Política CSP – LocalPoliciesSecurityOptions
Importante
Esse CSP contém algumas configurações que estão em desenvolvimento e só se aplicam Windows Insider Preview builds. Essas configurações estão sujeitas a alterações e podem ter dependências de outros recursos ou serviços em versão prévia.
Observação
Para encontrar formatos de dados (e outros detalhes relacionados à política), consulte Arquivo DDF da política.
Accounts_BlockMicrosoftAccounts
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_BlockMicrosoftAccounts
Essa configuração de política impede que os usuários adicionando novas contas da Microsoft neste computador. Se você selecionar a opção "Usuários não podem adicionar contas da Microsoft", os usuários não poderão criar novas contas da Microsoft neste computador, alternar uma conta local para uma conta Microsoft ou conectar uma conta de domínio a uma conta microsoft. Essa é a opção preferida se você precisar limitar o uso de contas da Microsoft em sua empresa. Se você selecionar a opção "Usuários não podem adicionar ou fazer logon com contas da Microsoft", os usuários da conta Microsoft existentes não poderão fazer logon no Windows. Selecionar essa opção pode tornar impossível que um administrador existente neste computador faça logon e gerencie o sistema. Se você desabilitar ou não configurar essa política (recomendado), os usuários poderão usar contas da Microsoft com o Windows.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 (Padrão) | Desabilitado (os usuários poderão usar contas da Microsoft com o Windows). |
| 1 | Habilitado (os usuários não podem adicionar contas da Microsoft). |
| 3 | Os usuários não podem adicionar ou fazer logon com contas da Microsoft. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Contas: Bloquear contas da Microsoft |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
Accounts_EnableAdministratorAccountStatus
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_EnableAdministratorAccountStatus
Essa configuração de segurança determina se a conta de administrador local está habilitada ou desabilitada.
Observação
Se você tentar reenutilizá-la depois que ela tiver sido desabilitada e se a senha atual do Administrador não atender aos requisitos de senha, não poderá reenable a conta. Nesse caso, um membro alternativo do grupo Administradores deve redefinir a senha na conta administrador. Para obter informações sobre como redefinir uma senha, consulte Para redefinir uma senha. Desabilitar a conta administrador pode se tornar um problema de manutenção em determinadas circunstâncias. Em Inicialização do Modo Seguro, a conta administrador desabilitada só será habilitada se o computador não for ingressado no domínio e não houver outras contas de administrador ativo local. Se o computador for ingressado no domínio, o administrador desabilitado não estará habilitado. Padrão: desabilitado.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 1 | Habilitar. |
| 0 (Padrão) | Desabilitar. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Contas: Status da conta de administrador |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
Accounts_EnableGuestAccountStatus
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_EnableGuestAccountStatus
Essa configuração de segurança determina se a conta Convidado está habilitada ou desabilitada. Padrão: desabilitado.
Observação
Se a conta Convidado estiver desabilitada e a opção de segurança Acesso à Rede: Compartilhamento e Modelo de Segurança para contas locais for definido como Somente convidado, logons de rede, como os executados pelo Serviço SMB (Microsoft Network Server), falharão.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 1 | Habilitar. |
| 0 (Padrão) | Desabilitar. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Contas: Status da conta de convidado |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
Contas: limitar o uso da conta local de senhas em branco para o logon do console somente Essa configuração de segurança determina se contas locais que não são protegidas por senha podem ser usadas para fazer logon em locais diferentes do console de computador físico. Se habilitadas, as contas locais que não são protegidas por senha só poderão fazer logon no teclado do computador. Padrão: habilitado.
Aviso
Computadores que não estão em locais fisicamente seguros devem sempre impor políticas de senha fortes para todas as contas de usuário locais. Caso contrário, qualquer pessoa com acesso físico ao computador pode fazer logon usando uma conta de usuário que não tem uma senha. Isso é especialmente importante para computadores portáteis. Se você aplicar essa política de segurança ao grupo Todos, ninguém poderá fazer logon por meio dos Serviços de Área de Trabalho Remota.
Observação
Essa configuração não afeta logons que usam contas de domínio. É possível que aplicativos que usam logons interativos remotos ignorem essa configuração.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 | Disabled. |
| 1 (Padrão) | Enabled. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Contas: Limitar o uso em contas locais de senhas em branco somente para logon no console |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
Accounts_RenameAdministratorAccount
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_RenameAdministratorAccount
Contas: renomear conta de administrador Essa configuração de segurança determina se um nome de conta diferente está associado ao SID (identificador de segurança) para o Administrador da conta. Renomear a conhecida conta administrador torna um pouco mais difícil para pessoas não autorizadas adivinharem essa combinação de nome de usuário e senha privilegiada. Padrão: Administrador.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | Administrador |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Contas: Renomear conta de administrador |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
Accounts_RenameGuestAccount
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_RenameGuestAccount
Contas: renomeie a conta de convidado Esta configuração de segurança determina se um nome de conta diferente está associado ao SID (identificador de segurança) para a conta "Convidado". Renomear a conhecida conta convidado torna um pouco mais difícil para pessoas não autorizadas adivinharem essa combinação de nome de usuário e senha. Padrão: Convidado.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | Convidado |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Contas: Renomear conta de convidado |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
Audit_AuditTheUseOfBackupAndRestoreprivilege
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_AuditTheUseOfBackupAndRestoreprivilege
Auditoria: audite o uso do privilégio backup e restauração Essa configuração de segurança determina se deve auditar o uso de todos os privilégios de usuário, incluindo Backup e Restauração, quando a política de uso de privilégios de auditoria está em vigor. Habilitar essa opção quando a política de uso de privilégios de auditoria também está habilitada gera um evento de auditoria para cada arquivo com backup ou restauração. Se você desabilitar essa política, o uso do privilégio Backup ou Restauração não será auditado mesmo quando o uso de privilégio de auditoria estiver habilitado.
Observação
Em versões do Windows antes do Windows Vista configurar essa configuração de segurança, as alterações não entrarão em vigor até reiniciar o Windows. Habilitar essa configuração pode causar muitos eventos, às vezes centenas por segundo, durante uma operação de backup. Padrão: desabilitado.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | b64 |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: '') |
| Valor Padrão | 00 |
Audit_ForceAuditPolicySubcategorySettingsToOverrideAuditPolicyCategorySettings
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_ForceAuditPolicySubcategorySettingsToOverrideAuditPolicyCategorySettings
Auditoria: Forçar configurações de subcategoria de política de auditoria (Windows Vista ou posterior) para substituir as configurações de categoria de política de auditoria Windows Vista e versões posteriores do Windows permitem que a política de auditoria seja gerenciada de forma mais precisa usando subcategorias de política de auditoria. Definir a política de auditoria no nível da categoria substituirá o novo recurso de política de auditoria de subcategoria. Política de Grupo só permite que a política de auditoria seja definida no nível da categoria e a política de grupo existente pode substituir as configurações de subcategoria de novos computadores à medida que eles são unidos ao domínio ou atualizados para o Windows Vista ou versões posteriores. Para permitir que a política de auditoria seja gerenciada usando subcategorias sem exigir uma alteração para Política de Grupo, há um novo valor de registro no Windows Vista e versões posteriores, SCENoApplyLegacyAuditPolicy, o que impede a aplicação da política de auditoria no nível da categoria de Política de Grupo e da ferramenta administrativa política de segurança local. Se a política de auditoria de nível de categoria definida aqui não for consistente com os eventos que estão sendo gerados no momento, a causa poderá ser que essa chave do registro seja definida. Padrão: habilitado.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Gama: [0-1] |
| Valor Padrão | 1 |
Audit_ShutdownSystemImmediatelyIfUnableToLogSecurityAudits
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_ShutdownSystemImmediatelyIfUnableToLogSecurityAudits
Auditoria: desligue o sistema imediatamente se não for possível registrar auditorias de segurança Essa configuração de segurança determinará se o sistema será desligado se não conseguir registrar eventos de segurança. Se essa configuração de segurança estiver habilitada, ela fará com que o sistema pare se uma auditoria de segurança não puder ser registrada por qualquer motivo. Normalmente, um evento não é registrado quando o log de auditoria de segurança está cheio e o método de retenção especificado para o log de segurança é Não Substituir Eventos ou Substituir Eventos por Dias. Se o log de segurança estiver cheio e uma entrada existente não puder ser substituída e essa opção de segurança estiver habilitada, o seguinte erro de parada será exibido: STOP: C0000244 {Audit Failed} Uma tentativa de gerar uma auditoria de segurança falhou. Para recuperar, um administrador deve fazer logon, arquivar o log (opcional), limpar o log e redefinir essa opção conforme desejado. Até que essa configuração de segurança seja redefinida, nenhum usuário, além de um membro do grupo Administradores, poderá fazer logon no sistema, mesmo que o log de segurança não esteja cheio.
Observação
Em versões do Windows antes do Windows Vista configurar essa configuração de segurança, as alterações não entrarão em vigor até reiniciar o Windows. Padrão: desabilitado.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Gama: [0-1] |
| Valor Padrão | 0 |
Devices_AllowedToFormatAndEjectRemovableMedia
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_AllowedToFormatAndEjectRemovableMedia
Dispositivos: permissão para formatar e ejetar mídia removível Essa configuração de segurança determina quem tem permissão para formatar e ejetar mídia NTFS removível. Essa funcionalidade pode ser dada a: Administradores administradores e usuários interativos Padrão: essa política não está definida e apenas os administradores têm essa capacidade.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Dispositivos: Permissão para formatar e ejetar a mídia removível |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
Devices_AllowUndockWithoutHavingToLogon
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_AllowUndockWithoutHavingToLogon
Dispositivos: permitir desencaixar sem precisar fazer logon Essa configuração de segurança determina se um computador portátil pode ser desencaixado sem precisar fazer logon. Se essa política estiver habilitada, o logon não será necessário e um botão de ejeção de hardware externo poderá ser usado para desencaixar o computador. Se estiver desabilitado, um usuário deverá fazer logon e ter o privilégio Remover computador da estação de encaixe para desencaixar o computador. Padrão: habilitado.
Cuidado
Desabilitar essa política pode tentar que os usuários tentem remover fisicamente o laptop de sua estação de encaixe usando métodos diferentes do botão de ejeto de hardware externo. Como isso pode causar danos ao hardware, essa configuração, em geral, só deve ser desabilitada em configurações de laptop que são fisicamente protegíveis.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 1 (Padrão) | Permitir. |
| 0 | Bloqueio. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Dispositivos: Permitir desencaixe sem fazer logon |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters
Dispositivos: impedir que os usuários instalem drivers de impressora ao se conectar a impressoras compartilhadas Para um computador imprimir em uma impressora compartilhada, o driver dessa impressora compartilhada deve ser instalado no computador local. Essa configuração de segurança determina quem tem permissão para instalar um driver de impressora como parte da conexão com uma impressora compartilhada.
Se essa configuração estiver habilitada, somente os administradores poderão instalar um driver de impressora como parte da conexão com uma impressora compartilhada.
Se essa configuração estiver desabilitada, qualquer usuário poderá instalar um driver de impressora como parte da conexão com uma impressora compartilhada. Padrão em servidores: habilitados. Padrão em estações de trabalho: Notas desabilitadas Essa configuração não afeta a capacidade de adicionar uma impressora local. Essa configuração não afeta os administradores.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 1 | Habilitar. |
| 0 (Padrão) | Desabilitar. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Dispositivos: Evitar que usuários instalem drivers de impressora |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly
Dispositivos: restrinja o acesso de CD-ROM ao usuário conectado localmente somente Essa configuração de segurança determina se uma CD-ROM está acessível para usuários locais e remotos simultaneamente. Se essa política estiver habilitada, ela permitirá que apenas o usuário conectado interativamente acesse a mídia CD-ROM removível. Se essa política estiver habilitada e ninguém estiver conectado interativamente, a CD-ROM poderá ser acessada pela rede. Padrão: essa política não está definida e o acesso cd-ROM não está restrito ao usuário conectado localmente.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Dispositivos: Restringir o acesso ao CD-ROM somente para usuário conectado localmente |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
Devices_RestrictFloppyAccessToLocallyLoggedOnUserOnly
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_RestrictFloppyAccessToLocallyLoggedOnUserOnly
Dispositivos: restrinja o acesso de disquete ao usuário conectado localmente somente Essa configuração de segurança determina se as mídias disquetes removíveis estão acessíveis a usuários locais e remotos simultaneamente. Se essa política estiver habilitada, ela permitirá que apenas o usuário conectado interativamente acesse a mídia de disquete removível. Se essa política estiver habilitada e ninguém estiver conectado interativamente, o disquete poderá ser acessado pela rede. Padrão: essa política não está definida e o acesso à unidade de disco disquete não está restrito ao usuário localmente conectado.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Dispositivos: Restringir o acesso ao disquete somente para usuário conectado localmente |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
DomainMember_DigitallyEncryptOrSignSecureChannelDataAlways
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallyEncryptOrSignSecureChannelDataAlways
Membro do domínio: criptografar ou assinar digitalmente dados de canal seguro (sempre) Essa configuração de segurança determina se todo o tráfego de canal seguro iniciado pelo membro do domínio deve ser assinado ou criptografado. Quando um computador ingressa em um domínio, uma conta de computador é criada. Depois disso, quando o sistema é iniciado, ele usa a senha da conta de computador para criar um canal seguro com um controlador de domínio para seu domínio. Esse canal seguro é usado para executar operações como a passagem de NTLM pela autenticação, PESQUISA DE SID/nome LSA etc. Essa configuração determina se todo o tráfego de canal seguro iniciado ou não pelo membro do domínio atende aos requisitos mínimos de segurança. Especificamente, ele determina se todo o tráfego de canal seguro iniciado pelo membro do domínio deve ser assinado ou criptografado. Se essa política estiver habilitada, o canal seguro não será estabelecido a menos que a assinatura ou a criptografia de todo o tráfego de canal seguro seja negociada. Se essa política estiver desabilitada, a criptografia e a assinatura de todo o tráfego de canal seguro serão negociadas com o Controlador de Domínio, nesse caso, o nível de assinatura e criptografia depende da versão do Controlador de Domínio e das configurações das duas seguintes políticas: Membro do domínio: Criptografar digitalmente dados de canal seguro (quando possível) Membro do domínio: Assinar digitalmente dados de canal seguro (quando possível) Padrão: Habilitado.
Observação
Se essa política estiver habilitada, presume-se que o membro de domínio da política: assinar digitalmente dados de canal seguro (quando possível) será habilitado independentemente de sua configuração atual. Isso garante que o membro do domínio tente negociar pelo menos a assinatura do tráfego de canal seguro. As informações de logon transmitidas pelo canal seguro são sempre criptografadas independentemente de a criptografia de TODO o tráfego de canal seguro ser negociada ou não.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Gama: [0-1] |
| Valor Padrão | 1 |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Membro do domínio: Criptografar ou assinar digitalmente os dados de canal seguro (sempre) |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
DomainMember_DigitallyEncryptSecureChannelDataWhenPossible
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallyEncryptSecureChannelDataWhenPossible
Membro do domínio: criptografar digitalmente dados de canal seguro (quando possível) Essa configuração de segurança determina se um membro do domínio tenta negociar a criptografia para todo o tráfego de canal seguro iniciado. Quando um computador ingressa em um domínio, uma conta de computador é criada. Depois disso, quando o sistema é iniciado, ele usa a senha da conta de computador para criar um canal seguro com um controlador de domínio para seu domínio. Esse canal seguro é usado para executar operações como autenticação de passagem do NTLM, PESQUISA DE SID/nome LSA etc. Essa configuração determina se o membro do domínio tenta ou não negociar a criptografia para todo o tráfego de canal seguro iniciado. Se habilitado, o membro do domínio solicitará criptografia de todo o tráfego de canal seguro. Se o controlador de domínio dá suporte à criptografia de todo o tráfego de canal seguro, todo o tráfego de canal seguro será criptografado. Caso contrário, somente as informações de logon transmitidas pelo canal seguro serão criptografadas. Se essa configuração estiver desabilitada, o membro do domínio não tentará negociar a criptografia de canal seguro. Padrão: habilitado.
Importante
Não há nenhum motivo conhecido para desabilitar essa configuração. Além de reduzir desnecessariamente o nível de confidencialidade potencial do canal seguro, desabilitar essa configuração pode reduzir desnecessariamente a taxa de transferência de canal seguro, pois chamadas simultâneas de API que usam o canal seguro só são possíveis quando o canal seguro é assinado ou criptografado.
Observação
Os controladores de domínio também são membros de domínio e estabelecem canais seguros com outros controladores de domínio no mesmo domínio, bem como controladores de domínio em domínios confiáveis.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Gama: [0-1] |
| Valor Padrão | 1 |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Membro do domínio: Criptografar digitalmente os dados de canal seguro (quando possível) |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
DomainMember_DigitallySignSecureChannelDataWhenPossible
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallySignSecureChannelDataWhenPossible
Membro do domínio: assinar digitalmente dados de canal seguro (quando possível) Essa configuração de segurança determina se um membro do domínio tenta negociar a assinatura para todo o tráfego de canal seguro iniciado. Quando um computador ingressa em um domínio, uma conta de computador é criada. Depois disso, quando o sistema é iniciado, ele usa a senha da conta de computador para criar um canal seguro com um controlador de domínio para seu domínio. Esse canal seguro é usado para executar operações como a passagem de NTLM pela autenticação, PESQUISA DE SID/nome LSA etc. Essa configuração determina se o membro do domínio tenta ou não negociar a assinatura de todo o tráfego de canal seguro iniciado. Se habilitado, o membro do domínio solicitará a assinatura de todo o tráfego de canal seguro. Se o Controlador de Domínio dá suporte à assinatura de todo o tráfego de canal seguro, todo o tráfego de canal seguro será assinado, o que garante que ele não possa ser adulterado em trânsito. Padrão: habilitado.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Gama: [0-1] |
| Valor Padrão | 1 |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Membro do domínio: Assinar digitalmente os dados de canal seguro (quando possível) |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
DomainMember_DisableMachineAccountPasswordChanges
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DisableMachineAccountPasswordChanges
Membro do domínio: Desabilitar alterações de senha da conta de computador Determina se um membro de domínio altera periodicamente a senha da conta de computador.
Se essa configuração estiver habilitada, o membro do domínio não tentará alterar a senha da conta de computador.
Se essa configuração estiver desabilitada, o membro do domínio tentará alterar a senha da conta de computador conforme especificado pela configuração de Membro do Domínio: idade máxima para senha da conta do computador, que por padrão é a cada 30 dias. Padrão: desabilitado.
Observação
Essa configuração de segurança não deve ser habilitada. As senhas da conta de computador são usadas para estabelecer comunicações de canal seguro entre membros e controladores de domínio e, dentro do domínio, entre os próprios controladores de domínio. Depois de estabelecido, o canal seguro é usado para transmitir informações confidenciais necessárias para tomar decisões de autenticação e autorização. Essa configuração não deve ser usada na tentativa de dar suporte a cenários de inicialização dupla que usam a mesma conta de computador. Se você quiser inicializar duas instalações ingressadas no mesmo domínio, forneça às duas instalações nomes de computador diferentes.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Gama: [0-1] |
| Valor Padrão | 0 |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Membro do domínio: Desativar alterações de senha de conta do computador |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
DomainMember_MaximumMachineAccountPasswordAge
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_MaximumMachineAccountPasswordAge
Membro do domínio: idade máxima da senha da conta do computador Essa configuração de segurança determina com que frequência um membro de domínio tentará alterar a senha da conta de computador. Padrão: 30 dias.
Importante
Essa configuração se aplica aos computadores Windows 2000, mas não está disponível por meio das ferramentas de segurança Configuration Manager nesses computadores.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Gama: [0-999] |
| Valor Padrão | 30 |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Membro do domínio: Idade máxima da senha de conta do computador |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
DomainMember_RequireStrongSessionKey
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_RequireStrongSessionKey
Membro do domínio: exigir uma chave de sessão forte (Windows 2000 ou posterior) Essa configuração de segurança determina se a força da chave de 128 bits é necessária para dados de canal seguro criptografados. Quando um computador ingressa em um domínio, uma conta de computador é criada. Depois disso, quando o sistema é iniciado, ele usa a senha da conta de computador para criar um canal seguro com um controlador de domínio dentro do domínio. Esse canal seguro é usado para executar operações como autenticação de passagem do NTLM, PESQUISA SID/nome LSA e assim por diante. Dependendo de qual versão do Windows está sendo executada no controlador de domínio com o qual o membro do domínio está se comunicando e as configurações dos parâmetros: membro do domínio: criptografar ou assinar digitalmente dados de canal seguro (sempre) Membro do domínio: criptografar digitalmente dados de canal seguro (quando possível) Algumas ou todas as informações transmitidas pelo canal seguro serão criptografadas. Essa configuração de política determina se a força da chave de 128 bits é necessária ou não para as informações de canal seguro criptografadas.
Se essa configuração estiver habilitada, o canal seguro não será estabelecido a menos que a criptografia de 128 bits possa ser executada.
Se essa configuração estiver desabilitada, a força da chave será negociada com o controlador de domínio. Padrão: habilitado.
Importante
Para aproveitar essa política em estações de trabalho e servidores membros, todos os controladores de domínio que constituem o domínio do membro devem estar executando o Windows 2000 ou posterior. Para aproveitar essa política em controladores de domínio, todos os controladores de domínio no mesmo domínio, bem como todos os domínios confiáveis, devem executar o Windows 2000 ou posterior.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Gama: [0-1] |
| Valor Padrão | 1 |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Membro do domínio: Requer uma chave de sessão forte (Windows 2000 ou posterior) |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked
Logon interativo:Exibir informações do usuário quando a sessão estiver bloqueada Nome de exibição do usuário, domínio e nomes de usuário (1) Nome de exibição do usuário somente (2) Não exibir informações do usuário (3) Somente nomes de domínio e de usuário (4)
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 1 (Padrão) | Nome de exibição do usuário, domínio e nomes de usuário. |
| 2 | Somente nome de exibição do usuário. |
| 3 | Não exiba informações do usuário. |
| 4 | Somente nomes de domínio e usuário. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Logon interativo: exibir informações do usuário quando a sessão estiver bloqueada |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
InteractiveLogon_DoNotDisplayLastSignedIn
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayLastSignedIn
Logon interativo: não exiba o último logon Essa configuração de segurança determina se a tela de entrada do Windows mostrará o nome de usuário da última pessoa que entrou neste computador. Se essa política estiver habilitada, o nome de usuário não será mostrado. Se essa política estiver desabilitada, o nome de usuário será mostrado. Padrão: desabilitado.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 (Padrão) | Desabilitado (nome de usuário será mostrado). |
| 1 | Habilitado (nome de usuário não será mostrado). |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Logon interativo: não exibir último conectado |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
InteractiveLogon_DoNotDisplayUsernameAtSignIn
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayUsernameAtSignIn
Logon interativo: não exiba nome de usuário na entrada Essa configuração de segurança determina se o nome de usuário da pessoa que entra neste computador aparece na entrada do Windows, depois que as credenciais são inseridas e antes que a área de trabalho do computador seja mostrada. Se essa política estiver habilitada, o nome de usuário não será mostrado. Se essa política estiver desabilitada, o nome de usuário será mostrado. Padrão: desabilitado.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 | Desabilitado (nome de usuário será mostrado). |
| 1 (Padrão) | Habilitado (nome de usuário não será mostrado). |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Logon interativo: não exibir o nome de usuário ao conectar |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
InteractiveLogon_DoNotRequireCTRLALTDEL
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotRequireCTRLALTDEL
Logon interativo: não exija CTRL+ALT+DEL Essa configuração de segurança determina se é necessário pressionar CTRL+ALT+DEL antes que um usuário possa fazer logon. Se essa política estiver habilitada em um computador, um usuário não será necessário pressionar CTRL+ALT+DEL para fazer logon. Não precisar pressionar CTRL+ALT+DEL deixa os usuários suscetíveis a ataques que tentam interceptar as senhas dos usuários. Exigir CTRL+ALT+DEL antes que os usuários façam logon garante que os usuários estejam se comunicando por meio de um caminho confiável ao inserir suas senhas. Se essa política estiver desabilitada, qualquer usuário será obrigado a pressionar CTRL+ALT+DEL antes de fazer logon no Windows. Padrão em computadores de domínio: habilitados: pelo menos Windows 8/Desabilitados: Windows 7 ou anterior. Padrão em computadores autônomos: habilitados.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 | Disabled. |
| 1 (Padrão) | Habilitado (um usuário não é necessário para pressionar CTRL+ALT+DEL para fazer logon). |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Logon interativo: não requer CTRL+ALT+DEL |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
InteractiveLogon_MachineAccountLockoutThreshold
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MachineAccountLockoutThreshold
Logon interativo: limite da conta do computador. A política de bloqueio do computador é imposta somente nesses computadores que têm o BitLocker habilitado para proteger volumes do sistema operacional. Verifique se as políticas de backup de senha de recuperação apropriadas estão habilitadas. Essa configuração de segurança determina o número de tentativas de logon com falha que fazem com que o computador seja bloqueado. Um computador bloqueado só pode ser recuperado fornecendo a chave de recuperação no console. Você pode definir o valor entre 1 e 999 tentativas de logon com falha. Se você definir o valor como 0, o computador nunca será bloqueado. Os valores de 1 a 3 serão interpretados como 4. Tentativas de senha com falha em estações de trabalho ou servidores membros que foram bloqueados usando CTRL+ALT+DELETE ou contagens de poupadores de tela protegidos por senha como tentativas de logon com falha. A política de bloqueio do computador é imposta somente nesses computadores que têm o BitLocker habilitado para proteger volumes do sistema operacional. Verifique se as políticas de backup de senha de recuperação apropriadas estão habilitadas. Padrão: 0.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Gama: [0-999] |
| Valor Padrão | 0 |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Logon interativo: limite de bloqueio de conta de computador |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
InteractiveLogon_MachineInactivityLimit
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MachineInactivityLimit
Logon interativo: limite de inatividade do computador. O Windows observa a inatividade de uma sessão de logon e, se a quantidade de tempo inativo exceder o limite de inatividade, o salvador de tela será executado, bloqueando a sessão. Padrão: não imposto.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Gama: [0-599940] |
| Valor Padrão | 0 |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Logon interativo: limite de inatividade de computador |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
Validar:
Valores válidos: de 0 a 599940, em que o valor é a quantidade de tempo de inatividade (em segundos) após o qual a sessão será bloqueada. Se estiver definido como zero (0), a configuração será desabilitada.
InteractiveLogon_MessageTextForUsersAttemptingToLogOn
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MessageTextForUsersAttemptingToLogOn
Logon interativo: o texto da mensagem para usuários que tentam fazer logon nesta configuração de segurança especifica uma mensagem de texto exibida aos usuários quando eles fazem logon. Esse texto geralmente é usado por razões legais, por exemplo, para alertar os usuários sobre as ramificações do uso incorreto de informações da empresa ou para alertá-los de que suas ações podem ser auditadas. Padrão: nenhuma mensagem.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Logon interativo: texto de mensagem para usuários tentando fazer logon |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
InteractiveLogon_MessageTitleForUsersAttemptingToLogOn
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MessageTitleForUsersAttemptingToLogOn
Logon interativo: o título da mensagem para usuários que tentam fazer logon nessa configuração de segurança permite que a especificação de um título apareça na barra de título da janela que contém o logon Interativo: Texto da mensagem para usuários que tentam fazer logon. Padrão: nenhuma mensagem.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Logon interativo: Título da mensagem para usuários tentando fazer logon |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
InteractiveLogon_NumberOfPreviousLogonsToCache
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_NumberOfPreviousLogonsToCache
Logon interativo: número de logons anteriores para cache (caso o controlador de domínio não esteja disponível) Cada informação de logon de usuário exclusivo é armazenada em cache localmente para que, no caso de um controlador de domínio não estar disponível durante as tentativas de logon subsequentes, eles possam fazer logon. As informações de logon armazenado em cache são armazenadas da sessão de logon anterior. Se um controlador de domínio não estiver disponível e as informações de logon de um usuário não estiverem armazenadas em cache, o usuário será solicitado com esta mensagem: no momento, não há servidores de logon disponíveis para atender à solicitação de logon. Nesta configuração de política, um valor de 0 desabilita o cache de logon. Qualquer valor acima de 50 armazena em cache apenas 50 tentativas de logon. O Windows dá suporte a um máximo de 50 entradas de cache e o número de entradas consumidas por usuário depende da credencial. Por exemplo, um máximo de 50 contas de usuário de senha exclusivas podem ser armazenadas em cache em um sistema Windows, mas apenas 25 contas de usuário cartão inteligentes podem ser armazenadas em cache porque as informações de senha e as informações de cartão inteligentes são armazenadas. Quando um usuário com informações de logon armazenado em cache faz logon novamente, as informações individuais armazenadas em cache do usuário são substituídas. Padrão: Windows Server 2008: 25 Todas as outras versões: 10.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 10 |
InteractiveLogon_PromptUserToChangePasswordBeforeExpiration
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_PromptUserToChangePasswordBeforeExpiration
Logon interativo: solicitar que o usuário altere a senha antes da expiração Determina o quão adiantados (em dias) os usuários são avisados de que sua senha está prestes a expirar. Com esse aviso prévio, o usuário tem tempo para construir uma senha suficientemente forte. Padrão: 5 dias.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Gama: [0-999] |
| Valor Padrão | 5 |
InteractiveLogon_SmartCardRemovalBehavior
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_SmartCardRemovalBehavior
Logon interativo: comportamento de remoção de cartão inteligente Essa configuração de segurança determina o que acontece quando o cartão inteligente para um usuário conectado é removido do leitor de cartão inteligente. As opções são: Sem Ação Bloquear Logoff do Workstation Force Desconectar se uma sessão dos Serviços de Área de Trabalho Remota Se você clicar em Bloquear Estação de Trabalho na caixa de diálogo Propriedades dessa política, a estação de trabalho será bloqueada quando o cartão inteligente for removido, permitindo que os usuários saiam da área, levem suas cartão inteligentes com elas e ainda mantenham uma sessão protegida. Se você clicar em Forçar Logoff na caixa de diálogo Propriedades dessa política, o usuário será automaticamente registrado quando o cartão inteligente for removido. Se você clicar em Desconectar se uma sessão dos Serviços de Área de Trabalho Remota, a remoção do cartão inteligente desconectará a sessão sem registrar o usuário desativada. Isso permite que o usuário insira o cartão inteligente e retome a sessão mais tarde ou em outro computador inteligente cartão equipado com leitor, sem precisar fazer logon novamente. Se a sessão for local, essa política funcionará de forma idêntica à Estação de Trabalho de Bloqueio.
Observação
Os Serviços de Área de Trabalho Remota eram chamados de Serviços de Terminal em versões anteriores do Windows Server. Padrão: essa política não está definida, o que significa que o sistema a trata como Nenhuma ação. No Windows Vista e acima: para que essa configuração funcione, o serviço de Política de Remoção de Cartão Inteligente deve ser iniciado.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 (Padrão) | Nenhuma ação. |
| 1 | Bloquear Estação de Trabalho. |
| 2 | Forçar Logoff. |
| 3 | Desconecte-se se uma sessão dos Serviços de Área de Trabalho Remota. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Logon interativo: Comportamento de remoção de cartão inteligente |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
MicrosoftNetworkClient_DigitallySignCommunicationsAlways
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1809 [10.0.17763] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsAlways
Cliente de rede da Microsoft: assinar digitalmente comunicações (sempre) Essa configuração de segurança determina se a assinatura de pacotes é necessária pelo componente cliente SMB. O protocolo SMB (bloco de mensagens do servidor) fornece a base para o compartilhamento de arquivos e impressões da Microsoft e muitas outras operações de rede, como administração remota do Windows. Para evitar ataques man-in-the-middle que modificam pacotes SMB em trânsito, o protocolo SMB dá suporte à assinatura digital de pacotes SMB. Essa configuração de política determina se a assinatura de pacote SMB deve ser negociada antes que uma comunicação adicional com um servidor SMB seja permitida.
Se essa configuração estiver habilitada, o cliente de rede da Microsoft não se comunicará com um servidor de rede da Microsoft, a menos que esse servidor concorde em executar a assinatura do pacote SMB.
Se essa política estiver desabilitada, a assinatura do pacote SMB será negociada entre o cliente e o servidor. Padrão: desabilitado.
Importante
Para que essa política entre em vigor em computadores que executam o Windows 2000, a assinatura de pacotes do lado do cliente também deve ser habilitada. Para habilitar a assinatura de pacoteS SMB do lado do cliente, defina o cliente de rede da Microsoft: assinar digitalmente comunicações (se o servidor concordar).
Observação
Todos os sistemas operacionais Windows dão suporte a um componente SMB do lado do cliente e a um componente SMB do lado do servidor. Nos sistemas operacionais Windows 2000 e posteriores, habilitar ou exigir a assinatura de pacotes para componentes SMB do lado do cliente e do servidor é controlado pelas quatro seguintes configurações de política: cliente de rede da Microsoft: Comunicações de sinal digital (sempre) – controla se o componente SMB do lado do cliente requer ou não assinatura de pacote. Cliente de rede da Microsoft: assinar digitalmente comunicações (se o servidor concordar) – controla se o componente SMB do lado do cliente tem ou não a assinatura de pacote habilitada. Servidor de rede da Microsoft: comunicações de sinal digital (sempre) – controla se o componente SMB do lado do servidor requer ou não assinatura de pacote. Servidor de rede da Microsoft: assinar digitalmente comunicações (se o cliente concordar) – controla se o componente SMB do lado do servidor tem ou não a assinatura de pacote habilitada. A assinatura de pacotes SMB pode degradar significativamente o desempenho do SMB, dependendo da versão do dialeto, versão do sistema operacional, tamanhos de arquivo, recursos de descarregamento do processador e comportamentos de E/S do aplicativo. Para obter mais informações, referencie:<https://go.microsoft.com/fwlink/?LinkID=787136>.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 1 | Habilitar. |
| 0 (Padrão) | Desabilitar. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Cliente de rede Microsoft: Assinar comunicações digitalmente (sempre) |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees
Cliente de rede da Microsoft: assinar digitalmente comunicações (se o servidor concordar) Essa configuração de segurança determina se o cliente SMB tenta negociar a assinatura do pacote SMB. O protocolo SMB (bloco de mensagens do servidor) fornece a base para o compartilhamento de arquivos e impressões da Microsoft e muitas outras operações de rede, como administração remota do Windows. Para evitar ataques man-in-the-middle que modificam pacotes SMB em trânsito, o protocolo SMB dá suporte à assinatura digital de pacotes SMB. Essa configuração de política determina se o componente cliente SMB tenta negociar a assinatura do pacote SMB quando ele se conecta a um servidor SMB.
Se essa configuração estiver habilitada, o cliente de rede da Microsoft pedirá ao servidor que execute a assinatura do pacote SMB após a instalação da sessão. Se a assinatura de pacote tiver sido habilitada no servidor, a assinatura do pacote será negociada.
Se essa política estiver desabilitada, o cliente SMB nunca negociará a assinatura do pacote SMB. Padrão: habilitado.
Observação
Todos os sistemas operacionais Windows dão suporte a um componente SMB do lado do cliente e a um componente SMB do lado do servidor. No Windows 2000 e posterior, habilitar ou exigir a assinatura de pacotes para componentes SMB do lado do cliente e do servidor é controlado pelas quatro seguintes configurações de política: cliente de rede da Microsoft: comunicações de sinal digital (sempre) – controla se o componente SMB do lado do cliente requer ou não assinatura de pacote. Cliente de rede da Microsoft: assinar digitalmente comunicações (se o servidor concordar) – controla se o componente SMB do lado do cliente tem ou não a assinatura de pacote habilitada. Servidor de rede da Microsoft: comunicações de sinal digital (sempre) – controla se o componente SMB do lado do servidor requer ou não assinatura de pacote. Servidor de rede da Microsoft: assinar digitalmente comunicações (se o cliente concordar) – controla se o componente SMB do lado do servidor tem ou não a assinatura de pacote habilitada. Se a assinatura do SMB do lado do cliente e do servidor estiver habilitada e o cliente estabelecer uma conexão SMB 1.0 com o servidor, a assinatura do SMB será tentada. A assinatura de pacotes SMB pode degradar significativamente o desempenho do SMB, dependendo da versão do dialeto, versão do sistema operacional, tamanhos de arquivo, recursos de descarregamento do processador e comportamentos de E/S do aplicativo. Essa configuração só se aplica às conexões SMB 1.0. Para obter mais informações, referencie:<https://go.microsoft.com/fwlink/?LinkID=787136>.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 1 (Padrão) | Habilitar. |
| 0 | Desabilitar. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Cliente de rede Microsoft: Assinar comunicações digitalmente (se o servidor concordar) |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers
Cliente de rede da Microsoft: envie senha não criptografada para se conectar a servidores SMB de terceiros Se essa configuração de segurança estiver habilitada, o redirecionador SMB (Bloco de Mensagens do Servidor) poderá enviar senhas de texto sem texto para servidores SMB que não são da Microsoft que não dão suporte à criptografia de senha durante a autenticação. O envio de senhas não criptografadas é um risco de segurança. Padrão: desabilitado.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 1 | Habilitar. |
| 0 (Padrão) | Desabilitar. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Cliente de rede Microsoft: Enviar senha não criptografada para servidores SMB de terceiros |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
MicrosoftNetworkServer_AmountOfIdleTimeRequiredBeforeSuspendingSession
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_AmountOfIdleTimeRequiredBeforeSuspendingSession
Servidor de rede da Microsoft: quantidade de tempo ocioso necessário antes de suspender uma sessão Essa configuração de segurança determina a quantidade de tempo ocioso contínuo que deve passar em uma sessão SMB (Server Message Block) antes que a sessão seja suspensa devido à inatividade. Os administradores podem usar essa política para controlar quando um computador suspende uma sessão SMB inativa. Se a atividade do cliente for retomada, a sessão será restabelecida automaticamente. Para essa configuração de política, um valor de 0 significa desconectar uma sessão ociosa o mais rápido possível. O valor máximo é 99999, que é de 208 dias; na verdade, esse valor desabilita a política. Padrão: essa política não está definida, o que significa que o sistema a trata como 15 minutos para servidores e indefinida para estações de trabalho.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Gama: [0-99999] |
| Valor Padrão | 99999 |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Servidor de rede Microsoft: quantidade de tempo ocioso necessário antes de suspender a sessão |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
MicrosoftNetworkServer_DigitallySignCommunicationsAlways
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsAlways
Servidor de rede da Microsoft: assinar digitalmente comunicações (sempre) Essa configuração de segurança determina se a assinatura de pacotes é necessária pelo componente do servidor SMB. O protocolo SMB (bloco de mensagens do servidor) fornece a base para o compartilhamento de arquivos e impressões da Microsoft e muitas outras operações de rede, como administração remota do Windows. Para evitar ataques man-in-the-middle que modificam pacotes SMB em trânsito, o protocolo SMB dá suporte à assinatura digital de pacotes SMB. Essa configuração de política determina se a assinatura de pacote SMB deve ser negociada antes que uma comunicação adicional com um cliente SMB seja permitida.
Se essa configuração estiver habilitada, o servidor de rede da Microsoft não se comunicará com um cliente de rede da Microsoft, a menos que o cliente concorde em executar a assinatura do pacote SMB.
Se essa configuração estiver desabilitada, a assinatura do pacote SMB será negociada entre o cliente e o servidor. Padrão: desabilitado para servidores membros. Habilitado para controladores de domínio.
Observação
Todos os sistemas operacionais Windows dão suporte a um componente SMB do lado do cliente e a um componente SMB do lado do servidor. No Windows 2000 e posterior, habilitar ou exigir a assinatura de pacotes para componentes SMB do lado do cliente e do servidor é controlado pelas quatro seguintes configurações de política: cliente de rede da Microsoft: comunicações de sinal digital (sempre) – controla se o componente SMB do lado do cliente requer ou não assinatura de pacote. Cliente de rede da Microsoft: assinar digitalmente comunicações (se o servidor concordar) – controla se o componente SMB do lado do cliente tem ou não a assinatura de pacote habilitada. Servidor de rede da Microsoft: comunicações de sinal digital (sempre) – controla se o componente SMB do lado do servidor requer ou não assinatura de pacote. Servidor de rede da Microsoft: assinar digitalmente comunicações (se o cliente concordar) – controla se o componente SMB do lado do servidor tem ou não a assinatura de pacote habilitada. Da mesma forma, se a assinatura de SMB do lado do cliente for necessária, esse cliente não poderá estabelecer uma sessão com servidores que não têm a assinatura de pacote habilitada. Por padrão, a assinatura de SMB do lado do servidor só está habilitada em controladores de domínio. Se a assinatura de SMB do lado do servidor estiver habilitada, a assinatura do pacote SMB será negociada com clientes que têm a assinatura SMB do lado do cliente habilitada. A assinatura de pacotes SMB pode degradar significativamente o desempenho do SMB, dependendo da versão do dialeto, versão do sistema operacional, tamanhos de arquivo, recursos de descarregamento do processador e comportamentos de E/S do aplicativo.
Importante
Para que essa política entre em vigor nos computadores que executam o Windows 2000, a assinatura de pacotes do lado do servidor também deve ser habilitada. Para habilitar a assinatura de pacote SMB do lado do servidor, defina a seguinte política: servidor de rede da Microsoft: comunicações de sinal digital (se o servidor concordar) Para que os servidores do Windows 2000 negociem a assinatura com clientes Windows NT 4.0, o seguinte valor de registro deve ser definido como 1 no servidor Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Para obter mais informações, referencie:<https://go.microsoft.com/fwlink/?LinkID=787136>.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 1 | Habilitar. |
| 0 (Padrão) | Desabilitar. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Servidor de rede Microsoft: assinar comunicações digitalmente (sempre) |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees
Servidor de rede da Microsoft: assinar digitalmente comunicações (se o cliente concordar) Essa configuração de segurança determina se o servidor SMB negociará a assinatura de pacote SMB com clientes que o solicitam. O protocolo SMB (bloco de mensagens do servidor) fornece a base para o compartilhamento de arquivos e impressões da Microsoft e muitas outras operações de rede, como administração remota do Windows. Para evitar ataques man-in-the-middle que modificam pacotes SMB em trânsito, o protocolo SMB dá suporte à assinatura digital de pacotes SMB. Essa configuração de política determina se o servidor SMB negociará a assinatura do pacote SMB quando um cliente SMB o solicitar.
Se essa configuração estiver habilitada, o servidor de rede da Microsoft negociará a assinatura do pacote SMB conforme solicitado pelo cliente. Ou seja, se a assinatura de pacote tiver sido habilitada no cliente, a assinatura do pacote será negociada.
Se essa política estiver desabilitada, o cliente SMB nunca negociará a assinatura do pacote SMB. Padrão: habilitado somente em controladores de domínio.
Importante
Para que os servidores do Windows 2000 negociem a assinatura com Windows NT clientes 4.0, o seguinte valor de registro deve ser definido como 1 no servidor que executa o Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Notes Todos os sistemas operacionais Windows dão suporte a um componente SMB do lado do cliente e a um componente SMB do lado do servidor. Para Windows 2000 ou superior, habilitar ou exigir a assinatura de pacotes para componentes SMB do lado do cliente e do servidor é controlado pelas quatro seguintes configurações de política: cliente de rede da Microsoft: comunicações de sinal digital (sempre) – controla se o componente SMB do lado do cliente requer ou não assinatura de pacote. Cliente de rede da Microsoft: assinar digitalmente comunicações (se o servidor concordar) – controla se o componente SMB do lado do cliente tem ou não a assinatura de pacote habilitada. Servidor de rede da Microsoft: comunicações de sinal digital (sempre) – controla se o componente SMB do lado do servidor requer ou não assinatura de pacote. Servidor de rede da Microsoft: assinar digitalmente comunicações (se o cliente concordar) – controla se o componente SMB do lado do servidor tem ou não a assinatura de pacote habilitada. Se a assinatura do SMB do lado do cliente e do servidor estiver habilitada e o cliente estabelecer uma conexão SMB 1.0 com o servidor, a assinatura do SMB será tentada. A assinatura de pacotes SMB pode degradar significativamente o desempenho do SMB, dependendo da versão do dialeto, versão do sistema operacional, tamanhos de arquivo, recursos de descarregamento do processador e comportamentos de E/S do aplicativo. Essa configuração só se aplica às conexões SMB 1.0. Para obter mais informações, referencie:<https://go.microsoft.com/fwlink/?LinkID=787136>.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 1 | Habilitar. |
| 0 (Padrão) | Desabilitar. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Servidor de rede Microsoft: assinar comunicações digitalmente (se o cliente concordar) |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
MicrosoftNetworkServer_DisconnectClientsWhenLogonHoursExpire
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DisconnectClientsWhenLogonHoursExpire
Servidor de rede da Microsoft: desconecte clientes quando o horário de logon expirar Essa configuração de segurança determina se os usuários estão conectados ao computador local fora do horário de logon válido de sua conta de usuário. Essa configuração afeta o componente SMB (Bloco de Mensagens do Servidor). Quando essa política está habilitada, ela faz com que as sessões do cliente com o Serviço SMB sejam desconectadas à força quando as horas de logon do cliente expirarem. Se essa política estiver desabilitada, uma sessão de cliente estabelecida poderá ser mantida após a expiração das horas de logon do cliente. Padrão no Windows Vista e acima: habilitado. Padrão no Windows XP: desabilitado.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Gama: [0-1] |
| Valor Padrão | 1 |
MicrosoftNetworkServer_ServerSPNTargetNameValidationLevel
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_ServerSPNTargetNameValidationLevel
Servidor de rede da Microsoft: Nível de validação de nome de destino do SPN do servidor Essa configuração de política controla o nível de validação que um computador com pastas ou impressoras compartilhadas (o servidor) executa no SPN (nome da entidade de serviço) fornecido pelo computador cliente quando ele estabelece uma sessão usando o protocolo SMB (bloco de mensagens do servidor). O protocolo SMB (bloco de mensagens do servidor) fornece a base para o compartilhamento de arquivos e impressão e outras operações de rede, como administração remota do Windows. O protocolo SMB dá suporte à validação do SPN (nome da entidade de serviço do servidor SMB) no blob de autenticação fornecido por um cliente SMB para evitar uma classe de ataques contra servidores SMB chamados de ataques de retransmissão SMB. Essa configuração afetará o SMB1 e o SMB2. Essa configuração de segurança determina o nível de validação que um servidor SMB executa no SPN (nome da entidade de serviço) fornecido pelo cliente SMB ao tentar estabelecer uma sessão para um servidor SMB. As opções são: Desativado – o SPN não é obrigatório ou validado pelo servidor SMB de um cliente SMB. Aceite se for fornecido pelo cliente – o servidor SMB aceitará e validará o SPN fornecido pelo cliente SMB e permitirá que uma sessão seja estabelecida se corresponder à lista de SPN do servidor SMB para si. Se o SPN não corresponder, a solicitação de sessão para esse cliente SMB será negada. Exigido do cliente – o cliente SMB DEVE enviar um nome SPN na configuração da sessão e o nome SPN fornecido DEVE corresponder ao servidor SMB que está sendo solicitado para estabelecer uma conexão. Se nenhum SPN for fornecido pelo cliente ou o SPN fornecido não corresponder, a sessão será negada. Padrão: Todos os sistemas operacionais Windows dão suporte a um componente SMB do lado do cliente e a um componente SMB do lado do servidor. Essa configuração afeta o comportamento SMB do servidor e sua implementação deve ser cuidadosamente avaliada e testada para evitar interrupções nos recursos de serviço de arquivo e impressão. Informações adicionais sobre como implementar e usar isso para proteger seus servidores SMB podem ser encontradas no site da Microsoft (https://go.microsoft.com/fwlink/?LinkId=144505).
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Gama: [0-2] |
| Valor Padrão | 0 |
NetworkAccess_AllowAnonymousSIDOrNameTranslation
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_AllowAnonymousSIDOrNameTranslation
Acesso à rede: permitir tradução anônima de SID/nome Essa configuração de política determina se um usuário anônimo pode solicitar atributos sid (identificador de segurança) para outro usuário.
Se essa política estiver habilitada, um usuário anônimo poderá solicitar o atributo SID para outro usuário. Um usuário anônimo com conhecimento do SID de um administrador pode entrar em contato com um computador que tenha essa política habilitada e usar o SID para obter o nome do administrador. Essa configuração afeta tanto a tradução SID-to-name quanto a tradução de nome para SID.
Se essa configuração de política estiver desabilitada, um usuário anônimo não poderá solicitar o atributo SID para outro usuário. Padrão em estações de trabalho e servidores membros: desabilitado. Padrão em controladores de domínio que executam o Windows Server 2008 ou posterior: desabilitado. Padrão em controladores de domínio que executam o Windows Server 2003 R2 ou anterior: Habilitado.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 1 | Habilitar. |
| 0 (Padrão) | Desabilitar. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Acesso à rede: permitir tradução anônima de SID/nome |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts
Acesso à rede: não permita a enumeração anônima de contas SAM Essa configuração de segurança determina quais permissões adicionais serão concedidas para conexões anônimas com o computador. O Windows permite que usuários anônimos executem determinadas atividades, como enumerar os nomes de contas de domínio e compartilhamentos de rede. Isso é conveniente, por exemplo, quando um administrador deseja conceder acesso aos usuários em um domínio confiável que não mantém uma confiança recíproca. Essa opção de segurança permite que restrições adicionais sejam colocadas em conexões anônimas da seguinte maneira: Habilitado: não permitir a enumeração de contas SAM. Essa opção substitui Todos por Usuários Autenticados nas permissões de segurança para recursos. Desabilitado: sem restrições adicionais. Confie em permissões padrão. Padrão em estações de trabalho: habilitados. Padrão no servidor:Habilitado.
Importante
Essa política não tem impacto sobre os controladores de domínio.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 1 (Padrão) | Enabled. |
| 0 | Disabled. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Acesso à rede: não permitir a enumeração anônima de contas SAM |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares
Acesso à rede: não permita a enumeração anônima de contas SAM e compartilhamentos Essa configuração de segurança determina se a enumeração anônima de contas e compartilhamentos SAM é permitida. O Windows permite que usuários anônimos executem determinadas atividades, como enumerar os nomes de contas de domínio e compartilhamentos de rede. Isso é conveniente, por exemplo, quando um administrador deseja conceder acesso aos usuários em um domínio confiável que não mantém uma confiança recíproca. Se você não quiser permitir a enumeração anônima de contas e compartilhamentos SAM, habilite essa política. Padrão: desabilitado.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 1 | Enabled. |
| 0 (Padrão) | Desabilitado. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Acesso à rede: não permitir a enumeração anônima de contas e compartilhamentos sam |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
NetworkAccess_DoNotAllowStorageOfPasswordsAndCredentialsForNetworkAuthentication
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowStorageOfPasswordsAndCredentialsForNetworkAuthentication
Acesso à rede: não permita o armazenamento de senhas e credenciais para autenticação de rede Essa configuração de segurança determina se o Credential Manager salva senhas e credenciais para uso posterior quando ganha autenticação de domínio.
Se você habilitar essa configuração, o Credential Manager não armazenará senhas e credenciais no computador.
Se você desabilitar ou não configurar essa configuração de política, o Credential Manager armazenará senhas e credenciais neste computador para uso posterior para autenticação de domínio.
Observação
Ao configurar essa configuração de segurança, as alterações não entrarão em vigor até que você reinicie o Windows. Padrão: desabilitado.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Gama: [0-1] |
| Valor Padrão | 0 |
NetworkAccess_LetEveryonePermissionsApplyToAnonymousUsers
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_LetEveryonePermissionsApplyToAnonymousUsers
Acesso à rede: permitir que todas as permissões se apliquem a usuários anônimos Essa configuração de segurança determina quais permissões adicionais são concedidas para conexões anônimas com o computador. O Windows permite que usuários anônimos executem determinadas atividades, como enumerar os nomes de contas de domínio e compartilhamentos de rede. Isso é conveniente, por exemplo, quando um administrador deseja conceder acesso aos usuários em um domínio confiável que não mantém uma confiança recíproca. Por padrão, o SID (identificador de segurança de todos) é removido do token criado para conexões anônimas. Portanto, as permissões concedidas ao grupo Todos não se aplicam a usuários anônimos. Se essa opção for definida, os usuários anônimos só poderão acessar os recursos para os quais o usuário anônimo recebeu permissão explicitamente. Se essa política estiver habilitada, o SID Todos será adicionado ao token criado para conexões anônimas. Nesse caso, os usuários anônimos podem acessar qualquer recurso para o qual o grupo Todos recebeu permissões. Padrão: desabilitado.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Gama: [0-1] |
| Valor Padrão | 0 |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Acesso à rede: Permitir que as permissões Todos se apliquem a usuários anônimos |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
NetworkAccess_NamedPipesThatCanBeAccessedAnonymously
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_NamedPipesThatCanBeAccessedAnonymously
Acesso à rede: pipes nomeados que podem ser acessados anonimamente Essa configuração de segurança determina quais sessões de comunicação (pipes) terão atributos e permissões que permitem acesso anônimo. Padrão: Nenhum.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: ,) |
NetworkAccess_RemotelyAccessibleRegistryPaths
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RemotelyAccessibleRegistryPaths
Acesso à rede: caminhos de registro de acesso remoto Essa configuração de segurança determina quais chaves de registro podem ser acessadas pela rede, independentemente dos usuários ou grupos listados na ACL (lista de controle de acesso) da chave do registro winreg. Padrão: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion A edição incorreta do registro pode danificar severamente seu sistema. Antes de fazer alterações no registro, você deve fazer backup de todos os dados valorizados no computador.
Observação
Essa configuração de segurança não está disponível em versões anteriores do Windows. A configuração de segurança exibida em computadores que executam o Windows XP, "Acesso à rede: caminhos de registro remotamente acessíveis" corresponde à opção de segurança "Acesso à rede: caminhos e subpastas de registro remotamente acessíveis" em membros da família Windows Server 2003. Para obter mais informações, consulte Acesso à rede: caminhos e subpastas de registro acessíveis remotamente.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: ,) |
NetworkAccess_RemotelyAccessibleRegistryPathsAndSubpaths
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RemotelyAccessibleRegistryPathsAndSubpaths
Acesso à rede: caminhos e subpastas de registro de acesso remoto Essa configuração de segurança determina quais caminhos e subpastas de registro podem ser acessados pela rede, independentemente dos usuários ou grupos listados na ACL (lista de controle de acesso) da chave do registro winreg. Padrão: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server\CurrentControlSet\Control\Terminal Server\ UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog System\CurrentControlSet\Services\CertSvc System\CurrentControlSet\Services\Wins A edição incorreta do registro pode danificar severamente seu sistema. Antes de fazer alterações no registro, você deve fazer backup de todos os dados valorizados no computador.
Observação
No Windows XP, essa configuração de segurança era chamada de "Acesso à rede: caminhos de registro de acesso remoto". Se você configurar essa configuração em um membro da família Windows Server 2003 que se juntou a um domínio, essa configuração será herdada por computadores que executam o Windows XP, mas aparecerá como a opção de segurança "Acesso à rede: caminhos de registro remotamente acessíveis". Para obter mais informações, consulte Acesso à rede: caminhos e subpastas de registro acessíveis remotamente.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: ,) |
NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares
Acesso à rede: restrinja o acesso anônimo a Pipes e Compartilhamentos Nomeados Quando habilitado, essa configuração de segurança restringe o acesso anônimo a compartilhamentos e pipes às configurações para: acesso à rede: pipes nomeados que podem ser acessados anonimamente Acesso à rede: Compartilhamentos que podem ser acessados anonimamente Padrão: Habilitado.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 1 (Padrão) | Habilitar. |
| 0 | Desabilitar. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Acesso de rede: acesso anônimo restrito a pipes nomeados e compartilhamentos |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM
Acesso à rede: restrinja clientes autorizados a fazer chamadas remotas ao SAM Essa configuração de política permite restringir conexões remotas de rpc ao SAM. Se não for selecionado, o descritor de segurança padrão será usado. Essa política tem suporte em pelo menos Windows Server 2016.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Acesso à rede: restringir clientes autorizados a fazer chamadas remotas ao SAM |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
NetworkAccess_SharesThatCanBeAccessedAnonymously
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_SharesThatCanBeAccessedAnonymously
Acesso à rede: Compartilhamentos que podem ser acessados anonimamente Essa configuração de segurança determina quais compartilhamentos de rede podem ser acessados por usuários anônimos. Padrão: nenhum especificado.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: ,) |
NetworkAccess_SharingAndSecurityModelForLocalAccounts
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_SharingAndSecurityModelForLocalAccounts
Acesso à rede: Compartilhamento e modelo de segurança para contas locais Essa configuração de segurança determina como os logons de rede que usam contas locais são autenticados. Se essa configuração for definida como Clássica, logons de rede que usam credenciais de conta local serão autenticados usando essas credenciais. O modelo Clássico permite o controle fino sobre o acesso aos recursos. Usando o modelo Clássico, você pode conceder diferentes tipos de acesso a usuários diferentes para o mesmo recurso. Se essa configuração for definida apenas como Convidado, os logons de rede que usam contas locais serão mapeados automaticamente para a conta convidado. Usando o modelo convidado, você pode ter todos os usuários tratados igualmente. Todos os usuários se autenticam como Convidado e todos recebem o mesmo nível de acesso a um determinado recurso, que pode ser somente leitura ou Modificar. Padrão em computadores de domínio: Clássico. Padrão em computadores autônomos: somente convidado Importante com o modelo somente Convidado, qualquer usuário que possa acessar seu computador pela rede (incluindo usuários anônimos da Internet) pode acessar seus recursos compartilhados. Você deve usar o Firewall do Windows ou outro dispositivo semelhante para proteger seu computador contra acesso não autorizado. Da mesma forma, com o modelo Clássico, as contas locais devem ser protegidas por senha; caso contrário, essas contas de usuário podem ser usadas por qualquer pessoa para acessar recursos do sistema compartilhado.
Observação
Essa configuração não afeta logons interativos que são executados remotamente usando serviços como Telnet ou Serviços de Área de Trabalho Remota. Os Serviços de Área de Trabalho Remota eram chamados de Serviços de Terminal em versões anteriores do Windows Server. Essa política não terá impacto nos computadores que executam o Windows 2000. Quando o computador não é ingressado em um domínio, essa configuração também modifica as guias Compartilhamento e Segurança no Explorador de Arquivos para corresponder ao modelo de compartilhamento e segurança que está sendo usado.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Gama: [0-1] |
| Valor Padrão | 0 |
NetworkSecurity_AllowLocalSystemNULLSessionFallback
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemNULLSessionFallback
Segurança de rede: permitir que o fallback da sessão NULL do LocalSystem permita que o NTLM volte à sessão NULL quando usado com o LocalSystem. O padrão é TRUE até Windows Vista e FALSE no Windows 7.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Gama: [0-1] |
| Valor Padrão | 1 |
NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1809 [10.0.17763] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM
Segurança de rede: permitir que o Sistema Local use a identidade do computador para NTLM Essa configuração de política permite que os serviços do Sistema Local que usam o Negotiate usem a identidade do computador ao reverter para a autenticação NTLM.
Se você habilitar essa configuração de política, os serviços em execução como Sistema Local que usam o Negotiate usarão a identidade do computador. Isso pode fazer com que algumas solicitações de autenticação entre sistemas operacionais Windows falhem e registrem um erro.
Se você desabilitar essa configuração de política, os serviços em execução como Sistema Local que usam o Negotiate ao reverter para a autenticação NTLM serão autenticados anonimamente. Por padrão, essa política está habilitada no Windows 7 e superior. Por padrão, essa política está desabilitada no Windows Vista. Essa política tem suporte em pelo menos o Windows Vista ou o Windows Server 2008.
Observação
O Windows Vista ou o Windows Server 2008 não expõem essa configuração em Política de Grupo.
- Quando um serviço se conecta com a identidade do dispositivo, há suporte para assinatura e criptografia para fornecer proteção de dados.
- Quando um serviço se conecta anonimamente, uma chave de sessão gerada pelo sistema é criada, que não fornece proteção, mas permite que os aplicativos assinem e criptografem dados sem erros. A autenticação anônima usa uma sessão NULL, que é uma sessão com um servidor na qual nenhuma autenticação de usuário é executada; e, portanto, o acesso anônimo é permitido.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 1 (Padrão) | Permitir. |
| 0 | Bloqueio. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Segurança de rede: Permitir que o sistema local use a identidade do computador para NTLM |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
NetworkSecurity_AllowPKU2UAuthenticationRequests
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowPKU2UAuthenticationRequests
Segurança de rede: permitir que solicitações de autenticação PKU2U para este computador usem identidades online. Essa política será desativada por padrão em computadores ingressados no domínio. Isso impediria que as identidades online se autenticassem no computador ingressado no domínio.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 | Bloqueio. |
| 1 (Padrão) | Permitir. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Segurança de rede: permitir que solicitações de autenticação PKU2U para este computador usem identidades online. |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange
Observação
Essa política é preterida e pode ser removida em uma versão futura.
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange
Segurança de rede: não armazene o valor de hash do LAN Manager na próxima alteração de senha Essa configuração de segurança determina se, na próxima alteração de senha, o valor de hash do LAN Manager (LM) para a nova senha é armazenado. O hash LM é relativamente fraco e propenso a ataques, em comparação com o hash de Windows NT criptograficamente mais forte. Como o hash LM é armazenado no computador local no banco de dados de segurança, as senhas podem ser comprometidas se o banco de dados de segurança for atacado. Padrão no Windows Vista e acima: Padrão habilitado no Windows XP: desabilitado.
Importante
O Windows 2000 Service Pack 2 (SP2) e acima oferecem compatibilidade com autenticação para versões anteriores do Windows, como o Microsoft Windows NT 4.0. Essa configuração pode afetar a capacidade dos computadores que executam o Windows 2000 Server, Windows 2000 Professional, Windows XP e a família Windows Server 2003 se comunicarem com computadores que executam Windows 95 e Windows 98.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 1 (Padrão) | Habilitar. |
| 0 | Desabilitar. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Segurança de rede: não armazene o valor de hash do LAN Manager na próxima alteração de senha |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
NetworkSecurity_ForceLogoffWhenLogonHoursExpire
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_ForceLogoffWhenLogonHoursExpire
Segurança de rede: forçar o logoff quando o horário de logon expirar Essa configuração de segurança determina se os usuários estão conectados ao computador local fora do horário de logon válido de sua conta de usuário. Essa configuração afeta o componente SMB (Bloco de Mensagens do Servidor). Quando essa política está habilitada, ela faz com que as sessões do cliente com o servidor SMB sejam desconectadas à força quando as horas de logon do cliente expirarem. Se essa política estiver desabilitada, uma sessão de cliente estabelecida poderá ser mantida após a expiração das horas de logon do cliente. Padrão: habilitado.
Observação
Essa configuração de segurança se comporta como uma política de conta. Para contas de domínio, pode haver apenas uma política de conta. A política de conta deve ser definida na Política de Domínio Padrão e é imposta pelos controladores de domínio que compõem o domínio. Um controlador de domínio sempre puxa a política da conta do objeto GPO (Política de Domínio Padrão Política de Grupo), mesmo que haja uma política de conta diferente aplicada à unidade organizacional que contém o controlador de domínio. Por padrão, estações de trabalho e servidores que são ingressados em um domínio (por exemplo, computadores membros) também recebem a mesma política de conta para suas contas locais. No entanto, as políticas de conta local para computadores membros podem ser diferentes da política de conta de domínio definindo uma política de conta para a unidade organizacional que contém os computadores membros. As configurações kerberos não são aplicadas aos computadores membros.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 1 (Padrão) | Habilitar. |
| 0 | Desabilitar. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Segurança de rede: Forçar logoff quando o horário de logon terminar |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
NetworkSecurity_LANManagerAuthenticationLevel
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_LANManagerAuthenticationLevel
Nível de autenticação do LAN Manager de segurança de rede Essa configuração de segurança determina qual protocolo de autenticação de desafio/resposta é usado para logons de rede. Essa escolha afeta o nível de protocolo de autenticação usado pelos clientes, o nível de segurança de sessão negociado e o nível de autenticação aceito pelos servidores da seguinte maneira: Enviar respostas LM e NTLM: os clientes usam autenticação LM e NTLM e nunca usam a segurança da sessão NTLMv2; Os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2. Enviar LM e NTLM – use a segurança da sessão NTLMv2 se negociado: os clientes usam autenticação LM e NTLM e usam a segurança da sessão NTLMv2 se o servidor dá suporte a ela; Os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2. Enviar somente resposta NTLM: os clientes usam somente autenticação NTLM e usam a segurança da sessão NTLMv2 se o servidor dá suporte a ela; Os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2. Enviar somente resposta NTLMv2: os clientes usam somente autenticação NTLMv2 e usam a segurança da sessão NTLMv2 se o servidor dá suporte a ela; Os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2. Enviar somente resposta NTLMv2\refuse LM: os clientes usam somente autenticação NTLMv2 e usam a segurança da sessão NTLMv2 se o servidor dá suporte a ela; Os controladores de domínio recusam LM (aceitam apenas autenticação NTLM e NTLMv2). Enviar resposta NTLMv2 somente\recusar LM e NTLM: os clientes usam apenas a autenticação NTLMv2 e usam a segurança da sessão NTLMv2 se o servidor dá suporte a ela; Os controladores de domínio recusam LM e NTLM (aceitam apenas autenticação NTLMv2).
Importante
Essa configuração pode afetar a capacidade dos computadores que executam o Windows 2000 Server, Windows 2000 Professional, Windows XP Professional e a família Windows Server 2003 se comunicarem com computadores que executam Windows NT 4.0 e anteriores pela rede. Por exemplo, no momento dessa gravação, os computadores que executam Windows NT 4.0 SP4 e anteriores não dão suporte ao NTLMv2. Os computadores que executam o Windows 95 e o Windows 98 não dão suporte ao NTLM. Padrão: Windows 2000 e windows XP: enviar respostas LM e NTLM Windows Server 2003: enviar resposta NTLM somente Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2: enviar somente resposta NTLMv2.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 3 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 | Envie respostas LM e NTLM. |
| 1 | Envie segurança de sessão NTLMv2 de uso de LM e NTLMv2 se negociado. |
| 2 | Envie somente respostas LM e NTLM. |
| 3 (Padrão) | Envie somente respostas LM e NTLMv2. |
| 4 | Envie somente respostas LM e NTLMv2. Recusar LM. |
| 5 | Envie somente respostas LM e NTLMv2. Recusar LM e NTLM. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Segurança de rede: Nível de autenticação do LAN Manager |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
NetworkSecurity_LDAPClientSigningRequirements
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_LDAPClientSigningRequirements
Segurança de rede: requisitos de assinatura do cliente LDAP Essa configuração de segurança determina o nível de assinatura de dados solicitado em nome dos clientes que emitem solicitações LDAP BIND da seguinte maneira: Nenhum: a solicitação BIND LDAP é emitida com as opções especificadas pelo chamador. Negociar assinatura: se a Camada de Transporte Segurança/Camada de Soquetes Seguros (TLS\SSL) não tiver sido iniciada, a solicitação BIND LDAP será iniciada com a opção de assinatura de dados LDAP definida além das opções especificadas pelo chamador. Se O TLS\SSL tiver sido iniciado, a solicitação BIND LDAP será iniciada com as opções especificadas pelo chamador. Exigir assinatura: isso é o mesmo que negociar assinatura. No entanto, se a resposta saslBindInProgress intermediária do servidor LDAP não indicar que a assinatura de tráfego LDAP é necessária, o chamador será informado de que a solicitação de comando BIND LDAP falhou.
Cuidado
Se você definir o servidor como Exigir assinatura, também deverá definir o cliente. Não definir o cliente resulta em uma perda de conexão com o servidor.
Observação
Essa configuração não tem nenhum impacto sobre ldap_simple_bind ou ldap_simple_bind_s. Nenhum cliente LDAP da Microsoft enviado com o Windows XP Professional usa ldap_simple_bind ou ldap_simple_bind_s para conversar com um controlador de domínio. Padrão: negociar assinatura.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Gama: [0-2] |
| Valor Padrão | 1 |
NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1809 [10.0.17763] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients
Segurança de rede: segurança mínima da sessão para clientes baseados em SSP NTLM (incluindo RPC seguro) Essa configuração de segurança permite que um cliente exija a negociação de criptografia de 128 bits e/ou segurança de sessão NTLMv2. Esses valores dependem do valor de configuração de segurança de nível de autenticação do LAN Manager. As opções são: exigir segurança da sessão NTLMv2: a conexão falhará se o protocolo NTLMv2 não for negociado. Exigir criptografia de 128 bits: a conexão falhará se a criptografia forte (128 bits) não for negociada. Padrão: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 e Windows Server 2008: sem requisitos. Windows 7 e Windows Server 2008 R2: exigir criptografia de 128 bits.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 536870912 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 | Nenhuma. |
| 524288 | Exija segurança da sessão NTLMv2. |
| 536870912 (Padrão) | Exigir criptografia de 128 bits. |
| 537395200 | Exigir criptografia de NTLM e 128 bits. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Segurança de rede: Segurança mínima de sessão para clientes baseados em NTLM SSP (incluindo RPC seguro) |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers
Segurança de rede: segurança mínima da sessão para servidores baseados em SSP NTLM (incluindo RPC seguro) Essa configuração de segurança permite que um servidor exija a negociação de criptografia de 128 bits e/ou segurança de sessão NTLMv2. Esses valores dependem do valor de configuração de segurança de nível de autenticação do LAN Manager. As opções são: exigir segurança da sessão NTLMv2: a conexão falhará se a integridade da mensagem não for negociada. Exigir criptografia de 128 bits. A conexão falhará se a criptografia forte (128 bits) não for negociada. Padrão: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 e Windows Server 2008: sem requisitos. Windows 7 e Windows Server 2008 R2: exigir criptografia de 128 bits.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 536870912 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 | Nenhuma. |
| 524288 | Exija segurança da sessão NTLMv2. |
| 536870912 (Padrão) | Exigir criptografia de 128 bits. |
| 537395200 | Exigir criptografia de NTLM e 128 bits. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Segurança de rede: Segurança mínima de sessão para servidores baseados em NTLM SSP (incluindo RPC seguro) |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
NetworkSecurity_RestrictNTLM_AddRemoteServerExceptionsForNTLMAuthentication
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AddRemoteServerExceptionsForNTLMAuthentication
Segurança de rede: Restrinja o NTLM: adicione exceções de servidor remoto para autenticação NTLM Essa configuração de política permite criar uma lista de exceções de servidores remotos aos quais os clientes podem usar a autenticação NTLM se a configuração de política "Segurança de Rede: Restringir NTLM: tráfego NTLM de saída para servidores remotos".
Se você configurar essa configuração de política, poderá definir uma lista de servidores remotos para os quais os clientes podem usar a autenticação NTLM.
Se você não configurar essa configuração de política, nenhuma exceção será aplicada. O formato de nomenclatura para servidores nesta lista de exceções é o nome de domínio totalmente qualificado (FQDN) ou o nome do servidor NetBIOS usado pelo aplicativo, listado um por linha. Para garantir exceções, o nome usado por todos os aplicativos precisa estar na lista e, para garantir que uma exceção seja precisa, o nome do servidor deve ser listado em ambos os formatos de nomenclatura . Um único asterisco (*) pode ser usado em qualquer lugar da cadeia de caracteres como um caractere curinga.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Segurança de rede: Restringir NTLM: Adicionar exceções de servidor remoto para autenticação NTLM |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
NetworkSecurity_RestrictNTLM_AuditIncomingNTLMTraffic
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AuditIncomingNTLMTraffic
Segurança de rede: Restringir NTLM: Auditar tráfego NTLM de entrada Essa configuração de política permite auditar o tráfego NTLM de entrada. Se você selecionar "Desabilitar", ou não configurar essa configuração de política, o servidor não registrará eventos para tráfego NTLM de entrada. Se você selecionar "Habilitar auditoria para contas de domínio", o servidor registrará eventos para solicitações de autenticação de passagem NTLM que seriam bloqueadas quando a configuração de política "Segurança de Rede: Restringir NTLM: tráfego NTLM de entrada" for definida como a opção "Negar todas as contas de domínio". Se você selecionar "Habilitar auditoria para todas as contas", o servidor registrará eventos para todas as solicitações de autenticação NTLM que seriam bloqueadas quando a configuração de política "Segurança de Rede: Restringir NTLM: tráfego NTLM de entrada" é definida como a opção "Negar todas as contas". Essa política tem suporte em pelo menos o Windows 7 ou o Windows Server 2008 R2.
Observação
Os eventos de auditoria são registrados neste computador no Log "Operacional" localizado no Log de Aplicativos e Serviços/Microsoft/Windows/NTLM.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 (Padrão) | Desabilitar. |
| 1 | Habilitar a auditoria para contas de domínio. |
| 2 | Habilite a auditoria para todas as contas. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Segurança de rede: restringir o NTLM: auditar o tráfego NTLM de entrada |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
NetworkSecurity_RestrictNTLM_IncomingNTLMTraffic
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_IncomingNTLMTraffic
Segurança de rede: Restrinja NTLM: tráfego NTLM de entrada Essa configuração de política permite negar ou permitir o tráfego NTLM de entrada. Se você selecionar "Permitir tudo" ou não configurar essa configuração de política, o servidor permitirá todas as solicitações de autenticação NTLM. Se você selecionar "Negar todas as contas de domínio", o servidor negará solicitações de autenticação NTLM para logon de domínio e exibirá um erro bloqueado do NTLM, mas permitirá o logon da conta local. Se você selecionar "Negar todas as contas", o servidor negará solicitações de autenticação NTLM do tráfego de entrada e exibirá um erro bloqueado do NTLM. Essa política tem suporte em pelo menos o Windows 7 ou o Windows Server 2008 R2.
Observação
Os eventos de bloco são registrados neste computador no Log "Operacional" localizado no Log de Aplicativos e Serviços/Microsoft/Windows/NTLM.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 (Padrão) | Permitir tudo. |
| 1 | Negar todas as contas de domínio. |
| 2 | Negar todas as contas. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Segurança de rede: Restringir NTLM: Tráfego NTLM de entrada |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
NetworkSecurity_RestrictNTLM_OutgoingNTLMTrafficToRemoteServers
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_OutgoingNTLMTrafficToRemoteServers
Segurança de rede: restrinja o tráfego NTLM: saída do tráfego NTLM para servidores remotos Essa configuração de política permite negar ou auditar o tráfego NTLM de saída deste Computador Windows 7 ou do Windows Server 2008 R2 para qualquer servidor remoto do Windows. Se você selecionar "Permitir tudo" ou não configurar essa configuração de política, o computador cliente poderá autenticar identidades em um servidor remoto usando a autenticação NTLM. Se você selecionar "Audit all", o computador cliente registrará um evento para cada solicitação de autenticação NTLM em um servidor remoto. Isso permite identificar os servidores que recebem solicitações de autenticação NTLM do computador cliente. Se você selecionar "Negar tudo", o computador cliente não poderá autenticar identidades em um servidor remoto usando a autenticação NTLM. Você pode usar a configuração de política "Segurança de rede: Restringir NTLM: adicionar exceções de servidor remoto para autenticação NTLM" para definir uma lista de servidores remotos aos quais os clientes podem usar a autenticação NTLM. Essa política tem suporte em pelo menos o Windows 7 ou o Windows Server 2008 R2.
Observação
Eventos de auditoria e bloqueio são registrados neste computador no Log "Operacional" localizado no Log de Aplicativos e Serviços/Microsoft/Windows/NTLM.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 (Padrão) | Permitir tudo. |
| 1 | Negar todas as contas de domínio. |
| 2 | Negar todas as contas. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Segurança de rede: Restringir NTLM: Tráfego NTLM de saída para servidores remotos |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
RecoveryConsole_AllowAutomaticAdministrativeLogon
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/RecoveryConsole_AllowAutomaticAdministrativeLogon
Console de recuperação: permitir logon administrativo automático Essa configuração de segurança determina se a senha da conta administrador deve ser dada antes que o acesso ao sistema seja concedido. Se essa opção estiver habilitada, o Console de Recuperação não exigirá que você forneça uma senha e ele faz logon automaticamente no sistema. Padrão: essa política não é definida e o logon administrativo automático não é permitido.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Gama: [0-1] |
| Valor Padrão | 0 |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Console de recuperação: permitir logon administrativo automático |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
RecoveryConsole_AllowFloppyCopyAndAccessToAllDrivesAndAllFolders
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/RecoveryConsole_AllowFloppyCopyAndAccessToAllDrivesAndAllFolders
Console de recuperação: permitir a cópia do disquete e o acesso a todas as unidades e todas as pastas Habilitar essa opção de segurança disponibiliza o comando SET do Console de Recuperação, o que permite definir as seguintes variáveis de ambiente do Console de Recuperação: AllowWildCards: Habilitar suporte curinga para alguns comandos (como o comando DEL). AllowAllPaths: permitir acesso a todos os arquivos e pastas no computador. AllowRemovableMedia: permitir que os arquivos sejam copiados para mídia removível, como um disquete. NoCopyPrompt: não solicitar ao substituir um arquivo existente. Padrão: essa política não está definida e o comando SET do console de recuperação não está disponível.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Gama: [0-1] |
| Valor Padrão | 0 |
Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn
Desligamento: permitir que o sistema seja desligado sem precisar fazer logon Essa configuração de segurança determina se um computador pode ser desligado sem precisar fazer logon no Windows. Quando essa política estiver habilitada, o comando Desligar estará disponível na tela de logon do Windows. Quando essa política é desabilitada, a opção de desligar o computador não aparece na tela de logon do Windows. Nesse caso, os usuários devem ser capazes de fazer logon no computador com êxito e fazer com que o usuário desligue o sistema antes de poder executar um desligamento do sistema. Padrão em estações de trabalho: habilitados. Padrão em servidores: desabilitado.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 | Disabled. |
| 1 (Padrão) | Habilitado (permitir que o sistema seja desligado sem precisar fazer logon). |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Desligamento: Permitir que o sistema seja encerrado sem fazer logon |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
Shutdown_ClearVirtualMemoryPageFile
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Shutdown_ClearVirtualMemoryPageFile
Desligamento: limpar o arquivo de página de memória virtual Essa configuração de segurança determina se o arquivo de página de memória virtual é limpo quando o sistema é desligado. O suporte à memória virtual usa um arquivo de página do sistema para trocar páginas de memória por disco quando elas não são usadas. Em um sistema em execução, este pagefile é aberto exclusivamente pelo sistema operacional e está bem protegido. No entanto, os sistemas configurados para permitir a inicialização em outros sistemas operacionais podem ter que garantir que o arquivo de página do sistema seja apagado limpo quando esse sistema for desligado. Isso garante que informações confidenciais da memória de processo que podem entrar no arquivo de página não estejam disponíveis para um usuário não autorizado que consegue acessar diretamente o pagefile. Quando essa política está habilitada, ela faz com que o arquivo de página do sistema seja desmarcado após limpo desligamento. Se você habilitar essa opção de segurança, o arquivo de hibernação (hiberfil.sys) também será zerado quando a hibernação é desabilitada. Padrão: desabilitado.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 1 | Habilitar. |
| 0 (Padrão) | Desabilitar. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Desligamento: Limpar arquivo de paginação de memória virtual |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
SystemCryptography_ForceStrongKeyProtection
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemCryptography_ForceStrongKeyProtection
Criptografia do Sistema: forçar uma forte proteção de chave para chaves de usuário armazenadas no computador Essa configuração de segurança determina se as chaves privadas dos usuários exigem que uma senha seja usada. As opções são: a entrada do usuário não é necessária quando novas chaves são armazenadas e usadas O usuário é solicitado quando a chave é usada pela primeira vez O usuário deve inserir uma senha sempre que usar uma chave Para obter mais informações, consulte Infraestrutura de chave pública. Padrão: essa política não está definida.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Gama: [0-2] |
| Valor Padrão | 0 |
SystemObjects_RequireCaseInsensitivityForNonWindowsSubsystems
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemObjects_RequireCaseInsensitivityForNonWindowsSubsystems
Objetos do sistema: exigir insensibilidade de caso para subsistemas não Windows Essa configuração de segurança determina se a insensibilidade de caso é imposta para todos os subsistemas. O subsistema Win32 é insensível a casos. No entanto, o kernel dá suporte à confidencialidade de caso para outros subsistemas, como POSIX. Se essa configuração estiver habilitada, a insensibilidade de caso será imposta para todos os objetos de diretório, links simbólicos e objetos de E/S, incluindo objetos de arquivo. Desabilitar essa configuração não permite que o subsistema Win32 se torne sensível ao caso. Padrão: habilitado.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Gama: [0-1] |
| Valor Padrão | 1 |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Objetos do sistema: exigir distinção entre maiúsculas e minúsculas para subsistemas não Windows |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
SystemObjects_StrengthenDefaultPermissionsOfInternalSystemObjects
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemObjects_StrengthenDefaultPermissionsOfInternalSystemObjects
Objetos do sistema: fortalecer permissões padrão de objetos internos do sistema (por exemplo, Links Simbólicos) Essa configuração de segurança determina a força da DACL (lista de controle de acesso discricionária padrão) para objetos. O Active Directory mantém uma lista global de recursos do sistema compartilhado, como nomes de dispositivos DOS, mutexes e semáforos. Dessa forma, os objetos podem ser localizados e compartilhados entre processos. Cada tipo de objeto é criado com uma DACL padrão que especifica quem pode acessar os objetos e quais permissões são concedidas. Se essa política estiver habilitada, o DACL padrão será mais forte, permitindo que usuários que não são administradores leiam objetos compartilhados, mas não permitem que esses usuários modifiquem objetos compartilhados que não criaram. Padrão: habilitado.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Gama: [0-1] |
| Valor Padrão | 1 |
UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
Controle da Conta de Usuário: permitir que aplicativos UIAccess solicitem a elevação sem usar a área de trabalho segura. Essa configuração de política controla se os programas de Acessibilidade da Interface do Usuário (UIAccess ou UIA) podem desabilitar automaticamente a área de trabalho segura para prompts de elevação usados por um usuário padrão. - Habilitado: programas UIA, incluindo a Assistência Remota do Windows, desabilitam automaticamente a área de trabalho segura para prompts de elevação. Se você não desabilitar a configuração da política "Controle da Conta de Usuário: Alternar para a área de trabalho segura ao solicitar a elevação", os prompts aparecerão na área de trabalho do usuário interativo em vez da área de trabalho segura. - Desabilitado: (Padrão) A área de trabalho segura só pode ser desabilitada pelo usuário da área de trabalho interativa ou desabilitando a configuração da política "Controle da Conta de Usuário: Alternar para a área de trabalho segura ao solicitar elevação".
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 (Padrão) | Desabilitado. |
| 1 | Habilitado (permitir que aplicativos UIAccess solicitem a elevação sem usar a área de trabalho segura). |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Controle de Conta de Usuário: permitir que aplicativos UIAccess solicitem elevação sem usar a área de trabalho protegida |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
Controle da conta de usuário: comportamento do prompt de elevação para administradores no modo de aprovação Administração Essa configuração de política controla o comportamento do prompt de elevação para administradores. As opções são: – Elevar sem solicitar: permite que contas privilegiadas executem uma operação que requer elevação sem exigir consentimento ou credenciais.
Observação
Use essa opção somente nos ambientes mais restritos. – Solicitar credenciais na área de trabalho segura: quando uma operação requer a elevação do privilégio, o usuário é solicitado na área de trabalho segura a inserir um nome de usuário e senha privilegiados. Se o usuário inserir credenciais válidas, a operação continuará com o privilégio mais alto disponível do usuário. – Solicitar consentimento na área de trabalho segura: quando uma operação requer a elevação do privilégio, o usuário é solicitado na área de trabalho segura a selecionar Permitir ou Negar. Se o usuário selecionar Permitir, a operação continuará com o privilégio mais alto disponível do usuário. – Solicitar credenciais: quando uma operação requer a elevação do privilégio, o usuário é solicitado a inserir um nome de usuário administrativo e uma senha. Se o usuário inserir credenciais válidas, a operação continuará com o privilégio aplicável. – Solicitação de consentimento: quando uma operação requer a elevação do privilégio, o usuário é solicitado a selecionar Permissão ou Negar. Se o usuário selecionar Permitir, a operação continuará com o privilégio mais alto disponível do usuário. – Solicitar consentimento para binários não Windows: (Padrão) Quando uma operação para um aplicativo que não é da Microsoft requer elevação de privilégio, o usuário é solicitado na área de trabalho segura a selecionar Permitir ou Negar. Se o usuário selecionar Permitir, a operação continuará com o privilégio mais alto disponível do usuário.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 5 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 | Eleve sem solicitar. |
| 1 | Solicitar credenciais na área de trabalho segura. |
| 2 | Solicitar consentimento na área de trabalho segura. |
| 3 | Solicitar credenciais. |
| 4 | Solicitar consentimento. |
| 5 (Padrão) | Solicitar consentimento para binários que não são do Windows. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Controle de Conta de Usuário: comportamento da solicitação de elevação de administradores no Modo de Aprovação de Administrador |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
UserAccountControl_BehaviorOfTheElevationPromptForEnhancedAdministrators
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForEnhancedAdministrators
Controle da Conta de Usuário: comportamento do prompt de elevação para administradores em execução com proteção de privilégios aprimorada. Essa configuração de política controla o comportamento do prompt de elevação para administradores. As opções são: – Solicitar credenciais na área de trabalho segura: quando uma operação requer elevação de privilégio, o usuário é solicitado na área de trabalho segura a inserir um nome de usuário e senha privilegiados. Se o usuário inserir credenciais válidas, a operação continuará com o privilégio mais alto disponível do usuário. – Solicitar consentimento na área de trabalho segura: quando uma operação requer a elevação do privilégio, o usuário é solicitado na área de trabalho segura a selecionar Permitir ou Negar. Se o usuário selecionar Permitir, a operação continuará com o privilégio mais alto disponível do usuário.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 2 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 1 | Solicitar credenciais na área de trabalho segura. |
| 2 (Padrão) | Solicitar consentimento na área de trabalho segura. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Controle da conta de usuário: comportamento do prompt de elevação para administradores em execução com proteção de privilégios aprimorada |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
Controle da conta de usuário: comportamento do prompt de elevação para usuários padrão Essa configuração de política controla o comportamento do prompt de elevação para usuários padrão. As opções são: – Prompt para credenciais: (Padrão) Quando uma operação requer elevação de privilégio, o usuário é solicitado a inserir um nome de usuário administrativo e uma senha. Se o usuário inserir credenciais válidas, a operação continuará com o privilégio aplicável. – Negar automaticamente solicitações de elevação: quando uma operação requer a elevação do privilégio, uma mensagem de erro de acesso configurável negada é exibida. Uma empresa que está executando áreas de trabalho como usuário padrão pode escolher essa configuração para reduzir as chamadas do help desk. – Solicitar credenciais na área de trabalho segura: quando uma operação requer a elevação do privilégio, o usuário é solicitado na área de trabalho segura a inserir um nome de usuário e uma senha diferentes. Se o usuário inserir credenciais válidas, a operação continuará com o privilégio aplicável.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 3 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 | Nega automaticamente solicitações de elevação. |
| 1 | Solicitar credenciais na área de trabalho segura. |
| 3 (Padrão) | Solicitar credenciais. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Controle de Conta de Usuário: comportamento da solicitação de elevação de usuários padrão |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
Controle da Conta de Usuário: detecte instalações de aplicativo e prompt para elevação Essa configuração de política controla o comportamento da detecção de instalação do aplicativo para o computador. As opções são: Habilitado: (Padrão) Quando um pacote de instalação de aplicativo é detectado que requer elevação de privilégio, o usuário é solicitado a inserir um nome de usuário administrativo e uma senha. Se o usuário inserir credenciais válidas, a operação continuará com o privilégio aplicável. Desabilitado: os pacotes de instalação do aplicativo não são detectados e solicitados para elevação. Empresas que estão executando áreas de trabalho de usuário padrão e usam tecnologias de instalação delegadas, como Política de Grupo Software Installation ou System Management Server (SMS) devem desabilitar essa configuração de política. Nesse caso, a detecção do instalador é desnecessária.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 1 (Padrão) | Habilitar. |
| 0 | Desabilitar. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Controle de Conta de Usuário: detectar instalações de aplicativos e perguntar se deseja elevar |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated
Controle de Conta de Usuário: apenas eleve os arquivos executáveis que são assinados e validados Essa configuração de política impõe verificações de assinatura de PKI (infraestrutura de chave pública) para quaisquer aplicativos interativos que solicitem a elevação do privilégio. Os administradores corporativos podem controlar quais aplicativos podem ser executados adicionando certificados ao repositório de certificados de Editores Confiáveis em computadores locais. As opções são: - Habilitado: impõe a validação do caminho de certificação PKI para um determinado arquivo executável antes de ser permitido executar. - Desabilitado: (Padrão) Não impõe a validação do caminho de certificação PKI antes que um determinado arquivo executável seja autorizado a ser executado.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 (Padrão) | Desabilitado: não impõe a validação. |
| 1 | Habilitado: impõe a validação. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Controle de Conta de Usuário: elevar somente executáveis assinados e validados |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
Controle da Conta de Usuário: apenas eleve os aplicativos UIAccess instalados em locais seguros Essa configuração de política controla se os aplicativos que solicitam a execução com um nível de integridade UIAccess (Acessibilidade da Interface do Usuário) devem residir em um local seguro no sistema de arquivos. Os locais seguros são limitados ao seguinte: – .. \Arquivos de Programa, incluindo subpastas – .. \Windows\system32\ - .. \Arquivos de Programa (x86), incluindo subpastas para versões de 64 bits do Windows Observação: o Windows impõe uma assinatura PKI (infraestrutura de chave pública) marcar em qualquer aplicativo interativo que solicite a execução com um nível de integridade do UIAccess independentemente do estado dessa configuração de segurança. As opções são: – Habilitado: (Padrão) Se um aplicativo reside em um local seguro no sistema de arquivos, ele será executado apenas com integridade UIAccess. - Desabilitado: um aplicativo é executado com integridade do UIAccess mesmo que não resida em um local seguro no sistema de arquivos.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 | Desabilitado: o aplicativo é executado com integridade do UIAccess mesmo que não resida em um local seguro. |
| 1 (Padrão) | Habilitado: o aplicativo é executado com integridade do UIAccess somente se ele residir em local seguro. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Controle de Conta de Usuário: elevar apenas aplicativos UIAccess que estejam instalados em locais seguros |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
UserAccountControl_RunAllAdministratorsInAdminApprovalMode
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_RunAllAdministratorsInAdminApprovalMode
Controle da Conta de Usuário: ative Administração Modo de Aprovação Essa configuração de política controla o comportamento de todas as configurações de política do UAC (Controle de Conta de Usuário) para o computador. Se você alterar essa configuração de política, deverá reiniciar seu computador. As opções são: – Habilitado: (Padrão) Administração Modo de Aprovação está habilitado. Essa política deve estar habilitada e as configurações relacionadas da política UAC também devem ser definidas adequadamente para permitir que a conta de administrador interna e todos os outros usuários que são membros do grupo Administradores sejam executados no modo de aprovação Administração. - Desabilitado: Administração Modo de Aprovação e todas as configurações de política UAC relacionadas estão desabilitadas.
Observação
Se essa configuração de política estiver desabilitada, a Central de Segurança notificará que a segurança geral do sistema operacional foi reduzida.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 | Disabled. |
| 1 (Padrão) | Enabled. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Controle de Conta de Usuário: executar todos os administradores no Modo de Aprovação de Administrador |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
Controle da conta de usuário: alterne para a área de trabalho segura ao solicitar elevação Essa configuração de política controla se o prompt de solicitação de elevação é exibido na área de trabalho interativa do usuário ou na área de trabalho segura. As opções são: – Habilitado: (Padrão) Todas as solicitações de elevação vão para a área de trabalho segura, independentemente das configurações de política de comportamento prompt para administradores e usuários padrão. - Desabilitado: todas as solicitações de elevação vão para a área de trabalho do usuário interativo. As configurações de política de comportamento prompt para administradores e usuários padrão são usadas.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 | Disabled. |
| 1 (Padrão) | Enabled. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Controle de Conta de Usuário: alternar para a área de trabalho segura ao pedir elevação |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
UserAccountControl_TypeOfAdminApprovalMode
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_TypeOfAdminApprovalMode
Controle da Conta de Usuário: configurar o tipo de modo de aprovação de Administração. Essa configuração de política controla se a proteção de privilégio aprimorada é aplicada a elevações do modo de aprovação do administrador. Se você alterar essa configuração de política, deverá reiniciar seu computador. Essa política só tem suporte na Área de Trabalho do Windows, não no Servidor. As opções são: - Administração Modo de Aprovação está em execução no modo herdado (padrão). - Administração Modo de Aprovação está em execução com proteção de privilégio aprimorada.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 1 (Padrão) | Modo de aprovação de Administração herdado. |
| 2 | Administração Modo de Aprovação com proteção de privilégios aprimorada. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Controle da conta de usuário: configurar o tipo de modo de aprovação de Administração |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
UserAccountControl_UseAdminApprovalMode
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_UseAdminApprovalMode
Controle da Conta de Usuário: use Administração Modo de Aprovação para a conta de administrador interna Essa configuração de política controla o comportamento do modo de aprovação de Administração para a conta de administrador interna. As opções são: – Habilitado: a conta interna do Administrador usa Administração Modo de Aprovação. Por padrão, qualquer operação que exija a elevação do privilégio solicitará que o usuário aprove a operação. - Desabilitado: (Padrão) A conta interna do Administrador executa todos os aplicativos com privilégio administrativo completo.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 1 | Habilitar. |
| 0 (Padrão) | Desabilitar. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Controle de Conta de Usuário: Modo de Aprovação de Administrador para a conta de Administrador Interna |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations
Controle da conta de usuário: virtualize falhas de gravação de arquivo e registro em locais por usuário Essa configuração de política controla se as falhas de gravação do aplicativo são redirecionadas para locais definidos do sistema de registros e arquivos. Essa configuração de política mitiga aplicativos executados como administrador e gravam dados de aplicativo em tempo de execução para %ProgramFiles%, %Windir%, %Windir%\system32 ou HKLM\Software. As opções são: – Habilitado: (Padrão) As falhas de gravação do aplicativo são redirecionadas em tempo de execução para locais de usuário definidos para o sistema de arquivos e o registro. - Desabilitado: os aplicativos que gravam dados em locais protegidos falham.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 | Disabled. |
| 1 (Padrão) | Enabled. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Controle de Conta de Usuário: virtualizar falhas de gravação de arquivos e do Registro para locais por usuário |
| Caminho | Configurações do Windows Configurações > de segurança Opções > de segurança de políticas > locais |
Artigos relacionados
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de