Comentários

CSP de política – LocalPoliciesSecurityOptions

  • Artigo
  • 27 minutos para ler

Políticas localPoliciesSecurityOptions

LocalPoliciesSecurityOptions/Accounts_BlockMicrosoftAccounts
LocalPoliciesSecurityOptions/Accounts_EnableAdministratorAccountStatus
LocalPoliciesSecurityOptions/Accounts_EnableGuestAccountStatus
LocalPoliciesSecurityOptions/Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
LocalPoliciesSecurityOptions/Accounts_RenameAdministratorAccount
LocalPoliciesSecurityOptions/Accounts_RenameGuestAccount
LocalPoliciesSecurityOptions/Devices_AllowUndockWithoutHavingToLogon
LocalPoliciesSecurityOptions/Devices_AllowedToFormatAndEjectRemovableMedia
LocalPoliciesSecurityOptions/Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters
LocalPoliciesSecurityOptions/Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly
LocalPoliciesSecurityOptions/InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked
LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayLastSignedIn
LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayUsernameAtSignIn
LocalPoliciesSecurityOptions/InteractiveLogon_DoNotRequireCTRLALTDEL
LocalPoliciesSecurityOptions/InteractiveLogon_MachineInactivityLimit
LocalPoliciesSecurityOptions/InteractiveLogon_MessageTextForUsersAttemptingToLogOn
LocalPoliciesSecurityOptions/InteractiveLogon_MessageTitleForUsersAttemptingToLogOn
LocalPoliciesSecurityOptions/InteractiveLogon_SmartCardRemovalBehavior
LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsAlways
LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees
LocalPoliciesSecurityOptions/MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers
LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsAlways
LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees
LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts
LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares
LocalPoliciesSecurityOptions/NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares
LocalPoliciesSecurityOptions/NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM
LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM
LocalPoliciesSecurityOptions/NetworkSecurity_AllowPKU2UAuthenticationRequests
LocalPoliciesSecurityOptions/NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange
LocalPoliciesSecurityOptions/NetworkSecurity_LANManagerAuthenticationLevel
LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients
LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers
LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AddRemoteServerExceptionsForNTLMAuthentication
LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AuditIncomingNTLMTraffic
LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_IncomingNTLMTraffic
LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_OutgoingNTLMTrafficToRemoteServers
LocalPoliciesSecurityOptions/Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn
LocalPoliciesSecurityOptions/Shutdown_ClearVirtualMemoryPageFile
LocalPoliciesSecurityOptions/UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
LocalPoliciesSecurityOptions/UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated
LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
LocalPoliciesSecurityOptions/UserAccountControl_RunAllAdministratorsInAdminApprovalMode
LocalPoliciesSecurityOptions/UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
LocalPoliciesSecurityOptions/UserAccountControl_UseAdminApprovalMode
LocalPoliciesSecurityOptions/UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

Observação

Para localizar formatos de dados (e outros detalhes relacionados à política), consulte o arquivo DDF de Política.

LocalPoliciesSecurityOptions/Accounts_BlockMicrosoftAccounts

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Essa configuração de política impede que os usuários adicionem novas contas da Microsoft neste computador.

Se você selecionar a opção "Os usuários não podem adicionar contas da Microsoft", os usuários não poderão criar novas contas da Microsoft neste computador. Alterne uma conta local para uma conta da Microsoft ou conecte uma conta de domínio a uma conta da Microsoft. Essa opção é a opção preferencial se você precisar limitar o uso de contas da Microsoft em sua empresa.

Se você selecionar a opção "Os usuários não podem adicionar ou fazer logon com contas da Microsoft", os usuários existentes da conta da Microsoft não poderão entrar no Windows. Selecionar essa opção pode tornar impossível para um administrador existente neste computador entrar e gerenciar o sistema.

Se você desabilitar ou não configurar essa política (recomendado), os usuários poderão usar contas da Microsoft com Windows.

Essa política dá suporte ao seguinte:

  • O tipo de valor com suporte é inteiro.
  • As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Informações da Política de Grupo:

  • Nome amigável da Política de Grupo: Contas: Bloquear contas da Microsoft
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

A lista a seguir mostra os valores com suporte:

  • 0 - desabilitado (os usuários poderão usar contas da Microsoft com Windows).
  • 1 - habilitado (os usuários não podem adicionar contas da Microsoft).

LocalPoliciesSecurityOptions/Accounts_EnableAdministratorAccountStatus

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Essa configuração permite que o administrador habilite a conta de Administrador local.

Essa política dá suporte ao seguinte:

  • O tipo de valor com suporte é inteiro.
  • As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Informações da Política de Grupo:

  • Nome amigável da Política de Grupo: Contas: Habilitar Status da Conta de Administrador
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

A lista a seguir mostra os valores com suporte:

  • 0 - desabilitado (a conta de administrador local está desabilitada).
  • 1 - habilitado (a conta de administrador local está habilitada).
**LocalPoliciesSecurityOptions/Accounts_EnableGuestAccountStatus**
Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Essa configuração permite que o administrador habilite a conta de Administrador convidado.

Essa política dá suporte ao seguinte:

  • O tipo de valor com suporte é inteiro.
  • As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Informações da Política de Grupo:

  • Nome amigável da Política de Grupo: Contas: Habilitar Status da Conta de Convidado
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

A lista a seguir mostra os valores com suporte:

  • 0 - desabilitado (a conta de administrador local está desabilitada).
  • 1 - habilitado (a conta de administrador local está habilitada).

LocalPoliciesSecurityOptions/Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Contas: Limitar o uso em contas locais de senhas em branco somente para logon no console

Essa configuração de segurança determina se as contas locais que não são protegidas por senha podem ser usadas para entrar de locais diferentes do console do computador físico. Se habilitadas, as contas locais que não estão protegidas por senha só poderão entrar no teclado do computador.

Padrão: Habilitado

Aviso

Os computadores que não estão em locais fisicamente seguros sempre devem impor políticas de senha fortes para todas as contas de usuário locais. Caso contrário, qualquer pessoa com acesso físico ao computador poderá entrar usando uma conta de usuário que não tenha uma senha. Isso é especialmente importante para computadores portáteis.

Se você aplicar essa política de segurança ao grupo Todos, ninguém poderá entrar por meio dos Serviços de Área de Trabalho Remota.

Essa configuração não afeta a entrada que usa contas de domínio. É possível que aplicativos que usam a entrada interativa remota ignorem essa configuração.

Essa política dá suporte ao seguinte:

  • O tipo de valor com suporte é inteiro.
  • As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Informações da Política de Grupo:

  • Nome amigável da Política de Grupo: Contas: limitar o uso de senhas em branco da conta local somente para logon do console
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

Valores válidos:

  • 0 – desabilitada – contas locais que não são protegidas por senha podem ser usadas para entrar de locais diferentes do console do computador físico.
  • 1 - habilitado - contas locais que não estão protegidas por senha só poderão entrar no teclado do computador.

LocalPoliciesSecurityOptions/Accounts_RenameAdministratorAccount

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Contas: Renomear conta de administrador

Essa configuração de segurança determina se um nome de conta diferente está associado ao SID (identificador de segurança) do Administrador da conta. Renomear a conta de Administrador conhecida torna um pouco mais difícil para pessoas não autorizadas adivinhar essa combinação de nome de usuário e senha com privilégios.

Padrão: Administrador

Essa política dá suporte ao seguinte:

  • O tipo de valor com suporte é cadeia de caracteres.
  • As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Informações da Política de Grupo:

  • Nome amigável da Política de Grupo: Contas: Renomear conta de administrador
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/Accounts_RenameGuestAccount

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Contas: Renomear conta de convidado

Essa configuração de segurança determina se um nome de conta diferente está associado ao SID (identificador de segurança) da conta "Convidado". Renomear a conta convidado conhecida torna um pouco mais difícil para pessoas não autorizadas adivinhar essa combinação de nome de usuário e senha.

Padrão: Convidado

Essa política dá suporte ao seguinte:

  • O tipo de valor com suporte é cadeia de caracteres.
  • As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Informações da Política de Grupo:

  • Nome amigável da Política de Grupo: Contas: Renomear conta de convidado
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/Devices_AllowUndockWithoutHavingToLogon

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Dispositivos: permitir desencaixamento sem precisar entrar

Essa configuração de segurança determina se um computador portátil pode ser desencaixado sem precisar entrar. Se essa política estiver habilitada, a entrada não será necessária e um botão ejetar hardware externo poderá ser usado para desencaixar o computador. Se desabilitado, um usuário deve entrar e ter o privilégio Remover computador da estação de encaixe para desencaixar o computador.

Padrão: Habilitado

Cuidado

Desabilitar essa política pode tentar que os usuários tentem remover fisicamente o laptop de sua estação de encaixe usando métodos diferentes do botão de ejeção de hardware externo. Como isso pode causar danos ao hardware, essa configuração, em geral, só deve ser desabilitada em configurações de laptop fisicamente protegíveis.

Informações da Política de Grupo:

  • Nome amigável da POLÍTICA de Grupo: Dispositivos: Permitir desencaixamento sem precisar fazer logon
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/Devices_AllowedToFormatAndEjectRemovableMedia

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Dispositivos: Permissão para formatar e ejetar a mídia removível

Essa configuração de segurança determina quem tem permissão para formatar e ejetar mídia NTFS removível. Essa funcionalidade pode ser fornecida a:

  • Administradores.
  • Administradores e usuários interativos.

Padrão: essa política não está definida e somente os administradores têm essa capacidade.

Informações da Política de Grupo:

  • Nome amigável da POLÍTICA de Grupo: Dispositivos: permitido formatar e ejetar mídia removível
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Dispositivos: impedir que os usuários instalem drivers de impressora ao se conectar a impressoras compartilhadas

Para que um computador imprima em uma impressora compartilhada, o driver dessa impressora compartilhada deve ser instalado no computador local. Essa configuração de segurança determina quem tem permissão para instalar um driver de impressora como parte da conexão com uma impressora compartilhada. Se essa configuração estiver habilitada, somente os Administradores poderão instalar um driver de impressora como parte da conexão com uma impressora compartilhada. Se essa configuração estiver desabilitada, qualquer usuário poderá instalar um driver de impressora como parte da conexão com uma impressora compartilhada.

Padrão em servidores: Padrão Habilitado em estações de trabalho: Desabilitado

Observação

Essa configuração não afeta a capacidade de adicionar uma impressora local. Essa configuração não afeta os Administradores.

Informações da Política de Grupo:

  • Nome amigável da POLÍTICA de Grupo: Dispositivos: impedir que os usuários instalem drivers de impressora
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Dispositivos: Restringir o acesso ao CD-ROM somente para usuário conectado localmente

Essa configuração de segurança determina se um CD-ROM pode ser acessado simultaneamente por usuários locais e remotos.

Se essa política estiver habilitada, ela permitirá que apenas o usuário conectado interativamente acesse a mídia de CD-ROM removível. Se essa política estiver habilitada e ninguém estiver conectado interativamente, o CD-ROM poderá ser acessado pela rede.

Padrão: essa política não está definida e o acesso ao CD-ROM não é restrito ao usuário conectado localmente.

Informações da Política de Grupo:

  • Nome amigável da POLÍTICA de Grupo: Dispositivos: restringir o acesso de CD-ROM somente ao usuário conectado localmente
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Logon interativo: exibir informações do usuário quando a sessão estiver bloqueada

Essa política dá suporte ao seguinte:

  • O tipo de valor com suporte é inteiro.
  • As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Informações da Política de Grupo:

  • Nome amigável da POLÍTICA de Grupo: Logon interativo: exibir informações do usuário quando a sessão estiver bloqueada
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

Valores válidos:

  • 1 - Nome de exibição do usuário, domínio e nomes de usuário.
  • 2 - Somente nome de exibição do usuário.
  • 3 - Não exibir informações do usuário.

LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayLastSignedIn

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Logon interativo: não exibir último conectado

Essa configuração de segurança determina se Windows tela de entrada mostrará o nome de usuário da última pessoa que entrou neste computador.

Se essa política estiver habilitada, o nome de usuário não será mostrado.

Se essa política estiver desabilitada, o nome de usuário será mostrado.

Padrão: Desabilitado

Essa política dá suporte ao seguinte:

  • O tipo de valor com suporte é inteiro.
  • As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Informações da Política de Grupo:

  • Nome amigável da POLÍTICA de Grupo: Logon interativo: não exibir o último logon
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

Valores válidos:

  • 0 - desabilitado (o nome de usuário será mostrado).
  • 1 - habilitado (o nome de usuário não será mostrado).

LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayUsernameAtSignIn

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Logon interativo: não exibir o nome de usuário ao conectar

Essa configuração de segurança determina se o nome de usuário da pessoa que está entrando nesse computador aparece Windows entrada, depois que as credenciais são inseridas e antes que a área de trabalho do computador seja mostrada.

Se essa política estiver habilitada, o nome de usuário não será mostrado.

Se essa política estiver desabilitada, o nome de usuário será mostrado.

Padrão: Desabilitado

Essa política dá suporte ao seguinte:

  • O tipo de valor com suporte é inteiro.
  • As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Informações da Política de Grupo:

  • Nome amigável da POLÍTICA de Grupo: Logon interativo: não exibir o nome de usuário na entrada
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

Valores válidos:

  • 0 - desabilitado (o nome de usuário será mostrado).
  • 1 - habilitado (o nome de usuário não será mostrado).

LocalPoliciesSecurityOptions/InteractiveLogon_DoNotRequireCTRLALTDEL

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Logon interativo: não exige CTRL+ALT+DEL

Essa configuração de segurança determina se pressionar CTRL+ALT+DEL é necessário antes que um usuário possa entrar.

Se essa política estiver habilitada em um computador, um usuário não precisará pressionar CTRL+ALT+DEL para entrar. Não precisar pressionar CTRL+ALT+DEL deixa os usuários suscetíveis a ataques que tentam interceptar as senhas dos usuários. Exigir CTRL+ALT+DEL antes que os usuários entrem garante que os usuários estejam se comunicando por meio de um caminho confiável ao inserir suas senhas.

Se essa política estiver desabilitada, qualquer usuário será necessário pressionar CTRL+ALT+DEL antes de fazer logon no Windows.

Padrão em computadores de domínio: habilitado: pelo menos Windows 8/Desabilitado: Windows 7 ou anterior. Padrão em computadores autônomos: habilitado

Essa política dá suporte ao seguinte:

  • O tipo de valor com suporte é inteiro.
  • As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Informações da Política de Grupo:

  • Nome amigável da POLÍTICA de Grupo: Logon interativo: não é necessário CTRL+ALT+DEL
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

Valores válidos:

  • 0 - desabilitado.
  • 1 - habilitado (não é necessário que um usuário pressione CTRL+ALT+DEL para entrar).

LocalPoliciesSecurityOptions/InteractiveLogon_MachineInactivityLimit

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Logon interativo: limite de inatividade de computador

Windows notará a inatividade de uma sessão de entrada e, se a quantidade de tempo inativo exceder o limite de inatividade, a proteção de tela será executada, bloqueando a sessão.

Padrão: não imposto

Essa política dá suporte ao seguinte:

  • O tipo de valor com suporte é inteiro.
  • As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Informações da Política de Grupo:

  • Nome amigável da POLÍTICA de Grupo: Logon interativo: Limite de inatividade do computador
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

Valores válidos: de 0 a 599940, em que o valor é a quantidade de tempo de inatividade (em segundos) após o qual a sessão será bloqueada. Se estiver definido como zero (0), a configuração será desabilitada.

LocalPoliciesSecurityOptions/InteractiveLogon_MessageTextForUsersAttemptingToLogOn

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Logon interativo: texto da mensagem para usuários que tentam entrar

Essa configuração de segurança especifica uma mensagem de texto exibida aos usuários quando eles se conectarem.

Esse texto geralmente é usado por motivos legais. Por exemplo, para avisar os usuários sobre as ramificações de usar incorretamente as informações da empresa ou avisá-los de que suas ações podem ser auditadas.

Padrão: nenhuma mensagem

Essa política dá suporte ao seguinte:

  • O tipo de valor com suporte é cadeia de caracteres.
  • As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Informações da Política de Grupo:

  • Nome amigável da POLÍTICA de Grupo: Logon interativo: texto da mensagem para usuários que tentam fazer logon
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Logon interativo: título da mensagem para os usuários que estão tentando entrar

Essa configuração de segurança permite que a especificação de um título apareça na barra de título da janela que contém o logon interativo: texto da mensagem para os usuários que tentam entrar.

Padrão: nenhuma mensagem

Essa política dá suporte ao seguinte:

  • O tipo de valor com suporte é cadeia de caracteres.
  • As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Informações da Política de Grupo:

  • Nome amigável da POLÍTICA de Grupo: Logon interativo: título da mensagem para usuários que tentam fazer logon
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/InteractiveLogon_SmartCardRemovalBehavior

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Logon interativo: Comportamento de remoção de cartão inteligente

Essa configuração de segurança determina o que acontece quando o cartão inteligente de um usuário conectado é removido do leitor de cartão inteligente.

As opções são:

  • Nenhuma Ação
  • Bloquear Estação de Trabalho
  • Forçar Logoff
  • Desconectar se uma sessão dos Serviços de Área de Trabalho Remota

Se você clicar em Bloquear Estação de Trabalho na caixa de diálogo Propriedades dessa política, a estação de trabalho será bloqueada quando o cartão inteligente for removido, permitindo que os usuários saiam da área, leve seu cartão inteligente com eles e ainda mantenha uma sessão protegida.

Se você clicar em Forçar Logoff na caixa de diálogo Propriedades dessa política, o usuário será automaticamente desativado quando o cartão inteligente for removido.

Se você clicar em Desconectar em uma sessão dos Serviços de Área de Trabalho Remota, a remoção do cartão inteligente desconectará a sessão sem fazer logoff do usuário. Essa política permite que o usuário insira o cartão inteligente e retome a sessão posteriormente ou em outro computador equipado com leitor de cartão inteligente, sem precisar entrar novamente. Se a sessão for local, essa política funcionará de forma idêntica à Estação de Trabalho de Bloqueio.

Observação

Os Serviços de Área de Trabalho Remota eram chamados de Serviços de Terminal em versões anteriores do Windows Server.

Padrão: essa política não está definida, o que significa que o sistema a trata como nenhuma ação.

No Windows Vista e acima: para que essa configuração funcione, o serviço política de remoção de cartão inteligente deve ser iniciado.

Informações da Política de Grupo:

  • Nome amigável da GP: Logon interativo: comportamento de remoção de cartão inteligente
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsAlways

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Cliente de rede Microsoft: Assinar comunicações digitalmente (sempre)

Essa configuração de segurança determina se a assinatura de pacote é exigida pelo componente de cliente SMB. O protocolo SMB (server message block) fornece a base para o arquivo da Microsoft, o compartilhamento de impressão e muitas outras operações de rede, como administração Windows remota. Para evitar ataques man-in-the-middle que modificam pacotes SMB em trânsito, o protocolo SMB dá suporte à assinatura digital de pacotes SMB. Essa configuração de política determina se a assinatura de pacote SMB deve ser negociada antes que uma comunicação adicional com um servidor SMB seja permitida.

Se essa configuração estiver habilitada, o cliente de rede da Microsoft não se comunicará com um servidor de rede da Microsoft, a menos que esse servidor concorde em executar a assinatura de pacote SMB. Se essa política estiver desabilitada, a assinatura de pacote SMB será negociada entre o cliente e o servidor.

Padrão: Desabilitado

Observação

Todos Windows sistemas operacionais dão suporte a um componente SMB do lado do cliente e a um componente SMB do lado do servidor. Habilitar ou exigir a assinatura de pacotes para componentes SMB do lado do cliente e do servidor é controlado pelas quatro configurações de política a seguir:

  • Cliente de rede da Microsoft: assinar comunicações digitalmente (sempre) – controla se o componente SMB do lado do cliente requer ou não a assinatura de pacotes.
  • Cliente de rede da Microsoft: assinar comunicações digitalmente (se o servidor concordar) – controla se o componente SMB do lado do cliente tem ou não a assinatura de pacotes habilitada.
  • Servidor de rede da Microsoft: assinar comunicações digitalmente (sempre) – controla se o componente SMB do lado do servidor requer ou não a assinatura de pacotes.
  • Servidor de rede da Microsoft: assinar comunicações digitalmente (se o cliente concordar) – controla se o componente SMB do lado do servidor tem ou não a assinatura de pacotes habilitada.

A assinatura de pacotes SMB pode prejudicar significativamente o desempenho do SMB, dependendo da versão do dialeto, da versão do sistema operacional, dos tamanhos de arquivo, dos recursos de descarregamento do processador e dos comportamentos de E/S do aplicativo. Para obter mais informações, referência: desempenho reduzido após a criptografia SMB ou assinatura SMB ser habilitada – Windows Server | Microsoft Docs.

Informações da Política de Grupo:

  • Nome amigável da POLÍTICA de Grupo: cliente de rede da Microsoft: assinar comunicações digitalmente (sempre)
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Cliente de rede Microsoft: Assinar comunicações digitalmente (se o servidor concordar)

Essa configuração de segurança determina se o cliente SMB tenta negociar a assinatura de pacote SMB.

O protocolo SMB (server message block) fornece a base para o arquivo da Microsoft, o compartilhamento de impressão e muitas outras operações de rede, como administração Windows remota. Para evitar ataques man-in-the-middle que modificam pacotes SMB em trânsito, o protocolo SMB dá suporte à assinatura digital de pacotes SMB. Essa configuração de política determina se o componente cliente SMB tenta negociar a assinatura de pacote SMB quando ele se conecta a um servidor SMB.

Se essa configuração estiver habilitada, o cliente de rede da Microsoft solicitará que o servidor execute a assinatura de pacote SMB após a configuração da sessão. Se a assinatura de pacote tiver sido habilitada no servidor, a assinatura de pacotes será negociada. Se essa política estiver desabilitada, o cliente SMB nunca negociará a assinatura de pacote SMB.

Padrão: Habilitado

Observação

Todos Windows sistemas operacionais dão suporte a um componente SMB do lado do cliente e a um componente SMB do lado do servidor. Habilitar ou exigir a assinatura de pacotes para componentes SMB do lado do cliente e do servidor é controlado pelas quatro configurações de política a seguir:

  • Cliente de rede da Microsoft: assinar comunicações digitalmente (sempre) – controla se o componente SMB do lado do cliente requer ou não a assinatura de pacotes.
  • Cliente de rede da Microsoft: assinar comunicações digitalmente (se o servidor concordar) – controla se o componente SMB do lado do cliente tem ou não a assinatura de pacotes habilitada.
  • Servidor de rede da Microsoft: assinar comunicações digitalmente (sempre) – controla se o componente SMB do lado do servidor requer ou não a assinatura de pacotes.
  • Servidor de rede da Microsoft: assinar comunicações digitalmente (se o cliente concordar) – controla se o componente SMB do lado do servidor tem ou não a assinatura de pacotes habilitada. Se a assinatura SMB do lado do cliente e do servidor estiver habilitada e o cliente estabelecer uma conexão SMB 1.0 com o servidor, haverá uma tentativa de assinatura SMB.

A assinatura de pacotes SMB pode prejudicar significativamente o desempenho do SMB, dependendo da versão do dialeto, da versão do sistema operacional, dos tamanhos de arquivo, dos recursos de descarregamento do processador e dos comportamentos de E/S do aplicativo. Essa configuração só se aplica a conexões SMB 1.0. Para obter mais informações, referência: desempenho reduzido após a criptografia SMB ou assinatura SMB ser habilitada – Windows Server | Microsoft Docs.

Informações da Política de Grupo:

  • Nome amigável da POLÍTICA de Grupo: cliente de rede da Microsoft: assinar comunicações digitalmente (se o servidor concordar)
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Cliente de rede da Microsoft: enviar senha não criptografada para se conectar a servidores SMB de terceiros

Se essa configuração de segurança estiver habilitada, o redirecionador SMB (Server Message Block) poderá enviar senhas de texto não criptografado para servidores SMB não Microsoft que não dão suporte à criptografia de senha durante a autenticação.

O envio de senhas não criptografadas é um risco de segurança.

Padrão: Desabilitado

Informações da Política de Grupo:

  • Nome amigável da GP: cliente de rede da Microsoft: enviar senha não criptografada para servidores SMB de terceiros
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/MicrosoftNetworkServer_AmountOfIdleTimeRequiredBeforeSuspendingSession

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Aviso

A partir Windows 10 versão 1803, essa política foi preterida.

Servidor de rede da Microsoft: quantidade de tempo ocioso necessário antes de suspender uma sessão

Essa configuração de segurança determina a quantidade de tempo ocioso contínuo que deve passar em uma sessão de SMB (Bloco de Mensagens do Servidor) antes que a sessão seja suspensa devido à inatividade.

Os administradores podem usar essa política para controlar quando um computador suspende uma sessão SMB inativa. Se a atividade do cliente for retomada, a sessão será restabelecida automaticamente.

Para essa configuração de política, um valor de 0 significa desconectar uma sessão ociosa o mais rápido possível. O valor máximo é 99999, que é de 208 dias; na verdade, esse valor desabilita a política.

Padrão: essa política não está definida, o que significa que o sistema a trata como 15 minutos para servidores e indefinida para estações de trabalho.

Informações da Política de Grupo:

  • Nome amigável da Política de Grupo: Servidor de rede da Microsoft: quantidade de tempo ocioso necessário antes de suspender a sessão
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsAlways

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Servidor de rede Microsoft: assinar comunicações digitalmente (sempre)

Essa configuração de segurança determina se a assinatura de pacote é exigida pelo componente de servidor SMB.

O protocolo SMB (server message block) fornece a base para o arquivo da Microsoft, o compartilhamento de impressão e muitas outras operações de rede, como administração Windows remota. Para evitar ataques man-in-the-middle que modificam pacotes SMB em trânsito, o protocolo SMB dá suporte à assinatura digital de pacotes SMB. Essa configuração de política determina se a assinatura de pacote SMB deve ser negociada antes que uma comunicação adicional com um cliente SMB seja permitida.

Se essa configuração estiver habilitada, o servidor de rede da Microsoft não se comunicará com um cliente de rede da Microsoft, a menos que esse cliente concorde em executar a assinatura de pacote SMB. Se essa configuração estiver desabilitada, a assinatura de pacote SMB será negociada entre o cliente e o servidor.

Padrão: desabilitado para servidores membros. Habilitado para controladores de domínio.

Observação

Todos Windows sistemas operacionais dão suporte a um componente SMB do lado do cliente e a um componente SMB do lado do servidor. Habilitar ou exigir a assinatura de pacotes para componentes SMB do lado do cliente e do servidor é controlado pelas quatro configurações de política a seguir:

  • Cliente de rede da Microsoft: assinar comunicações digitalmente (sempre) – controla se o componente SMB do lado do cliente requer ou não a assinatura de pacotes.
  • Cliente de rede da Microsoft: assinar comunicações digitalmente (se o servidor concordar) – controla se o componente SMB do lado do cliente tem ou não a assinatura de pacotes habilitada.
  • Servidor de rede da Microsoft: assinar comunicações digitalmente (sempre) – controla se o componente SMB do lado do servidor requer ou não a assinatura de pacotes.
  • Servidor de rede da Microsoft: assinar comunicações digitalmente (se o cliente concordar) – controla se o componente SMB do lado do servidor tem ou não a assinatura de pacotes habilitada.

Da mesma forma, se a assinatura SMB do lado do cliente for necessária, esse cliente não poderá estabelecer uma sessão com servidores que não têm a assinatura de pacotes habilitada. Por padrão, a assinatura SMB do lado do servidor é habilitada somente em controladores de domínio. Se a assinatura SMB do lado do servidor estiver habilitada, a assinatura de pacotes SMB será negociada com clientes que têm a assinatura SMB do lado do cliente habilitada. A assinatura de pacotes SMB pode prejudicar significativamente o desempenho do SMB, dependendo da versão do dialeto, da versão do sistema operacional, dos tamanhos de arquivo, dos recursos de descarregamento do processador e dos comportamentos de E/S do aplicativo. Para obter mais informações, referência: desempenho reduzido após a criptografia SMB ou assinatura SMB ser habilitada – Windows Server | Microsoft Docs.

Informações da Política de Grupo:

  • Nome amigável da POLÍTICA de Grupo: servidor de rede da Microsoft: assinar comunicações digitalmente (sempre)
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Servidor de rede Microsoft: assinar comunicações digitalmente (se o cliente concordar)

Essa configuração de segurança determina se o servidor SMB negociará a assinatura de pacote SMB com clientes que o solicitarem.

O protocolo SMB (server message block) fornece a base para o arquivo da Microsoft, o compartilhamento de impressão e muitas outras operações de rede, como administração Windows remota. Para evitar ataques man-in-the-middle que modificam pacotes SMB em trânsito, o protocolo SMB dá suporte à assinatura digital de pacotes SMB. Essa configuração de política determina se o servidor SMB negociará a assinatura de pacote SMB quando um cliente SMB o solicitar.

Se essa configuração estiver habilitada, o servidor de rede da Microsoft negociará a assinatura de pacote SMB conforme solicitado pelo cliente. Ou seja, se a assinatura de pacote tiver sido habilitada no cliente, a assinatura de pacotes será negociada. Se essa política estiver desabilitada, o cliente SMB nunca negociará a assinatura de pacote SMB.

Padrão: habilitado somente em controladores de domínio.

Observação

Todos Windows sistemas operacionais dão suporte a um componente SMB do lado do cliente e a um componente SMB do lado do servidor. Habilitar ou exigir a assinatura de pacotes para componentes SMB do lado do cliente e do servidor é controlado pelas quatro configurações de política a seguir:

  • Cliente de rede da Microsoft: assinar comunicações digitalmente (sempre) – controla se o componente SMB do lado do cliente requer ou não a assinatura de pacotes.
  • Cliente de rede da Microsoft: assinar comunicações digitalmente (se o servidor concordar) – controla se o componente SMB do lado do cliente tem ou não a assinatura de pacotes habilitada.
  • Servidor de rede da Microsoft: assinar comunicações digitalmente (sempre) – controla se o componente SMB do lado do servidor requer ou não a assinatura de pacotes.
  • Servidor de rede da Microsoft: assinar comunicações digitalmente (se o cliente concordar) – controla se o componente SMB do lado do servidor tem ou não a assinatura de pacotes habilitada. Se a assinatura SMB do lado do cliente e do servidor estiver habilitada e o cliente estabelecer uma conexão SMB 1.0 com o servidor, haverá uma tentativa de assinatura SMB.

A assinatura de pacotes SMB pode prejudicar significativamente o desempenho do SMB, dependendo da versão do dialeto, da versão do sistema operacional, dos tamanhos de arquivo, dos recursos de descarregamento do processador e dos comportamentos de E/S do aplicativo. Essa configuração só se aplica a conexões SMB 1.0. Para obter mais informações, referência: desempenho reduzido após a criptografia SMB ou assinatura SMB ser habilitada – Windows Server | Microsoft Docs.

Informações da Política de Grupo:

  • Nome amigável da POLÍTICA de Grupo: servidor de rede da Microsoft: assinar comunicações digitalmente (se o cliente concordar)
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Acesso à rede: não permitir enumeração anônima de contas SAM

Essa configuração de segurança determina quais outras permissões serão concedidas para conexões anônimas com o computador.

Windows permite que usuários anônimos executem determinadas atividades, como enumerar os nomes de contas de domínio e compartilhamentos de rede. Esse recurso é conveniente, por exemplo, quando um administrador deseja conceder acesso a usuários em um domínio confiável que não mantém uma relação de confiança recíproca.

Essa opção de segurança permite que mais restrições sejam colocadas em conexões anônimas da seguinte maneira:

Habilitado: não permitir a enumeração de contas SAM. Essa opção substitui Todos por Usuários Autenticados nas permissões de segurança para recursos. Desabilitado: sem restrições adicionais. Dependa de permissões padrão.

Padrão em estações de trabalho: Habilitada Padrão no servidor: Habilitada

Importante

Essa política não tem impacto sobre controladores de domínio.

Informações da Política de Grupo:

  • Nome amigável da POLÍTICA de Grupo: Acesso à rede: não permitir enumeração anônima de contas SAM
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Acesso à rede: não permitir enumeração anônima de compartilhamentos e contas SAM

Essa configuração de segurança determina se a enumeração anônima de compartilhamentos e contas SAM é permitida.

Windows permite que usuários anônimos executem determinadas atividades, como enumerar os nomes de contas de domínio e compartilhamentos de rede. Esse recurso é conveniente, por exemplo, quando um administrador deseja conceder acesso a usuários em um domínio confiável que não mantém uma relação de confiança recíproca. Se você não quiser permitir a enumeração anônima de compartilhamentos e contas SAM, habilite essa política.

Padrão: Desabilitado

Informações da Política de Grupo:

  • Nome amigável da POLÍTICA de Grupo: Acesso à rede: não permitir enumeração anônima de compartilhamentos e contas SAM
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Acesso de rede: acesso anônimo restrito a pipes nomeados e compartilhamentos

Quando habilitada, essa configuração de segurança restringe o acesso anônimo a compartilhamentos e pipes às configurações para:

  • Acesso à rede: pipes nomeados que podem ser acessados anonimamente.
  • Acesso à rede: compartilhamentos que podem ser acessados anonimamente.
  • Padrão: habilitado.

Informações da Política de Grupo:

  • Nome amigável da Política de Grupo: Acesso à rede: restringir o acesso anônimo a pipes e compartilhamentos nomeados
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Acesso à rede: restringir clientes autorizados a fazer chamadas remotas ao SAM

Essa configuração de política permite restringir conexões RPC remotas ao SAM.

Se não estiver selecionado, o descritor de segurança padrão será usado.

Essa política tem suporte em pelo menos Windows Server 2016.

Informações da Política de Grupo:

  • Nome amigável da POLÍTICA de Grupo: Acesso à rede: restringir clientes com permissão para fazer chamadas remotas ao SAM
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Segurança de rede: permitir que o sistema local use a identidade do computador para NTLM.

Quando os serviços se conectam a dispositivos que executam versões do sistema operacional Windows anteriores ao Windows Vista ou ao Windows Server 2008, os serviços que são executados como Sistema Local e usam SPNEGO (Negotiate) que são revertidos para NTLM serão autenticados anonimamente. No Windows Server 2008 R2 e Windows 7 e posterior, se um serviço se conectar a um computador que executa o Windows Server 2008 ou o Windows Vista, o serviço do sistema usará a identidade do computador.

Quando um serviço se conecta à identidade do dispositivo, há suporte para assinatura e criptografia para fornecer proteção de dados. (Quando um serviço se conecta anonimamente, uma chave de sessão gerada pelo sistema é criada, o que não fornece proteção, mas permite que os aplicativos assinem e criptografem dados sem erros. A autenticação anônima usa uma sessão NULL, que é uma sessão com um servidor no qual nenhuma autenticação de usuário é executada; e, portanto, o acesso anônimo é permitido.)

Informações da Política de Grupo:

  • Nome amigável da Política de Grupo: Segurança de rede: permitir que o sistema local use a identidade do computador para NTLM
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

Valores válidos:

  • 0 - Desabilitado.
  • 1 - Habilitado (Permitir que o Sistema Local use a identidade do computador para NTLM).

LocalPoliciesSecurityOptions/NetworkSecurity_AllowPKU2UAuthenticationRequests

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Segurança de rede: permita que solicitações de autenticação PKU2U para este computador usem identidades online.

Essa política será desativada por padrão em computadores ingressados no domínio. Essa desabilitação impediria a autenticação de identidades online no computador ingressado no domínio.

Essa política dá suporte ao seguinte:

  • O tipo de valor com suporte é inteiro.
  • As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Informações da Política de Grupo:

  • Nome amigável da GP: Segurança de rede: permitir que solicitações de autenticação PKU2U para este computador usem identidades online.
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

Valores válidos:

  • 0 - desabilitado.
  • 1 - habilitado (permitir que solicitações de autenticação PKU2U para este computador usem identidades online).

LocalPoliciesSecurityOptions/NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Segurança de rede: não armazene o valor de hash do LAN Manager na próxima alteração de senha

Essa configuração de segurança determina se, na próxima alteração de senha, o valor de hash do LAN Manager (LM) para a nova senha será armazenado. O hash LM é relativamente fraco e propenso a ataques, em comparação com o hash de Windows NT criptograficamente mais forte. Como o hash LM é armazenado no computador local no banco de dados de segurança, as senhas podem ser comprometidas se o banco de dados de segurança for atacado.

  • Padrão no Windows Vista e acima: Habilitado
  • Padrão no Windows XP: Desabilitado

Informações da Política de Grupo:

  • Nome amigável da POLÍTICA de Grupo: Segurança de rede: não armazene o valor de hash do LAN Manager na próxima alteração de senha
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/NetworkSecurity_LANManagerAuthenticationLevel

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Nível de autenticação do Gerenciador de LAN de segurança de rede

Essa configuração de segurança determina qual protocolo de autenticação de desafio/resposta é usado para logon de rede. Essa opção afeta o nível de protocolo de autenticação usado pelos clientes, o nível de segurança de sessão negociado e o nível de autenticação aceito pelos servidores da seguinte maneira:

  • Enviar respostas LM e NTLM: os clientes usam autenticação LM e NTLM e nunca usam segurança de sessão NTLMv2; os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2.

  • Enviar LM e NTLM – use a segurança de sessão NTLMv2 se negociada: os clientes usam a autenticação LM e NTLM e usam a segurança de sessão NTLMv2 se o servidor der suporte a ele; os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2.

  • Enviar somente resposta NTLM: os clientes usam apenas a autenticação NTLM e usam a segurança de sessão NTLMv2 se o servidor der suporte a ela; os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2.

  • Enviar somente resposta NTLMv2: os clientes usam somente autenticação NTLMv2 e usam a segurança de sessão NTLMv2 se o servidor der suporte a ela; os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2.

  • Enviar resposta NTLMv2 somente\recusar LM: os clientes usam somente autenticação NTLMv2 e usam a segurança de sessão NTLMv2 se o servidor der suporte a ela; controladores de domínio recusam LM (aceitam apenas autenticação NTLM e NTLMv2).

  • Enviar resposta NTLMv2 somente\recusar LM e NTLM: os clientes usam somente autenticação NTLMv2 e usam a segurança de sessão NTLMv2 se o servidor der suporte a ela; controladores de domínio recusam LM e NTLM (aceitam apenas autenticação NTLMv2).

  • Padrão:

  • windows XP: enviar respostas LM e NTLM.

  • Windows Server 2003: enviar somente resposta NTLM.

Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2: enviar somente resposta NTLMv2.

Informações da Política de Grupo:

  • Nome amigável da POLÍTICA de Grupo: Segurança de rede: nível de autenticação do LAN Manager
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Segurança de rede: segurança mínima de sessão para clientes com base em NTLM SSP (incluindo RPC seguro).

Essa configuração de segurança permite que um dispositivo cliente exija a negociação de criptografia de 128 bits e/ou segurança de sessão NTLMv2. Esses valores dependem do valor da configuração de segurança do Nível de Autenticação do LAN Manager. As opções são:

  • Exigir segurança de sessão NTLMv2: a conexão falhará se a integridade da mensagem não for negociada.

  • Exigir criptografia de 128 bits: a conexão falhará se a criptografia forte (128 bits) não for negociada.

  • Padrão:

  • Windows XP, Windows Vista, Windows Server 2003 e Windows Server 2008: Sem requisitos.

  • Windows 7 e Windows Server 2008 R2: exigir criptografia de 128 bits.

Informações da Política de Grupo:

  • Nome amigável da POLÍTICA de Grupo: Segurança de rede: segurança mínima de sessão para clientes com base em NTLM SSP (incluindo RPC seguro)
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Segurança de rede: Segurança mínima de sessão para servidores baseados em NTLM SSP (incluindo RPC seguro)

Essa configuração de segurança permite que um servidor exija a negociação de criptografia de 128 bits e/ou segurança de sessão NTLMv2. Esses valores dependem do valor da configuração de segurança do Nível de Autenticação do LAN Manager. As opções são:

  • Exigir segurança de sessão NTLMv2: a conexão falhará se a integridade da mensagem não for negociada.

  • Exigir criptografia de 128 bits. A conexão falhará se a criptografia forte (128 bits) não for negociada.

  • Padrão:

  • Windows XP, Windows Vista, Windows Server 2003 e Windows Server 2008: Sem requisitos.

  • Windows 7 e Windows Server 2008 R2: exigir criptografia de 128 bits.

Informações da Política de Grupo:

  • Nome amigável da GP: Segurança de rede: segurança mínima de sessão para servidores NTLM SSP baseados (incluindo RPC seguro)
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AddRemoteServerExceptionsForNTLMAuthentication

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Segurança de rede: Restringir NTLM: Adicionar exceções de servidor remoto para autenticação NTLM

Essa configuração de política permite que você crie uma lista de exceções de servidores remotos para os quais os clientes têm permissão para usar a autenticação NTLM, se a configuração de política "Segurança de Rede: Restringir NTLM: Tráfego NTLM de saída para servidores remotos" estiver configurada.

Se você definir essa configuração de política, poderá definir uma lista de servidores remotos para os quais os clientes têm permissão para usar a autenticação NTLM.

Se você não definir essa configuração de política, nenhuma exceção será aplicada.

O formato de nomenclatura para servidores nesta lista de exceções é o FQDN (nome de domínio totalmente qualificado) ou o nome de servidor NetBIOS usado pelo aplicativo, listado um por linha. Para garantir exceções, o nome usado por todos os aplicativos precisa estar na lista e, para garantir que uma exceção seja precisa, o nome do servidor deve ser listado em ambos os formatos de nomenclatura. Um único asterisco (*) pode ser usado em qualquer lugar na cadeia de caracteres como um caractere curinga.

Informações da Política de Grupo:

  • Nome amigável da GP: Segurança de rede: Restringir NTLM: adicionar exceções de servidor remoto para autenticação NTLM
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AuditIncomingNTLMTraffic

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Segurança de rede: Restringir NTLM: auditar o tráfego NTLM de entrada

Essa configuração de política permite que você audite o tráfego NTLM de entrada.

Se você selecionar "Desabilitar" ou não definir essa configuração de política, o servidor não registrará eventos para o tráfego NTLM de entrada.

Se você selecionar "Habilitar auditoria para contas de domínio", o servidor registrará eventos para solicitações de autenticação de passagem NTLM que seriam bloqueadas quando a configuração de política "Segurança de Rede: Restringir NTLM: tráfego NTLM de entrada" estiver definida como a opção "Negar todas as contas de domínio".

Se você selecionar "Habilitar auditoria para todas as contas", o servidor registrará eventos para todas as solicitações de autenticação NTLM que seriam bloqueadas quando a configuração de política "Segurança de Rede: Restringir NTLM: Tráfego NTLM de entrada" estiver definida como a opção "Negar todas as contas".

Essa política tem suporte em pelo menos Windows 7 ou Windows Server 2008 R2.

Observação

Os eventos de auditoria são registrados neste computador no Log "Operacional" localizado no Log de Aplicativos e Serviços/Microsoft/Windows/NTLM.

Informações da Política de Grupo:

  • Nome amigável da POLÍTICA de Grupo: Segurança de rede: Restringir NTLM: Auditar o tráfego NTLM de entrada
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_IncomingNTLMTraffic

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Segurança de rede: Restringir NTLM: Tráfego NTLM de entrada

Essa configuração de política permite negar ou permitir o tráfego NTLM de entrada.

Se você selecionar "Permitir tudo" ou não definir essa configuração de política, o servidor permitirá todas as solicitações de autenticação NTLM.

Se você selecionar "Negar todas as contas de domínio", o servidor negará solicitações de autenticação NTLM para entrada no domínio e exibirá um erro bloqueado de NTLM, mas permitirá a entrada da conta local.

Se você selecionar "Negar todas as contas", o servidor negará solicitações de autenticação NTLM do tráfego de entrada e exibirá um erro de NTLM bloqueado.

Essa política tem suporte em pelo menos Windows 7 ou Windows Server 2008 R2.

Observação

Os eventos de bloqueio são registrados neste computador no Log "Operacional" localizado no Log de Aplicativos e Serviços/Microsoft/Windows/NTLM.

Informações da Política de Grupo:

  • Nome amigável da POLÍTICA de Grupo: Segurança de rede: Restringir NTLM: tráfego NTLM de entrada
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_OutgoingNTLMTrafficToRemoteServers

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Segurança de rede: Restringir NTLM: Tráfego NTLM de saída para servidores remotos

Essa configuração de política permite negar ou auditar o tráfego NTLM de saída deste Windows 7 ou deste computador Windows Server 2008 R2 para qualquer servidor Windows remoto.

Se você selecionar "Permitir tudo" ou não definir essa configuração de política, o computador cliente poderá autenticar identidades em um servidor remoto usando a autenticação NTLM.

Se você selecionar "Auditar tudo", o computador cliente registra um evento para cada solicitação de autenticação NTLM em um servidor remoto. Esse registro em log permite identificar os servidores que recebem solicitações de autenticação NTLM do computador cliente.

Se você selecionar "Negar tudo", o computador cliente não poderá autenticar identidades em um servidor remoto usando a autenticação NTLM. Você pode usar a configuração de política "Segurança de rede: Restringir NTLM: Adicionar exceções de servidor remoto para autenticação NTLM" para definir uma lista de servidores remotos aos quais os clientes têm permissão para usar a autenticação NTLM.

Essa política tem suporte em pelo menos Windows 7 ou Windows Server 2008 R2.

Observação

Eventos de auditoria e bloqueio são registrados neste computador no Log "Operacional" localizado no Log de Aplicativos e Serviços/Microsoft/Windows/NTLM.

Informações da Política de Grupo:

  • Nome amigável da GP: Segurança de rede: Restringir NTLM: tráfego NTLM de saída para servidores remotos
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Desligamento: permitir que o sistema seja desligado sem precisar entrar

Essa configuração de segurança determina se um computador pode ser desligado sem precisar entrar Windows.

Quando essa política estiver habilitada, o comando Desligar estará disponível na Windows de logon.

Quando essa política estiver desabilitada, a opção de desligar o computador não aparecerá na tela Windows logon. Nesse caso, os usuários devem ser capazes de entrar no computador com êxito e fazer com que o usuário do sistema seja desligado imediatamente antes de executar um desligamento do sistema.

  • Padrão em estações de trabalho: Habilitada.
  • Padrão em servidores: desabilitado.

Essa política dá suporte ao seguinte:

  • O tipo de valor com suporte é inteiro.
  • As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Informações da Política de Grupo:

  • Nome amigável da Política de Grupo: Desligamento: permitir que o sistema seja desligado sem precisar fazer logon
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

Valores válidos:

  • 0 - desabilitado.
  • 1 - habilitado (permitir que o sistema seja desligado sem precisar entrar).

LocalPoliciesSecurityOptions/Shutdown_ClearVirtualMemoryPageFile

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Desligamento: Limpar arquivo de paginação de memória virtual

Essa configuração de segurança determina se o arquivo de paginação de memória virtual é limpo quando o sistema é desligado.

O suporte à memória virtual usa um arquivo de paginação do sistema para trocar páginas de memória para disco quando elas não são usadas. Em um sistema em execução, esse arquivo de página é aberto exclusivamente pelo sistema operacional e está bem protegido. No entanto, os sistemas configurados para permitir a inicialização para outros sistemas operacionais podem ter que garantir que o arquivo de paginação do sistema seja apagado quando esse sistema for desligado. Essa limpeza garante que as informações confidenciais da memória do processo que podem entrar no arquivo de página não estão disponíveis para um usuário não autorizado que gerencia acessar diretamente o arquivo de paginação.

Quando essa política está habilitada, ela faz com que o arquivo de paginação do sistema seja limpo após o desligamento limpo. Se você habilitar essa opção de segurança, o arquivo de hibernação (hiberfil.sys) também será zerado quando a hibernação estiver desabilitada.

Padrão: Desabilitado

Informações da Política de Grupo:

  • Nome amigável da Política de Grupo: Desligamento: Limpar arquivo de paginação de memória virtual
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Controle de Conta de Usuário: permitir que aplicativos UIAccess solicitem elevação sem usar a área de trabalho segura.

Essa configuração de política controla se os programas de Acessibilidade da Interface do Usuário (UIAccess ou UIA) podem desabilitar automaticamente a área de trabalho segura para solicitações de elevação usadas por um usuário padrão.

Habilitado: os programas UIA, incluindo Windows Assistência Remota, desabilitam automaticamente a área de trabalho segura para solicitações de elevação. Se você não desabilitar a configuração de política "Controle de Conta de Usuário: Alternar para a área de trabalho segura ao solicitar elevação", os prompts aparecerão na área de trabalho do usuário interativo em vez da área de trabalho segura.

Desabilitado: (Padrão)

A área de trabalho segura só pode ser desabilitada pelo usuário da área de trabalho interativa ou desabilitando a configuração de política "Controle de Conta de Usuário: Alternar para a área de trabalho segura ao solicitar elevação".

Essa política dá suporte ao seguinte:

  • O tipo de valor com suporte é inteiro.
  • As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Informações da Política de Grupo:

  • Nome amigável da POLÍTICA de Grupo: Controle de Conta de Usuário: Permitir que aplicativos UIAccess solicitem elevação sem usar a área de trabalho segura
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

Valores válidos:

  • 0 - desabilitado.
  • 1 - habilitado (permitir que aplicativos UIAccess solicitem elevação sem usar a área de trabalho segura).

LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Controle de Conta de Usuário: comportamento da solicitação de elevação de administradores no Modo de Aprovação de Administrador

Essa configuração de política controla o comportamento do prompt de elevação para administradores.

As opções são:

  • 0 – Elevar sem solicitar: permite que contas privilegiadas executem uma operação que requer elevação sem a necessidade de consentimento ou credenciais.

    Observação

    Use essa opção somente nos ambientes mais restritos.

  • 1 - Solicitar credenciais na área de trabalho segura: quando uma operação requer elevação de privilégio, o usuário é solicitado na área de trabalho segura a inserir um nome de usuário e senha privilegiados. Se o usuário inserir credenciais válidas, a operação continuará com o privilégio mais alto disponível do usuário.

  • 2 - Solicitar consentimento na área de trabalho segura: quando uma operação requer elevação de privilégio, o usuário é solicitado na área de trabalho segura a selecionar Permitir ou Negar. Se o usuário selecionar Permitir, a operação continuará com o privilégio mais alto disponível do usuário.

  • 3 - Solicitar credenciais: quando uma operação requer elevação de privilégio, o usuário é solicitado a inserir um nome de usuário administrativo e uma senha. Se o usuário inserir credenciais válidas, a operação continuará com o privilégio aplicável.

  • 4 - Solicitar consentimento: quando uma operação requer elevação de privilégio, o usuário é solicitado a selecionar Permitir ou Negar. Se o usuário selecionar Permitir, a operação continuará com o privilégio mais alto disponível do usuário.

  • 5 - Solicitar consentimento para binários não Windows: (Padrão) Quando uma operação para um aplicativo não Microsoft requer elevação de privilégio, o usuário é solicitado na área de trabalho segura a selecionar Permitir ou Negar. Se o usuário selecionar Permitir, a operação continuará com o privilégio mais alto disponível do usuário.

Essa política dá suporte ao seguinte:

  • O tipo de valor com suporte é inteiro.
  • As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Informações da Política de Grupo:

  • Nome amigável da Política de Grupo: Controle de Conta de Usuário: Comportamento do prompt de elevação para administradores no Modo de Aprovação de Administrador
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Controle de Conta de Usuário: comportamento da solicitação de elevação de usuários padrão

Essa configuração de política controla o comportamento do prompt de elevação para usuários padrão.

Essa política dá suporte ao seguinte:

  • O tipo de valor com suporte é inteiro.
  • As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Informações da Política de Grupo:

  • Nome amigável da POLÍTICA de Grupo: Controle de Conta de Usuário: Comportamento do prompt de elevação para usuários padrão
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

A lista a seguir mostra os valores com suporte:

  • 0 – Negar automaticamente solicitações de elevação: quando uma operação requer elevação de privilégio, uma mensagem de erro de acesso negado configurável é exibida. Uma empresa que executa áreas de trabalho como usuário padrão pode escolher essa configuração para reduzir as chamadas de suporte técnico.
  • 1 - Solicitar credenciais na área de trabalho segura: quando uma operação requer elevação de privilégio, o usuário é solicitado na área de trabalho segura a inserir um nome de usuário e senha diferentes. Se o usuário inserir credenciais válidas, a operação continuará com o privilégio aplicável.
  • 3 (Padrão) - Solicitar credenciais: quando uma operação requer elevação de privilégio, o usuário é solicitado a inserir um nome de usuário administrativo e uma senha. Se o usuário inserir credenciais válidas, a operação continuará com o privilégio aplicável.

LocalPoliciesSecurityOptions/UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Controle de Conta de Usuário: detectar instalações de aplicativos e perguntar se deseja elevar

Essa configuração de política controla o comportamento da detecção de instalação do aplicativo para o computador.

As opções são:

  • Habilitado: (Padrão) Quando um pacote de instalação de aplicativo é detectado que requer elevação de privilégio, o usuário é solicitado a inserir um nome de usuário administrativo e uma senha. Se o usuário inserir credenciais válidas, a operação continuará com o privilégio aplicável.

  • Desabilitado: os pacotes de instalação do aplicativo não são detectados e solicitados a elevação. As empresas que executam áreas de trabalho de usuário padrão e usam tecnologias de instalação delegadas, como instalação de software Política de Grupo ou servidor de gerenciamento de sistemas (SMS) devem desabilitar essa configuração de política. Nesse caso, a detecção do instalador é desnecessária.

Informações da Política de Grupo:

  • Nome amigável da Política de Grupo: Controle de Conta de Usuário: Detectar instalações de aplicativos e solicitar elevação
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Controle de Conta de Usuário: elevar somente arquivos executáveis assinados e validados

Essa configuração de política impõe verificações de assinatura de PKI (infraestrutura de chave pública) para todos os aplicativos interativos que solicitam elevação de privilégio. Enterprise administradores podem controlar quais aplicativos podem ser executados adicionando certificados ao repositório de certificados de Fornecedores Confiáveis em computadores locais.

As opções são:

  • 0 – Desabilitado: (Padrão) não impõe a validação do caminho de certificação PKI antes que um determinado arquivo executável tenha permissão para ser executado.
  • 1 – Habilitado: impõe a validação do caminho de certificação PKI para um determinado arquivo executável antes de ter permissão para execução.

Essa política dá suporte ao seguinte:

  • O tipo de valor com suporte é inteiro.
  • As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Informações da Política de Grupo:

  • Nome amigável da Política de Grupo: Controle de Conta de Usuário: elevar somente executáveis assinados e validados
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Controle de Conta de Usuário: elevar apenas aplicativos UIAccess que estejam instalados em locais seguros

Essa configuração de política controla se os aplicativos que solicitam a execução com um nível de integridade de UIAccess (Acessibilidade da Interface do Usuário) devem residir em um local seguro no sistema de arquivos. Os locais seguros são limitados aos seguintes locais:

  • .\Arquivos de Programas, incluindo subpastas
  • .\Windows\system32\
  • .\Arquivos de Programas (x86), incluindo subpastas para versões de 64 bits Windows

Observação

Windows impõe uma verificação de assinatura de PKI (infraestrutura de chave pública) em qualquer aplicativo interativo que solicita a execução com um nível de integridade UIAccess, independentemente do estado dessa configuração de segurança.

As opções são:

  • 0 – Desabilitado: um aplicativo é executado com integridade de UIAccess, mesmo que ele não resida em um local seguro no sistema de arquivos.
  • 1 - Habilitado: (Padrão) Se um aplicativo residir em um local seguro no sistema de arquivos, ele será executado somente com integridade de UIAccess.

Essa política dá suporte ao seguinte:

  • O tipo de valor com suporte é inteiro.
  • As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Informações da Política de Grupo:

  • Nome amigável da POLÍTICA de Grupo: Controle de Conta de Usuário: elevar somente aplicativos UIAccess instalados em locais seguros
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/UserAccountControl_RunAllAdministratorsInAdminApprovalMode

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Controle de conta de usuário: ativar o modo de aprovação de administrador

Essa configuração de política controla o comportamento de todas as configurações de política de UAC (Controle de Conta de Usuário) do computador. Se você alterar essa configuração de política, deverá reiniciar o computador.

As opções são:

  • 0 - Desabilitado: o Modo de Aprovação do Administrador e todas as configurações de política do UAC relacionadas estão desabilitadas.

    Observação

    Se essa configuração de política estiver desabilitada, Segurança do Windows notificará você de que a segurança geral do sistema operacional foi reduzida.

  • 1 - Habilitado: (Padrão) O Modo de Aprovação de Administrador está habilitado. Essa política deve ser habilitada e as configurações de política do UAC relacionadas também devem ser definidas adequadamente, para permitir que a conta de Administrador interna e todos os outros usuários que são membros do grupo Administradores sejam executados no Modo de Aprovação do Administrador.

Essa política dá suporte ao seguinte:

  • O tipo de valor com suporte é inteiro.
  • As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Informações da Política de Grupo:

  • Nome amigável da Política de Grupo: Controle de Conta de Usuário: Executar todos os administradores no Modo de Aprovação de Administrador
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Controle de Conta de Usuário: alternar para a área de trabalho segura ao pedir elevação

Essa configuração de política controla se o prompt de solicitação de elevação é exibido na área de trabalho do usuário interativo ou na área de trabalho segura.

As opções são:

  • 0 – Desabilitado: todas as solicitações de elevação vão para a área de trabalho do usuário interativo. As configurações de política de comportamento de prompt para administradores e usuários padrão são usadas.
  • 1 - Habilitado: (Padrão) Todas as solicitações de elevação vão para a área de trabalho segura, independentemente das configurações de política de comportamento de prompt para administradores e usuários padrão.

Essa política dá suporte ao seguinte:

  • O tipo de valor com suporte é inteiro.
  • As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Informações da Política de Grupo:

  • Nome amigável da Política de Grupo: Controle de Conta de Usuário: alternar para a área de trabalho segura ao solicitar elevação
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/UserAccountControl_UseAdminApprovalMode

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Controle de Conta de Usuário: usar o Modo de Aprovação de Administrador para a conta de administrador interna

Essa configuração de política controla o comportamento do Modo de Aprovação de Administrador para a conta de Administrador interna.

As opções são:

• Habilitado: a conta interna do Administrador usa o Modo de Aprovação de Administrador. Por padrão, qualquer operação que exija elevação de privilégio solicitará que o usuário aprove a operação.

• Desabilitado: (Padrão) A conta de Administrador interna executa todos os aplicativos com privilégios administrativos completos.

Informações da Política de Grupo:

  • Nome amigável da Política de Grupo: Controle de Conta de Usuário: Modo de Aprovação de Administrador para a conta de administrador interna
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

LocalPoliciesSecurityOptions/UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Controle de Conta de Usuário: virtualizar falhas de gravação de arquivos e do Registro para locais por usuário

Essa configuração de política controla se as falhas de gravação do aplicativo são redirecionadas para locais definidos do registro e do sistema de arquivos. Essa configuração de política atenua os aplicativos que são executados como administrador e gravam dados de aplicativo em tempo de execução em %ProgramFiles%, %Windir%, %Windir%\system32 ou HKLM\Software.

Essa política dá suporte ao seguinte:

  • O tipo de valor com suporte é inteiro.
  • As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Informações da Política de Grupo:

  • Nome amigável da Política de Grupo: Controle de Conta de Usuário: Virtualizar falhas de gravação de arquivo e registro em locais por usuário
  • Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas Locais/Opções de Segurança

A lista a seguir mostra os valores com suporte:

  • 0 – Desabilitado: os aplicativos que gravam dados em locais protegidos falham.
  • 1 - Habilitado: (Padrão) As falhas de gravação do aplicativo são redirecionadas em tempo de execução para locais de usuário definidos para o sistema de arquivos e o registro.

Tópicos relacionados

Provedor de serviços de configuração de política