結) 的預設權限
系統設定 - 系統設定︰ 選擇性的子系統
- 系統設定︰ 軟體限制原則的 Windows 可執行檔使用憑證規則
使用者帳戶控制 - 內建系統管理員帳戶的使用者帳戶控制︰ 管理核准模式
- 使用者帳戶控制︰ 允許 UIAccess 應用程式不使用安全桌面提示提升權限
- 使用者帳戶控制︰ 在管理核准模式,系統管理員之提高權限提示的行為
- 使用者帳戶控制︰ 標準使用者提高權限提示的行為
- 使用者帳戶控制︰ 偵測應用程式安裝,並提示提高權限
- 使用者帳戶控制︰ 僅提高權限可執行檔,已簽章與驗證
- 使用者帳戶控制︰ 僅提高在安全位置安裝的 UIAccess 應用程式
- 使用者帳戶控制︰ 管理核准模式中執行所有系統管理員
- 提示提高權限時,使用者帳戶控制︰ 切換到安全桌面
- 使用者帳戶控制︰ 將每個使用者位置的檔案及登錄寫入失敗虛擬化