Nastavení směrného plánu zabezpečení Windows 10 a novější s Intune

Podívejte se na nastavení směrného plánu zabezpečení, Microsoft Intune podporuje pro zařízení, která Windows 10 a Windows 11. Výchozí hodnoty nastavení v tomto směrného plánu představují doporučenou konfiguraci pro příslušná zařízení. Výchozí hodnoty pro jeden směrný plán nemusí odpovídat výchozím hodnotám z jiných směrných plánu zabezpečení nebo z jiných verzí tohoto směrného plánu.

  • Informace o používání standardních hodnot zabezpečení v Intune a o upgradu standardní verze v profilech směrného plánu zabezpečení najdete v tématu Použití směrných účaří zabezpečení.
  • Nejnovější standardní verze je Směrný plán zabezpečení pro Windows 10 a novější pro listopad 2021.

Směrný plán zabezpečení Windows 10 a novější pro listopad 2021

Směrný plán zabezpečení Windows 10 a novější pro prosinec 2020

Směrný plán zabezpečení Windows 10 a novější pro srpen 2020

Tato verze směrného plánu zabezpečení nahrazuje předchozí verze. Profily vytvořené před dostupností této standardní verze:

  • Jsou teď jen pro čtení. Tyto profily můžete dál používat, ale nemůžete je upravovat, abyste změnili jejich konfiguraci.
  • Můžete ho aktualizovat na nejnovější verzi. Po aktualizaci na aktuální verzi směrného plánu můžete upravit profil a upravit nastavení.

Pokud chcete pochopit, co se změnilo v této verzi směrného plánu z předchozích verzí, použijte akci Porovnat směrné plány, která je dostupná při prohlížení podokna Verze pro tento směrný plán. Nezapomeňte vybrat verzi směrného plánu, kterou chcete zobrazit.

Pokud chcete aktualizovat profil směrného plánu zabezpečení na nejnovější verzi tohoto směrného plánu, podívejte se na část Změna standardní verze profilu.

App Runtime

Další informace najdete v tématu Zásady csP – AppRuntime v Windows dokumentaci.

  • Účty Microsoft nepovinné pro Windows Store:
    Toto nastavení zásad umožňuje určit, jestli jsou účty Microsoft nepovinné pro Windows Store, které vyžadují přihlášení účtu. Tato zásada se týká jenom Windows Store, které ji podporují. Pokud toto nastavení povolíte, Windows store, které obvykle vyžadují přihlášení k účtu Microsoft, uživatelům místo toho umožní přihlásit se pomocí podnikového účtu. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, musí se uživatelé přihlásit pomocí účtu Microsoft.
    Další informace

    Výchozí: Povoleno

Správa aplikací

Další informace najdete v tématu Zásady csP – ApplicationManagement v Windows dokumentaci.

  • Blokování instalací aplikací se zvýšenými oprávněními: Toto nastavení zásad nasměruje instalační Windows, aby při instalaci libovolného programu v systému používněl zvýšená oprávnění. Pokud toto nastavení povolíte, budou oprávnění rozšířena na všechny programy. To umožňuje uživatelům instalovat programy, které vyžadují přístup k adresářům, které uživatel nemusí mít oprávnění k zobrazení nebo změně, včetně adresářů na počítačích s omezeným přístupem.
    Další informace

    Výchozí: Ano.

  • Blokování uživatelské kontroly nad instalacemi:
    Tato zásada uživatelům brání v tom, aby měnili možnosti instalace, které jsou obvykle rezervované pro správce systému, například zadáním adresáře pro instalaci souborů. Pokud je nastavená možnost Nenakonfigurované (výchozí), Intune toto nastavení nezmění ani ne aktualizuje. Instalační program Windows ve výchozím nastavení uživatelům zabránit v tom, aby tyto možnosti instalace měnili, a některé funkce zabezpečení instalačního Windows instalačního programu se obejde.
    Další informace

    Výchozí: Ano

  • Blokování záznamů ze hry (jenom pro stolní počítače):
    Konfiguruje, jestli je povoleno nahrávání a vysílání her.
    Další informace

    Výchozí: Ano

Auditování

  • Ověření přihlašovacích údajů auditování přihlášení k účtu (zařízení):
    Toto nastavení zásad umožňuje auditovat události vygenerované ověřovacími testy přihlašovacích přihlašovacích údajů k uživatelskému účtu. Události v této podkategorii se vyskytují jenom na počítači, který je autoritativní pro tyto přihlašovací údaje. U účtů domény je řadič domény autoritativní. U místních účtů je místní počítač autoritativní.

    Výchozí: Úspěch a neúspěch

  • Služba ověřování Kerberos (zařízení) pro audit přihlášení k účtu:
    Toto nastavení zásad umožňuje auditovat události vygenerované požadavky lístku pro udělování lístků ověřování Kerberos (TGT). Pokud toto nastavení nakonfigurujete, vygeneruje se po žádosti TGT ověřování kerberos událost auditování. Audity úspěchů zaznamenávat úspěšné žádosti a neúspěšné audity zaznamenávat neúspěšné žádosti. Pokud toto nastavení zásad nenakonfigurujete, nevygeneruje se po žádosti TGT ověřování kerberos žádná událost auditování.

    Výchozí: Žádné

  • Zamknutí účtu auditování účtu odhlašování přihlášení k účtu (zařízení):

    Výchozí: Chyba

  • Členství ve skupině auditování přihlášení k účtu (zařízení):
    Tato zásada umožňuje auditovat informace o členství ve skupině v přihlašovacím tokenu uživatele. Události v této podkategorii se vygenerují na počítači, na kterém se vytvoří přihlašovací relace. Při interaktivním přihlášení se na počítači, ke které se uživatel přihlásil, vygeneruje událost auditování zabezpečení. Pro přihlášení k síti, jako je přístup ke sdílené složce v síti, se na počítači, který je hostitelem prostředku, vygeneruje událost auditování zabezpečení. Pokud je toto nastavení nakonfigurované, vygeneruje se pro každé úspěšné přihlášení jedna nebo více událostí auditování zabezpečení. Musíte taky povolit nastavení Auditovat přihlášení v části Advanced Audit Policy Configuration\System Audit Policies\Logon/Logoff. Pokud se informace o členství ve skupině nevejde do jedné události auditování zabezpečení, vygeneruje se více událostí.

    Výchozí: Úspěch

  • Přihlášení k auditování přihlášení k účtu odhlašování (zařízení):
    Toto nastavení zásad umožňuje auditovat události generované pokusy o přihlášení k uživatelskému účtu v počítači. Události v této podkategorii souvisejí s vytvářením přihlašovacích relací a vyskytují se na počítači, ke kterým se přistupuje. Při interaktivním přihlášení se událost auditování zabezpečení vygeneruje na počítači, ke které je přihlášený uživatelský účet. Pro přihlášení k síti, jako je přístup ke sdílené složce v síti, se na počítači, který je hostitelem prostředku, vygeneruje událost auditování zabezpečení. Jsou zahrnuty následující události: Úspěšné pokusy o přihlášení. Neúspěšné pokusy o přihlášení Pokusy o přihlášení pomocí explicitních přihlašovacích údajů Tato událost se vygeneruje, když se proces pokusí přihlásit k účtu výslovně zadáním přihlašovacích údajů k účtům. Nejčastěji k tomu dochází v konfiguracích dávkového přihlašování, jako jsou naplánované úlohy nebo při použití příkazu RUNAS. Identifikátory zabezpečení (SID) byly filtrované a nesměly se přihlašovat.

    Výchozí: Úspěch a neúspěch

  • Auditování dalších událostí odhlášení přihlášení (zařízení):
    Toto nastavení zásad umožňuje auditovat další události související s přihlášením nebo odhlášením, které nejsou zahrnuté v nastavení zásad Přihlášení a odhlášení, například: Odpojení relace Terminálové služby. Nové relace Terminálové služby Uzamknutí a odemknutí pracovní stanice Vyvolání spořiče obrazovky Zavření spořiče obrazovky Detekce útoku přehrání pomocí protokolu Kerberos, při kterém byla žádost kerberos přijata dvakrát s identickými informacemi. Tato podmínka může být způsobena misconfiguration sítě. Přístup k bezdrátové síti udělené uživatelskému nebo počítačovému účtu Přístup k drátové síti 802.1x udělené uživatelskému nebo počítačovému účtu

    Výchozí: Úspěch a neúspěch

  • Auditování speciálního přihlášení (zařízení):
    Toto nastavení zásad umožňuje auditovat události vygenerované speciálními přihlášeními, jako je třeba toto: Použití speciálního přihlášení, což je přihlášení, které má oprávnění ekvivalentní správci a může se použít k zvýšení procesu na vyšší úroveň. Přihlášení člena speciální skupiny Speciální skupiny umožňují auditovat události vygenerované při přihlášení člena určité skupiny k síti. V registru můžete nakonfigurovat seznam identifikátorů zabezpečení skupiny. Pokud se některý z těchto identifikátorů SID přidá k tokenu během přihlášení a podkategorie je povolená, zaprotokoluje se událost. Další informace o této funkci najdete v článku 947223 znalostní báze Microsoft Knowledge Base ( https://go.microsoft.com/fwlink/?LinkId=121697) .

    Výchozí: Úspěch

  • Správa skupiny zabezpečení auditování (zařízení):
    Toto nastavení zásad umožňuje auditovat události vygenerované změnami ve skupinách zabezpečení, jako je například následující: Skupina zabezpečení je vytvořená, změněná nebo odstraněná. Člen se přidá nebo odebere ze skupiny zabezpečení. Změní se typ skupiny. Pokud toto nastavení nakonfigurujete, při pokusu o změnu skupiny zabezpečení se vygeneruje událost auditování. Audity úspěchů zaznamenávat úspěšné pokusy a Neúspěšné audity zaznamenávat neúspěšné pokusy. Pokud toto nastavení zásad nenakonfigurujete, při změně skupiny zabezpečení se nevygeneruje žádná událost auditování.

    Výchozí: Úspěch

  • Auditování správy uživatelských účtů (zařízení):
    Toto nastavení zásad umožňuje auditovat změny uživatelských účtů. Mezi události patří: Uživatelský účet se vytvoří, změní, odstraní. přejmenovaná, zakázaná, povolená, uzamčená nebo odemknutá. Uživatelský účet??? je nastavené nebo změněné heslo. Identifikátor zabezpečení (SID) se přidá do historie identifikátorů SID uživatelského účtu. Heslo režimu obnovení adresářových služeb je nakonfigurované. Změní se oprávnění u uživatelských účtů pro správu. Přihlašovací údaje Správce přihlašovacích údajů jsou zálohované nebo obnovené. Pokud toto nastavení nakonfigurujete, při pokusu o změnu uživatelského účtu se vygeneruje událost auditování. Audity úspěchů zaznamenávat úspěšné pokusy a Neúspěšné audity zaznamenávat neúspěšné pokusy. Pokud toto nastavení zásad nenakonfigurujete, při změně uživatelského účtu se nevygeneruje žádná událost auditování.

    Výchozí: Úspěch a neúspěch

  • Podrobná aktivita PNP auditování sledování (zařízení):
    Toto nastavení zásad umožňuje auditovat, když plug and play rozpozná externí zařízení. Pokud toto nastavení nakonfigurujete, vygeneruje se událost auditování pokaždé, když plug and play zjistí externí zařízení. Pro tuto kategorii se zaznamenávají jenom audity úspěchů. Pokud toto nastavení zásad nenakonfigurujete, nevygeneruje se žádná událost auditování, když plug and play rozpozná externí zařízení.

    Výchozí: Úspěch

  • Vytvoření procesu podrobného sledování auditování (zařízení):
    Toto nastavení zásad umožňuje auditovat události vygenerované při vytvoření nebo spuštění procesu. Audituje se taky jméno aplikace nebo uživatele, který proces vytvořil. Pokud toto nastavení nakonfigurujete, vygeneruje se při vytvoření procesu událost auditování. Audity úspěchů zaznamenávat úspěšné pokusy a Neúspěšné audity zaznamenávat neúspěšné pokusy. Pokud toto nastavení zásad nenakonfigurujete, při vytvoření procesu se nevygeneruje žádná událost auditování.

    Výchozí: Úspěch

  • Auditování přístupu k objektům – podrobná sdílení souborů (zařízení):
    Toto nastavení zásad umožňuje auditovat pokusy o přístup k souborům a složkám ve sdílené složce. Nastavení Podrobné sdílení souborů zaznamenává událost při každém přístupu k souboru nebo složce, zatímco nastavení Sdílení souborů zaznamenává jenom jednu událost pro jakékoli připojení mezi klientem a sdílením souborů. Podrobné události auditování sdílení souborů obsahují podrobné informace o oprávněních nebo jiných kritériích používaných k udělení nebo odepření přístupu. Pokud toto nastavení nakonfigurujete, vygeneruje se při pokusu o přístup k souboru nebo složce ve sdílené složce událost auditování. Správce může určit, jestli se mají auditovat jenom úspěchy, jenom neúspěchy nebo úspěchy a chyby. Poznámka: Pro sdílené složky nejsou žádné seznamy řízení přístupu systému (SACL). Pokud je toto nastavení zásad povolené, audituje se přístup ke všem sdíleným souborům a složkám v systému.

    Výchozí: Chyba

  • Auditování přístupu ke sdílení souborů (zařízení):
    Toto nastavení zásad umožňuje auditovat pokusy o přístup ke sdílené složce. Pokud toto nastavení nakonfigurujete, vygeneruje se při pokusu o přístup ke sdílené složce událost auditování. Pokud je toto nastavení zásad definované, může správce určit, jestli se mají auditovat jenom úspěchy, pouze chyby nebo úspěchy a chyby. Poznámka: Pro sdílené složky nejsou žádné seznamy řízení přístupu systému (SACL). Pokud je toto nastavení zásad povolené, audituje se přístup ke všem sdíleným složkám v systému.

    Výchozí: Úspěch a neúspěch

  • Auditování přístupu k objektům – jiné události přístupu k objektům (zařízení):
    Toto nastavení zásad umožňuje auditovat události vygenerované pomocí správy úloh plánovače úloh nebo objektů modelu COM+. U úloh plánovače se audituje následující: Vytvořená úloha. Úloha byla odstraněna. Úloha povolená. Úloha je zakázaná. Úloha byla aktualizována. U objektů modelu COM+ se audituje následující: Přidaný objekt katalogu. Objekt katalogu byl aktualizován. Objekt katalogu byl odstraněn.

    Výchozí: Úspěch a neúspěch

  • Vyměnitelné objekty auditování přístupu Storage (zařízení):
    Toto nastavení zásad umožňuje auditovat pokusy uživatelů o přístup k objektům systému souborů na vyměnitelném úložišti. Událost auditování zabezpečení se vygeneruje jenom pro všechny objekty pro všechny typy požadovaných přístupů. Pokud toto nastavení nakonfigurujete, vygeneruje se událost auditování pokaždé, když účet přistupuje k objektu systému souborů na vyměnitelném úložišti. Audity úspěchů zaznamenávat úspěšné pokusy a Neúspěšné audity zaznamenávat neúspěšné pokusy. Pokud toto nastavení nenakonfigurujete, nevygeneruje se žádná událost auditování, když účet přistupuje k objektu systému souborů na vyměnitelném úložišti.

    Výchozí: Úspěch a neúspěch

  • Změna zásad ověřování auditování (zařízení):
    Toto nastavení zásad umožňuje auditovat události vygenerované změnami zásad ověřování, jako je například vytvoření doménových domén a vztah důvěryhodnosti domén. Změna vztahu důvěryhodnosti doménové struktury a domény Odebrání vztahu důvěryhodnosti doménové struktury a domény Změny zásad protokolu Kerberos v části Konfigurace počítače\Windows Nastavení\Zabezpečení Nastavení\Zásady účtů\Zásady protokolu Kerberos. Udělení libovolného z následujících uživatelských práv uživateli nebo skupině: Přístup k tomuto počítači ze sítě Povolit místní přihlášení Povolit přihlášení prostřednictvím Terminálové služby Přihlaste se jako dávková úloha. Přihlášení ke službě Kolize oboru názvů Pokud má například nový vztah důvěryhodnosti stejný název jako existující název oboru názvů. Pokud toto nastavení nakonfigurujete, vygeneruje se událost auditování při pokusu o změnu zásad ověřování. Audity úspěchů zaznamenávat úspěšné pokusy a Neúspěšné audity zaznamenávat neúspěšné pokusy. Pokud toto nastavení zásad nenakonfigurujete, při změně zásad ověřování se nevygeneruje žádná událost auditování. Poznámka: Při použití zásad skupiny se zaprotokoluje událost auditování zabezpečení. Nedochází k tomu v době, kdy se nastavení změnilo.

    Výchozí: Úspěch

  • Změna zásad auditování MPSSVC – změna zásad na úrovni pravidla (zařízení):
    Toto nastavení zásad umožňuje auditovat události generované změnami pravidel zásad používaných službou Microsoft Protection Service (MPSSVC). Tuto službu používá Windows Firewall. Mezi události patří: Vytváření sestav aktivních zásad při Windows firewallu. Změny pravidel Windows brány Firewall. Změny v Windows seznamu výjimek brány Firewall. Změní nastavení Windows firewallu. Pravidla ignorovaná nebo neu Windows Firewall Service. Změní nastavení Windows firewallu Zásady skupiny firewallu. Pokud toto nastavení nakonfigurujete, vygeneruje se událost auditování pokusy o změnu pravidel zásad používaných serverem MPSSVC. Audity úspěchů zaznamenávat úspěšné pokusy a Neúspěšné audity zaznamenávat neúspěšné pokusy. Pokud toto nastavení zásad nenakonfigurujete, nevygenerují se žádné události auditování změnami pravidel zásad používaných serverem MPSSVC.

    Výchozí: Úspěch a neúspěch

  • Audit změn zásad – další události změny zásad (zařízení):
    Toto nastavení zásad umožňuje auditovat události vygenerované jinými změnami zásad zabezpečení, které nejsou auditované v kategorii změn zásad, jako je třeba následující: změny konfigurace modulu ČIPM (Trusted Platform Module). Kryptografické samotesty v režimu kernelu Operace zprostředkovatele kryptografických služeb Kryptografické kontextové operace nebo změny. Použité změny zásad centrálního přístupu (CAP). Změny konfiguračních dat spouštění (BCD).

    Výchozí: Chyba

  • Auditování změn zásad auditování (zařízení):
    Toto nastavení zásad umožňuje auditovat změny v nastavení zásad auditování zabezpečení, jako je například následující: Nastavení oprávnění a nastavení auditování u objektu Zásady auditování. Změny zásad auditování systému Registrace zdrojů událostí zabezpečení De-registration of security event sources. Změní nastavení auditování pro uživatele. Změní hodnotu CrashOnAuditFail. Změny v seznamu řízení přístupu systému v systému souborů nebo objektu registru Změny v seznamu Zvláštní skupiny Poznámka: Auditování změn seznamu řízení přístupu systému (SACL) se provádí, když se změní seznam SACL pro objekt a kategorie změn zásad je povolená. Volitelný seznam řízení přístupu (DACL) a změny vlastnictví se auditují, pokud je auditování přístupu k objektům povolené a seznam SACL objektu je nakonfigurovaný pro auditování změn seznamu DACL/vlastníka.

    Výchozí: Úspěch

  • Použití oprávnění k používání oprávnění citlivých na audit (zařízení):
    Toto nastavení zásad umožňuje auditovat události vygenerované při použití citlivých oprávnění (uživatelských práv): Nazývá se privilegovaná služba. Nazývá se jedno z následujících oprávnění: Jednat jako součást operačního systému. Zálohujte soubory a adresáře. Vytvořte objekt tokenu. Ladění programů Povolte důvěryhodnost počítačových a uživatelských účtů pro delegování. Vygenerování auditů zabezpečení Zosobnění klienta po ověření Načtení a uvolnění ovladačů zařízení Správa protokolu auditování a zabezpečení Upravte hodnoty prostředí firmwaru. Nahraďte token na úrovni procesu. Obnovte soubory a adresáře. Převzetí vlastnictví souborů nebo jiných objektů Pokud nakonfigurujete toto nastavení zásad, vygeneruje se událost auditování při vytváření citlivých žádostí o oprávnění. Audity úspěchů zaznamenávat úspěšné žádosti a neúspěšné audity zaznamenávat neúspěšné žádosti. Pokud toto nastavení zásad nenakonfigurujete, při vytváření citlivých žádostí o oprávnění se nevygeneruje žádná událost auditování.

    Výchozí: Úspěch a neúspěch

  • Audit systému – jiné systémové události (zařízení):
    Toto nastavení zásad umožňuje auditovat všechny následující události: Spuštění a vypnutí služby Windows Firewall a ovladače. Zpracování zásad zabezpečení službou Windows Firewall Service. Operace se souborem a migrací kryptografických klíčů

    Výchozí: Úspěch a neúspěch

  • Změna stavu zabezpečení auditování systému (zařízení):
    Toto nastavení zásad umožňuje auditovat všechny následující události: Spuštění a vypnutí služby Windows Firewall a ovladače. Zpracování zásad zabezpečení službou Windows Firewall Service. Operace se souborem a migrací kryptografických klíčů

    Výchozí: Úspěch

  • Rozšíření systému zabezpečení auditování (zařízení):
    Toto nastavení zásad umožňuje auditovat události související s rozšířeními nebo službami systému zabezpečení, jako je například toto: Načítá se rozšíření systému zabezpečení, jako je ověřování, oznámení nebo balíček zabezpečení, a je zaregistrované u místního úřadu zabezpečení (LSA). Používá se k ověřování pokusů o přihlášení, odesílání žádostí o přihlášení a ke změnám účtu nebo hesla. Příkladem rozšíření systému zabezpečení jsou Kerberos a NTLM. Služba je nainstalovaná a registrovaná ve Správci řízení služeb. Protokol auditování obsahuje informace o názvu služby, binárním formátu, typu, typu spuštění a účtu služby. Pokud toto nastavení nakonfigurujete, vygeneruje se při pokusu o načtení rozšíření systému zabezpečení událost auditování. Audity úspěchů zaznamenávat úspěšné pokusy a Neúspěšné audity zaznamenávat neúspěšné pokusy. Pokud toto nastavení zásad nenakonfigurujete, při pokusu o načtení rozšíření systému zabezpečení se nevygeneruje žádná událost auditování.

    Výchozí: Úspěch

  • Integrita systému auditování systému (zařízení):
    Toto nastavení zásad umožňuje auditovat události, které porušují integritu podsystému zabezpečení, například následující: Události, které se neschytá zapsat do protokolu událostí z důvodu problému se systémem auditování. Proces, který používá port LPC (Local Procedure Call), který není platný při pokusu o zosobnění klienta odpovědí, čtením nebo zápisem do adresního prostoru klienta nebo z tohoto prostoru. Zjišťování vzdáleného volání procedur (RPC), které nahromuje integritu systému. Zjišťování hodnoty hash spustitelného souboru, který není platný, jak určuje integrita kódu. Kryptografické operace, které ohrozí integritu systému.

    Výchozí: Úspěch a neúspěch

Automatické přehrávání

Další informace najdete v tématu Zásady csP – automatické přehrávání v Windows dokumentaci.

  • Automatické přehrávání výchozího chování automatického spuštění:
    Toto nastavení má vliv na výchozí chování příkazů automatického spuštění. Příkazy automatického spuštění jsou uložené v souborech autorun.inf a mohou spouštět instalační programy nebo jiné rutiny. Pokud je tato možnost povolená, můžou správci změnit výchozí chování automatického spouštění na zařízení, Windows Vista nebo novějším. Chování se může nastavit na: a) úplně zakázat příkazy automatického spuštění nebo b) vrátit se zpátky k předinstalačnímu Windows Vista a automaticky spustit příkaz automatického spuštění. Pokud je nastavená možnost Zakázáno nebo Není nakonfigurováno , zařízení s Windows Vista nebo novějším vyzývat uživatele k tomu, aby se příkaz automatického spuštění spouštěl.
    Další informace

    Výchozí: Nespravit

  • Režim automatického přehrávání:
    Toto nastavení zásad umožňuje vypnout funkci automatického přehrávání. Automatické přehrávání začne číst z jednotky, jakmile do jednotky vložíte médium. V důsledku toho se okamžitě spustí instalační soubor programů a hudba na zvukových médiích. U Windows XP SP2 a starších verzí je automatické přehrávání ve výchozím nastavení zakázané u vyměnitelných jednotek, jako je třeba disketová jednotka (ale ne jednotka CD-ROM) a na síťových jednotkách. Od Windows XP SP2 je automatické přehrávání povolené i pro vyměnitelné jednotky, včetně disků ZIP a některých zařízení s velkokaparátovou paměťovou podporou USB. Pokud toto nastavení povolíte, automatické přehrávání je na jednotkách CD-ROM a vyměnitelných médií zakázané nebo zakázané na všech jednotkách. Toto nastavení zásad zakáže automatické přehrávání u dalších typů jednotek. Toto nastavení nemůžete použít k povolení automatického přehrávání na jednotkách, na kterých je ve výchozím nastavení zakázané. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, bude automatické přehrávání povolené. Poznámka: Toto nastavení zásad se zobrazí ve složkách Konfigurace počítače i Konfigurace uživatele. Pokud je nastavení zásad v konfliktu, má nastavení zásad v části Konfigurace počítače přednost před nastavením zásad v části Konfigurace uživatele.
    Další informace

    Výchozí: Zakázáno

  • Blokování automatického přehrávání pro zařízení bez hlasitosti:
    Toto nastavení zásad zakáže automatické přehrávání pro zařízení MTP, jako jsou kamery nebo telefony. Pokud toto nastavení povolíte, automatické přehrávání není povolené pro zařízení MTP, jako jsou kamery nebo telefony. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, je automatické přehrávání povolené pro nes volume zařízení.
    Další informace

    Výchozí: Povoleno

Nástroj BitLocker

Další informace najdete v tématu Zásady csP – BitLocker v Windows dokumentaci.

  • Zásady vyměnitelné jednotky nástroje BitLocker:
    Toto nastavení zásad se používá k řízení způsobu šifrování a síly šifrování. Hodnoty této zásady určují sílu šifrování, kterou nástroj BitLocker používá k šifrování. Podniky mohou chtít kontrolovat úroveň šifrování pro zvýšení zabezpečení (AES-256 je silnější než AES-128). Pokud toto nastavení povolíte, můžete nakonfigurovat šifrovací algoritmus a sílu šifrování klíče pro pevné datové jednotky, jednotky operačního systému a vyměnitelné datové jednotky jednotlivě. U jednotek s pevným a operačním systémem doporučujeme použít algoritmus XTS-AES. U vyměnitelných jednotek byste měli použít 128bitovou verzi AES-CBC nebo 256bitovou verzi AES-CBC, pokud se jednotka používá na jiných zařízeních, na které není Windows 10 verze 1511 nebo novější, nebo Windows 11. Změna metody šifrování nemá žádný vliv, pokud je jednotka už zašifrovaná nebo probíhá šifrování. V těchto případech je toto nastavení zásad ignorováno.
    Další informace

    Výchozí: Konfigurace

    U zásad vyměnitelné jednotky nástroje BitLocker nakonfigurujte následující nastavení:

    • Blokovat přístup pro zápis k vyměnitelným datovým jednotkám, které nejsou chráněné nástrojem BitLocker:
      Výchozí: Ano

Prohlížeč

Další informace najdete v tématu Zásady csP – prohlížeč v Windows dokumentaci.

  • Vyžadovat SmartScreen pro Microsoft Edge:
    Microsoft Edge používá filtr SmartScreen v programu Microsoft Defender (zapnuté) k ochraně uživatelů před potenciálními phishingovými podvody a škodlivým softwarem ve výchozím nastavení. Ve výchozím nastavení také uživatelé nesmět zakažte (vypnout) filtr SmartScreen v programu Microsoft Defender. Povolením této zásady vypnete filtr SmartScreen v programu Microsoft Defender a zabráníte uživatelům v jeho zapnutí. Nekonfigurujte tuto zásadu tak, aby uživatelé zvolili možnost zapnout nebo vypnout SmartScreen v programu Microsoft Defender.
    Další informace

    Výchozí: Ano

  • Blokování přístupu k škodlivému webu:
    Ve výchozím nastavení Microsoft Edge uživatelům obcházet (ignorovat) upozornění filtr SmartScreen v programu Microsoft Defender potenciálně škodlivých webech a umožnit jim pokračovat na web. Pomocí této zásady ale můžete nakonfigurovat Microsoft Edge zabránit uživatelům v obcházení upozornění a blokovat je v pokračování na web.
    Další informace

    Výchozí: Ano

  • Blokování neověřených stahování souborů:
    Ve výchozím nastavení Microsoft Edge uživatelům obcházet (ignorovat) upozornění filtr SmartScreen v programu Microsoft Defender potenciálně škodlivých souborů, což jim umožňuje pokračovat ve stahování neověřených souborů. Povolením této zásady zabráníte uživatelům v obcházení upozornění a zabráníte jim ve stahování neověřených souborů.
    Další informace

    Výchozí: Ano

  • Blokovat Správce hesel:
    Ve výchozím nastavení Microsoft Edge Password Manager automaticky, což uživatelům umožňuje používat hesla místně. Zakázáním této zásady Microsoft Edge používat Správce hesel. Tuto zásadu nekonfigurujte, pokud chcete, aby uživatelé zvolili možnost ukládat a spravovat hesla místně pomocí Správce hesel.
    Další informace

    Výchozí: Ano

  • Zabránění uživateli v přepsání chyb certifikátů:
    Toto nastavení zásad zabrání uživateli v ignorování chyb certifikátů ssl/TLS (protokol SSL (Secure Sockets Layer)/Transport Layer Security), které přerušují procházení (například "vypršela", "odvolaná" nebo "neshoda názvů") v Internet Exploreru. Pokud toto nastavení zásad povolíte, uživatel nebude moci pokračovat v procházení. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, může uživatel ignorovat chyby certifikátů a pokračovat v procházení.
    Další informace

    Výchozí: Ano

Připojení

Další informace najdete v tématu Zásady csP – připojení v Windows dokumentaci.

  • Blokování stahování z internetu pro průvodce publikováním na webu a online objednávkou:
    Toto nastavení zásad určuje, Windows měli stáhnout seznam poskytovatelů pro průvodce publikováním na webu a online objednávkou. Tito průvodci umožňují uživatelům vybrat si ze seznamu společností, které poskytují služby, jako je online úložiště a fotografický tisk. Ve výchozím Windows zprostředkovatelé stažené z Windows webu kromě poskytovatelů zadaných v registru. Pokud toto nastavení povolíte, Windows zprostředkovatelé nestáhne a jenom poskytovatelé služeb, kteří jsou v mezipaměti v zobrazení místního registru. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, stáhne se seznam poskytovatelů, kteří používají průvodce publikováním webu nebo online objednávkou. Další informace, které obsahují podrobnosti o zadávání poskytovatelů služeb v registru, najdete v dokumentaci k průvodcům publikováním na webu a online objednávkou.
    Další informace

    Výchozí: Povoleno

  • Konfigurace zabezpečeného přístupu k cestám UNC:
    Toto nastavení zásad konfiguruje zabezpečený přístup k cestám UNC. Pokud tuto zásadu povolíte, Windows přístup k zadaným cestám UNC jenom po splnění dalších požadavků na zabezpečení.
    Další informace

    Výchozí: Nakonfigurujte Windows tak, aby po splnění dalších požadavků na zabezpečení povolte přístup k zadaným cestám UNC.

    Když je Windows konfigurace povolit přístup k zadaným cestám UNC jenom po splnění dalších požadavků na zabezpečení, můžete nakonfigurovat seznam pevné cesty UNC.

  • Seznam tvrzených cest UNC:
    Pokud chcete zadat další příznaky zabezpečení a cesty k serveru, vyberte Přidat.

  • Blokování stahování ovladačů tisku přes HTTP:
    Toto nastavení zásad určuje, jestli chcete tomuto klientovi povolit stahování balíčků ovladačů tisku přes protokol HTTP. Pokud chcete nastavit tisk přes HTTP, je potřeba stáhnout ovladače, které nejsou doručené přes HTTP. Poznámka: Toto nastavení zásad nezabrání klientovi v tisku na tiskárnách v intranetu nebo internetu přes protokol HTTP. Zakáže jenom stahování ovladačů, které ještě nejsou nainstalované místně. Pokud toto nastavení povolíte, ovladače tisku se přes HTTP nestáhne. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, budou si uživatelé moci stáhnout ovladače tisku přes http.
    Další informace

    Výchozí: Povoleno

Delegování přihlašovacích údajů

Další informace najdete v tématu Zásady csP – CredentialsDelegation v Windows dokumentaci.

  • Delegování neexportovatelných přihlašovacích údajů vzdáleného hostitele:
    Vzdálený hostitel umožňuje delegování neexportovatelných přihlašovacích údajů. Při delegování přihlašovacích údajů poskytují zařízení vzdálenému hostiteli exportovatelné verze přihlašovacích údajů, která vystavuje uživatele riziku krádeže přihlašovacích údajů od útočníků na vzdáleném hostiteli. Pokud toto nastavení povolíte, hostitel podporuje režim Správce s omezeným přístupem nebo Remote Credential Guard. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, režim omezená správa a vzdálená ochrana přihlašovacích údajů se nepodporuje. Uživatel bude vždycky muset předat svoje přihlašovací údaje hostiteli.
    Další informace

    Výchozí: Povoleno

Uživatelské rozhraní přihlašovacích údajů

Další informace najdete v tématu CsP zásad – CredentialsUI v Windows dokumentaci.

  • Vytvoření výčtu správců:
    Toto nastavení zásad určuje, jestli se účty správce zobrazují, když se uživatel pokusí zvýšit počet spuštěných aplikací. Ve výchozím nastavení se účty správce nezobrazují, když se uživatel pokusí zvýšit počet spuštěných aplikací. Pokud toto nastavení povolíte, zobrazí se všechny účty místního správce na počítači, aby si ho mohl uživatel vybrat a zadat správné heslo. Pokud toto nastavení zásad zakážete, uživatelé budou vždycky muset zadat uživatelské jméno a heslo, aby se povýšit.
    Další informace

    Výchozí: Zakázáno

Ochrana dat

Další informace najdete v tématu Zásady csP – DataProtection v Windows dokumentaci.

  • Blokování přímého přístupu do paměti:
    Toto nastavení zásad umožňuje blokovat přímý přístup do paměti (DMA) pro všechny podřízené porty PCI s připojením za horka, dokud se uživatel nehlásí do Windows. Jakmile se uživatel přihlásí, Windows vytvoří výčet zařízení PCI připojených k portům PCI hostitelských konektorů. Pokaždé, když uživatel zamkne počítač, je DMA zablokovaná na portech PCI s konektorem za běhu bez dětských zařízení, dokud se uživatel znovu nenahlásí. Zařízení, která už byla vyjmenovaná při odemknutí počítače, budou dál fungovat, dokud se neodehlásíte. Toto nastavení zásad se vynucuje jenom v případě, že je povolený nástroj BitLocker nebo šifrování zařízení.
    Další informace

    Výchozí: Ano

Ochrana zařízení

Další informace najdete v tématu Zásady CSP – DeviceGuard v Windows dokumentaci.

  • Zapnout ochranu přihlašovacích údajů:
    Toto nastavení umožňuje uživatelům zapnout Credential Guard s virtualizačním zabezpečením, které pomáhá chránit přihlašovací údaje při příštím restartování.
    Další informace

    Výchozí: Povolit s uzamknutím UEFI

  • Zabezpečení založené na virtualizaci:
    Zapne zabezpečení založené na virtualizaci (VBS) při příštím restartování. Zabezpečení založené na virtualizaci používá Windows Hypervisor k poskytování podpory služeb zabezpečení.

    Výchozí: Povolení VBS se zabezpečeným spouštěním

  • Povolit zabezpečení založené na virtualizaci:
    Zapne zabezpečení založené na virtualizaci (VBS) při příštím restartování. Zabezpečení založené na virtualizaci používá Windows Hypervisor k poskytování podpory služeb zabezpečení.
    Další informace

    Výchozí: Ano

  • Spustit systémovou ochranu:
    Povolí zabezpečené spuštění, pokud je podporováno hardwarem.

    Výchozí: Povoleno

Instalace zařízení

  • Blokování instalace hardwarového zařízení podle tříd nastavení:
    Toto nastavení zásad umožňuje zadat seznam globálně jedinečných identifikátorů GUID (Device Setup Class) pro ovladače zařízení, Windows není možné nainstalovat. Toto nastavení zásad má přednost před všemi ostatními nastaveními zásad, které Windows instalaci zařízení. Pokud instalaci zablokujete, Windows instalace nebo aktualizace ovladačů zařízení, jejichž identifikátory GUID instalačních tříd zařízení se zobrazí v seznamu, který vytvoříte. Pokud toto nastavení zásad povolíte na serveru vzdálené plochy, bude mít toto nastavení vliv na přesměrování zadaných zařízení z klienta vzdálené plochy na server vzdálené plochy. Pokud instalaci povolíte, Windows zařízení nainstalovat a aktualizovat tak, jak je to povolené nebo zabráněné jinými nastaveními zásad.
    Další informace

    Výchozí: Ano

    Pokud je vybraná možnost Ano, jsou dostupná následující nastavení.

    • Odebrání odpovídajících hardwarových zařízení:
      Toto nastavení je dostupné jenom v případě, že je možnost Blokovat instalaci hardwarového zařízení podle tříd nastavení nastavená na Hodnotu Ano.

      Výchozí: Ano

    • Blokový seznam Spravujte seznam globálně jedinečných identifikátorů třídy nastavení zařízení, které pro ovladače zařízení, Windows zařízení, není možné instalovat.

Další informace najdete v tématu Zásady csP – DeviceInstallation v Windows dokumentaci.

  • Instalace hardwarového zařízení podle identifikátorů zařízení:
    Toto nastavení zásad umožňuje zadat seznam HARDWAROVÝCH ID plug-and-play a kompatibilních ID pro zařízení, Windows není možné instalovat. Toto nastavení zásad má přednost před všemi ostatními nastaveními zásad, které Windows instalaci zařízení. Pokud toto nastavení povolíte, Windows nemůžete nainstalovat zařízení, jehož ID hardwaru nebo kompatibilní ID se zobrazí v seznamu, který vytvoříte. Pokud toto nastavení zásad povolíte na serveru vzdálené plochy, bude mít toto nastavení vliv na přesměrování zadaných zařízení z klienta vzdálené plochy na server vzdálené plochy. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, instaluje se a aktualizuje zařízení tak, jak to povolené nebo zabraňované jinými nastaveními zásad.
    Další informace

    Výchozí: Blokování instalace hardwarového zařízení

    Pokud je vybrána možnost Blokovat instalaci hardwarového zařízení, jsou k dispozici následující nastavení.

    • Odebrání odpovídajících hardwarových zařízení:
      Toto nastavení je dostupné jenom v případě, že je instalace hardwarového zařízení podle identifikátorů zařízení nastavená na Blokovat instalaci hardwarového zařízení.

      Výchozí: Ano

    • Blokované identifikátory hardwarových zařízení:
      Toto nastavení je dostupné jenom v případě, že je instalace hardwarového zařízení podle identifikátorů zařízení nastavená na Blokovat instalaci hardwarového zařízení.

      Výchozí: Ano

  • Instalace hardwarového zařízení podle tříd nastavení:
    Toto nastavení zásad umožňuje zadat seznam globálně jedinečných identifikátorů GUID (Device Setup Class) pro ovladače zařízení, Windows není možné nainstalovat. Toto nastavení zásad má přednost před všemi ostatními nastaveními zásad, které Windows instalaci zařízení. Pokud toto nastavení povolíte, Windows ovladače zařízení, jejichž identifikátory GUID instalačních tříd zařízení se v seznamu, který vytvoříte, nedají nainstalovat ani aktualizovat. Pokud toto nastavení zásad povolíte na serveru vzdálené plochy, bude mít toto nastavení vliv na přesměrování zadaných zařízení z klienta vzdálené plochy na server vzdálené plochy. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, Windows zařízení nainstalovat a aktualizovat tak, jak je to povolené nebo zabráněné jinými nastaveními zásad.
    Další informace

    Výchozí: Blokování instalace hardwarového zařízení

    Pokud je vybrána možnost Blokovat instalaci hardwarového zařízení, jsou k dispozici následující nastavení.

    • Odebrání odpovídajících hardwarových zařízení:
      Toto nastavení je dostupné jenom v případě, že je instalace hardwarových zařízení podle tříd nastavení nastavená na Blokovat instalaci hardwarového zařízení.

      Výchozí: Žádná výchozí konfigurace

    • Blokované identifikátory hardwarových zařízení:
      Toto nastavení je dostupné jenom v případě, že je instalace hardwarových zařízení podle tříd nastavení nastavená na Blokovat instalaci hardwarového zařízení.

      Výchozí: Žádná výchozí konfigurace

Zámek zařízení

Další informace najdete v tématu Zásady csP – DeviceLock v Windows dokumentaci.

  • Vyžadovat heslo:
    Určuje, jestli je zámek zařízení povolený.
    Další informace

    Výchozí: Ano

    Pokud je možnost Vyžadovat heslo nastavená na Ano, jsou dostupná následující nastavení.

    • Povinné heslo:
      Určuje typ požadovaného PIN kódu nebo hesla.
      Další informace

      Výchozí: Alfanumerická funkce

    • Vypršení platnosti hesla (dny):
      Nastavení zásady Maximální stáří hesla určuje, jak dlouho (ve dnech) se může heslo použít před tím, než systém vyžaduje, aby ho uživatel změnil. Hesla můžete nastavit tak, aby vyprší po několika dnech mezi 1 a 999, nebo můžete zadat, že platnost hesel nikdy nevyprší, a to nastavením počtu dnů na 0. Pokud je maximální stáří hesla mezi 1 a 999 dny, musí být minimální věk hesla menší než maximální stáří hesla. Pokud je maximální stáří hesla nastaveno na hodnotu 0, může být minimální věk hesla libovolná hodnota od 0 do 998 dnů.
      Další informace

      Výchozí: 60

    • Počet minimálních znakových sady hesel:
      Počet komplexních typů elementů (velká a malá písmena, čísla a interpunkční znaky) požadovaný pro silný PIN kód nebo heslo. PIN kód vynucuje následující chování pro stolní a mobilní zařízení: 1 – číslice pouze 2 – číslice a malá písmena jsou povinná 3 – jsou vyžadována číslice, malá a velká písmena. Není podporováno v desktopových účtech Microsoft a účtech domény. 4 – Jsou vyžadována číslice, malá písmena, velká písmena a speciální znaky. Není podporováno v desktopové aplikaci.
      Další informace

      Výchozí: 3

    • Zabránění opakovanému použití předchozích hesel:
      Určuje, kolik hesel se uloží v historii, která se neschová. Hodnota zahrnuje aktuální heslo uživatele. Když třeba uživatel nastaví hodnotu 1, nemůže při výběru nového hesla znovu použít svoje aktuální heslo. Nastavení 5 znamená, že uživatel nemůže nastavit svoje nové heslo na aktuální heslo nebo na žádné z předchozích čtyř hesel.
      Další informace

      Výchozí: 24

    • Minimální délka hesla:
      Nastavení zásady Minimální délka hesla určuje nejmenší počet znaků, které mohou vytvořit heslo pro uživatelský účet. Můžete nastavit hodnotu mezi 1 a 14 znaky nebo můžete určit, že se nevyžaduje žádné heslo nastavením počtu znaků na 0.
      Další informace

      Výchozí: 8

    • Počet neúspěšných přihlášení před utíráním zařízení:
      Počet povolených chyb ověřování před vymazáním zařízení Hodnota 0 zakáže funkci vymazání zařízení.
      Další informace

      Výchozí: 10

    • Blokování jednoduchých hesel:
      Určuje, jestli jsou povolená PIN nebo hesla, například "1111" nebo "1234". Pro plochu také řídí použití obrázkových hesel.
      Další informace

      Výchozí: Ano
      Nastavení Ano zabraňuje použití jednoduchých hesel.

  • Minimální věk hesla ve dnech:
    Nastavení zásady Minimální stáří hesla určuje, jak dlouho (ve dnech) musí být heslo použito, aby ho uživatel mohl změnit. Můžete nastavit hodnotu mezi 1 a 998 dny nebo můžete změny hesla povolit okamžitě nastavením počtu dnů na 0. Minimální stáří hesla musí být menší než maximální stáří hesla, pokud není maximální věk hesla nastavený na hodnotu 0, což znamená, že platnost hesel nikdy nevyprší. Pokud je maximální stáří hesla nastavené na hodnotu 0, můžete minimální stáří hesla nastavit na libovolnou hodnotu od 0 do 998.
    Další informace

    Výchozí: 1

  • Zabránění použití fotoaparátu:
    Zakáže přepínač zamykací obrazovky v počítači Nastavení a zabrání tomu, aby se kamera na zamykací obrazovce vyvolala. Ve výchozím nastavení mohou uživatelé povolit vyvolání dostupné kamery na zamykací obrazovce. Pokud toto nastavení povolíte, uživatelé v počítači pc Nastavení přístup k zamykací obrazovce povolit ani zakázat a na zamykací obrazovce ji neaktivovat.
    Další informace

    Výchozí: Povoleno

  • Zabránění prezentaci:
    Zakáže nastavení prezentace zamykací obrazovky v počítači Nastavení a zabrání přehrávání prezentace na zamykací obrazovce. Ve výchozím nastavení mohou uživatelé povolit prezentaci, která se spustí po uzamčení počítače. Pokud toto nastavení povolíte, uživatelé v počítači Nastavení upravovat nastavení prezentace a žádná prezentace se nespustí.
    Další informace

    Výchozí: Povoleno: Nastavení Povoleno zabraňuje spuštění prezentací.

DMA Guard

Další informace najdete v tématu Zásady CSP – DmaGuard v Windows dokumentaci.

  • Výčet externích zařízení nekompatibilních s ochranou DMA v jádře:
    Cílem této zásady je zajistit další zabezpečení externích zařízení s podporou DMA. Umožňuje větší kontrolu nad výčtem externích zařízení s podporou DMA nekompatibilních s izolací paměti a izolovaném prostoru v izolovaném prostoru zařízení. Tato zásada se projeví jenom v případě, že je ochrana DMA v jádře podporovaná a povolená firmwarem systému. Ochrana DMA v jádře je funkce platformy, kterou nelze ovládat prostřednictvím zásad nebo koncových uživatelů. Systém ho musí podporovat v době výroby. Pokud chcete zkontrolovat, jestli systém podporuje ochranu DMA v jádře, zaškrtněte políčko Ochrana DMA v jádře na stránce Souhrn MSINFO32.exe.
    Další informace

    Výchozí: Blokovat vše

Služba protokolu událostí

Další informace najdete v tématu Zásady csP – EventLogService v Windows dokumentaci.

  • Maximální velikost souboru protokolu aplikace v KB:
    Toto nastavení zásad určuje maximální velikost souboru protokolu v kilobajtech. Pokud toto nastavení povolíte, můžete nakonfigurovat maximální velikost souboru protokolu na 1 megabajt (1024 kilobajtů) a 2 terabajty (2147483647 kilobajtů) v kilobajtech. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, nastaví se maximální velikost souboru protokolu na místně nakonfigurovanou hodnotu. Tuto hodnotu může změnit místní správce pomocí dialogového okna Vlastnosti protokolu a výchozí hodnota je 20 megabajtů.
    Další informace

    Výchozí: 32768

  • Maximální velikost souboru protokolu zabezpečení v KB:
    Toto nastavení zásad určuje maximální velikost souboru protokolu v kilobajtech. Pokud toto nastavení povolíte, můžete nakonfigurovat maximální velikost souboru protokolu na 1 megabajt (1024 kilobajtů) a 2 terabajty (2147483647 kilobajtů) v kilobajtech. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, nastaví se maximální velikost souboru protokolu na místně nakonfigurovanou hodnotu. Tuto hodnotu může změnit místní správce pomocí dialogového okna Vlastnosti protokolu a výchozí hodnota je 20 megabajtů.
    Další informace

    Výchozí: 196608

  • Maximální velikost souboru systémového protokolu v KB:
    Toto nastavení zásad určuje maximální velikost souboru protokolu v kilobajtech. Pokud toto nastavení povolíte, můžete nakonfigurovat maximální velikost souboru protokolu na 1 megabajt (1024 kilobajtů) a 2 terabajty (2147483647 kilobajtů) v kilobajtech. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, nastaví se maximální velikost souboru protokolu na místně nakonfigurovanou hodnotu. Tuto hodnotu může změnit místní správce pomocí dialogového okna Vlastnosti protokolu a výchozí hodnota je 20 megabajtů.
    Další informace

    Výchozí: 32768

Prostředí

Další informace najdete v tématu Zásady csP – Prostředí v Windows dokumentaci.

  • Blokování Windows spotlightu:
    Umožňuje správcům IT vypnout (blokovat) všechny funkce Windows Spotlight. Patří sem window spotlight na zamykací obrazovce, Windows Tipy, spotřebitelské funkce Microsoftu a další související funkce.
    Další informace

    Výchozí: Ano

    Pokud je možnost Windows Spotlight nastavená na Nenakonfigurováno , není na zařízeních zablokovaná funkce Windows Spotlight a potom můžete nakonfigurovat následující nastavení tak, aby blokovaly vybrané položky pro Windows Spotlight:

    • Blokování návrhů třetích stran v Windows Spotlight:
      Určuje, jestli chcete povolit návrhy aplikací Windows obsahu od vydavatelů softwaru třetích stran v funkcích, jako je zamykací obrazovka, navrhované aplikace v nabídka Start Windows Windows tipy. Uživatelé vidíte i nadále návrhy funkcí, aplikací a služeb Microsoftu.
      Další informace

      Výchozí: Nenakonfigurované

    • Blokovat funkce specifické pro spotřebitele:
      Umožňuje správcům IT zapnout prostředí, která jsou obvykle jenom pro spotřebitele, jako jsou návrhy startu, oznámení o členství, instalace aplikací po OOBE a dlaždice přesměrování.
      Další informace

      Výchozí: Nenakonfigurované

Ochrana před zneužitím

Další informace najdete v tématu Zásady CSP – ExploitGuard v Windows dokumentaci.

  • Upload XML:
    Umožňuje správci IT vytlačit konfiguraci, která představuje požadované možnosti omezení systému a aplikací na všechna zařízení v organizaci. Konfiguraci představuje kód XML. Ochrana před zneužitím pomáhá chránit zařízení před malwarem, který využívá zneužití k šíření a infikování. Pomocí aplikace Zabezpečení Windows nebo PowerShellu můžete vytvořit sadu zmírnění rizik (označované jako konfigurace). Potom můžete tuto konfiguraci exportovat jako soubor XML a sdílet ji s několika počítači v síti, aby všechny měly stejnou sadu nastavení omezení rizik. Existující konfigurační soubor XML EMET můžete také převést a importovat do xml konfigurace ochrany proti zneužití.
    Další informace

    Výchozí: Ukázka xml je k dispozici

Průzkumník souborů

Další informace najdete v tématu Zásady csP – FileExplorer v Windows dokumentaci.

  • Blokování prevence spuštění dat:
    Zakázáním prevence spuštění dat můžete povolit, aby některé starší aplikace plug-in fungovaly bez ukončení Průzkumníka.
    Další informace

    Výchozí: Zakázáno

  • Blokování ukončení haldy při poškození:
    Zakázání ukončení haldy při poškození může povolit, aby některé starší aplikace plug-in fungovaly bez okamžitého ukončení Průzkumníka, i když explorer může později neočekávaně ukončit.
    Další informace

    Výchozí: Zakázáno

Brána firewall

Další informace najdete v článku 2.2.2 FW_PROFILE_TYPE v dokumentaci Windows Protocols .

  • Doména profilu brány firewall:
    Určuje profily, ke kterým pravidlo patří: Doména, Soukromé, Veřejné. Tato hodnota představuje profil pro sítě, které jsou připojené k doménám.
    Další informace

    • Příchozí připojení jsou blokovaná:
      Výchozí: Ano

    • Vyžaduje se odchozí připojení:
      Výchozí: Ano

    • Příchozí oznámení jsou blokovaná:
      Výchozí: Ano

    • Povolená brána Firewall:
      Výchozí: Povoleno

  • Veřejný profil brány firewall:
    Určuje profily, ke kterým pravidlo patří: Doména, Soukromé, Veřejné. Tato hodnota představuje profil pro veřejné sítě. Tyto sítě klasifikují správci v hostiteli serveru jako veřejné. Klasifikace se stane při prvním připojení hostitele k síti. Obvykle se jedná o sítě na letištích, kavárnách a dalších veřejných místech, kde nejsou důvěryhodní kolegové v síti nebo správce sítě.
    Další informace

    • Příchozí připojení jsou blokovaná:
      Výchozí: Ano

    • Vyžaduje se odchozí připojení:
      Výchozí: Ano

    • Příchozí oznámení jsou blokovaná:
      Výchozí: Ano

    • Povolená brána Firewall:
      Výchozí: Povoleno

    • Pravidla zabezpečení připojení ze zásad skupiny se nesloučí:
      Výchozí: Ano

    • Pravidla zásad ze zásad skupiny se nesloučí:
      Výchozí: Ano

  • Profil brány firewall – soukromý:
    Určuje profily, ke kterým pravidlo patří: Doména, Soukromé, Veřejné. Tato hodnota představuje profil pro soukromé sítě.
    Další informace

    • Příchozí připojení jsou blokovaná:
      Výchozí: Ano

    • Vyžaduje se odchozí připojení:
      Výchozí: Ano

    • Příchozí oznámení jsou blokovaná:
      Výchozí: Ano

    • Povolená brána Firewall:
      Výchozí: Povoleno

Internet Explorer

Další informace najdete v tématu Zásady csP – InternetExplorer v Windows dokumentaci.

  • Aktualizace zóny s omezeným přístupem v Internet Exploreru na stavovém řádku pomocí skriptu:
    Toto nastavení zásad umožňuje spravovat, jestli má skript povoleno aktualizovat stavový řádek v zóně.

    • Pokud toto nastavení zásad povolíte, budou skripty moci stavový řádek aktualizovat.
    • Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, nebudou skripty moci stavový řádek aktualizovat.

    Další informace

    Výchozí: Zakázáno

  • Internet Explorer internet zone drag and drop or copy and paste files:
    Toto nastavení zásad umožňuje spravovat, jestli uživatelé mohou přetahovat soubory nebo kopírovat a vkládat soubory ze zdroje v zóně. Pokud toto nastavení povolíte, budou uživatelé moci automaticky přetahovat soubory nebo kopírovat a vkládat soubory z této zóny. Pokud v rozevíracím seznamu vyberete Zobrazit výzvu, uživatelé se budou dotazovat, jestli se mají soubory z této zóny přetahovat nebo kopírovat. Pokud toto nastavení zásad zakážete, uživatelům se zabrání přetahování souborů nebo kopírování a vkládání souborů z této zóny. Pokud toto nastavení zásad nenakonfigurujete, mohou uživatelé automaticky přetahovat soubory nebo kopírovat a vkládat soubory z této zóny.
    Další informace

    Výchozí: Zakázat

  • Zónu s omezeným přístupem .NET Framework Internet Exploreru:
    Pomocí tohoto nastavení zásad můžete spravovat, .NET Framework součásti, které nejsou podepsané pomocí technologie Authenticode, možné spustit z Internet Exploreru. Mezi tyto součásti patří spravované ovládací prvky odkazované ze značky objektu a spravované spustitelné soubory odkazované z odkazu. Pokud toto nastavení povolíte, Internet Explorer spustí nepodepsané spravované součásti. Pokud v rozevíracím seznamu vyberete Zobrazit výzvu, Internet Explorer vyzve uživatele, aby zjistil, jestli se mají spustit nepodepsané spravované součásti. Pokud toto nastavení zásad zakážete, Internet Explorer nebude spouštět nepodepsané spravované součásti. Pokud toto nastavení zásad nenakonfigurujete, Internet Explorer nebude spouštět nepodepsané spravované součásti.
    Další informace

    Výchozí: Zakázat

  • Zóna místního počítače Internet Exploreru nespouštět antimalwarový software proti ovládacím prvkům Active X:
    Toto nastavení zásad určuje, jestli Internet Explorer spouští antimalwarové programy technologie ActiveX ovládacích prvků, abyste mohli zkontrolovat, jestli jsou na stránkách bezpečné. Pokud toto nastavení povolíte, Internet Explorer nebude kontrolovat, jestli je bezpečné vytvořit instanci ovládacího prvku technologie ActiveX softwaru. Pokud toto nastavení zásad zakážete, Internet Explorer vždy zkontroluje, jestli je bezpečné vytvořit instanci technologie ActiveX ovládacího prvku. Pokud toto nastavení zásad nenakonfigurujete, Internet Explorer nebude kontrolovat, jestli je bezpečné vytvořit instanci ovládacího prvku technologie ActiveX softwaru. Uživatelé mohou toto chování zapnout nebo vypnout pomocí nastavení zabezpečení Internet Exploreru.
    Další informace

    Výchozí: Zakázáno

  • Přístup zóny internet exploreru ke zdrojům dat:
    Toto nastavení zásad umožňuje spravovat, jestli má Internet Explorer přístup k datům z jiné zóny zabezpečení pomocí analyzátoru Microsoft XML Parser (MSXML) nebo technologie ActiveX Data Objects (ADO). Pokud toto nastavení povolíte, mohou uživatelé načíst stránku v zóně, která MSXML nebo ADO pro přístup k datům z jiného webu v zóně. Pokud v rozevíracím seznamu vyberete Možnost výzvy, uživatelé se dotazují, jestli chcete povolit načtení stránky v zóně, která používá MSXML nebo ADO pro přístup k datům z jiného webu v zóně. Pokud toto nastavení zásad zakážete, uživatelé neschodí načíst stránku v zóně, která používá MSXML nebo ADO pro přístup k datům z jiného webu v zóně. Pokud toto nastavení zásad nenakonfigurujete, uživatelé nesmějou načíst stránku v zóně, která používá MSXML nebo ADO pro přístup k datům z jiného webu v zóně.
    Další informace

    Výchozí: Zakázat

  • Zóna s omezeným přístupem v Internet Exploreru přetahují obsah z různých domén ve windows:
    Toto nastavení zásad umožňuje nastavit možnosti pro přetahování obsahu z jedné domény do jiné domény, když je zdroj a cíl ve stejném okně. Pokud povolíte toto nastavení zásad a kliknete na Povolit, mohou uživatelé přetáhnout obsah z jedné domény do jiné domény, když je zdroj a cíl ve stejném okně. Uživatelé toto nastavení nesmětou změnit. Pokud toto nastavení zásad povolíte a kliknete na Zakázat, uživatelé v případě, že je zdroj a cíl ve stejném okně, nebude možné přetáhnout obsah z jedné domény do jiné domény. Uživatelé toto nastavení v dialogovém okně Možnosti Internetu změnit ne. Pokud Internet Explorer 10 zásady zakážete nebo nenakonfigurujete, uživatelé v případě, že jsou zdroj a cíl ve stejném okně, nebude možné přetáhnout obsah z jedné domény do jiné domény. Uživatelé mohou toto nastavení změnit v dialogovém okně Možnosti Internetu. Pokud v Internet Exploreru 9 a starších verzích toto nastavení zásad zakážete nebo ho nenakonfigurujete, mohou uživatelé přetáhnout obsah z jedné domény do jiné domény, když je zdroj a cíl ve stejném okně. Uživatelé toto nastavení v dialogovém okně Možnosti Internetu změnit ne.
    Další informace

    Výchozí: Zakázáno

  • Upozornění na neshodu adres certifikátů v Internet Exploreru:
    Toto nastavení zásad umožňuje zapnout upozornění na neshodu zabezpečení adresy certifikátu. Pokud je toto nastavení zásad v režimu online, uživatel se upozorní na weby zabezpečeného protokolu HTTP (HTTPS), které prezentují certifikáty vydané pro jinou adresu webu. Toto upozornění pomáhá zabránit falšování útoků. Pokud toto nastavení povolíte, zobrazí se vždy upozornění na neshodu adresy certifikátu. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, může uživatel zvolit, jestli se zobrazí upozornění na neshodu adresy certifikátu (pomocí stránky Upřesnit v ovládacím panelu Internetu).
    Další informace

    Výchozí: Povoleno

  • Zóny s omezeným přístupem internet exploreru , které jsou méně privilegované:
    Toto nastavení zásad umožňuje spravovat, jestli weby z méně privilegovaných zón, jako jsou internetové weby, mohou přejít do této zóny. Pokud toto nastavení povolíte, weby z méně privilegovaných zón mohou v této zóně otevírat nová okna nebo do této zóny přejít. Zóna zabezpečení se spustí bez přidané vrstvy zabezpečení, kterou poskytuje funkce zabezpečení Ochrana před zvýšením úrovně zóny. Pokud v rozevíracím seznamu vyberete Zobrazit výzvu, uživateli se zobrazí upozornění, že se má objevit potenciálně riziková navigace. Pokud toto nastavení zásad zakážete, zabrání se možná škodlivé navigaci. Funkce zabezpečení Internet Exploreru je v této zóně nastavená funkcí Ochrana před řízením funkce Zvýšení zóny. Pokud toto nastavení zásad nenakonfigurujete, je možné zabránit škodlivé navigaci. Funkce zabezpečení Internet Exploreru je v této zóně nastavená funkcí Ochrana před řízením funkce Zvýšení zóny.
    Další informace

    Výchozí: Zakázat

  • Automatická výzva ke stažení souborů v zóně s omezeným přístupem v Internet Exploreru:
    Toto nastavení zásad určuje, jestli se uživatelům zobrazí výzva ke stažení souborů, které nejsou iniciované uživatelem. Bez ohledu na toto nastavení budou uživatelé dostávat dialogy pro stažení souborů pro stahování zahájené uživatelem. Pokud toto nastavení povolíte, zobrazí se uživatelům dialogové okno pro stažení souboru pro automatické pokusy o stažení. Pokud toto nastavení zakážete nebo nenakonfigurujete, stahování souborů, které nejsou iniciované uživatelem, se zablokuje a uživatelům se místo dialogového okna pro stažení souboru zobrazí oznamovací panel. Uživatelé pak mohou kliknutím na oznamovací panel povolit výzvu ke stažení souboru.
    Další informace

    Výchozí: Zakázáno

  • Internet Explorer internet zone .NET Framework reliant components:
    Toto nastavení zásad umožňuje spravovat, jestli .NET Framework součásti, které nejsou podepsané pomocí technologie Authenticode, možné spustit z Internet Exploreru. Mezi tyto součásti patří spravované ovládací prvky odkazované ze značky objektu a spravované spustitelné soubory odkazované z odkazu. Pokud toto nastavení povolíte, Internet Explorer spustí nepodepsané spravované součásti. Pokud v rozevíracím seznamu vyberete Zobrazit výzvu, Internet Explorer vyzve uživatele, aby zjistil, jestli se mají spustit nepodepsané spravované součásti. Pokud toto nastavení zásad zakážete, Internet Explorer nebude spouštět nepodepsané spravované součásti. Pokud toto nastavení zásad nenakonfigurujete, Internet Explorer spustí nepodepsané spravované součásti.
    Další informace

    Výchozí: Zakázat

  • InternetOvá zóna Internet Exploreru umožňuje používat jenom schválené domény technologie ActiveX tdc:
    Toto nastavení zásad určuje, jestli uživatel může ovládací prvek TDC technologie ActiveX na webech. Pokud toto nastavení zásad povolíte, ovládací prvek TDC technologie ActiveX nebude spouštět z webů v této zóně. Pokud toto nastavení zásad zakážete, ovládací prvek TDC Active X se spustí ze všech webů v této zóně.
    Další informace

    Výchozí: Povoleno

  • Internet Explorer s omezeným přístupem zónová okna:
    Toto nastavení zásad umožňuje spravovat omezení pro automaticky otevírá okna a okna iniciovaná skriptem, která obsahují názvy a stavové pruhy. Pokud toto nastavení povolíte, Windows omezení zabezpečení se v této zóně nepoužije. Zóna zabezpečení běží bez přidané vrstvy zabezpečení poskytované touto funkcí. Pokud toto nastavení zásad zakážete, nebude možné spustit možné škodlivé akce obsažené v automaticky otevíraných oknech a oknech spouštěných skripty, které obsahují název a stavové pruhy. Tato funkce zabezpečení Internet Exploreru je v této zóně nadiktovaná nastavením ovládacího prvku Zabezpečení Windows omezení funkcí pro tento proces. Pokud toto nastavení zásad nenakonfigurujete, možné škodlivé akce obsažené v automaticky otevíraných oknech a oknech spouštěných skripty, které obsahují název a stavové pruhy, se neschová. Tato funkce zabezpečení Internet Exploreru je v této zóně nadiktovaná nastavením ovládacího prvku Zabezpečení Windows omezení funkcí pro tento proces.
    Další informace

    Výchozí: Zakázáno

  • Internet Explorer internet zone include local path when uploading files to server:
    Toto nastavení zásad určuje, jestli se informace o místní cestě odešle, když uživatel nahraje soubor pomocí formuláře HTML. Pokud se informace o místní cestě odesílaly, mohou být některé informace na serveru neúmyslně odhalovat. Například soubory odeslané z plochy uživatele mohou jako součást cesty obsahovat uživatelské jméno. Pokud toto nastavení povolíte, odešle se informace o cestě, když uživatel nahraje soubor pomocí formuláře HTML. Pokud toto nastavení zásad zakážete, informace o cestě se při nahrání souboru pomocí formuláře HTML odebere. Pokud toto nastavení zásad nenakonfigurujete, může uživatel zvolit, jestli se informace o cestě odešle, když nahrají soubor pomocí formuláře HTML. Ve výchozím nastavení se informace o cestě odesílané.
    Další informace

    Výchozí: Zakázáno

  • Internet Explorer zakažte procesy v rozšířeném chráněném režimu:
    Toto nastavení zásad určuje, jestli Internet Explorer 11 používá 64bitové procesy (pro vyšší zabezpečení) nebo 32bitové procesy (pro větší kompatibilitu) při spuštění v rozšířeném chráněném režimu v 64bitových verzích Windows. Důležité: Některé technologie ActiveX ovládací prvky a panely nástrojů nemusí být dostupné při použití 64bitových procesů. Pokud toto nastavení povolíte, Internet Explorer 11 použije 64bitové procesy na kartě při spuštění v rozšířeném chráněném režimu v 64bitových verzích Windows. Pokud toto nastavení zásad zakážete, Internet Explorer 11 použije 32bitové procesy na kartě při spuštění v rozšířeném chráněném režimu v 64bitových verzích Windows. Pokud toto nastavení zásad nenakonfigurujete, mohou uživatelé tuto funkci zapnout nebo vypnout pomocí nastavení Internet Exploreru. Tato funkce je ve výchozím nastavení vypnutá.
    Další informace

    Výchozí: Povoleno

  • Internet Explorer ignoruje chyby certifikátů:
    Toto nastavení zásad zabrání uživateli v ignorování chyb certifikátů ssl/TLS (protokol SSL (Secure Sockets Layer)/Transport Layer Security), které přerušují procházení (například "vypršela", "odvolaná" nebo "neshoda názvů") v Internet Exploreru. Pokud toto nastavení zásad povolíte, uživatel nebude moci pokračovat v procházení. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, může uživatel chyby certifikátu ignorovat a pokračovat v procházení.
    Další informace

    Výchozí: Zakázáno

  • Internet Explorer internet zone loading of XAML files:
    Toto nastavení zásad umožňuje spravovat načítání souborů XAML (Extensible Application Markup Language). XAML je deklarativní značkovací jazyk založený na jazyce XML, který se běžně používá k vytváření bohatých uživatelských rozhraní a grafických Windows Presentation Foundation. Pokud toto nastavení zásad povolíte a rozevírací seznam nastavíte na Enable (Povolit), soubory XAML se automaticky nahrají do Internet Exploreru. Uživatel nemůže toto chování změnit. Pokud v rozevíracím seznamu nastavíte možnost Výzva, zobrazí se uživateli výzva k načtení souborů XAML. Pokud toto nastavení zásad zakážete, nebudou se soubory XAML načíst do Internet Exploreru. Uživatel nemůže toto chování změnit. Pokud toto nastavení zásad nenakonfigurujete, může se uživatel rozhodnout, jestli se mají soubory XAML načíst do Internet Exploreru.
    Další informace

    Výchozí: Zakázat

  • Internet Explorer internet zone automatic prompt for file downloads:
    Toto nastavení zásad určuje, jestli se uživatelům zobrazí výzva ke stažení souborů, které nejsou iniciované uživatelem. Bez ohledu na toto nastavení budou uživatelé dostávat dialogy pro stažení souborů pro stahování zahájené uživatelem. Pokud toto nastavení povolíte, zobrazí se uživatelům dialogové okno pro stažení souboru pro automatické pokusy o stažení. Pokud toto nastavení zakážete nebo nenakonfigurujete, stahování souborů, které nejsou iniciované uživatelem, se zablokuje a uživatelům se místo dialogového okna pro stažení souboru zobrazí oznamovací panel. Uživatelé pak mohou kliknutím na oznamovací panel povolit výzvu ke stažení souboru.
    Další informace

    Výchozí: Zakázáno

  • Upozornění zabezpečení zóny s omezeným přístupem v Internet Exploreru pro potenciálně nebezpečné soubory:
    Toto nastavení zásad určuje, jestli se zpráva "Otevřít soubor – upozornění zabezpečení" zobrazí, když se uživatel pokusí otevřít spustitelné soubory nebo jiné potenciálně nebezpečné soubory (například z intranetové sdílené složky pomocí Průzkumníka souborů). Pokud povolíte toto nastavení zásad a nastavíte rozevírací seznam na Povolit, tyto soubory se otevřou bez upozornění zabezpečení. Pokud v rozevíracím seznamu nastavíte možnost Výzva, zobrazí se před otevřením souborů upozornění zabezpečení. Pokud toto nastavení zásad zakážete, tyto soubory se neotevře. Pokud toto nastavení zásad nenakonfigurujete, může uživatel nakonfigurovat způsob zpracování těchto souborů v počítači. Ve výchozím nastavení jsou tyto soubory blokovány v zóně s omezeným přístupem, povolené v zónách Intranet a Místní počítač a nastaveny tak, aby se v zónách Internet a Důvěryhodné nastavily výzvy.
    Další informace

    Výchozí: Zakázat

  • Internet Explorer internet zone cross site scripting filter:
    Tato zásada určuje, jestli filtr XSS (Cross-Site Scripting) rozpozná a zabrání vkládání skriptů mezi weby v této zóně. Pokud toto nastavení zásad povolíte, filtr XSS bude pro weby v této zóně a filtr XSS se pokusí blokovat vkládání skriptů mezi weby. Pokud toto nastavení zásad zakážete, filtr XSS se pro weby v této zóně vypne a Internet Explorer povolí vkládání skriptů mezi weby.
    Další informace

    Výchozí: Povoleno

  • Záložní verze Internet Exploreru na SSL3:
    Toto nastavení zásad umožňuje blokovat nezabezpečenou záložní stránku protokolu SSL 3.0. Pokud je tato zásada povolená, Internet Explorer se pokusí připojit k webům pomocí protokolu SSL 3.0 nebo nižší, když tls 1.0 nebo vyšší selže. Abyste zabránili útoku člověka uprostřed, doporučujeme nepovolit bezpečný záložní útok. Tato zásada nemá vliv na povolené protokoly zabezpečení. Pokud tuto zásadu zakážete, použije se výchozí nastavení systému.
    Další informace

    Výchozí: Žádné weby

  • Podpora šifrování v Internet Exploreru:
    Toto nastavení zásad umožňuje vypnout podporu protokolu TLS (Transport Layer Security) 1.0, TLS 1.1, TLS 1.2, protokol SSL (Secure Sockets Layer) (SSL) 2.0 nebo SSL 3.0 v prohlížeči. PROTOKOLY TLS a SSL jsou protokoly, které pomáhají chránit komunikaci mezi prohlížečem a cílovým serverem. Když se prohlížeč pokusí nastavit chráněnou komunikaci s cílovým serverem, prohlížeč a server vyjednají, který protokol a verzi chcete použít. Prohlížeč a server se pokusí vzájemně porovnat se seznamem podporovaných protokolů a verzí a vyberou nejvhodnější shodu. Pokud toto nastavení povolíte, prohlížeč vyjedná nebo nevyjedná šifrovací tunel pomocí metod šifrování, které vyberete z rozevíracího seznamu. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, může uživatel vybrat metodu šifrování, kterou prohlížeč podporuje.
    Další informace

    Výchozí: 2 položky: TLS v1.1 a TLS v1.2
    Výběrem šipky dolů zobrazíte možnosti, které můžete pro toto nastavení vybrat.

  • Internet Explorer zamknul inteligentní obrazovku zóny internetu:
    Toto nastavení zásad určuje, jestli filtr SmartScreen prohledává stránky v této zóně kvůli škodlivému obsahu. Pokud toto nastavení povolíte, filtr SmartScreen prohledává stránky v této zóně kvůli škodlivému obsahu. Pokud toto nastavení zásad zakážete, filtr SmartScreen neskenuje stránky v této zóně kvůli škodlivému obsahu. Pokud toto nastavení zásad nenakonfigurujete, může uživatel zvolit, jestli filtr SmartScreen prohledává na stránkách v této zóně škodlivý obsah. Poznámka: V Internet Exploreru 7 toto nastavení zásad určuje, jestli filtr útoků phishing prohledává stránky v této zóně kvůli škodlivému obsahu.
    Další informace

    Výchozí: Povoleno

  • Aplikace a soubory v zóně s omezeným přístupem v Internet Exploreru v iFrame:
    Toto nastavení zásad umožňuje spravovat, jestli se smí spouštět aplikace, a soubory se smí stahovat z odkazu IFRAME v HTML stránek v této zóně. Pokud toto nastavení zásad povolíte, mohou uživatelé spouštět aplikace a stahovat soubory ze souborů IFRAMEs na stránkách v této zóně bez zásahu uživatele. Pokud v rozevíracím seznamu vyberete Možnost vyzvat, budou se uživatelé dotazovat, jestli mají spouštět aplikace a stahovat soubory ze souborů IFRAMEs na stránkách v této zóně. Pokud toto nastavení zásad zakážete, uživatelé na stránkách v této zóně nestahovat aplikace a stahovat soubory ze souborů IFRAMEs. Pokud toto nastavení zásad nenakonfigurujete, uživatelé na stránkách v této zóně nestahovat aplikace a stahovat soubory ze souborů IFRAMEs.
    Další informace

    Výchozí: Zakázat

  • Internet Explorer obchází upozornění inteligentní obrazovky na neobvyklé soubory:
    Toto nastavení zásad určuje, jestli může uživatel obcházet upozornění z filtru SmartScreen. Filtr SmartScreen uživatele upozorní na spustitelné soubory, které uživatelé Internet Exploreru běžně nestahují z internetu. Pokud toto nastavení zásad povolíte, upozornění filtru SmartScreen uživatele zablokují. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, může uživatel upozornění filtru SmartScreen obejít.
    Další informace

    Výchozí: Zakázáno

  • Internet Explorer internet zone popup blocker:
    Toto nastavení zásad umožňuje spravovat, jestli se zobrazují nežádoucí automaticky otevírá okna. Automaticky otevíraná okna, která se otevře, když koncový uživatel klikne na odkaz, nejsou zablokovaná. Pokud toto nastavení povolíte, většina nežádoucích automaticky otevíraných oken se nezobrazí. Pokud toto nastavení zásad zakážete, automaticky otevíraná okna se nezobrazí. Pokud toto nastavení zásad nenakonfigurujete, většina nežádoucích automaticky otevíraných oken se nezobrazí.
    Další informace

    Výchozí: Povolit

  • Internet Explorer zpracovává konzistentní zpracování MIME:
    Internet Explorer obsahuje dynamické binární chování: součásti, které zachytáují určité funkce pro elementy HTML, ke kterým jsou připojené. Toto nastavení zásad určuje, jestli je nastavení Omezení zabezpečení binárního chování zabráněné nebo povolené. Pokud toto nastavení zásad povolíte, zabrání se binárnímu chování pro procesy Průzkumníka souborů a Internet Exploreru. Pokud toto nastavení zásad zakážete, budou pro procesy Průzkumníka souborů a Internet Exploreru povolena binární chování. Pokud toto nastavení zásad nenakonfigurujete, zabrání se binárnímu chování pro procesy Průzkumníka souborů a Internet Exploreru.
    Další informace

    Výchozí: Povoleno

  • Oprávnění java zóny s omezeným přístupem v Internet Exploreru:
    Toto nastavení zásad umožňuje spravovat oprávnění pro aplety v jazyce Java. Pokud toto nastavení zásad povolíte, můžete v rozevíracím seznamu zvolit možnosti. Vlastní, pokud chcete řídit nastavení oprávnění jednotlivě. Nízká bezpečnost umožňuje apletům provádět všechny operace. Funkce Střední zabezpečení umožňuje aplety běžet v izolovaném prostoru (oblast v paměti, mimo kterou program nemůže volat), a navíc funkce, jako je odkládací prostor (bezpečná a bezpečná oblast úložiště na klientském počítači) a uživatelsky řízený souborový I/O. Vysoká bezpečnost umožňuje spouštět aplety v jejich izolovaném prostoru. Pokud chcete zabránit spuštění apletů, zakažte Java. Pokud toto nastavení zásad zakážete, aplety v jazyce Java se neschová. Pokud toto nastavení zásad nenakonfigurujete, jsou aplety v jazyce Java zakázané.
    Další informace

    Výchozí: Zakázat jazyk Java

  • Ovládací prvky Active X v Internet Exploreru v chráněném režimu:
    Toto nastavení zásad zabraňuje technologie ActiveX ovládacích prvků v chráněném režimu, pokud je povolený rozšířený chráněný režim. Pokud má uživatel nainstalovaný ovládací prvek technologie ActiveX, který není kompatibilní s rozšířeným chráněným režimem, a web se pokusí ovládací prvek načíst, Internet Explorer uživatele upozorní a dá mu možnost spustit web v běžném chráněném režimu. Toto nastavení zásad zakáže toto oznámení a vynutí spuštění všech webů v rozšířeném chráněném režimu. Vylepšený chráněný režim poskytuje další ochranu před škodlivými weby pomocí 64bitových procesů v 64bitových verzích Windows. U počítačů s aspoň Windows 8 chráněný režim také omezuje umístění, ze které může Internet Explorer číst v registru a v systému souborů. Když je povolený rozšířený chráněný režim a uživatel na webu, který se pokusí načíst ovládací prvek technologie ActiveX, který není kompatibilní s rozšířeným chráněným režimem, Internet Explorer uživatele upozorní a dá mu možnost zakázat rozšířený chráněný režim pro tento konkrétní web. Pokud toto nastavení povolíte, Internet Explorer uživateli nedá možnost zakázat rozšířený chráněný režim. Všechny weby chráněného režimu budou spuštěny v rozšířeném chráněném režimu. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, Internet Explorer uživatele upozorní a poskytne možnost spouštět weby s nekompatibilními ovládacími prvky technologie ActiveX v běžném chráněném režimu.
    Další informace

    Výchozí: Zakázáno

  • Načítání souborů XAML v zóně s omezeným přístupem v Internet Exploreru:
    Toto nastavení zásad umožňuje spravovat načítání souborů XAML (Extensible Application Markup Language). XAML je deklarativní značkovací jazyk založený na jazyce XML, který se běžně používá k vytváření bohatých uživatelských rozhraní a grafických Windows Presentation Foundation. Pokud toto nastavení zásad povolíte a rozevírací seznam nastavíte na Enable (Povolit), soubory XAML se automaticky nahrají do Internet Exploreru. Uživatel nemůže toto chování změnit. Pokud v rozevíracím seznamu nastavíte možnost Výzva, zobrazí se uživateli výzva k načtení souborů XAML. Pokud toto nastavení zásad zakážete, nebudou se soubory XAML načíst do Internet Exploreru. Uživatel nemůže toto chování změnit. Pokud toto nastavení zásad nenakonfigurujete, může se uživatel rozhodnout, jestli se mají soubory XAML načíst do Internet Exploreru.
    Další informace

    Výchozí: Zakázat

  • Internet Explorer zpracuje omezení zabezpečení okna se skripty:
    Internet Explorer umožňuje skriptům programově otevírat, měnit velikost a měnit umístění oken různých typů. Funkce zabezpečení Omezení oken omezuje vyskakovací okna a zakazuje skriptům zobrazovat okna, ve kterých se uživatelům nezobrazují názvy a stavové pruhy, nebo obfuscate jiných Windows a stavových pruhů. Pokud toto nastavení povolíte, budou okna se skripty omezená pro všechny procesy. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, okna s skripty se neomezují.
    Další informace

    Výchozí: Povoleno

  • V zóně s omezeným přístupem v Internet Exploreru běží ovládací prvky Active X a moduly plug-in:
    Toto nastavení zásad umožňuje spravovat, jestli technologie ActiveX ovládací prvky a moduly plug-in běžet na stránkách ze zadané zóny. Pokud toto nastavení zásad povolíte, ovládací prvky a moduly plug-in se mohou spouštět bez zásahu uživatele. Pokud jste v rozevíracím seznamu vybrali možnost Vyzvat k zadání výzvy, budou uživatelé vyzváni, aby zvolili, jestli mají být ovládací prvky nebo modul plug-in spuštěný. Pokud toto nastavení zásad zakážete, zabrání se spuštění ovládacích prvků a modulů plug-in. Pokud toto nastavení zásad nenakonfigurujete, zabrání se spuštění ovládacích prvků a modulů plug-in.
    Další informace

    Výchozí: Zakázat

  • Skript zóny s omezeným přístupem v Internet Exploreru Ovládací prvky Active X označené jako bezpečné pro skriptování:
    Toto nastavení zásad umožňuje spravovat, jestli technologie ActiveX ovládací prvek označený jako bezpečný pro skriptování může pracovat se skriptem. Pokud toto nastavení povolíte, může se interakce se skripty automaticky vyskytnout bez zásahu uživatele. Pokud v rozevíracím seznamu vyberete Zobrazit výzvu, uživatelé se dotázá, jestli mají povolit interakci se skriptem. Pokud toto nastavení zásad zakážete, interakce se skriptem se zabrání. Pokud toto nastavení zásad nenakonfigurujete, interakce se skriptem se nezabrání.
    Další informace

    Výchozí: Zakázat

  • Možnosti přihlášení zóny s omezeným přístupem v Internet Exploreru:
    Toto nastavení zásad umožňuje spravovat nastavení možností přihlášení. Pokud toto nastavení zásad povolíte, můžete si vybrat z následujících možností přihlášení.

    • Anonymní : Anonymní přihlášení slouží k zakázání ověřování HTTP a použití účtu hosta jenom pro protokol CIFS (Common Internet File System).

    • Výzva – Pomocí výzvy k zadání uživatelského jména a hesla můžete uživatele dotazovat na ID uživatelů a hesla. Po dotazování uživatele můžete tyto hodnoty použít bezobslužně pro zbytek relace.

    • Automatické přihlášení jenom v zóně Intranet – tuto možnost použijte k dotazování uživatelů na ID uživatelů a hesla v jiných zónách. Po dotazování uživatele můžete tyto hodnoty použít bezobslužně pro zbytek relace.

    • Automatické přihlášení pomocí aktuálního uživatelského jména a hesla : Tuto možnost použijte k pokusu o přihlášení pomocí systém Windows NT Challenge Response (označované taky jako ověřování NTLM). Pokud server podporuje systém Windows NT výzvu, použije přihlášení uživatelské jméno a heslo uživatele v síti pro přihlášení. Pokud server nepodporuje odpověď systém Windows NT výzvu, uživatel se dotáá na zadání uživatelského jména a hesla.

    Pokud toto nastavení zásad zakážete, je přihlášení nastavené na Automatické přihlášení jenom v zóně Intranet. Pokud toto nastavení zásad nenakonfigurujete, je přihlášení nastavené na Vyzvat k zadání uživatelského jména a hesla.
    Další informace

    Výchozí: Anonymní

  • Inicializace důvěryhodné zóny Internet Exploreru a skriptování ovládacích prvků Active X, které nejsou označené jako bezpečné:
    Toto nastavení zásad umožňuje spravovat ovládací technologie ActiveX, které nejsou označené jako bezpečné. Pokud toto nastavení zásad povolíte, technologie ActiveX ovládací prvky spouštěny, načteny s parametry a skriptovány bez nastavení zabezpečení objektů pro nedůvěryhodná data nebo skripty. Toto nastavení se nedoporučuje, s výjimkou zabezpečených a spravovaných zón. Toto nastavení způsobí inicializaci a skriptování nebezpečných i bezpečných ovládacích prvků a ignoruje možnost skriptování technologie ActiveX ovládacích prvků označených jako bezpečné pro skriptování. Pokud toto nastavení zásad povolíte a v rozevíracím seznamu vyberete Zobrazit výzvu, budou uživatelé dotazování, jestli má ovládací prvek povolit načtení s parametry nebo skriptem. Pokud toto nastavení zásad zakážete, technologie ActiveX ovládací prvky, které nejde nastavit jako bezpečné, nebudou načteny parametry ani skripty. Pokud toto nastavení zásad nenakonfigurujete, uživatelé se dotazují, jestli mají ovládací prvek povolit načtení s parametry nebo skripty.
    Další informace

    Výchozí: Zakázat

  • Internet Explorer zkontroluje odvolání certifikátů serveru:
    Toto nastavení zásad umožňuje spravovat, jestli Internet Explorer bude kontrolovat stav odvolání certifikátů serverů. Certifikáty se zruší, pokud jsou ohrožené nebo už nejsou platné, a tato možnost chrání uživatele před odesíláním důvěrných dat na web, který může být podvodný nebo nezabezpečený. Pokud toto nastavení povolíte, Internet Explorer zkontroluje, jestli byly certifikáty serveru odvolané. Pokud toto nastavení zásad zakážete, Internet Explorer nebude kontrolovat certifikáty serveru, aby viděl, jestli byly odvolané. Pokud toto nastavení zásad nenakonfigurujete, Internet Explorer nebude kontrolovat certifikáty serveru a zjistit, jestli byly odvolané.
    Další informace

    Výchozí: Povoleno

  • Internet Explorer internet zone less privileged sites:
    Toto nastavení zásad umožňuje spravovat, jestli weby z méně privilegovaných zón, jako jsou servery s omezeným přístupem, mohou do této zóny přejít. Pokud toto nastavení povolíte, weby z méně privilegovaných zón mohou v této zóně otevírat nová okna nebo do této zóny přejít. Zóna zabezpečení se spustí bez přidané vrstvy zabezpečení, kterou poskytuje funkce zabezpečení Ochrana před zvýšením úrovně zóny. Pokud v rozevíracím seznamu vyberete Zobrazit výzvu, uživateli se zobrazí upozornění, že se má objevit potenciálně riziková navigace. Pokud toto nastavení zásad zakážete, zabrání se možná škodlivé navigaci. Funkce zabezpečení Internet Exploreru je v této zóně nastavená funkcí Ochrana před řízením funkce Zvýšení zóny. Pokud toto nastavení zásad nenakonfigurujete, mohou weby z méně privilegovaných zón otevírat nová okna v této zóně nebo do této zóny přejít.
    Další informace

    Výchozí: Zakázat

  • Stahování souborů zóny s omezeným přístupem v Internet Exploreru:
    Toto nastavení zásad umožňuje spravovat, jestli je stahování souborů ze zóny povolené. Tato možnost se určí podle zóny stránky s odkazem způsobující stažení, ne zóny, ze které se soubor doručuje. Pokud toto nastavení povolíte, soubory si můžete stáhnout ze zóny. Pokud toto nastavení zásad zakážete, soubory se nestahuje ze zóny. Pokud toto nastavení zásad nenakonfigurujete, soubory se nestahuje ze zóny.
    Další informace

    Výchozí: Zakázat

  • Internet Explorer internet zone run .NET Framework reliant components signed with Authenticode:
    Toto nastavení zásad umožňuje spravovat, jestli .NET Framework které jsou podepsané pomocí technologie Authenticode, možné spustit z Internet Exploreru. Mezi tyto součásti patří spravované ovládací prvky odkazované ze značky objektu a spravované spustitelné soubory odkazované z odkazu. Pokud toto nastavení povolíte, Internet Explorer spustí podepsané spravované součásti. Pokud v rozevíracím seznamu vyberete Zobrazit výzvu, Internet Explorer vyzve uživatele, aby zjistil, jestli se mají spustit podepsané spravované součásti. Pokud toto nastavení zásad zakážete, Internet Explorer nebude spouštět podepsané spravované součásti. Pokud toto nastavení zásad nenakonfigurujete, Internet Explorer nebude spouštět podepsané spravované součásti.
    Další informace

    Výchozí: Zakázat

  • Internet Explorer zabrání instalaci ovládacích prvků Active X pro uživatele:
    Toto nastavení zásad umožňuje zabránit instalaci ovládacích prvků technologie ActiveX pro uživatele. Pokud toto nastavení povolíte, technologie ActiveX se ovládací prvky neinstaluje pro uživatele. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, technologie ActiveX ovládací prvky nainstalovat pro uživatele.
    Další informace

    Výchozí: Povoleno

  • Internet Explorer zabraňte správě filtru inteligentní obrazovky:
    Toto nastavení zásad zabrání uživateli ve správě filtru SmartScreen, který uživatele upozorní, pokud je web, který navštíví, známý podvodnými pokusy o shromažďování osobních údajů prostřednictvím phishingu nebo je známo, že je hostitelem malwaru. Pokud toto nastavení zásad povolíte, uživatel nebude vyzván k zapnutí filtru SmartScreen. Všechny adresy webu, které nejsou na seznamu povolených filtrů, se automaticky posílají do Microsoftu bez výzvy uživatele. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, zobrazí se uživateli výzva, aby se při prvním spuštění rozhodl, jestli má filtr SmartScreen zapnout.
    Další informace

    Výchozí: Povolit

  • Internet Explorer zpracovává funkci zabezpečení při čichání MIME:
    Toto nastavení zásad určuje, jestli při čichání MIME v Internet Exploreru zabráníte propagaci souboru jednoho typu na nebezpečnější typ souboru. Pokud toto nastavení povolíte, nebude při čichání MIME nikdy povýšit soubor jednoho typu na nebezpečnější typ souboru. Pokud toto nastavení zásad zakážete, procesy Internet Exploreru povolí čichu MIME, který propaguje soubor jednoho typu na nebezpečnější typ souboru. Pokud toto nastavení zásad nenakonfigurujete, nebude funkce při čichání MIME nikdy povýšit soubor jednoho typu na nebezpečnější typ souboru.
    Další informace

    Výchozí: Povoleno

  • Podepsané ovládací prvky Active X pro stahování zóny s omezeným přístupem v Internet Exploreru:
    Toto nastavení zásad umožňuje spravovat, jestli uživatelé smí stahovat podepsané technologie ActiveX ovládací prvky ze stránky v zóně. Pokud tuto zásadu povolíte, budou si uživatelé moci stáhnout podepsané ovládací prvky bez zásahu uživatele. Pokud v rozevíracím seznamu vyberete Zobrazit výzvu, budou se uživatelé dotazovat, jestli mají stáhnout ovládací prvky podepsané vydavateli, kteří nejsou důvěryhodní. Kód podepsaný důvěryhodnými vydavateli se stáhne bezobslužně. Pokud nastavení zásad zakážete, podepsané ovládací prvky se nestáhne. Pokud toto nastavení zásad nenakonfigurujete, budou se uživatelé dotazovat, jestli si mají stáhnout ovládací prvky podepsané vydavateli, kteří nejsou důvěryhodní. Kód podepsaný důvěryhodnými vydavateli se stáhne bezobslužně.
    Další informace

    Výchozí: Zakázat

  • Automatické dokončení Internet Exploreru:
    Tato funkce automatického dokončování si může pamatovat a navrhnout uživatelská jména a hesla ve Formulářích. Pokud toto nastavení povolíte, uživatel nemůže změnit "Uživatelské jméno a hesla ve formulářích" nebo "vyzvat mě k uložení hesel". Funkce automatického dokonování pro uživatelská jména a hesla ve formulářích je zapnutá. Rozhodněte se, jestli chcete vybrat možnost "Vyzvat mě k uložení hesel". Pokud toto nastavení zakážete, uživatel nemůže změnit "Uživatelské jméno a hesla ve formulářích" nebo "vyzvat mě k uložení hesel". Funkce automatického dokonování pro uživatelská jména a hesla ve formulářích je vypnutá. Uživatel taky nemůže být vyzván k uložení hesel. Pokud toto nastavení nenakonfigurujete, může uživatel za zapnutí automatického dokončení pro uživatelské jméno a hesla ve formulářích a možnost vyzvat k uložení hesel. Pokud chcete tuto možnost zobrazit, uživatelé otevřou dialogové okno Možnosti Internetu, klikněte na kartu Obsah a klikněte na Nastavení tlačítko.
    Další informace

    Výchozí: Zakázáno

  • Internet Explorer internet zone allow VBscript to run:
    Toto nastavení zásad umožňuje rozhodnout, jestli vbscript může běžet na stránkách v určitých zónách Internet Exploreru. Mezi možnosti patří:

    • Povolit – JAZYK VBScript běží na stránkách v určitých zónách bez jakékoli interakce.

    • Výzva – Zaměstnanci se zobrazí výzva, jestli chcete povolit spuštění jazyka VBScript v zóně.

    • Zakázat : V zóně není možné spustit jazyk VBScript. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, spustí se jazyk VBScript bez interakce v zadané zóně.

    Další informace

    Výchozí: Zakázat

  • Zóna s omezeným přístupem v Internet Exploreru umožňuje používat jenom schválené domény ovládací prvky tdc Active X :
    Toto nastavení zásad určuje, jestli uživatel může ovládací prvek TDC technologie ActiveX na webech. Pokud toto nastavení zásad povolíte, ovládací prvek TDC technologie ActiveX nebude spouštět z webů v této zóně. Pokud toto nastavení zásad zakážete, ovládací prvek TDC Active X se spustí ze všech webů v této zóně.
    Další informace

    Výchozí: Povoleno

  • Důvěryhodná zóna Internet Exploreru nespouštět antimalwarový software proti ovládacím prvkům Active X:
    Toto nastavení zásad určuje, jestli Internet Explorer spouští antimalwarové programy technologie ActiveX ovládacích prvků, abyste mohli zkontrolovat, jestli je na stránkách bezpečné načíst. Pokud toto nastavení povolíte, Internet Explorer nebude kontrolovat, jestli je bezpečné vytvořit instanci technologie ActiveX ovládacího prvku. Pokud toto nastavení zásad zakážete, Internet Explorer vždy zkontroluje, jestli je bezpečné vytvořit instanci ovládacího prvku technologie ActiveX. Pokud toto nastavení zásad nenakonfigurujete, Internet Explorer vždy zkontroluje, jestli je bezpečné vytvořit instanci ovládacího prvku technologie ActiveX. Uživatelé mohou toto chování zapnout nebo vypnout pomocí nastavení zabezpečení Internet Exploreru.
    Další informace

    Výchozí: Zakázáno

  • Oprávnění Java zóny zóny místního počítače Internet Exploreru:
    Toto nastavení zásad umožňuje spravovat oprávnění pro aplety v jazyce Java. Pokud toto nastavení zásad povolíte, můžete v rozevíracím seznamu zvolit možnosti. Vlastní, pokud chcete řídit nastavení oprávnění jednotlivě. Nízká bezpečnost umožňuje apletům provádět všechny operace. Funkce Střední zabezpečení umožňuje aplety běžet v izolovaném prostoru (oblast v paměti, mimo kterou program nemůže volat), a navíc funkce, jako je odkládací prostor (bezpečná a bezpečná oblast úložiště na klientském počítači) a uživatelsky řízený souborový I/O. Vysoká bezpečnost umožňuje spouštět aplety v jejich izolovaném prostoru. Pokud chcete zabránit spuštění apletů, zakažte Java. Pokud toto nastavení zásad zakážete, aplety v jazyce Java se neschová. Pokud toto nastavení zásad nenakonfigurujete, je oprávnění nastaveno na Střední zabezpečení.
    Další informace

    Výchozí: Zakázat jazyk Java

  • Internet Explorer intranet zone do not run antimalware against Active X controls:
    Toto nastavení zásad určuje, jestli Internet Explorer spouští antimalwarové programy technologie ActiveX ovládacích prvků, abyste mohli zkontrolovat, jestli je na stránkách bezpečné načíst. Pokud toto nastavení povolíte, Internet Explorer nebude kontrolovat, jestli je bezpečné vytvořit instanci technologie ActiveX ovládacího prvku. Pokud toto nastavení zásad zakážete, Internet Explorer vždy zkontroluje, jestli je bezpečné vytvořit instanci ovládacího prvku technologie ActiveX. Pokud toto nastavení zásad nenakonfigurujete, Internet Explorer nebude kontrolovat, jestli je bezpečné vytvořit instanci ovládacího prvku technologie ActiveX softwaru. Uživatelé mohou toto chování zapnout nebo vypnout pomocí nastavení zabezpečení Internet Exploreru.
    Další informace

    Výchozí: Zakázáno

  • Skripty zóny s omezeným přístupem v Internet Exploreru:
    Toto nastavení zásad umožňuje spravovat, jestli uživatel může spouštět skripty. Pokud toto nastavení zásad povolíte, může uživatel spouštět skripty. Pokud toto nastavení zásad zakážete, uživatel nemůže spouštět skripty. Pokud toto nastavení zásad nenakonfigurujete, může uživatel skriptlety povolit nebo zakázat.
    Další informace

    Výchozí: Zakázáno

  • Internet Explorer zpracovává oznamovací panel:
    Toto nastavení zásad umožňuje spravovat, jestli se panel oznámení zobrazí pro procesy Internet Exploreru, když jsou omezeny instalace souborů nebo kódu. Ve výchozím nastavení se pro procesy Internet Exploreru zobrazí oznamovací panel. Pokud toto nastavení povolíte, zobrazí se oznamovací panel pro procesy Internet Exploreru. Pokud toto nastavení zásad zakážete, panel oznámení se pro procesy Internet Exploreru nezobrazí. Pokud toto nastavení zásad nenakonfigurujete, panel oznámení se nezobrazí pro procesy Internet Exploreru.
    Další informace

    Výchozí: Povoleno

  • Internet Explorer internet zone download signed technologie ActiveX controls:
    Toto nastavení zásad umožňuje spravovat, jestli uživatelé smí stahovat podepsané technologie ActiveX ovládací prvky ze stránky v zóně. Pokud tuto zásadu povolíte, budou si uživatelé moci stáhnout podepsané ovládací prvky bez zásahu uživatele. Pokud v rozevíracím seznamu vyberete Zobrazit výzvu, budou se uživatelé dotazovat, jestli mají stáhnout ovládací prvky podepsané vydavateli, kteří nejsou důvěryhodní. Kód podepsaný důvěryhodnými vydavateli se stáhne bezobslužně. Pokud nastavení zásad zakážete, podepsané ovládací prvky se nestáhne. Pokud toto nastavení zásad nenakonfigurujete, budou se uživatelé dotazovat, jestli si mají stáhnout ovládací prvky podepsané vydavateli, kteří nejsou důvěryhodní. Kód podepsaný důvěryhodnými vydavateli se stáhne bezobslužně.
    Další informace

    Výchozí: Zakázat

  • Inteligentní obrazovka zóny s omezeným přístupem v Internet Exploreru:
    Toto nastavení zásad určuje, jestli filtr SmartScreen prohledává stránky v této zóně kvůli škodlivému obsahu. Pokud toto nastavení povolíte, filtr SmartScreen prohledává stránky v této zóně kvůli škodlivému obsahu. Pokud toto nastavení zásad zakážete, filtr SmartScreen neskenuje stránky v této zóně kvůli škodlivému obsahu. Pokud toto nastavení zásad nenakonfigurujete, může uživatel zvolit, jestli filtr SmartScreen prohledává na stránkách v této zóně škodlivý obsah. Poznámka: V Internet Exploreru 7 toto nastavení zásad určuje, jestli filtr útoků phishing prohledává stránky v této zóně kvůli škodlivému obsahu.
    Další informace

    Výchozí: Povoleno

  • Internet Explorer odebere tlačítko spustit tento čas pro zastaralé ovládací prvky Active X:
    Toto nastavení zásad umožňuje uživatelům zabránit v zobrazení tlačítka Spustit tento čas a spuštění konkrétních zastaralých ovládacích prvků technologie ActiveX v Internet Exploreru. Pokud toto nastavení povolíte, uživatelé neuvidí tlačítko Spustit tento čas v upozornění, které se zobrazí, když Internet Explorer blokuje zastaralý ovládací prvek technologie ActiveX ovládacího prvku. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, zobrazí se uživatelům v upozornění, které se zobrazí, když Internet Explorer blokuje zastaralý ovládací prvek technologie ActiveX času. Kliknutím na toto tlačítko může uživatel spustit zastaralý ovládací technologie ActiveX ovládací prvek. Další informace najdete v tématu Zastaralé technologie ActiveX ovládacích prvků v knihovně TechNet Internet Exploreru.
    Další informace

    Výchozí: Povoleno

  • Internet Explorer internet zone launch applications and files in an iframe:
    Toto nastavení zásad umožňuje spravovat, jestli se mají aplikace spouštět, a jestli se mají soubory stahovat z odkazu IFRAME v HTML stránek v této zóně. Pokud toto nastavení zásad povolíte, mohou uživatelé spouštět aplikace a stahovat soubory ze souborů IFRAMEs na stránkách v této zóně bez zásahu uživatele. Pokud v rozevíracím seznamu vyberete Možnost vyzvat, budou se uživatelé dotazovat, jestli mají spouštět aplikace a stahovat soubory ze souborů IFRAMEs na stránkách v této zóně. Pokud toto nastavení zásad zakážete, uživatelé na stránkách v této zóně nestahovat aplikace a stahovat soubory ze souborů IFRAMEs. Pokud toto nastavení zásad nenakonfigurujete, budou se uživatelé dotazovat, jestli mají spouštět aplikace a stahovat soubory ze souborů IFRAMEs na stránkách v této zóně.
    Další informace

    Výchozí: Zakázat

  • Zóna s omezeným přístupem v Internet Exploreru slouží k procházení oken a rámců napříč různými doménami:
    Toto nastavení zásad umožňuje nastavit možnosti pro přetahování obsahu z jedné domény do jiné domény, když je zdroj a cíl v různých oknech. Pokud povolíte toto nastavení zásad a kliknete na Povolit, mohou uživatelé přetáhnout obsah z jedné domény do jiné domény, když je zdroj a cíl v různých oknech. Uživatelé toto nastavení nesmětou změnit. Pokud toto nastavení zásad povolíte a kliknete na Zakázat, uživatelé neschodí přetáhnout obsah z jedné domény do jiné domény, pokud je zdroj i cíl v různých oknech. Uživatelé toto nastavení nesmětou změnit. Pokud Internet Explorer 10 zásady zakážete nebo nenakonfigurujete, uživatelé v různých oknech přetahovat obsah z jedné domény do jiné domény. Uživatelé mohou toto nastavení změnit v dialogovém okně Možnosti Internetu. Pokud v Internet Exploreru 9 a starších verzích tuto zásadu zakážete nebo ji nenakonfigurujete, mohou uživatelé přetáhnout obsah z jedné domény do jiné domény, když je zdroj a cíl v různých oknech. Uživatelé toto nastavení nesmětou změnit.
    Další informace

    Výchozí: Zakázat

  • Internet Explorer internet zone smart screen:
    Toto nastavení zásad určuje, jestli filtr SmartScreen prohledává stránky v této zóně kvůli škodlivému obsahu. Pokud toto nastavení povolíte, filtr SmartScreen prohledává stránky v této zóně kvůli škodlivému obsahu. Pokud toto nastavení zásad zakážete, filtr SmartScreen neskenuje stránky v této zóně kvůli škodlivému obsahu. Pokud toto nastavení zásad nenakonfigurujete, může uživatel zvolit, jestli filtr SmartScreen prohledává na stránkách v této zóně škodlivý obsah. Poznámka: V Internet Exploreru 7 toto nastavení zásad určuje, jestli filtr útoků phishing prohledává stránky v této zóně kvůli škodlivému obsahu.
    Další informace

    Výchozí: Povoleno

  • Internet Explorer zamkl oprávnění java důvěryhodné zóny:
    Toto nastavení zásad umožňuje spravovat oprávnění pro aplety v jazyce Java. Pokud toto nastavení zásad povolíte, můžete v rozevíracím seznamu zvolit možnosti. Vlastní, pokud chcete řídit nastavení oprávnění jednotlivě. Nízká bezpečnost umožňuje apletům provádět všechny operace. Funkce Střední zabezpečení umožňuje aplety běžet v izolovaném prostoru (oblast v paměti, mimo kterou program nemůže volat), a navíc funkce, jako je odkládací prostor (bezpečná a bezpečná oblast úložiště na klientském počítači) a uživatelsky řízený souborový I/O. Vysoká bezpečnost umožňuje spouštět aplety v jejich izolovaném prostoru. Pokud chcete zabránit spuštění apletů, zakažte Java. Pokud toto nastavení zásad zakážete, aplety v jazyce Java se neschová. Pokud toto nastavení zásad nenakonfigurujete, jsou aplety v jazyce Java zakázané.
    Další informace

    Výchozí: Zakázat jazyk Java

  • Internet Explorer zkontroluje podpisy ve stažených programech:
    Toto nastavení zásad umožňuje spravovat, jestli Internet Explorer před stažením spustitelných programů kontroluje digitální podpisy (který identifikuje vydavatele podepsaného softwaru a ověří, že nebyl změněn nebo s ním manipuloval). Pokud toto nastavení povolíte, Internet Explorer před stažením do uživatelských počítačů zkontroluje digitální podpisy spustitelných programů a zobrazí jejich identity. Pokud toto nastavení zásad zakážete, Internet Explorer nebude před stažením do uživatelských počítačů kontrolovat digitální podpisy spustitelných programů ani zobrazovat jejich identity. Pokud tuto zásadu nenakonfigurujete, Internet Explorer nebude před stažením do uživatelských počítačů kontrolovat digitální podpisy spustitelných programů ani zobrazovat jejich identity.
    Další informace

    Výchozí: Povoleno

  • Skriptování zóny s omezeným přístupem v Internet Exploreru u ovládacích prvků webového prohlížeče:
    Toto nastavení zásad určuje, jestli může stránka ovládat vložené ovládací prvky WebBrowser pomocí skriptu. Pokud toto nastavení zásad povolíte, je povolený přístup skriptu k ovládacímu prvku WebBrowser. Pokud toto nastavení zásad zakážete, přístup ke skriptu k ovládacímu prvku WebBrowser není povolený. Pokud toto nastavení zásad nenakonfigurujete, může uživatel povolit nebo zakázat přístup skriptu k ovládacímu prvku WebBrowser. Ve výchozím nastavení je přístup ke skriptu k ovládacímu prvku WebBrowser povolený jenom v zónách Místní počítač a Intranet.
    Další informace

    Výchozí: Zakázáno

  • Filtr skriptování zóny s omezeným přístupem v Internet Exploreru :
    Tato zásada určuje, jestli filtr XSS (Cross-Site Scripting) rozpozná a zabrání vkládání skriptů mezi weby v této zóně. Pokud toto nastavení zásad povolíte, filtr XSS bude pro weby v této zóně a filtr XSS se pokusí blokovat vkládání skriptů mezi weby. Pokud toto nastavení zásad zakážete, filtr XSS se pro weby v této zóně vypne a Internet Explorer povolí vkládání skriptů mezi weby.
    Další informace

    Výchozí: Povoleno

  • Binární a skriptové chování zóny s omezeným přístupem v Internet Exploreru:
    Toto nastavení zásad umožňuje spravovat dynamické chování binárních souborů a skriptů: součásti, které zapouzdřují určité funkce pro elementy HTML, ke kterým byly připojeny. Pokud toto nastavení zásad povolíte, budou k dispozici binární chování a chování skriptů. Pokud v rozevíracím seznamu vyberete Správce schválený, budou dostupná jenom chování uvedená v zásadách omezení zabezpečení binárního chování schválených správcem. Pokud toto nastavení zásad zakážete, nebudou chování binárních souborů a skriptů k dispozici, pokud aplikace ne implementovali vlastního správce zabezpečení. Pokud toto nastavení zásad nenakonfigurujete, chování binárních souborů a skriptů není dostupné, pokud aplikace ne implementovali vlastního správce zabezpečení.
    Další informace

    Výchozí: Zakázat

  • Kontrola nastavení zabezpečení Internet Exploreru:
    Toto nastavení zásad vypne funkci Zabezpečení Nastavení Kontrola, která zkontroluje nastavení zabezpečení Internet Exploreru a určí, kdy nastavení riskuje Internet Explorer. Pokud toto nastavení zásad povolíte, je tato funkce vypnutá. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, je tato funkce zapnutá.
    Další informace

    Výchozí: Povoleno

  • Upozornění zabezpečení zóny Internet Exploreru pro potenciálně nebezpečné soubory:
    Toto nastavení zásad určuje, jestli se zpráva "Otevřít soubor – upozornění zabezpečení" zobrazí, když se uživatel pokusí otevřít spustitelné soubory nebo jiné potenciálně nebezpečné soubory (například z intranetové sdílené složky pomocí Průzkumníka souborů). Pokud povolíte toto nastavení zásad a nastavíte rozevírací seznam na Povolit, tyto soubory se otevřou bez upozornění zabezpečení. Pokud v rozevíracím seznamu nastavíte možnost Výzva, zobrazí se před otevřením souborů upozornění zabezpečení. Pokud toto nastavení zásad zakážete, tyto soubory se neotevře. Pokud toto nastavení zásad nenakonfigurujete, může uživatel nakonfigurovat způsob zpracování těchto souborů v počítači. Ve výchozím nastavení jsou tyto soubory blokovány v zóně s omezeným přístupem, povolené v zónách Intranet a Místní počítač a nastaveny tak, aby se v zónách Internet a Důvěryhodné nastavily výzvy.
    Další informace

    Výchozí: Výzva

  • Oprávnění Java zóny zóny Internet Exploreru v intranetu:
    Toto nastavení zásad umožňuje spravovat oprávnění pro aplety v jazyce Java. Pokud toto nastavení zásad povolíte, můžete v rozevíracím seznamu zvolit možnosti. Vlastní, pokud chcete řídit nastavení oprávnění jednotlivě. Nízká bezpečnost umožňuje apletům provádět všechny operace. Funkce Střední zabezpečení umožňuje aplety běžet v izolovaném prostoru (oblast v paměti, mimo kterou program nemůže volat), a navíc funkce, jako je odkládací prostor (bezpečná a bezpečná oblast úložiště na klientském počítači) a uživatelsky řízený souborový I/O. Vysoká bezpečnost umožňuje spouštět aplety v jejich izolovaném prostoru. Pokud chcete zabránit spuštění apletů, zakažte Java. Pokud toto nastavení zásad zakážete, aplety v jazyce Java se neschová. Pokud toto nastavení zásad nenakonfigurujete, je oprávnění nastaveno na Střední zabezpečení.
    Další informace

    Výchozí: Vysoká bezpečnost

  • Internet Explorer blokuje zastaralé ovládací prvky Active X:
    Toto nastavení zásad určuje, jestli Internet Explorer blokuje určité zastaralé technologie ActiveX ovládací prvky. Zastaralé technologie ActiveX ovládací prvky nejsou v zóně intranetu nikdy zablokované. Pokud toto nastavení povolíte, Internet Explorer přestane blokovat zastaralé technologie ActiveX ovládacích prvků. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, Internet Explorer bude dál blokovat určité zastaralé technologie ActiveX ovládací prvky. Další informace najdete v tématu Zastaralé technologie ActiveX ovládacích prvků v knihovně TechNet Internet Exploreru.
    Další informace

    Výchozí: Povoleno

  • Blokování automaticky otevíraných oken zóny s omezeným přístupem v Internet Exploreru:
    Toto nastavení zásad umožňuje spravovat, jestli se zobrazují nežádoucí automaticky otevírá okna. Automaticky otevíraná okna, která se otevře, když koncový uživatel klikne na odkaz, nejsou zablokovaná. Pokud toto nastavení povolíte, většina nežádoucích automaticky otevíraných oken se nezobrazí. Pokud toto nastavení zásad zakážete, automaticky otevíraná okna se nezobrazí. Pokud toto nastavení zásad nenakonfigurujete, většina nežádoucích automaticky otevíraných oken se nezobrazí.
    Další informace

    Výchozí: Povolit

  • Internet Explorer zpracovává omezení zabezpečení protokolu MK:
    Nastavení zásad omezení zabezpečení protokolu MK omezuje oblast útoku tím, že brání protokolu MK. Prostředky hostované v protokolu MK se nezdaří. Pokud toto nastavení povolíte, nebude protokol MK pro Průzkumníka souborů a Internet Exploreru zabráněn a prostředky hostované protokolem MK se nezdaří. Pokud toto nastavení zásad zakážete, mohou aplikace používat rozhraní API protokolu MK. Prostředky hostované v protokolu MK budou fungovat pro procesy Průzkumníka souborů a Internet Exploreru. Pokud toto nastavení zásad nenakonfigurujete, nebude pro Průzkumníka souborů a Internet Exploreru zabráněn protokol MK a prostředky hostované v protokolu MK se nezdaří.
    Další informace

    Výchozí: Povoleno

  • Oprávnění Java důvěryhodné zóny Internet Exploreru:
    Toto nastavení zásad umožňuje spravovat oprávnění pro aplety v jazyce Java. Pokud toto nastavení zásad povolíte, můžete v rozevíracím seznamu zvolit možnosti. Vlastní, pokud chcete řídit nastavení oprávnění jednotlivě. Nízká bezpečnost umožňuje apletům provádět všechny operace. Funkce Střední zabezpečení umožňuje aplety běžet v izolovaném prostoru (oblast v paměti, mimo kterou program nemůže volat), a navíc funkce, jako je odkládací prostor (bezpečná a bezpečná oblast úložiště na klientském počítači) a uživatelsky řízený souborový I/O. Vysoká bezpečnost umožňuje spouštět aplety v jejich izolovaném prostoru. Pokud chcete zabránit spuštění apletů, zakažte Java. Pokud toto nastavení zásad zakážete, aplety v jazyce Java se neschová. Pokud toto nastavení zásad nenakonfigurujete, je oprávnění nastaveno na Nízkou bezpečnost.
    Další informace

    Výchozí: Vysoká bezpečnost

  • Skriptování apletů v zóně s omezeným přístupem v Internet Exploreru :
    Toto nastavení zásad umožňuje spravovat, jestli jsou aplety vystavené skriptům v zóně. Pokud toto nastavení povolíte, budou mít skripty automaticky přístup k apletům bez zásahu uživatele. Pokud v rozevíracím seznamu vyberete Zobrazit výzvu, uživatelé se budou dotazovat, jestli mají skripty povolit přístup k apletům. Pokud toto nastavení zásad zakážete, skripty se bránit v přístupu k apletům. Pokud toto nastavení zásad nenakonfigurujete, skripty se bránit v přístupu k apletům.
    Další informace

    Výchozí: Zakázat

  • Internet Explorer zamknul oprávnění java zóny s omezeným přístupem:
    Toto nastavení zásad umožňuje spravovat oprávnění pro aplety v jazyce Java. Pokud toto nastavení zásad povolíte, můžete v rozevíracím seznamu zvolit možnosti. Vlastní, pokud chcete řídit nastavení oprávnění jednotlivě. Nízká bezpečnost umožňuje apletům provádět všechny operace. Funkce Střední zabezpečení umožňuje aplety běžet v izolovaném prostoru (oblast v paměti, mimo kterou program nemůže volat), a navíc funkce, jako je odkládací prostor (bezpečná a bezpečná oblast úložiště na klientském počítači) a uživatelsky řízený souborový I/O. Vysoká bezpečnost umožňuje spouštět aplety v jejich izolovaném prostoru. Pokud chcete zabránit spuštění apletů, zakažte Java. Pokud toto nastavení zásad zakážete, aplety v jazyce Java se neschová. Pokud toto nastavení zásad nenakonfigurujete, jsou aplety v jazyce Java zakázané.
    Další informace

    Výchozí: Zakázat jazyk Java

  • InternetOvá zóna Internet Exploreru umožňuje používat jenom schválené domény technologie ActiveX ovládacích prvků:
    Toto nastavení zásad určuje, jestli se uživateli zobrazí výzva, aby technologie ActiveX ovládací prvky mohly běžet na jiných webech než na webu, který technologie ActiveX ovládací prvek. Pokud toto nastavení zásad povolíte, zobrazí se před spuštěním ovládacích prvků technologie ActiveX z webů v této zóně výzva. Uživatel může povolit spuštění ovládacího prvku z aktuálního webu nebo ze všech webů. Pokud toto nastavení zásad zakážete, uživatel neuvidí výzvu pro technologie ActiveX webu a ovládací prvky technologie ActiveX spustit ze všech webů v této zóně.
    Další informace

    Výchozí: Povoleno

  • Internet Explorer obsahuje všechny síťové cesty:
    Internet Explorer obsahuje všechny síťové cesty.
    Další informace

    Výchozí: Zakázáno

  • Režim chráněný internetovou zónou Internet Exploreru:
    Toto nastavení zásad umožňuje zapnout chráněný režim. Chráněný režim pomáhá chránit Internet Explorer před zneužitelně chybami zabezpečení tím, že zmenšuje umístění, do kterých může Internet Explorer zapisovat do registru a systému souborů. Pokud toto nastavení povolíte, chráněný režim je zapnutý. Uživatel nemůže chráněný režim vypnout. Pokud toto nastavení zásad zakážete, chráněný režim je vypnutý. Uživatel nemůže zapnout chráněný režim. Pokud toto nastavení zásad nenakonfigurujete, může uživatel zapnout nebo vypnout chráněný režim.
    Další informace

    Výchozí: Povolit

  • Inicializace zóny Internet Exploreru a skriptování ovládacích prvků Active X, které nejsou označené jako bezpečné:
    Toto nastavení zásad umožňuje spravovat ovládací technologie ActiveX, které nejsou označené jako bezpečné. Pokud toto nastavení zásad povolíte, technologie ActiveX ovládací prvky spouštěny, načteny s parametry a skriptovány bez nastavení zabezpečení objektů pro nedůvěryhodná data nebo skripty. Toto nastavení se nedoporučuje, s výjimkou zabezpečených a spravovaných zón. Toto nastavení způsobí inicializaci a skriptování nebezpečných i bezpečných ovládacích prvků a ignoruje možnost skriptování technologie ActiveX ovládacích prvků označených jako bezpečné pro skriptování. Pokud toto nastavení zásad povolíte a v rozevíracím seznamu vyberete Zobrazit výzvu, budou uživatelé dotazování, jestli má ovládací prvek povolit načtení s parametry nebo skriptem. Pokud toto nastavení zásad zakážete, technologie ActiveX ovládací prvky, které nejde nastavit jako bezpečné, nebudou načteny parametry ani skripty. Pokud toto nastavení zásad nenakonfigurujete, technologie ActiveX ovládací prvky, které nejde nastavit jako bezpečné, se nenačítá s parametry ani skripty.
    Další informace

    Výchozí: Zakázat

  • Internet Explorer zamknul zónovou inteligentní obrazovku s omezeným přístupem:
    Toto nastavení zásad určuje, jestli filtr SmartScreen prohledává stránky v této zóně kvůli škodlivému obsahu. Pokud toto nastavení povolíte, filtr SmartScreen prohledává stránky v této zóně kvůli škodlivému obsahu. Pokud toto nastavení zásad zakážete, filtr SmartScreen neskenuje stránky v této zóně kvůli škodlivému obsahu. Pokud toto nastavení zásad nenakonfigurujete, může uživatel zvolit, jestli filtr SmartScreen prohledává na stránkách v této zóně škodlivý obsah. Poznámka: V Internet Exploreru 7 toto nastavení zásad určuje, jestli filtr útoků phishing prohledává stránky v této zóně kvůli škodlivému obsahu.
    Další informace

    Výchozí: Povoleno

  • Zjišťování chyb v Internet Exploreru:
    Toto nastavení zásad umožňuje spravovat funkci zjišťování chyb při selhání správy doplňků. Pokud toto nastavení povolíte, dojde k chybě v Internet Exploreru, které se nachází v Windows XP Professional Service Pack 1 a starších verzích, a to vyvolání Zasílání zpráv o chybách systému Windows. Všechna nastavení zásad pro Zasílání zpráv o chybách systému Windows nadále platit. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, bude funkce zjišťování chyb při správě doplňků funkční.
    Další informace

    Výchozí: Zakázáno

  • Internet Explorer internet zone java permissions:
    Toto nastavení zásad umožňuje spravovat oprávnění pro aplety v jazyce Java. Pokud toto nastavení zásad povolíte, můžete v rozevíracím seznamu zvolit možnosti. Vlastní, pokud chcete řídit nastavení oprávnění jednotlivě. Nízká bezpečnost umožňuje apletům provádět všechny operace. Funkce Střední zabezpečení umožňuje aplety běžet v izolovaném prostoru (oblast v paměti, mimo kterou program nemůže volat), a navíc funkce, jako je odkládací prostor (bezpečná a bezpečná oblast úložiště na klientském počítači) a uživatelsky řízený souborový I/O. Vysoká bezpečnost umožňuje spouštět aplety v jejich izolovaném prostoru. Pokud chcete zabránit spuštění apletů, zakažte Java. Pokud toto nastavení zásad zakážete, aplety v jazyce Java se neschová. Pokud toto nastavení zásad nenakonfigurujete, je oprávnění nastaveno na Vysokou bezpečnost.
    Další informace

    Výchozí: Zakázat jazyk Java

  • Aktivní skriptování zóny s omezeným přístupem v Internet Exploreru:
    Toto nastavení zásad umožňuje spravovat, jestli je spuštěný kód skriptu na stránkách v zóně. Pokud toto nastavení povolíte, kód skriptu na stránkách v zóně se může spustit automaticky. Pokud v rozevíracím seznamu vyberete Zobrazit výzvu, uživatelé se dotázá, jestli mají povolit spuštění kódu skriptu na stránkách v zóně. Pokud toto nastavení zásad zakážete, zabrání se spuštění kódu skriptu na stránkách v zóně. Pokud toto nastavení zásad nenakonfigurujete, nebude možné spustit kód skriptu na stránkách v zóně.
    Další informace

    Výchozí: Zakázat

  • Možnosti přihlášení do zóny Internet Exploreru:
    Toto nastavení zásad umožňuje spravovat nastavení možností přihlášení. Pokud toto nastavení zásad povolíte, můžete si vybrat z následujících možností přihlášení. Anonymní přihlášení k zakázání ověřování HTTP a použití účtu hosta jenom pro protokol CIFS (Common Internet File System). Zobrazí výzvu k zadání uživatelského jména a hesla k zadání ID a hesel uživatelů. Po dotazování uživatele je možné tyto hodnoty používat bezobslužně po zbytek relace. Automatické přihlášení jenom v zóně intranetu a dotazování uživatelů na ID uživatelů a hesla v jiných zónách Po dotazování uživatele můžete tyto hodnoty použít bezobslužně pro zbytek relace. Automatické přihlášení pomocí aktuálního uživatelského jména a hesla k pokusu o přihlášení pomocí systém Windows NT Challenge Response (označované taky jako ověřování NTLM). Pokud server podporuje systém Windows NT Challenge Response, použije přihlášení k přihlášení uživatelské jméno a heslo uživatele v síti. Pokud server nepodporuje odpověď systém Windows NT výzvu, uživatel se dotáá na zadání uživatelského jména a hesla. Pokud toto nastavení zásad zakážete, je přihlášení nastavené na Automatické přihlášení jenom v zóně intranetu. Pokud toto nastavení zásad nenakonfigurujete, je přihlášení nastavené na Automatické přihlášení jenom v zóně intranetu.
    Další informace

    Výchozí: Výzva

  • Zóna s omezeným přístupem v Internet Exploreru umožňuje spuštění jazyka VBScript:
    Toto nastavení zásad umožňuje spravovat, jestli vbscript může běžet na stránkách ze zadané zóny v Internet Exploreru. Pokud jste v rozevíracím seznamu vybrali Povolit, může vbscript běžet bez zásahu uživatele. Pokud jste v rozevíracím seznamu vybrali možnost Výzva, zobrazí se uživatelům výzva, aby zvolili, jestli mají skript VBScript povolit spuštění. Pokud jste v rozevíracím seznamu zaškrtli políčko Zakázat, zabrání se spuštění jazyka VBScript. Pokud toto nastavení zásad nenakonfigurujete ani nezakažte, jazyk VBScript nebude spuštěný.
    Další informace

    Výchozí: Zakázat

  • Internetová zóna Internet Exploreru přetahovat obsah z různých domén napříč okny:
    Toto nastavení zásad umožňuje nastavit možnosti pro přetahování obsahu z jedné domény do jiné domény, když je zdroj a cíl v různých oknech. Pokud povolíte toto nastavení zásad a kliknete na Povolit, mohou uživatelé přetáhnout obsah z jedné domény do jiné domény, když je zdroj a cíl v různých oknech. Uživatelé toto nastavení nesmětou změnit. Pokud toto nastavení zásad povolíte a kliknete na Zakázat, uživatelé neschodí přetáhnout obsah z jedné domény do jiné domény, pokud je zdroj i cíl v různých oknech. Uživatelé toto nastavení nesmětou změnit. V Internet Explorer 10 pokud toto nastavení zásad zakážete nebo ho nenakonfigurujete, uživatelé nechcete přetáhnout obsah z jedné domény do jiné domény, pokud je zdroj a cíl v různých oknech. Uživatelé mohou toto nastavení změnit v dialogovém okně Možnosti Internetu. Pokud v Internet Exploreru 9 a starších verzích tuto zásadu zakážete nebo ji nenakonfigurujete, mohou uživatelé přetáhnout obsah z jedné domény do jiné domény, když je zdroj a cíl v různých oknech. Uživatelé toto nastavení nesmětou změnit.
    Další informace

    Výchozí: Zakázáno

  • Inicializace zóny intranetu Internet Exploreru a skriptování ovládacích prvků Active X, které nejsou označené jako bezpečné:
    Toto nastavení zásad umožňuje spravovat ovládací technologie ActiveX, které nejsou označené jako bezpečné. Pokud toto nastavení zásad povolíte, technologie ActiveX ovládací prvky spouštěny, načteny s parametry a skriptovány bez nastavení zabezpečení objektů pro nedůvěryhodná data nebo skripty. Toto nastavení se nedoporučuje, s výjimkou zabezpečených a spravovaných zón. Toto nastavení způsobí inicializaci a skriptování nebezpečných i bezpečných ovládacích prvků a ignoruje možnost skriptování technologie ActiveX ovládacích prvků označených jako bezpečné pro skriptování. Pokud toto nastavení zásad povolíte a v rozevíracím seznamu vyberete Zobrazit výzvu, budou uživatelé dotazování, jestli má ovládací prvek povolit načtení s parametry nebo skriptem. Pokud toto nastavení zásad zakážete, technologie ActiveX ovládací prvky, které nejde nastavit jako bezpečné, nebudou načteny parametry ani skripty. Pokud toto nastavení zásad nenakonfigurujete, technologie ActiveX ovládací prvky, které nejde nastavit jako bezpečné, nenačítá se parametry ani skripty.
    Další informace

    Výchozí: Zakázat

  • Přílohy pro stahování Internet Exploreru:
    Toto nastavení zásad zabrání uživateli ve stahování příloh (příloh) z informačního kanálu do počítače uživatele. Pokud toto nastavení zásad povolíte, uživatel nemůže nastavit modul pro synchronizaci informačního kanálu tak, aby stahuje příloha prostřednictvím stránky vlastností Informační kanál. Vývojář nemůže změnit nastavení stahování prostřednictvím rozhraní API informačního kanálu. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, může uživatel nastavit modul synchronizace informačního kanálu tak, aby si stáhl kryt prostřednictvím stránky vlastností Informační kanál. Vývojář může změnit nastavení stahování prostřednictvím rozhraní API informačního kanálu.
    Další informace

    Výchozí: Zakázáno

  • Internet Explorer s omezeným přístupem zóny ke stažení nepodepsaných ovládacích prvků Active X:
    Toto nastavení zásad umožňuje spravovat, jestli uživatelé smí stahovat nepodepsané technologie ActiveX ovládací prvky ze zóny. Takový kód je potenciálně škodlivý, hlavně když pochází z nedůvěryhodné zóny. Pokud toto nastavení zásad povolíte, mohou uživatelé spouštět nepodepsané ovládací prvky bez zásahu uživatele. Pokud v rozevíracím seznamu vyberete Zobrazit výzvu, uživatelé se dotazují, jestli mají povolit spuštění nepodepsaného ovládacího prvku. Pokud toto nastavení zásad zakážete, uživatelé neschová nepodepsané ovládací prvky. Pokud toto nastavení zásad nenakonfigurujete, uživatelé neschodí spustit nepodepsané ovládací prvky.
    Další informace

    Výchozí: Zakázat

  • Internet explorer internet zone drag content from different domains within windows:
    Toto nastavení zásad umožňuje spravovat, jestli uživatelé smí stahovat nepodepsané technologie ActiveX ovládací prvky ze zóny. Takový kód je potenciálně škodlivý, hlavně když pochází z nedůvěryhodné zóny. Pokud toto nastavení zásad povolíte, mohou uživatelé spouštět nepodepsané ovládací prvky bez zásahu uživatele. Pokud v rozevíracím seznamu vyberete Zobrazit výzvu, uživatelé se dotazují, jestli mají povolit spuštění nepodepsaného ovládacího prvku. Pokud toto nastavení zásad zakážete, uživatelé neschová nepodepsané ovládací prvky. Pokud toto nastavení zásad nenakonfigurujete, uživatelé neschodí spustit nepodepsané ovládací prvky.
    Další informace

    Výchozí: Zakázáno

  • Procesy Internet Exploreru omezují instalaci Active X:
    Toto nastavení zásad umožňuje aplikacím, které jsou hostitelem ovládacího prvku webového prohlížeče, blokovat automatické technologie ActiveX ovládacího prvku. Pokud toto nastavení povolíte, ovládací prvek webového prohlížeče zablokuje automatické technologie ActiveX ovládacího prvku pro všechny procesy. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, ovládací prvek webového prohlížeče nebude blokovat automatické zobrazení výzvy k instalaci technologie ActiveX ovládacího prvku pro všechny procesy.
    Další informace

    Výchozí: Povoleno

  • Skripty zóny internet exploreru:
    Toto nastavení zásad umožňuje spravovat, jestli uživatel může spouštět skripty. Pokud toto nastavení zásad povolíte, může uživatel spouštět skripty. Pokud toto nastavení zásad zakážete, uživatel nemůže spouštět skripty. Pokud toto nastavení zásad nenakonfigurujete, může uživatel skriptlety povolit nebo zakázat.
    Další informace

    Výchozí: Zakázat

  • Přetahování nebo kopírování a vkládání souborů v zóně s omezeným přístupem v Internet Exploreru:
    Toto nastavení zásad umožňuje spravovat, jestli uživatelé mohou přetahovat soubory nebo kopírovat a vkládat soubory ze zdroje v zóně. Pokud toto nastavení povolíte, budou uživatelé moci automaticky přetahovat soubory nebo kopírovat a vkládat soubory z této zóny. Pokud v rozevíracím seznamu vyberete Zobrazit výzvu, uživatelé se budou dotazovat, jestli se mají soubory z této zóny přetahovat nebo kopírovat. Pokud toto nastavení zásad zakážete, uživatelům se zabrání přetahování souborů nebo kopírování a vkládání souborů z této zóny. Pokud toto nastavení zásad nenakonfigurujete, budou uživatelé dotáhní na to, jestli se mají soubory z této zóny přetahovat nebo kopírovat.
    Další informace

    Výchozí: Zakázat

  • Software Internet Exploreru, pokud je podpis neplatný:
    Toto nastavení zásad umožňuje spravovat, jestli software, například ovládací prvky technologie ActiveX a stahování souborů, může uživatel nainstalovat nebo spustit, i když je podpis neplatný. Neplatný podpis může znamenat, že někdo s tímto souborem manipuloval. Pokud toto nastavení povolíte, zobrazí se uživatelům výzva k instalaci nebo spuštění souborů s neplatným podpisem. Pokud toto nastavení zásad zakážete, uživatelé neschopní spouštět nebo instalovat soubory s neplatným podpisem. Pokud tuto zásadu nenakonfigurujete, uživatelé se mohou rozhodnout, že budou spouštět nebo instalovat soubory s neplatným podpisem.
    Další informace

    Výchozí: Zakázáno

  • Kopírování a vkládání zóny s omezeným přístupem v Internet Exploreru pomocí skriptu:
    Toto nastavení zásad umožňuje spravovat, jestli skripty zvládnou operaci schránky (například vyjmout, zkopírovat a vložit) v zadané oblasti. Pokud toto nastavení zásad povolíte, skript může provést operaci schránky. Pokud v rozevíracím seznamu vyberete Zobrazit dotaz, budou se uživatelé dotazovat, jestli mají provádět operace se schránkou. Pokud toto nastavení zásad zakážete, skript nemůže provést operaci schránky. Pokud toto nastavení zásad nenakonfigurujete, skript nemůže provést operaci schránky.
    Další informace

    Výchozí: Zakázat

  • Zóna s omezeným přístupem v Internet Exploreru přetahují obsah z různých domén napříč okny:
    Toto nastavení zásad umožňuje nastavit možnosti pro přetahování obsahu z jedné domény do jiné domény, když je zdroj a cíl v různých oknech. Pokud povolíte toto nastavení zásad a kliknete na Povolit, mohou uživatelé přetáhnout obsah z jedné domény do jiné domény, když je zdroj a cíl v různých oknech. Uživatelé toto nastavení nesmětou změnit. Pokud toto nastavení zásad povolíte a kliknete na Zakázat, uživatelé neschodí přetáhnout obsah z jedné domény do jiné domény, pokud je zdroj i cíl v různých oknech. Uživatelé toto nastavení nesmětou změnit. V Internet Explorer 10 pokud toto nastavení zásad zakážete nebo ho nenakonfigurujete, uživatelé nechcete přetáhnout obsah z jedné domény do jiné domény, pokud je zdroj a cíl v různých oknech. Uživatelé mohou toto nastavení změnit v dialogovém okně Možnosti Internetu. Pokud v Internet Exploreru 9 a starších verzích tuto zásadu zakážete nebo ji nenakonfigurujete, mohou uživatelé přetáhnout obsah z jedné domény do jiné domény, když je zdroj a cíl v různých oknech. Uživatelé toto nastavení nesmětou změnit.
    Další informace

    Výchozí: Zakázáno

  • Uživatelé Internet Exploreru, kteří přidávají weby:
    Zabrání uživatelům přidávat nebo odebírat weby ze zón zabezpečení. Zóna zabezpečení je skupina webů se stejnou úrovní zabezpečení. Pokud tuto zásadu povolíte, nastavení správy webu pro zóny zabezpečení je zakázané. (Pokud chcete zobrazit nastavení správy webu pro zóny zabezpečení, klikněte v dialogovém okně Možnosti Internetu na kartu Zabezpečení a potom klikněte na tlačítko Weby.) Pokud tuto zásadu zakážete nebo nenakonfigurujete, dají se uživatelům přidat weby do zón Důvěryhodné weby a Servery s omezeným přístupem nebo je z těchto zón odebrat a změnit nastavení zóny Místní intranet. Tato zásada znemožňují uživatelům měnit nastavení správy webu pro zóny zabezpečení zavedené správcem. Poznámka: Zásada Zakázat stránku zabezpečení (umístěná ve složce \Konfigurace uživatele\Šablony pro správu\Windows Components\Internet Explorer\Internet Control Panel), která odebere kartu Zabezpečení z rozhraní, má přednost před touto zásadou. Pokud je tato zásada povolená, je tato zásada ignorována. Další informace najdete v zásadách "Zóny zabezpečení: Používejte jenom nastavení počítače".
    Další informace

    Výchozí: Zakázáno

  • Internet Explorer internet zone script initiated windows:
    Toto nastavení zásad umožňuje spravovat omezení pro automaticky otevírá okna a okna iniciovaná skriptem, která obsahují názvy a stavové pruhy. Pokud toto nastavení povolíte, Windows omezení zabezpečení se v této zóně nepoužije. Zóna zabezpečení běží bez přidané vrstvy zabezpečení poskytované touto funkcí. Pokud toto nastavení zásad zakážete, nebude možné spustit možné škodlivé akce obsažené v automaticky otevíraných oknech a oknech spouštěných skripty, které obsahují název a stavové pruhy. Tato funkce zabezpečení Internet Exploreru je v této zóně nadiktovaná nastavením ovládacího prvku Zabezpečení Windows omezení funkcí pro tento proces. Pokud toto nastavení zásad nenakonfigurujete, možné škodlivé akce obsažené v automaticky otevíraných oknech a oknech spouštěných skripty, které obsahují název a stavové pruhy, se neschová. Tato funkce zabezpečení Internet Exploreru je v této zóně nadiktovaná nastavením ovládacího prvku Zabezpečení Windows omezení funkcí pro tento proces.
    Další informace

    Výchozí: Zakázáno

  • Zóny zabezpečení Internet Exploreru používají jenom nastavení počítače:
    Použije informace o zóně zabezpečení pro všechny uživatele stejného počítače. Zóna zabezpečení je skupina webů se stejnou úrovní zabezpečení. Pokud tuto zásadu povolíte, změny provedené uživatelem v zóně zabezpečení se budou vztahovat na všechny uživatele tohoto počítače. Pokud tuto zásadu zakážete nebo ji nenakonfigurujete, mohou uživatelé stejného počítače vytvořit vlastní nastavení zóny zabezpečení. Pomocí této zásady se ujistěte, že nastavení zóny zabezpečení platí pro stejný počítač jednotně a neliší se od uživatelů k uživateli. Další informace najdete v zásadách "Zóny zabezpečení: nepovolovat uživatelům měnit zásady".
    Další informace

    Výchozí: Povoleno

  • Internet Explorer zamknul oprávnění java zóny místního počítače:
    Toto nastavení zásad umožňuje spravovat oprávnění pro aplety v jazyce Java. Pokud toto nastavení zásad povolíte, můžete v rozevíracím seznamu zvolit možnosti. Vlastní, pokud chcete řídit nastavení oprávnění jednotlivě. Nízká bezpečnost umožňuje apletům provádět všechny operace. Funkce Střední zabezpečení umožňuje aplety běžet v izolovaném prostoru (oblast v paměti, mimo kterou program nemůže volat), a navíc funkce, jako je odkládací prostor (bezpečná a bezpečná oblast úložiště na klientském počítači) a uživatelsky řízený souborový I/O. Vysoká bezpečnost umožňuje spouštět aplety v jejich izolovaném prostoru. Pokud chcete zabránit spuštění apletů, zakažte Java. Pokud toto nastavení zásad zakážete, aplety v jazyce Java se neschová. Pokud toto nastavení zásad nenakonfigurujete, jsou aplety v jazyce Java zakázané.
    Další informace

    Výchozí: Zakázat jazyk Java

  • Zóna s omezeným přístupem v Internet Exploreru nespouštět antimalwarový software proti ovládacím prvkům Active X:
    Toto nastavení zásad určuje, jestli Internet Explorer spouští antimalwarové programy technologie ActiveX ovládacích prvků, abyste mohli zkontrolovat, jestli jsou na stránkách bezpečné. Pokud toto nastavení povolíte, Internet Explorer nebude kontrolovat, jestli je bezpečné vytvořit instanci ovládacího prvku technologie ActiveX softwaru. Pokud toto nastavení zásad zakážete, Internet Explorer vždy zkontroluje, jestli je bezpečné vytvořit instanci technologie ActiveX ovládacího prvku. Pokud toto nastavení zásad nenakonfigurujete, Internet Explorer vždy zkontroluje, jestli je bezpečné vytvořit instanci ovládacího prvku technologie ActiveX. Uživatelé mohou toto chování zapnout nebo vypnout pomocí nastavení zabezpečení Internet Exploreru.
    Další informace

    Výchozí: Zakázáno

  • Zónu s omezeným přístupem internet exploreru .NET Framework součásti, které jsou podepsané pomocí technologie Authenticode:
    Toto nastavení zásad umožňuje spravovat, jestli .NET Framework které jsou podepsané pomocí technologie Authenticode, možné spustit z Internet Exploreru. Mezi tyto součásti patří spravované ovládací prvky odkazované ze značky objektu a spravované spustitelné soubory odkazované z odkazu. Pokud toto nastavení povolíte, Internet Explorer spustí podepsané spravované součásti. Pokud v rozevíracím seznamu vyberete Zobrazit výzvu, Internet Explorer vyzve uživatele, aby zjistil, jestli se mají spustit podepsané spravované součásti. Pokud toto nastavení zásad zakážete, Internet Explorer nebude spouštět podepsané spravované součásti. Pokud toto nastavení zásad nenakonfigurujete, Internet Explorer nebude spouštět podepsané spravované součásti.
    Další informace

    Výchozí: Zakázat

  • Přístup zóny s omezeným přístupem k zdrojům dat v Internet Exploreru:
    Toto nastavení zásad umožňuje spravovat, jestli má Internet Explorer přístup k datům z jiné zóny zabezpečení pomocí analyzátoru Microsoft XML Parser (MSXML) nebo technologie ActiveX Data Objects (ADO). Pokud toto nastavení povolíte, mohou uživatelé načíst stránku v zóně, která MSXML nebo ADO pro přístup k datům z jiného webu v zóně. Pokud v rozevíracím seznamu vyberete Možnost výzvy, uživatelé se dotazují, jestli chcete povolit načtení stránky v zóně, která používá MSXML nebo ADO pro přístup k datům z jiného webu v zóně. Pokud toto nastavení zásad zakážete, uživatelé neschodí načíst stránku v zóně, která používá MSXML nebo ADO pro přístup k datům z jiného webu v zóně. Pokud toto nastavení zásad nenakonfigurujete, uživatelé nesmějou načíst stránku v zóně, která používá MSXML nebo ADO pro přístup k datům z jiného webu v zóně.
    Další informace

    Výchozí: Zakázat

  • Internet Explorer internet zone don't run antimalware against technologie ActiveX controls:
    Toto nastavení zásad určuje, jestli Internet Explorer spouští antimalwarové programy technologie ActiveX ovládacích prvků, abyste mohli zkontrolovat, jestli je na stránkách bezpečné načíst. Pokud toto nastavení povolíte, Internet Explorer nebude kontrolovat, jestli je bezpečné vytvořit instanci technologie ActiveX ovládacího prvku. Pokud toto nastavení zásad zakážete, Internet Explorer vždy zkontroluje, jestli je bezpečné vytvořit instanci ovládacího prvku technologie ActiveX. Pokud toto nastavení zásad nenakonfigurujete, Internet Explorer vždy zkontroluje, jestli je bezpečné vytvořit instanci ovládacího prvku technologie ActiveX. Uživatelé mohou toto chování zapnout nebo vypnout pomocí nastavení zabezpečení Internet Exploreru.
    Další informace

    Výchozí: Zakázáno

  • Internet Explorer internet zone copy and paste via script:
    Toto nastavení zásad umožňuje spravovat, jestli skripty zvládnou operaci schránky (například vyjmout, zkopírovat a vložit) v zadané oblasti. Pokud toto nastavení zásad povolíte, skript může provést operaci schránky. Pokud v rozevíracím seznamu vyberete Zobrazit dotaz, budou se uživatelé dotazovat, jestli mají provádět operace se schránkou. Pokud toto nastavení zásad zakážete, skript nemůže provést operaci schránky. Pokud toto nastavení zásad nenakonfigurujete, může skript provést operaci schránky.
    Další informace

    Výchozí: Zakázat

  • Internet Explorer používá instalační službu Active X:
    Toto nastavení zásad umožňuje určit, jak technologie ActiveX ovládací prvky nainstalovány. Pokud toto nastavení povolíte, technologie ActiveX ovládací prvky se instalují jenom v případě, že je k dispozici instalační služba technologie ActiveX a je nakonfigurovaná tak, aby povoloval instalaci technologie ActiveX ovládacích prvků. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, technologie ActiveX ovládací prvky, včetně ovládacích prvků pro uživatele, nainstaluje standardním instalačním procesem.
    Další informace

    Výchozí: Povoleno

  • Internet Explorer zpracovává ochranu před nadmořskou výškou zóny:
    Internet Explorer umístí omezení na každou webovou stránku, na které se otevře. Omezení závisí na umístění webové stránky (internet, intranet, zóna místního počítače atd.). Například webové stránky v místním počítači mají nejmenší omezení zabezpečení a jsou v zóně Místního počítače, což z zóny zabezpečení Místního počítače dělá primární cíl pro uživatele se zlými úmysly. Pokud toto nastavení zásad povolíte, může být jakákoli zóna chráněná před zvýšením zón pro všechny procesy. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, jiné procesy než Internet Explorer nebo procesy uvedené v seznamu procesů takovou ochranu nezískají.
    Další informace

    Výchozí: Povoleno

  • Internet Explorer internet zone download unsigned technologie ActiveX controls:
    Toto nastavení zásad umožňuje spravovat, jestli uživatelé smí stahovat nepodepsané technologie ActiveX ovládací prvky ze zóny. Takový kód je potenciálně škodlivý, hlavně když pochází z nedůvěryhodné zóny. Pokud toto nastavení zásad povolíte, mohou uživatelé spouštět nepodepsané ovládací prvky bez zásahu uživatele. Pokud v rozevíracím seznamu vyberete Zobrazit výzvu, uživatelé se dotazují, jestli mají povolit spuštění nepodepsaného ovládacího prvku. Pokud toto nastavení zásad zakážete, uživatelé neschová nepodepsané ovládací prvky. Pokud toto nastavení zásad nenakonfigurujete, uživatelé neschodí spustit nepodepsané ovládací prvky.
    Další informace

    Výchozí: Zakázat

  • Internet explorer internet zone navigate windows and frames across different domains:
    Toto nastavení zásad umožňuje spravovat otevírání oken a rámců a přístup k aplikacím v různých doménách. Pokud toto nastavení zásad povolíte, mohou uživatelé otevírat okna a rámce z jiných domén a přistupovat k aplikacím z jiných domén. Pokud v rozevíracím seznamu vyberete Možnost výzvy, uživatelé se budou dotazovat, jestli mají okna a rámce povolit přístup k aplikacím z jiných domén. Pokud toto nastavení zásad zakážete, uživatelé neschová okna a rámce pro přístup k aplikacím z různých domén. Pokud toto nastavení zásad nenakonfigurujete, mohou uživatelé otevírat okna a rámce z jiných domén a přistupovat k aplikacím z jiných domén.
    Další informace

    Výchozí: Zakázat

  • Internet Explorer internet zone updates to status bar via script:
    Toto nastavení zásad umožňuje spravovat, jestli skript může aktualizovat stavový řádek v zóně. Pokud toto nastavení zásad povolíte, skripty mohou stavový řádek aktualizovat. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, skript nebude moci stavový řádek aktualizovat.
    Další informace

    Výchozí: Zakázáno

  • Zóna s omezeným přístupem v Internet Exploreru zahrnuje místní cestu při nahrání souborů na server:
    Toto nastavení zásad určuje, jestli se informace o místní cestě odešle, když uživatel nahraje soubor pomocí formuláře HTML. Pokud se informace o místní cestě odesílaly, mohou být některé informace na serveru neúmyslně odhalovat. Například soubory odeslané z plochy uživatele mohou jako součást cesty obsahovat uživatelské jméno. Pokud toto nastavení povolíte, odešle se informace o cestě, když uživatel nahraje soubor pomocí formuláře HTML. Pokud toto nastavení zásad zakážete, informace o cestě se při nahrání souboru pomocí formuláře HTML odebere. Pokud toto nastavení zásad nenakonfigurujete, může uživatel zvolit, jestli se informace o cestě odesílané při nahrání souboru prostřednictvím formuláře HTML. Ve výchozím nastavení se informace o cestě odesílané.
    Další informace

    Výchozí: Zakázáno

  • Procesy Internet Exploreru omezují stahování souborů:
    Toto nastavení zásad umožňuje aplikacím, které jsou hostitelem ovládacího prvku webového prohlížeče, blokovat automatické zobrazení výzvy ke stažení souborů, které nejsou iniciované uživatelem. Pokud toto nastavení povolíte, ovládací prvek webového prohlížeče zablokuje automatické zobrazení výzvy ke stažení souborů, které nejsou uživatelem zahájené pro všechny procesy. Pokud toto nastavení zásad zakážete, ovládací prvek webového prohlížeče nezablokuje automatické zobrazení výzvy ke stažení souborů, které nejsou uživatelem zahájené pro všechny procesy.
    Další informace

    Výchozí: Povoleno

  • Zóna s omezeným přístupem v Internet Exploreru umožňuje používat ovládací prvky Active X jenom schválené domény:
    Toto nastavení zásad určuje, jestli se uživateli zobrazí výzva, aby technologie ActiveX ovládací prvky mohly běžet na jiných webech než na webu, který technologie ActiveX ovládací prvek. Pokud toto nastavení zásad povolíte, zobrazí se před spuštěním ovládacích prvků technologie ActiveX z webů v této zóně výzva. Uživatel může povolit spuštění ovládacího prvku z aktuálního webu nebo ze všech webů. Pokud toto nastavení zásad zakážete, uživatel neuvidí výzvu pro technologie ActiveX webu a ovládací prvky technologie ActiveX spustit ze všech webů v této zóně.
    Další informace

    Výchozí: Povoleno

  • Inicializace zóny s omezeným přístupem v Internet Exploreru a skriptování ovládacích prvků Active X, které nejsou označené jako bezpečné:
    Toto nastavení zásad umožňuje spravovat ovládací technologie ActiveX, které nejsou označené jako bezpečné. Pokud toto nastavení zásad povolíte, technologie ActiveX ovládací prvky spouštěny, načteny s parametry a skriptovány bez nastavení zabezpečení objektů pro nedůvěryhodná data nebo skripty. Toto nastavení se nedoporučuje, s výjimkou zabezpečených a spravovaných zón. Toto nastavení způsobí inicializaci a skriptování nebezpečných i bezpečných ovládacích prvků a ignoruje možnost skriptování technologie ActiveX ovládacích prvků označených jako bezpečné pro skriptování. Pokud toto nastavení zásad povolíte a v rozevíracím seznamu vyberete Zobrazit výzvu, budou uživatelé dotazování, jestli má ovládací prvek povolit načtení s parametry nebo skriptem. Pokud toto nastavení zásad zakážete, technologie ActiveX ovládací prvky, které nejde nastavit jako bezpečné, nebudou načteny parametry ani skripty. Pokud toto nastavení zásad nenakonfigurujete, technologie ActiveX ovládací prvky, které nejde nastavit jako bezpečné, nenačítá se parametry ani skripty.
    Další informace

    Výchozí: Zakázat

  • Uživatelé Internet Exploreru, kteří mění zásady:
    Zabrání uživatelům v změně nastavení zóny zabezpečení. Zóna zabezpečení je skupina webů se stejnou úrovní zabezpečení. Pokud tuto zásadu povolíte, tlačítko Vlastní úroveň a posuvník úrovně zabezpečení na kartě Zabezpečení v dialogovém okně Možnosti Internetu budou zakázané. Pokud tuto zásadu zakážete nebo ji nenakonfigurujete, mohou uživatelé změnit nastavení zón zabezpečení. Tato zásada znemožňují uživatelům měnit nastavení zóny zabezpečení vytvořená správcem. Poznámka: Zásada Zakázat stránku zabezpečení (umístěná v části \Konfigurace uživatele\Šablony pro správu\Windows Components\Internet Explorer\Internet Control Panel), která odebere kartu Zabezpečení z Internet Exploreru v Ovládacích panelech, má přednost před touto zásadou. Pokud je tato zásada povolená, je tato zásada ignorována. Další informace najdete v zásadách "Zóny zabezpečení: Používejte jenom nastavení počítače".
    Další informace

    Výchozí: Zakázáno

  • Chráněný režim zóny s omezeným přístupem v Internet Exploreru:
    Toto nastavení zásad umožňuje zapnout chráněný režim. Chráněný režim pomáhá chránit Internet Explorer před zneužitelně chybami zabezpečení tím, že zmenšuje umístění, do kterých může Internet Explorer zapisovat do registru a systému souborů. Pokud toto nastavení povolíte, chráněný režim je zapnutý. Uživatel nemůže chráněný režim vypnout. Pokud toto nastavení zásad zakážete, chráněný režim je vypnutý. Uživatel nemůže zapnout chráněný režim. Pokud toto nastavení zásad nenakonfigurujete, může uživatel zapnout nebo vypnout chráněný režim.
    Další informace

    Výchozí: Povolit

  • Internet Explorer internet zone user data persistence:
    Toto nastavení zásad umožňuje spravovat uchovávání informací v historii prohlížeče, v oblíbených položkách, v obchodě XML nebo přímo na webové stránce uložené na disk. Když se uživatel vrátí na trvalé stránky, stav stránky se může obnovit, pokud je toto nastavení zásad správně nakonfigurované. Pokud toto nastavení zásad povolíte, uživatelé mohou zachovat informace v historii prohlížeče, v oblíbených položkách, v obchodě XML nebo přímo na webové stránce uložené na disk. Pokud toto nastavení zásad zakážete, uživatelé neuchovávají informace v historii prohlížeče, v oblíbených položkách, v obchodě XML nebo přímo na webové stránce uložené na disku. Pokud toto nastavení zásad nenakonfigurujete, mohou uživatelé uchovávat informace v historii prohlížeče, v oblíbených položkách, v obchodě XML nebo přímo na webové stránce uložené na disk.
    Další informace

    Výchozí: Zakázáno

  • Skriptování zóny Internet Exploreru ovládacích prvků webového prohlížeče:
    Toto nastavení zásad určuje, jestli může stránka ovládat vložené ovládací prvky WebBrowser pomocí skriptu. Pokud toto nastavení zásad povolíte, je povolený přístup skriptu k ovládacímu prvku WebBrowser. Pokud toto nastavení zásad zakážete, přístup ke skriptu k ovládacímu prvku WebBrowser není povolený. Pokud toto nastavení zásad nenakonfigurujete, může uživatel povolit nebo zakázat přístup skriptu k ovládacímu prvku WebBrowser. Ve výchozím nastavení je přístup ke skriptu k ovládacímu prvku WebBrowser povolený jenom v zónách Místní počítač a Intranet.
    Další informace

    Výchozí: Zakázáno

  • Trvalost uživatelských dat v zóně s omezeným přístupem v Internet Exploreru:
    Toto nastavení zásad umožňuje spravovat uchovávání informací v historii prohlížeče, v oblíbených položkách, v obchodě XML nebo přímo na webové stránce uložené na disk. Když se uživatel vrátí na trvalé stránky, stav stránky se může obnovit, pokud je toto nastavení zásad správně nakonfigurované. Pokud toto nastavení zásad povolíte, uživatelé mohou zachovat informace v historii prohlížeče, v oblíbených položkách, v obchodě XML nebo přímo na webové stránce uložené na disk. Pokud toto nastavení zásad zakážete, uživatelé neuchovávají informace v historii prohlížeče, v oblíbených položkách, v obchodě XML nebo přímo na webové stránce uložené na disku. Pokud toto nastavení zásad nenakonfigurujete, uživatelé neuchovávají informace v historii prohlížeče, v oblíbených položkách, v obchodě XML nebo přímo na webové stránce uložené na disk.
    Další informace

    Výchozí: Zakázáno

  • Internet Explorer zamknul oprávnění java zóny intranetu:
    Toto nastavení zásad umožňuje spravovat oprávnění pro aplety v jazyce Java. Pokud toto nastavení zásad povolíte, můžete v rozevíracím seznamu zvolit možnosti. Vlastní, pokud chcete řídit nastavení oprávnění jednotlivě. Nízká bezpečnost umožňuje apletům provádět všechny operace. Funkce Střední zabezpečení umožňuje aplety běžet v izolovaném prostoru (oblast v paměti, mimo kterou program nemůže volat), a navíc funkce, jako je odkládací prostor (bezpečná a bezpečná oblast úložiště na klientském počítači) a uživatelsky řízený souborový I/O. Vysoká bezpečnost umožňuje spouštět aplety v jejich izolovaném prostoru. Pokud chcete zabránit spuštění apletů, zakažte Java. Pokud toto nastavení zásad zakážete, aplety v jazyce Java se neschová. Pokud toto nastavení zásad nenakonfigurujete, jsou aplety v jazyce Java zakázané.
    Další informace

    Výchozí: Zakázat jazyk Java

  • Rozšířený chráněný režim Internet Exploreru:
    Vylepšený chráněný režim poskytuje další ochranu před škodlivými weby pomocí 64bitových procesů v 64bitových verzích Windows. U počítačů s aspoň Windows 8 chráněný režim také omezuje umístění, ze které může Internet Explorer číst v registru a v systému souborů. Pokud toto nastavení povolíte, je zapnutý rozšířený chráněný režim. Každá zóna s povoleným chráněným režimem bude používat rozšířený chráněný režim. Uživatelé se neschová v rozšířeném chráněném režimu. Pokud toto nastavení zásad zakážete, rozšířený chráněný režim je vypnutý. Každá zóna s povoleným chráněným režimem bude používat verzi chráněného režimu zavedenou v Internet Exploreru 7 pro Windows Vista. Pokud tuto zásadu nenakonfigurujete, mohou uživatelé zapnout nebo vypnout rozšířený chráněný režim na kartě Upřesnit v dialogovém okně Možnosti Internetu.
    Další informace

    Výchozí: Povoleno

  • Internet Explorer obchází upozornění na inteligentní obrazovku:
    Toto nastavení zásad určuje, jestli může uživatel obcházet upozornění z filtru SmartScreen. Filtr SmartScreen uživatele upozorní na spustitelné soubory, které uživatelé Internet Exploreru běžně nestahují z internetu. Pokud toto nastavení zásad povolíte, upozornění filtru SmartScreen uživatele zablokují. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, může uživatel upozornění filtru SmartScreen obejít.
    Další informace

    Výchozí: Zakázáno

  • Internet Explorer s omezeným přístupem zóny meta aktualizace:
    Toto nastavení zásad umožňuje určit, jestli je možné prohlížeč uživatele přesměrovat na jinou webovou stránku, pokud autor webové stránky používá nastavení Meta Refresh (značka) k přesměrování prohlížečů na jinou webovou stránku. Pokud toto nastavení povolíte, prohlížeč uživatele, který načte stránku obsahující aktivní nastavení meta aktualizace, může být přesměrován na jinou webovou stránku. Pokud toto nastavení zásad zakážete, prohlížeč uživatele, který načte stránku obsahující aktivní nastavení meta aktualizace, nebude možné přesměrovat na jinou webovou stránku. Pokud toto nastavení zásad nenakonfigurujete, prohlížeč uživatele, který načte stránku obsahující aktivní nastavení meta aktualizace, nebude možné přesměrovat na jinou webovou stránku.
    Další informace

    Výchozí: Zakázáno

Možnosti zabezpečení místních zásad

Další informace najdete v tématu Zásady csP – LocalPoliciesSecurityOptions v Windows dokumentaci.

  • Omezení anonymního přístupu k pojmenovaných kanálům a sdílených položek:
    Pokud je toto nastavení zabezpečení povolené, omezuje anonymní přístup ke sdílením a kanálům na nastavení pro: (1) Pojmenované kanály, ke kterým je možné přistupovat anonymně (2) Sdílené složky, ke kterým je možné přistupovat anonymně.
    Další informace

    Výchozí: Ano

  • Minimální zabezpečení relací pro servery založené na protokolu NTLM SSP:
    Toto nastavení zabezpečení umožňuje serveru vyžadovat vyjednávání 128bitového šifrování a zabezpečení relace NTLMv2. Tyto hodnoty jsou závislé na hodnotě nastavení zabezpečení Úrovně ověřování v systému LAN Manager. Možnosti jsou: Vyžadovat zabezpečení relace NTLMv2: Připojení se nezdaří, pokud není vyjednána integrita zprávy. Vyžaduje 128bitové šifrování. Pokud se nevyjedná silné šifrování (128bitová verze), připojení se nezdaří.
    Další informace

    Výchozí: Vyžadovat šifrování NTLM V2 a 128 bitů

  • Minuty nečinnosti zamykací obrazovky, dokud se spořič obrazovky neaktivuje:
    Windows oznámení o nečinnosti přihlašovací relace a pokud doba nečinnosti překročí limit nečinnosti, spustí se spořič obrazovky a relaci uzamkne.
    Další informace

    Výchozí: 15

  • Vyžadovat, aby klient vždy digitálně podepisovat komunikaci:
    Toto nastavení zabezpečení určuje, jestli musí být všechny přenosy zabezpečeného kanálu iniciované členem domény podepsané nebo zašifrované. Když se počítač připojí k doméně, vytvoří se účet počítače. Po spuštění systému použije heslo účtu počítače k vytvoření zabezpečeného kanálu s řadičem domény pro svoji doménu. Tento zabezpečený kanál se používá k operacím, jako je ověřování pomocí protokolu NTLM, vyhledávání SID/názvů lsa a další. Toto nastavení určuje, jestli všechny přenosy zabezpečeného kanálu iniciované členem domény splňují minimální požadavky na zabezpečení. Konkrétně určuje, jestli musí být veškerý přenos zabezpečeného kanálu zahájený členem domény podepsaný nebo zašifrovaný. Pokud je tato zásada povolená, nebude zabezpečený kanál vytvořen, dokud se nevyjedná podepisování nebo šifrování veškerého přenosu zabezpečeného kanálu. Pokud je tato zásada zakázaná, vyjedná se šifrování a podepisování veškerého přenosu zabezpečeného kanálu s řadičem domény, v takovém případě závisí úroveň podepisování a šifrování na verzi řadiče domény a nastavení následujících dvou zásad: Člen domény: Digitální šifrování dat zabezpečeného kanálu (pokud je to možné) Člen domény: Digitálně podepisovat data zabezpečeného kanálu (pokud je to možné).
    Další informace

    Výchozí: Ano

  • Úroveň ověřování:
    Toto nastavení zabezpečení určuje, který ověřovací protokol výzvy a odpovědi se použije pro přihlášení k síti. Tato volba má vliv na úroveň ověřovacího protokolu používaného klienty, úroveň vyjednaného zabezpečení relace a úroveň ověřování přijatou servery takto:

    • Odesílání odpovědí LM a NTLM – klienti používají ověřování LM a NTLM a nikdy nepou ít zabezpečení relace NTLMv2; Řadiče domény přijímají ověřování LM, NTLM a NTLMv2.

    • Odeslat lm a NTLM – NTLMv2 , pokud je vyjednáno – klienti používají ověřování LM a NTLM a používají zabezpečení relace NTLMv2, pokud ho server podporuje. Řadiče domény přijímají ověřování LM, NTLM a NTLMv2.

    • Odesílat jenom odpovědi NTLM – klienti používají jenom ověřování NTLM a zabezpečení relace NTLMv2, pokud ho server podporuje. Řadiče domény přijímají ověřování LM, NTLM a NTLMv2.

    • Odeslat pouze odpověď NTLMv2 – klienti používají pouze ověřování NTLMv2 a zabezpečení relace NTLMv2, pokud ho server podporuje. Řadiče domény přijímají ověřování LM, NTLM a NTLMv2.

    • Odeslat pouze odpověď NTLMv2. Odmítnout LM – Klienti používají ověřování NTLMv2 a zabezpečení relace NTLMv2, pokud ho server podporuje. Řadiče domény odmítnou lm (přijmout pouze ověřování NTLM a NTLMv2).

    • Odeslat pouze odpověď NTLMv2. Odmítnout lm a NTLM – klienti používají ověřování NTLMv2 jenom a zabezpečení relace NTLMv2, pokud ho server podporuje. Řadiče domény odmítnou ověřování LM a NTLM (přijmout pouze ověřování NTLMv2).

    Další informace

    Výchozí: Odešle jenom odpověď NTLMv2. Odmítnout lm a NTLM

  • Zabránit klientům v odesílání nešifrovaných hesel na servery SMB třetích stran:
    Pokud je toto nastavení zabezpečení povolené, může přesměrovač Smb (Server Message Block) odesílat hesla ve formátu prostého textu na servery SMB, které nepodporují šifrování hesel během ověřování. Posílání nešifrovaných hesel je bezpečnostní riziko.
    Další informace

    Výchozí: Ano

  • Vyžadovat digitální podepisování komunikace na serveru vždy:
    Toto nastavení zabezpečení určuje, jestli se klient SMB pokusí vyjednat podepisování paketů SMB. Protokol SMB (Server Message Block) poskytuje základ pro sdílení souborů a tisku microsoftu a mnoho dalších síťových operací, jako je vzdálená Windows správy. Protokol SMB podporuje digitální podepisování paketů SMB, aby se zabránilo útokům mezi prostředníky, které upravňují pakety SMB při přenosu. Toto nastavení zásad určuje, jestli se klientská komponenta SMB pokusí při připojení k serveru SMB vyjednat podepisování paketů SMB. Pokud je toto nastavení povolené, klient sítě Microsoft po nastavení relace požádá server o podepisování paketů SMB. Pokud je na serveru povoleno podepisování paketů, vyjedná se podepisování paketů. Pokud je tato zásada zakázaná, klient SMB nikdy nevyjedná podepisování paketů SMB.
    Další informace

    Výchozí: Ano

  • Chování výzvy ke zvýšení oprávnění správce:
    Toto nastavení zásad určuje chování výzvy ke zvýšení oprávnění pro správce. K dispozici jsou tyto možnosti:

    • Zvýšení úrovně bez výzvy – umožňuje privilegované účty provést operaci, která vyžaduje zvýšení úrovně bez nutnosti souhlasu nebo přihlašovacích údajů. Poznámka: Tuto možnost použijte jenom v nejvíce omezených prostředích.

    • Výzva k zadání přihlašovacích údajů na zabezpečené ploše : Pokud operace vyžaduje zvýšení oprávnění, zobrazí se uživateli na zabezpečené ploše výzva k zadání privilegovaného uživatelského jména a hesla. Pokud uživatel zadá platné přihlašovací údaje, bude operace pokračovat s nejvyšším dostupným oprávněním uživatele.

    • Výzva k zadání souhlasu na zabezpečené ploše : Pokud operace vyžaduje zvýšení oprávnění, zobrazí se uživateli na zabezpečené ploše výzva k výběru možnosti Povolit nebo Odepřít. Pokud uživatel vybere možnost Povolit, bude operace pokračovat s nejvyšším dostupným oprávněním uživatele.

    • Výzva k zadání přihlašovacích údajů: Pokud operace vyžaduje zvýšení oprávnění, zobrazí se uživateli výzva k zadání uživatelského jména a hesla správce. Pokud uživatel zadá platné přihlašovací údaje, bude operace pokračovat s příslušnými oprávněními.

    • Výzva k zadání souhlasu : Pokud operace vyžaduje zvýšení oprávnění, zobrazí se uživateli výzva k výběru možnosti Povolit nebo Odepřít. Pokud uživatel vybere možnost Povolit, bude operace pokračovat s nejvyšším dostupným oprávněním uživatele.

    • Výzva k zadání souhlasu Windows binárních souborů – Pokud operace aplikace, která není součástí microsoftu, vyžaduje zvýšení oprávnění, zobrazí se uživateli na zabezpečené ploše výzva k výběru možnosti Povolit nebo Odepřít. Pokud uživatel vybere možnost Povolit, bude operace pokračovat s nejvyšším dostupným oprávněním uživatele.

    Další informace

    Výchozí: Výzva k zadání souhlasu na zabezpečené ploše

  • Minimální zabezpečení relace pro klienty založené na protokolu NTLM SSP:
    Toto nastavení zabezpečení umožňuje klientovi vyžadovat vyjednávání 128bitového šifrování a zabezpečení relace NTLMv2. Tyto hodnoty jsou závislé na hodnotě nastavení zabezpečení Úrovně ověřování v systému LAN Manager. K dispozici jsou tyto možnosti:

    • Vyžadovat zabezpečení relace NTLMv2 – Připojení se nezdaří, pokud protokol NTLMv2 není vyjednán.

    • Vyžadovat 128bitové šifrování – Připojení se nezdaří, pokud se nevyjedná silné šifrování (128bitová verze).

    • Vyžadovat šifrování NTLMv2 a 128bitové .

    Další informace

    Výchozí: Vyžadovat šifrování NTLM V2 128

  • Chování při odebírání čipových karet:
    Toto nastavení zabezpečení určuje, co se stane, když se ze čtečky čipových karet odebere čipová karta přihlášeného uživatele. K dispozici jsou tyto možnosti:

    • Žádná akce.

    • Zamykací pracovní stanice – Pracovní stanice je uzamčená, když je čipová karta odebrána, což uživatelům umožňuje opustit oblast, vzít si s nimi čipovou kartu a pořád udržovat chráněnou relaci.

    • Vynutit odhlášení – uživatel se po odebrání čipové karty automaticky odhlásí.

    • Odpojit relaci vzdálené plochy – Odebráním čipové karty se relace odpojí bez odhlášení uživatele. To umožňuje uživateli vložit čipovou kartu a pokračovat v relaci později nebo na jiném počítači se čtečkou čipových karet, aniž by se museli znovu přihlašovat. Pokud je relace místní, tato zásada funguje stejně jako uzamknout pracovní stanici.

    Další informace

    Výchozí: Zamykací pracovní stanice

  • Blokování anonymního výčtu účtů a sdílených položek SAM:
    Toto nastavení zabezpečení určuje, jestli chcete povolit anonymní výčet účtů SAM a sdílených položek. Windows umožňuje anonymním uživatelům dělat určité aktivity, například výčet názvů doménových účtů a sdílených síťových složek. To je vhodné například v případě, že správce chce udělit přístup uživatelům v důvěryhodné doméně, kteří neudrží vzájemný vztah důvěryhodnosti. Pokud nechcete povolit anonymní výčet účtů a sdílených složek SAM, nastavte tuto zásadu na Ano.
    Další informace

    Výchozí: Ano

  • Blokování vzdáleného přihlášení s prázdným heslem:
    Toto nastavení zabezpečení určuje, jestli se místní účty, které nejsou chráněné heslem, ly používat k přihlášení z jiných umístění než z fyzické konzoly počítače. Pokud je tato možnost povolená, musí se místní účty, které nejsou chráněné heslem, používat k přihlášení klávesnici počítače.

    Upozornění: Počítače, které nejsou fyzicky zabezpečené, by měly vždy vynucovat silné zásady hesel pro všechny místní uživatelské účty. V opačném případě se každý, kdo má fyzický přístup k počítači, může přihlásit pomocí uživatelského účtu, který nemá heslo. To je důležité hlavně pro přenosné počítače.

    Pokud tuto zásadu zabezpečení použijete ve skupině Všichni, nikdo se nebude moci přihlásit přes Vzdálenou plochu. Toto nastavení nemá vliv na přihlášení, která používají účty domény. Pro aplikace, které používají vzdálené interaktivní přihlašování, je možné toto nastavení obejít.
    Další informace

    Výchozí: Ano

  • Standardní chování výzvy ke zvýšení výšky uživatelů:
    Toto nastavení zásad určuje chování výzvy ke zvýšení oprávnění pro standardní uživatele.

    • Automaticky odepřít žádosti o zvýšení oprávnění : Pokud operace vyžaduje zvýšení oprávnění, zobrazí se konfigurovatelná chybová zpráva o odepření přístupu. Podnik, který používá stolní počítače jako standardní uživatel, může toto nastavení zvolit, aby se snížily hovory na help desk.

    • Výzva k zadání přihlašovacích údajů na zabezpečené ploše : Pokud operace vyžaduje zvýšení oprávnění, zobrazí se uživateli na zabezpečené ploše výzva k zadání jiného uživatelského jména a hesla. Pokud uživatel zadá platné přihlašovací údaje, bude operace pokračovat s příslušnými oprávněními.

    • Výzva k zadání přihlašovacích údajů: Pokud operace vyžaduje zvýšení oprávnění, zobrazí se uživateli výzva k zadání uživatelského jména a hesla správce. Pokud uživatel zadá platné přihlašovací údaje, bude operace pokračovat s příslušnými oprávněními.

    Další informace

    Výchozí: Automaticky odepřít žádosti o zvýšení oprávnění

  • Vyžadovat režim schválení správce pro správce:
    Toto nastavení zásad řídí chování všech nastavení zásad řízení uživatelských účtů pro počítač. Pokud toto nastavení zásad změníte, musíte restartovat počítač. K dispozici jsou tyto možnosti:

    • Nenakonfigurováno – Režim schválení správce a všechna související nastavení zásad řízení uživatelských účtů jsou zakázána. Poznámka: Pokud je toto nastavení zásad zakázané, Centrum zabezpečení vás upozorní na snížení celkového zabezpečení operačního systému.

    • Ano – režim schválení správce je povolený. Tato zásada musí být povolená a související nastavení zásad řízení uživatelských účtů musí být odpovídajícím způsobem nastaveno tak, aby bylo možné spouštět integrovaný účet správce a všechny ostatní uživatele, kteří jsou členy skupiny Administrators, v režimu schválení správce.

    Další informace

    Výchozí: Ano

  • Zabránění anonymnímu výčtu účtů SAM:
    Toto nastavení zabezpečení určuje, jaká další oprávnění jsou udělena pro anonymní připojení k počítači. Windows umožňuje anonymním uživatelům dělat určité aktivity, například výčet názvů doménových účtů a sdílených síťových složek. To je vhodné například v případě, že správce chce udělit přístup uživatelům v důvěryhodné doméně, kteří neudrží vzájemný vztah důvěryhodnosti. Tato možnost zabezpečení umožňuje u anonymních připojení umístit další omezení takto:

    • Ano– Nepovolovat výčet účtů SAM. Tato možnost nahradí všechny ověřené uživatele v oprávněních zabezpečení pro prostředky.

    • Nenakonfigurované – žádná další omezení. Spoléhejte se na výchozí oprávnění.

    Další informace

    Výchozí: Ano

  • Povolit vzdálené hovory správci účtů zabezpečení:
    Toto nastavení zásad umožňuje omezit vzdálená připojení rpc na SAM. Pokud není vybraná, použije se výchozí popisovač zabezpečení.
    Další informace

    Výchozí: O:BAG:BAD:(A;; RC;;; BA)

  • Použití režimu schválení správce:
    Toto nastavení zásad řídí chování režimu schválení správce pro předdefinový účet správce. K dispozici jsou tyto možnosti:

    • Ano– Předdefinový účet správce používá režim schválení správce. Ve výchozím nastavení bude každá operace vyžadující zvýšení oprávnění vyzvat uživatele, aby operaci schválil.

    • Není nakonfigurováno – Předdefinovaný účet správce spouští všechny aplikace s úplným oprávněním správce.

    Další informace

    Výchozí: Ano

  • Povolit aplikace pro přístup k uživatelskému rozhraní jenom pro zabezpečená umístění:
    Toto nastavení zásad určuje, jestli mohou programy přístupnosti uživatelského rozhraní (UIAccess nebo UIA) automaticky zakázat zabezpečenou plochu pro výzvy ke zvýšení oprávnění používané standardním uživatelem.

    • Ano – programy UIA, včetně Windows vzdálené pomoci, automaticky zakřou zabezpečené plochy pro výzvy ke zvýšení úrovně. Pokud nezakažte nastavení zásad Řízení uživatelských účtů: Při zobrazení výzvy ke zvýšení oprávnění přejděte na zabezpečenou plochu, zobrazí se výzvy na ploše interaktivního uživatele místo na zabezpečené ploše.

    • Nenakonfigurováno:– Zabezpečenou plochu může zakázat jenom uživatel interaktivní plochy nebo zakázáním nastavení zásad Řízení uživatelských účtů: Přepnutí na zabezpečenou plochu při zobrazení výzvy ke zvýšení úrovně.

    Další informace

    Výchozí: Ano

  • Zjišťování instalací aplikací a výzva ke zvýšení úrovně:
    Toto nastavení zásad určuje chování zjišťování instalace aplikace pro počítač. K dispozici jsou tyto možnosti:

    • Povoleno : Pokud je zjištěn instalační balíček aplikace, který vyžaduje zvýšení oprávnění, zobrazí se uživateli výzva k zadání uživatelského jména a hesla správce. Pokud uživatel zadá platné přihlašovací údaje, bude operace pokračovat s příslušnými oprávněními.

    • Zakázáno – Instalační balíčky aplikací se nezjedou a zobrazí se výzva ke zvýšení úrovně. Podniky, které používají stolní počítače standardních uživatelů a používají delegované instalační technologie, jako je Zásady skupiny Instalace softwaru nebo Server SMS (Systems Management Server), by toto nastavení zásad měly zakázat. V takovém případě není zjišťování instalačního programu nutné.

    Další informace

    Výchozí: Ano

  • Zabraňte ukládání hodnoty hash správce sítě LAN při další změně hesla:
    Toto nastavení zabezpečení určuje, jestli se při další změně hesla uloží hodnota hash lan Manageru (LM) pro nové heslo. Algoritmus hash LM je relativně slabý a náchylný k útoku ve srovnání s kryptograficky silnější hodnotou systém Windows NT hash. Vzhledem k tomu, že hodnota hash LM je uložená v místním počítači v databázi zabezpečení, mohou být hesla ohrožena, pokud dojde k útoku na databázi zabezpečení.
    Další informace

    Výchozí: Ano

  • Virtualizace chyb zápisu souborů a registru na umístění uživatelů:
    Toto nastavení zásad určuje, jestli se chyby zápisu aplikací přesměrují do definovaných umístění registru a systému souborů. Toto nastavení zásad zmírňuje aplikace, které běží jako správce, a zapisují data run-time aplikací do %ProgramFiles%, %Windir%, %Windir%\system32 nebo HKLM\Software.
    Další informace

    Výchozí: Ano

Microsoft Defender

Další informace najdete v tématu Zásady csP – Defender v Windows dokumentaci.

  • Blokování vytváření podřízených procesů v Aplikaci Adobe Reader:
    Toto pravidlo zabraňuje útokům tím, že Adobe Reader blokuje vytváření dalších procesů. Díky sociálnímu inženýrství nebo zneužití může malware stáhnout a spustit další datové části a odtrhnout se od Adobe Readeru. Blokováním vygenerování podřízených procesů pomocí Adobe Readeru se malwaru, který se ho pokouší použít jako vektor, znemožňují šíření. Další informace

    Výchozí: Povolit

  • Blokování Office komunikačních aplikací v podřízeném procesu:
    Ochrana zařízení před zneužitím

    Výchozí: Povolit

  • Zadejte, jak často (0–24 hodin) chcete vyhledat aktualizace bezpečnostních informací.
    CsP: Defender/SignatureUpdateInterval

    Určete, jak často se mají nové podpisy kontrolovat. Hodnota 1 je jedna hodina, 2 jsou dvě hodiny a tak dále.

    Výchozí: 4

  • Typ kontroly
    CsP: Defender/ScanParameter

    Určení typu kontroly, který se má použít pro kontrolu plánu

    Výchozí Rychlá kontrola

  • Den kontroly plánu v programu Defender:
    Den kontroly plánu v programu Defender.

    Výchozí: Každý den

  • Čas zahájení kontroly v programu Defender:
    Defender naplánujte čas kontroly.

    Výchozí: Nenakonfigurované

  • Zapnutí ochrany v reálném čase
    CSP: Defender/AllowRealtimeMonitoring

    Pokud je toto nastavení nastavené na Ano, monitorování v reálném čase se vynucuje a uživatel ho nemůže zakázat. Pokud je nastavení nastavené na Nenakonfigurované, vrátí se nastavení do výchozího nastavení klienta, které je nastavené, ale uživatel ho může změnit. Pokud chcete monitorování v reálném čase zakázat, použijte vlastní identifikátor URI.

    Výchozí: Ano

  • Skenování skriptů používaných v prohlížečích Microsoftu
    Csp Defender/AllowScriptScanning

    Pokud je toto nastavení nastavené na Ano, Windows Defender funkce kontroly skriptů vynucuje a uživatel je nemůže vypnout. Pokud je nastavení nastaveno na Nenakonfigurované, vrátí se nastavení do výchozího nastavení klienta, což je povolení kontroly skriptů, ale uživatel ho může vypnout.

    Výchozí: Ano

  • Skenování archivních souborů:
    CsP: Defender/AllowArchiveScanning

    Pokud je nastavená možnost Ano, budou se archivovat soubory, jako je třeba kontrola souborů ZIP nebo CAB. Pokud je nastavená možnost Nenakonfigurovat, vrátí se nastavení zpět do výchozího nastavení klienta, což je prohledávání archivovaných souborů, ale uživatel to může zakázat.

    Výchozí: Ano

  • Zapnutí sledování chování:
    CsP: Defender/AllowBehaviorMonitoring

    Pokud je toto nastavení nastavené na Ano, sledování chování se vynucuje a uživatel ho nemůže zakázat. Pokud je nastavení nastavené na Nenakonfigurované, vrátí se nastavení do výchozího nastavení klienta, které je nastavené, ale uživatel ho může změnit. Pokud chcete monitorování v reálném čase zakázat, použijte vlastní identifikátor URI.

    Výchozí: Ano

  • Kontrola příchozích e-mailových zpráv:
    CSP: Defender/AllowEmailScanning

    Pokud je nastavená možnost Ano, budou zkontrolovány e-mailové poštovní schránky a poštovní soubory, jako jsou PST, DBX, MNX, MIME a BINHEX. Pokud není nakonfigurováno, vrátí se nastavení do klientského výchozího nastavení e-mailových souborů, které se neskenuje.

    Výchozí: Ano

  • Skenování vyměnitelných jednotek během úplné kontroly:
    CsP: Defender/AllowFullScanRemovableDriveScanning

    Když je nastavená možnost Ano, budou během plného skenování prohledány vyměnitelné jednotky (například jednotky USB Flash). Pokud je nastavení nastavené na Nenakonfigurované, vrátí se nastavení do výchozího nastavení klienta, který prohledá vyměnitelné jednotky, ale uživatel to může zakázat. Výchozí: Ano

  • Blokování Office aplikacím v vložení kódu do jiných procesů:
    Ochrana zařízení před zneužitím

    Pokud je nastavená možnost Ano, Office aplikacím se zablokuje vložení kódu do jiných procesů. Pokud je nastavená pouze možnost Auditovat, Windows události se místo blokování vyvolané. Když nastavíte možnost Nenakonfigurovat, vrátí se Windows výchozí nastavení, které je vypnuté. Toto pravidlo asr (Attack Surface Reduction) je řízené pomocí následujícího identifikátoru GUID: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

    Výchozí: Blokovat

  • Blokování Office aplikacím v vytváření spustitelného obsahu
    Ochrana zařízení před zneužitím

    Pokud je nastavená možnost Ano, Office aplikace nebudou moci vytvářet spustitelný obsah. Pokud je nastavená pouze možnost Auditovat, Windows události se místo blokování vyvolané. Když nastavíte možnost Nenakonfigurovat, vrátí se Windows výchozí nastavení, které je vypnuté. Toto pravidlo ASR se řídí pomocí následujícího identifikátoru GUID: 3B576869-A4EC-4529-8536-B80A7769E899

    Výchozí: Blokovat

  • Blokování vytváření podřízených Office všech aplikací
    Ochrana zařízení před zneužitím

    Když je nastavený režim auditování, Windows události se místo blokování vyvolané. Když nastavíte možnost Nenakonfigurovat, vrátí se Windows výchozí nastavení, které je vypnuté. Toto pravidlo ASR se řídí pomocí následujícího identifikátoru GUID: D4F940AB-401B-4EFC-AADC-AD5F3C50688A

    Výchozí: Blokovat

  • Blokování volání rozhraní Win32 API z Office makra:
    Ochrana zařízení před zneužitím

    Pokud je nastavená možnost Ano, Office makra nebudou používat hovory rozhraní Win32 API.When set to Yes, Office macro's will be blocked from using Win32 API calls. Pokud je nastavená pouze možnost Auditovat, Windows události se místo blokování vyvolané. Když nastavíte možnost Nenakonfigurovat, vrátí se Windows výchozí nastavení, které je vypnuté. Toto pravidlo ASR se řídí pomocí následujícího identifikátoru GUID: 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

    Výchozí: Blokovat

  • Blokování provádění potenciálně obfuscovaných skriptů (js/vbs/ps):
    Ochrana zařízení před zneužitím

    Když je nastavená možnost Ano, Defender zablokuje provádění zahlcených skriptů. Pokud je nastavená pouze možnost Auditovat, Windows události se místo blokování vyvolané. Když nastavíte možnost Nenakonfigurovat, vrátí se Windows výchozí nastavení, které je vypnuté. Toto pravidlo ASR se řídí pomocí následujícího identifikátoru GUID: 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

    Výchozí: Blokovat

  • Blokování stahování spustitelného obsahu z e-mailových a webových poštovních klientů:
    Blokování stahování spustitelného obsahu z e-mailových a webových poštovních klientů

    Pokud je nastavená možnost Ano, spustitelný obsah stažený z e-mailových a webových poštovních klientů se zablokuje. Pokud je nastavená pouze možnost Auditovat, Windows události se místo blokování vyvolané. Když nastavíte možnost Nenakonfigurovat, vrátí se Windows výchozí nastavení, které je vypnuté.

    Výchozí: Blokovat

  • Zabránit krádeži přihlašovacích údajů typu:
    Ochrana zařízení před zneužitím

    Když je nastavená možnost Ano, pokusy o krádež přihlašovacích údajů lsass.exe zablokovány. Pokud je nastavená pouze možnost Auditovat, Windows události se místo blokování vyvolané. Když nastavíte možnost Nenakonfigurovat, vrátí se Windows výchozí nastavení, které je vypnuté. Toto pravidlo ASR se řídí pomocí následujícího identifikátoru GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

    Výchozí: Povolit

  • Defender potenciálně nežádoucí akce aplikace:
    CSP: Defender/PUAProtection+

    Funkce ochrany potenciálně nežádoucí aplikace (PUA) v Antivirová ochrana v programu Microsoft Defender může identifikovat a blokovat pua stahování a instalaci na koncové body ve vaší síti. Tyto aplikace se nepovažují za viry, malware ani jiné typy hrozeb, ale můžou dělat akce na koncových bodech, které negativně ovlivňují jejich výkon nebo použití. Pua může také odkazovat na aplikace, u které se má za to, že mají špatnou reputaci. Typické chování pua zahrnuje: Různé typy softwaru, které sdružují vkládání reklam do webových prohlížečů Optimalizátory ovladačů a registru, které zjišťují problémy, žádají o platbu za opravu chyb, ale zůstávají na koncovém bodu a nevedou žádné změny ani optimalizace (označované také jako "nepoctivé antivirové programy"). Tyto aplikace mohou zvýšit riziko, že se vaše síť nakazí malwarem, způsobí obtížnější identifikaci malwarových nákaz a může ztrácet zdroje IT při čištění aplikací.

    Výchozí: Blokovat

  • Blokování nedůvěryhodných a nepodepsaných procesů, které běží z USB:
    Ochrana zařízení před zneužitím

    Pokud je nastavená možnost Ano, zablokují se nedůvěryhodné nebo nepodepsané procesy prováděné z jednotky USB. Pokud je nastavená pouze možnost Auditovat, Windows události se místo blokování vyvolané. Když nastavíte možnost Nenakonfigurovat, vrátí se Windows výchozí nastavení, které je vypnuté. Toto pravidlo ASR se řídí pomocí následujícího identifikátoru GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

    Výchozí: Blokovat

  • Povolit ochranu sítě:
    Defender/EnableNetworkProtection

    Pokud je nastavená možnost Ano, bude pro všechny uživatele v systému povolená ochrana sítě. Ochrana sítě chrání zaměstnance před přístupem k phishingovým podvodům a škodlivému obsahu na internetu. Patří sem prohlížeče třetích stran. Pokud toto nastavení nastavíte jenom na Auditovat, uživatelé nebudou zablokovaní z nebezpečných domén, Windows místo toho vyvolané události. Pokud nastavíte tuto možnost na Nenakonfigurováno, vrátí se Windows výchozí nastavení, které je zakázané.

    Výchozí: Povolit

  • Defender sample submission consent type:
    Defender/SubmitSamplesConsent

    Zkontroluje úroveň souhlasu uživatele v programu Microsoft Defender k odesílání dat. Pokud už byl požadovaný souhlas udělen, odešle je program Microsoft Defender. Pokud ne , (a pokud se uživatel nikdy nezeptá), uživatelské rozhraní se před odesláním dat spustí, aby požádalo o souhlas uživatele (pokud je povolený Defender/AllowCloudProtection).

    Výchozí: Automatické odesílání bezpečných vzorků

Průvodce zabezpečením ms

Další informace najdete v tématu Zásady csP – MSSecurityGuide v Windows dokumentaci.

  • Použití omezení UAC u místních účtů při přihlašování k síti:
    Další informace

    Výchozí: Povoleno

  • Spuštění konfigurace ovladače klienta SMB v1:
    Další informace

    Výchozí: Zakázaný ovladač

  • Server SMB v1:
    Další informace

    Výchozí: Zakázáno

  • Ověřování algoritmem Digest:
    Další informace

    Výchozí: Zakázáno

  • Ochrana před přepsáním při strukturovaném zpracování výjimek:
    Další informace

    Výchozí: Povoleno

Starší verze MSS

Další informace najdete v tématu Zásady csP – MSSLegacy v Windows dokumentaci.

  • Úroveň ochrany směrování zdroje IP adres sítě:
    Další informace

    Výchozí: Nejvyšší ochrana

  • Network ignore NetBIOS name release requests except from WINS servers:
    Další informace

    Výchozí: Povoleno

  • Úroveň ochrany zdrojového směrování protokolu IPv6 sítě:
    Další informace

    Výchozí: Nejvyšší ochrana

  • Přesměrování protokolu ICMP sítě přepíše trasy generované protokolem OSPF:
    Další informace

    Výchozí: Zakázáno

Napájení

Další informace najdete v tématu Zásady csP – Napájení v Windows dokumentaci.

  • Vyžadovat heslo při probuzení při připojení:
    Toto nastavení zásad určuje, jestli se uživateli při návratu z režimu spánku zobrazí výzva k zadání hesla. Pokud toto nastavení povolíte nebo nenakonfigurujete, zobrazí se uživateli výzva k zadání hesla, když se systém obnoví z režimu spánku. Pokud toto nastavení zásad zakážete, uživatel se při návratu z režimu spánku k zadání hesla nevyžádá.
    Další informace

    Výchozí: Povoleno

  • Pohotovostní režim při spánku na baterii:
    Toto nastavení zásad spravuje, Windows může při uvedení počítače do režimu spánku používat stavy úsporného režimu. Pokud toto nastavení povolíte nebo nenakonfigurujete, Windows stavy úsporného režimu k nastavení počítače do režimu spánku. Pokud toto nastavení zásad zakážete, stavy úsporného režimu (S1-S3) nebudou povoleny.
    Další informace

    Výchozí: Zakázáno

  • Úsporný režim se při připojení k elektrickému připojení zobrazí v režimu spánku:
    Toto nastavení zásad spravuje, Windows může při uvedení počítače do režimu spánku používat stavy úsporného režimu. Pokud toto nastavení povolíte nebo nenakonfigurujete, Windows stavy úsporného režimu k nastavení počítače do režimu spánku. Pokud toto nastavení zásad zakážete, stavy úsporného režimu (S1-S3) nebudou povoleny.
    Další informace

    Výchozí: Zakázáno

  • Vyžadovat heslo při probuzení při napájení z baterie:
    Toto nastavení zásad určuje, jestli se uživateli při návratu z režimu spánku zobrazí výzva k zadání hesla. Pokud toto nastavení povolíte nebo nenakonfigurujete, zobrazí se uživateli výzva k zadání hesla, když se systém obnoví z režimu spánku. Pokud toto nastavení zásad zakážete, uživatel se při návratu z režimu spánku k zadání hesla nevyžádá.
    Další informace

    Výchozí: Povoleno

Vzdálená pomoc

Další informace najdete v tématu Zásady csP – RemoteAssistance v Windows dokumentaci.

  • Vyžádaná vzdálená pomoc:
    Toto nastavení zásad umožňuje zapnout nebo vypnout vzdálenou pomoc vyžádané pomoci na tomto počítači.

    • Pokud toto nastavení povolíte, můžou uživatelé na tomto počítači požádat někoho o pomoc pomocí e-mailu nebo přenosu souborů. Uživatelé taky mohou pomocí programů rychlých zpráv povolit připojení k tomuto počítači a můžete nakonfigurovat další nastavení vzdálené pomoci.

    • Pokud toto nastavení zásad zakážete, uživatelé na tomto počítači můžou požádat někoho o pomoc pomocí e-mailu nebo přenosu souborů. K povolení připojení k tomuto počítači také uživatelé nepovolují programy zasílání rychlých zpráv.

    • Pokud toto nastavení zásad nenakonfigurujete, mohou uživatelé v Ovládacích panelech zapnout nebo vypnout vzdálenou pomoc vyžádanou (požádat). Uživatelé taky mohou nakonfigurovat nastavení vzdálené pomoci.

    Pokud toto nastavení povolíte, máte dva způsoby, jak umožnit pomocníkům poskytovat vzdálenou pomoc: "Povolit pomocníkům jenom prohlížet počítač" nebo "Povolit pomocníkům vzdáleně řídit počítač". Nastavení zásady "Maximální čas lístku" nastaví limit na dobu, po kterou může zůstat otevřená pozvánka na vzdálenou pomoc vytvořená pomocí e-mailu nebo přenosu souborů. Nastavení "Vybrat způsob odesílání e-mailových pozvánek" určuje, který e-mailový standard se má použít k odesílání pozvánek vzdálené pomoci. V závislosti na vašem e-mailovém programu můžete použít standard Mailto (příjemce pozvánky se připojuje přes internetový odkaz) nebo standard SMAPI (Simple MAPI) (pozvánka je připojená k e-mailové zprávě). Toto nastavení zásad není v systému Windows Vista dostupné, protože jedinou podporovanou metodou je SMAPI. Pokud toto nastavení povolíte, měli byste povolit také příslušné výjimky brány firewall, které umožní komunikaci pomocí vzdálené pomoci.
    Další informace

    Výchozí: Zakázat vzdálenou pomoc

Vzdálená plocha

Další informace najdete v tématu Zásady csP – RemoteDesktopServices v Windows dokumentaci.

  • Blokování ukládání hesel:
    Určuje, jestli je možné hesla na tomto počítači uložit z připojení ke vzdálené ploše. Pokud toto nastavení povolíte, je zaškrtávací políčko pro ukládání hesel v připojení ke vzdálené ploše zakázané a uživatelé hesla neuměi ukládat. Když uživatel otevře soubor PROTOKOLU RDP pomocí připojení ke vzdálené ploše a uloží jeho nastavení, odstraní se jakékoli heslo, které dříve existovalo v souboru PROTOKOLU RDP. Pokud toto nastavení zakážete nebo ho necháte nenakonfigurované, může uživatel ukládat hesla pomocí připojení ke vzdálené ploše.
    Další informace

    Výchozí: Povoleno

  • Zabezpečená komunikace RPC:
    Určuje, jestli server Hostitel relací vzdálené plochy vyžaduje zabezpečenou komunikaci rpc se všemi klienty nebo umožňuje nezabezpečenou komunikaci. Pomocí tohoto nastavení můžete zvýšit zabezpečení komunikace rpc s klienty tím, že povolíte jenom ověřené a šifrované žádosti. Pokud je stav nastavený na Povoleno, služba Vzdálená plocha přijímá žádosti od klientů RPC, kteří podporují zabezpečené žádosti, a neumožňuje nezabezpečenou komunikaci s nedůvěryhodnými klienty. Pokud je stav zakázaný, služba Vzdálená plocha vždy požaduje zabezpečení pro všechny přenosy RPC. Nezabezpečená komunikace je ale povolená pro klienty RPC, kteří na žádost nereagují. Pokud je stav nastavený na Nenakonfigurované, je povolena nezabezpečená komunikace. Poznámka: Rozhraní RPC se používá ke správě a konfiguraci služby Vzdálená plocha.
    Další informace

    Výchozí: Povoleno

  • Přesměrování blokové jednotky:
    Toto nastavení zásad určuje, jestli se má zabránit mapování klientských jednotek v relaci služby Vzdálená plocha (přesměrování jednotky). Ve výchozím nastavení server Hostitel relací VP mapuje klientské jednotky automaticky při připojení. Mapované jednotky se zobrazují ve stromové struktuře složek relace v Průzkumníkovi souborů nebo v počítači ve formátu <driveletter> na <computername> . Toto nastavení zásad můžete použít k přepsání tohoto chování. Pokud toto nastavení povolíte, přesměrování klientské jednotky není v relacích služby Vzdálená plocha povolené a přesměrování kopírování souborů schránky není povolené v počítačích se systémem Windows Server 2003, Windows 8 a Windows XP. Pokud toto nastavení zásad zakážete, přesměrování klientské jednotky je vždy povolené. Přesměrování kopie souboru schránky je taky vždy povolené, pokud je povolené přesměrování schránky. Pokud toto nastavení zásad nenakonfigurujete, přesměrování klientské jednotky a přesměrování kopie souboru schránky se nezadá na Zásady skupiny úrovni.
    Další informace

    Výchozí: Povoleno

  • Výzva k zadání hesla při připojení:
    Toto nastavení zásad určuje, jestli služba Vzdálená plocha při připojení vždy vyzve klienta k zadání hesla. Toto nastavení můžete použít k vynucení výzvy k zadání hesla pro uživatele, kteří se přihlašuje ke Vzdálené ploše, i když už heslo poskytli v klientovi Připojení ke vzdálené ploše. Služba Vzdálená plocha ve výchozím nastavení umožňuje uživatelům automatické přihlášení zadáním hesla do klienta Připojení ke vzdálené ploše. Pokud toto nastavení zásad povolíte, uživatelé se k Vzdálené ploše automaticky ne přihlásí tak, že do klienta Připojení ke vzdálené ploše zadávají svá hesla. zobrazí se výzva k zadání hesla k přihlášení. Pokud toto nastavení zásad zakážete, pokaždé se uživatelé budou moci přihlásit ke Vzdálené ploše automaticky tak, že do klienta Připojení ke vzdálené ploše zadávají svá hesla. Pokud toto nastavení nenakonfigurujete, není automatické přihlášení zadané na Zásady skupiny úrovni.
    Další informace

    Výchozí: Povoleno

  • Úroveň šifrování klienta služby Vzdálená plocha :
    Určuje, jestli je potřeba použít konkrétní úroveň šifrování k zabezpečení komunikace mezi klientskými počítači a hostitelskými servery relací VP během připojení protokolu RDP (Remote Desktop Protocol). Tato zásada platí jenom v případě, že používáte nativní šifrování PROTOKOLU RDP. Nativní šifrování PROTOKOLU SSL (na rozdíl od šifrování SSL) se ale nedoporučuje. Tato zásada se nevztahuje na šifrování SSL. Pokud toto nastavení povolíte, musí veškerá komunikace mezi klienty a hostitelskými servery relací VP během vzdálených připojení používat metodu šifrování zadanou v tomto nastavení. Ve výchozím nastavení je úroveň šifrování nastavená na hodnotu Vysoká. K dispozici jsou následující metody šifrování:

    • Vysoká : Nastavení Vysoká šifruje data odeslaná z klienta na server a ze serveru do klienta pomocí silného 128bitového šifrování. Tuto úroveň šifrování použijte v prostředích, která obsahují jenom 128bitové klienty (například klienty, kteří používají připojení ke vzdálené ploše). Klienti, kteří tuto úroveň šifrování nepodporují, se nepřipojí k hostitelským serverům relací VP.

    • Kompatibilní s klientem – Nastavení Kompatibilní s klientem šifruje data odesílaná mezi klientem a serverem při maximální síle klíče podporované klientem. Tuto úroveň šifrování použijte v prostředích, která obsahují klienty, kteří nepodporují 128bitové šifrování.

    • Nízká : Nastavení Nízká šifruje jenom data odeslaná z klienta na server pomocí 56bitového šifrování.

    Pokud toto nastavení zakážete nebo nenakonfigurujete, nebude úroveň šifrování, která se má použít pro vzdálená připojení k hostitelským serverům relací VP, vynucována prostřednictvím Zásady skupiny. Důležité dodržování předpisů FIPS je možné nakonfigurovat pomocí kryptografie systému. V systému Zásady skupiny (v části Konfigurace počítače\Windows Nastavení\Zabezpečení Nastavení\Místní zásady\Možnosti zabezpečení používejte algoritmus kompatibilní se standardem FIPS k nastavení šifrování, hash a podepisování.) Nastavení vyhovující standardu FIPS šifruje a dešifruje data odeslaná z klienta na server a ze serveru klientovi pomocí šifrovacích algoritmů FIPS (Federal Information Processing Standard) 140 pomocí kryptografických modulů společnosti Microsoft. Tuto úroveň šifrování použijte, pokud komunikace mezi klienty a hostitelskými servery relací VP vyžaduje nejvyšší úroveň šifrování.
    Další informace

    Výchozí: Vysoká

Vzdálená správa

Další informace najdete v tématu Zásady csP – RemoteManagement v Windows dokumentaci.

  • Blokování ukládání spustit jako přihlašovací údaje:
    Základní ověřování klienta
    Další informace

    Výchozí: Povoleno

  • Základní ověřování:
    Toto nastavení zásad umožňuje spravovat, jestli Windows Vzdálená správa (WinRM) přijímá základní ověřování od vzdáleného klienta. Pokud toto nastavení povolíte, služba WinRM přijme základní ověřování ze vzdáleného klienta. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, služba WinRM nepřijme základní ověřování od vzdáleného klienta.
    Další informace

    Výchozí: Zakázáno

  • Blokovat ověřování algoritmem digest klienta:
    Toto nastavení zásad umožňuje spravovat, jestli klient Windows (WinRM) používá ověřování algoritmem Digest. Pokud toto nastavení zásad povolíte, klient WinRM ověřování algoritmem Digest nepoužívá. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, použije klient WinRM ověřování algoritmem Digest.
    Další informace

    Výchozí: Povoleno

  • Nešifrovaný provoz:
    Toto nastavení zásad umožňuje spravovat, jestli Windows Vzdálená správa (WinRM) odesílá a přijímá nešifrované zprávy v síti. Pokud toto nastavení povolíte, klient WinRM odešle a přijme nešifrované zprávy v síti. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, klient WinRM odešle nebo přijme jenom zašifrované zprávy v síti.
    Další informace

    Výchozí: Zakázáno

  • Nešifrovaný provoz klienta:
    Toto nastavení zásad umožňuje spravovat, jestli klient Windows Vzdálená správa (WinRM) odesílá a přijímá nešifrované zprávy v síti. Pokud toto nastavení povolíte, klient WinRM odešle a přijme nešifrované zprávy v síti. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, klient WinRM odešle nebo přijme jenom zašifrované zprávy v síti.
    Další informace

    Výchozí: Zakázáno

  • Základní ověřování klienta:
    Toto nastavení zásad umožňuje spravovat, jestli Windows Vzdálená správa (WinRM) používá základní ověřování. Pokud toto nastavení povolíte, klient WinRM použije základní ověřování. Pokud je winrm nakonfigurovaný na použití přenosu HTTP, uživatelské jméno a heslo se přes síť posílají jako čistý text. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, klient WinRM nepou3/4í základní ověřování.
    Další informace

    Výchozí: Zakázáno

Vzdálené volání procedur

Další informace najdete v tématu Zásady csP – RemoteProcedureCall v Windows dokumentaci.

  • Možnosti neověřených klientů vzdáleného volání procedur:
    Toto nastavení zásad určuje, jak modul runtime serveru RPC zpracovává neověřené klienty RPC připojující se k serverům RPC. Toto nastavení zásad má vliv na všechny aplikace RPC. V prostředí domény používejte toto nastavení zásad opatrně, protože může mít vliv na širokou škálu funkcí, včetně samotného zpracování zásad skupiny. Vrácení změny nastavení této zásady může vyžadovat ruční zásah na každém ovlivněném počítači. Toto nastavení zásad se nevztahuje na řadič domény. Pokud toto nastavení zásad zakážete, použije modul runtime serveru RPC hodnotu Ověřeno v klientovi Windows a hodnotu "Žádné" ve verzích Windows Server, které toto nastavení zásad podporují. Pokud toto nastavení zásad nenakonfigurujete, zůstane zakázané. Modul runtime serveru RPC se chová, jako by byl povolený s hodnotou "Ověřeno" použitou pro klienta Windows Windows hodnotou "Žádné" použitou pro skladové sklady serverů, které toto nastavení zásad podporují. Pokud toto nastavení povolíte, nasměruje modul runtime serveru RPC tak, aby omezil neověřené klienty RPC připojující se k serverům RPC spuštěných na počítači. Klient se považuje za ověřeného klienta, pokud ke komunikaci se serverem používá pojmenovaný kanál nebo pokud používá zabezpečení rpc. Rozhraní RPC, která výslovně požádala o přístup neověřených klientů, mohou být z tohoto omezení vyňata v závislosti na vybrané hodnotě pro toto nastavení zásad.

    • Žádné umožňuje všem klientům RPC připojit se k serverům RPC spuštěných na počítači, na kterém je nastavení zásad použito.

    • Ověřeno umožňuje připojit se k serverům RPC spuštěným na počítači, na kterém je použito nastavení zásad, jenom ověření klienti RPC (podle definice výše). Výjimky se udělují rozhraním, která o ně požádala.

    • Ověření bez výjimek umožňuje připojit se k serverům RPC spuštěným na počítači, na kterém je nastavení zásad použito, jenom ověření klienti RPC (podle definice výše). Nejsou povoleny žádné výjimky. Poznámka: Toto nastavení zásad se použije až po restartování systému.

    Další informace

    Výchozí: Ověřeno

Další informace najdete v tématu Zásady csP – hledání v Windows dokumentaci.

  • Zakázání indexování zašifrovaných položek:
    Povolí nebo zakáže indexování položek. Tento přepínač je pro indexer Windows vyhledávání, který určuje, jestli bude indexovat zašifrované položky, například soubory chráněné Windows Information Protection (WIP). Pokud je zásada povolená, položky chráněné wipem se indexují a metadata o nich jsou uložená v nešifrovaném umístění. Metadata obsahují například cestu k souboru a datum změny. Když je zásada zakázaná, položky chráněné wipem se neindexuje a ve výsledcích se ve výsledcích Cortana nebo průzkumníku souborů. Pokud je na zařízení mnoho multimediálních souborů chráněných wip, může to mít vliv na výkon i na fotky a Groove aplikace.
    Další informace

    Výchozí: Ano

Inteligentní obrazovka

Další informace najdete v tématu Zásady csP – SmartScreen v Windows dokumentaci.

  • Zapnutí Windows SmartScreen
    CSP: SmartScreen/EnableSmartScreenInShell

    Nastavení této možnosti na Ano vynucuje použití smartscreenu pro všechny uživatele. Nastavení této možnosti na Nenakonfigurované vrátí nastavení na výchozí Windows, což je povolit SmartScreen, ale uživatelé mohou toto nastavení změnit. Pokud chcete smartscreen zakázat, použijte vlastní identifikátor URI.

    Výchozí: Ano

  • Blokování uživatelů v ignorování upozornění smartscreenu
    CsP: SmartScreen/PreventOverrideForFilesInShell

    Když je nastavená možnost Ano, smartscreen je povolený a uživatelé se nesmějí obcházet upozornění na soubory nebo škodlivé aplikace. Pokud je nastavená možnost Nenakonfigurované, mohou uživatelé ignorovat upozornění smartscreenu pro soubory a škodlivé aplikace.

    Toto nastavení vyžaduje, aby bylo Windows SmartScreen nastavené na Ano.

    Výchozí: Ano

Systém

Další informace najdete v tématu Zásady csP – systém v Windows dokumentaci.

  • Inicializace ovladače pro spuštění systému:
    Toto nastavení zásad umožňuje určit, které ovladače pro spouštění se inicializovaly na základě klasifikace určené ovladačem antimalwarového systému Early Launch Antimalware. Ovladač antimalwarového spouštěcího systému Early Launch Antimalware může vrátit následující klasifikace jednotlivých ovladačů spouštění:

    • Dobrý – ovladač je podepsaný a není s ním manipulováno.

    • Špatný – ovladač je identifikované jako malware. Doporučujeme nepovolit inicializaci známých špatných ovladačů.

    • Chybný, ale povinný pro spuštění : Ovladač je identifikované jako malware, ale počítač se nemůže úspěšně spustit bez načtení tohoto ovladače.

    • Neznámý – Tento ovladač nebyl otestován aplikací pro zjišťování malwaru a nebyl klasifikovaný ovladačem antimalwarového spuštění Antimalwaru.

    Pokud toto nastavení zásad povolíte, můžete zvolit, které ovladače spouštění se mají inicializovat při příštím spuštění počítače. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, ovladače pro spuštění systému se určí jako dobré, neznámé nebo špatné, ale kritické pro spuštění se inicializovaly a inicializace ovladačů, které jsou určené jako špatné, se přeskočí. Pokud vaše aplikace pro zjišťování malwaru neobsahuje ovladač antimalwarového spuštění Antimalwaru pro předčasné spuštění nebo pokud je ovladač pro spuštění antimalwarového softwaru early launch antimalware zakázaný, nemá toto nastavení žádný vliv a všechny ovladače pro spuštění se inicializovaly.
    Další informace

    Výchozí: Dobrý neznámý a špatný kritický

Wi-Fi

Další informace najdete v tématu Zásady csP – Wifi v Windows dokumentaci.

  • Blokovat automatické připojování k Wi-Fi hotspotům:
    Povolit nebo zakázat automatické připojení zařízení k Wi-Fi hotspotům.
    Další informace

    Výchozí: Ano

  • Blokovat sdílení internetu:
    Určuje, jestli je na zařízení možné sdílet internet.
    Další informace

    Výchozí: Ano

Windows Správce připojení

Další informace najdete v tématu Zásady csP – WindowsConnectionManager v Windows dokumentaci.

  • Blokovat připojení k sítím, které nejsou doménou:
    Toto nastavení zásad zabrání počítačům v tom, aby se současně připojují k síti založené na doméně i k jiné než doméně. Pokud je toto nastavení zásad povolené, počítač odpoví na automatické a ruční pokusy o připojení k síti na základě následujících okolností:

    • Automatické pokusy o připojení : Pokud je počítač už připojený k síti založené na doméně, jsou všechny automatické pokusy o připojení k sítím mimo doménu zablokované. Pokud je počítač už připojený k jiné než doménové síti, automatické pokusy o připojení k sítím založeným na doméně se zablokují.

    • Ruční pokusy o připojení : Pokud je počítač už připojený k síti bez domény nebo k síti založené na doméně přes jiné médium než Ethernet a uživatel se pokusí vytvořit ruční připojení k další síti v rozporu s tímto nastavením zásad, existující síťové připojení se odpojí a ruční připojení je povolené. Pokud je počítač už připojený k síti bez domény nebo k síti založené na doméně přes Ethernet a uživatel se pokusí vytvořit ruční připojení k další síti v rozporu s tímto nastavením zásad, stávající připojení Ethernetu se zachová a pokus o ruční připojení je zablokovaný.

    Pokud toto nastavení zásad není nakonfigurované nebo zakázané, mohou se počítače současně připojovat k sítím domény i jiné domény.
    Další informace

    Výchozí: Povoleno

Pracovní prostor Windows Ink

Další informace najdete v tématu Zásady csP – WindowsInkWorkspace v Windows dokumentaci.

  • Pracovní prostor rukopisu:
    Určuje, jestli má uživatel povolit přístup k pracovnímu prostoru rukopisu.

    • Zakázáno – přístup k pracovnímu prostoru rukopisu je zakázaný. Tato funkce je vypnutá.

    • Povoleno – Funkce Pracovní prostor rukopisu je zapnutá, ale uživatel k ní nemůže získat přístup nad zamykací obrazovkou.

    • Není nakonfigurováno – funkce Pracovní prostor rukopisu je zapnutá a uživatel ji může používat nad zamykací obrazovkou.

    Další informace

    Výchozí: Povoleno

Prostředí Windows PowerShell

Další informace najdete v tématu Zásady csp – WindowsPowerShell v Windows dokumentaci.

  • Protokolování blokování skriptů v PowerShellu:
    Toto nastavení zásad umožňuje protokolování všech vstupů skriptu PowerShellu do protokolu událostí Microsoft-Windows-PowerShell/Operational. Pokud toto nastavení zásad povolíte, Windows PowerShell protokoluje zpracování příkazů, bloků skriptů, funkcí a skriptů – ať už jsou vyvolané interaktivně, nebo prostřednictvím automatizace. Pokud toto nastavení zásad zakážete, protokolování vstupu skriptu PowerShellu je zakázané. Pokud povolíte protokolování vyvolání bloku skriptu, PowerShell navíc zaznamená události při vyvolání příkazu, bloku skriptu, funkce nebo skriptu, které se spustí nebo zastaví. Povolení protokolování vyvolání vygeneruje velké množství protokolů událostí. Poznámka: Toto nastavení zásad existuje v editoru Zásady skupiny počítače i konfigurace uživatele. Nastavení zásad Konfigurace počítače má přednost před nastavením zásad Konfigurace uživatele.
    Další informace

    Výchozí: Povoleno

Další kroky