原則 CSP - LocalPoliciesSecurityOptions
重要
此 CSP 包含一些正在開發且僅適用于 Windows Insider Preview 組建 的設定。 這些設定可能會變更,而且可能相依于預覽中的其他功能或服務。
注意
若要) 尋找 (和其他原則相關詳細數據的數據格式,請參閱 原則 DDF 檔案。
Accounts_BlockMicrosoftAccounts
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_BlockMicrosoftAccounts
此原則設定可防止使用者在此計算機上新增 Microsoft 帳戶。 如果您選取 [使用者無法新增 Microsoft 帳戶] 選項,使用者將無法在此計算機上建立新的 Microsoft 帳戶、將本機帳戶切換至 Microsoft 帳戶,或將網域帳戶連線到 Microsoft 帳戶。 如果您需要限制在企業中使用 Microsoft 帳戶,這是慣用的選項。 如果您選取 [使用者無法使用 Microsoft 帳戶新增或登入] 選項,現有的 Microsoft 帳戶使用者將無法登入 Windows。 選取此選項可能會讓這部電腦上的現有系統管理員無法登入及管理系統。 如果您停用或未設定此原則 (建議的) ,使用者將能夠搭配 Windows 使用 Microsoft 帳戶。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
0 (預設值) | 停用 (用戶將能夠搭配 Windows) 使用 Microsoft 帳戶。 |
1 | 啟用 (用戶無法新增 Microsoft 帳戶) 。 |
3 | 用戶無法使用 Microsoft 帳戶新增或登入。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 帳戶: 封鎖 Microsoft 帳戶 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
Accounts_EnableAdministratorAccountStatus
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_EnableAdministratorAccountStatus
此安全性設定會決定啟用或停用本機系統管理員帳戶。
注意
如果您嘗試在系統管理員帳戶停用之後重新啟用該帳戶,而且目前的系統管理員密碼不符合密碼需求,您就無法重新啟用帳戶。 在此情況下,系統管理員群組的替代成員必須重設系統管理員帳戶上的密碼。 如需如何重設密碼的資訊,請參閱重設密碼。 在某些情況下,停用系統管理員帳戶可能會成為維護問題。 在 [安全模式開機] 下,只有在計算機未加入網域且沒有其他本機作用中系統管理員帳戶時,才會啟用已停用的系統管理員帳戶。 如果計算機已加入網域,則不會啟用已停用的系統管理員。 預設值:已停用。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
1 | 啟用: |
0 (預設值) | 停用: |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 帳戶: Administrator 帳戶狀態 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
Accounts_EnableGuestAccountStatus
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_EnableGuestAccountStatus
此安全性設定會判斷來賓帳戶是否已啟用或停用。 預設值:已停用。
注意
如果已停用來賓帳戶,且安全性選項 [網络存取:本機帳戶的共用和安全性模型] 設定為 [僅供來賓],則網络登入將會失敗,例如由 Microsoft 網络伺服器 (SMB 服務) 執行的網络登入。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
1 | 啟用: |
0 (預設值) | 停用: |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 帳戶: Guest 帳戶狀態 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
帳戶:將空白密碼的本機帳戶限制為僅限控制台登入。此安全性設定可決定是否可以使用未受密碼保護的本機帳戶,從實體計算機控制台以外的位置登入。 如果啟用,未受密碼保護的本機帳戶將只能在計算機的鍵盤上登入。 預設值:已啟用。
警告
不在實體安全位置的計算機應一律針對所有本機用戶帳戶強制執行強密碼原則。 否則,具有計算機實體存取權的任何人都可以使用沒有密碼的用戶帳戶登入。 這對可攜式計算機特別重要。 如果您將此安全策略套用至 Everyone 群組,則沒有人能夠透過遠端桌面服務登入。
注意
此設定不會影響使用網域帳戶的登入。 使用遠端互動式登錄的應用程式可能會略過此設定。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 1 |
允許的值:
值 | 說明 |
---|---|
0 | 停用。 |
1 (預設) | 啟用。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 帳戶: 限制使用空白密碼的本機帳戶僅能登入到主控台 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
Accounts_RenameAdministratorAccount
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_RenameAdministratorAccount
帳戶:重新命名系統管理員帳戶 此安全性設定會決定帳戶系統管理員的安全標識子 (SID) 是否與不同的帳戶名稱相關聯。 重新命名已知的系統管理員帳戶,會讓未經授權的人員更難以猜測此特殊許可權的使用者名稱和密碼組合。 預設值:系統管理員。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 系統管理員 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 帳戶: 重新命名系統管理員帳戶 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
Accounts_RenameGuestAccount
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_RenameGuestAccount
帳戶:重新命名來賓帳戶 此安全性設定會判斷是否有不同的帳戶名稱與帳戶 “Guest” 的安全標識碼 (SID) 相關聯。 重新命名已知的來賓帳戶,會讓未經授權的人員稍微難以猜測此使用者名稱和密碼組合。 默認值:來賓。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 客體 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 帳戶: 重新命名來賓帳戶名稱 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
Audit_AuditTheUseOfBackupAndRestoreprivilege
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_AuditTheUseOfBackupAndRestoreprivilege
稽核:稽核備份和還原許可權的使用。當稽核許可權使用原則生效時,此安全性設定會決定是否要稽核所有用戶權力的使用,包括備份和還原。 在啟用稽核許可權使用原則時啟用此選項,會針對備份或還原的每個檔案產生稽核事件。 如果您停用此原則,則即使啟用稽核許可權使用,也不會稽核備份或還原許可權的使用。
注意
在 Windows Vista 設定此安全性設定之前的 Windows 版本上,在您重新啟動 Windows 之前,變更將不會生效。 啟用此設定可能會在備份作業期間造成許多事件,有時每秒數百個事件。 預設值:已停用。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | b64 |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 列出 (分隔符:'') |
預設值 | 00 |
Audit_ForceAuditPolicySubcategorySettingsToOverrideAuditPolicyCategorySettings
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_ForceAuditPolicySubcategorySettingsToOverrideAuditPolicyCategorySettings
稽核:強制執行 Windows Vista 或更新版本 (審核策略子類別設定,) 覆寫 Windows Vista 和更新版本的 Windows 審核策略類別設定,以更精確的方式使用審核策略子類別來管理審核策略。 在類別層級設定審核策略將會覆寫新的子類別目錄審核策略功能。 群組原則 只允許在類別層級設定稽核原則,而現有的組策略可能會覆寫新機器加入網域或升級至 Windows Vista 或更新版本時的子類別設定。 若要允許使用子類別來管理審核策略,而不需要變更 群組原則,Windows Vista 和更新版本 SCENoApplyLegacyAuditPolicy 中有新的登錄值,可防止類別層級審核策略的應用 群組原則 和本機安全策略管理工具。 如果此處設定的類別目錄層級審核策略與目前產生的事件不一致,原因可能是已設定此登錄機碼。 預設值:已啟用。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 範圍: [0-1] |
預設值 | 1 |
Audit_ShutdownSystemImmediatelyIfUnableToLogSecurityAudits
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_ShutdownSystemImmediatelyIfUnableToLogSecurityAudits
稽核:如果無法記錄安全性稽核,請立即關閉系統。此安全性設定會判斷系統是否在無法記錄安全性事件時關閉。 如果啟用此安全性設定,如果因為任何原因而無法記錄安全性稽核,系統就會停止。 一般而言,當安全性稽核記錄檔已滿,且為安全性記錄指定的保留方法為 [不要覆寫事件] 或 [以天為單位覆寫事件] 時,就無法記錄事件。 如果安全性記錄檔已滿,且無法覆寫現有的專案,且已啟用此安全性選項,則會出現下列停止錯誤:STOP:C0000244 {Audit Failed} 嘗試產生安全性稽核失敗。 若要復原,系統管理員必須登入、封存記錄檔 (選擇性) 、清除記錄檔,並視需要重設此選項。 在重設此安全性設定之前,系統管理員群組成員以外的任何使用者都無法登入系統,即使安全性記錄檔尚未滿。
注意
在 Windows Vista 設定此安全性設定之前的 Windows 版本上,在您重新啟動 Windows 之前,變更將不會生效。 預設值:已停用。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 範圍: [0-1] |
預設值 | 0 |
Devices_AllowedToFormatAndEjectRemovableMedia
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_AllowedToFormatAndEjectRemovableMedia
裝置:允許格式化和退出抽取式媒體此安全性設定可決定誰可以格式化和退出抽取式 NTFS 媒體。 此功能可以提供給:系統管理員系統管理員和互動式用戶預設:未定義此原則,且只有系統管理員具備此功能。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 裝置: 允許格式化以及退出卸除式媒體 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
Devices_AllowUndockWithoutHavingToLogon
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_AllowUndockWithoutHavingToLogon
裝置:允許卸除而不需登入此安全性設定可決定是否可以卸除可攜式計算機,而不需要登入。 如果啟用此原則,則不需要登入,而且可以使用外部硬體退出按鈕來卸除計算機。 如果停用,用戶必須登入並具有從停駐站移除計算機的許可權,才能卸除計算機。 預設值:已啟用。
注意
停用此原則可能會讓用戶嘗試使用外部硬體退出按鈕以外的方法,從其停駐站實際移除膝上型計算機。 由於這可能會對硬體造成損害,因此此設定一般應該只在實體安全性實體的膝上型計算機設定上停用。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 1 |
允許的值:
值 | 描述 |
---|---|
1 (預設) | 允許。 |
0 | 封鎖: |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 裝置: 允許卸除而不須登入 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters
裝置:防止使用者在連線到共用印表機時安裝印表機驅動程式。若要將電腦印表到共用印表機,該共用印表機的驅動程式必須安裝在本機計算機上。 此安全性設定會決定在連線到共用印表機時,允許誰安裝印表機驅動程式。
如果啟用此設定,只有系統管理員可以在連線到共用印表機時安裝印表機驅動程式。
如果停用此設定,任何使用者都可以在連線到共用印表機時安裝印表機驅動程式。 伺服器上的預設值:已啟用。 工作站上的預設值:停用附注 此設定不會影響新增本機印表機的能力。 此設定不會影響系統管理員。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
1 | 啟用: |
0 (預設值) | 停用: |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 裝置: 防止使用者安裝印表機驅動程式 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly
裝置:將CD-ROM存取限制為僅限本機登入的使用者。此安全性設定會決定本機和遠端使用者是否可以同時存取CD-ROM。 如果啟用此原則,則只允許以互動方式登入的使用者存取抽取式CD-ROM媒體。 如果啟用此原則,且沒有人以互動方式登入,則可透過網路存取CD-ROM。 默認值:未定義此原則,且CD-ROM存取不限於本機登入的使用者。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 裝置: CD-ROM 存取只限於登入本機的使用者 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
Devices_RestrictFloppyAccessToLocallyLoggedOnUserOnly
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_RestrictFloppyAccessToLocallyLoggedOnUserOnly
裝置:限制僅限本機登入使用者的磁碟驅動器存取此安全性設定可決定本機和遠端使用者是否可同時存取抽取式磁碟片媒體。 如果啟用此原則,則只允許以互動方式登入的使用者存取抽取式磁碟媒體。 如果啟用此原則,且沒有人以互動方式登入,則可以透過網路存取磁碟片。 默認值:未定義此原則,且磁碟驅動器存取權不限於本機登入的使用者。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 裝置: 軟碟機存取只限於登入本機的使用者 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
DomainMember_DigitallyEncryptOrSignSecureChannelDataAlways
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallyEncryptOrSignSecureChannelDataAlways
網域成員:以數位方式加密或簽署安全通道數據 (一律) 此安全性設定會決定網域成員起始的所有安全通道流量都必須經過簽署或加密。 當計算機加入網域時,就會建立計算機帳戶。 之後,當系統啟動時,它會使用計算機帳戶密碼,為其網域建立具有域控制器的安全通道。 此安全通道可用來執行作業,例如NTLM通過驗證、LSA SID/名稱查閱等。此設定會判斷網域成員所起始的所有安全通道流量是否都符合最低安全性需求。 具體而言,它會決定網域成員起始的所有安全通道流量都必須經過簽署或加密。 如果啟用此原則,除非交涉所有安全通道流量的簽署或加密,否則將不會建立安全通道。 如果停用此原則,則會與域控制器交涉所有安全通道流量的加密和簽署,在此情況下,簽署和加密的層級取決於域控制器的版本和下列兩個原則的設定:網域成員:可能的話, (網域成員將安全通道數據數位加密) 網域成員: 盡可能以數位方式簽署安全通道數據 () 預設值:已啟用。
注意
如果啟用此原則,原則網域成員:在可能的情況下 (數字簽署安全通道數據) 會假設為啟用,而不論其目前的設定為何。 這可確保網域成員嘗試至少交涉安全通道流量的簽署。 不論是否交涉所有其他安全通道流量的加密,透過安全通道傳輸的登入資訊一律會加密。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 範圍: [0-1] |
預設值 | 1 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 網域成員: 安全通道資料加以數位加密或簽章 (自動) |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
DomainMember_DigitallyEncryptSecureChannelDataWhenPossible
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallyEncryptSecureChannelDataWhenPossible
網域成員:盡可能將安全通道數據數位加密 () 此安全性設定會決定網域成員是否嘗試針對其起始的所有安全通道流量交涉加密。 當計算機加入網域時,就會建立計算機帳戶。 之後,當系統啟動時,它會使用計算機帳戶密碼,為其網域建立具有域控制器的安全通道。 此安全通道可用來執行像是 NTLM 傳遞驗證、LSA SID/名稱查閱等作業。此設定會決定網域成員是否嘗試針對其起始的所有安全通道流量交涉加密。 如果啟用,網域成員將會要求加密所有安全通道流量。 如果域控制器支援加密所有安全通道流量,則所有安全通道流量都會加密。 否則,只會加密透過安全通道傳輸的登入資訊。 如果停用此設定,則網域成員不會嘗試交涉安全通道加密。 預設值:已啟用。
重要
沒有停用此設定的已知原因。 除了不必要地降低安全通道的潛在機密性層級之外,停用此設定可能會不必要地降低安全通道輸送量,因為只有在簽署或加密安全通道時,才能使用安全通道的並行 API 呼叫。
注意
域控制器也是網域成員,可與相同網域中的其他域控制器以及受信任網域中的域控制器建立安全通道。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 範圍: [0-1] |
預設值 | 1 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 網域成員: 安全通道資料加以數位加密 (可能的話) |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
DomainMember_DigitallySignSecureChannelDataWhenPossible
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallySignSecureChannelDataWhenPossible
網域成員:盡可能以數位方式簽署安全通道數據 () 此安全性設定會決定網域成員是否嘗試針對它起始的所有安全通道流量交涉簽署。 當計算機加入網域時,就會建立計算機帳戶。 之後,當系統啟動時,它會使用計算機帳戶密碼,為其網域建立具有域控制器的安全通道。 此安全通道可用來執行作業,例如NTLM通過驗證、LSA SID/名稱查閱等。此設定會決定網域成員是否嘗試針對其起始的所有安全通道流量交涉簽署。 如果啟用,網域成員將會要求簽署所有安全通道流量。 如果域控制器支持簽署所有安全通道流量,則會簽署所有安全通道流量,以確保不會在傳輸中遭到竄改。 預設值:已啟用。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 範圍: [0-1] |
預設值 | 1 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 網域成員: 安全通道資料加以數位簽章 (自動) |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
DomainMember_DisableMachineAccountPasswordChanges
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DisableMachineAccountPasswordChanges
網域成員:停用計算機帳戶密碼變更 決定網域成員是否定期變更其計算機帳戶密碼。
如果啟用此設定,網域成員就不會嘗試變更其計算機帳戶密碼。
如果停用此設定,網域成員會嘗試變更其計算機帳戶密碼,如網域成員:計算機帳戶密碼的最大存留期設定所指定,默認為每隔 30 天。 預設值:已停用。
注意
不應啟用此安全性設定。 計算機帳戶密碼可用來建立成員與域控制器之間的安全通道通訊,以及在網域內,在域控制器本身之間建立安全的通道通訊。 建立之後,安全通道會用來傳輸進行驗證和授權決策所需的敏感性資訊。 此設定不應用於嘗試支援使用相同電腦帳戶的雙開機案例。 如果您想要雙開機兩個已加入相同網域的安裝,請為這兩個安裝提供不同的計算機名稱。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 範圍: [0-1] |
預設值 | 0 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 網域成員: 停用電腦帳戶密碼變更 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
DomainMember_MaximumMachineAccountPasswordAge
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_MaximumMachineAccountPasswordAge
網域成員:計算機帳戶密碼存留期上限 此安全性設定會決定網域成員嘗試變更其計算機帳戶密碼的頻率。 默認值:30 天。
重要
此設定適用於 Windows 2000 計算機,但無法透過這些電腦上的安全性 Configuration Manager 工具取得。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 範圍: [0-999] |
預設值 | 30 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 網域成員: 最長電腦帳戶密碼有效期 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
DomainMember_RequireStrongSessionKey
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_RequireStrongSessionKey
網域成員:需要強 (Windows 2000 或更新版本) 會話密鑰此安全性設定會決定加密安全通道數據是否需要 128 位密鑰強度。 當計算機加入網域時,就會建立計算機帳戶。 之後,當系統啟動時,它會使用計算機帳戶密碼,在網域內建立具有域控制器的安全通道。 此安全通道可用來執行像是 NTLM 傳遞驗證、LSA SID/名稱查閱等作業。 根據網域成員正在通訊的域控制器上執行的 Windows 版本,以及參數的設定:網域成員:數位加密或簽署安全通道數據 (一律) 網域成員:可能的話, (將安全通道數據進行數位加密) 部分或所有透過安全通道傳輸的資訊將會加密。 此原則設定會決定加密的安全通道資訊是否需要 128 位密鑰強度。
如果啟用此設定,除非可以執行128位加密,否則將不會建立安全通道。
如果停用此設定,則會與域控制器交涉密鑰強度。 預設值:已啟用。
重要
若要在成員工作站和伺服器上利用此原則,構成成員網域的所有域控制器都必須執行 Windows 2000 或更新版本。 若要在域控制器上利用此原則,相同網域以及所有受信任網域中的所有域控制器都必須執行 Windows 2000 或更新版本。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 範圍: [0-1] |
預設值 | 1 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 網域成員: 要求增強式 (Windows 2000 或更新) 工作階段金鑰 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked
互動式登錄:當會話鎖定時顯示使用者資訊 用戶顯示名稱、網域和用戶名稱 (1) 使用者顯示名稱僅 (2) 請勿顯示使用者資訊 (3) 網域,且使用者名稱僅 (4 個)
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 1 |
允許的值:
值 | 描述 |
---|---|
1 (預設) | 用戶顯示名稱、網域和用戶名稱。 |
2 | 僅限用戶顯示名稱。 |
3 | 不要顯示用戶資訊。 |
4 | 僅限網域和用戶名稱。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 互動式登入: 在工作階段被封鎖時顯示使用者資訊 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
InteractiveLogon_DoNotDisplayLastSignedIn
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayLastSignedIn
互動式登錄:不要顯示上次登入。此安全性設定會決定 Windows 登入畫面是否會顯示此電腦上最後一個登入者的用戶名稱。 如果啟用此原則,將不會顯示用戶名稱。 如果停用此原則,將會顯示用戶名稱。 預設值:已停用。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
0 (預設值) | 停用 (使用者名稱會顯示) 。 |
1 | 啟用 (用戶名稱不會顯示) 。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 互動式登入: 不要顯示上次登入的使用者名稱 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
InteractiveLogon_DoNotDisplayUsernameAtSignIn
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayUsernameAtSignIn
互動式登入:登入時不要顯示使用者名稱 此安全性設定會決定登入此計算機的人員的使用者名稱是否會顯示在 Windows 登入、輸入認證之後,以及顯示電腦桌面之前。 如果啟用此原則,將不會顯示用戶名稱。 如果停用此原則,將會顯示用戶名稱。 預設值:已停用。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 1 |
允許的值:
值 | 說明 |
---|---|
0 | 停用 (使用者名稱會顯示) 。 |
1 (預設) | 啟用 (用戶名稱不會顯示) 。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 互動式登入: 不要在登入時顯示使用者名稱 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
InteractiveLogon_DoNotRequireCTRLALTDEL
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotRequireCTRLALTDEL
互動式登錄:不需要 CTRL+ALT+DEL 此安全性設定會決定是否需要按 CTRL+ALT+DEL,使用者才能登入。 如果在計算機上啟用此原則,使用者就不需要按 CTRL+ALT+DEL 來登入。 不需要按 CTRL+ALT+DEL,使用者就容易受到嘗試攔截使用者密碼的攻擊。 在使用者登入之前要求 CTRL+ALT+DEL,可確保使用者在輸入其密碼時,會透過信任的路徑進行通訊。 如果停用此原則,任何使用者都必須先按 CTRL+ALT+DEL,才能登入 Windows。 網域電腦上的預設值:已啟用:至少 Windows 8/停用:Windows 7 或更早版本。 獨立電腦上的預設值:已啟用。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 1 |
允許的值:
值 | 說明 |
---|---|
0 | 停用。 |
1 (預設) | 啟用 (使用者不需要按 CTRL+ALT+DEL 即可登入) 。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 互動式登錄:不需要 CTRL+ALT+DEL |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
InteractiveLogon_MachineAccountLockoutThreshold
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MachineAccountLockoutThreshold
互動式登錄:計算機帳戶閾值。 機器鎖定原則只會在已啟用 BitLocker 以保護 OS 磁碟區的電腦上強制執行。 請確定已啟用適當的修復密碼備份原則。 此安全性設定會決定導致計算機鎖定的失敗登入嘗試次數。鎖定的機器只能藉由在主控台提供修復金鑰來復原。 您可以設定 1 到 999 次登入嘗試失敗的值。 如果您將值設定為 0,機器將永遠不會被鎖定。從 1 到 3 的值會解譯為 4。 使用 CTRL+ALT+DELETE 或受密碼保護的螢幕儲存器鎖定之工作站或成員伺服器的失敗密碼嘗試,會視為失敗的登入嘗試。 機器鎖定原則只會在已啟用 BitLocker 以保護 OS 磁碟區的電腦上強制執行。 請確定已啟用適當的修復密碼備份原則。 預設值:0。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 範圍: [0-999] |
預設值 | 0 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 互動式登入: 電腦帳戶鎖定閾值 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
InteractiveLogon_MachineInactivityLimit
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MachineInactivityLimit
互動式登錄:機器閑置限制。 Windows 會注意到登入會話沒有活動,而且如果非使用中時間量超過非使用中限制,則會執行螢幕保護,並鎖定會話。 預設值:未強制執行。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 範圍: [0-599940] |
預設值 | 0 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 互動式登入: 電腦未使用時間限制 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
驗證:
有效值:從 0 到 599940,其中值是 (在幾秒內) 會話鎖定的閑置時間量。 如果設定為零 (0) ,則會停用設定。
InteractiveLogon_MessageTextForUsersAttemptingToLogOn
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MessageTextForUsersAttemptingToLogOn
互動式登錄:用戶嘗試登入此安全性設定的消息正文會指定使用者登入時所顯示的簡訊。 此文字通常用於法律原因,例如,警告使用者不當使用公司信息的後果,或警告他們其動作可能遭到稽核。 預設值:沒有訊息。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 列出 (分隔符: 0xF000 ) |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 互動式登入: 給登入使用者的訊息本文 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
InteractiveLogon_MessageTitleForUsersAttemptingToLogOn
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MessageTitleForUsersAttemptingToLogOn
互動式登錄:用戶嘗試登入此安全性設定的訊息標題可讓標題的規格出現在包含互動式登入的視窗標題欄中:用戶嘗試登入的消息正文。 預設值:沒有訊息。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 互動式登入: 給登入使用者的訊息標題 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
InteractiveLogon_NumberOfPreviousLogonsToCache
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_NumberOfPreviousLogonsToCache
互動式登錄:如果域控制器無法使用,則要快取 (的先前登入數目) 在本機快取每個唯一使用者的登入資訊,以便在後續登入嘗試期間無法使用域控制器時,他們便能夠登入。 快取的登入資訊會從先前的登入會話儲存。 如果域控制器無法使用,且未快取使用者的登入資訊,系統會提示用戶顯示下列訊息:目前沒有任何登入伺服器可用來服務登入要求。 在此原則設定中,值為0會停用登入快取。 任何超過 50 的值只會快取 50 次登入嘗試。 Windows 最多支援 50 個快取專案,而每位使用者所取用的項目數目取決於認證。 例如,最多可以在 Windows 系統上快取 50 個唯一密碼用戶帳戶,但只能快取 25 個智慧卡使用者帳戶,因為密碼資訊和智慧卡資訊都會儲存。 當具有快取登入信息的使用者再次登入時,會取代使用者的個別快取資訊。 默認值:Windows Server 2008:25 所有其他版本:10。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 10 |
InteractiveLogon_PromptUserToChangePasswordBeforeExpiration
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_PromptUserToChangePasswordBeforeExpiration
互動式登錄:提示使用者在到期前變更密碼 決定) 用戶的密碼即將過期的預先 (天數。 使用此預先警告時,用戶有時間建構夠強的密碼。 默認值:5 天。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 範圍: [0-999] |
預設值 | 5 |
InteractiveLogon_SmartCardRemovalBehavior
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_SmartCardRemovalBehavior
互動式登錄:智慧卡移除行為 此安全性設定會決定當登入用戶的智慧卡從智慧卡卡片閱讀機移除時會發生什麼情況。 選項為:如果遠端桌面服務會話沒有動作鎖定工作站強制註銷中斷聯機。如果您按兩下此原則的 [屬性] 對話方塊中的 [鎖定工作站],則移除智慧卡時會鎖定工作站,讓使用者離開區域、使用智慧卡,並且仍然維護受保護的會話。 如果您在此原則的 [屬性] 對話框中按兩下 [強制註銷],則會在移除智慧卡時自動註銷使用者。 如果您在遠端桌面服務會話時按兩下 [中斷連線],移除智慧卡會中斷會話的連線,而不會將使用者註銷。 這可讓使用者插入智慧卡,並於稍後繼續會話,或在另一部配備智慧卡卡片閱讀機的計算機上繼續,而不需要再次登入。 如果會話是本機,則此原則的運作方式與鎖定工作站相同。
注意
在舊版 Windows Server 中,遠端桌面服務稱為終端機服務。 默認值:未定義此原則,這表示系統會將它視為 [無動作]。 在 Windows Vista 和更新版本上:若要讓此設定正常運作,必須啟動智慧卡移除原則服務。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
0 (預設值) | 沒有動作。 |
1 | 鎖定工作站。 |
2 | 強制註銷。 |
3 | 如果遠端桌面服務會話中斷連線。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 互動式登入: 智慧卡移除操作 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
MicrosoftNetworkClient_DigitallySignCommunicationsAlways
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsAlways
Microsoft 網路用戶端:以數位方式簽署通訊 (一律) 此安全性設定會決定 SMB 用戶端元件是否需要封包簽署。 SMB) 通訊協定 (伺服器消息塊提供 Microsoft 檔案和列印共用的基礎,以及許多其他網路作業,例如遠端 Windows 系統管理。 為了防止在傳輸中修改SMB封包的中間人攻擊,SMB 通訊協定支援SMB封包的數字簽署。 此原則設定會決定是否必須交涉SMB封包簽署,才能與SMB伺服器進一步通訊。
如果啟用此設定,除非該伺服器同意執行SMB封包簽署,否則 Microsoft 網路用戶端不會與 Microsoft 網路伺服器通訊。
如果停用此原則,則會在用戶端與伺服器之間交涉SMB封包簽署。 預設值:已停用。
重要
若要讓此原則在執行 Windows 2000 的電腦上生效,也必須啟用用戶端封包簽署。 若要啟用用戶端 SMB 封包簽署,請設定 Microsoft 網路用戶端:如果伺服器同意) , (數位簽署通訊。
注意
所有 Windows 作業系統都支援用戶端 SMB 元件和伺服器端 SMB 元件。 在 Windows 2000 和更新版本的作業系統上,啟用或要求用戶端和伺服器端 SMB 元件的封包簽署是由下列四個原則設定所控制:Microsoft 網路用戶端:數位簽署通訊 (一律) - 控制用戶端 SMB 元件是否需要封包簽署。 Microsoft 網路用戶端:如果伺服器同意) , (數位簽署通訊 - 控制用戶端 SMB 元件是否已啟用封包簽署。 Microsoft 網路伺服器:數位簽署通訊 (一律) - 控制伺服器端 SMB 元件是否需要封包簽署。 Microsoft 網路伺服器:如果用戶端同意) , (數位簽署通訊 - 控制伺服器端 SMB 元件是否已啟用封包簽署。 SMB 封包簽署可能會大幅降低 SMB 效能,視方言版本、OS 版本、檔案大小、處理器卸載功能和應用程式 IO 行為而定。 如需詳細資訊,請參閱:<https://go.microsoft.com/fwlink/?LinkID=787136>
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
1 | 啟用: |
0 (預設值) | 停用: |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | Microsoft 網路用戶端: 數位簽章通訊 (一律) |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees
Microsoft 網路用戶端:如果伺服器同意) 以數位方式簽署通訊 (此安全性設定會決定 SMB 用戶端是否嘗試交涉 SMB 封包簽署。 SMB) 通訊協定 (伺服器消息塊提供 Microsoft 檔案和列印共用的基礎,以及許多其他網路作業,例如遠端 Windows 系統管理。 為了防止在傳輸中修改SMB封包的中間人攻擊,SMB 通訊協定支援SMB封包的數字簽署。 此原則設定會決定SMB用戶端元件在連線到SMB伺服器時,是否嘗試交涉SMB封包簽署。
如果啟用此設定,Microsoft 網路用戶端會要求伺服器在會話設定時執行 SMB 封包簽署。 如果已在伺服器上啟用封包簽署,則會交涉封包簽署。
如果停用此原則,SMB 用戶端將永遠不會交涉SMB封包簽署。 預設值:已啟用。
注意
所有 Windows 作業系統都支援用戶端 SMB 元件和伺服器端 SMB 元件。 在 Windows 2000 和更新版本上,啟用或要求用戶端和伺服器端 SMB 元件的封包簽署是由下列四個原則設定所控制:Microsoft 網路用戶端:數位簽署通訊 (一律) - 控制用戶端 SMB 元件是否需要封包簽署。 Microsoft 網路用戶端:如果伺服器同意) , (數位簽署通訊 - 控制用戶端 SMB 元件是否已啟用封包簽署。 Microsoft 網路伺服器:數位簽署通訊 (一律) - 控制伺服器端 SMB 元件是否需要封包簽署。 Microsoft 網路伺服器:如果用戶端同意) , (數位簽署通訊 - 控制伺服器端 SMB 元件是否已啟用封包簽署。 如果同時啟用用戶端和伺服器端 SMB 簽署,且用戶端建立與伺服器的 SMB 1.0 連線,則會嘗試 SMB 簽署。 SMB 封包簽署可能會大幅降低 SMB 效能,視方言版本、OS 版本、檔案大小、處理器卸載功能和應用程式 IO 行為而定。 此設定僅適用於SMB 1.0連線。 如需詳細資訊,請參閱:<https://go.microsoft.com/fwlink/?LinkID=787136>
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 1 |
允許的值:
值 | 描述 |
---|---|
1 (預設) | 啟用: |
0 | 停用: |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | Microsoft 網路用戶端: 數位簽章用戶端的通訊 (如果伺服器同意) |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers
Microsoft 網路用戶端:傳送未加密的密碼以連線到第三方 SMB 伺服器如果啟用此安全性設定,則允許伺服器消息塊 (SMB) 重新導向器將純文本密碼傳送至在驗證期間不支援密碼加密的非 Microsoft SMB 伺服器。 傳送未加密的密碼有安全性風險。 預設值:已停用。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
1 | 啟用: |
0 (預設值) | 停用: |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | Microsoft 網路用戶端: 傳送未加密的密碼到其他廠商的 SMB 伺服器 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
MicrosoftNetworkServer_AmountOfIdleTimeRequiredBeforeSuspendingSession
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_AmountOfIdleTimeRequiredBeforeSuspendingSession
Microsoft 網路伺服器:暫停會話之前所需的空閒時間量 此安全性設定會決定在會話因為閑置而暫停之前,必須傳入伺服器消息塊 (SMB) 會話的連續閑置時間量。 系統管理員可以使用此原則來控制電腦何時暫停非作用中的SMB會話。 如果客戶端活動繼續,會話會自動重新建立。 針對此原則設定,值為 0 表示盡可能快速中斷閑置會話的連線。 最大值為 99999,也就是 208 天;實際上,此值會停用原則。 默認值:未定義此原則,這表示系統會將伺服器視為 15 分鐘,而工作站則為未定義。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 範圍: [0-99999] |
預設值 | 99999 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | Microsoft 網路伺服器: 暫停工作階段前,要求的閒置時間 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
MicrosoftNetworkServer_DigitallySignCommunicationsAlways
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsAlways
Microsoft 網路伺服器:以數位方式簽署通訊 (一律) 此安全性設定會決定 SMB 伺服器元件是否需要封包簽署。 SMB) 通訊協定 (伺服器消息塊提供 Microsoft 檔案和列印共用的基礎,以及許多其他網路作業,例如遠端 Windows 系統管理。 為了防止在傳輸中修改SMB封包的中間人攻擊,SMB 通訊協定支援SMB封包的數字簽署。 此原則設定會決定是否必須交涉SMB封包簽署,才能與SMB用戶端進一步通訊。
如果啟用此設定,除非該用戶端同意執行SMB封包簽署,否則 Microsoft 網路伺服器將不會與 Microsoft 網路客戶端通訊。
如果停用此設定,則會在用戶端與伺服器之間交涉SMB封包簽署。 預設值:停用成員伺服器。 已針對域控制器啟用。
注意
所有 Windows 作業系統都支援用戶端 SMB 元件和伺服器端 SMB 元件。 在 Windows 2000 和更新版本上,啟用或要求用戶端和伺服器端 SMB 元件的封包簽署是由下列四個原則設定所控制:Microsoft 網路用戶端:數位簽署通訊 (一律) - 控制用戶端 SMB 元件是否需要封包簽署。 Microsoft 網路用戶端:如果伺服器同意) , (數位簽署通訊 - 控制用戶端 SMB 元件是否已啟用封包簽署。 Microsoft 網路伺服器:數位簽署通訊 (一律) - 控制伺服器端 SMB 元件是否需要封包簽署。 Microsoft 網路伺服器:如果用戶端同意) , (數位簽署通訊 - 控制伺服器端 SMB 元件是否已啟用封包簽署。 同樣地,如果需要用戶端 SMB 簽署,該用戶端將無法與未啟用封包簽署的伺服器建立會話。 根據預設,伺服器端 SMB 簽署只會在域控制器上啟用。 如果已啟用伺服器端 SMB 簽署,則會與已啟用用戶端 SMB 簽署的用戶端交涉 SMB 封包簽署。 SMB 封包簽署可能會大幅降低 SMB 效能,視方言版本、OS 版本、檔案大小、處理器卸載功能和應用程式 IO 行為而定。
重要
若要讓此原則在執行 Windows 2000 的電腦上生效,也必須啟用伺服器端封包簽署。 若要啟用伺服器端SMB封包簽署, 設定下列原則:Microsoft 網络伺服器:如果伺服器同意 () Windows 2000 伺服器與 Windows NT 4.0 用戶端交涉簽署,則在 Windows 2000 伺服器上必須將下列登錄值設定為 1:HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature 如需詳細資訊,請參閱:<https://go.microsoft.com/fwlink/?LinkID=787136>。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
1 | 啟用: |
0 (預設值) | 停用: |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | Microsoft 網路伺服器: 數位簽章通訊 (一律) |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees
Microsoft 網路伺服器:如果用戶端同意, (以數位方式簽署通訊) 此安全性設定會決定 SMB 伺服器是否會與要求 SMB 封包簽署的用戶端交涉。 SMB) 通訊協定 (伺服器消息塊提供 Microsoft 檔案和列印共用的基礎,以及許多其他網路作業,例如遠端 Windows 系統管理。 為了防止在傳輸中修改SMB封包的中間人攻擊,SMB 通訊協定支援SMB封包的數字簽署。 此原則設定會決定SMB伺服器是否會在SMB用戶端要求SMB封包簽署時交涉SMB封包簽署。
如果啟用此設定,Microsoft 網路伺服器會依照用戶端的要求交涉 SMB 封包簽署。 也就是說,如果已在用戶端上啟用封包簽署,則會交涉封包簽署。
如果停用此原則,SMB 用戶端將永遠不會交涉SMB封包簽署。 預設值:僅在域控制器上啟用。
重要
若要讓 Windows 2000 伺服器與 Windows NT 4.0 用戶端交涉簽署,在執行 Windows 2000 的伺服器上,下列登錄值必須設定為 1:HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Notes 所有 Windows 操作系統都支援用戶端 SMB 組件和伺服器端 SMB 元件。 針對 Windows 2000 和更新版本,啟用或要求用戶端和伺服器端 SMB 元件的封包簽署是由下列四個原則設定所控制:Microsoft 網路用戶端:數位簽署通訊 (一律) - 控制用戶端 SMB 元件是否需要封包簽署。 Microsoft 網路用戶端:如果伺服器同意) , (數位簽署通訊 - 控制用戶端 SMB 元件是否已啟用封包簽署。 Microsoft 網路伺服器:數位簽署通訊 (一律) - 控制伺服器端 SMB 元件是否需要封包簽署。 Microsoft 網路伺服器:如果用戶端同意) , (數位簽署通訊 - 控制伺服器端 SMB 元件是否已啟用封包簽署。 如果同時啟用用戶端和伺服器端 SMB 簽署,且用戶端建立與伺服器的 SMB 1.0 連線,則會嘗試 SMB 簽署。 SMB 封包簽署可能會大幅降低 SMB 效能,視方言版本、OS 版本、檔案大小、處理器卸載功能和應用程式 IO 行為而定。 此設定僅適用於SMB 1.0連線。 如需詳細資訊,請參閱:<https://go.microsoft.com/fwlink/?LinkID=787136>
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
1 | 啟用: |
0 (預設值) | 停用: |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | Microsoft 網路伺服器: 數位簽章伺服器的通訊 (如果用戶端同意) |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
MicrosoftNetworkServer_DisconnectClientsWhenLogonHoursExpire
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DisconnectClientsWhenLogonHoursExpire
Microsoft 網路伺服器:登入時數到期時中斷用戶端連線。此安全性設定會決定是否要中斷用戶帳戶有效登入時數以外連線到本機計算機的用戶連線。 此設定會影響伺服器消息塊 (SMB) 元件。 啟用此原則時,會在用戶端的登入時數到期時,強制中斷SMB服務的用戶端會話連線。 如果停用此原則,則允許在用戶端的登入時數過期之後維護已建立的用戶端會話。 Windows Vista 和更新版本上的預設值:已啟用。 Windows XP 上的預設值:已停用。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 範圍: [0-1] |
預設值 | 1 |
MicrosoftNetworkServer_ServerSPNTargetNameValidationLevel
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_ServerSPNTargetNameValidationLevel
Microsoft 網路伺服器:伺服器 SPN 目標名稱驗證層級 此原則設定可控制具有共用資料夾或列印機之計算機的驗證層級, (伺服器) 在服務主體名稱上執行, (用戶端計算機使用伺服器消息塊 (SMB) 通訊協定建立會話時所提供的 SPN) 。 SMB) 通訊協定 (伺服器消息塊會提供檔案和列印共用以及其他網路作業的基礎,例如遠端 Windows 管理。 SMB 通訊協定支援驗證 SMB 用戶端所提供之驗證 Blob 內的 SMB 伺服器服務主體名稱 (SPN) ,以防止 SMB 伺服器遭受稱為 SMB 轉送攻擊的類別攻擊。 此設定會同時影響SMB1和SMB2。 此安全性設定會決定SMB伺服器在嘗試建立SMB伺服器的會話時,服務主體名稱 (SPN) 所提供的驗證層級。 選項為:關閉 - SMB 伺服器從 SMB 用戶端不需要或驗證 SPN。 如果由用戶端提供,則接受 - SMB 伺服器會接受並驗證 SMB 用戶端所提供的 SPN,並允許在符合 SMB 伺服器的 SPN 清單時建立工作階段。 如果SPN不相符,則會拒絕該SMB用戶端的會話要求。 用戶端需要 - SMB 用戶端必須在會話設定中傳送 SPN 名稱,而提供的 SPN 名稱必須符合要求建立連線的 SMB 伺服器。 如果用戶端未提供任何SPN,或提供的SPN不相符,則會話會遭到拒絕。 默認:關閉所有 Windows 作業系統都支援用戶端 SMB 元件和伺服器端 SMB 元件。 此設定會影響伺服器SMB行為,而且應該仔細評估和測試其實作,以避免檔案和列印服務功能中斷。 如需實作和使用此功能來保護 SMB 伺服器的其他資訊,請參閱 Microsoft 網站 (https://go.microsoft.com/fwlink/?LinkId=144505) 。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 範圍: [0-2] |
預設值 | 0 |
NetworkAccess_AllowAnonymousSIDOrNameTranslation
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_AllowAnonymousSIDOrNameTranslation
網路存取:允許匿名 SID/名稱轉譯 此原則設定會決定匿名使用者是否可以要求安全標識元 (SID) 其他使用者的屬性。
如果啟用此原則,匿名使用者可以要求另一位使用者的 SID 屬性。 具備系統管理員 SID 知識的匿名使用者可以連絡已啟用此原則的計算機,並使用 SID 來取得系統管理員的名稱。 此設定會同時影響 SID 對名稱的翻譯,以及名稱對 SID 的翻譯。
如果停用此原則設定,匿名使用者就無法要求其他使用者的 SID 屬性。 工作站和成員伺服器上的預設值:已停用。 執行 Windows Server 2008 或更新版本之域控制器上的預設值:已停用。 執行 Windows Server 2003 R2 或更早版本的域控制器上的預設值:已啟用。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
1 | 啟用: |
0 (預設值) | 停用: |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 網路存取:允許匿名 SID/名稱轉譯 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts
網路存取:不允許 SAM 帳戶的匿名列舉此安全性設定會決定將針對計算機的匿名連線授與哪些額外許可權。 Windows 允許匿名使用者執行特定活動,例如列舉網域帳戶和網路共享的名稱。 例如,當系統管理員想要將存取權授與信任網域中未維持相互信任的使用者時,這十分方便。 此安全性選項允許對匿名連線施加其他限制,如下所示:已啟用:不允許列舉 SAM 帳戶。 此選項會在資源的安全性許可權中,將 Everyone 取代為已驗證的使用者。 已停用:沒有額外的限制。 依賴預設許可權。 工作站上的預設值:已啟用。 server:Enabled 上的預設值。
重要
此原則不會影響域控制器。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 1 |
允許的值:
值 | 描述 |
---|---|
1 (預設) | 啟用。 |
0 | 停用。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 網路存取:不允許匿名列舉 SAM 帳戶 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares
網路存取:不允許 SAM 帳戶和共用的匿名列舉此安全性設定會判斷是否允許匿名列舉 SAM 帳戶和共用。 Windows 允許匿名使用者執行特定活動,例如列舉網域帳戶和網路共享的名稱。 例如,當系統管理員想要將存取權授與信任網域中未維持相互信任的使用者時,這十分方便。 如果您不想允許 SAM 帳戶和共用的匿名列舉,請啟用此原則。 預設值:已停用。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
1 | 啟用。 |
0 (預設值) | 已停用。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 網路存取:不允許匿名列舉 SAM 帳戶和共用 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
NetworkAccess_DoNotAllowStorageOfPasswordsAndCredentialsForNetworkAuthentication
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowStorageOfPasswordsAndCredentialsForNetworkAuthentication
網路存取:不允許儲存密碼和認證以進行網路驗證。此安全性設定會決定認證管理員是否儲存密碼和認證,以供稍後在取得網域驗證時使用。
如果啟用此設定,認證管理員不會在計算機上儲存密碼和認證。
如果您停用或未設定此原則設定,認證管理員會將密碼和認證儲存在此計算機上,以供稍後用於網域驗證。
注意
設定此安全性設定時,在您重新啟動 Windows 之前,變更不會生效。 預設值:已停用。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 範圍: [0-1] |
預設值 | 0 |
NetworkAccess_LetEveryonePermissionsApplyToAnonymousUsers
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_LetEveryonePermissionsApplyToAnonymousUsers
網路存取:讓所有人的許可權套用至匿名使用者此安全性設定會決定針對計算機的匿名連線授與哪些額外許可權。 Windows 允許匿名使用者執行特定活動,例如列舉網域帳戶和網路共享的名稱。 例如,當系統管理員想要將存取權授與信任網域中未維持相互信任的使用者時,這十分方便。 根據預設,會從針對匿名連線建立的令牌中移除 (SID) 的 Everyone 安全標識符。 因此,授與 Everyone 群組的許可權不會套用至匿名使用者。 如果設定此選項,匿名使用者只能存取已明確授與匿名使用者許可權的資源。 如果啟用此原則,則會將 Everyone SID 新增至針對匿名連線所建立的令牌。 在此情況下,匿名使用者可以存取已獲授與 Everyone 群組許可權的任何資源。 預設值:已停用。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 範圍: [0-1] |
預設值 | 0 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 網路存取: 讓 Everyone 權限套用到匿名使用者 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
NetworkAccess_NamedPipesThatCanBeAccessedAnonymously
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_NamedPipesThatCanBeAccessedAnonymously
網路存取:可匿名存取的命名管道 此安全性設定會決定哪些通訊會話 (管道) 將具有允許匿名存取的屬性和許可權。 默認值:無。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 列出 (分隔符: , ) |
NetworkAccess_RemotelyAccessibleRegistryPaths
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RemotelyAccessibleRegistryPaths
網路存取:遠端訪問登錄路徑 此安全性設定會決定可以透過網路存取哪些登錄機碼,不論訪問控制清單中列出的使用者或群組 (winreg 登錄機碼的 ACL) 。 默認值:System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion 警告不正確編輯登錄可能會嚴重損壞您的系統。 在變更登錄之前,您應該先備份電腦上的任何值數據。
注意
舊版 Windows 上無法使用此安全性設定。 在執行 Windows XP 的電腦上出現的安全性設定「網路存取:遠端存取路徑」會對應至 Windows Server 2003 系列成員上的 [網路存取:遠端存取登錄路徑和子路徑] 安全性選項。 如需詳細資訊,請參閱網路存取:遠端訪問登錄路徑和子路徑。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 列出 (分隔符: , ) |
NetworkAccess_RemotelyAccessibleRegistryPathsAndSubpaths
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RemotelyAccessibleRegistryPathsAndSubpaths
網路存取:遠端訪問登錄路徑和子路徑 此安全性設定會決定可以透過網路存取哪些登錄路徑和子路徑,不論訪問控制清單中列出的使用者或群組 (winreg 登錄機碼的 ACL) 。 默認值:System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog System\CurrentControlSet\Services\CertSvc System\CurrentControlSet\Services\Wins 警告不正確編輯登錄可能會嚴重損害您的系統。 在變更登錄之前,您應該先備份電腦上的任何值數據。
注意
在 Windows XP 上,此安全性設定稱為「網路存取:遠端存取:遠端存取路徑」。 如果您在已加入網域的 Windows Server 2003 系列成員上設定此設定,此設定會由執行 Windows XP 的電腦繼承,但會顯示為 [網路存取:遠端訪問登錄路徑] 安全性選項。 如需詳細資訊,請參閱網路存取:遠端訪問登錄路徑和子路徑。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 列出 (分隔符: , ) |
NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares
網路存取:限制命名管道和共用的匿名存取 啟用時,此安全性設定會將共用和管道的匿名存取限制為下列設定:網路存取:可匿名存取網路存取的命名管道:可匿名存取的共用預設值:已啟用。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 1 |
允許的值:
值 | 描述 |
---|---|
1 (預設) | 啟用: |
0 | 停用: |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 網路存取: 限制匿名存取具名管道和共用 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM
網路存取:限制允許對 SAM 進行遠端呼叫的用戶端此原則設定可讓您限制 SAM 的遠端 rpc 連線。 如果未選取,則會使用預設的安全描述符。 此原則至少支援 Windows Server 2016。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 網路存取:限制允許遠端呼叫 SAM 的用戶端 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
NetworkAccess_SharesThatCanBeAccessedAnonymously
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_SharesThatCanBeAccessedAnonymously
網路存取:可以匿名存取的共用 此安全性設定會決定匿名使用者可以存取哪些網路共用。 預設值:未指定。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 列出 (分隔符: , ) |
NetworkAccess_SharingAndSecurityModelForLocalAccounts
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_SharingAndSecurityModelForLocalAccounts
網路存取:本機帳戶的共用和安全性模型 此安全性設定會決定如何驗證使用本機帳戶的網路登入。 如果此設定設定為 [傳統],則使用本機帳戶認證的網络登入會使用這些認證進行驗證。 傳統模型允許對資源的存取進行精細控制。 藉由使用傳統模型,您可以將不同類型的存取權授與相同資源的不同使用者。 如果此設定設為 [僅供來賓],則使用本機帳戶的網络登入會自動對應至來賓帳戶。 藉由使用來賓模型,您可以讓所有使用者都一視同仁。 所有用戶都以來賓身分進行驗證,而且它們都會收到對指定資源的相同存取層級,這可以是唯讀或修改。 網域計算機上的預設值:傳統。 獨立計算機上的預設值:僅限來賓重要使用僅限來賓模型,任何可透過網路存取計算機的使用者 (包括匿名因特網使用者) 都可以存取您的共享資源。 您必須使用 Windows 防火牆或其他類似的裝置來保護電腦免於未經授權的存取。 同樣地,使用傳統模型時,本機帳戶必須受到密碼保護;否則,任何人都可以使用這些用戶帳戶來存取共用系統資源。
注意
此設定不會影響使用 Telnet 或遠端桌面服務等服務從遠端執行的互動式登入。 在舊版 Windows Server 中,遠端桌面服務稱為終端機服務。 此原則不會影響執行 Windows 2000 的電腦。 當計算機未加入網域時,此設定也會修改 檔案總管 中的 [共用與安全性] 索引標籤,以對應至所使用的共用和安全性模型。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 範圍: [0-1] |
預設值 | 0 |
NetworkSecurity_AllowLocalSystemNULLSessionFallback
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemNULLSessionFallback
網路安全性:允許LocalSystem NULL 工作階段後援允許NTLM在搭配LocalSystem使用時回復為NULL會話。 在 Windows 7 中,預設值為 TRUE,最多為 Windows Vista 和 FALSE。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 範圍: [0-1] |
預設值 | 1 |
NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM
網路安全性:允許本機系統使用NTLM的電腦身分識別 此原則設定可讓使用Negotiate的本機系統服務在還原為NTLM驗證時使用電腦身分識別。
如果啟用此原則設定,以本機系統身分執行且使用 Negotiate 的服務將會使用電腦身分識別。 這可能會導致 Windows 作業系統之間的某些驗證要求失敗並記錄錯誤。
如果停用此原則設定,當還原為NTLM驗證時,以本機系統身分執行的服務將會以匿名方式驗證。 根據預設,此原則會在 Windows 7 和更新版本上啟用。 根據預設,此原則會在 Windows Vista 上停用。 此原則至少支援 Windows Vista 或 Windows Server 2008。
注意
Windows Vista 或 Windows Server 2008 不會在 群組原則 中公開此設定。
- 當服務與裝置身分識別連線時,支持簽署和加密以提供數據保護。
- 當服務以匿名方式連線時,系統產生的會話密鑰會建立,而不會提供保護,但可讓應用程式簽署和加密數據,而不會發生錯誤。 匿名驗證會使用 NULL 會話,此工作階段會與未執行使用者驗證的伺服器搭配使用;因此,允許匿名存取。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 1 |
允許的值:
值 | 描述 |
---|---|
1 (預設) | 允許。 |
0 | 封鎖: |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 網路安全性: 允許 Local System 對 NTLM 使用電腦身分識別 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
NetworkSecurity_AllowPKU2UAuthenticationRequests
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowPKU2UAuthenticationRequests
網路安全性:允許對這部計算機的 PKU2U 驗證要求使用在線身分識別。 在已加入網域的計算機上,預設會關閉此原則。 這會防止在線身分識別向已加入網域的計算機進行驗證。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 1 |
允許的值:
值 | 說明 |
---|---|
0 | 封鎖: |
1 (預設) | 允許。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 網路安全性:允許對這部計算機的 PKU2U 驗證要求使用在線身分識別。 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange
注意
此原則已被取代,並可能在未來的版本中移除。
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange
網路安全性:不要在下一次密碼變更時儲存 LAN Manager 哈希值 此安全性設定會決定在下一次密碼變更時,是否儲存新密碼的 LAN 管理員 (LM) 哈希值。 相較於密碼編譯更強 Windows NT 哈希,LM 哈希相對較弱且容易受到攻擊。 由於 LM 哈希會儲存在安全性資料庫的本機電腦上,因此,如果安全性資料庫受到攻擊,密碼可能會遭到入侵。 Windows Vista 和更新版本上的預設值:在 Windows XP 上啟用預設:已停用。
重要
Windows 2000 Service Pack 2 (SP2) 和更新版本提供與舊版 Windows 驗證的相容性,例如 Microsoft Windows NT 4.0。 此設定可能會影響執行 Windows 2000 Server、Windows 2000 Professional、Windows XP 和 Windows Server 2003 系列的計算機與執行 Windows 95 和 Windows 98 之計算機通訊的能力。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 1 |
允許的值:
值 | 描述 |
---|---|
1 (預設) | 啟用: |
0 | 停用: |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 網路安全性:不要在下次密碼變更時儲存 LAN Manager 哈希值 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
NetworkSecurity_ForceLogoffWhenLogonHoursExpire
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_ForceLogoffWhenLogonHoursExpire
網路安全性:登入時數到期時強制註銷此安全性設定會決定是否要中斷用戶帳戶有效登入時數以外連線到本機計算機的用戶連線。 此設定會影響伺服器消息塊 (SMB) 元件。 啟用此原則時,會在用戶端的登入時數到期時,強制中斷SMB伺服器的用戶端會話連線。 如果停用此原則,則允許在用戶端的登入時數過期之後維護已建立的用戶端會話。 預設值:已啟用。
注意
此安全性設定的行為為帳戶原則。 針對網域帳戶,只能有一個帳戶原則。 帳戶原則必須在預設網域原則中定義,並由構成網域的域控制器強制執行。 域控制器一律會從預設網域原則 群組原則 物件提取帳戶原則, (GPO) ,即使將不同的帳戶原則套用至包含域控制器的組織單位也一樣。 根據預設,加入網域的工作站和伺服器 (例如,成員計算機) 也會收到其本機帳戶的相同帳戶原則。 不過,成員計算機的本機帳戶原則可以與網域帳戶原則不同,方法是為包含成員計算機的組織單位定義帳戶原則。 Kerberos 設定不會套用至成員計算機。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 1 |
允許的值:
值 | 描述 |
---|---|
1 (預設) | 啟用: |
0 | 停用: |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 網路安全性: 強制限制登入時數 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
NetworkSecurity_LANManagerAuthenticationLevel
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_LANManagerAuthenticationLevel
網路安全性 LAN Manager 驗證層級 此安全性設定會決定網路登入使用的挑戰/回應驗證通訊協定。 此選擇會影響用戶端所使用的驗證通訊協定層級、交涉的會話安全性層級,以及伺服器接受的驗證層級,如下所示:傳送 LM 和 NTLM 回應:用戶端使用 LM 和 NTLM 驗證,且永遠不會使用 NTLMv2 會話安全性;域控制器接受 LM、NTLM 和 NTLMv2 驗證。 傳送 LM 和 NTLM - 如果交涉,請使用 NTLMv2 會話安全性:用戶端會使用 LM 和 NTLM 驗證,並在伺服器支援時使用 NTLMv2 會話安全性;域控制器接受 LM、NTLM 和 NTLMv2 驗證。 僅傳送 NTLM 回應:用戶端僅使用 NTLM 驗證,如果伺服器支援 NTLMv2 會話安全性,則使用 NTLMv2 會話安全性;域控制器接受 LM、NTLM 和 NTLMv2 驗證。 僅傳送 NTLMv2 回應:用戶端僅使用 NTLMv2 驗證,如果伺服器支援,則使用 NTLMv2 會話安全性;域控制器接受 LM、NTLM 和 NTLMv2 驗證。 僅傳送 NTLMv2 回應\拒絕 LM:用戶端僅使用NTLMv2 驗證,如果伺服器支援,則使用NTLMv2會話安全性;域控制器拒絕 LM (只接受NTLM和NTLMv2驗證) 。 僅傳送 NTLMv2 回應\拒絕 LM 和 NTLM:用戶端僅使用 NTLMv2 驗證,如果伺服器支援,則使用 NTLMv2 會話安全性;域控制器拒絕 LM 和 NTLM (只接受 NTLMv2 驗證) 。
重要
此設定可能會影響執行 Windows 2000 Server、Windows 2000 Professional、Windows XP Professional 和 Windows Server 2003 系列的計算機與透過網路執行 Windows NT 4.0 和更早版本的計算機通訊的能力。 例如,在撰寫本文時,執行 Windows NT 4.0 SP4 和更早版本的電腦不支援 NTLMv2。 執行 Windows 95 和 Windows 98 的電腦不支援 NTLM。 默認值:Windows 2000 和 Windows XP:傳送 LM 和 NTLM 回應 Windows Server 2003:僅傳送 NTLM 回應 Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2:僅傳送 NTLMv2 回應。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 3 |
允許的值:
值 | 說明 |
---|---|
0 | 傳送 LM 和 NTLM 回應。 |
1 | 如果交涉,則傳送 LM 和 NTLM-use NTLMv2 會話安全性。 |
2 | 僅傳送 LM 和 NTLM 回應。 |
3 (預設) | 僅傳送 LM 和 NTLMv2 回應。 |
4 | 僅傳送 LM 和 NTLMv2 回應。 拒絕 LM。 |
5 | 僅傳送 LM 和 NTLMv2 回應。 拒絕 LM 和 NTLM。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 網路安全性: LAN Manager 驗證等級 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
NetworkSecurity_LDAPClientSigningRequirements
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_LDAPClientSigningRequirements
網路安全性:LDAP 用戶端簽署需求 此安全性設定會決定代表發出LDAP BIND要求的用戶端所要求的數據簽署層級,如下所示:無:LDAP BIND要求是以呼叫者所指定的選項發出。 交涉簽署:如果尚未啟動傳輸層安全性/安全套接字層 (TLS\SSL) ,則除了呼叫端指定的選項之外,還會使用設定的 LDAP 數據簽署選項來起始 LDAP BIND 要求。 如果 TLS\SSL 已啟動,則會使用呼叫端所指定的選項來起始 LDAP BIND 要求。 需要簽章:這與交涉簽署相同。 不過,如果LDAP伺服器的中繼 saslBindInProgress 回應未指出需要LDAP流量簽署,則會告知呼叫端LDAP BIND 命令要求失敗。
注意
如果您將伺服器設定為 [需要簽章],則也必須設定用戶端。 未設定用戶端會導致與伺服器的連線中斷。
注意
此設定不會影響ldap_simple_bind或ldap_simple_bind_s。 Windows XP Professional 隨附的 Microsoft LDAP 用戶端不會使用ldap_simple_bind或ldap_simple_bind_s與域控制器通訊。 默認值:交涉簽署。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 範圍: [0-2] |
預設值 | 1 |
NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients
網路安全性:NTLM SSP 型 (包含安全 RPC) 用戶端的最小會話安全性 此安全性設定可讓用戶端要求交涉 128 位加密和/或 NTLMv2 會話安全性。 這些值相依於 LAN Manager 驗證層級安全性設定值。 選項為:需要NTLMv2會話安全性:如果未交涉NTLMv2通訊協定,聯機將會失敗。 需要128位加密:如果未交涉強式加密 (128位) ,連線將會失敗。 默認值:Windows XP、Windows Vista、Windows 2000 Server、Windows Server 2003 和 Windows Server 2008:無需求。 Windows 7 和 Windows Server 2008 R2:需要 128 位加密。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 536870912 |
允許的值:
值 | 說明 |
---|---|
0 | 無。 |
524288 | 需要 NTLMv2 會話安全性。 |
536870912 (默认) | 需要128位加密。 |
537395200 | 需要 NTLM 和 128 位加密。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 網路安全性: NTLM SSP 為主的 (包含安全 RPC) 用戶端的最小工作階段安全性 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers
網路安全性:NTLM SSP 型 (包含安全 RPC) 伺服器的最小會話安全性 此安全性設定可讓伺服器要求交涉 128 位加密和/或 NTLMv2 會話安全性。 這些值相依於 LAN Manager 驗證層級安全性設定值。 選項為:需要NTLMv2會話安全性:如果未交涉訊息完整性,連線將會失敗。 需要128位加密。 如果未交涉強式加密 (128 位) ,連線將會失敗。 默認值:Windows XP、Windows Vista、Windows 2000 Server、Windows Server 2003 和 Windows Server 2008:無需求。 Windows 7 和 Windows Server 2008 R2:需要 128 位加密。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 536870912 |
允許的值:
值 | 說明 |
---|---|
0 | 無。 |
524288 | 需要 NTLMv2 會話安全性。 |
536870912 (默认) | 需要128位加密。 |
537395200 | 需要 NTLM 和 128 位加密。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 網路安全性: NTLM SSP 為主的 (包含安全 RPC) 伺服器的最小工作階段安全性 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
NetworkSecurity_RestrictNTLM_AddRemoteServerExceptionsForNTLMAuthentication
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AddRemoteServerExceptionsForNTLMAuthentication
網路安全性:限制 NTLM:新增 NTLM 驗證的遠端伺服器例外狀況 此原則設定可讓您建立遠端伺服器的例外清單,如果已設定 [網路安全性:限制 NTLM: 遠端伺服器的連出 NTLM 流量] 原則設定,用戶端就可以使用 NTLM 驗證。
如果您設定此原則設定,您可以定義允許用戶端使用NTLM驗證的遠端伺服器清單。
如果您未設定此原則設定,則不會套用任何例外狀況。 此例外狀況清單上伺服器的命名格式是完整域名 (FQDN) 或應用程式所使用的 NetBIOS 伺服器名稱,每行列出一個。 若要確保所有應用程式使用的名稱都必須在清單中,並確保例外狀況正確無誤,伺服器名稱應該以兩種命名格式列出。 單一星號 (*) 可以用在字串中的任何位置做為通配符。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 列出 (分隔符: 0xF000 ) |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 網路安全性: 限制 NTLM: 新增 NTLM 驗證的遠端伺服器例外 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
NetworkSecurity_RestrictNTLM_AuditIncomingNTLMTraffic
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AuditIncomingNTLMTraffic
網路安全性:限制 NTLM:稽核連入 NTLM 流量 此原則設定可讓您稽核連入的 NTLM 流量。 如果您選取 [停用],或未設定此原則設定,伺服器將不會記錄連入 NTLM 流量的事件。 如果您選取 [啟用網域帳戶的稽核],當 [網络安全性:限制 NTLM: 連入 NTLM 流量] 原則設定設定為 [拒絕所有網域帳戶] 選項時,伺服器會記錄會遭到封鎖的 NTLM 傳遞驗證要求事件。 如果您選取 [啟用所有帳戶的稽核],伺服器將會記錄當 [網络安全性:限制 NTLM: 連入 NTLM 流量] 原則設定設定為 [拒絕所有帳戶] 選項時,會封鎖的所有 NTLM 驗證要求的事件。 此原則至少支援 Windows 7 或 Windows Server 2008 R2。
注意
稽核事件會記錄在此計算機的「作業」記錄檔中,位於應用程式和服務記錄檔/Microsoft/Windows/NTLM 底下。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
0 (預設值) | 停用: |
1 | 啟用網域帳戶的稽核。 |
2 | 啟用所有帳戶的稽核。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 網路安全性:限制 NTLM:稽核連入 NTLM 流量 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
NetworkSecurity_RestrictNTLM_IncomingNTLMTraffic
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_IncomingNTLMTraffic
網路安全性:限制 NTLM:連入 NTLM 流量 此原則設定可讓您拒絕或允許連入 NTLM 流量。 如果您選取 [全部允許],或未設定此原則設定,伺服器將會允許所有 NTLM 驗證要求。 如果您選取 [拒絕所有網域帳戶],伺服器將會拒絕網域登入的NTLM驗證要求,並顯示NTLM封鎖錯誤,但允許本機帳戶登入。 如果您選取 [拒絕所有帳戶],伺服器將會拒絕來自連入流量的NTLM驗證要求,並顯示NTLM封鎖錯誤。 此原則至少支援 Windows 7 或 Windows Server 2008 R2。
注意
封鎖事件會記錄在此計算機的「作業」記錄檔中,位於應用程式和服務記錄檔/Microsoft/Windows/NTLM 底下。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
0 (預設值) | 全部允許。 |
1 | 拒絕所有網域帳戶。 |
2 | 拒絕所有帳戶。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 網路安全性: 限制 NTLM: 連入 NTLM 流量 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
NetworkSecurity_RestrictNTLM_OutgoingNTLMTrafficToRemoteServers
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_OutgoingNTLMTrafficToRemoteServers
網路安全性:限制 NTLM:遠端伺服器的連出 NTLM 流量 此原則設定可讓您拒絕或稽核從此 Windows 7 或此 Windows Server 2008 R2 計算機到任何 Windows 遠端伺服器的連出 NTLM 流量。 如果您選取 [全部允許] 或未設定此原則設定,用戶端計算機可以使用NTLM驗證向遠端伺服器驗證身分識別。 如果您選取 [全部稽核],用戶端計算機會將每個 NTLM 驗證要求的事件記錄到遠端伺服器。 這可讓您識別從用戶端電腦接收NTLM驗證要求的伺服器。 如果您選取 [全部拒絕],用戶端計算機就無法使用NTLM驗證向遠端伺服器驗證身分識別。 您可以使用 [網路安全性:限制 NTLM:新增 NTLM 驗證的遠端伺服器例外狀況] 原則設定來定義允許用戶端使用 NTLM 驗證的遠端伺服器清單。 此原則至少支援 Windows 7 或 Windows Server 2008 R2。
注意
稽核和封鎖事件會記錄在此計算機上位於應用程式和服務記錄/Microsoft/Windows/NTLM 底下的「作業」記錄檔中。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
0 (預設值) | 全部允許。 |
1 | 拒絕所有網域帳戶。 |
2 | 拒絕所有帳戶。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 網路安全性: 限制 NTLM: 送往遠端伺服器的連出 NTLM 流量 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
RecoveryConsole_AllowAutomaticAdministrativeLogon
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/RecoveryConsole_AllowAutomaticAdministrativeLogon
復原主控台:允許自動系統管理登入 此安全性設定會決定在授與系統存取權之前,是否必須提供系統管理員帳戶的密碼。 如果啟用此選項,恢復主控台就不需要您提供密碼,它會自動登入系統。 默認值:未定義此原則,且不允許自動系統管理登入。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 範圍: [0-1] |
預設值 | 0 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 修復主控台: 允許自動系統管理登入 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
RecoveryConsole_AllowFloppyCopyAndAccessToAllDrivesAndAllFolders
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/RecoveryConsole_AllowFloppyCopyAndAccessToAllDrivesAndAllFolders
復原主控台:允許磁碟複製並存取所有磁碟驅動器和所有資料夾 啟用此安全性選項可讓您使用 [復原控制台 SET] 命令,讓您能夠設定下列復原控制台環境變數:AllowWildCards:啟用某些命令的通配符支援, (例如 DEL 命令) 。 AllowAllPaths:允許存取電腦上的所有檔案和資料夾。 AllowRemovableMedia:允許將檔案複製到抽取式媒體,例如磁碟片。 NoCopyPrompt:覆寫現有檔案時不要提示。 預設值:未定義此原則,且無法使用復原主控台 SET 命令。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 範圍: [0-1] |
預設值 | 0 |
Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn
關機:允許系統關閉,而不需要登入此安全性設定可決定是否可以關閉計算機,而不需要登入 Windows。 啟用此原則時,Windows 登入畫面上會提供 [關機] 命令。 停用此原則時,關閉計算機的選項不會出現在 Windows 登入畫面上。 在此情況下,用戶必須能夠成功登入計算機,並讓關閉系統使用者,才能執行系統關機。 工作站上的預設值:已啟用。 伺服器上的預設值:已停用。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 1 |
允許的值:
值 | 說明 |
---|---|
0 | 停用。 |
1 (預設) | 啟用 (允許系統關閉,而不需要登入) 。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 關機: 允許不登入就將系統關機 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
Shutdown_ClearVirtualMemoryPageFile
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Shutdown_ClearVirtualMemoryPageFile
關機:清除虛擬記憶體頁面檔 此安全性設定會決定系統關閉時是否清除虛擬記憶體頁面檔。 虛擬記憶體支援會使用系統分頁檔,在未使用時,將記憶體頁面交換到磁碟。 在執行中的系統上,此頁面檔是由操作系統以獨佔方式開啟,而且受到妥善保護。 不過,設定為允許開機到其他作業系統的系統,可能必須確定系統頁面檔在此系統關閉時會清除。 這可確保可能進入頁面檔之進程記憶體的敏感性資訊,無法提供給管理直接存取頁面檔的未經授權使用者使用。 啟用此原則時,會導致系統頁面檔在全新關機時清除。 如果您啟用此安全性選項,當停用休眠時, (hiberfil.sys) 的休眠檔案也會歸零。 預設值:已停用。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
1 | 啟用: |
0 (預設值) | 停用: |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 關機: 清除虛擬記憶體分頁檔 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
SystemCryptography_ForceStrongKeyProtection
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemCryptography_ForceStrongKeyProtection
系統密碼編譯:針對儲存在計算機上的使用者密鑰強制強式金鑰保護 此安全性設定會決定使用者的私鑰是否需要使用密碼。 選項為:當儲存新的金鑰時不需要使用者輸入,而且會在第一次使用密鑰時提示使用者用戶必須每次使用密鑰時輸入密碼。如需詳細資訊,請參閱公鑰基礎結構。 預設值:未定義此原則。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 範圍: [0-2] |
預設值 | 0 |
SystemObjects_RequireCaseInsensitivityForNonWindowsSubsystems
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemObjects_RequireCaseInsensitivityForNonWindowsSubsystems
系統物件:非 Windows 子系統需要不區分大小寫此安全性設定會決定是否對所有子系統強制執行不區分大小寫。 Win32 子系統不區分大小寫。 不過,核心支援其他子系統的區分大小寫,例如 POSIX。 如果啟用此設定,則會針對所有目錄物件、符號連結和IO對象強制執行不區分大小寫,包括檔案物件。 停用此設定不允許 Win32 子系統區分大小寫。 預設值:已啟用。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 範圍: [0-1] |
預設值 | 1 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 系統物件:要求不區分大小寫用於非 Windows 子系統 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
SystemObjects_StrengthenDefaultPermissionsOfInternalSystemObjects
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemObjects_StrengthenDefaultPermissionsOfInternalSystemObjects
系統物件:加強內部系統對象的默認許可權, (例如,符號連結) 此安全性設定會決定對象的預設任意訪問控制清單 (DACL) 的強度。 Active Directory 會維護共用系統資源的全域清單,例如 DOS 裝置名稱、Mutex 和旗號。 如此一來,物件就可以在進程之間找到並共用。 每種類型的物件都會使用預設 DACL 來建立,指定誰可以存取物件,以及授與哪些許可權。 如果啟用此原則,預設 DACL 會更強,允許非系統管理員的使用者讀取共享物件,但不允許這些使用者修改未建立的共享物件。 預設值:已啟用。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 範圍: [0-1] |
預設值 | 1 |
UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
用戶帳戶控制:允許UIAccess應用程式在不使用安全桌面的情況下提示提高許可權。 此原則設定可控制使用者介面輔助功能 (UIAccess 或 UIA) 程式是否可以針對標準使用者所使用的提高許可權提示自動停用安全桌面。 - 已啟用:UIA 程式,包括 Windows 遠端協助,會自動停用安全桌面以進行提高許可權提示。 如果您未停用 [用戶帳戶控制:提示提高許可權時切換至安全桌面] 原則設定,提示會出現在互動式使用者的桌面上,而不是安全桌面上。 - 已停用: (預設) 只有互動式桌面的使用者或停用 [用戶帳戶控制:提示提高許可權時切換到安全桌面] 原則設定,才能停用安全桌面。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
0 (預設值) | 已停用。 |
1 | 啟用 (允許 UIAccess 應用程式在不使用安全桌面) 的情況下提示提高許可權。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 使用者帳戶控制: 允許 UIAccess 應用程式不使用安全桌面來提示提升權限 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
用戶帳戶控制:管理員 核准模式中系統管理員提高許可權提示的行為 此原則設定可控制系統管理員提高許可權提示的行為。 選項包括:- 提高許可權而不提示:允許特殊許可權帳戶執行需要提高許可權的作業,而不需要同意或認證。
注意
只有在最受限制的環境中才使用此選項。 - 在安全桌面上提示輸入認證:當作業需要提高許可權時,系統會在安全桌面上提示使用者輸入具特殊許可權的使用者名稱和密碼。 如果使用者輸入有效的認證,作業會以使用者的最高可用許可權繼續進行。 - 在安全桌面上提示要求同意:當作業需要提高許可權時,系統會在安全桌面上提示用戶選取 [允許] 或 [拒絕]。 如果使用者選取 [允許],作業會以使用者的最高可用許可權繼續進行。 - 提示輸入認證:當作業需要提高許可權時,系統會提示使用者輸入系統管理使用者名稱和密碼。 如果使用者輸入有效的認證,作業會繼續使用適用的許可權。 - 提示要求同意:當作業需要提高許可權時,系統會提示用戶選取 [允許] 或 [拒絕]。 如果使用者選取 [允許],作業會以使用者的最高可用許可權繼續進行。 - 提示您同意非 Windows 二進位檔: (預設) 當非 Microsoft 應用程式的作業需要提高許可權時,系統會在安全桌面上提示用戶選取 [允許] 或 [拒絕]。 如果使用者選取 [允許],作業會以使用者的最高可用許可權繼續進行。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 5 |
允許的值:
值 | 說明 |
---|---|
0 | 提升而不提示。 |
1 | 在安全桌面上提示輸入認證。 |
2 | 在安全桌面上提示要求同意。 |
3 | 提示輸入認證。 |
4 | 提示要求同意。 |
5 (預設) | 提示您同意非 Windows 二進位檔。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 使用者帳戶控制: 在管理員核准模式,系統管理員之提升權限提示的行為 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
UserAccountControl_BehaviorOfTheElevationPromptForEnhancedAdministrators
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForEnhancedAdministrators
用戶帳戶控制:針對以增強許可權保護執行的系統管理員,提高許可權提示的行為。 此原則設定可控制系統管理員提高許可權提示的行為。 選項包括:- 在安全桌面上提示輸入認證:當作業需要提高許可權時,系統會在安全桌面上提示使用者輸入具特殊許可權的使用者名稱和密碼。 如果使用者輸入有效的認證,作業會以使用者的最高可用許可權繼續進行。 - 在安全桌面上提示要求同意:當作業需要提高許可權時,系統會在安全桌面上提示用戶選取 [允許] 或 [拒絕]。 如果使用者選取 [允許],作業會以使用者的最高可用許可權繼續進行。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 2 |
允許的值:
值 | 描述 |
---|---|
1 | 在安全桌面上提示輸入認證。 |
2 (預設) | 在安全桌面上提示要求同意。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 用戶帳戶控制:針對以增強許可權保護執行的系統管理員,提高許可權提示的行為 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
用戶帳戶控制:標準使用者提高許可權提示的行為 此原則設定可控制標準使用者提高許可權提示的行為。 選項為:- 提示輸入認證: (預設) 當作業需要提高許可權時,系統會提示使用者輸入系統管理使用者名稱和密碼。 如果使用者輸入有效的認證,作業會繼續使用適用的許可權。 - 自動拒絕提高許可權要求:當作業需要提高許可權時,會顯示可設定的拒絕存取錯誤訊息。 以標準使用者身分執行桌面的企業可以選擇此設定來減少技術支援中心通話。 - 在安全桌面上提示輸入認證:當作業需要提高許可權時,系統會在安全桌面上提示使用者輸入不同的使用者名稱和密碼。 如果使用者輸入有效的認證,作業會繼續使用適用的許可權。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 3 |
允許的值:
值 | 說明 |
---|---|
0 | 自動拒絕提高許可權要求。 |
1 | 在安全桌面上提示輸入認證。 |
3 (預設) | 提示輸入認證。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 使用者帳戶控制: 標準使用者之提高權限提示的行為 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
用戶帳戶控制:偵測應用程式安裝並提示提高許可權此原則設定可控制計算機的應用程式安裝偵測行為。 選項為:已啟用: (預設) 偵測到需要提高許可權的應用程式安裝套件時,系統會提示使用者輸入系統管理使用者名稱和密碼。 如果使用者輸入有效的認證,作業會繼續使用適用的許可權。 已停用:未偵測到應用程式安裝套件,並提示您提高許可權。 執行標準使用者桌面並使用委派安裝技術的企業,例如 群組原則 軟體安裝或系統管理伺服器 (SMS) 應該停用此原則設定。 在此情況下,不需要安裝程式偵測。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 1 |
允許的值:
值 | 描述 |
---|---|
1 (預設) | 啟用: |
0 | 停用: |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 使用者帳戶控制: 偵測應用程式安裝,並提示提升權限 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated
用戶帳戶控制:僅提高已簽署和驗證的可執行檔 此原則設定會強制執行公鑰基礎結構 (PKI) 簽章檢查任何要求提高許可權的互動式應用程式。 企業系統管理員可以藉由將憑證新增至本機電腦上的受信任發行者證書存儲,來控制允許執行的應用程式。 選項為:- 已啟用:在允許執行之前,強制執行指定可執行檔的 PKI 認證路徑驗證。 - 已停用: (預設) 在允許執行指定的可執行檔之前,不會強制執行 PKI 認證路徑驗證。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
0 (預設值) | 已停用:不強制執行驗證。 |
1 | 已啟用:強制執行驗證。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 使用者帳戶控制: 僅針對已簽章與驗證過的可執行檔,提高其權限 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
用戶帳戶控制:僅提升安裝在安全位置的 UIAccess 應用程式 此原則設定可控制要求以使用者介面輔助功能 (UIAccess) 完整性層級執行的應用程式是否必須位於檔案系統中的安全位置。 安全位置受限於下列專案: - ..\Program Files,包括子資料夾 - ..\Windows\system32\ - ..\Program Files (x86) ,包括 64 位版本 Windows 的子資料夾附注:Windows 會在任何要求以 UIAccess 完整性層級執行的互動式應用程式上強制執行公鑰基礎結構 (PKI) 簽章檢查,而不論此安全性設定的狀態為何。 選項為:- 已啟用: (預設) 如果應用程式位於檔案系統中的安全位置,則只會以 UIAccess 完整性執行。 - 已停用:即使應用程式不在文件系統中的安全位置,仍會以UIAccess完整性執行。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 1 |
允許的值:
值 | 說明 |
---|---|
0 | 已停用:即使應用程式不在安全的位置,仍會以UIAccess完整性執行。 |
1 (預設) | 已啟用:只有在應用程式位於安全的位置時,應用程式才會以UIAccess完整性執行。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 使用者帳戶控制:僅針對在安全位置安裝的 UIAccess 應用程式,提高其權限 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
UserAccountControl_RunAllAdministratorsInAdminApprovalMode
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_RunAllAdministratorsInAdminApprovalMode
用戶帳戶控制:開啟 管理員 核准模式 此原則設定可控制計算機的所有用戶帳戶控制 (UAC) 原則設定的行為。 如果您變更此原則設定,則必須重新啟動計算機。 選項為:- 已啟用: (啟用預設) 管理員 核准模式。 必須啟用此原則,而且也必須適當地設定相關的 UAC 原則設定,以允許內建的系統管理員帳戶和屬於 Administrators 群組成員的所有其他使用者以 管理員 核准模式執行。 - 已停用:管理員 核准模式和所有相關的UAC原則設定都會停用。
注意
如果停用此原則設定,資訊安全中心會通知您操作系統的整體安全性已降低。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 1 |
允許的值:
值 | 說明 |
---|---|
0 | 停用。 |
1 (預設) | 啟用。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 使用者帳戶控制: 所有系統管理員均以管理員核准模式執行 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
用戶帳戶控制:提示提高許可權時切換至安全桌面 此原則設定可控制提高許可權要求提示是否顯示在互動式使用者的桌面或安全桌面上。 選項為:- 已啟用: (預設) 所有提高許可權要求都會移至安全桌面,而不論系統管理員和標準使用者的提示行為原則設定為何。 - 已停用:所有提高許可權要求都會移至互動式使用者的桌面。 系統會使用系統管理員和標準使用者的提示行為原則設定。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 1 |
允許的值:
值 | 說明 |
---|---|
0 | 停用。 |
1 (預設) | 啟用。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 使用者帳戶控制: 提示提升權限時切換到安全桌面 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
UserAccountControl_TypeOfAdminApprovalMode
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_TypeOfAdminApprovalMode
用戶帳戶控制:設定 管理員 核准模式的類型。 此原則設定可控制是否將增強許可權保護套用至系統管理員核准模式提升許可權。 如果您變更此原則設定,則必須重新啟動計算機。 此原則僅在 Windows 桌面上支援,不支持伺服器。 選項包括:- 管理員 核准模式是在舊版模式中執行, (預設) 。 - 管理員 核准模式以增強的許可權保護執行。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 1 |
允許的值:
值 | 描述 |
---|---|
1 (預設) | 舊 管理員 核准模式。 |
2 | 管理員 具有增強許可權保護的核准模式。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 用戶帳戶控制:設定 管理員 核准模式的類型 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
UserAccountControl_UseAdminApprovalMode
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_UseAdminApprovalMode
用戶帳戶控制:針對內建的系統管理員帳戶使用 管理員 核准模式 此原則設定可控制內建系統管理員帳戶 管理員 核准模式的行為。 選項為:- 已啟用:內建的系統管理員帳戶會使用 管理員 核准模式。 根據預設,任何需要提高許可權的作業都會提示使用者核准作業。 - 已停用: (預設) 內建系統管理員帳戶會以完整的系統管理許可權執行所有應用程式。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
1 | 啟用: |
0 (預設值) | 停用: |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 使用者帳戶控制: 內建的 Administrator 帳戶的管理員核准模式 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations
用戶帳戶控制:將檔案和登錄寫入失敗虛擬化至每位使用者位置。此原則設定可控制應用程式寫入失敗是否會重新導向至已定義的登錄和檔案系統位置。 此原則設定可降低以系統管理員身分執行的應用程式,並將運行時間應用程式數據寫入 %ProgramFiles%、%Windir%、%Windir%\system32 或 HKLM\Software。 選項為:- 已啟用: (預設) 應用程式寫入失敗會在運行時間重新導向至檔案系統和登錄的已定義使用者位置。 - 已停用:將數據寫入受保護位置的應用程式會失敗。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 1 |
允許的值:
值 | 說明 |
---|---|
0 | 停用。 |
1 (預設) | 啟用。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | 使用者帳戶控制: 將檔案及登錄寫入失敗虛擬化並儲存至每一使用者位置 |
路徑 | Windows 設定安全性 > 設定本機 > 原則 > 安全性選項 |
相關文章
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應